Introduktion till säkerhet Grundläggande begrepp
|
|
- Niklas Isaksson
- för 8 år sedan
- Visningar:
Transkript
1 Introduktion till säkerhet Grundläggande begrepp Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)
2 Förändringar Två ytterliga riskanalysmetoder har lagts till. Skapar överlapp med kurserna TDDD17 och TDDC90. 2
3 Dagens föreläsning Idag kommer vi att gå igenom en del inledande definitioner. Vi måste ha ett gemensamt vokabulär som vi använder när vi diskuterar säkerhet. Samtidigt ska ni börja bli security aware, genom att bygga upp en förståelse för säkerhet. Dagens föreläsning har två mål: Börja plantera security awareness. Ge er definitioner för koncept vi använder inom säkerhet. 3
4 4 Första sidan av BBC News Tech den 22:a januari 2014.
5 5 Första sidan av BBC News Tech den 14:e januari 2015.
6 14:e januari 2015 There should be no means of communication which we cannot read 6
7 Credit card details on 20 million South Koreans stolen BBC 20:th of January 2014 Korea Credit Bureau Beräknar kreditvärdighet. Korea Credit Bureau Har tillgång till databaser som drivs av tre stora kreditkortsfirmor i Sydkorea. En IT-konsult som arbetar för Korea Credit Bureau kunde ladda ner all data till en USB sticka. Namn, personnummer, kreditkort blev kopierade för 20 miljoner Sydkoreaner. Det var lätt att stjäla data eftersom det inte var krypterat, och företagen visste inte om attacken innan de blev kontaktade av myndigheterna. Det bor 50 miljoner personer i Sydkorea, 40% blev påverkade av denna attack. 7
8 Andra kända attacker 77 miljoner PlayStation Network konton hackade; Sony ska ha förlorat miljoner (USD) medan deras webbsida var nere i över en månad. 12 miljoner konton hade icke-krypterade kreditkortsnummer. 134 miljoner kreditkort blev exponerade via en SQL injection som ledde till installation av spyware på Heartland's datasystem. I juni MasterCard tillkännagav att upp mot 40 miljoner kreditkort riskerade att få sin data stulen och 200,000 hade definitivt redan stulits en trojan hos ett företag som behandlade kreditkort gjorde detta möjligt. 8
9 Andra kända attacker HM Revenue & Customs I november 2007 tillkännagavs det att två diskar med personlig information om 25 miljoner Brittiska medborgare - alla Brittiska familjer med barn under 16 år hade försvunnit med posten. Detta inkluderade familjens namn, adress, personnummer, och i vissa fall även bankinformation. Diskarna hade skickats med bud via HMRCs interna post, och först försökte man anklaga en medarbetare för att inte följt policy. Medarbetaren argumenterade att sådana försändelser var väldigt vanligt, och snart därefter upptäcktes att så var fallet då flera försändelser hittades. 9
10 Informationssäkerhet Informationssäkerhet är ett väldigt omdebatterat och aktuellt område. För tillfället verkar det inte som att IT bromsar in, tvärt om. IT tar över många delar av vår vardag (smart-phones, smart-homes). När system växer ökar också risken för sårbarheter, och nödvändigheten för säkerhet. På ett företag eller organisation finns ofta säkerhetsansvariga, de ansvarar för att företagets resurser är väl skyddade och anpassar system efter nya riktlinjer, lagar, hot etc. Denna kurs är en introduktion till informationssäkerhet, men man kan lära sig mer från både TDDD17 (information security) och TDDC90 (software security). 10
11 11
12 Confidentiality Integrity - Availability Förkortas oftast CIA och används flitigt i litteraturen. Confidentiality = Sekretess Integrity = Integritet Availability = Tillgänglighet Vi tittar i detalj på dessa tre, de är hörnstenarna i säkerhet, och man skall alltid ha dessa i åtanke när man arbetar med säkert (och skriver tentor i ämnet). 12
13 Confidentiality - Sekretess Sekretess - Att hålla någon information eller resurs hemlig. Att något är hemligt innebär inte att ingen har tillgång till det, men att tillgången är begränsad. Det behövs något sätt att tillåta tillgång och avgöra om någon har tillgång. Militär strategisk information. Personal register. Företagshemligheter. 13
14 Confidentiality - Sekretess Sekretess kan också appliceras på kunskapen om att någon information eller resurs existerar. Att känna till att något existerar kan vara lika hemligt som att känna till detaljerna. Brottsregister. Information om att någon har skadat någon annan. Att intrång har skett hos någon man litade på. Att ett företag hyrde någon typ av maskin eller tjänst. 14
15 Integrity - Integritet Integritet Att informationen eller resursen är tillförlitlig. Data integritet Att informationen eller resursen inte har ändrats på ett otillåtet sätt. Data ursprung Att informationen eller resursen kommer från någon som man litar på. Integritet handlar alltså både om att informationen eller resursen skall vara korrekt och vår tillit till den. 15
16 Integrity - Integritet Integritet påverkas av flera faktorer: Från vem kom informationen eller resursen? Hur väl skyddades informationen eller resursen under transport? Hur väl skyddas informationen eller resursen på den plats där den nu befinner sig? Ett brev skrivs och stoppas i ett kuvert. Brevet läggs i postlådan. Postlådan töms. Posten sorteras. Posten transporteras. Posten delas ut. Mottagaren litar på att innehållet faktiskt kommer från den som skrev brevet, och att ingenstans på vägen har det ändrats eller bytts ut. Man har tillit till hela kedjan. 16
17 Availability - Tillgänglighet Tillgänglighet Möjligheten att kunna använda informationen eller resursen. Information och resurser måste vara tillgängliga när de behövs utan för stora dröjsmål. Systemet måste skyddas mot attacker som försöker ta bort möjligheten att nå information eller resurser. Denial of Service attacks (DoS). 17
18 Availability - Tillgänglighet System som är alldeles för restriktiva går inte att använda, men system som är för tillåtande kan gå ner p.g.a. attacker. Det är en avvägning hur tillgänglig man gör informationen eller en resurs. Säkerheten på en flygplats. Kopiatorrum på arbetsplats. Inloggning på mejlkonto. 18
19 Summering Avklarat: Confidentiality Integrity Availability Nästa steg: Threat/Hot Attack 19
20 Threat/Hot Threat/Hot Något som potentiellt skulle kunna bryta mot önskad säkerhet. Brottet mot säkerheten behöver inte realiseras för att det ska vara ett hot, utan bara att möjligheten till brottet finns gör att det är ett hot. Om endast anställda ska ha tillgång till kopiatorrummet så finns det ett hot att någon som inte är anställd får tillgång till kopiatorrummet. Eftersom ett hot definierar ett potentiellt brott mot säkerheten så måste man skydda sig mot de handlingar som skulle kunna leda till att hotet realiseras. 20
21 Attack Attack Medvetna handlingar som försöker bryta mot säkerheten, dvs ett försök att realisera ett hot. Någon som inte är anställd försöker ta sig in i kopiatorrummet. Det finns många exempel på attacker, så som: Denial of service Snooping Man-in-the-middle Spoofing 21
22 Några typer av attacker Curious attackers Automatiska Ideological attacker attackers Worms och virus Denial of service Brute force testning av lösenord Riktar sig mot low-hanging fruit Väldigt vanliga Du har antagligen blivit attackerad av dessa även om du inte vet om det. Riktade attacker Riktade mot specifika mål Ovanliga Some attackers For-profit attackers Corporate attackers Insiders Terrorists Nation states 22 The type of attacker we deal with affects the risk analysis as well. The motivation, risk adverseness, capabilities, patience of attackers affect how likely they are to be successful, and what the
23 Nyfikna Vem attackerar? Datorer var nya, man ville testa gränser. Attacker av ideologiska skäl Förstöra med politisk agenda. Attacker av vinst skäl Tjäna pengar på att knäcka system. Riktar sig mot system som är av värde för en själv eller arbetsgivare. Företag, terrorister och nationer Exotiska, extremt mycket resurser. Antagligen märks de inte. Konsekvenserna kan vara enorma, lyckligtvis väldigt ovanliga. Vem som attackerar påverkar riskanalysen Att skydda sig mot automatiska attacker är billigt och lätt. Att skydda sig mot nationer är dyrt och svårt. De som attackerar skiljer sig åt vad gäller: motivation, resurser, tålamod, etc. 23
24 Bryta sig in i system Stjäla information Manipulera information Använda resurser Varför attackera? Ta kontroll över system Genomföra nya attacker Manipulera system Minska tillgängligheten till en tjänst (DoS) Utpressning Ge dåligt rykte Göra det möjligt för andra attacker 24
25 Summering Avklarat: Threat Attack Nästa steg: Policy Mekanism Säkert system 25
26 Policy and Mechanism Policy och Mekanism Säkerhetspolicy Definierar vad som är tillåtet, och vad som inte är tillåtet. Endast anställda ska ha tillgång till kopiatorrummet. Delar in ett system i vad som är säkert och vad som inte är säkert. Säkra tillstånd är tillåtna och osäkra tillstånd är inte tillåtna. 26
27 Policy and Mechanism Policy och Mekanism Säkerhetsmekanism En metod, verktyg eller procedur som upprätthåller en policy. En nyckel måste användas för att komma in i kopiatorrummet, och endast anställda får ha en sådan nyckel. Behöver inte vara av teknisk natur (brandvägg, nycklar, etc.) utan kan också vara riktlinjer, regler, lagar. En anställd får aldrig lämna ut sin nyckel till någon annan person. En anställd får aldrig göra en kopia av sin nyckel. 27
28 Säkert system Vi säger att ett system är säkert om: policyn är fullständig, entydig och korrekt. mekanismen tillåter aldrig systemet nå ett osäkert tillstånd. Om något av dessa två antaganden inte stämmer, så är systemet osäkert. Alla system är osäkra, det finns ingen möjlighet att realisera dessa två antaganden. Man måste göra avväganden för vilken nivå och typ av säkerhet man behöver. 28
29 Säkert system Att avgöra vilken nivå och typ av säkerhet som behövs är en grundsten inom säkerhetsarbetet. Säkerhet förlitar sig på antaganden man gjort specifikt till typen av säkerhet: Om det finns ett fönster in till kopiatorrummet, är det verkligen nödvändigt att det skall vara skottsäkert? Om fönstret går att öppna är det rimligt att ha som policy att det inte får stå öppet om inte det finns en anställd i rummet? 29
30 Säkra mekanismer och system Låt P vara mängden av alla tillstånd i systemet S. Låt Q vara mängden av alla säkra tillstånd (definierat av policy). Låt R vara mängden av tillstånd som mekanismen M tillåter. Idealet vore om unionen av alla mekanismer i ett system skapade en exakt mekanism (R = Q). Men i praktiken är alla mekanismer breda: de tillåter att systemet går in i osäkra tillstånd. M är säker (secure) om R Q M är exakt (precise) om R = Q M är bred (broad) om R Q Säker Exakt Bred Säkra tillstånd Q Tillstånd R som kan nås enligt M 30
31 Summering Avklarat: Policy Mekanisk Säkert system Nästa steg: Tillit Utmaningar Cost-benefit Riskanalys Det största hotet mot säkerheten 31
32 Trust/Assurance Tillit/Försäkran Tillit till att en mekanism fungerar kan vi inte mäta. Försäkran är ett sätt att öka tilliten till en mekanism. När vi skapar mekanismer så följer vi tre steg med avseende att öka försäkran. Att följa dessa tre steg garanterar inte att vi kan lita på mekanismen, men det ökar vår försäkran jämfört mot en mekanism som inte genomfört dessa tre steg. Specifikation Ett uttryck för hur mekanismen ska fungera. Detta kan vara matematiska uttryck, logiska uttryck eller på naturligt språk. Design Specifikationen delas upp i de komponenter som behövs för att uppfylla specifikationen. Implementation Från designen så implementeras ett system. Detta inkluderar tester som ser till att implementationen fungerar korrekt. 32
33 Utmaningar Vid införandet av en policy och en mekanism måste man väga fördelarna av skyddet mot kostnaden av design, implementation och användandet av mekanismen. Risken man utsätts för om hotet förverkligas måste vägas mot sannolikheten av att det händer. Samtidigt måste man ta hänsyn till att mekanismer måste accepteras av lagar och samhället i stort. 33
34 Utmaningar Policy: Endast anställda får ha tillgång till kopiatorrummet. Mekanism: Alla anställda har var sin nyckel till kopiatorrummet. Mekanism: Fönstret in till kopiatorrummet ska vara av skottsäkert glas. Mekanism: Alla som kommer in på avdelningen måste genomgå visitering av säkerhetspersonal för att motverka att någon tar med sig vapen in som kan användas för att ta sig in i kopiatorrummet. En mekanism kan vara onödigt dyr, olaglig, och inte accepterad av samhället i stort. Men för att skydda en flygplats är dessa mekanismer lagliga, accepterade och värdefulla. 34
35 Utmaningar Cost-Benefit analysis Om informationen eller resursen som man försöker skydda är värd mindre än skyddet, så är det inte kostnadseffektivt att skydda informationen eller resursen, eftersom den kan återskapas billigare än kostnaden för skyddet. Skrivare kostar inte så mycket att man behöver skottsäkert glas. Ett lås på dörren är billigare än skrivaren. I vissa fall kanske det till och med inte är värt kostnaden av ett lås, och då kan skrivaren stå i ett publikt rum, utan någon säkerhet. 35
36 Riskanalys Riskanalys En bedömning av vad som skall skyddas och till vilken utsträckning. Analys av hot, konsekvenserna av dessa och sannolikheten att de inträffar. Hot med liten sannolikhet, men med stora konsekvenser är oftast viktigare att skydda sig mot än hot med hög sannolikhet med liten konsekvens. Ämnet för nästa föreläsning. 36
37 Det största hotet mot säkerhet - Människan Organisationen Det kan vara svårt att motivera varför man behöver ett skydd eftersom skyddet inte ger direkt värde, utan skyddar annat som har värde. Det finns begränsat med resurser, och de resurser man lägger på säkerhet måste tas ifrån någon annanstans. Det kräver kompetens, inte bara av de som implementerar skyddet men av de som ska sköta det och använda det. 37
38 Det största hotet mot säkerhet - Människan Personer Det största hotet kommer från individer. Givetvis från utomstående som försöker attackera systemet, men ofta (och mer allvarligt) från individer inifrån: En anställd lånar ut sin nyckel till kopiatorrummet. Det spelar inte längre någon roll om vi har skottsäkert glas, visiterar folk när de kommer in eller låter fönstret vara stäng. Andra typer av problem uppstår genom att man har mekanismer som inte individen vet hur man skall använda, eller struntar i att använda. Det kan finnas avsiktliga och oavsiktliga misstag vid implementationen av en mekanism (introduktion av back doors). Social engineering. 38
39
Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)
Designprinciper för säkerhet och Epilog Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Designprinciper för säkerhet Tumregler och utgångspunkter
Läs merPraktisk datasäkerhet (SäkA)
Praktisk datasäkerhet (SäkA),23 november 2002 1(16) Praktisk datasäkerhet (SäkA) CyberRymden 2002-07-11 Meta information Syfte: Väcka intresse för informationssäkerhet och ge kunskap om vad man gör för
Läs merFörsättsblad till skriftlig tentamen vid Linköpings Universitet
Försättsblad till skriftlig tentamen vid Linköpings Universitet Datum för tentamen 2009-10-16 Sal TER1, TER2 Tid 8-12 Kurskod Provkod Kursnamn/benämning TDDD36 TEN2 Projekttermin: Säkra Mobila System Institution
Läs merFörsättsblad till skriftlig tentamen vid Linköpings Universitet
Försättsblad till skriftlig tentamen vid Linköpings Universitet Datum för tentamen 2010-01-12 Sal KÅRA Tid 8-12 Kurskod Provkod Kursnamn/benämning TDDD36 TEN2 Projekttermin: Säkra Mobila System Institution
Läs merIntroduktion till informationssäkerhet
Introduktion till informationssäkerhet Daniel Bosk Avdelningen för informations- och kommunikationssytem (IKS), Mittuniversitetet, Sundsvall. intro.tex 1586 2014-01-27 14:21:59Z danbos 2 Översikt 1 Formalia
Läs merFörsättsblad till skriftlig tentamen vid Linköpings Universitet
Försättsblad till skriftlig tentamen vid Linköpings Universitet Datum för tentamen 2010-08-23 Sal TER3 Tid 8-12 Kurskod Provkod Kursnamn/benämning TDDD36 TEN2 Projekttermin: Säkra Mobila System Institution
Läs merRiskanalys. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)
Riskanalys Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) 2 Risk risk = konsekvens * sannolikheten Den klassiska definitionen ger oss en grund
Läs merMetoder för datasäkerhet. Vad handlar en sådan kurs om???
Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga
Läs merFörsättsblad till skriftlig tentamen vid Linköpings Universitet
Försättsblad till skriftlig tentamen vid Linköpings Universitet Datum för tentamen 2010-10-08 Sal Tid 8-12 Kurskod Provkod Kursnamn/benämning TDDD36 TEN2 Projekttermin: Säkra Mobila System Institution
Läs merDatasäkerhet. Sidorna 576-590 i kursboken
Datasäkerhet Sidorna 576-590 i kursboken Vad är datasäkerhet? Säkerhet är skydd av egendom och människor Datasäkerhet är skydd av informationsegendom Datasäkerhet går inte att förverkliga väl utan identifiering
Läs merSäkra Designmönster (Secure Design Patterns)
Säkra Designmönster (Secure Design Patterns) Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Säkra designmönster Beskrivningar eller mallar
Läs merRiskanalys och informationssäkerhet 7,5 hp
Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd
Läs merMetoder för datasäkerhet. Vad handlar en sådan kurs om???
Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga
Läs merAnalyser. Verktyg för att avgöra vilka skydd som behövs
Analyser Verktyg för att avgöra vilka skydd som behövs Analystyper Sårbarhetsanalys Svarar på frågan Hur viktigt är det att jag bryr mig Hotanalys Svarar på frågan Hur utsatt är just jag för kända, tänkbara
Läs merFÖRHINDRA DATORINTRÅNG!
FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser
Läs merSäkra system. En profil om säkerhet och programvara. Profilansvarig: Nahid Shahmehri
Säkra system En profil om säkerhet och programvara Profilansvarig: Nahid Shahmehri Profilen: Säkra system Profilens mål Du ska vara förberedd för att utveckla och leda utveckling av säkra programvaruintensiva
Läs merEBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring
EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är
Läs merDatasäkerhet. Informationsteknologi sommarkurs 5p, 2004. Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.
Informationsteknologi sommarkurs 5p, 2004 Mattias Wiggberg Dept. of Information Technology Box 337 SE751 05 Uppsala +46 18471 31 76 Collaboration Jakob Carlström Datasäkerhet Slideset 10 Agenda Hot mot
Läs merSäkerhet i datornätverk
Säkerhet i datornätverk Vägen till ett säkrare datornätverk Mälardalens Högskola IDT DVA223, VT14 Information kunskap vetenskap etik 2014-03- 10 Fredrik Linder flr11002 Robert Westberg rwg11001 SAMMANFATTNING
Läs merDölja brott med datorns hjälp
Dölja brott med datorns hjälp Användandet av kryptering för att dölja brott har funnits länge(1970) Datorer har ändrat förutsättningarna Telefoni, fax och realtidskommunikation Svårare att bugga kommunikation
Läs merDatasäkerhetsmetoder, sista träffen. Lite återkoppling på utkasten
Datasäkerhetsmetoder, sista träffen Lite återkoppling på utkasten Allmänt Gör en tydlig struktur: sekretess för sig, dataintegritet för sig och tillgänglighet för sig, hot-brist-skada, osv Se till att
Läs merSäkerhet på Internet. Sammanställt av Bengt-Göran Carlzon
Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd
Läs merSäker kommunikation för inbyggda sensorsystem för hälsa. Mats Björkman Professor i datakommunikation Mälardalens högskola
Säker kommunikation för inbyggda sensorsystem för hälsa Mats Björkman Professor i datakommunikation Mälardalens högskola 1 Säker kommunikation n I medicinsk utrustning idag är kommunikation fundamentalt:
Läs merPolicy för användande av IT
Policy för användande av IT Inledning Det här dokumentet beskriver regler och riktlinjer för användningen av IT inom företaget. Med företaget menas [fylls i av kund] och med IT-avdelning menas vår partner
Läs merEIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011
EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................
Läs merINTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB
INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB Sida 1 av 8 Den 25 maj 2018 träder Dataskyddsförordningen i kraft vilket ställer fler krav på hur vi som företag hanterar personuppgifter i vårt arbete.
Läs merSammanfattning av riktlinjer
Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i
Läs merBilaga D - Intervjuer
Bilaga D - Intervjuer Intervju IT-chef Kommun A Inledande frågor: 1. Vilka delaktiviteter anser du ingår i aktiviteten administrera lösenord? Svar: Rutiner för att hantera behörigheter och lösenord. Delegerar
Läs merAdministrativ säkerhet
Administrativ säkerhet 1DV425 Nätverkssäkerhet Dagens Agenda Informationshantering Hur vi handhar vår information Varför vi bör klassificera information Riskanalys Förarbete till ett säkerhetstänkande
Läs merVarför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,
Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område, det må vara personal, miljö, eller informationssäkerhet.
Läs merDIG IN TO Nätverkssäkerhet
DIG IN TO Nätverkssäkerhet CCNA 1 1.- Inledning 1a.- Risker på Internet 1b.- Säkerhetsområde 1c.- Attack och försvasmetoder 2.- Nätverksinfrastruktur 2a.- Säkerhetskonfigurationer 2b.- SSH konfiguration
Läs merSäkerhet i fokus. Säkerhet i fokus
Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem
Läs merHot + Svaghet + Sårbarhet = Hotbild
4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.
Läs merRiskanalys och riskhantering
Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys
Läs merSäkra trådlösa nät - praktiska råd och erfarenheter
Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret
Läs merE-postpolicy för företag och organisationer Sammanställt av Azenna Advox AB
E-postpolicy för företag och organisationer Sammanställt av Azenna Advox AB Författare: Stefan Sjödin Datum: 2002-05-12 Granskare: Jan Blomqvist Granskningsdatum: 2002-05-14 Adress: Azenna Advox AB Esplanaden
Läs merIT-säkerhet i det tillverkande företaget
IT-säkerhet i det tillverkande företaget Henrik Carnborg System Service Engineer, Sweden Operations Joakim Moby IS Security Assurance & Business Engagement Lead, Corporate IS 2011-09-28 Kort introduktion
Läs merINTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB
INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB 2018-05-25 Den 25 maj 2018 träder Dataskyddsförordningen i kraft vilket ställer fler krav på hur vi som företag hanterar personuppgifter i vårt arbete. För
Läs merDOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:
IT-Användarpolicy 2018-01-25 Rackfish AB DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: 2009-09-14 TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN: 2018-01-25 FILNAMN: IT-användarpolicy VERSION: 2018 v1 DOKUMENTÄGARE:
Läs merRegel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser
Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK
Läs merIT-policy. Förvaltningen Björn Sandahl, förvaltningschef
Förvaltningen Björn Sandahl, förvaltningschef STYRDOKUMENT Diarienummer: GIH 2018/243 Datum: 2018-10-15 Beslutat av: Rektor Beslutsdatum: 2018-06-13 Reviderad: 2018-10-23 Giltighetstid: Tillsvidare Gymnastik-
Läs merInformationssäkerhet - en översikt. Louise Yngström, DSV
Informationssäkerhet - en översikt Louise Yngström, DSV Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande
Läs merINTEGRITETSPOLICY FÖR VERKSAMHETEN
INTEGRITETSPOLICY FÖR VERKSAMHETEN DEN 25 MAJ 2018 Sida 1 av 8 Den 25 maj 2018 träder Dataskyddsförordningen i kraft vilket ställer fler krav på hur vi som företag hanterar personuppgifter i vårt arbete.
Läs merAvancerade Webbteknologier 2. AD11g Göteborg 2012 Säkerhet
Avancerade Webbteknologier 2 AD11g Göteborg 2012 Säkerhet Korta punkter Projekt: Något som behöver redas ut? Product: Public Guid CategoryID {g; s;} Public virtual Category Category {g; s;} Category: Public
Läs merSäkra system. En profil om säkerhet och programvara. Profilansvarig: Nahid Shahmehri
Säkra system En profil om säkerhet och programvara Profilansvarig: Nahid Shahmehri En liten saga SQL Slammer Januari 2003 Problemet Stackbaserad buffer overflow i MS SQL server 2000 Ett UDP-paket med 376
Läs merKrypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet
Krypteringstjänster LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014 Joakim Nyberg ITS Umeå universitet Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov
Läs merVad är speciellt med IT-säkerhet?
Assurans Ett mått på tillit till IT-säkerhet i produkter och system Dag Ströman, Mats Ohlin Bonniers: Skydd, Trygghet Websters: Freedom from threats Begreppet säkerhet Behovet av en standard för säkerhet
Läs merRegler för användning av Riksbankens ITresurser
Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och
Läs merFN:s allmänna förklaring om de mänskliga rättigheterna. Lättläst
FN:s allmänna förklaring om de mänskliga rättigheterna Lättläst Om FN och de mänskliga rättigheterna FN betyder Förenta Nationerna. FN är en organisation som bildades efter andra världskriget. Alla länder
Läs merKapitel 8 Personalresurser och säkerhet
Kapitel 8 Personalresurser och säkerhet Människorna i en organisation brukar oftast kallas för kunskapskapitalet och betraktas som den viktigaste resursen. Men de är inte enbart en förutsättning för verksamheten
Läs merIntroduktion till MySQL
Introduktion till MySQL Vad är MySQL? MySQL är ett programmerings- och frågespråk för databaser. Med programmeringsspråk menas att du kan skapa och administrera databaser med hjälp av MySQL, och med frågespråk
Läs merHur hanterar man krav på säkerhet?
Hur hanterar man krav på säkerhet? Agenda Introduktion Krav i förhållande till en kvalitetsmodell Mål Policy Krav Säkerhet som kvalitetsfaktor kvalitetsfaktorn Den gemensamma underliggande kvalitetsfaktorn,
Läs merMina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner
Sida 1 (17) 2014-06-26 Mina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner Kornhamnstorg 61 SE-111 27 Stockholm Sweden Telefon: +46 (0)8 791 92 00 Telefon: +46 (0)8 791 95 00 www.certezza.net
Läs merBehörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det
Behörighetssystem Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det Systemet måste kunna registrera vilka resurser, d v s data och databärande
Läs merEIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011
EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................
Läs merÖppen data och vad vi kan vinna på att offentliggöra uppgifter! Formatdag i västerås 2015-11-17 Björn Hagström bjorn.
Öppen data och vad vi kan vinna på att offentliggöra uppgifter! Formatdag i västerås 2015-11-17 Björn Hagström bjorn.hagstrom@orebrolse Den information vi har är ofta kopplad till personer. Grundregeln
Läs merInformationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016
Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn
Läs merP e r He l l q v i s t. S e n i o r S e c u r i t y S p e c i a l i s t No r d i c & B a l t i c r e g i o n
P e r He l l q v i s t S e n i o r S e c u r i t y S p e c i a l i s t No r d i c & B a l t i c r e g i o n Rädd? Me d v e t e n? ETT BROTT BEGÅS... VAR 15e MI NUT I P A RI S. VAR 3½ MI NUT I NE W Y ORK
Läs merSäkerhet i en telefonimiljö
Säkerhet i en telefonimiljö Nortel s användarförening 2008-11-11 Per Sundin Product Manager Kontrollfråga Vad är detta? Rätt svar - Cap n Crunch Bosun Whistle. Kom i flingpaket, ca 1964 Vad användes den
Läs merSectra Critical Security Services. Fel bild
Sectra Critical Security Services Fel bild Sectra is world leading in data security Sectra is also one of Europes most reknown IT-security companies with solutions such as: EU TOP SECRET High speed encryption
Läs merFamiljehemsbanken Uppdaterat
Uppdaterat 2014-01-07 Allmänna villkor Familjehemsbanken är en mötesplats för privatpersoner som är eller vill bli familjehem, jourhem samt kontaktfamilj och personer som arbetar inom familjevården i kommun
Läs merSpårbarhet En underskattad dimension av informationssäkerhet
Datavetenskap Opponenter: Karl-Johan Fisk och Martin Bood Respondent: Jon Nilsson Spårbarhet En underskattad dimension av informationssäkerhet Oppositionsrapport, C-nivå 2007:10 1 Sammanfattat omdöme av
Läs merSäkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar
Säkerhetsmekanismer Säkerhetsmekanismer och risk = Skydd Avser att öka informationssäkerheten Är en typ av informationstillgång IT i vården (28 sidor) 1 2 Skadlig kod Virus (kopierar sig själva inuti andra
Läs merTDDD82. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)
TDDD82 Projekttermin inklusive kandidatprojekt: Säkra, mobila system Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Översikt - Personal Terminsansvarig:
Läs merSSF Säkerhetschef. Informationssäkerhet Per Oscarson
SSF Säkerhetschef Informationssäkerhet 2016-11-30 Per Oscarson Hotbild Innehåll hotbild Informationssäkerhetshot Kategorier av hot Sårbarheter kopplade till IT-beroendet Desinformation, informationskrigföring
Läs merORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet
Användning av IT-resurser Fastställda av: Rektor Datum: 2016-10-25 Inledning Örebro universitet är en statlig myndighet som bedriver utbildning, forskning och samverkan med det omgivande samhället. Universitetet
Läs merAtt analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se
Att analysera värderingar bakom inforamtionssäkerhet Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se Agenda 1. Bakgrund varför studera värderingar? 2. Hur VBC-method 3. Hur kan resultatet från analyser användas
Läs merANVÄNDARHANDBOK. Advance Online
ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...
Läs merSNABBGUIDE TILL LÄRANÄRA
SNABBGUIDE TILL LÄRANÄRA Välkommen till LäraNära! Här är en snabbguide till hur du installerar programmet och registrerar dig för kurser. Vad du behöver Dator med Windows 98, 2000, XP eller Vista. CD-spelare
Läs merFamiljehemsbanken Gäller fr.o.m
Gäller fr.o.m 2018-05-18 Allmänna villkor är en mötesplats för privatpersoner som är eller vill bli familjehem, jourhem, kontaktfamilj samt kontaktperson och personer som arbetar inom familjevården i kommun
Läs merDatabaser design och programmering. Design processen ER- modellering
Databaser design och programmering Design processen ER- modellering 2 Programutveckling Förstudie, behovsanalys Programdesign, databasdesign Implementation 3 Programdesign, databasdesign Databasdesign
Läs merTrender inom Nätverkssäkerhet
Trender inom Nätverkssäkerhet David Sandin Product & Solution Manager david.sandin@clavister.com What Vad vi we gör? do Network and mobile security Nätverkssäkerhet. Det här är Clavister ü Grundades i
Läs merInternetsäkerhet. banktjänster. September 2007
Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig
Läs merDatakörkortet. www.dfs.se/datakorkortet. Dataföreningen Det Europeiska Datakörkortet, Maj 2003
Datakörkortet av sig för att ta Varför Datakörkortet ECDL? Förkortningen ECDL står för European Computer I bara Datakörkortet.Datakörkortet vänder sig till både företag och privatpersoner. Datakörkortet
Läs merDatasäkerhetsmetoder, sista träffen. Social engineering Lite återkoppling på utkasten
Datasäkerhetsmetoder, sista träffen Social engineering Lite återkoppling på utkasten Social Engineering Socialt samspel handlar om sedvänjor, kultur och tradition Man kan utnyttja detta genom så kallad
Läs merAtt skriva inlägg i Spelmansgillets bloggar hos Blogspot/Google
Att skriva inlägg i Spelmansgillets bloggar hos Blogspot/Google Läsare vem som helst eller utvald krets Bloggen kan konfigureras så att inlägg kan läsas av vem som helst på nätet. Den kan även konfigureras
Läs merAtt. Vad kan vi hjälpa er med?
especifikation Att Vad kan vi hjälpa er med? Vi vet att man lägger ned mycket tid och energi på sina lönespecifikationer och det vill vi ändra på. Vi vill spara på miljön. Vi vill minska kostnaderna för
Läs merSÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER
SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta
Läs merTitel: Strävan efter medarbetarengagemang: Choklad, vanilj eller jordgubbe?
Titel: Strävan efter medarbetarengagemang: Choklad, vanilj eller jordgubbe? Av Bill Sims, Jr. Ärligt talat så har vi allvarliga problem med säkerhetskulturen, Bill. Det är verkligen en märklig upplevelse
Läs merDatorer finns överallt, men kan man lita på dem?
Datorer finns överallt, men kan man lita på dem? Magnus Almgren Göteborg 2011-05-11 Postdoc, finansierad av MSB 15 20 år sedan Internet började a4 användas av fler, men de flesta hade inte ens e- post,
Läs merANVÄNDARVILLKOR ILLUSIONEN
ANVÄNDARVILLKOR ILLUSIONEN Välkommen till Illusionen! Tack för att du använder Illusionen som tillhandahålls av Fotboll 2000. Detta är villkoren för användning av denna webbplats och programvara, bilder,
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Läs merAtt använda kryptering. Nyckelhantering och protokoll som bygger på kryptering
Att använda kryptering Nyckelhantering och protokoll som bygger på kryptering 1 Nyckelhantering Nycklar måste genereras på säkert sätt Nycklar måste distribueras på säkert sätt Ägaren av en nyckel måste
Läs merStatistiska centralbyrån
MONA-handledning 1. Inloggning 2. Användning 3. Utloggning 1. Inloggning För inloggning i MONA-systemet krävs ett användarnamn, en PIN-kod och ett lösenord. Dessa hittar du på ett rekommenderat brev som
Läs merVI TÄNKER PÅ HELHETEN
UTBILDNINGAR2015 VI TÄNKER PÅ HELHETEN SSF har 40 års erfarenhet av att genomföra säkerhetsutbildningar. Att skapa en trygg och säker arbetsplats handlar mycket om sunt förnuft och genom SSFs utbildningar
Läs merASBRA - Dataskyddspolicy
Vi värnar om skyddet av dina enskilda rättigheter och dina personuppgifter. Den här Dataskyddspolicyn beskriver hur vi samlar in, använder, lagrar och delar personuppgifter. Policyn är ett komplement till
Läs merKom igång! Snabbstart för dig som är administratör
Kom igång! Snabbstart för dig som är administratör Innehåll Snabbstart och användarmanual 4 Personalhandbokens uppbyggnad 5 Redigeringsläget 6 Att redigera i personalhandboken 7 Publicering av de redigerade
Läs merRiktlinjer för personsäkerhet vid Uppsala universitet
Dnr UFV 2012/487 Riktlinjer för personsäkerhet vid Uppsala universitet Hot och våld Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Mål 3 4 Personsäkerhet 4 4.1 Hot och våld i arbetsmiljön 4 4.2 Arbetsgivaransvaret
Läs merSQLs delar. Idag. Att utplåna en databas. Skapa en databas
Idag SQLs delar Hur skapar vi och underhåller en databas? Hur skapar man tabeller? Hur får man in data i tabellerna? Hur ändrar man innehållet i en tabell? Index? Vad är det och varför behövs de? Behöver
Läs merDenna Sekretesspolicy gäller endast för webbsidor som direkt länkar till denna policy när du klickar på "Sekretesspolicy" längst ner på webbsidorna.
Sekretesspolicy Elanco, en division inom Eli Lilly and Company (Lilly), (härefter "Elanco" eller "Lilly" i denna Sekretesspolicy) respekterar integriteten hos dem som besöker våra webbsidor och det är
Läs merBehov ställs mot teknik
1 Behov ställs mot teknik Introduktionsföreläsningen gick igenom lite grundläggande begrepp för säkerhet (konfidentialitet, integritet och tillgänglighet) som beskriver olika sätt ett system eller tillgångar
Läs merModul 3 Föreläsningsinnehåll
2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben
Läs merSitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic
Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum
Läs merLösenordsregelverk för Karolinska Institutet
Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet
Läs merEBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet
2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större
Läs merÖvningsuppgifter med E-postklienten MS live Inloggning
Övningsuppgifter med E-postklienten MS live Inloggning Adressen till webbklienten live.com skrivs in i webbläsarens adressfält Skriv in hela din e-postadress Utseendet på det här området används av Microsoft
Läs merSäker programmering - Java
Säker programmering - Java Information är en värdefull tillgång i dagens värld och en effektiv hantering sätter höga säkerhetskrav på medarbetarna. Säker programmering - Java Nowsec säkerhetsgranskar dagligen
Läs mer