Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.

Hasonló előadás


Az előadások a következő témára: "ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség."— Előadás másolata:

1 ADATBIZTONSÁG, ADATVÉDELEM

2 ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség  felértékelődik az informatikai biztonság Leginkább EMBERI probléma! (  jogi szabályozás)

3 BIZTONSÁGI OSZTÁLYOK TCSEC ITSEC X/Open ITB CC

4 TCSEC biztonsági osztályok Trusted Computer System Evaluation Criteria ( USA DoD, 1985.) –D csoport: minimális védelem –C csoport: szelektív és ellenőrzött védelem –B csoport: kötelező és ellenőrzött védelem –A csoport: bizonyított védelem

5 ITSEC biztonsági osztályok Information Technology Security Evaluation Criteria (Európai Közösség, 1991.) Q0, Q1,..., Q7 minősítési fokozatok lényegében a TCSEC továbbfejlesztése

6 X/Open biztonsági osztályok Defining and Buying Secure Open Systems (X/Open Company Ltd., 1992.) X-BASE: alap X-DAC: szabad belátás szerint kialakított X-AUDIT: biztonsági auditálás X-MAC: előre meghatározott hozzáférés-vezérlés X-PRIV: privilegizált jogokat biztosító X-DIST: elosztott rendszerek

7 ITB kárérték alapján: –0. szint: jelentéktelen (1 embernap) –1. szint: csekély (1 emberhónap) –2. szint: közepes (1 emberév) –3. szint: nagy (1-10 emberév) –4. szint: kiemelkedően nagy (10-100 emberév) –4+ szint: katasztrofális (>100 emberév)

8 ITB az IR feleljen meg az alábbi biztonsági követelményeknek: alap: max. 2. szintű esemény fenyeget, fokozott: max. 3. szintű esemény fenyeget, kiemelt: 4+ szintű esemény fenyeget

9 CC Common Criteria for Information Technology Security Evaluation (1993.) Közös követelmények... – értékelési módszertan

10

11 ALAPKÖVETELMÉNYEK 1. rendelkezésre állás, elérhetőség a jogosultaknak 2. sértetlenség (sérthetetlenség, valódiság), 3.jellegtől függő bizalmas kezelés, 4. hitelesség 5. a teljes információs rendszer működőképessége

12 ALAPFENYEGETETTSÉG az előbbi öt alapkövetelményt veszélyeztető tényezők hatásösszege

13 SAJÁT KÁR összetevők –HW+SW ára –adatok újraelőállítási költsége –elmaradó haszon –...?

14 IDEGEN HASZON összetevők –megszerezhető nyereség –befektetés

15 TÁMADÁS–VÉDELEM RÁFORDÍTÁS SIKERES TÁMADÁS EREDMÉNYE VÉDŐ védelem ktg. (-) kár (-) TÁMADÓ támadás ktg-e (-) haszon (+)

16 TÁMADÁS–VÉDELEM A védő mindig többet veszít, mint amennyit a támadó nyer! Kétszemélyes, nullától különböző összegű játék

17 INFORMATIKAI BIZTONSÁG az inform á ci ó s rendszer v é delme az alapkövetelmények szempontj á b ó l...

18 INFORMATIKAI BIZTONSÁG...szempontj á b ó l –z á rt, –teljes k ö rű, –folyamatos é s a –kock á zatokkal ar á nyos

19 INFORMATIKAI BIZTONSÁG zárt: minden fontos fenyegetést figyelembe vesz teljes körű: a rendszer összes elemére kiterjed

20 INFORMATIKAI BIZTONSÁG folyamatos: az időben változó körülmények ellenére is megszakítás nélküli kockázatokkal arányos kárérték * kárvalószínűség <= küszöb –küszöb: saját döntés eredménye

21 INFORMATIKAI BIZTONSÁG megfelelő, együttes alkalmazása a –fizikai védelemnek, az –ügyviteli védelemnek és az –algoritmusos védelemnek

22 VÉDELEM fizikai: –a rendszer belépési pontjainak a kijelölése ügyviteli –a belépési pontok elfogadott/elvárt használatának kijelölése algoritmusos –gépi védelmi eljárások alkalmazása, úgymint:

23 ALGORITMUSOS VÉDELEM titkosítás hitelesítés partnerazonosítás digitális aláírás és időpecsét hozzáférés-védelem eseménynapló

24 LEGGYAKORIBB adataink épsége (megléte) adataink bizalmassága

25 FIZIKAI TÖNKREMENETEL áramszünet tranziensek (pl. villámcsapás) elemi kár (pl. tűz, víz) HDD: mechanika!

26 „VÍRUSOK” gyűjtőnév terjeszti önmagát bosszant vagy kárt is okoz PROGRAM, azaz futnia kell

27 „VÍRUSOK” programvírus (klasszikus, com/exe) boot-vírus trójai faló makróvírusok e-mail vírusok (Kurnyikova, valami.com) hálózati férgek

28 VÉDEKEZÉS rendszeres mentés víruskeresők –korlátosak (elvileg és gyakorlatilag) naplózás („zero day backup”) „nyitott szem”

29 MENTÉS tervezni kell –lehetőségek (idő, pénz, eszközök) –adattömeg –adatváltozékonyság egyszerű megoldások –szervezési _ÉS_ –technikai

30 ILLETÉKTELEN HOZZÁFÉRÉS adatlopás <> kocsilopás eszközök fizikai védelme (szétszedett állapotban bebetonozni) a hozzáférés szabályozása –tervezni kell –naplózni kell

31 JÓ JELSZÓ „elég” hosszú nem kitalálható nincs értelmes része vegyes összetétel változtatni kell időnként (1x használatos) jelszólopás elleni védekezés –felírjuk????? –„leskelődés”

32 JÓ JELSZÓ vö. ELENDER-feltörés, 2000. február

33

34 TITKOSÍTÁS statikus (saját gépen) dinamikus (adatforgalom, pl. emil)

35 TITKOSÍTÁS I. file szintű –word/excel/… –tömörítő programok –CMOS jelszó –helyi bejelentkezés nyílt átvitel –email tartalma és jelszavai –smtp, pop3, ftp, telnet stb. igen könnyen feltörhető!!!

36 TITKOSÍTÁS II. zárt rendszer titkos kulccsal nyílt rendszer nyilvános/titkos kulcspárral

37 ZÁRT RENDSZER leHET 100%-os kulcs –biztonságos csatornán kell továbbítani –nyíltszöveg-hosszúságú –valódi véletlen sorozat –… Verne: 800 mérföld az Amazonason

38 NYÍLT RENDSZER „féloldalas” algoritmuson alapul kulcspár –nyilvános kulcsű –titkos kulcs nem kell biztonságos csatorna garancia nincs, csak valószínűség kormányok (is) rühellik

39 NYÍLT RENDSZER nyilvános kulcs: N titkos kulcs: T működés alapja: kódolás(T, kódolás(N, szöveg))=szöveg titkosság tartalom és feladó hitelessége

40 NYÍLT RENDSZER kriptográfiai elemzéssel megfejthetô –elegendô hosszú kódolt szöveg –elegendő idô van! az elévülési ideig elég garantálni (mekkora biztonsággal?)

41 NYÍLT RENDSZER „kerülő út” gazdaságosabb –lemezterületrôl leolvasás

42 NYÍLT RENDSZER „kerülő út” gazdaságosabb –lemezterületrôl leolvasás –fizikailag nem törölt adat -- durva!!! –a fizikailag felülírt adat is kinyerhetô lehet! –elektronikus lehallgatás –trójai faló –forgalomelemzés –típusszöveg kikényszerítése –nyers fizikai erőszak …

43

44 PGP Phil Zimmermann, 1990-es évek eleje fő szabályok –titkos kulcs folyamatos fizikai ellenőrzése –nyilvános kulcs hitelessége (közbeékelődés) közvetlenül tőle (biztonságos csatorna) "közös ismerős" hitelesíti (key server)

45 DIGITÁLIS ALÁÍRÁS Időtényező hatásáról nem tudunk nincsenek jogesetek (tapasztalatok)

46 A BIZTONSÁGNAK ÁRA VAN a kívánt biztonság mértéke <100% pénzbe kerül

47 IBK Informatikai rendszerek biztonsági követelményei (ITB 12. sz. ajánlás) Informatikai biztonsági kézikönyv (ITB 8. sz. ajánlás) Információs Tárcaközi Bizottság (ITB) http://www.itb.hu http://www.itb.hu


Letölteni ppt "ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség."

Hasonló előadás


Google Hirdetések