Bezpečnost informací a kybernetický zákon

Questions and Answers

Jaký je hlavní účel kvalifikovaného certifikátu pro elektronické podpisy?

• Spojení podpisových údajů s fyzickou osobou (correct)
• Ověření integrity certifikátu
• Podpisování CRL
• Zabezpečení přenosu dat

Co představuje zneplatněný certifikát?

• Certifikát s pozastavenou platností
• Certifikát bez ověření
• Certifikát pro soukromé použití
• Certifikát, který již není platný (correct)

Jaké problémy řeší časová razítka?

• Určení přesného času podpisu (correct)
• Ověření původu dokumentu
• Usnadnění přenosu dat
• Zajištění anonymity uživatelů

Jaké oprávnění má uznávaný elektronický podpis podle uvedeného obsahu?

Vyžaduje ukládání privátního klíče na disku (C)

Jaký je vztah mezi důvěryhodnými certifikačními autoritami a PKI?

Důvěra v CA je klíčová pro bezpečné fungování PKI (C)

Jaký typ elektronického podpisu je uznáván všemi orgány veřejné moci v ČR?

Zaručený elektronický podpis (C)

Co označuje pojem 'kvalifikovaná pečeť'?

Slouží k ověření integrity dokumentů právnických osob (A)

Jak se liší kvalifikovaný elektronický podpis od zaručeného elektronického podpisu?

Kvalifikovaný podpis je uložen na bezpečném prostředku (B)

Jaký je hlavní účel časových značek?

Ověřit, že data nebyla po vytvoření změněna. (D)

Jaký typ identifikátorů se používá v digitálním prostředí?

Jak statické, tak dynamické identifikátory. (D)

Který prvek eIDAS je klíčový pro digitální interoperabilitu?

Právní rámec pro elektronické podpisy. (B)

Jaká je Role verifikátoru v procesu ověření totožnosti?

Ověřit identitu uživatele pomocí různých metod. (C)

Jaké jsou výhody kvalifikovaného elektronického podpisu v porovnání s jinými metodami?

Poskytuje vyšší právní jistotu. (C)

Co představuje elektronická identita podle eIDAS?

Digitální reprezentaci identity osoby. (D)

Jaký je hlavní problém, který řeší integrita dat?

Zajištění, že data nebyla po vytvoření změněna. (C)

Jaký typ identifikátorů se přiřazuje k digitální identitě osoby?

Jak statické, tak dynamické identifikátory. (D)

Jaký je primární účel NAT?

Úspora IPv4 adres. (B)

Jaký je hlavní rozdíl mezi IDS a IPS?

IDS detekuje hrozby, zatímco IPS je blokuje. (D)

Jakým způsobem fungují antivirové programy?

Pracují na principu host-based IDS/IPS. (D)

Jaké typy IDS existují?

Síťové a operační systémy (HIDS). (D)

Co je klíčovou funkcí proxy serverů?

Filtrace a kontrola síťového provozu. (A)

Jaký je účel IDS?

Detekovat neobvyklé aktivity a generovat varování. (A)

Jakou roli hraje IPS v síti?

Detekuje a blokuje škodlivou činnost. (A)

Co znamená Zero Trust Network?

Architektura, která nedůvěřuje žádnému zařízení ani uživateli. (C)

Jaký je primární cíl Clark-Wilson modelu?

Ochrana integrity dat (D)

Co znamená pravidlo 'no read up' v Bell-LaPadula modelu?

Nelze číst z vyšší úrovně (D)

Jaký je hlavní rozdíl mezi DAC a MAC modelem řízení přístupu?

DAC umožňuje flexibilní nastavování přístupových práv uživateli, zatímco MAC je spravováno administrátorem. (D)

Jaká pravidla jsou obsažena v Biba modelu?

No write up, no read down (C)

Jaký je hlavní benefit užívání Access Control List (ACL)?

Možnost specifikovat práva pro jednotlivé objekty (A)

Co charakterizuje systém řízení přístupu založený na rolích (RBAC)?

Práva přístupu jsou definována na základě rolí, které uživatelé zastávají. (C)

Jakou strategii používá MAC pro správu přístupu k objektům?

Práva jsou přidělována pouze administrátorem, bez uživatelského zásahu. (B)

Co vyžaduje Common Criteria framework?

Definování bezpečnostních funkcí a požadavků uživateli systému. (B)

Co je role resource owner ve vztahu k zabezpečení dat?

Uživatel, kterému patří zdroj, data nebo funkce. (D)

Jaká je hlavní funkce authorization serveru?

Spravovat oprávnění a delegovat oprávnění klientovi. (C)

Jaký je rozdíl mezi forward proxy a reverse proxy?

Forward proxy přesměrovává uživatelské požadavky do internetu, zatímco reverse proxy přesměrovává požadavky z internetu na interní servery. (D)

Jakou výhodu přináší OpenID Connect ve srovnání s tradičními autentizačními protokoly?

Poskytuje ID token pro autentizaci a access token pro autorizaci. (B)

Jaké jsou některé výzvy spojené se Single Sign-On (SSO)?

Bezpečnostní rizika spojená s centralizací přístupových práv. (D)

Která funkce forward proxy serveru je nejčastěji využívána?

Filtrace obsahu a přístupu. (B)

Jaký je hlavní účel IDS (Intrusion Detection System)?

Monitorovat a detekovat nežádoucí aktivity v síti. (A)

Jak funguje proxy server SOCKS?

Nerozlišuje mezi aplikačními protokoly, umožňuje různorodé spojení. (A)

Jaká je hlavní výhoda bezstavového firewallu?

Nízká cena a jednoduchost. (C)

Co znamená pojem 'connection tracking' ve stavových firewallech?

Sledování stavu a historie komunikace. (C)

Jaké typy útoků mohou být lépe odhaleny stavovými firewally?

SYN-Flood útoky. (D)

Co je hlavní funkcionalitou aplikačního firewallu?

Schopnost provádět hlubší inspekci obsahu. (C)

Jaká je klíčová vlastnost nových generací firewallů (NGFW)?

Kombinace tradičních a aplikativních funkcí. (D)

Jaký je primární účel firewallu na hranici sítě?

Ochrana vnitřní sítě před externími hrozbami. (D)

Jaký je význam segmentace sítě v kontextu firewallu?

Oddělování různých částí sítě pro snížení rizika útoků. (C)

Jaké výhody přináší používání nástroje nftables v Linuxu?

Lepší výkon a integraci s Linuxovým jádrem. (B)

Flashcards

Certifikát pro zakódování dat

Certifikát, který se používá ke šifrování dat.

Certifikát pro podepisování certifikátů

Certifikát, který se používá k ověření pravosti certifikátů jiných subjektů.

Certifikát pro podepisování CRL

Certifikát, který se používá k ověření pravosti seznamu zneplatněných certifikátů.

Důvěryhodná Certifikační Autorita (CA)

Organizace, která vydává digitální certifikáty a zaručuje jejich pravost a integritu.

Zaručený elektronický podpis

Typ elektronického podpisu, který je uznáván všemi orgány veřejné moci v ČR.

Uznávaný elektronický podpis

Typ elektronického podpisu, kde privátní klíč je uložen na disku. V ČR se nevyskytují.

Kvalifikovaný elektronický podpis

Typ elektronického podpisu, kde je privátní klíč uložen na zabezpečeném hardwarovém nebo softwarovém médiu.

Kvalifikovaný Certifikát pro Elektronické Podpisy

Certifikát vydávaný kvalifikovanou CA, který propojuje podpisové údaje s konkrétní osobou a ověřuje její identitu.

Ztotožnění

Proces ověření, kdo je daný subjekt. V digitálním prostředí to obvykle zahrnuje poskytnutí jednoho nebo více identifikátorů.

Elektronická Identita

Reprezentace identity osoby v digitální formě. Toto může zahrnovat uživatelská jména, e-mailové adresy, digitální certifikáty a další identifikátory používané v online prostředí.

Fyzická Identita

Jedinečné fyzické a osobní charakteristiky jedince, jako jsou jméno, věk, biometrické údaje (otisky prstů, obličejová rozpoznávačka atd.).

Verifikátor

Mechanismus použitý k ověření identifikace, například heslo, PIN, otisk prstu nebo digitální certifikát.

Časové Značky

V elektronickém podpisu - Časové značky zajišťují, že digitální údaje existovaly v daném čase a nebyly změněny.

Co dělají Časové Značky?

Je to ověření, že určité digitální údaje existovaly v určitém čase a nebyly od toho času změněny.

Problémy Řešené Časovými Značkami

Používají se k ověření integrity dat a můžou být důležité pro právní a obchodní účely.

Identifikátory

Může být statický (jako uživatelské jméno) nebo dynamický (jako IP adresa). V kontextu eIDAS mohou být identifikátory spojeny s digitální identitou osoby.

Matice Řízení Přístupu

Tabulka s subjekty (uživateli), objekty (soubory, data) a právy k přístupu (čtení, zápis, mazání). Při každém přístupu se kontroluje, zda subjekt má potřebná práva.

Seznam Oprávnění (ACL)

Seznam práv jednotlivých subjektů k určitému objektu (souboru, adresáři). Objekty jsou v tomto případě primární.

Tabulka Oprávnění (Capability Table)

Tabulka s právy, kde je primární subjekt (uživatel), a je uvedeno, k jakým objektům má přístup.

Clark-Wilson Model

Bezpečnostní model, který se zaměřuje na ochranu integrity dat. Definuje trojice (subjekt, program, objekt) a omezuje operace programů na specifické objekty.

Bell-LaPadula Model

Bezpečnostní model zaměřený na ochranu důvěrnosti dat. Zavádí bezpečnostní úrovně (přísně tajné, tajné, důvěrné, veřejné) a pravidla "no read up" (nečíst "nahoru") a "no write down" (nepsat "dolů").

Biba Model

Bezpečnostní model, zaměřuje se na ochranu integrity dat. Podobně jako Bell-LaPadula, zavádí úrovně a pravidla "no read down" (nečíst "dolů") a "no write up" (nepsat "nahoru").

Vlastník zdroje

Uživatel, kterému patří data a funkce, například článek uložený na documents.com.

Klient

Aplikace, která chce přistupovat k datům uživatele, například WriteAPaper.com

Server se zdroji

Server, na kterém jsou uložena data uživatele, například documents.com

Autorizační server

Spravuje oprávnění k datům uživatelů a deleguje oprávnění klientovi, často spojený se serverem se zdroji.

OAuth 2.0

Technologie pro zabezpečené sdílení dat mezi různými aplikacemi, například webovými, mobilními nebo IoT zařízeními. Spojuje se s autorizačními servery a poskytuje klientovi přístup k požadovaným zdrojům.

OpenID Connect (OIDC)

Rozšíření OAuth 2.0 zaměřené na autentizaci uživatelů. Poskytuje ID token pro autentizaci a access token pro autorizaci.

Forward Proxy

Proxy server fungující jako prostředník mezi uživatelem a internetem. Zlepšuje soukromí a kontrolu nad přístupem k internetu.

Reverse Proxy

Proxy server přijímající požadavky z internetu a předávající je interním serverům. Zajistí load balancing a zabezpečení.

Co je NAT?

NAT se používá k překladu síťových adres, a to především pro úsporu adres IPv4. Server vidí pouze vnější adresu a porty jsou také přeloženy. NAT částečně anonymizuje a skrývá internì síť, ale nekontroluje obsah komunikace.

Co je Proxy server?

Proxy server je služba, která zprostředkovává přístup k síti a kontroluje a filtruje síťový provoz. Proxy server může blokovat škodlivý obsah a chránit tak uživatele a počítače.

Co je IPS?

IPS (Intrusion Prevention System) je rozšířený IDS, který nejen detekuje škodlivou činnost, ale také ji blokuje a hlásí. IPS kombinuje funkce IDS s blokováním provozu nebo zakázáním aplikací.

Co je IDS?

IDS monitoruje síť a hledá podezřelou aktivitu. IDS pracuje na základě pravidel, signatur a detekce anomálií. IDS generuje pouze upozornění, neblokuje útoky. Může být síťový (NIDS) nebo v operačním systému (HIDS).

Jak fungují antivirové programy?

Antivirové programy jsou typicky host-based IDS/IPS. Používají databázi signatur, heuristickou analýzu a další metody, aby identifikovaly a odstranily škodlivý software.

Co je firewall?

Firewall je další komponentou pro zabezpečení sítě. Firewall kontroluje příchozí a odchozí síťovou komunikaci a blokuje nepovolený provoz. Firewally se dělí dle funkcí (bezstavové, stavové, aplikační, nové generace) nebo dle umístění (hardwarový, softwarový).

Co je Zero trust network?

Zero trust network je bezpečnostní model, který nevěří žádnému zařízení ani uživateli, dokud si jej neověří. V tomto modelu jsou všechna zařízení a uživatelé před vstupem do sítě striktně ověřováni a kontrolováni.

Co je HIDS?

HIDS (Host-based Intrusion Detection System) běží přímo na zařízení a kontroluje je. Například: program OSSEC analyzuje logy, kontroluje integritu souborů a odhaluje rootkity.

Bezstavový Firewall

Typ firewallu, který analyzuje každý síťový paket samostatně a filtruje jej na základě informací z IP adres, TCP/UDP portů a TCP hlaviček. Nepožaduje uchovávání stavu komunikace. Jsou typicky používány u síťových směrovačů a přepínačů.

Stavový Firewall

Typ firewallu, který uchovává stav komunikace (connection tracking) a umožňuje komplexnější pravidla filtrování. Zvyšuje ochranu před útoky jako SYN-Flood attack.

Aplikační Firewall

Typ firewallu, který pracuje na úrovni aplikační vrstvy OSI modelu a rozumí specifickým protokolům (např. FTP, HTTP). Provádí hlubší kontrolu obsahu dat.

Firewall Nové Generace (NGFW)

Pokročilý typ firewallu, který kombinuje funkce tradičních a aplikativních firewallů s funkcemi jako webová filtrace, antivirovou ochranu, pravidla založená na autentizaci uživatelů a analýza HTTPS provozu. Často zahrnuje IPS (Intrusion Prevention System) pro detekci a prevenci útoků.

Firewall na Hranici Sítě (Perimeter Firewall)

Firewall umístěný na hranici sítě s cílem chránit vnitřní síť před útoky z externího prostředí.

Segmentace Sítě

Používání firewallů a směrovačů k oddělení částí sítě (VLAN) a omezení útoků na úrovni linkové vrstvy OSI modelu.

nftables v Linuxu

Nástroj pro správu firewallů v Linuxu, který nahrazuje iptables. Nabízí lepší výkon, jednodušší syntaxi a integraci s Linuxovým jádrem.

Pravidla Firewallu

Pravidla firewallu umožňují definování, jakou komunikaci firewall umožní a jakou zakáže. Možnosti zahrnují IP adresy, porty, protokol a další parametry

Study Notes

Bezpečnost informací

• Důvěrnost, integrita a dostupnost jsou klíčové aspekty bezpečnosti informací.
• Hrozby a zranitelnosti mohou pocházet z vnějšku (např. hackeři) nebo z vnitřku (např. neopatrnost zaměstnanců).
• Různé dopady porušení bezpečnosti: finanční ztráty, poškození reputace, právní problémy.
• Opatření: technická řešení (firewall, antivirus) a organizační opatření (bezpečnostní politiky, školení).
• Chráněná aktiva: zahrnují data, hardwar, software a lidské zdroje.
• Analýza rizik: popisuje identifikaci potenciálních hrozeb a zranitelností, včetně posouzení pravděpodobnosti a dopadu.

Zákon o kybernetické bezpečnosti

• Definuje pravidla a povinnosti subjektů s významnými informačními systémy (např. zdravotnictví, doprava, atd.).
• Zdůrazňuje ochranu před kybernetickými útoky a zajištění kontinuity služeb.
• Subjekty musí plnit požadavky zákona, jako je implementace bezpečnostních opatření, pravidelná analýza zranitelností a řízení rizik.
• Národní úřad a bezpečnostní úřad hrají důležitou roli v dohledu a koordinaci.
• Označuje typy a rozsahy kybernetických bezpečnostních incidentů a povinnosti subjektů (od hlášení až po reakce).

Kryptologie

• Kryptologie zahrnuje kryptografii (šifrování) a kryptoanalýzu (prolomení šifer).
• Cíle kryptografie: důvěrnost (chrání data před neautorizovaným přístupem), autentizace (potvrzení identity), integrita dat (zajišťuje, že data nebyla modifikována neoprávněně) a neodmítnutelnost (zajišťuje, že odesílatelé a příjemci nemohou popřít konání).
• Kerckhoffsův princip: bezpečnost šifrovacího systému spočívá v tajnosti klíče, nikoli v tajnosti algoritmu.
• Steganografie: skrytí zpráv v jiných datech (např. obrázcích), aby nebyl detegován jejich obsah.
• Problém vězňů: ilustrační příklad steganografie.

Kryptografická primitiva

• Jsou to základní algoritmické operace a funkce v kryptografii (např. hashovací funkce, symetrické a asymetrické šifrování, digitální podpisy).
• Hašovací funkce převádějí data libovolné délky na pevný výsledek.
• Symetrické šifrování používá stejný klíč pro šifrování i dešifrování.
• Asymetrické šifrování používá dva klíče (veřejný a soukromý).
• Digitální podpisy ověřují integritu a autenticitu zpráv.
• Generátory náhodných čísel: jsou důležité pro vytváření klíčů a hodnot v kryptografii.
• Historické šifry: substituční šifry (např. Caesarova šifra) a transpoziční šifry.

Šifrování se sdíleným klíčem

• Používá jediný klíč pro šifrování a dešifrování.
• Proudové šifry šifrují bit po bitu (např. Vernamova šifra).
• Blokové šifry šifrují data v blocích (např. AES).
• Módy blokových šifer zajišťují šifrování většího množství dat než velikost jednoho bloku.
• Inicializační vektor (IV): používá se pro různé módy a ukládá jistotu proti opětovnému použítí.

Asymetrická kryptografie

• Používá dva klíče: veřejný klíč pro šifrování a soukromý klíč pro dešifrování.
• Faktorizace velkých čísel, diskrétní logaritmus, diskrétní logaritmus nad eliptickými křivkami jsou základy asymetrické kryptografie.
• RSA, ECC, a Diffie-Hellman jsou klíčové algoritmy.
• Síla zabezpečení je spojena s délkou klíče.
• Práce s veřejnými klíči: autentizaci a domlouvání klíčů.

Domlouvání klíčů

• Pro bezpečné sdílení tajných klíčů mezi stranami - Diffie-Hellmanova výměna klíčů.
• Problémy s veřejnými klíči: rozumné a zabezpečené distribuce.
• Základní pravidla: trust relationships.

Infrastruktura veřejných klíčů (PKI)

• Zajišťuje správu a distribuci veřejných klíčů.
• Certifikáty: identifikační dokumenty vázající veřejné klíče k identifikačním údajům osob nebo organizací.
• Certifikační autority (CA): vydávají certifikáty.
• Revokace certifikátů: proces odvolávání platnosti certifikátu.

Identita a identifikace

• Osoby a entity v digitálním prostoru.
• Identifikace je určení osoby a entities s identita.
• Identifikační procesy se liší (weak, fair, strong, superior).

Přihlašování heslem

• Jednoduchá a široce používaná autentizační metoda.
• Slabá hesla a špatná bezpečnostní praxe mohou vést k jednoduchému prolomení.
• Klíčové bezpečnostní prvky: silná hesla, vícefaktorová autentizace a správa hesel.
• Klíčové hrozby proti heslům.
• Problémy s krádeží identifikačních údajů, problémů s hašovaným ukládáním dat.

Vícefaktorová autentizace (MFA)

• Aplikace pro vícefaktorovou ochranu proti neoprávněnému přístupu.
• Metody MFA zahrnují SMS kódy, autentizační aplikace, hardwarové tokeny a biometrické metody.
• Bezpečnostní výhody.

Logování

• Záznam aktivit v systému, událostí, a jejich analýza.
• Protokoly a metody logowania jsou rozmanité.
• Log Management a SIEM pro snadnou analýzu a korelaci událostí.

Zálohování

• Zálohování chrání data v případě ztráty.
• Použití různých médií pro zálohování.
• Strategie 3-2-1 (počet záloh, umístění).
• Optimalizace: komprese, deduplikace a šifrování.
• Proti jakým hrozbám chrání?
• Zero trust pohledem.

Autorizace

• Zajišťuje, že subjekty (uživatelé nebo procesy) s přístupy mají právo provádět úkoly a přístupy k objektům.
• Použití bezpečnostních modelů.
• Rozdíly mezi MAC a DAC.
• ACL, RBAC a ABAC.

Proxy servery

• Zprostředkování komunikace.
• Metody filtrují data a uživatelské informace.
• Forward proxy, reverse proxy, a NAT.

IDS a IPS

• Detekce a prevence útoků na síti.
• Host-based a network-based IDS a IPS.
• Proti jakým hrozbám chrání?

TLS/SSL

• Zabezpečení komunikačních kanálů.
• Handshake protokol: dohoda na bezpečnostních parametry.
• Autentizace serveru a klienta.
• Proti útokům - man-in-the-middle, a XSS, atakům na odposlechy.

VPN

• Virtuální privátní síť pro bezpečné spojení přes veřejnou síť.
• Site-to-site VPN, remote access VPN, VPN rozšiřuje zabezpečení síťové infrastruktury.
• Protokoly VPN: PPTP, IPsec, OpenVPN, WireGuard.
• VPN a soukromí, a identifikace uživatele.

Firewally

• Filtrace síťového provozu, blokování a povolení požadavků podle pravidel.
• Bezstavové, stavové a aplikační firewally.
• Zero trust, a principy.

Další otázky a prezentace

• Obsahuje otázky pro hlubší pochopení bezpečnostních témat (např. otázky o PKI, digitálních certifikátech a správě hesel).