Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.
Správa přístupu PS3-1
VŠFS; Aplikovaná informatika - 2006/2007
1
Osnova I
• základní metody pro zajištění oprávněného přístupu; – autentizace; – autorizace; – správa uživatelských účtů; • současné metody ochrany proti neoprávněnému přístupu – elektronický podpis; • nové technologické možnosti.
VŠFS; Aplikovaná informatika - 2006/2007
2
Literatura
• Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 • Časopis DSM - Data security management Doporučená • Smejkal V.: Informační systémy veřejné správy ČR, VŠE Praha, 2003
VŠFS; Aplikovaná informatika - 2006/2007
3
Autentizace
Bezpečnostní problémy vzniknou vždy, když k datovým zdrojům získají přístup neoprávněné osoby, nebo když uživatelé překročí úroveň svého definovaného přístupu k daným systémům.
VŠFS; Aplikovaná informatika - 2006/2007
4
Autentizace
Způsoby autentizace využívají: • znalosti něčeho unikátního – např. heslo; • vlastnictví něčeho unikátního – např. prostředek typu token, čipová karta; • unikátnosti znaků osoby – otisk prstů, biometrika; • unikátnosti osoby v prostoru - využití satelitů, při lokalizaci pozice dané osoby VŠFS; Aplikovaná informatika - 2006/2007
5
Autentizace Způsob autentizace pomocí hesla přetrvává déle než bezpečnostní experti předpokládali. ID a heslo v otevřeném tvaru se stále používá. Stále více se začínají používat autentizační nástroje, které jsou bezpečnější, ale také odstraňují „skryté“ náklady na správu hesel – cca 30% požadavků na podnikový helpdesk je spojeno se správou hesel odblokování hesel apod.
VŠFS; Aplikovaná informatika - 2006/2007
6
Nástroje autentizace Bezpečnostní nástroje – autentizace založena vlastnictví
Bezpečnostní nástroje – využití biometrie
Obrázky - zdroj: Svět sítí 1999
VŠFS; Aplikovaná informatika - 2006/2007
7
Faktorová autentizace Možnosti vícefaktorové autentizace faktor varianty 1
znalost
vlastnictví
X
2
X
karta, USB flash paměť X
X
5
příklady heslo, klíč, PIN
3 4
biometrika pozice
otisk, geometrie, tvar, hlas
X X
X
6
X
X
7
X
X
X
8
X
X
X
X
VŠFS; Aplikovaná informatika - 2006/2007
…. + GPS
8
Vlastnosti nástrojů autentizace
• • • • • •
Odolnost, spolehlivost, trvanlivost Mobilita (porty, čtečky) Universálnost (vstupní systémy, oprávněný přístup) Parametry (paměť, procesor) Další využití Cena
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Zdroj Gartner: není potřeba - biometrie pro všechny uživatele je vhodné – kvalitnější autentizace VŠFS; Aplikovaná informatika - 2006/2007
9
Vlastnosti nástrojů autentizace (pokr.)
Bezpečnostní parametry • Použité faktory autentizace • Zablokování, odblokování nástroje • Integrace kryptografických metod • Shoda s bezpečnostními normami PKCS # XX • Využití v bezpečnostních protokolech
VŠFS; Aplikovaná informatika - 2006/2007
10
Autentizační protokoly Kerberos Protokol vyvinutý v MIT, který autentizuje uživatele. Neposkytuje možnost autorizace ke službám nebo databázím. Autentizace uživatele využívá metody symetrické šifry a do protokolu je také začleněna důvěryhodná třetí strana (centrum ), která je určena pro distribuci klíčů. Systém je používán v prostředí MS Windows.
VŠFS; Aplikovaná informatika - 2006/2007
11
Autentizační protokoly Kerberos- postup autentizace klienta A vůči serveru B 1.
A zašle zprávu do centra C se svou identitou a identitou serveru B
A,B 2.
C vygeneruje zprávu s časovým razítkem T, klíčem na zprávu K, identitou A a zašifruje sdíleným klíčem C s B, pak přidá časové razítko.T, klíč na zprávu K a identitu B a zašifruje sdíleným klíčem C s A. Zprávu zašle A. EA (T,K,IDB) E B(T,K,IDA)
3.
A vygeneruje zprávu se svou identitou a T, zašifruje ji pomocí K a pošle B. A také zašle B zprávu zašifrovanou sdíleným klíčem C a B přijatou od C. EK (IDA,T) E B(T,K,IDA)
4.
B zašle A pomocí K
zprávu obsahující časové razítko + 1, kterou zašifruje
EK (T+1)
VŠFS; Aplikovaná informatika - 2006/2007
12
Autentizační protokoly
RADIUS (remote authentication dial-in user service) Autentizační protokol pro vzdálený přístup. Vzdálený uživatel žádá o přístup (zaslání ID a hash hesla); Server (na základě ověření hesla) odpoví: • odmítne; • přijme + zahájí dle stanoveného protokolu komunikaci.
VŠFS; Aplikovaná informatika - 2006/2007
13
Autentizační protokoly
Autentizace v protokolech autentizace v SSL autentizace dle standardu IEEE 802.1x –A apod.
VŠFS; Aplikovaná informatika - 2006/2007
14
Autorizace
Autorizace = proces, kterým se zajišťuje, že daný uživatel má přístup právě k těm datům, resp. informaci, ke které má oprávnění. K dalším informacím musí být již jeho přístup zamezen. Na základě autorizace se řeší princip oddělení pravomocí a povinností Zásada „need-to-know“
VŠFS; Aplikovaná informatika - 2006/2007
15
Správa uživatelských účtů
nástroj, který umožňuje
administrátorům kontrolovat, kdo přistupuje do informačního systému a co zde dělá. Musí být možnost provádění pravidelné že nedochází kontroly - ověření k přístupu do systému bez řádné autorizace. VŠFS; Aplikovaná informatika - 2006/2007
16
Správa uživatelských účtů Údržba vícenásobných uživatelských účtů = úkol při – přijímání nových pracovníků, – odchodu pracovníků, – změnách v zařazení pracovníků, zahrnující nové pravomoci a zodpovědnosti.
U velkých společností každodenní činnost administrátora.
se tak jedná o specializovaného
VŠFS; Aplikovaná informatika - 2006/2007
17
Správa uživatelských účtů Uživatelské účty
Uživatelské ID Celé jméno uživatele Heslo Domovský adresář Skupina, doména Systémové rozhraní
VŠFS; Aplikovaná informatika - 2006/2007
18
Správa uživatelských účtů Skupiny speciálních uživatelů • Externí pracovníci • Systémové účty • Supervisoři / Administrátoři –Plný přístup k systémovým zdrojům –Stejná úroveň přístupů
Nutno zachovávat princip definovaných výsad VŠFS; Aplikovaná informatika - 2006/2007
19
Správa uživatelských účtů Povolení přístupu k souborům / adresářům Stupně povoleného přístupu Čtení
Spuštění programu
Zápis
Vyhledávání
Doplnění
Vlastník
Mazání
Kontrola přístupu
VŠFS; Aplikovaná informatika - 2006/2007
20
Správa uživatelských účtů Matice správy přístupů Soubor 1 Soubor 2 Dir 1 Uživatel A Čtení Zápis Uživatel B Čtení
Spuštění
Prohledávání
Tiskárna Tisk
Prohledávání
Čtení Uživatel C Čtení Zápis VŠFS; Aplikovaná informatika - 2006/2007
21
Správa uživatelských účtů Seznam pro správu programových přístupů
Program XX
Uživatel
Přístupová práva
A
Čtení, zápis
B
Čtení
C
Čtení, zápis
VŠFS; Aplikovaná informatika - 2006/2007
22
Správa uživatelských účtů Hromadný přístup • Uživatelé mají stejná práva danému souboru/ programu • Zjednodušení správy přístupu
vzhledem
k
– Přidávání / odebírání uživatelů – Přidávání / odebírání práv
• Jednotná práva pro členy skupin
VŠFS; Aplikovaná informatika - 2006/2007
23
Správa uživatelských účtů Systém SSO – single_sign_on. Toto řešení umožňuje jedno ID a jedno heslo pro přístup do jednotlivých systémů, které daná společnost provozuje. Řešení SSO, nutné další zdokonalení pro efektivní využití napříč širokým spektrem aplikací používaných v různých organizacích.
VŠFS; Aplikovaná informatika - 2006/2007
24
Osnova II
• základní metody pro zajištění oprávněného přístupu; – autentizace; – autorizace; – správa uživatelských účtů;
• současné metody ochrany proti neoprávněnému přístupu – elektronický podpis; • nové technologické možnosti.
VŠFS; Aplikovaná informatika - 2006/2007
25
