CT30A3500 Tietoturvan Perusteet Pekka Jäppinen 19. syyskuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007
Yleistä Luennoitsija: Pekka Jäppinen LTY:n kurssisivut: http://www.it.lut.fi/kurssit/07-08/ct30a3500/ Luennot: ke: 14-16 huone: 1381 Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 1/49
Kirjallisuutta Schneier : Secret & Lies : Digital Security in a Networked World Pfleeger: Security in Computing Yleisiä Paavilainen: Tietoturva Schneier: Beyond fear Verkkojen Turvatekniikkaa Kerttula: Tietoverkkojen Tietoturva Stallings: Cryptography and Network Security Wadlow: The Process of Network Security Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 2/49
Boström: Kotimikron Tietoturva Chapman et al: Building Internet Firewalls Kryptografiaa Schneier: Applied Cryptography Menezes et al: Handbook of Applied Cryptography Järvinen: Salausmenetelmät Historiaa ja opettavaisia tarinoita Kahn: Codebreakers Mitnick: Stoll: Cuckoo s egg Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 3/49
Mitä tieto on Mitä tieto on Tieto on valtavasti ja kaikkialla Tietoa asioista (Auto on musta, Coca Colan resepti on...) Tietoa tiedosta (Metatieto kuten: muutoshistoria, logit, tiedon tyypitys) Tieto voi olla monessa muodossa Päässä, paperilla, tietokoneella, näkyvillä... Digitaalisesti tallennettuna (Ykkösiä ja nollia) Valona, sähkönä. Levykkeellä, cd:llä, nauhalla, usb-tikulla jne. Tietoturvallisuus Tietojen ja tiedonkäsittelyn turvallisuus Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 4/49
Tietoturvan tavoitteet Tietoturvan tavoitteet Saatavuus Tiedon tulee olla niiden käytettävissä, jotka sitä tarvitsevat Tietoon pitää päästä käsiksi riittävän nopeasti Tiedon saamiseen ei saa kulua 10 minuuttia jos tietoa tarvitaan 5 minuutin sisällä Tiedon saannin pitää olla riittävän helppoa Yksi vs monta lukkoa Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 5/49
Eheys Tietoturvan tavoitteet Tiedot ovat muuttumattomia Tiedot tiedosta ovat muuttumattomia Eheyden merkitys Väärä numero puhelinluettelossa aiheuttaa puhelut väärään paikkaan Yritys voi varastaa toiselta yritykseltä asiakkaita. 10:llä eurolla ja 100:lla eurolla on eroa laskussa. Muista myös metadata: kuka on muokannut, koska on muokannut jne. väärä tyypitys muuttaa viitenumeron laskun summaksi Eheyteen liittyviä kysymyksiä Onko teksti alkuperäinen eikä jonkun matkalla muokkaama? Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 6/49
Onko tieto luotu aikaleiman osoittamaan aikaan? Tietoturvan tavoitteet Eheä on eri asia kuin oikea. Poliitikon lausunto verkossa voi olla juuri se mitä poliitikko on sanonut, vaikka asiat siinä eivät pitäisikään paikkaansa. Tieto on eheää, mutta politiikko ei tiennyt mistä puhui. Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 7/49
Luottamuksellisuus Tietoturvan tavoitteet Tietoon pääsee käsiksi ainoastaan ne, joilla siihen on oikeus. Mitä oikeuksia näkeminen, muuttaminen, tuhoaminen. Kuka päättää oikeuksista Kuka valvoo? kuka valvoo valvojaa? Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 8/49
Tietoturvan tavoitteet: yhteenveto Tietoturvan tavoitteet Perustavoitteet ovat ristiriidassa toistensa kanssa. Kun luottamuksellisuutta tai eheyttä lisätään heikkenee saatavuus Ei ole olemassa yhtä oikeaa ratkaisua Liikesalaisuuksille luottamuksellisuus ja eheys on tärkeää, kun taas markkinointimateriaalilla painopiste on saatavuudessa ja eheydessä. Tavoitteena on löytää sopiva kompromissi, jossa nämä kolme perustavoitetta ovat yrityksen kannalta oikeassa balanssissa Tietoturvan tulisikin olla osa yrityksen riskien hallintaa Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 9/49
Turvallinen ketä vastaan? Turvallinen? Turvallisuus Vakooja, rikollinen, yrityksen oma työntekijä, naapurin Ville... Turvallinen mitä vastaan? Pommi, ilkeämielinen ohjelma, tietomurto, tulva... Millä ehdoilla turvallinen? Kunnes koneteho ylittää tietyn rajan, kun koneelle pääsy on rajattu... Mitä on oikeasti suojattu? Dokumentit, käyttäjätiedot, väliaikaistiedostot... Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 10/49
Teesejä Teesit Turvallisuus ei ole tuote vaan prosessi Turvallisuus ei ole mustavalkoinen vaan täynnä harmaan eri sävyjä On etsittävä itselle sopiva turvallisuuden taso Tietoja tarvitsee suojata vain niiden arvon verran kassakaappia ei kannata ostaa leivän säilytystä varten... ainakaan suomessa. Tietoturva on yhtä vahva kuin sen heikoin lenkki. Ei voida olettaa että hyökkääjä käyttää sitä reittiä, joka on suojattu. Suojaamalla lentokentät terroristit vaihtavat kohteeksi junat. Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 11/49
Digitaalimaailma ja sen vaikutus tietoturvaan Digitaalimaailma Uhat digitaalisessa maailmassa muistuttavat reaalimaailman uhkia Pankki voidaan ryöstää niin fyysisesti tai sähköisesti, Salakuuntelu voidaan toteuttaa jugurttipurkilla tai tietokoneella Keinot ovat erilaisia tiirikka vs. ohjelmisto. Kiristys, uhkaus, lahjonta: tehoavat kaikissa ympäristöissä Pekka Jäppinen, Lappeenranta University of Technology: 19. syyskuuta 2007 12/49
Automaatio tuo uusia mahdollisuuksia Toistot helppoja Pienistä puroista suuria jokia (salami hyökkäys) 1/100000 mahdollisuuksia voidaan hyödyntää Tiedonhaku ja yhdistäminen vakoilu vs. tiedon louhinta Etähyökkäykset Digitaalimaailma Ei tarvitse olla fyysisesti paikalla -> potentiaalisten hyökkäjien määrä kasvaa Hyökkäykset automatisoitavissa Hajautetut hyökkäykset Hyökkäykset eivät kunnioita valtio rajoja Lainsäädännöt ovat maakohtaisia Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 13/49
Tieto leviää nopeasti Digitaalimaailma Turvallisuusaukot Ohjeet Hyökkäystyökalut Yksi ohjelma -> monta hyökkääjää -> enemmän tuhoa Työkaluja osaa käyttää lahjattomampikin Tiedon leviämisen kontrollointi vaikeaa Kiina, kirjastot jne. Hyökkäykset tapahtuvat nopeasti Reagointi hyökkäykseen liian hidasta (rosvot ovat karussa ennen sheriffin tuloa) Ennakointi on tärkeää Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 14/49
Uhat Uhat Tietojen vuotaminen /varastaminen Ulkopuolinen pääsee käsiksi tietoihin (asiakasrekisteri) Tietoon päästään käsiksi liian aikaisin (tuotejulkistus) Käytettävyyden häiritseminen Tietoa tarvitseva ei pääse tietoon käsiksi Verkkokaupan sivut tukossa Tiedon tuhoaminen. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 15/49
Tietojen muuntaminen Uhat Muutetaan tiedon sisältöä (maksumääräykset, lentoreitit...) Muokataan tiedon metadataa (tietoa tiedosta) -> tiedon merkitys tai tulkinta muuttuu Väärentäminen Lähetetään tietoja muiden nimissä Lavastetaan tietoliikenne tapahtumia Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 16/49
Uhat laitteistoa kohtaan Uhat Huolimattomuus, asiantuntemattomuus ja vahingot Sabotaasit Tekniset viat Toimiiko oikein Varkaudet Luvaton käyttö Väärinkäyttö Zombie Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 17/49
Ohjelmistoihin kohdistuvat uhat Uhat Käytön rajoittaminen Poistaminen Tuhoaminen Käyttöoikeuksien muokkaaminen Muuntaminen Virukset, troijalaiset, madot, takaovet, tietovuodot Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 18/49
Varkaus Uhat Fyysinen media Laiton kopiointi Luvaton käyttö Lisenssirikkomukset Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 19/49
Muut haavoittuvat kohdat Uhat Tallennusmedia Vanhat varmuuskopiot Tulosteet Verkot Riskien kasvu Käytönhallinta Toiminnan häirintä Oikeuksien kasvattaminen Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 20/49
Hyökkäykset Hyökkäykset,rikokset Rikokset: Tavoitteena yleensä taloudellinen hyöty Väärennökset Rahat, osakkeet, tunnistetiedot jne. Huijaukset Rantatontti suolla Keräykset Pyramidit ja kiertokirjeet ( http://www.sci.fi/~jpoyry/huijarit/) Nigerialais-kirjeet (nigerian letter) Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 21/49
Arpajaishuijaukset Hyökkäykset,rikokset Tietovarkaudet (intellectual property) Laittomat kopiot (piratismi) Lisenssirikkomukset Henkilöllisyysvarkaudet Esiintyminen toisena henkilönä Luottokorttitiedot, rekisteritiedot, salasanat... Verkosta löytyy henkilötietoja paljon Brändi varkaudet (brand theft) Isoihin yrityksiin ja tuotemerkkeihin luotetaan Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 22/49
Verkkosivun väärentäminen Typo-haukat eli kirjoistusvirheiden hyväksikäyttäjät Liikennevarkaudet uudelleen reititykset Nimipalvelun kaappaus Hyökkäykset,rikokset Tuhoaminen Laitteiston fyysinen tuhoaminen Ohjelmistojen tuhoaminen Tiedon tuhoaminen Alexandrian kirjasto Terrorismi Sekasorron kylväminen Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 23/49
Julkisuushyökkäykset Hyökkäykset,julkisuus Tavoitteena otsikoihin pääsy tai muu ei suoranainen taloudellinen hyöty Esim. Artemiksen temppelin polttanut Herostratus Tekijät usein opiskelijoita; paljon resursseja, paljon aikaa, vähän rahaa. Kohteena usein järjestelmät, joissa on ajateltu ettei suojauksen murtaminen ole rahallisesti kannattavaa. Seuraukset voivat olla ikäviä Paljastavat aukot myös rikollisille, jotka voivat käyttää niitä hyväkseen Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 24/49
Hyökkäykset,julkisuus Rikollisten hyökkäyksistä voidaan olla hiljaa ja hyväksyä pienet tappio, mutta julkisuushyökkääjät tiedottavat asiasta moneen paikkaan Murretulla kauppapaikalla ei käy asiakkaita. Lisäävät välillisesti turvallisuutta Turva-aukoista ei aina välitetä, jos ne eivät ole julkisia. Löytyneet turva-aukot paikataan tuotteista. Imago kysymys Eri tyyppisiä julkisuushyökkäyksiä 1. Verkkosivujen muuntaminen Joskus tehty itse, julkisuuden saamiseksi. Tapahtuu nykyään jo niin usein etteivät enää ylitä uutiskynnystä. Maaliskuussa 2000 ensimmäisellä viikolla 65 kappaletta verkkosivujen muuntohyökkäyksiä. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 25/49
Hyökkäykset,julkisuus 2. Palvelunestohyökkäykset Denial Of Service (DoS) Estetään käyttäjien pääsy tarjottuun palveluun (Puhelinyhteys kaikkiin ISP:n modeemeihin) Palvelimen pommittaminen usealla pienellä viestillä joihin vastaaminen tukkii yhteydet. Reaalimaailmassa boikotit, lakot ja barrikaadit Voidaan käyttää myös apuna rikolliseen toimintaan Autojen automaattihälyytyksen usea perättäinen käynnistäminen yöllä aiheuttaa auton omistajan kytkemään hälytyksen pois päältä Paljon erilaisia variaatioita mm. sodankäynnissä. Hajautettu palvelunesto 3. Lakiin perustuvat hyökkäykset. Vakuutetaan tuomari ja jury, että mahdollinen turva-aukko on olemassa. Esim: Esitetään, että rahaa ei ole nostettu tililtä vaan joku on käyttänyt tietoturva-aukkoa hyväksi. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 26/49
Hyökkäykset,julkisuus Australiassa elokuussa 2005 hash funktion vikaa hyödynnettiin puolustuksena ylinopeus sakkoa vastaan. Kiistettiin kameran kuvan oikeellisuus. Hankitaan sellaista tietoa järjestelmästä, jota ei muuten saisi selville. Todistaakseen, että systeemi on virheetön joutuu puolustus kertomaan järjestelmän toiminnan yksityiskohtia Käytetään lakitupaa uhkana viivytys taistelu voi olla voitto varoja sidotaan juristien palkkoihin Menestys riippuu aina maan lainsäädännöstä. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 27/49
Liikenneanalyysi Hyökkäykset,liikenneanalyysi Tutkitaan viestintätapoja, ei viestien sisältöä Kenen kanssa kommunikoidaan Koska kommunikoidaan Kuinka kauan viestitään Minkä kokoisia viestejä Esim: verkkoselailussa lyhyet viestit tekstejä, keskikokoiset kuvia, suuret videota. Koko viestinnän määrä Miten viesteihin reagoidaan A lähettää pitkän viestin B:lle. B vastaa lyhyellä viestillä ja lähettää monta pitkää viestiä monelle muulle henkilölle -> A antaa käskyjä alaisilleen ja B kuittaa. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 28/49
Muutokset normaaleihin viestintä kuvioihin. Hyökkäykset,liikenneanalyysi Joskus tieto kenen kanssa viestitään kertoo enemmän kuin mitä itse viestin sisältö. Ennen pommituksia Irakiin, pizzakuljetukset Pentagoniin kasvoivat normaalista huomattavasti. Salattu viesti ei salattujen viestien joukossa. ECHELON Massiivinen seurantajärjestelmä, jonka uskotaan valvovan kaikkea. Seuraa eri liikennekanavia ja tallentaa tiedot Analysoi tallennetut tiedot ja ryhmittelee ne Lopullisen analyysin tekevät ihmiset Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 29/49
Uhkaajat Uhkaajat,krakkerit Suojausmenetelmät riippuvat siitä ketä vastaan joudutaan suojautumaan. Uhkaajilla on erilaiset motiivit, resurssit ja keinot 1. Krakkerit (hakkeri termiä käytetään usein myös krakkereista) Hakkeri: Älykäs tietokoneiden ja verkkojen kanssa tutuksi tullut monitaituri, joka yleisestä mielenkiinnosta tutkii erilaisia systeemejä ja niiden toimintaa Krakkeri On olemassa hyviä ja pahoja Krakkereita Hyvä krakkeri saattaa selvittää kuinka järjestelmään pääsee sisään. (white-hat) Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 30/49
Uhkaajat,krakkerit Paha krakkeri selvittäessään tekee tuhoa, todistaakseen että on käynyt paikalla. (black-hat) Oma alakulttuurinsa Yleensä nuoria, joilla on intoa tutkia kaikkea, Käyttävät toisistaan erilaisia koodi nimiä Oikeat krakkerit ymmärtävät teknologian ja miten se toimii. Script kiddiet (skriptikakarat) käyttävät valmiita työkaluja/ skriptejä, jo löydettyjen aukkojen hyväksikäyttämiseen. Krakkereita vastaan vaikea suojautua. Paljon aikaa, paljon resursseja. (yliopisto opiskelijoita) Hyökkäys perusteet moninaisia. Mielenkiintoinen kohde. Koska se on siellä, koska se on mahdollista Kohde ansaitsee tulla hakkeroiduksi, eettinen arvo. Murto vain näyttäkseen että se onnistuu Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 31/49
Uhkaajat,krakkerit Voiko luottaa että mitään ei olla tehty? Onko systeemiin kenties kuitenkin jätetty jotain aukkoja tulevaisuuttaa varten? vrt. reaalimaailma. Joku murtautuu ovesta sisään ja jättää lapun että kävi, muttei tehnyt mitään. Tekevät erilaisia työkaluja murtautumiseen Työkaluille voi olla paljon käyttäjiä > potentiaalisesti enemmän tuhoa Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 32/49
2. Yksittäiset rikolliset Uhkaajat,rikollilset Niukasti resursseja Eivät omaa itse suuria kykyjä Käyttävät avoimen tilaisuuden hyväkseen Kohteena kaupalliset järjestelmät, joissa raha yleensä pesii Maailma täynnä Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 33/49
3. Järjestäytyneet rikolliset Uhkaajat,sisäpiiri Mafia, rikos syndikaatit, huumekauppiaat Omaavat paljon varoja, joilla hankkia tarvittava tietotaito. Voivat ottaa isojakin riskejä Perinteiset rikokset siirretty digitaaliseen maailmaan Varkaus, kiristys, väärennös, uhkapelit... Tietotekniikkaa käytetään tukemaan perinteisiä rikoksia Matkapuhelimilla pidetään yhteyksiä Rahanpesua nopealla rahan liikuttelulla tileiltä toisille helppoa. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 34/49
4. Terroristit Uhkaajat,terroristit IRA, ETA, Punainen prikaati, Al-Qaeda, kettutytöt. Toisen terroristi on toiselle vapaustaistelija. Pitkän tähtäimen tavoitteet: oman kansan yhdistäminen, vapaus eläimille... Lyhyen tähtäimen tavoitteet: kosto, kaaos, vahingon tuottaminen, julkisuus Voivat ottaa isojakin riskejä Itsemurhaiskut Niukasti taitoa ja varoja ja heikosti organisoitu Rikkaita ja hyvin organisoituja järjestöjä on. Järjestö ja johtaja kohtaisia Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 35/49
5. Sisäpiiriläiset Uhkaajat,sisäpiiri Omaavat oikeudet päästä perussuojausten ohi tai muokata niitä Tuntevat järjestelmän hyvin Suojaukset yleensä suunniteltu ulkoista uhkaa vastaan Luetettuja henkilöitä. Suojautuminen mahdotonta. Eivät välttämättä yrityksen omia työntekijöitä Alihankkijoita korjaamassa ohjelmisto vikoja Konsultteja (tietoturva-asianatuntijoita?) Siivoojat, vartijat... Eivät aina hyökkää systeemiä vastaan, vaan käyttävät sitä vain hyväkseen Salaisten tietojen haku Resurssien hukka käyttö Suuret tietoliikenne laskut Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 36/49
Erilaisia motiiveja Kosto Raha Julkisuus Uhkaajat,sisäpiiri Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 37/49
6. Lehdistö Uhkaajat,sisäpiiri Tavoitteena saada tietoja joiden pohjalta tehdä juttuja. Rahaa palkata ammattilaisia hankkimaan erilaisia tietoja Voivat ottaa riskejä hyvän jutun toivossa. Jotkut riskeeravat jopa henkensä hyvän jutun vuoksi Vapaa lehdistö julkaisee lähes mitä tahtoo Paparazzit Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 38/49
7. Poliisi, vartijat Uhkaajat,poliisit ja vartijat Toimivat eri tavalla eri paikoissa Korruption taso vaihtelee Valtion politiikka uhkaa (esim. saksa toisessa maailmansodassa) Varoja niukasti käytössä Pääasiallisesti keräävät tietoja Eri rajoituksia eri maissa, miten poliisi saa toimia ja miten käyttää tietoja Oikeuksia helppo väärinkäyttää (laittomia salakuunteluita yms.) Valvontakamerat, salakuuntelu... Poliisivaltio, 1984, isoveli valvoo. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 39/49
8. Teollisuusvakoojat Uhkaajat,teollisuusvakoojat Laillisen ja laittoman raja hämärtyy bisnestä tehdessä Tarkoituksena saada etu muihin nähden. Etsitään tietoa muiden tuotteista Yleensä riittävän paljon varoja käytettävissä tiedon hankkimiseen Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 40/49
9. Tiedustelupalvelut Uhkaajat,tiedustelupalvelu NSA, CIA, MOSSAD, FSB, MI6... Paljon varoja käytössä Paljon tietotaitoa käytössä Entisiä hakkereita usein palkattuna Matemaattiset lahjaakkuudet värvätään Välttävät riskejä Ei haluta lehtien palstoille. Tavoitteena kerätä tietoa eri kohteista. Sotilas informaatio, aseiden kehittely, diplomaattien informaatio... Metodit yritetään pitää salassa Tieto siitä että puhelimia kuunnellaan aiheuttaa siirtymisen muihin kommunikointi menetelmiin. Jotkut tiedustelupalvelut tekevät myös teollisuusvakoilu vahvistaakseen oman maan yhtiöiden kilpailukykyä. Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 41/49
Uhkaajat,tiedustelupalvelu Tarjouskilpailuissa muiden tarjouksien selvittäminen Tietoja uusista keksinnöistä. Kaikki keinoja käytetään: hakkeri työkaluja, liikenteen seurantaa, liikenne tapoja jopa itse hakkereita Et pysty murtautumaan tuohon kohteeseen Tietoturvatuotteissa tarkoituksellisia takaovia valtion tiedustelupalvelulle? Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 42/49
10. Infosotilaat Uhkaajat,infosotilaat Informaation kulun estoa sodankäynnissä Sähkökeskusten pommittamiset, linkkimastojen tuhoamiset jne. Disinformaation levittäminen Paljon varoja käytössä Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 43/49
Yleiset puolustuskeinot puolustuskeinot Salaaminen Varmistaa tiedon luottamuksellisuuden Tietoturvan sydän Tärkeä, muttei ratkaise läheskään kaikkia ongelmia Heikko salaus antaa väärän turvallisuuden tunteen mielummin ilman salausta kuin huonolla salauksella? Ohjelmistojen hallinta Sisäinen hallinta Itse ohjelman mahdollistamat käyttöoikeuksien hallinnat Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 44/49
Käyttöjärjestelmän tuottamat mahdollisuudet Ohjelmistokehityksen hallinta Laatustandardit joiden pohjalta ohjelma on suunniteltu toteutettu testattu ylläpidetty puolustuskeinot Laitteistohallinta Käyttäjätunnistukset laitteille Eristäminen Tunnistaminen Laadunvarmistus Autentikointi Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 45/49
puolustuskeinot Aidoksi tunnistaminen Varmennetaan että henkilö/laite/yritys jne on se joka väittää olevansa Käyttöpolitiikka (policy) Kuka käyttää, mitä käyttää, kuinka käyttää Auktorisointi Koulutus ja tiedon ylläpito Lait ja etiikka Fyysinen kontrolli Lukot, kaapit, ovet, seinät Tehokkuus Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 46/49
Ongelmatietoisuus Tiedettävä miksi ja mihin eri keinoja käytetään Käytön todellisuus Lukko ei auta avoimessa ovessa Järjestelmälliset tarkistukset Uusia aukkoja ja ongelmia voi löytyä ja ne pitää korjata puolustuskeinot Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 47/49
Yleinen malli suojautumiseen puolustuskeinot 1. Hyökkäykseen varautuminen Politiikka, koulutus, tiedon ja laitteiston luokitus Haluttujen suojamenetelmien asentaminen (palomuurit, virustorjunta) Aktiivinen päivitys 2. Hyökkäyksen huomaaminen Tarkkailu (IDS-järjestelmät) Käytettyjen ohjelmien toimivuuden seuranta 3. Hyökkäyksen selvittäminen Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 48/49
Lokit puolustuskeinot 4. Hyökkäyksestä toipuminen Varmuuskopiot Politiikan kehittäminen 5. Rikkomusten käsittely Kuka teki, mitä teki, miten rangaistaan Yhdenmukaisuus rangaistuksissa Pekka Jäppinen, Lappeenranta University of Technology: September 19, 2007 49/49