Bezpečnostní aspekty informačních a komunikačních systémů PS2-1



Podobné dokumenty
Bezpečnostní aspekty informačních a komunikačních systémů KS2

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-1

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Správa přístupu PS3-1

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Obrana sítě - základní principy

Správa přístupu PS3-2

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

PB169 Operační systémy a sítě

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Směry rozvoje v oblasti ochrany informací PS 7

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti

Správa stanic a uživatelského desktopu

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Enterprise Mobility Management

Zabezpečení v síti IP

Y36SPS Bezpečnostní architektura PS

VPN - Virtual private networks

Identifikátor materiálu: ICT-2-01

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Desktop systémy Microsoft Windows

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Monitorování datových sítí: Dnes

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Směry rozvoje v oblasti ochrany informací KS - 7

Místo plastu lidská dlaň

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Představení Kerio Control

Bezpečnost počítačových sítí

Nástroje IT manažera

Technická opatření pro plnění požadavků GDPR

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Y36SPS Bezpečnostní architektura PS

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Identifikátor materiálu: ICT-3-03

LINUX - INSTALACE & KONFIGURACE

Aktivní bezpečnost sítě

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Programové vybavení OKsmart pro využití čipových karet

Téma bakalářských a diplomových prací 2014/2015 řešených při

SÍŤOVÁ INFRASTRUKTURA MONITORING

SSL Secure Sockets Layer

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

Bezpečnost vzdáleného přístupu. Jan Kubr

Z internetu do nemocnice bezpečně a snadno

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

MĚSTSKÝ ROK INFORMATIKY KLADNO

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Specifikace předmětu zakázky

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Uživatelská dokumentace

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

KLASICKÝ MAN-IN-THE-MIDDLE

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

Firewally a iptables. Přednáška číslo 12

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

TC-502L. Tenký klient

Uživatel počítačové sítě

ERP-001, verze 2_10, platnost od

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

TC-502L TC-60xL. Tenký klient

Bezpečnostní projekt Případová studie

Integrace mobilních zařízení do ICT, provoz tlustých aplikací na mobilních telefonech a tabletech Roman Kapitán, Citrix Systems Czech

Bezepečnost IS v organizaci

Microsoft Windows Server System

Koncept centrálního monitoringu a IP správy sítě

TIA Portal Cloud Connector. Práce v privátním cloudu od TIA Portal V14

Budování infrastruktury v době digitalizace společnosti

Systém monitorování rozvaděčů- RAMOS

Kerio VPN Client. Kerio Technologies

Nástroje IT manažera

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

Firewall. DMZ Server

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Použití čipových karet v IT úřadu

Zabezpečená videokonference a hlas v IP a GSM komunikačním prostředí. Jiří DOUŠA Červen 2014

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Zajištění komplexních sluţeb pro provoz systémové infrastruktury OSMS ZADÁVACÍ DOKUMENTACE

Transkript:

Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1

Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis DSM - Data security management Doporučená Strebe M.,Perkins Ch.: Firewally a proxy-servery, praktický průvodce, Computer Press, 2004 Proise Ch., Mandia K.:Počítačový útok, detekce, obrana a okamžitá náprava, Computer Press, 2003 2

Osnova I realizace bezpečnostního modelu integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; realizace vícevrstvé ochrany informací; jednotlivé komponenty vícevrstvé ochrany; správa bezpečnostních opatření; 3

4 Realizace bezpečnostního modelu Funkční model podnikové bezpečnosti musí reagovat na analyzované hrozby a splňovat principy architektury vrstvové bezpečnosti. Model je řešen v závislosti na obchodních cílech podniku a navržená bezpečnostní opatření se vztahují k podnikovým aktivitám. Jádrem modelu je vypracovaná bezpečnostní politika.

5 Realizace bezpečnostního modelu Řešitelé musí zejména analyzovat zda: bezpečnost síťového prostředí vychází ze stanoveného perimetru; existuje kompatibilita použitého operačního systému a používaného HW vzhledem k bezpečnostním požadavkům; je stávající síťová architektura využitelná při řešení bezpečnostních požadavků, popř. jaké kroky je třeba učinit;

6 Realizace bezpečnostního modelu Jednotlivé kroky: dodržet úrovňový (vrstvový) přístup k budování bezpečnostního modelu opevnění informační infrastruktury ve vztahu k podnikové bezpečnosti; bezpečnostní ošetření routerů (firewally, IDS) bezpečnostní ošetření operačních systémů Linux odstranění, eliminování nežádoucích služeb přidání záznamových služeb logy zabezpečení TCP/IP UNIX MS Windows

7 Realizace bezpečnostního modelu Jednotlivé kroky (pokračování): správa přístupů do informačního prostředí podniku na stanoveném perimetru perimetrech; stanovení cyklu ohodnocování rizik a slabin; definování jednotlivých vrstev ochrany zabezpečení přenášených dat v nebezpečném prostředí (Internet) autentizace uživatelů

Řešení bezpečnostní architektury Bezpečnostní architektura vychází z navrženého bezpečnostního modelu IT. Dříve: Situace mnohem jednodušší. Podniková data se zpracovávala v homogenním back-end výpočetním prostoru a bylo pouze několik fyzických cest přístupu k těmto datům. Nyní: Používání Internetu, webovské aplikace, požadavky na e-business. Bezpečnostní technologie a postupy zajišťují bezpečnost v síťovém i výpočetním prostředí 8

Řešení bezpečnostní architektury (pokr.) Při vytváření bezpečnostní architektury je třeba zodpovědět zejména následující otázky: jak by měl být do prostředí ICT zařazen firewall a jaké by měl mít parametry, aby nesnižoval efektivitu síťového prostředí; jaké budou nastaveny nástroje na zápis a monitoring výskytu slabých míst sítě; jak přistoupit k návrhu bezpečnostních služeb, aby byly maximálně efektivní a pružné ke změnám vyvolaným stále se zvyšujícími hrozbami. jak by měly tyto služby být v daném informačním prostředí rozmístěny aby optimálně chránily informační aktiva podniku a výpočetní zdroje; kde je optimální zařazení bezpečnosti v případě point-to-point přenosu dat; jak autentizovat bázi uživatelů a získat uživatelskou podporu a jak vybrat systém podporují podnikovou bezpečnost informací. 9

Stávající řešení firewallů Základní dělení: paketový filtr; stavový filtr; aplikační host server. Integrace dalších funkcí: autentizace uživatele podpora směrování integrace VPN podpora QoS kvalita služby 10

Demilitarizovaná zóna - DMZ Slouží k oddělení externího nezabezpečeného prostředí od vnitřní podnikové sítě, tvoří tzv. přechodovou oblast. Tvoří ji: routery (směrovače) - průchod paketů pouze přes vnitřní servery, kontrolující oprávnění daných transakcí. vnitřní servery tj. např: poštovní server zajištění elektronické pošty; www proxy server, aplikační proxy servery, V případě služeb, kde je aplikační úroveň nevhodná se využívá služby NAT (Network access translation), kdy se kontrolují IP adresy. 11

Architektura vzdáleného přístupu Administrátorské funkce preferování lokálního přístupu přes adm. konzoli standardní prvky autentizace = ID a heslo. ochrana organizačně technickými opatřeními fyzické odpojení a zamknutí klávesnice administrátorské stanice, oprávněný přístup k serverům (serverové místnosti musí být v nejvyšší zóně zabezpečení). čipové karty pro otevírání dveří kontrola doby nečinnosti klávesnice s automatickým odpojením. 12

Architektura vzdáleného přístupu Administrátorské funkce nutnost vzdáleného přístupu V případě, že je nutné zajistit pro administraci i vzdálený přístup je nutné se vyvarovat přenosu dat v otevřeném tvaru. Efektivní řešení = VPN 13

Virtuální privátní síť Připojení vzdáleného uživatele k podnikové síti 1. krok 14

Virtuální privátní síť Připojení vzdáleného uživatele k podnikové síti 2. krok Encrypted data Tunneling 15

Architektura připojení administrátorů Administrátorské funkce - ochrana Administrátorské funkce by měly být též ochráněny před interními hrozbami. Doporučení vytvoření odděleného síťového prostředí pouze s povolením přístupu pro administrátory. HW (servery, hostitelské počítače, směrovače apod.) musí být opatřeny příslušným rozhraním pro administraci. 16

Vzdálený přístup uživatelů Politika přístupových hesel Autentizace vzdáleného uživatele pomocí hesla - největší hrozba bezpečnostního manažera. Nelze volit hesla která může útočník snadno uhádnout. Heslo se dá snadno získat odpozorováním Hesla (k el. poště, do informačního systému, aplikačnímu SW) se dají odchytit na úrovni klávesnice. využití rezidentního programu, který bude ukládat do souboru všechny stisknuté znaky na klávesnici, freeware na internetu. sociální inženýrství 17

Vzdálený přístup uživatelů Přihlášení uživatele vyžaduje dvě věci (dvoufázová autentizace): Čipovou kartu, či USB token se svým privátním klíčem a certifikátem. Heslo/pin k tokenu, ochrana proti zneužití při krádeži, či ztrátě. 18

PKI (Public Key Infrastructure) PKI - souhrn pravidel a technických prostředků pro zajištění infrastruktury autentizace (elektronického podpisu) a šifrování (zabezpečení) informací. Certifikační autorita zajišťuje mj.: 1. důvěryhodnost jednotlivých subjektů začleněných do systému. 2. bezpečné uložení svého privátního klíče 3. důvěryhodnost procesů vedoucích k vystavení certifikátu (ověření identity) subjektu. Návrh procesů PKI podle platných doporučení (RFC) přímo pro daný informační systém. Systém PKI musí splňovat platné zákony (v ČR Zákon č. 227/2000 Sb. o elektronickém podpisu) Musí splňovat objektovou a fyzickou bezpečnost nástrojů poskytujících služby PKI. 19

SSO (Single sign on) Uživatel musí přistupovat a pracovat s různými systémy (v podnikové infrastruktuře není výjimkou), kam je přístup chráněn různými hesly => dochází velmi pravděpodobně k jejich nechráněnému ukládání. Princip single sign-on - uživatel zadá heslo jen jednou a nástroje infrastruktury zajistí, že jeho identifikace se bude předávat transparentně bez nutnosti opakovaného zadávání hesla, V případě, že uživatel bude své heslo zadávat pouze jednou za den, výrazně se zvyšuje nejen pohodlí uživatelů, ale zejména bezpečnost celého systému. 20

Osnova II realizace bezpečnostního modelu integrace bezpečnostních mechanismů do informačního a komunikačního systému podniku; realizace vícevrstvé ochrany informací; jednotlivé komponenty vícevrstvé ochrany; správa bezpečnostních opatření; 21