Etäkäytettävän testilaboratorioympäristön tietoturva
Tapper, Tuukka (2018)
2018
Tietotekniikka
Tieto- ja sähkötekniikan tiedekunta - Faculty of Computing and Electrical Engineering
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2018-12-05
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201811262765
https://urn.fi/URN:NBN:fi:tty-201811262765
Tiivistelmä
Tässä opinnäytetyössä muodostettiin erilleen sijoitetuista testiautomaatiolaboratorioista kokonaisuus, johon kuuluvia laboratorioita on helppo lisätä ja poistaa. Kaikkien laboratorioiden resurssien tulee olla käytettävissä niin paikallisesti kuin verkkoyhteyden välitykselläkin varmistuen kuitenkin niin hallinnan kuin testitulostenkin tietoturvallisuudesta, luottamuksellisuudesta ja eheydestä.
Aluksi perehdytään tietoturvallisuuden ja riskienhallinnan käsitteistöön, minkä jälkeen tarkastellaan molempia aiheita etäkäytettävän laboratorioympäristön näkökulmasta tehden suppea riskianalyysi STRIDE- ja DREAD-menetelmiä hyödyntäen. Laboratorioympäristön turvallisuuteen liittyy olennaisesti myös siihen kuuluvien pilvipalveluiden tietoturvallinen ja ylläpidettävä toteutus. Tietoturvallisuus ja riskienhallinta nivoutuvat tietojärjestelmissä kiinteästi toisiinsa, sillä pääosa niihin liittyvistä riskeistä on tietoteknisiä. Näiden riskien hallinta poikkeaa jonkin verran tavallisempien riskien hallinnasta, sillä merkittävä osa riskeistä liittyy käytettävissä ohjelmistoissa ja palveluissa tai niiden määrittelyissä oleviin haavoittuvuuksiin. Erityisesti julkisesta Internetistä saavutettavat palvelut ovat alttiita hyökkäyksille kaikkialta maailmasta, mikä asettaa erityisiä vaatimuksia niiden tietoturvallisuuden ylläpitämiselle.
Työssä kehitettiin pienehkön etäkäytettävän testiautomaatiojärjestelmän tietoturvallisuutta riskianalyysin pohjalta. Tässä voitiin hyödyntää suurempien organisaatioiden tietotekniseen riskienhallintaan kehitettyjä menetelmiä kuten esitellyt OCTAVE, EBIOS sekä NIST:n riskienhallintamenetelmä. Ohjelmistokehityksen jatkuvan integroinnin ja tietoturvallisuuden ja tietoverkkojen turvaamisen menetelmiä todettiin voitavan hyödyntää joustavan, modulaarisen, hajautetun ja tietoturvallisen etäkäytettävän testilaboratorioympäristön luomisessa.
Aluksi perehdytään tietoturvallisuuden ja riskienhallinnan käsitteistöön, minkä jälkeen tarkastellaan molempia aiheita etäkäytettävän laboratorioympäristön näkökulmasta tehden suppea riskianalyysi STRIDE- ja DREAD-menetelmiä hyödyntäen. Laboratorioympäristön turvallisuuteen liittyy olennaisesti myös siihen kuuluvien pilvipalveluiden tietoturvallinen ja ylläpidettävä toteutus. Tietoturvallisuus ja riskienhallinta nivoutuvat tietojärjestelmissä kiinteästi toisiinsa, sillä pääosa niihin liittyvistä riskeistä on tietoteknisiä. Näiden riskien hallinta poikkeaa jonkin verran tavallisempien riskien hallinnasta, sillä merkittävä osa riskeistä liittyy käytettävissä ohjelmistoissa ja palveluissa tai niiden määrittelyissä oleviin haavoittuvuuksiin. Erityisesti julkisesta Internetistä saavutettavat palvelut ovat alttiita hyökkäyksille kaikkialta maailmasta, mikä asettaa erityisiä vaatimuksia niiden tietoturvallisuuden ylläpitämiselle.
Työssä kehitettiin pienehkön etäkäytettävän testiautomaatiojärjestelmän tietoturvallisuutta riskianalyysin pohjalta. Tässä voitiin hyödyntää suurempien organisaatioiden tietotekniseen riskienhallintaan kehitettyjä menetelmiä kuten esitellyt OCTAVE, EBIOS sekä NIST:n riskienhallintamenetelmä. Ohjelmistokehityksen jatkuvan integroinnin ja tietoturvallisuuden ja tietoverkkojen turvaamisen menetelmiä todettiin voitavan hyödyntää joustavan, modulaarisen, hajautetun ja tietoturvallisen etäkäytettävän testilaboratorioympäristön luomisessa.