Informatika | Informatikai biztonság » Tóth Balázs - Információbiztonság

Adatlap

Év, oldalszám:2010, 38 oldal
Nyelv:magyar
Letöltések száma:86
Feltöltve:2016. november 12
Méret:1 MB
Intézmény:Kancellár

Csatolmány:-

Letöltés PDF-ben:Kérlek jelentkezz be!


Értékelések

Ezt a doksit egyelőre még senki sem értékelte. Legyél Te az első!


Új értékelés

Tartalmi kivonat

Információbiztonság Tóth Balázs, CISSP Információbiztonsági tanácsadó Mirıl lesz szó   Az információbiztonság alapjai Biztonságtudatosság Az információbiztonság alapjai Az információbiztonság alapjai   A hiánya tőnik fel elsısorban Példaként az Index ma délutáni címlapja: Mit védünk?   Az alapvetı kérdés az, hogy mit kell védenünk:  A hálózatot?  A számítógépet?  Az embereket?  Az adatokat? A védelem tárgya mindig az INFORMÁCIÓ! Az információ biztonsági tulajdonságai     Az információnak alapvetıen három biztonsági attribútumával foglalkozunk Ezek együttesen alkotják az információ védelmi állapotát A három tulajdonság a következı:  Bizalmasság – Confidentiality  Sértetlenség – Integrity  Rendelkezésre állás – Availability Ezt szoktuk CIA követelménynek nevezni Bizalmasság     Bizalmasság: az adott információt csak az ismerheti meg, akinek

erre felhatalmazása van Legkézenfekvıbb megvalósítása a titkosítás Példa: matekdolgozat; rossz jegy Példák a bizalmasság sérülésére:  1989: az érettségi tételek kiszivárogtak (oka: helytelen adatkezelés) Bizalmasság  Példák a bizalmasság sérülésére:  2010 március 25: az iWiW-en más felhasználók üzeneteit is el lehetett olvasni (oka: programhiba) Bizalmasság  Példák a bizalmasság sérülésére:  2007 június 5: bizalmas képek kikerülése (ok: felelıtlen adatkezelés) Bizalmasság  Példák a bizalmasság sérülésére:  2009 február 8: az ügyfélkapun keresztül mások adatait is lehetett látni (ok: hibás verzióváltás) Sértetlenség    Az információ úgy értékes, ha az eredeti formájában adódik át Példa: szódolgozat; banki egyenleg Tipikus alkalmazása pl. a CRC kódolás vagy a lenyomatképzés, illetve archiválás és mentés Sértetlenség  Példák a sértetlenség sérülésre:  2010

március 18: egy kereskedelmi cég honlapjára kártékony kód került (ok: illetéktelen behatolás FTP-n keresztül) Sértetlenség  Példák a sértetlenség sérülésre:  2010 február 5: az érettségi nyilvántartó rendszerbıl eltőntek adatok (programhiba) Rendelkezésre állás    Az információ úgy ér valamit, ha bizonyos peremfeltételek mellett igénybe lehet venni Példa: érettségi feladatsor; banki adatok Tipikus alkalmazása pl. a szünetmentes tápok vagy a RAID használat Rendelkezésre állás  Példák a rendelkezésre állás sérülésre:  Folyamatosan: túlterheléses (DDoS) támadások cégek ellen, hivatalok ellen, országok ellen (!) Rendelkezésre állás  Példák a rendelkezésre állás sérülésre:  2008 február 25: leáll a banki elszámoló rendszer (ok: kábellopás) Rendelkezésre állás  Példák a rendelkezésre állás sérülésre:  2010 április 9: az Internet 10 %-a rövid idıre leáll (ok: emberi

hiba) Mi az információbiztonság?   Az információbiztonság az a folyamat, melynek során az információkat megvédjük a nem engedélyezett hozzáféréstıl, használattól, kiszivárgástól, megsemmisítéstıl, módosítástól és megzavarástól. Nem szabad összekeverni az informatikai biztonsággal, az adatbiztonsággal, a biztonságtechnikával. Ezek mind részhalmazai az információbiztonságnak. Az információbiztonság fı területei          Kockázatmenedzsment Hozzáférés-ellenırzés Alkalmazásfejlesztés biztonsága Üzemeltetés biztonsága Kriptográfia Fizikai biztonság Hálózatbiztonság Üzletmenet-folytonosság Törvényességi és etikai kérdések Kockázatmenedzsment    Fontos dolgokat jobban kell védeni, mint a kevésbé fontosakat Ágyúval nem lövünk verébre: a védekezésre nem költünk többet, mint amekkora kár keletkezne A folyamat: 1. Információvagyon felmérése, értékelése 2. Fenyegetések számba

vétele, kockázatok meghatározása 3. Kockázatok kezelése 4. Védelmi intézkedések nyomon követése 5. Ugrás 1-re Hozzáférés-ellenırzés    A felhasználók mit tehetnek a rendszerben:  milyen erıforrásokhoz férhetnek hozzá  milyen mőveleteket hajthatnak végre Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó  milyen felhatalmazással férhet a rendszerhez  milyen alkalmazásokat futtathat  mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból Részei: azonosítás, hitelesítés, felhatalmazás, elszámoltathatóság Alkalmazásfejlesztés biztonsága    Cél: a kész alkalmazás biztonságos legyen Fıbb fenyegetések:  Buffer overflow  SQL injection  Cross Site Scripting Fıbb védekezések  Fejlesztési módszertanok használata  Adott programnyelv lehetıségeinek kihasználása  Input validálás Üzemeltetés biztonsága   A biztonságot fenn kell tartani

Témakörök  Hardver és szoftver hardening  Üzemeltetési eljárások  Logkezelés  Adathordozók kezelése  Biztonsági mentések  Biztonságos megsemmisítés  Személyzet és falhasználók – az ember a leggyengébb láncszem  Konfigurációkezelés Kriptográfia   Matematikai algoritmusok elsısorban a bizalmasság és a sértetlenség megırzésére Története  Már az ókori rómaiak is (Caesar-titkosítás)  Második világháború: jelentıs szerep (pl. Enigma)  Szimmetrikus: DES, AES  Kulcscsere problémája  Aszimmetrikus: RSA  Gyakorlatban: kulcscsere nyílt kulcsú eljárással, további kommunikáció szimmetrikus módszerrel (pl. SSL) Kriptográfia     Kriptoanalízis: hogyan tudjuk a kriptográfiát a kulcs ismerete nélkül megfejteni Az algoritmus lehet nyilvános, csak a kulcs nem Módszerek:  Minden lehetséges eset kipróbálása (brute force)  Statisztikai alapon (betőcserés algoritmusnál)  Man-in-the-middle támadás 

Szótár alapú jelszófeltörés, szivárványtáblák  Social Engineering (megtévesztés, befolyásolás) A kulcskezelés kritikus – emberi tényezı szerepe Fizikai biztonság  Ami a hatókörömön belül van (látom, megközelítem, elérem)  meg tudom változtatni:    el tudom tulajdonítani:      hamisítani - hitelesség elpusztítani – rendelkezésre állás lemásolni – bizalmasság A biztonsági incidensek nagyobb része még mindig birtokon belülrıl indul! Terület védelme (különösen: kiemelt biztonságú területek) Környezet biztosítása (áram, hımérséklet, szellızés, tőzvédelem) A hordozható eszközök komoly fenyegetést jelentenek Hálózatbiztonság        Védeni kell a hálózati eszközöket és az átmenı információt A protokollok régiek, nem a biztonságra fókuszálnak Nagyon sok támadás használja ki a hálózati sérülékenységeket (hamisítások, túlterhelések stb.) A hálózatot meg kell

tervezni, zónákra osztani Tőzfalak, szabályok karbantartása Távoli hozzáférés, VPN WiFi – általában a gyári beállítás nem biztonságos Üzletmenet-folytonosság      Elsısorban a rendelkezésre állás biztosítása a célja „Houston, baj van” -> Katasztrófahelyzet A kritikus helyzetre elıre kell készülni, amikor még van idı és erıforrás A felelısségeket és a feladatokat meg kell határozni A terveket tesztelni és frissíteni kell Biztonságtudatosság Biztonságtudatosság    Átlagos felhasználót érı fıbb fenyegetések  Azonosságlopás (banki azonosító, iWiW, online játékkarakter stb.)  Levélszemét  Vírusok és férgek  Kémprogramok, reklámprogramok, trójaiak  Elektronikus zaklatás Miért éppen én?  Gépünk erıforrás lehet (pl. botnetek)  Csalás, átverés célpontjai lehetünk Magyar statisztikák:  A legtöbb vírust saját magunk telepítjük  Szeretjük az ingyenes tartalmakat –

bármit letöltünk, ha ingyen van  A legsikeresebben az ingyenesen letölthetı mp3 fájlokat ígérı kártékony programok terjednek  Nem szeretünk olvasni (angolul különösen nem) – elıszeretettel telepítünk olyan reklámprogramokat, amik késıbb lelassítják a számítógép mőködését Azonosságlopás   Módszerek  Social engineering (lásd pl.: Kevin Mitnick)  Hamis weboldalak (spoofing)  Adathalászat (banki oldalak, World of Warcraft, Dark Orbit)  Billentyőnaplózók (key logger)  Postai levelek ellopása  Kukabúvárkodás Megakadályozása  Józan ész használata: gyanakodjunk, ha      az e-mail idegen nyelvő, adatok megadására kér a weboldal titkosítatlanra vált, URL nem a megszokott, fölösleges mezık vannak rajta Digitális tanúsítványok használata (pl. ssl, https) Biztonsági tokenek Böngészıtámogatás (pl. lista a gyanús oldalakról) Jelszavak – ezeket felejtsük el:        (Emlékeztetıül a fı

törések: brute force, szótár, SE) Alapértelmezett jelszavak Jelszó = felhasználónév Egyszerő jelszavak:  Csak betőkbıl vagy számokból álló  Egymást követı karakterek  8 karakternél rövidebb  Személyes információ (születési dátum, név, háziállat, kedvenc márka, stb.) Felírt jelszavak Többszörös jelszóhasználat Elmentett jelszavak Kártékony programok    Vírusok, férgek, kém-, reklám- és trójai programok Hogyan tehetünk szert rájuk:  Letöltjük (ingyenes, kétes eredető, illegális oldalak) – akár észrevétlenül is települhetnek böngészın keresztül (ActiveX, sebezhetıség)  Megkapjuk (e-mail melléklet, chaten linkként stb.)  Megtaláljuk („elveszett” adathordozón) Védekezés:  Használjunk vírusirtó programot  Használjunk tőzfalat  Ne nyissunk meg idegen e-mailt  Ne kattintsunk hivatkozásokra vagy programokra levelekben  Tartsuk a programjainkat naprakészen (sebezhetıségek befoltozása) 

Ingyenes programokkal szemben legyünk gyanakvóak  Olvassuk el a végfelhasználói szerzıdést (☺) Elektronikus zaklatás   Címek a netrıl:  „Megölte magát a neten heccelt 13 éves lány”  „Minden harmadik kiskorú brit volt már kiberzaklatás áldozata”  „Ezrével dobták ki a zaklatókat a Facebookról” Ez nem azt jelenti, hogy nem lehet közösségi oldalakon megjelenni, de:  Gondoljuk meg, milyen adatainkat tesszük fel  Gondoljuk meg, kik láthatják azokat  Ne legyünk provokatívak  Ne jelöljünk be/vissza idegeneket Záró tanácsok            Használjuk a józan eszünket (és legyünk kicsit paranoiások) Frissítsük rendszeresen az oprendszert és a böngészıt Használjunk megfelelı vírusirtót és tőzfalat, ezeket frissítsük Használjunk spamszőrıt Ne használjunk alapértelmezett vagy egyszerő jelszavakat Ne dıljünk be az ismeretlen címrıl érkezı e-mail-eknek Csak biztonságos forrásból származó

programokat telepítsünk Csak azt végezzük adminisztrátori jogosultsággal a gépen, amit feltétlenül szükséges Készítsünk rendszeresen biztonsági másolatot Gondoljuk meg, milyen adatainkat adjuk meg a közösségi oldalakon Ne intézzünk bizalmas ügyeket netkávézóban, Wi-Fi-n Kérdések Köszönöm a figyelmet! Tóth Balázs, CISSP Információbiztonsági tanácsadó