BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ

Slides:



Advertisements
Podobné prezentace
© 2000 VEMA počítače a projektování spol. s r. o..
Advertisements

Brána firewall a její využití
Proč chránit data v počítači
Přednáška č. 5 Proces návrhu databáze
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Základy informatiky bezpečnost
METODOLOGIE PROJEKTOVÁNÍ NÁVRH IS PRO TECH. PROCESY Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení.
Softwarové zabezpečení serveru
Daniel Kardoš Ing. Daniel Kardoš
Pravidelné zálohování dat
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Návrh počítačové sítě malé firmy
Bezpečnostní pravidla při používání počítače a internetu
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
SIG Bezpečná síť Bezpečná data Bezpečný business Josef Zábranský Hradec Králové,
Základy informatiky bezpečnost IT
Název a adresa školy Střední škola zemědělská a přírodovědná Rožnov pod Radhoštěm nábřeží Dukelských Hrdinů Rožnov pod Radhoštěm Název operačního.
Systémové pojetí hospodářské organizace 1 Bezpečnost informačních systémů - principy oblasti řešení bezpečnosti, obsah řešení bezpečnosti, digitální podpis,
INFORMATIKA 4_5 5. TÝDEN HODINA.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Zranitelnost informačního systému
Název: Zabezpečení PC a ochrana před škodlivými kódy
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
BIS Firewall Roman Danel VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Firewall.
Bezpečnostní pravidla při používání internetu
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
DATABÁZOVÉ SYSTÉMY. 2 DATABÁZOVÝ SYSTÉM SYSTÉM ŘÍZENÍ BÁZE DAT (SŘBD) PROGRAM KTERÝ ORGANIZUJE A UDRŽUJE NASHROMÁŽDĚNÉ INFORMACE DATABÁZOVÁ APLIKACE PROGRAM.
Realizační tým ICZ duben 2005
Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
2005 Adobe Systems Incorporated. All Rights Reserved. 1 Inteligentní PDF formuláře Vladimír Střálka Territory Account Manager Adobe Řešení pro.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
BEZPEČNOSTNÍ PRAVIDLA PŘI POUŽÍVÁNÍ PC A INTERNETU
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
OPERAČNÍ SYSTÉMY.
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Tabulkový procesor Zabezpečení a ochrana osobních údajů – ochrana konečné verze před změnami Autorem materiálu a všech jeho částí, není-li uvedeno jinak,
Škodlivý software ● Viry, trojské koně, červy ● Metodika detekce viru ● Spyware, spam ● Ochrana.
Bezpečnost a ochrana dat. SODATSW spol. s r.o. SODATSW od roku 1997 pomáhá svými unikátními řešeními zvyšovat ochranu informací je výrobcem softwarových.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Zálohování dat. Zálohování dat (podle CHIP) důvody zálohování – problémy HW, SFTW, viry, chyby uživatele, viry, hackeři, přírodní katastrofy, krádeže.
Název školy Střední škola, Základní škola a Mateřská škola, Karviná, p. o. Autor Mgr. Lubomír Stepek Anotace Prezence slouží k seznámení se zásadami bezpečné.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
IS jako nástroj moderního personálního managementu Vít Červinka
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Počítačová bezpečnostPočítačová bezpečnost -je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených.
Číslo projektuCZ.1.07/ / Název školySOU a ZŠ Planá, Kostelní 129, Planá Vzdělávací oblastVzdělávání v informačních a komunikačních technologiích.
Biometrika v informační bezpečnosti Daniel Raška.
Duben 2013 Odbor informatiky KrÚ JMK Výzva č. 08 Integrovaného operačního programu na Integrovaného operačního programu na Rozvoj služeb eGovernmentu v.
SOFTWARE Operační systémy.
Databázové systémy přednáška 9 – Bezpečnost
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Financováno z ESF a státního rozpočtu ČR.
Inf Bezpečný počítač.
9. Bezpečnostní pravidla při používání počítače a internetu
BEZPEČNOSTNÍ RIZIKA INTERNETU
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Číslo projektu školy CZ.1.07/1.5.00/
Bezpečnost informačních systémů
Bezpečnost práce s dokumenty
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ INFORMAČNÍ SYSTÉMY BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ Ing. Roman Danel, Ph.D. roman.danel@vsb.cz Institut ekonomiky a systémů řízení Hornicko – geologická fakulta

Obsah přednášky Rozdělení hrozeb Typy útočníků a jejich cíle Obranné mechanismy Autentizace a autorizace Bezpečnost databází Bezpečnostní požadavky na IS Bezpečnost na úrovni OS

Oblasti řešení bezpečnosti Informační bezpečnost Bezpečnost a ochrana zdraví při práci Objektová bezpečnost Bezpečnost IS/ICT

Zranitelnost – „vulnerability“ Fyzická – technické závady, zcizení, … Přírodní – IS nemá schopnost vyrovnat se s objektivními faktory – blesk, záplava, požár, … Technologická - IS/ICT svými konstrukčními charakteristikami neumožňuje zajistit např. požadovaný trvalý plynulý provoz Fyzikální – IS/ICT pracuje na takových fyzikálních principech, které umožňují jejich zneužití (např. odposlech) Lidská – působení lidí – úmyslné /neznalost, omyl

Fyzické a přírodní ohrožení Technické závady Přírodní katastrofy Výpadky dodávky elektrické energie

Programové ohrožení Počítačové viry - program, který se šíří bez vědomí uživatele http://www.antivirovecentrum.cz http://www.viry.cz Souborové, bootovací, stealth, polymorfní, makroviry, retroviry Trojské koně - skrytá část programu nebo aplikace provádějící funkce, se kterou uživatel nesouhlasí Červi (worms) - šíření založeno na bezpečnostních chybách Back-doors – vstup do systému bez hesla Zapomenuté funkce z doby vývoje Phishing - podvodný email snažící se vylákat důvěrné informace-hesla atd. Hoax – poplašná zpráva http://www.hoax.cz Spyware – sw sleduje uživatele nebo informace o jeho počítači a data odesílá Rootkit – program k zamaskování určitých aktivit na počítači

Zabezpečení sítí Příklady hrozeb: Virová nákaza Průnik do sítě Útoky typu DoS (Denial of Services) Odposlech provozu (bezdrátové sítě, vyzařování CRT monitorů…) Přístup k nezabezpečeným kanálům

Kybertútok Můžeme rozlišit tři úrovně: Vnitřní – síť je využívána pro předávání informací (např. informace ukryté v obrázcích) Lokální kyberútok – samostatný přímý útok na technologii nebo službu Souběžný útok – paralelní útoky na konkrétní oblasti či cíle

Cíle útočníků Krádež dat a informací Zničení dat Destabilizace systému Blokování místa nebo určitých zdrojů

Typy útočníků Hacker Začátečník -> uznání, seberealizace Profesionál -> překonání intelektuálních výzev, ideál o svobodném přístupu informací... Virový tvůrce – „zrazení idealisté“, „nedocenění odborníci“,… Vnitřní nepřítel („Insider thread“) – odplata vůči zaměstnavateli, pocit křivdy, … Informační válečník – vlastenecké motivy – destabilizace nepřátelských zdrojů Zloděj – snaha o zisk financí, př. Fishing Politický aktivista – fanatik, idealista…

Chyby, které využívají útočníci Programátorské chyby Návrhové chyby Konfigurační chyby Fyzické narušení Chyby obsluhy

Obranné mechanismy

Ochranné mechanismy Fyzické a přírodní ohrožení: Zálohování – úplná/inkrementální Zabezpečení – UPS, přepěťové ochrany - Kategorie systémů odolných vůči výpadkům: Fault-tolerant systém – systém odolný vůči výpadkům – výpadek části systému (elektřina, komponenta, síť) nezpůsobí významné přerušení funkce systému; řešení pomocí zdvojení kritických komponent Disaster-tolerant systém - systém odolný vůči katastrofám; jako FT řešeno zdvojením ale i fyzickým oddělením záložního systému

Fault-tolerant db Replikace Mirroring Doporučený text: Oracle Data Guard (od Oracle 7) MS SQL Server (od verze 2005) Caché mirroring Doporučený text: http://www.oracle.com/technetwork/database/features/availability/dataguarddatabasemirroring-094251.html

Mirroring Principal Mirror Whitness

Ochranné mechanismy Softwarové ohrožení: Firewall, antivirové programy, … Sítě – VPN (Virtual Private Network) – Autentizace a řízení přístupových práv Bezpečnostní politika, plán obnovy činnosti, havarijní plán

Firewall Firewall, tzv.„bezpečnostní brána“, je zařízení či software oddělující provoz mezi dvěma sítěmi (např. interní podniková a veřejný internet), přičemž propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel. Brání tak zejména před neoprávněnými průniky do sítě a odesílání dat ze sítě bez vědomí a souhlasu uživatele.

Firewall Aplikační filtr Paketový filtr – síťová vrstva, částečně propustný router NAT (Network Address Translation) Bridging Firewall

Autentizace a Autorizace Autentizace = ověření uživatele Autorizace = ověření práv

Autentizace Přístup přes uživatelská jména a hesla nebo PIN Expirační doba hesel Omezený počet pokusů přihlášení (heslo, PIN) „Strong“ password – minimální počet znaků, povinné kombinace čísel a písmen, zákaz používání smysuplných slov Zákaz „prázdného“ hesla Ověření uživatele Vlastnictví určitého předmětu – karta, čárový kód, token Ověření fyziologických charakteristik – biometrie Využití časových intervalů (automatické odhlášení při delší nečinnosti)

Autentizace Biometrie: Otisky prstů Snímek oční sítnice a duhovky Rozpoznání obličeje, dlaně Rozpoznání hlasu Dynamika podpisu, psaní na klávesnici

Autentizace - biometrie Problémy biometrických metod Obtížnost měření biometrických informací Ověření, že je uživatel živý (liveness-test) Závislost měření na prostředí a fyzické kondici uživatele Chyby biometrických systémů Oprávněnému uživateli je odmítnut přístup do systému (False Rejection Error) Neoprávněný uživatel je biometrickým zařízením označen jako oprávněný (False Acceptance Error)

Autentizace na webu User-centric - ověřuje se uživatel OpenID, LiveID, OpenAuth, Facebook Connect Institution-centric - ověřuje se oprávnění k roli v rámci instituce Shibboleth

Kerberos Síťový autentizační protokol Symetrická kryptografie Pro model klient-server a poskytuje vzájemnou autentizaci

Problémy autentizace Příliš mnoho hesel do různých systémů Nejednoznačnost identity (v jiném systému pod stejným uživatelským jménem vystupuje někdo jiný)

Bezpečnost databázových systémů

Bezpečnost databází zabezpečení dat v databázi proti zneužití zabezpečování přihlašovacích informací zabezpečení komunikace mezi aplikací a databází zabezpečení dotazů proti SQL-injection SQL injection je technika, která útočníkovi umožní přidat do příkazu SQL pro databázi kód, který tam původně nebyl.

Bezpečnost databází Bezpečnost informační (utajení) Zachování integrity (technická stránka)

Architektury bezpečných databázových systémů Trusted Subject Architecture - Databázový a operační systém jsou jedna entita Woods Hole Architecture - Uživatele pracují s množinou nedůvěryhodných rozhraní, které komunikují s důvěryhodným rozhraním (front end). Samotný databázový systém je opět nedůvěryhodný.

Woods Hole Architecture

Návrh bezpečného db systému © Daniel Cvrček, FEI VUT Brno

SQL injection SQL injection – útok přes nezabezpečené webové rozhraní Př. SQL injection $dotaz = "select * from clanky where id = '$_GET["id"]'";  

SQL injection Test zabezpečení: $dotaz = "select * from clanky where  id = '$_GET["id"]'";   Clanek.php?id=1  Test zabezpečení: clanek.php?id=1 and 1=1 /* 

SQL injection Jestliže test projde, projde i toto: clanek.php?id=1 and truncate table clanky/*  

Bezpečnost dat Zálohování – důraz na rychlou obnovu v případě havárie Archivace – důraz na dlouhodobé uchování dat

Zálohovací média CD, DVD Disky Pásky USB – nevhodné, statická elektřina NAS FTP server On-line

Zálohovací strategie Rozpor mezi požadavky na obnovu a použité zálohovací médium Automatizace zálohování (eliminace lidského činitele) Kontrola záloh (nejsou vadné sektory na disku?) Kontrola mechanismu obnovy

BEZPEČNOSTNÍ POŽADAVKY BEZPEČNOSTNÍ POLITIKA

Bezpečnostní požadavky na IS „Národní strategie informační bezpečnosti ČR - Příloha č.2“ (www.micr.cz ). Obecně je lze formulovat jako: zachování důvěrnosti („confidentiality“), kdy přístup k aktivům mají pouze autorizované subjekty, tj. osoba, proces nebo zařízení disponující oprávněními k provádění činností v IS/ICT. zachování dostupnosti („availability“), kdy autorizované subjekty mohou na své vyžádání vykonat činnosti a není jim odepřen k činnosti přístup. zachování integrity, kdy ke změně aktiva nemůže dojít neautorizovaným subjektem, nepovolenou činností či nekompletním provedením změn.

Bezpečnost IS/IT Vlastnosti systému ovlivňujících jeho bezpečnost: zajištění prokazatelnosti („authentication“), kdy lze vysledovat jakoukoliv akci, která v systému proběhla s tím, že lze zjistit původce takové akce, zajištění nepopíratelnosti („non-repudiation“), kdy subjekt nemůže odmítnout svoji účast na provádění nějaké akce, zachování spolehlivosti („reliability“), kdy reálné chování systému je konsistentní s chováním systému, tak jak je dokumentováno.

Bezpečnostní politika obsahuje: Popis informačního systému Cíle bezpečnostní politiky Definice citlivosti informací Definice možných hrozeb Zásady personální politiky Stanovení politiky zálohování Plán obnovy pro havárii Metodiku řešení krizových stavů

Bezpečnostní politika Bezpečnostní politika je soubor zásad a pravidel (dokument), s jejichž pomocí organizace chrání svá aktiva. Bezpečnostní politika je kontinuálně aktualizována v souladu se změnami prostředí a může zahrnovat: politiku přípustného užívání aktiv, specifikaci vzdělávacího procesu svých zaměstnanců v oblasti ochrany aktiv, objasnění způsobu uskutečňování a vynucování bezpečnostních opatření, proceduru vyhodnocení účinnosti politiky vedoucí k provedení její změny.

Bezpečnostní politika BP má za úkol zajistit bezpečnost IS s přihlédnutím k nákladové efektivitě a musí odpovídat na tyto otázky: Kdo nese zodpovědnost? Kdy to bude efektivní? Jak to bude vynuceno? Kdy a jak to bude uvedeno do praxe?

Nejsou věci „bezpečné“ a „nebezpečné“, jsou jen různé míry rizika Nejsou věci „bezpečné“ a „nebezpečné“, jsou jen různé míry rizika. Různí lidé akceptují v různých situacích různou míru rizika.

Řešení bezpečnosti – nekončící proces Řešení bezpečnosti – nekončící proces. Některá řešení přinášejí nové problémy: - šifrování – problémy se správou klíčů - nasazení firewallů – zpomalení systému

Standardní kroky řešení bezpečnosti studie informační bezpečnosti – aktuální stav, riziková analýza, tvorba bezpečnostní politiky - vytýčení cílů, bezpečnostní standardy – pro naplnění cílů bezpečnostní politiky, bezpečnostní projekt – technická opatření, implementace bezpečnosti – nasazení výše uvedeného, monitoring a audit – prověřování, zda vytvořené bezpečnostní mechanismy odpovídají dané situaci.

Analýza rizik Co se stane, když informace nebudou chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane?

Hlavní zákony týkající se bezpečnosti IS/ICT Zákon č. 106/1999 Sb., o svobodném přístupu k informacím Zákon č. 101/2000 Sb., o ochraně osobních údajů Zákon č. 227/2000 Sb., o elektronickém podpisu (poslední úpravy zákon č. 110/2007 Sb.) a 304/2001 Sb. Prováděcí vyhláška Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (poslední úprava . 81/2006 Sb.), Zákon č. 22/1997 Sb., o technických požadavcích na výrobky Zákon české národní rady č. 20/1993 Sb., o zabezpečení výkonu státní správy v oblasti technické normalizace, metrologie a státního zkušebnictví. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

Instituce se vztahem k bezpečnosti IS/IT Úřad pro ochranu osobních údaj - ÚOOÚ Národní bezpečnostní úřad - NBÚ Ministerstvo vnitra – MV ČR Český normalizační institut - ČNI Úřad pro technickou normalizaci, metrologii a státní zkušebnictví - ÚNMZ

Bezpečnost elektronického bankovnictví

Bezpečnost elektronického bankovnictví zabezpečení přenášených dat šifrování Bezpečná identifikace klienta Přístup přes uživatelské jméno a heslo Certifikát elektronického podpisu Autentizace čipovou kartou - PIN Autentizační kód – potvrzovací kód přes SMS

Zásady bezpečnosti elektronického bankovnictví Aktualizace operačního systému Aktualizace internetového prohlížeče Firewall Antivirové a antispamové programy Autentizace

Bezpečnost operačních systémů

Bezpečnost a OS Linux Aktualizace balíčků, zejména bezpečnostních záplat Kontrola výskytu podezřelých (modifikovaných) daemonů Používání služeb, jejíchž provoz je šifrován (ftp, telnet, pop3 aj. přijímají hesla uživatelů v nezašifrované podobě Přístup na služby Linuxového serveru povolit jen určitým klientům – TCP-wrappers, IP-tables Kontrola log souborů (balíček „logcheck“) Kompilace jádra – Security options

Bezpečnost a OS Linux Linux a viry - http://www.linux.cz/viry.html Nástroje pro sledování sítě: Netstat, Ntop, Nmap, Tcpdump, Ethereal, Kismet, Airsnort

Bezpečnost a OS Windows Operační systém Microsoft Windows nabízí od verze Windows 2000 možnost vytvořit uživatele s různou úrovní oprávnění (od Windows Vista je k dispozici UAC) Uživatel s „omezeným přístupem“ – nemá možnost instalovat aplikace a přístup do systémových složek Windows Update – záplaty Secunia Personal Software Inspector

Bezpečnost a OS Windows USB disky -> pozor na AUTORUN – doporučuje se vypnout (úprava v registrech) Před likvidací malware/virů je vhodné dočasně vypnout funkci „obnova systému“ (jinak se zlikvidovaný sw bude vracet) Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER). Zvolte VLASTNOSTI (PROPERTIES) a nalistujte záložku OBNOVENÍ SYSTÉMU (SYSTEM RESTORE). Zatrhněte volbu VYPNOUT NÁSTROJ OBNOVENÍ SYSTÉMU NA VŠECH JEDNOTKÁCH.

Bezpečnost a OS Windows POZOR!! Je-li fyzický přístup k počítači a je povolen boot z CD, lze pomocí utilit na bázi Linuxu provést reset hesla účtu Administrator (SAM soubor C:\Windows\System32\config\SAM).

Bezpečnost a Mac OSX Pro Mac OSX existují jen 3 viry Snow Leopard je umí odchytit, antivir není potřeba Time Machine – zálohovací software Firewall u systému Leopard standardně vypnutý (Snow Leopard už má zapnutý) Konfigurace bezpečnosti a záplatování zcela automatické Záplaty nepřicházejí pravidelně jako u Windows

Internetové zdroje http://www.viry.cz http://www.antivirovecentrum.cz http://www.ictsecurity.cz http://www.security-portal.cz http://zdrojak.root.cz