- Bezpieczny system informatyczny to taki, w którym informacja będąca w systemie musi mieć zapis: gdzie powstaje, gdzie się znajduje, do kogo ma dotrzeć, kto jest uprawniony do jej odczytu, kto o nią pytał.
- Oficer bezpieczeństwa systemu musi dysponować takimi danymi. Jeśli istnieje przedział czasu lub przestrzeni, w którym informacja jest (lub choćby tylko może być) poza kontrolą, system nie jest bezpieczny.
NATO
a)Organizacja Rozwoju i Współpracy Gospodarczej (OECD) przyjęła w 1992r.(Polska jest członkiem od 1996) „Wytyczne w sprawie bezpieczeństwa systemów informacyjnych”, w których zdefiniowano podstawowe atrybuty bezpieczeństwa tych systemów w sposób następujący:
- dostępność (availability) - właściwość danych, informacji oraz systemów informatycznych, dzięki której są one osiągalne i mogą być używane w każdym czasie i w wymagany sposób;
- poufność (confidentiality) - właściwość danych i informacji polegająca na ujawnianiu ich wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób;
- integralność (integrity) - właściwość danych, informacji oznaczająca ich dokładność i kompletność oraz utrzymanie ich w tym stanie
b)Od 1 września 1998 obowiązuje nowy kodeks karny
c)Przyznanie przez nowy kodeks karny ochrony prawnej informacji, w tym w szczególności przetwarzanej elektronicznie
d)Wyższa kara grozi za zniszczenie informacji elektronicznej niż zniszczenie informacji na papierze ( !!! ) (por. art. 268 kk)
e)Art.267 kk - § 1 „Kto bez uprawnienia uzyskuje informację dla niego nieprzeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenia, podlega grzywnie, karze ograniczenia lub pozbawienia wolności do lat 2”
f)Art.269 kk - § 1 „Kto na komputerowym nośniku informacji niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji lub funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji podlega karze pozbawienia wolności od 6 miesięcy do lat 8”
g)§ 2. „Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenia służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji”
h)Art.287 kk - § 1 „Kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenia lub przesyłanie informacji lub zmienia,, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji podlega karze pozbawienia wolności od 3 miesięcy do lat 5”
1.Audyt istniejących zasobów i ograniczeń
2.Opracowanie projektu i dokumentacji
3.Wdrożenie projektu
4.Ciągły nadzór, kontrola i modyfikacje istniejącej Polityki Bezpieczeństwa
a)Określenie wymagań
-Co chcemy chronić?
*Materialne: komputery; sieć transmisji danych; kopie zapasowe; wydruki; dokumentację
*Niematerialne: prywatność użytkownika; bezpieczeństwo użytkownika; hasła, informacje konfiguracyjne; dobre imię organizacji; zdolność działania
-Ocena zagrożeń : Przed czym chcemy się bronić?
*klęski (ogień, dym, kurz, trzęsienie ziemi, eksplozje, temperatura, insekty, zakłócenia elektryczne, wibracje, wilgoć, woda, wandalizm, kradzież)
*niepowołane osoby
/utrata poufności (gdy dostęp do informacji uzyskują osoby niepowołane)
/utrata integralności (gdy nastąpiła nieautoryzowana modyfikacja informacji)
/utrata dostępności (gdy niezbędne informacje przestają być dostępne)
/zaprzeczenie (gdy nadawca informacji zaprzecza faktowi jej nadania)
/powtórzenie (gdy informacja w sieci jest wysyłana powtórnie a odbiorca nie może stwierdzić, że jest to duplikat)
/analiza ruchu w sieci (podsłuchiwany jest sam ruch w sieci)
- Ocena zagrożeń : rodzaje ataków
*zgadywanie haseł (brute force attack)
*maskarada (spoofing)
*podsłuchiwanie (sniffing)
*szukanie dziur
*blokowanie serwisów (denial of serwice)
*social engineering
*terroryzm sieciowy
-Analiza ekonomiczna
-Opracowanie polityki bezpieczeństwa
*budowanie podstaw
*Hardening (dokumentacja systemów, usuwanie błędów, uświadamianie użytkowników)
*podnoszenie poziomu bezpieczeństwa systemu
b)Serwer:
- usunięcie zbędnych usług i użytkowników
- rozszerzone logowanie, aktualne łaty
- wybór bezpiecznego serwera (producent, produkt, wersja)
- właściwa konfiguracja
*wyłączenie automatycznego listowania katalogów
*wyłączenie Symboling Link Following
*katalogi użytkowników - szczególne restrykcje na symlinki i skrypty
*skrypty uruchamiane z kluczem nobody
*anonimowe FTP baz możliwości zapisu
*ograniczenie praw do plików konfiguracyjnych
*zablokowanie odczytu access-log i error-log
*kontrola dostępu na poziomie serwera
- bezpieczne skrypty
- anonimowość
- scentralizowany nadzór nad logami
- sprzętowe zabezpieczenie serwerów: blokady, chronione pomieszczenia,
c)Wdrożenie
d)Monitorowanie
-sniffery,
-programy antywirusowe,
-skanery zewnętrzne (portów, serwisów), skanery wewnętrzne (systemowe), crackery
-watchdog
e)Reagowanie na sytuacje awaryjne
f)Aspekty prawne
1.Wartość informacji
-Niesklasyfikowana (publikowana)
-Niesklasyfikowana (niepublikowana)
-Sklasyfikowana
-Poufna
-Tajna
2.Kto zagraża informacji ?
-Hackerzy
-Pracownicy firmy
-Kontrahenci
-Konkurencja
-Terroryści
Przykłady (z badań FBI i CSI na podstawie badań 428 organizacji)
-41% potwierdziło włamanie
-50% nie miało opracowanej polityki bezpieczeństwa
-25% miało ale nie przestrzegało
-20% nie prowadziło monitoringu włamań
-Najczęściej stosowany był Spoofing
3.Rodzaje włamań
-Maskarada (Spoofing)
-Zgadywanie haseł (Brute force attack)
-Podsłuchiwanie (Sniffing)
-Szukanie dziur
-Blokowanie serwisów
-Social Engineering
-Terroryzm sieciowy
-Sabotaż wewnętrzny
4.Zagrożenia związane z transmisją zbiorów (FTP)
-Wirusy
-Bakterie, królik
-Koń trojański
-Bomba czasowa i logiczna
-Robak
-Furtki i włazy
POLITYKA BEZPIECZEŃSTWA - KLASY BEZPIECZEŃSTWA (ORANGE BOOK)
a)D1
Najniższy poziom bezpieczeństwa oznaczający brak wiarygodności systemu
b)C1
System operacyjny kontroluje uprawnienia użytkownika do odczytu i zapisu plików i kartotek oraz dysponuje
c)C2
Rejestracja wszystkich istotnych zdarzeń i zapewnia ochronę kluczowych danych systemowych
d)B1
Bezpieczeństwo na kilku poziomach. Ma mechanizmy kontroli dostępu do zasobów systemowych
e)B2
Poziom ten wymaga przypisania każdemu obiektowi systemu etykiety bezpieczeństwa określającej status. W trakcie odwołań do
zasobów żądanie jest akceptowane lub odrzucane przez system gdy etykiety są niezgodne
f)B3
Bezpieczeństwo jest rozszerzone na sprzęt komputerowy np. łączenie z terminalem za pomocą wiarygodnego okablowania.
g)A1
Jest to najwyższy poziom bezpieczeństwa. Sprzęt i oprogramowanie wymaga specjalnej weryfikacji np.. ochrona transportu.
BEZPIECZEŃSTWO SIECI
Definiuje sposób dostępu:
- dla własnych użytkowników do zasobów zewnętrznych
- dla użytkowników z zewnątrz do własnych zasobów
BEZPIECZEŃSTWO SERWERÓW
Określa jak powinny być zabezpieczone serwery
- sposób zabezpieczenia jest zależny od systemu operacyjnego
- polityka haseł
OCHRONA POMIESZCZEŃ
- Definiuje warunki dostępu do serwerów i stacji roboczych dla personelu własnego i obcego
- wejścia na karty magnetyczne
- praca pod nadzorem
ZABEZPIECZENIE INFORMACJI I DOKUMENTÓW
- Określa zasady dystrybucji i przechowywania informacji
- wirusy
- zasady zabezpieczeń
- ochrona prywatności i spójności danych
Bezpieczeństwo sieci
-polityka zabezpieczeń zewnętrznych (firewall, routery ochronne, ....)
-separacja grup roboczych
-monitoring włamań
-określenie zasad korzystania z modemów
-testowanie sieci pod względem szczelności i efektywności
-szkolenie użytkowników
-Router Chroniący nie stanowi pełnego zabezpieczenia a jest jedynie elementem polityki bezpieczeństwa
POLITYKA BEZPIECZEŃSTWA - BEZPIECZEŃSTWO INFORMACJI
-Hasła
-Autentyczność i integralność (elektroniczny podpis)
-Autoryzacja (Kerberos)
-Enkrypcja
a)dzielony klucz
Taki sam klucz jest używany do szyfrowania i deszyfrowania czyli musi być znany obu stronom
Problemem jest dystrybucja klucza. Wysłanie go otwartym tekstem może czyni go łatwym na przechwycenie a w konsekwencji na rozkodowywanie przesyłanej informacji. Mechanizmem ułatwiającym to zadanie jest metoda Kerberos. Ta metoda jest stosowana w niektórych routerach.
b)klucz publiczny
Występują dwa klucze: publiczny i prywatny. Prywatny klucz dekryptuje wszystko co zostało zaenkryptowane kluczem publicznym.
Użytkownik udostępnia klucz publiczny i wszyscy którzy chcą wysłać do niego informację enkryptują ją tym kluczem.
Jeśli użytkownik klucza prywatnego chce potwierdzić autentyczność partnera może zakryptować informację swoim kluczem. Musi być ona dekryptowalna kluczem publicznym.
RSA jest algorytmem klucza publicznego opracowanym przez Rivest, Shamir i Adelman.
Większość kluczy jest 40-bitowa.
RC4 używa klucza 40-bitowego (Rivers Cipher 4)
Algorytm DES używa klucza 56-bitowego. Powstał w 1978 w IBM
Algorytm IDEA używa klucza 128-bitowego.
ŚCIANY OGNIA
KLASYFIKACJA ŚCIAN OGNIOWYCH
- Ściany ogniowe zaimplementowane na routerach (routery chroniące)
- Ściany ogniowe zaimplementowane na komputerach (Bastion host)
BASTION HOST
-uszczelnia sieć
-instalowany w sieci narażonej na atak (DMZ)
-podstawowy komponent ścian ogniowych
-może równocześnie świadczyć serwisy: Name Server, Web server, FTP server
ZASADY OCHRONY PRZEZ ŚCIANĘ OGNIA:
- Wszystkie wydarzenia są dokładnie monitorowane i zapamiętywane. Zdarzenia mogą generować alarmy.
- Pakiety są badane przed dotarciem do określonego komputera. Jeśli nie spełniają zasad bezpieczeństwa są natychmiast odrzucane.
- Ściany ognia mogą ukrywać adresy IP sieci wewnętrznej.
- Wiele systemów ma możliwość tworzenia VLAN opartych na metodach szyfrowania transmisji danych.
- Użytkownicy wewnętrzni mogą mieć dostęp do wszystkich lub tylko wybranych usług Internet, natomiast użytkowncy zewnętrzni nie będą mieli dostępu do naszych zasobów.
- Usługi takie jak E-Mail, Ftp, WWW mogą być dozwolone tylko w odniesieniu do specyficznego komputera.
- znacznie podniesiony poziom identyfikacji i kontroli tożsamości metodą zabezpieczenia określonych zasobów i aplikacji.
KILKA NIEPRAWD ZWIĄZANYCH Z FIREWALL:
- Nie jest prawdą, że firewall rozwiązuje problem bezpieczeństwa. Jest tylko jedna z wielu części systemu zabezpieczeń.
- Pełny firewall to nie tylko możliwości filtrowania ruchu sieciowego, ale także współpraca z systemami identyfikacyjnymi, szyfrującymi i monitorującymi.
- Firewall wymaga poprawnej konfiguracji, zarządzania i aktualizacji. W przeciwnym razie spełnia odwrotną rolę do zamierzonej ( duże niebezpieczeństwo !!!)
- Do poprawnej implementacji i konfiguracji firewalla niezbędna jest jasna deklaracja w postaci polityki bezpieczeństwa
- Nie jest prawdą, że organizacja jest skazana na wybrany rodzaj firewalla. Wielu producentów oferuje niezwykle korzystne wymiany konkurencyjnych produktów na własne.
meganbit