OZ 2010/1-2

M T 65 ORGANIZACIJA ZNANJA 2010, LETN. 15, ZV. 1 – 2 Zaščita odjemalcev je zadnja linija obrambe. Če napadalcu uspe priti do tarče, mu napad prepreči zaščita na odjemalcu. Zaščita prepreči neznan napad, saj reagira na vsako aktivnost, ki odstopa od normalnega delovanja. Učinkovito nadziranje za spremljanje podatkov, ki jih posredujejo omrežne naprave (z njimi zaznamo napad na omrežje). Korelacija in iskanje trendov omogoča učinkovito upravljanje z velikimi količinami podatkov, ki jih posredujejo omrežne naprave. Obstaja tudi možnost korelacije podatkov iz različnih vrst naprav (kot npr. požarne pregrade in sistem IDP), saj lahko dobimo celovito sliko napada. Učinkoviti varnostni proces je nenehen proces, ki zahteva stalne izboljšave, večjo natančnost in vedno boljše razumevanje okolice. VAROVANJE DOSTOPA DO INFORMACIJ Preverjanje identitete uporabnika je v elektronskem poslovanju ključnega pomena. Za zagotavljanje nemotenega poslovanja mora podjetje zagotoviti dostop do pomembnih podatkov in aplikacij različnim notranjim in zunanjim uporabnikom. Brez zanesljive avtentikacije uporabnikov so ključne informacije podjetja izpostavljene poneverbi, kraji in neupravičeni uporabi. Statistika kaže, da 45 % vseh varnostnih vdorov povzročijo nezadovoljni ali zlonamerni zaposleni (vir: CSI/FBI 2003), 70 % vseh nepooblaščenih dostopov do informacijskih sistemov storijo zaposleni; od tega je 95 % vdorov povezanih z velikimi finančnimi izgubami (vir: Gartner). Prav tako je treba sistem zaščititi pred osebami, ki fizično vstopajo v zgradbo (pogodbeni, servisni, storitveni delavci in gostje, vključno s ponudniki, strankami in partnerji) – vsak od njih lahko odkrije geslo za dostop do ključnih informacij. POŽARNI ZID Požarni zid je sistem za kontrolo dostopa med dvema omrežjema. Požarni zid je odporen na napade in je edina prehodna točka med dvema omrežjema (celoten promet gre skozi njo). Uveljavlja kontrolo dostopa na različnih nivojih: • kontrolo povezljivosti – omejuje, kdo se lahko poveže, • kontrolo protokola – omejuje, kaj lahko uporabnik počne znotraj aplikacije, • kontrolo podatkov – omejuje, kateri podatki se lahko izmenjujejo. Požarni zid mora biti edina prehodna točka med dvema omrežjema, tako se prepreči uporaba t. i. stranskih vrat (angl . backdoor ), pri katerih se skuša zaobiti požarni zid in prekršiti omrežna politika dostopa. Politika omrežnega dostopa določa, katere omrežne povezave so dovoljene glede na varnostno politiko organizacije. Zajeti so različni aspekti komunikacije: • omrežne seje med odjemalci in strežniki, • aplikacije, ki uporabljajo omrežne seje, • podatki, ki se prenašajo znotraj aplikacijskih sej. SISTEMI ZA DETEKCIJO IN SISTEMI ZA PREPRE^EVANJE VDOROV Napadi se dogajajo na različnih nivojih. Nekateri na omrežnem nivoju, drugi na aplikacijskem nivoju, medtem ko obstajajo tudi hibridni napadi. Za zaščito pred njimi potrebujemo sistem, ki bo razumel in prepoznal napade na vseh nivojih. Za znane napade obstajajo vzorci, ki jih lahko razpoznamo s pomočjo podpisov. Toda napad, ki bo odstopal od vzorca, bo še vedno uspešno prebil obrambo. S pomočjo mehanizma anomalije protokolov lahko razpoznamo tudi nove napade ali pa napade brez vzorcev. Tu gre za primerjavo prometa s protokolom in ugotavljanja kakršnegakoli odstopanja: • IDS (Intrusion Detection System) je sistem za detekcijo napadov in je sposoben zaznati napad, ni pa ga zmožen preprečiti. • IPS (Intrusion Prevent System) je sistem za detekcijo in preprečevanje napadov in je sposoben zaznati napad ter ga po potrebi tudi preprečiti. • IDS sistem, ki ima sposobnost posredovanja signalizacije požarnemu zidu, se lahko zelo hitro sprevrže v sistem, ki ga napadalci uporabijo za DoS napade. KRIPTOGRAFIJA Kriptografija je veda o pisanju in branju kodiranih sporočil. Osnovni elementi, na katerih temeljijo varnostni principi, so: • Zaupnost . Podatkovna enkripcija ohranja podatke var- ne in skrite. Podatki se kriptirajo in dekriptirajo s po- močjo simetričnih in asimetričnih ključev. Podatkovna enkripcija je povraten proces. • Integriteta . Zagotovilo, da se informacija ni POROČILO

RkJQdWJsaXNoZXIy MTAxMzI5