Kryptografie a počítačová bezpečnost

Transkript

1 VYSKOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA FAKULTA INFORMATIKY A ELEKTORTECHNIKY Kryptografie a počítačová bezpečnost Zápočtový úkol Návrh bezpečnostní politiky virtuální firmy

2 Abstrakt Tato práce se zabývá navržením bezpečnostní politiky virtuální firmy. Struktura sítě dané firmy je popsána v zadání. Cílem práce bylo navrhnout bezpečnostní politiku tak, aby vyhovovala požadavkům síťové struktury. Tato politika obsahuje pouze některé ze základních zásad. Klíčová slova Bezpečností politika Seznam použitých symbolů a zkratek DNS - Domain Name System LAN - Local Area Network ISP - Internet Service Provider NDA - Non-disclosure Agreement DMZ - Demilitarized Zone CMS - Content Management System UPS - Uninterruptible Power Supply

3 Obsah 1. Zadání Bezpečnostní politika Hierarchie politik Základy správné bezpečnostní politiky Problémy bezpečnostní politiky Bezpečnostní cíle Organizační pravidla Makej a.s NDA Security organizace Manažer a bezpečnost Kancelář Personální pravidla Klientské stanice Operační systém Vybavení Antivir Firewall Antispam Aktualizace Prohlížeč Content Management System Šifrovací program Správa hesel Fyzická pravidla Docházkový systém Kamerový systém Systém rozmístění v kanceláři Připojení Umístění síťových zařízení UPS Závěr Odkazy...12

4 1. Zadání Navrhněte pravidla (organizační, personální, fyzická, logická) vedoucí k ochraně IT ve virtuální firmě. Struktura virtuální sítě je zobrazena na obrázku.

5 2. Bezpečnostní politika Bezpečnostní politika je souhrnem zásad, pravidel, norem a opatření sloužících k zajištění bezpečnosti. Bezpečnostní politika se dá velmi dobře využít při prosazování bezpečnostních opatření a nastavování vnitřních procesů ve firmě. Vychází z celkové koncepce organizace s důrazem právě na bezpečnost. Bezpečnostní politika se často považuje za živý dokument, což znamená, že tento dokument není nikdy dokončen, ale je neustále aktualizován podle toho, jak se technologické požadavky a požadavky zaměstnanců mění Hierarchie politik Podle struktury příslušné organizace, její rozsáhlosti i podle struktury informačních systémů existuje určitá hierarchie bezpečnostních politik. Politika celé organizace - dokument zastřešující směrování celé instituce, její cíle, termíny, prostředky apod. Politika bezpečnosti celé organizace - zastřešující dokument pro otázky veškeré bezpečnosti. Stanovuje cíle, priority a normy. Politika bezpečnosti IT organizace - věnuje se celkovému směrování informační bezpečnosti. Politika IT bezpečnosti systému - jedná se o určitá pravidla, která je potřeba konkrétně specifikovat a která procházejí napříč celou institucí. Například podmínky používání elektronické pošty, internetu atd. Politika IT bezpečnosti oddělení - konkrétní dokument obsahující informace o bezpečnosti v rámci daného oddělení. Zde jsou definovány specifika oddělení Základy správné bezpečnostní politiky Bezpečnostní cíle a aktivity k nim vedoucí musí respektovat podnikatelské cíle a požadavky společnosti. Musí existovat viditelná podpora a odhodlání vrcholného managementu. Musí být zajištěno správné porozumění bezpečnostním rizikům (zranitelností a hrozeb). Bezpečnost musí být společným cílem managerů i zaměstnanců. Všichni zaměstnanci a externí partneři musí být srozumitelně poučeni o bezpečnostní politice Problémy bezpečnostní politiky Politika zastarává stejně rychle, jako se mění byznys, systém řízení, technologie atd. Dříve či později dojede ke stavu, kdy se politika začne chápat jako brzda normálního chodu společnosti Zaměstnancům se zdá, že lidé starající se o bezpečnost nic nedělají a jen otravují normální zaměstnance, aby vykazovali nějakou činnost Bezpečnostní cíle Podmínka pro vypracování důvěryhodné bezpečnostní politiky tkví v bezpečnostních cílech. Musíme znát a umět stanovit bezpečnostní cíle. Důvěrnost, integrita a

6 dostupnost jsou tři primární bezpečnostní cíle, které jsou uváděny v bezpečnostních standardech. Tyto cíle popisují hlavní záměry pro zajištění ochrany dat.

7 3. Organizační pravidla 3.1. Makej a.s. Naše virtuální firma Makej a.s. provádí outsourcing pro skandinávské firmy. Struktura firmy je zobrazena na obrázku zmíněném dříve. Firma zaměstnává okolo 100 zaměstnanců. Všichni zaměstnanci pracují v jedné budově. Prostory budovy jsou určeny pouze pro tuto společnost NDA Protože firma vyvíjí a podporuje mnoho odlišných firem, je nutné, aby zaměstnanci, kteří pracují pro určitého zákazníka, měli podepsánu smlouvu o udržení tajných informací. Jedná se o takzvané NDA (Non-disclosure Agreement). Podpisem této smlouvy zaměstnanec potvrzuje, že nebude prozrazovat žádné důvěrné informace, týkající se zákazníka. Název této smlouvy se také objevuje, jako CDA (confidential disclosure agreement). V případě, že jeden zaměstnanec pracuje pro více zákazníků (firem), je nutné, aby měl podepsánu výše zmíněnou smlouvu se všemi zákazníky Security organizace O bezpečnost v této virtuální firmě se starají bezpečnostní manažer IT, bezpečnostní manažer pro fyzickou bezpečnost, risk manažer, bezpečnostní správci a také například Výbor pro koordinaci bezpečnosti Manažer a bezpečnost Každý manažer projektu má na starost, kromě klasických manažerských problémů, také problémy týkající se bezpečnosti. Pokud má kdokoli v týmu problém s bezpečností, tak o tom informuje svého projektového manažera Kancelář Jednotlivé týmy se seskupují v kancelářích. Není přípustné, aby dva týmy pracující pro odlišné zákazníky obývali společnou kancelář.

8 4. Personální pravidla Personální bezpečnost je zvyšována na školení uživatelů. Je nutné zajistit, aby si uživatelé nebyli lhostejní vůči bezpečnostních hrozeb a problémů s nimi spjatých a byli připraveni podílet se na dodržování politiky bezpečnosti informací během své práce. Uživatelé by měli být školeni v bezpečnostních postupech a ve správném používání prostředků pro zpracování informací, za účelem minimalizování bezpečnostní rizika. Uživatelé nesmí: Sdílet hesla s kolegy, přáteli nebo příbuznými. Spouštět programy na zjišťování hesel. Provozovat programy pro skryté sledování síťového provozu. Snažit se vbourat do cizích uživatelských účtů. Zneužívat systémové prostředky. Zneužívat firemní Klientské stanice Operační systém Defaultní klientský operační systém je Microsoft Windows XP Professional. V případě, že potřebuje zaměstnanec ke své práci jiný operační systém, musí kontaktovat Security manažera Vybavení Všechny stanice jsou vybaveny mimo nutných zařízení jako procesor, klávesnice atd., také o síťový adaptér, DVD mechaniku a USB rozhraní Antivir Firma využívá antivirový systém NOD32. Tento systém představuje světovou špičku antivirových programů. Kromě velmi rychlé a úspěšné detekce stávajících virů obsahuje účinnou heuristickou technologii, schopnou odhalit nové, dosud neznámé, viry. Je nabízen pro mnoho různých operačních systémů a spolupracuje s nejznámějšími poštovními servery Firewall Na každé klientské stanici je aktivován defaultní windows firewall Antispam Ochranou proti nevyžádané poště (spamu) je řešení systému Microsoft Exchange Server Aktualizace Aktualizace operačního systému a dalších programů (antivir, ) jsou stahovány centrálně a distribuovány na jednotlivé stanice Prohlížeč Doporučený browser je Internet Explorer 6. V případě nutnosti použití jiných prohlížečů, je nutné kontaktovat Security manažera.

9 Content Management System Každý zaměstnanec má vytvořen účet do CMS MakDok. Tento software zajišťuje správu dokumentů pomocí webového obsahu. Dokumenty v tomto systému mohou být přiřazeny do workflow, lze je verzovat, renderovat a zpřístupnit dalším uživatelům využívajícím tento CMS MakDok. Tento systém je taky výhodný k archivaci (zálohování) dokumentů Šifrovací program V případě, že potřebujeme přenést data, například na flash disku na jiný počítač, je nutné tyto data zakryptovat pomocí programu TrueCrypt Správa hesel Používání hesel je nezbytná součást v každé firmě. Hesla do systémů je nutné měnit každé tři měsíce. Jak to tak bývá, zaměstnanci používají velmi slabá hesla. Například jméno, příjmení atd. Na hesla jsou proto kladeny podmínky týkajících se jejich délky i složitosti. Správné heslo: Má minimálně 8 znaků Obsahuje velké i malé písmeno Obsahuje číslici nebo speciální znak Po vypršení tří měsíců se nemůže zvolit opět jedno z hesel, které zaměstnanec používal v minulosti.

10 5. Fyzická pravidla 5.1. Docházkový systém Celá budova je vybavena docházkovým systémem na čipové karty. Bez čipové karty není možné se do objektu dostat. Pokud si čipovou kartu kdokoli zapomene doma nebo ztratí, je nutné kontaktovat asistentky na recepci, které nám vydají dočasnou kartu. Každá karta, má definovaný 4-místný pin kód. Tento kód slouží, jako ochrana proti zneužití cizích osob, například při ztrátě karty. PIN se zadává při vstupu na dané patro. Poté karta slouží, také pro otevírání dveří na patře, ovšem zde, již není nutné naťukat PIN Kamerový systém Každé patro je kamerově hlídáno dvěmi zařízeními. Z hlediska bezpečnosti, nesmí být kamery zaměřeny na čtečky čipových karet, které slouží k zadání PIN kódu. Dále nesmí být kamerovány důvěrné data například kamera natočena na monitor. Kamery nesmí být zaměřeny na záchodech na místa, kde se vykonává potřeba Systém rozmístění v kanceláři V jedné kanceláři nesmí být překročena kapacita osob, pro kterou jsou tyto prostory dimenzovány. Monitory nesmí být natočeny směrem ven z okna. Navíc okna musí být vybavena ztmavující fólií. Kanceláře jsou vybaveny také samozavíracími dveřmi, aby se do kanceláře nedostal nikdo nepovolaný Připojení Každý zaměstnanec může využívat firemní LAN síť. Kromě této sítě lze v jednotlivých kancelářích zavézt sítě společnosti, pro kterou se dělá outsourcing. Ve firemní síti se nachází také webový a poštovní server. Na lokální síti se používá intranetovský portál Makačka. V rámci lokální sítě se využívá DHCP protokol pro dynamické přiřazení IP adresy. Díky, tomuto protokolu nedochází ke kolizím, například pokud dva počítače mají zadanou stejnou IP adresu. Pokud chceme bezpečněji komunikovat s vnějším prostředím, můžeme použít takzvanou demilitarizovanou zóna (DMZ). Pro zabezpečení služeb firewallu byla použita hardwarová bezpečnostní brána Ovislink AirLive RS Umístění síťových zařízení Veškeré síťové zařízení (huby, switche, bridge, routery) musí být umístěny v zabezpečených místnostech k tomu určených. Tyto místnosti musí být vždy zamčené, aby k nim neměl kdokoli přístup. Přístup k nim bude mít pouze administrátor IT UPS Všechny síťové zařízení musí být vybaveny UPS, kvůli zajištění bezproblémového chodu i při výpadku elektrického proudu.

11 6. Závěr Tato práce byla pro mě velmi poučná. Obeznámil jsem se se základními problémy týkající se bezpečnosti. Na bezpečnost je ve větších firmách správně brána velká zřetel.

12 7. Odkazy [1] Wikipedia Počítačová bezpečnost %C4%8Dnost [2] Michal Sláma, Projekt bezpečnostní politiky IT [3] Tomáš Přibyl, Bezpečnostní politika d.cz/cwarchiv.nsf/clanky/ef9bdcc cc1256ffe006698cf%3fopendo cument+bezpecnostni+politika+it+firmy&cd=4&hl=cs&ct=clnk&gl=cz&client=fi refox-a [4] Jaroslav Pinkava, Ze světa bezpečnosti IT [5] Pavel Houser, SecurityWorld