1 / 44

Andmeturve ja krüptoloogia, I II Infosüsteemide nõrkused ja rakendatavad turvameetmed

Andmeturve ja krüptoloogia, I II Infosüsteemide nõrkused ja rakendatavad turvameetmed. 1 4. september 2010 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2010. aasta sügissemestril. Andme turbe olemus.

cale
Download Presentation

Andmeturve ja krüptoloogia, I II Infosüsteemide nõrkused ja rakendatavad turvameetmed

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Andmeturve ja krüptoloogia, IIIInfosüsteemide nõrkused ja rakendatavad turvameetmed 14. september 2010 Valdo Praust mois@mois.ee Loengukursus IT Kolledžis 2010. aasta sügissemestril

  2. Andmeturbe olemus • Andmeturbe (data security) ehk infoturbe (information security) all mõeldakse sümbioosi järgmisest kolmest omadusest: • käideldavus • terviklus • konfidentsiaalsus Need kolm omadust (vähemalt kaks esimest)peavad olema tagatudsuvalise andmekogumi — nii paber- kui ka digitaalkujul oleva — korral

  3. Turvalisus ja jääkrisk NB!Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud Absoluutse turbe asemel räägitakse alati aktsepteeritavast jääkriskist, mis vastab teatud konkreetse olukorra mõistlikule turvatasemele Reeglina mõeldakse selle all olukorda, kus turvameetmetele kuluv maksumus on ligilähedaselt võrdne prognoositava summaarse turbekahjuga

  4. Turbe kahjustumine • Infovaradele (infosüsteemile) mõjuvad ohud(threat) • Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi(vulnerabilities) • Ohud koos nõrkustega määravad ära riski (risk) • Ohu realiseerumisel tekib turvakadu(security loss) • Riski vähendamiseks tuleb turvaauke lappida turvameetmeid(security measures) kasutades

  5. Turbe kahjustumine (skeem)

  6. Turvameetme mõju

  7. Nõrkused e turvaaugud Nõrkused (vulnerabilities) on kaitstava objekti suvalised nõrgad kohad, mille kaudu saavad realiseerida objekti ähvaradavad ohud Jagunevad: • infrastruktuuri nõrkused • infotehnilised nõrkused • personali nõrkused • organisatsiooni nõrkused

  8. Infrastruktuuri nõrkused 1. Kaitstava objekti ebasoodne asukoht Reeglina suurendab mitmesuguste ohtude realiseerumistõenäosust 2. Primitiivne või amortiseerunud infrastruktuur Ei võimalda nt realiseerida turvameetmeid (füüsilisi ja infotehnilisi)

  9. Infotehnilised nõrkused • piiratud ressursid • aparatuuri või sideliinide väär paigaldus • vead, defektid või dokumenteerimata omadused programmides • protokollide ja sideprotseduuride puudused • andmehalduse puudused • vahendite ja meetmete tülikus (NB! Ka turvamehhanism ise võib kahjustada käideldavust)

  10. Personali nõrkused • Väärad menetlused (tulenevad tihti teadmatusest või mugavusest ja on sageli süstemaatilised) • Teadmatus ja motivatsioonitus (laieneb reeglina kogu organisatsiooni töötajatele) • Turvanõuete eiramine (nii hooletusest kui ka sihilik)

  11. Organisatsiooni nõrkused • Töökorralduse puudused (reeglid, uue olukorraga kohanemine jms) • Ressursihalduse puudused (arvutid, side, hooldus testimine, andmekandjad jms) • Dokumenteerimise puudused (IT seadmed, sideliinid, andmekandjad jms) • Turvameetmete valimise puudused (meetmeid rakendatakse valesti või vales kohas/konfiguratsioonis) • Turvasüsteemide halduse puudused(turvameetmete järelevalve ja revisjon)

  12. Ohtude ja nõrkuste koosmõju Üldreegel:ohud kasutavad reeglina ära mõningaid tüüpilisi nõrkusi Infosüsteemi kui terviku turvalisus on nõrgem sedavõrd, kuivõrd: • ohtude esinemise tõenäosus on suurem • nõrkusi, mida need ära kasutavad on rohkem ja need on tõsisemad

  13. Ohud ja nõrkused: näide 1

  14. Ohud ja nõrkused: näide 2

  15. Ohud ja nõrkused: näide 3

  16. Turvameetmed • Võimaldavad vähendada nõrkusi ehk turvaauke • Seeläbi võimaldavad vähendada süsteemi jääkriski

  17. Turvameetmete liigitus Turvameetmeid saab liigitada: • otstarbe järgi (tõkestab ohu, peletab ründe, korvab defekti jne.) • meetmega mõjutatav turvakomponendi järgi (käideldavus, terviklus, konfidentsiaalsus) • varade tüübi järgi • teostusviisi järgi (protseduur, tehniline seade, programm, ehitustarind jne) järgi • meetmega saadava turbe tugevuse järgi

  18. Turvameetmete otstarve Otstarbe järgi jagatakse turvameetmeid: • profülaktilised meetmed • turvarikete tuvastusmeetmed (avastusmeetmed) • rikke-eelse oleku taastemeetmed Mitmed turvameetmed on polüfunktsionaalsed, st täidavad mitut otstarvet (nt veaparanduskoodid)

  19. Profülaktilised turvameetmed Profülaktilised turvameetmed võimaldavad ennetada turvarikkeid: • sulgeda turvaauke • ära hoida ründeid • vähendada ohtude realiseerumise tõenäosust • kahandada turvarikete toimet infovaradele • hõlbustada objekti taastet Jagunevad omakorda: • tugevdusmeetmed • peletusmeetmed • eraldusmeetmed

  20. Tugevdusmeetmed Tugevdusmeetmed on abinõud kaitstava objekti kõige levinumate, peamiselt stiihilistel ohtudel toimimist võimaldavate turvaaukude sulgemiseks või kahandamiseks Jagunevad: • kord (süstemaatilisus) • turvateadlikkus • töötingimused • ennetav kontroll

  21. Tugevdusmeetmed: kord Näiteid: sisekorra eeskirjad täpsed ametijuhendid standardite järgimine infrastruktuuri ja töövahendite regulaarne hooldus kindlaksmääratud hankeprotseduurid töövahendite dokumenteerimine andmekandjate ja kaabelduse märgistus versioonihaldus ressursivarude käigushoid üldine turvapoliitika, turvaplaan, turvajuhendid

  22. Tugevdusmeetmed: töötingimused mikrokliima (temperatuur, õhuniiskus, õhu puhtus) töökoha ergonoomiline ehitus ja kujundus asutuse sotsiaalne kliima, positiivsed inimsuhted objektiivne edutamis- ja ergutuspoliitika

  23. Tugevdusmeetmed: ennetav kontroll • infotehniliste toodete ja turvamehhanismide verifitseerimine ja testimine • regulaarne turbealase operatiivteabe jälgimine (eriti Internetis) • turvamehhanismide testründed • süsteemide auditeerimine standardmetoodikate alusel

  24. Tugevdusmeetmed: turvateadlikkus e motivatsioon Peamised meetmeliigid: töötajate sobiv valimine regulaarne koolitus teavitusüritused proovihäired

  25. Peletusmeetmed Peletusmeetmed kahandavad rünnete üritamise tõenäosust. Peletav toime on reeglina turvameetmete kasulik lisaomadus – ainuüksi teadmine turvameetmete käigushoiust või nende tajumine vähendab ründeindu, eriti kui oodatav saak ei korva ründaja riski Näited: • kehtestatud sanktsioonid • hoiatav märgistus dokumentidel, andmekandjatel, kuvadel, ruumide ustel jne • nähtavad turvavahendid – valvur, telekaamera, territooriumi valgustatus, turvauksed, kaartlukud

  26. Tõkestusmeetmed Tõkestusmeetmed tõrjuvad peamiselt ründeid, kaitstes turvalisuse kõiki põhiaspekte (käideldavus, terviklus, konfidentsiaalsus) • Jaguneb: • ruumiline isoleerimine • ajaline isoleerimine • loogiline isoleerimine

  27. Ruumiline isoleerimine • erineva salastusastmega andmete töötlus mitmel eraldi arvutil • ühel andmekandjal ainult võrdse salastusastmega või samadele kasutajatele määratud andmed • salastuselt erinevate andmekandjate säilitus eri kohtades ja erinevatel tingimustel • eraldi füüsilised sideliinid erineva salastusega teabe edastuseks

  28. Ajaline isoleerimine • arvuti kasutamine eri aegadel eri tundlikkusega andmete töötluseks • erineva tarkvara kasutamine eri aegadel samas arvutis • ruumi kasutamine eri aegadel erineva tundlikkusastmega üritusteks

  29. Loogiline isoleerimine Loogiline isoleerimine on varade jaotamine (nt andmete tükeldamine) piisavalt väikesteks elementideks, mida saab eraldi või rühmitatult töödelda Alamliigid: • pääsu reguleerimine (nt paroolkaitse, kaartlukk) • teenusevahendus (nt tulemüür, andmebaasi päringuprotsessor) • salastamine (krüpteerimine, peitmine,hävitamine)

  30. Tuvastavad turvameetmed Turvakahju minimeerimise seisukohalt on turvameetmete pingerida järgmine: • rikke vältimine • rikke kohene tuvastamine • rikke kohene registreerimine ja hilisem tuvastamine • rikke tõestamine hiljem • Tuvastavad turvameetmed jagunevad: • operatiivtuvastus • järeltuvastus • tõendtuvastus

  31. Operatiivtuvastus Operatiivtuvastus hõlmab meetmeid, mis võimaldavad turvaintsidente kohe nende tekkimisel tuvastada ja neile kohe reageerida • Näited: • valvur, sisetelevisioon, tuletõrje- ja valvesignalisatsioon, keskkonnaseire jms. infrastruktuurimeetmed • keelatud operatsiooni blokeerimisele, nurjunud autentimiskatsele vms kaasnev vea- või hoiatusteade • silumisvahendite teated tarkvara väljatöötamisel

  32. Järeltuvastus Järeltuvastus toimub otseselt või kaudselt turvariketega seotud sündmuste registreerimise alusel • Näited: • arvutite ja lukusüsteemide logifailid. logifailide automaatanalüüsi vahendid • mitmesugused diagnostika- ja testimisvahendid • läbivaatuse, verifitseerimise ja auditeerimise meetodid

  33. Tõendtuvastus Tõendtuvastus põhineb mitmesugustel andmekogumitele lisatavatel turvaelementidel, mis võimaldavad kontrollida terviklust ja/või konfidentsiaalsust Näited: • paarsusbitt, kontrollsumma, tsükkelkood, krüptograafiline sõnumilühend • digitaalallkiri ja ajatempel • steganograafiline vesimärk (lisatakse originaali loomisel) • steganograafiline sõrmejälg (tekib kopeerimisel) • füüsilised (nähtavad või vähemärgatavad turvakiled, -niidid, -pitserid, värvust muutvad märgised jms)

  34. Taastavad turvameetmed Objekti (infovara) turvalisust kahjustanud turvaintsidendi järel tuleb taastada objekti normaalne talitlus seda kiiremini ja seda suuremas ulatuses, mida olulisem on objekt • Peamised liigid: • varundamine • ennistamine • asendamine

  35. Varundamine Varundamine on taaste peamine ja tähtsaim eeldus • Näiteid: • andmete regulaarne (tavaliselt mitte harvemini kui kord nädalas) varukopeerimine • paralleelselt töös hoitav arvutisüsteem • RAID-kettasüsteem

  36. Ennistamine Ennistamine hõlmab rikete, tõrgete ja defektide kõrvaldamist Näited: • aparatuuri remont • tarkvara parandamine ja modifitseerimine, sh versioonihalduse meetmeid rakendades • operatsioonide tagasivõtt rakendusprogrammides • infrastruktuuri remont • viiruse kõrvaldamine viirusetõrjeprogrammiga • andmeedastuse bitivigade automaatne kõrvaldamine veaparanduskoodiga

  37. Asendamine Asendamine peab olema ette valmistatud parandamatute kahjustuste puhuks • Näiteid: • aegsasti sõlmitud kiirtarne- või üürilepingud • asendusplaanid töötajate võimalike ootamatute ajutiste väljalangemiste või alalise lahkumise puhuks

  38. Turvameetmete liigitus varade järgi Saksa etalonturbe metoodika BSI: üldkomponendid infrastruktuur võrguühenduseta süsteemid võrku ühendatud süsteemid andmeedastussüsteemid side muud IT-komponendid

  39. Turvameetmete liigitus varade järgi ISO ja Eesti rahvuslik andmeturbe standard EVS- ISO/IEC 13335): füüsiline keskkond personal haldus riistvara ja tarkvara side

  40. Turvameetmete liigitus teostusviisi järgi • organisatsioonilised turvameetmed • füüsilised turvameetmed • infotehnilised turvameetmed Olulisimad on organisatsioonilised meetmed, ilma milleta ei toimi reeglina ei füüsilised ega ka infotehnilised meetmed

  41. Organisatsioonilised turvameetmed Organisatsioonilised turvameetmed sisaldavad töökorralduse, turbesüsteemide kavandamise, halduse ja turvaintsidentide käsitluse tegevused ning toimingud Organisatsioonilisi meetmeid tuleb rakendada esmajärjekorras, alates turvapoliitika sõnastamisest, riskianalüüsist ja turbeplaani koostamisest

  42. Organisatsioonilised turvameetmed (järg) Siia all kuulub reeglina kõik see: • kes mida peab tegema • kes mida ei tohi teha • mis juhtub siis, kui keegi midagi keelatut teeb • mis juhtub siis, kui keegi midagi vajalikku tegemata jätab Üldreegel: Organisatsioonilised turvameetmedon nad muude võimalustega võrreldes enamasti ökonoomsemad ja paljudel juhtudel ka tõhusamad. (Näide: tulemuslik viirusetõrje sisseseadmine)

  43. Füüsilised turvameetmed Füüsilised turvameetmed hõlmavad: 1. Objekti infrastruktuuri: • ehituslikud piirdeid • kommunikatsioonid • kütte- ja kliimaseadmed • turvauksed ja –aknad, seifid, barjäärid • tõkkepuud, väravad 2. Mehaanilisi komponente: lukud, sildid, viidad, pakendid, märgised Sageli liigitatakse füüsiliste turvameetmete alla ka pääslatöötajad, turvamehed jmt töötajad

  44. Infotehnilised turvameetmed Infotehnilised turvameetmed on kasutusel peamiselt loogilise eraldamise ja turvarikete tuvastuse funktsioonide teostamiseks Kaks peamist praktilist vahendit • tarkvarapõhine pääsu reguleerimine andmetele ja infosüsteemidesse + autentimistehnika • krüptograafia võtted– teabe teisendamine loetamatule kujule

More Related