1 / 47

ADATBIZTONSÁG, ADATVÉDELEM

ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET. Jelentősen növekedett és növekszik IR-ben tárolt, feldolgozott adatok mennyisége ezen adatoktól való függőség  felértékelődik az informatikai biztonság Leginkább EMBERI probléma! ( jogi szabályozás). BIZTONSÁGI OSZTÁLYOK. TCSEC ITSEC X/Open

geoffrey-mcclain
Download Presentation

ADATBIZTONSÁG, ADATVÉDELEM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ADATBIZTONSÁG,ADATVÉDELEM

  2. ALAPHELYZET • Jelentősen növekedett és növekszik • IR-ben tárolt, feldolgozott adatok mennyisége • ezen adatoktól való függőség • felértékelődik az informatikai biztonság Leginkább EMBERI probléma! (jogi szabályozás)

  3. BIZTONSÁGI OSZTÁLYOK • TCSEC • ITSEC • X/Open • ITB • CC

  4. TCSEC biztonsági osztályok Trusted Computer System Evaluation Criteria ( USA DoD, 1985.) • D csoport: minimális védelem • C csoport: szelektív és ellenőrzött védelem • B csoport: kötelező és ellenőrzött védelem • A csoport: bizonyított védelem

  5. ITSEC biztonsági osztályok Information TechnologySecurity Evaluation Criteria(Európai Közösség, 1991.) • Q0, Q1, ..., Q7 minősítési fokozatok • lényegében a TCSEC továbbfejlesztése

  6. X/Open biztonsági osztályok Defining and Buying Secure Open Systems(X/Open Company Ltd., 1992.) • X-BASE: alap • X-DAC: szabad belátás szerint kialakított • X-AUDIT: biztonsági auditálás • X-MAC: előre meghatározott hozzáférés-vezérlés • X-PRIV: privilegizált jogokat biztosító • X-DIST: elosztott rendszerek

  7. ITB • kárérték alapján: • 0. szint: jelentéktelen (1 embernap) • 1. szint: csekély (1 emberhónap) • 2. szint: közepes (1 emberév) • 3. szint: nagy (1-10 emberév) • 4. szint: kiemelkedően nagy (10-100 emberév) • 4+ szint: katasztrofális (>100 emberév)

  8. ITB • az IR feleljen meg az alábbi biztonsági követelményeknek: • alap: max. 2. szintű esemény fenyeget, • fokozott: max. 3. szintű esemény fenyeget, • kiemelt: 4+ szintű esemény fenyeget

  9. CC Common Criteriafor Information Technology Security Evaluation (1993.) Közös követelmények... – értékelési módszertan

  10. ALAPKÖVETELMÉNYEK 1. rendelkezésre állás,elérhetőség a jogosultaknak 2. sértetlenség (sérthetetlenség, valódiság), 3.jellegtől függő bizalmas kezelés, 4. hitelesség 5. a teljes információs rendszer működőképessége

  11. ALAPFENYEGETETTSÉG az előbbi öt alapkövetelményt veszélyeztető tényezők hatásösszege

  12. SAJÁT KÁR • összetevők • HW+SW ára • adatok újraelőállítási költsége • elmaradó haszon • ...?

  13. IDEGEN HASZON • összetevők • megszerezhető nyereség • befektetés

  14. TÁMADÁS–VÉDELEM

  15. TÁMADÁS–VÉDELEM A védő mindig többet veszít,mint amennyit a támadó nyer! Kétszemélyes,nullától különböző összegű játék

  16. INFORMATIKAI BIZTONSÁG az információs rendszer védelme az alapkövetelmények szempontjából...

  17. INFORMATIKAI BIZTONSÁG ...szempontjából • zárt, • teljes körű, • folyamatos és a • kockázatokkal arányos

  18. INFORMATIKAI BIZTONSÁG • zárt:minden fontos fenyegetéstfigyelembe vesz • teljes körű:a rendszer összes elemére kiterjed

  19. INFORMATIKAI BIZTONSÁG • folyamatos:az időben változó körülmények ellenére is megszakítás nélküli • kockázatokkal arányoskárérték * kárvalószínűség <= küszöb • küszöb: saját döntés eredménye

  20. INFORMATIKAI BIZTONSÁG • megfelelő, együttes alkalmazása a • fizikai védelemnek, az • ügyviteli védelemnek és az • algoritmusos védelemnek

  21. VÉDELEM • fizikai: • a rendszer belépési pontjainak a kijelölése • ügyviteli • a belépési pontok elfogadott/elvárt használatának kijelölése • algoritmusos • gépi védelmi eljárások alkalmazása, úgymint:

  22. ALGORITMUSOS VÉDELEM • titkosítás • hitelesítés • partnerazonosítás • digitális aláírás és időpecsét • hozzáférés-védelem • eseménynapló

  23. LEGGYAKORIBB • adataink épsége (megléte) • adataink bizalmassága

  24. FIZIKAI TÖNKREMENETEL • áramszünet • tranziensek (pl. villámcsapás) • elemi kár (pl. tűz, víz) • HDD: mechanika!

  25. „VÍRUSOK” • gyűjtőnév • terjeszti önmagát • bosszant vagy kárt is okoz • PROGRAM, azaz futnia kell

  26. „VÍRUSOK” • programvírus (klasszikus, com/exe) • boot-vírus • trójai faló • makróvírusok • e-mail vírusok (Kurnyikova, valami.com) • hálózati férgek

  27. VÉDEKEZÉS • rendszeres mentés • víruskeresők • korlátosak (elvileg és gyakorlatilag) • naplózás („zero day backup”) • „nyitott szem”

  28. MENTÉS • tervezni kell • lehetőségek (idő, pénz, eszközök) • adattömeg • adatváltozékonyság • egyszerű megoldások • szervezési _ÉS_ • technikai

  29. ILLETÉKTELEN HOZZÁFÉRÉS • adatlopás <> kocsilopás • eszközök fizikai védelme(szétszedett állapotban bebetonozni) • a hozzáférés szabályozása • tervezni kell • naplózni kell

  30. JÓ JELSZÓ • „elég” hosszú • nem kitalálható • nincs értelmes része • vegyes összetétel • változtatni kell időnként (1x használatos) • jelszólopás elleni védekezés • felírjuk????? • „leskelődés”

  31. JÓ JELSZÓ • vö. ELENDER-feltörés, 2000. február

  32. TITKOSÍTÁS • statikus (saját gépen) • dinamikus (adatforgalom, pl. emil)

  33. TITKOSÍTÁS I. • file szintű • word/excel/… • tömörítő programok • CMOS jelszó • helyi bejelentkezés • nyílt átvitel • email tartalma és jelszavai • smtp, pop3, ftp, telnet stb. igen könnyen feltörhető!!!

  34. TITKOSÍTÁS II. • zárt rendszer titkos kulccsal • nyílt rendszer nyilvános/titkos kulcspárral

  35. ZÁRT RENDSZER • leHET 100%-os • kulcs • biztonságos csatornán kell továbbítani • nyíltszöveg-hosszúságú • valódi véletlen sorozat • … • Verne: 800 mérföld az Amazonason

  36. NYÍLT RENDSZER • „féloldalas” algoritmuson alapul • kulcspár • nyilvános kulcsű • titkos kulcs • nem kell biztonságos csatorna • garancia nincs, csak valószínűség • kormányok (is) rühellik

  37. NYÍLT RENDSZER • nyilvános kulcs: N • titkos kulcs: T • működés alapja:kódolás(T, kódolás(N, szöveg))=szöveg • titkosság • tartalom és feladó hitelessége

  38. NYÍLT RENDSZER • kriptográfiai elemzéssel megfejthetô • elegendô hosszú kódolt szöveg • elegendő idô van! • az elévülési ideig elég garantálni(mekkora biztonsággal?)

  39. NYÍLT RENDSZER • „kerülő út” gazdaságosabb • lemezterületrôl leolvasás

  40. NYÍLT RENDSZER • „kerülő út” gazdaságosabb • lemezterületrôl leolvasás • fizikailag nem törölt adat -- durva!!! • a fizikailag felülírt adat is kinyerhetô lehet! • elektronikus lehallgatás • trójai faló • forgalomelemzés • típusszöveg kikényszerítése • nyers fizikai erőszak …

  41. PGP • Phil Zimmermann, 1990-es évek eleje • fő szabályok • titkos kulcs folyamatos fizikai ellenőrzése • nyilvános kulcs hitelessége (közbeékelődés) • közvetlenül tőle (biztonságos csatorna) • "közös ismerős" hitelesíti (key server)

  42. DIGITÁLIS ALÁÍRÁS • Időtényező hatásáról nem tudunk • nincsenek jogesetek (tapasztalatok)

  43. A BIZTONSÁGNAK ÁRA VAN • a kívánt biztonság mértéke <100% • pénzbe kerül

  44. IBK • Informatikai rendszerek biztonsági követelményei (ITB 12. sz. ajánlás) • Informatikai biztonsági kézikönyv(ITB 8. sz. ajánlás) • Információs Tárcaközi Bizottság (ITB)http://www.itb.hu

More Related