Professional Documents
Culture Documents
SZEGEDI TUDOMÁNYEGYETEM
Szoftverfejlesztés Tanszék
Információbiztonság
1. FEJEZET
Információbiztonság alapjai
Tartalomjegyzék
SZEGEDI TUDOMÁNYEGYETEM
1. Bevezetés, követelmények
2. Az információbiztonság alapjai. Fogalmak és célok.
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
http://thehackernews.com/
GovCert Hungary (Kormányzati Eseménykezelő
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Központ)
Szoftverfejlesztés
védenünk kell.
A kár nem csupán anyagi lehet, hanem
■ üzleti (titkok kikerülése, kiesés),
■ nemzetbiztonsági, politikai,
■ erkölcsi.
biztonság
Előbbi tágabb, katonai fogalom, benne vannak
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
■ az elhárítás,
Szoftverfejlesztés
■ fizikai védelem,
■ személyi védelem és
■ dokumentumvédelem
■ más aspektusai is.
Utóbbi csak az informatikai rendszerek és a
bennük kezelt adatok védelmét jelenti.
1. C = Confidentiality (bizalmasság)
Csak azok érhessék el az információt, akik arra jogosultak. Pl.:
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
2. I = Integrity (sértetlenség)
Védelem az adatok jogosulatlan módosítása ellen, pl.: beszúrás,
törlés, helyettesítés. Pl.: adatbázis-kezelés,
pénzügyi tranzakciók lebonyolítása.
3. A = Availability (rendelkezésre állás)
Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl.:
webszerver, naplózás.
E három legalapvetőbb cél elérése és fenntartása
jelenti az informatikai biztonságot.
Non-repudiation (Letagadhatatlanság)
Annak elérése, hogy valamelyik fél letagadhassa
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
BIZTONSÁG
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Szoftverfejlesztés
KÉNYELEM FUNKCIONALITÁS
„Usable security”
Fontos kutatási terület.
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
használhatóságát illetően.
A biztonság nem csak a védelem mértékében, hanem a
használhatóság érdekében is szükségképpen
kompromisszum kell, hogy legyen.
Pl.: két tipikus terület:
■ a felhasználók azonosítása,
■ e-mail titkosítás.
Lásd: http://www.cc.gatech.edu/~keith/pubs/ieee-intro-
usable-security.pdf.
őrök stb.)
Szoftverfejlesztés
zárak.
Hiba, ha csak ezeket alkalmazzák, mert minden
megkerülhető.
■ Detektív (észlelő) kontrollok, pl.: naplók átnézése,
IDS (Intrusion Detection Systems, behatolás-
érzékelő rendszerek), jogosultságok felülvizsgálata,
audit.
1. Tervezés (Design)
2. Megvalósítás (Implementation)
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
3. Üzemeltetés (Operation)
Szoftverfejlesztés
2. A jó védelem rétegzett.
(Layered Security, Defense in Depth)
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Szoftverfejlesztés
5. A feladatkörök szétválasztása
(Separation of Duties)
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
felelős.
Az üzleti életben már rég bevált technika: más
adja fel a rendelést és más engedélyezi annak
kifizetését.
Megvalósítása nyilván hátrányokkal is jár, mind
pénzben, mind időben.
8. Maradjunk az egyszerűségnél
(Keep It Simple)
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
képes megtartani
Szoftverfejlesztés
Miért?
Szoftverfejlesztés