ZagroŜenia w sieci Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 29.10.2008 2008
Agenda Kim jesteśmy? ZagroŜenia w sieciach teleinformatycznych oraz sposoby zabezpieczeń Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepów 2
PCSS Uczestnik projektów w naukowo- badawczych Polska, Europa, Świat Operator sieci PIONIER Partner wielu światowych korporacji Microsoft, Sun, Cisco i inne Doświadczenie Tworzenie oprogramowania Administracja usług ug Budowa i administracja sieci i gridów Bezpieczeństwo http://www www.pcss.plpl http://www www.man.poznan.pl pl http://www www.psnc.plpl 3
Zespół Bezpieczeństwa PCSS Działa od 1996r. Obecnie zatrudnionych 7 osób Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia,, transfer wiedzy Badania własne Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów w internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów WWW (Apache, MS IIS) Bezpieczeństwo sklepów w internetowych http://security security.psnc.plpl 4
Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług ug outsourcingowych http://mic mic.psnc.plpl Bezpieczeństwo w MIC 2006-2008: 2008: Szkolenia bezpieczeństwa Bezpieczeństwo IIS 7.0 Wewnętrzne i zewnętrzne audyty bezpieczeństwa Badania infrastruktury klucza publicznego 5
Bezpieczeństwo danych. ZagroŜenia i sposoby zabezpieczeń Czym jest bezpieczeństwo? Aspekty bezpieczeństwa w szkole Źródła a zagroŝeń Ochrona przed zagroŝeniami 6
Bezpieczeństwo Poufność Integralność Dostępność 7
Aspekty bezpieczeństwa w szkole Bezpieczeństwo zasobów szkoły Ochrona nieletnich przed zagroŝeniami z sieci 8
Bezpieczeństwo zasobów Informacja= Pieniądz Dane = Pieniądz Zasoby = Pieniądz Wymogi prawne Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych(Dz.U.1997.133.883) 9
Bezpieczeństwo zasobów ZagroŜenia Utrata danych Kradzież tożsamości Brak dostępu (do danych) Kradzież zasobów Kompromitacja wizerunku 10
Bezpieczeństwo zasobów Źródła zagroŝeń Złośliwe oprogramowanie Pracownicy Błędne, niewłaściwie skonfigurowane lub uŝywane oprogramowanie Przypadkowy przestępca Zorganizowane grupy przestępcze Wypadki losowe 11
Keylogger Bezpieczeństwo zasobów Złośliwe oprogramowanie 12 Wirus Robak Trojan Rootkit Malware Adware Adware Spyware Exploit Koń trojański
Bezpieczeństwo zasobów Przestępcy Grupy Zorganizowane Drobni Przestępcy Przestępcy przypadkowi Phishing SPAM DDoS Włamanie Pharming KradzieŜ Utrata danych KradzieŜ toŝsamości KradzieŜ zasobów Brak dostępu Kompromitacja wizerunku 13
Bezpieczeństwo zasobów Zabezpieczenia Audyt teleinformatyczny Standardy i normy Oprogramowanie zabezpieczające Zabezpieczenie sieci Aktualizacje oprogramowania Dobre praktyki Ochrona fizyczna Świadomość uŝytkowników 14
Bezpieczeństwo zasobów Dobre praktyki Poprawne procedury uwierzytelniania i autoryzacji Odpowiednia polityka tworzenia i testowania kopii zapasowych Odpowiednie usuwanie danych DEFENCE IN-DEPTH 15
WLAN WLAN Bezpieczeństwo zasobów Bezpieczeństwo sieci 16 Firewall IDS/IPS/DLP IDS/IPS/DLP Dobre Praktyki Praktyki
Bezpieczeństwo zasobów Aktualizacje i konfiguracja Aktualizacja Systemu Sterowników Programów uŝytkowych Serwerów Odpowiednia konfiguracja 17
Bezpieczeństwo zasobów Oprogramowanie zabezpieczające Firewall Antywirusowe Kryptograficzne 18
Bezpieczeństwo zasobów Strony WWW 2457 stron zgłoszonych do Konkursu na szkolną witrynę w serwisie http://eduseek eduseek.interklasa.pl* Czy mają sprawdzonych dostawców usług? * - stan na 26.10.2008r 19
Bezpieczeństwo zasobów Audyty i testy Audyt to weryfikacja zgodności stanu istniejącego ze stanem poŝą Ŝądanym Audyt to nie kontrola, która ma znaleźć winnych Audyt to działania ania zmierzające do wspomagania organizacji,, a nie spowodowania strat 20
Bezpieczeństwo Zasobów Normy, Metodologie, Projekty Normy (np. PN-ISO2700x) Metodologie (np. TISM) Projekty (np. OWASP) 21
Bezpieczeństwo zasobów Ochrona fizyczna 22
Ochrona nieletnich 23
Ochrona nieletnich Brytyjska organizacja charytatywna NSPCC przeprowadziła a badania, w rezultacie których ustaliła, a, Ŝe trzy czwarte korzystających z WWW dzieci zetknęł ęło o się w Internecie z materiałami ami pornograficznymi lub promującymi przemoc. * * -źródło: http://webhosting webhosting.pl 75% dzieci miało kontakt z nieodpowiednimi materiałami w Internecie cie Wojciech Wowra 2008-10 10-20; za News.bbc bbc.co..co.uk 24
Ochrona nieletnich Podnoszenie świadomości 25
Ochrona nieletnich Kontrola i cenzura Cenzor ANCOM Ochraniacz Moty Adalex Programy do filtrowania treści. Beniamin Beniamin grupa BENAROM WebLock AKKORP AKKORP AKKORP X-Guard Guard PROINVEST PROINVEST Group Group StraŜnik ucznia ucznia Opiekun Opiekun dziecka dziecka w Internecie Internecie Adalex Adalex SoftStory SoftStory 26
O czym powiedzieliśmy? Czym jest bezpieczeństwo? Jakie są podstawowe aspekty zagroŝeń w szkole. Jakie są główne zagroŝenia i ich źródła? Jak się bronić? 27
O czym nie powiedzieliśmy? Zapraszamy na szkolenia http://mic mic.psnc.pl/ http://mic mic.psnc.pl/pl/tasks/lect lect.html http://szkolenia.man man.poznan.plpl 28
Dziękuję za uwagę. Tomasz Nowocień nowocien@man man.poznan.plpl http://security security.psnc.plpl http://security security.man.poznan.plpl security@man man.poznan.plpl 29