Bezpieczeństwo danych
Transkrypt
Bezpieczeństwo danych
Bezpieczeństwo danych Ochrona zasobów IT • Ochrona zasobów IT jest najważniejszym zadaniem – nie jest to bynajmniej wyraz egoizmu, ale podstawowa potrzeba dzisiejszych czasów. Poza tym, niezabezpieczone systemy są powszechnie używane jako platforma do wykonywania kolejnych ataków. • Jaką metodę zabezpieczeń danych wybrać? • Jakie są zalety, wady, koszty poszczególnych rozwiązań? • Dostępność –inny ważny parametr. Bezpieczeństwo danych - zalecane działania • • • • • • • • • • Zabezpieczenie dostępu do danych Zabezpieczenie dostępu do pomieszczeń serwerów Zabezpieczenie dostępu do sprzętu Zabezpieczenie hasłem BIOSu klucz w USB / notebook – kradzież – wartość sprzętu i wartość informacji/ Uprawnienia użytkownika Windows – administrator, zaawansowany, zwykły, gość Linux - root Hasła dostępu Internet – hakerzy + wirusy - firewall (zapora ogniowa) Bezpieczeństwo danych - zalecane działania • Szyfrowanie plików w systemie operacyjnym • Szyfrowanie danych z wykorzystywaniem programów do pakowania danych • Archiwizacja danych • Backup – możliwość odtworzenia stanu systemu w określonym momencie • Programy do odzyskiwania danych po ich usunięciu. Bezpieczeństwo danych podejście strategiczne • Jakie dane chcemy chronić, zabezpieczyć? • Jaka jest ich wielkość wg ważności (jakich nośników potrzebujemy wg pojemności)? • Jakim sprzętem dysponujemy? • Co jest istotnie? – szybkość odtwarzania danych (czas transferu Mb/s) – Koszt operacji backupu i archiwizacji – bezpieczeństwo i ochrona danych • Ile czasu potrzebujemy że by przewrócić system do stanu w którym był przed awarią twardego dysku (w przypadku awarii twardego dysku)? • Jaki czas jest potrzebny do przywrócenia system do stanu w którym był przed awarią twardego dysku (w przypadku awarii twardego dysku), jesteśmy w stanie zaakceptować? Przywrócenie systemu stacji roboczej Etapy przywrócenia systemu w przypadku awarii pojedynczego twardego dysku • Instalacja systemu (systemów operacyjnych) • Konfiguracja sieci • Instalacja programów biurowych (Open Office / Ms Office) • Instalacja dodatkowych aplikacji / słowniki, RAD, bazy danych....) • Konfiguracja systemu wg indywidualnych wymagań • Przywrócenie indywidualnych plików (Moje Dokumenty) i inne katalogi. Strategie zabezpieczenia i archiwizacji danych • Darmowe i-drive w Internecie – bezpieczeństwo danych! • Darmowe skrzynki pocztowe – Yahoo 100 MB i 10MB wielkość pojedynczego pliku, Interia – 100 MB wielkość skrzynki • Kopia plików – praca – dom – stacja robocza (ang. desktop) – notebook – kolega – kolega • Archiwizacja danych na drugim twardym dysku w tym samym komputerze (utrata w przypadku kradzieży, pożaru, powodzi) • Archiwizacja na CD/DVD - niska cena nagrywarki i nośników Strategie zabezpieczenia i archiwizacji danych • RAID – ATA, SCSI, SATA • Archiwizacja na taśmach (streamery) – napęd odczytujący i zapisujący dane na nośniki taśmowe. Pojemność streamerów jest w przedziale od kilku do kilkuset GB. Producenci (HP SureaSotre,.IBM..) Programowe mechanizmy archiwizacji i kopii zapasowych • Windows – Aplikacja Kopia Zapasowa Rozwiązanie IBM w dziedzinie zabezpieczeń danych • Rapid Restore – ułatwia backup i odzyskiwanie danych, pomimo nie działającego OS. • Embedded Security Subsystem – sprzętowa i programowa technologia zabezpieczająca dane użytkownika. • Disk – to – Disk Recovery – odtworzysz swój OS z ukrytej partycji wszędzie i o każdej porze – niepotrzebne CD. Zabezpieczenie hasłem BIOSu • Przy uruchamiania komputera klawiszem DEL, F1, F2, Esc .... wchodzimy w menu BIOSu. • Wybieramy opcję • SET PASSWORD • SET USER PASSWORD • SET SUPERVISOR PASSWORD • Wpisujemy dwukrotnie hasło. • Co jeżeli zapomniałeś hasło? • Włożyć BIOS, z tej samej płyty głównej, który jest bez hasła lub znamy hasło. Szyfrowanie danych przy używaniu programów do pakowania danych • WinRAR • WinZIP • Wybieramy opcję zabezpieczenia zawartości spakowanego pliku hasłem • Wprowadzamy dwa razy hasło. • Algorytmy szyfrowania danych • Programy typu PASSWORD RECOVERY – odzyskiwanie zapomnianych haseł Szyfrowanie plików w systemie operacyjnym Windows • W systemie operacyjnym Windows 2000/XP/2003 jest możliwe szyfrowanie plików, folderów, dysków, pod warunkiem że dysk jest sformatowany z wykorzystaniem systemu plików NTFS – New Technology File System. • W celu uruchomienia tej opcji musimy posiadać prawa ADMINISTRATORA systemu. • 1. Wybieramy Folder, zawartość którego chcemy zaszyfrować. • 2. Klikamy Prawy przycisk myszy. • 3. Wybieramy opcję “Właściwości” • 4. W zakładki Ogólne wybieramy opcję “ZAAWANSOWANE” • Zaznaczamy opcję “szyfruj zawartość, aby zabezpieczyć dane”. Bezpiecznie usuwanie plików • Usuwanie plików bez umieszczenia ich w koszu – przy wyborze pliku, który chcemy usunąć bez umieszczania go w koszu naciśnięciem klawiszy SHIFT i DEL • rezygnacja z usług kosza • Wybieramy “KOSZ” • Klikamy Prawy przycisk myszy. • Wybieramy opcję “Właściwości” • W zakładce “GLOBALNE” zaznaczamy opcję “Nie przenoś plików do Kosza i natychmiast kasuj pliki po usunięciu”. Drugi wariant jest “Maksymalny Rozmiar Kosza – Procent od wielkości twardego Dysku” – wybieramy 0%. Wybieramy przycisk ZASTOSUJ. Usuwanie plików z Kosza. Klikamy Prawym przyciskiem myszy. Wybieramy opcję “Opróżnij Kosz”. Programy do odzyskiwania danych po ich usunięciu z kosza • Czy usunięte dane są naprawdę usuniete? • MS - DOS • Windows • - Norton Utilities - Unerase - Norton Utilities - Undelete - Executive Software • Te programy skanują twardy dysk w poszukiwaniu skasowanych plików. • Jeżeli na miejscu skasowanych plików nie zapisaliśmy nowych danych, jest szansa, że odzyskamy skasowane pliki. Jak uniemożliwić odzyskiwania skasowanych plików? • Zrób defragmentacją twardego dysku. • Co oznacza fragmentacja i defragmentacja? • Jakiego algorytmu używa system Windows do zapisywania danych na dysku? • System Windows zapisuje bloki danych nie na ich pierwotnym miejscu (w którym je przeczytał) a w pierwszym wolnym bloku na dysku. • Zapisz inne pliki po defragmentacji dysku do zapełnienia dysku. • Usuń pliki użyte do zepełnienia dysku. Szkody spowodowane przez wirusów • spowolnienie pracy komputera, sieci; • trwała utrata danych; • zainfekowanie innych komputerów • Serwisy darmowych kont e-mail z ochroną antywirusową Yahoo – Norton Antivirus Co oznacza skrót RAID • RAID - Redundant Array of Inexpensive (Independent) Disks • RAID - Nadmiarowa Macierz Niedrogich (Niezależnych) Dysków • RAID jest sposobem, technologię zapewniającą dostęp do wielu pojedynczych dysków, tak jakby macierz była jednym większym dyskiem. Przy tym dostęp do danych jest rozłożony pomiędzy te dyski, tak że jeżeli jeden lub klika dysków ulegnie awarii, ryzyko wystąpienia utraty wszystkich danych lub braku dostępu do danych jest minimalne. Cel stosowania RAIDu? • Wydajność za cenę bezpieczeństwo; • Bezpieczeństwo za cenę wydajności; • Wydajność i bezpieczeństwo • RAID can be based in – software – hardware – a mix of both. Podstawowe rodzaje RAID RAID Angielska nazwa RAID Disk Striping –0 RAID Disk mirroring –1 Opis Plusy Bloki danych są dzielone, bez + szybszy transfer redundancji, pomiędzy dyski podłączone danych do kontrolera macierzy. Dane są zapisywane równocześnie na N dyskach Dane zapisywane są podwójne. Jeden dysk jest wierną kopią drugiego dysku. Rozwiązanie takie stosuje się w bazach danych, gdzie zachowanie dostępności i integralności danych jest sprawą najważniejszą. RAID Disk Striping Striping na poziomie bajtów z zapisem -3 with Dedicated kodów kontrolno-redundancyjnych i Pairty Disk danych o parzystości na dedykowanym dysku RAID Striping with Striping bloków danych z rozproszonym -5 Interspersed zapisem kodów kontrolnoParity redundancyjnych. Dane o parzystości (dane kontrolne) są równomiernie rozłożone (zapisywane) na wszystkich niezależnych dyskach fizycznych macierzy RAID Disk Striping + Kombinacja RAID-0 i RAID 1 – striping -10 Disk mirroring danych na lustrzanych dyskach (RAID 0 + RAID 1) + wysoki poziom bezpieczeństwa, dane zapisywane są na dwoma dyskami + kompromis między szybkością a bezpieczeństwem Minusy - brak bezpieczeństwa – uszkodzenie jednego dysku powoduje utraty dostępu do danych (MTBF – prawdopodobieństwo uszkodzenia dysku) Wykorzystuje się 50% łącznej pojemności dysków; wydajność systemu dyskowego nie wzrasta - minimum 3 dyski + najniższe koszty - przy bazach danych jest + wyższa wydajność w za wolny porównaniu z RAID-3 + szybkość i Wykorzystuje się 50% bezpieczeństwo danych łącznej pojemności dysków Minimum 4 dyski Jaki RAID wybrać? • Jak korzystamy z danych? – tylko czytamy – czytamy i zapisujemy na twardym dysku • Zapis danych trwa 4 razy dłużej niż czytanie danych. • Wadą rozwiązań RAID jest to, że się zmniejsza dostępna przestrzeń dyskowa. Przykładowo, jeśli 2 dyski po 80 GB uruchomimy w trybie RAID –1 system będzie je widział jako 1 dysk o pojemności 80 GB, a nie 160 GB w trybie RAID-0. Płyty główne z wbudowanym kontrolerem macierzowym RAID z interfejsem ATA / SATA • Co daje taki kontroler? • Macierz dyskowa – 2 * n dysków – widoczne w systemie jako pojedynczy wolumin dyskowy. • Informacje zapisywane do macierzy są fizycznie zarejestrowane (zapisywane na kilku dyskach). Kontroler RAID • Posiada własny BIOS i RAM • RAID jest uruchamiany przed uruchamianiem systemu operacyjnego Przykładowa konfiguracja macierzy RAID-1 Controler Mylex AcceleRAID 352 2 kanaly po 160 MB/s kanal 0 RAID –1 2 dyski po 36,5 GB kanal 1 RAID –1 2 dyski po 36,5 GB Controler Mylex AcceleRAID 352 | | kanal 0 ---------+ +------------ kanal1 | | channel 0 ----------+ chennel 1-------------+ | | | | Dysk 1 36,5 GB | Dysk 3 36,5 GB | Dysk 2 36,5 GB---+ Dysk 4 36,5 GB--+ Jaki jest koszt RAIDu przy stosowaniu twardych dysków ATA / SATA? Porównanie płyt głównych z RAID oraz bez RAID Producent Model Cena Cena dysków 40 GB 80 GB 160 GB Dodatkowy łączny koszt RAIDu w stosunku do rozwiązania bez stosowania RAIDu. Producenci kontrolerów RAID • Do dysków SCSI – Mylex – Adaptec – ServerRAID – LSI • Do dysków ATA – Promise • Do dysków SATA Rodzaje Backupu - kopie bezpieczeństwa Rodzaj backupu Pełny Angiels Opis ka nazwa Full Wszystkie dane, którym należy Backup robić backup są zapisywane na nosniku. Przyrosto wy Plusy Minusy + łatwość i szybkość odtwarzenia danych z backupu w razie awarii; + krótki czas wykonywania - długi czas wykonywania przy większych zbiorach Increm W krótkim okresie czasu tylko ental nieznaczna ilość danych Backup (plików) ulega modyfikacji, zmianie. Zapisywane są tylko dane, które zostały zmienione od czasu wykonywania pełnego lub przyrostowego backupu. Różnicow Differen Zapisywane są tylko dane, + krótki czas y tial które zostały zmienione od wykonywania Backup czasu wykonywania pełnego backupu. Strategie Backupu • Okres retencyjny Miesiąc • Podokresy Tygodnie - wydłużony czas odtwarzania systemu – pełni backup + przyrostowy backup - wydłużony czas odtwarzania systemu – pełni backup + różnicowy backup UPS – Uninterruptible Power Supply • Utrata danych może nastąpić również wskutek przerwy w zasilaniu prądem • Jeżeli nie posiadamy notebooka, UPS. • W notebooku rolę UPS pełnią akumulatory. • UPS pozwała zakończyć i zapisać pracę oraz bezpiecznie wyłączyć komputer. Bezpieczeństwo systemu operacyjnego Linux Zdaniem renomowanej organizacji zajmującej się bezpieczeństwem sieci najgroźniejszymi zagrożeniami dla bezpieczeństwa użytkowników w ciągu 2004 roku były dla systemu Unix (i Linux): 1. BIND 2. Serwery sieciowe 3. Autentykacja 4. Systemy kontroli wersji systemu 5. Usługi pocztowe 6. Simple Network Management Protocol (SNMP) 7. Błędy w Open Secure Sockets Layer (SSL) 8. Błędy konfiguracyjne NIS/NFS 9. Zabezpieczenia baz danych 10. Błędy w kernelu (jądrze) Cały raport na stronie http://www.sans.org/top20/ Bezpieczeństwo systemu operacyjnego Microsoft • błędy w oprogramowaniu firmy z Redmond na stronie http://www.sans.org/top20/ Zabezpieczenie komputera korzystającego z Internetu • Żaden temat nie jest tak ważny jak bezpieczeństwo, a żadne narzędzie nie jest bardziej krytyczne dla bezpieczeństwa sieci niż firewall. • Joe Casad, Achim Leitner, Nie tylko dla ekspertów, Linux Magazine 2005, 01, s. 18 Zasoby • Alabi, Duran; NAS, DAS or SAN: Choosing the Right Storage technology for Your Organization, 2004, June, http://www.dmreview.com • Ault, Michael R., Tuning Disk Architectures for Databases, http://www.dbazine.com • Bartoszewicz, Marek; Bezpieczny PC, Enter 2001, nr 6, s. 98 99 • Hałas, Dariusz; Chroń swoje dane, Enter 2001, nr 6, s. 40 – 48 • http://2cpu.com • http://www.pl.tomshardware.com • http://www.benchmark.pl • http://www.sans.org/top20/ • Ulrich Wolf, Bezpieczeństwo Linuksa Ochrona danych, Linux Magazine, 2004, marzec, p. 18, http://www.linux-magazine.pl