Bezpieczeństwo IT Tomasz Nowocień, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.10.2008 2008
Agenda Kim jesteśmy? Bezpieczeństwo danych. Zagrożenia i sposoby zabezpieczeń Zabezpieczenie platformy Windows Serwer 2003 Udostępnianie bezpiecznych usług ug w sieci Internet
PCSS Uczestnik projektów w naukowo- badawczych Polska, Europa, Świat Operator sieci PIONIER Partner wielu światowych korporacji Microsoft, Sun, Ciscoi inne Doświadczenie Tworzenie oprogramowania Administracja usług ug Budowa i administracja sieci i gridów Bezpieczeństwo http://www www.pcss.pl, http://www www.man.poznan.pl, http://www www.psnc.plpl
Zespół Bezpieczeństwa PCSS Od 1996r. obecnie 7 osób Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach R&D Szkolenia, transfer wiedzy Badania własnew Usługi zewnętrzne Najciekawsze badania z ostatnich lat Bezpieczeństwo komunikatorów w internetowych Badania sieci bezprzewodowych na terenie Poznania Raport nt. bezpieczeństwa bankowości elektronicznej Bezpieczeństwo serwerów w WWW (Apache( Apache,, MS IIS) Bezpieczeństwo sklepów w internetowych http://security security.psnc.plpl
Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług ug outsourcingowych http://mic mic.psnc.plpl Bezpieczeństwo w MIC 2006-2008: 2008: Szkolenia bezpieczeństwa Bezpieczeństwo IIS 7.0 Wewnętrzne i zewnętrzne audyty bezpieczeństwa Badania infrastruktury klucza publicznego
Bezpieczeństwo danych. ZagroŜenia i sposoby zabezpieczeń Po co bezpieczeństwo? Źródła a zagrożeń Ochrona przed zagrożeniami
Po co ta prezentacja? Bo bezpieczeństwo jest Źle rozumiane Lekceważone Źle stosowane
Bezpieczeństwo Poufność Integralność Dostępność
Po co inwestować w bezpieczeństwo? Wymogi prawne Informacja = Pieniądz Dane kontrahentów Dane klientów Wyniki pracy Ustawa z dnia 22 stycznia 1999 o Ochronie Informacji Niejawnych(Dz.U.1999.11.95) Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych(Dz.U.1997.133.883) Tajemnica zawodowa
ZagroŜenia Utrata danych Kradzież tożsamości Brak dostępu (do danych) Kradzież zasobów Kompromitacja wizerunku
Źródła zagroŝeń Złośliwe oprogramowanie Pracownicy Błędne, niewłaściwie skonfigurowane lub używane oprogramowanie Przypadkowy przestępca Zorganizowane grupy przestępcze Wypadki losowe
Keylogger Wirus Robak Trojan Złośliwe oprogramowanie Rootkit Spyware Malware Adware Adware Exploit Koń trojański
Przestępcy Grupy Zorganizowane Drobni Przestępcy Przestępcy przypadkowi Phishing SPAM DDoS Włamanie Pharming Kradzież Utrata danych Kradzież tożsamości Kradzież zasobów Brak dostępu Kompromitacja wizerunku
Studium przypadku 1/3 Pan Piotr prowadzi własną firmę - gospodarka odpadami Duża korporacja poszukuje podwykonawców Spotkanie: czwartek godz. 15:00
Studium przypadku 2/3 Czwartek godz. 08:20 08:37 08:00 08:15
Studium przypadku 3/3 Co się stało?
Zabezpieczenia Audyt teleinformatyczny Standardy i normy Oprogramowanie zabezpieczające Zabezpieczenie sieci Aktualizacje oprogramowania Ochrona fizyczna Dobre praktyki Świadomość użytkowników
Dobre praktyki Poprawne procedury uwierzytelniania i autoryzacji Odpowiednia polityka tworzenia i testowania kopii zapasowych Odpowiednie usuwanie danych DEFENCE IN DEPTH
Sieci Bezprzewodowe Sieci Bezprzewodowe Firewall Firewall Bezpieczeństwo sieci Dobre Praktyki Dobre Praktyki IDS/IPS IDS/IPS
Aktualizacje i konfiguracja Aktualizacja Systemu Sterowników Programów użytkowych Serwerów Odpowiednia konfiguracja
Oprogramowanie zabezpieczające Firewall Antywirusowe Kryptograficzne
Audyty i testy Audyt to weryfikacja zgodności stanu istniejącego ze stanem pożą żądanym Audyt to nie kontrola, która ma znaleźć winnych Audyt to działania ania zmierzające do wspomagania firmy, a nie spowodowania strat
Normy, Metodologie, Projekty Normy (np. PN-ISO2700x) Metodologie (np. TISM) Projekty (np. OWASP)
Ochrona fizyczna
O czym powiedzieliśmy? Czym jest bezpieczeństwo? Jakie są główne zagrożenia i ich źródła? Jak się bronić?
O czym nie powiedzieliśmy?
Dziękuję za uwagę! Tomasz Nowocień nowocien@man man.poznan.plpl http://security security.man.poznan.plpl