VYSKOKÁ ŠKOLA BÁŇSKÁ – TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA INFORMATIKY A ELEKTORTECHNIKY
Kryptografie a počítačová bezpečnost Zápočtový úkol Návrh bezpečnostní politiky virtuální firmy
Filip Břuska
BRU069
Abstrakt Tato práce se zabývá navržením bezpečnostní politiky virtuální firmy. Struktura sítě dané firmy je popsána v zadání . Cílem práce bylo navrhnout bezpečnostní politiku tak, aby vyhovovala požadavkům síťové struktury. Tato politika obsahuje pouze některé ze základních zásad.
Klíčová slova Bezpečností politika, security, organizace, bezpečnostní pravidla.
Seznam použitých symbolů a zkratek DNS LAN ISP NDA DMZ CMS UPS
- Domain Name System - Local Area Network - Internet Service Provider - Non-disclosure Agreement - Demilitarized Zone - Content Management System - Uninterruptible Power Supply
Filip Břuska
BRU069
Obsah 1. 2.
Zadání............................................................................................................................4 Bezpečnostní politika....................................................................................................5 2.1. Hierarchie politik ........................................................................................................5 2.2. Základy správné bezpečnostní politiky....................................................................5 2.3. Problémy bezpečnostní politiky................................................................................5 2.4. Bezpečnostní cíle.......................................................................................................5 3. Organizační pravidla....................................................................................................7 3.1. Makej a.s. ...................................................................................................................7 3.2. NDA ............................................................................................................................7 3.3. Security organizace ..................................................................................................7 3.4. Manažer a bezpečnost.............................................................................................7 3.5. Kancelář.....................................................................................................................7 4. Personální pravidla .......................................................................................................8 4.1. Klientské stanice ........................................................................................................8 4.1.1. Operační systém .................................................................................................8 4.1.2. HW Vybavení.......................................................................................................8 4.1.3. SW Vybavení .......................................................................................................8 4.1.4. Antivir ...................................................................................................................8 4.1.5. Firewall .................................................................................................................8 4.1.6. Antispam..............................................................................................................9 4.1.7. Aktualizace..........................................................................................................9 4.1.8. Prohlížeč...............................................................................................................9 4.1.9. Zálohování - Content Management System ....................................................9 4.1.10. Šifrovací program..............................................................................................9 4.2. Správa hesel ..............................................................................................................9 5. Fyzická pravidla ..........................................................................................................10 5.1. Docházkový systém.................................................................................................10 5.2. Kamerový systém.....................................................................................................10 5.3. Systém rozmístění v kanceláři .................................................................................10 5.4. Připojení....................................................................................................................10 5.5. Umístění síťových zařízení ........................................................................................10 5.6. UPS ............................................................................................................................10 6. Závěr ............................................................................................................................11 7. Odkazy ........................................................................................................................12
Filip Břuska
BRU069
1. Zadání Navrhněte pravidla (organizační, personální, fyzická, logická) vedoucí k ochraně IT ve virtuální firmě. Struktura virtuální sítě je zobrazena na obrázku.
Filip Břuska
BRU069
2. Bezpečnostní politika Bezpečnostní politika je souhrnem zásad, pravidel, norem a opatření sloužících k zajištění bezpečnosti. Bezpečnostní politika se dá velmi dobře využít při prosazování bezpečnostních opatření a nastavování vnitřních procesů ve firmě. Vychází z celkové koncepce organizace s důrazem právě na bezpečnost. Bezpečnostní politika se často považuje za „živý dokument“, což znamená, že tento dokument není nikdy dokončen, ale je neustále aktualizován podle toho, jak se technologické požadavky a požadavky zaměstnanců mění.
2.1. Hierarchie politik Podle struktury příslušné organizace, její rozsáhlosti i podle struktury informačních systémů existuje určitá hierarchie bezpečnostních politik. • • • • •
Politika celé organizace - dokument zastřešující směrování celé instituce, její cíle, termíny, prostředky apod. Politika bezpečnosti celé organizace - zastřešující dokument pro otázky veškeré bezpečnosti. Stanovuje cíle, priority a normy. Politika bezpečnosti IT organizace - věnuje se celkovému směrování informační bezpečnosti. Politika IT bezpečnosti systému - jedná se o určitá pravidla, která je potřeba konkrétně specifikovat a která procházejí napříč celou institucí. Například podmínky používání elektronické pošty, internetu atd. Politika IT bezpečnosti oddělení - konkrétní dokument obsahující informace o bezpečnosti v rámci daného oddělení. Zde jsou definovány specifika oddělení.
2.2. Základy správné bezpečnostní politiky • • • • •
Bezpečnostní cíle a aktivity k nim vedoucí musí respektovat podnikatelské cíle a požadavky společnosti. Musí existovat viditelná podpora a odhodlání vrcholného managementu. Musí být zajištěno správné porozumění bezpečnostním rizikům (zranitelností a hrozeb). Bezpečnost musí být společným cílem managerů i zaměstnanců. Všichni zaměstnanci a externí partneři musí být srozumitelně poučeni o bezpečnostní politice.
2.3. Problémy bezpečnostní politiky • • •
Politika zastarává stejně rychle, jako se mění byznys, systém řízení, technologie atd. Dříve či později dojede ke stavu, kdy se politika začne chápat jako brzda normálního chodu společnosti Zaměstnancům se zdá, že lidé starající se o bezpečnost „nic nedělají“ a jen otravují „normální“ zaměstnance, aby vykazovali nějakou činnost.
2.4. Bezpečnostní cíle Podmínka pro vypracování důvěryhodné bezpečnostní politiky tkví v bezpečnostních cílech. Musíme znát a umět stanovit bezpečnostní cíle. Důvěrnost, integrita a Filip Břuska
BRU069
dostupnost jsou tři primární bezpečnostní cíle, které jsou uváděny v bezpečnostních standardech. Tyto cíle popisují hlavní záměry pro zajištění ochrany dat.
Filip Břuska
BRU069
3. Organizační pravidla 3.1. Makej a.s. Naše virtuální firma Makej a.s. provádí outsourcing pro skandinávské firmy. Struktura firmy je zobrazena na obrázku zmíněném dříve. Firma zaměstnává okolo 100 zaměstnanců. Všichni zaměstnanci pracují v jedné budově. Prostory budovy jsou určeny pouze pro tuto společnost.
3.2. NDA Protože firma vyvíjí a podporuje mnoho odlišných firem, je nutné, aby zaměstnanci , kteří pracují pro určitého zákazníka, měli podepsánu smlouvu o udržení tajných informací. Jedná se o takzvané NDA (Non-disclosure Agreement). Podpisem této smlouvy zaměstnanec potvrzuje, že nebude prozrazovat žádné důvěrné informace, týkající se zákazníka. Název této smlouvy se také objevuje, jako CDA (confidential disclosure agreement). V případě, že jeden zaměstnanec pracuje pro více zákazníků (firem), je nutné, aby měl podepsánu výše zmíněnou smlouvu se všemi zákazníky.
3.3. Security organizace O bezpečnost v této virtuální firmě se starají bezpečnostní manažer IT, bezpečnostní manažer pro fyzickou bezpečnost, a risk manažer. Firma provádí podporu a vývoj pro Content Management systémy sdílející citlivá data. Jedná se například o archivaci smluv, faktur nebo dohod. Protože se archivují citlivá data, je nutné předejít jakýmkoli únikům informací z těchto systémů.
3.4. Manažer a bezpečnost Každý manažer projektu má na starost, kromě klasických “manažerských” problémů, také problémy týkající se bezpečnosti. Pokud má kdokoli v týmu problém s bezpečností, tak o tom informuje svého projektového manažera.
3.5. Kancelář Jednotlivé týmy se seskupují v kancelářích. Není přípustné, aby dva týmy pracující pro odlišné zákazníky obývali společnou kancelář. V případě „ramp-up“ nového projektu budou tyto osoby rozmístěny do nevyužívaných prostor, které vzniknou například „ramp-down” projektů jiných.
Filip Břuska
BRU069
4. Personální pravidla Informovanost týkající se bezpečnost je velmi důležitá. Tato informovanost je každoročně prohlubována a opakována na školení, které provádí bezpečnostní manažer IT nebo také případně externí firma. Je nutné zajistit, aby si uživatelé nebyli lhostejní vůči bezpečnostních hrozeb a problémů s nimi spjatých a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své práce. Uživatelé by měli být školeni v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací, za účelem minimalizování bezpečnostní rizika. Uživatelé nesmí: • Sdílet hesla s kolegy, přáteli nebo příbuznými. • Spouštět programy na zjišťování hesel. • Provozovat programy pro skryté sledování síťového provozu. • Snažit se vbourat do cizích uživatelských účtů. • Zneužívat systémové prostředky. • Zneužívat firemní email.
4.1. Klientské stanice 4.1.1. Operační systém Defaultní klientský operační systém je Microsoft Windows XP Professional. V případě, že potřebuje zaměstnanec ke své práci jiný operační systém, musí kontaktovat Security manažera.
4.1.2. HW Vybavení Všechny stanice jsou vybaveny mimo nutných zařízení jako procesor, klávesnice atd., také o síťový adaptér, DVD mechaniku a USB rozhraní. Uživatel nesmí mít přístup k nastavení BIOSu.
4.1.3. SW Vybavení Všechny programy, které mohou být nainstalovány na klientském počítači jsou udržovány v dokumentu nazvaném “Admissible_SW.xls”, který je schválen bezpečnostním manažerem. Pokud kdokoli potřebuje software, který není v tomto seznamu deklarován, musí kontaktovat bezpečnostního manažera. Defaultně jsou zakázany všechny programy, které nejsou definovány ve výše zmíněném dokumentu.
4.1.4. Antivir Firma využívá antivirový systém NOD32. Tento systém představuje světovou špičku antivirových programů. Kromě velmi rychlé a úspěšné detekce stávajících virů obsahuje účinnou heuristickou technologii, schopnou odhalit nové, dosud neznámé, viry. Je nabízen pro mnoho různých operačních systémů a spolupracuje s nejznámějšími poštovními servery.
4.1.5. Firewall Na každé klientské stanici je aktivován defaultní windows firewall.
Filip Břuska
BRU069
4.1.6. Antispam Ochranou proti nevyžádané poště (spamu) je řešení systému Microsoft Exchange Server 2003.
4.1.7. Aktualizace Aktualizace operačního systému a dalších programů (antivir, …) jsou stahovány centrálně a distribuovány na jednotlivé stanice. O distribuci na stanice se stará System Center Configuration Manager. Tento systém je vhodný pro reprodukování nově získaných aktualizací.
4.1.8. Prohlížeč Doporučený browser je Internet Explorer 6. V případě nutnosti použití jiných prohlížečů, je nutné kontaktovat Security manažera.
4.1.9. Zálohování - Content Management System Každý zaměstnanec má vytvořen účet do interního CMS MakDok, který slouží pro archivaci. Tento software zajišťuje správu dokumentů pomocí webového obsahu. Dokumenty v tomto systému mohou být přiřazeny do workflow, lze je verzovat, renderovat a zpřístupnit dalším uživatelům využívajícím tento CMS MakDok. Tento systém je nejen výhodný k archivaci (zálohování) dokumentů, ale také videí, hudby a dalších multimediálních souborů. O zabezpečení tohoto systému se stará interní tým. Zálohování může být také uskutečněno na DVD disk. Data na disk ovšem musí být nahrána v zašifrované podobě.
4.1.10. Šifrovací program V případě, že potřebujeme přenést data, například na flash disku na jiný počítač, je nutné tyto data zašifrovat pomocí programu TrueCrypt.
4.2. Správa hesel Používání hesel je nezbytná součást v každé firmě. Hesla do systémů je nutné měnit každé tři měsíce. Jak to tak bývá, zaměstnanci používají velmi slabá hesla. Například jméno, příjmení atd. Na hesla jsou proto kladeny podmínky týkajících se jejich délky i složitosti. Správné heslo: • Má minimálně 8 znaků • Obsahuje velké i malé písmeno • Obsahuje číslici nebo speciální znak Po vypršení tří měsíců se nemůže zvolit opět jedno z hesel, které zaměstnanec používal v minulosti.
Filip Břuska
BRU069
5. Fyzická pravidla 5.1. Docházkový systém Celá budova je vybavena docházkovým systémem na čipové karty. Bez čipové karty není možné se do objektu dostat. Pokud si čipovou kartu kdokoli zapomene doma nebo ztratí, je nutné kontaktovat asistentky na recepci, které nám vydají dočasnou kartu. Každá karta, má definovaný 4-místný pin kód. Tento kód slouží, jako ochrana proti zneužití cizích osob, například při ztrátě karty. PIN se zadává při vstupu na dané patro. Poté karta slouží, také pro otevírání dveří na patře, ovšem zde, již není nutné naťukat PIN.
5.2. Kamerový systém Každé patro je kamerově hlídáno dvěmi zařízeními. Z hlediska bezpečnosti, nesmí být kamery zaměřeny na čtečky čipových karet, které slouží k zadání PIN kódu. Dále nesmí být kamerovány důvěrné data, například kamera natočena na monitor. Kamery nesmí být zaměřeny na záchodech na místa, kde se vykonává potřeba.
5.3. Systém rozmístění v kanceláři V jedné kanceláři nesmí být překročena kapacita osob, pro kterou jsou tyto prostory dimenzovány. Monitory nesmí být natočeny směrem ven z okna. Kanceláře jsou vybaveny také samozavíracími dveřmi, aby se do kanceláře nedostal nikdo nepovolaný.
5.4. Připojení Každý zaměstnanec může využívat firemní LAN síť. Kromě této sítě se lze přippojit do zákaznické sítě v kancelářích, ve kterých se dělá outsourcing pro danou firmu. Ve firemní síti se nachází také webový a poštovní server. Na lokální síti se používá portál Makačka. Na tomto portále si zaměstnanci například mohou vylistovat dovolené nebo zjistit aktuality. V rámci lokální sítě se využívá DHCP protokol pro dynamické přiřazení IP adresy. Díky, tomuto protokolu nedochází ke kolizím, například pokud dva počítače mají zadanou stejnou IP adresu. Pokud chceme bezpečněji komunikovat s vnějším prostředím, můžeme použít takzvanou demilitarizovanou zóna (DMZ). Pro zabezpečení služeb firewallu byla použita hardwarová bezpečnostní brána Ovislink AirLive RS-1200.
5.5. Umístění síťových zařízení Veškeré síťové zařízení (huby, switche, bridge, routery) musí být umístěny v zabezpečených místnostech k tomu určených. Tyto místnosti musí být vždy zamčené, aby k nim neměl kdokoli přístup. Přístup k nim bude mít pouze administrátor IT.
5.6. UPS Všechny síťové zařízení musí být vybaveny UPS, kvůli zajištění bezproblémového chodu i při výpadku elektrického proudu.
Filip Břuska
BRU069
6. Závěr Tato práce byla pro mě velmi poučná. Obeznámil jsem se se základními problémy týkající se bezpečnosti. Na bezpečnost je ve větších firmách správně brána velká zřetel.
Filip Břuska
BRU069
7. Odkazy [1] Wikipedia – Počítačová bezpečnost • http://cs.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_bezpe %C4%8Dnost [2] Michal Sláma, Projekt bezpečnostní politiky IT • http://michal_slama.sweb.cz/security/pr_politika.htm [3] Tomáš Přibyl, Bezpečnostní politika • http://209.85.129.132/search?q=cache:24WgWpKPVNoJ:archiv.computerworl d.cz/cwarchiv.nsf/clanky/EF9BDCC69672652CC1256FFE006698CF%3FOpenDo cument+bezpecnostni+politika+IT+firmy&cd=4&hl=cs&ct=clnk&gl=cz&client=fi refox-a [4] Jaroslav Pinkava, Ze světa bezpečnosti IT http://bezpecnost.interval.cz/ze-sveta-bezpecnosti-it/ [5] Pavel Houser, SecurityWorld • http://securityworld.cz/securityworld/gartner-nejcastejsi-myty-a-omylybezpecnostni-politiky-277
Filip Břuska
BRU069
