Wprowadzenie do bezpieczestwa Plan wykadu Wprowadzenie Usugi ochrony
Wprowadzenie do bezpieczeństwa
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Czy bezpieczeństwo jest ważne? • Wirus Sobig spowodował straty na 38. 5 mld USD • 97% maili to spam, a 0. 1% zawiera wirusy (źródło: softscan) • 8500 telefonów, laptopów, PDA jest gubionych co roku na lotniskach w Wielkiej Brytanii • nasza-klasa. pl – źródło danych osobowych wykorzystywanych do przestępstw (np. phising)? • Ataki na serwery w Estonii w 2007 roku po konflikcie dyplomatycznym z Rosją
Adi Shamir - Złote myśli • „There are no secure systems, only degrees of insecurity. ” • „To halve the insecurity, double the cost. ”
Podstawowe pojęcia • Atak na bezpieczeństwo to jakiekolwiek działanie, które narusza bezpieczeństwo informacji należących do firm lub instytucji. • Mechanizm zabezpieczający przeznaczony jest do wykrywania, zapobiegania i likwidowania skutków ataku. • Usługa ochrony to działanie zwiększające bezpieczeństwo systemów informatycznych z użyciem mechanizmów zabezpieczających. • Polityka bezpieczeństwa to opisany w sposób całościowy model wdrażania i użytkowania systemu bezpieczeństwa w przedsiębiorstwie lub instytucji.
Podstawowe pojęcia • Kryptologia to nauka o pismach szyfrowanych, sposobach ich tworzenia i rozwiązywania. W jej skład wchodzą kryptografia i kryptoanaliza. • Kryptografia zajmuje się zapisywaniem tekstu w sposób utajniony. Szyfrowanie to zamiana tekstu jawnego na kryptogram. Deszyfrowaniem nazywamy operację odwrotną. • Kryptoanaliza zajmuje się zagadnieniami związanymi z łamaniem szyfru, czyli próbą znalezienia klucza szyfru lub odczytaniu tekstu jawnego na podstawie kryptogramu, bez znajomości klucza. • Systemy kryptograficzne opisują sposób realizacji usług w sieci teleinformatycznej przy użyciu technik kryptograficznych.
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Usługi ochrony • Poufność danych (ang. confidentiality). Usługa przekształca dane w taki sposób, że są one niemożliwe do odczytania przez inną osobę poza właściwym odbiorcą. • Uwierzytelnianie (ang. authentication). Ta usługa zapewnia możliwość sprawdzenia, czy użytkownicy komunikujący się ze sobą są rzeczywiście tymi, za których się podają. • Integralność (ang. integrity). Ta usługa zapewnia, że dane zawarte w systemie lub przesyłane przez sieć nie będą zmienione lub przekłamane.
Usługi ochrony • Niezaprzeczalność (ang. nonrepudiation). Usługa ta dostarcza dowody, że dane przesyłane zostały faktycznie nadane przez nadawcę bądź też odebrane przez odbiorcę. • Dystrybucja kluczy (ang. key management). Usługa ta zapewnia poprawną dystrybucję kluczy oraz gwarantuje, że klucze, jakie posiadają użytkownicy są ważne. • Kontrola dostępu (ang. access control). Ta usługa polega na zapewnieniu, by dostęp do źródła informacji był kontrolowany, w ten sposób, aby tylko uprawnieni użytkownicy mogli korzystać z tej informacji. • Dyspozycyjność (ang. availability). Usługa ta zapewnia uprawnionym osobom możliwość ciągłego korzystania z zasobów systemu w dowolnym czasie.
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Zagrożenia • Zamierzone (aktywne), związane z działaniami wykonywanymi z premedytacją, świadomie wykraczające poza obowiązki, szpiegostwo, wandalizm, terroryzm, itd. • Losowe (pasywne) wewnętrzne, to niezamierzone błędy ludzi, zaniedbania użytkowników, defekty sprzętu i oprogramowania, zniekształcania lub zagubienie informacji, itd. • Losowe (pasywne) zewnętrzne, to skutki działania temperatury, wilgotności, zanieczyszczenia powietrza, zakłócenia źródła zasilania, wyładowania atmosferyczne, klęski żywiołowe.
Zagrożenia z podziałem na klasy Klasa zagrożenia Ryzyko pasywne Farma serwerów, Kataklizmy (pożar, powódź). centrum informatyczne Awaria infrastruktury technicznej. Infrastruktura teleinformatyczna Błędy przesyłania lub adresowania. Zniszczenie elementów sieci teleinformatycznych Ryzyko aktywne Podpalenie. Sabotaż. Odcięcie zasilania. Podsłuch linii. Modyfikacja przesyłanych danych. Celowe uszkodzenie.
Zagrożenia z podziałem na klasy Klasa zagrożenia Ryzyko pasywne Oprogramowanie Korzystanie z nieaktualnej wersji oprogramowania Interfejs z użytkownikiem, korzystanie z systemu Błąd przy wprowadzaniu danych Zniszczenie danych przez nieuwagę Ryzyko aktywne Kopiowanie oprogramowania Wirusy Łamanie zabezpieczeń Świadomy błąd przy wprowadzaniu danych. Kopiowanie, podmiana lub niszczenie plików. Wykonywanie niedozwolonych operacji.
Zagrożenia z podziałem na klasy Klasa zagrożenia Nośniki danych Ryzyko pasywne Ryzyko aktywne Uszkodzenie nośnika Kradzież nośników. danych. Podmiana nośnika. Zniszczenie danych Kopiowanie nośnika w elektrycznością celu analizy statyczną lub danych. polem magnetycznym. Uszkodzenie nośnika z powodu starości.
Zagrożeń według kryteriów biznesowych • Bezpośrednie straty finansowe, np. dominującej technologii. • Pośrednie straty finansowe, np. koszty sądowe, sankcje prawne. • Utrata prestiżu, wiarygodności, klientów i kontrahentów. • Przerwa w pracy, utrata sprzętu, dezorganizacja, załamanie działalności. • Konieczność wymiany oferowanych produktów. • Konieczność zmiany konfiguracji systemu komputerowego. • Wzrost składek ubezpieczeniowych. • Ucieczka kadry.
Zagrożenia bezpieczeństwa w sieciach komputerowych • Przepływ normalny • Przerwanie
Zagrożenia bezpieczeństwa w sieciach komputerowych • Przechwycenie • Modyfikacja
Zagrożenia bezpieczeństwa w sieciach komputerowych • Podrobienie
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Model ochrony danych w sieci komputerowej
Model obrony dostępu do sieci komputerowej
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Rodzaje systemów kryptograficznych Według metody przekształcenia tekstu jawnego w tekst zaszyfrowany: • Podstawienie zakłada, że każdy element tekstu jawnego (bit, znak, litera) jest odwzorowywany na inny element. • Transpozycja zakłada przestawienie kolejności elementów tekstu jawnego. Podstawowy wymogi to brak straty informacji i odwracalność każdej operacji. Większość systemów, zwanych systemami produktowymi (ang. product systems) przewiduje wiele etapów podstawiania i transponowania.
Rodzaje systemów kryptograficznych Według liczby używanych kluczy: • Szyfrowanie z jednym kluczem (konwencjonalne, symetryczne, z tajnym kluczem). • Szyfrowanie z dwoma kluczami (asymetryczne, z kluczem jawnym).
Rodzaje systemów kryptograficznych Według sposobu przetwarzania tekstu jawnego: • Szyfr blokowy przetwarza po kolei każdy blok tekstu wejściowego, produkując jeden blok wyjściowy na każdy blok wejściowy. • Szyfr strumieniowy przetwarza elementy wejściowe w sposób ciągły, produkując jednocześnie materiał wyjściowy.
Plan wykładu • • • Wprowadzenie Usługi ochrony Klasyfikacje zagrożeń Modele bezpieczeństwa Rodzaje systemów kryptograficznych Bezpieczeństwo systemów kryptograficznych
Bezpieczeństwo systemów kryptograficznych • Schemat szyfrujący jest bezwarunkowo bezpieczny, jeżeli generowany tekst zaszyfrowany nie zawiera wystarczająco dużo informacji, by jednoznacznie określić odpowiadający mu tekst jawny, niezależnie od ilości dostępnego tekstu zaszyfrowanego. • Schemat szyfrujący jest obliczeniowo bezpieczny, jeżeli koszt złamania szyfru przewyższa wartość informacji zaszyfrowanej oraz/lub czas potrzebny do złamania szyfru przekracza użyteczny „czas życia” informacji.
Sposoby kryptoanalizy • Tylko tekst zaszyfrowany • Znany tekst jawny • Wybrany tekst jawny
- Slides: 29