Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.
Bezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
1
Osnova
• integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; • realizace vícevrstvé ochrany informací; – jednotlivé komponenty vícevrstvé ochrany;
• správa bezpečnostních opatření.
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
2
Literatura • Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 • Kolektiv: Informační bezpečnost, Tate International, 2001 • Časopis DSM - Data security management Doporučená • Smejkal V.; Rais K.:Řízení rizik, Grada 2003 • Frimmel M.: Elektronický obchod, Prospektum 2002 • Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
3
Integrace bezpečnosti do ICT Řešení hlavních bezpečnostních požadavků: autentizace, autorizace, správa uživatelských účtů • • • • • • •
firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS – detekce narušení systému filtrování obsahu dat šifrování
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
4
Integrace bezpečnosti do ICT Hierarchie realizace bezpečnostní architektury autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS – detekce narušení systému filtrování obsahu dat management
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
5
Firewally; Firewally VPN Firewall – prvek elektronického perimetru Základní třídy: • firewally s filtrováním paketů; - kontrola hlaviček paketů • firewally s povolováním služeb; - monitoring stavu transakcí • proxy firewally na aplikační úrovni; - přepis paketů Nebezpečné porty – nutno zajistit restrikci těchto portů
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
6
Firewally; VPN Virtuální privátní sítě – Virtual private networks => vytvoření chráněného spojení mezi dvěma místy sítě Využití protokolu SSL (Secure Socket Layer), který poskytuje zabezpečený přenos s využitím kryptografických metod. Protokol je umístěn v síťové vrstvě OSI nad TCP/IP. Mohou jej využít vyšší protokoly – viz např. HTTPS Je zajištěna: důvěrnost přenášených dat – šifrování; integrita dat – krypto kontrolní součet; autentizace – využití certifikátů VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
7
Antivirová ochrana Antivirová ochrana je požadovaná součást programu informační bezpečnosti. Antivirový SW využívá při ochraně počítačového systému proti škodlivému SW dvou základních metod: • identifikace charakteristických značek viru. Identifikace značky viru jsou podobné zkoumání otisků prstů – jedná se o metody reaktivní • heuristické metody, vyhledávání vzorků, které lze v daném viru identifikovat – metody proaktivní
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
8
Správa bezpečnostních zranitelností a rizik Vulnerability management - Správa bezpečnostních zranitelností Nástroje použité při správě zranitelností porovnávají prostředí podnikového informačního systému vůči databázi známých zranitelných míst a ukazují zda jsou tato místa obsažena v systému či nikoliv. Dvě základní metody na bázi: • sítě; • host počítače. V prvním případě se používá síťových nástrojů k tomu, aby se kontroloval provoz sítě a zjišťovaly její slabiny v druhém případě se monitorují výpočetní systémy jako např. servery.
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
9
Filtrování obsahu dat Metody
zahrnují filtrování web stránek a elektronické pošty. Filtrování obsahu lze použít k blokování přístupu k určitým webovým stránkám, obsahujícím nevhodný obsah. Velký problém současnosti
-------
spam
Implementace nástrojů filtrujících obsah přináší otázky legálnosti i omezování lidských práv - musí být v souladu s bezpečnostní politikou.
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
10
Kryptografická ochrana dat
Šifrování je proces převedením dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptografie využívá dvou základních směrů – symetrickou a asymetrickou šifru. šifru Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci.
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
11
Realizace bezpečnostního modelu
Funkční model podnikové bezpečnosti musí reagovat na analyzované hrozby a splňovat principy architektury vrstvové bezpečnosti. Model je řešen v závislosti obchodních cílech podniku a navržená bezpečnostní opatření se vztahují k podnikovým aktivitám. Jádrem modelu je vypracovaná bezpečnostní politika.
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
12
Realizace bezpečnostního modelu Řešitelé musí zejména analyzovat zda: • bezpečnost síťového prostředí vychází ze stanoveného perimetru; • existuje kompatibilita použitého operačního systému a používaného HW vzhledem k bezpečnostním požadavkům • je stávající síťová architektura využitelná při řešení bezpečnostních požadavků, popř. jaké kroky je třeba učinit;
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
13
Realizace bezpečnostního modelu Jednotlivé kroky: • přijmout základní strategii, kdy informační infrastruktura vytváří podporu pro činnosti podniku. Část podniku, která je zodpovědná za správu informačního systému musí být koncipována jako dodavatel služeb pro obchodní úseky; • vytvořit bezpečnostní politiku - spolupráce s obchodními úseky; • využít nejvýhodnějších opatření – využití norem - obecná politika = ISO 13335, bezpečnostní procesy = ISO 17799; VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
14
Realizace bezpečnostního modelu Jednotlivé kroky (pokračování): • dodržet úrovňový (vrstvový) bezpečnostního modelu ¾ „opevnění“ informační podnikové bezpečnosti;
přístup
infrastruktury
–
k
budování
ve
vztahu
9 bezpečnostní ošetření routerů (firewally, IDS) 9 bezpečnostní ošetření operačních systémů • Linux odstranění, eliminování nežádoucích služeb přidání záznamových služeb – logy zabezpečení TCP/IP • UNIX • MS Windows
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
15
k
Realizace bezpečnostního modelu Jednotlivé kroky (pokračování): ¾ správa přístupů do informačního prostředí podniku na stanoveném perimetru – perimetrech; ¾ stanovení cyklu ohodnocování rizik a slabin; ¾ definování jednotlivých vrstev ochrany ¾ zabezpečení přenášených dat v nebezpečném prostředí (Internet) ¾ autentizace uživatelů
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
16
Správa bezpečnostních opatření
Plánuj Implementuj
Udržuj a zlepšuj
Kontroluj Demingův cyklus – model PDCA VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
17
Správa bezpečnostních opatření Jednotlivé kroky
Plánuj 1. 2. 3. 4. 5.
Musí být zformulována politika bezpečnosti informací. Musí být vymezen rozsah systému řízení bezpečnosti informací - ISMS (information security management systém). Musí být zpracováno vhodné hodnocení rizik. Musí být označeny oblasti rizik, která mají být zvládnuta, Musí být stanovisko k aplikovatelnosti
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
18
Správa bezpečnostních opatření Jednotlivé kroky
Implementuj zejména 1. 2. 3. 4. 5.
Musí být zformulován plán zmírnění rizik. Musí být přijat plán zmírnění rizik Musí být zahájen provoz ISMS Musí být zpracován systém kontroly. Musí být vytvořen systém školení
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
19
Správa bezpečnostních opatření Jednotlivé kroky Kontroluj zejména 1. Musí být zavedena správa incidentů. 2. Musí být zavedena správa problémů. 3. Musí být zavedena správa rizik. 4. Musí být zaveden mechanismus hodnocení ISMS
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
20
Správa bezpečnostních opatření Jednotlivé kroky Udržuj a zlepšuj zejména 1. Nápravná opatření. 2. Musí být zavedena realizovaných opatření. 3. Začlenění auditu.
zpětná
VŠFS; Aplikovaná informatika; SW systémy – 2005/2006
vazba
u
všech
21
