Bezpieczeństwo danych

Bezpieczeństwo danych
Ochrona zasobów IT
• Ochrona zasobów IT jest najważniejszym zadaniem – nie jest to
bynajmniej wyraz egoizmu, ale podstawowa potrzeba
dzisiejszych czasów. Poza tym, niezabezpieczone systemy są
powszechnie używane jako platforma do wykonywania
kolejnych ataków.
• Jaką metodę zabezpieczeń danych wybrać?
• Jakie są zalety, wady, koszty poszczególnych rozwiązań?
• Dostępność –inny ważny parametr.
Bezpieczeństwo danych - zalecane
działania
•
•
•
•
•
•
•
•
•
•
Zabezpieczenie dostępu do danych
Zabezpieczenie dostępu do pomieszczeń serwerów
Zabezpieczenie dostępu do sprzętu
Zabezpieczenie hasłem BIOSu
klucz w USB / notebook – kradzież – wartość sprzętu i wartość
informacji/
Uprawnienia użytkownika
Windows – administrator, zaawansowany, zwykły, gość
Linux
- root
Hasła dostępu
Internet – hakerzy + wirusy - firewall (zapora ogniowa)
Bezpieczeństwo danych - zalecane
działania
• Szyfrowanie plików w systemie operacyjnym
• Szyfrowanie danych z wykorzystywaniem programów do
pakowania danych
• Archiwizacja danych
• Backup – możliwość odtworzenia stanu systemu w określonym
momencie
• Programy do odzyskiwania danych po ich usunięciu.
Bezpieczeństwo danych podejście strategiczne
• Jakie dane chcemy chronić, zabezpieczyć?
• Jaka jest ich wielkość wg ważności (jakich nośników
potrzebujemy wg pojemności)?
• Jakim sprzętem dysponujemy?
• Co jest istotnie?
– szybkość odtwarzania danych (czas transferu Mb/s)
– Koszt operacji backupu i archiwizacji
– bezpieczeństwo i ochrona danych
• Ile czasu potrzebujemy że by przewrócić system do stanu w
którym był przed awarią twardego dysku (w przypadku awarii
twardego dysku)?
• Jaki czas jest potrzebny do przywrócenia system do stanu w
którym był przed awarią twardego dysku (w przypadku awarii
twardego dysku), jesteśmy w stanie zaakceptować?
Przywrócenie systemu stacji
roboczej
Etapy przywrócenia systemu w przypadku awarii pojedynczego
twardego dysku
• Instalacja systemu (systemów operacyjnych)
• Konfiguracja sieci
• Instalacja programów biurowych (Open Office / Ms Office)
• Instalacja dodatkowych aplikacji / słowniki, RAD, bazy
danych....)
• Konfiguracja systemu wg indywidualnych wymagań
• Przywrócenie indywidualnych plików (Moje Dokumenty) i inne
katalogi.
Strategie zabezpieczenia i
archiwizacji danych
• Darmowe i-drive w Internecie – bezpieczeństwo danych!
• Darmowe skrzynki pocztowe – Yahoo 100 MB i 10MB wielkość
pojedynczego pliku, Interia – 100 MB wielkość skrzynki
• Kopia plików
– praca – dom
– stacja robocza (ang. desktop) – notebook
– kolega – kolega
• Archiwizacja danych na drugim twardym dysku w tym samym
komputerze (utrata w przypadku kradzieży, pożaru, powodzi)
• Archiwizacja na CD/DVD - niska cena nagrywarki i nośników
Strategie zabezpieczenia i
archiwizacji danych
• RAID – ATA, SCSI, SATA
• Archiwizacja na taśmach (streamery) – napęd odczytujący i
zapisujący dane na nośniki taśmowe. Pojemność streamerów
jest w przedziale od kilku do kilkuset GB. Producenci (HP
SureaSotre,.IBM..)
Programowe mechanizmy
archiwizacji i kopii zapasowych
• Windows – Aplikacja Kopia Zapasowa
Rozwiązanie IBM w dziedzinie
zabezpieczeń danych
• Rapid Restore – ułatwia backup i odzyskiwanie danych, pomimo
nie działającego OS.
• Embedded Security Subsystem – sprzętowa i programowa
technologia zabezpieczająca dane użytkownika.
• Disk – to – Disk Recovery – odtworzysz swój OS z ukrytej
partycji wszędzie i o każdej porze – niepotrzebne CD.
Zabezpieczenie hasłem BIOSu
• Przy uruchamiania komputera klawiszem DEL, F1, F2, Esc ....
wchodzimy w menu BIOSu.
• Wybieramy opcję
• SET PASSWORD
• SET USER PASSWORD
• SET SUPERVISOR PASSWORD
• Wpisujemy dwukrotnie hasło.
• Co jeżeli zapomniałeś hasło?
• Włożyć BIOS, z tej samej płyty głównej, który jest bez hasła lub
znamy hasło.
Szyfrowanie danych przy
używaniu programów do
pakowania danych
• WinRAR
• WinZIP
• Wybieramy opcję zabezpieczenia zawartości spakowanego
pliku hasłem
• Wprowadzamy dwa razy hasło.
• Algorytmy szyfrowania danych
• Programy typu PASSWORD RECOVERY – odzyskiwanie
zapomnianych haseł
Szyfrowanie plików w systemie
operacyjnym Windows
• W systemie operacyjnym Windows 2000/XP/2003 jest możliwe
szyfrowanie plików, folderów, dysków, pod warunkiem że dysk
jest sformatowany z wykorzystaniem systemu plików NTFS –
New Technology File System.
• W celu uruchomienia tej opcji musimy posiadać prawa
ADMINISTRATORA systemu.
• 1. Wybieramy Folder, zawartość którego chcemy zaszyfrować.
• 2. Klikamy Prawy przycisk myszy.
• 3. Wybieramy opcję “Właściwości”
• 4. W zakładki Ogólne wybieramy opcję “ZAAWANSOWANE”
• Zaznaczamy opcję “szyfruj zawartość, aby zabezpieczyć
dane”.
Bezpiecznie usuwanie plików
• Usuwanie plików bez umieszczenia ich w koszu – przy wyborze
pliku, który chcemy usunąć bez umieszczania go w koszu
naciśnięciem klawiszy SHIFT i DEL
• rezygnacja z usług kosza
• Wybieramy “KOSZ”
• Klikamy Prawy przycisk myszy.
• Wybieramy opcję “Właściwości”
• W zakładce “GLOBALNE” zaznaczamy opcję “Nie przenoś
plików do Kosza i natychmiast kasuj pliki po usunięciu”. Drugi
wariant jest “Maksymalny Rozmiar Kosza – Procent od wielkości
twardego Dysku” – wybieramy 0%. Wybieramy przycisk
ZASTOSUJ. Usuwanie plików z Kosza. Klikamy Prawym
przyciskiem myszy. Wybieramy opcję “Opróżnij Kosz”.
Programy do odzyskiwania
danych po ich usunięciu z kosza
• Czy usunięte dane są naprawdę usuniete?
• MS - DOS
• Windows
•
- Norton Utilities
- Unerase - Norton Utilities
- Undelete - Executive Software
• Te programy skanują twardy dysk w poszukiwaniu skasowanych
plików.
• Jeżeli na miejscu skasowanych plików nie zapisaliśmy nowych
danych, jest szansa, że odzyskamy skasowane pliki.
Jak uniemożliwić odzyskiwania
skasowanych plików?
• Zrób defragmentacją twardego dysku.
• Co oznacza fragmentacja i defragmentacja?
• Jakiego algorytmu używa system Windows do zapisywania
danych na dysku?
• System Windows zapisuje bloki danych nie na ich pierwotnym
miejscu (w którym je przeczytał) a w pierwszym wolnym bloku
na dysku.
• Zapisz inne pliki po defragmentacji dysku do zapełnienia dysku.
• Usuń pliki użyte do zepełnienia dysku.
Szkody spowodowane przez
wirusów
• spowolnienie pracy komputera, sieci;
• trwała utrata danych;
• zainfekowanie innych komputerów
• Serwisy darmowych kont e-mail z ochroną antywirusową
Yahoo – Norton Antivirus
Co oznacza skrót RAID
• RAID - Redundant Array of Inexpensive (Independent)
Disks
• RAID - Nadmiarowa Macierz Niedrogich (Niezależnych)
Dysków
• RAID jest sposobem, technologię zapewniającą dostęp do wielu
pojedynczych dysków, tak jakby macierz była jednym większym
dyskiem. Przy tym dostęp do danych jest rozłożony pomiędzy te
dyski, tak że jeżeli jeden lub klika dysków ulegnie awarii, ryzyko
wystąpienia utraty wszystkich danych lub braku dostępu do
danych jest minimalne.
Cel stosowania RAIDu?
• Wydajność
za cenę bezpieczeństwo;
• Bezpieczeństwo za cenę wydajności;
• Wydajność i
bezpieczeństwo
• RAID can be based in
– software
– hardware
– a mix of both.
Podstawowe rodzaje RAID
RAID Angielska
nazwa
RAID Disk Striping
–0
RAID Disk mirroring
–1
Opis
Plusy
Bloki danych są dzielone, bez
+ szybszy transfer
redundancji, pomiędzy dyski podłączone danych
do kontrolera macierzy. Dane są
zapisywane równocześnie na N dyskach
Dane zapisywane są podwójne. Jeden
dysk jest wierną kopią drugiego dysku.
Rozwiązanie takie stosuje się w bazach
danych, gdzie zachowanie dostępności i
integralności danych jest sprawą
najważniejszą.
RAID Disk Striping
Striping na poziomie bajtów z zapisem
-3
with Dedicated kodów kontrolno-redundancyjnych i
Pairty Disk
danych o parzystości na dedykowanym
dysku
RAID Striping with
Striping bloków danych z rozproszonym
-5
Interspersed
zapisem kodów kontrolnoParity
redundancyjnych. Dane o parzystości
(dane kontrolne) są równomiernie
rozłożone (zapisywane) na wszystkich
niezależnych dyskach fizycznych
macierzy
RAID Disk Striping + Kombinacja RAID-0 i RAID 1 – striping
-10 Disk mirroring danych na lustrzanych dyskach
(RAID 0 + RAID
1)
+ wysoki poziom
bezpieczeństwa, dane
zapisywane są na
dwoma dyskami
+ kompromis między
szybkością a
bezpieczeństwem
Minusy
- brak bezpieczeństwa –
uszkodzenie jednego
dysku powoduje utraty
dostępu do danych (MTBF
– prawdopodobieństwo
uszkodzenia dysku)
Wykorzystuje się 50%
łącznej pojemności
dysków;
wydajność systemu
dyskowego nie wzrasta
- minimum 3 dyski
+ najniższe koszty
- przy bazach danych jest
+ wyższa wydajność w za wolny
porównaniu z RAID-3
+ szybkość i
Wykorzystuje się 50%
bezpieczeństwo danych łącznej pojemności
dysków
Minimum 4 dyski
Jaki RAID wybrać?
• Jak korzystamy z danych?
– tylko czytamy
– czytamy i zapisujemy na twardym dysku
• Zapis danych trwa 4 razy dłużej niż czytanie danych.
• Wadą rozwiązań RAID jest to, że się zmniejsza dostępna
przestrzeń dyskowa. Przykładowo, jeśli 2 dyski po 80 GB
uruchomimy w trybie RAID –1 system będzie je widział jako 1
dysk o pojemności 80 GB, a nie 160 GB w trybie RAID-0.
Płyty główne z wbudowanym
kontrolerem macierzowym RAID z
interfejsem ATA / SATA
• Co daje taki kontroler?
• Macierz dyskowa – 2 * n dysków – widoczne w systemie jako
pojedynczy wolumin dyskowy.
• Informacje zapisywane do macierzy są fizycznie zarejestrowane
(zapisywane na kilku dyskach).
Kontroler RAID
• Posiada własny BIOS i RAM
• RAID jest uruchamiany przed uruchamianiem systemu
operacyjnego
Przykładowa konfiguracja
macierzy RAID-1
Controler Mylex AcceleRAID 352
2 kanaly po 160 MB/s
kanal 0 RAID –1
2 dyski po 36,5 GB
kanal 1 RAID –1
2 dyski po 36,5 GB
Controler Mylex AcceleRAID 352
| |
kanal 0 ---------+ +------------ kanal1
|
|
channel 0 ----------+
chennel 1-------------+
|
|
|
|
Dysk 1 36,5 GB |
Dysk 3 36,5 GB
|
Dysk 2 36,5 GB---+
Dysk 4 36,5 GB--+
Jaki jest koszt RAIDu przy
stosowaniu twardych dysków ATA
/ SATA?
Porównanie płyt głównych z RAID oraz bez RAID
Producent
Model
Cena
Cena dysków 40 GB
80 GB
160 GB
Dodatkowy łączny koszt RAIDu w stosunku do rozwiązania bez
stosowania RAIDu.
Producenci kontrolerów RAID
• Do dysków SCSI
– Mylex
– Adaptec
– ServerRAID
– LSI
• Do dysków ATA
– Promise
• Do dysków SATA
Rodzaje Backupu - kopie
bezpieczeństwa
Rodzaj
backupu
Pełny
Angiels Opis
ka
nazwa
Full
Wszystkie dane, którym należy
Backup robić backup są zapisywane na
nosniku.
Przyrosto
wy
Plusy
Minusy
+ łatwość i
szybkość
odtwarzenia
danych z backupu
w razie awarii;
+ krótki czas
wykonywania
- długi czas
wykonywania przy
większych zbiorach
Increm W krótkim okresie czasu tylko
ental
nieznaczna ilość danych
Backup (plików) ulega modyfikacji,
zmianie. Zapisywane są tylko
dane, które zostały zmienione
od czasu wykonywania pełnego
lub przyrostowego backupu.
Różnicow Differen Zapisywane są tylko dane,
+ krótki czas
y
tial
które zostały zmienione od
wykonywania
Backup czasu wykonywania pełnego
backupu.
Strategie Backupu
• Okres retencyjny
Miesiąc
• Podokresy
Tygodnie
- wydłużony czas
odtwarzania
systemu – pełni
backup +
przyrostowy
backup
- wydłużony czas
odtwarzania
systemu – pełni
backup +
różnicowy backup
UPS – Uninterruptible Power
Supply
• Utrata danych może nastąpić również wskutek przerwy w
zasilaniu prądem
• Jeżeli nie posiadamy notebooka, UPS.
• W notebooku rolę UPS pełnią akumulatory.
• UPS pozwała zakończyć i zapisać pracę oraz bezpiecznie
wyłączyć komputer.
Bezpieczeństwo systemu
operacyjnego Linux
Zdaniem renomowanej organizacji zajmującej się
bezpieczeństwem sieci najgroźniejszymi zagrożeniami dla
bezpieczeństwa użytkowników w ciągu 2004 roku były dla
systemu Unix (i Linux):
1. BIND
2. Serwery sieciowe
3. Autentykacja
4. Systemy kontroli wersji systemu
5. Usługi pocztowe
6. Simple Network Management Protocol (SNMP)
7. Błędy w Open Secure Sockets Layer (SSL)
8. Błędy konfiguracyjne NIS/NFS
9. Zabezpieczenia baz danych
10. Błędy w kernelu (jądrze)
Cały raport na stronie http://www.sans.org/top20/
Bezpieczeństwo systemu
operacyjnego Microsoft
• błędy w oprogramowaniu firmy z Redmond na stronie
http://www.sans.org/top20/
Zabezpieczenie komputera
korzystającego z Internetu
• Żaden temat nie jest tak ważny jak bezpieczeństwo, a żadne
narzędzie nie jest bardziej krytyczne dla bezpieczeństwa sieci
niż firewall.
• Joe Casad, Achim Leitner, Nie tylko dla ekspertów, Linux
Magazine 2005, 01, s. 18
Zasoby
• Alabi, Duran; NAS, DAS or SAN: Choosing the Right Storage
technology for Your Organization, 2004, June,
http://www.dmreview.com
• Ault, Michael R., Tuning Disk Architectures for Databases,
http://www.dbazine.com
• Bartoszewicz, Marek; Bezpieczny PC, Enter 2001, nr 6, s. 98 99
• Hałas, Dariusz; Chroń swoje dane, Enter 2001, nr 6, s. 40 – 48
• http://2cpu.com
• http://www.pl.tomshardware.com
• http://www.benchmark.pl
• http://www.sans.org/top20/
• Ulrich Wolf, Bezpieczeństwo Linuksa Ochrona danych, Linux
Magazine, 2004, marzec, p. 18, http://www.linux-magazine.pl