- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (87)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (41)
- Dodavatelé CRM (37)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (63)
- Informační bezpečnost (43)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údržby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranžové sekce
 | Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | |
| ||
Partneři webu
IT SYSTEMS 4/2005
Bezpečnost dat v praxi
Bezpečnost dat bez ochrany/zabezpečení ve formě řízení přístupu je srovnatelná s šancí nevidomého přejít bez úhony za pomoci svého vodícího psa za plného provozu dálnici. Přesto je v laické praxi význam ochrany dat podceňován a lidé se uchylují ke slepé víře v schopnosti jim dostupných technologií. Reálná hodnota dat bývá jejich vlastníkem doceněna až při jejich neautorizovaném využití, zničení nebo momentální, či trvalé nedostupnosti.
Pro zabezpečení dat je nutné znát jejich cenu, dokázat ohodnotit rizika a mít ochotu investovat do protiopatření. Bezpečnost lze definovat jako zajištěnost proti hrozbám, minimalizaci rizik a komplex administrativních, technických, logických a fyzických opatření pro prevenci a detekci neautorizovaného využití dat. I z tohoto důvodu je nutné si vymezit rámec, který má na bezpečnost dat zásadní vliv, kde bezpečnost v informačním prostředí lze zjednodušeně rozdělit na následující domény:
· komunikační bezpečnost - ochranu přenášených dat a zamezování nežádoucího datového provozu,
· fyzickou bezpečnost - ochranu před přírodními hrozbami, jako je například požár, a fyzickými útočníky, například zábranou, detektory pohybu atp.,
· personální bezpečnost - ochranu před vnitřními útočníky již při náboru, během jejich práce i po skončení pracovního poměru,
· bezpečnost informačních systémů a technologií - ochranu infratsruktury informačních systémů uchovávající data v elektronické podobě proti relevantním hrozbám typu neuatorizovaný přístup, malidní software (viry, trojské koně), výpadky systému apod.
Základní bezpečnostní atributy v těchto doménách jsou:
· důvěrnost - prevence neautorizovaného vyzrazení dat,
· integrita - prevence neautorizované úpravy dat,
· dostupnost - prevence ztráty přístupu k datům.
Výše uvedené základní bezpečnostní atributy se následně mohou jemněji dělit i na další, jako je například autentičnost, odpovědnost, nepopiratelnost nebo spolehlivost. V článku se však jimi nebudeme zabývat a dále se pro účely diskuse soustředíme na výše uvedené atributy ochrany dat.
Důvěrnost
Důvěrnost je zajištěna schopností ujistit se, že je vynucena nezbytná úroveň míry utajení v každém okamžiku, kdy dochází ke zpracování dat a je zajištěna prevence jejich neautorizovaného vyzrazení. Taková úroveň důvěrnosti by měla přetrvat jak během uchovávání dat v systémech, tak při jejich přenosu nebo po předání adresátovi. Různé situace vedoucí k porušení důvěrnosti mohou nastat například v průběhu útoku, kdy budou překonány mechanismy zajišťující důvěrnost sledováním síťového provozu, odpozorováním stisků kláves přes rameno či z dat na obrazovce, krádeží nebo třeba sociálním inženýrstvím. Důvěrnost může být dále porušena v situaci, kdy uživatelé například záměrně, nebo svojí chybou vyzradí citlivou informaci tím, že ji nezašifrují před odesláním jiné osobě, podlehnou sociálnímu inženýrství a svěří obchodní tajemství nebo opomenou zvláštní opatření při zpracování citlivých dat.
Integrita
Integrita je udržena, když je zajištěno, že data jsou přesná, se zaručeným obsahem a jsou provedena opatření proti jejich neautorizované změně. Hardwarové, softwarové a komunikační prostředky musí pracovat tak, aby data uchovávaly a zpracovávaly správně a přesně, přenášely je do požadovaného cíle bez nežádoucích změn. Systémy a síť musí být chráněny před vnějším rušením či kontaminací původní informace. Integrita může být útočníkem narušena například počítačovým virem, pomocí trojského koně, tj. podvrženého programu či aplikace, jež se chová korektně pouze navenek, zadními vrátky do systému, tzv. back door metoda, což může vést k následné kontaminaci původních dat. Rovněž uživatelé mohou narušit integritu vlastní chybou, či zlomyslností, a to například smazáním důležitých konfiguračních souborů při uvolňování použitého místa na disku nebo mylným, či úmyslným zadáním cifer v účetnictví atp.
Dostupnost
Zapříčinění nedostupnosti dat je populární metodou útočníků, kteří se tak snaží ovlivnit produktivitu, či daný systém zcela vyřadit z provozu. Proto musí být dostupnost zajištěna spolehlivou a včasnou dispozicí dat a zdrojů autorizovaným jednotlivcům. Informační systémy a sítě musí mít datovou kapacitu dimenzovanou tak, aby v definovaném čase poskytovaly dostatečný výkon, musí být schopny zotavit se z výpadků transparentním a rychlým způsobem, aby nebyla negativně narušena produktivita. Dále musí být omezena úzká místa, zavedeny redundantní mechanismy. Dostupnost může být například narušena chybou v zařízení či chybou v software, proto se využívají jak záložní zařízení pro možnost rychlé náhrady kritických systémů, tak i proškolení zaměstnanců k provedení náležitého zásahu pro uvedení systému do funkčního stavu.
Běžná denní praxe
S problematikou bezpečnosti dat se často nevědomky setkáváme při každodenních činnostech. V praxi nechráníme pouze soubory, ale i jiné formy dat. Například když jdeme na koncert do tlačenice, bereme s sebou minimum potřebných dokladů, v dopravních špičkách v MHD dáváme pozor na kapsáře, při výběru z bankomatu se snažíme zadat PIN, aniž by jej někdo mohl odpozorovat atp. Přesto může nastat situace, kdy dojde ke ztrátě, respektive cizímu zneužití chráněných údajů, což bývá způsobeno tím, že hrozby a rizika se mění s technologickým pokrokem a novými postupy. Pokrok bývá využíván v pozitivním směru, ale nové technologie a postupy jsou často zneužity i k negativním záměrům. Absolutní eliminace rizik tak není možná. Ochrana dat pouze snižuje pravděpodobnost úspěchu útoku, tj. útočník například musí vynakládat nesrovnatelně více prostředků k dosažení cíle.
Co s tím - možná protiopatření
Je třeba nastavit žádoucí míru ochrany datových aktiv tak, aby veškerá rizika byla pokud možno minimalizována. Slabiny v ochraně dat se označují jako zranitelná místa. Hrozbou se označuje možnost využít zranitelné místo k narušení integrity, důvěrnosti nebo dostupnosti datových aktiv. Hrozby lze kategorizovat jako úmyslné, náhodné nebo přírodního charakteru (tab. 1).
Tab. 1
Protiopatření mohou být administrativní, fyzická či logická. Podle okamžiku uplatnění je lze kategorizovat jako: · preventivní - odstraňující zranitelná místa, · heuristická - potenciálně snižující riziko dané nějakou hrozbou, · detekční a opravná - detekují pokus o datový podvod a minimalizují účinky zjištěného útoku.
Rizikem rozumíme pravděpodobnost zneužití zranitelného místa a následného dopadu tohoto zneužití. Existence hrozby představuje riziko. Aby bylo možno data náležitě chránit, je třeba provést tzv. analýzu rizik, ve které je nutné zodpovědět otázky typu: Co se má chránit a proti čemu? Jaké jsou priority ochrany? Jakákoliv změna hrozeb, aktiv, zranitelností a ochranných opatření může rizika významně ovlivnit. Z toho mimo jiné plyne, že v praxi je zajišťování bezpečnosti dat neustálým procesem. Následující odstavce ukazují, jaká protiopatření se používají k zajištění základních atributů ochrany dat.
Ochrana důvěrnosti
Důvěrnost se zajišťuje převážně prostřednictvím šifrování: · symetrickou kryptografií, · asymetrickou kryptografií.
Šifrování se může provádět při ukládání dat nebo jejich přenosu. V praxi se například používá software typu Pretty Good Privacy (PGP) nebo komplexní řešení v podobě vybudování tzv. infrastruktury veřejných klíčů PKI, například prostřednictvím produktu Entrust PKI. Za jistých podmínek lze důvěrnosti docílit i pouhým řízením přístupu k datům - fyzickým, či logickým, kde přístupové seznamy definují autorizaci přístupu daného subjektu. V praxi se používají tyto modely řízení přístupu nebo jejich kombinace: · mandatory access control (MAC) - subjekty nemají velké šance ovlivnit přístup k jejich datům, definuje je management/správce a vynucuje operační systém či daná technologie, · discretionary access control DAC - vlastník zdroje může specifikovat, co nebo kdo má k němu přístup, · role based access control RBAC - funkční role má definována potřebná práva a subjektu je pouze přidělena daná role.
Při ochraně důvěrnosti je rovněž důležitým prvkem spolehlivé ověřování subjektů přistupujících k datům, v praxi tuto roli po technické stránce velmi dobře zajišťuje například autentizační systém Kerberos nebo parametry PKI.
Ochrana integrity
Zabezpečuje se většinou prostřednictvím mechanismů digitálního podpisu, tj. opět další základní funkcionalitou obsaženou v řešení na bázi PGP, OpenSSL nebo Entrust PKI. Za určitých podmínek ji zajišťuje i výše zmíněné řízení přístupu nebo také prostředky umožňující vrácení se k předchozímu stavu dat před chybou uživatele, havárii či útoku. Dále lze jako podpůrné prostředky pro zachování integrity využít antivirový software, desktop firewally atp. Překvapivě i šifrování dat může kromě zajištění důvěrnosti zamezit rovněž jejich nežádoucí modifikaci při přenosu, kdy narušení obsahu šifrované informace vede po dešifrování ke kolizním výsledkům.
Ochrana dostupnosti
Data jsou nejčastěji zpracovávána v elektronické podobě a přístup k nim umožňují aplikace, které běží na daném operačním systému a příslušném hardware. Dostupnost se pak zajišťuje nejen zřizováním on-line kopií či off-line záloh, rezervními zdroji, ale i robustností software a operačního systému a hardware hostitelského systému, který umožňuje provoz aplikací.
Autor článku, Pavel Marťák, působí ve společnosti Hewlett-Packard.
Pro zabezpečení dat je nutné znát jejich cenu, dokázat ohodnotit rizika a mít ochotu investovat do protiopatření. Bezpečnost lze definovat jako zajištěnost proti hrozbám, minimalizaci rizik a komplex administrativních, technických, logických a fyzických opatření pro prevenci a detekci neautorizovaného využití dat. I z tohoto důvodu je nutné si vymezit rámec, který má na bezpečnost dat zásadní vliv, kde bezpečnost v informačním prostředí lze zjednodušeně rozdělit na následující domény:
· komunikační bezpečnost - ochranu přenášených dat a zamezování nežádoucího datového provozu,
· fyzickou bezpečnost - ochranu před přírodními hrozbami, jako je například požár, a fyzickými útočníky, například zábranou, detektory pohybu atp.,
· personální bezpečnost - ochranu před vnitřními útočníky již při náboru, během jejich práce i po skončení pracovního poměru,
· bezpečnost informačních systémů a technologií - ochranu infratsruktury informačních systémů uchovávající data v elektronické podobě proti relevantním hrozbám typu neuatorizovaný přístup, malidní software (viry, trojské koně), výpadky systému apod.
Základní bezpečnostní atributy v těchto doménách jsou:
· důvěrnost - prevence neautorizovaného vyzrazení dat,
· integrita - prevence neautorizované úpravy dat,
· dostupnost - prevence ztráty přístupu k datům.
Výše uvedené základní bezpečnostní atributy se následně mohou jemněji dělit i na další, jako je například autentičnost, odpovědnost, nepopiratelnost nebo spolehlivost. V článku se však jimi nebudeme zabývat a dále se pro účely diskuse soustředíme na výše uvedené atributy ochrany dat.
Důvěrnost
Důvěrnost je zajištěna schopností ujistit se, že je vynucena nezbytná úroveň míry utajení v každém okamžiku, kdy dochází ke zpracování dat a je zajištěna prevence jejich neautorizovaného vyzrazení. Taková úroveň důvěrnosti by měla přetrvat jak během uchovávání dat v systémech, tak při jejich přenosu nebo po předání adresátovi. Různé situace vedoucí k porušení důvěrnosti mohou nastat například v průběhu útoku, kdy budou překonány mechanismy zajišťující důvěrnost sledováním síťového provozu, odpozorováním stisků kláves přes rameno či z dat na obrazovce, krádeží nebo třeba sociálním inženýrstvím. Důvěrnost může být dále porušena v situaci, kdy uživatelé například záměrně, nebo svojí chybou vyzradí citlivou informaci tím, že ji nezašifrují před odesláním jiné osobě, podlehnou sociálnímu inženýrství a svěří obchodní tajemství nebo opomenou zvláštní opatření při zpracování citlivých dat.
Integrita
Integrita je udržena, když je zajištěno, že data jsou přesná, se zaručeným obsahem a jsou provedena opatření proti jejich neautorizované změně. Hardwarové, softwarové a komunikační prostředky musí pracovat tak, aby data uchovávaly a zpracovávaly správně a přesně, přenášely je do požadovaného cíle bez nežádoucích změn. Systémy a síť musí být chráněny před vnějším rušením či kontaminací původní informace. Integrita může být útočníkem narušena například počítačovým virem, pomocí trojského koně, tj. podvrženého programu či aplikace, jež se chová korektně pouze navenek, zadními vrátky do systému, tzv. back door metoda, což může vést k následné kontaminaci původních dat. Rovněž uživatelé mohou narušit integritu vlastní chybou, či zlomyslností, a to například smazáním důležitých konfiguračních souborů při uvolňování použitého místa na disku nebo mylným, či úmyslným zadáním cifer v účetnictví atp.
Dostupnost
Zapříčinění nedostupnosti dat je populární metodou útočníků, kteří se tak snaží ovlivnit produktivitu, či daný systém zcela vyřadit z provozu. Proto musí být dostupnost zajištěna spolehlivou a včasnou dispozicí dat a zdrojů autorizovaným jednotlivcům. Informační systémy a sítě musí mít datovou kapacitu dimenzovanou tak, aby v definovaném čase poskytovaly dostatečný výkon, musí být schopny zotavit se z výpadků transparentním a rychlým způsobem, aby nebyla negativně narušena produktivita. Dále musí být omezena úzká místa, zavedeny redundantní mechanismy. Dostupnost může být například narušena chybou v zařízení či chybou v software, proto se využívají jak záložní zařízení pro možnost rychlé náhrady kritických systémů, tak i proškolení zaměstnanců k provedení náležitého zásahu pro uvedení systému do funkčního stavu.
Běžná denní praxe
S problematikou bezpečnosti dat se často nevědomky setkáváme při každodenních činnostech. V praxi nechráníme pouze soubory, ale i jiné formy dat. Například když jdeme na koncert do tlačenice, bereme s sebou minimum potřebných dokladů, v dopravních špičkách v MHD dáváme pozor na kapsáře, při výběru z bankomatu se snažíme zadat PIN, aniž by jej někdo mohl odpozorovat atp. Přesto může nastat situace, kdy dojde ke ztrátě, respektive cizímu zneužití chráněných údajů, což bývá způsobeno tím, že hrozby a rizika se mění s technologickým pokrokem a novými postupy. Pokrok bývá využíván v pozitivním směru, ale nové technologie a postupy jsou často zneužity i k negativním záměrům. Absolutní eliminace rizik tak není možná. Ochrana dat pouze snižuje pravděpodobnost úspěchu útoku, tj. útočník například musí vynakládat nesrovnatelně více prostředků k dosažení cíle.
Co s tím - možná protiopatření
Je třeba nastavit žádoucí míru ochrany datových aktiv tak, aby veškerá rizika byla pokud možno minimalizována. Slabiny v ochraně dat se označují jako zranitelná místa. Hrozbou se označuje možnost využít zranitelné místo k narušení integrity, důvěrnosti nebo dostupnosti datových aktiv. Hrozby lze kategorizovat jako úmyslné, náhodné nebo přírodního charakteru (tab. 1).
Tab. 1
Protiopatření mohou být administrativní, fyzická či logická. Podle okamžiku uplatnění je lze kategorizovat jako: · preventivní - odstraňující zranitelná místa, · heuristická - potenciálně snižující riziko dané nějakou hrozbou, · detekční a opravná - detekují pokus o datový podvod a minimalizují účinky zjištěného útoku.
Rizikem rozumíme pravděpodobnost zneužití zranitelného místa a následného dopadu tohoto zneužití. Existence hrozby představuje riziko. Aby bylo možno data náležitě chránit, je třeba provést tzv. analýzu rizik, ve které je nutné zodpovědět otázky typu: Co se má chránit a proti čemu? Jaké jsou priority ochrany? Jakákoliv změna hrozeb, aktiv, zranitelností a ochranných opatření může rizika významně ovlivnit. Z toho mimo jiné plyne, že v praxi je zajišťování bezpečnosti dat neustálým procesem. Následující odstavce ukazují, jaká protiopatření se používají k zajištění základních atributů ochrany dat.
Ochrana důvěrnosti
Důvěrnost se zajišťuje převážně prostřednictvím šifrování: · symetrickou kryptografií, · asymetrickou kryptografií.
Šifrování se může provádět při ukládání dat nebo jejich přenosu. V praxi se například používá software typu Pretty Good Privacy (PGP) nebo komplexní řešení v podobě vybudování tzv. infrastruktury veřejných klíčů PKI, například prostřednictvím produktu Entrust PKI. Za jistých podmínek lze důvěrnosti docílit i pouhým řízením přístupu k datům - fyzickým, či logickým, kde přístupové seznamy definují autorizaci přístupu daného subjektu. V praxi se používají tyto modely řízení přístupu nebo jejich kombinace: · mandatory access control (MAC) - subjekty nemají velké šance ovlivnit přístup k jejich datům, definuje je management/správce a vynucuje operační systém či daná technologie, · discretionary access control DAC - vlastník zdroje může specifikovat, co nebo kdo má k němu přístup, · role based access control RBAC - funkční role má definována potřebná práva a subjektu je pouze přidělena daná role.
Při ochraně důvěrnosti je rovněž důležitým prvkem spolehlivé ověřování subjektů přistupujících k datům, v praxi tuto roli po technické stránce velmi dobře zajišťuje například autentizační systém Kerberos nebo parametry PKI.
Ochrana integrity
Zabezpečuje se většinou prostřednictvím mechanismů digitálního podpisu, tj. opět další základní funkcionalitou obsaženou v řešení na bázi PGP, OpenSSL nebo Entrust PKI. Za určitých podmínek ji zajišťuje i výše zmíněné řízení přístupu nebo také prostředky umožňující vrácení se k předchozímu stavu dat před chybou uživatele, havárii či útoku. Dále lze jako podpůrné prostředky pro zachování integrity využít antivirový software, desktop firewally atp. Překvapivě i šifrování dat může kromě zajištění důvěrnosti zamezit rovněž jejich nežádoucí modifikaci při přenosu, kdy narušení obsahu šifrované informace vede po dešifrování ke kolizním výsledkům.
Ochrana dostupnosti
Data jsou nejčastěji zpracovávána v elektronické podobě a přístup k nim umožňují aplikace, které běží na daném operačním systému a příslušném hardware. Dostupnost se pak zajišťuje nejen zřizováním on-line kopií či off-line záloh, rezervními zdroji, ale i robustností software a operačního systému a hardware hostitelského systému, který umožňuje provoz aplikací.
Autor článku, Pavel Marťák, působí ve společnosti Hewlett-Packard.
Prostředky ochrany dat v často užívaných operačních systémem
Z pohledu důvěrnosti:
· Windows - v základní funkcionalitě poskytují důvěrnost lokálních dat prostřednictvím tzv. Encrypted File System (EFS), dále zahrnují sofistikovaný systém řízení přístupu typu DAC - přidělování práv nejen k souborům a adresářům. Ověřování uživatelů zde lze provádět prostřednictvím systému Kerberos i rozšíření Public Key Cryptography for Initial Authentication (PKINIT). Síťová vrstva podporuje IP Security Protocol (IPSec). Dodatečně lze rozšířit mechanismy řízení přístupu i stávající kryptografické funkce například prostřednictvím sady produktů HP ProtectTools. Šifrování na širší úrovni použití lze dosáhnout například PKI řešením firmy Entrust nebo na jisté úrovni prostřednictvím PGP.
· Unix - komerční unixové systémy disponují rovněž vhodnými modely řízení přístupu typu DAC i MAC, umožňují použití různých autentizačních modulů, které poskytují například Kerberos, PKINIT, přístup k HW tokenům atp. Systémová jádra mohou poskytovat dokonce volitelné stupně ochrany aplikací a procesů. Dodatečně lze opět používat software typu Entrust PKI, PGP. Existuje také řada bezpečnostních doplňků, jako například Bastille pro HP-UX či Linux. V Linuxu dále Linux Intrusion Detection System (LIDS). Rule Set Access Control (RSBAC) nebo Security Enhanced Linux (SELinux), které kromě jiného rozšiřují standardní modely řízení přístupu.
Z pohledu integrity:
· Windows - chrání integritu procesů mechanismem "security contextů", systém částečně umožňuje filtrovat síťový provoz a v jistých případech integritu brání systémem řízení přístupu. Dodatečně se integrita dat zajišťuje převážně prostředky PKI či softwarem typu PGP, dále se pro filtrování nežádoucího datového provozu do systému přidává Kerio Personal Firewall, různé antivirové programy a virové štíty
· Unix - unixové systémy umožňují filtrovat síťový provoz, poskytují dobré prostředky pro monitorování prováděných operací a potenciálních pokusů o útok. Umožňují omezení počtu nutných služeb pro provoz systému na minimum a spouštění procesů s velmi omezenými právy. Software typu PGP, Entrust či OpenSSL zde opět poskytuje integritu i na vyšší úrovni. V Linuxu opět pomáhá zajistit integritu SELinux, LIDS či RSBAC.
Z pohledu dostupnosti:
· Windows - dostupnost zajišťují spíše širokou škálou podporovaného hardware, například prostřednictvím podpory řadičů diskových polí, ale také schopností jednoduše připojit nový hardware, kterým může být třeba záložní linka. Systém také umožňuje automatický restart vybraných služeb v případě jejich selhání. Zálohování dat se řeší většinou systémem Legato Networker či třeba systémem Bacula a dostupnost služeb je kontrolovaná například systémem Nagios nebo HP OpenView.
· Unix - unixové systémy umožňují použití žurnálových souborových systémů. Podporují pole disková i softwarově emulovaná. Služby mohou být jednoduše replikovány. Základní doplňkový software pro zálohování a dostupnost služeb je typově stejný jako pro Windows.
Z pohledu důvěrnosti:
· Windows - v základní funkcionalitě poskytují důvěrnost lokálních dat prostřednictvím tzv. Encrypted File System (EFS), dále zahrnují sofistikovaný systém řízení přístupu typu DAC - přidělování práv nejen k souborům a adresářům. Ověřování uživatelů zde lze provádět prostřednictvím systému Kerberos i rozšíření Public Key Cryptography for Initial Authentication (PKINIT). Síťová vrstva podporuje IP Security Protocol (IPSec). Dodatečně lze rozšířit mechanismy řízení přístupu i stávající kryptografické funkce například prostřednictvím sady produktů HP ProtectTools. Šifrování na širší úrovni použití lze dosáhnout například PKI řešením firmy Entrust nebo na jisté úrovni prostřednictvím PGP.
· Unix - komerční unixové systémy disponují rovněž vhodnými modely řízení přístupu typu DAC i MAC, umožňují použití různých autentizačních modulů, které poskytují například Kerberos, PKINIT, přístup k HW tokenům atp. Systémová jádra mohou poskytovat dokonce volitelné stupně ochrany aplikací a procesů. Dodatečně lze opět používat software typu Entrust PKI, PGP. Existuje také řada bezpečnostních doplňků, jako například Bastille pro HP-UX či Linux. V Linuxu dále Linux Intrusion Detection System (LIDS). Rule Set Access Control (RSBAC) nebo Security Enhanced Linux (SELinux), které kromě jiného rozšiřují standardní modely řízení přístupu.
Z pohledu integrity:
· Windows - chrání integritu procesů mechanismem "security contextů", systém částečně umožňuje filtrovat síťový provoz a v jistých případech integritu brání systémem řízení přístupu. Dodatečně se integrita dat zajišťuje převážně prostředky PKI či softwarem typu PGP, dále se pro filtrování nežádoucího datového provozu do systému přidává Kerio Personal Firewall, různé antivirové programy a virové štíty
· Unix - unixové systémy umožňují filtrovat síťový provoz, poskytují dobré prostředky pro monitorování prováděných operací a potenciálních pokusů o útok. Umožňují omezení počtu nutných služeb pro provoz systému na minimum a spouštění procesů s velmi omezenými právy. Software typu PGP, Entrust či OpenSSL zde opět poskytuje integritu i na vyšší úrovni. V Linuxu opět pomáhá zajistit integritu SELinux, LIDS či RSBAC.
Z pohledu dostupnosti:
· Windows - dostupnost zajišťují spíše širokou škálou podporovaného hardware, například prostřednictvím podpory řadičů diskových polí, ale také schopností jednoduše připojit nový hardware, kterým může být třeba záložní linka. Systém také umožňuje automatický restart vybraných služeb v případě jejich selhání. Zálohování dat se řeší většinou systémem Legato Networker či třeba systémem Bacula a dostupnost služeb je kontrolovaná například systémem Nagios nebo HP OpenView.
· Unix - unixové systémy umožňují použití žurnálových souborových systémů. Podporují pole disková i softwarově emulovaná. Služby mohou být jednoduše replikovány. Základní doplňkový software pro zálohování a dostupnost služeb je typově stejný jako pro Windows.
Odkazy na některé z výše zmíněných prostředků:
www.pki-page.org/
www.gnupg.org/
www.pgpi.org/
www.openssl.org/
www.rsbac.org
www.bastille-linux.org
www.nsa.gov/selinux/
http://selinux.sourceforge.net/
www.insecure.org/tools.html
www.pki-page.org/
www.gnupg.org/
www.pgpi.org/
www.openssl.org/
www.rsbac.org
www.bastille-linux.org
www.nsa.gov/selinux/
http://selinux.sourceforge.net/
www.insecure.org/tools.html
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
IT Systems podporuje
| 4.3. | Kontejnery v praxi 2025 |
| 25.3. | IT Security Workshop |
| 31.3. | HANNOVER MESSE 2025 |
| 13.5. | Cloud Computing Conference 2025 |
| 27.5. | Kontajnery v praxi 2025 - Bratislava |
Formulář pro přidání akce
Další vybrané akce
| 26.2. | Webinář: Knowledge Work Automation: Klíč k moderní... |
| 10.4. | Konference ALVAO Inspiration Day 2025 |
