Zranitelnost informačního systému

Slides:



Advertisements
Podobné prezentace
Brána firewall a její využití
Advertisements

Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.
Proč chránit data v počítači
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Základy informatiky bezpečnost
TEORETICKÉ OTÁZKY BEZPEČNOSTI
Softwarové zabezpečení serveru
Informační a komunikační technologie
Počítačové viry a jiné hrozby
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Informační technologie pro IZS a krizové řízení
Počítačová bezpečnost
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Zabezpečení emergentních přístupů do systému IZIP
Bezpečnostní pravidla při používání počítače a internetu
Koncepce environmentální bezpečnosti
Aplikace VT v hospodářské praxi Biometrie, identifikace a RFID
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
SIG Bezpečná síť Bezpečná data Bezpečný business Josef Zábranský Hradec Králové,
Robert Mohos,3IT. Disaster Recovery Výskyt mimořádných událostí (katastrof, havárií) - Přírodní katastrofy (povodně, požáry, vichřice,...) - Zásah člověka.
Základy informatiky bezpečnost IT
Název a adresa školy Střední škola zemědělská a přírodovědná Rožnov pod Radhoštěm nábřeží Dukelských Hrdinů Rožnov pod Radhoštěm Název operačního.
HOAX,PHISHING,SPYWARE.
INFORMATIKA 4_5 5. TÝDEN HODINA.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
JAK UČIT OCHRANU POČÍTAČE Vypracoval: Martin Rais P03466 Předmět:KVD/DIDI2 Studijní program: MT - VT - ZŠ Akademický rok: 2006/2007 Datum:
Název: Zabezpečení PC a ochrana před škodlivými kódy
Podnikání na Internetu letní semestr 2004 Jana Holá VIII.
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
BIS Firewall Roman Danel VŠB – TU Ostrava.
Malware - opakování.
Firewall.
Bezpečnostní pravidla při používání internetu
BEZPEČNOSTNÍ PRAVIDLA PŘI POUŽÍVÁNÍ POČÍTAČE A INTERNETU.
Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Ochrana síťového prostoru malé firmy Plošné útoky, rizika & řešení Jaroslav Šeps, ŠETRnet s.r.o.
počítačová BEZPEČNOST
Co je to hoax? HOAX je poplašná zpráva, která obsahuje nepravdivé anebo zkreslené informace.
Bezpečnostní politika
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Škodlivý software ● Viry, trojské koně, červy ● Metodika detekce viru ● Spyware, spam ● Ochrana.
Biometrie prezentace v předmětu X33BMI Filip Kroupa 2006.
NÁZEV ŠKOLY: S0Š Net Office Orlová, spol. s r.o AUTOR: Bc. Petr Poledník NÁZEV PROJEKTU: Podpora výuky v technických oborech NÁZEV ŠABLONY: III/2 – Inovace.
VIRUS - je program - dokáže se sám šířit bez vědomí uživatele tím, že vytváří kopie sebe sama - některé viry mohou být cíleně ničivé (např. mazat soubory.
Bezpečnost a ochrana dat. SODATSW spol. s r.o. SODATSW od roku 1997 pomáhá svými unikátními řešeními zvyšovat ochranu informací je výrobcem softwarových.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Zálohování dat. Zálohování dat (podle CHIP) důvody zálohování – problémy HW, SFTW, viry, chyby uživatele, viry, hackeři, přírodní katastrofy, krádeže.
Název školy Střední škola, Základní škola a Mateřská škola, Karviná, p. o. Autor Mgr. Lubomír Stepek Anotace Prezence slouží k seznámení se zásadami bezpečné.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Informační kriminalita Informační kriminalita l kpt. Mgr. Pavel Zmrhal 2 Dvě věci jsou nekonečné – vesmír a lidská hloupost. Tím prvním.
1 Záloha a ochrana dat Příčiny ztráty dat: porucha hardwaru lidský faktor softwarové selhání počítačové viry přírodní katastrofy.
1/26 0x5DLaBAKx5FC517D0FEA3 Laboratoř bezpečnosti a aplikované kryptografie.
Počítačová bezpečnostPočítačová bezpečnost -je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených.
Číslo projektuCZ.1.07/ / Název školySOU a ZŠ Planá, Kostelní 129, Planá Vzdělávací oblastVzdělávání v informačních a komunikačních technologiích.
Biometrika v informační bezpečnosti Daniel Raška.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Inf Bezpečný počítač.
Financováno z ESF a státního rozpočtu ČR.
9. Bezpečnostní pravidla při používání počítače a internetu
Škodlivý software, počítačové viry
BEZPEČNOSTNÍ RIZIKA INTERNETU
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Číslo projektu školy CZ.1.07/1.5.00/
Bezpečnost informačních systémů
Bezpečnost práce s dokumenty
BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

Zranitelnost informačního systému Fyzická – technické závady, zcizení, … Přírodní – IS nemá schopnost vyrovnat se s objektivními faktory – blesk, záplava, požár, … Technologická - IS/ICT svými konstrukčními charakteristikami neumožňuje zajistit např. požadovaný trvalý plynulý provoz Fyzikální – IS/ICT pracuje na takových fyzikálních principech, které umožňují jejich zneužití (např. odposlech) Lidská – působení lidí – úmyslné /neznalost, omyl Programátorská – možnost algortimického prolomení zabezpečovacích algoritmů

Fyzické a přírodní ohrožení Technické závady Přírodní katastrofy Výpadky dodávky elektrické energie

Programové ohrožení Počítačové viry - program, který se šíří bez vědomí uživatele Trojské koně - skrytá část programu nebo aplikace provádějící funkce, se kterou uživatel nesouhlasí Back-doors – vstup do systému bez hesla Zapomenuté funkce z doby vývoje Phishing - podvodný email snažící se vylákat důvěrné informace-hesla atd. Hoax – poplašná zpráva Spyware – sw sleduje uživatele nebo informace o jeho počítači a data odesílá Rootkit – program k zamaskování určitých aktivit na počítači

Příklad hoaxu a fishingu Dobrý den, jsem Albánský virus. V Albánii je v současné době obtížná ekonomická situace, která se projevuje i v oblasti programování počítačových virů. Proto Vás touto cestou prosím, abyste na svém počítači náhodně vybrali tři soubory a smazali je a potom mě přeposlali na všechny e-mailové adresy ve Vašem adresáři. Děkuji, Albánský virus

Příklad fishingu

Phishing – typické ukázky „Ověřte svůj účet.“ „Pokud neodpovíte do 48 hodin, váš účet bude zrušen.“ „Vážený a milý zákazníku.“ (oslovení bez jména) „Klepnutím na níže uvedený odkaz získáte přístup ke svému účtu.“

Zabezpečení sítí Příklady hrozeb: Virová nákaza Útoky typu DoS (Denial of Services) Odposlech provozu (bezdrátové sítě, vyzařování CRT monitorů…) Přístup k nezabezpečeným kanálům

Cíle útočníků Krádež dat a informací Zničení dat Destabilizace systému Blokování místa nebo určitých zdrojů

Typy útočníků Hacker Začátečník -> uznání, seberealizace Profesionál -> překonání intelektuálních výzev, ideál o svobodném přístupu informací... Virový tvůrce – „zrazení idealisté“, „nedocenění odborníci“,… Vnitřní nepřítel („Insider thread“) – odplata vůči zaměstnavateli, pocit křivdy, … Informační válečník – vlastenecké motivy – destabilizace nepřátelských zdrojů Zloděj – snaha o zisk financí, př. Phishing Politický aktivista – fanatik, idealista…

Chyby, které využívají útočníci Programátorské chyby Návrhové chyby Konfigurační chyby Fyzické narušení Chyby obsluhy

Obranné mechanismy

Ochranné mechanismy Fyzické a přírodní ohrožení: Zálohování – úplná/inkrementální Zabezpečení – UPS, přepěťové ochrany -

Ochranné mechanismy Softwarové ohrožení: Firewall, antivirové programy, … Sítě – VPN (Virtual Private Network) – Autentizace a řízení přístupových práv Bezpečnostní politika, plán obnovy činnosti, havarijní plán

Firewall Firewall, tzv.„bezpečnostní brána“, je zařízení či software oddělující provoz mezi dvěma sítěmi (např. interní podniková a veřejný internet), přičemž propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel. Brání tak zejména před neoprávněnými průniky do sítě a odesílání dat ze sítě bez vědomí a souhlasu uživatele.

Autentizace a Autorizace Autentizace = ověření uživatele Autorizace = ověření práv

Autentizace Přístup přes uživatelská jména a hesla nebo PIN Expirační doba hesel Omezený počet pokusů přihlášení (heslo, PIN) „Strong“ password – minimální počet znaků, povinné kombinace čísel a písmen, zákaz používání smysuplných slov Zákaz „prázdného“ hesla Ověření uživatele Vlastnictví určitého předmětu – karta, čárový kód, token Ověření fyziologických charakteristik – biometrie Využití časových intervalů (automatické odhlášení při delší nečinnosti)

Autentizace Biometrie: Otisky prstů Snímek oční sítnice a duhovky Rozpoznání obličeje, dlaně Rozpoznání hlasu Dynamika podpisu, psaní na klávesnici

Autentizace - biometrie Problémy biometrických metod Obtížnost měření biometrických informací Závislost měření na prostředí a fyzické kondici uživatele Chyby biometrických systémů Oprávněnému uživateli je odmítnut přístup do systému (False Rejection Error) Neoprávněný uživatel je biometrickým zařízením označen jako oprávněný (False Acceptance Error)

Problémy autentizace Příliš mnoho hesel do různých systémů Nejednoznačnost identity (v jiném systému pod stejným uživatelským jménem vystupuje někdo jiný)

Bezpečnostní politika obsahuje: Popis informačního systému Cíle bezpečnostní politiky Definice citlivosti informací Definice možných hrozeb Zásady personální politiky Stanovení politiky zálohování Plán obnovy pro havárii Metodiku řešení krizových stavů

Nejsou věci „bezpečné“ a „nebezpečné“, jsou jen různé míry rizika Nejsou věci „bezpečné“ a „nebezpečné“, jsou jen různé míry rizika. Různí lidé akceptují v různých situacích různou míru rizika.

Standardní kroky řešení bezpečnosti studie informační bezpečnosti – aktuální stav, riziková analýza, tvorba bezpečnostní politiky - vytýčení cílů, bezpečnostní standardy – pro naplnění cílů bezpečnostní politiky, bezpečnostní projekt – technická opatření, implementace bezpečnosti – nasazení výše uvedeného, monitoring a audit – prověřování, zda vytvořené bezpečnostní mechanismy odpovídají dané situaci.

Analýza rizik Co se stane, když informace nebudou chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane?