Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaMárk Gál Megváltozta több, mint 9 éve
1
A datbiztonság, adatvédelem
2
Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő cél: az adat (és vele az információ) elvesztésének megakadályozása. MIT és MENNYIRE? Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Fő cél: az adat (és vele az információ) illetéktelenek kezébe jutásának megakadályozása.HOGYAN?
3
A datbiztonság, adatvédelem Eszközök törvényi, jogi szabályozás Európában − ET 1973., 1979., OECD 1980.. … − EU és EP 1999/93/EK irányelv az elektronikus aláírások közösségi keretszabályairól Magyarországon − 1992. évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról … − 2001. évi XXXV. tv. az Elektronikus Aláírásról (2001. május 29.)
4
A datbiztonság, adatvédelem Eszközök műszaki, technikai, tudományos eszközök pl. hálózati biztonságtechnikai hardver- és szoftvereszközök matematikai algoritmusok, pl. kriptográfia nemzetközi szervezetek szabványai, ajánlásai ISO IEEE W3C …
5
A datbiztonság, adatvédelem Az információ szabad áramlása A fő ellentmondás: A személyes adatok védelme
6
A datbiztonság, adatvédelem Kitől, mitől kell védenünk adatainkat? a konkurenciától a hálózati kalózok tevékenységétől vírusoktól, trójai programoktól, egyéb hálózati kártevőktől megbízhatatlanul működő informatikai eszközöktől (hardver és szoftver) a gondatlanság, tudatlanság miatt bekövetkező eseményektől !!
7
A datbiztonság, adatvédelem Honnan várható támadás? Forrás: Ökrös László: Biztonság és adatvédelem az információtechnológiában
8
A datbiztonság, adatvédelem A bekövetkez(het)ő események: adatlopás adatmanipuláció törlés, rombolás sérelmek miatti bosszú személyiségi jogok megsértése …
9
A datbiztonság, adatvédelem Gondatlanság, tudatlanság − amiről a felhasználó tehet… jelszavak védelmének hiánya jogosultsági rendszerek be nem állítása eszközök helytelen konfigurációja védelmi rendszerek hézagos telepítése szoftverlicencek hiányos kezelése (kezeletlensége) a biztonsági mentések elhanyagolása vagy hibás gyakorlata …
10
A datbiztonság, adatvédelem … és amiről nem tehet, de ezek is neki okoznak bosszúságot rosszul működő vagy rosszul konfigurált hardver biztonsági rések a szoftverekben a szoftverhibákhoz kiadott javítócsomagok áradata spamek és hoaxok …
11
A datbiztonság, adatvédelem Az adat- (és információ-) biztonság célja: az informatikai rendszer azon állapotának elérése, melyben a kockázatok szintje elviselhető mértékűre csökkenthető ehhez elfogadható intézkedések, döntések meghozatala ezzel biztosítva az információ elérhetőségét, sérthetetlenségét és megbízhatóságát.
12
A datbiztonság, adatvédelem Digitális aláírás Elektronikus aláírás mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. Tömösközi Péter
13
A datbiztonság, adatvédelem Digitális aláírás mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. aláírás-készítés mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. 0100110101101111 …
14
A datbiztonság, adatvédelem Digitális aláírás tulajdonságai elkészítéséhez szimmetrikus vagy aszimmetrikus kulcs szükséges az üzenethez van csatolva, és igazolja annak hitelességét sértetlenségét letagadhatatlanságát maga az üzenet nyílt (tehát kódolatlan) marad
15
A datbiztonság, adatvédelem Kódolás szimmetrikus kulccsal eredeti (nyílt) üzenet kódolt (titkos) üzenet kódolás Dekódolás kódolt (titkos) üzenet eredeti üzenet dekódolás titkos kulcs
16
A datbiztonság, adatvédelem Kódolás aszimmetrikus kulccsal eredeti (nyílt) üzenet kódolt (titkos) üzenet kódolás Dekódolás kódolt (titkos) üzenet eredeti üzenet dekódolás magánkulcs publikus kulcs
17
A datbiztonság, adatvédelem Szimmetrikus vagy aszimmetrikus kódolás? kockázatelemzés költségek? a ma ismert legjobb módszerek PKI alapúak: PKI (Public Key Infrastructure)
18
A datbiztonság, adatvédelem Kódolás aszimmetrikus (nyilvános) kulccsal a kódolás egy kulcspárral történik, az egyik kulccsal kódolt üzenet csak a másik kulccsal fejthető meg a nyilvános kulcs közzétehető, nem titkos, a felhasználó csak a magánkulcsát nem adhatja ki a nyilvános kulcs birtoklását tanúsítvány igazolja (ezt egy hitelesítés-szolgáltató − CA − adja ki és saját kulcsával aláírja) a kulcspár tagjai matematikai algoritmussal (jelenleg főként RSA) előállított bitsorozatok: összetartoznak, de egyik a másikból nem következtethető ki
19
A datbiztonság, adatvédelem Kódolás aszimmetrikus (nyilvános) kulccsal a kulcspárt előállító algoritmusok megbízhatók, feltörésük ma rendelkezésünkre álló eszközökkel gyakorlatilag nem lehetséges üzenet titkosítására is felhasználható: ha a titkosításhoz a címzett nyilvános kulcsát használjuk, az csak az ő magánkulcsával fejthető meg teszt-kulcspár egyes szolgáltatóktól akár ingyen is igényelhető (igaz, ez csak egy elektronikus cím létezését bizonyítja, mást nem)
20
A datbiztonság, adatvédelem A PKI egyik alkalmazási területe − digitális aláírás készítése nyílt szöveg lenyomat a nyílt szövegről hash-függvény magánkulcs kódolt lenyomat ( = az aláírás) Az üzenet továbbítása: nyílt szövegkódolt lenyomat ( = az aláírás) címzett kódolás
21
A datbiztonság, adatvédelem Digitális aláírás ellenőrzése nyílt szövegkódolt lenyomat ( = az aláírás) feladó hash-függvény lenyomat 1. nyilvános kulcs lenyomat 2. dekódolás megegyeznek? Cél: mindenki tudja ellenőrizni egy digitális aláírás hitelességét, de a hiteles aláírást csak egy személy tudja produkálni.
22
A datbiztonság, adatvédelem Lenyomatkészítés hash-függvénnyel tetszőleges hosszúságú szövegből rövid, fix hosszúságú bitsorozat előállítása (ez a Message Digest − lenyomat vagy üzenetkivonat) egyirányúság ütközésmentesség lavinahatás
23
A datbiztonság, adatvédelem A (nyílt kulcsú) digitális aláírás előnyei garantáltan bizonyítja, hogy az üzenetet az aláíró írta (hitelesség), annak tartalma nem változott meg az aláírás óta (sértetlenség) az üzenetet az aláíró küldte el (letagadhatatlanság) a ma használt szoftverek (pl. levelező- vagy irodai programok) nagy része többé-kevésbé kezelni tudja
24
A datbiztonság, adatvédelem A digitális aláírás hátrányai eszközigény a számításhoz többféle, egymással nem kompatibilis szabvány az elküldött üzenet nyílt marad, tehát ellopható, illetéktelen kezekbe juthat nem véd vírusoktól, betöréstől, DoS-tól és más, hálózati támadásoktól, stb.
25
A datbiztonság, adatvédelem A digitális aláírás hátrányai A digitális aláírás önmagában semmiképpen sem nyújt kellő védelmet a hálózat veszélyeitől… … de nem is arra való.
26
A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: az adattárolás veszélyei (fájlrendszerek védelmi eszközei − vagy ezek hiánya) hibák az operációs rendszerekben − biztonsági rések, amelyek nem akarnak elfogyni nem létező vagy rosszul konfigurált védelmi eszközök (kikapcsolt tűzfalak, ritkán cserélt jelszavak, stb.)
27
A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: vírusok 1949. az elmélet születése − publikáció készül önmagát reprodukálni képes program írásának lehetőségéről 1981. az első példány − Elk Cloner − megjelenése (Apple II rendszerlemezeken) 1983. az első dokumentált vírus (a „vírus” születési éve) 1990-es évek eleje: jellemzően boot- és fájlvírusok (Jerusalem − 3 év) 1995. makróvírusok − Word.Concept (4 hónap)
28
A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: vírusok 1999-2000. e-mail kártevők − Melissa (OutLook Express, egymillió fertőzött PC), LoveLetter (6 óra alatt) 2001. „a férgek éve” (Nimda, Sircam, CodeRed) 2003. január 25. SQL.Slammer (10 perc alatt 75 000 fertőzött PC, a fertőzött gépek száma 8,5 másodpercenként megduplázódik) 2004. szeptember 28. HackTool.JPEGShell (Trojan.Moo) JPEG-vírus?
29
A datbiztonság, adatvédelem A JPEG-vírus? (még?) nem vírus (nincs önreprodukáló kódja) az MS programok biztonsági grafikus vezérlőjének (GDI+) biztonsági rését használja ki elemzők szerint aggodalomra ad okot… … pedig volt már hasonló: − 2004. augusztus (PNG-probléma) − 2002. január (Macromedia Flas-ba épülő vírus) … és ma sem csak a JPG érintett
30
A datbiztonság, adatvédelem
32
A vírusfogalom átértékelése víruskeresőket használunk, pedig ma már főként nem vírusokat keresünk új, szokatlan terjedési módok (pl. képfájlokban) néhány esetben bizonyíthatóan üzleti vállalkozás áll a háttérben Forrás: Kapersky Lab., októberi top 20 http://www.viruslist.com/en/analysis?pubid=154331948
33
A datbiztonság, adatvédelem Az okok (többek között) Az MS oldalán a javasolt 3 lépés a biztonság érdekében: használjunk tűzfalat szerezzünk be minden frissítést használjunk naprakész víruskeresőt
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.