Metody fyzicke ochrany

fyzicka ochrana se snazi eliminovat pripadnou hrozbu jeste drive, nez prijde do primeho kontaktu s vlastnim vypocetnim systemem

mozna nebezpeci muzeme rozdelit:

• prirodni katastrofy
• vandalove
• odposlech
• neautorizovane pouzivani

Prirodni katastrofy

neni jim mozne predchazet, je treba se soutredit na omezeni mozneho odpadu a na odstraneni pripadnych nasledku

Zaplavy

v podstate dvou druhu

stoupajici voda - vetsinou byva dost casu odstavit system a prinejmensim datove nosice presunout do bezpeci. Pro tyto ucely by kazda komponenta systemu mela byt jasne vyznacen stupen dulezitosti, aby s odsunem mohli efektivne pomahat i nekvalifikovani pracovnici.

padajici voda - napr. poruchy potrubi, izolaci apod. Tyto zaplavy byvaji velmi rychle, v prvni fazi staci vhodny nepromokavy kryt a nasledny odsun zarizeni. Opet vhodne vyznaceni stupnu dulezitosti komponent.

Pozary

predstavuje casto nebezpeci nejen pro techniku, ale i pro obsluhujici personal

je vhodne mit vyzkousen postup zahrnujici bezodkladne odstaveni systemu a evakuaci personalu a zivotne dulezitych komponent systemu

je treba vhodne volit automaticke protipozarni systemy chranici prostory vypocetniho systemu, vhodne je umistit nejdulezitejsi casti systemu v prostorach s vysokou pasivni pozarni bezpecnosti

Ztraty napajeni

pro nejdulezitejsi casti systemu je nutne zajistit nahradni zdroje energie, ktere jsou v pripade vypadku hlavniho napajeni schopny dostatecne rychle zajistit dodavky elektriny

na kratsi dobu jsou to ruzne akumulatory a UPS zdroje, v pripade potreby prekonavat delsi vypadky pak agregaty na vyrobu el.e.

dulezite jsou rovnez filtry a prepetove ochrany chranici zarizeni pred vykyvy napeti, blesky apod.

Chlazeni

nektere komponenty jsou citlive na teplo, pri ztrate chlazeni muze dojit k jejich zniceni

Prostorova ochrana

prostredky umoznujici zabranit potencialnim utocnikum ve vstupu do prostor, kde jsou instalovany dulezite komponenty systemu

predmetem utoku muzou byt:

• vlastni pocitace
• vymenna zaznamova media
• casti pocitacu (mysi, svetelna pera, ...)
• vytistene senzitivni materialy
• casti sitove technologie,

metody ochrany:

Straze

mely by byt k dispozici nepretrzite, musi osobne znat vsechny pracovniky, nebo musi umet rozpoznat opravnenou osobu jinym zpusobem - napr. dle tokenu

straz musi provadet zaznam o pohybu vsech osob

problemem jsou zamestnanci, se kterymi byl nedavno rozvazan pracovni pomer a celkova mira spolehlivosti strazi

nahradou nebo doplnkem strazi mohou byt ruzne turnikety a prechodove komory vybavene zarizenimi pro identifikaci osob nebo tokenu

Elektronicka prostorova ochrana

• dverni a okenni kontakty - detekuji otevreni
• otresove hlasice - detekuji rozbiti nebo prorazeni strezene plochy - skla, pricky, prepazky, ...
• vodicove desky, dratene site - slouzi k detekci prurazu ve stenach, podlahach apod.
• kontaktni matice - pri instalaci pod podlahove krytiny slouzi k detekci vstupu osob do chraneneho prostoru
• Mikrovlnne, ultrazvukove, infracervene detektory - reaguji na zmenu rep. preruseni svazku prislusneho zareni
• zvukove hlasice - reaguji na specificke zvuky jako rezani, vrtani, sroubovani, ...
• kyvadlove hlasice - reaguji na otresy a vychyleni z puvodni roviny

k ochrane jednotlivych predmetu lze pouzit obrazovych vah, zavesu apod.

vhodnym prostredkem v mnoha pripadech je prumyslova televize, zejmena v kombinaci se zaznamem snimaneho obrazu

Detekce vystupu

vhodnou metodou je pokouset se odhalit cloveka odnasejiciho cast vybaveni

prostredky jsou obdobne, jake se pouzivaji v obchodnich domech - ruzne nalepky ci privesky, ktere lze snadno detekovat

Likvidace medii se senzitivnimi informacemi

je nutne mit k dispozici prostredky ke zniceni nebo znehodnoceni medii pred jejich exportem z chraneneho perimetru, nikdy neni jasne, kam se dostanou

Zkartovace

existuji v mnoha verzich pro nasazeni v ruznych stupnich zabezpeceni, navzajem se lisi jemnosti a zpusobem provadeni zkartovani

slouzi predevsim k niceni papirovych dokumentu, dale disket pasek ze streameru, kazet, barvicich pasek z uderovych tiskaren

Prepisovani magnetickych medii

proste smazani souboru vetsinou vede pouze k odstraneni zaznamu o jeho existenci, proto je nutne zajistit skutecne fyzicke prepsani puvodnich dat, pro vetsi stupen bezpecnosti nekolikanasobne

metoda je zdlouhava a ne uplne bezpecna

Degaussery

pristroj vygenerovanim silneho elektromagnetickeho pulsu dokaze znicit puvodni magneticke pole

ani v tomto pripade nejde o zcela spolehlivou metodu vhodnou pro nasazeni v nejvyssich stupnich utajeni

Odpovednost za zabezpeceni

celkovou odpovednost ma vedeni organizace, lze ji rozdelit na odpovednost za navrh bezpecnostni strategie a na odpovednost za dodrzovani bezp. opatreni

dulezitou soucasti bezpecnosti jsou opakovane namatkove kontroly

Elektromagneticke vyzarovani

... je zpusobeno zmenou proudu ve vodici

problemem je vyzarovani nejruznejsich casti pocitacu, zejmena monitoru a prenosovych linek, dulezite informace mohou unikat i naindukovanim do napajecich obvodu zarizeni

odposlech elmg. zareni zacaste neni mozne kriminalizovat a je nutno se vyrovnat s faktem, ze jej utocnik provadi

metody ochrany:

• Vzdalenost - intenzita vyzarovani klesa se ctvercem vzdalenosti
• Zmateni - mnozstvi podobnych signalu ztezuje odposlech, je mozno generovat zareni podobnych vlastnosti jako vyzarovani vypocetniho zarizeni, nebo umistit vice vyzarujicich zarizeni blizko sebe
• Specialni vybaveni - je mozne zakoupit soucasti vyvinute tak, aby jejich vyzarovani neprekracovalo jistou unosnou mez
• Vhodne umisteni - alternativou nakupu nevyzarujicich zarizeni je umisteni standardnich zarizeni v prostorach, ktere zamezuji sireni zareni - jde o ruzne schranky, skrine pripadne cele stinene mistnosti

Zalohy - backup

neni mozne mit stale zalohy vsech casti vypocetniho systemu, je treba hledat kompromis mezi proveditelnosti zaloh a jejich aktualnosti a uplnosti

ucinne zalohovani musi byt soucasti globalni bezpecnostni strategie, musi vychazet z celkoveho hodnoceni bezpecnostni situace

krome prvotni funkce zotaveni z chyb poskytuje dobre navrzeny system zaloh tez prostredky k vytvarena archivnich kopii ruznych stadii zpracovavaneho projektu (viz. zprava konfiguraci)

Uzivatele

v beznem pripade nejsou zalohy pro chod systemu potrebne, pouze zdrzuji, nejsou konstruktivni

vetsina uzivatelu nechape jejich dulezitost, casto jsou dlouhodobymi zkusenostmi utvrzovani v presvedceni, ze havarie nenastavaji

Vlastnosti kvalitniho zalohovaciho SW

• musi byt schopen provadet zalohy na co mozna nejruznejsi zarizeni
• vlastni zalohy by mely byt ulozeny v nejakem standardnim formatu
• je nezbytna verifikace vytvorene zalozni kopie
• zadouci je komprese ukladanych dat - prinasi zrychleni a mensi objem zaloznich dat
• dulezita je kryptograficka ochrana zaloh, aby mohly byt ukladany mimo chranene prostory
• zalohovaci SW by mel pouzivat mechanismus pro korekci chyb - vede ke zvyseni pravdepodobnosti, ze zalohu se podari precist a obnovit puvodni data
• melo by byt mozno specifikovat, ktera data maji byt (kdy) zalohovana
• SW by mel vytvaret podrobny audit o sve cinnosti
• vlastni SW by mel byt schopen bezet na co nejvetsim poctu HW platforem
• zalohovaci SW by mel byt pred ostrym nasazenim dukladne otestovan, je vhodne znat nazor uzivatelu
• nejcastejsi pouziti zaloh spociva v preneseni a obnove dat na jiny funkcni stroj
• uspesny pristup k zaloham by mel byt vazan na zadani hesla

Zalozni media

vymenna media

• diskety, floptical disky - snadno dostupne levne reseni, nevyhodnou mala kapacita
• streamery - dodavaji se v kapacitach od stovek MB az po nekolik GB, dnes nejrozsirenejsi zalozni medium, nutno pouzivat skutecne kvalitni material
• DAT - modernejsi obdoba streameru, spolehlivejsi, mensi, s kapacitou nekolika GB, nevyhodou vyssi cena
• vymenne disky - v porovnani s paskami jsou velmi rychle, maji vsak vyssi cenu za byte a mensi kapacitu
• WORM disky - idealni pro dlouhodobe zalohy a porizovani archivnich kopii, velmi dobra cena za byte, velka spolehlivost, mensi kapacita
• hard copy - muze byt za jistych podminek vhodna pojistka, jiste lepsi, nez nemit data vubec

Nevymenna media

• dalsi disk - dulezita data jsou kopirovana na dalsi disk, jednoduche, rychle, nechrani pred znicenim celeho pocitace, nebo jeho odcizenim atp.
• disk mirroring - zapisy na jednom disku jsou automaticky provadeny i na druhem disku - opet chrani pouze pred chybami disku, vyhodou je transparentnost a on-line zotaveni z chyby
• duplexing - dva stroje si udrzuji presne stejny obsah pameti a synchronne provadeji veskere operace, pri vypadku prvniho stroje automaticky prebira jeho funkci zalozni pocitac - velmi drahe reseni, opet plne transparentni
• sit - zalohovani lze provadet kopirovanim dat na jiny pocitac zapojeny v siti

Zalohy hardware

je nutne byt schopen vyrovnat se dostatecne rychle s chybou technickeho vybaveni - tedy bud mit k dispozici zalozni system, nebo alespon kriticke soucastky, pripadne mit moznost vadnou soucastku nahradit casti jineho stroje

resenim tez smlouva o servisnich zasazich s dodavatelem technologie

existuji firmy, provadejici zachranu dat z havarovanych zarizeni - tyto vykony vsak byvaji drahe

Software

• ze vsech medii s instalacemi noveho sw. by mela byt neprodlene porizena alespon jedna kopie
• originalni instalace by mela byt po celou dobu chranena proti zapisu a ihned po porizeni kopii ulozena na bezpecnem miste
• vlastni instalace probiha z porizenych kopii

tyto zasady ztraceji nalehavost v souvislosti s rozsirovanim instalaci na CDROM

Zasady pro porizovani zaloh

pravidla pro porizovani zaloh zavisi na konkretni situaci - jak casto dochazi k zmenam dat, denni objem novych dat, dusledky pripadne ztraty dat, atd.

Data nebo programy

ztrata dat je vzdy velmi problematicke, znovuporizeni dat muze byt obtizne, nebo dokonce nemozne

naproti tomu software je zpravidla mozno znovu nainstalovat, coz vsak zabere nejaky cas, navic vytvoreni dobre konfigurace muze trvat velmi dlouho

konfiguracni soubory by tedy mely byt zalohovany spolecne s daty

Typy zaloh

pokud mame k dispozici dostatek mista, je vhodne provadet zalohu komplet vsech dat a programu

casty model Grandfather-Father-Son - tri cyklicky pouzivane archivni kopie, nejnovejsi kopie vzdy vytvorena na mediich po nejstarsi kopii, pripadne nejstarsi kopie je ulozena na bezpecnem miste

alternativou je provadeni kompletni zalohy vzdy po urcitem case a v mezidobi porizovat pouze zalohy zmenenych souboru

cetnost techto castecnych zaloh muze byt zavisla na dulezitosti zalohovanych dat

Ulozeni zaloznich kopii

vyznacne zalozni kopie (napr. zaloha z konce tydne, zaloha pri ukonceni faze projektu, ...) by mely byt ulozeny na bezpecnem miste vzdalenem od mista, kde je instalovan vypocetni system

oddelene ulozeni kopii chrani porti nasledkum prirodnich katastrof, zlodejum, teroristum apod.

privezeni kopii ze vzdaleneho mista ulozeni poskytne personalu cas pro prekonani prvotniho stresu a provedeni racionalniho rozboru situace

misto ulozeni zaloznich kopii by melo byt zajisteno proti prirodnim katastrofam, melo by pro ulozene materialy zajistovat stabilni prostredi, je vhodne aby bylo chraneno proti vniknuti neopravnenych osob

kazdy vstup do tohoto zarizeni musi byt zaznamenam, stejne jako vsechny zde provadene operace

Plany obnovy

pro pripad poruchy by mely byt vypracovany podobne procedury, co je treba ucinit za ucelem rychleho odstraneni nasledku

tyto plany musi byt dukladne provereny a otestovany, musi byt stale k dispozici (nejlepe v tistene podobe) pro pripad poruchy

Obnova provozu

casto muze byt zivotne dulezite obnovit dostatecne rychle cinnost vypocetniho systemu

vetsina vyrobcu pocitacu je schopna v kritickem pripade dodat behem jedineho dne nahradni technicke vybaveni stejne, nebo odstatecne podobne puvodnimu

• cold site je zarizeni vybavene zdroji elektricke energie, klimatizaci, komunikacnimi linkami atd., kde muze byt vypocetni system velmi rychle nainstalovan a uveden do provozu
• hot site je zarizeni navic vybavene tez vypocetnim systemem, ktery je pripraven ke spusteni, staci pouze prinest zalohu dat a programu, pomoci hot site lze obnovit provoz zcela zniceneho vypocetniho systemu behem nekolika hodin

Standardizace systemu spravujicich
senzitivni informace

Podle miry utajeni a spolehlivosti, ktere by mel system poskytovat je podrobovan ruzne rigoroznim testum, v kterych musi obstat. Tento proces se nazyva certifikace.

lze pouzit nekolik zpusobu certifikace:

1. formalni verifikace - cely system je popsan soustavou logickych formuli, tato soustava je redukovana na tvrzeni o bezpecnosti systemu, v ramci verifikace je treba overit spravnost prevodu
2. validace - je obecnejsi metoda, zahrnuje verifikaci a dalsi metody
   1. testovani pozadavku - testuje se, zda je splnen kazdy z pozadavku na funkcnost systemu
   2. kontroly navrhu a kodu - kontroly provadene v prubehu tvorby systemu
   3. testovani modulu a celeho systemu - overovani funkcnosti na zkusebnich datech
3. Tiger Team Penetration Testing - dnes nepouzivana metoda, nezavisly tym odborniku poveren ukolem provest prulom bezpecnostnimi mechanismy

Standardy

Orange Book

Trusted Computer System Evaluation Criteria

systemy rozdeleny do ctyr zakladnich trid, dale deleni na podtridy

trida D - zadna ochrana

trida C1 - volna ochrana

Oddeleni uzivatelu od dat, musi existovat metody umoznujici uzivatelum chranit vlastni data pred ostatnimi, uzivatel zvoli, zda tyto mechanismy bude pouzivat

IBM MVS+RACF

trida C2 - Kontrolovany pristup

System stale provadi volnou ochranu zdroju, granularita vsak musi byt az na uroven jednotlivych uzivatelu, musi byt veden access log. Navic ochrana proti residuim - obsahy pameti, registru, ... pote, co proces prestane tyto pouzivat. Residua nesmi byt zpristupnena nekomu jinemu.

VMS, IBM MVS+ACF2

trida B1 - znackovana ochrana

Kazdy kontrolovany subjekt a objekt musi mit prirazen stupen utajeni a musi byt timto stupnem oznacen, kazdy pristup musi byt overovan dle Bell-LaPadula modelu, musi existovat popis implementovaneho formalniho modelu, system je podrobovan testovani

trida B2 - Strukturovana ochrana

musi byt k dispozici verifikovatelny globalni navrh systemu, system musi byt rozdelen do dobre definovanych nezavislych modulu, navrh musi zohlednovat princip nejmensich moznych opravneni, bezpecnostni mechanismy musi byt uplatnovany vuci vsem subjektum a objektum vcetne vsech zarizeni, musi existovat analyza moznych skrytych kanalu

vlastni system musi bezet v ramci sve bezpecnostni domeny a provadet kontroly sve integrity

Multics

trida B3 - Bezpecnostni domeny

System musi byt podrobitelny extenzivnimu testovani, musi existovat uplny popis celkove struktury navrhu systemu, musi byt konceptualne jednoduchy

musi existovat ochranne mechanismy na urovni jednotlivych objektu, kazdy pristup musi byt testovan, kontrola na urovni provadeni jednotlivych trypu pristupu daneho subjektu

System musi byt vysoce odolny vuci prunikum. Zarizeni porvadejici audit log musi umet odhadnout hrozici nebezpeci.

triba A1 - Verifikovany navrh

Navrh systemu musi byt formalne verifikovan, existuje formalni model bezpecnostniho mechanismu s dukazem konzistentnosti, formalni specifikace systemu s overenim, ze odpovida formalnimu modelu, overeni, ze implementace neni odchylna od formalni specifikace, formalni analyza skrytych kanalu

SCOMP, patrne KVM/370, PSOS, KSOS

ITSEC

The Information Technology Security Evaluation Criteria

mezinarodni sada kriterii, nadmnozina TCSEC

kriteria rozdelena na tridy funkcnosti (F) a korektnosti (E)

tridy funkcnosti F-C1, F-C2, F-B1, F-B2 a F-B3 zhruba co do funkcnosti odpovidaji tridam C1 az B3 hodnoceni TCSEC

kriteria hodnoceni funkcnosti rozdelena na hodnoceni integrity systemu (F-IN), dostupnosti systemovych zdroju (F-AV), integrity dat pri komunikaci (F-DI), utajeni komunikace (F-DC) a bezpecnosti v ramci cele site (F-DX)

kazde z techto kriterii muze byt vyhodnocovano nezavisle, vyhodnocovani provadeno pro pozadovanou tridu funkcnosti

kriteria pro hodnoceni korektnosti pridana pro zvyseni duveryhodnosti systemu

pozadavky vyssi tridy korektnosti vzdy nadmnozinou predchozich

E1 - testovani

E2 - kontrola konfigurace a distribuce

E3 - overeni detailniho navrhu a zdrojoveho kodu

E4 - zevrubna analyza slabin systemu

E5 - dukaz, ze implementace odpovida detailnimu navrhu

E6 - formalni modely, formalni popisy a jejich vzajemna korespondence

tyto tridy odpovidaji pozadavkum na duveryhodnost kladenym tridami C2 az A1 hodnoceni TCSEC

krome zminenych kriterii hodnoceni zabezpecenych systemu existuje cela rada norem a doporuceni upravujici prakticky vsechny podstatne rysy chovani a architektury techto systemu