Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Ogólne koncepcje bezpieczeństwa

OpublikowałGabrjela Molęda Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Ogólne koncepcje bezpieczeństwa"— Zapis prezentacji:

1 Ogólne koncepcje bezpieczeństwa
Instytut Informatyki, Politechnika Poznańska mgr inż Maciej Miłostan

2 Sferyczność bezpieczeństwa
W rzeczywistym świecie sytem komputerowy nigdy nie będzie absolutnie bezpieczny. Systemy komputerowe istnieją po to by je używać, a nie podziwiać w zamkniętym pokoju z dala od zewnętrznego świata. Mimo, że system komputerowy nigdy nie będzie w 100% bezpieczny, to jednak można czynić starania by uczynić go bezpieczniejszym. Bezpieczeństwo można postrzegać sferycznie.

3 Bezpieczeństwo jest sferyczne, ale ma wyznaczniki
Zagrożenia dla systemu mogą mieć źródło ze wszystkich możliwych stron, a nie tylko tych, ktróre rozważyłeś i przed którymi potrafisz się bronić Myśl o świecie zagrożeń jak o sferze otaczającej cel – atakowany system. Każda nadchodząca groźba składa sie z całego wektora komponentów, który wzrasta przy szerszym spojrzeniu na system, tak jak w kolorowym kole wzrasta liczba gradientów. Myślmy o systemie w centrum naszej kuli jako narażonym na złowrogie intencje, przed którymi chcemy go zabezpieczyć. Przetnijmy kulę w środku i wyznaczmy cztery ortogonalne wektory – tak jak na kompasie zaznaczamy kierunki świata. Tym razem nasze kierunki to cztery główne koncepcje bezpieczeństwa

4 Komponenty sfer bezpieczeństwa
Każda z koncepcji z osobna jest tylko częścią całościowego rozwiązania problemu zarządzania ryzykiem. Koncepcje powiązane razem we właściwych proporcjach umożliwiają stworzenie systemu, który mocno rozprasza większość zagrożeń. Będziemy spoglądać na każdy punkt naszego “kompasu” osobno, ale tak by potrafić pogodzić ze sobą poszczególne elementy “łamigłówki bepieczeństwa”

5 Bezpieczeństwo fizyczne
Bezpieczeństwo fizyczne to wszystko co się tyczy fizycznego rozmieszczenia zasobów. W wielu przypadkach ta “działka” jest ignorowana i niedowartościowana, ale to błąd. Na co zda się szyfrowanie, jeżeli ktoś może “wtoczyć się” raźnym krokiem do serwerowni i przeczytać dane zapisane jawnym tekstem?

6 Elementy bezpieczeństwa fizycznego
Sam komputer (wraz z dołączonym sprzętem – hardware) jako fizycznie istniejąca maszyna. Uwzględniane czynniki obejmują fizyczne położenie i podłączenie maszyny, cały dodatkowy sprzęt potrzebny do uruchamiania programów (np. klucze sprzętowe), czynniki środowiskowe. Plany odtwarzania po awarii – z całą pewnością integralną część zapewniania bezpiecznego działania systemu – powinny mieć odniesienie do rzeczywisych sytuacji.

7 Bepieczeństwo fizyczne = ograniczanie dostępu
Jedną z najprostszych i zarazem najbardziej efektywnych koncepcji bezpieczeństwa fizycznego jest ograniczenie dostępu osób niepowołanych poprzez zastosowanie środków fizycznych takich jak ściany i zakluczane drzwi. Ochrona ruterów i serwerów w zabezpieczonym, zarządzalnym miejscu, a nie chowanie ich w przypadkowej, podręcznej szafie, w której w danym momencie jest wolne miejsce. Zabezpiecz przewody wchodzące i wychodzące z Twojej firmy. Jeżeli łatwym zadaniem jest podłączenie urządzenia podsłuchowego na słabo zabezpieczonym kablu, to dobrze umotywowany przestępca na pewno to zrobi. Rutynowo używaj metalowych osłon na kablach, aby chronić się przed przecinaniem linii.

8 Bezpieczeństwo fizyczne - podsumowanie
Podsumowując, bezpieczeństwo fizyczne dotyczy tych aspektów bezpieczeństwa, które leżą na płaszczyźnie fizycznej. Jeżeli możesz czegoś dotknąć, coś zamknąć, usiąść na czymś, to jest to na pewno fizyczne.

9 Podstawy zabezpieczeń logistycznych
Bezpieczeństwo logistyczne to procedury i polityka instytucji w zakresie bezpieczeństwa. Jeżeli komputer znajduje się w zamkniętym pomieszczeniu, to logistyczne aspekty bezpieczeństwa określają kto dostaje klucz. W pewnym sensie, logistyka to pewne elementy zarządzania w naszym spektrum bezpieczeństwa. W skrócie, bezpieczeństwo logistyczne obejmuje wykorzystanie biznesowe i wsparcie praktyk podnoszących bezpieczeństwo.

10 Logistyka wymusza wsparcie
Losityka “zamyka pętle” w procesie zwiększania bezpieczeństwa. Zawsze powinno być możliwe uzyskanie wsparcia w zakresie praktyk bezpieczeństwa, powinnien istnieć proces przeglądów/rewizji polityk i procedur, tak aby możliwe było zidentyfikowanie niebezpiecznych niedociągnięć. Szczególnie należy zwrócić uwagę na efekt lawinowy zmian i zapętlenia w procesach. Wyniki przeglądów mogą i powinny mieć wpływ na procedury i politykę bezpieczeństwa. Jeżeli sie tak nie dzieje,to proces przeglądu nie jest prawdziwym przeglądem, lecz zwykłym blamażem.

11 Logistyka bezpieczeństwa = zarządzanie bezpiecznymi praktykami
Bezpieczeństwo zależy od prawidłowego wykonywania właściwych procedur. Logistyka bezpieczeństwa powoduje efektywne rozprzestrzenianie tych procedur. Dla przykładu, duża organizacja mieć doskonale pomyślaną politykę bezpieczeństwa i świetnie zdefiniowane procedury postępowania, ale słabo informuje o tych procedurach nowo zatrudnianych pracowników. Dobrze pomyślana logistyka bezpieczeństwa zabezpiecza środki ludzkie do propagacji informacji o procedurach i polityce bezpieczeństwa, oraz ciągłego monitorowania stopnia “uświadomienia” pracowników.

12 Logistyka bezpieczeństwa - podsumowanie
Logistyka bezpieczeństwa zarządza implementacją procedur bezpieczeństwa. Wprowadza przeglądy funkcjonalne całego procesu funkcjonowania firmy. W logisytce bezpieczeństwa “rulon papieru staje na drodze danych”.

13 Bezpieczeństwo danych – wszystko co dotyczy danych
Większość osób myśli, że bezpieczeństwo danych jest równoważne bezpieczeństwu całego systemu. Dzieje się tak dlatego, że to własnie w tej dziedzinie “idzie najwięcej pary w gwizdek” - i dlatego, że większość użytkowników utożsamia bezpieczeństwo z odpornością na atak. Ten obszar sfery bezpieczeństwa jest licznie zamieszkany przez zabawne produkty kryptograficzne (wraz z ich budżetem z reklam) i wszelkiej maści konsultantów. Bezpieczeństwo danych powinno oznaczać zabezpieczanie danych przed uszkodzeniem lub nieautoryzowaną modyfikacją. Bezpieczeństwo danych obejmuje swoim zainteresowaniem również dane, które zostały wysłane do sieci, lub otrzymane z sieci.

14 Zabezpieczanie danych – różnorodne technologie
Techniki szyfrowania/deszyfrowania są tylko częścią mieszanych technik wykorzystywanych do zabezpieczania danych. Proste techologie, takie jak wykorzystywanie zbiorów testowych o znanych wartościach, może być równie ważne w zabezpieczeniu danych jak każda inna techologia Czasem aspekt technologiczny może łączyć nasze “punkty kompasu”. Fizyczny wpływ sieci na dane (np. błędy samej transmisji) jest zwykle problemem sprzętowym (physical security) i problemem warstwy aplikacji (bezpieczeństwo danych). Rozwiązanie takiego problemu trzeba zatem adresować z obu punktów widzenia.

15 Bezpieczeństwo danych a oprogramowanie
Oprogramowanie, które bezpośrednio “dotyka” danych wpływa na ich bezpieczeństwo, jak już sobie powiedzieliśmy. Obowiązkiem analityka jest weryfikacja funkcjonowania każdego komponentu oprogamowania z osobna i łącznie w systemie. Komponenty działające dobrze z osobna, mogą zawieść w zagregowanym systemie. Bazy danych, dla przykładu, mogą powodować nie oczywiste błędy w systemach. Jeżeli baza danych przekaże w wyniku zapytania niewłaściwą liczbę, to wówczas oczywiste jest, że oprogramowanie korzystające z tej liczby wygeneruje uszkodzone lub absurdalne wyniki. Powiedzmy teraz, że dwa zapytania próbują otrzymać w tym samym czasie dostęp do tych samych danych. System zarządzania bazą danych musi działać jak policjant sterujący ruchem, lub się “zakleszczyć” w scenariuszu, w którym zapytania blokują się na wzajem, blokując również dostęp do danych. Błąd w dostępie do danych jest tak samo ważnym problemem bezpieczeństwa danych jak każdy inny.

16 Bezpieczeństwo danych podsumowanie
Celem bezpieczeństwa danych jest zachowywanie prawdziwych wartości danych w trakcie ich przepływu przez system, w trakcie ich przetwarzania i modyfikowania. Zabezpieczanie danych związane jest z całym szeregiem technologii, które swoim zasięgiem obejmują cały system od początku do końca, ale z punktu widzenia procesu przetwarzania danych (z punktu widzenia, który agreguje tylko informacje mające wpływ na rewidowany proces). Jeżeli chcesz, żeby serwer przesłał dane przez sieć, to nie musisz wiedzieć jaki konkretnie program wykorzystuje serwer pod warunkiem, że obsługuje on Twoje dane transparentnie. Bezpieczeństwo danych skupia się na danych i tylko na danych.

17 Bezpieczeństwo techniczne
Bezpieczeństwo techniczne obejmuje swoim zakresem techniczne szczegóły zabezpieczanego systemu, w pewnym sensie zbierając wszystkie aspekty bezpieczeństwa w jedną całość. Wracając do przykładu z serwerem, bezpieczeństwo techniczne obejmuje ewaluacje systemu operacyjnego serwera (systemu) pod kątem odporności na atak i jego funkcjonalności. Jak już wspomniano, większość użytkowników ma na myśli “odporność na atak” kiedy mówi “bezpieczeństwo”. Bezpieczeństwo techniczne obejmuje specyficzne detale biorące udział w obronie przed atakami. Kiedy wirus atakuje, metody techniczne odgrywają rolę systemu immunologicznego środowiska danych, chroniącego dane przed nie pożądaną infekcją.

18 Techniki bezpieczeństwa = obrona
Powiedzmy, że zagrożenie, takie jak wirus, wdarło się do zabezpieczonego systemu. Zespół odpowiedzialny za bezpieczeńśtwo techniczne przystępuje wówczas do pracy: Analizuje wektory zagrożenia, wektory ataków – kierunki, z których zagrożenie się pojawiło (kombinacje luk w oprogramowaniu [vulnerabilities]); Określenie negatywnych efektów (zniszczeń) ataku na działanie systemu; Stworzenie strategii obrony i naprawy; Powiadamia użytkownikach o strategiach obrony (i monituruje reakcje użytkowników) pełniąc rolę zaufanego autorytetu; Opiniuje implementacje zmian niezbędnych w procedurach i przekazuje te informacje do struktur kontrolujących właściwy “punkt kompasu” Wprowadza, postfactum, wszelkie konieczne aktualizacje, znowu czyniąc to w zakresie swoich obowiązków, występując jako zaufana strona.

19 Bezpieczeństwo techniczne – organizowanie, interpretowanie i zbieranie indywidualnych detali
Aby wypełnić swoje obowiązki, zespół bezpieczeństwa (technicznego) musi zarządzać “górą” detali i na dodatek być z nimi na bieżąco. Większość będzie prawdopodobnie związana z zalecanymi przez producenta aktualizacjami (patch) zainstalowanego oprogramowania (software). Zespół bezpieczeństwa technicznego jest odpowiedzialny za proaktywne, rutynowe powiadamianie użytkowników o sposobach zabezpieczania ich komputerów, o regularnych aktualizacjach oprogramowania antywirusowego. Na zasadzie: “Dmuchaj na zimne”.

20 Bezpieczeństwo techniczne - podsumowanie
Utrzymywanie i zapewnianie odporności systemu na ataki jest domeną bezpieczeństwa technicznego. Ten dział bezpieczeństwa nazywa się technicznym ze względu na naturę informacji, która jest wykorzystywana w zabezpieczeniach systemów. Techniki zabezpieczeń mogą być postrzegane jako dynamicznie zmieniający się filtr, który utrzymuje zanieczyszczenia z dala od systemu i wychwytuje je zanim zdążą sięgnąć celu. Techniczne zabezpieczenia i zespół bezpieczeństwa technicznego są pierwszą linią obrony przed zagrożeniami. Jak policjant na posterunku – zachowują porządek i chronią.

21 Podsumowanie Bezpieczeństwo jest jak gra, w której możesz zostać trafiony ze wszystkich stron, ale w grze zostajesz tylko wtedy, kiedy nie dasz się trafić. Klasyfikacja rodzajów bezpieczeństwa, jakakolwiek by ona nie była, jest użyteczna tylko wówczas, kiedy pozwala nam lepiej planować i odpowiadać na problemy. Nie ma znaczenia na co był kładziony największy nacisk, czy na bezpieczeństwo danych, czy też na bezpieczeństwo fizyczne, techniczne, logistyczne jeżeli te wysiłki nie zwiększyły zdolności systemu do samodzielnej obrony. System nigdy nie jest bezpieczny, a zabezpieczenia nie powinny być statyczne, powinny się dopasowywać do aktualnych warunków. Warunki powinny wywoływać określone zmiany w systemie.

Pobierz ppt "Ogólne koncepcje bezpieczeństwa"

Podobne prezentacje

Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Analiza ryzyka projektu

Analiza ryzyka projektu
Badania operacyjne. Wykład 1

Badania operacyjne. Wykład 1
BEZPIECZEŃSTWO DANYCH W KOMPUTERZE

BEZPIECZEŃSTWO DANYCH W KOMPUTERZE
Sieci komputerowe.

Sieci komputerowe.
Użytkowanie Sieci Marcin KORZEB WSTI - Użytkowanie Sieci.

Użytkowanie Sieci Marcin KORZEB WSTI - Użytkowanie Sieci.
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.

1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Administracja zintegrowanych systemów zarządzania

Administracja zintegrowanych systemów zarządzania
Jakość systemów informacyjnych (aspekt eksploatacyjny)

Jakość systemów informacyjnych (aspekt eksploatacyjny)
Wzorce projektowe w J2EE

Wzorce projektowe w J2EE
Artur Szmigiel Paweł Zarębski Kl. III i

Artur Szmigiel Paweł Zarębski Kl. III i
1 Podstawy informatyki H. P. Janecki- 2006_2007 30.11.2006 Systemy Operacyjne W6.

1 Podstawy informatyki H. P. Janecki- 2006_ Systemy Operacyjne W6.
w nauczaniu zintegrowanym

w nauczaniu zintegrowanym
Jak bezpiecznie korzystać

Jak bezpiecznie korzystać
Jakość i niezawodność systemu informacyjnego

Jakość i niezawodność systemu informacyjnego
Wirusy Komputerowe.

Wirusy Komputerowe.
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.

SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Rozwój aplikacji przy wykorzystaniu ASP.NET

Rozwój aplikacji przy wykorzystaniu ASP.NET
Protokół Komunikacyjny

Protokół Komunikacyjny
Technologia informacyjna

Technologia informacyjna

Podobne prezentacje

Reklamy Google