Lect08 Bezpieczeństwo danych i prawa autorski

background image

Wykład 8: Bezpieczeństwo

danych i prawa autorski

Wykładowca:

Prof. Anatoly
Sachenko

Technologia Informacyjna

background image

2

Przegląd wykładu

Bezpieczeństwo(Ochrona)

informacji

Polityka haseł

Wirusy komputerowe

Ochrona

Prawa autorskie

background image

3

Ochorna informacji - Definicje

Ochrona informacji Połąga na chronieniu

danych przed nieautoryzowanym

dostępem, modyfikacją, kradzieżą,

zniszczenie

Rząd, wojsko, instytucje finansowe,

szpitale i prywatne firmy gromadzą

ogromne ilości poufnych danych

dotyczących klientów, pracowników

Jeżeli poufne informacji dotyczące

firm, klientów, finansów lub nowych

linii produktów trafią w ręce

konkurencji, to takie naruszenie

bezpieczeństwa może doprowadzić do

utraty biznesu, procesów sądowych, a

nawet bankructwa przedsiębiorstw

background image

4

Ochrona informacji – Aktywna

polityka

Aktywna polityka ochrony danych

przewiduje problemy w celu uniknięcia ich

w przyszłości

W przeciwieństwie do wykrywania

problemu I próby radzenia sobie z nim „z

lotu”

W każdej organizacji powinny być jasno

wytyczone reguły dotyczące wykrywania

problemów związanych z bezpieczeństwem

Problemy bezpieczeństwa mogą dotyczyć

nie tylko napadów na sieci komputerowe ale

także mogą polegać na nieautoryzowanych

wejściach do biura.

W obu tych przypadkach należy wiedzieć

Z kim się skontaktować

Jak się skontaktować z odpowiednią osobą

w celu rozwiązania sprawy.

background image

5

Ochorna informacji

(kontynuacja)

Jeśli zgłaszasz problem dotyczący

bezpieczeństwa, powinieneś zgłosić go bez

żadnej zwłoki, odpowiedniej osobie w

odpowiedniej organizacji.

Jeśli jesteś odpowiedzialny za rozpatrywanie

sprawozdań dotyczących bezpieczeństwa

Zawsze powinieneś podejmować akcję

natychmiastowo

Przestrzegać odpowiednich procedur w

celu wyjaśnienia problemów.

Jeżeli pracujesz dla dużej organizacji

posiadasz zarówno prawa jaki i obowiązku.

Na przykład, czy pracodawca ma prawo

filmowania Cie bez twojej zgody?

Czy pracodawca ma prawo przeglądać

wszystkie maile wysłane i odebrane przez

pracowników?

Czy pracodawca ma prawo do

monitorowania na jakie strony wchodzą

pracownicy?

background image

6

Ryzyko – Istnienie

prawdopodobieństwa uszkodzenia

bądź utraty informacji

Podatność – Luka która mogłaby

zostać wykorzystana w celu

uszkodzenia informacji

Zagrożenie – Wszystko (stworzone

przez człowieka lub naturę) co

może zagrozić informacją

Identyfikacja - Stwierdzenie kto

lub co to jest

Uwierzytelnianie — Weryfikacja

tożsamości

Ochorna informacji (ciąg

dalszy)

background image

7

Jeśli osoba, program lub komputer został
pomyślnie zidentyfikowany
i uwierzytelniony

Należy określić do jakich informacji ma mieć
dostęp

I jakie akcje będzie mógł wykonywać
(uruchamianie, podgląd, tworzenie,
usuwanie lub modyfikacja)

To właśnie nazywamy
uwierzytelnianiem

Aby zabezpieczać informacje używamy
kryptografii
służącą do
przekształcania użytecznych informacji
w formę, która czyni je bezużytecznymi
dla osób nieupoważnionych

Taki proces nazywamy szyfrowaniem

Ochrona informacji -

Uwierzytelnianie

background image

8

Informacje które zostały zaszyfrowane

mogą zostać odszyfrowane (przywrócone do

formy użytecznej) tylko przez użytkownika

który posiada klucz kryptograficzny nadany

podczas procesu szyfrowania

Kryptografia jest używana aby chronić

informacje przed nieautoryzowanymi

użytkownikami

Podczas gdy informacje są przenoszone

(fizycznie lub elektronicznie)

Podczas ich przechowywania

Kryptografia zapewnie bezpieczeństwo

informacji wraz z:

Usprawnionym metodami

uwierzytelniania

Podpisem elektronicznym

Niezaprzeczalności szyfrowanej

komunikacji sieciowej

Ochrona informacji - Autoryzacja

background image

9

Szyfrowanie kluczem publicznym. Bardzo
praktyczna metoda szyfrowania pozwalająca
na przykład wysłanie wiadomości do pewnej
listy odbiorców przy czym wiadomość ta
będzie możliwa do odczytania tylko przez
osoby na liście.

System wykrywania intruzów. Służy do
skanowania sieci pod kątem obecnych tam
niepożądanych użytkowników w celu
sprawdzenia czy robią rzeczy który robić nie
mogą,

na przykład: wielokrotnie wpisują hasła w
celu uzyskania dostępu do sieci.

Ochrona informacji

background image

10

Zapora ogniowa (Firewall)

System który pomaga chronić komputer a

także sieć przed atakami i intruzami poprzez

regulowanie ruchu sieciowego za pomocą

zdefiniowanych przez administratora zasad.

Uwierzytelnianie użytkowników.

Służy do regulowania dostępu użytkowników

bądź grup użytkowników do danego

komputera poprzez użycie systemu

uwierzytelniania.

Systemy te mogą chronić zarówno cały

komputer na przykład poprzez stosowanie

interaktywnego ekranu logowania, jack i

wskazaną usługę taką jak serwer FTP.

Jest wiele metod identyfikacji i

uwierzytelniania użytkowników takie jak

hasła, karty ID a także poprzez systemy

biometryczne (odciska palca).

Ochrona informacji

(kontynuacja)

background image

11

Inżynieria społeczna to zbiór technik

stosowanych do manipulowania ludźmi w
celu wykonania przez nich pewnych działań
bądź wyłudzenia poufnych informacji.

Świadomość inżynierii społecznej
Konieczne jest aby utrzymywać świadomość
o zagrożeniach które wynikają z inżynierii
środowiskowej wśród pracowników I/lub
zastosować pewne reguły mające na celu
uniknięcie problemów takich ja włamania do
sieci bądź na serwery spowodowane właśnie
tym zjawiskiem.

Ochrona informacji

(kontynuacja)

background image

12

Ochrona informacji – ID

użytkownika, hasło, prawa

dostępu

ID użytkownika służy logowaniu się do

komputera bądź sieci.

ID pozwala na identyfikację użytkownika w

sieci.

Dodatkowo używa się hasła które znane

jest tylko użytkownikowi

Teoretycznie hasło gwarantuje brak

nieautoryzowanego dostępu do sieci bąd

podszywania się pod innych użytkowników.

Po zalogowaniu się do sieci komputerowej

Zostają nadane prawa dostępu do sieci

Prawa dostępu do sieci są definiowane

przez administratora sieci

Główna ideą praw dostępu jest to aby dany

użytkownik łączył się z tymi zasobami do

których ma prawo i udostępniał tylko te

zasoby to których ma prawa.

background image

13

Ochrona informacji – ID

użytkownika, hasło, prawa

dostępu

Innymi słowy administrator sieci ma dostęp

do wszystkich zasobów sieci, takich jak

drukarki, komputery etc.

Użytkownik znowu może na przykład mieć

dostęp tylko do jednej drukarki I jednego

komputera.

Może mieć dostęp tylko do niektórych

danych dostępnych w sieci.

Hasło to forma uwierzytelniania służąca do

kontroli dostępu do danego zasobu.

Hasła są chronione przed użytkownikami

którzy niepowinni mieć dostępu do danego

zasobu/komputer.

Użytkownicy chcący dostać się do danego

zasobu są od razu testowani (znajomość

hasła)

Zostają dopuszczeni do zasobu bądź nie.

background image

14

Polityka haseł to zbiór zasad zaprojektowanych

w celu usprawnienia ochrony komputera

poprzez stosowanie przez użytkowników

odpowiednio silnych haseł I używaniem ich w

opdowiedni sposób.

Polityka haseł może być także częścią regulacji

danej organizacji bądź może być obiektem

szkolenia dotyczącego świadomości

bezpieczeńśtwa.

Struktura hasła.

Niektóre reguły sugerują bądź wymuszają na

użytkownikach to, jakiego hasła powinni użyć:

Zastosowanie zarówno małych jak i dużych

liter

Użycie jednej lub kilku cyfr (kontynuacja na

następnym slajdzie)

Polityka haseł

background image

15

Użycie znaków specjalnych (@,!,?)

Zakaz używania słów które można

znaleźć w słowniku

Zakaz używania haseł które są:

Ważnymi datami

Numerami tablic rejestracyjnych

Okres ważności hasła – Niektre reguły

wymuszają na użytkownikach zmiane

hasła co pewien okres czasu np.

Co 90 dni.

Idealne hasło powinno składać się z

conajmniej 8 znaków I powinno

zawierać liczby, litery I znaki

specjalne.

Zaleca się także regularne zmiany

hasła.

Polityka haseł

background image

16

Poprawne używanie haseł. Zasady dotyczące

haseł często zawierają porady co do

poprawnego zarządzania hasłem jak na

przykład:

Nigdy nie dziel konta z innym

użytkownikiem

Używaj tego samego hasła tylko dla

jednego konta

Nigdy nie podawaj swojego hasła nawet

osobom twierdzącym, że są pracownikami

ochrony.

Nigdy nie zapisuj haseł na papierze.

Nigdy nie podawaj hasła przez telefon,

maila itd.

Wylogowuj się po zakończeniu pracy

Zmień hasło jeśli tylko wystąpi podejrzenie

o jego wycieku.

Polityka haseł

background image

17

Karty procesorowe (smart card), Karty

chipowe (chip card), lub ICC (integrated

circuit card), Są to z definicji wszystkie

karty posiadające układ scalony zdolny do

przenoszenia informacji

Karta jest zrobiona z plastiku

Karta może zawierać hologram w celu

uniknięcia fałszerstw

Biometryczne metody autoryzacji bazują na

niezmiennych cechach osobistych, niestety

posiadają pewien margines błędu I

wymagają dodatkych urządzeń do

skanowania np. Odcisków palców bądź

tęczkówki oka.

Ochrona informacji

(kontynuacja)

background image

18

Ochrona informacji – Kopia

zapasowa

Najważniejszą rzeczą

Którą przechowujesz na komputerze

Jest informacja.

Często zawartość dysku reprezentuje

lata pracy

Jeśli pewnego dnia dysk przestanie

pracować

Możesz stracić wszystko co

tworzyłeś przez lata.

Dlatego też

Bardzo ważne jest regularne

tworzenie kopii zapasowej (Backup)

Która przechowywana jest na

twoim komputerze

background image

19

Kopia zapasowa to sposób zabezbiecznia

informacji (danych)

Druga kopia wszystkich ważnych

danych powinna zostać zapisana na

innym nośniku

Nośnikiem dla kopii zapasowej może

być np. CD-ROM, DVD-ROM etc.

Zalecane lokacje dla kopii

zapasowych:

ognioodporne, wodoodporne, bądź

W lokacji innej niż ta gdzie

przechowywany jest oryginał.

Niektóre firmy przechowywują kopie

zapasowe w skrzynkach depozytowych

bądź w skarbcach bankowych.

Ochrona informacji

Kopia

zapasowa

background image

20

Ochrona informacji

(kontynuacja)

Co jeśli skradziono twojego laptopa

Jeżeli nie był on zapezpieczony hasłem

to wszyskie dane są zagrożone

To samo tyczy się ważnych/delikatnych

dokumentów, jeżeli nie były

odpowiednio zabezpieczone hasłem.

Jeżeli pracujesz w dużej firmie, taki

incydent należy natychmiastowo

zgłosić do działu technicznego.

Co jeśli skradziono twoją komórkę?

Zadzwoń do działu technicznego jeżeli

pracujesz dla dużej organizacji.

Jeżeli pracujesz samemu to należy

zgłosić sprawę do operatora sieci

komórkowej.

background image

21

Wirusy komputerowe

Wirus komputerowy to program zdolny do

samoreplikacji bez konieczności zgody I

świadomości użytkownika.

Oryginalny wirus może modyfikować kopie

lub

Lub kopie mogą modyfikować się same,

jak w przypadku wirusa metamorficznego

Wirus może zostać przeniesiony z jednego

komputera na drugi tylko jeśli host dostanie

się do niezainfekowanego komputera.

Np. Poprzez użytkownika wysyłającego go

przy użyciu sieci.

Przeniesienie go na medium takim jak

CD-ROM I innych nośnikach.

background image

22

Dodatkowo wirusy mogą przenosić się na inne

komputery zarażając

Pliki sieciowe

Pliki systemowe do których dostęp ma inny

komputer

Niektóre wirusy są zaprogramowane tak aby

uszkodzić komputer poprzez

Uszkadzanie programów

Usuwanie plików

Formatowanie dysku twardego

A inne służa tylko do samoreplikacji

Lub ujawniają się w postaci informacji

tekstowych/dzwiękowych.

Dzisiejsze wirusy mogą także wykorzystywać

usługi siecowe takie jak:

WWW, e-mail I system udostępniania plików

w celu rozprzestrzeniania się tym samym

zacierając granicę pomiędzy wirusami a

robakami (worms).

Wirusy komputerowe

(kontynuacja)

background image

23

Robak komputerowy to program zdolny

do samoreplikacji

Wykorzystuje sieć do rozsyłania

własnych kopii do innych komputerów

bądź sieci.

Może to robić bez jakiejkolwiek

interwencji użytkownika

W porównaniu do wirusa, robak nie

potrzebuje programu pod który może

się podpiąć.

Robak prawie zawsze uszkadza sieć,

chociażby poprzez obniżenie transferu.

Podczas gdy wirusy prawie zawsze

modyfikują lub uszkadzają pliki na

komputerze docelowym.

Wirusy komputerowe - Robak

background image

24

Koń trojański albo po prostu trojan jest

rodzajem oprogramowania, które wydaje się

wykonywać jedną akcję a w rzeczywistości

wykonuje coś całkiem innego.

Wbrew powszechnemu przekonaniu

działania zaszyte (zakodowane) w ukrytym

ładunku nie muszą być bardzo szkodliwe

(ale mogą).

Trojany są używane notorycznie w celu

zainstalowania progrmów typu backdoor

Backdoor w systemie pozwala na obejście

normalnego procesu autoryzacji użytkownika

Umożliwia zdalny dostęp do komputera

Uzyskuje dostęp do plaintext

Próbuje pozostać niewykryty

Backdoor może mieć postać zwykłego

urządzenia, programu lub jego modyfikacji.

Wirusy komputerowe – Koń

trojański

background image

25

W przeciwieństwie do wirusów trojany

nie rozprzestrzeniają się poprzez

samoreplikacja a poprzez eksploatacje

użytkownika końcowego (Inżynieria

społeczna)

W dziedzinie architektury komputera koń

trojański może także odnosić się do luki

w systemie zabezpieczeń przez którą

można dostać się do kodu źródłowego.

Prostym przykładem konia trojańskiego

jest "waterfall.scr" który z pozoru jest

wygaszaczem ekranu przedstawiającym

wodospad, a w rzeczywistości otwiera on

wszystki porty komputera otwierając

hakerą drzwi do komputera.

Wirusy komputerowe – Koń

trojański

background image

26

Usuwanie bądź nadpisywanie plików na

komputerze.

Udostępnianie bądź ściąganie plików

Rozsiewanie innego oprogramowania (wirusów).

Ten typ trojana nazywamy 'dropperem' albo

'vectorem'

Ustawianie sieci 'komputerów zombie' w celu

uruchomienia ataku DdoS lub rozsyłania

spamu.

Szpiegowanie użytkowników danego komputera

i potajemne raportowanie danych takich jak

odwiedzane strony.

Zapamiętywanie użytych klawiszy w celu

wykradnięcia haseł bądź informacji takich jak

numery kart kredytowych.

Stworzenie backdoor

Dezaktywacja programu antywirusowego,

zapory ogniowej.

Koń trojański – przykłady

szkód

background image

27

Często komputery zostają zainfekowane

trojanami ze względu na to, że użytkownik

został oszukany I uruchomił zainfekowany

program.

Dlatego też nie powinno się otwierać

załączonych plików w niezweryfikowanych

mailach.

Programy te to często urocze animacje

bądź zdjęcia.

A tak naprawdę zarażają twój komputer

wirusem lub koniem trojańskim.

Zainfekowany plik wcale nie musi trafić do

Ciebie prze maila.

Może zostać wysłany jako wiadomośc

błyskawiczna lub zostać ściągnięty z

internetu, serwera FTP.

Lub zostać dostarczony na dyskietce

czy też płycie

Może też zostać wgrany manualnie przez

kogoś innego

Kto korzysta z tego samego komputera.

Wirusy komputerowe

(kontynuacja)

background image

28

Wirusy komputerowe -

backdoor

Backdoor w systemie komputerowym

kryptosystemie

algorytmie

Jest metodą obejścia normalnego

uwierzytelniania przez co może mieć

zdalny dostęp do komputera.

Uzyskuje dostęp do plaintext

Próbuje zostać ukryty.

Backdoor może przyjąć formę

Zainstalowanego programu, bądź

Być modyfikacją istniejącego już

programu

Urządzenia

background image

29

Wirusy komputerowe

(kontynuacja)

background image

30

Wirusy komputerowe - ochrona

Najbezpieczniejszą metodą użytkowania

komputera jest nie podpinanie go do lokalnej

sieci bądź Internetu.

Taki komputer nazywamy samodzielnym

(stand-alone)

Pod warunkiem, że nie używasz nośników

które zostały użyte na innych komputerach.

Taki komputer jest wirtualnie na wszelkie

formy złośliwego oprogramowania.

Niestety to właśnie możliwość podłączenia się do

siecie I innych komputerów

Sprawia, że nowoczesne komputery są tak

wszechstronne I użyteczne.

Zawsze upewnij się, że wszystkie komputery

wymagają ID użytkownika oraz hasła aby

uzyskać do nich dostęp.

Upewnij się, że wszytki łatki dotyczące

bezpieczeństwa wydane przez Microsoft

zostały zainstalowane.

background image

31

Wirusy komputerowe: ochrona

Jeśli znajdziesz wirusa na swoim komputerze nie

panikuj.

Jeśli twój virus checker alarmuje Cię o istnieniu

wirusa.

To istnieje szansa, że złapał go na tyle wcześnie, że

nie zdąrzył jeszcze zainfekować komputera ani

uszkodzić wyrządzić szkód.

Na przykład, wsadzasz dyskietkę do stacji I w tym

samym momencie program powinien zacząć

skanować jej zawartość.

Jeżeli dyskietka zawiera wirusa, zostaniesz o tym

poinformowany przez program który w następnym

kroku automatycznie go usunie.

Inną często spotykaną drogą infekcji są wiadomości

email.

Jeśli pracujesz w dużej firmie

Powienieneś mieć dział IT który pozbędzię się

wirusa.should have a company IT support group

which will come and rid your computer of viruses

Upewnij się, że zapoznałeś się z polityką firmy

dotyczącą wirusów.

background image

32

Wirusy komputerowe - ochrona

Oprogramowanie anty-wirusowe pozwala

na wykrycie tylko tych wirusów które zna

(posiada w bazie)

Dlatego też bardzo istotne jest aby

Aby aktualizować swoje oprogramowanie

antywirusowe

By mogło wykrywać nowe wirusy.

Uruchomienie skanera na zainfekowanym

komputerze jest znane jako

dezynfekowanie, gdyż program wykrywa

wirusy a następnie je usuwa.

Upewnij się, że skaner jest skonfigurowany

tak aby skanował komputer zara po

uruchomieniu komputera.

Będzie on aktywnie pracować w tle stale

poszukują jakichkolwiek znaków

wskazujących na atak wirusa.

Jest to szczególnie ważne podczas łączenia

się z internetem.

background image

33

Wirusy komputerowe –

ochrona

Należy być bardzo ostrożnym podczas

otwierania podejżanych maili, szczególnie jeśli

zawierają załączniki.

Dobry program anty-wirusowy powinien wykryć

większość zagrożeń jeśli chodzi o zainfekowane

emaile.

Teorytycznie każdy program który ściąsz z

internetu może zawierać wirusa.

Należy szczególnie uważać podczas ściągania

programów (pliki z rozszerzeniem .COM I .EXE)

Pliki Excel mogą zawierać wirusy zwane

makrami.

Zasadniczo nie ufaj nikomu jeśli chodzi o

ściąganie plików.

Nie łącz się z internetem dopóki na twoim

komputerze nie znajdzie się odpowiednie

oprogramowanie anty-wirusowe.

background image

34

Prawa autorskie – licencja

oprogramowania

Licencja oprogramowania obejmuje

Uprawnienia, prawa i ograniczenia

nałożone na oprogramowanie.

Danego

składnika

lub

całego

programu

Korzystanie z oprogramowania bez

licencji

może

stanowić

naruszenie

wyłącznych praw autorskich.

A sporadycznie prawa patentowego

pozwalając właścicielowi na oskarżenie

użytkownika.

Umowa licencyjna jest memorandum

umowy

między

producentem

i

użytkownikiem

oprogramowania

komputerowego,

który

daje

użytkownikowi

licencje

na

oprogramowanie

background image

35

Prawa autorskie

Umowa

licencyjna

Umowa licencyjna oprogramowania

wskazuje

Na warunki użytkowania danego

oprogramowania przez użytkownika

W takim przypadku umowa

nazywana jest end-user license

agreement lub EULA

Licencja oprogramowania gwarantuje

Prawo do modyfikacji

Redystrybucji

licencjonowanego

oprogramowania

Obu które normalnie byłyby

zabronione przez prawa autorskie

background image

36

Prawa autorskie – Umowa

licencyjna

Oprogramowanie

shareware

jest

oprogramowaniem

które

ściągnąć

z

Internetu lub otrzymać jako dodatek do

magazynu (PC-word etc.) za darmo w celu

przetestowania programu przed kupnem

pełnej wersji.

Jeśli program (próbka) jest pełną wersją

programu to jest dostępna tylko na

krótki okres czasu bądź nie posiada

wszystkich opcji które zostaną dodane

dopiero po zakupie.

Shareware znane jest także jako spróbuj

nim kupisz (“try before you buy”)

Do

programów

typu

shareware

dołączony jest wniosek o płatności a

licencja

na

dystrybucje

takiego

oprogramowania często takiej płatności

wymaga.

background image

37

Przepisy dotyczące ochrony

danych

Najważniejszym aktem prawnym na tym obszarze

jest Europejska Ustawa o Ochronie Danych

Osobowych 1995.

Która

została

wdrożona

w

całej

Unie

Europejskiej. Wszystkie państwa członkowskie

muszą

spełniać

jej

wymogi

aby

nie

wykorzystywać danych osobowych.

Ustawa ta dotyczy ochrony osób fizycznych w

zakresie przetwarzania danych osobowych i

swobodnego przepływu tych danych

Cele ustawy:

Systemy

przetwarzania

danych

zostały

zaprojektowany by służyć ludzią.

Muszą one niezależnie od obywatelstwa czy też

miejsca zamieszkania

Szanować ich podstawowe prawa I wolność

Zwłaszcza prawo do prywatności

Przyczyniając się do postępu gospodarczego i

społecznego, rozwoju handlu oraz dobrobytu

jednostek

background image

38

References

European Computer Driven

Licence, Syllabus version 4.0,

2006.

http://dydaktyka.polsl.pl/roz6/asa

chenko

/

J. Glenn Brookshear. Computer

science an overview, Sixth edition,

Addison Wesley, 2001, 688 p.

Brookshear J.G.: Informatyka w

ogólnym zarysie, Wydawnictwo

WNT, Warszawa 2003.


Document Outline


Wyszukiwarka

Podobne podstrony:
Bezpieczeństwo danych, INFORMATYKA, Sieci, S O i S K I sem
PWI - Prawa autorskie, WEiTI - Makro, SEMESTR III, PWI
prawa autorskie (2)
przedstawienie teatralne w swietle prawa autorskiego
odpowiedzi prawa autorskie by Wujek
Prawa autorskie a internet
Nauka, oswiadczenie prawa autorskie 2009, Uchwała Nr
Prywatni użytkownicy a prawa autorskie
WYBRANE ASPEKTY BEZPIECZEŃSTWA DANYCH BANKOWYCH
OiBD(2 System bezpieczeństwa danych)
Kryptografia a bezpieczeństwo danych
Pospisli - PLEMIĘ KAPAUKU, BEZPIECZEŃSTWO, Antropologia Prawa
Ochrona i bezpieczeństwo danych oraz tendencje rozwojowe baz danych
Prawa autorskie?finicja

więcej podobnych podstron