Informatikai biztonság az önkormányzatoknál 2004/3

A közigazgatás szakmai fóruma

Cikkek / Informatika

Informatikai biztonság az önkormányzatoknál 2004/3

VI. évfolyam, 3. lapszám
Szerző(k):
Csapó Sándor



Az informatikai infrastruktúra megállíthatatlan elterjedése egyre több biztonsági problémát is felvet. A korábban papíralapú adathordozókon kezelt érzékeny adatok (az állampolgárok személyes adatai, az önkormányzat hatáskörébe tartozó gazdasági társaságok üzleti adatai, stb.) egyre inkább elektronikus adathordozókra kerülnek és feldolgozásuk is elektronikusan történik.
Ha az ilyen érzékeny adatok sértetlensége, bizalmassága, hitelessége sérül, vagy az adat elveszik, és nem áll a kezelők, vagy a felhasználók rendelkezésre a szükséges időben, az az önkormányzatnak jelentős kárt okozhat, de az olyan esetekben, amikor az önkormányzatokra bízott adatoknak, pl. a bizalmassága sérül, akkor akár felmerülhet az adattulajdonosokkal szembeni felelősség kérdése is.
A károk és a felelősségre vonás kockázata jelentősen csökkenthető azáltal, hogy az önkormányzatok informatikai rendszereiben, valamint azok személyi és fizikai környezetében jelentősen megerősödik a biztonság szintje a megfelelő védelmi intézkedések megvalósításával.
Az előzőekben elmondottak alapján érthető, hogy a felhasználók elvárása az informatikai alkalmazásokkal szemben egyre nő, a hangsúly az alkalmazások használhatósága mellett azok biztonságára is egyre inkább fókuszálódik. Gyakran a hagyományos módszert kiváltó informatikai rendszer biztonságosságával szemben a maximumot várjuk el, de az esetek többségében ezt a hagyományos rendszer sem teljesíti. Gondoljunk itt csak a pénzhamisítás, vagy a klasszikus aláírás nehezen megvalósítható ellenőrzésére. Néhány informatikai szolgáltatás – például digitális aláírás – elterjedésének az egyik legnagyobb akadálya az emberek bizalmatlansága, számukra nehezen megfogható valósága adja. Mivel 100%-os biztonság nincs, ezért sok esetben nem, vagy csak részben megvalósítható az alkalmazás és az alkalmazás által kezelt adatok biztonsága.
A legtöbb problémát napjainkban a hackerek és a vírusok jelentik, azonban nem elhanyagolható a belső munkatársak, vagy külső személyek által elkövetett illetéktelen hozzáférés vagy tudomásra jutás kockázata sem. A velük szemben folytatott védekezés során is a legnagyobb szerep az informatikai rendszer köré kiépített biztonsági eszközöknek jut. Nem elhanyagolható azonban a kialakított informatikai rendszer biztonsági előírásainak betartása és betarttatása, valamint az informatikai biztonság rendszeres ellenőrzése sem.
Informatikai biztonság az önkormányzatoknál
A hagyományos információkezelést az önkormányzatoknál is felváltották az informatikai rendszerek.
Az információ feldolgozás jelentős része történik hálózatba kötött PC-ken, a helyi hálózat pedig valamilyen módon kapcsolódik külső hálózatokhoz. A külső hálózati kapcsolat miatt itt is felmerül az adatok, információk biztonságos tárolásának a kérdése. Az itt elektronikusan tárolt adatok megfelelő védelem hiányában közvetlenül ki vannak téve az illetéktelen kezekbe kerülés, illetve az adat megsemmisülés veszélyének.
Az önkormányzati irodáknál a következő adatbiztonság szempontjából kritikus területek merülhetnek fel:
 az önkormányzat belső (pénzügyi, gazdasági, pályázati, stb.) adatai,
 az állampolgárok személyes adatai,
 a gazdasági társaságok üzleti adatai,
amelyek első sorban a tartalomszolgáltatás, a levelezés, az elektronikus ügyintézés során kerülnek kezelésre.
A belső elektronikus adatok létrehozott vagy kapott, a PC-k merevlemezén, vagy fájlszerveren tárolt nem publikus dokumentumok, amelyeket védeni kell, hogy ne kerülhessenek olyan személyekhez, akik nem jogosultak ezeknek az információknak a birtoklására. A hackerek kedvelt célpontjai az interneten működő publikus web szerverek, támadásaik során meghamisíthatják a web-hely tartalmát, vagy elérhetetlenné teszik a szolgáltatást, illetve a web szerverek feltörésével is kikerülhetnek a nagyközönség számára nem publikus dokumentumok. Kiemelten fontos a levelezőrendszer védelme, mivel egy belső hálózatba a legkönnyebben így juthatnak be rosszindulatú kódot tartalmazó szoftverek. A legkritikusabb terület az adatok érzékenysége és a védelmi követelmények miatt az elektronikus ügyintézés, amitől napjainkban a legtöbben még idegenkednek.
Alapelvek
Az informatikai rendszerek biztonsági követelményeinek meghatározására nemzetközi szervezetek munkája eredményeként több dokumentum is született. Ezek közül a legjelentősebbek az Európai Közösség számára készült ITSEC (Információtechnológia Biztonsági Értékelési Kritériumok), az Európai Közösség, valamint az amerikai és kanadai kormányok támogatásával kidolgozott CC (Közös Követelmények) és magyar vonatkozásban a Miniszterelnöki Hivatal ITB 12. számú ajánlása: Informatikai rendszerek biztonsági követelményei (http://www.itb.hu/ajanlasok/a12/). Informatikai rendszerek biztonsági rendszerének kialakításánál ajánlott az ezekben a dokumentumokban leírt alapelveket figyelembe venni.
Az informatikai biztonság két fő alapterülete:
 Információvédelem: amely az adatok által hordozott információk sértetlenségének, hitelességének és bizalmasságának elvesztését hivatott megakadályozni.
 Megbízható működés: amely az informatikai rendszerre vonatkozólag az adatok rendelkezésre állását és a hozzájuk kapcsolódó alkalmazói rendszerek funkcionalitását hivatott biztosítani.
Egy informatikai biztonsági rendszer kialakítását megelőzően előzetes tervezés során meg kell határozni a védendő adatok (információk) körét, kockázatelemzés során az esetlegesen bekövetkező károkozás esetén keletkező károk mértékét. Az informatikai biztonsági rendszer kialakítása az adott környezetre illeszkedően az előzetes tervezésnek és a kockázatelemzésnek megfelelően történik. Megfelelő hangsúlyt kell fordítani a rendszer dokumentálására is, mivel ez a rendszer működése során a későbbiekben jelenthet kockázatot. A kialakított informatikai biztonság megőrzése szempontjából lényeges az üzemeltetői és a felhasználói személyzet folyamatos képzése, felkészítése, tekintettel arra, hogy a támadási technikák is folyamatosan változnak. Nem elhanyagolható kérdése az informatikai biztonságnak a kialakított rendszer folyamatos és rendszeres- kockázattól függően – ellenőrzése, auditálása független szakértők által.
Rendszerelemek
A támadás, illetve a védelem alapvető tárgya az adat, amely az információt hordozza. A támadások nem közvetlenül érik az adatokat, hanem az azokat körülvevő, védelmi funkciókat betöltő rendszerelemeken keresztül. A támadások nem csak az adatok bizalmasságát, sértetlenségét, hitelességét veszélyeztethetik, hanem rendszer megbízható működését, rendelkezésre állását is.
Az adatot, mint a támadások alapvető célját a következő rendszerelemek veszik körül:
 az informatikai rendszer fizikai környezete és infrastruktúrája,
 hardver rendszer,
 szoftver rendszer,
 kommunikációs, hálózati rendszerek
 adathordozók,
 dokumentumok és dokumentáció,
 személyi környezet (külső és belső).
A gyakorlatban alkalmazható technikai megoldások
A technikai megoldásokat két nagy csoportba sorolhatjuk. Az egyik nagy csoportba azok az eszközök, megoldások tartoznak, amelyek a teljes belső hálózat védelmét végzik a támadásokkal szemben, leválasztva a belső hálózat eszközeit az internetről. Ebbe a csoportba tartoznak a tűzfalak, betörésdetektáló gépek, vírus gateway-ek, VPN megoldások. Ezek az eszközök alkotják a külső védelmi vonalat. A másik nagy csoportba sorolt megoldások, közvetlenül a PC-ket, és az ott tárolt adatokat védik. A kliens oldali védelem akkor jut szerephez, ha a betörést végző személynek (rosszindulatú programkódnak) valamilyen módon sikerül átjutnia a külső védelmen. A kliens oldali védelem alkalmazásával csökkenhetjük a támadó esélyeit, hogy sikeres támadást hajtson végre.
Külső védelmi vonal
 Tűzfal
 Védi a belső hálózaton található eszközöket a külső (internet felől érkező) támadásokkal szemben, úgy, hogy csak a megfelelő hálózati forgalmakat engedi a belső hálózat gépei felé. Egy jól konfigurált tűzfal segítségével sokféle támadás ellen hatékonyan lehet védekezni.
 Hálózati betörésdetektálás (IDS)
 A betörésdetektáló rendszer figyeli a hálózaton közlekedő csomagokat, és ha betörési kísérletet érzékel, lezárja az adott hálózati kapcsolatot, megakadályozva ezzel, hogy a hálózat belső gépeihez hozzáférjenek.
 Vírus gateway
 A levelezési forgalmat bonyolító hálózati csomagok elemzésével próbálja meg kiszűrni a vírusos csatolásokat tartalmazó leveleket.
 Virtual Private Network (VPN)
 Titkosított biztonságos csatornát hoz létre az internetet felhasználva két távoli pont (gép, hálózat) között. Biztosítja, hogy csak a jogosult felhasználó használhassa a hálózatot. A hálózaton keresztül áramló adatok így védettek a lehallgatások ellen.
Kliens oldali védelem
 Személyes tűzfalak (Personal firewall) Egyedi gépre telepített tűzfal szoftver. Nem helyettesíti a külső tűzfalat, de bizonyos támadások ellen védelmet nyújthat a személyes tűzfal használata.
 Kliens (vagy host) gépen futó betörésdetektálás Ellenőrzi az adott gépre történő illetéktelen bejelentkezéseket, hozzáféréseket, betörésre utaló jeleket. Figyelmezteti a felhasználót ezekről az eseményekről.
 Vírus ellenőrző szoftver Esetleges vírus fertőzés esetén figyelmeztet a vírus jelenlétére, illetve segít a számítógép merevlemezén található fertőzött fájlok megtisztításában.
 Titkosított merevlemez tárterület Fontos elektronikus dokumentumok tárolására használható, segítségével megakadályozható az illetéktelenek hozzáférése ezekhez a dokumentumokhoz.
 Elektronikus aláírás Az Internet világában a digitális tartalmak hitelességét és sértetlenségét a nyilvános kulcsú (PKI) rendszerrel készített elektronikus aláírás biztosítja. Használatával ellenőrizhető egy dokumentum változatlansága, eredetisége, azonosítható a dokumentum forrása.
A rendszeres ellenőrzés szükségessége
Rendszeres biztonsági ellenőrzésre még a lehető legjobb biztonsági megoldásokkal megvalósított informatikai rendszer esetében is szükség van. Az ellenőrzés feltárja a megbúvó hibákat, segít felderíteni a rendszer további gyengeségeit, és rákényszerít ezek kijavítására. Egyben minősíti is a vizsgálat tárgyát, hogy mennyire felel meg az eredeti célkitűzéseknek, az elméleti tervezés során vázolt, a valóságban megépített rendszer.

Kategória

Könyvajánló

Facebook Pagelike Widget

 

1037 Budapest, Montevideo utca 14.
Tel.: +36 1 340 2304
Fax: +36 1 349 7600
E-mail: info@orac.hu

Weboldal: orac.hu

Szakmai partnerek

Jegyzők Országos Szövetsége (JOSZ) – www.josz.eu

Közszolgálati Tisztviselők Szakmai Szervezeteinek Szövetsége – www.kozszov.org.hu