Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaKároly Gáspár Megváltozta több, mint 8 éve
1
1 Vállalati információs rendszerek 4. előadás: Biztonság és globalizáció Elekes Edit, 2016. elekes.edit@eng.unideb.hu
2
2 Az információs rendszer biztonsága és annak összetevői Biztonság – Megbízhatóság Biztonság = A megbízhatóság egyik legfontosabb összetevője. Megbízhatóság = A nyújtott szolgáltatás minőségének fontos feltétele. Biztonság: adatvédelmi szempontból kritikus meghibásodások elleni védelem. Biztonság összetevői: adatok pontossága, adatok épsége, tevékenységek biztonsága, erőforrások biztonsága.
3
3 Ellenőrzési és vezérlési típusok Ellenőrzés: hibák, csalások, kártételek minimalizálása a rendszer megfelelő teljesítményének garantálása
4
4 Információs rendszer szintű ellenőrzés adatbemenet, adatkezelés, adatkimenet, tárolás ellenőrzése.
5
5 Adatbemenet ellenőrzése Gondoskodik a tiszta, helyes adatbevitelről. Eszközei: jelszavak és más biztonsági kódok, formált (megszerkesztett) adatbeviteli képernyőképek, hallható hibajelzés, legördülő választéklisták és más előre gyártott beviteli struktúrák, adatbeviteli napló vezetése, bemeneti adatellenőrzések (helyes-e, érvényes-e az adat/tranzakció), Hihetőség-vizsgálat.
6
6 Adatkezelés ellenőrzése Jelentés: adatkezelés hardver és szoftver ellenőrzése. Összetevők: Hibafelismerés aritmetikai és logika műveletekben. Adatvesztés és kezeletlenül maradás elleni védelem. „System security monitor” (rendszerbiztonsági felügyelő) programok felügyelnek és naplózhatnak is!
7
7 Adatkezelés hardver ellenőrzése hibajelző áramkörök (paritásellenőrzés, válaszjel-kényszer, redundáns műveletvégzés, előjel ellenőrzés, CPU időfelhasználás, feszültség ellenőrzése), redundáns komponensek használata (pl. több író-olvasó fej), céláramkörök távdiagnosztikai célra
8
8 Adatkezelés szoftver ellenőrzése speciális belső fájl-címkék kialakítása; ellenőrző pontok biztosítása és kiépítése. Lehetővé teszik hiba esetén az utolsó helyes ellenőrző pontról az újraindítást és a folyamatok nyomon követését.
9
9 Adatkimenet ellenőrzése Helyes és teljes információt ad meghatározott időben a felhatalmazott felhasználóknak: ellenőrző összegek összehasonlítása az adatbemenet és a tárolás során készült ellenőrző összegekkel, listázás, listák kinyomtatása, előre sorszámozott kimenő formanyomtatványok, hozzáférés szabályozása biztonsági kódokkal. Végfelhasználók: a kimenet biztonságáról információt adnak a rendszerfelügyelet felé.
10
10 Tárolás ellenőrzése A hozzáférést biztonsági kódok szabályozzák: ◦ többszintű, ◦ írásra más jelszó, mint olvasásra, ◦ jelszavak zagyválása (scramble), titkosítása ◦ smart card-ok használata (véletlen számot adnak a jelszóhoz), többszörös (több korábbi időpontban készült) biztonsági másolatok (backup), közbülső tranzakciók tárolása.
11
11 Eszköz szintű ellenőrzés 1. Megvédi az információs rendszer számítástechnikai és hálózati eszközeit és a tartalmukat az elvesztéstől és tönkremeneteltől. Lehetséges károsító tényezők: balesetek, természeti katasztrófák, szabotázs, rongálás, illetéktelen használat, ipari kémkedés, lopás.
12
12 Eszköz szintű ellenőrzés 2. Védelmi eszközök: Titkosítás: továbbított információk kényes részének titkosítása. Két kulcsos rendszer: a felhasználó nyilvános kulcsával kódolják, majd ő a biztonsági kulcsával dekódolja az információt. ◦ szimmetrikus és nyilvános kulcsú, Tűzfal: ellenőrzi és szűri a megvédendő rendszerbe beáramló és onnan kiáramló információkat. Biztonsági kódok helyes használatának ellenőrzése, illetéktelen hozzáférés megakadályozása. ◦ adatáramlás ellenőrzése, fizikai védelem (információs rendszer és más vagyonvédelem) ◦ beléptető rendszerek, elektronikus zárak,biztonsági személyzet, megfigyelő kamerák, behatolásjelző rendszerek, ◦ biometrikus eszközök (retina- hang azonosítás, ujjlenyomat, kézgeometria, aláírás-dinamika) ◦ tűzjelző és önműködő tűzoltó rendszerek, tűzbiztos tárolóhelyek, szükségáram ellátás, elektromágneses árnyékolás, klímatizálás (hőmérséklet-, pára-, portartalom szabályozása).
13
13 Eszköz szintű ellenőrzés 3. számítógép hibák elleni védelem ◦ hibaforrások: tápellátás, áramköri, távközlő hálózati, rejtett programhiba, vírus, kezelői hiba, elektronikus vandalizmus. ◦ intézkedések: Megkettőzés (mikro-utasítás szerinti meleg tartalék -> karbantartó által biztosított csere-darab) önműködő és táv-karbantartás, megelőző karbantartás, stb. Biztosítani kell hiba esetén az átállást, a hiba megszüntetése után az újraindító szoftver használatát.
14
14 Eljárásos ellenőrzés A rendszer biztonságos használatát biztosító eljárási szabályok, standard eljárások (minőség növelése, csalás és hibák csökkentése), dokumentálás alkotják. Végfelhasználói eljárások ellenőrzése (naplózási rendszer) különösen fontos! Rendszerváltoztatás: Csak szabályozottan változtatni (előírás: ki, mit, kinek az engedélyével változtathat)! Auditálás: Rendszeresen (periodikusan) felül kell vizsgálni, és minősíteni a biztonság szempontjából is, a rendszer működését.
15
15 Rendszer megbízhatóság tervezése Biztonság: központi kérdés (katonai, állambiztonsági rendszerek, üzleti titkok). Nemcsak a számítógépes információs rendszerek biztonságát és megbízhatóságát kell tervezni! Az IT csupán megnövelte a rendszerek méretét, sebességét, és egyúttal a kockázati tényezők számát.
16
16 A megbízhatóság szempontjából mértékadó események A hibamentesség szempontjából fontos a közönséges meghibásodás, amely nem tervezett hiba következménye, és nem jelent veszélyt emberéletre, vagyonbiztonságra, környezetre. Az alkalmazhatóság szempontjából fontos a felhasználónál fellépő olyan hiba, ami miatt az nem tudja igénybe venni a szolgáltatást. A biztonság miatt fontos az olyan hiba, amely az élet- és vagyonbiztonságot veszélyezteti. Az adatbiztonság miatt fontos az olyan hiba, amely szándékos támadás következménye, és az adatbiztonságot veszélyezteti.
17
17 Befolyásoló tényezők 1. Megbízhatóság: a használhatóság (üzemkészség, rendelkezésre állás) és az azt befolyásoló tényezők (hibamentesség, karbantarthatóság, karbantartás-ellátás) gyűjtőfogalma. hibamentességet jellemzi: ◦ R(t) hibamentes működési valószínűség, ◦ meghibásodási valószínűség, ◦ λ (t) meghibásodási ráta, ◦ meghibásodások közötti átlagos működési idő (MTTF: mean time to failure, ill. MTBF: mean time between failures)
18
18 Befolyásoló tényezők 2. karbantarthatóságot jellemzi ◦ a karbantartás adott idő alatti elvégzésének M(t) valószínűsége, ill. a javítási ráta. ◦ A valószínűségi eloszlásból származtatható az átlagos javítási idő (MRT: mean repair time) és az átlagos helyreállítási idő (MTTR: mean time to restoration). karbantartás-ellátást jellemzi ◦ az átlagos karbantartási munkaidő-ráfordítás és ◦ az átlagos késedelmi idő. rendelkezésre állást jellemzi ◦ a stacionárius vagy aszimptotikus használhatósági tényező: MTBF/(MTBF+MTTR) Jellemző még ◦ az élettartam, ill. üzemidő.
19
19 Tervezéskor figyelembe veendő képességek alkalmazhatóság (usability): a szolgáltatást igénybe lehet venni, helyreállíthatóság, feléleszthetőség (recoverability, restorability): helyreáll a működőképesség a javítástól függetlenül, biztonság (safety): képesség az élet- és vagyonbiztonságot veszélyeztető hibák elhárítására, hatékonyság (efficiency): elfogadható számítási teljesítmény, adatbiztonság (security): a rendszer saját adatainak megfelelő védelme.
20
20 Vonatkozó szabványok, ajánlások IEC TC (2004): Guidance to Engineering of System Dependability. ISO 9000: 2000: Quality Management Systems. ITU-T Recommendation E 800 (A megbízhatóságról). MSZ ISO 50(191): Megbízhatóság és szolgáltatásminőség fogalmai (1993).
21
21 Üzletmenet folytonosság hagyományos, IT-központú katasztrófavédelem (disaster recovery, DR) helyett üzletmenet-folytonosság (business continuity, BC): {üzleti folyamatok összes működési feltételének folyamatos biztosítására } ◦ IT infrastruktúra tervezése az üzleti igények és az alkalmazások kiesése hatásainak összehangolása alapján Ez alapján informatikai szabályrendszer és infrastruktúra kidolgozása. Üzletmenet folytonosság: az alapvető üzleti tevékenység folyamatos működésének biztosítása; a pénzügyi veszteség minimalizálása; költséghatékony megoldás kidolgozása és megvalósítása, -> Ami lehetővé teszi az üzleti tevékenység folytatását nem várt hatások esetén, amely az üzleti vezetés számára is elfogadható. Kritikus üzleti folyamatok azonosítása + Informatikai alkalmazás + Megfelelő védelem
22
22 Üzletmenet folytonossági stratégia A vállalati stratégia része. Ennek alapján működik az üzletmenet folytonosság menedzsment (BCM, business continuity management) Ennek keretében megtervezik az üzletmenet folytonosságot.
23
23 Üzletmenet folytonosság menedzsment modellje
24
24 Üzletmenet folytonosság tervezése Célja költség-hatékony megoldás ◦ az alapvető üzleti tevékenység folyamatos működésének és ◦ a pénzügyi veszteség minimalizálásának a megvalósítására. Azonosítja ◦ a nélkülözhetetlen üzleti folyamatokat, ◦ azok támogató alkalmazásait, és ellátja őket védelemmel.
25
25 Hatékonysági mutatók RTO (recovery time objective): a katasztrófa bekövetkezése és az összes meghatározott számítógépes alkalmazás konzisztens újraindulása közötti idő. RPO (recovery point objective): Az alkalmazásokat úgy kell helyreállítani az RTO időn belül, hogy az RPO állapotnak megfelelő (konzisztens) állapotot tükrözzék, és az összes addig történt változást tartalmazzák.
26
26 További követelmények A kritikus üzleti folyamatok működésképtelenségének idejét a legrövidebbre kell szorítani. Minimalizálni kell a pénzügyi veszteségeket. Be kell tartani a hatályos jogszabályokat. Minél egyszerűbb döntési mechanizmusok a nem várt események kezelésére. Ki kell dolgozni a normál működéshez való visszatérés szabályait.
27
27 A tervezés fő elemei üzleti igények, fenyegetések rangsorolása, kockázatok felmérése, a katasztrófa-események üzletre gyakorolt hatásának elemzése, informatikai alkalmazások és üzleti folyamatok megfeleltetése, RTO, RPO meghatározása, a meglévő BC-képességek felmérése, az elvárások és a meglévő képességek összehasonlítása, megoldási lehetőségek számbavétele, elemzésük költséghatékonyság szempontjából, stratégia és ajánlások megfogalmazása.
28
28 Üzletmenet folytonosságot gátló tényezők közüzemi ellátási zavarok: áramszünet, távközlési zavarok, egyéb közüzemi zavar a számítóközpontban, természeti katasztrófák: viharok (szél, villámcsapás), földrengés, árvíz, tűz, terrorcselekmények, emberi hiba, technológiai hibák (szoftverhibák, szoftver frissítés, hardverhibák), ellenséges behatolás (vírusok, hálózat felől, Internetről jövő behatolás).
29
29 Kockázatok értékelése Rendkívüli események hatása az üzletmenetre, pénzbeli veszteségek meghatározása. Különböző üzleti folyamatok eltérő RPO és RTO követelményeket támasztanak. (Követelmény szigorodása: nagyobb megvalósítási költség)
30
30 RTO (recovery time objective) mátrix
31
31 RTO fokozatai
32
32 RPO (recovery time objective) fokozatai
33
33 Üzletmenet folytonosság fontosságának felismerése A cégek érettségének fokozatai az üzletmenet- folytonosság tekintetében: ◦ Nincs BC terv, a vezetés nem elkötelezett. ◦ Némelyik szervezeti egységnek van BC terve, némi vezetői elkötelezettséggel. ◦ A felső vezetők elkötelezettek, van tesztelt BC terv, amely mindegyik üzleti egységre kiterjed. ◦ A felső vezetők elkötelezettek, rendszeresen tesztelik a BC tervet. ◦ A felső vezetők elkötelezettek, a BC terv optimalizált, integrált tervezésű.
34
34 Sikeres üzletmenet folytonosság megoldások Költség-hatékonyság elemzés -> megvalósítandó megoldás Fő tényezőik: ◦ vezetői elkötelezettség, ◦ hatékony, rendszeresen felülvizsgált terv, ◦ oktatás, gyakorlás. Információs rendszerek megvalósításának sikertényezői is egyben!
35
35 Internet, intranet, extranet 1. 1980: CERN kutatói – elektronikus rendszeren történő gyors információcsere (elektronikus levelezés) 1982: SMTP levelezési protokoll kialakulása 1983: TCP/IP protokollt használó számítógépek 1985: FTP (fájlátviteli protokoll) kidolgozása 1990: Tim Berners-Lee – World Wide Web alapjai 1994: első grafikus felületű böngésző – Internet terjedése
36
36 Internet, intranet, extranet 2. Internet: Általános információforrás. Intranet: A vállalati-intézményi belső hálózatok internetes technikájú kiépítése. Extranet: Az egyik vállalat, intézmény és egy másik közötti kommunikációban az internetes technikájú hálózat elnevezése
37
37 Internet robbanás Exponenciális növekedés ◦ Távközlésű hálózatok bővülése ◦ csatlakozó végpontok, ◦ szélessávú előfizetések, ◦ számítógépek a háztartásokban, ◦ beépített célszámítógépek, ◦ mobil végpontok számában. Az adatforgalomban nem látszódik semmiféle telítődés, korlát, v. inflexiós pont. Internet: információcsere, információhoz jutás alapvető eszköze, a vállalatok számára fontos esély üzleti folyamataik lebonyolításában.
38
38 A internet felhasználása általános információforrás információ szolgáltatás: ◦ vállalati honlap (Marketing, PR és reklám, nagy mennyiségű elektronikus formában rendelkezésre álló információ) Levelezés (jelentős idő- és költségmegtakarítás, biztonsági elvárások) ◦ konkurens szabványok vannak, ◦ biztonsági kérdések! oktatás, továbbképzés (on-line és valós idejű távoktatás) munkaerő toborzás (vállalati honlap, levelezés) e-business ◦ vásárlás katalógusból ◦ ismétlődő üzletkötések Ügyféllel, beszállítóval, partnerrel való kapcsolattartás Távmunka
39
39 Intranet és extranet
40
40 Az internet biztonsága Az Internet az egyik legerősebb globalizáló tényező. ◦ üzleti és állam- és közigazgatási szerepe nő. Biztonsága kérdéses! ◦ rabló-pandúr játszma, ◦ a hálózati bűnözés mintázata változik: a pénzszerzés irányába.
41
41 Köszönöm a figyelmet!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.