Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaAlbert Mészáros Megváltozta több, mint 10 éve
1
ADATBIZTONSÁG, ADATVÉDELEM
2
ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség felértékelődik az informatikai biztonság Leginkább EMBERI probléma! ( jogi szabályozás)
3
BIZTONSÁGI OSZTÁLYOK TCSEC ITSEC X/Open ITB CC
4
TCSEC biztonsági osztályok Trusted Computer System Evaluation Criteria ( USA DoD, 1985.) –D csoport: minimális védelem –C csoport: szelektív és ellenőrzött védelem –B csoport: kötelező és ellenőrzött védelem –A csoport: bizonyított védelem
5
ITSEC biztonsági osztályok Information Technology Security Evaluation Criteria (Európai Közösség, 1991.) Q0, Q1,..., Q7 minősítési fokozatok lényegében a TCSEC továbbfejlesztése
6
X/Open biztonsági osztályok Defining and Buying Secure Open Systems (X/Open Company Ltd., 1992.) X-BASE: alap X-DAC: szabad belátás szerint kialakított X-AUDIT: biztonsági auditálás X-MAC: előre meghatározott hozzáférés-vezérlés X-PRIV: privilegizált jogokat biztosító X-DIST: elosztott rendszerek
7
ITB kárérték alapján: –0. szint: jelentéktelen (1 embernap) –1. szint: csekély (1 emberhónap) –2. szint: közepes (1 emberév) –3. szint: nagy (1-10 emberév) –4. szint: kiemelkedően nagy (10-100 emberév) –4+ szint: katasztrofális (>100 emberév)
8
ITB az IR feleljen meg az alábbi biztonsági követelményeknek: alap: max. 2. szintű esemény fenyeget, fokozott: max. 3. szintű esemény fenyeget, kiemelt: 4+ szintű esemény fenyeget
9
CC Common Criteria for Information Technology Security Evaluation (1993.) Közös követelmények... – értékelési módszertan
11
ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak 2. sértetlenség (sérthetetlenség, valódiság), 3.jellegtől függő bizalmas kezelés, 4. hitelesség 5. a teljes információs rendszer működőképessége
12
ALAPFENYEGETETTSÉG az előbbi öt alapkövetelményt veszélyeztető tényezők hatásösszege
13
SAJÁT KÁR összetevők –HW+SW ára –adatok újraelőállítási költsége –elmaradó haszon –...?
14
IDEGEN HASZON összetevők –megszerezhető nyereség –befektetés
15
TÁMADÁS–VÉDELEM RÁFORDÍTÁS SIKERES TÁMADÁS EREDMÉNYE VÉDŐ védelem ktg. (-) kár (-) TÁMADÓ támadás ktg-e (-) haszon (+)
16
TÁMADÁS–VÉDELEM A védő mindig többet veszít, mint amennyit a támadó nyer! Kétszemélyes, nullától különböző összegű játék
17
INFORMATIKAI BIZTONSÁG az inform á ci ó s rendszer v é delme az alapkövetelmények szempontj á b ó l...
18
INFORMATIKAI BIZTONSÁG...szempontj á b ó l –z á rt, –teljes k ö rű, –folyamatos é s a –kock á zatokkal ar á nyos
19
INFORMATIKAI BIZTONSÁG zárt: minden fontos fenyegetést figyelembe vesz teljes körű: a rendszer összes elemére kiterjed
20
INFORMATIKAI BIZTONSÁG folyamatos: az időben változó körülmények ellenére is megszakítás nélküli kockázatokkal arányos kárérték * kárvalószínűség <= küszöb –küszöb: saját döntés eredménye
21
INFORMATIKAI BIZTONSÁG megfelelő, együttes alkalmazása a –fizikai védelemnek, az –ügyviteli védelemnek és az –algoritmusos védelemnek
22
VÉDELEM fizikai: –a rendszer belépési pontjainak a kijelölése ügyviteli –a belépési pontok elfogadott/elvárt használatának kijelölése algoritmusos –gépi védelmi eljárások alkalmazása, úgymint:
23
ALGORITMUSOS VÉDELEM titkosítás hitelesítés partnerazonosítás digitális aláírás és időpecsét hozzáférés-védelem eseménynapló
24
LEGGYAKORIBB adataink épsége (megléte) adataink bizalmassága
25
FIZIKAI TÖNKREMENETEL áramszünet tranziensek (pl. villámcsapás) elemi kár (pl. tűz, víz) HDD: mechanika!
26
„VÍRUSOK” gyűjtőnév terjeszti önmagát bosszant vagy kárt is okoz PROGRAM, azaz futnia kell
27
„VÍRUSOK” programvírus (klasszikus, com/exe) boot-vírus trójai faló makróvírusok e-mail vírusok (Kurnyikova, valami.com) hálózati férgek
28
VÉDEKEZÉS rendszeres mentés víruskeresők –korlátosak (elvileg és gyakorlatilag) naplózás („zero day backup”) „nyitott szem”
29
MENTÉS tervezni kell –lehetőségek (idő, pénz, eszközök) –adattömeg –adatváltozékonyság egyszerű megoldások –szervezési _ÉS_ –technikai
30
ILLETÉKTELEN HOZZÁFÉRÉS adatlopás <> kocsilopás eszközök fizikai védelme (szétszedett állapotban bebetonozni) a hozzáférés szabályozása –tervezni kell –naplózni kell
31
JÓ JELSZÓ „elég” hosszú nem kitalálható nincs értelmes része vegyes összetétel változtatni kell időnként (1x használatos) jelszólopás elleni védekezés –felírjuk????? –„leskelődés”
32
JÓ JELSZÓ vö. ELENDER-feltörés, 2000. február
34
TITKOSÍTÁS statikus (saját gépen) dinamikus (adatforgalom, pl. emil)
35
TITKOSÍTÁS I. file szintű –word/excel/… –tömörítő programok –CMOS jelszó –helyi bejelentkezés nyílt átvitel –email tartalma és jelszavai –smtp, pop3, ftp, telnet stb. igen könnyen feltörhető!!!
36
TITKOSÍTÁS II. zárt rendszer titkos kulccsal nyílt rendszer nyilvános/titkos kulcspárral
37
ZÁRT RENDSZER leHET 100%-os kulcs –biztonságos csatornán kell továbbítani –nyíltszöveg-hosszúságú –valódi véletlen sorozat –… Verne: 800 mérföld az Amazonason
38
NYÍLT RENDSZER „féloldalas” algoritmuson alapul kulcspár –nyilvános kulcsű –titkos kulcs nem kell biztonságos csatorna garancia nincs, csak valószínűség kormányok (is) rühellik
39
NYÍLT RENDSZER nyilvános kulcs: N titkos kulcs: T működés alapja: kódolás(T, kódolás(N, szöveg))=szöveg titkosság tartalom és feladó hitelessége
40
NYÍLT RENDSZER kriptográfiai elemzéssel megfejthetô –elegendô hosszú kódolt szöveg –elegendő idô van! az elévülési ideig elég garantálni (mekkora biztonsággal?)
41
NYÍLT RENDSZER „kerülő út” gazdaságosabb –lemezterületrôl leolvasás
42
NYÍLT RENDSZER „kerülő út” gazdaságosabb –lemezterületrôl leolvasás –fizikailag nem törölt adat -- durva!!! –a fizikailag felülírt adat is kinyerhetô lehet! –elektronikus lehallgatás –trójai faló –forgalomelemzés –típusszöveg kikényszerítése –nyers fizikai erőszak …
44
PGP Phil Zimmermann, 1990-es évek eleje fő szabályok –titkos kulcs folyamatos fizikai ellenőrzése –nyilvános kulcs hitelessége (közbeékelődés) közvetlenül tőle (biztonságos csatorna) "közös ismerős" hitelesíti (key server)
45
DIGITÁLIS ALÁÍRÁS Időtényező hatásáról nem tudunk nincsenek jogesetek (tapasztalatok)
46
A BIZTONSÁGNAK ÁRA VAN a kívánt biztonság mértéke <100% pénzbe kerül
47
IBK Informatikai rendszerek biztonsági követelményei (ITB 12. sz. ajánlás) Informatikai biztonsági kézikönyv (ITB 8. sz. ajánlás) Információs Tárcaközi Bizottság (ITB) http://www.itb.hu http://www.itb.hu
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.