BPI w2 31.10.08

Bezpieczeństwo informacji - informacja we wszelkiej możliwej postaci dokumentów papierowych plików danych w systemach komputerowych zawarta w „głowach” pracowników przekazywana podczas rozmów telefonicznie itd.

Bezpieczeństwo teleinformacyjne - informacja przekazywana za pomocą technicznych środków łączności

Bezpieczeństwo teleinformatyczne - informacja przetwarzana, przechowywana i przesyłana w systemach teleinformatycznych.

Co to jest bezpieczeństwo?

Poczucie bezpieczeństwa wiąże się z obawami, że można coś stracić. Nie jest ani stanem, ani procesem. Związane z zaufaniem, że nie poniesiemy strat. Wpływ na zaufanie ma siła ochrony informacji.

Słownik - potocznie termin oznacza niepodleganie obawie, spokój, pewność, że się nic złego nie stanie.

Cel ochrony informacji przed zagrożeniem - zapewnieni ciągłości prowadzonej działalności, minimalizacja strat i maksymalizacja zwrotu nakładów na inwestycje i działania o charakterze biznesowym.

Bezpieczeństwo informacji - stopień uzasadnionego (np. analizą ryzyka) zaufania, że nie zostaną poniesione potencjalne straty wynikające z niepożądanego (przypadkowego lub świadomego)

- ujawnienia,

- modyfikacji,

- zniszczenia,

- uniemożliwienia przetwarzania

informacji przechowywanej przetwarzanej i przesyłanej w firmowym systemie obiegu informacji.

Bezpieczeństwo teleinformatyczne - jw. tyle że za pomocą systemów teleinformatycznych.

Podstawowe atrybuty informacji związane z jej ochroną:

- tajność - informuje o stopniu ochrony jakiej ma ona podlegać. Stopień ten jest uzgadniany przez osoby lub organizacje dostarczające i otrzymujące informację (z tajnością jest ściśle związana dotycząca ludzi poufność, czyli prawo jednostki do decydowania o tym jakimi informacjami i z kim chce się podzielić i jakie jest skłonna przyjąć).

- integralność - informuje czy dane i informacje są poprawne nienaruszone i nie zostały poddane manipulacji

- dostępność - informuje czy dane procesy i aplikacje są dostępne zgodnie z wymaganiami użytkownika (lub systemu)

Inne atrybuty np. rozliczalność (identyfikacja użytkowników i wykorzystywanych przez nich usług).

Uwierzytelnianie, autoryzacja i weryfikacja autoryzacji.

Wymienione procesy są podstawą do poprawnej ochrony przed nieupoważnionym dostępem do informacji i nosicieli:

- uwierzytelnianie - proces sprawdzający czy podmiot jest uprawniony do działania w systemie i w razie pozytywnej identyfikacji dopuszczający podmiot do dalszych działań w systemie

-weryfikacja autoryzacji - proces sprawdzający jakie uprawnienia w systemie ma podmiot i w razie pozytywnej weryfikacji żądań podmiotu dopuszczający go do dalszych działań w systemie

Nie należy mylić uwierzytelniania podmiotów z uwierzytelnianiem danych .

Uwierzytelnianie podmiotów

Metody:

1. Weryfikacja przedmiotu posiadanego przez użytkownika - użytkownik otrzymuje dostęp do zasobów na podstawie identyfikacji przez element systemu ochrony przedmiotu, przepustki klucza karty magnetycznej itd.

2. Weryfikacja cech fizycznych użytkownika - metody biometryczne, polegające na identyfikacji podmiotu (przez El. Systemu ochrony) przez porównanie ze wzorcem wybranych cech biometrycznych (odciski palców, tęczówki oka, głosu itd.) Urządzenia do biometrycznej kontroli dostępu szybko tanieją. Problemy:

1. Ochrona baz wzorców biometrycznych

2. Minimalizacja fałszywych identyfikacji

3. Rozpoznawanie żywotności podmiotu

3. Weryfikacja użytkownika - sprawdzanie poprzez El. Syst. Ochrony informacji znanej wyłącznie użytkownikowi. Najprostszą i najczęściej stosowaną formą realizacji jest sprawdzanie hasła. Najczęściej stosowana metoda.

W praktyce w celu podniesienia wiarygodności weryfikacji w systemie kontroli dostępu stosuje się kombinacje tych metod.

Hasło:

- powinno być skutecznie chronione przed nieuprawnionym wykorzystaniem (podobnie jak prywatny klucz kryptograficzny)

- powinno być trudne do odgadnięcia (długość, repertuar znaków, przypadkowość zestawienia)

- im dłuższe hasło tym skuteczniejsza ochrona (ten efekt może zniszczyć zła implementacja systemu haseł - por. casus Windows NT)

- im dłużej używane tym więcej czasu ma intruz na złamanie i wykorzystanie

- nie powinno być przechowywane w postaci jawnej (drukowane czy wyświetlane)

ale

hasła osób o szczególnych uprawnieniach w systemie (np. administratorów) lub zarządzających aplikacjami i/lub systemami powinny być zapisane i przechowywane w bezpiecznym, znanym i dostępnym przełożonym miejscu

- współczesne systemy operacyjne udostępniają administratorowi szereg możliwości w zakresie zarządzania hasłami (długość, częstość zmian, powtórzenia itd.)

Warianty systemów haseł:

- z hasłami prostymi

- z hasłami jednorazowymi

- systemy dialogowe (metoda pytań i odpowiedzi)

SSO - Single Sign On - mechanizm z pomocą którego jedna akcją uwierzytelniania oraz autoryzacji umożliwia użytkownikowi uzyskanie dostępu do wszystkich komputerów oraz systemów do których dany użytkownik ma uprawnienia dostępu.

Ataki na uwierzytelnianie

1. bezpośrednie - przejęcie elementu uwierzytelnianego (hasło, token) ewentualnej obróbce i nieuprawnionym wykorzystaniu.

2. pośrednie - wykorzystanie podatności systemu uwierzytelniania związanych z przesyłaniem informacji uwierzytelniających

1. podsłuch sieciowy

2. przechwytywanie i odtwarzanie informacji uwierzytelniającej (atak powtórzeniowy)

3. przejęcie uwierzytelnionej sesji

3. typu „social engineering” - obserwacja, oddziaływanie na użytkowników systemu uwierzytelniania oraz przeszukanie środowiska pracy atakowanego użytkownika w celu przejęcia informacji (elementu) uwierzytelniającej.

Podstawowe klasy systemów autoryzacji podmiotów:

- systemy zamknięte - obowiązuje zasada: to co nie jest dozwolone jest zabronione

- systemy otwarte - to co nie jest zabronione jest dozwolone.

Producenci oprogramowania stosują zwykle jedną z dwu zasad przy domyślnym instalowaniem swoich produktów:

- ze względu na ochronę informacji (i ogólnej, bezpieczeństwo), preferowane są systemy zamknięte

- ze względu na wygodę użytkownika preferowane są systemy otwarte.

Podstawowe sposoby zapisu danych uwierzytelniających i autoryzacyjnych:

- bilety - każdy podmiot przechowuje listę wzorców bitowych (tzw. Biletów po jednym dla każdego obiektu) do dostępu do którego jest uprawniony. Przykład implementacji - system Kerberos.

- listy - każdy chroniony obiekt ma listę wszystkich podmiotów uprawnionych do dostępu do niego. Przykład implementacji - listy ACL urządzeń sieciowych.

Dostęp do informacji i nosicieli

Problem można rozpatrywać na czterech wzajemnie powiązanych poziomach działań:

1. organizacyjnych (przełożonych użytkownika)

2. technicznych (administratora systemu i służb ochrony)

3. operacyjnych (użytkownika w systemie)

4. programowych i sprzętowych podsystemu kontroli dostępu systemu teleinformatycznego)

Działania organizacyjne przełożonych:

- opracowanie i wdrożenie polityki i procedur bezpieczeństwa

- dopuszczenia użytkowników zgodnie z wymogami realizowanych zadań służbowych do pracy z informacją. Wynik - stwierdzenie rękojmi bezpieczeństwa i przyznanie certyfikatu osobowego zawierające podstawowe dane autoryzacyjne użytkownika (proces autoryzacji)

- klasyfikacja informacji, na koniec procesu cała informacja powinna mieć przypisane etykiety i pogrupowana w odpowiednie kategorie

- akredytacja systemu - warunek konieczny pomyślne zakończenie oceny zdolności systemu do ochrony takich informacji, potwierdzone przyznaniem certyfikatu

---