1
Technologie
w organizacjach
wirtualnych
1
Technologie
w organizacjach
wirtualnych
2
Technologia wirtualna
To taki rodzaj technologii
informacyjnej, która pozwala
na oddziaływanie na sterowane
przez komputer środowisko
rzeczywiste, bądź emulowane
komputerowo.
3
Funkcjonalna klasyfikacja
technologii
Komunikacja – Internet (technologia
szerokopasmowa), sieci lokalne,
Magazynowanie – bazy danych,
Monitorowanie i skanowanie – technologie
monitorujące i skanujące,
Analiza – systemy zarządzania informacją,
Modelowanie – technologie umożliwiające
tworzenie replik rozmaitych systemów a
następnie analizowanie następstw
podejmowanych decyzji; programy kreujące
rzeczywistość,
4
Funkcjonalna klasyfikacja
technologii c.d.
Projektowanie – technologie do
testowania i analizowania koncepcji
projektu w przestrzeni wirtualnej,
jeszcze przed zbudowaniem prototypu,
Produkcja – systemy kontrolowane
przez roboty,
Świadczenie usług – technologie
umożliwiające świadczenie usług przez
kanały technologiczne.
Do najistotniejszych atrybutów
bezpieczeństwa SI zaliczamy:
poufność – gwarantującą, że dostęp do danych
przechowywanych i przetwarzanych w systemie
mają tylko osoby do tego uprawnione;
integralność – gwarantującą, że dane przesyłane w
czasie transakcji elektronicznej nie są przez nikogo
modyfikowane;
autentyczność – pozwalająca stwierdzić, czy osoba
podpisująca się pod transakcją jest rzeczywiście
osobą, za którą się podaje;
niezaprzeczalność – niepozwalajacą wyprzeć się
faktu nadania lub odbioru komunikatu drogą
elektroniczną;
dostępność – gwarantującą stały dostęp do
systemu;
niezawodność – gwarantującą, że system działa w
sposób, jakiego się od niego oczekuje.
Podział ataków na bezpieczeństwo SI
Bezpieczeństwo SI
bezpieczeństwie w obszarze
klienta,
bezpieczeństwie transmisji,
bezpieczeństwie w obszarze
serwera.
Zagrożenia bezpieczeństwa danych
przetwarzanych podczas transakcji
elektronicznych
zagrożenia wspólne dla serwera i
klienta, związane z podsłuchiwaniem lub
modyfikacją danych przesyłanych sieciami,
zagrożenia serwera, związane z atakami
na zasoby serwera,
zagrożenia klienta, związane z
procedurami logowania się do systemu
oraz pracy z oprogramowaniem klienta.
Zagrożenia klienta
zagrożenia kompromitacji parametrów dostępu do
systemu (identyfikator, hasło, lista haseł
jednorazowych, PIN do tokena), będące
następstwem łamania brutalnego, podsłuchu w
sieci lokalnej, podsłuchu elektromagnetycznego,
zastosowania oprogramowania szpiegującego;
manipulacje sprzętem i oprogramowaniem, mające
na celu zmiany ich funkcjonalności niewidoczne dla
użytkownika,
błędy w oprogramowaniu standardowym (przede
wszystkim w przeglądarkach),
błędy w oprogramowaniu klienta
(niestandardowym),
wirusy.
Zagrożenia wspólne
sniffing, czyli podsłuchiwanie, dzięki któremu
można wejść w posiadanie danych przesyłanych
sieciami;
spoofing, który polega na podszywaniu się pod
inny komputer w sieci, czyli wysyłaniu
sfałszowanych pakietów do danej maszyny, aż do
przejęcia całej sesji użytkownika z daną maszyną
włącznie (session hijacking);
network snooping, czyli wstępne rozpoznawanie
parametrów sieci, zwłaszcza pod katem
stosowanych narzędzi bezpieczeństwa;
sabotaż komputerowy i cyberterroryzm.
Zagrożenia serwera to:
DOS (Denial of Service), czyli atak, w którym jeden
użytkownik zajmuje tyle dzielonych zasobów systemu, że
następny użytkownik nie może z nich skorzystać;
Wykorzystanie specyficznych programów, umożliwiających
ingerencję w systemy informatyczne,
Uzyskiwanie dostępu do systemów przez furtki (trap doors),
Ataki na bazy danych;
Wszystkie inne zagrożenia związane z funkcjonowaniem stron
WWW;
Nielojalność i nieuczciwość pracowników banku;
Błędy i przeoczenia personelu obsługującego system;
Zagrożenia losowe, środowiskowe, czyli powodzie, pożary,
wyładowania atmosferyczne, awarie zasilania, brud, kurz itp.;
Sabotaż komputerowy i cyberterroryzm.
Charakterystyka i szacunek
rozmiarów zagrożeń dla systemów
Kategorie środków
ochrony:
Prawne
Fizyczne
Techniczne
Programowe
Organizacyjne
Kontroli dostępu
Kryptograficzne
Prawne
Ustawa o ochronie tajemnicy państwowej i służbowej.
Ustawa o ochronie danych osobowych.
Ustawa o ochronie informacji niejawnych.
Rozporządzenie prezesa Rady Ministrów w sprawie
podstawowych wymagań bezpieczeństwa systemów i sieci
teleinformatycznych. (Dz.U.1999, nr 18)
Kodeks pracy (Dz.U. 1974, nr 24)
Kodeks karny (Dz.U. 1997, nr 88)
Ustawa o elektronicznych instrumentach płatniczych (Dz.U.
2002, nr 169)
Ustawa o podpisie elektronicznym (Dz.U. 2001, nr 130)
Fizyczne
urządzenia przeciwwłamaniowe,
sejfy,
alarmy,
urządzenia ochrony przeciwpożarowej,
pomieszczenia odpowiednio
przystosowane do pracy komputerów,
rozwiązania architektoniczne,
urządzenia klimatyzacyjne.
Techniczne
urządzenia podtrzymujące zasilanie,
karty magnetyczne i mikroprocesorowe,
urządzenia do identyfikacji osób na podstawie linii
papilarnych, głosu, siatkówki oka itp., (tzw.
Urządzenia biometryczne),
urządzenia wykorzystywane do tworzenia kopii
zapasowych wraz z metodami ich stosowania,
sprzętowe blokady dostępu do klawiatur, napędów
dysków itp.,
urządzenia i rozwiązania chroniące przed emisją
ujawniającą,
optymalizacja konfiguracji sprzętowej komputerów,
dublowanie okablowania,
dublowanie centrów obliczeniowych i baz danych.
Programowe
dzienniki systemowe (logi) - rejestrujące dane pozwalające
na późniejszą identyfikację,
programy śledzące, czyli mechanizmy umożliwiające
monitoring pracy użytkowników systemu w czasie
rzeczywistym,
mechanizmy rozliczania, czyli rozwiązania pozwalające na
identyfikację wykonawców określonych operacji w
systemie,
programy antywirusowe,
zapory ogniowe (firewall), w tym także personal firewall ,
programy wykrywające słabe hasła istniejące w systemie,
czyli narzędzie pracy administratorów,
mechanizmy zabezpieczania statystycznych baz danych,
kody korekcyjne (mechanizmy umożliwiające identyfikację
i korygowanie błędów transmisji danych).
Organizacyjne
polityka bezpieczeństwa,
analiza ryzyka,
szkolenia użytkowników,
monitoring systemu i wykrywanie
anomalii.
Kontroli dostępu
hasło dostępu wprowadzane w całości podczas
procedury logowania,
dodatkowe hasło wprowadzane częściowo (np.
wybrane losowo przez serwer znaki),
jawna lista haseł jednorazowych,
kryptograficzna karta elektroniczna,
token lub inne urządzenie działające na zasadzie
pytanie-odpowiedź,
podpis cyfrowy (realizowany bez stosowania
infrastruktury klucza publicznego),
bezpieczny podpis cyfrowy realizowany z
wykorzystaniem infrastruktury klucza publicznego.
Wady i zalety metod kontroli
Metody
uwierzytelnieni
a
Wady
Zalety
Co użytkownik
zna (hasła,
numery
identyfikacyjne
Brak możliwości
udowodnienia
prawa własności
użytkownika do
danej informacji
Łatwość implementacji.
Wygoda użytkownika.
Co użytkownik
ma (karty
magnetyczne,
tokeny)
Brak możliwości
udowodnienia
prawa własności
użytkownika do
danej informacji
Zawodność
techniczna.
Niewysokie koszty
techniczne. Problemy z
podrabianiem kart.
Kom
użytkownik jest
(metody
biometryczne)
Bardzo wysokie
koszty urządzeń
rozpoznających.
Duża efektywność
wynikająca z
wystarczającej stałości w
czasie cech
charakterystycznych
człowieka. Wygoda
użytkownika.
Kryptograficzne
algorytmy symetryczne,
klucze asymetryczne,
podpis cyfrowy,
protokoły.
Systemy biometryczne
Metody biometryczne
badają
cechy fizyczne - tęczówka oka, siatkówka (dno
oka), linie papilarne, układ naczyń
krwionośnych na dłoni lub przegubie ręki,
kształt dłoni, kształt linii zgięcia wnętrza dłoni,
kształt ucha, twarz, rozkład temperatur na
twarzy, kształt i rozmieszczenie zębów,
zapach, DNA itp.
cechy behawioralne - związane z zachowaniem
np. sposób chodzenia, podpis odręczny,
sposób pisania na klawiaturze komputera, głos.
O każdej z cech można
powiedzieć, że:
ma unikalny charakter dla każdego człowieka.
np.:
tęczówka człowieka posiada około 260 unikalnych
cech, które raczej nie ulegają zmianie w trakcie
życia,
biometryka rogówki działa na zasadzie analizy
charakterystycznego wzoru naczyń krwionośnych
znajdujących się na dnie oka,
układ żył pozostaje taki sam przez całe życie,
nie można jej "wypożyczyć" innej osobie czy
ukraść,
nie można jej "zostawić" w czytniku czy
zagubić.
Układ naczyń
krwionośnych
uniwersalność – metoda może być wykorzystywana przez
każdego bowiem wszyscy ludzie posiadają naczynia o szer.
0.3-1.0 mm w warstwach podskórnych palca;
unikalność - niepowtarzalność indywidualnych cech we
wzorcach układu naczyniowego - formowanie się układu
krwionośnego człowieka odbywa się pierwszym etapie
ontogenezy;
niezmienność - istnieje niezwykle małe
prawdopodobieństwo zmiany wzorca naczyń krwionośnych.
Zmiana taka może być rezultatem ciężkich zapaleń naczyń
lub nowotworów, ale występuje bardzo rzadko.
Odcisk palca
uniwersalność – wszystkie opuszki palców pokryte są
maleńkimi bruzdami, tworzącymi wzgórza i doliny.
unikalność – odcisk palca jest jedną z cech
niepowtarzalnych dla każdego człowieka. Jego układ
jest wynikiem marszczenia się skóry w czasie rozwoju
płodowego. Kształt linii papilarnych jest zupełnie
przypadkowy;
niezmienność - kształt elementów wyróżniających
odcisk palca nie zmienia się przez całe życie. Nie
zmieniają tego układu nawet niewielkie urazy skóry.
Tęczówka
uniwersalność – z metody może korzystać każdy, nie
stanowią problemu okulary czy szkła kontaktowe,
unikalność - tęczówka oka kształtuje się w ciągu 2
pierwszych lat naszego życia. Punktów
charakterystycznych jest aż 266. Jest to parokrotnie
więcej niż punktów charakterystycznych odcisku palca.
niezmienność - tęczówka oka pozostaje niezmienna aż
do śmierci (poza mechanicznym uszkodzeniem i
przypadkiem raka nie zanotowano odstępstw od tej
reguły). De facto tęczówka ulega zniszczeniu w
maksymalnie 5 sekund po zgonie.
Metody biometryczne oparte
są o trzy etapowy proces:
pobranie (utrwalenie) (capture) – fizycznych
próbek od użytkowników i zapisanie ich jako
obowiązujących szablonów,
porównanie (comparison) – szablonu z nową
próbką użytkownika, chcącego skorzystać z
dostępu do SI np. z bankomatu wyposażonego w
skaner biometryczny,
dopasowanie (matching) –system decyduje czy
uzyskana próbka pasuje do szablonu czy nie. Jeżeli
pasują to użytkownik dostaje dostęp.
Według badań przeprowadzonych przez
firmę Unisys, 66% klientów na świecie,
preferuje te instytucje, które stosują
identyfikację biometryczną zamiast
haseł, kart chipowych i tokenów.
Rozwiązania takie uważają nie tylko za
bezpieczne, ale przede wszystkim za
wyjątkowo wygodne.
Czynniki sukcesu rozwoju
metod biometrycznych
czynniki technologiczne
dokładność - mierzona w czasie liczba
odrzuconych i zaakceptowanych transakcji
błędnych i fałszywych, liczba wejść zakończonych
niepowodzeniem, zdolność do weryfikacji,
elastyczność - systemy biometryczne wymagają
pewnej tolerancji błędów, związanych głównie ze
zmianą indywidualnych cech np. pojawianiem się
zmarszczek,
prywatność i poufność – konieczność zapewnienia
bezpieczeństwa przechowywania danych
biometrycznych i procedury ich uaktualniania.
Czynniki sukcesu rozwoju
metod biometrycznych
czynniki finansowe:
koszty namacalne – koszty wdrożenia i testowania
systemu, koszty szkoleń, koszty utrzymania systemu,
aktywa niematerialne – podniesienie bezpieczeństwa,
zwiększenie wygody klientów zwiększa
konkurencyjność i przekłada się na wyniki finansowe,
kwestia zrównoważenia kosztów - długoterminowa
stabilność i trwałość czynników biometrycznych
równoważy koszty wprowadzenia takich rozwiązań. Nie
ma konieczności ponoszenia kosztów związanych
wymianą np. tokenów czy kart.
Czynniki sukcesu rozwoju
metod biometrycznych
czynniki organizacyjne:
poparcie kadry zarządzającej - zainteresowanie kadry
zarządzającej wprowadzeniem metod
biometrycznych, dostępność środków na
wprowadzenie projektu, świadomość pracowników, co
do problemów etycznych i kulturowych związanych ze
stosowaniem metod biometrycznych;
dostępność zasobów – dostępność wykwalifikowanej
kadry, możliwość dostosowania infrastruktury
biometrycznej do struktury bezpieczeństwa,
możliwość przeprowadzania szkoleń;
Czynniki sukcesu rozwoju
metod biometrycznych
czynniki prawne i etyczne:
konieczność dostosowania się do regulacji
prawnych i przepisów związanych z
zagadnieniami biometrycznymi,
kwestie społeczne i psychologiczne – związane
niekorzystnym wpływem na zdrowie człowieka
fal radioaktywnych i podczerwieni oraz obawą o
bezpieczeństwo przechowywanych próbek
(obrazów twarzy, siatkówek, odcisków palców
czy DNA).
Przykłady zastosowań
W 1996 zastosowano metody biometryczne przez Diebolg w RPA w
bankomacie, który wykorzystywał weryfikacje odcisku palca.
Identyfikacja na podstawie układu naczyń krwionośnych dłoni
stosowana jest od 2005 roku w bankomatach w Japonii.
W Arabii Saudyjskiej Al Rajhi Bank wykorzystuje bankomaty
biometryczne do dystrybucji miesięcznych emerytur i zasiłków w
całym królestwie.
największym na świecie wykorzystaniem systemu identyfikacji
biometrycznej może pochwalić się Banco Azteca z Meksyku. W
2008 roku 75% ich klientów dzięki technologii biometrycznej miała
możliwość po raz pierwszy w życiu korzystać z usług bankowych;
w 2006 roku brazylijski bank Banco Bradesco’s wprowadził
identyfikacje na podstawie rozmieszczenia naczyń krwionośnych
dłoni do weryfikacji klientów korzystających z bankomatów;
w 2007 roku Canara Bank w Indiach wprowadził biometryczne
bankomaty w celu umożliwienia ludności w biednych rejonach
dostępu do usług bankowych.
Bankomaty biometryczne
Identyfikacja na podstawie
układu naczyń krwionośnych
dłoni (stosowana w bankomatach w
Japonii)
Zalety:
układ żył pozostaje taki sam
przez całe życie,
nie jest to metoda wymagająca
kontaktu