RAPORT Z PRZEBIEGU PRAC SZÓSTEJ GRUPY PROBLEMOWEJ
Transkrypt
RAPORT Z PRZEBIEGU PRAC SZÓSTEJ GRUPY PROBLEMOWEJ
Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego RAPORT Z PRZEBIEGU PRAC SZÓSTEJ GRUPY PROBLEMOWEJ Temat zadania problemowego „Opracowanie procedur bezpieczeostwa systemów informatycznych i ochrony danych w MŚP” Raport opracował: dr inż. Tomasz Gancarczyk Zakład Mechaniki Akademia Techniczno-Humanistyczna ul. Willowa 2, 43-300 Bielsko-Biała email:[email protected] Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Spis treści 1. Wstęp ...................................................................................................................................... 3 2. System informatyczny ............................................................................................................. 3 3. Bezpieczeostwo – definicja ..................................................................................................... 4 4. Elementy bezpieczeostwa ....................................................................................................... 6 5. Podnoszenie bezpieczeostwa ................................................................................................ 10 6. Zadanie problemowe............................................................................................................. 11 7. Rozwiązanie. .......................................................................................................................... 12 8. Zalecenia dotyczące bezpieczeostwa .................................................................................... 14 1) Sprzęt komputerowy. ........................................................................................................ 14 2) System operacyjny............................................................................................................. 20 3) Użytkownicy. ..................................................................................................................... 22 9. Podsumowanie ...................................................................................................................... 24 10. Literatura ............................................................................................................................... 27 2|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego 1. Wstęp Niniejszy raport powstał w wyniku prac szóstej Grupy Problemowej, która realizowała jedno z działao projektu Akademii Przedsiębiorczości Klastra NTHills. Raport został przygotowany przez pracownika naukowego Akademii TechnicznoHumanistycznej – Tomasza Gancarczyka i uwzględnia uwagi i doświadczenia przekazane podczas prac grupy przez przedstawiciela biznesu – Tomasza Cegielskiego. Dziękujemy również za cenne pytania i uwagi jakie wnieśli beneficjenci. 2. System informatyczny System informacyjny można określid jako posiadającą wiele poziomów strukturę pozwalającą użytkownikowi na przetwarzanie, za pomocą procedur i modeli, informacji wejściowych w wyjściowe. Natomiast system informatyczny jest wydzieloną, skomputeryzowaną częścią systemu informacyjnego. Składa się on z szeregu połączonych ze sobą elementów, których zadaniem jest przetwarzanie danych przy użyciu techniki komputerowej [6]. W strukturze systemu informatycznego wyodrębnid można następujące grupy: 1) sprzęt, 2) oprogramowanie, 3) zasoby osobowe – ludzie, Do pierwszej grupy zaliczamy wszystkie urządzenia biorące udział w procesie przetwarzania informacji. Wyszczególniając, będą to: • urządzenia służące do przechowywania danych, • urządzenia służące do komunikacji między sprzętowymi elementami systemu, • urządzenia służące do komunikacji między ludźmi a komputerami, 3|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego • urządzenia służące do odbierania danych ze świata zewnętrznego – nie od ludzi (na przykład czujniki elektroniczne, kamery, skanery), • urządzenia służące do wywierania wpływu przez systemy informatyczne na świat zewnętrzny – elementy wykonawcze (na przykład silniki sterowane komputerowo, roboty przemysłowe, podłączony do komputera ekspres do kawy, sterowniki urządzeo mechanicznych), • urządzenia służące do przetwarzania danych nie będące komputerami. Druga grupa występująca w strukturze systemu informatycznego to wszelkiego rodzaju programy użytkowe (aplikacje), systemy operacyjne (instalowane przez użytkownika, bądź wbudowane), a także różnego rodzaju usługi świadczone przez system informatyczny na rzecz klienta. Ostatnią, ważną grupą systemu informatycznego są zasoby ludzkie. Do tej grupy należed mogą osoby obsługujące system, bądź użytkownicy korzystający z jego usług i możliwości. Grupa ta jest bardzo ważną grupą z punktu widzenia bezpieczeostwa, z powodu występowania związanych z nią wielu czynników, często losowych, mających bezpośredni wpływ na bezpieczeostwo systemu informatycznego. System informatyczny jest więc zespołem elementów sprzętowych i programowych służących do przetwarzania i przesyłania danych, który modeluje określony fragment systemu rzeczywistego (związanego z firmą, instytucją, osobą prywatną). Posiada użytkowników zainteresowanych korzystaniem z systemu, oraz podlega określonym regułom zarządzania i administrowania. Zawiera także duże ilości cennych danych [2]. 3. Bezpieczeostwo – definicja Waga problemów bezpieczeostwa wzrasta wraz z poszerzającą się otwartością systemów informatycznych. Coraz więcej operacji w tych systemach wykonujemy za pomocą szerokiej gamy urządzeo mobilnych – telefonów typu smartphone, tabletów, oraz wszelkiego rodzaju komputerów przenośnych. Same systemy „wychodzą” poza ściany budynków oferując coraz więcej usług poprzez sied Internet. Coraz więcej osób staje się użytkownikami wspomnianych wyżej systemów informatycznych dokonując operacji za pomocą tejże sieci. Zakupy, przelewy bankowe, rezerwacje miejsca w restauracji, czy biletów do kina – wszystko to staje się niezmiernie proste, właśnie dzięki wszechobecnym urządzeniom z dostępem do sieci z jednej strony i rozbudowanym systemom informatycznym z drugiej. 4|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Definicję bezpieczeostwa można sformułowad następująco: System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegad, a zainstalowane oprogramowanie działa zgodnie ze swoją specyfikacją [3]. W myśl tej definicji, możemy system uznad za bezpieczny, jeśli można od niego oczekiwad, że wprowadzone na stałe dane nie zostaną utracone, nie ulegną zniekształceniu i nie zostaną pozyskane przez nikogo nieuprawnionego - ufamy, że system będzie przechowywał i chronił dane. Nie będzie on również wywierał negatywnego wpływu na środowisko w którym pracuje. system wiarygodny Bezpieczeostwo jest elementem szerszego kontekstu, nazywanego wiarygodnością systemu komputerowego. W kontekście tym wyróżnia się w sumie cztery atrybuty wiarygodności: dyspozycyjny (available) = dostępny na bieżąco niezawodny (reliable) = odporny na awarie bezpieczny (secure) = zapewniający ochronę danych pewny (safe) = bezpieczny dla otoczenia, przyjazny dla środowiska Rys. 1. Składniki wiarygodności systemu. Dyspozycyjnośd systemu rozumiemy jako gotowośd do współpracy ze ściśle określonymi odbiorcami konkretnych usług. Odbiorcami tymi mogą byd zarówno ludzie (użytkownicy) oraz urządzenia lub oprogramowanie. System niezawodny to przewidywalne i spójne zachowanie, a także przewidywalne, oczekiwane skutki tego zachowania. 5|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego System bezpieczny zapewnia bezpieczeostwo przechowywanych i przetwarzanych danych. Daje pewnośd, że dane nie ulegną zniszczeniu, ale także nie zostaną zmodyfikowane i będzie do nich ciągły (w sposób wcześniej ściśle zdefiniowany) dostęp. System bezpieczny to taki, który nie jest podatny na zagrożenia ze strony współpracujących z nim ludzi czy programów, a także ze strony otoczenia (np. pożar, zalanie wodą w wyniku burzy, itp.). Pewnośd systemu informatycznego to przekonanie, że będzie on działał prawidłowo i nie będzie stwarzał zagrożenia dla środowiska w którym pracuje (przykładem może byd system kontroli lotów i jego bezpieczne działanie) *1+. 4. Elementy bezpieczeostwa W zarządzaniu bezpieczeostwem można wyróżnid następujące elementy [2]: Zasoby (aktywa) Wszystko co dla instytucji ma wartośd i co dla jej dobra (prawidłowego funkcjonowania) należy chronid. Przykładowo mogą to byd: • • • • • • informacje wrażliwe, bez względu na medium na którym są przechowywane, wartości intelektualne i oprogramowanie, ciągłośd działania, zdolnośd do produkowania lub do świadczenia określonych usług, elementy infrastruktury informatycznej, zasoby ludzkie, dane niematerialne, patenty, know-how. Zagrożenie Zagrożenie to potencjalna przyczyna incydentu, którego skutkiem może byd szkoda dla systemu i instytucji. Zagrożeniem może byd środowisko (pożar, powódź) lub sam człowiek. Człowiek może działad rozmyślnie (podsłuch, wpuszczenie wirusa, kradzież danych) lub w sposób przypadkowy (omyłki w obsłudze, wypadek losowy). Źródło zagrożenia może występowad wewnątrz instytucji lub poza nią. Przykłady: • kradzież zasobów, 6|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego • • niewłaściwe wykorzystywanie zasobów (korzyści prywatne), wykorzystanie błędów projektu systemu informatycznego, błędów ludzkich (przechwycenie haseł). Podatnośd Podatnośd to słabośd systemu, luka, która może byd wykorzystana przez zagrożenia, prowadząc do strat. Podatnośd może występowad na różnych poziomach: • • • • • • • • fizycznym – możliwośd zalania serwerowni wskutek awarii wodociągów, organizacyjnym – niewłaściwa organizacja bezpieczeostwa, wyłączenie zabezpieczeo, proceduralnym – brak polityki stosowania i zmiany haseł, niewłaściwe umowy z dostawcami, serwisem, personalnym – nieświadomośd zagrożeo, niewystarczająca wiedza, administracyjnym – nieprawidłowe zarządzani uprawnieniami administratora, sprzętowym – niezgodności sprzętowe, omijanie zabezpieczeo, dotyczącym oprogramowania – niepoprawna konfiguracja, brak aktualizacji systemów operacyjnych, aplikacji, informacyjnym – brak wiedzy na temat informacji wrażliwych. Incydent bezpieczeostwa Jest to niekorzystne zdarzenie związane z systemem informatycznym, które może byd uznane za awarię lub domniemane naruszenie zasad ochrony informacji lub prawa własności. Przykładem może byd: • • utrata poufności, dostępnośd lub integralności danych, kradzież oprogramowania lub sprzętu komputerowego. Po pojawieniu się incydentu bezpieczeostwa, następuje szereg następstw, czyli negatywnych skutków incydentu. Ich charakter ściśle zależy od rodzaju incydentu oraz od charakteru instytucji. Najczęstszymi następstwami są: • • straty finansowe (w wyniku kradzieży, wypłaty odszkodowao, utraty klientów, reputacji), utrata życia lub zdrowia pracowników. Prawdopodobieostwo wykorzystania przez określone zagrożenie podatności systemu, nazywamy ryzykiem. Zabezpieczenie 7|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Jest to praktyka, procedura lub mechanizm redukujący ryzyko do akceptowalnego poziomu. Może mied charakter techniczny, fizyczny lub administracyjny. Przykładowe funkcje realizowane poprzez praktykę zabezpieczania: • • • • • ochrona przed zagrożeniami, ograniczanie podatności, ograniczanie następstw, wykrywanie niepożądanych incydentów, ułatwianie odtwarzania zasobów. Dodatkowo, wspomagającą funkcję pełnią: • • • • uświadamianie, szkolenie, monitorowanie, działania korygujące. Analiza, oszacowanie i zarządzanie ryzykiem Działania te sprowadzają się do systematycznego identyfikowania zagrożeo, tworzenia listy potencjalnych niebezpieczeostw oraz tworzenia scenariuszy i skutków wystąpienia niekorzystnych zdarzeo. Reasumując możemy wyodrębnid następujące elementy wchodzące w skład systemu informatycznego, dla których zapewnienie bezpieczeostwa jest działaniem priorytetowym (rys. 2). 8|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Prawne Sieci Osobowe Bezpieczeostwo Dostępu zdalnego Analiza ciągłości działania Serwerów Stacji roboczych Rys. 2. Obszary realizowania polityki bezpieczeostwa w systemie informatycznym. 9|Strona Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego 5. Podnoszenie bezpieczeostwa W celu poprawy bezpieczeostwa istniejącej infrastruktury systemu informatycznego instytucji, niezbędne jest zidentyfikowanie faktycznych zasobów jej systemu informatycznego. W tym celu należy przeprowadzid dokładną inwentaryzację istniejącego sprzętu komputerowego oraz użytkowanego oprogramowania. Wiedza uzyskana podczas procesu inwentaryzacji, umożliwi ocenę przydatności istniejących składników systemu informatycznego do proponowanego rozwiązania. Przydatnośd ta powinna byd oceniana poprzez aspekt: • • • bezpieczeostwa, wydajności, wygody użytkowania. Kwestia bezpieczeostwa jest bezsporna, natomiast wydajnośd systemu może stad się ważnym elementem budowania konkurencyjności i wizerunku instytucji. Wygoda użytkowania jest pośrednio powiązana zaś z aspektem bezpieczeostwa. Zbyt skomplikowane procedury zabezpieczeo mogą doprowadzid, paradoksalnie do obniżenia poziomu bezpieczeostwa. Nie z powodu ułomności tychże, ale z naturalnego dążenia człowieka do osiągniecia pewnego poziomu wygody w codziennym użytkowaniu systemu informatycznego. Weźmy jako przykład ustawienia dotyczące polityki haseł systemu operacyjnego Microsoft Windows. Zdefiniowanie dla użytkownika restrykcyjnej polityki stosowania haseł, tj. wymuszenie złożoności hasła skutkuje następującymi wobec niego obostrzeniami: Hasła definiowane przez użytkownika muszą spełniad następujące wymagania minimalne: nie mogą zawierad znaczącej części nazwy konta użytkownika ani pełnej nazwy użytkownika, muszą mied długośd przynajmniej sześciu znaków, muszą zawierad znaki należące do trzech z następujących czterech kategorii: wielkie litery od A do Z, małe litery od a do z, 10 cyfr podstawowych (od 0 do 9), znaki niealfabetyczne (na przykład: !, $, #, %). 10 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Jeśli do tego dołączymy ustawienie częstotliwości zmiany hasła np. co 7 dni i brak możliwości powtórzenia hasła przez długi okres czasu (włączenie historii haseł), to pomimo wysokiego zaprojektowanego poziomu bezpieczeostwa (w tym przypadku dotyczącego polityki haseł) rzeczywiste bezpieczeostwo będzie znacznie niższe. Użytkownicy zaczną zapisywad hasła w mało bezpiecznych miejscach, a co gorsze wymieniad się tymi hasłami w celu utworzenia możliwości łatwiejszego jego przypomnienia. Należy więc tak dobrad projektowany poziom bezpieczeostwa, aby był on akceptowalny przez osoby zlecające jego zaprojektowanie, był znośny dla pracowników (użytkowników systemu informatycznego) oraz odpowiadał obowiązującemu prawu. 6. Zadanie problemowe W rozważanym przypadku zadanie polega na zmodernizowaniu istniejącego i funkcjonującego systemu informatycznego. Modernizacji podlegad będą urządzenia sieciowe, komputerowe, a także użytkowane oprogramowanie. Istniejąca infrastruktura systemu składa się z następujących elementów: starej generacji komputer klasy PC zainstalowanym systemem Novell, pełniący rolę serwera aplikacji i danych, zabezpieczony zasilaczem awaryjnym, kilka stanowisk klienckich, na których używane są aplikacje bazodanowe, zabezpieczone kluczem USB, pracujący w środowisku DOS program magazynowo-sprzedażowy, autorski program bazodanowy, dwa urządzenia drukujące – jedno z interfejsem sieciowym, drugie bez niego, prosta sied komputerowa, przełącznik, router WiFi, kilka urządzeo mobilnych (laptopów), w przyszłości telefon typu smarthone lub tablet. Podjęte działania mają doprowadzid do zwiększenia bezpieczeostwa systemu oraz do jego modernizacji i wyższej dostępności (np. poprzez możliwośd pracy zdalnej). Wrażliwe dane znajdują się na komputerze z systemem Novell, a także na poszczególnych stacjach klienckich w postaci plików oraz baz programów pocztowych. 11 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego 7. Rozwiązanie. Zaproponowano następującą strukturę sprzętową. 1) Komputer z systemem Novell i programem bazodanowym zastąpiony zostanie serwerem z zainstalowanym systemem operacyjnym Microsoft Windows 2008 Foundation. Zaproponowany serwer Fujitsu TX150s7 X3430 QC posiada następującą konfigurację: Typ obudowy serwera Nazwa rodziny produktów Tower PRIMERGY TX150 S7 Ilośd zainstalowanych procesorów 1 szt. Maksymalna ilośd procesorów 1 szt. Typ zainstalowanego procesora Kod procesora Intel Xeon /Quad-Core/ X3430 Częstotliwośd procesora 2,4 GHz Częstotliwośd szyny QPI/DMI 2,5 GT/s Pojemnośd pamięci cache *L2+ 8 MB Ilośd zainstalowanych dysków 1 szt. Maksymalna ilośd dysków 4 szt. Pojemnośd zainstalowanego dysku 250 GB Typ zainstalowanego dysku SATA II Zainstalowane sterowniki dysków Sterownik macierzy Pojemnośd zainstalowanej pamięci Maksymalna pojemnośd pamięci Rodzaj zainstalowanej pamięci Typ pamięci Częstotliwośd szyny pamięci 4 x SATA SW RAID 0/1/10 2048 MB 32768 MB DDR3 ECCUnbuffered 1333 MHz Ilośd banków pamięci 6 szt. Ilośd wolnych banków pamięci 5 szt. Elementy Hot-Swap Dyski twarde Ilośd slotów PCI 32-bit/33MHz 1 szt. Ilośd slotów PCI-E 8x v.2.0 2 szt. Ilośd slotów PCI-E 4x v.2.0 1 szt. Ilośd slotów PCI-E 1x v.2.0 2 szt. Typ karty graficznej Karta sieciowa Zintegrowana 10/100/1000 Mbit/s Ilośd wolnych kieszeni 5,25 (zewnętrznych) 2 szt. Ilośd wolnych kieszeni 3,5 (zewnętrznych) 3 szt. Ilośd półek na dyski Hot Swap 4 szt. Napędy wbudowane (zainstalowane) Interfejsy Ilośd zasilaczy 12 | S t r o n a DVD±RW Super Multi (+ DVD-RAM) Dual Layer 1 x Serial 10 x USB 2.0 1 x 15-stykowe D-Sub (wyjście na monitor) 1 x RJ-45 (LAN) 1 x RJ-45 (Service LAN) 1 szt. (350 W) Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego System operacyjny Windows Server 2008 Foundation przeznaczony jest dla środowisk posiadających do 15 użytkowników. Posiada on m.in. możliwośd tworzenia automatycznej kopii zapasowej oraz daję możliwośd zbudowania zabezpieczeo na wysokim poziomie. W przypadku zwiększenia ilości użytkowników w firmie, istnieje możliwośd podwyższenia jego funkcjonalności do wersji Standard. 2) Gigabitowy router WiFi, umożliwiający szyfrowane połączenia VPN, tworzenie podsieci dla gości oraz pracujący w standardzie 802.11n. 3) Serwer druku umożliwiający podłączenie urządzenia drukującego bez wbudowanego interfejsu sieciowego do struktury sieci LAN. 4) Dysk sieciowy NAS, umożliwiający składowanie kopii zapasowych w sieci, dostępny dla każdego stanowiska komputerowego. 5) Zasilacze awaryjne UPS dla każdego stanowiska komputerowego i urządzeo sieciowych oraz zabezpieczenia na wypadek skoku napięcia dla drukarek. Rys. 3. Schemat poglądowy rozwiązania. 13 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego 8. Zalecenia dotyczące bezpieczeostwa Wracając do pierwotnego podziału systemu informatycznego, możemy rozważad jego bezpieczeostwo w następujących aspektach: 1) Sprzęt komputerowy. W tym aspekcie należy wziąd pod uwagę nie tylko wszelkiego rodzaju komputery, ale także peryferia, oraz infrastrukturę sieciową. Komputery należy podzielid na stacje klienckie, służące do lokalnego logowania użytkownika, oraz serwery, które z definicji realizują określone usługi. Stacje klienckie Komputery powinny byd w jednoznaczny sposób przydzielone konkretnemu użytkownikowi. Pozwoli to w przejrzysty sposób definiowad odpowiedzialnośd za konkretne stacje. Stacje klienckie mobilne, powinny byd konfigurowane przy założeniu ich mobilności, tzn. polityka bezpieczeostwa dla komputerów mobilnych powinna byd bardziej zaostrzona niż dla stacjonarnych. Przykładowo powinna ona obejmowad: szyfrowanie dysków twardych (wysokie ryzyko kradzieży komputera), minimalizację przechowywanych na nich danych wrażliwych, bardziej zaostrzoną politykę wykonywania kopii ważnych plików, także systemu (większe zagrożenie uszkodzenia wynikające z możliwości upadku, zalania itp.), bezpieczna konfigurację sieci bezprzewodowej (stosowanie profili dla sieci publicznej). Stacje stacjonarne wymagają innego podejścia w kwestii zabezpieczeo. Może ono obejmowad: zabezpieczenie obudowy komputera przed nieautoryzowanym otwarciem, wyeliminowanie podatności związanych z brakiem zasilania poprzez stosowanie zasilaczy awaryjnych UPS, odpowiednie zabezpieczenie przewodów zasilających, sieci komputerowej przed przypadkowym lub celowym wypięciem, zabezpieczenie gniazd obudowy w celu wyeliminowania wpinania nieautoryzowanych urządzeo (np. pamięci z zainfekowanymi plikami, czy też urządzeo z własną pamięcią tzw. keylogger’ów wpinanych pomiędzy klawiaturę a komputer w celu przechwycenia wpisywanych przez użytkownika znaków). 14 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Nie należy jednak traktowad stacjonarnych komputerów jako z założenia bezpieczniejszych od urządzeo mobilnych. Przykładem może tutaj byd stałe połączenie za pomocą jednego, niezmiennego (w przeciwieostwie do urządzeo mobilnych) interfejsu sieciowego czy też stałe umiejscowienie fizyczne komputera. Ewentualny intruz ma więcej czasu aby wykorzystad istniejące luki i próbowad się dostad w sposób nieautoryzowany do systemu. Serwer Komputery tego rodzaju, z racji zadao jakie im się powierza, oraz charakteru ich pracy, powinny byd szczególnie chronione. Z racji tego iż zawierają z reguły duże ilości zasobów, ważnych i strategicznych dla instytucji powinno się przykładad dużą wagę do zapewnienia ich bezpieczeostwa. Przykładowe działania mogą obejmowad: wyznaczenie administratora odpowiedzialnego za serwer, zdefiniowanie procedury administracji serwerem w przypadku nieobecności administratora (sytuacja w której przypadkowi pracownicy znają hasło do systemu jest niedopuszczalna), dostęp do serwera powinien byd realizowany w sposób zdalny, logowanie lokalne powinno byd ograniczone do minimum, serwer powinien byd przechowywany w odrębnym, bezpiecznym pomieszczeniu, w odpowiednich warunkach fizycznych, z jasno zdefiniowanymi zasadami kto może do tego pomieszczenia wchodzid. należy zadbad o zasilanie awaryjne, a także o procedurę działania w momencie awarii serwera (odpowiednie umowy serwisowe). Przed instalacją systemu operacyjnego należy przeprowadzid wdrażanie odporności dysków twardych na awarie. W serwerze należy skonfigurowad dyski systemowe korzystając z macierzy RAID 1 (dysków lustrzanych). Macierz ta umożliwia dublowanie danych na połączonych dyskach. Podczas zapisu danych na dysk, spowodowany np. przez użytkownika, kontroler macierzy RAID 1 generuje w tym samym czasie identyczną operację na dysku lustrzanym. Oba dyski zawierają więc identyczne dane, umiejscowione w identycznych sektorach dysku. Awaria jednego z nich nie spowoduje znaczącej przerwy w pracy serwera, gdyż będzie możliwe uruchomienie systemu operacyjnego z dysku lustrzanego. Rozwiązanie to nie jest ekonomicznym rozwiązanie z punktu widzenia wykorzystania przestrzeni dyskowej (wykorzystanie 50%) ale wprowadza bardzo silne zabezpieczenie w razie awarii dysku twardego (rys. 4). 15 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Rys. 4. Rozwiązanie RAID 1. Należy również rozważyd zabezpieczenie pozostałych dysków z danymi. Można tego dokonad za pomocą macierzy RAID 5. Do zbudowania tego typu macierzy wymagane są minimum trzy dyski fizyczne (lub logiczne). Dane zapisywane są w postaci bloków na wszystkich trzech dyskach, dodatkowo przeplatane informacjami (zwanymi nadmiarowymi) na temat danych występujących w odpowiednich blokach dysków sąsiednich (oznaczonych tym samym kolorem) (rys.5). Awaria jednego z dysków nie spowoduje utraty wszystkich danych. Po wprowadzeniu nowego dysku do macierzy, następuje odbudowa danych oraz utraconych informacji nadmiarowych. Należy pamiętad, że dopuszczalna jest awaria tylko jednego z trzech dysków macierzy. Uszkodzenie już dwóch dysków prowadzi do nieodwracalnej utraty danych przechowywanych na tych dyskach. Rys. 5. Rozwiązanie RAID 5. 16 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Macierz RAID 5 jest ekonomiczniejsza od macierzy RAID 1 ze względu na wykorzystanie powierzchni dyskowej z racji straty tylko 30% tej powierzchni na rzecz informacji nadmiarowych. W proponowanej modyfikacji infrastruktury systemu informatycznego przedstawiony serwer nie zapewnia realizacji sprzętowej tego typu macierzy. W tym przypadku należy skorzystad z kontrolera systemowego systemu Windows Server i utworzyd macierz korzystając z przystawki Zarządzanie dyskami. Należy zwrócid uwagę, iż rozwiązanie to zależne jest od poprawności działania systemu operacyjnego serwera. Problem ten rozwiązano stosując macierz RAID 1 dla dysku systemowego. Sied komputerowa i urządzenia sieciowe Zabezpieczenie routera WiFi powinno obejmowad następujące elementy: zastosowanie silnych algorytmów szyfrowania danych (WPA2-PSK, WPA2-Enterprise), filtrowanie adresów fizycznych kart sieciowych (MAC) urządzeo współpracujących w sieci, wyłączenie rozgłaszania SSID, utworzenie podsieci dla gości. Proponowany router posiada możliwośd zestawiania prywatnej sieci wirtualnej, tzw. połączenia VPN (Virtual Private Network). Funkcjonalnośd ta wykorzystana zostanie do nawiązywania bezpiecznego połączenia urządzeo znajdujących się w innych sieciach, również potencjalnie niebezpiecznych z siecią lokalną firmy (serwerem, komputerami klienckimi, czy macierzą dyskową NAS) w celu pracy zdalnej (rys.6). komputery firmowe brama VPN Internet, sied niebezpieczna czerwony – logiczny tunel VPN, zielony – zaszyfrowane połączenie z firmowym serwerem komputery zdalny Rys. 6. Schemat połączenia VPN. 17 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Połączenie to w sposób szyfrowany zestawia połączenie klienta (będącego w sieci publicznej) z serwerem znajdującym się w zaufanej, firmowej sieci lokalnej wykorzystując protokół PPTP (Point to Point Transfer Protocol). Protokół PPTP hermetyzuje ramki protokołów IP lub IPX (dla systemu NOVELL) w datagramach protokołu PPP. Oznacza to, że można zdalnie uruchamiad aplikacje zależne od określonych protokołów sieciowych. Serwer tunelu sprawdza wszystkie zabezpieczenia i poprawności oraz włącza szyfrowanie danych, co pozwala znacznie bezpieczniej przesyład informacje w niezabezpieczonych sieciach. Protokołu PPTP można także używad w prywatnej komunikacji LAN-LAN. Protokół PPTP wymaga połączenia IP między komputerem a serwerem. Jeżeli użytkownik jest podłączony bezpośrednio do sieci LAN z protokołem IP i ma dostęp do serwera, to można ustanowid tunel PPTP w sieci LAN. Jeżeli tunel jest tworzony w Internecie i dostęp do Internetu jest realizowany przez połączenie z usługodawcą internetowym, przed ustanowieniem tunelu należy nawiązad połączenie z Internetem [4]. Utworzenie w sieci bezprzewodowej podsieci dla gości w prosty sposób uchroni przed koniecznością ujawniania haseł zabezpieczających sied bezprzewodową dla użytkowników niebędących pracownikami firmy. W prosty sposób będą mogli oni połączyd się z siecią Internet nie naruszając bezpieczeostwa sieci firmowej. Dodatkowo podsied tę należy odizolowad od sieci lokalnej (LAN). Należy także zwrócid uwagę na zabezpieczenie okablowania sieci komputerowej. Zastosowanie ochronnych rynienek, szafki na router, uniemożliwi uszkodzenie (przypadkowe, bądź celowe) okablowania, a zamknięcie routera zabezpieczy przed podłączeniem się intruza do sieci LAN. W przypadku zastosowania szafki zabezpieczającej router należy skorzystad z anteny zewnętrznej. Dysk sieciowy NAS Dyski sieciowe Network Attached Storage służą do przechowywania danych przesyłanych do nich za pomocą istniejącej struktury sieciowej. Składają się najczęściej z dwóch dysków połączonych kontrolerem RAID. Umożliwia on zbudowanie macierzy RAID 1, o której wspominano wcześniej lub macierzy typu RAID 0 (rys. 7). 18 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Rys. 7. Macierz RAID 0. Macierz RAID 0 składa się z minimum dwóch dysków twardych i powoduje zwiększenie przestrzeni do zapisu danych sumując obszar tych dysków (jeżeli dyski nie są takiej samej wielkości, otrzymamy przestrzeo równą podwójnej przestrzeni dysku mniejszego). Dyski widziane są, jako jeden napęd. Macierz ta również znacznie przyśpiesza zapis danych. Przyśpieszenie możliwe jest dzięki równoległemu, sekwencyjnemu zapisowi na obydwu dyskach. W wyniku tego procesu dane na obu dyskach są przeplecione. Do odczytu dowolnego pliku potrzebne są, zatem oba dyski. Należy pamiętad, że macierz ta nie wdraża odporności na uszkodzenia dysków, a nawet zwiększa prawdopodobieostwo utraty danych (utrata jednego z dysków powoduje utratę danych z całej macierzy). Dyski NAS wyposażone są w interfejs sieciowy Fast Ethernet lub Gigabit Ethernet. Pozwala to na traktowanie takiego repozytorium, jako niezależnego urządzenia sieciowego. Oprogramowanie dostarczane przez producenta dysków umożliwia zdefiniowanie wykonywania kopii bezpieczeostwa wybranych folderów komputerów w sieci firmowej w sposób automatyczny. Dostęp do tego typu dysków realizowany jest za pomocą tzw. mapowania zasobów sieciowych. Polega ono na przydzieleniu w systemie operacyjnym konkretnej litery napędu udziałowi sieciowemu, pod jakim jest widoczne wspomniane repozytorium sieciowe. Ze względów bezpieczeostwa, dyski te należy przechowywad w innej niż serwer lokalizacji. Drukarki Konfiguracja drukarek powinna obejmowad następujące aspekty: ustawienie odpowiednich praw dla użytkowników. Mamy do wyboru trzy zestawy uprawnieo: 19 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego zarządzanie drukarką – użytkownik posiadające te uprawnienia może modyfikowad sterownik drukarki, a także usuwad dokumenty oczekujące w kolejce wydruku, zarządzanie dokumentami – umożliwia modyfikację kolejki wydruku, drukowanie – tylko i wyłącznie drukowanie. Z kolejki można usuwad tylko te dokumenty, których jest się właścicielem. ustawienie harmonogramu pracy drukarki – określenie godzin, w których urządzenie będzie dostępne. W przypadku podłączenia urządzeo drukujących bezpośrednio do serwera, należy pamiętad o zainstalowaniu dodatkowych sterowników dla systemów operacyjnych komputerów klienckich, które będą się z nimi łączyły. Należy także przewidzied w systemie operacyjnym serwera wystarczającą ilośd miejsca na folder, w którym będą buforowane dokumenty do wydruku. Dodatkowo, w celu zwiększenia wydajności drukowania, można skonfigurowad drukarki do pracy w tzw. puli drukarek. Do serwera podpiętych jest kilka urządzeo drukujących, a w systemie widoczne są, jako jedna drukarka. urządzenie drukujące dokument drukarka logiczna urządzenie drukujące urządzenie drukujące Rys. 8. Pula drukarek. W rozwiązaniu tym, użytkownik widzi jedną zainstalowaną drukarkę w swoim systemie operacyjnym, a dokumenty, które wysyła do drukowania, drukowane są na wolnym w tym czasie urządzeniu drukującym. Rozwiązanie to jest zupełnie przeźroczyste dla użytkownika, nie wie on, co prawda, na której drukarce zostanie wydrukowany dokument, ale zyskuje na czasie, gdyż nie musi czekad na zakooczenie drukowania innego dokumentu, podczas gdy drugie urządzenie jest wolne. Zaleca się, aby drukarki pracujące w puli umieszczone były obok siebie. Należy pamiętad, że w takiej konfiguracji mogą pracowad drukarki należące do jednej rodziny, tzn. takie, które mogą byd obsługiwane przez jeden zestaw sterowników. 2) System operacyjny. 20 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego Konfigurując systemy operacyjne komputerów klienckich należy szczególnie zwrócid uwagę na następujące kwestie: zastosowanie do formatowania dysków systemu plików NTFS. Jest on niezbędny do wprowadzania zabezpieczeo plików i folderów, zdefiniowanie (o ile to jest możliwe) odrębnej partycji dla systemu operacyjnego, zastosowanie polityki haseł, użytkownik powinien pracowad na koncie z ograniczonymi uprawnieniami w systemie operacyjnym, stosując uprawnienia do plików bądź katalogów należy stosowad zasadę minimalnych uprawnieo. Należy pamiętad, że zbyt wąskie uprawnienia mogą byd równie szkodliwe jak uprawnienia zbyt szerokie, należy przekierowad standardowe foldery zapisu danych (np. Moje dokumenty) na inną niż systemowa partycję. Zwiększy to bezpieczeostwo danych i ułatwi generowanie kopii zapasowej. Umożliwi także łatwe zabezpieczenie danych za pomocą funkcjonalności dziedziczenia uprawnieo, bazy poczty elektronicznej należy przekierowad na inną niż systemową partycję (jeżeli jest taka możliwośd, zastosowad konta pocztowe stosujące protokoły IMAP, listy odebrane i co najważniejsze wysłane będą przechowywane na serwerze pocztowym poza komputerem klienckim), na dysku sieciowym (NAS) należy utworzyd foldery, do których będą zapisywane dane poszczególnych użytkowników, należy zwrócid szczególną uwagę na pliki umieszczone na pulpicie systemu operacyjnego. Jeśli nie ma możliwości zablokowania możliwości zapisu danych na pulpit, to należy starad się umieszczad na nim skróty do plików i folderów. W ten sposób uniknie się przeładowania profilu użytkownika i dublowania plików, co może doprowadzid do wystąpienia braku integralności w systemie plików, ustawienie maksymalnej przestrzeni dyskowej na komputerach klienckich do wykorzystania przez określonego użytkownika (tzw. quota dyskowa). Z racji powierzonych zadao, oraz ważności danych przetwarzanych na serwerze, konfigurację i zabezpieczanie systemu operacyjnego należy przeprowadzid z bardzo dużą uwagą. Przykładowe kroki przedstawione zostały poniżej: instalacja systemu z zaufanych nośników, instalacja i konfiguracja programu antywirusowego, instalacja poprawek do systemu operacyjnego. Uwaga. Instalację programu antywirusowego wraz z sygnaturami oraz poprawek systemowych należy przeprowadzid przed podłączeniem komputera do sieci. 21 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego konfiguracja protokołu TCP/IP, zaleca się użycie stałego adresu IP serwera oraz DNS, ustawienie reguł zapory (połączenia wychodzące i wchodzące), definicja inspekcji (monitorowanie dostępu do wybranych folderów umiejscowionych na serwerze), zastosowanie narzędzia WSUS do zarządzania poprawkami dla systemów operacyjnych w całej sieci, zdefiniowanie zasad zabezpieczeo lokalnych: zasad haseł, dostępu zdalnego, dostępu do nośników zewnętrznych, wyłączenie zbędnych usług i portów, zdefiniowanie dostępu poprzez zdalny pulpit, określenie użytkowników dopuszczonych do tej usługi, zasad dostępu do niej. Poprawnie skonfigurowany i zabezpieczony system należy monitorowad poprzez analizę zdarzeo dzienników systemowych, a także za pomocą narzędzia Monitor wydajności w celu lokalizacji tzw. „wąskiego gardła” serwera. Do monitorowania stanu zabezpieczeo można użyd darmowego narzędzia Microsoft Baseline Security Analizer. W kolejnym kroku należy zaplanowad wykonywanie kopii zapasowej. Należy rozważyd, z jaką częstotliwością wykonywad kopię zapasową oraz jaki zastosowad typ kopii. Do zarządzania wykonywanie kopii bezpieczeostwa możemy użyd programu Windows Backup. Należy pamiętad, że do wykonywania kopii upoważnieni są administratorzy systemowi oraz użytkownicy należący do grupy Backup Operators. Technologia Volume Shadow Copy Service oraz blokowego zapisu pozwala na skuteczne archiwizowanie i przywracanie z kopii zapasowych danych całego systemu operacyjnego lub też poszczególnych plików, folderów bądź woluminów. Po zapisaniu pierwszej pełnej kopii, narzędzie Backup automatycznie tworzy następne kopie w trybie przyrostowym (zapisywane są tylko dane zmienione od poprzedniej sesji archiwizacyjnej). Jako docelowe miejsce składowania kopii zapasowej można wybrad omawiane wcześnie repozytorium NAS. 3) Użytkownicy. Zagrożenia bezpieczeostwa mają różną naturę. Mogą byd najzupełniej przypadkowe lub powstad w efekcie celowego działania. Mogą wynikad z nieświadomości lub naiwności użytkownika, bądź też mogą byd motywowane chęcią zysku, poklasku lub odwetu. Mogą pochodzid z zewnątrz systemu lub od jego środka [6]. Statystyki pokazują, że najczęściej naruszenie zasad bezpieczeostwa systemu informatycznego pochodzi z jego wnętrza. To pracownicy najczęściej są przyczyną 22 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego wystąpienia podatności, które są wykorzystywane przez zagrożenia, generujące dla firmy straty. W celu zachowania wymaganego bezpieczeostwa systemu informatycznego, należy płożyd duży nacisk na dostosowanie poziomu wiedzy użytkowników systemu do zaplanowanego poziomu bezpieczeostwa. Pracownicy, również ci korzystający ze stanowisk komputerowych sporadycznie, powinni posiadad podstawową wiedzę na temat różnego rodzaju zagrożeo, które mogą spotkad podczas użytkowania komputerów oraz podczas pracy z klientem. Aspekty, które należy podnieśd podczas szkolenia: • wiedza na temat wrażliwych danych w firmie. Pracownicy, zajmujący się poszczególnymi zadaniami powinni posiadad wiedzę na temat danych, które przetwarzają. Umiejętnośd określenia ważności tych danych z punktu widzenia działania firmy, pozwoli na bezpieczne ich przetwarzanie oraz na nieujawnienie w sytuacjach nietypowych (np. zaskakujące pytanie dotyczące informacji niejawnej podczas rozmowy telefonicznej). podstawowa wiedza o zagrożeniach w sieci: fałszywe strony, podejrzane strony (mogące zawierad złośliwy kod), phishing, wirusy, certyfikaty i szyfrowanie (dane w formularzach), strony bankowe (lub inne bezpieczne). Umiejętnośd bezpiecznego korzystania z sieci jest niezbędna, aby zachowad integralnośd bezpieczeostwa systemu informatycznego firmy. Wiedza na temat sposobów wyłudzania informacji przez Internet, sposoby infekcji komputera szkodliwym oprogramowaniem, czy też bezpiecznego korzystania ze stron bankowych nie jest specjalistyczna, a może mied bardzo duże znaczenie w sytuacji zagrożenia. klient w firmie (dokumenty, serwer, sied) klient przez telefon (co mogę powiedzied) Ustawa o ochronie danych osobowych Bardzo ważnym aspektem jest umiejętnośd ochrony danych w firmie w czasie bezpośredniej wizyty klienta, lub podczas rozmowy telefonicznej. Stosowane przez intruzów metody socjotechniczne mogą byd bardzo wyrafinowane i tylko wyszkolenie oraz wiedza na temat wrażliwych danych w firmie może zapobiec wyciekowi informacji. Podczas wizyty w 23 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego firmie, nieznany klient nie powinien pozostad bez dyskretnej opieki. Możliwośd bezpośredniego dostępu do sprzętu komputerowego czy dokumentów firmy może nieśd za sobą bardzo groźne następstwa. Należy także pamiętad o aspektach prawnych ujawnienia danych (np. osobowych). Wyciek danych może spowodowad bardzo wysokie sankcje prawne dla kierownictwa firmy. Ewakuacja – co zabrad? kopia danych (NAS), dokumenty papierowe. Należy mied także przygotowany scenariusz na wypadek ewakuacji firmy. Pożar, zalanie wodą, alarmy wszelkiego rodzaju, wszystko to może spowodowad nieodwracalne zniszczenia systemu informatycznego. Należy przewidzied, jakie części tego systemu powinny zostad ochronione w przypadku, gdy zagrożenie umożliwia zabezpieczenie ich w czasie alarmu. Należy także przewidzied sytuację, w której cały system informatyczny wewnątrz firmy ulegnie zniszczeniu. Co jest potrzebne do wznowienia działalności firmy? Czy wrażliwe dane nie uległy zniszczeniu? Jak odtworzyd strukturę systemu informatycznego, aby rozpocząd świadczenie usług? Na te pytania należy odpowiedzied i znad procedurę postępowania w zależności od zagrożenia. Okresowe szkolenia (ugruntowanie wiedzy i zachowao) Dla zachowania odpowiedniego poziomu świadomości personelu, należy okresowo powtarzad szkolenia. 9. Podsumowanie Rozważając kwestie bezpieczeostwa można pokusid się o sformułowanie kilku truizmów [7]: 1) Nie istnieje bezpieczeostwo absolutne. Wiąże się to z wieloma przyczynami. Jedną z nich jest fakt, iż nigdy nie jesteśmy w stanie przewidzied z góry wszystkich możliwych zagrożeo, tym bardziej, że często należy opracowywad zabezpieczenia z odpowiednim wyprzedzeniem. Szybki rozwój technologii informatycznych implikuje powstawanie coraz to nowych zagrożeo. Czas reakcji na nie 24 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego nigdy nie jest zerowy i w związku z tym nawet dla najlepiej opracowanego systemu zabezpieczeo istnieje ryzyko powstania okresu dezaktualizacji zastosowanych mechanizmów bezpieczeostwa. Innym istotnym powodem niemożliwości osiągnięcia 100% bezpieczeostwa jest ludzka słabośd, w szczególności omylnośd projektantów, programistów, użytkowników systemów informatycznych, skutkująca błędami w oprogramowaniu systemowym i aplikacyjnym oraz niewłaściwym lub niefrasobliwym jego wykorzystaniu. Skoro, zatem nie mamy 100% bezpieczeostwa, jaki jego poziom można uznad za zadowalający? Wydaje się, że najwłaściwszą odpowiedzią na to pytanie jest – taki, który okaże się dla atakującego na tyle trudny do sforsowania, wymagając operacji żmudnych lub czasochłonnych, iż uczyni jego atak nieatrakcyjnym lub nieekonomicznym (lub oczywiście nieopłacalnym wg innego kryterium obranego przez atakującego). 2) Napastnik na ogół nie pokonuje zabezpieczeo, tylko je obchodzi. Przeprowadzenie skutecznego ataku na jakikolwiek aktywny mechanizm zabezpieczeo jest raczej czasochłonne i stosowane tylko w ostateczności. Zwykle mniej kosztowne i szybsze jest znalezienie luki w środowisku systemu informatycznego, zabezpieczanego owym mechanizmem niż łamanie jego samego. 3) Nie należy pokładad zaufania w jednej linii obrony. Obejście aktywnego mechanizmu zabezpieczeo często bywa możliwe i może istotnie narażad bezpieczeostwo całego systemu. W związku z tym, naturalną konsekwencją tego jest konstruowanie wielopoziomowych zabezpieczeo poprzez budowanie kolejnych swoistych „linii obrony", z których każda po przejściu poprzedniej stanowid będzie, przynajmniej potencjalnie, kolejną zaporę dla atakującego. 4) Złożonośd jest najgorszym wrogiem bezpieczeostwa. Skomplikowane systemy są trudne do opanowania, również pod względem bezpieczeostwa. Istotnym usprawnieniem zarządzania systemem jest jego modularna konstrukcja, dająca szansę na zwiększenie kontroli nad konfiguracją i funkcjonowaniem systemu. Dotyczy to również wielopoziomowych zabezpieczeo. 5) System dopóty nie jest bezpieczny, dopóki nie ma pewności, że jest. Bardzo łatwo popełnid błąd zakładając zupełnie inaczej – gdy brakuje odnotowanych symptomów, iż bezpieczeostwo systemu zostało naruszone, zdaje nam się, że wszystko jest w porządku. Należy jednak pamiętad, że zaobserwowanie ataku nie jest łatwe nawet 25 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego w systemie poprawnie monitorowanym. Ponadto symptomy ataku zwykle występują dopiero po jego zakooczeniu, kiedy to może byd już za późno by przeprowadzad akcję przeciwdziałającą, kiedy ucierpiały już newralgiczne składniki systemu, poufne dane lub reputacja firmy. 6) Okresowe szkolenia kadry pracowniczej są niezbędne dla zachowania założonego poziomu bezpieczeostwa systemu informatycznego. Praca w tych samych warunkach przez długi czas, gdy nie nadchodzi żadne zagrożenie prowadzi do zacierania się wiedzy, którą pracownicy zdobywają podczas szkolenia. Wyuczone nawyki przestają funkcjonowad, pracownicy wpadają w rutynę. Powstają nowe, wcześniej nieprzewidziane (ze względu na losowy charakter zachowao ludzkich) podatności w działającym systemie. Tak sytuacja prędzej czy później prowadzi do wystąpienia zagrożeo wykorzystujących te podatności. Powtarzane okresowo szkolenia zezwalają na wyeliminowanie tego typu zjawisk. 26 | S t r o n a Projekt „Akademia Przedsiębiorczości Klastra NTHills” jest współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego 10.Literatura 1. Adamczewski P., Stefanowski J., Nowoczesne systemy informatyczne dla małych i średnich przedsiębiorstw, Wyższa Szkoła Bankowa w Poznaniu, Poznao 2006 2. Białas A., Bezpieczeostwo informacji i usług w nowoczesnej instytucji i firmie, WNT 2007, 3. Garfinkel S., Practical Unix and Internet Security, II ed., O'Reilly, 2003 4. Johansson J.M.,Windows Server 2008 Security, MS Press 2008 5. Kisielnicki J., Sroka H., Systemy informacyjne biznesu. Informatyka dla zarządzania, Placet, Warszawa 2005 6. Stokłosa J., Bilski T, Pankowski T., Bezpieczeostwo danych w systemach informatycznych, PWN, Warszawa 2001 7. Szychowiak M., Bezpieczeostwo systemów komputerowych, wykład, Politechnika Poznaoska 27 | S t r o n a