POLITYKA
POLITYKA
BEZPIECZEŃSTWA
BEZPIECZEŃSTWA
W ROZWIĄZANIACH
W ROZWIĄZANIACH
E-BIZNESOWYCH
E-BIZNESOWYCH
Golec Joanna
Golec Joanna
Musiał Magdalena
Musiał Magdalena
Gr.1, III rok
Gr.1, III rok
POTENCJALNE
POTENCJALNE
ZAGROŻENIA SYSTEMÓW
ZAGROŻENIA SYSTEMÓW
E-BIZNESOWYCH
E-BIZNESOWYCH
Błąd człowieka
Błąd człowieka
Katastrofy naturalne
Katastrofy naturalne
Awarie systemu związane z
Awarie systemu związane z
uszkodzeniami sprzętu, oprogramowania
uszkodzeniami sprzętu, oprogramowania
oraz infrastruktury
oraz infrastruktury
Włamania do systemu
Włamania do systemu
Niebezpieczne oprogramowanie
Niebezpieczne oprogramowanie
Zagrożenia wywołane przez czynniki
Zagrożenia wywołane przez czynniki
pośrednie
pośrednie
GRUPY ZAGROŻEŃ DLA
GRUPY ZAGROŻEŃ DLA
SYSTEMÓW E-
SYSTEMÓW E-
BIZNESOWYCH
BIZNESOWYCH
Brak dostępu do usługi (denial of
Brak dostępu do usługi (denial of
service)
service)
Bezprawne użycie zasobów
Bezprawne użycie zasobów
Usunięcie/utrata danych
Usunięcie/utrata danych
Kradzież danych
Kradzież danych
Ujawnienie danych poufnych
Ujawnienie danych poufnych
Fałszowanie informacji
Fałszowanie informacji
Kradzież oprogramowania
Kradzież oprogramowania
Kradzież sprzętu
Kradzież sprzętu
Uszkodzenia systemów komputerowych
Uszkodzenia systemów komputerowych
OBSZARY ZAGROŻEŃ
OBSZARY ZAGROŻEŃ
Sprzęt
Sprzęt
-
-
uszkodzenia urządzeń, ich nieprawidłowe
uszkodzenia urządzeń, ich nieprawidłowe
działanie, błędy w oprogramowaniu urządzeń, kradzież itp.
działanie, błędy w oprogramowaniu urządzeń, kradzież itp.
Oprogramowanie
Oprogramowanie
-
-
błędy w procesie tworzenia
błędy w procesie tworzenia
programów, w algorytmach, niedostateczna jakość, luki w
programów, w algorytmach, niedostateczna jakość, luki w
systemach zabezpieczeń itp.
systemach zabezpieczeń itp.
Infrastruktura
Infrastruktura
-
-
uszkodzenia sieci energetycznych,
uszkodzenia sieci energetycznych,
telekomunikacyjnych. infrastruktury komunikacyjnej,
telekomunikacyjnych. infrastruktury komunikacyjnej,
systemów ogrzewania/chłodzenia, systemów bezpieczeństwa,
systemów ogrzewania/chłodzenia, systemów bezpieczeństwa,
monitoringu itp.
monitoringu itp.
Procedury bezpieczeństwa
Procedury bezpieczeństwa
-
-
niewłaściwe
niewłaściwe
zaprojektowanie, niedostateczne przetestowanie, zagrożenia
zaprojektowanie, niedostateczne przetestowanie, zagrożenia
„od wewnątrz", luki w procedurach bezpieczeństwa itp.
„od wewnątrz", luki w procedurach bezpieczeństwa itp.
3 POZIOMY ZABEZPIECZEŃ
3 POZIOMY ZABEZPIECZEŃ
SYSTEMÓW
SYSTEMÓW
INFORMATYCZNYCH
INFORMATYCZNYCH
Poziom aplikacji
Poziom aplikacji
– tworzenie bezpiecznych
– tworzenie bezpiecznych
aplikacji jest jednym z postulatów dotyczących
aplikacji jest jednym z postulatów dotyczących
jakości oprogramowania.
jakości oprogramowania.
Poziom warstwy pośredniczącej
Poziom warstwy pośredniczącej
–
–
mechanizmy wbudowane w systemy operacyjne
mechanizmy wbudowane w systemy operacyjne
oraz
programy
komunikacyjne
powinny
oraz
programy
komunikacyjne
powinny
eliminować
ryzyko
ujawnienia
informacji
eliminować
ryzyko
ujawnienia
informacji
poufnych.
poufnych.
Poziom protokołów komunikacyjnych
Poziom protokołów komunikacyjnych
–
–
mechanizmy warstwy komunikacyjnej powinny
mechanizmy warstwy komunikacyjnej powinny
uniemożliwiać podsłuchanie, zdekodowanie i
uniemożliwiać podsłuchanie, zdekodowanie i
odczytanie przesyłanych informacji
odczytanie przesyłanych informacji
SZYFROWANIE DANYCH
SZYFROWANIE DANYCH
SZYFROWANIE SYMETRYCZNE
SZYFROWANIE SYMETRYCZNE
SZYFROWANIE ASYMETRYCZNE
SZYFROWANIE ASYMETRYCZNE
SZYFROWANIE HYBRYDOWE
SZYFROWANIE HYBRYDOWE
SZYFROWANIE
SZYFROWANIE
SYMETRYCZNE
SYMETRYCZNE
Do szyfrowania i deszyfrowania używamy tego
Do szyfrowania i deszyfrowania używamy tego
samego klucza szyfrującego (szyfrowanie z
samego klucza szyfrującego (szyfrowanie z
pojedynczym kluczem)
pojedynczym kluczem)
Najpopularniejsze algorytmy szyfrowania to
Najpopularniejsze algorytmy szyfrowania to
np.
np.
DES (Data Encryption Standard), IDEA
DES (Data Encryption Standard), IDEA
(International Data Encryption Algorithm)
(International Data Encryption Algorithm)
Klucz musi zostać uprzednio dostarczony
Klucz musi zostać uprzednio dostarczony
(najlepiej poza siecią) nadawcy i odbiorcy -
(najlepiej poza siecią) nadawcy i odbiorcy -
jest to utrudnione w przypadku wymiany
jest to utrudnione w przypadku wymiany
informacji z dużą liczbą odbiorców
informacji z dużą liczbą odbiorców
Każdy z odbiorców dodatkowo powinien mieć
Każdy z odbiorców dodatkowo powinien mieć
odmienny klucz, a nadawca powinien
odmienny klucz, a nadawca powinien
pamiętać klucz każdego ze swoich odbiorców.
pamiętać klucz każdego ze swoich odbiorców.
SZYFROWANIE
SZYFROWANIE
SYMETRYCZNE
SYMETRYCZNE
Użytkownicy uczestniczący w komunikacji, na
Użytkownicy uczestniczący w komunikacji, na
tym schemacie - Alicja i Bolek, posługują się
tym schemacie - Alicja i Bolek, posługują się
swoimi kluczami, aby przesłać zaszyfrowaną
swoimi kluczami, aby przesłać zaszyfrowaną
wiadomość od Alicji do Bolka. Alicja poddaje
wiadomość od Alicji do Bolka. Alicja poddaje
szyfrowaniu wiadomość czytelną M z użyciem
szyfrowaniu wiadomość czytelną M z użyciem
klucza szyfrowania K. W ten sposób uzyskuje
klucza szyfrowania K. W ten sposób uzyskuje
szyfrogram S.
szyfrogram S.
Następnie szyfrogram S jest przesyłany do
Następnie szyfrogram S jest przesyłany do
Bolka,
który
poddaje
go
operacji
Bolka,
który
poddaje
go
operacji
rozszyfrowania z kluczem K i otrzymuje
rozszyfrowania z kluczem K i otrzymuje
wiadomość czytelną M.
wiadomość czytelną M.
SZYFROWANIE
SZYFROWANIE
ASYMETRYCZNE
ASYMETRYCZNE
Szyfrowanie metodą klucza publicznego
Szyfrowanie metodą klucza publicznego
Takie szyfrowanie zapewnia poufność
Takie szyfrowanie zapewnia poufność
transmitowanych danych i ich integralność
transmitowanych danych i ich integralność
(podpis elektroniczny)
(podpis elektroniczny)
Najczęściej wykorzystywanymi algorytmami
Najczęściej wykorzystywanymi algorytmami
szyfrowania asymetrycznego są RSA oraz
szyfrowania asymetrycznego są RSA oraz
algorytm szyfrujący Diffie`ego-Hallmana
algorytm szyfrujący Diffie`ego-Hallmana
Szyfrowanie odbywa się z wykorzystaniem
Szyfrowanie odbywa się z wykorzystaniem
dwóch kluczy szyfrujących (klucza prywatnego i
dwóch kluczy szyfrujących (klucza prywatnego i
publicznego)
publicznego)
Zalety: zwiększone w stosunku do szyfrowania
Zalety: zwiększone w stosunku do szyfrowania
symetrycznego bezpieczeństwo, nie ma
symetrycznego bezpieczeństwo, nie ma
konieczności przesyłania klucza prywatnego
konieczności przesyłania klucza prywatnego
Do wad szyfrowania asymetrycznego zalicza się
Do wad szyfrowania asymetrycznego zalicza się
niską wydajność
niską wydajność
SZYFROWANIE
SZYFROWANIE
ASYMETRYCZNE
ASYMETRYCZNE
Istotą
szyfrowania
asymetrycznego
jest
Istotą
szyfrowania
asymetrycznego
jest
wyodrębnienie dwóch kluczy o odmiennych
wyodrębnienie dwóch kluczy o odmiennych
rolach: klucz prywatny i klucz publiczny. I tak
rolach: klucz prywatny i klucz publiczny. I tak
przyjmujemy, że odbiorca Bolek posiada parę
przyjmujemy, że odbiorca Bolek posiada parę
kluczy: prywatny klucz kb oraz publiczny klucz
kluczy: prywatny klucz kb oraz publiczny klucz
KB. Z założenia klucz prywatny jest tajny, znany
KB. Z założenia klucz prywatny jest tajny, znany
wyłącznie
właścicielowi.
Publiczny
klucz,
wyłącznie
właścicielowi.
Publiczny
klucz,
natomiast, może być powszechnie znany. Aby
natomiast, może być powszechnie znany. Aby
Alicja mogła przekazać mu wiadomość musi
Alicja mogła przekazać mu wiadomość musi
zaszyfrować ją jego kluczem publicznym.
zaszyfrować ją jego kluczem publicznym.
Odszyfrowanie jest możliwe tylko przy użyciu
Odszyfrowanie jest możliwe tylko przy użyciu
klucza prywatnego, odpowiadającego użytemu
klucza prywatnego, odpowiadającego użytemu
uprzednio kluczowi publicznemu.
uprzednio kluczowi publicznemu.
SZYFROWANIE
SZYFROWANIE
HYBRYDOWE
HYBRYDOWE
Łączy metodę symetryczną z metodą klucza
Łączy metodę symetryczną z metodą klucza
publicznego
publicznego
Duże bezpieczeństwo i wydajność
Duże bezpieczeństwo i wydajność
Wiadomość szyfruje się kluczem
Wiadomość szyfruje się kluczem
symetrycznym, a jego przekazanie odbywa się
symetrycznym, a jego przekazanie odbywa się
za pomocą szyfrowania asymetrycznego
za pomocą szyfrowania asymetrycznego
Stosowane między innymi w systemach
Stosowane między innymi w systemach
bezpiecznej poczty elektronicznej (PEM -
bezpiecznej poczty elektronicznej (PEM -
Privacy Enhanced Mail, PGP - Pretty Good
Privacy Enhanced Mail, PGP - Pretty Good
Privacy) oraz w protokołach WWW (SSL, PCT,
Privacy) oraz w protokołach WWW (SSL, PCT,
S-HTTP)
S-HTTP)
Szyfrowanie hybrydowe eliminuje wady
Szyfrowanie hybrydowe eliminuje wady
szyfrowania symetrycznego i asymetrycznego,
szyfrowania symetrycznego i asymetrycznego,
równocześnie przejmując ich zalety
równocześnie przejmując ich zalety
TECHNOLOGIE
TECHNOLOGIE
BEZPIECZNEJ TRANSMISJI
BEZPIECZNEJ TRANSMISJI
DANYCH
DANYCH
SSL,
PCT
SSL,
PCT
-
służą
do
ustanawiania
-
służą
do
ustanawiania
bezpiecznego połączenia, poprzez wydzielenie
bezpiecznego połączenia, poprzez wydzielenie
kanału o założonym z góry (wynegocjowanym)
kanału o założonym z góry (wynegocjowanym)
poziomie bezpieczeństwa, przez który dokonuje
poziomie bezpieczeństwa, przez który dokonuje
się
autoryzacji
dostępu
oraz
przesyła
się
autoryzacji
dostępu
oraz
przesyła
dynamicznie klucze do szyfrowania kolejnych
dynamicznie klucze do szyfrowania kolejnych
porcji danych,
porcji danych,
S-HTTP
S-HTTP
- stanowi rozszerzenie standardowego
- stanowi rozszerzenie standardowego
protokołu hipertekstowego HTTP o narzędzia
protokołu hipertekstowego HTTP o narzędzia
kryptograficzne, a w szczególności o certyfikaty
kryptograficzne, a w szczególności o certyfikaty
i cyfrowe sygnatury witryn WWW; dzięki niemu
i cyfrowe sygnatury witryn WWW; dzięki niemu
możliwe jest zweryfikowanie autentyczności
możliwe jest zweryfikowanie autentyczności
pochodzenia stron internetowych,
pochodzenia stron internetowych,
TECHNOLOGIE
TECHNOLOGIE
BEZPIECZNEJ TRANSMISJI
BEZPIECZNEJ TRANSMISJI
DANYCH
DANYCH
SET
SET
- protokół zabezpieczający transakcje
- protokół zabezpieczający transakcje
dokonywane za pomocą kart kredytowych;
dokonywane za pomocą kart kredytowych;
wykorzystuje do tego celu elektroniczne podpisy
wykorzystuje do tego celu elektroniczne podpisy
zapewniające
autoryzację
posiadaczy
kart,
zapewniające
autoryzację
posiadaczy
kart,
sprzedawców i banków,
sprzedawców i banków,
Fortezza
Fortezza
- stosowana jest w instytucjach, gdzie
- stosowana jest w instytucjach, gdzie
poufność informacji ma szczególne znacznie
poufność informacji ma szczególne znacznie
(obronność, wymiar sprawiedliwości, dyplomacja
(obronność, wymiar sprawiedliwości, dyplomacja
itp.), gdzie mechanizmy zabezpieczeń muszą
itp.), gdzie mechanizmy zabezpieczeń muszą
gwarantować w 100% autentyfikację i odpowiedni
gwarantować w 100% autentyfikację i odpowiedni
poziom
szyfrowania,
konta
użytkowników
poziom
szyfrowania,
konta
użytkowników
zabezpieczone są przy użyciu kart chipowych,
zabezpieczone są przy użyciu kart chipowych,
zabezpieczonych kodem PIN, przechowujących
zabezpieczonych kodem PIN, przechowujących
unikalny kod identyfikacyjny użytkownika.
unikalny kod identyfikacyjny użytkownika.
Tworzenie bezpiecznego środowiska musi być
Tworzenie bezpiecznego środowiska musi być
procesem:
procesem:
Ciągłym
Ciągłym
obejmującym ocenę, projektowanie,
obejmującym ocenę, projektowanie,
wdrażanie rozwiązań oraz monitorowanie
wdrażanie rozwiązań oraz monitorowanie
opartym na
opartym na
ludziach, procesach i technologii
ludziach, procesach i technologii
.
.
TWORZENIE DOKUMENTU
TWORZENIE DOKUMENTU
POLITYKI
POLITYKI
BEZPIECZEŃSTWA
BEZPIECZEŃSTWA
Dokument polityki bezpieczeństwa zawiera (określa)
Dokument polityki bezpieczeństwa zawiera (określa)
odpowiednie zasady, wytyczne, nakazy i zakazy, a
odpowiednie zasady, wytyczne, nakazy i zakazy, a
także
stopień
swobody
korzystania
z
sieci
także
stopień
swobody
korzystania
z
sieci
wewnętrznej i zewnętrznej;
wewnętrznej i zewnętrznej;
Ważną
cechą
dokumentu
jest
odpowiednia
Ważną
cechą
dokumentu
jest
odpowiednia
konstrukcja, która ma sprawić, aby był on zrozumiały
konstrukcja, która ma sprawić, aby był on zrozumiały
dla każdego pracownika - napisany językiem
dla każdego pracownika - napisany językiem
potocznym, zawierał słownik pojęć technicznych,
potocznym, zawierał słownik pojęć technicznych,
prawnych, a także użytych zwrotów i sformułowali;
prawnych, a także użytych zwrotów i sformułowali;
Pisemne zobligowanie się każdego użytkownika do
Pisemne zobligowanie się każdego użytkownika do
postępowania zgodnie z ujętymi w dokumencie
postępowania zgodnie z ujętymi w dokumencie
polityki bezpieczeństwa danych wytycznymi;
polityki bezpieczeństwa danych wytycznymi;
Wprowadzenie polityki bezpieczeństwa powinno być
Wprowadzenie polityki bezpieczeństwa powinno być
wsparte odpowiednimi szkoleniami.
wsparte odpowiednimi szkoleniami.
Pisemny wymiar polityki
Pisemny wymiar polityki
bezpieczeństwa ma
bezpieczeństwa ma
uzasadnienie:
uzasadnienie:
wytyczne stosowane standardowo mają
wytyczne stosowane standardowo mają
głównie charakter informacyjny,
głównie charakter informacyjny,
każdy użytkownik musi wiedzieć, jakie
każdy użytkownik musi wiedzieć, jakie
informacje mogą być wykorzystane
informacje mogą być wykorzystane
przez
osoby
trzecie
oraz
mieć
przez
osoby
trzecie
oraz
mieć
świadomość odpowiedzialności,
świadomość odpowiedzialności,
formalizowanie działań ma na celu
formalizowanie działań ma na celu
zmniejszenie stopnia niepewności w
zmniejszenie stopnia niepewności w
działalności organizacji.
działalności organizacji.
ETAPY TWORZENIA
ETAPY TWORZENIA
POLITYKI
POLITYKI
BEZPIECZEŃSTWA
BEZPIECZEŃSTWA
Pierwszy etap: zdefiniowanie zagrożeń
Pierwszy etap: zdefiniowanie zagrożeń
Drugi etap: konstruowanie
Drugi etap: konstruowanie
zabezpieczeń organizacyjnych
zabezpieczeń organizacyjnych
Trzeci etap: formowanie treści
Trzeci etap: formowanie treści
dokumentu polityki bezpieczeństwa
dokumentu polityki bezpieczeństwa
ELEMENTY SKŁADOWE
ELEMENTY SKŁADOWE
POLITYKI
POLITYKI
BEZPIECZEŃSTWA
BEZPIECZEŃSTWA
Wyjaśnienia
Wyjaśnienia
Jasne sformułowania
Jasne sformułowania
Podział odpowiedzialności
Podział odpowiedzialności
Opis mechanizmów realizacji
Opis mechanizmów realizacji
polityki bezpieczeństwa
polityki bezpieczeństwa
10 PRZYKAZAŃ Z
10 PRZYKAZAŃ Z
ZAKRESU
ZAKRESU
BEZPIECZEŃSTWA
BEZPIECZEŃSTWA
INFORMACJI I
INFORMACJI I
SYSTEMÓW
SYSTEMÓW
INFORMATYCZNYCH
INFORMATYCZNYCH
1.
1.
Zainstaluj i dbaj w poprawną konfigurację zapory
Zainstaluj i dbaj w poprawną konfigurację zapory
ogniowej sieci, aby chronić dane dostępne przez
ogniowej sieci, aby chronić dane dostępne przez
Internet.
Internet.
2.
2.
Zadbaj o bieżące uaktualnienia zabezpieczeń.
Zadbaj o bieżące uaktualnienia zabezpieczeń.
3.
3.
Szyfruj przechowywane dane, udostępniane przez
Szyfruj przechowywane dane, udostępniane przez
Internet.
Internet.
4.
4.
Szyfruj dane przesyłane w sieci.
Szyfruj dane przesyłane w sieci.
5.
5.
Korzystaj regularnie z aktualizacji oprogramowania
Korzystaj regularnie z aktualizacji oprogramowania
antywirusowego.
antywirusowego.
6.
6.
Ogranicz dostęp do danych „koniecznie dostępnych".
Ogranicz dostęp do danych „koniecznie dostępnych".
7.
7.
Przypisz
jednoznaczne
identyfikatory
osobom
Przypisz
jednoznaczne
identyfikatory
osobom
uprawnionym do dostępu do danych.
uprawnionym do dostępu do danych.
8.
8.
Monitoruj dostęp do danych według jednoznacznych
Monitoruj dostęp do danych według jednoznacznych
identyfikatorów.
identyfikatorów.
9.
9.
Nie korzystaj z dostarczonych przez dostawcę
Nie korzystaj z dostarczonych przez dostawcę
systemu domyślnych ustawień haseł systemu i
systemu domyślnych ustawień haseł systemu i
innych parametrów bezpieczeństwa.
innych parametrów bezpieczeństwa.
10.
10.
Regularnie testuj systemy i procesy bezpieczeństwa.
Regularnie testuj systemy i procesy bezpieczeństwa.
DZIĘKUJEMY ZA
DZIĘKUJEMY ZA
UWAGĘ
UWAGĘ