Embed Size (px)
Citation preview
1
Zagro Ŝenia w sieciZagro Ŝenia w sieci
PoznaPoznańń, , 29.10.29.10.20082008
Tomasz NowocieTomasz Nowocie ńń,,
ZespZesp óółł BezpieczeBezpiecze ńństwastwa PCSSPCSS
2
Agenda
Kim jesteKim jesteśśmy?my?
ZagroŜenia w sieciach teleinformatycznych oraz sposoby zabezpieczeń
Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepów
3
Uczestnik projektUczestnik projektóów naukowow naukowo--badawczychbadawczychPolska, Europa, Polska, Europa, ŚŚwiatwiat
Operator sieci PIONIEROperator sieci PIONIERPartner wielu Partner wielu śświatowych korporacji wiatowych korporacji
MicrosoftMicrosoft, , SunSun,, CiscoCisco ii inneinne
DoDośświadczeniewiadczenieTTworzenie oprogramowaniaworzenie oprogramowania
AAdministracja usdministracja usłługug
BBudowa i administracja sieci i udowa i administracja sieci i gridgridóóww
BBezpieczeezpieczeńństwostwo
http://http:// wwwwww ..pcsspcss ..plplhttp://http:// wwwwww ..manman ..poznanpoznan ..plpl
http://http:// wwwwww ..psncpsnc ..plpl
PCSS
4
Działa oDziała od 1996r. d 1996r. OObecnie becnie zatrudnionych zatrudnionych 7 os7 osóóbbZabezpieczanie infrastrukturyZabezpieczanie infrastruktury PCSSPCSSZadania bezpieczeZadania bezpieczeńństwastwa ww projektachprojektach R&DR&DSzkoleniaSzkolenia, transfer, transfer wiedzywiedzyBadaniaBadania wwłłasneasneUsUsłługi zewnugi zewnęętrznetrzne
Najciekawsze badaniaNajciekawsze badania zz ostatnichostatnich latlatBezpieczeBezpieczeńństwo komunikatorstwo komunikatoróów internetowychw internetowychBadania sieci bezprzewodowych na terenie PoznaniaBadania sieci bezprzewodowych na terenie PoznaniaRaportRaport nt.nt. bezpieczebezpieczeńństwa bankowostwa bankowośści elektronicznejci elektronicznejBezpieczeBezpieczeńństwo serwerstwo serweróóww WWW (Apache, MS IIS)WWW (Apache, MS IIS)BezpieczeBezpieczeńństwo sklepstwo sklepóów internetowychw internetowych
http://http:// securitysecurity ..psncpsnc ..plpl
Zespół Bezpieczeństwa PCSS
5
Centrum Innowacji MicrosoftCentrum Centrum bezpieczebezpieczeńństwa i usstwa i usłług ug outsourcingowychoutsourcingowych
http://http:// micmic ..psncpsnc ..plpl
BezpieczeBezpieczeńństwo w MIC 2006stwo w MIC 2006--2008:2008:Szkolenia bezpieczeSzkolenia bezpieczeńństwastwaBezpieczeBezpieczeńństwo IIS 7.0stwo IIS 7.0WewnWewnęętrzne i zewntrzne i zewnęętrzne trzne audytyaudytybezpieczebezpieczeńństwastwaBadania infrastruktury klucza Badania infrastruktury klucza publicznegopublicznego
6
Bezpieczeństwo danych. ZagroŜenia i sposoby zabezpieczeń
Czym jest Czym jest bbeezzpieczepieczeńństwo?stwo?
Aspekty bezpieczeństwa w szkoleAspekty bezpieczeństwa w szkole
ŹŹrróóddłła zagroa zagroŜŜeeńń
Ochrona przed zagroOchrona przed zagroŜŜeniamieniami
7
Bezpieczeństwo
Poufność Integralność
Dostępność
8
Aspekty bezpieczeństwa w szkole
BezpieczeBezpieczeńństwostwozasobów szkołyzasobów szkoły
Ochrona nieletnich przedOchrona nieletnich przedzagroŜeniami z siecizagroŜeniami z sieci
9
Bezpieczeństwo zasobów
Informacja= PieniInformacja= PieniąądzdzDane = PieniDane = PieniąądzdzZasoby = PieniZasoby = Pieniąądzdz
Wymogi prawneWymogi prawne
Ustawa z dnia 29 sierpnia 1997 r. o Ochronie DanychUstawa z dnia 29 sierpnia 1997 r. o Ochronie DanychOsobowychOsobowych ((Dz.U.1997.133.883)Dz.U.1997.133.883)
10
Bezpieczeństwo zasobów
ZagroŜeniaUtrataUtrata danychdanych
Kradzież tożsamościKradzież tożsamości
Kompromitacja wizerunkuKompromitacja wizerunku
Brak dostępu (do danych)Brak dostępu (do danych)Kradzież zasobówKradzież zasobów
11
Bezpieczeństwo zasobów
Źródła zagroŜeń
Pracownicy
Błędne,niewłaściwie skonfigurowanelub uŜywane oprogramowanie
„Przypadkowy” przestępca
Wypadki losowe
Złośliwe oprogramowanie
Zorganizowane grupyprzestępcze
12
Bezpieczeństwo zasobów
Złośliwe oprogramowanie
Spy
war
e
Malware
Rootkit
Wirus
KeyloggerTrojan
Exploit
Robak
Koń trojański
Adware
Adware
13
Bezpieczeństwo zasobów
PrzestępcyGrupyGrupyZorganizowaneZorganizowane
„Drobni”„Drobni”Przest ępcyPrzest ępcy
Przest ępcyPrzest ępcy„przypadkowi”„przypadkowi”
PhishingPhishing
PharmingPharming
WłamanieWłamanie
Kradzie ŜKradzie Ŝ
DDoSDDoSSPAMSPAM
UtrataUtratadanychdanych
Kradzie ŜKradzie ŜtoŜsamo ścitoŜsamo ści
Kradzie ŜKradzie Ŝzasobówzasobów
BrakBrakdost ępudost ępu
KompromitacjaKompromitacjawizerunkuwizerunku
14
Bezpieczeństwo zasobów
Zabezpieczenia
Świadomo ść uŜytkownikówŚwiadomo ść uŜytkowników
Aktualizacje Aktualizacje oprogramowaniaoprogramowania
Oprogramowanie zabezpieczaj ąceOprogramowanie zabezpieczaj ące
Sta
ndar
dyS
tand
ardy
i nor
my
i nor
my O
chrona O
chrona fizycznafizyczna
Dobre praktykiDobre praktyki
Zabezpieczenie Zabezpieczenie siecisieci
Audyt Audyt teleinformatycznyteleinformatyczny
15
Bezpieczeństwo zasobów
Dobre praktyki
DEFENCE INDEFENCE IN--DEPTHDEPTH
Odpowiednia polityka tworzeniaOdpowiednia polityka tworzeniai testowaniai testowania kopii zapasowychkopii zapasowych
Poprawne proceduryPoprawne proceduryuwierzytelniania i autoryzacjiuwierzytelniania i autoryzacji
Odpowiednie usuwanie danychOdpowiednie usuwanie danych
16
Bezpieczeństwo zasobów
Bezpieczeństwo sieci
WLANWLAN
FirewallFirewall
IDS/IPS/DLP
IDS/IPS/DLP
Dobre Praktyki
Dobre Praktyki
17
Bezpieczeństwo zasobów
Aktualizacje i konfiguracjaAktualizacjaAktualizacja
SystemuSystemuSterownikówSterownikówProgramów uŜytkowychProgramów uŜytkowychSerwerówSerwerów
Odpowiednia konfiguracjaOdpowiednia konfiguracja
18
Bezpieczeństwo zasobów
Oprogramowanie zabezpieczające
KryptograficzneKryptograficzne
AntywirusoweAntywirusowe
FirewallFirewall
19
Bezpieczeństwo zasobów
Strony WWW
2457 2457 stron zgłoszonych do stron zgłoszonych do „„KonkursKonkursuu na szkolnna szkolnąą witrynwitrynęę””
w serwisie http://w serwisie http://eduseekeduseek..interklasainterklasa..plpl**
Czy mają sprawdzonych dostawców usług?Czy mają sprawdzonych dostawców usług?
* * -- stan na 26.10.2008rstan na 26.10.2008r
20
Bezpieczeństwo zasobów
Audyty i testy
AudytAudyt to weryfikacja zgodnoto weryfikacja zgodnośści stanu ci stanu istniejistniejąącego ze stanem pocego ze stanem poŜąŜądanymdanym
AudytAudyt to to nienie kontrola, ktkontrola, któóra ma ra ma znaleznaleźćźć winnychwinnych
AudytAudyt to dziato działłania zmierzajania zmierzająące do ce do wspomagania wspomagania organizacjiorganizacji, a nie , a nie spowodowania stratspowodowania strat
21
Bezpieczeństwo Zasobów
Normy, Metodologie, Projekty
Projekty (np. OWASP)Projekty (np. OWASP)
Metodologie (np. TISM)Metodologie (np. TISM)
Normy (np. PNNormy (np. PN--ISO2700x)ISO2700x)
22
Bezpieczeństwo zasobów
Ochrona fizyczna
23
Ochrona nieletnich
24
Ochrona nieletnich
„„Brytyjska organizacja charytatywna Brytyjska organizacja charytatywna NSPCC przeprowadziNSPCC przeprowadziłła badania, w a badania, w
rezultacie ktrezultacie któórych ustalirych ustaliłła, a, ŜŜe e trzy czwartetrzy czwartekorzystajkorzystająących z WWW dzieci zetkncych z WWW dzieci zetknęłęło sio sięę
w Internecie z materiaw Internecie z materiałłami ami pornograficznymi lub promujpornograficznymi lub promująącymi cymi
przemoc.przemoc.”*”*
* * -- źródło: http://źródło: http://webhostingwebhosting..plpl „„75% dzieci miało kontakt z nieodpowiednimi materiałami w Interne75% dzieci miało kontakt z nieodpowiednimi materiałami w Interneciecie””Wojciech Wojciech Wowra Wowra 20082008--1010--20; za 20; za NewsNews..bbcbbc.co..co.ukuk
25
Ochrona nieletnich
Podnoszenie świadomości
26
Programy do filtrowania tre ści.Programy do filtrowania tre ści.
Ochrona nieletnich
Kontrola i cenzura
Beniamin
BeniaminAKKORP
AKKORP
MotyMotyAdalexAdalex
StraStraŜŜnik ucznia
nik uczniaAdalex
Adalex
XX--Gua
rd
Guard
PROINVEST
PROINVEST G
roup
Group
Ochraniacz Ochraniacz grupa BENAROM
grupa BENAROM WebLockWebLock
AKKORPAKKORP
Opiekun dziecka w Internecie
Opiekun dziecka w InternecieSoftStorySoftStory
CenzorCenzorANCOMANCOM
27
O czym powiedzieliśmy?
Jakie s ą główne zagro Ŝenia i ich źródła?Jakie s ą główne zagro Ŝenia i ich źródła?
Czym jest bezpiecze ństwo? Czym jest bezpiecze ństwo?
Jak si ę broni ć?Jak si ę broni ć?
Jakie s ą podstawowe aspektyJakie s ą podstawowe aspektyzagro Ŝeń w szkole.zagro Ŝeń w szkole.
28
O czym nie powiedzieliśmy?
http://http://micmic..psncpsnc..plpl//plpl//taskstasks//lectlect..htmlhtml
http://http:// micmic ..psncpsnc ..plpl //
http://szkolenia.http://szkolenia. manman ..poznanpoznan ..plpl
Zapraszamy na szkoleniaZapraszamy na szkolenia
29
Dziękuję za uwagę.
Tomasz NowocieńTomasz Nowocień
nowociennowocien@@manman..poznanpoznan..plpl
http://http://securitysecurity..psncpsnc..plplhttp://http://securitysecurity..manman..poznanpoznan..plpl
securitysecurity@@manman..poznanpoznan..plpl
