1 / 31

Andmeturbe põhialused praktikule, II Paber- ja digitaalteabe turve. Lõppkasutaja turbest

Andmeturbe põhialused praktikule, II Paber- ja digitaalteabe turve. Lõppkasutaja turbest. Valdo Praust mois @ mois .ee arvuti- ja andmeturbespetsialist isikuandmete kaitse seaduse kaasautor Infoühiskonna harrastusfilosoof Täienduskoolitus IT Kolledzis 21. septembril 2004.

helena
Download Presentation

Andmeturbe põhialused praktikule, II Paber- ja digitaalteabe turve. Lõppkasutaja turbest

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Andmeturbe põhialused praktikule, IIPaber- ja digitaalteabe turve. Lõppkasutaja turbest Valdo Praust mois@mois.ee arvuti- ja andmeturbespetsialist isikuandmete kaitse seaduse kaasautor Infoühiskonna harrastusfilosoof Täienduskoolitus IT Kolledzis 21. septembril 2004

  2. Andmeturbe komponendid • Andmeturbe (data security) ehk infoturbe (information security) all mõeldakse sümbioosi järgmisest kolmest omadusest: • käideldavus • terviklus • konfidentsiaalsus Need kolm omadust peavad olema tagatud suvalise andmekogumi — nii paber- kui ka digitaalkujul oleva — korral NB! Andmete (teabe) turvalisus ei ole pelgalt selle salastatus (konfidentsiaalsus) nagu ekslikult arvatakse(see oli nii ajaloolises plaanis)

  3. Turvameetmete liigitus teostusviisi järgi • organisatsioonilised turvameetmed • füüsilised turvameetmed • infotehnilised turvameetmed Olulisimad on organisatsioonilised meetmed, ilma milleta ei toimi reeglina ei füüsilised ega ka infotehnilised meetmed

  4. Turvalisus ja jääkrisk NB!Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud Absoluutse turbe asemel räägitakse alati aktsepteeritavast jääkriskist, mis vastab teatud konkreetse olukorra mõistlikule turvatasemele Reeglina mõeldakse selle all olukorda, kus turvameetmete maksumus ning prognoositav turvarikest tulenev kahju on omavahel mõistlikus tasakaalus

  5. Turbe majanduslik külg

  6. Paberkandjal teabe turve Paberdokumendi käideldavuse tagab ta säilitamine hävimiskindlas kohas ning õigeaegne levitamine (asjaajamiskord) Paberdokumendi tervikluse tagavad ta füüsiline vorm ja struktuur ning sellele kantav allkiri, pitser ning kuupäev; samuti õige ligipääsu- ning asjaajamiskord Paberdokumendi konfidentsiaalsusetagab nende hoidmine kindlas kohas ja teisaldamine usaldatava saatja kaasabil Digitaalandmete tervikluseja konfidentsiaalsuse tagamise võtted erinevad nendest suuresti – selle juures kasutatakse kaasaja infotehnika ja krüptograafia vahendeid (põhinevad matemaatikal)

  7. Digitaalteabe turve: erijooni • Tervikluseja konfidentsiaalsuse tagamise võtted erinevad suuresti paberdokumentide heast tavast.Selle juures kasutatakse kaasaja infotehnika ja krüptograafia vahendeid (põhinevad matemaatikal) • Oluline moment on kasutaja autentimisel arvuti või infosüsteemi ees, mille käigusb ta tuvastab, et tema on ikka tema ja tal on õigus teatud dokumente (teavet) vaadata, luua, kustutada, muuta jne • Käideldavus tagatakse tihti üle võrgu(Intreneti). Ülilevnud on klient-server süsteemid

  8. Krüptograafia rakendamisest Krüpteerimine ehk šifreerimine (encryption, encipherment) on andmete teisendamine loetamatule kujule, mille käigus kasutatakse teatud salajast võtit (key). • Seda saab kasutada: • Andmete konfidentsiaalsuse tagamiseks– ilma võtmeta näeb vaid krüpteeritud kuju, aga ei pääse tänu matemaatilistele seostele ligi teabele • Andmete tervikluse tagamiseks(privaat)võtit omamata ei saa andmeid tänu matemaatilistele seostele muuta. Kasutatakse turvalises sides ja signeerimise ning digiallkirja alusena

  9. Krüptograafia salastuse kaitsel

  10. Krüptograafia tervikluse kaitsel ehk signeerimisel (digitaalallkirja andmisel)

  11. Digitaalandmete käideldavus • On vajalik: • regulaarne varukoopiate tegemine (varundamine) • õigesti ekspluateeritavad arvutisüsteemid • digitaalandmetel põhinev asjaajamiskord • andmete edastamine üldise andmesidevõrgu (Interneti) vahendusel

  12. Digitaalandmete terviklus • On kolm alternatiivi (eri turvatasemetega): • Kasutada klient-server tehnoloogiat ja end serveris autentida lastes jätab server meelde, kes millal mida lõi, muutis, vaatas jne. Kaasajal masskasutuses • Siduda andmed püsivalt füüsilise andmekandjaga. Välistab netipõhised teenused (ja kogu hea e-maailma) • Andmete digiallkirjaga varustamine, mis seob ta loojaga matemaatiliste võtete abil. On turvalisim viis ja võimalik teha võltsimiskindlaks. On uudne ja kasutatakse kahjuks veel vähe

  13. Kuidas koostatakse (vigast) tarkvara,, I Uue tarkvara toote vajaduse tekkimine. Tulemus: turunõudlus vastavas niššis Kavandamine ja spetsifitseerimine. Tulemus: tarkvara detailne projekt (kavand) Tarkvara kirjutamine. Tulemus: esialgne versioon Tarkvara nn –testimine katseandmetega tootja poolt. Tulemus: -versioon, kus esialgsed vead (turvaaugud) on kõrvaldatud

  14. Kuidas koostatakse (vigast) tarkvara, II Tarkvara nn –testimine reaalsete andmetega reaalse kasutaja poolt. Tulemus: paljud vead on parandatud, kuid siiski jääb neid palju alles ja neid avastatakse pidevalt Vea avastamine ja avalikustamine. Tulemus: lai avalikkus saab tarkvara (võrgu vahendusel) väärkasutada, pääsedes volitamatult ligi piiramist vajavatele ressurssidele

  15. Kuidas koostatakse (vigast) tarkvara, III Vea parandamine tootja poolt ja sellekohase paiga (patch) avaldamine. Tulemus: tarkvara kasutajad saavad turvaauku tekitanud puuduse kõrvaldada Paiga installeerimine. Tulemus: turvaauk lakkab eksisteerimast Teatud aja jooksul kordub punktides 6-8 toodu Julm reaalsus: alates vea avalikustamisest kuni paiga installeerimiseni on tarkvara (võrgust lähtuvate) rünnete ees kaitsetu

  16. Turvaaugud ja nende lappimine Kurb lähtekoht:ühegi tarkvara turvalisust ei saa tõestada, aeg-ajalt tõestatakse ebaturvalisust, st leitakse turvaauke Leitud turvaaukudele publitseeritakse varem või hiljem paigad (patch), mis tuleb reeglina võrgust tõmmata ja installeerida Reeglina on see süsteemiadministraatori töö, kuid tihti peavad sellega kokku puutuma ka lõppkasutajad (nt kodukasutuses) Suur puudus: tihti paiku ei koostata, koostatakse hiljem või ei installeerita. Parandamata turvaaukudega tarkvara on kaasajal kahjuks reaalsus

  17. Ründed ja kaitse nende eest Ründed jagunevad laias laastus kaheks: • Kasutatakse ära tüüptarkvara (lappimata) turvaauke. Nende parandamine (paikamine) on süsteemihaldurite ülesanne. Risk väheneb oluliselt, kui võrgus ollakse läbi tulemüüri • Kasutatakse ära lõppkasutajate rumalust ning ebaturvalise rakendustarkvara nõrku kohti (sellest edaspidi). Aitab teadlikkus ja mõistuspärane käitumine

  18. Pahalas-vara • Pahalas-tarkvara jaguneb suures osas kaheks: • viirused (kas tekitavad vaatemängulisi efekte või hävitavad andmeid) • nn trooja hobused: teevad peale oma näilise eesmärgi veel midagi (tüüpiliselt tekitavad salaukse, mille kaudu saab väline ründaja arvutisse hoolimata tulemüüridest jms vahenditest) • Suur osa pahalasi (eriti viiruseid) paljunevad, aktiveerides end arvutis, mis on nakatatud Ohtlikum osa on trooja hobused, kuigi ranget vahet viirustega tihti teha ei saa

  19. Kasutaja autentimine Reeglina peab kasutaja end infosüsteemis autentima, et süsteem saaks üheselt veenduda selle kasutajas. • Seda saab teha peamiselt neljal viisil • esemelise volitustõendiga (võti, kiipkaart jms) • kasutajale ainuteada oleva parooli (password) sisestamisega • biomeetriliste volitustõenditega • kombineeritud metoodikaga

  20. Kasutaja autentimine Konkurentsitult on turvalisim autentimismeetod kombineertitud, kus krüpto-põhisele esemele lisandub parool • Säärane kombineeritud meetod ei ole • varastatav • replikeeritav • On aga • mugav kasutada • ründetarkvarakindel Vaid ese on varastatav, vaid parool varastatav ja replikeeritav, biomeetria replikeeritav

  21. Hea parooli valik Vältida tuleb nõrkade ja lühikeste paroolide kasutamist. Neid suudab spetsiaalne ründetarkvara hõlpsalt lahti murda • Üks hea (murdmatu) parool: • on 8-9 märki pikk • sisaldab läbisegi suur- ja väiketähti, numbreid ja erimärke • ei sisalda loomuliku keele (eesti, inglise vm) sõnu • ei sisalda isikuga lihtsalt seostatavadi arvesüsteemi Teie nimel kasutada, mis on tihti analoogiline Teie allkirja kasutamisega

  22. Mida lõppkasutaja ei tohi teha? • Konfigureerida meilihõlveprogrammi nii, et meilimanused käivitatakse meili lugemisel automaatselt

  23. Mida lõppkasutaja ei tohi teha? • Sisse tuua ründetarkvara osas kontrollimata tarkvara (praktikas ka andmeid, kuna nende vaheline piir on hägustunud)

  24. Mida lõppkasutaja ei tohi teha? • Lasta brauseril meelde jätta kasutajaparoole

  25. Mida lõppkasutaja ei tohi teha? • Kasutada triviaalseid paroole • Paroole meelde jätta või edasi anda • Esemelisi volitustõendeid edasi anda või lohakile jätta • Kasutada kriitilistes rakendustes võimalikult ebaturvaliste kohtade (jututoad, meelelehutusportaalid vms) paroole

  26. Mida lõppkasutaja ei tohi teha? • Veebi ”kahtlastes” kohtades seilates jätta peale veebi aktiivsisu ja java rakendused

  27. Mida lõppkasutaja ei tohi teha? • Mõtlemata vajutada veebidialoogides ”yes”; igal pool, kus ei saada sisust aru, tuleb vajutada ”cancel” või dialoog sulgeda

  28. Mida lõppkasutaja ei tohi teha? • Ühendada arvutit Internetti ilma tulemüürita. Kodus tuleb sissehelistamisel ja ka püsiühenduse korral (ADSL vms) kasutada tarkvaralist tulemüüri • Kasutada standardkonfiguratsioonis meilihõlveprogrammina Microsoft Outlook Expressi

  29. Suurim oht on meilindus ja meilimanused • Mõistlik on evitada järgmine hea tava: • Kui keegi tahab saata manusega meili, oleks tal sellest adressaati eelnevalt mingil muul teel (telefon, varasem meil jutuajamine) mõistlik teatada • Kõiki muid meilimanuseid (v.a p 1) EI TOHI avada, seda ka tuttavatelt inimestelt

  30. Käesoleva ettekande materjalid (MS PowerPoint 2000 vormingus) on saadaval veebis aadressil http://www.itcollege.ee/~valdo/taiend/plokk1-2.ppt Edasised küsimused palun aadressil mois@mois.ee

  31. Tänan tähelepanu eest!

More Related