ANDMETURVE I loeng. Oluline info kursuse kohta: • Tasub õppida codecadamy HTML basics, html-basics.com. • Essee tähtaeg 25. märts 23:50, 1800-2500 sõna, v.a viited; ieee reference • Iga loengu jaoks 3 uudist • Meili saatmisel lisada pealkirja ITX0040 ([email protected]) • Infoturbe lekskion – akit.cyber.ee • Protokoll, meie ainekontekstis suhtlemisreeglite kogumik 12.02 • CIA – confidentiality, integrity, availability • SKT – salastatus/konfidentsiaalsus, kättesaadavus, terviklikkus • Interneti rünnakute eest võib saada kuni 5 aastat vangistust • Küberturvalisus ehk IT süsteemida kaitse riist-ja tarkvara süsteemi osadel • Häkker – keegi, kes otsib süsteemi nõrkusi • White-box testing – häkkeril on süsteemist kõik teadmised • Black-box testing – süsteemi kohta eelnevat infot pole • Projektijuht vastutab, et turvatestid oleks läbitud • OSI m
Krüptograafia lätted Krüptograafias pärineb arvatavasti antiikajast,kui hakati pruukima teadete ülesmärkimist ja tekkis kiri vahel oli vaj amärkida üles teavet nii, et kõik sellest aru ei saaks. (veel vanema ajaloo-esiajaloo-kohta pärinevad autentsed allikad) Kui vana siis ikkagi? · Tähestik on mitu tuhat aastat vana (foiniiklased),hieroglüüfkiri veel palju vanem (vähemalt 5000 aastat) · Sama vana on arvatavasti ka krüptograafia Krüptograafia vanim teadaolve kasutsfakt Egiptuse vaarao khnumhotep'i kaljuhaua hieroglüüfkirjad,mis erinesid tunduvalt teistest hieroglüüfidest Vanus: ligi 4000z (~1900 e.K.r) Ajaloolise (arvutieelse) krüptograafia põhivõtted. Kaks põhivõtet: · Substitutsioon (substitution)- olemasolevate märkide asendamine teiste märkidega · Transprositsioon e. Permutatsioon (transposition, permutation)- olemasolevate märkide järjekorra muutmine
ESIMENE LOENG Infoturve informatsiooni kaitse, et tagada konfidentsiaalsus, terviklikkus ja käideldavus 1. Konfidentsiaalsus informatsiooni kaitse volitamata avalikustamine eest 2. Terviklus informatsiooni kaitstus võltsimise ja volitamata muutmise eest 3. Käideldavus informatsiooni ja teenuste õigeaegne kättesaadavus volitatud isikutele 4. Infovara informatsioon, andmed ja nende töötlemiseks vajalikud rakendused 5. Organisatsiooniline turve et kaitsta mingis asutuses või organisatsioonis kasutatavaid andmeid tuleb andmeturbega tegeleda kogu andmetöötlusega seotud organisatsioonis. Organisatsiooni turbe korraldamisel võetakse varade väärtusteks tavaliselt kahjud, mis tekivad nende tervikluse, käideldavuse või konfidentsiaalsuse kao korral. Organisatsiooni turvet saab korraldada mitmel meetodil : riskianalüüs; etalonturbe metoodika; segametoodika. 6. Infotehnoloogiline turve kaitse häkkerir
Andmeturbe mõisted Andmekaitse ehk andmeturve on kõik aspektid, mis on seotud definitsiooni, saavutamise ja konfidentsiaalsuse, terviklikkuse, kättesaadavuse, mitteäraütlemise, aruandluse, autentsuse ja usaldusväärsuse pidamisega andmete või töötlusvahendite kohta. Ajatempel - Ajatempel on digitaalne tõend, mis võimaldab objektiivselt kindlaks teha mingi digitaalse andmekogumi loomise aja. Andmekogu - Andmekogu (ka register, andmebaas) on infosüsteemis töödeldavate korrastatud andmete kogum. Autentimine on kellegi või millegi autentsuse kontroll. Näiteks kontrollitakse, kas nime taga on õige isik, kas pakendi sees on õige kaup või kas arvutiprogramm on usaldusväärne. Autoriseerimine on REACH-määruse protsess, mille eesmärk vastavalt artiklile 55 on tagada siseturu hea toimimine, tagades seejuures väga ohtlikest ainetest tulenevate riskide asjakohase ohjamise ja nende ainete j�
*Rakendamine on põhjendatud suurtes organisatsioonides, kus rahalised väärtused on suured. *Vajalik lokaalse statistika olemasolu Kvalitatiivne riskianalüüs Nii varade väärtuse kui ka otude toime hindamisel kasutatakse väärtuste astmikke. *Vara väärtus (suur, keskmine, väike) *Vara ahvatlevus *Vara hüvituseks muundamine kergus/raskus *ründaja tehnilised võimalused *nõrkuste ärakasutatavuse määr. *ohu tegeliku realiseerimise sagedus Sümmeetriline krüptograafia *Kuidas saada lahti vajadusest genereerida pikka juhuslike bittide jada ja edastada see jada teisele osapoolele? *Lahenduseks saab olla sõnumi dekodeerimiseks vaja mineva informatsiooni koondamine võimalikult väikesesse andmekogumisse, mida võib nimetada ,,võtmeks". *Konfidentsiaalsete sõnumite edastamiseks genereerivad A ja B ühise võtme K ning lepivad kokku, kuidas toimib selle võtmega kodeerimisprotseduur Ek ja dekodeerimisprotseduur Dk. Iga lähteteksti X korral peab kehtima seos.
Andmeturbe alused Mida õpitakse? Infoturbe põhimõisted Infoturbe komponendid Varad, ohud ja nõrkused Turvameetmed, volitustõendid ja krüptograafia Infoturbe standardid Infoturbe audit Riskianalüüs, riskianalüüsi meetodid Infoturve Eestis, turbe majanduslik pool Kirjandus Vello Hanson. Infosüsteemide turve. 1. osa: turvarisk. Tallinn, AS Cybernetika. Antud väljaantud uuesti aastal 2009. Vello Hanson. Infosüsteemide turve. 2. osa: turbe tehnoloogia. Tallinn, AS Cybernetika. V Praust. Digitaalallkiri- tee paberivabasse maailma. Tallinn, ILO. Andme- või infoturve? Andmeturve (data security) *andmebaaside ajastu- andmetöötlus;
1. Mis on informatsioon? · Toime järgi: toimet infovaradele, hõlbustada objekti taastet. Informatsioon ehk teave on igasugune teadmine, mis puudutab objekte - näiteks fakte, o Halvang - vara hävib, muutub · Avastusmeetmed sündmusi, asju, protsesse või ideid ja millel on kättesaamatuks või Turvarikke avastamise meetodid teatavas kontekstis eritähendus. kasutuskõlbmatuks, st operatiivtuvastus, järeltuvastus 2. Mis on andmed?
Andmeturve Meelis Roos Kursiivis tekst on Meelis Roosi loengukommentaaride põhjal lisatud. Kollasega märgitud osa kohta on Meelis Roos öelnud, et seda on ta tavaliselt eksamil küsinud. Kava · Turvaeesmärgid, ohud, riskianalüüs, turvapoliitika, turbestrateegiad, turvatasemed, turvastandardid · Mitmekasutajasüsteemide turve, DAC & MAC, usaldatavad süsteemid · Autentimismeetodid, paroolid, NIS(+), Kerberos, NT domeenid, LDAP kataloogid, Active Directory, single signon · PKI (avaliku võtme infrastruktuuride) idee, rakendamine autentimisel ja signeerimisel, hierarhiad · Ohud võrgus, tulemüürid, krüpto rakendamine · Rünnakute avastamine: IDS (Intrusion Detection System), logimine; taasteplaanid; turvaprobleemide PR · Viirused, ussid, trooja hobused, tagauksed, ... · Privaatsus ja anonüümsus Internetis · Pöördkodeerimine, seadused, kopeerimiskaitsed, ... Kirjandus · Infosüsteemide turve 1: turvarisk. Vello Hanson, Märt Laur, Monika Oit, Kristjan Alliksoo. Cy
Kõik kommentaarid