Informační systém a jeho bezpečnost © Ing. Zdeněk Žaba, 2003 Ochrana dat.

Prezentace na téma: "Informační systém a jeho bezpečnost © Ing. Zdeněk Žaba, 2003 Ochrana dat."— Transkript prezentace:

1 Informační systém a jeho bezpečnost © Ing. Zdeněk Žaba, 2003 Ochrana dat

2 2 Základní pojmy Informace – je majetkem (má tržní hodnotu)  Lze jí kupovat, prodávat, krást, ničit, …  Hmotná informace – v papírové podobě  Nehmotná informace – v elektronické podobě (dnes častější)  Informaci je nutno chránit! (úměrně její citlivosti) Informační bezpečnost  Obor zabývající se zabezpečením informací v počítačových systémech  Bezpečnost je dána celou řadou vzájemně spolupracujících subjektů (výběr oprávněných osob, řízení přístupu, zálohování, virová problematika, fyzické zajištění, administrativní postupy, …)  V žádném případě to nelze zjednodušit na systém hesel  to je ta nejzávažnější chyba, které se lze dopustit (naprosté nepochopení)

3 3 Základní pojmy Informační systém (IS)  Soubor technického (HW) a programového (SW) vybavení, záznamových a zálohovacích médií, dat a personálu, kterých majitel informačního systému používá ke správě svých informací. Bezpečný informační systém  Informační systém, který působením fyzických, logických a organizačních opatření chrání informace během jejich vstupu, zpracování, uložení, přenosu a výstupu proti ztrátě dostupnosti, integrity a důvěrnosti a při jejich likvidaci proti ztrátě důvěrnosti. Cíle ochrany informačního systému (proti čemu se bránit)  Nepovolaná (neautorizovaná) modifikace informací  Destrukce systému nebo jeho části  Zneužití citlivých informací  Možnost podstrčení falešných informací  Neoprávněný přístup k hmotným (VT) i nehmotným (data) hodnotám  Krádež hmotných i nehmotných hodnot  …

4 4 Základní pojmy Hrozba  Skutečnost, událost nebo osoba, která může svým působením nějak ohrozit bezpečnost IS. Hrozby působí především na slabá místa IS  Slabé místo, též zranitelné místo  Nedostatek nebo slabina IS nebo jeho části, která může být zneužita hrozbou a v důsledku toho může dojít k narušení funkce bezpečného IS Slabá místa IS je třeba analyzovat a provést protiopatření  Jakákoliv činnost nebo technický mechanismus, který chrání IS a jeho části před působením konkrétní hrozby na slabé místo IS. Může chránit systém úplně nebo alespoň zmírňovat vzniklé škody.  organizační (evakuační plán), fyzická (přístupové systémy), logická (hesla), technická (šifrování).

5 5 Základní pojmy Průnik (Intrusion)  Neautorizované použití či zneužití IS  Stav, kterému se snažíme zabránit  Pokud k němu dojde tak monitorovat.  Provést analýzu průniku.  Do budoucna se mu pokusit zamezit. IS je třeba budovat na principech definice a ocenění rizik  Vyhodnocení všech myslitelných hrozeb a nastavení takových bezpečnostních opatření, aby se snížila pravděpodobnost škody na přijatelnou úroveň  Vytvoření bezpečnostní politiky  Není to konečný stav – je třeba dynamicky reagovat na nové hrozby

6 6 1) Hrozby působící na IS – fyzické hrozby a) Přírodní katastrofy (záplavy, zemětřesení, vichřice, …)  Protiopatření  vhodné pojištění  pokud to lze vhodné umístění (ne suterén nebo poslední patro) b) Požáry (oheň a kouř, následně voda)  Protiopatření  rozmístěné hasící přístroje  hlásiče kouře, … c) Voda (prasklé vodovodní potrubí, …)  Protiopatření  vhodný návrh objektu (vyhnout se umístění rozvodů do tech. místností)  preventivní opatření (tlak. zkoušky a revize) d) Výpadky a kolísání elektrického napětí v síti  Protiopatření  záložní generátory  UPS  přepěťové ochrany (celá 3 úrovňová ochrana!)

7 7 2) Hrozby působící na IS – lidské hrozby a) Zaměstnanci pracující s IS  Nejrizikovější (až 80% narušení bezpečnosti)  Neodborné zacházení, lidské selhání, omyl, ale i msta, zloba, pomsta  např. zaměstnanec ve výpovědi  Ideálním záškodníkem je nespokojený správce!!!  Často to má na svědomí nudící se a experimentující personál  Protiopatření  vhodně nastavená práva + příslušná organizační opatření b) Externí a dočasní zaměstnanci  Nejsou podrobeni tak přísnému výběru, ale dopad je stejný c) Hackeři  Nejčastěji studenti, ale můžou to být i profesionálové provádějící špionáž  Často se organizují v klubech, mají na svědomí nemalé škody  Protiopatření  důsledné opravování známých bezpečnostních děr + řízení přístupu k systému d) Zloději  Krádež VT případně záložních kopií dat (zálohovací pásky)  Protiopatření  fyzická ochrana (např. trezor) popř. i šifrování dat

8 8 3) Hrozby působící na IS – technické hrozby a) Komunikační cesty  Často nejzranitelnější místo (odposlech)  Protiopatření  LAN – stíněné vodiče uložené pod omítkou, optické rozvody  WAN – šifrování komunikace b) Paměťové nosiče  Tiskové výstupy, zálohovací média, vadné disky, …  Protiopatření – většinou organizačního charakteru Tiskové sestavy uklidit do trezoru nebo skartovat Zálohovací média do trezoru!!! Vadné disky FYZICKY smazat Hlavně VŽDY PŘEMÝŠLET co děláme c) Elektromagnetické vyzařování  Především u informací kvalifikovaných jako tajné a přísně tajné  Protiopatření stíněné místnosti speciální stíněné prostředky VT (tempestované počítače a sestavy) d) Porucha HW  Protiopatření redundance

9 9 4) Hrozby působící na IS – programové hrozby a) Zadní vrátka (trap door)  Záměrné či zapomenuté úseky programového kódu, které narušují bezpečnost systému  vstup bez přihlášení, automatické převody financí, … b) Salámový útok (salami attack)  Realizace malých podvodů u velkého množství velkých transakcí  převod zaokrouhlovací chyby u bankovních operací na účet programátora  obvykle na to nelze v počátcích přijít c) Skrytý kanál (covert channel)  Komunikační kanál, který zprostředkovává únik zpracovávaných informací d) Nenasytné programy (greedy programs)  Chyby v programu, které vyžadují neúměrně moc strojového času  nekonečné smyčky – mohou zahltit celý systém (a zhroutit jej) e) Počítačové infektory - vir, červ, trojský kůň (virus, worm, trojan horse)  Programy parazitující na IS  mohou ničit data, realizovat úniky dat, zprostředkovávat zadní vrátka, …  Protiopatření aktuální antivirový systém

10 10 5) Hrozby působící na IS – komunikační hrozby a) Podvržení falešné adresy (address spoofing)  Vydávání se za oprávněného uživatele  podvržení jiné adresy (IP popř. i MAC) za účelem zmatení bezpečnostních prvků  ARP spoofing, IP spoofing, DNS spoofing b) Odepření služby (deny of service)  Záměrné zaslání takových informací (či takového množství informací) IS, že ten přestane reagovat a nebude schopen normální funkce  Zneužití známé chyby v SW (DoS útok)  Zahlcení a přetížení IS (DDoS útok)

11 11 Požadavky na důvěryhodné IS Definovány za pomocí bezpečnostní politiky  Soubor pravidel a mechanismů používaných k zajištění bezpečnosti IS  Tyto požadavky jsou složeny ze 4 základních oblastí  důvěrnost, integrita, dostupnost, odpovědnost 1) Důvěrnost (confidentiality)  Utajení informací před neoprávněným přístupem  Funkce zajišťující předcházení proti hrozbám neautorizovaného přístupu a funkce řídící přístup uživatele k objektům IS.  a) Řízení přístupu (access control)  Mechanismy a kontroly zajišťující zamezení neautorizovaného přístupu a autorizaci přístupu dovoleného.  výběrové řízení přístupu (discretionality access control) vlastník nebo oprávněný subjekt může určit kdo má přístup k objektu uživatele lze pro jednodušší správu organizovat do skupin nejjemnější dělení a nejrozšířenější

12 12 Požadavky na důvěryhodné IS  povinné řízení přístupu (mandatory access control) každému objektu se při jeho vzniku povinně přiřadí bezpečnostní atribut oprávnění neurčuje uživatel, ale systém (automaticky) uživatel nemůže manipulovat s právy zpřístupňovat objekt jiným subjektům pro systémy s požadavkem vysoké bezpečnosti  funkční řízení přístupu (functional access control) založeno na definování rolí subjektů (uživatel, správce bezpečnosti) a funkcí objektů (včeobecné použití, bezpečnost) a jejich vzájemném přiřazení lze realizovat i pomocí výběrového řízení přístupu  b) Opětovné využití objektu (object reuse)  z žádného zdroje (disk, operační paměť) nesmí být možno rekonstruovat předchozí data  v praxi nutno VŠE nepotřebné důsledně fyzicky mazat  c) Eliminace skrytých kanálů (covert channel elimination)  odsouhlasením komunikačních cest zajistit pouze požadovaný tok dat

13 13 Požadavky na důvěryhodné IS 2) Integrita (integrity)  Zajištění konzistence (celistvosti) informací v systému a jejich shoda s realitou. Je to vlastnost objektu umožňující jej změnit pouze autorizovaným způsobem.  a) Kontrolní body provozu (rollback point)  je to v daném čase provedená taková „záloha“ systému, aby z ní bylo možno v budoucnu systém do tohoto stavu obnovit do původního stavu (např. odstranit chyby či neautorizované změny hodnot).  kontrolní body se vytvářejí buď v časových periodách nebo po dosažení určitého počtu operací  kontrolní body lze realizovat i transakčním zpracováním dat  b) Oddělení pravomocí (separation of duties)  rozdělení odpovědnosti za bezpečnostní aktivity mezi více bezpečnostních pracovníků (a oddělení uživatelů a správců)  jeden pracovník nesmí sám svými pravomocemi narušit bezpečnost  c) Samotestování (selftesting)  Systém musí být schopen sám (popř. za účasti správce) odhalit neautorizovaný či chybný zásah do dat systému

14 14 Požadavky na důvěryhodné IS 3) Dostupnost (availability)  Zabránění neautorizovanému zadržování zdrojů (dat, ale i tiskáren, …)  Zajišťuje se především technickými metodami (finančně náročné)  a) Přidělování zdrojů (resource allocation)  předcházení zahlcení systému přidělováním jednotlivých zdrojů (operační paměť, strojový čas, služby systému) dle priority (rozhodující činnosti musí mít nejvyšší prioritu).  b) Robustnost (robustness)  schopnost systému zajistit dostupnost služeb (alespoň v omezené míře) i ve stavu, kdy některé části systému jsou v poruše.  c) Odolnost proti poruchám (fault tolerance)  schopnost systému plnit svou funkci i při výskytu omezeného počtu HW a SW chyb a možnost opravy systému za běhu bez narušení jeho činnosti.  např. zálohovací systémy (TMR, NMR, (bi)duplexní systémy, hybridní systémy), disková pole (RAID), počítačové clustery, redundantní síťové topologie.

15 15 Požadavky na důvěryhodné IS  4 úrovně odolnosti proti poruchám (od nejnižší po nejvyšší) Data Fault Tolerance  uložená data 100% neztratíme (havárie disku, …) Sub-Systém Fault Tolerance  zajištěn na 100% přístup k datům (havárie disku a řadiče, …) Systém Fault Tolerance  zajištěna 100% funkce výpočetního systému (havárie serveru) Enterprise Fault Tolerance  100% dostupnost všech služeb systému (havárie části sítě)  d) Zotavení (recovery)  Proces, pravidla a postupy, které vedou k plnému obnovení funkce systému po jeho výpadku (po chybě či jiném narušení)  Vyvozují se protiopatření a závěry, které mají zabránit opakování výpadku systému v budoucnu  e) Návody (instructions)  Návody a postupy správné obsluhy systému, školení a vzdělávání uživatelů  Nekvalifikovaná obsluha dokáže napáchat více škody než hacker

16 16 Požadavky na důvěryhodné IS 4) Odpovědnost, účtování (Accountability, Auditability)  Zajišťuje, aby jednotlivé akce uživatelů mohly být zpětně vysledovány (jednoznačně musí být označeno kdo, danou operaci provedl)  a) Identifikace (identification)  dle identifikace rozpozná systém kdo s ním (resp. s daným objektem) pracuje – neprovádí ale ověření totožnosti (uživatelské jméno)  b) Autentizace, autentifikace, autentikace (authentication)  proces ověřování zda uživatel je opravu ten, za koho se vydává. Princip je v porovnání přístupového identifikátoru uživatele s hodnotou uloženou v systému. Provádí se několika možnými způsoby znalostí hesla  nejčastěji používaná metoda – nevýhodou jsou „slabá“ hesla vlastnictvím předmětu  např. přístupová magnetická či čipová karta biologickou identifikací  přesná, ale nákladná – např. otisk prstu, obraz očního pozadí, hlas, … provedením určité akce  předepsaná posloupnost kroků v konkrétním místě a čase kombinací předchozích  pro zvýšení bezpečnosti kombinace 2 předchozích metod  eliminace „odcizení přístup. karty“, „nahrávek hlasu“, „uříznutého prstu“, …

17 17 Požadavky na důvěryhodné IS  c) Revize (audit)  nezávislá kontrola aktivit systému a bezpečnostních opatření, zda splňují požadovanou úroveň  systém musí zajistit tvorbu, údržbu a ochranu revizních záznamů  d) Bezpečnostní audit (security audit, security log)  mechanismus sledování a zaznamenávání všech událostí v systému  cílem není zabránit útoku, ale poskytnout informace o tom kdy a jak k útoku došlo (kdy kdo a co konkrétně v systému dělal)  jeho součástí může být i penetrační testování (pasivní či aktivní)  e) Správa bezpečnosti (security management)  nástroje pro správu bezpečnosti systému instalace, konfigurace a údržba částí systému definování a aktualizace bezpečnostních charakteristik (práv) revize akcí systému a uživatelů (analýza bezpečnostního auditu)  f) Záruky (assurance)  Systém by splňovat požadavky na něj kladené – realizace a ověření Vývojové záruky (development assurance)  definice požadavků až zavedení systému do provozu Hodnotitelské záruky (evaluation assurance)  nezávislé testování zda systém vyhovuje zadání Provozní záruky (operating assurance)  aktualizace systému, analýza bezpečnostního auditu, zálohování …