– Adatvédelem – tapasztalatok az Egyetemi Könyvtárból Adat, ember, hálózat és ami körülöttük van Sándor Ákos (SZTE Klebelsberg Könyvtár) akos@ek. szte. hu
Bevezető gondolatok Tárolt/kezelt adatok köre Tároló/kezelő eszközök köre Tárolást/kezelést biztosító személyek köre És a hozzáférést biztosító közeg, a Hálózat A kérdés pedig, hogy mit is érthetünk a biztonságon? ! (mit védünk mitől? ) Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Adatok File: Lokális gépen vagy hálózati meghajtón tárolt Digitalizált vagy digitálisan előállított dokumentumok Email INBOX Szolgáltatást végző szerver konfigurációs állománya stb. Adatbázis rekord: Metaadat - publikus (pl. marc) - privát (pl. diploma repozitóriumban az érdemjegy) Személyes adatok stb. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Eszközök Lokális informatikai eszközök - Kliens gépek (pc, vékony kliens) Mobil eszközök (tablet, e-book reader) Hálózati aktív eszközök (switch, wifi ap, tűzfal) Hálózati nyomtató/scanner Szerver gépek És mindegyiknek van saját operációs rendszere illetve egyéb software komponensei, amik nélkül a feladatait az eszköz nem tudná teljes körűen ellátni. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Eszközök Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Publikus kliens gép Asztali pc-n valamilyen Windows vagy Linux, esetleg Mac. OS stb. Hordozható eszközön valamilyen Windows, Android vagy IOS stb. Szituáció (publikus gép Windows): Szombat délután jött az egyik publikus gépünktől egy email, hogy beléptek rá rendszergazdaként és a következő pénteken is. . [. . ] A 18 -as gépel kapcsolatban: "pénteken 11: 07: 41 másodperckor" csatlakoztatták a géphez az ISEEPWD kötetcímkéjű pen-drive-ot, ami ugyancsak a Patriot chipgyártmányú, így azonos a szombati 17 -es gépnél használttal. Be is léptek egy időre rendszergazdaként, majd gyorsan kilépett az illető. 11: 10 -kor már ott sem volt. Mintegy előkészítette a terepet. [. . ] "pénteken 11: 07: 41 másodperckor", ez nem igaz, csak a log fájl ekkor kezdődött íródni, a gépen nem volt hálózat, így nem kapcsolt ki éjszaka. A pen-drive-ot egészen pontosan szombaton 16: 03: 42 másodperckor csatlakoztatták. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Kliens gép És a nyomozgatás vége: „. . ISEEPWD kötetcímkéjű pen-drive. . „ Ja! hogy van egy kb. 40$-os software, aminek az a neve, hogy i. See. Password És sajnos volt egy olyan pc vásárlásunk, amikor publikus térbe kikerült pc-knél minden le volt tiltva bios-ból, op. rsz-ből szabályozva, csak épp az USB-s bootolás nem. Pontosabban nem megfelelően, bár ez csak az esemény után vált egyértelművé. (pl. cd-s bootolás, jelszót kér, tehát usb-re dugott cd-ről nem ment ugyanez stb. ) Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Local Area Network Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Tűzfal Alapvetően egy határvédelmi eszköz (hw és/vagy sw) a helyi hálózat és az Internet között. Csak azokat az adatforgalmakat beengedni és csak azokhoz a szolgáltatásokhoz, ami szükséges a működéshez, minden mást tiltani. LAN forgalma nem feltétlenül járja meg a tűzfalat is. . -> valamennyi hálózati eszköz konfigurációjánál figyelembe kell ezt venni, pl. a vlan-ok közötti átjárhatóság szabályozása stb. Eseménynaplót (log) mindenhova. Szituáció: Nemrégiben pl. a youtube egyik szervere portscannelte az egyetemet. Tűzfalon kizárták, s a fél egyetemen nem volt elérhető délelőtt a youtube. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Switch Port Security beállítása a publikus terekben lévő aktív hálózati végpontokra. Szituáció Próbálnak hálózati kábelt kihúzni a publikus gépből és saját eszközt feltenni a LANra, de a switch „error disabled”-be teszi ilyenkor persze a portot és nem megy az illegális LAN használat. (csak sajnos törik a csatlakozó, mert azt hiszi rosszul dugta be és megpróbálja jobban benyomni, hátha akkor sikerül. . ) Port mirroring – a switch hálózati végpontot kiszolgáló portját a rendszergazda megfelelő beállítással tudja tükrözni. . Ez hasznos lehet például a forgalom figyelésére, elemzésére, események loggolására. Ugyanakkor elég veszélyes lehetőség is lehet egy megfelelően képzett, de hiányos erkölcsű szakember kezében. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Switch monitoring Tegnap nyitvatartási időt szépen mutatja a bejövő forgalom. (zöld) Nna de tegnapelőtt hajnalban, mi is volt az a sok zöld? JA! És tegnap éjszaka a megnövekedett kimenő forgalmat mi generálta? Az ismétlődő minta nem gyanús, de az nem jelenti azt, hogy ott nem történhetett valami támadás. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Wifi Eduroam elvárások miatt peap, mschapv 2, ami persze eltérés a default windows xp -k esetén Plusz még hitelesítés (SSL certificate) is, hogy a kliens (pl. olvasó notebookja) biztosítva legyen arról, hogy a könyvtár wifi szolgáltatásához csatlakozott. Szituáció: 2011 -ben pl. kompromittálták az egyik tanúsítványkiadó szervereit: https: //www. comodo. com/Comodo-Fraud-Incident-2011 -03 -23. html Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Wifi monitoring (WLC) Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Távoli bejelentkezés Kiszolgáló szerverre történő távoli bejelentkezésre szükség van, hiszen nincs 24 h-s rendszergazdai felügyelet az épületünkben, s néha távolról kell megvizsgálni/továbblendíteni valamit. Fontos végiggondolni a hálózati útvonalat. Milyen porton, milyen eszközökön keresztül hogyan juthatunk el a legbiztonságosabban. Szituáció: Jellemző, hogy az irodai gépem adott szolgáltatását egy „gyöngébb” péntek délutáni időszakban 16 -17 h között 1000 db (!) bejelentkezési kérés futott be. Egyik kísérlet se jutott be, de ez mind-mind fogyasztja az erőforrásokat. . (hálózati eszközökét is) Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Távoli bejelentkezés Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Levelező szerver Email küldés/fogadás Bejövő levelek spam- és vírusszűrése Szituáció Kolléga adathalász website-on adja meg a levelező szerverünkhöz való azonosító/jelszó párt és azzal spam-melnek kifelé, az probléma. pl. komplett gmail. com visszadobja az összes odamenő levelét az email szerverünknek, mert felkerültünk egy blacklist-re. azonnali jelszóváltás és továbbképzés a kollégának, hogy amit lát, az tényleg el tudja dönteni, hogy az-e az, ami. . És persze rendszergazdák eszköztárában is van olyan lehetőség, hogy „Always Bcc: ”-t tud beállítani a feladó tudta nélkül. szolgáltatás konfigurációját csak verziókövető rendszeren keresztül lehet módosítani, a változásokról meg szélesebb kör kapja az emailt. . Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Web szerver Tartalomkezelő rendszerekbe (CMS) böngésző segítségével egy weblapon keresztül jelentkezik be a tartalom fejlesztésére a kolléga. Nem árt ilyenkor az adott software-ben (pl. Apache) konfigurációt módosítani, hogy a LAN melyik IP-jű gépeiről lehet egyáltalán bejelentkezni. Magyar Könyvtárosok Egyesülete, Vándorgyűlés 2015
Szerver monitoring Megfigyelt eszközből 146 elérhető és 12 nem. Ezeken 268 szolgáltatás van monitorozva, amiből 6 warning, 5 nem elérhető és 34 critical állapotban van Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Szerver monitoring 6 warning tárterület fogyást jelez. Van, ami már több, mint 160 napja. . Pl. 1 TB-nek a 10%-a 100 GB, ott azért sok pdf elfér még Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Szerver monitoring Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Rendszergazdák Bejelentkezések loggolódnak, emailben elküldődnek. Verziókövető rendszeren keresztül frissítik a konfigurációkat (pl. svn) és arról is megy az emailes értesítés egy bővebb körnek. Munkaköri leírás, adatvédelmi szabályzat, titoktartási kötelezettség mind-mind befolyásolja a rendszergazdák működését. Az egyes rendszerekhez olyan jogosultságok kerüljenek kiosztásra, ami a feladatok elvégzéséhez szükségesek. (read only, editor, admin) Folyamatos dokumentációs elvárás és feladatvégrehajtás-nyilvántartás szükséges. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Záró gondolatok Mese nincs, nagyon pontosan meg kell határozni és szabályozni kell mindenütt - a védendő adatok körét - a védendő eszközök körét - a védelmet biztosító személyek hozzáférési jogosultságainak körét - a Hálózat adta lehetőségek, a használatából fakadó veszélyek körét Tudatosan meg kell határozzuk a problémák megelőzésére, kezelésére mennyi időnk és energiánk van, milyen szakember gárdával rendelkezünk, milyen szabályozási és ellenőrzési mechanizmusaink vannak, amelyek arra elegendőek, hogy a múltban felmerült biztonsági problémákat kezeljük és esélyünk legyen a jövőbeni problémák időben történő felismerésére és persze ideális esetben azok megelőzésére is. A biztonság nem egy svájci bicska, ami ha megvan, akkor mindent biztonságban tudhatunk. Folyamatosan monitorozni és dokumentáltan cselekedni kell a biztonságért. Egyházi Könyvtárak Egyesülése szakmai nap, 2017. november 30.
Kérdések? Köszönöm a figyelmet! Magyar Könyvtárosok Egyesülete, Vándorgyűlés 2015
Скачать презентацию Adatvédelem tapasztalatok az Egyetemi Könyvtárból Adat
370e7c2499c2f1bacfcc9383665f8433.ppt