Számítógépes adatbiztonság IN11 Tematika Bevezetés Informatikai biztonság, adat- és információvédelemi alapfogalmak Zajos csatornák Hibadetektáló és javító kódolások Kriptográfia - alap algoritmusok I. Szimmetrikus kulcsú megoldások, hash függvények Kriptográfia - alap algoritmusok II. Aszimmetrikus technikák, PKI 2
Tematika (folyt.) Elosztott rendszerek és kripto-protokollok Kulcs elosztás, autentikáció, integritásvédelem, digitális aláírás Szoftverek biztonsági kérdései Op. rendszer mechanizmusok, jogosultságkezelés, jelszavak, inputvalidálás Vírusvédelem Vírusok, férgek, terjedési mechanizmusok 3 Tematika (folyt.) Hálózati biztonsági kérdések Biztonsági megoldások helye a protokoll-stackben, támadások és védekezés Alkalmazott biztonsági protokollok Biztonsági megoldások TCP/IP környezetben, kripto-algoritmusok a gyakorlatban Webes biztonsági kérdések Dinamikus webalkalmazások biztonsága 4
Tematika (folyt.) Szoftver-kód védelem hardverkulcsok Behatolás detektálás Másolásvédelem, kódintegritás védelem, IDS-ek, logbányászat Biztonság és információ vizualizálás Felügyeleti eszközök interfészei Biztonság politika, szabályozás Esettanulmányok, szakért#i tapasztalatok 5 Ajánlott irodalom Kriptográfia W. Mao: Modern cryptography, Theory & practice, Prentice Hall, 2004 O. Goldreich: Foundations of cryptography, Cambridge University Press, 2004 Ködmön József, Kriptográfia, Az informatikai biztonság alapjai, ComputerBooks Könyvkiadó, 1999 Hálózati biztonság W. Stalling: Cryptography and network security, Prentice Hall, 2006 Tom Thomas: Hálózati biztonság, Panem, 2005 Kevin Mitnick: A Legendás hacker - A behatolás m!vészete, Perfact- Pro, 2006 Kevin Mitnick: A Legendás hacker - A megtévesztés m!vészete, Perfact-Pro, 2003 Je" Crume: Az internetes biztonság belülr#l - amit a hackerek titkolnak, Szak Kiadó, 2003 Paul Craig, Joe Grand, Tim Mullen, Ryan Russell, Jay Beale: A Háló kalózai - hogyan lopjunk kontinenst, Kiskapu, 2005 Mike Andrews, James Whittaker: Hogyan törjünk fel webhelyeket, Kiskapu, 2007 6
Követelmények Számonkérésre kerül az el#adásokon elhangzott anyag írásbeli vizsga 6-8 kérdés - 1 óra ZH nincs 7 Bevezetés Alapfogalmak
Adatvédelmi célok Adatok és információk elérhet#ségének biztosítása és védelme Hagyományosan fizikai és adminisztratív eszközökkel Számítógépes környezetben automatizált eszközökkel (HW, SW) Speciális védelem a hálózaton továbbított adatoknak 9 Néhány definíció Számítógépes biztonság tárolt) adatok védelme Hálózati biztonság átvitel közbeni védelem Internetes biztonság általános, számítógépes (elektronikusan Interneten (összekapcsolt, többékevésbbé nyílt hálózatok) történ# átvitel közbeni védelem kitettség 10
A védelem területei Min!ség biztosítás Információs technológia Biztonság technika Informatikai biztonság Jogi szabályozás 11 A védelem területei (folyt.) Technikai védelem véletlen meghibásodások, adathordozó sérülések, elemi károk Jogi el#írásoknak való megfelelés információs önrendelkezési jogok, szerz#i jogok Tudatos támadások elleni védelem anyagi haszonszerzés, károkozás 12
Az okok Veszélyek a környezetben Társadalmi környezet Fizikai környezet Hardver infrastruktúra meghibásodások Rendszer szoftverek Alkalmazás szoftverek szabályozatlanság, szaképzetlenség t!z, villám, áramszünet szakszer!tlen üzemeltetés, véletlen szoftverhibák 13 Az adatvédelem köre Adatok Adathordozók (tárolók) Adattovábbító eszközök Személyzet Fizikai környezet 14
Néhány definíció Biztonsági támadás adatok biztonságát fenyegeti Biztonsági mechanizmus támadások detektálására, megel#zésére, a károk elhárítására szolgáló megoldás Biztonsági szolgáltatás egy rendszer biztonságát fokozó szolgáltatás, több biztonsági mechanizmusra építve 15 Biztonsági támadások Normál információ áramlás Megszakítás Lehallgatás Módosítás Hamisítás 16
Biztonsági célok Titkosság csak a felhatalmazottak férjenek az információhoz Integritás jogosulatlan módosítás megakadályozása Rendelkezésre állás er#források hozzáférhet#ségének biztosítása Nem engedélyezett felhasználás megakadályozása 17 Biztonsági szintek Biztonsági szint Elméleti max. biztonság Az alkalmazás számára elvárt biztonság A rendszer alap megbízhatósága [ gazdasági lehet!ségek ] Költség 18
Biztonsági megközelítések Elrettentés Megel#zés Detektálás Válaszcsapás 19 Pszeudobiztonság Security through obsucity nincsenek spec. biztonsági megoldások, er#forrásokkal, biztonsági mechanizmusokkal kapcsolatos információk titokban tartása rossz megközelítés info-szivárgás, reverse engineering 20
Védelmi lehet!ségek Fizikai védelem Jogi szabályozás Algoritmusos védelem Biztonság politika, védelmi program Való világban ezek összessége 21 Fizikai védelem Redundancia, szeparálás adathordozók Szünetmentes tápellátás Tartalék rendszerek biztonsági mentések, duplikált elkülönített (földrajzilag) tárolás Hozzáférés, bejutás szabályozás T!zvédelem 22
Jogi szabályozás Adatvédelmi törvények Számviteli törvények Bels# el#írások adatvédelmi biztos (ombudsman) Személyiségi jogok védelme Szerz#i és szomszédos jogok Piac védelmi szabályozás 23 Algoritmikus védelem Hozzáférési eljárások Vírus scannerek T!zfalak autentikációs megoldások jelszavak, tokenek Titkosítási megoldások kriptográfiai mechanizmusok szolgáltatások, tanusítvány kezelés csomagsz!rés, spamsz!rés Hardver és szoftver azonosítás 24
Biztonsági rendelkezések Infrastruktúrához kapcsolódó rendelkezések Adathordozókhoz kapcsolódó rendelkezések Dokumentumokhoz kapcsolódó szabályozás Szoftverekhez kapcsolódó rendelkezések Kommunikációhoz kacsolódó szabályozás Személyekkel kapcsolatos rendelkezések 25 Biztonsági szabványok Különböz# forrásból származó, biztonsági megoldást igényl# szoftverek, komponensek, valamint különböz# forrásból származó biztonsági megoldások, elosztott szolgáltatások interoperabilitásának szükségessége 26
Biztonsági szabványok (folyt.) Konformitási szabványok (f#leg védelmi, katonai, ill. de jure polgári, államigazgatási) Nyílt rendszerekhez kapcsolódó technikai szabványok (számítógéphálózatok, protokollok) Ágazati szabványok Implementációs szabványok Érdekeltség miatt alkalmazott szabványok 27 Biztonsági alap modell Megbízható harmadik fél Els!dleges kommunikáló fél Véletlen zavarok Els!dleges kommunikáló fél Üzenet Üzenet Biztonsági információk Információs csatorna Tudatos támadás Biztonsági információk Biztonsági transzformáció Biztonsági transzformáció Ellenség 28