Bevezetés Alapfogalmak
Adatvédelmi célok • Adatok és információk elérhet!ségének biztosítása és védelme • Hagyományosan fizikai és adminisztratív eszközökkel • Számítógépes környezetben • automatizált eszközökkel (HW, SW) • Speciális védelem a hálózaton továbbított adatoknak
2
Néhány definíció •Számítógépes biztonság • általános, számítógépes (elektronikusan tárolt) adatok védelme •Hálózati biztonság • átvitel közbeni védelem •Internetes biztonság • Interneten (összekapcsolt, többé•
kevésbbé nyílt hálózatok) történ! átvitel közbeni védelem kitettség
3
A védelem területei Min!ség biztosítás
Információs technológia
Biztonság technika
Informatikai biztonság
Jogi szabályozás 4
A védelem területei (folyt.)
• Technikai védelem • véletlen meghibásodások, adathordozó sérülések, elemi károk • Jogi el!írásoknak való megfelelés • információs önrendelkezési jogok, szerz!i jogok • Tudatos támadások elleni védelem • anyagi haszonszerzés, károkozás 5
Az okok • Veszélyek a környezetben • Társadalmi környezet • szabályozatlanság, szaképzetlenség • Fizikai környezet • t"z, villám, áramszünet • Hardver infrastruktúra • szakszer"tlen üzemeltetés, véletlen meghibásodások • Rendszer szoftverek • Alkalmazás szoftverek • szoftverhibák
6
Az adatvédelem köre • Adatok • Adathordozók (tárolók) • Adattovábbító eszközök • Személyzet • Fizikai környezet 7
Néhány definíció • Biztonsági támadás • adatok biztonságát fenyegeti • Biztonsági mechanizmus • támadások detektálására, megel!zésére, a károk elhárítására szolgáló megoldás • Biztonsági szolgáltatás • egy rendszer biztonságát fokozó szolgáltatás, több biztonsági mechanizmusra építve
8
Biztonsági támadások
Normál információ áramlás
Megszakítás
Lehallgatás
Módosítás
Hamisítás
9
Biztonsági célok • Titkosság • csak a felhatalmazottak férjenek az információhoz • Integritás • jogosulatlan módosítás megakadályozása • Rendelkezésre állás • er!források hozzáférhet!ségének biztosítása
• Nem engedélyezett felhasználás megakadályozása
10
Biztonsági szint
Biztonsági szintek Elméleti max. biztonság
Az alkalmazás számára elvárt biztonság
A rendszer alap megbízhatósága
[
gazdasági lehet!ségek
]
Költség
11
Biztonsági megközelítések
• Elrettentés • Megel!zés • Detektálás • Válaszcsapás 12
“Pszeudobiztonság” • Security through obscurity • nincsenek spec. biztonsági megoldások, • er!forrásokkal, biztonsági mechanizmusokkal kapcsolatos információk “titokban tartása” rossz megközelítés info-szivárgás, reverse engineering
• •
13
Védelmi lehet!ségek • Fizikai védelem • Jogi szabályozás • Algoritmusos védelem • Biztonság politika, védelmi program • Való világban ezek összessége 14
Fizikai védelem • Redundancia, szeparálás • biztonsági mentések, duplikált adathordozók • elkülönített (földrajzilag) tárolás • Hozzáférés, bejutás szabályozás • Szünetmentes tápellátás • Tartalék rendszerek • T"zvédelem 15
Jogi szabályozás • Adatvédelmi törvények • adatvédelmi biztos (ombudsman) • Személyiségi jogok védelme • Szerz!i és szomszédos jogok • Piac védelmi szabályozás • Számviteli törvények • Bels! el!írások 16
Algoritmikus védelem • Hozzáférési eljárások • autentikációs megoldások • jelszavak, tokenek • Titkosítási megoldások • kriptográfiai mechanizmusok • szolgáltatások, tanusítvány kezelés • Vírus scannerek • T"zfalak • csomagsz"rés, spamsz"rés • Hardver és szoftver azonosítás 17
Biztonsági rendelkezések
• Infrastruktúrához kapcsolódó rendelkezések • Adathordozókhoz kapcsolódó rendelkezések • Dokumentumokhoz kapcsolódó szabályozás • Szoftverekhez kapcsolódó rendelkezések • Kommunikációhoz kacsolódó szabályozás • Személyekkel kapcsolatos rendelkezések 18
Biztonsági szabványok
• Különböz! forrásból származó, biztonsági •
megoldást igényl! szoftverek, komponensek, valamint különböz! forrásból származó biztonsági megoldások, elosztott szolgáltatások
• interoperabilitásának szükségessége 19
Biztonsági szabványok (folyt.)
• Konformitási szabványok (f!leg védelmi, •
katonai, ill. de jure polgári, államigazgatási) Nyílt rendszerekhez kapcsolódó technikai szabványok (számítógéphálózatok, protokollok)
• Ágazati szabványok • Implementációs szabványok • Érdekeltség miatt alkalmazott szabványok 20
Biztonsági alap modell Megbízható harmadik fél Els!dleges kommunikáló fél
Els!dleges kommunikáló fél
Véletlen zavarok Üzenet
Üzenet Információs csatorna
Biztonsági információk
Biztonsági információk
Tudatos támadás
Biztonsági transzformáció
Biztonsági transzformáció
Ellenség
21
