Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A datbiztonság, adatvédelem. Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő.

Hasonló előadás


Az előadások a következő témára: "A datbiztonság, adatvédelem. Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő."— Előadás másolata:

1 A datbiztonság, adatvédelem

2 Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő cél: az adat (és vele az információ) elvesztésének megakadályozása. MIT és MENNYIRE? Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Fő cél: az adat (és vele az információ) illetéktelenek kezébe jutásának megakadályozása.HOGYAN?

3 A datbiztonság, adatvédelem Eszközök törvényi, jogi szabályozás Európában − ET 1973., 1979., OECD 1980.. … − EU és EP 1999/93/EK irányelv az elektronikus aláírások közösségi keretszabályairól Magyarországon − 1992. évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról … − 2001. évi XXXV. tv. az Elektronikus Aláírásról (2001. május 29.)

4 A datbiztonság, adatvédelem Eszközök műszaki, technikai, tudományos eszközök pl. hálózati biztonságtechnikai hardver- és szoftvereszközök matematikai algoritmusok, pl. kriptográfia nemzetközi szervezetek szabványai, ajánlásai ISO IEEE W3C …

5 A datbiztonság, adatvédelem Az információ szabad áramlása A fő ellentmondás: A személyes adatok védelme

6 A datbiztonság, adatvédelem Kitől, mitől kell védenünk adatainkat? a konkurenciától a hálózati kalózok tevékenységétől vírusoktól, trójai programoktól, egyéb hálózati kártevőktől megbízhatatlanul működő informatikai eszközöktől (hardver és szoftver) a gondatlanság, tudatlanság miatt bekövetkező eseményektől !!

7 A datbiztonság, adatvédelem Honnan várható támadás? Forrás: Ökrös László: Biztonság és adatvédelem az információtechnológiában

8 A datbiztonság, adatvédelem A bekövetkez(het)ő események: adatlopás adatmanipuláció törlés, rombolás sérelmek miatti bosszú személyiségi jogok megsértése …

9 A datbiztonság, adatvédelem Gondatlanság, tudatlanság − amiről a felhasználó tehet… jelszavak védelmének hiánya jogosultsági rendszerek be nem állítása eszközök helytelen konfigurációja védelmi rendszerek hézagos telepítése szoftverlicencek hiányos kezelése (kezeletlensége) a biztonsági mentések elhanyagolása vagy hibás gyakorlata …

10 A datbiztonság, adatvédelem … és amiről nem tehet, de ezek is neki okoznak bosszúságot rosszul működő vagy rosszul konfigurált hardver biztonsági rések a szoftverekben a szoftverhibákhoz kiadott javítócsomagok áradata spamek és hoaxok …

11 A datbiztonság, adatvédelem Az adat- (és információ-) biztonság célja: az informatikai rendszer azon állapotának elérése, melyben a kockázatok szintje elviselhető mértékűre csökkenthető ehhez elfogadható intézkedések, döntések meghozatala ezzel biztosítva az információ elérhetőségét, sérthetetlenségét és megbízhatóságát.

12 A datbiztonság, adatvédelem Digitális aláírás Elektronikus aláírás mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. Tömösközi Péter

13 A datbiztonság, adatvédelem Digitális aláírás mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. aláírás-készítés mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. 0100110101101111 …

14 A datbiztonság, adatvédelem Digitális aláírás tulajdonságai elkészítéséhez szimmetrikus vagy aszimmetrikus kulcs szükséges az üzenethez van csatolva, és igazolja annak hitelességét sértetlenségét letagadhatatlanságát maga az üzenet nyílt (tehát kódolatlan) marad

15 A datbiztonság, adatvédelem Kódolás szimmetrikus kulccsal eredeti (nyílt) üzenet kódolt (titkos) üzenet kódolás Dekódolás kódolt (titkos) üzenet eredeti üzenet dekódolás titkos kulcs

16 A datbiztonság, adatvédelem Kódolás aszimmetrikus kulccsal eredeti (nyílt) üzenet kódolt (titkos) üzenet kódolás Dekódolás kódolt (titkos) üzenet eredeti üzenet dekódolás magánkulcs publikus kulcs

17 A datbiztonság, adatvédelem Szimmetrikus vagy aszimmetrikus kódolás? kockázatelemzés költségek? a ma ismert legjobb módszerek PKI alapúak: PKI (Public Key Infrastructure)

18 A datbiztonság, adatvédelem Kódolás aszimmetrikus (nyilvános) kulccsal a kódolás egy kulcspárral történik, az egyik kulccsal kódolt üzenet csak a másik kulccsal fejthető meg a nyilvános kulcs közzétehető, nem titkos, a felhasználó csak a magánkulcsát nem adhatja ki a nyilvános kulcs birtoklását tanúsítvány igazolja (ezt egy hitelesítés-szolgáltató − CA − adja ki és saját kulcsával aláírja) a kulcspár tagjai matematikai algoritmussal (jelenleg főként RSA) előállított bitsorozatok: összetartoznak, de egyik a másikból nem következtethető ki

19 A datbiztonság, adatvédelem Kódolás aszimmetrikus (nyilvános) kulccsal a kulcspárt előállító algoritmusok megbízhatók, feltörésük ma rendelkezésünkre álló eszközökkel gyakorlatilag nem lehetséges üzenet titkosítására is felhasználható: ha a titkosításhoz a címzett nyilvános kulcsát használjuk, az csak az ő magánkulcsával fejthető meg teszt-kulcspár egyes szolgáltatóktól akár ingyen is igényelhető (igaz, ez csak egy elektronikus cím létezését bizonyítja, mást nem)

20 A datbiztonság, adatvédelem A PKI egyik alkalmazási területe − digitális aláírás készítése nyílt szöveg lenyomat a nyílt szövegről hash-függvény magánkulcs kódolt lenyomat ( = az aláírás) Az üzenet továbbítása: nyílt szövegkódolt lenyomat ( = az aláírás) címzett kódolás

21 A datbiztonság, adatvédelem Digitális aláírás ellenőrzése nyílt szövegkódolt lenyomat ( = az aláírás) feladó hash-függvény lenyomat 1. nyilvános kulcs lenyomat 2. dekódolás megegyeznek? Cél: mindenki tudja ellenőrizni egy digitális aláírás hitelességét, de a hiteles aláírást csak egy személy tudja produkálni.

22 A datbiztonság, adatvédelem Lenyomatkészítés hash-függvénnyel tetszőleges hosszúságú szövegből rövid, fix hosszúságú bitsorozat előállítása (ez a Message Digest − lenyomat vagy üzenetkivonat) egyirányúság ütközésmentesség lavinahatás

23 A datbiztonság, adatvédelem A (nyílt kulcsú) digitális aláírás előnyei garantáltan bizonyítja, hogy az üzenetet az aláíró írta (hitelesség), annak tartalma nem változott meg az aláírás óta (sértetlenség) az üzenetet az aláíró küldte el (letagadhatatlanság) a ma használt szoftverek (pl. levelező- vagy irodai programok) nagy része többé-kevésbé kezelni tudja

24 A datbiztonság, adatvédelem A digitális aláírás hátrányai eszközigény a számításhoz többféle, egymással nem kompatibilis szabvány az elküldött üzenet nyílt marad, tehát ellopható, illetéktelen kezekbe juthat nem véd vírusoktól, betöréstől, DoS-tól és más, hálózati támadásoktól, stb.

25 A datbiztonság, adatvédelem A digitális aláírás hátrányai A digitális aláírás önmagában semmiképpen sem nyújt kellő védelmet a hálózat veszélyeitől… … de nem is arra való.

26 A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: az adattárolás veszélyei (fájlrendszerek védelmi eszközei − vagy ezek hiánya) hibák az operációs rendszerekben − biztonsági rések, amelyek nem akarnak elfogyni nem létező vagy rosszul konfigurált védelmi eszközök (kikapcsolt tűzfalak, ritkán cserélt jelszavak, stb.)

27 A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: vírusok 1949. az elmélet születése − publikáció készül önmagát reprodukálni képes program írásának lehetőségéről 1981. az első példány − Elk Cloner − megjelenése (Apple II rendszerlemezeken) 1983. az első dokumentált vírus (a „vírus” születési éve) 1990-es évek eleje: jellemzően boot- és fájlvírusok (Jerusalem − 3 év) 1995. makróvírusok − Word.Concept (4 hónap)

28 A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: vírusok 1999-2000. e-mail kártevők − Melissa (OutLook Express, egymillió fertőzött PC), LoveLetter (6 óra alatt) 2001. „a férgek éve” (Nimda, Sircam, CodeRed) 2003. január 25. SQL.Slammer (10 perc alatt 75 000 fertőzött PC, a fertőzött gépek száma 8,5 másodpercenként megduplázódik) 2004. szeptember 28. HackTool.JPEGShell (Trojan.Moo) JPEG-vírus?

29 A datbiztonság, adatvédelem A JPEG-vírus? (még?) nem vírus (nincs önreprodukáló kódja) az MS programok biztonsági grafikus vezérlőjének (GDI+) biztonsági rését használja ki elemzők szerint aggodalomra ad okot… … pedig volt már hasonló: − 2004. augusztus (PNG-probléma) − 2002. január (Macromedia Flas-ba épülő vírus) … és ma sem csak a JPG érintett

30 A datbiztonság, adatvédelem

31

32 A vírusfogalom átértékelése víruskeresőket használunk, pedig ma már főként nem vírusokat keresünk új, szokatlan terjedési módok (pl. képfájlokban) néhány esetben bizonyíthatóan üzleti vállalkozás áll a háttérben Forrás: Kapersky Lab., októberi top 20 http://www.viruslist.com/en/analysis?pubid=154331948

33 A datbiztonság, adatvédelem Az okok (többek között) Az MS oldalán a javasolt 3 lépés a biztonság érdekében: használjunk tűzfalat szerezzünk be minden frissítést használjunk naprakész víruskeresőt


Letölteni ppt "A datbiztonság, adatvédelem. Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő."

Hasonló előadás


Google Hirdetések