Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

ADATBIZTONSÁG, ADATVÉDELEM

KiadtaBrigitta Németh Megváltozta több, mint 7 éve

Hasonló előadás

Az előadások a következő témára: "ADATBIZTONSÁG, ADATVÉDELEM"— Előadás másolata:

1 ADATBIZTONSÁG, ADATVÉDELEM

2 Leginkább EMBERI probléma!
ALAPHELYZET Jelentősen növekedett és növekszik IR-ben tárolt, feldolgozott adatok mennyisége ezen adatoktól való függőség felértékelődik az informatikai biztonság Leginkább EMBERI probléma! (jogi szabályozás)

3 BIZTONSÁGI OSZTÁLYOK TCSEC ITSEC X/Open ITB CC

4 TCSEC biztonsági osztályok
Trusted Computer System Evaluation Criteria ( USA DoD, 1985.) D csoport: minimális védelem C csoport: szelektív és ellenőrzött védelem B csoport: kötelező és ellenőrzött védelem A csoport: bizonyított védelem

5 ITSEC biztonsági osztályok
Information Technology Security Evaluation Criteria (Európai Közösség, 1991.) Q0, Q1, ..., Q7 minősítési fokozatok lényegében a TCSEC továbbfejlesztése

6 X/Open biztonsági osztályok
Defining and Buying Secure Open Systems (X/Open Company Ltd., 1992.) X-BASE: alap X-DAC: szabad belátás szerint kialakított X-AUDIT: biztonsági auditálás X-MAC: előre meghatározott hozzáférés-vezérlés X-PRIV: privilegizált jogokat biztosító X-DIST: elosztott rendszerek

7 ITB kárérték alapján: 0. szint: jelentéktelen (1 embernap)
1. szint: csekély (1 emberhónap) 2. szint: közepes (1 emberév) 3. szint: nagy (1-10 emberév) 4. szint: kiemelkedően nagy ( emberév) 4+ szint: katasztrofális (>100 emberév)

8 ITB az IR feleljen meg az alábbi biztonsági követelményeknek:
alap: max. 2. szintű esemény fenyeget, fokozott: max. 3. szintű esemény fenyeget, kiemelt: 4+ szintű esemény fenyeget

9 CC Common Criteria for Information Technology Security Evaluation (1993.) Közös követelmények... – értékelési módszertan

10

11 ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak

12 ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak
2. sértetlenség (sérthetetlenség, valódiság),

13 ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak
2. sértetlenség (sérthetetlenség, valódiság), 3.jellegtől függő bizalmas kezelés,

14 ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak
2. sértetlenség (sérthetetlenség, valódiság), 3.jellegtôl függő bizalmas kezelés, 4. hitelesség

15 ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak
2. sértetlenség (sérthetetlenség, valódiság), 3.jellegtől függő bizalmas kezelés, 4. hitelesség 5. a teljes információs rendszer működőképessége

16 az előbbi öt alapkövetelményt veszélyeztető tényezők hatásösszege
ALAPFENYEGETETTSÉG az előbbi öt alapkövetelményt veszélyeztető tényezők hatásösszege

17 SAJÁT KÁR összetevők HW+SW ára adatok újraelőállítási költsége
elmaradó haszon ...?

18 IDEGEN HASZON összetevők megszerezhető nyereség befektetés

19 SIKERES TÁMADÁS EREDMÉNYE
TÁMADÁS–VÉDELEM RÁFORDÍTÁS SIKERES TÁMADÁS EREDMÉNYE VÉDŐ védelem ktg. (-) kár (-) TÁMADÓ támadás ktg-e (-) haszon (+)

20 TÁMADÁS–VÉDELEM A védő mindig többet veszít, mint amennyit a támadó nyer! Kétszemélyes, nullától különböző összegű játék

21 INFORMATIKAI BIZTONSÁG
az információs rendszer védelme az alapkövetelmények szempontjából...

22 INFORMATIKAI BIZTONSÁG
...szempontjából zárt, teljes körű, folyamatos és a kockázatokkal arányos

23 INFORMATIKAI BIZTONSÁG
zárt: minden fontos fenyegetést figyelembe vesz teljes körű: a rendszer összes elemére kiterjed

24 INFORMATIKAI BIZTONSÁG
folyamatos: az időben változó körülmények ellenére is megszakítás nélküli kockázatokkal arányos védelmi ktg. x kárvalószínűség<küszöb küszöb: saját döntés eredménye

25 INFORMATIKAI BIZTONSÁG
megfelelő, együttes alkalmazása a fizikai védelemnek, az ügyviteli védelemnek és az algoritmusos védelemnek

26 ALGORITMUSOS VÉDELEM titkosítás hitelesítés partnerazonosítás
digit aláírás és időpecsét hozzáférés-védelem eseménynapló

27 LEGGYAKORIBB adataink épsége (megléte) adataink bizalmassága

28 FIZIKAI TÖNKREMENETEL
áramszünet tranziensek (pl. villámcsapás) elemi kár (pl. tűz, víz) HDD: mechanika!

29 „VÍRUSOK” gyűjtőnév terjeszti önmagát bosszant vagy kárt is okoz
PROGRAM, azaz futnia kell

30 „VÍRUSOK” programvírus (klasszikus, com/exe) boot-vírus trójai faló
makróvírusok vírusok hálózati férgek

31 VÉDEKEZÉS rendszeres mentés víruskeresők naplózás („zero day backup”)
korlátosak (elvileg és gyakorlatilag) naplózás („zero day backup”) „nyitott szem”

32 MENTÉS tervezni kell egyszerű megoldások
lehetőségek (idő, pénz, eszközök) adattömeg adatváltozékonyság egyszerű megoldások szervezési _ÉS_ technikai

33 ILLETÉKTELEN HOZZÁFÉRÉS
adatlopás <> kocsilopás eszközök fizikai védelme (szétszedett állapotban bebetonozni) a hozzáférés szabályozása tervezni kell naplózni kell

34 JÓ JELSZÓ „elég” hosszú nem kitalálható nincs értelmes része
vegyes összetétel változtatni kell időnként (1x használatos) jelszólopás elleni védekezés felírjuk????? „leskelődés”

35 JÓ JELSZÓ vö. ELENDER-feltörés, február

36 TITKOSÍTÁS statikus (saját gépen) dinamikus (adatforgalom, pl. emil)

37 igen könnyen feltörhető!!!
TITKOSÍTÁS I. file szintű word/excel/… tömörítő programok CMOS jelszó helyi bejelentkezés nyílt átvitel tartalma és jelszavai smtp, pop3, ftp, telnet stb. igen könnyen feltörhető!!!

38 TITKOSÍTÁS II. zárt rendszer titkos kulccsal
nyílt rendszer nyilvános/titkos kulcspárral

39 ZÁRT RENDSZER leHET 100%-os kulcs Verne: 800 mérföld az Amazonason
biztonságos csatornán kell továbbítani nyíltszöveg-hosszúságú valódi véletlen sorozat Verne: 800 mérföld az Amazonason

40 NYÍLT RENDSZER „féloldalas” algoritmuson alapul kulcspár
nyilvános kulcs titkos kulcs

41 NYÍLT RENDSZER „féloldalas” algoritmuson alapul kulcspár
nyilvános kulcsű titkos kulcs nem kell biztonságos csatorna

42 NYÍLT RENDSZER „féloldalas” algoritmuson alapul kulcspár
nyilvános kulcsű titkos kulcs nem kell biztonságos csatorna garancia nincs, csak valószínűség

43 NYÍLT RENDSZER „féloldalas” algoritmuson alapul kulcspár
nyilvános kulcsű titkos kulcs nem kell biztonságos csatorna garancia nincs, csak valószínűség kormányok rühellik

44 NYÍLT RENDSZER nyilvános kulcs: N titkos kulcs: T
működés alapja: kódolás(T, kódolás(N, szöveg))=szöveg

45 NYÍLT RENDSZER nyilvános kulcs: N titkos kulcs: T
működés alapja: kódolás(T, kódolás(N, szöveg))=szöveg titkosság tartalom és feladó hitelessége

46 NYÍLT RENDSZER kriptográfiai elemzéssel megfejthetô
elegendô hosszú kódolt szöveg elegendő idô van! az elévülési ideig elég garantálni (mekkora biztonsággal?)

47 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás

48 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!!

49 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!! a fizikailag felülírt adat is kinyerhetô lehet!

50 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!! a fizikailag felülírt adat is kinyerhetô lehet! elektronikus lehallgatás

51 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!! a fizikailag felülírt adat is kinyerhetô lehet! elektronikus lehallgatás trójai faló

52 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!! a fizikailag felülírt adat is kinyerhetô lehet! elektronikus lehallgatás trójai faló forgalomelemzés

53 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!! a fizikailag felülírt adat is kinyerhetô lehet! elektronikus lehallgatás trójai faló forgalomelemzés típusszövegek kikényszerítése

54 NYÍLT RENDSZER „kerülő út” gazdaságosabb lemezterületrôl leolvasás
fizikailag nem törölt adat -- durva!!! a fizikailag felülírt adat is kinyerhetô lehet! elektronikus lehallgatás trójai faló forgalomelemzés típusszöveg kikényszerítése nyers fizikai erőszak …

55

56 PGP Phil Zimmermann, 1990-es évek eleje fő szabályok
titkos kulcs folyamatos fizikai ellenőrzése nyilvános kulcs hitelessége (közbeékelődés) közvetlenül tőle (biztonságos csatorna) "közös ismerős" hitelesíti (key server)

57 DIGITÁLIS ALÁÍRÁS Időtényező hatásáról nem tudunk
nincsenek jogesetek (tapasztalatok)

58 A BIZTONSÁGNAK ÁRA VAN a kívánt biztonság mértéke <100%
pénzbe kerül

59 IBK Informatikai rendszerek biztonsági követelményei (ITB 12. sz. ajánlás) Informatikai biztonsági kézikönyv (ITB 8. sz. ajánlás) Információs Tárcaközi Bizottság (ITB)

Letölteni ppt "ADATBIZTONSÁG, ADATVÉDELEM"

Hasonló előadás

Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
Biztonság http://www.biztostu.hu/course/view.php?id=16 Készült a biztostű.hu oldal felhasználásával Nagy Gyula.

Biztonság Készült a biztostű.hu oldal felhasználásával Nagy Gyula.
Információbiztonság vs. informatikai biztonság?

Információbiztonság vs. informatikai biztonság?
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
Vezeték nélküli technológiák

Vezeték nélküli technológiák
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.

1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
ADATBIZTONSÁG, ADATVÉDELEM I.

ADATBIZTONSÁG, ADATVÉDELEM I.
2008. november 17. Fazekas Éva, Processorg Software 82 Kft.

2008. november 17. Fazekas Éva, Processorg Software 82 Kft.
Az elektronikus kereskedelem biztonsági kérdései és válaszai

Az elektronikus kereskedelem biztonsági kérdései és válaszai
Www.ihm.hu Sikolya Zsolt IKF kormányzati nap Budapest, 2005. május 19. Egységes azonosítás, hitelesítés és elektronikus aláírás az elektronikus ügyintézésben.

Sikolya Zsolt IKF kormányzati nap Budapest, május 19. Egységes azonosítás, hitelesítés és elektronikus aláírás az elektronikus ügyintézésben.
Adatbiztonság, Internetbiztonság

Adatbiztonság, Internetbiztonság
Informatikai alapismeretek

Informatikai alapismeretek
Az Informatikai biztonság alapjai

Az Informatikai biztonság alapjai
Digitális Aláírás ● A rejtjelező algoritmusokon alapuló protokollok közé tartozik a digitális aláírás is. ● Itt is rejtjelezés történik, de nem az üzenet.

Digitális Aláírás ● A rejtjelező algoritmusokon alapuló protokollok közé tartozik a digitális aláírás is. ● Itt is rejtjelezés történik, de nem az üzenet.
Adat- és indormációvédelmi intézkedések I.

Adat- és indormációvédelmi intézkedések I.
A nemzetközi ajánlások közös jellemzői: Egyensúly biztosítása a személyes adatok védelme és az információ szabad áramlása között A nemzetközi törvényhozásokban.

A nemzetközi ajánlások közös jellemzői: Egyensúly biztosítása a személyes adatok védelme és az információ szabad áramlása között A nemzetközi törvényhozásokban.
Szabványok és ajánlások az informatikai biztonság területén

Szabványok és ajánlások az informatikai biztonság területén
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla 2004..

ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
A titkosítás alkalmazott módszerei az elektronikus kommunikációban

A titkosítás alkalmazott módszerei az elektronikus kommunikációban
Az elektronikus aláírás

Az elektronikus aláírás

Hasonló előadás

Google Hirdetések