VYSKOKÁ ŠKOLA BÁŇSKÁ – TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA INFORMATIKY A ELEKTORTECHNIKY
Kryptografie a počítačová bezpečnost Zápočtový úkol Návrh bezpečnostní politiky virtuální firmy
Filip Břuska
BRU069
Abstrakt Tato práce se zabývá navržením bezpečnostní politiky virtuální firmy. Struktura sítě dané firmy je popsána v zadání . Cílem práce bylo navrhnout bezpečnostní politiku tak, aby vyhovovala požadavkům síťové struktury. Tato politika obsahuje pouze některé ze základních zásad.
Klíčová slova Bezpečností politika
Seznam použitých symbolů a zkratek DNS LAN ISP NDA DMZ CMS UPS
- Domain Name System - Local Area Network - Internet Service Provider - Non-disclosure Agreement - Demilitarized Zone - Content Management System - Uninterruptible Power Supply
Filip Břuska
BRU069
Obsah 1. 2.
Zadání............................................................................................................................4 Bezpečnostní politika....................................................................................................5 2.1. Hierarchie politik ........................................................................................................5 2.2. Základy správné bezpečnostní politiky....................................................................5 2.3. Problémy bezpečnostní politiky................................................................................5 2.4. Bezpečnostní cíle.......................................................................................................5 3. Organizační pravidla....................................................................................................7 3.1. Makej a.s. ...................................................................................................................7 3.2. NDA ............................................................................................................................7 3.3. Security organizace ..................................................................................................7 3.4. Manažer a bezpečnost.............................................................................................7 3.5. Kancelář.....................................................................................................................7 4. Personální pravidla .......................................................................................................8 4.1. Klientské stanice ........................................................................................................8 4.1.1. Operační systém .................................................................................................8 4.1.2. Vybavení .............................................................................................................8 4.1.3. Antivir ...................................................................................................................8 4.1.4. Firewall .................................................................................................................8 4.1.5. Antispam..............................................................................................................8 4.1.6. Aktualizace..........................................................................................................8 4.1.7. Prohlížeč...............................................................................................................8 4.1.8. Content Management System ..........................................................................9 4.1.9. Šifrovací program................................................................................................9 4.2. Správa hesel ..............................................................................................................9 5. Fyzická pravidla ..........................................................................................................10 5.1. Docházkový systém.................................................................................................10 5.2. Kamerový systém.....................................................................................................10 5.3. Systém rozmístění v kanceláři .................................................................................10 5.4. Připojení....................................................................................................................10 5.5. Umístění síťových zařízení ........................................................................................10 5.6. UPS ............................................................................................................................10 6. Závěr ............................................................................................................................11 7. Odkazy ........................................................................................................................12
Filip Břuska
BRU069
1. Zadání Navrhněte pravidla (organizační, personální, fyzická, logická) vedoucí k ochraně IT ve virtuální firmě. Struktura virtuální sítě je zobrazena na obrázku.
Filip Břuska
BRU069
2. Bezpečnostní politika Bezpečnostní politika je souhrnem zásad, pravidel, norem a opatření sloužících k zajištění bezpečnosti. Bezpečnostní politika se dá velmi dobře využít při prosazování bezpečnostních opatření a nastavování vnitřních procesů ve firmě. Vychází z celkové koncepce organizace s důrazem právě na bezpečnost. Bezpečnostní politika se často považuje za „živý dokument“, což znamená, že tento dokument není nikdy dokončen, ale je neustále aktualizován podle toho, jak se technologické požadavky a požadavky zaměstnanců mění.
2.1. Hierarchie politik Podle struktury příslušné organizace, její rozsáhlosti i podle struktury informačních systémů existuje určitá hierarchie bezpečnostních politik. • • • • •
Politika celé organizace - dokument zastřešující směrování celé instituce, její cíle, termíny, prostředky apod. Politika bezpečnosti celé organizace - zastřešující dokument pro otázky veškeré bezpečnosti. Stanovuje cíle, priority a normy. Politika bezpečnosti IT organizace - věnuje se celkovému směrování informační bezpečnosti. Politika IT bezpečnosti systému - jedná se o určitá pravidla, která je potřeba konkrétně specifikovat a která procházejí napříč celou institucí. Například podmínky používání elektronické pošty, internetu atd. Politika IT bezpečnosti oddělení - konkrétní dokument obsahující informace o bezpečnosti v rámci daného oddělení. Zde jsou definovány specifika oddělení.
2.2. Základy správné bezpečnostní politiky • • • • •
Bezpečnostní cíle a aktivity k nim vedoucí musí respektovat podnikatelské cíle a požadavky společnosti. Musí existovat viditelná podpora a odhodlání vrcholného managementu. Musí být zajištěno správné porozumění bezpečnostním rizikům (zranitelností a hrozeb). Bezpečnost musí být společným cílem managerů i zaměstnanců. Všichni zaměstnanci a externí partneři musí být srozumitelně poučeni o bezpečnostní politice.
2.3. Problémy bezpečnostní politiky • • •
Politika zastarává stejně rychle, jako se mění byznys, systém řízení, technologie atd. Dříve či později dojede ke stavu, kdy se politika začne chápat jako brzda normálního chodu společnosti Zaměstnancům se zdá, že lidé starající se o bezpečnost „nic nedělají“ a jen otravují „normální“ zaměstnance, aby vykazovali nějakou činnost.
2.4. Bezpečnostní cíle Podmínka pro vypracování důvěryhodné bezpečnostní politiky tkví v bezpečnostních cílech. Musíme znát a umět stanovit bezpečnostní cíle. Důvěrnost, integrita a Filip Břuska
BRU069
dostupnost jsou tři primární bezpečnostní cíle, které jsou uváděny v bezpečnostních standardech. Tyto cíle popisují hlavní záměry pro zajištění ochrany dat.
Filip Břuska
BRU069
3. Organizační pravidla 3.1. Makej a.s. Naše virtuální firma Makej a.s. provádí outsourcing pro skandinávské firmy. Struktura firmy je zobrazena na obrázku zmíněném dříve. Firma zaměstnává okolo 100 zaměstnanců. Všichni zaměstnanci pracují v jedné budově. Prostory budovy jsou určeny pouze pro tuto společnost.
3.2. NDA Protože firma vyvíjí a podporuje mnoho odlišných firem, je nutné, aby zaměstnanci , kteří pracují pro určitého zákazníka, měli podepsánu smlouvu o udržení tajných informací. Jedná se o takzvané NDA (Non-disclosure Agreement). Podpisem této smlouvy zaměstnanec potvrzuje, že nebude prozrazovat žádné důvěrné informace, týkající se zákazníka. Název této smlouvy se také objevuje, jako CDA (confidential disclosure agreement). V případě, že jeden zaměstnanec pracuje pro více zákazníků (firem), je nutné, aby měl podepsánu výše zmíněnou smlouvu se všemi zákazníky.
3.3. Security organizace O bezpečnost v této virtuální firmě se starají bezpečnostní manažer IT, bezpečnostní manažer pro fyzickou bezpečnost, risk manažer, bezpečnostní správci a také například Výbor pro koordinaci bezpečnosti.
3.4. Manažer a bezpečnost Každý manažer projektu má na starost, kromě klasických “manažerských” problémů, také problémy týkající se bezpečnosti. Pokud má kdokoli v týmu problém s bezpečností, tak o tom informuje svého projektového manažera.
3.5. Kancelář Jednotlivé týmy se seskupují v kancelářích. Není přípustné, aby dva týmy pracující pro odlišné zákazníky obývali společnou kancelář.
Filip Břuska
BRU069
4. Personální pravidla Personální bezpečnost je zvyšována na školení uživatelů. Je nutné zajistit, aby si uživatelé nebyli lhostejní vůči bezpečnostních hrozeb a problémů s nimi spjatých a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své práce. Uživatelé by měli být školeni v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací, za účelem minimalizování bezpečnostní rizika. Uživatelé nesmí: • Sdílet hesla s kolegy, přáteli nebo příbuznými. • Spouštět programy na zjišťování hesel. • Provozovat programy pro skryté sledování síťového provozu. • Snažit se vbourat do cizích uživatelských účtů. • Zneužívat systémové prostředky. • Zneužívat firemní email.
4.1. Klientské stanice 4.1.1. Operační systém Defaultní klientský operační systém je Microsoft Windows XP Professional. V případě, že potřebuje zaměstnanec ke své práci jiný operační systém, musí kontaktovat Security manažera.
4.1.2. Vybavení Všechny stanice jsou vybaveny mimo nutných zařízení jako procesor, klávesnice atd., také o síťový adaptér, DVD mechaniku a USB rozhraní.
4.1.3. Antivir Firma využívá antivirový systém NOD32. Tento systém představuje světovou špičku antivirových programů. Kromě velmi rychlé a úspěšné detekce stávajících virů obsahuje účinnou heuristickou technologii, schopnou odhalit nové, dosud neznámé, viry. Je nabízen pro mnoho různých operačních systémů a spolupracuje s nejznámějšími poštovními servery.
4.1.4. Firewall Na každé klientské stanici je aktivován defaultní windows firewall.
4.1.5. Antispam Ochranou proti nevyžádané poště (spamu) je řešení systému Microsoft Exchange Server 2003.
4.1.6. Aktualizace Aktualizace operačního systému a dalších programů (antivir, …) jsou stahovány centrálně a distribuovány na jednotlivé stanice.
4.1.7. Prohlížeč Doporučený browser je Internet Explorer 6. V případě nutnosti použití jiných prohlížečů, je nutné kontaktovat Security manažera. Filip Břuska
BRU069
4.1.8. Content Management System Každý zaměstnanec má vytvořen účet do CMS MakDok. Tento software zajišťuje správu dokumentů pomocí webového obsahu. Dokumenty v tomto systému mohou být přiřazeny do workflow, lze je verzovat, renderovat a zpřístupnit dalším uživatelům využívajícím tento CMS MakDok. Tento systém je taky výhodný k archivaci (zálohování) dokumentů.
4.1.9. Šifrovací program V případě, že potřebujeme přenést data, například na flash disku na jiný počítač, je nutné tyto data zakryptovat pomocí programu TrueCrypt.
4.2. Správa hesel Používání hesel je nezbytná součást v každé firmě. Hesla do systémů je nutné měnit každé tři měsíce. Jak to tak bývá, zaměstnanci používají velmi slabá hesla. Například jméno, příjmení atd. Na hesla jsou proto kladeny podmínky týkajících se jejich délky i složitosti. Správné heslo: • Má minimálně 8 znaků • Obsahuje velké i malé písmeno • Obsahuje číslici nebo speciální znak Po vypršení tří měsíců se nemůže zvolit opět jedno z hesel, které zaměstnanec používal v minulosti.
Filip Břuska
BRU069
5. Fyzická pravidla 5.1. Docházkový systém Celá budova je vybavena docházkovým systémem na čipové karty. Bez čipové karty není možné se do objektu dostat. Pokud si čipovou kartu kdokoli zapomene doma nebo ztratí, je nutné kontaktovat asistentky na recepci, které nám vydají dočasnou kartu. Každá karta, má definovaný 4-místný pin kód. Tento kód slouží, jako ochrana proti zneužití cizích osob, například při ztrátě karty. PIN se zadává při vstupu na dané patro. Poté karta slouží, také pro otevírání dveří na patře, ovšem zde, již není nutné naťukat PIN.
5.2. Kamerový systém Každé patro je kamerově hlídáno dvěmi zařízeními. Z hlediska bezpečnosti, nesmí být kamery zaměřeny na čtečky čipových karet, které slouží k zadání PIN kódu. Dále nesmí být kamerovány důvěrné data například kamera natočena na monitor. Kamery nesmí být zaměřeny na záchodech na místa, kde se vykonává potřeba.
5.3. Systém rozmístění v kanceláři V jedné kanceláři nesmí být překročena kapacita osob, pro kterou jsou tyto prostory dimenzovány. Monitory nesmí být natočeny směrem ven z okna. Navíc okna musí být vybavena ztmavující fólií. Kanceláře jsou vybaveny také samozavíracími dveřmi, aby se do kanceláře nedostal nikdo nepovolaný.
5.4. Připojení Každý zaměstnanec může využívat firemní LAN síť. Kromě této sítě lze v jednotlivých kancelářích zavézt sítě společnosti, pro kterou se dělá outsourcing. Ve firemní síti se nachází také webový a poštovní server. Na lokální síti se používá intranetovský portál Makačka. V rámci lokální sítě se využívá DHCP protokol pro dynamické přiřazení IP adresy. Díky, tomuto protokolu nedochází ke kolizím, například pokud dva počítače mají zadanou stejnou IP adresu. Pokud chceme bezpečněji komunikovat s vnějším prostředím, můžeme použít takzvanou demilitarizovanou zóna (DMZ). Pro zabezpečení služeb firewallu byla použita hardwarová bezpečnostní brána Ovislink AirLive RS-1200.
5.5. Umístění síťových zařízení Veškeré síťové zařízení (huby, switche, bridge, routery) musí být umístěny v zabezpečených místnostech k tomu určených. Tyto místnosti musí být vždy zamčené, aby k nim neměl kdokoli přístup. Přístup k nim bude mít pouze administrátor IT.
5.6. UPS Všechny síťové zařízení musí být vybaveny UPS, kvůli zajištění bezproblémového chodu i při výpadku elektrického proudu.
Filip Břuska
BRU069
6. Závěr Tato práce byla pro mě velmi poučná. Obeznámil jsem se se základními problémy týkající se bezpečnosti. Na bezpečnost je ve větších firmách správně brána velká zřetel.
Filip Břuska
BRU069
7. Odkazy [1] Wikipedia – Počítačová bezpečnost • http://cs.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_bezpe %C4%8Dnost [2] Michal Sláma, Projekt bezpečnostní politiky IT • http://michal_slama.sweb.cz/security/pr_politika.htm [3] Tomáš Přibyl, Bezpečnostní politika • http://209.85.129.132/search?q=cache:24WgWpKPVNoJ:archiv.computerworl d.cz/cwarchiv.nsf/clanky/EF9BDCC69672652CC1256FFE006698CF%3FOpenDo cument+bezpecnostni+politika+IT+firmy&cd=4&hl=cs&ct=clnk&gl=cz&client=fi refox-a [4] Jaroslav Pinkava, Ze světa bezpečnosti IT http://bezpecnost.interval.cz/ze-sveta-bezpecnosti-it/ [5] Pavel Houser, SecurityWorld • http://securityworld.cz/securityworld/gartner-nejcastejsi-myty-a-omylybezpecnostni-politiky-277
Filip Břuska
BRU069