Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Transkrypt

1 Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań,

2 Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer 2003 Udostępnianie bezpiecznych usług ug w sieci Internet

3 PCSS Uczestnik projektów w naukowo- badawczych Polska, Europa, Świat Operator sieci PIONIER Partner wielu światowych korporacji Microsoft, Sun, Ciscoi inne Doświadczenie Tworzenie oprogramowania Administracja usług ug Budowa i administracja sieci i gridów Bezpieczeństwo

4 Zespół Bezpieczeństwa PCSS Od 1996r. obecnie 7 osób Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia, transfer wiedzy Badania własnew Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów w internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów w WWW (Apache( Apache,, MS IIS) Bezpieczeństwo sklepów w internetowych security.psnc.plpl

5 Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług ug outsourcingowych mic.psnc.plpl Bezpieczeństwo w MIC : 2008: Szkolenia bezpieczeństwa Bezpieczeństwo IIS 7.0 Wewnętrzne i zewnętrzne audyty bezpieczeństwa Badania infrastruktury klucza publicznego

6 Bezpieczeństwo danych. ZagroŜenia i sposoby zabezpieczeń Po co bezpieczeństwo? Źródła a zagrożeń Ochrona przed zagrożeniami

7 Po co ta prezentacja? Bo bezpieczeństwo jest Źle rozumiane Lekceważone Źle stosowane

8 Bezpieczeństwo Poufność Integralność Dostępność

9 Po co inwestować w bezpieczeństwo? Wymogi prawne Informacja = Pieniądz Dane kontrahentów Dane klientów Wyniki pracy Ustawa z dnia 22 stycznia 1999 o Ochronie Informacji Niejawnych(Dz.U ) Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych(Dz.U ) Tajemnica zawodowa

10 ZagroŜenia Utrata danych Kradzież tożsamości Brak dostępu (do danych) Kradzież zasobów Kompromitacja wizerunku

11 Źródła zagroŝeń Złośliwe oprogramowanie Pracownicy Błędne, niewłaściwie skonfigurowane lub używane oprogramowanie Przypadkowy przestępca Zorganizowane grupy przestępcze Wypadki losowe

12 Keylogger Wirus Robak Trojan Złośliwe oprogramowanie Rootkit Spyware Malware Adware Adware Exploit Koń trojański

13 Przestępcy Grupy Zorganizowane Drobni Przestępcy Przestępcy przypadkowi Phishing SPAM DDoS Włamanie Pharming Kradzież Utrata danych Kradzież tożsamości Kradzież zasobów Brak dostępu Kompromitacja wizerunku

14 Studium przypadku 1/3 Pan Piotr prowadzi własną firmę - gospodarka odpadami Duża korporacja poszukuje podwykonawców Spotkanie: czwartek godz. 15:00

15 Studium przypadku 2/3 Czwartek godz. 08:20 08:37 08:00 08:15

16 Studium przypadku 3/3 Co się stało?

17 Zabezpieczenia Audyt teleinformatyczny Standardy i normy Oprogramowanie zabezpieczające Zabezpieczenie sieci Aktualizacje oprogramowania Ochrona fizyczna Dobre praktyki Świadomość użytkowników

18 Dobre praktyki Poprawne procedury uwierzytelniania i autoryzacji Odpowiednia polityka tworzenia i testowania kopii zapasowych Odpowiednie usuwanie danych DEFENCE IN DEPTH

19 Sieci Bezprzewodowe Sieci Bezprzewodowe Firewall Firewall Bezpieczeństwo sieci Dobre Praktyki Dobre Praktyki IDS/IPS IDS/IPS

20 Aktualizacje i konfiguracja Aktualizacja Systemu Sterowników Programów użytkowych Serwerów Odpowiednia konfiguracja

21 Oprogramowanie zabezpieczające Firewall Antywirusowe Kryptograficzne

22 Audyty i testy Audyt to weryfikacja zgodności stanu istniejącego ze stanem pożą żądanym Audyt to nie kontrola, która ma znaleźć winnych Audyt to działania ania zmierzające do wspomagania firmy, a nie spowodowania strat

23 Normy, Metodologie, Projekty Normy (np. PN-ISO2700x) Metodologie (np. TISM) Projekty (np. OWASP)

24 Ochrona fizyczna

25 O czym powiedzieliśmy? Czym jest bezpieczeństwo? Jakie są główne zagrożenia i ich źródła? Jak się bronić?

26 O czym nie powiedzieliśmy?

27 Dziękuję za uwagę! Tomasz Nowocień man.poznan.plpl security.man.poznan.plpl