Bezpečnost informačních systémů

1. Bezpečnost informačních systémů Ing. Čestmír Halbich, CSc. Katedra informačních technologií PEF ČZU v Praze

2. The Federal Bureau of Investigation (FBI) announced a month ago that two Welsh teenagers have been arrested for allegedly hacking into 11 e-commerce sites and stealing information on more than 26,000 credit card accounts. Losses in the case could exceed $3 million (US$).

3. 1.Úvod do předmětu, systémové pojetí bezpečnosti informačních systémů, počítačová kriminalita a její trestně právní aspekty 2. Kódování a dekódování, bezpečné kódovací systémy 3. použití kódování, protokoly a praxe 4. Bezpečné softwarové produkty 5. Ochrana v operačních systémech, návrh bezpečných operačních systémů 6..Technické zabezpečení ochrany dat 7. Bezpečnost v sítích a distribuovaných systémech , úvod – threaty, 8. ISO/OSI síťová architektura, bezpečnost aplikační vrstvy, bezpečnost transportní vrstvy.. 9. bezpečnost dálkové adminstrace IS 10. Firewally, filtrace paketů, brány na aplikační úrovni, 11. Mezinárodní standardy a hodnotící kritéria 12. Bezpečnost databázových systémů 13. Bezpečné elektronické platební systémy 14. Detekce narušení IS, ochrana soukromí, anonymní služby, ochrana osobních dat v IS

10. Přehled některých hacknutých www serverů • Wedia a.s. (www.home.sk a dalsie) (aug 2000) • Mr.Lin(x) (mr.linx.sk) (aug 2000) • Union poistovacia a.s. (www.union.sk) (jul 2000) • Hnutie za Demokraticke Slovensko (www.hzds.sk) (jun 2000) • gymnazium uherske hradiste (www.guh.cz) (feb 2000) • mass hack netlab.sk (zoznam masin zde, jan 2000) • vyrobca firewallu winroute (www.winroute.cz) (jan 2000) • ISDN magazin (www.isdn.cz) (jan 2000) • cesky mobil GSM operator (www.ceskymobil.cz) (jan 2000) • sun microsystems (www.sun.cz) (31. 12. 1999) • zoznamka server (www.zoznamka.sk) (dec '99) • presovska univerzita (www.unipo.sk) (jun '99) • ZS anezska 10 (www.anezska10.cz) • search engine hledam (www.hledam.cz)

12. Důvěryhodnost informace • zastaralost informace • chybnost informací • nespolehlivost informací • informační přetížení • využitelnost informací • dostupnost informací

13. Informační systém tvořen informačními soubory s jejich vzájemnými vztahy Informační soubor • klasické pojetí množina informačních vět se stejnou logickou strukturou • objektové pojetí

14. Informační systémy • Informační systém je množina lidí, dat a postupů, které působí společně pro získání užitečných informací (Senn, 1990). • Informační systém je nejen množina formálních informací, které cirkulují v podniku, ale jsou to též postupy a prostředky, které umožňují tyto informace definovat, vyhledávat, formalizovat, ukládat a distribuovat.

15. Models of security • Discretionary Access Control Model (DAC) • Control of Information Flow • Military Security Model • Need-to-know Principle • Bell and LaPadula Model • Biba Model • The Clark and Wilson Model • The Personal Knowledge Approach • The Chinese Wall Policy

16. computer architecture • The set of layers and protocols (including formats and standards that different hardware/software must comply with to achieve stated objectives) which define a computer system. • Computer architecture features can be available to application programs and system programmers in several modes, including a protected mode. For example, the system-level features of computer architecture may include: • memory management, protection, multitasking, input/output, exceptions and multiprocessing, initialization, coprocessing and multiprocessing, debugging, and cache management.

17. Computer security architecture in small term

18. example of series structures

19. example of parallel structures

20. system may also combine both parallel and series structures

21. Mean Time To Failure(MTTF) • Expected time that a system will operate before the first failure occurs (first secure incident). The unreliability F(t) is • F(t)=1 – e-lt • and reliability R(t) • R(t) = e-lt. • MTTF = 1/l • For lt<< 0,1 we have a good approximations: • R = 1 - lt and F = 1 - lt • Risk assessment of the system which consists from n elements with risk of failure l1, l2, …ln • Is computed from the formula • Rc = R1 . R2 . Rn = e-l1t . e-l2t ….. e-lnt = e-lct • The finite risk failure value is the sum of risk failure values of the individual components in the case of the reliability of series systems, assuming li are independent • R1(t) = R2(t) = R3(t) = 0.9 • Rseries(t) = 0.9 . 0.9 . 0.9 = 0.729

22. Reduction of the reliability block diagram by replacing parallel portions with an equivalent single element

23. Case study of the risk assessment • We know rather exactly that the probability is about 0,6 % for the outage longer than a few second in our firm. The estimated worse from labour stoppage is 10000 Czech crowns. The price (the system restarts and check of disks) is 10000 Czech crowns too. The whole estimated worse is (10000 + 10000) x 0,006 = 1200 Czech crowns per year. The price of our UPS system is 30000 Czech crowns and its estimated operating life is eight years. In our case the prevention price is 3750 Czech crowns per year. It is noneffective to invest to the UPS

24. Case study of the risk assessment • the penetration to our information system by password disclosure of whatever our employee. The price of our confidential data is 10 000 000 Czech crowns. The data refresh is impossible, because our firm did come to be noncredible . Our firm has forty employees and the probability of the random password disclosure is about 1%. The probability of the one disclosure password is 29,4 % per year. The estimated worse is (10 000 000 + 0) x 0,294 = 2940000 Czech crowns. The purchase of the one time password cards eliminates the risk. The price of one card is 1000 Czech crowns, the price of the additional software is 20000 Czech crowns, the operating life is four years. The prevention price is (40 x 1000 + 20000)/5 = 12000 Czech crowns per year, this investment to the information systems security is advantageous

25. Risk assessment and risk management leads to security policy.

26. IS nemusí být nutně veden na počítači. Z hlediska právních předpisů není situace v oblasti vedení IS, forem evidencí, seznamů, či např. účetních knih jednoznačná (závisí na vůli provozovatele?). Podle Smejkala [9] v našem právním řádu existuje v současné době 1087 platných právních předpisů, kde se vyskytuje slovo DOKLAD, 806 platných právních předpisů, kde se vyskytuje slovo DOKUMENT a 335 platných právních předpisů, kde se vyskytuje slovo PODPIS. Zákon ani jednoznačně nezakazuje či připouští vést dokumentace a evidence v určité formě, a to ani v novější formě elektronické. Existují výjimečně i právní předpisy, které vylučují elektronickou formu IS (např. zák. č. 36/1967 Sb. a prováděcí vyhláška o znalcích a tlumočnících, kteří musí vést deník. Ten je složen z pevně spojených průběžně číslovaných listů a opatřen pečetí krajského soudu. Běžná elektronická podoba by těžko splňovala tyto náležitosti.)

27. bezpečný informační systém. zajišťuje - důvěrnost (tj. přístup k informacím mají pouze autorizovaní (Pozn. Autorizace je definována jako určení, zda subjekt (uživatel nebo systém) je důvěryhodný z hlediska jisté činnosti, např. čtení daného souboru.) uživatelé), - integritu (neporušitelnost - tj. modifikovat data mohou pouze autorizovaní uživatelé), - dostupnost služeb poskytovaných autorizovaným uživatelům systémem. řada podpůrných služeb, funkcí podporujících bezpečnost, jakou je např. účtovatelnost všech důležitých akcí, aby bylo možno prokázat přístup jednotlivých subjektů ke konkrétním informacím a zdrojům informačního systému, tj. k jeho objektům. Bezpečnostní politika specifikuje míru závažnosti a obsah té které složky bezpečnosti pro konkrétní informační systém. Bezpečnostní politika systému pracujícího pro ministerstvo vnitra bude zřejmě klást největší důraz na důvěrnost, naproti tomu bezpečnostní politika systému komerční firmy na integritu, bezpečnostní politika systému telefonní společnosti na dostupnost.

28. Bezpečnostní politika má obvykle charakter povinných zásad, měnitelných pouze několika správci. Na bezpečnostní politiku můžeme pohlížet jako na normy, pravidla a praktiky definující způsob zpracování, ochrany a distribuce citlivé informace v rámci činnosti AIS. Autorizaci předchází autentizace, tj. proces, kterým se poskytuje záruka týkající se identity subjektu nebo objektu, např. ujištění, že konkrétní uživatel je skutečně ten, za kterého se prohlašuje, resp. schopnost zjistit, kdo vydal daný příkaz nebo požadavek. Např. nejjednodušší je autentizace heslem, avšak je nejsnáze napadnutelná (zvláště v ETHERNETových sítích). AIS, který svojí realizací splňuje bezpečnostní politiku, nazýváme důvěryhodný systém. Důležitou podmínkou bezpečnosti AIS je zájem uživatelů na jeho bezpečnosti. Standardy bezpečnosti AIS mají se souvisejícími normami tisíce stran textu, pokud je slabina AIS v oblasti lidského činitele (ať již u uživatelů, nebo správců apod.), nezabrání ani bezpečnostní politika úniku dat. Tyto standardy jsou však důležité, protože existují různá další rizika porušení bezpečnostní politiky. Proto se bezpečný systém nevyhne ani používání takových služeb a funkcí, jako jsou audit

29. Audit znamená, že se zaznamenávají všechny signifikantní události pro bezpečnost AIS, ke kterým dojde při jeho činnosti a záznamový mechanismus by neměl být “uplatitelný””. Auditní služby jsou obvykle úzce svázány s autentizačními a autorizačními službami. Zaznamenává se každý pokus o zpřístupnění objektu bez ohledu na to, zda se jednalo o autorizovaný přístup. Auditní záznam lze použít pro účtování činností jednotlivých subjektů, ale také pro analýzu chování jednotlivých uživatelů, maškarád (tj. narušitel se vydává za někoho jiného, obvykle autorizovaného), apod., procedury pro detekci poruch, procedury pro obnovu po poruše apod.

30. Z filosofického hlediska a z hlediska teorie systémů lze usoudit, že neexistuje žádná bezpečnostní politika, která by zaručila absolutní bezpečnost AIS. Absolutní bezpečnost AIS lze dosáhnout pouze jeho absolutní izolovaností, tzn. vyloučením všech vstupů resp. výstupů do/ze systému- žádné praktickému využití. Zvolený rozsah bezpečnosti efektivně pracujícího systému je proto vždy kompromisem mezi cenou, kterou jsme ochotni za bezpečný systém zaplatit a mírou rizika, kterou jsme ochotni připustit.( Pozn. tato cena je obvykle vyšší než cena samotného hardware.) Je třeba zvážit hodnotu zabezpečovaných aktiv AIS, zranitelnost systému, hrozby, rizika, ceny možných poruch a jejich obnovy, stanovisko organizace k rizikům apod. Dále je třeba uvážit dostupná protiopatření, jejich efektivnost, cenu jejich instalace a jejich provozní náklady. AIS jsou zranitelné zejména z následujících důvodů: vysoká hustota uložených a zpracovávaných informací, složitost použitého software, existence skrytých vazeb a kanálů při zpracování informací, elektromagnetické vyzařování spojené s činností technických prostředků AIS.

31. Oblasti opatření v ochraně dat - fyzická bezpečnost např. fyzická ochrana a organizace fyzického přístupu ke zdrojům organizace, umístění monitorovacích zařízení, stanovení odpovědností a hierarchií, (v organizacích si děti uklízeček pouští na počítači hry z donesené diskety …-) - personální bezpečnost např. profesní a osobní kádrování, způsob uzavírání pracovních dohod, výpovědí, způsob profesní výchovy a dalšího vzdělávání, - komunikační bezpečnost např. bezpečnost komunikačních přenosů, spojů, použití šifrování, modemů, komutovaných linek, ochrana proti odposlechu, - administrativní bezpečnost a administrativa bezpečnosti např. vstupní a výstupní kontroly, postupy při certifikaci a akreditaci, podávání zpráv o incidentech (narušení bezpečnostní politiky), řízení změn konfigurací AIS, vedení dokumentace, - analýza rizik tj. vyhodnocení zranitelnosti a hrozeb zdrojů IS a plánování odpovídajících protiopatření, - plánování postupu po incidentu, který způsobí porušení bezpečnosti přičemž mezi typické incidenty patří např. poškození, porucha, zničení požárem apod. Účel bezpečnostní politiky Bezpečnostní politika musí definovat strukturu správy programového systému, zodpovědnosti jednotlivců i skupin, resp. týmů v organizaci a celkové bezpečnostní cíle. Důležitou roli zde hraje zdůraznění úlohy jednotlivce a osobní zodpovědnosti každého zaměstnance organizace zavádějící bezpečná AIS (proto je žádoucí zavést detailní účtování činností jednotlivců). Bezpečnostní politika by měla pokrýt všechny zdroje IS v organizaci (hardware, software, informace, personál atd.). Jsou-li některé kritičtější, mělo by to být jednoznačně stanoveno

32. Conclusion • Computer security and computer architecture are joined together • Computer security architecture can be thought of in small and large terms • in small terms there is a close relation between the hardware features and computer security related to them • in large terms this means mainly software solutions for computer security • there are some design solutions for a secure computer (but it is unusable usually for a standard computer) • information system can be fully safe only if it is a closed system, but this is unusable in practice • secure information system get competitive advantage • risk assessment leads to the more secure information system, financial results of the risk assessment are acceptable for managers