Bezpieczeństwo danych i systemów Technologia informacyjna
Bezpieczeństwo danych Ochrona poufnych danych przed nieautoryzowanym dostępem Zabezpieczenie przed utratą danych Ochrona danych przed zewnętrznymi zagrożeniami Bezpieczne korzystanie z sieci bezprzewodowych
Bezpieczeństwo teleinformatyczne Bezpieczeństwo teleinformatyczne to: a) bezpieczeństwo transmisji danych b) bezpieczeństwo systemów teleinformatycznych c) bezpieczeństwo w internetowych centrach danych i chmurach obliczeniowych System informatyczny (SI) to zbiór elementów, których zadaniem jest przetwarzanie, analizowanie i transmisja danych przy wykorzystaniu dostępnych technik komputerowych. W skład SI wchodzą: Sprzęt komputerowy Oprogramowanie Zasoby ludzkie Procedury organizacyjne Bazy wiedzy
Ochrona poufnych danych przed nieautoryzowanym dostępem Przyczyny wycieku poufnych informacji kradzież lub zgubienie nośnika błąd człowieka podsłuch wyłudzenie lub odgadnięcie hasła
Ochrona poufnych danych przed nieautoryzowanym dostępem Skutki przejęcia poufnych danych utrata reputacji i zaufania klientów utrata klienta sankcje prawne bezpośrednie szkody finansowe spadek konkurencyjności
Zagrożenia bezpieczeństwa teleinformatycznego Zagrożenia dla bezpieczeństwa teleinformatycznego: a) Osoba naruszająca zasady bezpieczeństwa danego systemu b) Złośliwe oprogramowanie c) Błędy w programach d) Błędy transmisji i awarie łącza e) Zjawiska losowe (pożary, powodzie itp.) Zagadnienia związane z bezpieczeństwem teleinformatycznym: a) Ochrona systemów przed złośliwym oprogramowaniem b) Ochrona systemów przed nieautoryzowanym dostępem w tym uwierzytelnianie i hostów, użytkowników i usług c) Ochrona poufności i integralności danych d) Ochrona przed włamaniami i kradzieżami sprzętu, danych, oprogramowania (ochrona fizyczna) e) Ochrona przed szpiegostwem komputerowym f) Niszczenie danych i oprogramowania g) Ochrona przed atakami mającymi na celu obniżenie sprawności systemów teleinformatycznych
Zapewnienie bezpieczeństwa Zapewnienie bezpieczeństwa teleinformatycznego polega na zapewnieniu niezmienności właściwości danych przetwarzanych w systemach informatycznych i sieciach teleinformatycznych. Właściwości tych danych to: - Integralność - Poufność - Niezaprzeczalność teleinformatycznego Czy istnieje bezpieczny system informatyczny? Powszechnie znana definicja: Bezpieczny system informatyczny jest wyidealizowanym urządzeniem które poprawnie i w całości realizuje jedynie te cele które były lub są zgodne z intencjami właściciela.
Zapewnienie bezpieczeństwa W związku z powyższym: Pytanie: czy można zbudować całkowicie bezpieczny SI? Odpowiedź: NIE! Pytanie: Więc co dalej? Odpowiedź:. teleinformatycznego Bezpieczeństwo to nie produkt lecz złożony proces Bruce Schneider Proces bezpieczeństwa systemu informatycznego sprowadza się do pełnego cyklu zarządzania jakością. a) Określenie potencjalnych zagrożeń b) Oszacowanie prawdopodobieństwa ich wystąpienia c) Oszacowanie potencjalnie mogących wystąpić strat d) Podjęcie działań mających na celu zmniejszenie ryzyka powodzenia przeprowadzonych ataków
Ochrona poufnych danych przed nieautoryzowanym dostępem Sposoby ochrony przed przejęciem poufnych danych przez osoby nieupoważnione szyfrowanie plików, partycji lub całych dysków z poufnymi danymi (TrueCrypt, PGP Whole Disk Encryption, EFS, BitLocker) korzystanie z szyfrowanych protokołów transmisji w sieciach (HTTPS, VPN) używanie trudnych do odgadnięcia i regularnie zmienianych haseł
Ochrona danych przed zewnętrznymi zagrożeniami Zewnętrzne zagrożenia dla danych oprogramowanie złośliwe: wirusy, trojany, backdory, robaki, rootkity wyłudzanie informacji (ang. phishing) atak na usługę DNS (ang. pharming) Drogi rozprzestrzeniania się zagrożeń: poczta elektroniczna strony www sieci P2P nośniki wymienne niezałatane luki w systemie operacyjnym
Ochrona danych przed zewnętrznymi zagrożeniami Metody zabezpieczenia się przed zagrożeniami używanie oprogramowania antywirusowego aktualizowanie na bieżąco systemu operacyjnego używać silnych haseł zdrowy rozsądek
Bezpieczeństwo teleinformatyczne - szczegóły Jak zwiększyć bezpieczeństwo systemów informatycznych: a) Zadbać o bezpieczeństwo fizyczne pomieszczeń i urządzeń b) określić zasady autoryzacji i kontroli dostępu c) Zdefiniować zasady poufności i integralności danych w systemach informatycznych d) Definiowanie mechanizmów podnoszenia stopnia dostępności do informacji (archiwizacja danych i kopie bezpieczeństwa) Realizacja tych mechanizmów może odbywać się poprzez: - Tworzenie polityk bezpieczeństwa dla systemów komputerowych - Tworzenie norm i zaleceń bezpieczeństwa - Określenie klas bezpieczeństwa systemów komputerowych - Definiowanie mechanizmów uwierzytelniania - Monitorowanie zabezpieczeń (monitorowanie transmisji danych, aktywności hostów) - Tworzenie zasad dostępu do zasobów - Tworzenie procedur analizy ryzyka związanego z bezpieczeństwem SI - Tworzenie procedur reagowania i dokumentowanie zdarzeń mających podłoże ataku na system - Aktualizacje systemów operacyjnych i aplikacji - Aktualizacja oprogramowania antywirusowego
Ważne rozporządzenia i ustawy Ustawa o prawie autorskim i prawach pokrewnych z 4 lutego 1994r Rozdział 1: Przedmiot prawa autorskiego Rozdział 7: Przepisy szczególne dotyczące programów komputerowych Ustawa o ochronie danych osobowych z 29 sierpnia 1997r Określa zasady postępowania przy przetwarzaniu i gromadzeniu danych osobowych oraz prawa osób fizycznych których dane są przetwarzane w zbiorach danych Ustawa o ochronie informacji niejawnych z dnia 22 stycznia 1999r Określa zasady ochrony informacji zwanych informacjami niejawnymi, które wymagają ochrony przed nieuprawnionym ujawnieniem jako stanowiące tajemnicę państwową lub służbową niezależnie od formy i sposobu ich wyrażania także w trakcie ich opracowywania. definiuje także pojęcia: - System teleinformatyczny - Sieć teleinformatyczna - Akredytacja bezpieczeństwa teleinformatycznego - Dokumentacja bezpieczeństwa systemu lub sieci informatycznej
Ważne rozporządzenia i ustawy Ustawa o ochronie baz danych z dnia 27 lipca 2001r określa zasady ochrony baz danych niezależnie od ustawy o prawie autorskim i praw pokrewnych którym bazy danych także podlegają Ustawa o podpisie elektronicznym z dnia 18 września 2001r Określa warunki stosowania podpisu elektronicznego skutki prawne jego stosowania zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad tymi podmiotami Ustawa o świadczeniu usług droga elektroniczną z dnia 18 lipca 2002r Określa obowiązki i stopień odpowiedzialności usługodawcy związane ze świadczeniem usług drogą elektroniczną oraz zasady danych osobowych osób fizycznych korzystających z usług świadczonych droga elektroniczną. Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002r Określa warunki techniczne i organizacyjne dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego
Ważne rozporządzenia i ustawy Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 roku w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Rozporządzenie to określa: a) Podstawowe wymagania bezpieczeństwa teleinformatycznego jakim powinny odpowiadać systemy teleinformatyczne służące do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych b) Sposób opracowania dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji systemów lub sieci teleinformatycznych. Ochrona fizyczna - Umieszczanie urządzeń będących krytycznymi elementami systemu teleinformatycznego w strefie kontrolowanego dostępu czyli tzw. strefie bezpieczeństwa o podwyższonym stopniu kontroli. Ochrona elektromagnetyczna - Ochrona przed utratą poufności i dostępności informacji niejawnych przetwarzanych w urządzeniach teleinformatycznych Ochrona kryptograficzna - Zagwarantowanie iż informacje przetwarzane przez system nie utraciły podstawowych własności takich jak poufność i integralność w wyniku błędu uwierzytelnienia. Niezawodność transmisji - Zapewnienie integralności i dostępności informacji niejawnych przekazywanych w systemach lub sieciach teleinformatycznych I wiele innych ustaw
Bezpieczniejsze korzystanie z sieci bezprzewodowych zmiana domyślnego hasła urządzenia dostępowego sieci WiFi stosowanie szyfrowania WPA2 filtrowanie adresów MAC korzystanie z bezpiecznych protokołów podczas korzystania z sieci publicznych aktualizacja oprogramowania (ang. firmware) urządzenia sieciowego
Szyfrowanie w praktyce System szyfrowania plików nie jest w pełni obsługiwany w systemach Windows 7 Starter, Windows 7 Home Basic i Windows 7 Home Premium, Vista Home Premium i Home Basic, Windows XP Home. Dostępne tylko w wersjach Windows Professional i Ultimate
True Crypt TrueCrypt Szyfrowanie danych. Program może zaszyfrować zawartość całego dysku, wybranej partycji lub kontenera. Szyfrowanie odbywa się za pomocą algorytmów AES-256, Blowfish, CAST5, Serpent, Triple DES i Twofish. http://www.truecrypt.org
Stwórz kontener
Kreator co szyfrować
Ukryty czy standardowy wolumen
Lokalizacja kontenera
Metoda (algorytm) szyfrowania
Rozmiar kontenera
Hasło dla kontenera
Formatowanie kontenera
Montowanie kontenera
Odmontowanie po zakończeniu pracy
Szyfrowanie Kryptografia nauka zajmująca się szyfrowaniem Kryptoanaliza zajmuje się deszyfrowaniem czyli łamaniem szyfrów Kryptologia = kryptografia + kryptoanaliza Klasyfikacja szyfrów: Szyfry symetryczne podstawieniowe przestawieniowe Szyfry asymetryczne czyli szyfrowanie z użyciem różnych kluczy
Szyfr Cezara Przy pomocy tego szyfru podstawieniowego porozumiewali się Juliusz Cezar i Cyceron. To szyfr, który polegał na zastąpieniu każdej litery inną, leżącą w alfabecie o 3 pozycje w prawo. Przyjrzyjmy się tabeli ilustrującej podstawienia tekst a b c d e f g h i j k l m n o p q r s t u v w x y z szyfr d e f g h i j k l m n o p q r s t u v w x y z a b c 30
Szyfr Cezara implementacja w C++ #include <iostream> using namespace std; string s; int main() { cin<<s; for (int i=0;i<s.size();i++) { s[i] = s[i]+3; if (s[i] > 122) s[i] = s[i]-26; cout << s[i]; } cin.ignore(2); 31
Rot 13 szyfr podstawieniowy Szyfr ROT13 ma bardzo ważną cechę, która sprawia, że szyfr ten stał się popularny. Otóż przesunięcie o 13, przy 26 znakach alfabetu sprawia, że do szyfrowania i deszyfrowania można użyć takiego samego algorytmu. tekst a b c d e f g h i j k l m szyfr n o p q r s t u v w x y z 32
Szyfr Atbash szyfr podstawieniowy Algorytm szyfrujący polega na wyborze liter leżących symetrycznie po przeciwnej stronie alfabetu. Tak więc litera a zostanie zastąpiona literą z, a litera z literą a. Z pozostałymi literami postępujemy podobnie. tekst a b c d e f g h i j k l m n o p q r s t u v w x y z szyfr z y x w v u t s r q p o n m l k j i h g f e d c b a 33
Szyfr Kwadrat - przestawieniowy Algorytm szyfrowania składa się z dwóch etapów. Po wyznaczeniu boku minimalnego kwadratu, w który można wpisać szyfrowany tekst należy wpisać go wierszami do kwadratu. Niewypełnione pola uzupełnić np. spacjami. Szyfrogram otrzymuje się wczytując litery w kolejnych kolumnach Np. tekst WIEMZENICNIEWIEM byłby zaszyfrowany przy pomocy następującej tabeli: W I E M Z E N I C N I E W I E M 34
Szyfr płotkowy Szyfr płotkowy jest szyfrem, który wymaga podania klucza. W zależności od klucza zmienia się wysokość płotu. Przykład: słowo szyfrowane to WARSZAWA w w a a a r z s warszawa -> wwaaarzs (wysokość płotu 4) 35
Szyfr Playfaira szyfr przestawieniowy M U Z Y K A B C D E F G H I/J L N O P Q R S T V W X Tworzymy tablicę 5x5 słowo klucz na początku w naszym przypadku słowo-klucz -> muzyk, dalej uzupełniamy alfabetem (łacińskim - 26 znakowym) Tekst do zaszyfrowania dzielimy na pary np. tekst do zaszyfrowania: informatyk -> in-fo-rm-at-yk szyfrujemy parami: 1. jeśli para jest po przekątnej, to bierzemy parę z drugiej przekątnej 2. jeśli para jest w kolumnie, to bierzemy parę pod nią, z zawinięciem kolumny 3. jeśli para jest w wierszu, to bierzemy parę po prawej, z zawinięciem wiersza Szyfrogram to: fq-gn-kn-bs-km 36
Microsoft Security Essentials Program Microsoft Security Essentials jest dostępny dla wszystkich użytkowników korzystających z oryginalnego systemu operacyjnego Windows i oferuje funkcje zabezpieczeń przed złośliwymi zagrożeniami, takimi jak wirusy, konie trojański, oprogramowanie szpiegowskie i inne. http://www.microsoft.com/pl-pl/security_essentials/productinformation.aspx
Dobre praktyki ds. bezpieczeństwa 1. Stosuj silne hasła, trudne do odgadnięcia i złamania przez programy do łamania haseł. 2. Włącz automatyczne aktualizacje systemu. 3. Zainstaluj program antywirusowy. 4. Regularnie skanuj cały komputer programem antywirusowym. 5. Łącz się z internetem wykorzystując zaporę firewall programową lub sprzętową (np. router z funkcją firewall). 6. Konto o uprawnieniach administratora używaj tylko do zadań wymagających pełnych uprawnień. 7. Systematycznie wykonuj kopie zapasowe najważniejszych plików i partycji dysku systemu. 8. Wyłącz niepotrzebne usługi.
Bibliografia 1. Wojciech Olejniczak. Bezpieczeństwo danych - dyskusja, Wrocław 2009. http://www.rynektlumaczen.pl/download/konferencja2009/bezpieczenstwo_danych.ppt 2. Tomasz Michalecki. Bezpieczeństwo teleinformatyczne. 3. Dariusz Fabicki. 10 małych kroków w dziedzinie bezpieczeństwa i ochrony danych na terenie szkoły. http://www.oeiizk.waw.pl/joomla/images/pliki/konferencje/biws3-03-2013_df.pptx 4. Iwona i Ireneusz Bujnowscy. Szyfrowanie algorytmy przestawieniowe. Warszawska Wyższa Szkoła Informatyki. http://wlfinfoplatforma.wwsi.edu.pl/material/mdinfoplus/m2pr/s3/mdinfoplus_m2 pr_s3_prezentacja_2.pptx http://wlf-infoplatforma.wwsi.edu.pl/material/mdinfoplus/m2pr/s3/mdinfoplus_m2 pr_s3_prezentacja_3.pptx 39