![Page 1: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/1.jpg)
Problemy bezpieczeństwa systemów informatycznych
Tylko system zapewniający całkowite bezpieczeństwo pracy oraz danych
może być akceptowany jako narzędzie biznesowe!
Dlatego projektowanie systemów informacyjnych musi być związane z gwarancją ich bezpiecznej pracy!
![Page 2: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/2.jpg)
Jakość systemu informacyjnego główne czynniki
Poprawność określa, czy oprogramowanie wypełnia postawione przed nim zadania i czy jest wolne od błędów. Łatwość użycia jest miarą stopnia łatwości korzystania z oprogramowania.Czytelność pozwala na określenie wysiłku niezbędnego do zrozumienia oprogramowania.Ponowne użycie charakteryzuje przydatność oprogramowania, całego lub tylko pewnych fragmentów, do wykorzystania w innych produktach programistycznych. Stopień strukturalizacji (modularność) określa, jak łatwo oprogramowanie daje się podzielić na części o dobrze wyrażonej semantyce i dobrze wyspecyfikowanej wzajemnej interakcji.Efektywność opisuje stopień wykorzystania zasobów sprzętowych i programowych stanowiących podstawę działania oprogramowania.Przenaszalność mówi o łatwości przenoszenia oprogramowania na inne platformy sprzętowe czy programowe.Skalowalność opisuje zachowanie się oprogramowania przy rozroście liczby użytkowników, objętości przetwarzanych danych, dołączaniu nowych składników, itp. Współdziałanie charakteryzuje zdolność oprogramowania do niezawodnej współpracy z innym niezależnie skonstruowanym oprogramowaniem.
![Page 3: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/3.jpg)
Systemy informatyczne,
które nie spełniają odpowiednich
kryteriów jakościowych oraz
niezawodnościowych należy oddać
na złom
![Page 4: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/4.jpg)
Poza względami merytorycznymi za
stosowaniem zabezpieczeń
przemawiają także względy emocjonalne.
Przykro jest pomyśleć, że wnętrze naszego systemu komputerowego, które dla wielu
staje się bez mała drugim domem, penetrują różne paskudne wirusy komputerowe czy
robaki sieciowe!
![Page 5: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/5.jpg)
Każdy projektant Systemu Informatycznego musi dążyć do implementacji w nim także
Systemu Zarządzania Bezpieczeństwem Informacji
(SZBI, ang. ISMS) Odpowiednie działania należy prowadzić zgodnie z normami:
• PN-I-07799-2:2005 (BS-7799-2)• PN ISO/IEC 17799:2003 (BS-7799-1)
z uwzględnieniem najnowszych rewizji wspomnianych norm, czyli:
• ISO/IEC 27001:2005• ISO/IEC 17799:2005
![Page 6: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/6.jpg)
Pojęcie „bezpieczeństwa” wiąże się z wieloma aspektami życia i może być postrzegane w różny sposób.
• Jak podaje słownik języka polskiego:
• „Bezpieczeństwo” to stan niezagrożenia, spokoju, pewności [Szymczak 2002],
• „Bezpieczeństwo” to pojęcie trudne do zdefiniowania. Sytuacja, w której istnieją formalne, instytucjonalne, praktyczne gwarancje ochrony [Smolski i in.1999].
![Page 7: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/7.jpg)
Z praktycznego punktu widzenia zadowalająca jest definicja:
Bezpieczeństwo systemu komputerowego – stan systemu komputerowego, w którym ryzyko
urzeczywistnienia się zagrożeń związanych z jego funkcjonowaniem jest ograniczone
do akceptowalnego poziomu.
![Page 8: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/8.jpg)
Klasyfikacja zagrożeń 1:ze względu na charakter przyczyny:
świadoma i celowa działalność człowieka - chęć rewanżu, szpiegostwo, wandalizm, terroryzm, chęć zaspokojenia własnych ambicji
wydarzenie losowe - błędy i zaniedbania ludzkie, awarie sprzętu i oprogramowania, temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia w zasilaniu, klęski żywiołowe, wyładowania atmosferyczne, katastrofy
![Page 9: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/9.jpg)
Klasyfikacja zagrożeń 2:
ze względu na umiejscowienie źródła zagrożenia:
wewnętrzne - mające swoje źródło wewnątrz organizacji użytkującej system informacyjny
zewnętrzne - mające swoje źródło na zewnątrz organizacji (poprzez sieć komputerową, za pośrednictwem wirusów komputerowych)
![Page 10: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/10.jpg)
Trzeba pamiętać, że przyczyną kryzysu jest zawsze najsłabiej
chroniony element
1
2 3 45
67
8910
1
2 3 45
67
8910
![Page 11: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/11.jpg)
Sposoby budowy wysokiego poziomu bezpieczeństwa systemu
ProceduryWytyczne i Plany
ProceduryWytyczne i Plany
DLACZEGO
CO
JAK
StandardyStandardy
PolitykaPolityka
![Page 12: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/12.jpg)
Typy najczęściej spotykanych zagrożeń w sieci komputerowej
fałszerstwo komputerowe, włamanie do systemu, czyli tzw. hacking, oszustwo, a w szczególności manipulacja danymi, manipulacja programami, oszustwa, jakim są manipulacje wynikami, sabotaż komputerowy, piractwo, podsłuch, niszczenie danych oraz programów komputerowych
![Page 13: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/13.jpg)
Klasyfikacja ataków na systemy komputerowe:
atak fizyczny,
atak przez uniemożliwienie działania,
atak przez wykorzystanie „tylnego wejścia”,
atak poprzez błędnie skonfigurowaną usługę,
atak przez aktywne rozsynchronizowanie tcp
![Page 14: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/14.jpg)
Wpływ poszczególnych czynników na bezpieczeństwo
systemów komputerowych:
![Page 15: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/15.jpg)
Na tworzenie warunków bezpieczeństwa
systemów komputerowych
w firmie składają się działania technicznetechniczne
i działania organizacyjneorganizacyjne
![Page 16: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/16.jpg)
Dla zachowania bezpieczeństwa przetwarzania
informacji stosowane są różne techniki:
![Page 17: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/17.jpg)
Łatwiejsze do zdefiniowaniai do wyegzekwowaniawyegzekwowania są
z reguły działania techniczne
Najważniejsze z działań technicznych polegają na szyfrowaniuszyfrowaniu przesyłanych
i przechowywanych informacji oraz korzystanie z techniki
podpisówpodpisów elektronicznychelektronicznych
![Page 18: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/18.jpg)
Bezpieczne algorytmy realizacji transakcji w
sieciach komputerowych oparte są na kryptografii
Najczęściej stosowanymi algorytmamialgorytmami kryptograficznymi z kluczem kryptograficznymi z kluczem
jawnym,jawnym, mającymi na celu ochronę danych podczas transmisji
internetowych wykorzystywanych w handlu elektronicznym, są algorytmy
RSA i ElGamala.
![Page 19: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/19.jpg)
Można rozważać różne kategorie ryzyka
![Page 20: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/20.jpg)
Etapy przygotowania strategii zabezpieczeń
1. Sprecyzowanie, co i przed czym mamy chronić, czyli określenie zasobów chronionych i zagrożeń.2. Określenie prawdopodobieństwa poszczególnych zagrożeń3. Określenie zabezpieczeń, czyli, w jaki sposób
chronimy zasoby 4. Ciągłe analizowanie SI i zabezpieczeń w celu
aktualizacji procedur zabezpieczających poprawiania jego ewentualnych błędów
![Page 21: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/21.jpg)
Ryzyka można unikać albo można nim świadomie sterować
![Page 22: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/22.jpg)
![Page 23: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/23.jpg)
![Page 24: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/24.jpg)
Wybór strategii
zarządzania ryzykiem
w procesie planowania
zabezpieczeń
![Page 25: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/25.jpg)
Atrybuty systemu informacyjnego, wynikające z wymogu jego
bezpieczeństwa:
Dostępność - system i informacje mogą być osiągalne przez uprawnionego użytkownika w każdym czasie i w wymagany przez niego sposób.
![Page 26: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/26.jpg)
Poufność - informacje ujawniane są wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób
N ieu p ra w n io n yu żytk o w n ik
![Page 27: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/27.jpg)
Prywatność - prawo jednostki do decydowania o tym, w jakim stopniu będzie się dzielić z innymi swymi myślami, uczuciami i faktami ze swojego życia osobistego
L A N , M A N ,W A N ,W L A N
z ja kich korzysta serw isów ?z kim p row a d zi koresp on d en cję?
co ku p u je?
w ja kim jest w ieku ?ja kie m a d och od y?co g o in teresu je?ja ki m a za w ód ?
![Page 28: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/28.jpg)
Integralność - cecha danych i informacji oznaczająca ich dokładność i kompletność oraz utrzymanie ich w tym stanie
b a d a n iep op ra w n ościi kom p letn ościd a n ych
za b ezp ieczen ie p rzed :- u su w a n iem ,- u szkod zen iem ,- m od yfika cjąd a n ych .
![Page 29: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/29.jpg)
Uwierzytelnianie osób – zagwarantowanie, że osoba korzystająca z systemu jest rzeczywiście tą, za którą się podaje.
J a cek K rys ia lo g in : k rys ia p a ssw o rd : * * *
![Page 30: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/30.jpg)
Uwierzytelnianie informacji – zagwarantowanie, że informacja rzeczywiście pochodzi ze źródła, które jest w niej wymienione
J a cek
K rysia
Z a m ó w ien ie .... ..... K rys ia
![Page 31: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/31.jpg)
Niezaprzeczalność – brak możliwości zaprzeczenia faktowi wysłania lub odebrania informacji
W ia d o m o ść
N ie, ja teg on ie
w ysła łem !
N ie, ja teg on ie
od eb ra łem !
![Page 32: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/32.jpg)
Zagadnieniom bezpieczeństwa systemów informatycznych poświęcone są liczne
normy i standardy (polskie i międzynarodowe)
•PN-I-13335-1:1999, •PN-ISO/IEC 17799:2003, •ISO/IEC JTC 1-SC27, •ISO/IEC JTC 1-SC6 •... i wiele innych.
Trzeba ich bezwzględnie przestrzegać!
![Page 33: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/33.jpg)
Zasoby systemu informacyjnego zapewniające jego prawidłowei bezpieczne funkcjonowanie:ludzkie - potencjał wiedzy ukierunkowany na rozwiązywanie problemów systemu; użytkownicy pełniący role nadawców i odbiorców informacji oraz adresaci technologii informacyjnych;
informacyjne - zbiory danych przeznaczone do przetwarzania (bazy danych, metod, modeli, wiedzy);
proceduralne - algorytmy, procedury, oprogramowanie;
techniczne - sprzęt komputerowy, sieci telekomunikacyjne, nośniki danych.
![Page 34: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/34.jpg)
Zasoby systemu informatycznego są cenne i muszą być chronione
Należy jednak pamiętać o bardzo ważnej zasadzie:
„Nie należy na ochronę zasobu przeznaczać więcej niż jest on wart.”
![Page 35: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/35.jpg)
Techniki ograniczania ryzyka są kosztowne, więc trzeba ustalić
opłacalny poziom zabezpieczeń
-0,1
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
1,1
100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
Koszt poniesiony w przypadku wystąpienia incydentu
Koszt zmniejszenia ryzyka
Równowaga
![Page 36: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/36.jpg)
Punkt równowagi zależy od stopnia
krytyczności zabezpieczanego
systemu
-0,1
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
1,1
100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
Koszt poniesiony w przypadku wystąpienia incydentu
Koszt zmniejszenia ryzyka
Równowaga
-0,1
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
1,1
100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
Koszt poniesiony w przypadku wystąpienia incydentu
Koszt zmniejszenia ryzyka
Równowaga
![Page 37: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/37.jpg)
Sama wartość zasobu to nie wszystko. Przy szacowaniu należy również wziąć
pod uwagę kilka czynników:
•straty spowodowane jego utratą,
•straty wynikające z nieosiągniętych zysków,
•koszty straconego czasu,
•koszty napraw i zmian,
•koszty pozyskania nowego zasobu.
![Page 38: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/38.jpg)
Przeciętny koszt godzinnej awarii systemu informacyjnego
Charakter Firmy Koszt jednogodzinnej awarii w tys. dolarów
Brokerska 6480 Energetyczna 2800
Karty Kredytowe 2580 Telekomunikacyjna 2000
Wytwórcza 1600 Finansowa 1500
Sprzedaż detaliczna 1100 Farmaceutyczna 1000
Chemiczna 704 Ochrona Zdrowia 636
Rezerwacja Biletów Lotniczych 90
![Page 39: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/39.jpg)
Głównym kryterium przy tworzeniu hierarchii ważności zasobów jest ich wpływ na funkcjonowanie systemu:
•zasoby strategiczne - decydują o strategii przedsiębiorstwa. Wymagania ochronne bardzo wysokie,•zasoby krytyczne – mają wpływ na bieżące funkcjonowanie przedsiębiorstwa. Wymagania ochronne wysokie,•zasoby autoryzowane – podlegają ochronie na podstawie ogólnie obowiązujących przepisów. Wymagania ochronne umiarkowane, •zasoby powszechnie dostępne – ogólnie dostępne.
Wymagania ochronne – brak.
![Page 40: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/40.jpg)
Nieco dokładniejsza klasyfikacja stopnia poufności danych
Informacjapubliczna
Informacja doużytkuwewnętrznego
Informacjaprywatna
Własnośćzastrzeżonafirmy
Informacjapoufna firmy
TajemnicaPrzedsiębiorstwa
TajemnicaPaństwowa
![Page 41: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/41.jpg)
Dobrze zaprojektowany system informacyjny musi być gotowy do odparcia ataku z każdej strony!
![Page 42: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/42.jpg)
Jest zawsze mnóstwo osób, które chcą się dostać do zawartości naszych komputerów
![Page 43: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/43.jpg)
Większość poważnych incydentów związanych z zagrożeniem systemów informatycznych było spowodowane nieostrożnością personelu, który
miał legalny dostęp do systemu
Jak powiedział kiedyś Albert Einstein:
„Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co
do tego pierwszego nie mam pewności”
![Page 44: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/44.jpg)
Problem zagrożenia systemów informatycznych narasta
50 75 100 105 126
7411013
1196 1222
2516
0
500
1000
1500
2000
2500
3000
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005
Lata
Licz
ba in
cyde
ntów
![Page 45: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/45.jpg)
Zabezpieczenia realizują jedną lub wiele następujących funkcji:
uświadamianie
wykrywanie
odstraszanie
poprawianie
odtwarzanie
monitorowanie
ograniczanie
zapobieganie
Funkcje
zabezpieczeń
![Page 46: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/46.jpg)
Podział zabezpieczeń
Podział
Zabezpieczenia
fizyczne
Zabezpieczenia
techniczne
Zabezpieczenia
personalne
Zabezpieczenia organizacyjne
![Page 47: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/47.jpg)
Zabezpieczenia techniczne
Zabezpieczenia techniczne
Kopie zapasowe
Programy antywirusowe
Firewall
Wirtualne Sieci Prywatne (VPN)
Zabezpieczenia
poczty elektronicznej
Programowe i sprzętowe
systemy uwierzytelniania użytkowników
![Page 48: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/48.jpg)
Zacznijmy od zagadnień bezpieczeństwa fizycznego
Najczęściej system informatyczny jest niedostępny z banalnego powodu:
braku zasilania
Alternatywne źródła zasilania systemów komputerowychZasilacze awaryjne (UPS - Uninterruptible Power Supply)
![Page 49: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/49.jpg)
Różne konfiguracje zasilania awaryjnegoRozproszone zasilanie awaryjne:
Centralne zasilanie awaryjne:
![Page 50: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/50.jpg)
Dłuższą niezależność od zasilania gwarantują Agregaty prądotwórcze
Źródło zasilania: benzyna, olej napędowy, gaz ziemny, gaz płynny;
Czas osiągania pełnej sprawności – kilkanaście lub kilkadziesiąt sekund (dlatego muszą być stosowane łącznie z zasilaczami UPS);
czas nieprzerwanej pracy – do kilkunastu dni.
![Page 51: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/51.jpg)
Ważne jest także, by nie utracić ważnych danych nawet w sytuacji poważnej awarii
Ważne jest także, by nie utracić ważnych danych nawet w sytuacji poważnej awarii
![Page 52: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/52.jpg)
Dublowanie dyskówTechnologia RAID:
Redundant Array of Independent/Inexpensive Disks
Nadmiarowa macierz niezależnych/niedrogich dysków
![Page 53: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/53.jpg)
RAID 0 (disk striping, paskowanie dysków)
rośnie wydajność systemu (jednoczesny zapis kolejnych bloków danych),
zastosowanie technologii RAID 0 nie zwiększa poziomu bezpieczeństwa (czasami nawet zmniejsza).
![Page 54: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/54.jpg)
RAID 1 (mirroring, obraz lustrzany)
technika ta zapewnia wysoki poziom bezpieczeństwa,
łączna pojemność wynosi 50% sumarycznej pojemności dysków.
![Page 55: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/55.jpg)
RAID 3 (stripe set with parity, paskowanie z oddzielnym dyskiem przechowującym bity parzystości)
![Page 56: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/56.jpg)
Zasada działaniaZapis danych:
Dysk Wartości dysk 1 - dane 1 1 1 0 1 1 0 0 dysk 2 - dane 1 0 1 1 0 0 1 1 dysk 3 - dane 0 1 0 0 1 1 0 1 dysk 4 - bity parzystości (XOR) 0 0 0 1 0 0 1 0
Odtwarzanie danych:
Dysk Przed awarią Awaria dysku z danymi 1 – dane 1 1 1 0 1 1 0 0 1 1 1 0 1 1 0 0 2 – dane 1 0 1 1 0 0 1 1 x x x x x x x x 3 – dane 0 1 0 0 1 1 0 1 0 1 0 0 1 1 0 1 4 - bity parzystości 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 Odtworzenie 1 0 1 1 0 0 1 1
![Page 57: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/57.jpg)
Właściwości RAID 3
•RAID 3 zapewnia wzrost wydajności i wzrost bezpieczeństwa,
•pozwala na odtworzenie danych po awarii jednego z dysków,
•zapewnia lepsze wykorzystanie powierzchni dysku niż RAID 10 (tylko jeden dysk przechowuje dodatkowe informacje /bity parzystości/),
•wymaga zastosowania przynajmniej trzech dysków,
•jakakolwiek modyfikacja danych wymaga uaktualnienia zapisów na dysku parzystości; może to powodować spadek wydajności systemu w sytuacji (konieczne jest oczekiwanie na dokonanie zmian na dysku zawierającym bity parzystości).
![Page 58: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/58.jpg)
RAID 5 bity parzystości rozproszone na wszystkich dyskach
Technologia zbliżona do RAID 3 - ale nie powoduje spadku wydajności spowodowanego oczekiwaniem na dokonanie zapisu na dysku parzystości,
pozwala na zwiększenie wydajności i zapewnia bezpieczeństwo danych.
![Page 59: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/59.jpg)
Sposobem zwiększenia bezpieczeństwa danych jest tworzenie kopii
1 ty
dzie
ń
1 dz
ień
1 go
dzin
a
1 m
inut
a
1 se
kund
aIn
cyde
nt1
seku
nda
1 m
inut
a
1 go
dzin
a
1 dz
ień
1 ty
dzie
ń
Koszt kopii
Aktualność ostatniej kopii(utracone dane)
Czas przywracania danych z kopii(utracone korzyści)
e-biznes
serwer WWW
ERP
CRM
![Page 60: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/60.jpg)
Rodzaje kopii stosowane do zabezpieczenia systemu
Rodzaj kopii Kopia pełna Kopia różnicowa Kopia przyrostowa
Kopiowane dane wszystkie danedane od ostatniej kopii
pełnejdane od ostatniej kopii
Zaleta
szybkie odtwarzanie
danych w przypadku
awarii
stosunkowo szybkie
odtwarzanieszybkie wykonywanie
Wadadługi czas
dokonywania kopii
średni czas wykonywania
rosnący wraz z liczbą
kopii od ostatniej pełnej
powolne odtwarzanie
(uszkodzenie choć jednej
powoduje utratę późniejszych
danych)
![Page 61: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/61.jpg)
Narzędzia do archiwizacji danych
Archiwum
Pamięć dyskowa
Menedżer nośników danych
Monitor danych
Narzędzie dostępu doarchiwum
![Page 62: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/62.jpg)
Zaawansowane systemy pamięci zewnętrznej
Wymogi stawiane systemom pamięci zewnętrznej:
•duża pojemność,•odporność na awarie,•możliwość współdzielenia danych (urządzenia są współużytkowane przez wiele systemów komputerowych).
![Page 63: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/63.jpg)
Systemy typu SAS (Server Attached Storage)
Se rwe r
S ie ć
P am ię ćm as o wa
![Page 64: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/64.jpg)
Systemy typu NAS (Network Attached Storage)
Se rwe r
S ie ć
P am ię ćm as o wa
Se rwe rSe rwe r
P am ię ćm as o wa
P am ię ćm as o wa
![Page 65: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/65.jpg)
Systemy typu SAN (Storage Area Network)
Se rwe r
S ie ć
P am ię ćm as o wa
Se rwe rSe rwe r
P am ię ćm as o wa
P am ię ćm as o wa
SAN - S ie ćpam ię c i
m as o wyc h
Se rwe r SANzarządzanie
s ie c iąpam ię c i
m as o wyc h
![Page 66: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/66.jpg)
Kopie zapasowe można podzielić ze względu na strategie dodawania plików
do tworzonej kopii:
• Kopia pełna• Kopia przyrostowa • Kopia różnicowa
![Page 67: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/67.jpg)
Kopia pełna – kopiowaniu podlegają wszystkie pliki, niezależnie od daty ich ostatniej modyfikacji. Wada: wykonywania kopii jest czasochłonne. Zaleta: odzyskiwanie danych jest
szybkie
![Page 68: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/68.jpg)
Kopia pełna
Komputer roboczy
Kopiowanie wszystkich plików
Upływ zadanegointerwału czasu
Kopiowanie wszystkich plików
Upływ zadanegointerwału czasu
Kopiowanie wszystkich plików
Odtwarzanie po awarii
![Page 69: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/69.jpg)
Kopia różnicowa – kopiowane są pliki, które zostały zmodyfikowane od czas utworzenia ostatniej pełnej kopii.
Wada: odtworzenie danych wymaga odtworzenia ostatniego pełnego backupu oraz ostatniej kopii
różnicowej
Zaleta: czas wykonywania kopii jest stosunkowo krótki (na początku!)
![Page 70: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/70.jpg)
Kopia różnicowa
Komputer roboczy
Kopiowanie wszystkich plików
Upływ zadanegointerwału czasu
Kopiowanie wszystkich plików zmienionych od ostatniej p.k.
Upływ zadanegointerwału czasu
Kopiowanie wszystkich plików zmienionych od ostatniej p.k.
Odtwarzanie po awarii
![Page 71: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/71.jpg)
Kopia przyrostowa – kopiowane są jedynie pliki, które zostały zmodyfikowane od czasu tworzenia ostatniej pełnej lub przyrostowej kopii.
Wada: przed zrobieniem tej kopii należy wykonać kopie pełną oraz odtworzenie danych wymaga odtworzenia ostatniego pełnego backupu oraz wszystkich kopii przyrostowych
Zaleta: czas wykonywania kopii jest dość krótki
![Page 72: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/72.jpg)
Kopia przyrostowa
Komputer roboczy
Kopiowanie wszystkich plików
Upływ zadanegointerwału czasu
Kopiowanie wszystkich plików zmienionych od ostatniej kopii
Upływ zadanegointerwału czasu
Kopiowanie wszystkich plików zmienionych od ostatniej kopii
Odtwarzanie po awarii
![Page 73: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/73.jpg)
Główne przyczyny awarii systemów
Sieć 17%
Ludzkie błędy 18%
Inne 7%
Oprogramowanie 27%
Klęski żywiołowe i czynniki zewnętrzne 8%
Sprzęt 23%
![Page 74: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/74.jpg)
Sposoby zapewnienia dostępności pracy systemu informatycznego oraz ich koszty
Odzyskiwanie danych po katastrofie
K lastry Usługi i aplikacje Zarządzanie klientami Otoczenie lokalne
K opie Bezpieczeństwa
Zagadnienia siec iowe Zarządzanie przestrzenią dyskową
Projektowanie i administracja systemu
DOSTEPNOŚĆ
NAKŁADY FINANSOWE
Replikacja
![Page 75: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/75.jpg)
Co oznacza określony poziom niezawodności i dostępności systemu
informatycznego
I lość "dziewiątek"
Procentowa dostępność systemu w
roku
Czas trwania awarii w roku
J ednostka
Czas trwania awarii w tygodniu
J ednostka
1 90% 37 Dni 17 Godziny
2 99% 3,65 Dni 1,41 Godziny
3 99,9% 8,45 Godziny 10,5 Minuty
4 99,99% 52,5 Minuty 1 Minuty
5 99,999% 5,25 Minuty 6 Sekundy
6 99,9999% 31,5 Sekundy 0,6 Sekundy
![Page 76: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/76.jpg)
Ze sprawami bezpieczeństwa nie należy przesadzać!
Pożądany poziom zabezpieczeń zależy od profilu instytucji:
Profil instytucji i poziom zabezpieczenia
Profil instytucji
Poziomzabezpieczenia
systemuinformacyjnego
Uszkodzenie systemu informacyjnego prowadzi do całkowitego załamaniainstytucji i może mieć poważne konsekwencje polityczne, społeczne lubekonomiczne.
maksymalny
W przypadku uszkodzenia systemu informacyjnego część organizacji nie możefunkcjonować. Dłuższe utrzymywanie się tego stanu może mieć poważnekonsekwencje dla instytucji lub jej partnerów.
wysoki
Konsekwencją poważnego i długotrwałego uszkodzenia systemu informacyjnegomoże być upadek instytucji.
średni
Uszkodzenie systemu informacyjnego może spowodować jedynie niewielkieperturbacje w funkcjonowaniu instytucji.
niski
![Page 77: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/77.jpg)
Rozwiązania klastroweKlaster - grupa połączonych ze sobą komputerów.
Klaster zapewnia:
•wysoką wydajność,•dostępność,•odporność na awarie.
![Page 78: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/78.jpg)
Klastry wysokiej dostępności - komputery mogące zamiennie
realizować swoje zadania.
![Page 79: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/79.jpg)
Schemat aplikacji internetowej wraz z elementami jej zabezpieczenia
Baza Danych
Server Plików
Server Aplikacji (WWW)
Server FTP
Internet
Firewall
Stacje Klienckie
Użytkownicy
![Page 80: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/80.jpg)
Przykładowe rozwiązanie systemu o zwiększonej dostępności
Lokalizacja Kraków
Lokalizacja Gdańsk
UŻYTKOWNICY
INTERNETWIRTUALNE IP
DYSKI WSPÓŁDZIELONE SERVER 2SERVER 1
PODWÓJNA SIEĆ HEARTBEAT
WIRTUALNE IP
DYSKI WSPÓŁDZIELONE SERVER 4SERVER 3
PODWÓJNA SIEĆ HEARTBEAT
Podwójna szybka sieć geograficzna
![Page 81: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/81.jpg)
VERITAS Cluster Server przed i po awarii jednego komputera
FTP
ORACLE
NFS
POCZTA
WWW
DRUK
SWITCH
SAN 2SAN 1
Serwer 1 Serwer 2 Serwer 3
FTP
ORACLE
NFS
POCZTA
WWW
DRUK
SWITCH
SAN 2SAN 1
Serwer 1 Serwer 2 Serwer 3
WWW DRUK
![Page 82: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/82.jpg)
Elementy klastrów wysokiej dostępności:
Elementy sprzętowe systemów klasy HA:•serwery (realizujące usługi WWW, obsługę poczty, DNS, ...),•sieci łączące (Ethernet, sieci światłowodowe),•systemy pamięci masowej -
–tablice RAID, –rozwiązania klasy SAN.
Elementy programowe systemów klasy HA:•oprogramowanie wykrywające awarię,•oprogramowanie pozwalające na przejęcie zadań uszkodzonego elementu,•oprogramowanie pozwalające na równoważenie obciążeń.
![Page 83: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/83.jpg)
Bezpieczeństwo z informatycznego punktu widzenia to:
•Stan, w którym komputer jest bezpieczny, jego użytkownik może na nim polegać, a
zainstalowane oprogramowanie działa zgodnie ze stawianymi mu oczekiwaniami [Garfinkel, Stafford 1997],•Miara zaufania, że system i jego dane pozostaną nienaruszone
[Adamczewski 2000].
![Page 84: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/84.jpg)
Dziesięć tak zwanych „niezmiennych zasad
bezpieczeństwa” Zasady te sformułowane przez pracownika firmy Microsoft Scott’a Culp’a w 2000 roku, pomimo ogromnego postępu dokonującego się w dziedzinie zabezpieczeń, w dalszym ciągu są aktualne i obrazują słabości wszystkich dostępnych systemów zabezpieczeń
![Page 85: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/85.jpg)
1.Jeżeli osoba o złych zamiarach potrafi zmusić użytkownika do uruchomienia jej programu na jego komputerze, to komputer ten przestaje być jego komputerem.
2.Jeżeli osoba o złych zamiarach potrafi zmienić system operacyjny w komputerze użytkownika, to komputer ten przestaje być jego komputerem.
3.Jeżeli osoba o złych zamiarach miała nieograniczony dostęp fizyczny do komputera użytkownika, to komputer ten przestaje być jego komputerem.
4.Jeżeli osoba o złych zamiarach będzie w stanie umieścić programy w witrynie sieci Web danej organizacji, to witryna ta przestaje być jej witryną.
![Page 86: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/86.jpg)
5. Słabe hasła niwelują silne zabezpieczenia. Nawet jeśli system został zaprojektowany w sposób bezpieczny, ale użytkownicy oraz administratorzy używają pustych lub łatwych do odgadnięcia haseł, to wszelkie zabezpieczenia staną się nieefektywne w momencie złamania któregoś z haseł przez atakującego.
6. Komputer jest bezpieczny jedynie w takim stopniu, w jakim jego administrator jest godny zaufania.
![Page 87: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/87.jpg)
7. Zaszyfrowane dane są bezpieczne jedynie w takim stopniu, w jakim jest bezpieczny klucz deszyfrujący. Żaden algorytm szyfrujący nie zabezpieczy szyfrogramu przed napastnikiem, który posiada lub może zdobyć klucz deszyfrujący. Samo szyfrowanie nie jest rozwiązaniem problemów biznesowych, jeżeli w organizacji nie istnieją dobrze określone i przestrzegane procedury związane z zarządzaniem kluczami.
8. Nie aktualizowane skanery antywirusowe są tylko trochę lepsze niż całkowity brak.
9. Całkowita anonimowość jest niepraktyczna, zarówno w życiu jak i Internecie.
![Page 88: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/88.jpg)
Technologia nie jest panaceum.
Pomimo iż technologia pomaga zabezpieczyć systemy komputerowe, to nie jest ona – i nigdy nie będzie – rozwiązaniem samym w sobie.
Do utworzenia bezpiecznego środowiska organizacji konieczne jest połączenie technologii z ludźmi i procesami
![Page 89: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/89.jpg)
Obszary, w których ryzyko może obejmować dane zgromadzone w systemie informacyjnym
![Page 90: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/90.jpg)
Ważną techniką zwiększającą bezpieczeństwo systemów
informatycznych jest szyfrowanie komunikatów i danych.
Istnieje obecnie wiele technik szyfrowania, ale powszechnie używane są głównie dwie:
Technika symetryczna (klucza tajnego)
Technika asymetryczna (klucza publicznegoi prywatnego)
![Page 91: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/91.jpg)
Ogólny schemat procesu szyfrowania
Jeśli klucze k1 oraz k2 są identyczne, to mamy do czynienia z kryptografią symetryczną. Ogromnie ważna jest wtedy sprawa zapewnienia tajności klucza.
Jeśli klucz k1 jest inny, niż związany z nim klucz k2 - to mamy do czynienia z kryptografią asymetryczną, a klucze mają nazwy: k1 jest to klucz publiczny,a k2 to klucz prywatny (musi być strzeżony, ale jest tylko jeden)
![Page 92: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/92.jpg)
Symetryczne algorytmy kryptograficzne – w trakcie szyfrowania i deszyfrowania wykorzystywany jest ten sam klucz
T ek s tjaw n y
T ek s tjaw n y
Alg o r y tms zy f r o w an ia
Alg o r y tmd es zy f r o w an ia
S zy f r o g r am
K L U C Z
![Page 93: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/93.jpg)
Problemy związane z szyfrowaniem symetrycznym
•sposób przekazania klucza,
•konieczność stosowanie oddzielnego klucza dla każdej pary nadawca - odbiorca.
![Page 94: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/94.jpg)
Zalety i wady algorytmów symetrycznych
Zalety Wady
Umożliwiają szybkie szyfrowanie danych
Konieczność utrzymania w tajemnicy klucza symetrycznego po obu stronach kanału komunikacji
Klucze symetryczne są relatywnie krótkie
Potrzeba stosowania ogromnej liczby kluczy w dużych sieciach komunikuje się wiele osób
Wykorzystywane do konstruowania innych mechanizmów kryptograficznych, takich jak: funkcje skrótu, czy podpis elektroniczny
Konieczność częstej wymiany kluczy (zwykle ustalenie nowego klucza dla każdej sesji), co podyktowane jest względami bezpieczeństwa.
Proste transformacje oparte o klucz symetryczny są proste do analizy i mogą służyć do konstrukcji mocnych szyfrów
Konieczność udostępnienia kluczy tajnych zaufanej trzeciej stronie
![Page 95: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/95.jpg)
Lista kilku popularnych algorytmów symetrycznych:
•BLOWFISH,•DES,•IDEA,•RC2,•RC4,•SAFER.
![Page 96: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/96.jpg)
Schemat szyfrowania algorytmem
DES
Tekst jawny
IP
f
),( 1001 KRfLR
0R0L
01 RL
f
),( 2112 KRfLR 12 RL
1K
2K
),( 15141415 KRfLR 1415 RL
16K
),( 15141415 KRfLR
Szyfrogram
IP
![Page 97: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/97.jpg)
Asymetryczne algorytmy kryptograficzne – w trakcie szyfrowania i deszyfrowania
wykorzystywane są inne klucze (tzw. klucz publiczny i klucz prywatny)
T ek s tjaw n y
T ek s tjaw n y
Alg o r y tms zy f r o w an ia
Alg o r y tmd es zy f r o w an ia
S zy f r o g r am
O d b io rc aN a d a w c a
k lu cz p u b licz n y o d b io rcy k lu cz p r yw a tn y o db io r cy
![Page 98: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/98.jpg)
Użycie klucza prywatnego i publicznego
Podczas transmisji sygnałujest on całkowicie bezpiecznycałkowicie bezpieczny,
gdyż tylko legalny odbiorcawiadomości może ją
skutecznie zdekodować
Kluczy publicznych może być dowolnie dużo i może je mieć każdy, kto chce poufnie korespondować z odbiorcą
Klucz prywatny musi być tylko jedenmusi być tylko jeden, bo na tym opiera się cała metoda!
![Page 99: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/99.jpg)
Zalety i wady algorytmów asymetrycznych
Zalety Wady Jedynie klucz prywatny musi pozostać tajny, choć autentyczność kluczy publicznych musi być również zagwarantowana.
Prędkość kodowania przy użyciu kluczy asymetrycznych jest wielokrotnie niższa w porównaniu z szyfrowaniem symetrycznym.
Administrowanie kluczami asymetrycznymi pozwala na obecność zaufanej trzeciej, która nie ma dostępu do kluczy prywatnych użytkowników.
Wielkość kluczy asymetrycznych jest znacznie większa niż w przypadku zastosowania kluczy symetrycznych
W komunikacji wieloosobowej liczba kluczy jest zdecydowanie mniejsza niż w przypadku zastosowania kryptografii symetrycznej.
Szyfrowanie asymetryczne charakteryzuje zdecydowanie krótszy od symetrycznego okres funkcjonowania w kryptografii.
Nie ma potrzeby wymieniać kluczy tak często, jak kluczy symetrycznych.
Stanowią podstawę dla sprawnie funkcjonującego mechanizmu podpisu elektronicznego.
![Page 100: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/100.jpg)
Przesyłanie wiadomości kodowanej przy pomocy dwóch kluczy
Tekst jawny
kodowanie kluczemsymetrycznym
kluczsymetryczny jestkodowanykluczempublicznym
wiadomość zakodowanaz dołączonym
zakodowanym kluczem
Kodowanie kluczem symetrycznymjest znacznie „tańsze” obliczeniowo
Tę część może odszyfrowaćtylko posiadacz kluczaprywatnego pasującego
do tego klucza publicznego
![Page 101: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/101.jpg)
Schemat szyfrowania hybrydowego
![Page 102: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/102.jpg)
Proces deszyfrowania w systemie hybrydowym
![Page 103: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/103.jpg)
Szyfrowane powinny być nie tylko przesyłane komunikaty, ale także dane przechowywane w bazie danych
Imie Nazwisko Nr_CC
123456789
Tekst jawny
Szyfrogram
Imie Nazwisko Nr_CC
!#%&^
@*$?
Szyfrogram
Tekst jawny
Imie Nazwisko Nr_CC
Imie Nazwisko Nr_CC
123456789
!#%&^@*$?
Szyfrowanie
Deszyfrowanie
klucze
klucze
Zewnętrzny modułbezpieczeństwa
Proces szyfrowania
Proces deszyfrowania
![Page 104: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/104.jpg)
W różnych częściach systemu mogą być stosowane różne metody
szyfrowania danych
Klient Firewall Serwer www Serwer aplikacji
Bazadanych
Dane zabezpieczoneprotokołem SSL
Dane zaszyfrowane, kluczamizarządza aplikacja
![Page 105: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/105.jpg)
Porównanie i zastosowanie
kryptografii symetrycznej
i asymetrycznej
Cechy Szyfrowanie symetryczne Szyfrowanie asymetryczne
Wymogi (ilość
kluczy)
Szyfrowanie i deszyfrowanie
jednym samym kluczem (jeden
klucz)
Szyfrowanie jednym kluczem
deszyfrowanie drugim kluczem
(para kluczy)
Bezpieczeństwo Niskie - nadawca musi odbiorcy
także przesłać klucz ( możliwość
przechwycenia klucza)
Wysokie – każdy ma swój klucz nie
ma potrzeby przesyłania klucza
Szybkość Duża szybkość szyfrowania
i deszyfrowania informacji
(DES 100 razy szybszy od RSA)
Mała szybkość deszyfrowani
i szyfrowania informacji
Niezaprzeczalność Trudność generacji podpisu
cyfrowego
Łatwość generacji podpisu
cyfrowego
Dystrybucja kluczy Kłopotliwa, trudność w dołączaniu
nowych użytkowników systemu
kryptograficznego
Łatwość w dołączaniu nowych
użytkowników systemu
kryptograficznego
Zastosowanie Szyfrowanie plików
Protokoły PGP, SSL wykorzystują
odpowiednio IDEA, DES do
kodowania wiadomości
Przesyłanie danych
Protokoły PGP, SSL stosują RSA do
dystrybucji klucza tajnego
Tworzenie podpisów
elektronicznych
Protokół DSS wykorzystuje RSA
![Page 106: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/106.jpg)
Z zagadnieniem szyfrowania danych w celu zapewnienia ich
poufności wiąże się zagadnienie elektronicznego podpisywania dokumentów, mające na celu
zapewnienie ich niezaprzeczalności
![Page 107: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/107.jpg)
Proces składania i weryfikacji podpisu elektronicznego
![Page 108: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/108.jpg)
Inny sposób przedstawienia podpisu
T ek s tjaw n y
T ek s tjaw n y
Alg o ry tms zy f ro w an ia
Alg o r y tmd es zy f r o w an ia
T ek s t +p o d p is c y f r o w y
O d b io rc aN a d a w c a
k lu cz p r y w a tnyn ad aw cy
k lucz p u b licz n yna da w cy
s um ako ntro lna
po dpisc yf ro wy
sz y fr o w a n ie s u m y k o n tro ln e j(n ie te k s tu w ia d o m o ś ci)
po dpisc yf ro wy
o bl ic zo nas um a
ko ntro lnas um a
ko ntro lna
c zy rów ne ?
![Page 109: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/109.jpg)
Jeśli chcemy używać kryptografii do generowania podpisu elektronicznego,
to musimy dodatkowo zapewnić, że posiadacz klucza prywatnego jest naprawdę tym, za kogo się podaje.
Służy do tego dostawca usług certyfikacyjnych.
![Page 110: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/110.jpg)
Przydział kluczy publicznych i tajnych przez dostawcę usług certyfikacji
![Page 111: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/111.jpg)
Schemat przetwarzania dokumentu podpisanego elektronicznie
n a d a w ca
o d b io rca
U r zą d d /sce r ty fik a tó wI. p ro śb a
o k lu czp u b liczn yo d b io rcy II.k lu cz
p u b liczn yo d b io rcy+ p o d p iscy fro w yU rzę d u
III. w e ry fik a cja p o d p isu cy fro w e g o U rzę d uIV . za szy fro w a n ie l is tu k ie r o w a n e g o d o o d b io rcy
V . z a s zy fro w a n y l is t
V I. d e s zy fr a cja lis tu(k lu cze m p ry w a tn y m o d b io r cy )
![Page 112: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/112.jpg)
Etapy przesyłania dokumentu
zaszyfrowanego
za pomocą asymetrycznego systemu krypto-
graficznego
![Page 113: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/113.jpg)
Ogólny schemat szyfrowania za pomocą DES
![Page 114: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/114.jpg)
Schemat algorytmu 3DES
![Page 115: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/115.jpg)
Źródła zagrożeń i sposoby ich przezwyciężania
Zagrożenie Sposoby niwelowania
Transmisja danych Szyfrowanie połączeń, wirtualne sieci prywatne (VPN ang.
Virtual Private Network), dedykowane łącza zestawione,
podpisy elektroniczne
Autoryzacja Procedury bezpieczeństwa, hasła dostępu, ograniczenie
dostępu do serwera wyłącznie dla ustalonych adresów IP,
narzędzia uwierzytelniania –podpis elektroniczny, certyfikaty
uwierzytelniające, narzędzia wspomagające –tokeny, listy
haseł jednorazowych
Dostępność Stosowanie urządzeń (UPS ang. Uninterruptable Power
Supply) podtrzymujących napięcie w przypadku zaniku prądu,
dedykowane oprogramowanie blokujące niepożądane
połączenia -zapory ogniowe (ang. firewall), aktualizacja
oprogramowania
Płatności Wykorzystywanie specjalistycznych serwisów obsługujących
płatności w Internecie (np. eCard, PolCard), sprawdzenie
kontrahenta w Krajowym Rejestrze Dłużników.
![Page 116: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/116.jpg)
Dlatego nagminnie stosuje siętzw. ściany ognioweściany ogniowe
(firewall)
Najczęstszym źródłem zagrożeń dla systemu informatycznego jest świat
zewnętrzny (głównie sieci WAN)
![Page 117: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/117.jpg)
Różne sposoby ustawiania ściany ogniowej
![Page 118: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/118.jpg)
Ochrona przeciwwirusowa
![Page 119: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/119.jpg)
Systemy wykrywania włamań (IDS – Intrusion Detection System)
![Page 120: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/120.jpg)
„Ścianę ogniową” można zbudować na poziomie filtracji pakietów albo
na poziomie analizy treści informacji
Firewall Warstwy (wg modelu OSI)
Aplikacji Prezentacji
Sesji Transportu
Sieci Łącza
Fizyczna
Firewall Warstwy (wg modelu OSI)
Aplikacji Prezentacji
Sesji Transportu
Sieci Łącza
Fizyczna
![Page 121: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/121.jpg)
Dygresja: Siedmiowarstwowy model sieci
ISO/OSIS
![Page 122: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/122.jpg)
Warstwowa architektura logiczna w modelu odniesienia sieci ISO-OSI
WarstwaAplikacji
WarstwaAplikacji
WarstwaPrezentacjii
WarstwaPrezentacjii
Warstwa Sesji
Warstwa Sesji
WarstwaTransportowa
WarstwaTransportowa
WarstwaSieciowa
WarstwaSieciowa
WarstwaŁącza Danych
WarstwaŁącza Danych
WarstwaFizyczna
WarstwaFizyczna Warstwa
Fizyczna
WarstwaFizyczna
WarstwaŁącza Danych
WarstwaŁącza Danych
WarstwaFizyczna
WarstwaFizyczna Warstwa
Fizyczna
WarstwaFizyczna Warstwa
Fizyczna
WarstwaFizyczna
WarstwaAplikacji
WarstwaAplikacji
WarstwaPrezentacji
WarstwaPrezentacji
WarstwaSesji
WarstwaSesji
WarstwaTransportowa
WarstwaTransportowa
WarstwaSieciowa
WarstwaSieciowa
WarstwaŁącza Danych
WarstwaŁącza Danych
WarstwaFizyczna
WarstwaFizyczna
WarstwaŁącza Danych
WarstwaŁącza Danych Warstwa
Łącza Danych
WarstwaŁącza Danych Warstwa
Łącza Danych
WarstwaŁącza Danych
WarstwaSieciowa
WarstwaSieciowa Warstwa
Sieciowa
WarstwaSieciowa
Połączenie logiczne pomiędzy procesami warstwy aplikacji
Połączenie logiczne pomiedzy obiektami warstwy prezentacji
Nawiązanie sesji
Połączenie logiczne pomiędzy stacjami końcowymi przesyłającymiwiadomości
Stacja końcowaKanał fizyczny Węzeł podsieci
komunikacyjnejWęzeł podsiecikomunikacyjnej
Stacja końcowaKanał fizyczny
![Page 123: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/123.jpg)
Zadania poszczególnych niższych warstw modeluAplikacja
Prezentacja
Sesja
Transport
Sieć
Łącze danych
Warstwa Fizyczna
Pewna lub niepewna dostawa pakietów Naprawa błędów przed retransmisją
Zapewnia logiczny systemadresowania, którego routery używają do
wyznaczania ścieżki
Tworzy ramki Dostęp do mediów na podstawie adresów MAC
Przenoszenie bitów Określa napięcie i parametry okablowania
PrzykładyPrzykłady
TCPUDPSPX
IPIPX
802.3/802.2HDLC
EIA/TIA - 232v.35
War
stw
y pr
zepł
ywu
dany
ch
![Page 124: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/124.jpg)
War
stw
y ap
likac
ji Aplikacja
Prezentacja
Sesja
Transport
Sieć
Łącze Danych
Warstwa Fizyczna
Sposób prezentacji danych Dodatkowe przetwarzanie Szyfrowanie danych
Zachowanie odrębności danychróżnych aplikacji
Interfejs uzytkownika
Przykłady
TelnetHTTP
ASCIIEBCDIC
JPEG
Planowanie dostępudo systemu
operacyjnego/aplikacji
Zadania poszczególnych wyższych warstw modelu
![Page 125: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/125.jpg)
„Ścianę ogniową” można zbudować na poziomie filtracji pakietów albo
na poziomie analizy treści informacji
Firewall Warstwy (wg modelu OSI)
Aplikacji Prezentacji
Sesji Transportu
Sieci Łącza
Fizyczna
Firewall Warstwy (wg modelu OSI)
Aplikacji Prezentacji
Sesji Transportu
Sieci Łącza
Fizyczna
![Page 126: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/126.jpg)
Najlepiej zresztą i tu i tu
Firewall Warstwy (wg modelu OSI)
Aplikacji Prezentacji
Sesji Transportu
Sieci Łącza
Fizyczna
![Page 127: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/127.jpg)
Koszty ponoszone na zabezpieczenia są zależne od rodzaju
stosowanej polityki bezpieczeństwa.
ReaktywneReaktywne ProaktywneProaktywne
$$ Koszty Koszty zabezpieczeńzabezpieczeń
$$ Koszty Koszty zabezpieczeńzabezpieczeń
$$ Koszty Koszty incydentuincydentu
Polityka reaktywna: zabezpieczenia są wprowadzane gdy wydarzy się incydent wskazujący na to, że w systemie starych zabezpieczeń jest luka
Polityka pro-aktywna: zabezpieczenia są wprowadzane zanim wydarzy się incydent wskazujący na to, że w systemie starych zabezpieczeń jest luka
![Page 128: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/128.jpg)
Statystyka rzeczywistych przyczyn włamań do systemów
informatycznych
Stare, dobrze znane luki
Nowe, opublikowane luki
Najnowsze niepublikowaneluki Niewłaściwa konfiguracja,Zaniedbanie, brak higieny
![Page 129: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/129.jpg)
Najczęściej źródłem i przyczyną problemu jest nieostrożny użytkownik jednej z podsieci
Użytkownik
Użytkownik
Podsieć
Podsieć
Użytkownik
Użytkownik
Użytkownik
Użytkownik
Użytkownik
Użytkownik
Użytkownik
![Page 130: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/130.jpg)
Przykładowe formy zagrożeń
![Page 131: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/131.jpg)
Atak typu DoS
![Page 132: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/132.jpg)
Spoofing
![Page 133: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/133.jpg)
Każdy projekt informatyczny jest przedsięwzięciem
wysokiego ryzyka
![Page 134: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/134.jpg)
OBSZAR RYZYKA SZCZEGÓŁOWE ŹRÓDŁA RYZYKA
Otoczenie społeczno-ekonomiczne
Podejście do TINiespójny system gospodarczy i prawnyZmiany sytuacji na rynkuSystem edukacjiBrak standardówNiska kultura informacyjna
Otoczenie technologiczneNiedorozwój telekomunikacjiBrak standardów przesyłania danychPrzewaga techniki mikrokomputerowej
Organizacja
Nieokreślone cele oraz brak wizji i strategiiNiechęć, niezdolność do zmianyRelacje władzy i własnościBrak współpracy kierownictwa i użytkownikówBrak standardów i procedurNagłe zmiany strukturyZatrudnienie i podnoszenie kwalifikacjiNierozpoznane umiejętności firmyNiesprawność kontroliNiesprawność zarządzania TI
Twórcy SINieumiejętność pracy zespołowejPodejście do zamierzeniaNieznajomość metod, technik i narzędzi
Projekt
Obszerność i złożoność zadania projektowegoWycinkowe projektowanie i oprogramowywanie SIBrak business planu
![Page 135: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/135.jpg)
Źródła ryzyka i zagrożeniaŹRÓDŁA RYZYKA ZAGROŻENIA
Podejście do TIStrach przed zmianąNieumiejętność celowego zakupu i
wykorzystania TI
Niespójny system gospodarczy i prawny
Zmiany sytuacji na rynku
Zmiana celów i zadań organizacjiKonieczność częstych zmian
oprogramowaniaNiedostosowanie do wymogów
klientówNiewydolność systemu
System edukacjiNieumiejętność pracy zespołowejNieznajomość zarządzaniaNieumiejętność wykorzystania
narzędzi
![Page 136: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/136.jpg)
Źródła ryzyka i zagrożenia – cd.Brak standardów
Niespójność danychCzasochłonność wprowadzania i
uzyskiwania danych
Niska kultura informacyjna
Nieskuteczność zabezpieczeńNieumiejętność wykorzystania większości
funkcji TI
Niedorozwój telekomunikacji
Opóźnienia w przesyłaniu danych i ich przekłamania
Utrudniony dostęp do informacjiWysokie koszty eksploatacji
Brak standardów przesyłania danych
Pracochłonność opracowywania danychNieczytelność danychNiewielkie możliwości wykorzystania
danych
Przewaga techniki mikrokomputerowej
Nieznajomość innych technologiiNiedopasowanie technologii do potrzebDuże wydatki na TI
![Page 137: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/137.jpg)
Źródła ryzyka i zagrożenia – cd.
Nieokreślone cele oraz brak wizji i strategii
Nieokreślone cele systemu informacyjnego
Komputeryzowanie istniejących procedurNieuwzględnienie potrzeb wynikających
ze wzrostu firmy
Niechęć, niezdolność do zmiany
Wykorzystywanie TI jako kalkulatoraBrak poczucia celowości zastosowań TINiezgodność zastosowań z organizacją
Relacje władzy i własności
Trudności w ustaleniu potrzeb informacyjnych
Nieustalona odpowiedzialność za zamierzenie
Utrudnienia w sterowaniu projektem
Brak współpracy kierownictwa i użytkowników
Niemożliwość sprecyzowania potrzebNiedopasowanie SI do rzeczywistych
potrzebOpóźnienia projektu i przekroczenie
budżetu
![Page 138: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/138.jpg)
Źródła ryzyka i zagrożenia – cd.Brak standardów i
procedurDominacja TI nad organizacjąNieumiejętność określenia zadań
Nagłe zmiany struktury
Odchodzenie użytkowników i zmiany potrzeb
Nieustalone role organizacyjneDoraźne zmiany procedur i
standardów
Zatrudnienie i podnoszenie kwalifikacji
Nieznajomość, brak zrozumienia i obawa przed TI
Nieumiejętność formułowania i rozwiązywania problemów
Brak motywacji i zainteresowania użytkowników
Nierozpoznane umiejętności firmy
Nietrafne zastosowania zakłócające procedury
Nieprzydatność, niefunkcjonalność narzędzi
![Page 139: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/139.jpg)
Źródła ryzyka i zagrożenia – cd.
Niesprawność kontroliNiesprecyzowane potrzeby dotyczące
kontroliCelowe omijanie mechanizmów
kontrolnych
Niesprawność zarządzania TI
Nieumiejętność planowania i niecelowe wydawanie środków
Nietrafione zakupy wyposażenia i oprogramowania
Zaniechanie planowania i egzekwowania efektów
Nieumiejętność pracy zespołowej
Zakłócenia w wykonywaniu pracBłędna strukturyzacja systemuNiespójne, błędne rozwiązania
Podejście do zamierzenia
Zaniechanie lub powierzchowność analizyPomijanie badania pracyDostosowanie użytkowników do TI, a nie
SI do potrzeb„Komputeryzacja” zamiast zmiany
![Page 140: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/140.jpg)
Źródła ryzyka i zagrożenia - koniec
Nieznajomość metod, technik i narzędzi
Stosowanie metod znanych zamiast potrzebnych
Niekompletna analiza, niespójna specyfikacja
Niewykorzystywanie możliwości narzędziNietrafne oceny kosztów, efektów i czasu
trwania projektu
Obszerność i złożoność zadania projektowego
Brak analizy problemówTrudność opanowania złożoności,
nietrafna strukturyzacja
Wycinkowe projektowanie i oprogramowywanie SI
Niewłaściwa kolejność opracowywania i wdrażania modułów
Niespójność modułów systemu
Brak business planuNieświadomość celów oraz kosztów i
efektówNieliczenie się z kosztami, pomijanie
oczekiwanych efektów
![Page 141: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/141.jpg)
Słabe punkty Słabe punkty sieci komputerowych
![Page 142: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/142.jpg)
Postępowanie w razie wykrycia zagrożenia z zewnątrz
1. PROTECT AND PROCEED
(chroń i kontynuuj)
2. PURSUE AND PROSECUTE (ścigaj i oskarż)
![Page 143: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/143.jpg)
PROTECT AND PROCEED
Strategię tą obierają organizacje, w których:1. Zasoby nie są dobrze chronione2. Dalsza penetracja mogłaby zakończyć się dużą
stratą finansową 3. Nie ma możliwości lub woli ścigania intruza4. Nieznane są motywy włamywacza5. Narażone są dane użytkowników6. Organizacja nie jest przygotowana na działania
prawne w wypadku strat doznanych przez użytkowników
![Page 144: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/144.jpg)
PURSUE AND PROSECUTE
W myśl strategii pursue and prosecute pozwala się intruzowi
kontynuować niepożądane działania dopóki się go nie
zidentyfikuje, aby został oskarżony i poniósł konsekwencje.
Jest to strategia o wiele bardziej ryzykowna!
![Page 145: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/145.jpg)
Ważna jest weryfikacja ludzi pragnących się znaleźć wewnątrz systemu
(autoryzacja i autentykacja)
Weryfikacja może się odbywać w oparciu o trzy rodzaje kryteriów:
• „coś, co masz” – klucze, karty magnetyczne
• „coś, co wiesz” – PIN, hasła, poufne dane
•„coś, czym jesteś” – metody biometryczne
![Page 146: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/146.jpg)
Identyfikacja typu „coś co wiesz”
![Page 147: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/147.jpg)
Zadania
![Page 148: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/148.jpg)
Najwygodniejsze dla konstruktorów systemów informatycznych są metody
oparte na hasłach lub PIN
Wadą jest ryzyko, że użytkownik zapomni hasło lub że intruz wejdzie
nielegalnie w posiadanie hasła
![Page 149: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/149.jpg)
Identyfikacja typu „coś co masz”
tokeny Sprawdzanie kart magnetycznych lub chipowych
![Page 150: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/150.jpg)
Pozornie wygodne dla użytkownika są metody oparte na stosowaniu
identyfikatora, którego stan może być
sprawdzany nawet zdalnie
Drzwi
ACTIVE BADGE SYSTEMo li v et ti
o liv etti
ACTIVE BADGE SYSTEM
olivetti
Zmodyfikowany Sensor ABS
Zamek Elektromagnetyczny
oliv ett iA C TI V E B A DG E
Identyfikator ABS
![Page 151: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/151.jpg)
Ta sama osoba może mieć wtedy dostęp do jednych zasobów i brak dostępu do innych
zasobów
Komputer PC
Drzwi 1o l i v e t t i
Drzwi 2o l iv e tt i
Dostęp Udzielony
Brak Dostępu
ProgramSterujący
![Page 152: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/152.jpg)
Jednak identyfikator można zgubić, zniszczyć, albo może on zostać
skradziony
![Page 153: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/153.jpg)
Najwygodniejsze dla użytkownika
są metody biometryczne, ale wymagają one
stosowania skomplikowanej
i kosztownej aparatury
![Page 154: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/154.jpg)
Tymi metodami da się zabezpieczać dostęp do różnych systemów oraz usług
![Page 155: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/155.jpg)
Sposób automatycznej analizy odcisku palca
![Page 156: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/156.jpg)
Do najbardziej znanych metod biometrycznych należy skanowanie
odcisku palca i ocena jego szczegółów, tzw. minucji.
![Page 157: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/157.jpg)
Zaletą jest tu łatwe pozyskiwanie
danych oraz dobrze ustalone cechy
charakterystyczne odcisków
![Page 158: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/158.jpg)
Przy korzystaniu z odcisków palców jako z kryterium identyfikacji osób
trzeba sobie zdawać sprawę z konieczności oczyszczania
komputerowego rejestrowanych
obrazów
![Page 159: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/159.jpg)
Weryfikacja osoby na podstawie odcisku palca polega na porównaniu minucji odczytanych na aktualnie wprowadzonym
odcisku oraz minucji dla wzorca zarejestrowanego w bazie osób zaakceptowanych.
![Page 160: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/160.jpg)
Działanie programu analizującego odciski palca
![Page 161: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/161.jpg)
Rozpoznawanie twarzyIlustracja problemów:
różnic oświetlenia (a), pozy (b) wyrazu twarzy (c)
![Page 162: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/162.jpg)
Twarze o różnych wyrazach
![Page 163: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/163.jpg)
Omówienie algorytmu rozpoznawaniaKolejne przekształcenia obrazu
![Page 164: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/164.jpg)
Duże nadzieje wiąże się też aktualnie z możliwościami identyfikacji poprzez
analizę obrazu tęczówki oka
![Page 165: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/165.jpg)
Liczne zalety ma identyfikacja oparta o badanie DNA
![Page 166: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/166.jpg)
BiometryczneBiometryczne metody identyfikacji osób w systemach informatycznych
o wysokich wymaganiach bezpieczeństwa ogólna charakterystyka
![Page 167: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/167.jpg)
Przychody z tytułu eksploatacji różnych biometrycznych metod
identyfikacji
![Page 168: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/168.jpg)
Przy pomiarach biometrycznych można się spodziewać dwojakiego
rodzaju błędów
![Page 169: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/169.jpg)
Popularność różnych metod
![Page 170: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/170.jpg)
System kontroli bezpieczeństwa informatycznego dużej firmy
![Page 171: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/171.jpg)
Bezpieczeństwo systemów informatycznych i prawo
Do podstawowych aktów prawnych, które mają wpływ na bezpieczeństwo i ochronę danych w systemach informatycznych polskich przedsiębiorstw należą:
•Ustawa Kodeks Karny [k.k. 1997],•Ustawa o rachunkowości [1994],•Ustawa o ochronie danych osobowych [ustawa ODO 1997],•Ustawa o ochronie informacji niejawnych [ustawa OIN 1999],•Ustawa o prawie autorskim i prawach pokrewnych [ustawa PAiPP 1994],•Ustawa o systemie ubezpieczeń społecznych [ustawa SUS 1998],•Ustawa o podpisie elektronicznym [ustawa PE 2001],•Ustawa o zwalczaniu nieuczciwej konkurencji [ustawa ZNK 1993].
![Page 172: Problemy bezpieczeństwa systemów informatycznych](https://reader037.vdocuments.site/reader037/viewer/2022102810/56812a8a550346895d8e2d50/html5/thumbnails/172.jpg)
Czyn podlegający karze Podstawa Zagrożenie karą
Ujawnienie informacji wbrew
zobowiązaniu Art. 266 §1
Grzywna, ograniczenie lub
pozbawienie wolności do lat 2
Niszczenie dokumentów Art. 276 Grzywna, ograniczenie lub
pozbawienie wolności do lat 2
Fałszerstwo dokumentów Art. 270 §1
Grzywna, ograniczenie lub
pozbawienie wolności od 3 m-cy do
lat 5
Niszczenie lub zmiana istotnej
informacji na nośniku papierowym Art. 268 §1 Pozbawienie wolności do lat 3
Nieuprawnione uzyskanie i podsłuch
informacji
Art. 267
§1-2
Grzywna, ograniczenie lub
pozbawienie wolności do lat 2
Sabotaż komputerowy
- skierowany przeciw bezpieczeństwu
kraju
Art. 269
§1-2
Pozbawienie wolności od 6 m-cy do
lat 8
- w celu osiągnięciu korzyści
majątkowej Art. 287 §1
Pozbawienie wolności od 3 m-cy do
lat 5
Nielegalne uzyskanie programów Art. 278
§1-2
Pozbawienie wolności od 3 m-cy do
lat 5
Paserstwo programów Art. 291 §1 Pozbawienie wolności od 3 m-cy do
lat 5
Oszustwo komputerowe Art. 287 §1 Pozbawienie wolności od 3 m-cy do
lat 5
Oszustwo telekomunikacyjne Art. 285 §1 Pozbawienie wolności do lat 3
Szpiegostwo przy użyciu komputera Art. 130 §3 Pozbawienie wolności od 6 m-cy do
lat 8