POLITYKA BEZPIECZENSTWA w rozwiazaniach e biznesowych

background image

POLITYKA

POLITYKA

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

W ROZWIĄZANIACH

W ROZWIĄZANIACH

E-BIZNESOWYCH

E-BIZNESOWYCH

Golec Joanna

Golec Joanna

Musiał Magdalena

Musiał Magdalena

Gr.1, III rok

Gr.1, III rok

background image

POTENCJALNE

POTENCJALNE

ZAGROŻENIA SYSTEMÓW

ZAGROŻENIA SYSTEMÓW

E-BIZNESOWYCH

E-BIZNESOWYCH

Błąd człowieka

Błąd człowieka

Katastrofy naturalne

Katastrofy naturalne

Awarie systemu związane z

Awarie systemu związane z

uszkodzeniami sprzętu, oprogramowania

uszkodzeniami sprzętu, oprogramowania

oraz infrastruktury

oraz infrastruktury

Włamania do systemu

Włamania do systemu

Niebezpieczne oprogramowanie

Niebezpieczne oprogramowanie

Zagrożenia wywołane przez czynniki

Zagrożenia wywołane przez czynniki

pośrednie

pośrednie

background image

GRUPY ZAGROŻEŃ DLA

GRUPY ZAGROŻEŃ DLA

SYSTEMÓW E-

SYSTEMÓW E-

BIZNESOWYCH

BIZNESOWYCH

Brak dostępu do usługi (denial of

Brak dostępu do usługi (denial of

service)

service)

Bezprawne użycie zasobów

Bezprawne użycie zasobów

Usunięcie/utrata danych

Usunięcie/utrata danych

Kradzież danych

Kradzież danych

Ujawnienie danych poufnych

Ujawnienie danych poufnych

Fałszowanie informacji

Fałszowanie informacji

Kradzież oprogramowania

Kradzież oprogramowania

Kradzież sprzętu

Kradzież sprzętu

Uszkodzenia systemów komputerowych

Uszkodzenia systemów komputerowych

background image

OBSZARY ZAGROŻEŃ

OBSZARY ZAGROŻEŃ

Sprzęt

Sprzęt

-

-

uszkodzenia urządzeń, ich nieprawidłowe

uszkodzenia urządzeń, ich nieprawidłowe

działanie, błędy w oprogramowaniu urządzeń, kradzież itp.

działanie, błędy w oprogramowaniu urządzeń, kradzież itp.

Oprogramowanie

Oprogramowanie

-

-

błędy w procesie tworzenia

błędy w procesie tworzenia

programów, w algorytmach, niedostateczna jakość, luki w

programów, w algorytmach, niedostateczna jakość, luki w

systemach zabezpieczeń itp.

systemach zabezpieczeń itp.

Infrastruktura

Infrastruktura

-

-

uszkodzenia sieci energetycznych,

uszkodzenia sieci energetycznych,

telekomunikacyjnych. infrastruktury komunikacyjnej,

telekomunikacyjnych. infrastruktury komunikacyjnej,

systemów ogrzewania/chłodzenia, systemów bezpieczeństwa,

systemów ogrzewania/chłodzenia, systemów bezpieczeństwa,

monitoringu itp.

monitoringu itp.

Procedury bezpieczeństwa

Procedury bezpieczeństwa

-

-

niewłaściwe

niewłaściwe

zaprojektowanie, niedostateczne przetestowanie, zagrożenia

zaprojektowanie, niedostateczne przetestowanie, zagrożenia

„od wewnątrz", luki w procedurach bezpieczeństwa itp.

„od wewnątrz", luki w procedurach bezpieczeństwa itp.

background image

3 POZIOMY ZABEZPIECZEŃ

3 POZIOMY ZABEZPIECZEŃ

SYSTEMÓW

SYSTEMÓW

INFORMATYCZNYCH

INFORMATYCZNYCH

Poziom aplikacji

Poziom aplikacji

– tworzenie bezpiecznych

– tworzenie bezpiecznych

aplikacji jest jednym z postulatów dotyczących

aplikacji jest jednym z postulatów dotyczących

jakości oprogramowania.

jakości oprogramowania.

Poziom warstwy pośredniczącej

Poziom warstwy pośredniczącej

mechanizmy wbudowane w systemy operacyjne

mechanizmy wbudowane w systemy operacyjne

oraz

programy

komunikacyjne

powinny

oraz

programy

komunikacyjne

powinny

eliminować

ryzyko

ujawnienia

informacji

eliminować

ryzyko

ujawnienia

informacji

poufnych.

poufnych.

Poziom protokołów komunikacyjnych

Poziom protokołów komunikacyjnych

mechanizmy warstwy komunikacyjnej powinny

mechanizmy warstwy komunikacyjnej powinny

uniemożliwiać podsłuchanie, zdekodowanie i

uniemożliwiać podsłuchanie, zdekodowanie i

odczytanie przesyłanych informacji

odczytanie przesyłanych informacji

background image

SZYFROWANIE DANYCH

SZYFROWANIE DANYCH

SZYFROWANIE SYMETRYCZNE

SZYFROWANIE SYMETRYCZNE

SZYFROWANIE ASYMETRYCZNE

SZYFROWANIE ASYMETRYCZNE

SZYFROWANIE HYBRYDOWE

SZYFROWANIE HYBRYDOWE

background image

SZYFROWANIE

SZYFROWANIE

SYMETRYCZNE

SYMETRYCZNE

Do szyfrowania i deszyfrowania używamy tego

Do szyfrowania i deszyfrowania używamy tego

samego klucza szyfrującego (szyfrowanie z

samego klucza szyfrującego (szyfrowanie z

pojedynczym kluczem)

pojedynczym kluczem)

Najpopularniejsze algorytmy szyfrowania to

Najpopularniejsze algorytmy szyfrowania to

np.

np.

DES (Data Encryption Standard), IDEA

DES (Data Encryption Standard), IDEA

(International Data Encryption Algorithm)

(International Data Encryption Algorithm)

Klucz musi zostać uprzednio dostarczony

Klucz musi zostać uprzednio dostarczony

(najlepiej poza siecią) nadawcy i odbiorcy -

(najlepiej poza siecią) nadawcy i odbiorcy -

jest to utrudnione w przypadku wymiany

jest to utrudnione w przypadku wymiany

informacji z dużą liczbą odbiorców

informacji z dużą liczbą odbiorców

Każdy z odbiorców dodatkowo powinien mieć

Każdy z odbiorców dodatkowo powinien mieć

odmienny klucz, a nadawca powinien

odmienny klucz, a nadawca powinien

pamiętać klucz każdego ze swoich odbiorców.

pamiętać klucz każdego ze swoich odbiorców.

background image

SZYFROWANIE

SZYFROWANIE

SYMETRYCZNE

SYMETRYCZNE

Użytkownicy uczestniczący w komunikacji, na

Użytkownicy uczestniczący w komunikacji, na

tym schemacie - Alicja i Bolek, posługują się

tym schemacie - Alicja i Bolek, posługują się

swoimi kluczami, aby przesłać zaszyfrowaną

swoimi kluczami, aby przesłać zaszyfrowaną

wiadomość od Alicji do Bolka. Alicja poddaje

wiadomość od Alicji do Bolka. Alicja poddaje

szyfrowaniu wiadomość czytelną M z użyciem

szyfrowaniu wiadomość czytelną M z użyciem

klucza szyfrowania K. W ten sposób uzyskuje

klucza szyfrowania K. W ten sposób uzyskuje

szyfrogram S.

szyfrogram S.

Następnie szyfrogram S jest przesyłany do

Następnie szyfrogram S jest przesyłany do

Bolka,

który

poddaje

go

operacji

Bolka,

który

poddaje

go

operacji

rozszyfrowania z kluczem K i otrzymuje

rozszyfrowania z kluczem K i otrzymuje

wiadomość czytelną M.

wiadomość czytelną M.

background image

SZYFROWANIE

SZYFROWANIE

ASYMETRYCZNE

ASYMETRYCZNE

Szyfrowanie metodą klucza publicznego

Szyfrowanie metodą klucza publicznego

Takie szyfrowanie zapewnia poufność

Takie szyfrowanie zapewnia poufność

transmitowanych danych i ich integralność

transmitowanych danych i ich integralność

(podpis elektroniczny)

(podpis elektroniczny)

Najczęściej wykorzystywanymi algorytmami

Najczęściej wykorzystywanymi algorytmami

szyfrowania asymetrycznego są RSA oraz

szyfrowania asymetrycznego są RSA oraz

algorytm szyfrujący Diffie`ego-Hallmana

algorytm szyfrujący Diffie`ego-Hallmana

Szyfrowanie odbywa się z wykorzystaniem

Szyfrowanie odbywa się z wykorzystaniem

dwóch kluczy szyfrujących (klucza prywatnego i

dwóch kluczy szyfrujących (klucza prywatnego i

publicznego)

publicznego)

Zalety: zwiększone w stosunku do szyfrowania

Zalety: zwiększone w stosunku do szyfrowania

symetrycznego bezpieczeństwo, nie ma

symetrycznego bezpieczeństwo, nie ma

konieczności przesyłania klucza prywatnego

konieczności przesyłania klucza prywatnego

Do wad szyfrowania asymetrycznego zalicza się

Do wad szyfrowania asymetrycznego zalicza się

niską wydajność

niską wydajność

background image

SZYFROWANIE

SZYFROWANIE

ASYMETRYCZNE

ASYMETRYCZNE

Istotą

szyfrowania

asymetrycznego

jest

Istotą

szyfrowania

asymetrycznego

jest

wyodrębnienie dwóch kluczy o odmiennych

wyodrębnienie dwóch kluczy o odmiennych

rolach: klucz prywatny i klucz publiczny. I tak

rolach: klucz prywatny i klucz publiczny. I tak

przyjmujemy, że odbiorca Bolek posiada parę

przyjmujemy, że odbiorca Bolek posiada parę

kluczy: prywatny klucz kb oraz publiczny klucz

kluczy: prywatny klucz kb oraz publiczny klucz

KB. Z założenia klucz prywatny jest tajny, znany

KB. Z założenia klucz prywatny jest tajny, znany

wyłącznie

właścicielowi.

Publiczny

klucz,

wyłącznie

właścicielowi.

Publiczny

klucz,

natomiast, może być powszechnie znany. Aby

natomiast, może być powszechnie znany. Aby

Alicja mogła przekazać mu wiadomość musi

Alicja mogła przekazać mu wiadomość musi

zaszyfrować ją jego kluczem publicznym.

zaszyfrować ją jego kluczem publicznym.

Odszyfrowanie jest możliwe tylko przy użyciu

Odszyfrowanie jest możliwe tylko przy użyciu

klucza prywatnego, odpowiadającego użytemu

klucza prywatnego, odpowiadającego użytemu

uprzednio kluczowi publicznemu.

uprzednio kluczowi publicznemu.

background image

SZYFROWANIE

SZYFROWANIE

HYBRYDOWE

HYBRYDOWE

Łączy metodę symetryczną z metodą klucza

Łączy metodę symetryczną z metodą klucza

publicznego

publicznego

Duże bezpieczeństwo i wydajność

Duże bezpieczeństwo i wydajność

Wiadomość szyfruje się kluczem

Wiadomość szyfruje się kluczem

symetrycznym, a jego przekazanie odbywa się

symetrycznym, a jego przekazanie odbywa się

za pomocą szyfrowania asymetrycznego

za pomocą szyfrowania asymetrycznego

Stosowane między innymi w systemach

Stosowane między innymi w systemach

bezpiecznej poczty elektronicznej (PEM -

bezpiecznej poczty elektronicznej (PEM -

Privacy Enhanced Mail, PGP - Pretty Good

Privacy Enhanced Mail, PGP - Pretty Good

Privacy) oraz w protokołach WWW (SSL, PCT,

Privacy) oraz w protokołach WWW (SSL, PCT,

S-HTTP)

S-HTTP)

Szyfrowanie hybrydowe eliminuje wady

Szyfrowanie hybrydowe eliminuje wady

szyfrowania symetrycznego i asymetrycznego,

szyfrowania symetrycznego i asymetrycznego,

równocześnie przejmując ich zalety

równocześnie przejmując ich zalety

background image

TECHNOLOGIE

TECHNOLOGIE

BEZPIECZNEJ TRANSMISJI

BEZPIECZNEJ TRANSMISJI

DANYCH

DANYCH

SSL,

PCT

SSL,

PCT

-

służą

do

ustanawiania

-

służą

do

ustanawiania

bezpiecznego połączenia, poprzez wydzielenie

bezpiecznego połączenia, poprzez wydzielenie

kanału o założonym z góry (wynegocjowanym)

kanału o założonym z góry (wynegocjowanym)

poziomie bezpieczeństwa, przez który dokonuje

poziomie bezpieczeństwa, przez który dokonuje

się

autoryzacji

dostępu

oraz

przesyła

się

autoryzacji

dostępu

oraz

przesyła

dynamicznie klucze do szyfrowania kolejnych

dynamicznie klucze do szyfrowania kolejnych

porcji danych,

porcji danych,

S-HTTP

S-HTTP

- stanowi rozszerzenie standardowego

- stanowi rozszerzenie standardowego

protokołu hipertekstowego HTTP o narzędzia

protokołu hipertekstowego HTTP o narzędzia

kryptograficzne, a w szczególności o certyfikaty

kryptograficzne, a w szczególności o certyfikaty

i cyfrowe sygnatury witryn WWW; dzięki niemu

i cyfrowe sygnatury witryn WWW; dzięki niemu

możliwe jest zweryfikowanie autentyczności

możliwe jest zweryfikowanie autentyczności

pochodzenia stron internetowych,

pochodzenia stron internetowych,

background image

TECHNOLOGIE

TECHNOLOGIE

BEZPIECZNEJ TRANSMISJI

BEZPIECZNEJ TRANSMISJI

DANYCH

DANYCH

SET

SET

- protokół zabezpieczający transakcje

- protokół zabezpieczający transakcje

dokonywane za pomocą kart kredytowych;

dokonywane za pomocą kart kredytowych;

wykorzystuje do tego celu elektroniczne podpisy

wykorzystuje do tego celu elektroniczne podpisy

zapewniające

autoryzację

posiadaczy

kart,

zapewniające

autoryzację

posiadaczy

kart,

sprzedawców i banków,

sprzedawców i banków,

Fortezza

Fortezza

- stosowana jest w instytucjach, gdzie

- stosowana jest w instytucjach, gdzie

poufność informacji ma szczególne znacznie

poufność informacji ma szczególne znacznie

(obronność, wymiar sprawiedliwości, dyplomacja

(obronność, wymiar sprawiedliwości, dyplomacja

itp.), gdzie mechanizmy zabezpieczeń muszą

itp.), gdzie mechanizmy zabezpieczeń muszą

gwarantować w 100% autentyfikację i odpowiedni

gwarantować w 100% autentyfikację i odpowiedni

poziom

szyfrowania,

konta

użytkowników

poziom

szyfrowania,

konta

użytkowników

zabezpieczone są przy użyciu kart chipowych,

zabezpieczone są przy użyciu kart chipowych,

zabezpieczonych kodem PIN, przechowujących

zabezpieczonych kodem PIN, przechowujących

unikalny kod identyfikacyjny użytkownika.

unikalny kod identyfikacyjny użytkownika.

background image

Tworzenie bezpiecznego środowiska musi być

Tworzenie bezpiecznego środowiska musi być

procesem:

procesem:

Ciągłym

Ciągłym

obejmującym ocenę, projektowanie,

obejmującym ocenę, projektowanie,

wdrażanie rozwiązań oraz monitorowanie

wdrażanie rozwiązań oraz monitorowanie

opartym na

opartym na

ludziach, procesach i technologii

ludziach, procesach i technologii

.

.

background image

TWORZENIE DOKUMENTU

TWORZENIE DOKUMENTU

POLITYKI

POLITYKI

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

Dokument polityki bezpieczeństwa zawiera (określa)

Dokument polityki bezpieczeństwa zawiera (określa)

odpowiednie zasady, wytyczne, nakazy i zakazy, a

odpowiednie zasady, wytyczne, nakazy i zakazy, a

także

stopień

swobody

korzystania

z

sieci

także

stopień

swobody

korzystania

z

sieci

wewnętrznej i zewnętrznej;

wewnętrznej i zewnętrznej;

Ważną

cechą

dokumentu

jest

odpowiednia

Ważną

cechą

dokumentu

jest

odpowiednia

konstrukcja, która ma sprawić, aby był on zrozumiały

konstrukcja, która ma sprawić, aby był on zrozumiały

dla każdego pracownika - napisany językiem

dla każdego pracownika - napisany językiem

potocznym, zawierał słownik pojęć technicznych,

potocznym, zawierał słownik pojęć technicznych,

prawnych, a także użytych zwrotów i sformułowali;

prawnych, a także użytych zwrotów i sformułowali;

Pisemne zobligowanie się każdego użytkownika do

Pisemne zobligowanie się każdego użytkownika do

postępowania zgodnie z ujętymi w dokumencie

postępowania zgodnie z ujętymi w dokumencie

polityki bezpieczeństwa danych wytycznymi;

polityki bezpieczeństwa danych wytycznymi;

Wprowadzenie polityki bezpieczeństwa powinno być

Wprowadzenie polityki bezpieczeństwa powinno być

wsparte odpowiednimi szkoleniami.

wsparte odpowiednimi szkoleniami.

background image

Pisemny wymiar polityki

Pisemny wymiar polityki

bezpieczeństwa ma

bezpieczeństwa ma

uzasadnienie:

uzasadnienie:

wytyczne stosowane standardowo mają

wytyczne stosowane standardowo mają

głównie charakter informacyjny,

głównie charakter informacyjny,

każdy użytkownik musi wiedzieć, jakie

każdy użytkownik musi wiedzieć, jakie

informacje mogą być wykorzystane

informacje mogą być wykorzystane

przez

osoby

trzecie

oraz

mieć

przez

osoby

trzecie

oraz

mieć

świadomość odpowiedzialności,

świadomość odpowiedzialności,

formalizowanie działań ma na celu

formalizowanie działań ma na celu

zmniejszenie stopnia niepewności w

zmniejszenie stopnia niepewności w

działalności organizacji.

działalności organizacji.

background image

ETAPY TWORZENIA

ETAPY TWORZENIA

POLITYKI

POLITYKI

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

Pierwszy etap: zdefiniowanie zagrożeń

Pierwszy etap: zdefiniowanie zagrożeń

Drugi etap: konstruowanie

Drugi etap: konstruowanie

zabezpieczeń organizacyjnych

zabezpieczeń organizacyjnych

Trzeci etap: formowanie treści

Trzeci etap: formowanie treści

dokumentu polityki bezpieczeństwa

dokumentu polityki bezpieczeństwa

background image

ELEMENTY SKŁADOWE

ELEMENTY SKŁADOWE

POLITYKI

POLITYKI

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

Wyjaśnienia

Wyjaśnienia

Jasne sformułowania

Jasne sformułowania

Podział odpowiedzialności

Podział odpowiedzialności

Opis mechanizmów realizacji

Opis mechanizmów realizacji

polityki bezpieczeństwa

polityki bezpieczeństwa

background image

10 PRZYKAZAŃ Z

10 PRZYKAZAŃ Z

ZAKRESU

ZAKRESU

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

INFORMACJI I

INFORMACJI I

SYSTEMÓW

SYSTEMÓW

INFORMATYCZNYCH

INFORMATYCZNYCH

background image

1.

1.

Zainstaluj i dbaj w poprawną konfigurację zapory

Zainstaluj i dbaj w poprawną konfigurację zapory

ogniowej sieci, aby chronić dane dostępne przez

ogniowej sieci, aby chronić dane dostępne przez

Internet.

Internet.

2.

2.

Zadbaj o bieżące uaktualnienia zabezpieczeń.

Zadbaj o bieżące uaktualnienia zabezpieczeń.

3.

3.

Szyfruj przechowywane dane, udostępniane przez

Szyfruj przechowywane dane, udostępniane przez

Internet.

Internet.

4.

4.

Szyfruj dane przesyłane w sieci.

Szyfruj dane przesyłane w sieci.

5.

5.

Korzystaj regularnie z aktualizacji oprogramowania

Korzystaj regularnie z aktualizacji oprogramowania

antywirusowego.

antywirusowego.

6.

6.

Ogranicz dostęp do danych „koniecznie dostępnych".

Ogranicz dostęp do danych „koniecznie dostępnych".

7.

7.

Przypisz

jednoznaczne

identyfikatory

osobom

Przypisz

jednoznaczne

identyfikatory

osobom

uprawnionym do dostępu do danych.

uprawnionym do dostępu do danych.

8.

8.

Monitoruj dostęp do danych według jednoznacznych

Monitoruj dostęp do danych według jednoznacznych

identyfikatorów.

identyfikatorów.

9.

9.

Nie korzystaj z dostarczonych przez dostawcę

Nie korzystaj z dostarczonych przez dostawcę

systemu domyślnych ustawień haseł systemu i

systemu domyślnych ustawień haseł systemu i

innych parametrów bezpieczeństwa.

innych parametrów bezpieczeństwa.

10.

10.

Regularnie testuj systemy i procesy bezpieczeństwa.

Regularnie testuj systemy i procesy bezpieczeństwa.

background image

DZIĘKUJEMY ZA

DZIĘKUJEMY ZA

UWAGĘ

UWAGĘ


Document Outline


Wyszukiwarka

Podobne podstrony:
Piotr Mickiewicz Przeciwdziałanie zagrożeniu terrorystycznemu Cesarstwa Japonii w rozwiązaniach sys
Polityka bezpieczenstwa
polityka bezpieczeństwa informacji
Polityka bezp. Wykład 20.02.2011r, Sudia - Bezpieczeństwo Wewnętrzne, Semestr II, Polityka Bezpiecze
Uwarunkowania polityki bezpieczeństwa Rosji, Bezpieczeństwo nardowe, Polityka Bezpieczeństwa
Nowe centra potęgi gospodarczej i politycznej, Bezpieczeństwo Narodowe, Międzynarodowe stosunki poli
NAJWAZNIEJSZE WYDARZENIA ZWIAZANE Z POLITYKĄ BEZPIECZEŃSTWA UE, Bezpieczeństwo Wewnętrzne - Studia,
V pbp, POLITYKA BEZPIECZEŃSTWA POLSKI - Lasoń
polityka bezpieczeństwa w sieciach komputerowych, Pomoce naukowe, studia, informatyka
ODPOWIEDZI, administracja semestr II, polityka bezpieczeństwa państwa
Wspólna Polityka Bezpieczeństwa i Obrony
vi pbp, POLITYKA BEZPIECZEŃSTWA POLSKI - Lasoń
2014 vol 09 UE i FR PORÓWNANIE SKUTECZNOŚCI PROWADZENIA POLITYKI BEZPIECZEŃSTWA ENERGETYCZNEGO [NABU
Polityka bezpieczeństwa Szwecji
Polityka bezpieczeństwa i współpracy w Europie Środkowej i
PODSTAWY POLITYKI BEZPIECZENSTWA NARODOWEGO
1E1DBB5B, POLITYKA BEZPIECZEŃSTWA POLSKI - Lasoń
POLITYKA BEZPIECZEŃSTWA I HIGIENY PRACY, Polityka BHP- przykład

więcej podobnych podstron