Bezpieczeństwo sieci komputerowych - wykład 4
-
Upload
piotr-szmielew -
Category
Education
-
view
101 -
download
3
Transcript of Bezpieczeństwo sieci komputerowych - wykład 4
![Page 1: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/1.jpg)
Bezpieczeństwo sieci komputerowych
Wykład 4
![Page 2: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/2.jpg)
TWORZENIE I ZARZĄDZANIE POLITYKĄ BEZPIECZEŃSTWA
![Page 3: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/3.jpg)
DROGA ‘TECHNICZNA’Według M. Strebe „Podstawy bezpieczeństwa sieci”
![Page 4: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/4.jpg)
Tworzenie regulaminu bezpieczeństwa
• Pierwszy etap: ustalenie wymagań użytkowników sieci
• Znając wymagania należy sporządzić listę funkcji potrzebnych, ale nie niezbędnych
• Na koniec tworzymy listę wymagań bezpieczeństwa: czyli działania zabronione użytkownikom, środki przeciwko anonimowemu dostępowi etc
![Page 5: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/5.jpg)
Przykład:Wymagane Potrzebne Wymagania
bezpieczeństwa
• Użytkownicy muszą mieć mieć możliwość wysyłania i odbierania emaili
• Użytkownicy muszą mieć dostęp do zewnętrznych serwisów
• Użytkownicy powinni mieć łatwe do zapamiętania hasła
• Hackerzy nie mogą mieć dostępu do wnętrza sieci
• Użytkownicy nie mogą przypadkiem obchodzić uprawnień w systemie plików
• Odgadnięcie haseł powinno być niemożliwe, a ich odkrycie przy obecnej technologii powinno trwać min. rok
![Page 6: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/6.jpg)
Szkic regulaminu
• Mając listę ogólnych sformułowań dotyczących wymagań i ograniczeń, badamy każde żądania, aby ustalić jego implementację
• Tworzymy szkic, w którym wymagania będą nagłówkami, a następnie rozbijamy je na metody, które pomogą w ich implementacji. Zapisujemy wszystkie sposoby w jakie można spełnić dane wymaganie
• Nastepnie analizujemy metody, zastępując je prostszą i konkretniejszą wersją tychże
![Page 7: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/7.jpg)
Przykład:
1. Hakerzy nie mogą mieć dostępu do wnętrza sieciA. Zrezygnować z połączenia internetowegoB. Zaimplementować firewall dla połączenia
internetowego1. Blokować cały ruch przychodzący2. Blokować niebezpieczne żądania wychodzące:
a) Usuwać załączniki do emailib) Zablokować wysyłanie plików przez http i ftp
C. Zrezygnować z dostępu wdzwanianegoD. Zastosować oddzwanianie dla dostępu
wdzwanianego
![Page 8: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/8.jpg)
Szkic regulaminu
• Następnie eliminujemy sprzeczne wymagania: jednakże starając się w jak najmniejszym stopniu okroić wymagania bezpieczeństwa
• Po okrojeniu tworzymy prostą listę złożoną z reguł i grupujemy według systemu, który będzie je implementował (szczególna uwaga: musimy być ostrożni, żeby jak najmniej metod wymagało egzekwowania przez ludzi, a jak najwięcej działało automatycznie)
![Page 9: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/9.jpg)
Reguły używania systemu
• Wiedząc, które wymagania musimy narzucić na użytkowników, tworzymy zbiór reguł używania systemu, dostępny dla użytkowników
![Page 10: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/10.jpg)
Budowa
• Reguła• Uzasadnienie• Działanie• Egzekwowanie
![Page 11: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/11.jpg)
Aktualizacje regulaminu bezpieczeństwa
• Identyfikacja i badanie potencjalnych słabych stron, a także metod ich likwidacji
• Wdrożenie tychże metod• Symulacja ataku• Zbadanie logów serwerów i firewalli w celu
poszukiwania naruszeń bezpieczeństwa• Ewentualne poprawki do regulaminu
![Page 12: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/12.jpg)
DROGA ‘MIĘKKA’Według K. Mitnick „Sztuka podstępu”
![Page 13: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/13.jpg)
Analiza obecnej sytuacji i ryzyka
• Jakie obecnie w firmie są standardy bezpieczeństwa informacji i sieci?
• Jakie zasoby muszą podlegać ochronie?• Jakie konkretne zagrożenia istnieją wobec tych
zasobów?• Jaką szkodę mogłoby
spowodować urzeczywistnienie się potencjalnych zagrożeń?
![Page 14: Bezpieczeństwo sieci komputerowych - wykład 4](https://reader035.fdocuments.pl/reader035/viewer/2022071722/55bab143bb61eb6b058b457d/html5/thumbnails/14.jpg)
• Klasyfikacja danych• Procedury weryfikacyjne i autoryzacyjne• Instrukcje klasyfikacji danych• Procedury udostępniania informacji• Zarządzanie rozmowami telefonicznymi• Procedury korzystania z poczty elektronicznej• A nawet instrukcje dotyczące bezpieczeństwa
fizycznego