Bezpieczeństwo sieci komputerowych - wykład 4
-
Upload
piotr-szmielew -
Category
Education
-
view
101 -
download
3
Transcript of Bezpieczeństwo sieci komputerowych - wykład 4
Bezpieczeństwo sieci komputerowych
Wykład 4
TWORZENIE I ZARZĄDZANIE POLITYKĄ BEZPIECZEŃSTWA
DROGA ‘TECHNICZNA’Według M. Strebe „Podstawy bezpieczeństwa sieci”
Tworzenie regulaminu bezpieczeństwa
• Pierwszy etap: ustalenie wymagań użytkowników sieci
• Znając wymagania należy sporządzić listę funkcji potrzebnych, ale nie niezbędnych
• Na koniec tworzymy listę wymagań bezpieczeństwa: czyli działania zabronione użytkownikom, środki przeciwko anonimowemu dostępowi etc
Przykład:Wymagane Potrzebne Wymagania
bezpieczeństwa
• Użytkownicy muszą mieć mieć możliwość wysyłania i odbierania emaili
• Użytkownicy muszą mieć dostęp do zewnętrznych serwisów
• Użytkownicy powinni mieć łatwe do zapamiętania hasła
• Hackerzy nie mogą mieć dostępu do wnętrza sieci
• Użytkownicy nie mogą przypadkiem obchodzić uprawnień w systemie plików
• Odgadnięcie haseł powinno być niemożliwe, a ich odkrycie przy obecnej technologii powinno trwać min. rok
Szkic regulaminu
• Mając listę ogólnych sformułowań dotyczących wymagań i ograniczeń, badamy każde żądania, aby ustalić jego implementację
• Tworzymy szkic, w którym wymagania będą nagłówkami, a następnie rozbijamy je na metody, które pomogą w ich implementacji. Zapisujemy wszystkie sposoby w jakie można spełnić dane wymaganie
• Nastepnie analizujemy metody, zastępując je prostszą i konkretniejszą wersją tychże
Przykład:
1. Hakerzy nie mogą mieć dostępu do wnętrza sieciA. Zrezygnować z połączenia internetowegoB. Zaimplementować firewall dla połączenia
internetowego1. Blokować cały ruch przychodzący2. Blokować niebezpieczne żądania wychodzące:
a) Usuwać załączniki do emailib) Zablokować wysyłanie plików przez http i ftp
C. Zrezygnować z dostępu wdzwanianegoD. Zastosować oddzwanianie dla dostępu
wdzwanianego
Szkic regulaminu
• Następnie eliminujemy sprzeczne wymagania: jednakże starając się w jak najmniejszym stopniu okroić wymagania bezpieczeństwa
• Po okrojeniu tworzymy prostą listę złożoną z reguł i grupujemy według systemu, który będzie je implementował (szczególna uwaga: musimy być ostrożni, żeby jak najmniej metod wymagało egzekwowania przez ludzi, a jak najwięcej działało automatycznie)
Reguły używania systemu
• Wiedząc, które wymagania musimy narzucić na użytkowników, tworzymy zbiór reguł używania systemu, dostępny dla użytkowników
Budowa
• Reguła• Uzasadnienie• Działanie• Egzekwowanie
Aktualizacje regulaminu bezpieczeństwa
• Identyfikacja i badanie potencjalnych słabych stron, a także metod ich likwidacji
• Wdrożenie tychże metod• Symulacja ataku• Zbadanie logów serwerów i firewalli w celu
poszukiwania naruszeń bezpieczeństwa• Ewentualne poprawki do regulaminu
DROGA ‘MIĘKKA’Według K. Mitnick „Sztuka podstępu”
Analiza obecnej sytuacji i ryzyka
• Jakie obecnie w firmie są standardy bezpieczeństwa informacji i sieci?
• Jakie zasoby muszą podlegać ochronie?• Jakie konkretne zagrożenia istnieją wobec tych
zasobów?• Jaką szkodę mogłoby
spowodować urzeczywistnienie się potencjalnych zagrożeń?
• Klasyfikacja danych• Procedury weryfikacyjne i autoryzacyjne• Instrukcje klasyfikacji danych• Procedury udostępniania informacji• Zarządzanie rozmowami telefonicznymi• Procedury korzystania z poczty elektronicznej• A nawet instrukcje dotyczące bezpieczeństwa
fizycznego