co to jest swd?
Post on 19-Jun-2015
394 Views
Preview:
DESCRIPTION
TRANSCRIPT
IBM dla Energetyki
Co to jest SWD?
System Wymiany Danych
• Służy do zbiera danych finansowych z systemów
billingowych
• Zbiera dane z ponad 100 różnych systemów
• Nierównomierne natężenie ruchu – głównie w cyklach
billingowych, poza cyklem obciążenie jest niewielkie
• Konieczność przeprocesowania komunikatów w krótkim
czasie
IBM dla Energetyki
Działające ESB – system ogólnopolski
System zbiera:
• Dane finansowe
• Dane osobowe
W przypadku błędu w
przetwarzaniu
przesyłane są zwrotnie
pełne komunikaty
IBM dla Energetyki
Działające ESB – system ogólnopolski
Technologia:
W spółkach zainstalowano WMQ
Aplikacje z oddziałów/BOKów
wykorzystują połączenie WMQClient
Komunikaty wstawiane jako JMS,
Nagłówek zawiera dodatkowe
informacje jak typ dokumentu, wersja
Walidacja komunikatów w Brokerze
WMQ
WMQ
WMQ
WMQ
WMQ
WMBWMQWMQ
WMQ
WMBWMQWMQ
WMQ
IBM dla Energetyki
Uchronić firmę przed ewentualnymi stratamiHistoria projektu:
Dział IT w 2010 roku w ramach wewnętrznej inicjatywy dostosowania systemów do
regulacji prawnych zdecydował:
• Spełniać wymogi prawa:
(Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (Dz. U. 2002 r.
Nr 101 poz. 926) oraz Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r.w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych Dz. U. z 2004 r. Nr 100, poz. 1024)
• Oraz spełnić wewnętrzne regulacje.
A także:
• Zminimalizować ryzyko wycieku danych
• Zwiększyć bezpieczeństwo rozwiązania
• Zapewnić niezaprzeczalność i niezmienność danych
IBM dla Energetyki
Początek projektu
• Została wykonana analiza zagrożeń, raport zawierał wnioski oraz pewne sugestie
rozwiązań:
– Zabezpieczenie kanałów WMQ
– Zwiększenie bezpieczeństwa przetwarzania XML (zabezpieczenie przed
atakami i ewentualnymi błędami w wysyłce danych z systemów billingowych)
– Zabezpieczenie danych chwilowo znajdujących się w kolejkach transmisyjnych
( z uwagi na nie zawsze dobre łącza, komunikaty spoczywały w kolejkach)
• Zalecenia wprowadzano minimalnym nakładem kosztów i pracy
• Zabezpieczono kanały i dostęp administracyjny do WMQ
• Analiza kosztów wykazała, że zmiany w adapterach (konieczność zmiany kodu w
ponad 100 instalacjach), różnorodność systemów i dostawców będą bardzo
kosztowne i długotrwałe.
IBM dla Energetyki
Rozwiązanie
• Poszukując rozwiązania klient znalazł produkt IBM WebSphere DataPower XI50,
który:
– Bezinwazyjnie pozwalał zaszyfrować i podpisać dane zapewniając ich
niezaprzeczalność i niezmienność
– Mógł współpracować z WMQ czy JMS
– Pozwalał walidować XML z bardzo dużą wydajnością
– Szybko mógł być wprowadzony bez rozmów z dostawcami aplikacji
billingowych
– Ma wbudowany moduł HSM
IBM dla Energetyki
Implementacja
XML���
XML
IBM dla Energetyki
Walidacja danych
• DataPower w centrali sprawdza poprawność danych (ze względu na konieczność rejestracji
wszystkich dokumentów - nawet tych niepoprawnych - w centralnej bazie)
• Gdy są błędy w strukturze/danych dokumentów DataPower wstrzykuje do nagłówka JMS
opis błędu i przekazuje do WMB celem zalogowania
• Walidacja odbywa się dynamicznie :
Na podstawie wartości pola z nagłówka JMS wybierany jest odpowiedni arkusz XSD
znajdujący się w pamięci DataPower i następuje walidacja
• Włączona jest ochrona dokumentów przed atakami XML
IBM dla Energetyki
Nieoczekiwane zdarzenia
Mimo zapewnień dostawców systemów integrowanych o pełnej komunikacji za
pomocą XML okazało się, że nie wszystkie dokumenty są w takiej formie ☺
• Dostosowano
W kilku przypadkach okazało się, że nagłówki JMS nie są wstawiane poprawnie
• Dostawcy dostosowali swoje systemy
Urządzenie jest bardzo bezpieczneF czasem aż za nadto (domyślnie konieczna
częsta zmiana haseł, blokowanie dostępu po nieudanych logowaniach, bardzo
restrykcyjnie sprawdzane dokumenty XML) ☺
Działa na produkcji ponad rok
IBM dla Energetyki
Przykład wdrożenia w Polsce – PGNiG
Zastosowanie:
Bezpieczna wymiana
danych finansowych i
osobowych
Rozwiązanie:
Szyfrowanie treści
Podpisy cyfrowe
Walidacja XML
XML Firewall
IBM dla Energetyki
Krok w przyszłość
• SWD ciągle zwiększa zakres wymienianych danych pomiędzy SAP a systemami
billingowymi
• 2013 luty - Nowy projekt CRD, Dodano nowe typy dokumentów (około 10),
dokumenty są sprawdzane pod względem zgodności z XSD i jak wcześniej
szyfrowane i podpisywane
Obecnie faza testów, jeszcze w marcu uruchomienie na produkcji
Dalsze projekty:
• Konieczność wersjonowania definicji dokumentów ze względu na wiele toczących
się projektów wymiany danych i różną szybkość wdrażania nowych
funkcjonalności w systemach billingowych
• DataPower ma w przyszłości walidować dokumenty w zależności od ich wersji, na
podstawie parametru w nagłówku JMS. Umożliwi to równoległą pracę z nowymi
jak i starymi wersjami czy systematyczne wdrażanie nowych wersji w kolejnych
systemach billingowyh
top related