Bezpečnostní aspekty informačních a komunikačních systémů KS2

Transkript

1 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2

2 VŠFS; Aplikovaná informatika; SW systémy 2005/ Osnova integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; realizace vícevrstvé ochrany informací; jednotlivé komponenty vícevrstvé ochrany; správa bezpečnostních opatření.

3 VŠFS; Aplikovaná informatika; SW systémy 2005/ Literatura Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 Kolektiv: Informační bezpečnost, Tate International, 2001 Časopis DSM - Data security management Doporučená Smejkal V.; Rais K.:Řízení rizik, Grada 2003 Frimmel M.: Elektronický obchod, Prospektum 2002 Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001

4 Integrace bezpečnosti do ICT Řešení hlavních bezpečnostních požadavků: autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS detekce narušení systému filtrování obsahu dat šifrování VŠFS; Aplikovaná informatika; SW systémy 2005/2006 4

5 VŠFS; Aplikovaná informatika; SW systémy 2005/ Integrace bezpečnosti do ICT Hierarchie realizace bezpečnostní architektury autentizace, autorizace, správa uživatelských účtů firewall; VPN antivirová ochrana správa bezpečnostních zranitelností a rizik IDS detekce narušení systému filtrování obsahu dat management

6 VŠFS; Aplikovaná informatika; SW systémy 2005/ Firewally; VPN Firewall prvek elektronického perimetru Základní třídy: firewally s filtrováním paketů; - kontrola hlaviček paketů firewally s povolováním služeb; - monitoring stavu transakcí proxy firewally na aplikační úrovni; - přepis paketů Nebezpečné porty nutno zajistit restrikci těchto portů

7 VŠFS; Aplikovaná informatika; SW systémy 2005/ Firewally; VPN Virtuální privátní sítě Virtual private networks => vytvoření chráněného spojení mezi dvěma místy sítě Využití protokolu SSL (Secure Socket Layer), který poskytuje zabezpečený přenos s využitím kryptografických metod. Protokol je umístěn v síťové vrstvě OSI nad TCP/IP. Mohou jej využít vyšší protokoly viz např. HTTPS Je zajištěna: důvěrnost přenášených dat šifrování; integrita dat krypto kontrolní součet; autentizace využití certifikátů

8 VŠFS; Aplikovaná informatika; SW systémy 2005/ Antivirová ochrana Antivirová ochrana je požadovaná součást programu informační bezpečnosti. Antivirový SW využívá při ochraně počítačového systému proti škodlivému SW dvou základních metod: identifikace charakteristických značek viru. Identifikace značky viru jsou podobné zkoumání otisků prstů jedná se o metody reaktivní heuristické metody, vyhledávání vzorků, které lze v daném viru identifikovat metody proaktivní

9 VŠFS; Aplikovaná informatika; SW systémy 2005/ Správa bezpečnostních zranitelností a rizik Vulnerability management - Správa bezpečnostních zranitelností Nástroje použité při správě zranitelností porovnávají prostředí podnikového informačního systému vůči databázi známých zranitelných míst a ukazují zda jsou tato místa obsažena v systému či nikoliv. Dvě základní metody na bázi: sítě; host počítače. V prvním případě se používá síťových nástrojů k tomu, aby se kontroloval provoz sítě a zjišťovaly její slabiny v druhém případě se monitorují výpočetní systémy jako např. servery.

10 VŠFS; Aplikovaná informatika; SW systémy 2005/ Filtrování obsahu dat Metody zahrnují filtrování web stránek a elektronické pošty. Filtrování obsahu lze použít k blokování přístupu k určitým webovým stránkám, obsahujícím nevhodný obsah. Velký problém současnosti spam Implementace nástrojů filtrujících obsah přináší otázky legálnosti i omezování lidských práv - musí být v souladu s bezpečnostní politikou.

11 VŠFS; Aplikovaná informatika; SW systémy 2005/ Kryptografická ochrana dat Šifrování je proces převedením dat do takového formátu, který nemůže neoprávněná osoba jednoduše přečíst. Moderní kryptografie využívá dvou základních směrů symetrickou a asymetrickou šifru. Při symetrickém šifrování obě strany používají stejný tajný klíč a to při šifrování i dešifrování zprávy. Asymetrické šifrování je postaveno na principu, kdy každý účastník vlastní veřejný a privátní klíč pro šifrování a dešifraci.

12 VŠFS; Aplikovaná informatika; SW systémy 2005/ Realizace bezpečnostního modelu Funkční model podnikové bezpečnosti musí reagovat na analyzované hrozby a splňovat principy architektury vrstvové bezpečnosti. Model je řešen v závislosti obchodních cílech podniku a navržená bezpečnostní opatření se vztahují k podnikovým aktivitám. Jádrem modelu je vypracovaná bezpečnostní politika.

13 VŠFS; Aplikovaná informatika; SW systémy 2005/ Realizace bezpečnostního modelu Řešitelé musí zejména analyzovat zda: bezpečnost síťového prostředí vychází ze stanoveného perimetru; existuje kompatibilita použitého operačního systému a používaného HW vzhledem k bezpečnostním požadavkům je stávající síťová architektura využitelná při řešení bezpečnostních požadavků, popř. jaké kroky je třeba učinit;

14 VŠFS; Aplikovaná informatika; SW systémy 2005/ Realizace bezpečnostního modelu Jednotlivé kroky: přijmout základní strategii, kdy informační infrastruktura vytváří podporu pro činnosti podniku. Část podniku, která je zodpovědná za správu informačního systému musí být koncipována jako dodavatel služeb pro obchodní úseky; vytvořit bezpečnostní politiku - spolupráce s obchodními úseky; využít nejvýhodnějších opatření využití norem - obecná politika = ISO 13335, bezpečnostní procesy = ISO 17799;

15 VŠFS; Aplikovaná informatika; SW systémy 2005/ Realizace bezpečnostního modelu Jednotlivé kroky (pokračování): dodržet úrovňový (vrstvový) přístup k budování bezpečnostního modelu opevnění informační infrastruktury ve vztahu k podnikové bezpečnosti; bezpečnostní ošetření routerů (firewally, IDS) bezpečnostní ošetření operačních systémů Linux odstranění, eliminování nežádoucích služeb přidání záznamových služeb logy zabezpečení TCP/IP UNIX MS Windows

16 VŠFS; Aplikovaná informatika; SW systémy 2005/ Realizace bezpečnostního modelu Jednotlivé kroky (pokračování): správa přístupů do informačního prostředí podniku na stanoveném perimetru perimetrech; stanovení cyklu ohodnocování rizik a slabin; definování jednotlivých vrstev ochrany zabezpečení přenášených dat v nebezpečném prostředí (Internet) autentizace uživatelů

17 VŠFS; Aplikovaná informatika; SW systémy 2005/ Správa bezpečnostních opatření Plánuj Implementuj Udržuj a zlepšuj Kontroluj Demingův cyklus model PDCA

18 VŠFS; Aplikovaná informatika; SW systémy 2005/ Správa bezpečnostních opatření Jednotlivé kroky Plánuj 1. Musí být zformulována politika bezpečnosti informací. 2. Musí být vymezen rozsah systému řízení bezpečnosti informací - ISMS (information security management systém). 3. Musí být zpracováno vhodné hodnocení rizik. 4. Musí být označeny oblasti rizik, která mají být zvládnuta, 5. Musí být stanovisko k aplikovatelnosti

19 VŠFS; Aplikovaná informatika; SW systémy 2005/ Správa bezpečnostních opatření Jednotlivé kroky Implementuj zejména 1. Musí být zformulován plán zmírnění rizik. 2. Musí být přijat plán zmírnění rizik 3. Musí být zahájen provoz ISMS 4. Musí být zpracován systém kontroly. 5. Musí být vytvořen systém školení

20 VŠFS; Aplikovaná informatika; SW systémy 2005/ Správa bezpečnostních opatření Jednotlivé kroky Kontroluj zejména 1. Musí být zavedena správa incidentů. 2. Musí být zavedena správa problémů. 3. Musí být zavedena správa rizik. 4. Musí být zaveden mechanismus hodnocení ISMS

21 VŠFS; Aplikovaná informatika; SW systémy 2005/ Správa bezpečnostních opatření Jednotlivé kroky Udržuj a zlepšuj zejména 1. Nápravná opatření. 2. Musí být zavedena zpětná vazba u všech realizovaných opatření. 3. Začlenění auditu.