MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC

MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC

Jan Šindler

ZABEZPEČENÍ FIREMNÍCH SÍTÍ

Bakalářská diplomová práce

Vedoucí práce: Mgr. Květoslav Bártek Ph.D. Olomouc 2009

Prohlašuji, že jsem tuto bakalářskou diplomovou práci vypracoval samostatně a uvedl v ní veškerou literaturu a ostatní zdroje, které jsem použil. Ve Šternberku dne 22.4.2009

……………………….

Poděkování Tímto bych chtěl poděkovat vedoucímu mé práce Mgr. Květoslavu Bártkovi Ph.D. za poskytnutí odborných a hodnotných připomínek při řešení dané práce. Dále chci poděkovat panu Bc. Kamilu Šléškovi za odbornou pomoc a poskytnutí firemní dokumentace. V neposlední řadě bych rád poděkoval všem, kteří mi pomohli se správnou stylizací textu.

OBSAH OBSAH............................................................................................................................... 4 ÚVOD................................................................................................................................. 5 CÍL PRÁCE. ....................................................................................................................... 6 I. TEORETICKÁ ČÁST.............................................................................................. 7 1. Sítě a jejich bezpečnost............................................................................................... 8 1.1. Bezpečnost dříve................................................................................................. 8 1.2. Zabezpečení dnes................................................................................................ 8 1.3. Základní principy bezpečnosti .......................................................................... 10 2. Hodnocení informační bezpečnosti .......................................................................... 11 2.1. Vývoj kritérií hodnocení informační bezpečnosti ............................................ 11 2.2. Hodnocení bezpečnosti v ČR............................................................................ 13 3. Proces implementace bezpečnosti ............................................................................ 14 3.1. Co je to ITSM ................................................................................................... 14 3.2 Co je to ITIL ..................................................................................................... 14 3.3 Management bezpečnosti.................................................................................. 16 4 Jednotlivé kroky managementu bezpečnosti ............................................................ 17 4.1 Rozpoznání zdrojů nebezpečí (krok č.1) .......................................................... 17 4.2 Analýza skutečného stavu (krok č.2)................................................................ 19 Konfigurace (krok č.3)...................................................................................... 20 4.3 4.4 Kontrolní fáze (krok č.4) .................................................................................. 21 5. Seznámení se s Optim Access .................................................................................. 22 5.1 Rozdělení do modulů ........................................................................................ 22 II. PRAKTICKÁ ČÁST. ............................................................................................. 24 6. WANZL spol. s r.o. .................................................................................................. 25 7. Dokumentace ve firmě WANZL .............................................................................. 26 7.1 Směrnice Řízení výpočetní techniky ................................................................ 26 IIa. PRAKTICKÁ ČÁST. ............................................................................................. 30 8. Nastavení zabezpečení na SAP hláskách.................................................................. 31 Instalace potřebného SW .................................................................................. 31 8.1 8.2 Přístup k počítačům .......................................................................................... 31 8.3 Přístup k síti ...................................................................................................... 34 8.4 Přístup k internetu............................................................................................. 36 8.5 Přístup k ovládacím panelům............................................................................ 37 ZÁVĚR. ............................................................................................................................ 39 ANOTACE. ...................................................................................................................... 40 GLOSÁŘ. ......................................................................................................................... 41 LITERATURA A PRAMENY......................................................................................... 43 PŘÍLOHY. ........................................................................................................................ 45

4

ÚVOD Zhruba před půlstoletím se ve Spojených státech objevil první počítač. Tento počítač byl zcela jiný než ten, který známe dnes. Musel jej totiž ve specializovaném sále obsluhovat tým odborníků, a jejich největší starostí nebyly aplikace, ale udržet jej v chodu. Tento počítač se stal základem pro tzv. centralizovaný výpočetní model, kdy veškeré činnosti prováděl jediný stroj. Původně šlo vkládat informace přímo do počítače prostřednictvím speciálního uživatelského rozhraní, později však, se změnou koncepce centrálního počítače, přibyla i možnost přistupovat k datům za pomoci speciálních vzdálených terminálů,

tedy zařízení,

která

mohla

do

počítače

zadávat data

a požadované informace zobrazovat. A právě tyto terminály vytvořily první zárodky toho, čemu dnes říkáme počítačová síť. Od té doby uplynulo již mnoho let a počítače, stejně jako sítě, zaznamenaly během těchto let prudký rozvoj. Jejich počet narostl geometrickou řadou a stejně tak se zvýšila jejich rychlost a dostupnost (počítač připojený k síti má dnes již většinou každá domácnost). S tímto rozvojem se ale také zvýšil počet bezpečnostních incidentů a to jak incidentů vyvolaných vně, tak i uvnitř takovýchto sítí. Aby byly tyto nežádoucí jevy minimalizovány, musí být vše správně nastaveno a musí existovat určitá pravidla a kritéria, jak pro jednotlivé druhy sítí, tak pro uživatele, kteří se v tomto prostoru nacházejí. Obzvlášť důležité je toto nastavení v podnikové síti. Před samotným započetím práce ve firemní síti je velmi důležité, seznámit se nejen s celou její topologií a daty na ní se nacházejícími, ale také s veškerou firemní dokumentací, která se informačních technologií týká. To zabere mnohdy ještě více práce než samotné nastavování různých funkcí, omezení a zákazů. V této práci jsem se pokusil nastínit problematiku zabezpečení dat ve firmě WANZL spol. s r.o. Využil jsem nejen toho, že jsem v české pobočce této firmy vykonával svou praxi, ale také toho, že tato firma jako nadnárodní podnik má, co se týká zabezpečení a IT Managementu, nastavenou vysokou laťku.

5

CÍL PRÁCE V mé práci se budu zabývat bezpečností počítačové sítě ve firmě WANZL spol. s r.o. Nastavení bezpečnosti sítě je velmi složitý proces, proto se nejdříve pokusím popsat jeho rozvoj a postup zavádění. V praktické části se dále na základě předešlých poznatků a praktických zkušeností pokusím popsat jak proběhlo zabezpečení počítačové sítě ve společnosti WANZL spol. s r.o. Po dohodě s oddělením IT ve firmě WANZL spol. s r.o. jsem se zaměřil na počítače umístěné ve výrobě, kde nebyla bezpečnostní politika nastavena zcela optimálně. Pokusil jsem se setřídit získané informace a na jejich základě sjednotit metody zabezpečení, aby byly pokud možno na všech těchto počítačích stejné.

6

I.

TEORETICKÁ ČÁST

7

1

Sítě a jejich bezpečnost

1.1

Bezpečnost dříve V dobách, kdy byly sítě a internet teprve v zárodku, se pojem bezpečnost skládal

v podstatě ze tří složek. Jednalo se o:1 

Bezpečnost dat. Označuje ochranu dat před neautorizovaným přístupem.

To dříve znamenalo, že data nebyla přístupná vůbec nebo jen za určitých podmínek. Jako bezpečnostní mechanismus postačoval například zámek na dveřích. 

Zálohování dat. Označuje ochranu dat před jejich ztrátou. Cílem takového

zálohování bylo minimalizování vzniklých datových ztrát v co nejkratším čase. Bohužel tyto zálohovací systémy byly velmi pomalé a pro většinu menších firem finančně nedostupné. 

1.2

Dostupnost dat. Označuje ochranu dat s ohledem na jejich spolehlivost.

Zabezpečení dnes Tyto tři dříve zmíněné hlediska bezpečnosti se dnes stávají v mnoha ohledech

nedostatečnými, ale mohou být použity jako stavební kameny chápání dnešní bezpečnosti. Původní pojmy se rozdělily na další dílčí témata, která se jednotlivými bezpečnostními aspekty zabývají ještě podrobněji.2 Bezpečnost dat se dnes dělí na:

1

EISENKOLB, K.; GÖKHAN, N.; WEICKARDT, H. Bezpečnost Windows 2000/XP. s. 3.

2

“Srov. tamtéž, s. 4”

8



Bezpečnost

přihlášení.

Označuje

zabezpečení

přihlašování

osob

do bezpečnostního systému. Může to znamenat odemčení zámku klíčem, ale také autentizace uživatelů a počítačů k jednotlivým serverům a datům na nosičích (např. pevných discích, CD nebo DVD). 

Šifrování dat. Označuje speciální metodu posílání dat a jejich ukládání. Data

jsou poslána v zakódované podobě a obnovit je lze pouze u příjemce pomocí určitého klíče. 

Bezpečnost přístupu. Označuje stupeň autorizace určitého uživatele

k jednotlivým datovým zdrojům. 

Zabezpečení sledování. Označuje sledování přístupů k datům a objektům

(např. tiskárnám). Zálohování dat se také posunulo kupředu. Důraz je kladen stejně jako předtím na rychlou obnovu ztracených dat, ale na rozdíl od let minulých se technologie zálohování posunuly kupředu jak v rychlosti tak i v dostupnosti. Dostupnost dat je oblast, která se stala oblíbeným tématem počítačového průmyslu. V této oblasti vzniklo také mnoho nových pojmů: 

Zabezpečení proti výpadku. Tento pojem definuje ochranu proti výpadkům

proudu, nebo různým poruchám diskových jednotek či centrálních komponent (např.serverů). UPS3, disková pole a jejich správné nastavení chrání systém proti tomuto problému. 

Redundance dat. Redundancí dat se rozumí tolerance systémů vůči výpadku

paměťových médií. Řešení (viz. předchozí bod) 

Rozložení zátěže. Jedná se o problém špatně dostupných dat na serveru

v důsledku jeho přetížení.

3

(anglicky Uninterruptible Power Supply (Source) – „nepřerušitelný zdroj energie“), je zařízení nebo systém, který zajišťuje souvislou dodávku elektřiny pro zařízení, která nesmějí být neočekávaně vypnuta.

9

1.3

Základní principy bezpečnosti

Všechny výrazy, které byly představeny v podkapitole 1.2, tvoří základ dnešního názvosloví bezpečnosti. Mnoho definic bezpečnosti vychází právě z těchto základních pilířů. Například, Úřad pro státní bezpečnostní systém, definuje principy zabezpečení dat takto:4 

aby k nim měly přístup pouze oprávněné osoby



aby se zpracovávaly nefalšované informace



aby se dalo zjistit kdo je vytvořil, změnil nebo odstranil



aby nebyly nekontrolovaným způsobem vyzrazeny



aby byly dostupné tehdy, když jsou potřebné

4

Bezpečnost informačních systémů < http://web.mvcr.cz/archiv2008/micr/files/479/uvis_bezpecnost_20000701.pdf>

10

2

2.1

Hodnocení informační bezpečnosti

Vývoj kritérií hodnocení informační bezpečnosti Potřeba standardizace toho, co má pojem bezpečnost vůbec zahrnovat,

je stará asi 20 let. Nespočet institucí a specialistů se během této doby pokoušelo názvosloví uchopit, ne vždy se jim to však podařilo. Přesto existuje řada publikací, o kterých by měl mít specialista na bezpečnost povědomí. Zde je přehled těch nejdůležitějších a tabulka pro převod úrovní záruk.

TCSEC

C1 C2 B1 B2 B3 A1

ITSEC

CC

E1 E2

EAL1 EAL2 EAL3

E3 E4 E5 E6

EAL4 EAL5 EAL6 EAL7

Tabulka 1: Převod úrovní záruk5

2.1.1 Standardy bezpečnosti IS v USA V roce 1981 předal Americký Department of Defence (DoD) odpovědnost za počítačovou bezpečnost agentuře National Security Agency (NSA). Tato agentura na základě tohoto podnětu založila výzkumné středisko DoD Computer Security Center, 5

Common Criteria

11

které bylo krátce nato přejmenováno na National Computer Security Center (NCSC). Zásady bezpečnosti, vypracované NCSC, byly poprvé publikovány v dokumentu „DoD Trusted Computer System Evaluation Kriteria (TCSEC)”. Tento dokument je však dnes běžně známý spíše pod názvem „Orange Book“ (Oranžová kniha). IS jsou v ní rozděleny podle bezpečnosti do čtyř tříd A,B,C,D, z nichž je nejvíce bezpečná třída A.

2.1.2 Evropské standardy bezpečnosti IS Zde stojí za zmínku především kritéria Britská a Německá. Britská kritéria bezpečnosti IS vyšla v roce 1989 pod názvem „UK Systems Security Confidence Levels. Tato kritéria definují šest hodnotících tříd L1 – L6. Německá kritéria bezpečnosti vyšla rovněž v roce 1989 pod názvem „Deutsche IT-Sicherheitskriterien”. Kritéria definují osm tříd kvality Q0 – Q7 a deset tříd funkčnosti F1 – F10.

2.1.3

Kritéria ITSEC Kritéria pro hodnocení bezpečnosti IT, ITSEC, ve slangu nazývaná „Superman

Book”, byla vytvořena v roce 1990. Tato kritéria byla vytvořena jako harmonizovaná verze národních kritérií, přijatých ve Francii, Německu, Anglii a Nizozemí. ITSEC specifikuje sedm tříd správnosti E0 – E6 a v příloze definuje dalších deset tříd funkčnosti F. Pět z nich koresponduje s třídami z TCSEC.

2.1.4

Common Criteria (CC) CC vznikla na základě již dříve

používaných kritérií hodnocení, zejména

amerických TCSEC a Federal Criteria, evropský ITSEC a kanadských CTCPEC. Na vývoji CC se podílely

národní

organizace, působící v oblasti bezpečnosti

12

a standardizace, z šesti států světa, jmenovitě Kanady, Francie, Německa, Holandska, Velké Británie a Spojených států amerických a jsou posledním výsledkem úsilí, o vytvoření společného standardu v oblasti hodnocení bezpečnosti informačních technologií. Míry záruky hodnocení jsou rozděleny do sedmi předdefinovaných balíků pro záruky EAL1 – EAL7.

2.2

Hodnocení bezpečnosti v ČR V České republice je dobře známa norma ISO/IEC 15408-1:1999, která

je totožná s textem CC. Tato mezinárodní norma má také status české technické normy. Česká verze nese označení ČSN ISO/IEC 15408. Český překlad prvého dílu byl Českým normalizačním institutem vydán v červnu roku 2001, překlady dalších dvou dílů byly vydány v listopadu roku 2002. Jednotlivé díly jsou ve shodě s originálem normy označeny jako 15408-1 (Úvod a všeobecný model), 15408-2 (Bezpečnostní funkční požadavky) a l5408-3 (Požadavky na záruky bezpečnosti).6

6

„Srov. tamtéž”

13

3

Proces implementace bezpečnosti

3.1

Co je to ITSM Implementace a zachování bezpečnosti je vícestupňový proces, který je nutno

dobře naplánovat a permanentně realizovat. V moderních podnicích se tento proces implementuje v rámci tzv. managementu bezpečnosti (řízení bezpečnosti). Tato disciplína

managementu

je

jedním

z dílčích

cílů

IT

Service

Managementu

(dále jen ITSM). Pod tímto pojmem, který by v českém překladu mohl znít: “řízení služeb informačních technologií”, se skrývá vícestupňový vzorový koncept, který lze aplikovat na malé i velké podniky a navíc pro různé obory činností a podnikání. Přehled disciplín managementu ITSM [viz. Přílohy, tab.č.2]. Bez ITSM může sice fungovat kvalitní a drahá ICT7 infrastruktura, protože je nějak řízena – a to pomocí ICT úseku a IT/IS oddělení, jež jsou diverzifikovány podle technické odbornosti a specializace pracovníků. Nicméně služby, kvůli kterým byla tato ICT infrastruktura vybudována, již řízeny nejsou, což není úplně optimální.8

3.2

Co je to ITIL ITIL

je

zkratka

pro

"Information

Technology

Infrastructure

Library",

což přeloženo do češtiny znamená: "knihovna infrastruktury informačních technologií". Je to mezinárodně uznávaný standard pro řízení IT služeb, který začal vznikat ve Velké Británii v 80. letech minulého století. Dnes je tato knihovna spravována

7

(z anglického Information and Communication Technologies) je označení pro informační a komunikační technologie. 8 OMNICOM Praha

14

pod křídly Office of Government Commerce a šířena formou knih, CD, školení, konzultací a certifikací. ITIL není metodika, a to ani metodika IT Service Managementu, ani metodika jeho implementace v organizaci, ale rámec pro návrh ITSM procesů, který vychází z nejlepších praktických zkušeností, přičemž ponechává velikou volnost při implementaci těchto procesů. Protože ITIL je nezávislý na typu operačního systému a protože je to "rámec", jsou výstupy všech dodavatelů v celém odvětví kompatibilní a univerzálně použitelné (SW nástroje, školení, konzultační služby).9 Další užitečné informace je možno nalézt na webových stránkách (http://www.itil.cz/).

3.2.1 Hlavní přínos ITILu Hlavním přínosem ITILu je především jasné pochopení, k čemu jednotlivé procesy slouží, jaké jsou mezi nimi vazby, jaké role by se měly na procesu podílet a jaké parametry by měl proces mít. ITIL však není jen návodem jak dobře řídit IT služby, ale obsahuje také návody jak poskytování IT služeb zlepšovat. Vzhledem k tomu, že mechanismy pro zlepšování činností jsou obsaženy přímo v jednotlivých procesech, je implementace procesů dle ITIL v organizaci zárukou průběžného zvyšování kvality a produktivity.10

3.2.2 Přehled knih ITIL verze 3 byla zveřejněna v květnu 2007 a skládá se z oficiálního úvodu, pěti klíčových (core) knih, dalších doplňkových materiálů a dokumentace. Přehled knih [viz. Přílohy, tab.č.3].

9

Wikipedie < http://cs.wikipedia.org/wiki/Information_Technology_Infrastructure_Library> “Srov. tamtéž”

10

15

3.3

Management bezpečnosti „Velkou výzvou pro oblast IT je zajištění ochrany hmotného, nehmotného,

intelektuálního a hospodářského majetku. Musí být definováni a identifikováni autorizovaní uživatelé, pro něž je třeba zabezpečit jednoduchý přístup. Navíc je nutno zabránit neoprávněnému internímu i externímu přístupu a respektovat přitom podnikové směrnice a postupy. O tuto práci se stará jeden z nejdůležitějších aspektů ITSM a to management bezpečnosti.”11

11

EISENKOLB, K.; GÖKHAN, N.; WEICKARDT, H. Bezpečnost Windows 2000/XP. s. 38.

16

4

Jednotlivé kroky managementu bezpečnosti

4.1

Rozpoznání zdrojů nebezpečí (krok č.1) Předem je nutné říci, že stoprocentní bezpečnost existuje snad jen tehdy,

pokud zůstane vypnutý počítač. To by ale jistě bylo velmi špatné řešení, vzhledem k tomu, že počítač je od toho aby usnadňoval jeho uživateli práci. Proto je nutno hledat takové zabezpečení, které by potenciálního útočníka zpomalilo, nebo dokonce odradilo tím, že před něj postaví tolik překážek, kolik jen bude možné. Většina těchto útočníků sice disponuje všemi možnými prostředky, ale ne trpělivostí. Při hledání možných rizik by měla být obrácena pozornost hlavně k těmto čtyřem:12

4.1.1 Přístup k Internetu „Největším nebezpečím Internetu je člověk!”13, tvrdí ve své přednášce na konferenci o Internetové bezpečnosti 2009 Daniel Dočekal (internetový publicista a zakladatel internetového magazínu Svět Namodro). Protože je potřeba vyšších uživatelských oprávnění (administrátor), aby si mohl někdo v systému vůbec něco dovolit, snaží se útočníci všemi možnými způsoby (sociální inženýrství14, viry, trojské koně, atd.…) tyto oprávnění získat. Dnešní uživatel mnohdy bezpečnost práce na internetu podceňuje a ochotně klikne na cokoliv, cokoliv odsouhlasí a také spustí. Řešením je zablokovat stránky s nedůvěryhodným obsahem a používat virové a antispyware skenery. Nedílnou součástí je také kvalitní filtrování nechtěné pošty (SPAM), která může tvořit až 80% příchozí pošty15. 12

“Srov. tamtéž, s. 50” Nejčastější slabiny internetové bezpečnosti < http://i.iinfo.cz/urs-att/Daniel_Docekal_-Nejcastejsi_slabiny_internetove_bezpecnosti 123572774900635.ppt> 14 umění šidit naivní uživatele a vylákat z nich tímto způsobem informace týkající se zabezpečení počítačového systému. 15 “Srov. viz. poznámka 13” 13

17

4.1.2

Internetový server Pokud má firma internetové stránky, bývají data pro tyto webové stránky uloženy

většinou na samostatném počítači. Pokud se tento počítač nachází u poskytovatele internetových služeb, může útočník maximálně vymazat nebo zmanipulovat data. Problematičtější situace nastává, pokud se server nachází přímo ve firmě. V tomto případě bývá totiž spojen nejen s internetem ale i s místní sítí. Má to své výhody (především v rychlosti manipulace se stránkami), ale také řadu nevýhod. Tou nejhorší je ta varianta, kdy se útočníkovi podaří dostat přes server k datům na místní síti. V tomto případě je dobré oddělit server od místní sítě, pokud to však z různých důvodů možné není, je potřeba vytvořit koncept autentizace uživatelů a tyto připojení náležitě zabezpečit.

4.1.3

Poštovní server

Nezbytná součást firmy, ovšem každá mezera v zabezpečení může mít velké následky. Server bývá obyčejně připojen k místní síti a zároveň k internetu. Pro potenciálního agresora se tudíž získání přístupu k tomuto serveru stává docela velkým lákadlem. Z tohoto důvodu je doporučována struktura s více servery, přičemž servery „FrontEnd”16 obsahují pouze služby pro dotazování a předávání dat.

4.1.4 Zaměstnanci společnosti Největší škody ve firmě nejsou způsobeny externími útoky, ale vlastními lidmi. Zde vyvstávají dva druhy problému. Za prvé je to neúmyslná ztráta dat a za druhé jejich cílené poškození či zneužití. 16

Front-End server je řešení určené pro realizaci aplikací, jejichž hlavním rysem je použití mobilního zařízení na straně uživatele, jako klientské stanice IS.

18

V případě ztráty dat je řešením zálohovací systém, proti úmyslnému poškození, je bráněno vytvořením práv uživatelů ke složkám a souborům tak, aby měl každý přístup jen tam, kde je to pro jeho práci nezbytné.

4.2

Analýza skutečného stavu (krok č.2) Na základě analýzy by měly být zjištěny případné bezpečnostní mezery a tím

pádem i aktuální stav zabezpečení sítě. Při takovéto analýze, je nejprve definováno téma procesu z oblasti zabezpečení a následně projity všechny varianty a výsledky tohoto procesu. Důležitá rozhodnutí by měla připouštět pouze odpovědi ANO či NE. Procesy, které by se měly analyzovat, jsou uvedeny zde:17 

Analýza skutečného stavu bezpečnosti přístupu k datům. Na jakém

operačním systému síť běží, jaká metoda přístupových oprávnění je použita a další. 

Analýza skutečného stavu bezpečnosti hesel. Jaká je délka hesla,

po jak dlouhé době se obměňuje, po kolika neplatných pokusech se zablokuje účet a další. 

Analýza skutečného stavu přímého přístupu k internetu. Kolik počítačů

a jak je připojeno k internetu, jaký poštovní klient je využíván atd. 

Analýza skutečného stavu přístupu na Internet přes směrovač.

Zda směrovač jako bránu do internetu používají i firemní datové servery, jak je směrovač chráněn a další. 

Analýza skutečného stavu přístupu na Internet přes server Proxy18.

Zda se mimo Proxy serveru používá i jiná brána (např. zmiňovaný směrovač), zda tento server používá vlastní virový skener atd. 

Analýza skutečného stavu vlastního poštovního serveru. Zda je umístěn

mimo místní síť, jak stahuje z internetu došlou poštu a další.

17

EISENKOLB, K.; GÖKHAN, N.; WEICKARDT, H. Bezpečnost Windows 2000/XP. s. 74.

18

Dotazy klientů se nikdy nedostanou přímo na internet, ale vždy zprostředkovaně přes server Proxy, který pak na dotazy klientů také odpovídá.

19



Analýza skutečného stavu rizika ztráty dat. Zda má každý přístup pouze

tam, kam potřebuje a jestli jsou data zálohována.

4.3

Konfigurace (krok č.3) Dalším úkolem bude vyřešení problémů, nalezených v předchozím kroku.

K tomuto účelu je dostupný různý bezpečnostní hardware a software, který lze předem otestovat a v případě zájmu si jej nechat předvést odborníkem. Další možností je využití bezpečnostních nástrojů, které se dodávají přímo k operačnímu systému. Zde je přehled těch nejdůležitějších:

4.3.1

Konzola MMC Konzola Microsoft Management Console (MMC) hostí a zobrazuje nástroje

pro správu, vytvořené společností Microsoft a dalšími dodavateli softwaru. Tyto nástroje se nazývají moduly snap-in a používají se pro správu hardwaru, softwaru a síťových komponent systému Windows. Několik nástrojů ve složce Nástroje pro správu, například Správa počítače, představuje moduly snap-in konzoly MMC19.

4.3.2

Editor zásad skupiny Zásady skupiny v systému Microsoft Windows XP slouží k definici konfigurací

uživatele a počítače pro skupiny uživatelů a počítačů. Jednotlivé uživatele lze pomocí jednoduchého systému přidávat a odebírat ze skupiny a tím nastavovat jejich oprávnění k určitým položkám v síti.

19

Co je konzola MMC, < http://windowshelp.microsoft.com/Windows/cs-CZ/help/76347d40-8d1c-4069-8c428dce7a2d39b71029.mspx>

20

4.3.3 Databáze registrů Do této databáze jsou soustředěny veškeré záznamy systému. Registry jsou uspořádány do hierarchické stromové struktury a skládají se z klíčů, podklíčů, podregistrů a položek hodnot. Veškeré změny, jež uživatel v nastavení počítače učiní, se v registrech promítnou. Někdy je však nutné vstoupit přímo do registrační databáze a některé položky upravit.20

4.4

Kontrolní fáze (krok č.4) Během této fáze se ověřuje, zda provedené změny přinesly očekávaný efekt.

V případě, že ano, je vše v pořádku. V opačném případě je potřeba tyto změny ještě “doladit”. Není neobvyklé, že na jisté chyby nastavení se přijde třeba až po pár měsících používání. To je v pořádku. Horší problém by nastal, pokud by se na tuto chybu nepřišlo vůbec a ta následně způsobila nějaké další škody. Proto je dobré dělat pravidelné revize nastavení, které rozhodně nejsou žádnou ztrátou času.

20

HORÁK J. Bezpečnost malých počítačových sítí. s. 27.

21

5

Seznámení se s Optim Access

Aby bylo možno splnit všechna bezpečnostní opatření předchozí kapitoly, je potřeba seznámit jednotlivé uživatele s předpisy o chování se v síti. Ve firemním prostředí je ale ještě navíc nutné (z důvodu ochrany citlivých materiálů), zabezpečit pracovní stanice pomocí bezpečnostního HW nebo SW. K tomuto účelu slouží ve firmě WANZL spol. s r.o. program Optim Access (OA)21.

5.1

Rozdělení do modulů Systém správy počítače OptimAccess se skládá celkem z devíti na sobě

nezávislých modulů, které umožňují variantní nasazení dle potřeb organizace. Jestliže není organizace nucena řešit všechny problémy související se správou počítače, je možné právě díky modulární koncepci nasadit pouze vybrané moduly a získat tak cenově optimální řešení.22

5.1.1

OptimAccess Remote Kontrol Je srdcem celého řešení OptimAccess. Umožňuje spravovat program

OptimAcces z jakéhokoliv počítače a přebírá topologii sítě. Všemožně se tedy snaží správu usnadnit. Veškeré akce lze plánovat a mít tedy vždy potřebné informace k dispozici.

21

OptimAcces < http://www.sodatsw.cz/produkty/optimaccess.html>

22

OptimAcces < http://www.sodatsw.cz/produkty/optimaccess/rozdeleni-do-modulu.html>”

22

5.1.2

OptimAccess Standard Obsahuje restriktivní politiky. Přitom nezáleží na právech, které na svých stanicích

uživatelé využívají. Mezi možnosti, které modul poskytuje, je omezení uživatele při instalaci nového software z výměnných médií, kontrola přístupu k externím zařízením, ochrana systémových složek a registrů, omezení přístupu k souborům s konkrétní příponou a jejich modifikace.

5.1.3

OptimAccess WorkSpy Umožňuje mít veškeré informace o činnosti uživatelů vždy po ruce. Sleduje

veškeré operace, které uživatel na koncové stanici provádí. V případě potřeby lze zjistit, zda jsou drahé licence, které byly zakoupeny, využívány. Veškeré informace jsou k dispozici po zadání jednoduchého dotazu.

23

II.

PRAKTICKÁ ČÁST

24

6

WANZL spol. s r.o.

Historie firmy Wanzl je historií neustálého vývoje a inovací. V roce 1950 vyvinul Rudolf Wanzl prototyp nákupního vozíku, který prošel řadou vylepšení a změn a je používán dodnes. Dnes je Wanzl největším výrobcem nákupních vozíků na světě. Firma ročně vyrobí a prodá přes 2 miliony kusů různých typů. Pobočka firmy Wanzl pro Českou republiku byla založena v roce 1991 v Olomouci. V roce 1996 se ve vlastních budovách v Hněvotíně u Olomouce otevírá i výrobní závod. Česká pobočka WANZL spol. s r.o. má dnes více než 260 zaměstnanců a je schopna řešit i ty nejnáročnější požadavky zákazníků. Firma disponuje výstavními plochami a prodejními kancelářemi jednak ve své centrále v Hněvotíně, ale i v pobočkách v Praze a slovenské Seredi.V roce v roce 2006 byl rozšířen výrobní závod o další výrobní halu a galvanovnu, takže z továrny vycházejí hotové, povrchově upravené výrobky23. Další informace je možno nalézt na webových stránkách (http://www.wanzl.cz).

23

WANZL spol. s r.o. < http://www.wanzl.cz/default.asp?oid=200&lid=Cz&navid=551321>

25

7

Dokumentace týkající se IT ve firmě WANZL

V jakékoli firmě je základním kamenem veškeré práce a postupů určitý soubor pravidel. Tyto pravidla mohou být jak psaná tak i nepsaná (záleží na velikosti a typu firmy) a je potřeba se s nimi seznámit hned na začátku. Pokud se navíc jedná o IT, platí to dvojnásob. Pomocí směrnice nebo jiného školení, je uživatel seznámen s tím co smí a nesmí na síti provádět. Následným podpisem pak potvrzuje pochopení směrnice, načež může být při jeho porušení napomenut, nebo jinak sankciován. V další podkapitole je uvedeno, jak vypadá směrnice řízení IT ve firmě WANZL. Vybrány jsou pouze body, které se přímo týkají praktické části této bakalářské práce.

7.1

Směrnice Řízení výpočetní techniky Používání prostředků výpočetní techniky a softwarového vybavení vyžaduje

stanovení vlastních zásad a určitých pravidel zacházení tak, aby zaručily bezpečnost systému a integritu dat. Směrnice Řízení výpočetní techniky má sloužit jako předloha pro bezpečné využívání systému výpočetní techniky včetně softwarového vybavení, nákup, manipulaci s ní a ochranu dat.

7.1.1

Rozsah platnosti Směrnice je závazná pro všechny zaměstnance a externí pracovníky

společnosti,

kteří

přicházejí

do

styku

s prostředky

telekomunikační techniky a kancelářské techniky.

26

výpočetní

techniky,

7.1.2 Odpovědnosti a pravomoci V tomto oddíle jsou popsány pravomoci jednotlivých osob a skupin, které mají co do činění se zaváděním bezpečnostní politiky ve firmě. 

Jednatel společnosti. Odpovídá za dodržování směrnice a vytvoření

podmínek pro činnost správce výpočetní a kancelářské techniky. 

Správce výpočetní a kancelářské techniky. Správce VT a KT nebo osoba

jím pověřená mohou v naléhavých případech (např. z důvodu zabezpečení nebo instalace update SW, atd.) na dobu nezbytně nutnou omezit činnost kteréhokoli uživatele. Správce VT a KT provádí nebo je přítomen u všech instalací a prvních spouštění operačních systémů u nově zakoupených programů, připojuje a uvádí do provozu periferní zařízení apod. Je odpovědný za vytvoření účinného systému antivirové ochrany a zálohování dat.

7.1.3 Zásady řízení V tomto oddíle je popsána topologie firemní počítačové sítě a její správa. Dále jsou tu informace týkající se konfigurace a instalace veškerého vybavení IT. 

Struktura sítě. Návrh a provozování počítačové sítě (viz. Přílohy – obrázek

číslo 1 - Struktura sítě). 

Konfigurace hardware. Změny na vydodaném hardware může provádět

pouze správce sítě nebo osoba jím pověřená. Změnou se rozumí jak předávání nebo ubírání HW komponent, tak v nastavení HW. Také je striktně zakázáno připojit do sítě společnosti WANZL nezakoupený a správcem sítě nevydaný hardware, nebo jakékoliv periferní zařízení, popřípadě vytvářet připojení se stávajícím hardwarem bez souhlasu správce sítě.

27



Instalace SW. Veškerý systém instaluje nebo deinstaluje výlučně správce

VT a KT nebo osoba jím pověřená. Za instalaci se považuje i update či jakákoliv změna softwaru či firmwaru mimo užívání.

7.1.4 Bezpečnostní záplaty (tzv. SECURITY UPDATE, a SERVICE PACK) Správce VT a KT udržuje aktualizované bezpečnostní záplaty pro stanice (počítače)

i

servery,

a

to

ochranou

nazývanou

SECURITY

UPDATE24,

nebo SERVICE PACK25 tak, aby případnému SW útočníkovi bylo v rámci dostupných bezpečnostních prvků znesnadněno, či znemožněno

napadnout

uživatelův počítač, nebo server. Při vážných bezpečnostních hrozbách informuje všechny zaměstnance společnosti, kteří přicházejí do styku s výpočetní technikou na hrozící nebezpečí a z důvodů zvýšení bezpečnosti může na dobu nezbytně nutnou (např. restart počítače) omezit uživatele v běžných činnostech s výpočetní technikou, při restartu serveru omezit přístup do databází, emailových schránek, na webové stránky a jiné síťové služby s tím spojené. Za dodržování zásad zabezpečení stanic a serverů je odpovědný každý takovýto pracovník.

7.1.5 Správa uživatelů Přístupová práva (např. čtení, psaní, úpravy) k souborům, dílčím souborům nebo datům výpočetního systému jsou závislá na funkci, kterou osoba ve společnosti zastává. Přitom by měla být vždy umožněna pouze taková přístupová práva, která jsou nutná pro zajištění práce. Za účelem pracovních pokynů se stanoví procesy pro správu uživatelů a inicializování hesla. Výkon správy uživatelů zajišťuje výhradně správce VT a KT, nebo osoba jím pověřená.

24

Pokud je nalezen problém v určitém SW, firma která jej vyrobila vydá opravu tzv. (Security Update) Jedná se o něco podobného jako Sec. Update, většinou je pomocí Service Packu opraveno více problémů dohromady, popřípadě vymyšleny úplně nové metody jejich řešení

25

28



Noví uživatelé. Pro osoby, které dosud nedisponovaly žádnými přístupovými

právy, se zřídí přístup pouze po předložení odpovídající žádosti na založení nového uživatele, podepsané jak pracovníkem, tak jeho nadřízeným. 

Společný uživatel, univerzální uživatel. Pro přístup více osob k počítači,

bez nutnosti zvláštních oprávnění a e-mailových schránek, se zřizují společné účty. Zřízení je prováděno na základě požadavku příslušného střediska nebo dle uvážení správce VT a KT. Tyto společné účty se zřizují zásadně pro nekritické úseky a mají velice striktně omezena přístupová práva na většinu systémů a síťových prostředků. 

Externí uživatelé. Postup zřízení účtu externího spolupracovníka odpovídá

v zásadě postupu zřizování účtů u vlastních pracovníků. Žádost musí být podepsána od vedoucího příslušného oddělení/úseku. Externí uživatelé mohou být zřízeni zásadně časově omezeně. Po uplynutí stanoveného termínu je uživatel systémem zablokován.

7.1.6 Zvláštní oprávnění Pokud uživatel vyžaduje další oprávnění než které odpovídá jeho skupinovému přiřazení, povolení uděluje vedoucí příslušného oddělení.

7.1.7

URL-filtrování Pokud bude použit systém URL-filtrování (filtrování internetových adres), budou

definovány skupiny uživatelů, jimž budou přiřazeny jednotná přístupová práva na internetové stránky, odpovídající jejich úkolům. Stanovení skupinového oprávnění a přiřazení jednoho uživatele ke skupině, bude regulováno zvlášť. Uvolnění individuálních stránek pro jednotlivé uživatele musí být schváleno oddělením IT/IS (z hlediska celo-firemní strategie přístupu) a také vedením příslušného úseku nebo vedením společnosti.

29

II.a

PRAKTICKÁ ČÁST

30

8

Nastavení zabezpečení na SAP hláskách

Zvláštní skupinou počítačů připojených k síti jsou SAP hlásky26. Ve firmě WANZL je jich celkem sedm (6 ve výrobě, 1 na galvanovně). Na těchto počítačích bylo nutné nastavit pravidla tak, aby odpovídala požadavkům dle směrnice uvedené v kapitole 7.

8.1

Instalace potřebného SW V předchozí kapitole (bod 7.1.5) je upozorněno, aby byl veškerý SW udržován

aktuální. Proto i zde bylo prvním krokem nainstalování Windows Service packu a aktuální verze programu OptimAcces. Konkrétně se jednalo o: 

Windows XP Service Pack 3. Jedná se o poslední oficiální vydání

opravného balíčku pro Windows XP, který obsahuje všechny bezpečností a opravné aktualizace vydané od Service Pack 2 v roce 2004. 

OptimAccess ver. 10.5 (1478.0). Opravný patch, již nepodporuje operační

systémy nižší než Win2kSP4. Novinky jsou zejména v OptimAccess Workspy (nový mód Začátečník/Expert, zjišťování typu souboru podle obsahu, prohlížeč historie alertů), v modulu OptimAccess Remote Control (Automatická aktualizace klientských stanic).

8.2

Přístup k počítačům Těchto sedm počítačů slouží k tomu, aby jednotliví pracovníci výroby

evidovali počet vyrobených a počet zadaných kusů. Musí zde tudíž být nastavený 26

Pozn. název je odvozen od programu který na těchto počítačích běží

31

přístup pro více uživatelů. V podstatě jde o totéž jako vytvoření účtu pro samostatného uživatele, jen musíme dále počítat s jistými omezeními. Na jednotlivých počítačích již byly přístupy vytvořeny.

8.2.1

BIOS BIOS (Basic Input Output System) je obsažen v každém počítači. Používá

se hlavně při startu počítače pro inicializaci (nastavení počátečních hodnot) a konfiguraci připojených hardwarových zařízení a následnému zavedení operačního systému, kterému je pak předáno další řízení počítače. Je proto nutné jej zabezpečit proti neautorizovanému vstupu. Prvním krokem bude nastavení bootování27 v Biosu. Většinou se nachází v oddíle Advanced BIOS Features, ale nemusí tomu tak z důvodu rozdílných výrobců HW být. Zde vyhledáme seskupení položek Boot Device a nastavíme, aby se systém jako první spouštěl z disku. Zbytek zařízení můžeme umístit až na další místa nebo ho, pokud je to možné, úplně ho zrušit. Druhým krokem bude nastavení hesla do Biosu, aby se do něj nemohl nikdo neoprávněně dostat a nastavení uvedené v prvním kroku změnit. Pokud by tak učinil a nastavil, aby se systém nahrával z CD mechaniky místo pevného disku, mohl by se za pomoci programu na prolamování hesel (který by byl na CD obsažen) dostat do počítače. Počítače ve výrobě jsou sice každému na očích a případného vetřelce by si jistě někdo všiml, nicméně se počítač může během času dostat na jiné místo, kde už by to mohlo vadit.

8.2.2 Přihlášení do Windows Aby se mohl uživatel dostat do systému Windows musí nejdříve projít přes bezpečnostní kontrolu. Ta se skládá ze zadání jména a hesla. To již samozřejmě bylo

27

Proces inicializace operačního systému

32

nastaveno, je ale potřeba sjednotit další zabezpečení, které se přihlášení týkají. Jsou to tyto: 

Ctrl+Alt+Del před přihlášením. Pokud bude zapnuta tato funkce, zobrazí

se přihlašovací obrazovka až po stisknutí kombinace těchto kláves. Protože současný stisk kláves se používá pro restart počítače, budou tím oklamány některé virové programy. Také se zabrání utilitám zkoušejícím hesla jejich prolomení metodou BruteForce28. Nastavení je následující: Přes menu start je nutno spustit ovládací panely. Zde se nachází nástroje pro správu (Administrative Tools) a v nich zástupce místní správy zabezpečení (Local security policy). Tím se otevřel registr pro zabezpečení. Zde se nachází položka „Interactive logon: Do not require CTRL+ALT+DEL“. Musí být nastavena na disabled, aby se při příštím přihlášení vyžadovalo stisknutí této kombinace kláves.

Obrázek 1: Registry pro zabezpečení



Zobrazování jména posledního uživatele. Tato možnost, pokud je zapnuta,

zabrání zobrazení jména posledního přihlášeného uživatele do systému. Uživatelé sice musí při přihlašování vyplnit své jméno, ale zabrání se tak pokusům o neautorizované vniknutí do počítače. Nastavení této možnosti je v registru o jednu pozici výše než nastavení stisku kláves Ctrl+Alt+Del před přihlašováním.

28

Metoda BruteForce spočívá ve zkoušení všech možných variací hesel, jaké existují. Program skládá postupně písmenka podle určitého algoritmu a zkouší, zda se netrefil do požadovaného hesla.

33

8.2.3 Přihlášení Nyní je vše nachystáno k tomu, aby se mohl uživatel přihlásit. Z firemní dokumentace není úmyslně vybrána pasáž o bezpečnosti hesel, protože zde platí jiná pravidla. Heslo není časově omezeno z důvodu přístupu více osob do systému. O to důsledněji musí být dále nastaveny práva přístupu k datům v síti.

8.3

Přístup k síti Jak bylo zmíněno v podkapitole 8.2.3, je důležité správně nastavit práva

přístupu k jednotlivým složkám a programům. Z principů bezpečnostní politiky ale vyplývá, že toho nesmí být dosaženo na úkor omezení potřebných materiálů pro práci. Proto je potřeba nejdříve analyzovat, které složky, programy či databáze je potřebné nechat přístupné. Zbytek je potom již snadný.

8.3.1

Nastavení skupiny První opatření, které bude na všech SAP hláskách stejné, bude přidělení

do skupiny. Pro počítače ve výrobě je vytvořena skupina VYROBA. Překontrolujeme tedy, jestli jsou zde opravdu všechny přiřazeny, protože na základě tohoto přiřazení jim budou později upravována práva přístupu k datům na síti. Pro přidání společného uživatele do skupiny VYROBA je potřeba udělat následující: 

Vytvořit skupinu VYROBA. Tuto práci uděláme za pomoci konzoly MMC

(viz. 4.3.1). Potřebné nastavení se nachází opět v ovládacích panelech nástroje pro správu. Po poklepání na zástupce Správa počítače (Computer Management), je vidět nastavení pro místní uživatele a skupiny (Local Users and Groups). Pokud je skupina VYROBA již vytvořena, je vše v pořádku, pokud tomu tak není, vytvoříme ji.

34

Obrázek 2: Konzole MMC a v ní skupina VYROBA



Přidat společného uživatele do této skupiny. Poté co je skupina VYROBA

připravena, stačí do ní už jen přidat společného uživatele. Toto lze provést v nastavení (properties) po klepnutí pravým tlačítkem myši na skupinu.

8.3.2 Přístup k datům v síti. Poté, co byla vytvořena potřebná skupina, může být přistoupeno k přidělování jednotlivých oprávnění a přístupů k datům v síti. Podle kroku 7.1.6 je ještě potřeba schválení od vedoucího příslušného oddělení. Pokud jsou však návrhy schváleny, je možné přístupy vytvořit. Zde se to provádí těmito způsoby: 

Nastavení přístupu k celé složce. Ve výrobě je mimo jiné potřeba přístup

ke složkám v síti, kde jsou například výkresy. Přístup k celé složce vytvoříme tak, že v záložce zabezpečení (security) této složky přidáme celou skupinu uživatelů. V našem případě manipulujeme se skupinou VYROBA. Této skupině je dále nutné nastavit, možnosti přístupu ke složce. Ve většině případů se vybírá vše mimo celkové kontroly (tzn. uživatel může vytvářet, upravovat a ukládat data v této složce, nemůže je však mazat). Tato možnost vytvoření sdílení byla použita na všech sedmi SAP hláskách.

35



Nastavení

přístupu

k jednotlivým

souborům.

Druhou

možností

je přemapování cesty až k určitému souboru. Je to potřebné proto, že někdy je nutné projít dlouhým stromem adresářů, než se dostaneme k určité databázi a přidělení oprávnění by nám narušilo naši bezpečnostní politiku. Proto si předem připravíme jednotlivé cesty k databázím a souborům a následně je v průvodci vytvořením zástupce (pravé kliknutí na plochu počítače, vybereme nový a následně zástupce) vložíme. Tato možnost sdílení se hodila mimo jiné k vytvoření přístupu k MS ACCES databázi na 2 SAP hláskách.

8.4

Přístup k internetu Nesmíme zapomenout na přístup k síti Internet. Pokud by byl internet k práci

nezbytný, bylo by nutné poslat žádanku (viz 7.1.7). V tomto případě byl problém velmi jednouchý, protože žádný z těchto počítačů neměl mít přístup k Internetu povolen.

36

8.5

Přístup k ovládacím panelům Aby byl odepřen přístup k různým systémovým nastavením, je potřeba zablokovat

veškeré nabídky v ovládacích panelech až na malé vyjímky. Tento krok lze provést přes databázi registrů ve Windows, firma WANZL ovšem disponuje nástrojem pro správu OptimAcces, který tuto práci značně ulehčí. Je to dobré z toho důvodu, že na počítačích je nutné občas něco nainstalovat. Vyhledávat kvůli tomu v registrech co je potřeba povolit, by bylo značně nepraktické a časově náročné. Pro lepší představu je zde uveden obrázek části programu. Jednotlivé kroky nastavení jsou pod tímto obrázkem:

Obrázek 3: OptimAcces – Výměnná média



Výměnná média. Z důvodů již jednou zmiňovaných (ochrana počítače před

nebezpečným SW), bude systém výměnná média blokovat. 

Externí zařízení. Zde budou zakázána všechna externí média vyjma HID

class, což jsou klávesnice a myš.

37



Omezení přístupu. V tomto nastavení je důležité zakázat přístup

k .exe a .dll souborům na výměnných médiích. Lze odepřít přístup i k ostatním souborům, to už ale máme nastaveno pomocí přístupů k datům na síti. 

Ovládací panely. V ovládacích panelech by mělo být zablokováno vše

s výjimkou jazykového nastavení, které je potřeba pro přepínání klávesnice z anglické na českou.

38

ZÁVĚR Zabezpečení firemní počítačové sítě je velmi složitý proces, který nelze shrnout v této práci celý. Každá firma má navíc svou bezpečnostní politiku nastavenou úplně jinak. Záleží na velikosti a zaměření firmy. Existují ale postupy, podle kterých by se měl podnik při zavádění své bezpečnostní politiky řídit. Tyto jednotlivé kroky jsem se snažil ve své práci popsat a na konkrétním případě ukázat, jak se dají využít v praxi. Ihned po příchodu do firmy WANZL spol. s r.o. jsem zjistil, že jen zběžné seznámení s firemní sítí, mi zabere mnoho času. Dlouho jsem hledal, čím bych se mohl ve své práci zabývat, až jsem konečně po nějaké době narazil na několik počítačů ve výrobě. Ty jsem si vybral hned z několika důvodů. První byl ten, že můj vůbec první úkol ve firmě, byla oprava jednoho z těchto počítačů. Druhý důvod byl ten, že jsem tento úkol dostal zadán od správce IT. A nakonec šlo o počítače, na kterých není moc velký provoz, takže nebylo potřeba s tímto úkolem příliš spěchat. Samotné zadání úkolu se ukázalo jako splnitelné. Po prostudování materiálů a seznámení se s programy, které měly na těchto počítačích běžet, jsem se pustil do práce. Po jejím dokončení, byly počítače nastaven tak, aby to odpovídalo pojetí mé diplomové práce a zároveň podnikové směrnici „Řízení výpočetní techniky“. Díky této práci jsem se dostal zase o kus dál v oblasti síťové bezpečnosti a těším se na další úkoly, které mě ve firmě, nyní jako asistenta IT čekají.

39

ANOTACE Příjmení a jméno autora:

Šindler Jan

Instituce:

Moravská vysoká škola Olomouc

Název práce:

Zavádění systému jakosti ve společnosti WANZL spol. s r.o.

Vedoucí práce:

Mgr. Květoslav Bártek, Ph.D.

Počet stran:

39

Počet příloh:

3

Rok obhajoby:

2009

Klíčová slova:

sítě, bezpečnost, Informační Technologie, management

Anotace v českém jazyce Tato bakalářská práce se zabývá zabezpečením firemní sítě pomocí managementu bezpečnosti. V první části je charakterizována bezpečnost a její vývoj. Dále jsou popsány metody managementu bezpečnosti a jejich nástroje. Druhá část práce se zabývá dokumentací k IT ve firmě WANZL spol. s r.o. Všechny poznatky jsou dále využity k zabezpečení konkrétních počítačů Anotace v anglickém jazyce This thesis is about company web security, in the cooperation of the management of security. The first part of the text describes security and its progress. Then the methods of

security management

and

its

tools

follows.

The

second

part

describes

IT documentation in company WANZL spol. s r.o. All these knowledges are used to make concrete computers safe.

40

GLOSÁŘ A

Autentizace Verifikace identity uživatele, založená na předem definovaném účtu uživatele a odpovídajícím hesle Autorizace

Proces potvrzení, že uživatel má povolení přistoupit ke zdroji na

síti H

HW (Hardware) Neboli vše na co si uživatel počítače může sáhnout.

I

ICT

je označení pro informační a komunikační technologie

Implementace

Je proces uskutečňování teoreticky stanovené myšlenky nebo

projektu, za účelem jejího dalšího použití Inicializace Nastavení počátečních hodnot IS Informační služby ISDN (Integrated Services Digital Network)

digitální telekomunikační síť

s integrovanými službami IT (Informační technologie)

Termín používaný k označení průmyslu, který

zahrnuje všechny různé technologie, včetně počítačů a telefonů, které se používají k vytváření, uchovávání a použití informací. ITIL

knihovna infrastruktury informačních technologií

ITSM Management informačních technologií K

Kompatibilní

Produkt je kompatibilní, pokud může zastoupit starší produkt

tím, že spolupracuje s ostatními produkty, které byly vytvořeny pro tento starší produkt. KT Kancelářská technika D

Data Informace, které byly přeměněny do digitální nebo binární formy pro zpracování na počítače nebo přenos po síti Databáze Místo v síti které slouží k uchování určitých dat.

P

Patch

Malý program, který je dodáván výrobcem operačního systému nebo

výrobcem programu jako rychlá oprava k nápravě problémů s programem. S

Server Uzel nebo software poskytující služby klientům (většinou speciální počítač) Síť

Souhrn počítačů, tiskáren, a dalších zařízení, která jsou spolu schopná

komunikovat přes nějaké přenosové médium

41

Směrovač

Zařízení, které využívá jednu nebo více metrik k určení optimální

trasy, po které by měl být předáván síťový provoz. Standardizace

Návrh postupu podle pravidel nebo procedur, které jsou široce

využívány, nebo oficiálně specifikovány SW (Software) Programové vybavení počítače T

Topologie

Fyzické rozvržení síťových uzlů a síťových komponent v podnikové

síťové struktuře. U

URL (Uniform Ressource Locator)

Jedná se o standardizované schéma adres

pro přístup k hypertextovým dokumentům a jiným službám pomocí internetového prohlížeče. V

VT

Výpočetní technika

Z

Zálohování

Vytváření kopií dat a programů, které mohou být obnoveny pokud

je originál ztracen nebo poškozen

42

LITERATURA A PRAMENY Knižní publikace HORÁK, J. Bezpečnost malých počítačových sítí. 1. vyd. Praha: Grada Publishing, 2003. 200 s. ISBN 80-247-0663-6 NORTHCUTT, S, aj. Bezpečnost počítačových sítí. 1. vyd. Brno: CP Books, 2005. 594 s. ISBN 80-251-0697-7 EISENKOLB, K.; GÖKHAN, M.; WEICKARDT, H. Bezpečnost Windows 2000/XP. 1. vyd. Praha: Computer Press, 2003. 504 s. ISBN 80-7226-789-2 SHINDER,

Debra

L.

Počítačové

sítě.

1.

vyd.

Soft

Press,

2003.

754

s.

ISBN 80-86497-55-0 Firemní dokumentace Materiály poskytnuté firmou WANZL spol. s r.o., 2008 / 2009 Internetové zdroje Historie počítačových sítí [online]. 2004. [cit. 20.4.2009]. Dostupné na WWW: < http://emp.wz.cz/net/main.php?side=history> HANÁČEK, P.; STAUDEK, J. Bezpečnost informačních systémů [online]. 2000. [cit. 18.4.2009].Dostupné na WWW: ITIL – Historie a vývoj [online]. 2007. [cit. 19.4.2009]. Dostupné na WWW: < http://www.itil.cz/index.php?id=983> Referenční model HP IT Service [online]. [cit. 19.4.2009]. Dostupné na WWW: < http://www.hp.cz/services/integrace/itsm/files/podrobne_informace_o_itsm_rm.pdf> SKÁLA, J. ITIL jako mezinárodní standard pro oblast IT Service Managementu [online]. 2004. [cit. 19.4.2009]. Dostupné na WWW: <

43

http://www.agris.cz/etc/textforwarder.php?iType=2&iId=144350&PHPSESSID=11ec897 5fb7d9ce2e1c8055e78be5aef > Common Criteria [online]. [cit. 18.4.2009]. Dostupné na WWW: DOČEKAL, D. Nejčastější slabiny internetové bezpečnosti [online]. 02-2009. [cit. 19.4.2009]. Dostupné na WWW:< http://i.iinfo.cz/urs-att/Daniel_Docekal_Nejcastejsi_slabiny_internetove_bezpecnosti - 123572774900635.ppt.> Information Technology Infrastructure Library [online]. [cit. 2009-19-4]. Dostupné na WWW: < http://cs.wikipedia.org/wiki/Information_Technology_Infrastructure_Library> WANZL spol. s r.o. [online]. 2009. [cit. 2009-22-4]. Dostupné na WWW: < http://www.wanzl.cz/default.asp?oid=200&lid=Cz&navid=551321>

44

PŘÍLOHY Tabulka č. 1: viz. podkapitola 2.1 Tabulka č. 2:

Přehled disciplín managementu ITSM

Management úrovně služeb Finanční management Management kapacity Management kontinuity služeb IT Management dostupnosti Management konfigurace Management změn Release management

Zodpovídá za zajištění dohod o úrovni služeb. V rámci této disciplíny se definují dohody o úrovni služeb a sleduje se jejich dodržování. Zodpovídá za náklady na služby IT a za kontrolu vztahu mezi náklady a výnosy požadovaných a poskytnutých služeb. Úlohou managementu kapacity je zajistit požadavky klientů na objem transakcí a dobu jejich zpracování. Management kontinuity má za úkol zajistit nepřetržitost služeb. Jeho úlohou je implementace kontrolní a měřící metody systému IT s cílem zajistit úrovně dostupnosti, přislíbené v příslušných dohodách o úrovni služeb Jeho úkolem je zachytit a průběžně dokumentovat všechny používané komponenty. Stará se o koordinaci a realizaci nezbytných změn stávajícího systému IT. Základem pro práci jsou data zaznamenaná managementem konfigurace. Jeho úloha spočívá v koordinaci bezpečného spouštění nového softwaru a hardwarových komponentů.

Incident management

V případě, že dojde k nějakému incidentu, je jeho úkolem jej co nejdříve vyřešit

Problémový management

Hlavní úkol spočívá v redukci negativních vlivů na obchodní procesy, jejichž příčinou jsou chyby v infrastruktuře IT.

Service Desk

Service Desk je centrálním spojovacím a komunikačním článkem mezi uživatelem a poskytovatelem služeb IT.

Management aplikací

Je zodpovědný za celkovou dobu životnosti aplikace. Aplikace může být buď hardwarový systém či software.

Management bezpečnosti Projektový management Management obchodních vztahů Management klientských vztahů

Má za úkol zajistit a prověřit úlohu, důvěryhodnosti, spolehlivost a dostupnost stávajících dat. Projektový management má za úkol připravovat projekty IT a koordinovat jejich realizaci. Slouží jako koordinační a spojovací článek pro obchodní partnery a dodavatele. Slouží jako koordinační a spojovací článek pro klienty a v koordinaci s jinými disciplínami managementu uzavírá dohody o úrovni služeb.

Tabulka 2: Jednotlivé disciplíny ITSM

45

Tabulka č. 3: Klíčové publikace ITIL V3 Oficiální úvod do životního cyklu služby dle IT

Strategie služeb

Návrh služeb

Přechod služeb

Provoz služeb

Průběžné zlepšování služeb

Doplňkové publikace

Tato publikace je oficiálním úvodem do ITIL. Vysvětluje novou koncepci a strukturu publikací. Tato publikace, která se snaží o sladění businessu a IT tak, aby vzájemně přinášely to nejlepší, zajišťuje že v každém stavu životního cyklu služeb bude zachována orientace na business a jeho cíle. Tato publikace probírá současné a budoucí obchodní požadavky, diskutuje návrh a vývoj služeb a procesů IT, poskytuje návody na tvorbu a údržbu strategií a architektury IT a dokumentuje návrh adekvátních a inovativních řešení služeb a procesů IT. Tato publikace se zaměřuje procesy Správa změn (Change management) a Správa releasů (Release Management), přičemž se berou v úvahu všechna rizika, výhody a další aspekty dodávky a následného provozování služeb IT. Publikace se koncentruje na samotnou dodávku, respektive provoz služeb a řídící procesní aktivity umožňující dosahování požadovaného a stabilního stavu správy služeb na každodenní bázi. Tato kniha se soustředí na procesní prvky, organizační strukturu a finanční toky, které figurují v identifikování a zavádění zlepšení v oblasti správy služeb, ale také s potenciálními problémy. Zatímco klíčové publikace v zásadě čerpají z ITIL V2, doplňkový materiál se bude zaměřovat na specifická vertikální odvětví (např. veřejný sektor, finanční služby atd.) a bude poskytovat prostor pro rychle se měnící návody ohledně aplikace a implementace nejlepších praktik popsaných v klíčových publikacích.

Tabulka 3: Publikace ITIL

46

Obrázek č. 1:

Obrázek 1: Struktura sítě

47