Suite

Intégrer la sécurité des applications avec la sécurité GeoServer ?


Je vais développer un serveur de cartes avec ma propre logique et mes propres entités. Il disposera d'une base de données Postgres, d'une gestion des utilisateurs, de couches spécifiques avec certains types, WFS, WMS, etc.
je vais utiliser cadre de printemps et GéoServeur car le GeoServer est un projet open source.
J'ai l'utilisateur un problème de gestion. Comment intégrer la sécurité de mon propre projet avec celle de GeoServer ? Je veux dire, comment puis-je ajouter un utilisateur, un rôle ou un groupe ou attribuer un rôle à un utilisateur par programmation ? Comment puis-je m'authentifier avec geoserver par programmation ?
Comme vous le savez, vous pouvez gérer les calques, les espaces de travail, etc. GeoServer-manager. Mais il n'a pas d'API REST de gestion des utilisateurs !

J'ai développé un serveur de cartes qui conserve les informations sur les couches et je souhaite qu'il prenne en charge WFS et WMS. Je veux accorder l'accès à mes utilisateurs de calques.
C'était le plus de détails de ma candidature.


Enfin, j'ai utilisé geo-fence, un plugin de géoserveur pour la gestion de la sécurité. Il dispose d'une API reposante pour ajouter, gérer, etc. des utilisateurs, des rôles, des règles,…


Intégrer la sécurité des applications avec la sécurité GeoServer ? - Systèmes d'information géographique

Système de sécurité de l'information et développement d'une organisation moderne

Sławomir Wawak , Université d'économie de Cracovie

1. Application du système de gestion de la sécurité de l'information

Les systèmes de gestion de la sécurité de l'information sont de plus en plus appliqués dans un certain nombre de secteurs de la nouvelle économie mondiale interconnectée. Ils sont utilisés par les entreprises de production et de services, les entreprises qui fournissent des services informatiques et de télécommunications, les autorités administratives de l'État et les collectivités locales. Plus précisément, ils sont utilisés en cas de groupes criminels ou comme moyen de sécuriser des transactions illégales. Les services de renseignement et les agences gouvernementales ne peuvent pas non plus être ignorés ici. La sécurité de l'information et les technologies de l'information sont l'industrie à la croissance la plus rapide au monde et, sans surprise, l'une des industries à la croissance la plus rapide en Chine. En fait, l'informatisation croissante des secteurs privé et public (malgré un contrôle gouvernemental strict) fait de la Chine un marché au potentiel énorme pour le développement de logiciels, l'externalisation et les services de sécurité, essentiels à la croissance économique et à la sécurité nationale. Le marché chinois des logiciels en développement rapide n'a cependant pas encore montré tout son potentiel.

L'un des principaux fournisseurs mondiaux de technologies de sécurité de l'information est une entreprise géante, connue depuis longtemps sous le nom de China Public Security Technology, Inc. (qui opère maintenant sous le nom de Information Security Technology Inc. - ISTI) en est un exemple. L'ISTI est un fournisseur de solutions intégrées pour le secteur de la sécurité publique non seulement en République populaire de Chine, mais aussi dans le monde entier, et se spécialise dans le contrôle et la garantie de la sécurité de l'information, en fournissant des applications de communication d'informations de sécurité publique et des systèmes d'information géographique ( SIG) services logiciels dans le monde[1].

Les contrôles mondiaux visant à garantir la confidentialité et visant à limiter l'accès aux données sont particulièrement critiques dans le cas des entreprises impliquées dans la recherche et le développement de nouvelles technologies et de nouveaux produits, les entreprises liées à des secteurs industriels clés (par exemple, les raffineries de pétrole et les centrales électriques), les autorités qui organiser les appels d'offres. L'accessibilité constante est d'une importance particulière pour les sociétés de technologie de l'information qui fournissent des services liés aux sites Web et aux boutiques en ligne, offrant des services d'assistance par courrier électronique ou la fourniture d'accès à Internet, les maisons de presse et les sociétés de télécommunications.

Outre la confidentialité et l'accessibilité, les entreprises et les autorités attachent également une grande importance à d'autres attributs de l'information, par exemple : l'actualisation, la fiabilité, l'exhaustivité, la comparabilité, l'absence d'ambiguïté, la fiabilité, la possibilité de traitement, la flexibilité, l'efficacité, le coût, le temps de réponse, la stabilité, la précision, l'adressabilité , utilité, priorité, valeur, facilité d'utilisation, clarté, sécurité [K. Woźniak, 2005, p. 157-161].

Suite à l'occurrence simultanée de différents besoins, trois directions de mise en œuvre d'un système de management de la sécurité de l'information doivent être envisagées : les contrôles de sécurisation contre les actions externes, les mesures de sécurisation contre les actions internes et la préparation en cas d'un niveau insuffisant de contrôles de sécurité.

Les contrôles de sécurisation contre les actions extérieures sont liés à la mise en place de limitations d'accès physiques et électroniques par des personnes extérieures à une organisation, ainsi qu'à la mise en place d'outils d'enregistrement des contacts entre l'environnement extérieur et le système informatique de l'entreprise. Cela peut inclure la mise en place d'un service de sécurité industrielle, de cartes d'accès, de protocoles de cryptage pour la transmission de données, de contrôles de sécurité supplémentaires pour la journalisation avec l'utilisation de clés de jetons, etc.

Les contrôles de protection contre les actions internes concernent principalement les employés. Suite à la mise en œuvre de tels contrôles, l'accès aux locaux sélectionnés est limité, des contrôles de sécurité physique sécurisant les informations stockées et des limites sur les contacts électroniques au sein de l'entreprise sont introduits. La mise en œuvre d'actions axées sur les salariés peut avoir un fort impact sur leur niveau de motivation au travail, il sera donc nécessaire d'inclure des changements dans le système d'incitation, et aussi la formation des employés devra être réalisée, en les sensibilisant aux raisons d'imposer de telles restrictions.

Le troisième axe de développement du SMSI concerne l'élaboration de plans en cas d'insuffisance des contrôles de sécurité. Une telle situation peut résulter d'une sous-estimation de l'importance des menaces, de leur acceptation volontaire suite à une faible probabilité de leur occurrence ou de l'impossibilité de mettre en œuvre des contrôles de sécurité coûteux. Les plans préparés peuvent concerner les réponses aux menaces, l'ordre dans lequel les personnes, les documents et les équipements sont sauvegardés, la récupération rapide de la partie de l'organisation après une panne.

Il est à noter que l'application du système de gestion de la sécurité de l'information peut avoir un impact positif sur le rythme de croissance de l'organisation, car il permet de garder la confidentialité de certains types d'informations, tout en facilitant la circulation des autres. Par conséquent, l'organisation ne devrait pas subir de pertes dues à l'intelligence d'affaires et/ou à d'autres coûts d'une gestion inefficace de l'information qui sont difficiles à mesurer.

Le troisième axe de développement de l'ISAS concerne la préparation des plans d'urgence. Une telle situation peut résulter d'une sous-estimation de l'importance des menaces ou de l'impossibilité de mettre en œuvre des contrôles de sécurité coûteux. Les plans préparés peuvent concerner les réponses aux menaces, la séquence dans laquelle les personnes, les documents et les équipements sont remarqués et la première reprise des opérations de l'organisation après une panne.

2. Caractéristiques du SMSI

L'étendue des systèmes de gestion de la sécurité de l'information d'une politique de sécurité au niveau stratégique, l'estimation des risques d'occurrence des menaces, la définition et la mise en œuvre de contrôles de sécurité visant à éliminer ces menaces et également la surveillance du système à l'aide d'audits internes et de revues de direction. Cela a été reflété dans la structure de la norme ISO 27001:2005 qui compte neuf chapitres. Les quatre premiers comprennent une introduction, un champ d'application de la norme, des références normatives, ainsi que des termes et définitions. Les chapitres clés concernent les principes de mise en œuvre et de maintien d'un système de gestion de la sécurité de l'information, la responsabilité de la direction, l'audit interne, la revue de direction et l'amélioration du SMSI. Cette structure correspond à d'autres normes établies par l'ISO qui concernent les systèmes de management. Les raisons de distinguer les trois derniers chapitres peuvent cependant susciter des doutes, tant sur le volume que sur leur contenu isolé. Dans la norme ISO 9001:2000, un examen suit en tant qu'élément du chapitre sur la responsabilité de gestion, tandis que l'audit est incorporé dans le chapitre sur l'amélioration et la mesure, et il convient de noter qu'il s'agit des mêmes outils de gestion de système dans les deux normes.

L'annexe A constitue la partie clé de la norme ISO 27001:2005, qui contient une liste de contrôles répartis dans les groupes suivants : politique de sécurité, organisation de la sécurité de l'information, gestion des actifs organisationnels, sécurité des ressources humaines, sécurité physique et environnementale, gestion des systèmes et des réseaux , contrôle d'accès au système, développement et maintenance des systèmes d'information, gestion des incidents de sécurité de l'information, gestion de la continuité des activités et gestion de la conformité. Les groupes de contrôles sont étroitement liés au contenu de la norme ISO 17799:2005, qui présente des lignes directrices détaillées pour la mise en œuvre et le suivi des contrôles. Il convient donc de noter qu'il existe de nombreux cas où la norme ISO 17799:2005 mentionne un système d'information mais en cas de mise en œuvre d'un système de management de la sécurité de l'information il doit être interprété plus largement, en tant que système d'information.

La norme ISO 13335, qui comprend actuellement cinq fiches, constitue un socle pour la mise en œuvre d'un SMSI, car elle apporte des connaissances générales sur les modèles et concepts de gestion des systèmes d'information. Il présente plusieurs aspects de la sécurité à divers niveaux organisationnels : corporatif, interministériel, départemental ou dans le domaine des technologies de l'information. Il contient à la fois des lignes directrices pour la méthodologie d'estimation des risques et des principes détaillés pour la sécurisation des systèmes d'information.

Lors de l'élaboration de normes pour les systèmes de gestion, l'Organisation internationale de normalisation se conforme aux principes de leur compatibilité et de leur complémentarité. Outre ISO 27001, les normes les plus populaires dans ce domaine incluent également des systèmes de gestion de la qualité, de l'environnement ou de la sécurité au travail. La compatibilité se traduit par l'application de méthodes et d'outils de gestion similaires, par ex. principes de surveillance des documents et des inscriptions, élaboration de politiques organisationnelles, réalisation de revues de systèmes de gestion, audits internes, identification d'irrégularités (ou d'incidents), mesures correctives et préventives. Une telle approche facilite la mise en œuvre simultanée des systèmes. Il convient toutefois de noter qu'en cas de mise en œuvre séparée des normes, la meilleure solution pour une organisation est d'abord de mettre en œuvre le système de gestion de la qualité qui englobe l'ensemble de l'entreprise et initie ses employés aux nouvelles méthodes de travail. Les systèmes de gestion développés par l'ISO se complètent mutuellement, permettant ainsi le développement de l'organisation vers un concept de gestion de la qualité totale (GQT).

Il est à noter que l'application de la gestion du système de sécurité de l'information peut avoir un impact positif sur le rythme de croissance de l'organisation car elle permet de garder la confidentialité de certains types d'informations, tout en facilitant la circulation des autres.

3. SMSI et développement organisationnel

Un système de gestion de la sécurité de l'information a un double impact sur une organisation. Elle permet une croissance plus rapide grâce à une communication renforcée d'une part, et force la mise en œuvre de changements, à la fois statiques et dynamiques (structure organisationnelle, processus, outils de gestion), d'autre part.

L'avantage fondamental de la mise en œuvre du SMSI pour la majorité des organisations ne consiste pas en une sécurité accrue des données, mais en une amélioration de la communication. En effet, les entreprises qui disposent de données sensibles appliquent en règle générale des solutions de sécurité qui assurent un certain niveau de protection, généralement technique. Les problèmes liés à la circulation de l'information sont cependant difficiles à mesurer pour les gestionnaires et donc négligés.

La conception et la mise en œuvre d'un SMSI nécessitent une analyse du système de communication et l'indication des améliorations qui doivent, au moins, assurer son fonctionnement efficace, en se souciant de l'accessibilité continue et de l'exhaustivité des informations. D'autres facteurs critiques qui ne découlent pas directement des exigences de l'ISO 27001:2005 incluent, entre autres, l'élimination du flux d'informations redondantes, la mise à jour et la fiabilité. Le système de communication ainsi amélioré doit offrir aux employés une meilleure qualité et rapidité dans la prise de décision, ce qui se traduit par un meilleur fonctionnement de l'organisation et sa croissance.

Les avantages mentionnés ci-dessus découlant d'une sécurité accrue de l'information se révèlent particulièrement dans la planification des activités futures, par ex. développement de stratégies, campagnes marketing, transformation de propriété, fusions et acquisitions. La prévention de la divulgation prématurée d'informations peut permettre une exécution sans perturbation des plans de développement.

Les avantages qu'une organisation tire de la mise en œuvre d'un système de gestion de la sécurité de l'information dépendent en partie de la phase de son cycle de développement dans laquelle elle se trouve. Dans la phase de démarrage et de jeunesse, il y a des problèmes liés à l'adressabilité et à la protection de l'accès à l'information, car en cas de structure et de division des responsabilités qui n'ont pas été entièrement établies, chaque employé a une connaissance des opérations de l'ensemble de l'entreprise, ce qui peut poser un problème menace en cas de transfert à la concurrence. D'un autre côté, cependant, le manque de propriété clairement définie des actifs informationnels force la prise de décision centrale par le propriétaire, ce qui peut retarder la croissance.

Avec la croissance des affaires et une quantité croissante d'informations, il devient nécessaire de concevoir des canaux de communication pour assurer l'accès aux données nécessaires pour les employés. Sinon, il y aura des problèmes liés non seulement à l'accès, mais aussi à la mise à jour. Une telle situation crée un risque de prendre des décisions erronées.

Une organisation stabilisée devrait améliorer son système de communication relativement stable. Par conséquent, le coût de production et l'accès à l'information, son efficacité ou sa valeur seront les facteurs clés de cette phase. Les décisions prises sur la base de l'analyse de ces questions peuvent augmenter l'efficacité de la communication et celle de l'ensemble de l'organisation.

La mise en œuvre du SMSI doit également avoir un impact sur la structure d'une organisation. Les changements qui sont nécessaires dans le cas de structures modernes qui utilisent des systèmes d'information avancés, comme les organisations virtuelles, fractales, en réseau ou apprenantes, peuvent être particulièrement intéressants.

Une organisation virtuelle peut fonctionner en raison du développement et de la vulgarisation des technologies de l'information. Les actifs incorporels sont d'une importance capitale pour atteindre les objectifs et sont soutenus par des actifs informationnels. Une organisation virtuelle est généralement composée d'un certain nombre d'organisations travaillant ensemble pour réaliser une ou plusieurs missions spécifiques. Sa création peut être déclenchée par la scission de tous les processus de l'organisation, à l'exception des processus d'information ou des conditions de coopération qui prévalent sur le marché. Dans ce dernier cas, il est difficile d'indiquer une entité centrale car, selon les projets entrepris, ce rôle peut être confié à différentes parties de l'organisation. Les caractéristiques distinguant une organisation virtuelle peuvent inclure (Managing the Enterprise, Zarządzanie przedsiębiorstwem, 2005, p. 116.) :

  • large utilisation des technologies de l'information dans les relations avec les fournisseurs, les clients, les associés, et cherchant également à limiter ou à éliminer d'autres techniques de communication et d'échange de données, par ex. préférence aux paiements électroniques,
  • ventes réalisées sur Internet uniquement par l'utilisation de : offres présentées sur des sites Internet, promotion sur le WWW et par courrier électronique, points de vente sur Internet, utilisation de commandes et de formulaires Internet,
  • développement de l'offre sur la base des résultats d'enquêtes sur les besoins des clients réalisées principalement sur Internet et offrant également des possibilités d'adaptation du produit aux besoins spécifiques d'une personne passant commande, les avis des acheteurs sont des données d'entrée matérielles pour la conception du produit,
  • prédominance des relations informelles avec les fournisseurs, la majorité des employés de base sont des associés externes dans le cas d'organisations plus grandes, il peut y avoir un groupe permanent de personnel administratif,
  • les ressources immatérielles sont principalement utilisées et transformées, les qualifications et les compétences étant la source d'un avantage concurrentiel, il est donc important de développer une bonne culture d'entreprise, de mener un processus continu de formation et d'amélioration.

Dans une organisation virtuelle, les outils informatiques utilisés ont de nombreuses interfaces accessibles au public qui prennent en charge les ventes ou garantissent l'accès aux associés. Certaines des connaissances de l'organisation centrale doivent être divulguées aux partenaires commerciaux pour être utilisées par eux dans leur travail. Mais ils ont une relation lâche avec l'entreprise et sont souvent impliqués dans plusieurs organisations en même temps. De plus, il existe une difficulté importante à sécuriser les documents qui sont traités par les partenaires commerciaux. En cas de commandes exécutées par des partenaires commerciaux pour les clients (par exemple, des sociétés de conseil), le manque d'informations complètes sur l'avancement des travaux peut être dangereux. Les objectifs majeurs du SMSI mis en œuvre doivent donc inclure : la sécurité juridique des informations disponibles pour les partenaires commerciaux et le développement du système de communication qui assurera une remontée d'informations complète. Cela permettra de limiter le risque de ralentissement de la croissance suite au départ d'un ou plusieurs associés. L'augmentation de l'efficacité d'un système de communication permettra une meilleure identification et satisfaction des besoins des clients.

Une organisation fractale est composée de nombreuses parties ayant une structure et des principes de fonctionnement similaires. Ils disposent d'une grande liberté d'exploitation, cependant, ils sont contrôlés en permanence par une entité supérieure qui établit et transmet les principes fondamentaux des opérations. Les caractéristiques qui distinguent une organisation fractale peuvent inclure (Managing the Enterprise - Zarządzanie przedsiębiorstwem, 2005, p. 152) :

  • il fonctionne au travers d'équipes auto-organisées de salariés opérant dans une structure auto-similaire, dans laquelle les relations entre les éléments reposent sur des mécanismes d'héritage d'objectifs et de contrôle permanent et d'actions de pilotage,
  • il se caractérise par un haut niveau d'adaptabilité atteint grâce à une optimisation continue des ressources et des processus, ainsi que par la flexibilité liée aux formes modernes d'emploi. C'est pourquoi il fonctionne mieux dans un environnement turbulent avec des changements rapides,
  • les équipes de salariés doivent avoir un niveau d'indépendance maximum, ce qui nécessite la confiance de l'employeur, la loyauté des salariés ainsi que des aspirations élevées et une volonté de performance,
  • en raison de la pleine disponibilité de l'information et de sa libre circulation assurée, les processus d'apprentissage des employés sont efficacement menés, ce qui nécessite des compétences en communication, des capacités d'apprentissage, ainsi qu'une volonté de partager des connaissances et de la flexibilité.

L'application des technologies modernes de communication à distance menace la sécurité de l'information. L'auto-organisation des fractales doit s'inscrire dans la mise en œuvre de solutions de sécurité spécifiques. Une libre circulation de l'information peut donc constituer une menace pour l'entreprise. Or, c'est la culture d'entreprise fondée sur la confiance dans les salariés qui peut être un frein à la mise en place de contraintes dans le système de communication. Il doit être pris en compte au stade de la conception du SMSI, faute de quoi l'efficacité de l'organisation peut décliner suite à la mise en œuvre du système.

Les organisations en réseau sont des ensembles d'unités organisationnellement et juridiquement indépendantes qui entreprennent une coopération à long terme pour obtenir un effet de synergie. Le plus souvent, ils forment des sociétés opérant au sein de groupes stratégiques qui fournissent des produits complémentaires ou ont des capacités similaires. Leurs principales caractéristiques distinctives incluent (Managing the Enterprise - Zarządzanie przedsiębiorstwem, 2005, p. 170) :

  • la répétition et la pérennité des échanges,
  • forte coordination des opérations,
  • décisions communes prises en matière de ressources,
  • connaissances partagées sur le fonctionnement des partenaires commerciaux.

Dans le cas des organisations en réseau, les menaces concernent la nécessité de développer des canaux d'information entre les organisations et le risque de fuite d'informations vers la concurrence lorsque le réseau est rompu. Le départ d'un employé peut présenter un danger matériel s'il dispose d'informations sur les opérations d'autres entreprises du réseau. Ensuite, les contrôles légaux, par ex. l'interdiction de la concurrence d'établir une relation de travail avec une organisation concurrente peut s'avérer insuffisante. Ce problème peut être résolu grâce à la mise en œuvre du SMSI dans toutes les organisations et à ce système intégré grâce à l'estimation des risques et à la mise en œuvre de contrôles non seulement au sein des entreprises individuelles, mais également à la frontière entre elles.

Au sein d'une organisation apprenante, la culture d'entreprise est centrée sur l'acquisition de connaissances. Toute expérience est utilisée pour développer de nouvelles connaissances. Elle se caractérise par l'ouverture, la possibilité de discuter, de présenter des opinions divergentes. Elle nécessite l'application d'un système d'information ouvert et accessible à tous les salariés. L'épanouissement personnel, l'autonomie des individus, l'instabilité, le superflu et la diversité des connaissances, ainsi que la confiance mutuelle en sont les conditions nécessaires.

De telles hypothèses rendent considérablement difficile la mise en œuvre du système de sécurité de l'information, car il s'agit d'un système qui impose des contraintes sur les flux d'informations, incite à limiter le superflu. L'accès large des employés à la connaissance peut constituer une menace, cependant, la prévalence du chaos créatif peut conduire au mépris de certains contrôles. Le problème majeur peut être la stabilité d'un SMSI face aux changements fréquents de modes opératoires dus à l'introduction dynamique de nouvelles solutions organisationnelles. Par conséquent, il devient nécessaire de concevoir le système de telle manière qu'il ne limite pas ce dynamisme.

Un système de management de la sécurité de l'information au sein d'une organisation apprenante doit donc s'appuyer sur des applications informatiques performantes qui doivent assurer un accès permanent à l'information, son indexation et sa recherche automatiques. En situation de surabondance d'informations, des outils informatiques correctement configurés peuvent contribuer de manière significative à une efficacité accrue.

Le développement d'une organisation moderne dépend de l'accessibilité, de la bonne circulation et également de la sécurité de l'information. L'utilisation généralisée des technologies de l'information améliore l'efficacité opérationnelle d'une entreprise, mais en même temps elle l'expose à des menaces supplémentaires liées à l'accès de personnes non autorisées.

Tout récemment, en fait à l'automne 2009, la première société de conseil au monde, Deloitte, s'est classée très haut et a décerné un prix élevé à China Information Security Technology, Inc., (CIST), l'un des principaux fournisseurs de solutions globales de sécurité numérique, d'informations géographiques, et les systèmes d'information hospitaliers. Les entreprises sont considérées comme des entreprises technologiques si elles développent une technologie propriétaire qui contribue à une part importante de leurs revenus d'exploitation, fabriquent des produits liés à la technologie ou consacrent un pourcentage élevé de leurs revenus à la R&D technologique.

Néanmoins, en récompensant les principaux fabricants mondiaux de premier fournisseur de solutions globales de sécurité numérique, comme cela a été démontré précédemment, trois défis majeurs demeurent - celui de la conformité à la norme ISO 27001:2005. La norme ISO 27001:2005 ne suffit pas, car ses exigences ne couvrent pas toutes les fonctionnalités majeures d'un système d'information. Son avantage, cependant, est l'inclusion des aspects les plus importants sur lesquels une organisation doit se concentrer, ainsi qu'une intégration plus facile avec d'autres systèmes basés sur les normes ISO. La mise en place du management de la sécurité de l'information doit ainsi être un point de départ pour la réorganisation des systèmes d'information en termes d'accélération de la croissance.

Bibliographie

ISO/IEC 17799:2005 Technologies de l'information – Techniques de sécurité – Code de pratique pour la gestion de la sécurité de l'information, ISO, Genève, 2005

ISO 27001:2005 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences, ISO, Genève, 2005

ISO TR 13335-3 Technologies de l'information - Lignes directrices pour la gestion de la sécurité informatique - Partie 3 : Techniques de gestion de la sécurité informatique, ISO, Genève 1998

Woźniak K., SIM jako instrument wspomagania zarządzania Strategicznego w firmie, Akademia Ekonomiczna w Krakowie, Cracovie 2005

Zarządzanie przedsiębiorstwem w turbulentnym otoczeniu, rouge. R. Krupskiego, PWE, Varsovie 2005

Sławomir Wawak est professeur adjoint de gestion à l'Université d'économie de Cracovie

[1] La Société compte trois segments : le segment de la sécurité de l'information, le segment SIG et le segment des ventes de produits. Le segment de la sécurité de l'information comprend les revenus des projets liés à la sécurité de l'information. Le segment SIG comprend les ventes de SIGP et de SIG à usage civil.


La Direction des sciences de la sécurité nationale (NSSD) mène des percées scientifiques et technologiques pour faire face à certains des défis de sécurité les plus difficiles du pays. Nous développons les applications nécessaires à la sécurité de notre nation aujourd'hui et ciblons notre vision sur la façon dont ces défis peuvent se manifester dans une décennie ou plus.

La NSSD se concentre sur la cybersécurité et la résilience cyberphysique, l'analyse de données, la science et la technologie géospatiales, la non-prolifération nucléaire et le calcul haute performance pour les missions de sécurité nationale sensibles. Nous améliorons également les contributions de l'ORNL aux défis de la sécurité nationale en travaillant en étroite collaboration avec les principaux chercheurs du laboratoire dans des domaines tels que les sciences et l'ingénierie nucléaires et chimiques, les matériaux appliqués, la fabrication de pointe, la biosécurité, les transports et l'informatique.

LABORATOIRE CYBERPHYSIQUE

Au sein du Cyber ​​Physical Laboratory (CPL) de l'ORNL, des équipes multidisciplinaires se réunissent pour innover en matière de technologies, de processus et de méthodes d'analyse de données afin d'assurer la résilience et la sécurité des infrastructures critiques. Ces chercheurs en cybersécurité, informaticiens, ingénieurs et mathématiciens travaillent ensemble pour faire progresser la sécurité des systèmes cyberphysiques en caractérisant les adversaires et les risques de sécurité et en développant des mesures d'atténuation pour les cybermenaces dynamiques. Le CPL et le travail de ces équipes créent une technologie révolutionnaire de jumeau numérique, des analyses médico-légales avancées et des capacités de cartographie automatisée des vulnérabilités pour améliorer la sécurité et la résilience du réseau électrique, des systèmes de transport, des systèmes de fabrication et du superordinateur le plus rapide du pays, Summit.

La Direction des sciences de la sécurité nationale abrite un leadership scientifique dans trois domaines critiques :

le Division de la cyber-résilience et du renseignement améliore la sécurité nationale en améliorant la résilience et la sécurité des cyberinfrastructures critiques, en innovant des écosystèmes avancés de détection et d'analyse pour caractériser les adversaires et les risques de sécurité, et en développant des mesures d'atténuation pour les cybermenaces dynamiques. Pour réaliser cette mission, l'équipe s'appuie sur des capacités multidisciplinaires telles que la cybersécurité, l'informatique/la science des données, l'ingénierie et les mathématiques. Nous concentrons nos recherches sur deux sections : les systèmes d'intelligence de l'adversaire et les systèmes complexes résilients.

le Division de la non-prolifération nucléaire soutient la non-prolifération
et les missions de sécurité de la Sûreté Nucléaire Nationale
Administration, y compris le développement et la mise en œuvre d'engagements technologiques pour renforcer les régimes de non-prolifération
et recherche et développement pour détecter et surveiller
le cycle du combustible nucléaire et les activités de développement d'armes, le mouvement ou le détournement de matières nucléaires spéciales et les explosions nucléaires. Nos principales sections de recherche comprennent la sécurité nucléaire et radiologique, la détection et la dissuasion de la prolifération, les garanties et la vérification des traités et les systèmes de gestion de mission.

le Division des sciences géospatiales et de la sécurité humaine effectue des recherches interdisciplinaires sur la façon dont nous observons, analysons et visualisons le paysage et la dynamique humaine. En utilisant des données et des calculs à une échelle sans précédent, nous mettons en lumière, souvent en temps quasi réel, des situations critiques résultant d'instabilités géopolitiques, de catastrophes naturelles, de pénuries de ressources et de crises sanitaires qui ont un impact sur la sûreté et la sécurité humaines.

De plus, la NSSD Programmes de sécurité nationale travailler en étroite collaboration avec des chercheurs du laboratoire dans les domaines des sciences et de l'ingénierie nucléaires et chimiques, des matériaux appliqués, de la fabrication de pointe, de la biosécurité, des transports et de l'informatique.


Gestion des ressources et des catastrophes et contrôle de la pollution (RMP)

L'extraction et l'utilisation des ressources minérales et organiques ont toujours été essentielles à la survie humaine, mais aujourd'hui, l'échelle et la vitesse accrues de l'extraction des ressources ont fait de l'intervention humaine une force majeure, comparable aux transformations géologiques majeures. L'activité humaine n'interfère pas seulement avec les cycles biogéochimiques de nombreux éléments et composés, elle crée également d'énormes quantités de pollution et de déchets qui transforment les habitats naturels et les conditions de vie de toutes les créatures vivantes, y compris les humains du monde entier, mettant en danger la sécurité alimentaire et hydrique. Afin d'obtenir une image claire de l'utilisation des ressources, du contrôle de la pollution et des effets, nous avons besoin de méthodes appropriées et adéquates de surveillance de l'état actuel de l'environnement, qui peuvent également conduire à des prévisions correctes des développements futurs. Dans cet environnement moderne et changeant, et face au changement climatique mondial, la probabilité d'événements extrêmes et de catastrophes augmente également, et divers outils et applications innovants pertinents pour la réduction des risques de catastrophe et l'amélioration de la résilience des communautés deviennent de plus en plus importants. Les chercheurs associés au RMP étudient ces questions à l'aide de méthodes telles que la modélisation environnementale, l'analyse spatiale et les technologies de l'information et de la communication (TIC). Les axes thématiques comprennent les bassins fluviaux et la sécurité de l'eau, la gestion des bassins versants, la résilience aux inondations, la réduction des risques de catastrophe et la sécurité alimentaire, les systèmes d'information géographique et le transport durable.

Les projets en cours comprennent l'évaluation de l'impact du changement climatique sur la sécurité alimentaire et hydrique au Kirghizistan à l'aide de GoogleEarth Engine et d'autres technologies spatiales (en coopération avec la FAO et l'Université américaine du Kirghizistan), et l'évaluation de l'impact des changements climatiques et de la couverture terrestre dans les bassins versants sur l'hydrologie des rivières Don et Kura.


La technologie chinoise de sécurité de l'information sélectionnée par la State Grid Corporation of China en tant que seul fournisseur national de SIG pour le réseau intelligent

SHENZHEN, Chine, 6 avril /PRNewswire-Asia-FirstCall/ -- China Information Security Technology, Inc. (Nasdaq : CPBY) (« China Information Security, » « CIST » ou « la société »), l'un des principaux fournisseurs de solutions globales de sécurité numérique, SIG et systèmes numériques d'information hospitalière en Chine, a annoncé aujourd'hui que la State Grid Corporation of China (« SGCC ») a sélectionné les systèmes d'information géographique exclusifs GeoStar et GeoGlobe de la société comme l'un de ses deux seuls fournisseurs pour la construction du réseau intelligent national en Chine. CIST est le seul fournisseur chinois domestique. The other supplier is ESRI, a US company.

The State Grid Corporation of China develops and operates the electric grid providing electricity nationwide and is one of the most vital state-owned enterprises in China . Responding to the challenges and the development of the electric utilities industry in China , the State Grid launched a project called "SG186" to further strengthen its information systems to support the build-out of the nationwide Smart Grid. The major functions for CIST's geographic information systems will be to integrate Smart Grid management functions on the GIS platform as a portal and visualize the structure of the grid.

"We are very pleased to be the only Chinese domestic provider of geographic information systems to be chosen by the State Grid Corporation of China ," commented Mr. Jiang Huai Lin , Chairman and Chief Executive Officer of China Information Security Technology. "This win not only demonstrates the Company's unmatched technological leading position in Chinese GIS sector, but it is also a testament to the quality of our proprietary GeoStar and GeoGlobe GIS applications, and will lead to a broader use of GIS in many provincial and municipal level grid companies throughout China . We believe that by leveraging our strong R&D capabilities and solid industry reputation together with the Chinese government's support for domestic GIS products, we will be able to capture important market opportunities related to GIS applications in China ."


Information Technology, A.A.S.

Computers are an integral part of everyday life at home, business and school. Our information society is in constant demand of individuals who can meet the needs of users within an organization through the selection, creation, application, integration and administration of computing technologies. The Information Technology Associate in Applied Science degree provides students with the skills needed to succeed in today's digital world.

During the first year of study, Information Technology Program students will acquire a broad business and real world perspective of information technology, strong analytical and critical thinking skills, knowledge of data design and data management principles and knowledge of basic programming and computer logic principles. These skills will provide students with the foundation needed to advance to their second year of study. In the second year of the program, students will choose one of the following eight areas to specialize*:

* Not all courses available at all campuses. Check with your adviser to ensure course availability.

Graduates of the Information Technology A.A.S. Program can gain employment in technical support, programming, networking, systems analysis and design, information security, geographic information systems, business analysis and other computer related fields. Those graduates seeking additional education may continue their computer education at four-year institutions in programs such as computer science, management information systems, computer information systems, business administration and telecommunications technology.


Information Technology, A.A.S.

Computers are an integral part of everyday life at home, business and school. Our information society is in constant demand of individuals who can meet the needs of users within an organization through the selection, creation, application, integration and administration of computing technologies. The Information Technology Associate in Applied Science degree provides students with the skills needed to succeed in today's digital world.

During the first year of study, Information Technology Program students will acquire a broad business and real world perspective of information technology, strong analytical and critical thinking skills, knowledge of data design and data management principles and knowledge of basic programming and computer logic principles. These skills will provide students with the foundation needed to advance to their second year of study. In the second year of the program, students will choose one of the following five areas to specialize*:

* Not all courses available at all campuses. Check with your adviser to ensure course availability.

Graduates of the Information Technology A.A.S. Program can gain employment in technical support, programming, networking, systems analysis and design, information security, geographic information systems, business analysis and other computer related fields. Those graduates seeking additional education may continue their computer education at four-year institutions in programs such as computer science, management information systems, computer information systems, business administration and telecommunications technology.


EnSoftek, Inc. receives an award from EPA, Region 5 IT Support Services Contract

EnSoftek, Inc. announced today a GSA 8(a) STARS II Task Order Award with the EPA Region Five (5). Specifically, EnSoftek will provide Information Technology Support Services covering seven task areas to meet the needs of EPA Region 5 IT environment covering Illinois, Indiana, Michigan, Minnesota, Ohio, Wisconsin and 35 tribes.

EnSoftek’s experience in providing IT Support Services and Records Management services to several agencies including EPA Regions Two (2) and Seven (7) led to its selection.

In support of this contract, EnSoftek and its sub-contract teaming partner Phacil, Inc. (a leading provider of technology solutions to the Federal Government) will be responsible for telecommunications, networks, helpdesk/desktop support, database/servers/SAN Administration, computer systems & network security, business applications and Great Lakes National Program support.

About Phacil

Phacil based in Arlington, VA, is a leading provider of mission-focused, results-driven technology solutions to the federal government. Phacil offers a diverse range of technology services, including Software Development, Systems Integration, Operations and Maintenance, Cyber Security, Geographic Information Systems, Technical Consulting, and Business Operations.


SAIMOS: Situational Awareness, Infrastructure Management & Operations Security

Geographic Information System (GIS) has been used in many industries including engineering, transport and infrastructure management. While the technology has been used in design, construction and operations, it has not been properly harnessed for situational awareness, infrastructure management, and especially security. SAIMOS ® , a company based out of Vienna, Austria is pioneering the usage of intelligent Video Analytics and GIS for exactly this.

The Founder/CEO, Mr. Karim Elhanafi talked to us recently and explained to us the importance of his company in today&rsquos world.

What was your mission at the outset? And what is it today?

In the beginning, we were focused on automating and optimizing daily processes. These were based on geo-spatial information and available geo-analytics. Although the concept is still the same &ndash process automation and optimization, now we also use cutting-edge technologies like machine learning based video analytics. Today, we focus on security workflows supported by geo-spatial information. Looking ahead, we want to make our video analytics enterprise solutions available to SME&rsquos and private customers.

What products/services do you offer?

Our goal is to leverage the possibilities of complex technologies, in the simplest way possible, to deliver effective security solutions for users. We help companies who are in need of protecting and/or need help managing their assets.

Our SAIMOS ® Portfolio covers Intelligent Video Analytics and Situational Awareness based on GIS. It was created in 2017 and is a next-generation security solution powered by machine learning.

We have a strong association with Milestone, which is the world&rsquos no.1 vendor for Video Management Systems. We are the first company having Video Analytics seamlessly integrated into Milestone Xprotect ® . Our products are internationally available through the Milestone marketplace.

We were even awarded the Milestone Solution Partner of the Year, EMEA at the MIPS 2019 which was held at Copenhagen. We got the award for the launch of our SAIMOS ® C3 CORE for Milestone XProtect ® in 2018.

Besides our traditional Video Analytic functionalities, our Facial Recognition solution is also used by authorities and in the private sector. Further, it&rsquos also integrated into Milestone XProtect ® .

Tell us about your business strategies.

In the past, we mainly provided on the enterprise-level only. But now, we aim to tap the SME customers and also the consumer markets to broaden our customer base. We are doing this by releasing the core versions of our video analytic products with little restrictions, at an affordable price. We have also associated ourselves with the world&rsquos best Video Management Systems provider, Milestone Systems, to help us on our journey.

What is your approach to stop cyber threats?

Education is of paramount importance. People must learn to not click on every link they are offered. While social media is great, users are increasingly becoming transparent here. Many attacks today are driven via social engineering. Hence, education and raising awareness on these are extremely important.

At SAIMOS, we brought external cybersecurity consultants onboard when our software and communication architecture was designed. We also perform regular penetration tests to ensure that we close any potential gaps in our solutions.

According to you, what is the next big thing in technology marketplace?

It is hard to predict as the technology market is constantly evolving. The next big thing will be perhaps the sum of all these developments that are currently happening. Apart from this, I feel quantum computing will be a big boost for technology once it becomes available to the industry.

I also believe that technology will eventually become a challenge for humanity. I have personally signed the Copenhagen Letter, a manifesto that calls for better practices in technology and design.

What is a growth opportunity according to you?

I believe that a growth opportunity should result in a win-win situation. I like to see growth opportunity as a chance to implement state-of-the-art technology and innovation to present new ideas in the market. It might take some time until the market recognizes the benefits, but at the end of the day, you are the first one providing the solution. A growth opportunity must not be seen only at a commercial capacity. Taking challenges are a good driver for growth supported by an excellent team as we do have it.

Meet the leader

Karim Elhanafi, Founder & CEO

Mr. Elhanafi has studied aeronautical engineering. His tryst with GIS began during an internship he did in 1990. He began his studies in GIS at the University of Salzburg, Austria and over the years has become a pioneer of GIS.

He worked with mobile GPS field data collection solutions as well as integrated Geo-Information Management Systems with a focus on infrastructure and the oil & gas industry. He has opened himself to video analytics and security related applications in 2015. He has executed projects in Europe, the Middle East, and North Africa.

&ldquoWe focus on GIS, AI-based Video Analytics as well as custom developments targetingSecurity, Safety and Critical infrastructure.&rdquo

&ldquoOur developments aim to provide the advantages of complex technologies to users byhandling the complexity in the background.&rdquo


Arthur Kwesiga

Mr. Kwesiga Arthur holds a Master of Information Technology and a Bachelors of Computer Science Degree both from Makerere University. He also holds certificates/diplomas in Management Information Systems, Networks Security, Geographic Information Systems and industry technologies like Cisco, Microsoft and Sun Solaris. Arthur is a Prince 2 Certified Practitioner in Project Management and has obtained high level skills and certification in Quality Management Systems.

He has a wealth of expertise in designing, strategic planning and management of Information technology systems (Information Resource Management), with particular focus on how ICTs can be effectively integrated into and be of benefit to organizations in order to optimize the delivery of government programs and services.

He has been active in developing end to end digital work processes of URSB by providing opportunities for efficient procedures and services that engage the public directly and effectively while providing opportunities for process improvements and innovation so as make government services simpler, faster and easier to use. This has led to the development of initiatives enabled by interoperable information, systems and processes that make it less costly and easier to share information, improve information quality, reduce unnecessary duplication and reduce the impact of structural changes in government.

Over the last 14 years including 8+ years at a senior level, Arthur has been involved in Public Sector reforms, IT Strategy, e-government, ICT Management Consulting, Project Management, Change Management, Enterprise Architecture, Process Innovation, Business Process management and Business Strategy. He has practical experience in planning, designing, implementing, testing and maintenance of the ICT Infrastructure with particular focus on high availability systems and Computer Network Security.

Arthur has previously worked as Deputy Director ICT Services at Makerere University and as Manager ICT in National Drug Authority. Arthur has also lectured in Makerere University Faculty of Computing and IT courses related to Computer Systems and Enterprise Network Management. He is currently a part-time Consultant for Ministry of Public Service Civil Service College on Process Innovation, Process Improvements and Public Service Reform.
He strategically and cost effectively utilizes technology in alignment with corporate goals with consistent improvement in delivery times and service while reducing cost. He has excelled in strategic planning, building high performance teams, project management and implementation of best practice methodologies and continuous improvement programs.