Bezpieczeństwo danych i systemów informatycznych. Wykład 2

Podobne dokumenty
2. Podstawowe definicje i problemy

Ochrona danych i bezpieczeństwo informacji

Technologia informacyjna

Bezpieczeństwo systemów komputerowych

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

WSIZ Copernicus we Wrocławiu

Ochrona danych i bezpieczeństwo informacji

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Kontrola dostępu. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Przewodnik technologii ActivCard

Praca w sieci z serwerem

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

SMB protokół udostępniania plików i drukarek

Metody zabezpieczania transmisji w sieci Ethernet

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Audytowane obszary IT

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

RODO a programy Matsol

Sieci komputerowe i bazy danych

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

POLITYKA E-BEZPIECZEŃSTWA

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Sieciowa instalacja Sekafi 3 SQL

11. Autoryzacja użytkowników

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

WorkshopIT Komputer narzędziem w rękach prawnika

Program szkolenia: Bezpieczny kod - podstawy

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Określanie uprawnień. Rozważmy to na przykładzie: Użytkownik Tomek należy do grupy Sekretariat oraz Biuro

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Projektowani Systemów Inf.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W NAZWA FIRMY

Zasady bezpiecznego korzystania z bankowości elektronicznej

Zapewnienie dostępu do Chmury

Systemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Praca w sieci równorzędnej

Analiza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Przykładowa lista zagroŝeń dla systemu informatycznego

Przewodnik technologii ActivCard

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Zadanie 1 Treść zadania:

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

Polityka Bezpieczeństwa ochrony danych osobowych

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

Konfiguracja i uruchomienie usługi Filtry adresów IP dla użytkowników Centrum Usług Internetowych dla Klientów Banku Spółdzielczego w Łęcznej.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

SSL (Secure Socket Layer)

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

1 Ochrona Danych Osobowych

Konfigurowanie Windows 8

Projektowanie bezpieczeństwa sieci i serwerów

- dyrektor firmy wezwał serwis w celu zdiagnozowania i usunięcia usterek gdyż zauważono nieprawidłowości w działaniu systemu komputerowego,

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Zał. nr 2 do Zarządzenia nr 48/2010 r.

PROGRAM PRAKTYKI ZAWODOWEJ. Technikum Zawód: technik informatyk

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Transkrypt:

Bezpieczeństwo danych i systemów informatycznych Wykład 2

ATAKI - PODSTAWY 2

Klasy ataków (pasywne / aktywne) pasywne - atakujący ma dostęp do danych (komunikacji) w systemie, mogąc je odczytać, lecz ich nie modyfikuje - przykład: podsłuch komunikacji. 3

Klasy ataków (pasywne / aktywne) aktywne - atakujący pośredniczy w przetwarzaniu danych (komunikacji) w systemie, mogąc je nie tylko odczytać, lecz również sfałszować czy spreparować. 4

Klasy ataków (lokalne / zdalne) Kryterium: źródło rozpoczęcia ataku lokalny - atakujący już ma dostęp do systemu (konto) i próbuje zwiększyć swe uprawnienia zdalny - atakujący nie posiada jeszcze żadnych uprawnień w systemie atakowanym 5

Formy ataku elektronicznego (1/2) 1. podszywanie (ang. masquerading) - atakujący (osoba, program) udaje inny podmiot, w domyśle zaufany systemowi atakowanemu, np. fałszywy serwer www podszywa się pod znaną witrynę internetową 2. podsłuch (ang. eavesdropping) - pozyskanie danych składowanych, przetwarzanych lub transmitowanych w systemie - typowy przykład: przechwycenie niezabezpieczonego hasła klienta przesyłanego do serwera 3. odtwarzanie (ang. replaying) - użycie ponowne przechwyconych wcześniej danych, np. hasła 6

Formy ataku elektronicznego (2/2) 4. manipulacja (ang. tampering) - modyfikacja danych w celu zrekonfigurowania systemu lub wprowadzenia go do stanu, z którego atakujący może osiągnąć bezpośrednio lub pośrednio korzyść (np. zastosować skuteczny atak gotowym narzędziem) 5. wykorzystanie luk w systemie (ang. exploiting) - posłużenie się wiedzą o znanej luce, błędzie w systemie lub gotowym narzędziem do wyeksploatowania takiej luki - bardzo częste w przypadku ataków zdalnych 7

Podstawowe fazy ataku Zwykle występują następujące fazy: 1. skanowanie (wyszukanie słabości, np. sondowanie usług) 2. wyznaczenie celu (np. niezabezpieczona usługa, znany exploit) 3. atak na system 4. modyfikacje systemu umożliwiające późniejszy powrót 5. usuwanie śladów 6. propagacja ataku 8

ELEMENTARNA OCHRONA KOMPONENTÓW SYSTEMU 9

Elementarna ochrona komponentów systemu 1. Elementarna ochrona stacji roboczej 2. Elementarna ochrona sieci lokalnej 3. Elementarna ochrona usług sieciowych 10

1. Elementarna ochrona stacji roboczej (stanowisk komputerowych) uniemożliwienie startowania systemu z nośników wymiennych ograniczenie wykorzystania przestrzeni lokalnych dysków twardych ograniczenie stosowania nośników wymiennych (stacji dyskietek, nagrywarek) rejestracja prób dostępu do systemu i ich limitowanie (kontrola, kto i kiedy korzystał z systemu) bezpieczne kasowanie poufnych danych uniemożliwienie usunięcia / wyłączenia zabezpieczeń, np. antywirusowych konsekwentna polityka haseł użytkowników 11

2. Elementarna ochrona sieci lokalnej dobór medium i topologii gwiazdy fizyczna ochrona pomieszczeń z węzłami sieci i serwerami zdefiniowanie listy stanowisk, z których dany użytkownik może uzyskać dostęp do systemu (adresy MAC lub IP) usuwanie nieużywanych kont użytkowników 12

3. Elementarna ochrona usług sieciowych Sekwencja następujących operacji: 1. usunięcie z systemu wszystkich usług zbędnych, najlepiej poprzez całkowite odinstalowanie, a co najmniej - dezaktywację 2. zastąpienie usług niezbędnych odpowiednikami o podwyższonym bezpieczeństwie (jeśli to możliwe i takie odpowiedniki są dostępne) 3. kontrola dostępu do pozostałych usług (np. poprzez zapory sieciowe firewall) 13

OGÓLNE REGUŁY REALIZACJI ZABEZPIECZEŃ 14

Dlaczego zabezpieczanie jest trudne? Asymetria - aby skutecznie zabezpieczyć system należy usunąć wszystkie słabości, aby skutecznie zaatakować - wystarczy znaleźć jedną. Kontekst otoczenia systemu - bezpieczeństwo powinno być rozważane w kontekście całego otoczenia, w którym on się znajduje (a nie wyizolowanego systemu informatycznego). Zarządzanie i pielęgnacja - zabezpieczenie systemu nie jest pojedynczą operacją, ale ciągłym procesem. 15

Ogólne reguły realizacji zabezpieczeń 1. zasada naturalnego styku z użytkownikiem 2. zasada spójności poziomej i pionowej 3. zasada minimalnego przywileju 4. zasada domyślnej odmowy dostępu 16

1. Zasada naturalnego styku z użytkownikiem Zabezpieczenie nie możne być postrzegane przez użytkowników jako nienaturalny element systemu, stanowiący utrudnienie w ich pracy (bo wypracują oni sposób jego permanentnego obejścia). 17

2. Zasada spójności poziomej i pionowej Spójność pozioma wymaga aby wszystkie komponenty w danej warstwie systemu (np. protokoły komunikacyjne danej warstwy modelu OSI), zostały zabezpieczone na jednakowym poziomie. Spójność pionowa mówi o konieczności zastosowania kompletnych zabezpieczeń w pionie" - jak kraty w oknach na parterze, to i na pierwszym piętrze. 18

3. Zasada minimalnego przywileju Użytkownikom należy udzielać uprawnień w sposób zgodny z polityką bezpieczeństwa - tylko i wyłącznie takich, które są niezbędne do zrealizowania ich pracy. Zmianie zakresu obowiązków użytkownika powinna towarzyszyć zmiana zakresu uprawnień. 19

4. Zasada domyślnej odmowy dostępu Jeśli na podstawie zdefiniowanych reguł postępowania mechanizmy obrony nie potrafią jawnie rozstrzygnąć, jaką decyzję podjąć wobec analizowanych operacji (np. nadchodzącego pakietu protokołu komunikacyjnego), to decyzją ostateczną powinna być odmowa dostępu (odrzucenie pakietu) 20

ELEMENTARNE POJĘCIA (BEZPIECZEŃSTWA DANYCH I SYSTEMÓW) 21

Elementarne pojęcia (1/2) 1. Identyfikacja (ang. identification) - możliwość rozróżnienia użytkowników, np. użytkownicy są identyfikowani w systemie operacyjnym za pomocą UID (user identifier) 2. Uwierzytelnianie (ang. Authentication) - proces weryfikacji tożsamości użytkownika; najczęściej opiera się na: tym co użytkownik wie (proof by knowledge), np. zna hasło tym co użytkownik ma (proof by possession), np. identyfikator biometrii 3. Autoryzacja (ang. authorization) - proces przydzielania praw (dostępu do zasobów) użytkownikowi 4. Kontrola dostępu (ang. access control) -procedura nadzorowania przestrzegania praw (dostępu do zasobów) 22

Elementarne pojęcia (2/2) 4. Poufność (ang. confidentiality) - ochrona informacji przed nieautoryzowanym jej ujawnieniem 5. Nienaruszalność (integralność; ang. data integrity) - ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem (ew. detekcja takiej modyfikacji) 6. Autentyczność (ang. authenticity) - pewność co do pochodzenia (autorstwa i treści) danych 7. Niezaprzeczalność (ang. nonrepudiation) - ochrona przed fałszywym zaprzeczeniem przez nadawcę - faktu wysłania danych przez odbiorcę - faktu otrzymania danych 23

1. Autoryzacja Kolejne związane z tym pojęcia: Zasób (obiekt) - jest jednostką, do której dostęp podlega kontroli; przykłady: programy, pliki, relacje bazy danych, czy całe bazy danych, krotki bazy danych Podmiot - ma dostęp do zasobu; przykłady: użytkownik, grupa użytkowników, terminal, komputer, aplikacja, proces Prawa dostępu - określają dopuszczalne sposoby wykorzystania zasobu przez podmiot 24

1. Autoryzacja. Filozofie przydziału uprawnień Cztery możliwe filozofie: 1. Wszystko jest dozwolone. 2. Wszystko, co nie jest jawnie zabronione, jest dozwolone. 3. Wszystko, co nie jest jawnie dozwolone, jest zabronione. 4. Wszystko jest zabronione. 25

2. Kontrola dostępu do danych Dwie ogólne metody kontroli dostępu do danych: uznaniową (DAC) i ścisłą(mac) Istnieją też ich warianty - np. kontrola oparta o role (RBAC) powszechnie spotykana np. systemach baz danych. 26

Uznaniowa kontrola dostępu (Discretionary Access Control) właściciel zasobu może decydować o jego atrybutach i uprawnieniach innych użytkowników systemu względem tego zasobu DAC oferuje użytkownikom dużą elastyczność i swobodę współdzielenia zasobów powszechnym zagrożeniem jest niefrasobliwość przydziału uprawnień (np. wynikająca z nieświadomości lub zaniedbań) i niewystarczająca ochrona zasobów najczęściej uprawnienia obejmują operacje odczytu i zapisu danych oraz uruchomienia programu (rwx) 27

Ścisła kontrola dostępu (Mandatory Access Control) precyzyjne reguły dostępu automatycznie wymuszają uprawnienia nawet właściciel zasobu nie może w pełni dysponować prawami dostępu MAC pozwala narzucić silną politykę bezpieczeństwa i konsekwentnie ją stosować do całości zasobów 28

MAC (1/4) Wprowadzone tzw. etykiety poziomu zaufania (sensitivity labels) przydzielane w zależności np. od stopnia poufności. Np. ogólnie dostępne < do użytku wewn. < tylko dyrekcja < tylko zarząd czy w innego typu instytucji: jawne < poufne < tajne < ściśle tajne Oprócz poziomu zaufania, każdy zasób posiada kategorię przynależności danych. Kategorie te nie są hierarchiczne i reprezentują jedynie rodzaj wykorzystania danych, np.: FINANSOWE, OSOBOWE, KRYPTO, MILITARNE 29

MAC (2/4) W celu określenia uprawnień konstruowane są tzw. etykiety ochrony danych. Składają się one z : poziomu zaufania i kategorii informacji, np. (tajne, {KRYPTO}) (ściśle tajne, {KRYPTO,MILITARNE}) Na zbiorze etykiet ochrony danych określona jest relacja wrażliwości: (ściśle tajne, {KRYPTO,MILITARNE}) -> (tajne, {KRYPTO}) Jest to relacja częściowego porządku, nie wszystkie etykiety do niej należą. 30

MAC (3/4) Przykładowo może nie być określona relacja pomiędzy etykietą: (ściśle tajne, {KRYPTO,MILITARNE}) a etykietą: (tajne, {FINANSOWE,KRYPTO}) 31

MAC (4/4) Wobec podmiotów i zasobów w systemie MAC narzucone są niezmienne reguły, które wymusza system. MAC 1:Użytkownik może uruchomić tylko taki proces, który posiada etykietę nie wyższą od aktualnej etykiety użytkownika. MAC 2:Proces może czytać dane o etykiecie nie wyższej niż aktualna etykieta procesu. MAC 3:Proces może zapisać dane o etykiecie nie niższej niż aktualna etykieta procesu. 32

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres