אבטחתמידע בסביבת האינטרנט רשימת הנושאים : עקרונות אבטחת מידע בגישה הקלאסית מורכבות סביבת המחשוב כיום מקורות האיום חוק הגנת הפרטיות ( רישום מאגרי מידע ) אבטחת מידע בסביבת האינטרנט הסיכונים הקיימים ברשת האינטרנט פתרונות אבטחת מידע - הרחבה
3.
? מהומידע הנכס העיקרי של ארגונים רבים לרוב - בלתי מוחשי
מורכבות סביבת המחשוב כיום מספר רב של מערכות הפעלה : Win 9x , Win NT /2000 , מערכות הפעלה Unix / Linux , ועוד מספר רב של פלטפורמות ( לא עוד מכונת M.F אחת ) מספר רב של שירותים נפוצים : HTTP,FTP,Telnet , ועוד מגוון ציוד תקשורת : Switches,Hubs,Routers, FireWall , RAS , ועוד קישור למספר רב של רשתות : Intranet (LAN) Extranet Internet connectivity Remote Access
מקורות האיום פגעיטבע ( חיצוניים \ פנימיים ) שגיאות והשמטות פעולות עוינות חיצוניות ומשולבות פגיעה מכוונת של עובדים
8.
הבעיות ?באגים ידועים במערכות ההפעלה ותוכנות התשתית “ דלתות אחוריות “ בתוכנות ( Sendmaill ,MSN ). שירותים לא בטוחים ( Rlogin, FTP,Telnet ). אדמיניסטרציה לקויה , ושימוש לא נכון בכלי האבטחה העומדים לרשותנו . האינטרנט הוא גן עדן להאקרים : ניתן למצוא כיום מאגרים של פרצות ידועות באתרים של פורצי מחשבים . ניתן להשיג כלים ממוכנים שמיועדים לעזור לפורץ במלאכתו . קיים שיתוף פעולה פורה בקהילת האקרים
9.
קצת סטטיסטיקה רובהסקרים שנערכו בשנים האחרונות מצביעות על 2 מגמות קבועות וברורות : - חלה עליה חדה במספר ניסיונות חדירה למערכות הארגון מגורמים חיצוניים - חלה עליה בניסיונות גישה בלתי מורשית מתוך הארגון למשאבים רגישים - אחוז מאוד קטן של חריגות אבטחת מידע באמת מתגלות “ More than 75 % of computer security breaches are due to the actions of insiders ” source:American Society for Industrial Security 1996 Survey
הגדרה : מאגר מידע כללי מאגרי מידע – איסוף נתוני מידע המוחזקים באמצעים אלקטרוניים ונתונים לעיבוד ממוחשב . מידע הנכלל במאגרים – נתונים על תכונותיהם , העדפותיהם , שיוכם , נטיותיהם , מעמדם , מצבת זכויותיהם , מצבם , דעותיהם ויתר מאפייניהם של אנשים . סוגי שימושים נפוצים במאגרי מידע : ממשלתיים – מנהליים - רשויות המנהל , גופים שלטוניים . ממשלתיים - ביטחוניים – רשויות בטחון , גופי חקירה , בטחון מסכל . בריאותיים – מאגרי מידע רפואיים , טיפוליים . פיננסים – נתוני אשראי , מצבת זכויות , היסטוריה עסקית . מחקריים – לצרכים אקדמיים , סטטיסטיים . מסחריים - שיווקיים – פרופיל צרכנים , נתוני רכישות , מצב כלכלי .
16.
רישום מאגרי מידע - פרק ב’ לחוק הגנת הפרטיות מאגר מידע – “אוסף נתוני מידע , המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד מחשב , למעט - 1) אוסף לשימוש אישי , שאינו למטרות עסק ; או 2) אוסף הכולל רק שם , מען ודרכי התקשרות , כשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו , ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף” מידע – “נתונים על אישיותו של אדם , מעמדו האישי , צנעת אישיותו , מצב בריאותו , מצבו הכלכלי , הכשרתו המקצועית , דעותיו ואמונותיו .” חובת רישום מאגרי מידע - ס’ 8 לחוק - מאגר הכולל רישום של מעל 10,000 איש או כולל מידע רגיש ( כהגדרתו בחוק ) או שהוא כולל מידע על אנשים שנמסר שלא מטעמם או בהסכמתם . 1. חובת שימוש במאגר המידע רק למטרה לשמה נרשם . 2. מאגר המידע מחויב באבטחת המידע .
17.
חוק הגנת הפרטיות נקודת המוצא – מאגרי מידע הם דבר יעיל ורצוי ויש בהם יתרונות מרובים ואולם בה - בעת יש לשמור על האינטרס של הפרט לפרטיות ולמנוע פגיעה בלתי סבירה בפרטיותו . חוק הגנת הפרטיות מסדיר בפרק ב ' לחוק את הנושא של מאגרי מידע . ( סעיף שזכה לשם “ חוק רישום מאגרים ” ) הבעיה העיקרית – היעדר אכיפה של הוראות החוק , הצורך בהתאמת החוק לשימושים הרווחים במאגרי מידע מסחריים באינטרנט .
18.
במידה “ופורצים” למאגרמידע המכיל “מידע רגיש” , והמאגר לא רשום כחוק ניתן לתבוע אותך ולא רק את הפורץ . העונשים בחוק מאפשרים הטלת עונש של 1-5 שנים על בעלי החברה ( או קנסות כבדים מאד ). כל ארגון מחויב למנות \ להסמיך מטעמו אחראי אבטחת מידע ( מנהל מאגרי מידע ) האחראי על המאגר , תוכנו , יישום חובת אבטחת מידע ורישומו כחוק . הרישום מתבצע מול רשמת מאגרי המידע , משרד המשפטים , ת”א . הרישום מחייב למלא דוח על כל מאגר המחייב רישום בארגונך ( שם המאגר , כמות רשומות , איזה מידע “רגיש” נשמר , פלטפורמה ( מערכת הפעלה \ ה Data Base עצמו ) , באיזה אמצעי אבטחה המאגר מוגן ( פיזית , לוגית , תקשורת ), האם המאגר “מחובר” לרשת ה Internet , מי אחראי על המאגר , ועוד . חוק הגנת הפרטיות - סעיף מאגרי מידע
19.
חוק הגנת הפרטיות ומה בעתיד ? – נדמה כי בעיית הפרטיות במידע תלך ותחריף . דוגמאות … חברות כרטיסי האשראי הודיעו על כניסתם לתחום כריית המידע – המחשב המרכזי של חברת כרטיסי האשראי יבנה פרופיל העדפות וצרכים של המשתמש והמידע יימכר ; הטלפון הסלולארי שיכול לאתר את מיקומך המדויק ישמש לשיווק ישיר מונחה - מיקום בהתאם למידע שנאגר לגביך ( ידוע לנו כי אתה אוהב פיצה , מיקומך 100 מ ' מהסניף של רשת פיצות , ניידע אותך על מבצעים ברשת ).
סקירה והתפתחות פרוטוקול TCP/IP בסוף שנות ה – 60 המחלקה לפרוייקטים מחקריים מתקדמים ( ARPA) חברה לחברות מחקר אזרחיות ולאוניברסיטאות במטרה ליצור טכנולוגיית תקשורת נתונים חדשה . כך שב 1969 הוקמה רשת ARPAnet - שהיא רשת מיתוג המנות הראשונה בעולם . כמות המשתמשים דאז בפרוטוקול TCP/IP מנה בקירוב ל 300 משתמשים . קלות השימוש בפרוטוקול , ודרישתם של משרד ההגנה האמריקאי לרכוש מערכות מחשבים אשר כוללים תמיכה בפרוטוקול TCP/IP גרמה ועידודה את הפיתוח המורחב והמואץ של פרוטוקול TCP/IP , הודות לפיתוח הנרחב חלה צמיחה עצומה בשימוש הנרחב באינטרנט וישומי WEB וכו ' כיום מהווה רשת האינטרנט כ – 300,000,000 מיליון משתמשים וכל יום מספר זה גודל באופן מסחרר .
מדיניות אבטחת שימושבאינטרנט הפרדה מהרשת הארגונית הגנה על הקישור בין הרשת הארגונית לאינטרנט הגנה על תחנות הקצה ניטור פעילות הארגון באינטרנט מניעת / סינון תוכן פעיל ( Anti Vandal , Anti Virus ) פתרונות - כללי
שרתי FIREWALL לסינון ומניעת חדירת גורמים לא מורשים מהאינטרנט או מכל רשת חיצונית אחרת סינון ברמת התקשורת סינון ברמת האפליקציה שילוב מערכות FireWall עם מערכות IDS פתרונות לאבטחת תקשורת חיצונית
33.
מערכות אוטנטיקציה להתקשרותמרחוק : שימוש בשרתי Remote Access Server ( חומרה ייעודית \ תוכנה ) שימוש במנגנוני CALL BACK מערכות \ שרתי אוטנטיקציה מרכזיים מחוללי סיסמאות כרטיסים חכמים מוצרי ביומטריה פתרונות לאבטחת תקשורת חיצונית
34.
הצפנה :GateWay to GateWay VPN Client to GateWay VPN - Remote Access יישום הצפנה לשרתי אינטרנט ( SSL, SET) הצפנה ברמת האפליקציה ( SSH, S/Telnet, S/MIME וכו’ ) הצפנה ברמת מערכת הקבצים הצפנה למערכות דואר אלקטרוני פתרונות לאבטחת תקשורת חיצונית
35.
36.
37.
38.
What is contentSecurity ? Java™, Active X™ , DLL , EXE Web Sites - HTTP E-mail Attachments - SMTP, MIME File Transfer - FTP E-Commerce פתרונות לאבטחת תקשורת חיצונית מערכות לסינון Active Content
39.
למה פותחו הוירוסים ??? הסברה אומרת שהוירוס הראשון קרה בטעות עקב עבודה על גיליון אלקטרוני . וירוסים פותחו כנשק תעשייתי בין מתחרים . היום , וירוסים מופצים ע " י מתכנתים אשר רוצים להביע את " חכמתם ובקיאותם " בשפות התכנות או סתם על מנת להרע לאחרים . וירוסים , Vandals ו Trojans מהווים היום גורם כבד משקל באבטחת המידע בארגון .
40.
סכנות הטמונות בוירוסים ! פגיעה בסודיות , זמינות ושלמות הנתונים . פגיעה בעבודה שוטפת . פגיעה במידע - מידע = כסף . פגיעה בזמינות הרשת כולה . פגיעה בפרטיות . גניבת מידע .
דרכי התגוננות !!! התקנת Anti Virus Clients בכל תחנות העבודה התקנת Anti Virus For GateWay יישום פתרונות Content Security שימוש ב – FireWall וב – DMZ עדכון קבצי חתימות באופן קבוע ומסודר בנוהל יישום מדיניות אבטחה הסברה והדרכה למשתמשים ברשת הפעלת Auditing מלא לכל פעילות חריגה
44.
פתרונות מערכותאנטי וירוס \ אנטי ואנדל ברמת ה GateWay יישום אנטי וירוס מערכתי ( שרת הפצה מרכזי ) מערכות אנטי וירוס ברמת התחנה הבודדת מערכות אנטי וירוס לשרתים מיוחדים : ( שרתי דואר , שרתי Data Base (
45.
Implementation by Gateway approach Intranet FireWall-1 Internet Router DMZ Segment Trusted Networks Public Accessible Networks & Servers Untrusted Networks Content Security Server
46.
פתרונות לאבטחת תקשורתפנימית מערכת ניהול הרשאות לוגית לכלל משאבי הרשת מערכות S ingle S ign O n שימוש במערכות אוטנטיקציה תוכנות הצפנה לקבצים רגישים / לבסיסי נתונים אנטי וירוס ברמת הרשת שילוב מערכות IDS ברשת הפנמית בקרה וניטור תקשורת פנמית תוכנות לניתוח לוגים וזיהוי מקרים חריגים
47.
פתרונות לאבטחת התחנההבודדת מערכות אוטנטיקציה מוצרים לבקרת גישה ל PC תוכנות להצפנת קבצים אנטי וירוס
![פרטיות%20ברשת%20האינטרנט[1]](https://cdn.slidesharecdn.com/ss_thumbnails/20201-110518083038-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
