2. Ochrana statických dat ● Stupně ochrany dat ● Bezpečnostní logy ● Ochrana před fyzickým přístupem ● Ochrana před logickým přístupem ● Ochrana před zničením

Stupně ochrany dat ● uživatelská data – nepředstavují ohrožení ● logy – znemožní nalézt narušitele ● spustitelné programy – exploity, modifikace kódu, cgi ● autentizační informace – přímé ohrožení systému

Logy, analýza záznamů ● základem je syslog ● autentizace, autorizace, firewall, antiviry, servery... ● co se kdy v systému dělo, kdo to dělal a s jakým výsledkem ● neoprávněné pokusy o přístup ke zdrojům nebo do cizího datového prostoru, relace se servery, remote access... ● co s tím? sbírat jen podstatné, analyzovat programovými nástroji – expertní systémy, AI

Fyzický přístup k nosičům ● zcizení x poškození, ochrana před živelnými pohromami ● omezení přístupu ● napájecí zálohy

Omezení přístupu ● Systém řízení oprávnění – čipové karty, magnetické karty, biometrika, vrátný, píchačky ● Sledování pohybu osob – kamery ● Sekundární zabezpečení – servery v speciálně vybavené místnosti ● Terciární zabezpečení – disky v bezpečnostních polích ● Kvartérní zabezpečení – autodestrukce datových nosičů při pokusu o vniknutí

Nejohroženější data ● tj. data pro uložení v autodestrukčních schránkách ● Privátní šifrovací klíče – podepisovací klíč CA, autentizační klíč internetového bankovnictví ● Není přístup ke konkrétním datům, ale jen k otiskům (předpokládá se robustnost hashovacího algoritmu)

Živelné pohromy ● Požár – pasivní ochrana (nehořlavé materiály), aktivní ochrana (senzory napojené na hasicí systémy). Pozor na vodu! ● Počasí – výkyvy teploty a vlhkosti – klimatizace ● Zemětřesení – prach a pády ● Voda – místnost bez vodovodního potrubí a kanalizace (někdy obtížné kvůli kondenzátu z klimatizace)

Logický přístup ● Autentizace znalostí (heslo), vlastnictvím (karta), vlastností (biometrika) a jejich kombinace ● Autentizační program je jen program – pozor na exploity! ● Autorizace a správné zajištění ze strany OS (zda systém rozlišuje uživatele a jejich úroveň oprávnění)

Uložená data ● Šifrování externím programem – spoléhá na disciplínu uživatele, jestli šifrátor spustí ● Šifrování vložené do procesu zpracování dat (plugin) – lze vynutit např. přítomností karty nebo usb klíče ● Šifrované souborové systémy – mimo specifické oblasti nasazení nepříliš rozšířené z důvodu neznalosti

Napájecí zálohy ● Krátkodobé – akumulátory, mívají i funkci vyrovnávání kolísajícího síťového napájení, zabezpečení v řádu max. hodin ● Dlouhodobé – generátory, fungují, dokud jim nedojde palivo, ale vyžadují údržbu

Ochrana před zničením ● Zálohování – co zálohovat (to, co má hodnotu) a kdy zálohovat (pravidelně a před velkými změnami) ● Zálohovače bývají integrované (SLURP), externí (backup utilities) nebo implicitní (mirroring disků v RAID polích ● Duplikace – vše se ukládá dvakrát, nákladné, ale spolehlivé ● Pokud se duplicitní data neshodují, pomohou rozhodnout kontrolní součty