1 / 41

Andmeturve ja krüptoloogia, I Sissejuhatus , info turbe olemus

Andmeturve ja krüptoloogia, I Sissejuhatus , info turbe olemus. 30. august 2011 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2011. aasta sügissemestril. Aine eesmärk ja nimetus. Nimetus: Andmeturve ja krüptoloogia ( Data Security and Cryptology) Lugemispaik: IT Kolled ž

ide
Download Presentation

Andmeturve ja krüptoloogia, I Sissejuhatus , info turbe olemus

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Andmeturve ja krüptoloogia, ISissejuhatus,infoturbe olemus 30. august 2011 Valdo Praust mois@mois.ee Loengukursus IT Kolledžis 2011. aasta sügissemestril

  2. Aine eesmärk ja nimetus Nimetus:Andmeturve ja krüptoloogia (Data Security and Cryptology) Lugemispaik:IT Kolledž Eesmärk:anda süsteemne ülevaade kaasaegsest andmeturbest ja krüptoloogiast nii teoreetilise kui ka praktilise poole pealt mahus, mis on vajalik ühele infotehnikaga tegelevale praktikule selle valdkonna piisavaks tundmiseks

  3. Protsessuaalne teave, I Ainekood: I301 Sisaldab: 16 paari loenguid, 8 paari praktikume, 4 paari harjutusi, 64 tundi iseseisvat tööd Ainepunkte: 3,0 Lõpeb: hindelise arvestusega Loengute aeg: 20010. aasta sügissemestril kord nädalas, teisipäeviti kella 12.00-13.30 ruumis 316

  4. Protsessuaalne teave, II Õppematerjalide jaotamine: veebilehe kaudu aadressil http://www.itcollege.ee/~valdo/turve/ Loenguväline suhtlus õppejõu ja tudengite vahel: Interneti teel käesoleva veebilehe ning meili vahendusel Harjutuste ja praktikumide ajad: algavad 5. õppenädalal, teisipäeviti peale loengut

  5. Õppejõud • Valdo Praust • tehnikamagister (MSc) • arvuti- ja andmeturbespetsialist • E-tervise Sihtasutuse infoturbejuht • tel 514 3262 • e-post mois@mois.ee

  6. Loengute plaan, I • Sissejuhatus, infoturbe olemus. Infoturve, selle mõiste, olemus ja tähtsus kaasaja infosüsteemides ning maailmas. Käideldavus, terviklus ja konfidentsiaalsus, nende olemus erinevates infosüsteemides ja infovarade kaitsel. Turbe majanduslik külg. Turvaprobleemi lahendamine praktikas. • Turvaohud ja nende liigitamine. Ohtude liigitus: stiihilised ohud ja ründed. Meetodid, mida kasutatakse ohtude leidmisel ja hindamisel. Ohtude sagedus.

  7. Loengute plaan, II • Infosüsteemide nõrkused ja rakendatavad turvameetmed. Nõrkuste liigitus. Nõrkuste koosmõju ohtudega, turvarisk. Näited. • Riskihaldus ja riskihaldusmetoodikad.Riskihaldus turvaülesande praktilise lahendamise tööriistana. Selle neli alternatiivi - riskianalüüs, etalonturbe metoodika, segametoodika ja mitteformaalne metoodika; nende võrdlus. Kvalitatiivne ja kvantitatiivne riskianalüüs, näited. Etalonturbe metoodika näide BSI ja ISKE najal.

  8. Loengute plaan, III • Krüptograafia olemus ja esiajalugu. Krüpteerimise olemus ja põhimõisted. Krüptograafia ajalugu, traditsioonilised võtted. Krüptograafia sünd ja areng kuni arvutite ilmumiseni, tuntuimad traditsioonilised võtted. Teoreetiline ja praktiline turvalisus. • Kaasaja krüptograafia ülevaade.Krüptograafia põhimõisted, olemus ja eesmärgid. Peamised algoritmide liigid, nende kasutamine. Krüptoanalüüsi olemus ja omadused. Algoritmide praktiline turve, selle saavutamise teed.

  9. Loengute plaan, IV • Sümmeetrilised krüptoalgoritmid. AES.Sümmeetriliste krüptoalgoritmide olemus, tööresiimid, kasutatavus ja turvalisus. Algoritm AES, tema saamislugu, üldandmed ja tehniline kirjeldus. AES turvalisus ja kasutusresiimid. • Teisi sümmeetrilisi krüptoalgoritme. IDEA, Skipjack, Blowfish, AES, RC4. Nende omadused, turvalisus, kasutatavus. DES ajaloolise tagasivaatena.

  10. Loengute plaan, V • Asümmeetrilised krüptoalgoritmid. RSA.Olemus, omadused, matemaatiline tagapõhi ja peamised terminid. Näide. Praktiline kasutatavus ja näpunäiteid, realisatsioonid. • Krüptoräsid. Krüptoprotokollid ja TLS.Krüptoräside olemus, omadused ja nõuded neile. Kasutatavaimad algoritmid, nende teoreetiline ja praktiline turvalisus. Krüptoprotokollid. Protokoll TLS,  lühikirjeldus ja kasutatavus.

  11. Loengute plaan, VI • Digiallkiri ja selle kasutamine. Digiallkirja hädavajalikkus digidokumendihalduses. Digitaalallkiri kui avaliku võtmega krüptograafia rakendus. Privaat- ja avaliku võtme käsitlemise tavad. Sertifitseerimine, sertifikaat. Ajatempel ja kehtivuskinnitus, nende teenuste osutajad. Sertifitseerimise infrastruktuur ja PKI.  Digiallkiri Eestis.

  12. Loengute plaan, VII • Digiallkiri ja digiasjaajamine praktikas. Digiarhiveerimine ja ID kaart.Digiallkirja eripärad praktikas. Vormingu tähtsusest. Digiallkirja võrdlus omakäelise allkirjaga.  Ülevaade ID kaardist ja Mobiil-IDst.  Digiasjaajamine ja digiarhiveerimine.

  13. Loengute plaan, VIII • Andmebaaside turve.Võrguturve.Andmebaaside turve teoorias ja praktikas. Krüptoaheldamise tähtsus ja vajalikkus ning praktiline kasutatavus. Võrguturbe vajalikkus. Tulemüür, virtuaalne privaatvõrk, krüptomüür. Turvaline kaugtööklient.

  14. Loengute plaan, IX • Organisatsiooni turve ja turbehaldus.Organisatsiooni turbe ülesehituspõhimõtted. Turbehalduse funktsioonid ja tegevused, turvapoliitika olemus. Infoturbe foorum ja selle roll. Riskihaldusmetoodika valimine. Infoturbeplaan, turvameetmete teostamine ja järeltegevused. Seonduvad standardid maailmas ja Eestis.

  15. Loengute plaan, X • Turbe õiguslik reguleerimine. Isikuandmete kaitse.Isikuandmeteolemusjakaitse head tavadEuroopasjamaailmas. Eestiisikuandmetekaitseseadus. Delikaatsedjaeraelulisedisikuandmed. Registreerimis- jateavitamiskohustus. Avalikusektorieripära: turvaklassid, avalikuteabeseadusjaandmekogudeseadus. • Turbe sotsiaalseid elemente. Turbe mõju infosüsteemidele ja sealtkaudu ühiskonnale. Küberründed, kübersõda, küberkaitse. Infosõda ja kübersõda, erinevate subjektide osakaal ja roll nende valguses. Küberkaitse vs infoturve, küberkaitse peamised probleemid ja nende võimalik lahendamine.

  16. Harjutuste ja praktikumide plaan, I • Ohtude, nõrkuste ja turvameetmete liigitus ja seostega. • Etalonturbe metoodikate tutvustamine. • Riskianalüüsi metoodikate tutvustamine. • Krüpteerimisprogrammide ja –toodete tutvustamine.

  17. Harjutuste ja praktikumide plaan, II • Avaliku võtme infrastruktuuri tarkvara tutvustus • Abstraktse infosüsteemi turvaülesannete lahendamine (eri variandid) • ID kaardi utiliitide tutvustus

  18. Iseseisev töö ja hindamine • Iseseisev töö: refaratiiv-uurismuslik tööd ühel etteantud teemal (tähtaeg 14. nädal) • Aine lõpphinde määrab valiktesti hinne, sellele pääsemise otsustavad õigeaegselt esitatud iseseisvad tööd Hindeline arvestus: valiktest (80 küsimust) põhifaktide kohta ilma abimaterjalideta.Toimumisaeg: arvatavasti viimase harjutuse ajal või lähikonnas

  19. Kirjandus • Põhiõpikut ei ole, selle aset täidavad veebis kättesaadavad loengute slaidiprogrammid • Toetav kirjandus: • V. Hanson. Infosüsteemide turve. 1. osa: turvarisk. Tallinn, AS Cybernetica, 1997, 125 lk • V. Hanson, A. Buldas, H. Lipmaa Infosüsteemide turve. 2. osa: turbe tehnoloogia. Tallinn, AS Cybernetika, 1998, 372 lk • V. Praust. Digitaalallkiri — tee paberivabasse maailma. Tallinn, ILO, 2001, 179 lk • A. Kirna. Arvutikaitse ABC. Paar, 2008, 100 lk • H. Mägi, L. Vitsut. Infosõda: visioonid ja tegelikkus. Tallinn, EE, 2008 • T. Beltier, J. Beltier, J. Blackley. Information Security Fundamentals. Auerbach, 2004 • A. Manezes, P. Oorschot, S. Vanstone. Handbook Of Applied Cryptography. CRC Press, 2001 • J. Katz, Y. Lindell. Introduction to modern cryptography. CRC Press, 2007

  20. Mida me kaitseme: informatsioon ehk teave Informatsioon ehk teave(information)–teadmine, mis puudutab objekte, näiteks fakte, sündmusi, asju, protsesse või ideid ja millel on teatavas kontekstis eritähendus Informatsiooni mõiste on seega seotud temast üldisema — teadmuse — mõistega, mille üheks osaks on see mida teatakse, st mingi asjaolu (objekt), ja teiseks osaks see, kes teab (subjekt) Informatsioonil iseenesest puudub vorm. See tekib alles esituse (andmete) kaudu

  21. Mida me kaitseme: andmed Andmed (data)–informatsiooni taastõlgendatav esitus formaliseeritud kujul, mis sobib edastuseks, tõlgenduseks või töötluseks Andmed on informatsiooni esitus, st tema kirjapanek mingis eelnevalt kokkulepitud kujul(mis võimaldab andmetele vastavat teavet edasi anda subjektilt subjektile) Samade andmete tõlgendus erinevate subjektide poolt võib olla erinev (nt sõna 'hallitus' tähendus sõltub mõnevõrra sellest, kas tema lugeja on eestlane või soomlane)

  22. Digitaalkujul andmed • Informatsioon võib olla andmetena kirja pandud mitmel erineval viisil. Olulisemad neist on kaks: • paberkandjal andmed (tekst, skeemid, pildid jm) • digitaalkujul andmed (esitatud arvude 0 ja 1 abil teatud tehniliste seadmete vahendusel) Rääkides arvutiga (infotehniliste seadmetega) töödeldavatest andmetest, mõtleme me andmete all alati digitaalkujul andmeid, seega andmeid, mis koosneb bitijadadest ehk märkide 0 ja 1 jadadest.

  23. Infoturbe lähtekoht Lähtekoht: nii paber- kui ka digitaalkujul andmetel (informatsioonil) on reeglina mingi väärtus ja omadused mingi subjekti (kas inimese või tehnilise süsteemi) jaoks Infoturve ehk andmeturve tegeleb andmete (informatsiooni) omaduste ja seeläbi kaväärtuste tagamisega

  24. Infoturbe komponendid • Infoturbe (information security) ehk andmeturbe (data security) all mõeldakse sümbioosi järgmisest kolmest omadusest: • käideldavus • terviklus • konfidentsiaalsus Need kolm omadust peavad olema tagatud suvalise andmekogumi — nii paber- kui ka digitaalkujul oleva — korral NB! Andmete (teabe) turvalisus ei ole pelgalt selle salastatus (konfidentsiaalsus) nagu ekslikult arvatakse(see oli nii ajaloolises plaanis)

  25. Käideldavus Andmete käideldavus (availability) on teabe õigeaegne ning mugav kättesaadavus ning kasutatavus selleks volitatud isikutele ning subjektidele • Käideldavus on reeglina andmete olulisim omadus ehk andmeturbe olulisim komponent– halvim mis andmetega võib juhtuda, on see et ta pole (volitatud subjektidele) kättesaadav • Näited: • piirivalvel pole teavet tagaotsitavate kohta või see jääb hiljaks; • maakorraldajal pole teavet, kellele mingi maatükk kuulub

  26. Terviklus Andmete terviklus(integrity) on andmete pärinemine autentsest allikast ning veendumine, et need pole hiljem muutunud ja/või neid pole hiljem volitamatult muudetud Terviklus on käideldavuse järgi olulisuselt teine andmete omadus (andmeturbe komponent) Andmed on reeglina seotud selle loojaga, loomisajaga, kontekstiga jm sarnasega; nimetatud seose rikkumisel on halvad tagajärjed Näide: karistusregistri kuritahtliku muutmisega saab vang õigusevastaselt varem vabaks

  27. Konfidentsiaalsus Andmete konfidentsiaalsus (confidentiality) ehk salastus on andmete kättesaadavus ainult selleks volitatud isikutele (ning kättesaamatus kõikidele ülejäänutele) • Oli ajalooliselt andmeturbe olulisim komponent • Kaasajal on ta vaid üks kolmest olulisest komponendist • Näited: • riigi- või firmasaladus tuleb avalikuks • operatiivne jälitusteave tuleb avalikuks • isikuandmeid levitamine ilma isiku nõusolekuta

  28. Andmete vs infovarade turve Tihti räägitakse andmeturbe asemel kõikide infosüsteemi varade ehk infovarade turbest • (Info)varade hulka kuuluvad: • andmed (mingis vormingus olev informatsioon) • IT aparatuur (riistvara, sideseadmed, toiteseadmed jm) • andmesidekanalid • tarkvara (süsteemne ja rakendustarkvara) • Vahel loetakse infovaradeks lisaks: • organisatsioon (selle struktuur ja talitlus) • personal • andmekandjad (sh dokumendid) • infrastruktuur (hooned, tööruumid, jms)

  29. Infovarade omadusi • Varade suur, kuid kaudne väärtus: seda on tihti raske hinnata • Portatiivsus: väikeste füüsiliste parameetritega ja kergest teisaldatavatel esemetel võib olla väga suur väärtus • Füüsilise kontakti vältimise võimalikkus (eriti kaasaja netiajastul): füüsiline ja loogiline asukoht ja struktuur eralduvad järjest üksteisest • Kahjustuste varjatus: neid on tihti raske ja keeruline avastada

  30. Turbe kahjustumise standardmudel • Infovaradele (infosüsteemile) mõjuvad ohud(threat) • Ohud võivad ära kasutada süsteemi turvaauke e nõrkusi(vulnerabilities) • Ohud koos nõrkustega määravad ära riski (risk) • Ohu realiseerumisel tekib turvakadu(security loss) • Riski vähendamiseks tuleb turvaauke lappida turvameetmeid(security measures) kasutades

  31. Turbe kahjustumine (skeem)

  32. Turvameetme mõju

  33. Turbemõistete olemus • Oht (threat) – potentsiaalne (info)turbe rikkumine • Nõrkus e turvaauk (vulnebarility) – infosüsteemi (infovarade) suvaline nõrk koht või turvadefekt • Risk (risk) – tõenäosus, et teatud oht kasutab ära infosüsteemi teatud nõrkuse • Turvakadu e turvarike (security loss) – sündmus, mille käigus kahjustus infosüsteemi kuuluvate varade turvalisus (käideldavus, terviklus ja/või konfidentsiaalsus) • Turvameede (security measure) – infosüsteemi modifitseering, mis vähendab mingit riski (reeglina mitmeid korraga)

  34. Turvakao näiteid • seadme rikkiminek – IT aparatuuri tervikluskadu • seadme hävitamine või varastamine – IT aparatuuri käideldavuskadu • registri volitamatu muutmine – andmete tervikluskadu • tööruumide muutumine kasutuskõlbmatuks – infrastruktuuri käideldavuskadu • andmesideliinide pealtkuulamine, kui andmed ei olnud krüpteeritud – andmete konfidentsiaalsuskadu

  35. Turvamõistete vahelised seosed

  36. Organisatsiooni turve Põhitõde: et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid (infovarasid), tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis Riigi- ja äriasutuste tegevus sõltub kaasajal tugevalt informatsiooni (andmete) kasutamisest Infovarade turvakadu avaldab tihti kahjulikku mõju asutuse muudele varadele ja seega kogu asutusele Kaasajal on andmeturbega tegelemine ülioluline, sest paljud organisatsioonid on seesmiselt ja väliselt seotud mitmete infosüsteemide ja võrkude kaudu

  37. Turvalisus ja jääkrisk NB!Mitte ühegi turvameetme rakendamine ei loo kunagi absoluutset turvalisust. Need vaid vähendavad turvariski, st tõenäosust, et andmete terviklus, käideldavus või konfidentsiaalsus saavad kahjustatud Absoluutse turbe asemel räägitakse alati aktsepteeritavast jääkriskist, mis vastab teatud konkreetse olukorra mõistlikule turvatasemele Reeglina mõeldakse selle all olukorda, kus varade väärtus, rakendatud turvameetmete hind ja aktsepteeritav jääkrisk on omavahel teatavas tasakaalus

  38. Turbe majanduslik külg

  39. Turbe majanduslik külg • Tüüpiliselt on kahjude ja turbekulude kõverad eksponentsiaalsed • Kahjude kõver lõikab püsttelge punktis, mis vastab varade kogumaksumusele • Turvakulude kõver läheneb 100% juures püstteljele asümptootiliselt • Kõverad illustreerivad ülesandes peituvat vastuolu: turve kahandab kahjusid, kuid tekitab oma maksumusega uusi. • Optimaalset lahendit näitab kõverate lõikepunkt. Varade, ohtude, nõrkuste ja turvameetmete suure arvu korral ei ole võimalik seda optimumi intuitiivselt leida, vajalik on süstemaatiline riskianalüüs või mingi seda asendav meetod

  40. Vajadus kindlate riskihaldusmetoodikate järele Et praktilist turvet kuidagi standardida, on vaja: • sätestada (klassifitseerida, standardida) turvatasemedelik käideldavus-, terviklus- ja konfidentsiaalsustasemed • luua mingisugune süsteem, mis iga taseme (tasemete komplekti) korral võimaldab leidamingi korra või tegevused, mille tulemusena turve tagatakse ehk reaalsus viiakse meile sobiva jääkriski piiridesse Ülalkirjeldatut nimetatakse andmeturbes riskihaldusmetoodikaks; selle praktiliseks realiseerimiseks on olenevalt olukorrast mitmeid erinevaid võimalusi

  41. Turvaprobleemi lahendamine

More Related