Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.
Bezpečnostní aspekty informačních a komunikačních systémů PS2-1
VŠFS; Aplikovaná informatika - 2006/2007
1
Literatura • Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 • Časopis DSM - Data security management Doporučená • Strebe M.,Perkins Ch.: Firewally a proxy-servery, praktický průvodce, Computer Press, 2004 • Proise Ch., Mandia K.:Počítačový útok, detekce, obrana a okamžitá náprava, Computer Press, 2003
VŠFS; Aplikovaná informatika - 2006/2007
2
Osnova I
• realizace bezpečnostního modelu • integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; • realizace vícevrstvé ochrany informací; – jednotlivé komponenty vícevrstvé ochrany; • správa bezpečnostních opatření; VŠFS; Aplikovaná informatika - 2006/2007
3
Realizace bezpečnostního modelu
Funkční model podnikové bezpečnosti musí reagovat na analyzované hrozby a splňovat principy architektury vrstvové bezpečnosti. Model je řešen v závislosti na obchodních cílech podniku a navržená bezpečnostní opatření se vztahují k podnikovým aktivitám. Jádrem modelu je vypracovaná bezpečnostní politika.
VŠFS; Aplikovaná informatika - 2006/2007
4
Realizace bezpečnostního modelu Řešitelé musí zejména analyzovat zda: • bezpečnost síťového prostředí vychází ze stanoveného perimetru; • existuje kompatibilita použitého operačního systému a používaného HW vzhledem k bezpečnostním požadavkům; • je stávající síťová architektura využitelná při řešení bezpečnostních požadavků, popř. jaké kroky je třeba učinit;
VŠFS; Aplikovaná informatika - 2006/2007
5
Realizace bezpečnostního modelu Jednotlivé kroky: • dodržet úrovňový (vrstvový) bezpečnostního modelu ¾ „opevnění“ informační podnikové bezpečnosti;
přístup
infrastruktury
–
k
budování
ve
vztahu
9 bezpečnostní ošetření routerů (firewally, IDS) 9 bezpečnostní ošetření operačních systémů • Linux odstranění, eliminování nežádoucích služeb přidání záznamových služeb – logy zabezpečení TCP/IP • UNIX • MS Windows
VŠFS; Aplikovaná informatika - 2006/2007
6
k
Realizace bezpečnostního modelu Jednotlivé kroky (pokračování): ¾ správa přístupů do informačního prostředí podniku na stanoveném perimetru – perimetrech; ¾ stanovení cyklu ohodnocování rizik a slabin; ¾ definování jednotlivých vrstev ochrany ¾ zabezpečení přenášených dat v nebezpečném prostředí (Internet) ¾ autentizace uživatelů
VŠFS; Aplikovaná informatika - 2006/2007
7
Řešení bezpečnostní architektury
• Bezpečnostní architektura vychází z navrženého bezpečnostního modelu IT. • Dříve: Situace mnohem jednodušší. Podniková data se zpracovávala v homogenním back-end výpočetním prostoru a bylo pouze několik fyzických cest přístupu k těmto datům. • Nyní: Používání Internetu, webovské aplikace, požadavky na e-business. Bezpečnostní technologie a postupy zajišťují bezpečnost v síťovém i výpočetním prostředí VŠFS; Aplikovaná informatika - 2006/2007
8
Řešení bezpečnostní architektury (pokr.) Při vytváření bezpečnostní architektury je třeba zodpovědět zejména následující otázky: • jak by měl být do prostředí ICT zařazen firewall a jaké by měl mít parametry, aby nesnižoval efektivitu síťového prostředí; • jaké budou nastaveny nástroje na zápis a monitoring výskytu slabých míst sítě; • jak přistoupit k návrhu bezpečnostních služeb, aby byly maximálně efektivní a pružné ke změnám vyvolaným stále se zvyšujícími hrozbami. • jak by měly tyto služby být v daném informačním prostředí rozmístěny aby optimálně chránily informační aktiva podniku a výpočetní zdroje; • kde je optimální zařazení bezpečnosti v případě point-to-point přenosu dat; • jak autentizovat bázi uživatelů a získat uživatelskou podporu a jak vybrat systém podporují podnikovou bezpečnost informací.
VŠFS; Aplikovaná informatika - 2006/2007
9
Stávající řešení firewallů Základní dělení: • paketový filtr; • stavový filtr; • aplikační host server.
Integrace dalších funkcí: • • • •
autentizace uživatele podpora směrování integrace VPN podpora QoS –kvalita služby
VŠFS; Aplikovaná informatika - 2006/2007
10
Demilitarizovaná zóna - DMZ Slouží k oddělení externího nezabezpečeného prostředí od vnitřní podnikové sítě, tvoří tzv. přechodovou oblast. oblast Tvoří ji: • routery (směrovače) - průchod paketů pouze přes vnitřní servery, kontrolující oprávnění daných transakcí. • vnitřní servery – tj. např: –poštovní server – zajištění elektronické pošty; –www proxy server, –aplikační proxy servery,
V případě služeb, kde je aplikační úroveň nevhodná se využívá služby NAT (Network access translation) , kdy se kontrolují IP adresy.
VŠFS; Aplikovaná informatika - 2006/2007
11
Architektura vzdáleného přístupu
Administrátorské funkce preferování lokálního přístupu přes adm. konzoli • standardní prvky autentizace = ID a heslo. • ochrana organizačně technickými opatřeními – fyzické odpojení a zamknutí klávesnice administrátorské
stanice, – oprávněný přístup k serverům (serverové místnosti musí být v nejvyšší zóně zabezpečení). – čipové karty pro otevírání dveří – kontrola doby nečinnosti klávesnice s automatickým odpojením.
VŠFS; Aplikovaná informatika - 2006/2007
12
Architektura vzdáleného přístupu
Administrátorské funkce nutnost vzdáleného přístupu V případě, že je nutné zajistit pro administraci i vzdálený přístup je nutné se vyvarovat přenosu dat v otevřeném tvaru.
Efektivní řešení = VPN VŠFS; Aplikovaná informatika - 2006/2007
13
Virtuální privátní síť Připojení vzdáleného uživatele k podnikové síti – 1. krok
VŠFS; Aplikovaná informatika - 2006/2007
14
Virtuální privátní síť Připojení vzdáleného uživatele k podnikové síti 2. krok
Encrypted data Tunneling
VŠFS; Aplikovaná informatika - 2006/2007
15
Architektura připojení administrátorů
Administrátorské funkce - ochrana Administrátorské funkce by měly být též ochráněny před interními hrozbami. Doporučení – vytvoření odděleného síťového prostředí pouze s povolením přístupu pro administrátory. HW (servery, hostitelské počítače, směrovače apod.) musí být opatřeny příslušným rozhraním pro administraci. VŠFS; Aplikovaná informatika - 2006/2007
16
Vzdálený přístup uživatelů Politika přístupových hesel Autentizace vzdáleného uživatele pomocí hesla - největší hrozba bezpečnostního manažera. • Nelze volit hesla která může útočník snadno uhádnout . • Heslo se dá snadno získat odpozorováním • Hesla (k el. poště, do informačního systému, aplikačnímu SW) se dají odchytit na úrovni klávesnice. ____________________________________________________ • využití rezidentního programu, který bude ukládat do souboru všechny stisknuté znaky na klávesnici, freeware na internetu. • sociální inženýrství VŠFS; Aplikovaná informatika - 2006/2007
17
Vzdálený přístup uživatelů
Přihlášení uživatele vyžaduje dvě věci (dvoufázová autentizace): Čipovou kartu, či USB token se svým privátním klíčem a certifikátem. Heslo/pin k tokenu, ochrana proti zneužití při krádeži, či ztrátě.
VŠFS; Aplikovaná informatika - 2006/2007
18
PKI (Public Key Infrastructure) PKI
- souhrn pravidel a technických prostředků pro zajištění infrastruktury autentizace (elektronického podpisu) a šifrování (zabezpečení) informací.
Certifikační autorita zajišťuje mj.: 1. důvěryhodnost jednotlivých subjektů začleněných do systému. 2. bezpečné uložení svého privátního klíče 3. důvěryhodnost procesů vedoucích k vystavení certifikátu (ověření identity) subjektu.
Návrh procesů PKI podle platných doporučení (RFC) přímo pro daný informační systém. Systém PKI musí splňovat platné zákony (v ČR Zákon č. 227/2000 Sb. o elektronickém podpisu) Musí splňovat objektovou a fyzickou bezpečnost nástrojů poskytujících služby PKI. VŠFS; Aplikovaná informatika - 2006/2007
19
SSO (Single sign on) Uživatel musí přistupovat a pracovat s různými systémy (v podnikové infrastruktuře není výjimkou), kam je přístup chráněn různými hesly => dochází velmi pravděpodobně k jejich nechráněnému ukládání. Princip single sign-on - uživatel zadá heslo jen jednou a nástroje infrastruktury zajistí, že jeho identifikace se bude předávat transparentně bez nutnosti opakovaného zadávání hesla, V případě, že uživatel bude své heslo zadávat pouze jednou za den, výrazně se zvyšuje nejen pohodlí uživatelů, ale zejména bezpečnost celého systému. VŠFS; Aplikovaná informatika - 2006/2007
20
Osnova II
• realizace bezpečnostního modelu • integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; • realizace vícevrstvé ochrany informací; – jednotlivé komponenty vícevrstvé ochrany; • správa bezpečnostních opatření; VŠFS; Aplikovaná informatika - 2006/2007
21
