2023. június 26., hétfő

Az elektronikus információs rendszerek biztonsága

Informatika

Az informatika interdiszciplináris fogalom, amely átfogja a számítógéptudomány és a számítástechnika alkalmazás, a mikroelektronika és a mikroelektronikai alkalmazás, a telekommunikáció, a szervezés és vezetés, a társadalom- és műszaki tudományok vonatkozó területeit. Az informatika interdiszciplináris jellege lehetővé tette, hogy az információ tárolásának, visszakeresésének és terjesztésének szakterületekre vonatkozó elméleteit és módszereit integrálják az új információs technológiákkal. Az informatika átöleli a konkrét információrendszerek kialakítását, működtetését és szolgáltatásait is, azok mennyiségi és minőségi vonatkozásával együtt. Az informatika több résztudományra bontható: információelmélet, információtechnológia, információmenedzsment stb.

Biztonság

Az informatikai biztonság az informatikai rendszer üzemeltetőjének és a rendszert használó felhasználóknak közös érdeke. A tárolt adatok védelme a használt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt hitelesítési rendszer. Az autentika biztosítja a keretet a jogosultsági szintek felépítéséhez. Nincs tökéletes védelem, de a felhasználó a biztonság érdekében elvárja, hogy a fenyegetések bekövetkezésé-nek lehetősége, valamint az esetlegesen bekövetkező fenyegetés által okozott kár a lehető legkisebb legyen, és a kockázat minimálisra csökkenjen. Tehát a biztonság megteremtésének az eszköze a megfelelő védelem kiépítése hardveresen és szoftveresen.  Informatikai szempontból külön kell kezelni az információbiztonságot, és az informatikai biztonságot, és az adatbiztonságot. A hálózati felületen való biztonságos kommunikáció megvalósításához számtalan lehetőség áll rendelkezésre.

VPN alkalmazása

Egyik ilyen lehetőség lehet a virtuális magánhálózati (VPN ) technológia alkalmazása. A kiépített autentika a megfelelő szabályozás mellett képes garantálni a biztonságot. A rendszergazda a felhasználói számára menedzselési szolgáltatást biztosít és az adott VPN használati feltételeit meghatározó szervezet irányítása és felügyelete alá tartozó, a felhasználó szempontjából önálló, zárt hálózatként viselkedő, úgynevezett virtuális magánhálózatot hoz létre.  A VPN-t gyakran használják arra, hogy a munkatársak távolról hozzáférjenek a szervezet hálózati adataihoz. 

A hozzáférés többféle képen történhet.

  • Meghatározott IP cím tartományból
  • A cég VPN-hez történő csatlakozással
  • Elektronikus azonosítással
  • Az eszközt léptetjük be egy tartományba
  • Hardverkulccsal, kulcs, kártya, token alkalmazásával
  • Felhasználói név és jelszó segítségével
  • Felismerés alapján, ujjlenyomat, íriszkép, arcarány hang stb.
  • Igazolvány alapján
  • Elektronikus azonosítással
  • Személyes adat alapján

Belső biztonság

A biztonsági szintek és osztályok a belső adatok hozzáférését hivatottak korlátozni.Elektronikus ürlap segítségével nyomonkövethető ki mikor és miért kérte ki az adatokat. A szolgáltatás az ügyfél azonosításához kötött, így az azonosításra visszavezetett dokumentum hitelesítéssel (vagy elektronikus aláírással) az ügyfél hitelesíteni tudja a közösen elkészített kérelmet, amit ezt követően elektronikusan be is nyújthat.A fenyegetés (veszély) minden olyan lehetséges művelet, esemény, vagy mulasztásos cselekmény, amely sértheti az elektronikus információs rendszer vagy az elektronikus információs rendszer elemei védettségét, biztonságát. 

Külső fenyegetések

Nincs semmilyen hozzáférése a rendszer belső erőforrásihoz, csak a kívülről publikusan elérhető információkat, szolgáltatásokat látja (pl. idegen hacker). Belső fenyegetések (Internal Threats) esetén a támadó hozzáfér bizonyos belső erőforrásokhoz (pl. tipikusan egy felhasználói fiókhoz, belső hálózathoz vagy csupán a biztonsági eljárások gyakorlatához). A fenyegető tényezők csoportosíthatók. Lehetnek humán (pl. gondatlanság, kémkedés), logikai (pl. jogosulatlan belépés), fizikai (pl. informatikai eszköz megszerzése), környezeti (pl. elektromos zavarok) tényezők.

Iratkezelés

Fontos az iratkezelés biztonsága. Kronológiai sorrendben történik az iktatás titkosítási minősítés mellett.
Magán felhő (Private Cloud): a szolgáltatást nyújtó teljes kiszolgálói infrastruktúra (hardver, szoftver) kizárólag az adott szervezet számára van fenntartva, nem kell osztozni azokon másokkal. Az adatközpont elhelyezkedhet az ügyfélnél, vagy a szolgáltatónál. Kezelése szempontjából megkülönböztethetünk belső, vagy külső magán felhőt. A külső magán felhő tartalmaz dedikált vagy megosztott infrastruktúrát is. A magán felhők esetén nem jellemző a méretgazdaságosság, hiszen az erőforrásokat csak egyetlen szervezet használja. A beruházási igény is megmarad. A szervezetnek kell gondoskodnia a skálázhatóságról is, valamint a használat alapján történő számlázás is belső feladat. A rendszerek feletti irányítás teljes egészében megmarad, így a szabályozási, adatvédelmi és biztonsági szempontok maximálisan biztosíthatók. 

Elektronikus aláírás és bélyegző

Az elektronikus aláírás olyan elektronikus adat, amelyet más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, és amelyet az aláíró aláírásra használ. Létrehozásához szükség van egy kulcspárra. Az e-aláírásnak több fajtája van: egyszerű e-aláírás, fokozott biztonságú e-aláírás, minősített e-aláírás és minősített tanúsítványon alapuló fokozott biztonságú e-aláírás. Az egyszerű elektronikus aláírások semmiféle technológiai biztonságot nem nyújtanak, az aláíró személyét csak alig valószínűsítik, a dokumentum tartalmára pedig egyáltalán nem utalnak. E-ügyintézéshez legalább fokozott biztonságú és közigazgatási követelményeknek megfelelő e-aláírás szükséges. Az elektronikus aláírás – mint eljárás – egy hitelesítési folyamat, amely során az elektronikusan aláíró személy az adott dokumentum tekintetében az adott időpontban aláírásával igazolja a dokumentum tartalmának valódiságát. Ezután a dokumentum – a hitelesség megóvása érdekében – megváltoztathatatlan állapotba kerül.Az adatforrás azon adathely, adatfelvétel vagy szervezet megjelölése, ahonnan az adat származik. Az adatforrás fogalmának számos jelentése ismert. Kutatási adatforrás minden olyan személy, szervezet, objektum vagy jelenség, amely a kutatás szempontjából értékelhető és elérhető adatokat hordoz és amire hivatkozunk (pl. szakirodalom, tudományos adatbázis, szakértő). Statisztikai adatforrás a statisztikai adatfelvétel megvalósításának, a megfigyelendő adatok begyűjtésének forrása. Elektronikus bélyegző olyan elektronikus adat, amelyeket más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, hogy biztosítsák a kapcsolt adatok eredetét és sértetlenségét. A természetes személyek továbbra is elektronikus aláírást használnak, de a jogi személyek aláírás helyett elektronikus bélyegzőt tudnak létrehozni. Az elektronikus bélyegző használatában megegyezik az elektronikus aláírással. A különbség az elnevezésekben (elektronikus bélyegző, bélyegző tanúsítvány), valamint a tanúsítványok adattartalmában van. A tanúsítványok kiadását, az időbélyegző szolgáltatást a bizalmi szolgáltatók nyújtják. A minősített elektronikus bélyegzők esetében vélelmezni kell a hozzájuk kapcsolódó adatok sértetlenségét és a bélyegzőnek megfelelő eredetét. Magyarországon a minősített bélyegzővel, vagy minősített tanúsítványon alapuló fokozott biztonságú bélyegzővel ellátott elektronikus dokumentum teljes bizonyító erővel bír.

Adatbázisok

Az adatbázisok célja az adatok megbízható, hosszú távon tartós tárolása és viszonylag gyors, egyszerű visszakereshetőségének biztosítása. Az adatbázisok szerkezetük, felépítésük és működési sajátosságuk alapján különböző típusokba sorolhatók. A relációs adatbázis a legelterjedtebb, ahol az adatokat táblázatokban ábrázolják, és a sorok az adatrekordok (egyedek) és az oszlopok az adatmezők (tulajdonságok). Az adatok egyértelmű azonosítását és összekapcsolhatóságát kulcsok biztosítják. A hagyományos (elsősorban szövegeket, számokat, dátumokat, hivatkozásokat) tartalmazó adatbázisok mellett egyre nagyobb szerepet kapnak a szöveges (például jogtárak, dokumentumtárak, tudástárak, weblapok) és térképi adatbázisok. A nyilvántartások az adatbázisokra épülnek.Az azonosító kód olyan, matematikai módszerrel képzett, különleges adatra nem utaló számjegysor, amely a polgárt az adatkezelés során egyértelműen azonosítja. Az azonosító kód személyes adat, ezért azt kezelni és továbbítani csak törvényben meghatározott szabályok szerint lehet. Az adatbázis kulcsok segítségével kapcsolja össze a különböző táblákban lévő összetartozó adatokat. A hozzáférési, felhasználói adatok is az adatbázisban tárolódnak ezért azok védelme még fontosabb!

Titkosítás

A kriptográfia titkosítással, rejtjelezéssel, kódolással, és ezen kódok megfejtésével foglalkozó tudományág. A titkosításra és a visszafejtésre egy eljárásra (algoritmusra) és egy kulcsra (kódsorozatra) van szükség. A titkosítási eljárás a nyílt szöveget a paraméterként kapott kulccsal átalakítja egy titkosított szöveggé. A visszafejtéshez szükség van ugyanarra a kulcsra. Egykulcsos (szimmetrikus) technika esetén tehát a küldőnek és a fogadónak is ismernie kell ugyanazt a titkos kulcsot. Kriptográfiai módszerek segítségével nemcsak titkosítani, hanem hitelesíteni is lehet, például az elektronikus aláírás is kriptográfiai módszereken alapul. Az elektronikus aláíráshoz már két kulcs szükséges. A küldőnek (aláírónak) a titkosító (magán) kulcsot, míg a fogadónak (az aláírás ellenőrzőjének) a nyilvános (aláírás-ellenőrző) kulcsot kell ismerni.A kriptográfiai kulcs olyan kriptográfiai transzformációt vezérlő egyedi jelsorozat, amelynek ismerete a kriptográfiai transzformáció elvégzéséhez, különösen az elektronikus aláírás vagy bélyegző előállításához vagy ellenőrzéséhez szükséges. Az e-aláírás szolgáltatás igénylésekor (pl. az eSzemélyi tároló elemén) lérehozásra kerül egy ún. kulcspár, amely egy egyedi elektronikus adat, és amely két részből áll: egy ún. magánkulcsból (aláírás-létrehozó adat), és egy ún. nyilvános kulcsból (aláírás-ellenőrző adat). Az e-aláírás a magánkulccsal készül. Kizárólag a magánkulcs párjával, a nyilvános kulccsal lehet ellenőrizni az aláírás eredetiségét, az aláírt elektronikus dokumentum sértetlenségét. Ha az aláírt dokumentumban változtatás történik, akkor az elektronikus aláírás nem fejthető vissza. A nyilvános kulcs és az aláíró személyének összetartozását egy tanúsítvány igazolja.Szoftver szolgáltatás (SaaS: Software as a Service): teljes szolgáltatási alkalmazás nyújtása a végfelhasználók számára. Az alkalmazások különböző eszközökön keresztül, vékonykliens felületen, például web böngészőn érhetők el. A felhasználók nem menedzselhetik és felügyelhetik az üzemeltetési környezetet, csak minimális konfigurációs beállításokra van lehetőségük. A szoftver szolgáltatás ráépül az infrastruktúra és a platform szolgáltatásokra. A hagyományos modell esetén a szervezet megvásárolta, telepítette, futtatta és frissítette a szoftvereket a saját rendszerein. A szoftver szolgáltatás keretein belül a szolgáltatók biztosítják a naprakész szoftvereket a végfelhasználók számára. A modell keretein belül a szervezetnek csak minimális lehetősége van a konfigurálásra, a beállítások megadására. A felhasználók jellemzően webböngésző, vagy mobil alkalmazások közvetítésével férnek hozzá a szolgáltatáshoz. A szolgáltatás ágazat specifikus lehet (pl. önkormányzati ASP szolgáltatás).Az azonosító kód olyan, matematikai módszerrel képzett, különleges adatra nem utaló számjegysor, amely a felhasználót az adatkezelés során egyértelműen azonosítja. Az azonosító kód személyes adat, ezért azt kezelni és továbbítani csak törvényben meghatározott szabályok szerint lehet. 

Vészhelyzet
 
Az összerendelési nyilvántartás az azonosító kódok alapján képzett kapcsolati kódok titkosított változatát tárolja. Biztonsági nyilvántartás az alapjául szolgáló nyilvántartás vészüzemi leállást követő teljes értékű visszaállítását lehetővé tevő nyilvántartás. Rendszerhiba, véletlen esemény, vagy szándékos károkozás esetén adatvesztés következhet be. Amennyiben az adatokat csak egy példányban tároljuk, az könnyen megsérülhet, elveszhet. A szervezetek rendszeresen készítenek másolatokat adataikról (RAID) és készítenek biztonsági mentéseket. A cégeknek kiemelten fontos az adatok és az adatokat tároló nyilvántartások megfelelő védelme, az adatvesztés megakadályozása. A biztonsági nyilvántartás célja a biztonság fokozása. Biztonsági nyilvántartás az etalon nyilvántartáshoz, valamint az alapnyilvántartásokhoz kapcsolódik. Kialakításának a célja a kockázatok csökkentése. Ennek érdekében és az adatok pontos körének az ismerete alapján határozzák meg a mentési követeményeket és megoldásokat.

Programozott támadások

A rosszindulatú programok is kárt okozhatnak az tárolt adatokban.  A fertőzések megelőzésére használjunk naprakész – automatikusan frissülő – víruskereső szoftvert és tűzfalat. Fontos a külső adathordozók vírusellenőrzése a rajtuk levő állományok használata előtt. A vírusok felderítése érdekében működtessünk rendszeresen ütemezett víruskeresést, végezzünk folyamatos hálózati forgalom figyelést. 
A teljesen szeparált belső hálózat és az értékes információk leválasztása a hálózatról az egyetlen biztonságos módszer az adatok védelmére!

Nincsenek megjegyzések:

Megjegyzés küldése