1 / 26

Bezpieczeństwo w Zintegrowanych Informatycznych Systemach Zarządzania

Bezpieczeństwo w Zintegrowanych Informatycznych Systemach Zarządzania. Wstęp.

Download Presentation

Bezpieczeństwo w Zintegrowanych Informatycznych Systemach Zarządzania

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bezpieczeństwow Zintegrowanych Informatycznych Systemach Zarządzania

  2. Wstęp Systemy informatyczne (szczególnie ZISZ) są dziś niezbędne do prawidłowego funkcjonowania przedsiębiorstwa. Często zależy od nich realizacja zadań biznesowych. Dla banków, biur maklerskich, linii lotniczych i kolejowych oraz wielu innych podmiotów zakłócenia w pracy systemów IT oznaczają wymierną stratę. Problematyka bezpieczeństwa w systemach informatycznych należy do priorytetowych zagadnień związanych z funkcjonowaniem przedsiębiorstwa. Bezpieczeństwa nie można kupić jako produktu. Bezpieczeństwo to stan, który uzyskuje się dzięki zastosowaniu środków fizycznych (np. sejfy, kamery),technicznych (np. Firewall, IDS), organizacyjnych (np. procedury i kontrola) oraz prawnych (np. ubezpieczenie).

  3. Strategie ochrony Istnieją dwie wiodące strategie ochrony systemów informatycznych. Pierwsza, tradycyjna strategia opiera się na analizie ryzyka. Analiza ryzyka identyfikuje obszary systemu informatycznego, gdzie wymagane jest wprowadzenia zabezpieczeń. Przy czym zabezpieczenia powinny być zastosowane w pierwszej kolejności do ochrony zasobów stanowiących największą wartość (zwykle dane) oraz tych zasobów, dla których istnieje duże zagrożenie i które są na to zagrożenie podatne. Druga strategia ma charakter bardziej praktyczny. Wychodzi ona z założenia, że nadużycia bezpieczeństwa w systemach informatycznych są nieuniknione (np. ataki wirusów, włamania) i należy odpowiednio przygotować się do ich obsługi. Zarówno analiza ryzyka jak i nieunikniona utrata bezpieczeństwa, powinny być przedmiotem rozważań przy ustalaniu polityki bezpieczeństwa przedsiębiorstwa.

  4. Polityka bezpieczeństwa • Polityka bezpieczeństwa w Zintegrowanych Informatycznych Systemach Zarządzania wiąże się przede wszystkim z określeniem obszarów zagrożenia i ustaleniem zasad działania w razie jego wystąpienia. • Do podstawowych elementów polityki bezpieczeństwa zaliczamy: • Zabezpieczenia lokalizacyjne, • Zabezpieczenie sprzętowe (serwer i stacje robocze), • Zabezpieczenia programowe, • Analiza architektury sieci lokalnej, • Archiwizacja danych, • Kontrola dostępu do systemu (system haseł i praw), • Szkolenia użytkowników systemu.

  5. Zabezpieczenia lokalizacyjne • Pod pojęciem zabezpieczenia lokalizacyjne rozumieć należy: • Lokalizację serwerów: bazy danych, plików, aplikacji (pomieszczenie przestronne, wentylowane, ognioodporne, itp.), • Usytuowanie stacji roboczych, • Dostęp tylko osób upoważnionych

  6. Zabezpieczenia sprzętowe Zabezpieczenia sprzętowe stanowią jeden z podstawowych elementów polityki bezpieczeństwa przedsiębiorstwa. Najważniejszym obiektem zabezpieczeń jest serwer danych. Podstawowym zabezpieczeniem sprzętowym jest zagregowanie dysków w macierz dyskową RAID (Redundant Array of Inexpensive Disks), co umożliwia ochronę pamięci masowej przed awarią dysku, a tym samym stanowi to ochronę przed utratą danych. RAID programowy- architektura RAID sprzętowy- architektura

  7. Poziomy architektury RAID RAID-0 RAID-0 (ang. striping - podział danych, zapis paskowy) jest podstawową, a zarazem i najszybszą wersją RAID‘ a. W architekturze tej dane przynależne do jednego logicznego napędu dzieli się na bloki (klastry), które zapisywane są kolejno na wszystkich zainstalowanych dyskach. Bloki przyporządkowywane są do napędów fizycznych poprzez rotację. Pierwszy blok zapisywany jest na pierwszym dysku, drugi na drugim, itd. Architektura RAID-0

  8. Poziomy architektury RAID- c.d. RAID-1 Standard RAID-1 znany jest przede wszystkim jako zapis lustrzany (ang. mirroring). W architekturze tej dane przynależne do jednego logicznego napędu przechowywane są jednocześnie (w takiej samej postaci) na dwóch dyskach. Ten koncepcyjnie prosty system jest jednak dosyć drogi w eksploatacji. Wadą jest bowiem wykorzystanie tylko połowy sumarycznej pojemności zainstalowanych dysków. Architektura RAID-1

  9. Poziomy architektury RAID- c.d. RAID-2 Architektura, podobnie jak RAID-0, implementuje podział danych (striping). Jedyną różnicą w stosunku do RAID- 0 jest wielkość podziału - w tym przypadku podział danych następuje na poziomie bitów. Dodatkowo, dla większego bezpieczeństwa, dane mogą być przechowywane jednocześnie na kilku nośnikach (mirroring) bądź też może dla nich być wyznaczana informacja kontrolna - parzystość. Ostatni przypadek stanowi podwaliny standardu RAID-3

  10. Poziomy architektury RAID- c.d. RAID-3 Architektura RAID-3 stanowi rozszerzenie architektury RAID-0. Dane, podobnie jak w RAID-0, zapisywane są naprzemiennie na zainstalowanych dyskach (ang. striping), a dodatkowy dysk służy do przechowywania informacji kontrolnej - parzystości. Napędu tego nie uwzględnia się przy określaniu szerokości paska. Parzystość wyznaczana jest oddzielnie dla każdego paska. Pojemność elementarnego klastra (bloku) w standardzie RAID-3 wynosi jeden bajt lub jedno słowo. Architektura RAID-3

  11. Poziomy architektury RAID- c.d. RAID-4 Architektura RAID-4 stanowi odmianę architektury RAID-3. Główną wadą RAID-3 jest zbyt mały rozmiar klastra - jeden bajt lub jedno słowo. Skutkuje to zbytnim obciążeniem wszystkich dysków macierzy, które muszą naprzemiennie obsługiwać praktycznie każde odwołanie do macierzy. W architekturze RAID-4 rozmiar klastra jest znacznie większy - równy fizycznemu rozmiarowi sektora dysku bądź też rozmiarowi sprzętowego bufora wejścia-wyjścia. Zapewnia to znacznie mniejszy stopień obciążenia poszczególnych napędów i daje dobre efekty, zwłaszcza przy długich, sekwencyjnych odczytach danych. Obecnie każdy sprzętowy kontroler RAID-3 pozwala jednocześnie na pracę w standardzie RAID-4.

  12. Poziomy architektury RAID- c.d. RAID-5 Poważną wadą architektur RAID-3, RAID-4 jest zbyt duże obciążenie dysku z informacją o parzystości. Każdy zapis danych wymusza również zapis i na tym dysku, co skutecznie obniża wydajność systemu. Technologia RAID-5 omija to uniedogodnienie. Informacja o parzystości umieszczana jest dla kolejnych pasków w różnych lokacjach. Dla pierwszego paska na ostatnim dysku, dla drugiego - na przedostatnim itd. Architektura RAID-5

  13. Zabezpieczenia sprzętowe- c.d. • Zastosowanie zasilaczy awaryjnych • Często zdarza się (szczególnie w okresie zimowym), że występują wahania napięcia sieciowego lub nawet jego brak. Skutecznym rozwiązaniem chroniącym przed uszkodzeniem sprzętu (płyta główna, dyski) jest zastosowanie zasilacza awaryjnego, który reaguje natychmiastowo sygnalizując wystąpienie awarii i podtrzymując napięcie sieciowe. Stosowanie zasilaczy awaryjnych jest bardzo powszechne i dotyczy nie tylko serwera, ale także stacji roboczych pracujących w sieci lokalnej. • Zastosowanie zasilaczy typu hot-swap • Nagłe wahania napięcia lub inne nieprawidłowości zasilania mogą spowodować uszkodzenie zasilacza serwera. Dlatego powszechnie stosuje się serwery z dwoma lub trzema zasilaczami typu hot-swap, które mogą być wymienione pod napięciem bez konieczności wyłączania serwera.

  14. Zabezpieczenia sprzętowe- c.d. • Systemy wielofunkcyjne • Są sprzętowym zabezpieczeniem przed włamaniami oferując dużą wydajność, odporność na awarie i zwykle prostą konfigurację. Urządzenia te chronią informacje przed niepowołanym dostępem zabezpieczając przed intruzami, atakami wirusów, robaków, hakerów i niepożądanym ruchem w sieci. • Funkcje systemu Proventia M • Zapora ogniowa • Szyfrator danych • System wykrywania i blokowania włamań • System antywirusowy • Filtr poczty elektronicznej • Filtr zawartości serwisów Web Przykład systemu wielofunkcyjnego typu Proventia M

  15. Zabezpieczenia programowe • Zabezpieczenia programowe zorientowane są głównie na zapewnienie wysokiego poziomu ochrony: infrastruktury teleinformatycznej, przetwarzanych i przechowywanych informacji, treści pochodzących z Internetu. • Do podstawych zabezpieczeń programowych zalczamy: • Systemy Firewall (ang. ściana ogniowa) • Firewall jest jednym ze sposobów zabezpieczenia sieci przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do serwera, na którego straży stoi. Monitoruje on przepływające przez sieć pakiety i przepuszcza tylko zgodne z regułami ustawionymi na danej zaporze. • Zapory ogniowe są zwykle stawiane na styku dwóch sieci komputerowych, np. Internetu i sieci lokalnej (wtedy zapora pracuje często dodatkowo jako router), oraz na ważnych serwerach.

  16. Zabezpieczenia programowe- c.d. • Systemy przeciwdziałania włamaniom IDS (Intrusion Detection System) Jest to jeden z mechanizmów nadzorowania bezpieczeństwa sieci, pozwalający na monitorowanie ataków, np. przez analizę ruchu sieciowego i wykrywanie zdefiniowanych sygnatur, lub przez raportowanie ogólnych nieprawidłowości komunikacyjnych. Niektóre systemy IDS oparte są o zdolne do nauki algorytmy heurystyczne, które automatycznie dostosowują się do danej sieci. • Systemy kontroli treści (www , e- mail) • Systemy antywirusowe • Szybki rozwój Internetu stwarza wymierne zagrożenie w postaci możliwości infekcji niebezpiecznym kodem. Aby zapanować nad tym problemem, oprócz właściwej, odpowiednio restrykcyjnej konfiguracji systemu, koniecznym jest zastosowanie oprogramowanie antywirusowego. Zastosowanie systemów, zintegrowanych z systemami firewall skanujących ruch wchodzący do sieci, pozwala na odpowiednio wczesne wykrycie i neutralizację intruza. • Oczywistym jest, że system taki aktualizuje na bieżąco bazę danych sygnatur wirusów na wszystkich agentach.

  17. Rodzaje niebezpiecznych programów • Wirus– program dopisujący się do innego programu, który atakuje system w trakcie uruchomienia swojego „żywiciela”. • Bakteria (królik)– program wielokrotnie kopiujący i uruchamiający swój własny kod źródłowy celem pełnego zagarnięcia zasobów komputera (czasu procesora, pamięci operacyjnej, przestrzeni dyskowej) i doprowadzenia do upadku systemu. • Koń trojański– program, który udaje pracę innego legalnego programu, a w międzyczasie wykonuje szereg niepożądanych czynności (np. fałszywy program login kradnie hasło użytkownika). • Bomba czasowa (bomba logiczna)– fragment programu podejmujący działanie tylko w określonym czasie (np. w dzień urodzin autora programu) lub w momencie spełnienia ustalonych warunków. • Robak– program, który powiela samego siebie, wykonuje ustalone czynności (najczęściej niekorzystne dla systemu) i próbuje przenieść się do innego komputera w sieci.

  18. Analiza architektury sieci lokalnej Schemat architektury sieci lokalnej przy wykorzystaniu sieci pośredniczącej

  19. Analiza architektury sieci lokalnej- c.d. Często efektywnym sposobem zabezpieczenia systemu przed atakami z zewnętrznego otoczenia sieciowego jest odseparowanie go od tego otoczenia przez zastosowanie firewall’ a. Jest to bardzo popularna metoda ochrony systemów informatycznych przed atakami z zewnątrz. Schemat architektury sieci lokalnej przy wykorzystaniu Firewall’ a oraz IDS

  20. Bezpieczeństwo sieci bezprzewodowej • Wdrożenie sieci bezprzewodowej niesie ze sobą szereg zagrożeń. Najpoważniejszym z nich jest możliwość dostępu do medium (fali radiowej) przez osoby postronne. Sieć bezprzewodowa powinna być szczególnie chroniona ze względu na możliwość obejścia za jej pomocą mechanizmów ochronnych jak ściany ogniowe, proxy i wszystkie mechanizmy wydzielające strefy bezpieczeństwa. W przypadku uzyskania dostępu do niej intruz znajduje się bezpośrednio w sieci lokalnej. • Aby zminimalizować tego typu zagrożenia należy zastosować takie mechanizmy jak: • Uwierzytelnianie użytkowników do punktu dostępowego za pośrednictwem protokołu 802.1x, • Zastosowanie mechanizmów zarządzania kluczami WEP jak TKIP, czy EAP-TLS, • Stosowanie dodatkowych metod szyfrowania ruchu jak IPSec, SSL lub inne, • Podłączanie urządzeń dostępowych sieci bezprzewodowej w dedykowanej strefie bezpieczeństwa.

  21. Archiwizacja danych • Archiwizacja danych jest jednym z podstawowych zadań jakie powinno być realizowane przez administratora systemu informatycznego. Kopia bezpieczeństwa umożliwia odtworzenie danych w razie uszkodzenia sprzętu, kradzieży, pożaru, itp. Dlatego zaleca się wykonywanie archiwizacji codziennie. • Archiwizacja może być wykonywana na różnego rodzaju nośnikach: • Magnetycznym, • Magnetooptycznym, • Optycznym.

  22. Kontrola dostępu do systemu • W wielu systemach operacyjnych istnieje standardowe oprogramowanie służące do uwierzytelniania użytkowników. Najczęściej spotykane metody wykorzystują hasła. • Ponadto dostęp do Zintegrowanego Informatycznego Systemu Zarządzania powinien wymagać osobnego logowania. • Oprócz haseł w systemach stosowane mogą być inne sposoby zabezpieczenia przed nielegalnym dostępem. Należą do nich: • Automatyczne kończenie sesji roboczej użytkownika w przypadku długiego okresu braku sygnałów z terminala świadczących o pracy, • Blokowanie konta, do którego wykonano wiele kolejnych nieudanych prób dostępu, • Prowadzenie historii haseł i uniemożliwienie ponownego używania hasła wykorzystanego w przeszłości, • Blokowanie konta, na którym nie pracowano dłuższy okres czasu, • Wymuszenie zmiany hasła co określony czas.

  23. Szkolenia użytkowników systemu Użytkownicy systemu IT odgrywają kluczową rolę w zachowaniu bezpieczeństwa tego systemu oraz danych przedsiębiorstwa. Dlatego podstawową rolą administratora w zakresie bezpieczeństwa systemu informatycznego jest zorganizowanie szkoleń dla użytkowników dotyczących prawidłowego i bezpiecznego korzystania z systemu IT oraz możliwych zagrożeń. Przyczyny awarii systemów IT Źródło: opracowanie dr hab. P. Bała, Uniwersytet Mikołaja Kopernika w Toruniu, 2005 r.

  24. Obowiązki administratora bezpieczeństwa informacji • Do głównych obowiązków administratora bezpieczeństwa informacji zgodnie z treścią zawartą w §3 rozporządzenia MSWiA z dnia 3 czerwca 1998 r należy: • Zabezpieczenie i kontrola pomieszczeń, w których przetwarzane są dane osobowe, • Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych, • Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz nie były udostępniane osobom nieupoważnionym, • Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, • Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych,

  25. Obowiązki administratora bezpieczeństwa informacji- c.d. • Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji, • Dopilnowanie, aby ekrany monitorów stanowisk komputerowych, na których przetwarzane są dane osobowe, automatycznie się wyłączały po upływie ustalonego czasu nieaktywności użytkownika, • Dopilnowanie pomieszczeń, w których znajdują się monitory stanowisk dostępu do danych osobowych i ustawienie w sposób aby uniemożliwić osobom niepowołanym wgląd w dane, • Podjęcie działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych.

  26. Dziękuję za uwagę

More Related