Bezpieczeństwo systemów komputerowych

Podobne dokumenty
Bezpieczeństwo danych i systemów informatycznych. Wykład 3

2. Podstawowe definicje i problemy

Bezpieczeństwo systemów komputerowych

Zdrowe podejście do informacji

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Walidacja systemu ewms / cwms. Sopot

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Szczegółowy opis przedmiotu zamówienia

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Elektroniczna Legitymacja Studencka jako narzędzie wielofunkcyjne Oberthur Technologies

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Szczegółowy opis przedmiotu zamówienia:

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Plan testów do Internetowego Serwisu Oferowania i Wyszukiwania Usług Transportowych

OPIS OBSZARU OBJTEGO PROJEKTEM ZRESMP

Struktury systemów operacyjnych

Overlord - Plan testów

WSIZ Copernicus we Wrocławiu

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Współczesna problematyka klasyfikacji Informatyki

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Program szkolenia: Bezpieczny kod - podstawy

Plan Testów Systemu SOS

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

Tworzenie i obsługa wirtualnego laboratorium komputerowego

KOMPUTER. Programy użytkowe i systemy operacyjne

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

SYSTEM WSMS ZARZĄDZANIE STANDARDEM STACJI ROBOCZYCH. tel: +48 (032)

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

Tom 6 Opis oprogramowania Część 8 Narzędzie do kontroli danych elementarnych, danych wynikowych oraz kontroli obmiaru do celów fakturowania

Wybrane wymagania dla informatyki w gimnazjum i liceum z podstawy programowej

Systemy operacyjne III

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

REQB POZIOM PODSTAWOWY PRZYKŁADOWY EGZAMIN

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Standard ISO 9001:2015

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

CSA STAR czy można ufać dostawcy

Podstawy komunikacji sieciowej

Opis efektów kształcenia dla modułu zajęć

Tematy dyplomów inżynierskich 2009 Katedra Inżynierii Oprogramowania

7. zainstalowane oprogramowanie zarządzane stacje robocze

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

EAL4+ bezpieczeństwo z SUSE Linux Enterprise Server. Dariusz Leonarski Novell Polska dleonarski@novell.pl

Wykład I. Wprowadzenie do baz danych

INŻYNIERIA OPROGRAMOWANIA

E-DOWÓD FUNKCJE I KONSTRUKCJA. Maciej Marciniak

Programy antywirusowe dostępne bez opłat

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

BADANIA SYSTEMÓW STEROWANIA RUCHEM KOLEJOWYM W PROCESIE ICH CERTYFIKACJI

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Projekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie

Załącznik nr 1. Specyfikacja techniczna portalu internetowego Łódź, r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Zarządzanie konfiguracją produktu w całym cyklu Ŝycia. Aleksandra Grzywak-Gawryś Warsztaty Rola IRIS w branŝy kolejowej

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

WYJAŚNIENIA I MODYFIKACJA SIWZ. W związku z wpłynięciem zapytań do SIWZ dotyczących w/w postępowania, Zamawiający udziela następujących odpowiedzi:

SPECYFIKACJA WYMAGAŃ

1. Wprowadzenie Środowisko multimedialnych sieci IP Schemat H

KARTA MODUŁU KSZTAŁCENIA

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Formułowanie wymagań dotyczących wyposażenia bezpieczeństwa wykorzystującego technikę RFID

Bazy danych 2. Wykład 1

Uwagi do projektów rozporządzeń związanych z platformą epuap

DLA SEKTORA INFORMATYCZNEGO W POLSCE

UNIX: architektura i implementacja mechanizmów bezpieczeństwa. Wojciech A. Koszek dunstan@freebsd.czest.pl Krajowy Fundusz na Rzecz Dzieci

Kierunek: Informatyka rev rev jrn Niestacjonarny 1 / 5

Tom 6 Opis oprogramowania

Kierunek: Informatyka rev rev jrn Stacjonarny 1 / 6

Virtual Grid Resource Management System with Virtualization Technology

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Opis przedmiotu zamówienia/specyfikacja techniczna

Kompleksowe Przygotowanie do Egzaminu CISMP

Wprowadzenie do systemów operacyjnych

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Tivoli Endpoint Manager jak sprawnie zarządzać systemami

Zastosowania PKI dla wirtualnych sieci prywatnych

Specyfikacja wymagań systemowych (może podlegać edytowaniu na kolejnych etapach)

Opis zmian w wersji Oprogramowania do Obsługi SR/FA/SW/ST/DM

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Praca dyplomowa. Program do monitorowania i diagnostyki działania sieci CAN. Temat pracy: Temat Gdańsk Autor: Łukasz Olejarz

Metodyka projektowania komputerowych systemów sterowania

e-government & Smart Identity JACK GIJRATH Manger Business Development Philips Semiconductors, BU - Identification

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Wirtualizacja. Piotr Sikora Tomasz Ziółkowski

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Charakterystyka sieci klient-serwer i sieci równorzędnej

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

Transkrypt:

Bezpieczeństwo systemów komputerowych Ogólne własności bezpieczeństwa informacji Marcin Peczarski Instytut Informatyki Uniwersytetu Warszawskiego 25 października 2016 Na podstawie materiałów Michała Szychowiaka z http://wazniak.mimuw.edu.pl

Klasy bezpieczeństwa systemów komputerowych Trusted Computer System Evaluation Criteria (TCSEC Orange Book): standard opracowany w USA; pierwszy powszechny taki standard w skali światowej; obowiązywał w latach 1985 2000; stał się podstawą opracowania podobnych norm w Europie i na świecie; bardzo często nawet współcześnie znajduje się odwołania do certyfikatów tego standardu. Information Technology Security Evaluation Criteria (ITSEC): standard opracowany przez Unię Europejską; obowiązywał w latach 1991 1997; powstał głównie na podstawie angielskiego CESG2/DTIEC, francuskiego SCSSI i niemieckiego ZSIEC.

Klasy bezpieczeństwa systemów komputerowych, cd. Common Criteria Assurance Levels (EAL): aktualnie obowiązujący standard; będący w istocie złączeniem ITSEC, TCSEC oraz kanadyjskiego CTCPEC; od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation (CCITSE); http://www.commoncriteria.org; od 1999 roku zaakceptowany jako międzynarodowa norma ISO 15408. Uzyskanie certyfikatu przynależności do klasy bezpieczeństwa jest operacją formalną i odpłatną.

Klasy TCSEC D: minimalna ochrona (właściwie jej brak); systemy poddane ocenie, ale nie spełniające wymagań wyższych klas. C1: identyfikacja i uwierzytelnianie użytkowników; użytkownicy i zasoby posiadają unikalne identyfikatory; ochrona za pomocą haseł; kontrola dostępu na poziomie: właściciel, grupa, pozostali użytkownicy; ochrona systemowych obszarów pamięci. C2: możliwość rozróżniania pojedynczych użytkowników; automatyczne czyszczenie przydzielanych obszarów pamięci; wymagana możliwość rejestracji dostępu do zasobu (ang. audit).

Klasy TCSEC B1: etykietowane poziomy ochrony. B2: precyzyjnie zdefiniowany i udokumentowany model bezpieczeństwa; ochrona strukturalna jądro ochrony; weryfikacja autentyczności danych i procesów; informowanie użytkownika o dokonywanej przez jego proces zmianie poziomu ochrony; wykrywanie zamaskowanych kanałów komunikacyjnych; ścisła rejestracja operacji. B3: kontrola wszystkich przeprowadzanych przez użytkownika operacji; domeny ochronne; aktywna kontrola pracy systemu (ang. security triggers); bezpieczne przeładowanie systemu.

Klasy TCSEC A1: formalny opis systemu umożliwiający przeprowadzenie analizy poprawności implementacji; formalne procedury analizy i weryfikacji projektu i implementacji systemu.

Poziomy pewności EAL EAL0: brak pewności. EAL1: produkt testowany funkcjonalnie; analiza bezpieczeństwa wykorzystująca specyfikację funkcji i interfejsu w celu zrozumienia zachowania systemu; niezależne testowanie funkcji bezpieczeństwa. EAL2: produkt testowany strukturalnie; analiza bezpieczeństwa wykorzystująca wysokopoziomowy opis projektu podsystemów; dowody testowania przez producenta i wyszukiwania oczywistych słabych punktów.

Poziomy pewności EAL EAL3: produkt testowany metodycznie i sprawdzany; analiza bezpieczeństwa wykorzystująca metodę szarej skrzynki, tj. selektywne niezależne potwierdzanie wyników testów producenta; wymagania związane ze środowiskiem produkcji i zarządzaniem konfiguracją. EAL4: produkt metodycznie projektowany, testowany i sprawdzany; analiza bezpieczeństwa wykorzystująca niskopoziomowy projekt modułów systemu; niezależne wyszukiwanie luk w systemie; model życia, automatyczne zarządzanie konfiguracją.

Poziomy pewności EAL EAL5: produkt projektowany półformalnie i testowany; pełna analiza implementacji; pewność na podstawie modelu formalnego i półformalnej prezentacji specyfikacji funkcjonalnej i wysokopoziomowego opisu; poszukiwanie luk musi wykazać względną odporność na atak penetracyjny; analiza ukrytych kanałów; modularność projektu. EAL6: produkt z projektem półformalnie weryfikowanym i testowany; projektowanie modularne, warstwowe; poszukiwanie luk musi wykazać wysoką odporność na atak penetracyjny; systematyczna analiza ukrytych kanałów; zaostrzone rygory środowiska produkcji i zarządzania konfiguracją.

Poziomy pewności EAL EAL7: produkt z projektem formalnie weryfikowanym i testowany; formalne podejście do specyfikowania, projektowania i dokumentowania systemu; kompletne niezależne testowanie i weryfikacja testów producenta; minimalizacja złożoności projektu.

Kompatybilność standardów bezpieczeństwa TCSEC ITCES CCITSE D E0 EAL0 EAL1 C1 E1, F-C1 EAL2 C2 E2, F-C2 EAL3 B1 E3, F-B1 EAL4 B2 E4, F-B2 EAL5 B3 E5, F-B3 EAL6 A1 E6, F-B3 EAL7

Przynależność popularnych systemów do klas bezpieczeństwa Klasa D EAL0 C1 EAL2 C2 EAL3 B1 EAL4 System Windows 9x Unix Linux NetWare Solaris AIX Windows NT Trusted Solaris Trusted IRIX HP-UX Ultrix SuSE Linux (EAL4+) Windows 2000 Prof. SP3

Przynależność popularnych systemów do klas bezpieczeństwa, cd. Klasa B2 EAL5 System otwarta platforma kart typu smart firmy Morpho o nazwie IDeal Citiz v2.1 open platform na M7892 B11 biblioteka kryptograficzna V1.0 na P60D024/016/012MVB(Y/Z/A)/yVF firmy NXP Semiconductors Germany GmbH, Business Unit Security and Connectivity

Przynależność popularnych systemów do klas bezpieczeństwa, cd. Klasa B3 EAL6 A1 EAL7 System S3FT9MF/S3FT9MT/S3FT9MS 16-bitowy Microcontroller RISC dla kart typu smart z opcjonalną biblioteką Secure/CM1 RSA oraz biblioteką ECC Library wraz ze specyficznym oprogramowaniem, firma Samsung Electronics Co., Ltd. sterownik karty smart produkcji NXP o numerze P60x144/080yVA/yVA(Y/B/X)/yVE wraz ze specyficznym oprogramowaniem, firma NXP Semiconductors Germany GmbH Business Line Identification Virtual Machine of Multos M3 G230M mask with AMD 113v4, Multos international / Trusted Labs Memory Management Unit des microcontrôleurs SAM- SUNG S3FT9KF/ S3FT9KT/ S3FT9KS en révision 1, Samsung Electronics Co., Ltd. / Trusted Labs

Koszta czasowe i pieniężne ewaluacji Dane z raportu Government Accountability Office w USA, który podsumowywał koszta czasowe i pieniężne ocen wg poziomów od EAL2 do EAL4.

Co jest m.in. sprawdzane przy przyznawaniu klasy bezpieczeństwa EAL1? 1. Wykonywana jest analiza ukrytych kanałów informacji. 2. Testowana jest funkcjonalność. 3. Sprawdzana jest obecność i realizacja modelu życia aplikacji. 4. Poszukiwanie luk musi wykazać wysoką odporność na atak penetracyjny.

Trzy podstawowe własności bezpieczeństwa informacji Confidentiality poufność Integrity integralność, nienaruszalność Availability dostępność, dyspozycyjność

Inny zestaw własności bezpieczeństwa informacji Confidentiality poufność Possesion własność, posiadanie Integrity integralność, nienaruszalność Authenticity autentyczność, oryginalność Availability dostępność, dyspozycyjność Utility użyteczność, przydatność

Zagrożenia poufności informacji Nieuprawniony dostęp do danych w miejscu składowania, np. w bazie danych Nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika Podsłuchanie danych przesyłanych w sieci Analiza fal elektromagnetycznych emitowanych przez urządzenia elektroniczne Analiza poboru prądu przez układy elektroniczne

Mechanizmy ochrony poufności informacji Uwierzytelnianie Autoryzacja i kontrola dostępu do zasobów Utrudnianie podsłuchu

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres