1

Technologie
w organizacjach
wirtualnych

2

Technologia wirtualna



To taki rodzaj technologii
informacyjnej, która pozwala
na oddziaływanie na sterowane
przez komputer środowisko
rzeczywiste, bądź emulowane
komputerowo.

3

Funkcjonalna klasyfikacja
technologii



Komunikacja – Internet (technologia

szerokopasmowa), sieci lokalne,



Magazynowanie – bazy danych,



Monitorowanie i skanowanie – technologie

monitorujące i skanujące,



Analiza – systemy zarządzania informacją,



Modelowanie – technologie umożliwiające

tworzenie replik rozmaitych systemów a

następnie analizowanie następstw

podejmowanych decyzji; programy kreujące

rzeczywistość,

4

Funkcjonalna klasyfikacja
technologii c.d.



Projektowanie – technologie do
testowania i analizowania koncepcji
projektu w przestrzeni wirtualnej,
jeszcze przed zbudowaniem prototypu,



Produkcja – systemy kontrolowane
przez roboty,



Świadczenie usług – technologie
umożliwiające świadczenie usług przez
kanały technologiczne.

Do najistotniejszych atrybutów
bezpieczeństwa SI zaliczamy:



poufność – gwarantującą, że dostęp do danych

przechowywanych i przetwarzanych w systemie

mają tylko osoby do tego uprawnione;



integralność – gwarantującą, że dane przesyłane w

czasie transakcji elektronicznej nie są przez nikogo

modyfikowane;



autentyczność – pozwalająca stwierdzić, czy osoba

podpisująca się pod transakcją jest rzeczywiście

osobą, za którą się podaje;



niezaprzeczalność – niepozwalajacą wyprzeć się

faktu nadania lub odbioru komunikatu drogą

elektroniczną;



dostępność – gwarantującą stały dostęp do

systemu;



niezawodność – gwarantującą, że system działa w

sposób, jakiego się od niego oczekuje.

Podział ataków na bezpieczeństwo SI

Bezpieczeństwo SI



bezpieczeństwie w obszarze
klienta,



bezpieczeństwie transmisji,



bezpieczeństwie w obszarze
serwera.

Zagrożenia bezpieczeństwa danych
przetwarzanych podczas transakcji
elektronicznych



zagrożenia wspólne dla serwera i

klienta, związane z podsłuchiwaniem lub

modyfikacją danych przesyłanych sieciami,



zagrożenia serwera, związane z atakami

na zasoby serwera,



zagrożenia klienta, związane z

procedurami logowania się do systemu

oraz pracy z oprogramowaniem klienta.

Zagrożenia klienta



zagrożenia kompromitacji parametrów dostępu do

systemu (identyfikator, hasło, lista haseł

jednorazowych, PIN do tokena), będące

następstwem łamania brutalnego, podsłuchu w

sieci lokalnej, podsłuchu elektromagnetycznego,

zastosowania oprogramowania szpiegującego;



manipulacje sprzętem i oprogramowaniem, mające

na celu zmiany ich funkcjonalności niewidoczne dla

użytkownika,



błędy w oprogramowaniu standardowym (przede

wszystkim w przeglądarkach),



błędy w oprogramowaniu klienta

(niestandardowym),



wirusy.

Zagrożenia wspólne



sniffing, czyli podsłuchiwanie, dzięki któremu

można wejść w posiadanie danych przesyłanych

sieciami;



spoofing, który polega na podszywaniu się pod

inny komputer w sieci, czyli wysyłaniu

sfałszowanych pakietów do danej maszyny, aż do

przejęcia całej sesji użytkownika z daną maszyną

włącznie (session hijacking);



network snooping, czyli wstępne rozpoznawanie

parametrów sieci, zwłaszcza pod katem

stosowanych narzędzi bezpieczeństwa;



sabotaż komputerowy i cyberterroryzm.

Zagrożenia serwera to:



DOS (Denial of Service), czyli atak, w którym jeden

użytkownik zajmuje tyle dzielonych zasobów systemu, że

następny użytkownik nie może z nich skorzystać;



Wykorzystanie specyficznych programów, umożliwiających

ingerencję w systemy informatyczne,



Uzyskiwanie dostępu do systemów przez furtki (trap doors),



Ataki na bazy danych;



Wszystkie inne zagrożenia związane z funkcjonowaniem stron

WWW;



Nielojalność i nieuczciwość pracowników banku;



Błędy i przeoczenia personelu obsługującego system;



Zagrożenia losowe, środowiskowe, czyli powodzie, pożary,

wyładowania atmosferyczne, awarie zasilania, brud, kurz itp.;



Sabotaż komputerowy i cyberterroryzm.

Charakterystyka i szacunek
rozmiarów zagrożeń dla systemów

Kategorie środków
ochrony:



Prawne



Fizyczne



Techniczne



Programowe



Organizacyjne



Kontroli dostępu



Kryptograficzne

Prawne



Ustawa o ochronie tajemnicy państwowej i służbowej.



Ustawa o ochronie danych osobowych.



Ustawa o ochronie informacji niejawnych.



Rozporządzenie prezesa Rady Ministrów w sprawie

podstawowych wymagań bezpieczeństwa systemów i sieci

teleinformatycznych. (Dz.U.1999, nr 18)



Kodeks pracy (Dz.U. 1974, nr 24)



Kodeks karny (Dz.U. 1997, nr 88)



Ustawa o elektronicznych instrumentach płatniczych (Dz.U.

2002, nr 169)



Ustawa o podpisie elektronicznym (Dz.U. 2001, nr 130)

Fizyczne



urządzenia przeciwwłamaniowe,



sejfy,



alarmy,



urządzenia ochrony przeciwpożarowej,



pomieszczenia odpowiednio
przystosowane do pracy komputerów,



rozwiązania architektoniczne,



urządzenia klimatyzacyjne.

Techniczne



urządzenia podtrzymujące zasilanie,



karty magnetyczne i mikroprocesorowe,



urządzenia do identyfikacji osób na podstawie linii

papilarnych, głosu, siatkówki oka itp., (tzw.

Urządzenia biometryczne),



urządzenia wykorzystywane do tworzenia kopii

zapasowych wraz z metodami ich stosowania,



sprzętowe blokady dostępu do klawiatur, napędów

dysków itp.,



urządzenia i rozwiązania chroniące przed emisją

ujawniającą,



optymalizacja konfiguracji sprzętowej komputerów,



dublowanie okablowania,



dublowanie centrów obliczeniowych i baz danych.

Programowe



dzienniki systemowe (logi) - rejestrujące dane pozwalające

na późniejszą identyfikację,



programy śledzące, czyli mechanizmy umożliwiające

monitoring pracy użytkowników systemu w czasie

rzeczywistym,



mechanizmy rozliczania, czyli rozwiązania pozwalające na

identyfikację wykonawców określonych operacji w

systemie,



programy antywirusowe,



zapory ogniowe (firewall), w tym także personal firewall ,



programy wykrywające słabe hasła istniejące w systemie,

czyli narzędzie pracy administratorów,



mechanizmy zabezpieczania statystycznych baz danych,



kody korekcyjne (mechanizmy umożliwiające identyfikację

i korygowanie błędów transmisji danych).

Organizacyjne



polityka bezpieczeństwa,



analiza ryzyka,



szkolenia użytkowników,



monitoring systemu i wykrywanie
anomalii.

Kontroli dostępu



hasło dostępu wprowadzane w całości podczas

procedury logowania,



dodatkowe hasło wprowadzane częściowo (np.

wybrane losowo przez serwer znaki),



jawna lista haseł jednorazowych,



kryptograficzna karta elektroniczna,



token lub inne urządzenie działające na zasadzie

pytanie-odpowiedź,



podpis cyfrowy (realizowany bez stosowania

infrastruktury klucza publicznego),



bezpieczny podpis cyfrowy realizowany z

wykorzystaniem infrastruktury klucza publicznego.

Wady i zalety metod kontroli

Metody

uwierzytelnieni
a

Wady

Zalety

Co użytkownik
zna (hasła,
numery

identyfikacyjne

Brak możliwości
udowodnienia
prawa własności

użytkownika do
danej informacji

Łatwość implementacji.
Wygoda użytkownika.

Co użytkownik
ma (karty

magnetyczne,
tokeny)

Brak możliwości
udowodnienia

prawa własności
użytkownika do
danej informacji
Zawodność
techniczna.

Niewysokie koszty
techniczne. Problemy z

podrabianiem kart.

Kom

użytkownik jest
(metody
biometryczne)

Bardzo wysokie

koszty urządzeń
rozpoznających.

Duża efektywność

wynikająca z
wystarczającej stałości w
czasie cech
charakterystycznych

człowieka. Wygoda
użytkownika.

Kryptograficzne



algorytmy symetryczne,



klucze asymetryczne,



podpis cyfrowy,



protokoły.

Systemy biometryczne

Metody biometryczne
badają



cechy fizyczne - tęczówka oka, siatkówka (dno
oka), linie papilarne, układ naczyń
krwionośnych na dłoni lub przegubie ręki,
kształt dłoni, kształt linii zgięcia wnętrza dłoni,
kształt ucha, twarz, rozkład temperatur na
twarzy, kształt i rozmieszczenie zębów,
zapach, DNA itp.



cechy behawioralne - związane z zachowaniem
np. sposób chodzenia, podpis odręczny,
sposób pisania na klawiaturze komputera, głos.

O każdej z cech można
powiedzieć, że:



ma unikalny charakter dla każdego człowieka.

np.:



tęczówka człowieka posiada około 260 unikalnych

cech, które raczej nie ulegają zmianie w trakcie

życia,



biometryka rogówki działa na zasadzie analizy

charakterystycznego wzoru naczyń krwionośnych

znajdujących się na dnie oka,



układ żył pozostaje taki sam przez całe życie,



nie można jej "wypożyczyć" innej osobie czy

ukraść,



nie można jej "zostawić" w czytniku czy

zagubić.

Układ naczyń
krwionośnych



uniwersalność – metoda może być wykorzystywana przez
każdego bowiem wszyscy ludzie posiadają naczynia o szer.
0.3-1.0 mm w warstwach podskórnych palca;



unikalność - niepowtarzalność indywidualnych cech we
wzorcach układu naczyniowego - formowanie się układu
krwionośnego człowieka odbywa się pierwszym etapie
ontogenezy;



niezmienność - istnieje niezwykle małe
prawdopodobieństwo zmiany wzorca naczyń krwionośnych.
Zmiana taka może być rezultatem ciężkich zapaleń naczyń
lub nowotworów, ale występuje bardzo rzadko.

Odcisk palca



uniwersalność – wszystkie opuszki palców pokryte są
maleńkimi bruzdami, tworzącymi wzgórza i doliny.



unikalność – odcisk palca jest jedną z cech
niepowtarzalnych dla każdego człowieka. Jego układ
jest wynikiem marszczenia się skóry w czasie rozwoju
płodowego. Kształt linii papilarnych jest zupełnie
przypadkowy;



niezmienność - kształt elementów wyróżniających
odcisk palca nie zmienia się przez całe życie. Nie
zmieniają tego układu nawet niewielkie urazy skóry.

Tęczówka



uniwersalność – z metody może korzystać każdy, nie
stanowią problemu okulary czy szkła kontaktowe,



unikalność - tęczówka oka kształtuje się w ciągu 2
pierwszych lat naszego życia. Punktów
charakterystycznych jest aż 266. Jest to parokrotnie
więcej niż punktów charakterystycznych odcisku palca.



niezmienność - tęczówka oka pozostaje niezmienna aż
do śmierci (poza mechanicznym uszkodzeniem i
przypadkiem raka nie zanotowano odstępstw od tej
reguły). De facto tęczówka ulega zniszczeniu w
maksymalnie 5 sekund po zgonie.

Metody biometryczne oparte
są o trzy etapowy proces:



pobranie (utrwalenie) (capture) – fizycznych

próbek od użytkowników i zapisanie ich jako

obowiązujących szablonów,



porównanie (comparison) – szablonu z nową

próbką użytkownika, chcącego skorzystać z

dostępu do SI np. z bankomatu wyposażonego w

skaner biometryczny,



dopasowanie (matching) –system decyduje czy

uzyskana próbka pasuje do szablonu czy nie. Jeżeli

pasują to użytkownik dostaje dostęp.



Według badań przeprowadzonych przez
firmę Unisys, 66% klientów na świecie,
preferuje te instytucje, które stosują
identyfikację biometryczną zamiast
haseł, kart chipowych i tokenów.
Rozwiązania takie uważają nie tylko za
bezpieczne, ale przede wszystkim za
wyjątkowo wygodne.

Czynniki sukcesu rozwoju
metod biometrycznych



czynniki technologiczne



dokładność - mierzona w czasie liczba

odrzuconych i zaakceptowanych transakcji

błędnych i fałszywych, liczba wejść zakończonych

niepowodzeniem, zdolność do weryfikacji,



elastyczność - systemy biometryczne wymagają

pewnej tolerancji błędów, związanych głównie ze

zmianą indywidualnych cech np. pojawianiem się

zmarszczek,



prywatność i poufność – konieczność zapewnienia

bezpieczeństwa przechowywania danych

biometrycznych i procedury ich uaktualniania.

Czynniki sukcesu rozwoju
metod biometrycznych



czynniki finansowe:



koszty namacalne – koszty wdrożenia i testowania
systemu, koszty szkoleń, koszty utrzymania systemu,



aktywa niematerialne – podniesienie bezpieczeństwa,
zwiększenie wygody klientów zwiększa
konkurencyjność i przekłada się na wyniki finansowe,



kwestia zrównoważenia kosztów - długoterminowa
stabilność i trwałość czynników biometrycznych
równoważy koszty wprowadzenia takich rozwiązań. Nie
ma konieczności ponoszenia kosztów związanych
wymianą np. tokenów czy kart.

Czynniki sukcesu rozwoju
metod biometrycznych



czynniki organizacyjne:



poparcie kadry zarządzającej - zainteresowanie kadry
zarządzającej wprowadzeniem metod
biometrycznych, dostępność środków na
wprowadzenie projektu, świadomość pracowników, co
do problemów etycznych i kulturowych związanych ze
stosowaniem metod biometrycznych;



dostępność zasobów – dostępność wykwalifikowanej
kadry, możliwość dostosowania infrastruktury
biometrycznej do struktury bezpieczeństwa,
możliwość przeprowadzania szkoleń;

Czynniki sukcesu rozwoju
metod biometrycznych



czynniki prawne i etyczne:



konieczność dostosowania się do regulacji
prawnych i przepisów związanych z
zagadnieniami biometrycznymi,



kwestie społeczne i psychologiczne – związane
niekorzystnym wpływem na zdrowie człowieka
fal radioaktywnych i podczerwieni oraz obawą o
bezpieczeństwo przechowywanych próbek
(obrazów twarzy, siatkówek, odcisków palców
czy DNA).

Przykłady zastosowań



W 1996 zastosowano metody biometryczne przez Diebolg w RPA w

bankomacie, który wykorzystywał weryfikacje odcisku palca.



Identyfikacja na podstawie układu naczyń krwionośnych dłoni

stosowana jest od 2005 roku w bankomatach w Japonii.



W Arabii Saudyjskiej Al Rajhi Bank wykorzystuje bankomaty

biometryczne do dystrybucji miesięcznych emerytur i zasiłków w

całym królestwie.



największym na świecie wykorzystaniem systemu identyfikacji

biometrycznej może pochwalić się Banco Azteca z Meksyku. W

2008 roku 75% ich klientów dzięki technologii biometrycznej miała

możliwość po raz pierwszy w życiu korzystać z usług bankowych;



w 2006 roku brazylijski bank Banco Bradesco’s wprowadził

identyfikacje na podstawie rozmieszczenia naczyń krwionośnych

dłoni do weryfikacji klientów korzystających z bankomatów;



w 2007 roku Canara Bank w Indiach wprowadził biometryczne

bankomaty w celu umożliwienia ludności w biednych rejonach

dostępu do usług bankowych.

Bankomaty biometryczne



Identyfikacja na podstawie

układu naczyń krwionośnych

dłoni (stosowana w bankomatach w

Japonii)



Zalety:



układ żył pozostaje taki sam

przez całe życie,



nie jest to metoda wymagająca

kontaktu