Wybór producenta. Wymagania Porównanie maszyn Producentów

Transkrypt

1 Wybór producenta Wymagania Porównanie maszyn Producentów

2 Troche podsumowania ACK: Grzegorz Bliźniuk

3 Bezpieczeństwo systemów informatycznych Zagadnienie bezpieczeństwa informacji i danych dotyczy stosowania odpowiednich zabezpieczeń systemów informacyjnych i informatycznych, dzięki czemu nie będzie możliwy niekontrolowany wyciek informacji poza system lub jej uszkodzenie (zabezpieczenia logiczne), a także zniszczenie lub uszkodzenie infrastruktury tego systemu (zabezpieczenia fizyczne). Zagadnienie to jest bardzo ważne w dobie powszechnej internetyzacji technologii informacyjnych (przyp. aut.) Bezpieczeństwo systemów informatycznych jest rozumiane jako niczym niezakłócone funkcjonowanie tych systemów podczas realizacji wyznaczonych dla nich zadań. Bezpieczeństwo teleinformatyczne jest rozumiane jako zespół procesów zmierzających do zdefiniowania, osiągnięcia i utrzymania założonego poziomu ufności, integralności, dostępności autentyczności i niezawodności systemu, czyli tzw. atrybutów bezpieczeństwa w systemach teleinformatycznych. Bezpieczeństwo informacji ma szersze znaczenie niż bezpieczeństwo teleinformatyczne, ponieważ obejmuje również informację znajdującą się poza systemami informatycznymi, w więc występującą np. w postaci dokumentów papierowych, mikrofilmów oraz w postaci zapamiętanej i wymienianej bezpośrednio przez człowieka lub za pomocą środków łączności. Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN

4 Bezpieczeństwo systemów informatycznych Atrybuty bezpieczeństwa według normy PN : Poufność (confidentiality) Nazwa Autentyczność (authenticity) Dostępność (availability) Integralność danych (data integrity) Integralność systemu (system integrity) Integralność (integrity) Rozliczalność (accountability) Niezawodność (reliability) Określenie Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Dotyczy użytkowników, procesów, systemów lub instytucji. Związana jest z badaniem, czy ktoś lub coś jest tym za co się podaje Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym czasie przez kogoś lub coś, kto lub co ma do tego prawo Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Integralność danych i integralność systemu Właściwość zapewniająca, że działania podmiotu (np. użytkownika) mogą być jednoznacznie przypisane tylko temu podmiotowi Właściwość oznaczająca spójne, zamierzone zachowanie i skutki Na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN

5 Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa (security policy) jest planem lub sposobem działania przyjętym w celu zapewnienia bezpieczeństwa systemów i ochrony danych wrażliwych. Wrażliwość informacji (information sensibility) jest miarą ważności przypisaną informacji przez jej autora lub dysponenta w celu wskazania konieczności jej ochrony. Zasoby lub aktywa (sets), to wszystko, co dla instytucji ma wartość i co dla jej dobra należy chronić, aby mogła funkcjonować w sposób niezakłócony. Zagrożenie (threat), to potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być dla szkoda systemu teleinformatycznego, a w dalszej konsekwencji dla instytucji. Incydent bezpieczeństwa (security incident), to niekorzystne zdarzenie związane z systemem teleinformatycznym, które według obowiązujących reguł lub zaleceń może być uznane za awarię, faktyczne lub domniemane naruszenie zasad ochrony informacji lub prawa własności. Podatność (vulnerability), to słabość lub luka w systemie przetwarzania danych, która może być wykorzystana przez zagrożenia, prowadząc do strat. Ryzyko (risk) to prawdopodobieństwo albo możliwość tego, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować naruszenie lub zniszczenie zasobów. Zabezpieczenie (safegurad), to praktyka, procedura, mechanizm redukujący ryzyko do pewnego akceptowalnego poziomu, zwanego ryzykiem szczątkowym (residual risk). Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN

6 Bezpieczeństwo systemów informatycznych Podstawowe zagrożenia dla bezpieczeństwa systemów i użytkowników pracujących w Internecie: 1. Podsłuch danych transmitowanych w sieci i dostęp osób nieuprawnionych do informacji, 2. Nieuprawnione korzystanie z zasobów komputerów, np. niedozwolone uruchomienie programu (zużycie mocy obliczeniowej procesora), 3. Blokada usług systemu na przykład poprzez sztuczne przeciążenie systemu nadmiarem zlecanych zbędnych zadań, co w konsekwencji blokuje system dla normalnej pracy, 4. Utrata danych na skutek ich złośliwego zniszczenia lub uszkodzenia poprzez na przykład włamanie się do systemu informatycznego (komputera), 5. Fałszowanie informacji i/lub podawanie się za innych użytkowników na przykład oszukiwanie uczestników czatów, rozsyłanie poczty z cudzego konta, podszywanie się pod inną osobę na forach internetowych, 6. Fizyczne odcięcie źródła informacji od sieci np. awaria zasilania, kradzież infrastruktury systemowej, Na podstawie: Cieciura M., Podstawy technologii informacyjnych z przykładami zastosowań, wyd. Vizja Press&IT sp. z o.o., Warszawa, 2006, ISBN 13:

7 Bezpieczeństwo systemów informatycznych Polskimi aktami prawnymi, regulującymi obszar bezpieczeństwa informacji i danych są szczególności wymienione poniżej ustawy wraz z rozporządzeniami wydawanymi na ich podstawie: 1. Ustawa o ochronie danych osobowych 2. Ustawa o ochronie informacji niejawnych 3. Ustawa o ochronie baz danych 4. Ustawa o świadczeniu usług drogą elektroniczną 5. Ustawa o podpisie elektronicznym Niektóre normy dotyczące bezpieczeństwa informacji i danych 1. ISO/IEC 27001: międzynarodowy standard tworzenia Systemów Zarządzania Bezpieczeństwem Informacji, 2. ISO/IEC 17799:2005 (BS 779, PN-ISO/IEC 17779) - szczegółowe zalecenia związane z procesem wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w organizacji, 3. ISO/IEC 13335:2000 (PN-I-13335) zarządzanie bezpieczeństwem informacji w systemach teleinformatycznych

8 Autonomic Systems A possible solution could be to enable modern, networked computing systems to manage themselves without direct human intervention. The Autonomic Computing Initiative (ACI) aims at providing the foundation for autonomic systems. It is inspired by the autonomic nervous system of the human body. This nervous system controls important bodily functions (e.g. respiration, heart rate, and blood pressure) without any conscious intervention. In a self-managing system Autonomic System, the human operator takes on a new role: He does not control the system directly. Instead, he defines general policies and rules that serve as an input for the self-management process. For this process, IBM has defined the following four functional areas: Self-Configuration: Automatic configuration of components; Self-Healing: Automatic discovery, and correction of faults; Self-Optimization: Automatic monitoring and control of resources to ensure the optimal functioning with respect to the defined requirements; Self-Protection: Proactive identification and protection from arbitrary attacks. IBM defined five evolutionary levels, or the Autonomic deployment model, for its deployment: Level 1 is the basic level that presents the current situation where systems are essentially managed manually. Levels 2-4 introduce increasingly automated management functions, while level 5 represents the ultimate goal of autonomic, self-managing systems.

9 IBM Autonomic Computing Adoption Model Levels Level 1: Basic The starting point where most systems are today, this level represents manual computing in which all system elements are managed independently by an extensive, highly skilled IT staff. The staff sets up, monitors, and eventually replaces system elements. Level 2: Managed Systems management technologies can be used to collect and consolidate information from disparate systems onto fewer consoles, reducing administrative time. There is greater system awareness and improved productivity. Level 3: Predictive The system monitors and correlates data to recognize patterns and recommends actions that are approved and initiated by the IT staff. This reduces the dependency on deep skills and enables faster and better decision-making. Level 4: Adaptive In addition to monitoring and correlating data, the system takes action based on the information. The IT staff manages performance against service level agreements (SLAs), thereby enhancing IT agility and resiliency with minimal human interaction. Level 5: Autonomic Fully integrated systems and components are dynamically managed by business rules and policies, enabling IT staff to focus on meeting business needs with true business agility and resiliency.

10 Intel view

11 SOA Approaches Top-down approaches start with modeling the business and the services that it provides. Bottom-up approaches start with modeling existing assets and identifying how they may be exposed as reusable services. REST????

12 Zamiast wprowadzenia Okiem Cynika (Murphy ego) Jeżeli coś ma się nie udać - nie uda się na pewno Jeśli myślisz, że idzie dobrze - na pewno nie wiesz wszystkiego Pozostawione trudne problemy - staną się jeszcze trudniejsze Lepsze jest wrogiem dobrego To czego szukasz, znajdziesz w ostatnim z możliwych miejsc Nigdy nie powtarzaj udanego doświadczenia Komputer służy do tego, aby ułatwić Ci pracę, której bez niego w ogóle byś nie miał Awaria komputera wyczekuje na najbardziej niedogodny moment Nowe systemy produkują nowe błędy Żaden klient nie wie czego dokładnie chce Każdy klient wie dokładnie czego nie chce Żaden klient nie chce tego co masz już gotowe Klient, który najmniej płaci marudzi najwięcej Klient żąda większych zmian dokładnie wtedy, gdy produkt jest już gotowy

13 Blueprints for - Bezpieczeństwo i ochrona danych 1/3 Polityka bezpieczeństwa jednostkowa odpowiedzialność wiedza konieczna - tylko potrzebna obecność konieczna - uprawnione osoby wieloosobowa realizacja - funkcje, które mogą być wykorzystywane do włamania systemu nie powinny być obsługiwane przez jedną osobę rotacja obowiązków - przydzielanie okresowe istotnych funkcji Zagrożenia bezpieczeństwa uzyskanie dostępu do danych transmitowanych przez sieć lub przechowywanych na dołączonych do sieci komputerach przez ososby niepowołane uzyskanie dostępu do innych zasobów (np. mocy obliczeniowej) przez ososby niepowołane utrata danych na skutek ingerencji zewnętrznej fałszerstwo danych

14 Blueprints for - Bezpieczeństwo i ochrona danych 2/3 Zagrożenia w sieci komputerowej Sniffing - podsłuch Spoofing - podszycie pod legalny IP Hijacking - przechwytanie zdalnej sesji legalnego użytkownika Przerwanie Modyfikacja Cracking - łamanie haseł Denial of Service - wyczerpanie dzielonych zasobów System Echolon (NSA) - poszukiwanie dokumentów zawierających określone słowa Zagrożenia systemu dostęp do komputera przez osoby niepowołane proste hasła ignorowanie poufności haseł zaniedbywanie usunięcia praw do plików po instalacji oprogramowania pozostawienie standardowych użytkowników lub haseł po instalacji przerwanie przechwytywanie modyfikowanie fałszowanie

15 Blueprints for - Bezpieczeństwo i ochrona danych 3/3 Lokalne bezpieczeństwo systemu tworzenie kopii bezpieczeństwa konta użytkowników długość hasła (min,max) okres używania liczba prób logowań testowanie na łatwość złamania przeglądanie plików systemowych kodowanie plików i partycji (CFS, TCFS) Bezpieczeństwo dostępu do sieci firewalls VPN IPSec (poufność, integralność, autentyczność) SSH (secure shell) SSL (secure socket layer) - WWW (HTTPS) poczta (PGP, S/MIME) Domain Name System Security (polityka kluczy publicznych)

16 Podejmowanie decyzji w zakresie tworzenia systemów informatycznych

17 Podejmowanie decyzji Cechy istotne dla użytkownika wydajność dostępność funkcjonalność powszechność kryteria finansowe rozbudowywalność - pilotaż usługi serwisowe gwarancyjne i pogwarancyjne Stabilność producenta - ochrona inwestycji Badania rozwojowe Problemy wg Gartner Group charakterystyka funkcjonalna (cele informatyzacji i kryteria wydajnościowe) wymagana technologia (architektura, platforma sprzętowa, system operacyjny) integracja środowisk

18 Wybór architektury Nowoczesność i wydajność Elementy RAS

19 Wybór producenta Silna pozycja producenta ==> bezpieczeństwo rozwiązań i inwestycji

20 Udział wrynkuposzczególnych firmkomputerowych ca. 1998y

21 Udziały producentów w poszczególnych segmentach rynku A B C D European 1996 Unix Servers Market Share (100, ,999 USD) Producent (total value market $2,3B)% Producent Worldwide 1995 High Availability Market Share % HP 23.1 HP 25 SNI 19.7 IBM 22,9 IBM 19.6 NCR 17.7 SGI 10.5 DEC 7.4 SUN 7.3 Pyramid 7.3 inni 19.8 Sequent 7.3 inne 12.5

22 Udział producentów i wielkość rynku silnie zależna od okresu Światowy rynek serwerów Unix, % Swiatowy rynek serwerów, % Światowy rynek serwerow Unix klasy średniej, % Producent Q Q Q99 SUN HP IBM Compaq Siemens Inni Dochody, mld $

23 A Walk in the Clouds Public Private IaaS SaaS Paas Open Nebula Open Stack Eucalyptus..