Adatbázis-alkalmazások adatvédelmi megfelelőségének igazolása

OData támogatás
Konzulens:
Marton József Ernő
Távközlési és Médiainformatikai Tanszék

Információs társadalmunkban a létrehozott, megosztott és felhasznált adattal komoly odafigyeléssel kell bánni. A hétköznapi életet mára átszövő webes világ számottevő információ elérését teszi lehetővé. A közzétevő a konfigurációtól függően nyilvánosan vagy egy előre definiált tartományon belül is kiszolgálhatja felhasználóit.

Manapság szinte az összes pénzintézet kínál valamilyen webes felületet az ügyek intézéséhez, ami egyben sérülékeny pont is lehet. Külső személyek gyakran hajtanak végre lopási kísérleteket az ügyfelek adataira vonatkozóan. Ugyanakkor a belső alkalmazottak – a jogaikkal való visszaélésekkel – is komoly pénzügyi és presztízs károkat tudnak okozni. Mindezen tények vezettek arra, hogy diplomatervem a banki adatbázis-rendszerek biztonsága köré épüljön, ahol számos védendő adat, funkció és a rendszerek megfelelő működését előíró szabályozás van.

Diplomatervemben egy nyilvánosan és privát tartományon belül egyaránt elérhető, egyszerűsített banki alkalmazás adatvédelem-centrikus specifikálását, tervezését, implementálását és sérülékenység-vizsgálatát végeztem el oly módon, hogy az alkalmazott módszerek lehetőleg minél általánosabb érvényűek legyenek.

A munkám során különböző szerepköröket és funkciókat specifikáltam, és elkészítettem ezek, illetve az adatbázisban tárolt adatok egymáshoz rendelését. Az alkalmazást, annak adatmodelljét és adatvédelmi rétegét megterveztem. Az adatvédelmi réteget két változatban terveztem meg: az első esetben a védelem az adatbázis-rétegben kap helyet, míg a második esetben az üzleti logika szintjén. Mindkét megközelítéssel elvégeztem a rendszer teljes implementálását.

A tesztelés fő csapása annak ellenőrzése, hogy az adatvédelmi szabályok helyesen működnek-e minden körülmény között, ezzel kapcsolatban 100-as nagyságrendű tesztet végeztem 3 eszközzel. Másik tesztelési irány a webalkalmazás külső/belső támadó általi sebezhetőség-vizsgálata volt, ami újabb 50-60 teszt volt.

Fel kell készülni arra, hogy a biztonsági szabályok bárhogyan megváltozhatnak, ami miatt szükséges az adatvédelmi megfelelőséget ismételten, automatizált segítséggel igazolni. Úgy találtam, hogy a két adatvédelmi megközelítés kombinálva adja a fejlesztési és karbantartási időben az optimális megoldást.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.