adatbiztonsÁg, adatvÉdelem
DESCRIPTION
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET. Jelentősen növekedett és növekszik IR-ben tárolt, feldolgozott adatok mennyisége ezen adatoktól való függőség felértékelődik az informatikai biztonság Leginkább EMBERI probléma! ( jogi szabályozás). BIZTONSÁGI OSZTÁLYOK. TCSEC ITSEC X/Open - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/1.jpg)
ADATBIZTONSÁG,ADATVÉDELEM
![Page 2: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/2.jpg)
ALAPHELYZET
• Jelentősen növekedett és növekszik– IR-ben tárolt, feldolgozott adatok mennyisége– ezen adatoktól való függőség
felértékelődik az informatikai biztonság
Leginkább EMBERI probléma!
(jogi szabályozás)
![Page 3: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/3.jpg)
BIZTONSÁGI OSZTÁLYOK
• TCSEC
• ITSEC
• X/Open
• ITB
• CC
![Page 4: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/4.jpg)
TCSEC biztonsági osztályok
Trusted Computer System Evaluation Criteria ( USA DoD, 1985.)
– D csoport: minimális védelem– C csoport: szelektív és ellenőrzött védelem– B csoport: kötelező és ellenőrzött védelem– A csoport: bizonyított védelem
![Page 5: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/5.jpg)
ITSEC biztonsági osztályok
Information TechnologySecurity Evaluation Criteria(Európai Közösség, 1991.)
• Q0, Q1, ..., Q7 minősítési fokozatok
• lényegében a TCSEC továbbfejlesztése
![Page 6: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/6.jpg)
X/Open biztonsági osztályok
Defining and Buying Secure Open Systems(X/Open Company Ltd., 1992.)
• X-BASE: alap• X-DAC: szabad belátás szerint kialakított• X-AUDIT: biztonsági auditálás• X-MAC: előre meghatározott hozzáférés-vezérlés• X-PRIV: privilegizált jogokat biztosító• X-DIST: elosztott rendszerek
![Page 7: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/7.jpg)
ITB
• kárérték alapján:– 0. szint: jelentéktelen (1 embernap)– 1. szint: csekély (1 emberhónap)– 2. szint: közepes (1 emberév)– 3. szint: nagy (1-10 emberév)– 4. szint: kiemelkedően nagy (10-100 emberév)– 4+ szint: katasztrofális (>100 emberév)
![Page 8: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/8.jpg)
ITB
• az IR feleljen meg az alábbi biztonsági követelményeknek:
• alap: max. 2. szintű esemény fenyeget,
• fokozott: max. 3. szintű esemény fenyeget,
• kiemelt: 4+ szintű esemény fenyeget
![Page 9: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/9.jpg)
CC
Common Criteriafor Information Technology Security
Evaluation (1993.)
Közös követelmények... – értékelési módszertan
![Page 10: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/10.jpg)
![Page 11: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/11.jpg)
ALAPKÖVETELMÉNYEK
1. rendelkezésre állás,elérhetőség a jogosultaknak
2. sértetlenség (sérthetetlenség, valódiság),
3.jellegtől függő bizalmas kezelés,
4. hitelesség
5. a teljes információs rendszer működőképessége
![Page 12: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/12.jpg)
ALAPFENYEGETETTSÉG
az előbbi öt alapkövetelményt veszélyeztető tényezők hatásösszege
![Page 13: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/13.jpg)
SAJÁT KÁR
• összetevők– HW+SW ára– adatok újraelőállítási költsége– elmaradó haszon– ...?
![Page 14: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/14.jpg)
IDEGEN HASZON
• összetevők– megszerezhető nyereség– befektetés
![Page 15: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/15.jpg)
TÁMADÁS–VÉDELEM
RÁFORDÍTÁSSIKERES
TÁMADÁSEREDMÉNYE
VÉDŐvédelemktg. (-)
kár (-)
TÁMADÓtámadásktg-e (-)
haszon (+)
![Page 16: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/16.jpg)
TÁMADÁS–VÉDELEM
A védő mindig többet veszít,mint amennyit a támadó nyer!
Kétszemélyes,nullától különböző összegű játék
![Page 17: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/17.jpg)
INFORMATIKAI BIZTONSÁG
az információs rendszer védelme
az alapkövetelmények
szempontjából...
![Page 18: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/18.jpg)
INFORMATIKAI BIZTONSÁG
...szempontjából– zárt,– teljes körű,– folyamatos és a– kockázatokkal arányos
![Page 19: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/19.jpg)
INFORMATIKAI BIZTONSÁG
• zárt:minden fontos fenyegetéstfigyelembe vesz
• teljes körű:a rendszer összes elemére kiterjed
![Page 20: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/20.jpg)
INFORMATIKAI BIZTONSÁG
• folyamatos:az időben változó körülmények ellenére is megszakítás nélküli
• kockázatokkal arányoskárérték * kárvalószínűség <= küszöb– küszöb: saját döntés eredménye
![Page 21: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/21.jpg)
INFORMATIKAI BIZTONSÁG
• megfelelő, együttes alkalmazása a– fizikai védelemnek, az– ügyviteli védelemnek és az– algoritmusos védelemnek
![Page 22: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/22.jpg)
VÉDELEM
• fizikai:– a rendszer belépési pontjainak a kijelölése
• ügyviteli– a belépési pontok elfogadott/elvárt
használatának kijelölése
• algoritmusos– gépi védelmi eljárások alkalmazása, úgymint:
![Page 23: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/23.jpg)
ALGORITMUSOS VÉDELEM
• titkosítás
• hitelesítés
• partnerazonosítás
• digitális aláírás és időpecsét
• hozzáférés-védelem
• eseménynapló
![Page 24: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/24.jpg)
LEGGYAKORIBB
• adataink épsége (megléte)
• adataink bizalmassága
![Page 25: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/25.jpg)
FIZIKAI TÖNKREMENETEL
• áramszünet
• tranziensek (pl. villámcsapás)
• elemi kár (pl. tűz, víz)
• HDD: mechanika!
![Page 26: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/26.jpg)
„VÍRUSOK”
• gyűjtőnév
• terjeszti önmagát
• bosszant vagy kárt is okoz
• PROGRAM, azaz futnia kell
![Page 27: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/27.jpg)
„VÍRUSOK”
• programvírus (klasszikus, com/exe)
• boot-vírus
• trójai faló
• makróvírusok
• e-mail vírusok (Kurnyikova, valami.com)
• hálózati férgek
![Page 28: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/28.jpg)
VÉDEKEZÉS
• rendszeres mentés
• víruskeresők– korlátosak (elvileg és gyakorlatilag)
• naplózás („zero day backup”)
• „nyitott szem”
![Page 29: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/29.jpg)
MENTÉS
• tervezni kell– lehetőségek (idő, pénz, eszközök)– adattömeg– adatváltozékonyság
• egyszerű megoldások– szervezési _ÉS_– technikai
![Page 30: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/30.jpg)
ILLETÉKTELEN HOZZÁFÉRÉS
• adatlopás <> kocsilopás
• eszközök fizikai védelme(szétszedett állapotban bebetonozni)
• a hozzáférés szabályozása– tervezni kell– naplózni kell
![Page 31: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/31.jpg)
JÓ JELSZÓ
• „elég” hosszú• nem kitalálható• nincs értelmes része• vegyes összetétel• változtatni kell időnként (1x használatos)• jelszólopás elleni védekezés
– felírjuk?????
– „leskelődés”
![Page 32: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/32.jpg)
JÓ JELSZÓ
• vö. ELENDER-feltörés, 2000. február
![Page 33: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/33.jpg)
![Page 34: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/34.jpg)
TITKOSÍTÁS
• statikus (saját gépen)
• dinamikus (adatforgalom, pl. emil)
![Page 35: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/35.jpg)
TITKOSÍTÁS I.
• file szintű– word/excel/…– tömörítő programok– CMOS jelszó– helyi bejelentkezés
• nyílt átvitel– email tartalma és jelszavai– smtp, pop3, ftp, telnet stb.
igen
könnye
n
feltö
rhet
ő!!!
![Page 36: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/36.jpg)
TITKOSÍTÁS II.
• zárt rendszer titkos kulccsal
• nyílt rendszer nyilvános/titkos kulcspárral
![Page 37: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/37.jpg)
ZÁRT RENDSZER
• leHET 100%-os
• kulcs– biztonságos csatornán kell továbbítani– nyíltszöveg-hosszúságú– valódi véletlen sorozat– …
• Verne: 800 mérföld az Amazonason
![Page 38: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/38.jpg)
NYÍLT RENDSZER
• „féloldalas” algoritmuson alapul
• kulcspár– nyilvános kulcsű– titkos kulcs
• nem kell biztonságos csatorna
• garancia nincs, csak valószínűség
• kormányok (is) rühellik
![Page 39: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/39.jpg)
NYÍLT RENDSZER
• nyilvános kulcs: N
• titkos kulcs: T
• működés alapja:kódolás(T, kódolás(N, szöveg))=szöveg
• titkosság
• tartalom és feladó hitelessége
![Page 40: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/40.jpg)
NYÍLT RENDSZER
• kriptográfiai elemzéssel megfejthetô– elegendô hosszú kódolt szöveg– elegendő idô van!
• az elévülési ideig elég garantálni(mekkora biztonsággal?)
![Page 41: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/41.jpg)
NYÍLT RENDSZER
• „kerülő út” gazdaságosabb– lemezterületrôl leolvasás
![Page 42: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/42.jpg)
NYÍLT RENDSZER
• „kerülő út” gazdaságosabb– lemezterületrôl leolvasás
– fizikailag nem törölt adat -- durva!!!
– a fizikailag felülírt adat is kinyerhetô lehet!
– elektronikus lehallgatás
– trójai faló
– forgalomelemzés
– típusszöveg kikényszerítése
– nyers fizikai erőszak …
![Page 43: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/43.jpg)
![Page 44: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/44.jpg)
PGP
• Phil Zimmermann, 1990-es évek eleje
• fő szabályok– titkos kulcs folyamatos fizikai ellenőrzése– nyilvános kulcs hitelessége (közbeékelődés)
• közvetlenül tőle (biztonságos csatorna)
• "közös ismerős" hitelesíti (key server)
![Page 45: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/45.jpg)
DIGITÁLIS ALÁÍRÁS
• Időtényező hatásáról nem tudunk
• nincsenek jogesetek (tapasztalatok)
![Page 46: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/46.jpg)
A BIZTONSÁGNAK ÁRA VAN
• a kívánt biztonság mértéke <100%
• pénzbe kerül
![Page 47: ADATBIZTONSÁG, ADATVÉDELEM](https://reader036.vdocuments.net/reader036/viewer/2022081506/56812ff3550346895d956aa5/html5/thumbnails/47.jpg)
IBK
• Informatikai rendszerek biztonsági követelményei (ITB 12. sz. ajánlás)
• Informatikai biztonsági kézikönyv(ITB 8. sz. ajánlás)
• Információs Tárcaközi Bizottság (ITB)http://www.itb.hu