1

Informatikairendszereküzemeltetéseésbiztonsága

Dr.Beinschróth József2018.01.12.

Tartalom

2018.01.25. 2

• Alapfogalmak• Alapvetések• Veszélyforrások– védelmimódszerek

• Fizikai• Logikai• Szervezeti-szervezési• Életciklushozkapcsolódó

• Informatikaikatasztrófahelyzet• Üzemeltetés- szolgáltatás• Üzemeltetettrendszerelemek• Üzemeltetésitevékenységek• Üzemeltetésidokumentáció

Alapfogalmak

2018.01.25. 3

Informatika:Azinformatikaatudományéstechnikaazonterülete,amelyazinformációkkeletkezésének, kezelésénekésfelhasználásánakelméletével,gyakorlatimegvalósításávaléseszközrendszerévelfoglalkozik.Informatikairendszer:Eszközök,programok,adatok,valamintaműködtető személyzetinformációsfunkciók,tevékenységekmegvalósításáralétrehozottrendszere.(Üzemeltetés:felügyelet,karbantartás,hibaelhárítás,fejlesztésijavaslatok…)(AzITüzemeltetésésbiztonságátfednek!)

Biztonság:Zavartalan,ártalmashatástólmenteskedvezőállapot,megváltozásanemkizárható,dekisvalószínűségű.(Dinamikusállapot(folyamat))

Informatikaibiztonság:Azinformatikaierőforrásokbizalmassága,sértetlensége,rendelkezésreállásaminimálisanfenyegetett,azazakedvezőállapotmegváltozásánakvalószínűségeigenkicsi.Bizalmasság:Azatulajdonság,amelyarravonatkozik,hogyazinformációtcsakazarrajogosultakismerhessékmeg,illetverendelkezhessenek afelhasználásáról.Sértetlenség:Azeredetiállapotnakmegfelel,fizikailagéslogikailagteljesésbizonyítottanvagybizonyíthatóanazelvártforrásbólszármazikRendelkezésreállás:Azeredetirendeltetésnekmegfelelőszolgáltatásoknyújtása,meghatározotthelyenésidőben,megfelelőperformanciával.

Alapfogalmak

Alapvetések (1)

2018.01.25. 4

?Funkcionalitás/

kényelemBiztonság

Anyagi erőforrások

Alapvetések

Alapvetések (2)

2018.01.25. 5

Forrás: Horváth, Lukács, Tuzson, Vasvári: Informatikai biztonsági rendszerek

Alapvetések

Veszélyforrások –védelmi módszerek

2018.01.25. 6

Fizikai Logikai

Szervezeti-szervezési

ÉletciklushozKapcsolódó

Veszélyforrások – védelmi módszerek

Veszélyforrások –védelmi módszerek

2018.01.25. 7

Fizikai Logikai

Szervezeti-szervezési

ÉletciklushozKapcsolódó

Veszélyforrások – védelmi módszerek

Negatívkörnyezetihatások(természetijelenségekéstechnikaikatasztrófák,tűz)

Jogosulatlanhozzáférések(aktívéspasszívhozzáférések)

Kiesések(bombariadó,nemmegfelelőlégállapot,nemmegbízhatóeszközök,azenergiaellátáséstávközlészavarai)

Hibásdokumentáció(aktualizált,használható,jóváhagyottdokumentációszükséges)

Fizikai

Veszélyforrások –védelmi módszerek

2018.01.25. 8

Fizikai Logikai

Szervezeti-szervezési

ÉletciklushozKapcsolódó

Veszélyforrások – védelmi módszerek

Jogosulatlanhozzáférések(jelszavak,PINkódok,biometria,kriptográfiaikulcsok)

Kiesések(szoftverhibák,hibásméretezés– túlterhelés,mentések,hátterek)

Szigetszerűműködés(Izoláltrendszerek)

Malware-ekhatása(vírus,baktérium,trójai,keylogger,logikaibomba,phising…)

Hackertevékenyég(Inkorrektkódok,weboldalfeltörés…)

Logikairombolás(elektromágnesestámadás(vezetékes,sugárzásos))

Hálózatiproblémák(illetéktelenrácsatlakozás:hozzáférés,módosítás,rombolás)

Hibásdokumentáció(aktualizált,használható,jóváhagyottdokumentációszükséges)

Logikai

Veszélyforrások –védelmi módszerek

2018.01.25. 9

Fizikai Logikai

Szervezeti-szervezési

ÉletciklushozKapcsolódó

Veszélyforrások – védelmi módszerek

„Adhoc”szervezetiműködés (működési folyamatok,szervezetifelépítés,feladatok,felelősségek,hatáskörökéserőforrások, szabályozások)

Gyengebiztonsági szervezet(ITbiztonságért felelősszervezet,munkatárshelyeaszervezetihierarchiában;vagyonésadatbiztonságelkülönültsége, ellenőrzésekhiánya,oktatások,segregation ofduties)

Emberihibák(rendelkezésreállás,kompetencia, lojalitás,megbízhatóság,végzettség,tapasztalat,biztonsági tudatosság)

Titokvédelmiésiratkezelésihiányosságok (adatok,alkalmazások,eszközök,helyiségek,titkosügyiratkezelés)

Szerződésekgyengeségei (ITbiztonságigaranciákaszerződésekben, korlátozottfelelősségvállalás)

Jogszabálysértés(ITbiztonságiéságazatitörvények)

Szervezeti-szervezési

Veszélyforrások –védelmi módszerek

2018.01.25. 10

Fizikai Logikai

Szervezeti-szervezési

ÉletciklushozKapcsolódó

Veszélyforrások – védelmi módszerek

Fejlesztés,beszerzés(követelmények,elkülönült fejlesztőrendszer,biztonságigaranciák,elterjedt,szabványosszoftverek)

Átadás-átvétel(biztonságikövetelményrendszerellenőrzése,azátvételitesztabiztonságikövetelményekellenőrzésére, speciálishozzáférések(programozókspec.jogosultságai),hátsóajtók,adokumentációhiánya

Üzemeltetés(Fizikai, logikai,szervezeti-szervezési…)

Kivezetés,selejtezés(adathordozók, selejtezésirend)

Életciklushoz kapcsolódó

ACTIVITY – Esettanulmány

2018.01.25. 11

Veszélyforrások – védelmi módszerek

Adottegykerületi rádió,amelyazinternetenkeresztülszolgáltatműsortelsősorbanakerületlakóiszámára,naponta6-22óráig.Költségeitönkormányzati támogatásbólésreklámbevételekből fedezi.Főerőforrásai:stúdió,médiaszerver,internetkapcsolat,technikaiszemélyzetésműsorvezetőkésazönkormányzatalkalmazásábanállórendszergazda.Azerőforrásokcsakaszükségesmennyiségben állnakrendelkezésre, tartalékoknincsenek,amédiaszerverrőléjszakánkéntszalagosmentéskészül.Amentéseketazönkormányzategytűzbiztospáncélszekrényébentárolják.Aműsorok jellemzőenamédiaszerverentároltfelvételekésélőközvetítésekastúdióból.Külsőhelyszíniközvetítésekcsakkivételesenfordulnakelő.Arádióstúdióakerületiművelődésiközpont épületében található,ahelyszíni szünetmentestáplálásontúlmenőenhelyszínivillamosenergianemállrendelkezésre.Azinternetkapcsolatredundancianélküli, vezetékeskapcsolat.Arádióműsoraegyhétreelőreazönkormányzatwebszerverénelérhető.FELADAT:Azonosítsunkazesetheztartozóveszélyforrásokatésalkalmazhatóvédelmiintézkedéseket!

A preventív megközelítés nem elegendő –katasztrófa terv

2018.01.25. 12

Katasztrófa helyzetek kezelése

Konkrét tények és adatok, amelyek egy esetleges folyamat kiesés (katasztrófa helyzet)esetén azonnal szükségesek.

A folyamatok kiesése esetén alkalmazható szükséghelyzeti tervek és akciótervek valamint helyettesítő tevékenységek.

A folyamatok kiesése esetére kialakított szervezeti egység definiálása (katasztrófahelyzet kezelő szervezet).

Elérhetőségek:

Személyek, szervezetek akikkel, illetve amelyekkel katasztrófa helyzetben gyors kapcsolatfelvételre lehet szükség (pl. közvetlenül közreműködő operatív munkatársak, a különböző beszállítók, hardver, operációs rendszer ill. alkalmazások forgalmazói).

Alternatív helyszínek, erőforrások:Erőforrások jellemzői, esetleges beállítási paraméterei. Gyülekezési helyszínek. Tartalék helyszínek (pl. alternatív szerverszoba).Tartalék berendezések. Az akciótervek nyomtatott példányai.Az akciótervek végrehajtásához szükséges erőforrások.…

VálságtanácsKatasztrófa menedzserKárfelmérő teamTechnikai visszaállító team…

Az akciótervek számos paramétert tartalmaznak

2018.01.25. 13

Katasztrófa helyzetek kezelése

Az esemény felismerése, riasztás

Ellenőrzési pontok

Érintett felelősök

Lezárás (elemzés, jelentés, tanulságok összefoglalása)

Az akcióterv végrehaj-tásának feltételei

A katasztrófát észlelhetik (munkatársi pozíciók)

Az akcióterv felülvizsgálatát mindenképpen szükségessé tevő események felsorolása

Az akcióterv folyamata, akcióterv felelős

Az értesítendők listája

Azonnali intézkedések

Időzítések

Az akcióterv célja

Az akciótervek fő paraméterei

Az akciótervek leírása folyamatként történhet

2018.01.25. 14

Katasztrófa helyzetek kezelése

# „Átadó” Input Objektum Tevékenység Tevékenysé

gért felelősOutput

Objektum „Átvevő” Megjegyzés

1 Bármely munkatárs

Az informatikai hálózat állapota

A vírusfertőzés kiterjedtségének előzetes meghatározása, a fertőzött rész leválasztása.

Rendszer-gazda

Szegmentált hálózat

Rendszer-gazda

Egy-egy kliens gép vírusfertőző-dése nem indokolja az akcióterv végrehaj-tását.

2 Rendszer-gazda

A vírusfertőzés ténye

A személyzet tájékoztatása

Rendszer-gazda

Értesítés Személyzet

3 Rendszer-gazda

Fertőzött hálózat

A fertőzés okának felderítése, tájékozódás az adott vírusról

Rendszer-gazda

A fertőzés bekövetke-zésének ismert oka

Rendszer-gazda

Pl. frissítés elmaradása

… … … … … … …

A szükséghelyzeti tervek a kisebb jelentőségű eseteket fedik le

2018.01.25. 15

Katasztrófa helyzetek kezelése

Illetéktelen behatolás kiemeltfontosságú területreTűzriadó

Tartós villamos energia kiesés

Hirtelen bekövetkező tömeges megbetegedés

Tipikus szükséghelyzeti

tervek

Vízbetörés kiemeltfontosságú területre

Robbantással történőfenyegetés

A folyamatok átmeneti működtetése informatikai rendszer nélkül

2018.01.25. 16

Katasztrófa helyzetek kezelése

Tipikusan csak korlátozott ideig folytathatók.

Nem garantálják a hatékony működést, nem feltétlenül költségoptimálisak

Korlátozott kapacitást tudnak biztosítani

Alkalmazásuknak speciális feltételei vannak

Helyettesí-tő tevé-

kenységek

Példa:

Az ERP rendszer kiesése esetén a rendszer által támogatott folyamatok egy része átmenetileg papír alapon, manuálisan végzett tevékenységekkel fenntartható lehet.

A katasztrófa tervhez kapcsolódó tevékenységek (1)

2018.01.25. 17

Katasztrófa helyzetek kezelése

Karbantartás

• Anaprakészségbiztosításaszükséges• Teljeskörűkarbantartásmeghatározottidőnként (tipikusanévente)ill.újkritikusfolyamateseténszükséges

• Részlegeskarbantartás(erőforrásokrendelkezésreállása,módosulása,naprakészség)

Tesztelés

• Atesztelésmódja(éles?,szimulációsvagyszóbeli)

• Atesztelésitervnektartalmazniakellazelvárteredményeket.Atesztelésijegyzőkönyvetakatasztrófamenedzserköteleskiértékelni.Abbanazesetben,haateszteltakciótervvégrehajtásasoránelérteredményekelmaradnakazelvárttól,megkellhatározniazeltérésokátéselkellvégezniaszükségeskorrekciókat.

• Atesztelésétmindenévben,akötelezőenelőírtkarbantartástkövetően célszerűvégrehajtani,törekedvearra,hogyafelülvizsgálatsoránbekövetkezettmódosulások tesztelésrekerüljenek.

A katasztrófa tervhez kapcsolódó tevékenységek (2)

2018.01.25. 18

Katasztrófa helyzetek kezelése

Oktatás

• Ismertetőésgyakorlatirész• Általános,biztonságitudatotnövelőoktatás• Akonkréttervekoktatásaafelelősökszámára(azérintettmunkatársaknakpontosan tudniukkell,hogymiaszerepükakatasztrófátkövetőmunkában,milyenfelelősséggeléshatáskörrelrendelkeznek(ezeltérhetanormálmunkasoránbetöltöttszerepektől),éskonkrétfeladataikatvégreistudjákhajtani

• Azoktatásragyakoriságánakmeghatározása(Gyakorlat:legalábbévente– atesztelésekkelösszhangban)

• Azújbelépőmunkatársakoktatásaisszükséges.

• Azoktatásmegtehetőazegyébkéntszükségesmunka,tűzvédelmistb.oktatásokkalegyütt

Tárolás

• Alternatív,dekönnyen elérhetőhelyszínen,csakazutolsó(érvényes)változatlétezzen

• Akatasztrófatervbizalmasdokumentum!

ACTIVITY - akcióterv

2018.01.25. 19

Katasztrófa helyzetek kezelése

Készítsünk akciótervet a kerületi rádió esetén azonosított veszélyforrások valamelyikének kezelésére!

# „Átadó” Input Objektum Tevékenység Tevékenysé

gért felelősOutput

Objektum „Átvevő” Megjegyzés

1

2

3

Üzemeltetés - szolgáltatás

2018.01.25. 20

Üzemeltetés - szolgáltatás

ÜgyfélFelhasználó Megrendelő

Bejelentések

Inci

dens

ek Konfigu-rációkés ese-mények

Kiadások

Prob-lémák

Változ-tatások

Szolgáltatásiszintek

Folyto-nosság

Kapacitásokés teljesít-mények

Rendel-kezésre-

állás

Költségekés árak

Incidens SLA

Napi, heti szintűreaktív „tűzoltás”

Havi, éves szintűproaktív „tűzmegelőzés”

Hangsúlyeltolódás

forrás: IQSOFT – John Bryce oktatóközpont: ITIL Foundation Certification

Üzemeltetett rendszerelemek

2018.01.25. 21

Üzemeltetett rendszerelemek

Alkalmazások(kliensésszerveroldal)

Adatbázisok

Felügyeletirendszerek

Virtuálisrendszerek

Operációsésvirtuálisrendszerek(kliensésszerverrendszerek)

Hálózat(aktívéspasszívelemek)

Hardver(szerverekésmunkaállomások)

Kiszolgálóinfrastruktúra (klíma,UPS,szerverszobastb.)

Üzemeltetési tevékenységek

2018.01.25. 22

Üzemeltetési tevékenységek

Rendszeresésesetitevékenységek

Tipikushibákkezelése(incidensésproblémakezelés)

Mentés(mit,mikor,teljes/inkrementális,mivel,milyengyakran,mennyiideigőrizzük,holtároljuk?)

Naplózás(elérhetőség,megőrzésiidő,selejtezés)

Emberitényező(Azüzemeltetésitevékenységekfontosfeltétele!)

Üzemeltetési dokumentáció

2018.01.25. 23

Üzemeltetési dokumentáció

Azinformatikairendszereküzemeltetésidokumentációjánakcélja,hogyszámbavegyeésrögzítseazüzemeltetéssoránfelmerülőrendszeresésesetitevékenységeketésezzelegyúttaltámogassaarendszerüzemeltetéséhezszükségesképesítésselésgyakorlattalrendelkezőüzemeltetőszemélyzetet.

Egyteljesinformatikairendszerüzemeltetésidokumentációjaáltalábanszámos,tipikusanhierarchiátalkotódokumentumrendszer,amelyektartalmakiterjedakiszolgálóinfrastruktúrától(klíma,UPSstb.)akonkrétalkalmazásokig.Ezeketkikell,hogyegészítsékazigazolójellegűdokumentumok(riportok,teszt jegyzőkönyvekstb.),amelyekelsősorbanabekövetkezett eseményekvisszakövethetőségét tesziklehetővé.

Üzemeltetési dokumentáció - szerkezet

2018.01.25. 24

Üzemeltetési dokumentáció

Dokumentum azonosításA rendszer(ek) üzemeltetése során érvényesítendő üzleti követelményekTámogatás és licenceA rendszer(ek) leírása (tipikusan hivatkozás más dokumentumra)Felügyeleti eszközök és felületek

SajátKülső

TevékenységekRendszeres

HetiHaviÉvi

Eseti (ITIL szerint)IncidenskezelésEseménykezelésVáltozáskezelésKiadáskezelésKonfiguráció kezelésIgények kezeléseHozzáférés kezelés

Tipikus hibák kezelése

Mentések, archiválások - visszaállításokNaplózás

ElérhetőségMegőrzési időSelejtezés

Emberi tényezőkAz üzemeltetéshez szükséges kompetenciákA felhasználáshoz szükséges kompetenciákSzerepkörök, privilégizált felhasználók és felelősségi köreik

Sablonok (riportok, tesztek stb.)

2018.01.25. 25

Köszönöm a figyelmet!