Sikkerhet i bredbåndsnettverk

Størrelse: px
Begynne med side:

Download "Sikkerhet i bredbåndsnettverk"

Transkript

1 Sikkerhet i bredbåndsnettverk Prosjektrapport fra HØYSIKK et Høykom prosjekt Versjon januar 2002 KITH Rapport 2/02 ISBN

2 KITH-rapport Tittel Sikkerhet i bredbåndsnettverk Prosjektrapport fra HØYSIKK et Høykom prosjekt Forfatter(e) Bjarte Aksnes, Arnstein Vestad, Harald Norvik, Ivar Kufås Oppdragsgiver(e) Høykom-programmet (NFR), Midt-Norsk Helsenett Rapportnummer R 2/02 ISBN Godkjent av URL Dato 18. januar 2002 Antall sider 69 Kvalitetssikret av Olaf Trygve Berglihn Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post Foretaksnummer Prosjektkode NFR-HØYSIKK01 Gradering Jacob Hygen Adm. direktør Sammendrag Høyhastighetsnettverk blir stadig mer utbredt, og dermed oppstår nye sikkerhetsmessige utfordringer. I en konkurransesituasjon blir fokuset ofte lagt på pris og kapasitet, og sikkerhetsbehovene kommer i andre rekke. Dette kan medføre at det introduseres nye sikkerhetstrusler og en økt sårbarhet for samfunnet, og spesielt kritisk er dette innenfor helsevesenet. Målsetningen for det Høykom finansierte HØYSIKK-prosjektet har vært å vurdere sårbarhet og trusselområder ved bruk av høyhastighetsnett, kartlegge og vurdere ulike typer sikkerhetsløsninger for bruk i bredbåndsnettverk i helsevesenet, pilotere og utprøve sikkerhetsløsninger og spre kunnskap om sikkerhet i høyhastighetsnett. Denne rapporten oppsummerer konklusjonene fra dette arbeidet og samler viktig bakgrunnsinformasjon om sikkerhet i høyhastighetsnett. Fokus for prosjektet har vært helsevesenets behov for høyhastighetsnett til bl.a. videokonferansebaserte løsninger, teleradiologi, elektroniske journalsystemer osv. Rapporten vurderer sikkerhetsutfordringer som er karakteristiske for høyhastighetsnett, og ser på ulike sikkerhetsløsninger som VPN som tilbyr krypterte kanaler for å sikre sensitiv informasjon, personlige brannmurer som kan beskytte bl.a. hjemmebrukere mot angrep fra Internett. Utfordringer for trådløse nettverk av ulike typer vurderes også. Til slutt er en løsning som egner seg for mindre institusjoner med behov for båndbredde under 10Mbps utprøvd, i tillegg gis en oversikt over tilgjengelig løsninger og prisnivå. Forslag til tema for videre oppfølging er utprøving av ulike sikkerhetsløsninger ved bredbånds overføring av video eller røntgenbilder (f.eks VPN) og utprøving av mekanismer for tjenestekvalitet (QoS) i bredbåndsnettverk, samt pilotering av personlige brannmurer.

3 Innhold INNLEDNING... 1 Hva er bredbånd? 2 Bredbånd i Midt-Norsk Helsenett 3 Målsetninger for HØYSIKK-prosjektet 5 Organisering av prosjektet 5 Resultater fra prosjektet 5 BREDBÅNDSTJENESTER I HELSENETT... 7 Videokonferanser 7 Sikkerhet og tjenestekvalitet...8 Bruk av videokonferanser i helsevesenet...8 Eksempel: Telepatologi i MNH...10 Radiologi 11 Tekniske aspekter...11 Sikkerhet...12 Journalsystemer 12 Trusler mot elektroniske pasientjournaler...13 NOEN SIKKERHETSUTFORDRINGER Tjenestenektingsangrep 14 Ulike typer tjenestenektingsangrep...14 Tjenestenektingsangrep og bredbånd...15 Avlytting og overvåking 16 KRYPTOGRAFI Symmetrisk kryptografi 18 Asymmetrisk kryptografi 18 Kryptering av video 19 Videoformatet MPEG 20 Kryptering 20 Overføring av MPEG video 21 Konklusjon 22 VPN OG PERSONLIGE BRANNMURER VPN virtuelle private nett 24 IPSec 25 Bruk av PKI-løsninger...27

4 Bruksområder for VPN 27 Nettverk til nettverk...27 Arbeidsstasjon til server...28 Arbeidsstasjon til nettverk...28 Lukkede brukergrupper...28 Personlige brannmurer 29 Hvorfor er det behov for en personlig brannmur?...29 Personlig brannmur kontra distribuert brannmur...30 TESTING AV PERSONLIGE BRANNMURER Sygate Personal Firewall Norman Personal Firewall ZoneAlarm 36 Symantec Desktop Firewall Samlet vurdering av testene 40 F-Secure Distributed Firewall TJENESTEKVALITET Sentrale begreper 43 Behovet for tjenestekvalitet 44 Løsningsmekanismer 45 Tjenestekvalitet og sikkerhetstjenester 47 Konklusjon 47 VPN FOR TJENESTELEVERANDØRER Konklusjon 50 TRÅDLØSE NETTVERK Bluetooth 53 IEEE Teknisk beskrivelse...53 Sårbarhet og trusler...54 Eksisterende sikkerhetsmekanismer...55 HIPERLAN 57 Teknisk beskrivelse...57 Sikkerhetsmekanismer...58

5 Infrarød overføring 58 Konklusjon 59 PRAKTISK UTPRØVING AV VPN--TEKNOLOGI Test av Cisco 1710 VPN-ruter 60 Simulering av seriell link mellom VPN enheter...61 Ytelsestest VPN-til-VPN over 10Mbps Ethernet Markedssituasjonen for VPN-løsninger 64 REFERANSER OG BIBLIOGRAFI Videokonferanser 66 Radiologi 66 MPLS 67 Sikkerhetsutfordringer 67 Video og kryptering 67 VPN 68 Tjenestekvalitet 68 Trådløse nettverk 68

6 SIKKERHET I BREDBÅNDSNETTVERK Kapittel Innledning Høyhastighetsnettverk blir stadig mer utbredt, og dermed oppstår nye sikkerhetsmessige utfordringer. I en konkurransesituasjon blir fokuset ofte lagt på pris og kapasitet, og sikkerhetsbehovene kommer i andre rekke. Dette kan medføre at det introduseres nye sikkerhetstrusler og en økt sårbarhet for samfunnet, og spesielt kritisk er dette innenfor helsevesenet. Det er allerede etablert bredbåndsnettverk mellom sykehus og helsevirksomheter i flere regioner, og et nasjonalt helsenettverk planlegges etablert innen utgangen av Dette tilsier at helsesektoren vil bli en stor bruker av høyhastighetskommunikasjon. Med en utstrakt bruk av bredbåndskommunikasjon vil det oppstå nye sikkerhetsmessige utfordringer. Tradisjonelt har bredbåndskommunikasjon foregått innenfor lukkede nettverk, noe som har gjort sikkerhetstruslene håndterbare. Fremover vil vi i stadig større grad se at slik kommunikasjon vil foregå over åpnere nettverk. Nye løsninger vil også gjøre det mer vanlig å være tilknyttet nettet hele tiden, noe som kan gi aktørene en større eksponering ovenfor trusler utenfra. Det er allerede etablert bredbåndsnettverk mellom sykehus og helsevirksomheter i flere regioner, og et nasjonalt helsenettverk planlegges etablert innen utgangen av Dette tilsier at helsesektoren vil bli en stor bruker av høyhastighetskommunikasjon. Bredbåndsnettverkene vil for en stor del benyttes for informasjon med sensitivt innhold, for eksempel for videokonsultasjoner, røntgenbilder, pasientjournaler (som også kan innholde bilder/video/lyd). Sikringen av konfidensialiteten til den sensitive informasjonen blir da vesentlig. Tradisjonelt sikres konfidensialitet ved bruk av kryptering, men ved høyhastighetskommunikasjon kan kryptering være problematisk. Den høye hastigheten gjør at krypteringen kan bli en flaskehals som senker hastigheten vesentlig, i tillegg kan utstyr for kryptering ved høye hastigheter ha en høy kostnad. Innenfor Midt-Norsk Helsenett benyttes VLAN-teknologi for å segmentere nett (eller soner) på samme fysiske kabel og nettverkselektronikk. Dette kan medføre at både sensitiv og ikke-sensitiv informasjon går over den samme kabelen og de samme nettverkskomponentene. Det er også 1 Kilde: Statlig tiltaksplan for Elektronisk samhandling i helse- og sosialsektoren 1

7 INNLEDNING etablert VLAN som går på tvers av ulike virksomheter for å tilby høyhastighetskommunikasjon mellom helseinstitusjoner med uavhengige, men tilsvarende, sikkerhetsbehov og sikkerhetspolicyer. Helsevirksomhetene har dessuten behov for å kombinere ulik båndbredde innenfor ett og samme fysiske nettverk, noe som kan medføre problemer i forhold til sikring og kontroll av trafikken. Det er derfor viktig å studere hvilken risiko dette kan medføre for virksomhetene samt identifisere tiltak som kan redusere risikoen. Vanligvis sikres overgangen mellom nettverk med ulike sikkerhetspolicyer med brannmurer. De fleste brannmurer har begrensninger i hvor mye data de kan kontrollere og logge per tidsenhet, og ved høyhastighetskommunikasjon over brannmurer kan disse grensene utfordres. Resultatene kan bli at trafikken forsinkes eller avvises, noe som i mange tilfeller ikke vil være akseptabelt innenfor helsevesenet. Vi kan heller ikke utelukke at det kan skje feil som følge av overbelastninger. Resultatene kan bli at man må la noe kommunikasjon gå utenom brannmurene med de sikkerhetsutfordringene dette representerer. Systemer for nettverksovervåkning (IDS) kan også få problemer ved høy båndbredde og stort trafikkvolum. Ikke minst gjelder dette muligheten for å plukke ut relevante data fra den store mengden, samt muligheten for å logge trafikken. Et bredbåndsnettverk gir nye muligheter for sentralisering av driftstjenester eller datalagring. Sentrale tjenere og lagringsmedium, samt tjenester for drift av disse, f.eks. sikkerhetskopiering kan samles ett sted. Dette bør kunne gi bedre driftssikkerhet samt lavere kostnader. Trådløse radiobaserte nettverk med bredbåndskapasitet kan i stadig større grad benyttes som lokalnett eller for tilknytning til eksterne nett. Nye utfordringer ved bruk av trådløse nettverk er m.a. en økt fare for avlytting, og dette kan gjøre det nødvendig å kryptere trafikken, også på lokalnettet. I dag er legekontorene i MNH tilknyttet ved hjelp av ISDN-teknologi. For å få bedre kapasitet og tilgang til nye tjenester kan det etter hvert kan det bli aktuelt å benytte ADSL (el VDSL) til legekontorene. Dette kan medføre nye sikkerhetsmessige utfordringer, spesielt fordi legekontorene kan være tilknyttet nettet i lengre tidsrom (eller permanent). Dette kan også medføre et behov for personlige brannmurer på legekontorene. Hva er bredbånd? Bredbånd er en samlebetegnelse for flere ulike teknologier med mulighet for å kommunisere med høy overføringskapasitet. Med høy overføringskapasitet (eller hastighet) mener vi vanligvis hastigheter fra ca 1 Mbit/s og oppover. Høyhastighetskommunikasjon benyttes ofte synonymt med bredbåndskommunikasjon, og vi vil i denne rapporten også bruke disse begrepene om hverandre. 2

8 INNLEDNING I første omgang vil vi utelukke en del teknologier som klart ikke regnes som bredbånd, nemlig ISDN, Analoge telefonlinjer (PSTN), X21/X25, GSM, GPRS, UMTS? Et grensetilfelle er derimot ADSL (Asymmetric Digital Subscriber Line) som er basert på DSL teknologien som potensielt kan gi hastigheter på opptil 54Mbit/s. Vanlig hastighet på ADSL er per i dag kbit/s på nedlastinger. Men ADSL kan i løpet av et par år gi hastigheter på inntil 6-8 Mbit/s. Selv om ADSL med de laveste hastighetene strengt tatt ikke er bredbånd, vil vi i det følgende behandle ADSL som en bredbåndsteknologi fordi teknologien kan ha mulighet for å kommunisere med hastigheter høyere enn 1 Mbit/s. Vi vil skille mellom kabelbasert og trådløs høyhastighetskommunikasjon. Kabelbaserte bredbånd kan benytte seg av en rekke ulike overføringsmedia og teknologier, som kobberkabel, optisk fiber, kabelnett (coax) som kan være basert på dedikerte linjer eller ulike former for svitsjing (linjesvitsjing, pakkesvitsjing). Trådløse nettverk sender signalene gjennom lufta enten i form av radiobasert kommunikasjon (lokalnett/kort rekkevidde) eller satellittkommunikasjon. Et viktig skille går på om kommunikasjonen er enveis, som f.eks TV, eller om den går begge veier. For en del teknologier vil dessuten mottakshastigheten for brukeren være høyere enn sendehastigheten, såkalt asymmetrisk hastighet (f.eks. ADSL). Bredbånd i Midt-Norsk Helsenett Midt-Norsk Helsenett (MNH) ble igangsatt som et resultat av en samordnet strategi for IT og telemedisin i Helseregion Midt Norge og etter vedtak i Det regionale helse- og sosialutvalg i helseregionen i Prosjektet ble organisert som et prosjekt under Styringsgruppa for IT og telemedisin i Helseregion Midt Norge, med prosjektledelse og sekretariat ved KITH. I dag er styringsgruppa for prosjektet regionalt lederteam. Det er planlagt at prosjektet skal videreføres i et selskap i løpet av Prosjektet vil bli videreført inntil selskapet er etablert og bemanning er på plass. Midt-norsk helsenett har (både som organisasjon og infrastruktur) som visjon å være en "muliggjørende" arena for helsetjeneste-, kunnskaps- og IKT-rettet næringsutvikling i helseregionen. Prosjektet Midt-Norsk Helsenett har hatt som hovedmål å: etablere en basis infrastruktur ("Midt-norsk helsenett") som det tekniske og informasjonsmessige grunnlaget for et helhetlig og sikkert informasjonsnett for helseregionens virksomheter etablere en organisasjon ("Midt-norsk helsenett") som på vegne av fylkeskommunene og det regionale helse- og sosialutvalget utvikler og driver det helhetlige og sikre informasjonsnettet (med samme navn) for helseregionen 3

9 INNLEDNING Figur 1 - Teknisk oversiktsbilde MNH integrere eksisterende og nye nettilkoplinger og -anvendelser i regionen inn i Midt-norsk helsenett, slik at alle regionens institusjoner og virksomheter på sikt får én ekstern nettilkopling til Midtnorsk helsenett starte utviklingen av en grunnleggende kultur for elektronisk samhandling og nettanvendelser blant regionens helsearbeidere og administratorer utvikle en arena for forskning og næringsutvikling på området elektronisk samhandling og framtidsrettet bruk av informasjonsnett i norsk helsetjeneste, i et nært samarbeide mellom helsesektoren, universitets- og høyskolesektoren og næringslivet i regionen. Innenfor MNH ser vi en rekke behov for høyhastighetskommunikasjon, for eksempel: Videokonferanser: Billedoverføring av undervisningsleksjoner og faglige møter for kliniske-, utdannings- og forskningsformål, med mulighet for flere deltagende parter på ulike oppholdssteder. Teleradiologi, telepatologi og billedoverføing for kliniske formål: Rask overføring av røntgenbilder og andre billeddiagnostiske data, avbildet undersøkelsesmateriale, og annet klinisk relevant film- eller billedstoff, direkte eller i opptak. Telekirurgi: Direkte overføring av videobilder av høy kvalitet for fjernovervåkning og fjernassistanse ved inngrep med kikkhullskirugi,- laparoskopisk kirurgi. Denne tjenesten er tatt i bruk av noen av sykehusene, og av primærlegetjenesten i Oppdal. 4

10 INNLEDNING Bredbåndstilknytning til legekontor MNH er teknisk realisert som et bredbåndsnettverk (se fig. 1) mellom de 8 somatiske sykehusene i helseregion Midt-Norge (helseforetaket). Dette er realisert ved bruk av et SDH-nett (Synchronous Digital Hierarchy). I et SDH-nett overføres informasjonen i en STM (Synchronous Transport Module). SDH-nettet kan gi overføringshastigheter på opptil 155 Mbit/s. Målsetninger for HØYSIKK-prosjektet I HØYSIKK prosjektet, som har vært finansiert av HØYKOMprogrammet, samt av egeninnsats fra helseregion Midt-Norge, har hatt følgende målsetninger: Hovedmålsetningen er at HØYSIKK skal bidra til å sikre høyhastighetskommunikasjon gjennom delmålene: 1. Gjøre risikovurderinger og vurdere sårbarheter ved bruk av bredbåndskommunikasjon i helsevesenet 2. Kartlegge og vurdere ulike typer sikkerhetsløsninger for bruk i bredbåndsnettverk i helsevesenet 3. Pilotere utvalgte sikkerhetsløsninger innenfor Midt-Norsk Helsenett 4. Spre informasjon og bidra til kunnskapsutvikling om hvordan sikkerhetsutfordringene ved bruk av bredbånd kan løses Denne rapporten oppsummerer de viktigste vurderinger og utprøvinger som er gjort i prosjektet, og rapporten har som formål å bidra til informasjonsspredning om sikkerhetsutfordringer ved bruk av bredbånd. Organisering av prosjektet Regionalt helse- og sosialutvalg i helseregion Midt-Norge har vært kontraktspartner og prosjektansvarlig, mens KITH har stått for prosjektledelsen og den praktiske utføringen av arbeidet. Prosjektleder har vært seniorrådgiver Bjarte Aksnes. Fra KITH har dessuten Arnstein Vestad, Harald Norvik og Ivar Kufaas deltatt i arbeidet. Resultater fra prosjektet De viktigste resultatene fra HØYSIKK-prosjektet har vært følgende: Vi har fått samlet og dokumentert er mengde relevant informasjon om sikkerhet i bredbåndsnettverk. Informasjonen er oppsummert i denne sluttrapporten fra prosjektet. Prosjektet har pekt på en rekke sårbarheter og trusler ved bruk av ulike typer sikkerhetsteknologi, noe som gir et godt grunnlag for å gjøre risikovurderinger når nye bredbåndsløsninger skal tas i bruk 5

11 INNLEDNING innenfor Midt-norsk helsenett og andre steder innenfor og utenfor helsevesenet. Vi har kommet med forslag til sikkerhetsløsninger på en del områder, samt utført testing og evaluering av noen utvalgte løsninger for VPN og personlige brannmurer. Dette vil være en nyttig grunnlag når slike løsninger skal tas i bruk innen helsevesenet. Vi har diskutert sikkerhetsutfordringer og videreformidlet våre erfaringer og kunnskaper med andre aktører innen helsevesenet, og regner med at kontakten vil opprettholdes etter at HØYSIKKprosjektet er avsluttet. 6

12 BREDBÅNDSTJENESTER I HELSENETT Kapittel Bredbåndstjenester i helsenett Som beskrevet i innledningen benyttes bredbåndstjenester i en rekke ulike sammenhenger innen helsevesenet. Videobaserte tjenester benyttes både for konsultasjon med spesialister, undervisning og ved kliniske undersøkelser. Også overføring av stillbilder av høy kvalitet, f.eks. vevsprøver er en aktuell bredbåndsanvendelser. Vi har her valgt å se på noen konkrete eksempler på slik bruk som kan bidra til å forstå sikkerhetsbehovene knyttet til slike tjenester og de spesielle behov som helsevesenet må ivareta. Videokonferanser Videokonferanser har vært brukt i mange år innenfor flere bransjer og fagfelt. Slike konferanser kan redusere reiseutgifter og øke produktiviteten i en bedrift. I helsevesenet har videokonferanser ført til at flere pasienter kan behandles på lokale sykehus. Moderne videokonferanser operere med en billedkvalitet som krever bredbåndsnettverk for å kunne overføres med tilstrekkelig kvalitet. I en enkel videokonferanse har hver deltaker kamera, mikrofon, TVskjerm og codec-enhet. Codec-enheten komprimerer lyd og bilde fra mikrofon og kamera og sender det over nettverket eller en digital telefonlinje. En tilsvarende enhet i andre enden dekomprimerer signalet slik at det kan vises på en TV-skjerm. Det finnes standarder som definerer lydog bildekommunikasjon. H.320 spesifiserer kommunikasjon over ISDNlinjer. H323 spesifiserer kommunikasjon over IP-nettverk og gjør det mulig å sende større mengder data. Standarden er fleksibel med tanke på båndbredde og støtter kommunikasjon av videobilder som er lite komprimerte. For å sende og motta høykvalitets videobilder kreves bredbåndsnettverk. H.323 er bygd opp av flere mer grunnleggende standarder, blant annet standarder som spesifiserer komprimering av lyd og bilde. Lyd kan komprimeres til bitrater fra 5,3 til 64 Kbps. Videobildet kan komprimeres etter en av to standarder, H.261 eller H.263: H.261 komprimerer ved å endre bildets oppløsning og tilpasse dette til et visst antall ISDN-linjer (64Kbps). 7

13 BREDBÅNDSTJENESTER I HELSENETT H.263 komprimerer basert på endringer og bevegelse i bildet og gir mulighet for god komprimering med lite tap av kvalitet. Videokonferanser basert på H.263 krever ofte båndbredde på 1-2 Mbps. H.263 er mest aktuelt for videokonferanser over bredbåndsnettverk i dag. Det ventes imidlertid at MPEG vil bli mer populær i framtida [Asim Karim, 1999]. Sikkerhet og tjenestekvalitet En videokonferanseløsning er sårbar ovenfor uønsket datalekkasje og nekting eller svekking av tjenesten. Uønsket datalekkasje kan skje dersom en angriper avlytter nettverket hvor kommunikasjonstrafikken foregår. Dersom bilde og lyd fra videokonferansen er sensitive data, bør kommunikasjonen foregå kryptert. I mange situasjoner, spesielt i helsevesenet, brukes videokonferanser i kritiske situasjoner, som for eksempel under en operasjon. Da er det absolutt nødvendig at konferansetjenesten er tilgjengelig til enhver tid, og at kvaliteten er stabilt bra. De viktigste faktorene knyttet til overføringskvaliteten er hastighet, forsinkelse, jitter og pakketap [ref kapittel om QoS]: Hastigheten må være høy. Ved mange typer videokonferanser sendes og mottas høykvalitets videobilder i sanntid. Dette innebærer at store mengder data skal overføres. Dette krever et stabilt bredbåndsnett som kan garantere nok båndbredde til enhver tid. Forsinkelse (tiden fra en pakke sendes til den kommer fram) bør være så lav som mulig. Rutere, brannmurer og svitsjer bidrar til økt forsinkelse. Dersom overføringen krypteres, får vi ytterligere forsinkelse. En enkel kommunikasjonslinje er derfor å foretrekke, og kryptering bør unngås dersom det ikke er nødvendig. Jitter (forskyvning i signalet, ujevnheter og gal rekkefølge) bør unngås. Ved mange spesialtilpassede videokonferanser er detaljene i bildet svært viktige, og alle forstyrrelser gjør det vanskelig å vurdere bildet. Pakketap kan til en viss grad tolereres ved overføring av video, så lenge det ikke fører til for store forstyrrelser. Kravene til sikkerhet og kvalitet vil variere med ulike bruksområder for videokonferanser. Bruk av videokonferanser i helsevesenet I helsevesenet brukes i dag tre hovedgrupper av videokonferanser: Fjernundervisning, ulike typer konsultasjoner og telekirurgi. Fjernundervisning kan foregå en til en eller en til mange. En spesialist kan gi veiledning ved å kommunisere med sin elev med bilde og tale. En foreleser kan kringkaste sine foredrag til flere geografiske steder. 8

14 BREDBÅNDSTJENESTER I HELSENETT Videokonferanser brukes mer og mer til forksjellige typer konsultasjoner. Med samme utstyr som brukes til veiledning, med gjensidig bilde og tale, kan helsepersonell konsultere spesialister som befinner seg på et annet sted. Det finnes flere typer telekonsultasjoner og mange krever spesialtilpasset utstyr: En vanlig konsultasjon mellom behandler og spesialist trenger kun vanlig videokonferanseutstyr. Telepsykiatri er et eksempel på en slik konsultasjon. Da sitter lokal behandler sammen med pasienten og har videokonferanse med en spesialist. I dette tilfellet kommuniseres svært sensitive data, noe som stiller sterke krav til konfidensialitet. Garanti av tilgjengelighet og tjenestekvaliteten er ikke så kritisk. Telepatologi med frysesnittdiagnostikk brukes til å sende levende bilder fra mikroskop på et lokalt sykehus til en patolog som vurderer vevs- eller cellematerialet. Et av de viktigste bruksområdene for patologi er ved mistanke om kreft, og diagnostisk informasjon mens operasjonen pågår kan gi informasjon om hvordan man bør fortsette operasjonen. Telepatologi krever spesialutstyr for kobling mellom kamera og mikroskop. De data som kommuniseres inneholder ikke personsensitive data. Garanti av tjenestens tilgjengelighet og kvalitet er imidlertid svært viktig, spesielt når kirurgen etterspør diagnose under en operasjon. Telekardiologi brukes for å få en ekspertvurdering av Ekkodoppler-bilder av hjertet. Ved en undersøkelse kan ultralydbildene av hjertet sendes til en spesialist ved hjelp av videokonferanseutstyr. Metoden krever ultralydutstyr som kan kobles til videokamera. Det vil ikke være personsensitive data som sendes. Billedkvaliteten bør imidlertid være god, men garantert tilgjengelighet er ikke kritisk nødvendig. Teledermatologi brukes for å diagnostisere utslett og hudsykdommer. Man tar levende film av pasientens hud ved hjelp av vanlig videokonferanseutstyr og konsulterer en hudlege som hjelper til med diagnose. Videobildene er ikke personsensitive og tjenestens tilgjengelighet er ikke kritisk. Endoskopi, undersøkelser hvor man fører rør med kamera inn gjennom naturlige åpninger på kroppen, gjennomføres telemedisinsk ved å sende bildene til en ekspert som hjelper til med vurdering. Videobildene er ikke personsensitive og tjenestens tilgjengelighet er ikke så kritisk. Ulike typer telemedisin er i stadig utvikling, og nye spesialtilpassede videokonferanser vil nok tas i bruk i framtida. Alle de nevnte bruksområdene med spesialtilpasset utstyr kan også benyttes til veiledning, undervisning eller annenhånds vurdering. Telekirurgi er den mest kritiske situasjonen hvor videokonferanseutstyr brukes. Utstyret brukes her i forbindelse med laparoskopi, hvor pasienten blir operert gjennom tynne rør med kamera i enden. Bildene kan sendes 9

15 BREDBÅNDSTJENESTER I HELSENETT til spesialist som kan gi hjelp og veiledning mens operasjonen pågår. Utviklingen på dette området er enorm, og i framtida regner man med å kunne operere ved å sitte langt unna og styre en robot. Dette stiller store krav til sikkerhet. Bildene er ikke personsensitive, men tilgjengelighet og garantert tjenestekvalitet er absolutt nødvendig. Eksempel: Telepatologi i MNH Det er stor mangel på patologer i Norge, og telepatologi er derfor et viktig hjelpemiddel, spesielt i forbindelse med rask diagnostisering mens operasjonen pågår. Helseregion Midt-Norge skal i løpet av 2001 installere utstyr for telepatologi ved flere sykehus. Utstyret består av et videokamera med tilkobling til PC. Begge enhetene kommuniserer med tilsvarende utstyr ved et annet sykehus. Figur 2 viser en prinsippskisse av kommunikasjonsløsningen. RS-232 RS-232 Computer Video Computer Video VLAN 402 Cisco PIX Cisco PIX Omnistack MNH Samtrafikk Omnistack Figur 2 Kommunikasjonsløsningen for telepatologi Det benyttes to kommunikasjonskanaler i denne løsningen: Fra PC til PC kommuniseres kontroll og styredata. PCen er koblet til sykehusets lokale nettverk og har tilgang til nettverkets fellesressurser. Kommunikasjonslinjen går gjennom sykehusets brannmur (Cisco PIX) og ut på MNHs fellesnett. Data som overføres fra PC til PC kan krypteres i brannmuren dersom det er nødvendig. Selve videobildene kommuniseres fra kamera til kamera. Denne datastrømmen inneholder ikke personsensitive opplysninger og kan derfor gå utenfor sykehusets brannmur. Det er ønskelig å avlaste brannmurene med unødvendig kontroll samtidig som brannmurer påfører en videoforbindelse ekstra forsinkelser. Det etableres derfor et eget VLAN (Virtual LAN) for videotrafikk mellom kameraene basert 10

16 BREDBÅNDSTJENESTER I HELSENETT på H.323-standarden. Et VLAN er en gruppe av ulike fysiske LANsegmenter som kan kommunisere som om de lå i det samme fysiske LAN-segmentet. I tillegg vil det skje kommunikasjon mellom PC og kamera. Dette dreier seg stort sett om styredata, og forbindelsen mellom PC og kamera, basert på RS-232-standarden og kan ikke medføre lekkasjetrafikk [Telepatologi i MNH]. Radiologi Teleradiologi gjør det mulig å sende digitale røntgenbilder mellom geografisk spredte lokasjoner for å få hjelp til vurdering av en spesialist. Men en viktig del av bruksområdet for digitale røntgenbilder vil være internt på et sykehus hvor digitalt lagrede bilder gjør informasjonen tilgjengelig for alle som trenger den til enhver tid. Tre av Norges fem helseregioner har teleradiologiske forbindelser i dag. Det brukes både analoge og digitale røntgenapparater. Tradisjonelle røntgenapparater tar analoge røntgenbilder som lagres på film eller bildeplater.. For at disse skal kunne behandles digitalt, må de scannes inn. Moderne røntgenapparater lagrer imidlertid digitale bilder uten å gå veien om film/bildeplater. Dette gir lavere kostnad for hvert bilde som kombinert med muligheten for å ta flere typer bilder det før var vanskelig å ta., kan lett føre til at det blir tatt flere bilder. Datamengdene som digitale røntgenbilden representerer vokser derfor raskt, og billedbehandling (lagring og overføring) krever dermed stor båndbredde. Tekniske aspekter Ved digitalisering av røntgen er to forskjellige datasystemer sentrale, RIS (Radiologisk informasjonssystem) og PACS (Picture Archiving and Communication System). Sykehus som innfører digitale røntgenbilder velger gjerne et helhetlig system som integrerer RIS og PACS. RIS er et pasientadministrativt system for røntgen. Det overfører pasient- og undersøkelsesdata til røntgenlaboratorier og styrer bildestrømmen i PACS. PACS består av digitalt lager, server, nettverk, web-server og arbeidsstasjoner. Koblingen opp mot helsenettet skjer gjennom et sentralt lager. For å kunne utveksle bilder mellom enheter i PACS/RIS, bør systemet ha et standard grensesnitt og lagringsformat. Den desidert mest brukte standarden i dag er DICOM, en internasjonal standard for kommunikasjon av medisinske bilder og tilhørende informasjon. DICOM er en svært omfattende standard som definerer et konkret filformat for lagring og overføring av medisinske bilder. En DICOM-fil beskriver blant annet hvilken informasjon som ligger i bildet og hvordan bildet kan kommuniseres mellom ulike enheter (for eksempel en CT-maskin og PACS-systemet). Pasientdata lagres også i samme fil slik at bildet knyttes til person. Digitale røntgenbilder krever stor lagringsplass. Hvert bilde fra en CTeller MR-skanner krever 2-3 Mbytes uten komprimering, og disse appa- 11

17 BREDBÅNDSTJENESTER I HELSENETT ratene tar ofte mange bilder ved hver undersøkelse. Et vanlig røntgenbilde, for eksempel av en brystkasse, krever opp til 10 Mbytes uten komprimering. Et middels stort sykehus vil da produsere rundt 3-4 Gbytes hver dag. Så store datamengder stiller enorme krav til nettverkets båndbredde og lagringskapasitet. DICOM-standarden støtter imidlertid alle typer JPEG-komprimering. Komprimering kan utføres uten tap av kvalitet, men graden av komprimering blir da liten. Erfaringer fra prøveprosjekt ved danske sykehus viser at bilder kan komprimeres opp til 50:1 uten å forringe den diagnostiske kvaliteten [White Book on JPEG Compression in Medical Imaging]. Et 10 Mbytes stort bilde kan da reduseres til 250 Kbytes. De enorme mengder røntgenbilder som tas vil allikevel kreve bredbåndsnettverk for å kunne kommuniseres effektivt. Sikkerhet Når digitale røntgenbilder og datalager erstatter papirbilder og tradisjonelle arkiver, stiller det store krav til informasjonens konfidensialitet, integritet og tilgjengelighet. Konfidensialitet er en utfordring med DICOM-standarden, spesielt ved utveksling av bilder. Pasientens navn ligger lagret sammen med røntgenbildet, noe som gjør DICOM-filer personsensitive. Dersom store mengder røntgenbilder skal sendes over nettverket vil kommunikasjonen forsinkes betydelig dersom filene skal krypteres. En løsning kan være å kryptere kun pasientinformasjonen som ligger i bildet. Det er ventet at muligheten for selektiv kryptering av DICOM-filens ulike attributter vil bli en del av standarden [Herman Oosterwijk, Security Provisions in DICOM Extended]. Integritet er svært viktig ved lagring av digitale røntgenbilder. Ingen uatorisert må få tilgang til lageret slik at han kan endre på innholdet i bildene. Muligheten for digitale signaturer på DICOM-bilder er nylig lagt til i standarden. For å oppnå høy tilgjengelighet kreves et stabilt system med minimal nedetid. Det skal ikke være mulig at bilder noen gang forsvinner for godt. Journalsystemer Elektronisk pasientjournal (EPJ) blir stadig mer utbredt på norske sykehus, og denne utviklingen vil ventelig fortsette. Med pasientjournal menes alle opplysninger om en persons sykdom og relevante personlige forhold nedtegnet av lege og annet helsepersonell. Journalen skal gi så riktige og tilstrekkelige opplysninger som mulig om pasienten og forhold av betydning for den hjelp personen trenger. En elektronisk pasientjournal (EPJ) er en pasientjournal hvor informasjonen er elektronisk lagret på en slik måte at den kan gjenfinnes ved hjelp av Edb-verktøy. 12

18 BREDBÅNDSTJENESTER I HELSENETT En overgang til EPJ kan gi en betydelig høyere sårbarhet for helsesektoren. Ved dagens bruk av papirjournaler, enten i tillegg til den elektroniske journalen eller som eneste pasientjournal, er det forholdsvis liten fare for at journalen skal gå tapt for godt. Ved overgang til EPJ som den eneste journalen, kan man risikere at store mengder journaler blir utilgjengelig eller går tapt samtidig. Sårbarhetsutvalget ledet av Kåre Willoch har i sin utredning pekt på at tele- og elektronisk kommunikasjon ved sykehus er et område som har høy risiko. En overgang til EPJ som eneste lagringsmedium vil kunne øke denne risikoen ytterlige, og det er derfor viktig at det settes i verk tiltak for å redusere denne risikoen. Økt bruk av elektroniske pasientjournaler, og spesielt det at papirkopier ikke lenger må oppbevares, medfører en rekke utfordringer og trusler som må tas alvorlig. Mens en papirjournal er et fysisk objekt som kan bæres fra sted til sted, forutsetter tilgang til elektroniske opplysninger en omfattende infrastruktur hvor alle elementer i kjeden, fra tjenere, databaseprogramvare, nettverksinfrastruktur, arbeidsstasjoner osv., må fungere og være effektive. Feil i enkelte ledd i kjeden mellom bruker og datasystem vil ha ulike omfang av konsekvenser. Mens feil på den enkelte arbeidsstasjon vil ramme enkeltbrukere eller en mindre arbeidsgruppe, vil feil på mer sentrale komponenter kunne ramme hele virksomheten. Trusler mot elektroniske pasientjournaler Trusler knyttet til konfidensialitet for elektroniske pasientjournaler er naturligvis mange, men skiller seg i liten grad fra andre systemer som inneholder sensitive opplysninger. Av vel så stor betydning er trusler knyttet til driftssikkerheten, dvs. trusler som kan medføre utilgjengelighet eller tap av store mengder data (se egen KITH-rapport om dette). Noen sentrale trusler er: Kabelbrudd og strømbrudd avhengig av hvor bruddet er lokalisert, sentralt eller perifert, vil brudd føre til kortere eller lengre utilgjengelighet Kritiske tjenester er utilgjengelig f.eks. nettverksressurser for pålogging til systemet, katalogtjenester og nettverkstjenester som er nødvendig for å gi tilgang Overbelastning eller skade på nettverkskomponenter, alt fra nettverkskort på servere og arbeidsstasjoner til svitsjer og rutere Tyveri av sentrale servere Systemfeil - feil i operativsystemet, i grensesnittet mellom lagringsmediet og datasystemet eller i selve harddisken kan medføre at data ødelegges. Manglende og/eller defekte sikkerhetskopier Dårlig skalerte løsninger som ikke håndterer økte brukermengder Manglende redundans i løsningene isolerte feilpunkter hvor en feil får store konsekvenser 13

19 NOEN SIKKERHETSUTFORDRINGER Kapittel Noen sikkerhetsutfordringer Økt bruk av bredbåndsnettverk vil endre sikkerhetslandskapet betraktelig. Selv om truslene i hovedsak vil være de samme som før, vil egenskapene i bredbåndsnett kunne endre både alvorlighetsgrad, sannsynlighet og virkemåte for en rekke trusler. Dette kapittelet vil se på noen ulike typer trusler og sikkerhetsutfordringer og hvordan disse vil kunne arte seg i bredbåndsnett. Tjenestenektingsangrep Noen angrep på et datasystem har som hensikt å nekte offeret tilgang til de ressurser han er autorisert til å bruke. Slike angrep kalles tjenestenektingsangrep. Eksempler på denne typen angrep er: Forsøk på å overbelaste et nettverkt med høy trafikk slik at det forhindrer den legitime trafikken som vanligvis går over nettet. Forsøk på å bryte koblingen mellom to datamaskiner slik at en bruker ikke får tilgang til de nødvendige ressurser. Uautorisert lagring av data på et systems åpne lagringsområde slik at viktig lagringsplass forbrukes og uautorisert nettverkstrafikk genereres. Et vellykket tjenestenektingsangrep kan lamme datamaskiner, tjenere eller hele nettverk. Ulike typer tjenestenektingsangrep Det finnes tre hovedtyper av tjenestenektingsangrep: Forbruk av knappe, begrensede ressurser Ødelegging av konfigurasjonsdata Modifisering av nettverkskomponenter. Alle datamaskiner og nettverk trenger ressurser for å kunne fungere, for eksempel båndbredde, minne og lagringsplass. Tabellen nedenfor gir en oversikt over ulike typer angrep som forbruker knappe ressurser. Oppkobling mot nettverk Angriper starter prosessen med å etablere en kobling mot nettverket, men fullfører ikke operasjonen. På denne måten okkuperer angriperen en av noen få 14

20 NOEN SIKKERHETSUTFORDRINGER Sette offerets egne ressurser opp mot hverandre Forbruk av båndbredde Forbruk av andre ressurser begrensede datastrukturer som brukes for å komplettere oppkoblingen. Legitime oppkoblinger kan da bli nektet adgang. Angriper kan sette prosesser som kommuniserer opp mot hverandre slik at de går i uendelige løkker som krever større og større overføringskapasitet. Et eksempel er kommandoene echo og chargen i UNIX og NT. Chargen genererer tegn, mens echo svarer med de samme data som funksjonen mottar. Disse to funksjonene vil forbruke all tilgjengelig båndbredde mellom dem. Angriper genererer et stort antall pakker som sendes mot et nettverk. Ved hjelp av en eller flere maskiner kan det genereres så mye trafikk mot nettverket at all tilgjengelig båndbredde forbrukes. Angriper forbruker prosessorkraft eller diskplass ved å for eksempel kjøre store prosesser på nettverkets server eller sende store mengder epost til nettverket (spam). Angriper kan gjøre systemet ustabilt ved å sende uventede data over nettverket. Hvis en angriper får tilgang til å ødelegge eller endre konfigurasjonsdata, kan han sette nettverket helt eller delvis ut av drift. Dårlig konfigurasjon av operativsystemet kan gjøre systemet sårbart ovenfor slike angrep. Modifisering av nettverkskomponenter kan skje dersom komponentene ikke er forsvarlig sikret. Hvis en angriper har fysisk tilgang til datamaskiner, rutere, strømforsyning eller andre kritiske komponenter, kan han ødelegge eller endre disse og sette nettverket ut av spill. Tjenestenektingsangrep og bredbånd De ulike typene av tjenestenektingsangrep som er nevnt over, gjelder i prinsippet på samme måte for bredbåndsnettverk som for nettverk med lavere overføringshastigheter. Noen aspekter kan imidlertid trekkes fram som spesielle for høyhastighetsnettverk. Disse gjør seg gjeldende i forbindelse med angrep som forbruker knappe ressurser da båndbredde er en slik viktig ressurs. Bredbåndsnett er bygget for å tilby større ytelse for tradisjonell kommunikasjon over nettverk. Men vel så viktig er det at den økte båndbredden gir mulighet for nye kommunikasjonstjenester. Sanntids videooverføring er et eksempel på dette. Når flere slike viktige tjenester er avhengig av de ressursene som et bredbåndsnettverk kan tilby, blir de samtidig mer sårbare overfor feil. Utstrakt bruk av bredbåndskommunikasjon i kritiske situasjoner stiller dessuten krav til ytelse og kvalitet. For eksempel vil en videokonferanse være sårbar selv for små forsinkelser i overføringen. Et 15

21 NOEN SIKKERHETSUTFORDRINGER tjenestenektingsangrep kan derfor få mye større konsekvenser for et bredbåndsnettverk enn for et tradisjonelt nettverk. Dersom en angriper selv har høyhastighetsoppkobling mot et bredbåndsnettverk, er han bedre rustet for å lamme et annet nettverk. Det blir enklere å sende store datamengder til et nettverk med lavere båndbredde. Bredbånd kan derfor gi større muligheter for angrep som forbruker all båndbredde hos offeret. Et bredbåndsnettverk har imidlertid god ytelse, og det skal derfor mer til før nettverket blir lammet på grunn av for stor trafikk. På denne måten tilbyr bredbånd mer sikkerhet mot små angripere som ikke har store nok ressurser til å overbelaste nettverket. Dette kan imidlertid gi falsk trygghet da det finnes gode muligheter for angripere med små egne ressurser å allikevel ramme et bredbåndsnettverk. Ved hjelp av distribuerte tjenestenektingsangrep (DDoS) kan en angriper kontrollere store dataressurser for å rette disse mot et enkelt nettverk og lamme dette. De bredbåndsløsninger som eksisterer på markedet i dag innebærer ofte at brukerne har en konstant oppkobling mot nettet. En bruker som alltid er koblet opp vil være mer sårbar for alle typer angrep, også tjenestenektingsangrep. Med konstant oppkobling har man en fast IP-adresse og det er derfor lettere for en angriper å finne fram til denne, noe som gjør det enkelt å utføre ulike typer av angrep (se også kapittel 5 personlige brannmurer). Avlytting og overvåking Utfordringene det er å sikre tilstrekkelig tjenestekvalitet og ytelse for de virkelig krevende bredbåndsprosjektene bidrar til dels å redusere risikoen for avlytting, overvåking og trusler knyttet til datainnbrudd. Ved at ytelseskravene blir så høye og det blir nødvendig med et mest mulig homogent nettverk for å overføre informasjon, blir det vanskelig f.eks. å sende informasjonen ut av de dedikerte nettenet (f.eks. helsenett) og ut på Internett hvor mulighetene for tilpassing av tjenestekvalitet forsvinner. Dette er foreløpig status, men stadig økende ytelse på de enkelte nettverkskomponentene vil medføre at kapasitetsproblemer ikke lenger vil være hovedutfordringen for å tappe f.eks. video og lydinformasjon som går i nettverket. Dette er allerede et problem ift. lyd-overføring, hvor en rekke nettverksovervåkingsprogrammer (såkalte sniffere ) allerede inneholder dekodere for Voice over IP (VoIP). Dette medfører at IP-baserte telefonsamtaler kan overvåkes hvis en angriper har tilgang til et nettverkspunkt mellom avsender og mottaker og overføringen ikke er kryptert. Selv om det er støtte for kryptering i standarden er det de færreste VoIP-produkter som benytter dette pr. i dag. 16

22 KRYPTOGRAFI Kapittel Kryptografi I over tusen år har mennesker brukt kryptografi for å skjule innholdet i skriftlige meldinger. Ved hjelp av en beregningsmetode/algoritme og en hemmelig nøkkel endres en melding slik at den ikke kan forstås uten bruk av den hemmelige nøkkelen. Dette kapittelet vil beskrive hovedtypene av kryptering og se spesielt på bruk av kryptering i forbindelse med høyhastighetsoverføringer, som f.eks. videooverføringer. Tabellen nedenfor forklarer noen viktige begreper som brukes i forbindelse med kryptografi. Klartekst Kryptotekst Kryptering Dekryptering Nøkkel Krypteringsalgoritme Den opprinnelige meldingen som ikke er kryptert. Den krypterte og uleselige meldingen. Prosessen som fører til forvrenging av innholdet i en melding slik at bare mottaker med riktig nøkkel kan lese den opprinnelige meldingen. Prosessen som overfører den krypterte meldingen tilbake til den opprinnelige klarteksten. En sekvens av symboler som representerer den hemmeligheten som brukes ved kryptering og dekryptering. Den funksjonen som brukes for å forvrenge innholdet i en melding slik at den blir uleselig. I dag er kryptografi et nødvendig verktøy for sikkerhet ved elektronisk kommunikasjon. I en kommunikasjonsprosess utveksles ofte sensitiv informasjon som ikke må komme i hendene på uautoriserte personer. Dette gjelder spesielt innenfor helsevesenet som opererer med store mengder sensitive personopplysninger. Fagfeltet kryptografi har utviklet seg i takt med kravet om strengere sikkerhet og større datamengder. I dag består krypteringsalgoritmer av avanserte matematiske funksjoner, og det kreves til dels enorm datakraft for å knekke de mest avanserte algoritmene. 17

23 KRYPTOGRAFI De kryptografiske metodene som finnes i dag kan deles inn i to hovedtyper, symmetriske og asymmetriske. Innenfor hver av disse hovedtypene finner man flere ulike krypteringsalgoritmer med sine fordeler og ulemper. Symmetrisk kryptografi Ved symmetrisk kryptografi brukes den samme nøkkelen til kryptering og dekryptering. Denne typen kryptografi egner seg utmerket til hemmelighold (beskyttelse av konfidensialitet). Krypteringsalgoritmene som ligger til grunn er svært raske. Problemet med symmetrisk kryptografi ligger i distribusjonen av nøkler. Det må skje på en sikker måte slik at nøkler ikke kommer på avveie. De viktigste symmetriske krypteringsalgoritmene er DES, IDEA og AES. DES (Data Encryption Standard) ble utviklet på 1970-tallet og brukes fortsatt. DES benytter seg av nøkler på 56 bits. Metoden holder angripere med små ressurser ute, men er sårbar for angripere som sitter med spesiell teknologi for å søke gjennom og prøve ut alle mulige nøkler. Etter hvert som kraftigere datamaskiner utvikles anses DESalgoritmen å være for svak. En videreutvikling, 3DES (trippel DES), er basert på å bruke DES-algoritmen tre ganger, og nøkkellengden er da på 128 bits. Metoden er derfor svært sikker, men krypteringsprosessen tar lang tid. IDEA (International Data Encryption Algorithm) er utviklet på tallet. Den benytter seg av nøkler på 128 bits og er kjent som en svært sikker metode. Det eksisterer ennå ingen kjente, vellykkede angrep på IDEA. Hastigheten til krypteringsprosessen er omtrent lik hastigheten til DES. National Institute of Standards and Technology (NIST) valgte i 2000 en nyutviklet algoritme, Rijndael 2, som den nye AES (Advanced Encryption Standard). I oktober 2001 blir AES offisiell krypteringsstandard for bruk av den amerikanske regjeringen. Algoritmen støtter bruk av nøkler på enten 128, 192 eller 256 bits. Den er praktisk umulig å knekke, og den har bra ytelse. AES er fortsatt så ny at få produsenter har valgt å implementere denne i sine produkter. DES og varianter av denne er derfor mest brukt i dag. Asymmetrisk kryptografi Ved asymmetrisk kryptografi er nøkkelen som klarteksten krypteres med forskjellig fra nøkkelen som brukes til dekryptering. De mest populære asymmetriske kryptosystemer baserer seg på nøkkelpar. Hver av partene har da en privat nøkkel (hemmelig) og en offentlig nøkkel (tilgjengelig 2 Rijndael-algoritmen er utviklet av to belgiske kryptografikere, Joan Daemen og Vincent Rijmen, som et svar på NISTs forespørsel om kandidater til AES. 18

24 KRYPTOGRAFI for alle kommunikasjonsparter). En melding krypteres med den offentlige nøkkelen og kan kun dekrypteres med den private. Eventuelt kan man kryptere med den private nøkkelen og dekryptere med den offentlige. På denne måten kan man verifisere opphavet til en melding, noe som er grunnlaget for digitale signaturer. Asymmetrisk kryptografi løser problemet med nøkkeldistribusjon. Ulempen er at denne typen kryptografi er svært tidkrevende i forhold til symmetrisk kryptering. RSA (Rivest-Shamir-Adleman) er den mest brukte asymmetriske krypteringsalgoritmen. Algoritmen er i praksis umulig å knekke dersom man velger en lang nok nøkkel (bør være over 1024 bits). Metoden er imidlertid sårbar ovenfor kjøretidsfeil i krypteringsprogrammet, angrep mot hardware og angrep med valgt klartekst. Angrep mot hardware innebærer målinger av for eksempel stråling eller strømforbruk i krypteringsenheter. Angrep med valgt klartekst vil si at en angriper kan mate krypteringsmekanismen med den teksten han selv ønsker. Ved å velge spesielle mønster av klartekster, kan han lettere avsløre den hemmelige nøkkelen. På grunn av de ulike egenskapene til symmetriske og asymmetriske krypteringsmetoder, brukes de ofte sammen for å utnytte hverandres fordeler. Asymmetrisk kryptografi brukes da til å distribuere en tilfeldig generert sesjonsnøkkel. Denne nøkkelen brukes så til å kryptere den aktuelle meldingen ved hjelp av en symmetrisk algoritme. Dette kalles hybrid kryptering. Kryptering av video Datamengdene som utveksles over ulike nettverk blir bare større og større, og nettverkene bygges ut for å kunne overføre slike store mengder data. Det blir stadig vanligere å sende bilder med høy oppløsning, lyd og video. Røntgenbilder og videokonferanser er konkrete eksempler på dette i helsesektoren. På sikkerhetssiden ligger utfordringen derfor i å kunne beskytte konfidensialiteten til de store datamengdene som overføres. Samtidig skal datakvaliteten opprettholdes, hastigheten må være god og forsinkelsen må være lav. Hensiktsmessig bruk av kryptografiske metoder kan bidra til nødvendig konfidensialitet uten at overføringshastigheten blir for dårlig. Dette kapitlet tar for seg problemer i forhold til kryptografi og ikke begrensninger i forhold til den tekniske nettverksløsningen. Et viktig bruksområde for bredbåndstjenester i framtida er overføring av videobilder. Innenfor helsevesenet vil for eksempel overvåking av pasienter, telekirurgi og videokonferanser være aktuelle bruksområder. I disse tilfellene er det viktig å beskytte konfidensialitet gjennom sikker kryptering av de data som overføres. En avansert krypteringsalgoritme innebærer imidlertid tunge beregninger. I kombinasjon med de store datamengdene som video representerer, krever dette mye ressurser. 19

25 KRYPTOGRAFI Videoformatet MPEG Analog TV i hele Europa er basert på standarden PAL (Phase Alternate Line). Hvis dette TV-bildet skulle digitaliseres og kringkastes, ville det kreve en overføring på 216 Mbps, og en slik datamengde vil okkupere store deler av et bredbåndsnett. Samtidig vil forsinkelsen i en sanntidsoverføring bli stor på grunn av at svært store datamengdene skal prosesseres (komprimering/dekomprimering og eventuell kryptering). MPEG 3 er et standardsystem for komprimering av digital video og lyd. MPEG-1 standarden er utviklet primært for lagring på CD-ROM og kan greit overføres over Internett da det krever en hastighet på under 1,5 Mbps. MPEG-2 tilbyr bedre kvalitet på både bilde og lyd, og er derfor egnet til TV-kringkasting og lagring på DVD. Når TV-bildet i PAL-format digitaliseres og komprimeres med MPEG-2, ligger størrelsen på mellom 4 og 10 Mbps. Takket være MPEG-2 er det mulig med direkteoverføring av videobilder. Det vil si overføring i sanntid med svært lav forsinkelse. MPEG-teknologien baserer seg på at mange bilder i en videostrøm har likheter. Internt i et bilde er det mange like felter, og fra bilde til bilde er det likheter. MPEG-video er satt sammen av grupper av bilder. Hver gruppe er en serie av I-, P- og B-bilder. I-bilder komprimeres med JPEGstandarden 4, uten noen referanse til andre bilder. P-bilder er kodet ved å bruke referanser til et tidligere I- eller P-bilde. B-bilder er satt sammen av både det foregående og det neste I- og/eller P-bildet. Kryptering Ved kryptering av tekstlige data, for eksempel med DES-algoritmen, vil hele meldingen kodes bit for bit. Dersom overføring av video krypteres på denne måten, krever dette stor datakraft for at forsinkelsen ikke skal bli for stor i forhold til kravet om sanntidsoverføring. Krypteringsalgoritmer som er implementert direkte i hardware gir rask prosessering. Man kan oppnå tilfredsstillende hastighet på en videokonferanse ved å sette opp en linje mellom to krypteringsenheter som bruker hardwarekryptering. En slik løsning er imidlertid både kostbar og upraktisk da man trenger krypteringsenheter på alle steder som skal delta i videokonferanser. Løsningen er lite fleksibel fordi muligheten for videokonferanse er begrenset til de parter som har krypteringsenheter tilgjengelig. Krypteringsalgoritmer som er implementert i software er trege og gir for stor forsinkelse i forhold til kravet om sanntidsoverføring (Shi et.al, 1998). En løsningen ligger imidlertid i å kryptere kun deler av den kodede MPEG-videoen på en slik måte at bildene blir uleselige. Det er utvik- 3 MPEG står for Motion Pictures Expert Group. Gruppen ble etablert i 1988 og arbeider med utvikling av standarder for koding av digital video og audio. 4 JPEG står for Joint Photographic Experts Group og er et standard format for komprimering av stillbilder. Ved komprimering med JPEG endres billedkvaliteten noe, men metoden utnytter kjente begrensninger hos det menneskelige øyet for å gjøre dette så lite merkbart som mulig. 20

26 KRYPTOGRAFI let mange krypteringsalgoritmer som utfører en slik selektiv kryptering. Disse skiller seg i hovedsak på hvordan de velger ut hvilke deler av videoen som skal krypteres. Qiao og Nahrstedt vurderer ulike krypteringsalgoritmer og kommer fram til at Video Encryption Algorithm (VEA) er den best egnede for multimediabruk (Qiao et.al, 1998). Shi, Wang og Bhargava presenterer en forbedret utgave av VEA i sin artikkel (Shi et.al, 1998). Den forbedrede algoritmen kalles Real-time Video Encryption Algorithm (RVEA) og har bedre sikkerhet samtidig som den er mye raskere. Figur 3 Til venstre vises det orginale bildet. Til høyre vises det samme bildet etter at det er kryptert med RVEA (Shi et.al, 1998). RVEA tar utgangspunkt i MPEG-videoens inndeling i I-, P- og B-bilder. Algoritmen henter ut et antall bits. Metoden for å velge ut disse bitene varierer mellom I-, P- og B-bilder. Deretter krypteres de valgte bitene med DES- eller IDEA-algoritmen og settes tilbake på sine orginale posisjoner. RVEA kan spare 90% av den tiden det tar å kryptere video med algoritmer som krypterer hele datastrømmen. (Shi et.al, 1998). Overføring av MPEG video Byggingen av en MPEG datastrøm skjer via flere prosesser. Første steg er koding av original video eller audio. Resultatet av denne prosessen er en elementærstrøm (ES). En elementærstrøm er som regel komprimerte data av type lyd, video, kontrolldata eller tekstlige data. En MPEG videostrøm kodet i I-, P- og B-bilder er et eksempel på en slik elementærstrøm. I neste prosess samles hver elementærstrøm i blokker av ulik størrelse. Output fra denne prosessen blir da en pakket elementærstrøm (PES). 21

27 KRYPTOGRAFI Figur 4 Skjematisk skisse av oppbyggingen av en MPEG datastrøm. Kilde: For å lagre eller overføre en PES er det nødvendig å kombinere de ulike PES til en enkelt datastrøm. Denne sammenstillingsprosessen kalles multipleksing. MPEG-2-standarden gir rom for to ulike typer multipleksing: MPEG Programstrøm multipleksing setter sammen grupper av tett koblede PES som så kan lagres på fil på for eksempel en DVD-plate. MPEG Transportstrøm multipleksing bryter ned hver PES til transportpakker med fast størrelse. En slik transportstrøm er egnet for overføring over usikre nettverk og brukes for eksempel ved DVB 5. Ved en videokonferanse vil dataene overføres som en MPEG transportstrøm. Mottakeren av en slik datastrøm må ha en dekoder som oversetter dataene tilbake til video og lyd. Konklusjon Vi har sett at digital video representerer så store datamengder at tradisjonell kryptering av hele datastrømmen vil gi for stor forsinkelse ved direkteoverføring i sanntid dersom krypteringen skjer ved hjelp av softwareløsninger. Det er to løsninger som peker seg ut i forhold til dette problemet: Ta i bruk krypteringsenheter eller brannmurer som har spesialtilpasset hardware for kryptering. I dag finnes det hardwareprodukter på markedet som gir raske nok løsninger for direkteoverføring i sanntid. Den teknologiske utviklingen fører dessuten til at prosessorer blir raskere, og krypteringshastigheten vil bare bli bedre i framtida. Løs- 5 DVB står for Digital Video Broadcast 22

28 KRYPTOGRAFI ningen krever imidlertid kompatibelt hardwareutstyr plassert hos alle kommunikasjonsparter. Implementere en selektiv krypteringsalgoritme som RVEA. RVEA benyttes på en MPEG elementærstrøm, det vil si den datastrømmen som kommer ut fra komprimeringsprosessen i MPEG. Videoen vil altså krypteres før den blir delt opp i blokker til en pakket elementærstrøm. Krypteringen skjer ved den vertikale, stiplede linjen i Figur 4. Mottak av de krypterte dataene innebærer dekoding ved å reversere prosessen. En MPEG video kan inneholde flere spor med lyd og tekstlige data. Disse må krypteres på tradisjonelt vis med for eksempel DES- eller AES-algoritmen. For å oppnå riktig synkronisering av den totale datastrømmen, må denne krypteringen skje på samme sted i prosessen som krypteringen av videostrømmen, skissert ved den vertikale, stiplede linjen i Figur 4. RVEA og liknende selektive krypteringsalgoritmer ble utviklet for noen år siden, da hardwareløsninger ennå ikke var raske nok for å kryptere for eksempel videobilder. I dag er slike krypteringsenheter raske nok og foretrekkes derfor i de fleste tilfeller. Fordelene med hardwareløsninger er at det er en fleksibel løsning som ikke krever komplisert programvare. Fleksibiliteten ligger i at man ikke trenger å skille mellom ulike krypteringsalgoritmer ut fra hvilke data som skal sendes. Dessuten finnes det i dag mange produkter for hardwarekryptering på markedet, noe som gjør det enkelt å finne løsninger som fungerer. Sikker videokonferanse basert på hardwarekryptering av hele datastrømmen er blant annet testet ut i Østnorsk helsenett. 23

29 VPN OG PERSONLIGE BRANNMURER Kapittel VPN og personlige brannmurer Økt bruk av bredbåndsnettverk vil kunne skape endringer i arbeidsmønsteret for store brukergrupper. Bredbånd vil f.eks. kunne bedre muligheten for hjemmekontor og for brukere som må knytte seg til bedriftsinterne nettverk når de er andre steder. Slike scenarier reiser to hovedutfordringer: Å beskytte brukerne mot angrep utenfra, og på en sikker måte gi tilgang til nødvendige ressurser internt. VPN virtuelle private nett Mens kommunikasjon over lengre distanser, f.eks. mellom to avdelinger av en virksomhet plassert i ulike byer, før foregikk over leide og dedikerte linjer, velge stadig flere virksomheter å kommunisere over Internett. Ved at hver avdeling knytter seg til en lokal internettleverandør reduseres kostnadene ved å leie kommunikasjonslinjer ved at begge benytter en delt og åpen infrastruktur. Derimot øker risikoen for at informasjon kan kompromitteres, og stadig flere velger derfor å benytte virtuelle private nett (VPN) for å opprette sikre kommunikasjonskanaler seg i mellom. Begrepet VPN benyttes i ulike sammenhenger, men betegner her en kombinasjon av teknologier for tunnelering, kryptering, autentisering og tilgangskontroll for å kommunisere over Internett eller andre IP-nett. Hovedhensikten med VPN-nett er å redusere kostnadene med kommunikasjon ved å utnytte offentlig telekommunikasjonsinfrastruktur på en sikker måte. VPN-nett benyttes i flere sammenhenger, særlig for fjerntilgang f.eks. for mobile brukere, for å knytte sammen to geografisk avskilte nettverk eller for å bygge ekstranett som gir andre organisasjoner som kunder og leverandører tilgang til utvalgte deler av det interne nettverket. I tillegg kan VPN benyttes internt i virksomheter for å skille mellom ulike brukergrupper eller ressurser. Å bygge VPN-nett baserer seg i all hovedsak på å opprette tunneler, og disse eksisterer i to hovedtyper, ende-til-ende tunneler og node-til-node tunneler. Ende-til-ende tunneler benyttes for å opprette sikker kommunikasjon mellom to systemer, f.eks. en arbeidsstasjon og en server, og de enkelte systemene er ansvarlig for å etablere tunnelene, kryptere og autentisere data. Node-til-node tunneler benyttes for å koble sammen to ulike nettverk (LAN). De enkelte systemene (arbeidsstasjoner, servere) på de to LAN ene kommuniserer som om de var på samme nettverk, og 24

30 VPN OG PERSONLIGE BRANNMURER VPN-kanal Node til node Ende til ende VPN-systemer, ett på hvert LAN, overfører kommunikasjonen mellom de to nettverkene. IPSec Figur 5 - Ulike typer VPN-forbindelse IPSec er en samling protokoller som tilbyr kryptering og autentisering på nettverksnivået (IP-nivå). Basert på standarder definert av IETF sikrer IPSec konfidensialitet, integritet og autentisering av data som kommuniseres over IP-nettverk. Standarden definerer to utvidelser til IP-pakkene, Authentication Header (AH) for å sikre autentisering og dataintegritet, og Encapsulating Security Payload (ESP) for å sikre konfidensialitet og dataintegritet. Disse utvidelsene kan benyttes i kombinasjon, men for de fleste formål vil kun en av disse benyttes. I tillegg utveksles og forhandles nøkkelinformasjon og andre nødvendige parametere ved hjelp av Internet Key Exchange (IKE). IKE kan benytte digitale signaturer for å sikre store nettverk i kombinasjon med TTP-tjenester, i mindre nettverk kan passord eller andre autentiseringsmekanismer benyttes. IPSec baserer seg på en rekke sikkerhetsteknologier for å tilby sikker nettverkskommunikasjon: Nøkkelutveksling basert på offentlig nøkkel-kryptering Symmetriske krypteringsalgoritmer for å kryptere informasjonen Nøkkelavhengige hash-funksjoner i kombinasjon med tradisjonelle hash-algoritmer for å sikre pakkeautentisering og integritet Kan benytte digitale sertifikater Authentication Header benyttes for å autentisere pakkene som utveksles, dvs. å sikre at en pakke som er mottatt virkelig kommer fra riktig 25

31 VPN OG PERSONLIGE BRANNMURER avsender, og å sikre at pakken ikke er endret under transport. I stedet for å signere pakkene med en digital signatur benyttes normalt en nøkkelavhengig hash-funksjon. Dette vil si at en kryptografisk hash-funksjon genererer et unikt nummer av IP-pakken som så kombineres med en hemmelig nøkkel, slik at kun avsender og mottaker kan generere riktig nummer når pakken skal kontrolleres. Dette er en operasjon som går raskere enn å benytte alminnelige offentlig nøkkel-baserte algoritmer for digital signatur. Til slutt ser IP-pakken slik ut: IP-header Aut. Header Data IP-headeren inneholder som normalt avsender- og mottaker-adresse og annen informasjon som benyttes for å rute pakken i nettverket. AH tilbyr kun autentisering og integritet. For å sikre IP-pakkene mot innsyn, dvs. konfidensialitet, må Encapsulating Security Payload (EPS) benyttes. EPS krypterer pakkene og kan benyttes i to hovedmodus, transportmodus og tunnelmodus. I transportmodus krypteres kun IP-pakken mens IP-headerne med avsender og mottakeradresse er ukryptert. I tunnelmodus krypteres hele IP-pakken for så å legges inn i en ny IP-pakke. Denne modusen benyttes normalt av rutere eller andre nettverksenheter som utfører kryptering uavhengig av systemene som kommuniserer. Denne løsningen medfører at systemene som skal beskyttes ikke må endres på og at det blir umulig for noen som avlytter trafikkstrømmen å avdekke den reelle mottakeren og avsenderen (trafikkanalyse). En ESPpakke i transportmodus ser slik ut: IP-header ESP-info Data IP-headeren fra originalpakken er mer eller mindre uendret. En ESP-pakke i tunnelmodus ser slik ut: Ny IP-header ESP-info Orginal-pakken For å holde orden på informasjonen som er nødvendig for å etablere en IPSec-forbindelse, f.eks. hvilke sikkerhetsmekanismer som skal benyttes, nøkkelinformasjon, hvilke algoritmer som skal brukes osv, benyttes en Security Association (SA). Det opprettes en SA for hver vei kommunikasjonen foregår. Informasjonen som er nødvendig for å opprette en slik SA kan legges inn manuelt, eller den kan forhandles mellom de to systemene som oppretter kommunikasjonen vha. Internet Key Exchange - protokollen. SA en kan derfor ses på som nøkkelen til å åpne en gitt kommunikasjonskanal, og hver kanal har ulik nøkkel. 26

32 VPN OG PERSONLIGE BRANNMURER Bruk av PKI-løsninger Endepunktene for IP-tunneler i forbindelse med VPN er normalt datamaskiner, rutere, brannmurer, og ikke personer. Autentisering og aksesskontroll i VPN foregår på nettverks- eller link-laget, og det betyr at det normalt er aksess til nett og maskiner som kontrolleres. Dette kan by på problemer dersom man skal benytte PKI-nøkler og sertifikater som er utstedt til personer, da man kan risikere at flere ulike personer har tilgang til den autentiserte kanalen. Normalt bør det benyttes spesielle nøkler for VPN-formål som er utstedt til maskiner eller spesielle tjenester, og benytte andre mekanismer i tillegg der det er behov å autentisere personer. Det kan også være aktuelt å benytte sertifikater utstedt til en virksomhet eller en underenhet i enkelte tilfeller. Alle aktørene som er involvert i en VPN-løsning vil trolig være kjente aktører, som i utgangspunktet har tillit til hverandre. Det er derfor ikke noe i veien for at man selv håndterer nøkkelutsteding og distribusjon av nøkler, og at man dermed operere en egen PKI, men merk at dette vil ikke være en tiltrodd tredjepart (TTP). Det vil trolig også være andre krav til sikkerhetspolicy for VPN-sertifikater enn for sertifikater som skal benyttes direkte av personer, f.eks. til digital signering. Bruksområder for VPN De to hovedtypene av tilknytting som VPN-nett gir, beskrevet ovenfor, gir opphav til en rekke ulike tilknyttingsløsninger og arkitekturer som kan velges når løsninger med slik teknologi skal implementeres. Valg av arkitektur vil få konsekvenser ift. ytelse og skalerbarhet. Særlig vil dette gjelde for systemer som må håndtere oppkoblinger fra en rekke andre systemer (typisk klient-server arkitektur). Nettverk til nettverk Denne typen VPN benyttes for å knytte sammen to (geografisk) separate nettverk slik at de fungerer som om de var ett nettverk. Nettene knyttes sammen ved at to VPN-enheter (f.eks. som del av brannmur), en i ytterkant av hvert nettverk bygger en tunnel hvor pakker overføres når det er nødvendig. Ytelsen for denne type VPN vil avhenge av mengden informasjon som må overføres over VPN-kanalen. Hvis alle brukerne på det ene nettverket kommuniserer opp mot servere på det andre nettverket i stedet for servere på eget nettverk vil krav til ytelse kunne bli høye. Maksimal kapasitet vil begrenses av yteevnen til den svakeste VPN-enheten, evt. til linjekapasiteten mellom nettverkene hvis denne er lavere. Den enkelte arbeidsstasjon eller server må ikke benytte kapasitet til å kryptere. 27

33 VPN OG PERSONLIGE BRANNMURER Arbeidsstasjon til server Denne type VPN benyttes for å oppnå sikker kommunikasjon på nettverksnivå mellom to datasystemer. Et viktig bruksområde vil være å sikre kommunikasjonen mellom to systemer hvor man ikke ønsker å endre på applikasjonene for å legge til sikringsmekanismer. Dette kan være eldre databasesystemer eller andre legacy -systemer som det vil koste for mye å endre på, men hvor man ønsker å kryptere kommunikasjonen f.eks. mellom en stormaskin og arbeidsstasjoner med terminalprogramvare. Denne typen sikring vil også kunne benyttes for å sikre at kun godkjente arbeidsstasjoner og brukere kommuniserer med serveren (dvs. at kun arbeidsstasjoner som kan presentere et godkjent sertifikat får kommunisere med serveren). Flaskehalsen for ytelse i denne type løsninger vil normalt ligge på serveren, som må håndtere kommunikasjon mellom en rekke klienter og kryptere og dekryptere data til/fra disse. Arbeidsstasjonene må kunne kryptere og dekryptere data til/fra serveren. Selv om dette vil kreve mindre enn serveren, vil dette kunne stille krav til arbeidsstasjonene som vil kunne utelukke de aller svakeste typer tynne klienter. På serversiden vil det kunne være nødvendig å benytte hardware-løsninger for å bidra til å håndtere de kryptografiske mekanismene, f.eks. dedikerte kryptoinnstikkskort eller krypto-co-prosessorer. Arbeidsstasjon til nettverk Denne typen VPN benyttes ofte for å knytte mobile brukere eller hjemmekontor opp mot sentrale nettverk, f.eks. bedriftsinterne nettverk. Her benyttes ofte en VPN-tjeneste i virksomhetens brannmur eller en egen VPN-tjeneste før eller i parallell med brannmuren som slipper nettverkstrafikk fra klienter utstyrt med VPN-programvare (f.eks. i form av IPSec-støtte i operativsystemet eller egne komponenter). Dette gjør at trafikk internt på virksomhetens nettverk kan overføres sikkert til den eksterne brukeren og at virksomheten kan være sikker på at brukeren er den han utgir seg for å være. Flaskehalsen for denne type løsning vil normalt være ytelsen på den brannmuren eller aksesstjeneren som skal håndtere oppkoblinger fra en rekke klienter. Lukkede brukergrupper VPN-teknologi kan også benyttes til å opprette lukkede brukergrupper for brukere som ønsker å kommunisere sikkert med hverandre. Dette kan f.eks. benyttes i forbindelse med videokonferanser over IP-protokollen, og erstatte bruken av eventuelle sikkerhetsløsninger internt i konferanseløsningen. Hver enkelt deltagende arbeidsstasjon vil da være ansvarlig for å kryptere og dekryptere informasjon til og fra seg selv. 28

34 VPN OG PERSONLIGE BRANNMURER Personlige brannmurer En personlig brannmur (PB) er en barriere som sørger for å kontrollere og filtrere trafikken til en enkelt PC. Personlige brannmurer er vanligvis en programvarekomponent, men kan også være i form av en boks (hardware) som kobles mellom PC-en og det eksterne nettverket. Det er hovedsakelig i forbindelse med hjemme-pc-er eller bærbare-pc-er at behovet for en PB oppstår. Men en PB kan også benyttes for ekstra beskyttelse av en PC som står koblet i et bedriftsinternt nettverk. Hvorfor er det behov for en personlig brannmur? Det kan være flere ulike årsaker til at det oppstår behov for en personlig brannmur. PC-er som benyttes utenfor bedriftenes nettverk vil ofte være utsatt for flere trusler som må håndteres. En PB kan ha følgende oppgaver: Beskyttelse av sensitiv eller privat informasjon som er lagret på PC-en Sørge for sikker tilkopling mellom hjemmekontor og bedriftens nettverk Hindre at uvedkommende benytter PC-en for å få tilgang til bedriftens nettverk Hindre kjøring av aktive komponenter, f.eks basert på Java/VB script eller Active-X Hindre at Trojanske hester sender ut informasjon Hindre at uvedkommende utnytter ressurser (CPU, disk, nettilgang) på PC-en din. Sentral administrasjon av sikkerhetspolicy (og overvåkning) for flere enheter (spesielt for distribuerte brannmurer) Hindre misbruk av IP-adresser Sperre for bruk av enkelte tjenester Beskytte PC-en mot tjenestenektangrep eller involvering i slike, som kan gjøre PC-en utilgjengelig for normal bruk Mulighet for å oppdage eller oppklare angrep eller misbruk Ha kontroll på hva PC-en benyttes til (f.eks sperring av webområder, logging) Det har spesielt vært fokus på at det er behov for en PB når man benytter et kabelmodem, som er direkte koblet til en kabel som deles mellom flere brukere (f.eks i et borettslag), og ofte får man også en fast IP-adresse. Uten en PB eller en annen form for tilgangsbegrensning kan andre brukere som er tilkoblet samme medium få tilgang til disken din. Noe som 29

35 VPN OG PERSONLIGE BRANNMURER øker trusselen ytterlig er at PC-ene ofte står permanent tilkoblet, fordi man betaler en fast avgift og ikke etter oppkoblingstiden, og dette øker også eksponeringstiden betydelig. Mange har tilgang til nettverket på jobben ved bruk av VPN-løsninger, gjerne fra samme PC som benyttes til web-surfing og lignende. VPNløsningen beskytter bare kommunikasjonen mellom bedriftens nettverk og din PC. Det oppstår dermed en fare for at det kan etableres bakdører inn i bedriftens nettverk via PC-er som også har direkte tilgang mot Internett. Operativsystemet som benyttes på PC-en og hvordan dette er konfigurert er også avgjørende for hvor god sikkerheten er på PC-en. PC-er med operativsystemene Windows 95 og 98 har svært dårlige muligheter for tilgangsbegrensning i utgangspunktet, og behovet for PB vil være spesielt stort for slike maskiner. Benytter man derimot operativsystemer som Windows NT, 2000, eller XP har man større muligheter for å begrense hvem som skal ha tilgang til PC-en (autentisering) og til de enkelte filene, og det er dessuten større muligheter for å sperre (eller deaktivere) enkelte tjenester eller protokoller. Dette kan til en viss grad redusere behovet for en personlig brannmur, men det kreves desto større kompetanse for å konfigurere maskinene på en sikker måte. I tillegg kan bruk av mekanismer for kryptering av informasjon på harddisken redusere behovet for en PB. Noe som gjør trusselen ved telependling ekstra stor er at dagens typiske bærbare PC-er og hjemmedatamaskiner har disker som kan inneholde store mengder data (i størrelsesorden 10 GB), og mange er derfor lite kritisk til hva de kopierer over på sine maskiner. Dette kan føre til at store deler av en virksomhets data kan befinne seg på hjemmemaskiner, og som regel er dette lagret ukryptert. Sikkerhetsprogramvare-leverandøren Symantec satte nylig opp et forsøk med 167 hjemmebrukere med både bredbåndslinjer og analoge modemer. PC-ene ble utstyrt med en personlige brannvegger som logget og stoppet forskjellige typer angrep. I løpet av én måned var det bare åtte brukere som ikke hadde vært utsatt for angrep Loggene viste 1703 angrepsforsøk. Det meste var forsøk på å skanne portene og å installere trojanske hester (digitoday 14/8-2001). Dette illustrerer at truslene er reelle og at det er all grunn til å ta de alvorlig. Personlig brannmur kontra distribuert brannmur Betegnelsen PB brukes vanligvis om programvare som installeres og konfigureres på hver enkelt PC og som vedlikeholdes av brukeren selv, og vil være det mest aktuelle for hjemmebrukere. En distribuert brannmur er en løsning som installeres på flere utsatte PC-er i en virksomhet, og som har mulighet for en sentral overvåking og oppdatering av en felles sikkerhetspolicy. En slik løsning kan f.eks. sperres for at brukeren skal gjøre endringer som er i strid med sikkerhetspolicyen, og kan rapportere mistenkelige aktiviteter til en administrator. 30

36 VPN OG PERSONLIGE BRANNMURER I en del tilfeller vil enheten som skal beskyttes være et lite lokalnettverk eller hjemmenettverk (SOHO - Small Office, Home Office ). Som regel vil internettilgangen da gå via en av maskinene, og en PB kan da vanligvis installeres på denne maskinen. Det finnes også brannmurløsninger som består av en boks som kan stå foran et lite lokalnettverk. En PB løser normalt ikke virusproblematikken, og antivirusprogramvare må derfor også være installert på alle maskiner. I det neste kapittelet vil vi se på noen utvalgte personlige brannmurer og en distribuert brannmur. 31

37 TESTING AV PERSONLIGE BRANNMURER Testing av personlige brannmurer Kapittel Vi har testet et utvalg av personlige brannmurer samt en distribuert brannmur. Vi har lagt vekt på å vurdere brukervennligheten, sikkerheten og loggingsmulighetene til hvert av produktene. I HØYSIKK-prosjektet ønsket vi å teste hvordan ulike personlige brannmur produkter fungerte i praksis. Hovedmålet med denne testen har ikke vært å plukke ut et produkt som er best i test, men heller det å se på hvilke muligheter og begrensninger som ligger i noen typiske produkter som tilbys i dag. Selv om vi har gjort enkelte tester av sikkerheten har vi ikke lagt stor vekt på å finne hull i de testede produktene. Man må også være klar over at det finnes et stort utvalg av personlige brannmurer, og det at vi har plukket ut noen (få) produkter, betyr ikke at disse er bedre enn produkter vi ikke har testet. Alle testene ble utført på en PC satt opp med Windows 98. Sygate Personal Firewall

38 TESTING AV PERSONLIGE BRANNMURER Programmet var enkelt å installere og krevde ingen spesielle konfigurasjoner for å komme i gang. I utgangspunktet er all trafikk inn/ut fra PCen sperret, og idet du starter et program eller en tjeneste som prøver å kommunisere med omverdenen får du spørsmål om denne trafikken skal tillates permanent, sperres permanent, eller om du skal spørres for hver gang (se figur). Du kan f.eks tillate at Internet Explorer får kommunisere med omverdenen. Det er også mulig å sette mer avanserte opsjoner som at trafikken bare skal tillates til spesielle IP-adresser eller portnummer, eller kun til bestemte tider på døgnet. Brannmuren har fire ulike logger (Security, System, Traffic, Packets), som kan slås av og på etter behov. Security-loggen varsler om sikkerhetshendelser som forsøk på angrep og skanning eller installerte trojanere. Traffic-loggen gir opplysninger om all trafikk eller forsøk på trafikk som går inn og ut av PC-en, og her får en opplysninger både om protokoll og IP-adressen til mottageren (se figur). Packets-loggen gir detaljerte opplysninger om IP-pakkene som når PC-en, og denne vil en normalt kunne slå av. Alt i alt gode loggmuligheter, men loggene kan selvsagt bli noe forvirrende for en bruker uten spesielle kunnskaper om nettverk og lignende. 33

39 TESTING AV PERSONLIGE BRANNMURER Under uttestingen forsøkte vi å angripe og skanne PC-en utenfra. PC-en svarte ikke på ping-forespørsler eller forsøk på å koble opp mot telnetporten. PC-en ble skannet med verktøyet NetSonar fra Cisco, og det ble ikke avdekket at noen porter stod åpne for angrep. Det er også mulig å benytte de innebygde skanning muligheten til Sygate, dersom PC-en er tilknyttet internett direkte, og ikke står bak en bedrifts brannvegg el. Brannmuren har en grei mulighet for å blokkere all trafikk, f.eks når PCen står ubrukt, eller for å tillate all trafikk, f.eks ved uttesting av nye tjenester. På denne måten kan sikkerhetsnivået lett endres etter behov. Konklusjon: En personlig brannmur med svært god sikkerhet og gode muligheter for spesialtilpassing og logging. Brukervennligheten var ganske god, men de avanserte mulighetene kan være noe forvirrende for vanlige brukere, uten spesiell kompetanse på sikkerhet. Norman Personal Firewall 1.0 Norman sitt produkt er enkelt å installere, og vi fikk hjelp av en assistent til å sette opp brannmuren. Norman har mulighet for å kontrollere script, Active-X og applets. Det er også mulig å begrense hva som skal tillates av inngående og utgående cookies. For hver tjeneste er det mulig å velge om den skal tillates, sperres eller om man skal spørres for hver gang (ledsaget av en assistent). Dersom man velger å basere seg på assistenten f.eks for scripts blir det lett plagsomt med alle spørsmålene man får ved vanlig surfing, og det går trolig ikke lang tid før man slår av denne muligheten. 34

40 TESTING AV PERSONLIGE BRANNMURER I utgangspunktet er det definert tre sikkerhetsnivåer: lav, medium og høy, men det er mulig for å tilpasset sikkerhetsnivået til egne behov (se under). Det er også mulig å legge inn egne regler, enten direkte via grensesnittet eller ved bruk av assistenten. Man skal ha relativ god kompetanse å vite hva man gjør for å definere egne regler, og det er lett å miste oversikten her. Loggemuligheten var ikke imponerende. Man må eksplisitt merke av hver aktivitet som skal logges og det er også begrenset med informasjon i loggen. Under uttestingen erfarte vi dessuten at enkelte hendelser ikke ble logget selv om logging var satt på for den aktuelle tjenesten. 35

41 TESTING AV PERSONLIGE BRANNMURER Konklusjon: Produktet har sin styrke i forhold til sikkerhet i forbindelse med web-surfing, der det er gode muligheter for å legge inn begrensninger. I forhold til andre tjenester syntes vi at produktet hadde dårligere funksjonalitet og var mindre brukervennlig. Loggemulighetene var også dårlige. ZoneAlarm ZoneAlarm fra ZoneLabs er det eneste av de testede produktene som er freeware. Installasjonen av produktet var forholdsvis enkel, og det var bare nødvendig med en fil på ca 3 MB. ZoneAlarm opererer med 3 sikkerhetsnivåer (Low, Medium, High). Som eneste produkt vi testet har ZoneAlarm mulighet for å sette forskjellige sikkerhetsnivå mot Internett og andre maskiner i en lokal sone (lokalnett etc.). Det er også en egen opsjon for å beskytte mot script i e-post vedlegg. Ellers fungerer programmet på samme måte som de fleste andre personlige brannmurer ved at tillatelser til å kommuniserer knyttes til applikasjoner, med mulighet for å sperre, åpne eller spørre for hver gang applikasjonen prøver å få tilgang. 36

42 TESTING AV PERSONLIGE BRANNMURER Loggen er forholdsvis enkel, og såkalte Alert vises i eget vindu ved spesielle hendelser. Men det er ikke en egen mulighet i brukergrensesnittet for å vise hele loggen. Den lagres i Windows katalogen og må hentes opp i en teksteditor Da vi gjorde tester av brannmuren på lokalnett oppdaget vi at det var mulig å få tilgang til delte kataloger fra en annen maskin, selv om sikkerhetsnivå var satt til High eller alt var sperret (Locked). Sannsynligvis skyldes dette at NetBEUI (Windows-protokoll) som benyttes på lokalnettet ikke stoppes av brannveggen. Selv om denne protokollen bare benyttes på lokalnett kan det innebære en trussel. 37

43 TESTING AV PERSONLIGE BRANNMURER Muligheten for å operere med forskjellige sikkerhetsnivå for lokalnett og Internett (se fig) gjør at produktet er spesielt godt egnet for maskiner som jevnlig er tilkoblet et lokalnett, f.eks bærbare PC-er. Dokumentasjonen til produktet er god og god integrert med ZoneLabs websted. Konklusjon: Alt i alt er dette et produkt med god sikkerhet, bra brukervennlig og ikke minst er den billig (gratis). Symantec Desktop Firewall 2.0 Symantecs brannvegg var at av de produktene som hadde flest muligheter. Nedlasting og installasjon tok relativt lang tid i forhold til flere av de andre produktene. Som de fleste produktene opererer denne brannveggen med 3 sikkerhetsnivåer, samt muligheter for spesialtilpasning (se fig.) 38

44 TESTING AV PERSONLIGE BRANNMURER Dette produktet var spesielt god på beskyttelse av personlig informasjon (privacy). Det er mulig å legge inn spesiell konfidensiell informasjon som epost-adresser, bankkontonummer, PIN-koder etc. som brannveggen reagerer på dersom dette blir forsøkt sendt ut av PC-en. Det er også muligheter for å hindre at cookies sendes ut fra maskinen. Loggmulighetene er gode, og loggen er splittet i ulike områder som vist i figuren. Det er m.a en egen logg som viser de sist besøkte web-stedene, samt egne logger for brudd på brannvegg-regler og oppkoblinger. 39

45 TESTING AV PERSONLIGE BRANNMURER Det var muligheter for å lage spesialtilpassede installasjoner som kunne installeres over nettverket, og for å oppdatere regelsettet på allerede installerte produkter. Dette er en mulighet som vil være svært nyttig for bedrifter som ønsker å ta i bruk en personlig brannvegg på mange ulike PC-er, og som ønsker å ha kontroll med regelsettet. En annen nyttig mulighet var LiveUpdate som lastet ned de siste oppdateringer fra Symantecs websted, på denne måten var det mulig å f.eks få lagt inn oppdateringer av programvaren eller nye regler som sperrer for sikkerhetshull som er oppdaget i det siste. Konklusjon: En personlig brannmur med mange muligheter, som er bra for større bedrifter med egen kompetanse på brannmurer, men noe tung for privatbrukere og andre med mindre kompetanse. Samlet vurdering av testene En generell konklusjon fra testene var at løsningene må vurderes i forhold til de behov og den kompetanse man selv har. Har man f.eks. kun behov for beskyttelse av en hjemme-pc, eller er det bedriftens bærbare PC-er som skal beskyttes. Noen grunnprinsipper er stort sett like for de fleste produktene (f.eks muligheten for å tillate, sperre eller spør for hver enkelt tjenester/program), mens det på andre områder er betydelige forskjeller. Når det gjaldt loggemulighetene var det store forskjeller, men for mange vanlige brukerer vil det være lite interessant å studere loggene, det er normalt en jobb for teknisk personale. De fleste produktene hadde mulighet for å lage egne regler, enten automatisk eller ved hjelp av en assistent. Man kan ikke forvente at vanlige brukere har kompetanse til å selv lage regler, så gode verktøy for generering av regler er en forutsetning for utstrakt bruk. Samtidig er det en fare for at man ukritisk aksepterer alle forespørsler om nye regler, og at man til slutt har et like åpent system. Det er derfor en stor fordel at de fleste verktøyene har ferdig definerte regelsett for ulike sikkerhetsnivå (typisk høy, medium og lav). F-Secure Distributed Firewall 5.20 Dette er en såkalt distribuert brannvegg, og produktet skiller seg dermed en del fra de andre produktene vi har testet. Fordelen med en distribuert brannvegg er at felles regler kan settes opp av en administrator og distribueres til alle aktuelle PC-er. Ulempen er at det kreves god kompetanse for å sette opp fornuftige regelsett. Det er også mulig å installere produktet som en stand-alone løsning, men det krever fremdeles en del kompetanse å sette den opp på en sikker måte. Vi testet i en stand-alone installasjon. 40

46 TESTING AV PERSONLIGE BRANNMURER Grensesnittet for å sette opp regler var ikke spesielt brukervennlig, og det tok en tid før vi fant ut hvordan dette fungerte. Her må man vite hvilke protokoller (TCP, ICMP, SMTP etc.) som skal tillates og til/fra hvilke IP-adresser/subnett (se fig). Det er ikke noen assistent for å automatisk sette opp nye regler for tjenester som trenger tilgang, slik de fleste andre produktene. Dette gjør at produktet kun er egnet for de som besitter god kompetanse på dette området. Bedrifter som har kompetanse på å drifte sin egen brannvegg mot Internett, har trolig nødvendig kompetanse, og da kan produktet utgjøre en andre skanse (barriere) for beskyttelse av bedriftens nettverk. 41

1. Sikkerhet i nettverk

1. Sikkerhet i nettverk 1. Sikkerhet i nettverk Stiftelsen TISIP i samarbeid med Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Nettverk Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er

Detaljer

Moderne. bredbåndsnett. i Hole og Ringerike

Moderne. bredbåndsnett. i Hole og Ringerike Moderne bredbåndsnett i Hole og Ringerike Lysveien Den nye Europaveien i Norge heter ikke E18. Den har ikke 100 kilometer i timen som fartsgrense. Den nye Europaveien har en konstant fartsgrense på over

Detaljer

Gjennomgang av kap. 1-4. Kommunikasjonsformer Typer av nettverk Adressering og routing Ytelse Protokoller

Gjennomgang av kap. 1-4. Kommunikasjonsformer Typer av nettverk Adressering og routing Ytelse Protokoller Uke 6 - gruppe Gjennomgang av kap. 1-4 Kommunikasjonsformer Typer av nettverk Adressering og routing Ytelse Protokoller Gruppearbeid Diskusjon Tavle Gi en kort definisjon av følgende: 1. Linje/pakkesvitsjing

Detaljer

Teknologier for bedre ressursbruk i helsetjenesten

Teknologier for bedre ressursbruk i helsetjenesten Teknologier for bedre ressursbruk i helsetjenesten Utfordringer og behov i spesialisthelsetjenesten Sunil Xavier Raj Overlege/avd.sjef Kreft poliklinikk St. Olavs Hospital Stipendiat, IKM, NTNU September

Detaljer

Overføring av røntgenbilder og røntgensvar mellom institusjoner.

Overføring av røntgenbilder og røntgensvar mellom institusjoner. Kjell Borthne, Ronny Kristiansen Overføring av røntgenbilder og røntgensvar mellom institusjoner. Michael 2005; 2: 137 43. Sammendrag De fleste helseforetak i Norge har innført, eller er i ferd med å innføre

Detaljer

1. Krypteringsteknikker

1. Krypteringsteknikker Krypteringsteknikker Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget 1. Krypteringsteknikker 1.1. Fire formål med sikker kommunikasjon Aller først, pålitelig

Detaljer

Referat fra gruppepresentasjoner onsdag 27.08.03

Referat fra gruppepresentasjoner onsdag 27.08.03 Referat fra gruppepresentasjoner onsdag 27.08.03 Helsenett Sør o Helse sør RHF dannet vinteren 2003 Helsenett sør som er et ledd i den nasjonale satsing for å få i stand et landsdekkende informasjonsnettverk

Detaljer

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang. Haraldsplass DIAKONALE SYKEHUS Bergen Diakon isse k j em Datatilsynet Postboks 8177 Dep 0034 Oslo Deres ref: 12/00302-1 /HVE Vår ref: Bergen, 13.04.2012 Svar på varsel om vedtak - Uautorisert uthenting

Detaljer

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Realisering av Handlingsplan for medisinske bilder i Helse Midt-Norge. HelsIT Trondheim - 22.09.2009 Bjørn Våga, Prosjektleder Hemit

Realisering av Handlingsplan for medisinske bilder i Helse Midt-Norge. HelsIT Trondheim - 22.09.2009 Bjørn Våga, Prosjektleder Hemit Realisering av Handlingsplan for medisinske bilder i Helse Midt-Norge HelsIT Trondheim - 22.09.2009 Bjørn Våga, Prosjektleder Hemit Hemit betjener 20.000 av Norges mest krevende IT-brukere 24 timer i døgnet

Detaljer

Kapittel 6: Lenkelaget og det fysiske laget

Kapittel 6: Lenkelaget og det fysiske laget Kapittel 6: Lenkelaget og det fysiske laget I dette kapitlet ser vi nærmere på: Lenkelaget Oppgaver på lenkelaget Konstruksjon av nettverk Aksessmekanismer Det fysiske laget Oppgaver på det fysiske laget

Detaljer

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk.

Som en del av denne prosessen, når verten har startet og nøkkelfilene ikke er å finne, lages et nytt sett automatisk. De beste sikkerhetsrutiner for Symantec pcanywhere Dette dokumentet inneholder informasjon om forbedrede sikkerhetsendringer i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan viktige deler av

Detaljer

NorskInternett Brukermanual. Sist oppdatert 09.08.15. Side 1/30

NorskInternett Brukermanual. Sist oppdatert 09.08.15. Side 1/30 NorskInternett Brukermanual Sist oppdatert 09.08.15. Side 1/30 Innholdsliste Hvordan kan vår tjeneste brukes...2 Hva vi leverer...2 Kontoinformasjon...3 Bruk av VPN tilkobling...3 Konfigurering av Android...4

Detaljer

MinHelsestasjon Opplæring og oppfølging av kronikere i hjemmet. Tatjana M. Burkow Nasjonalt senter for Telemedisin

MinHelsestasjon Opplæring og oppfølging av kronikere i hjemmet. Tatjana M. Burkow Nasjonalt senter for Telemedisin MinHelsestasjon Opplæring og oppfølging av kronikere i hjemmet Tatjana M. Burkow Nasjonalt senter for Telemedisin Hovedmål Å demonstrere og fremskynde hjemmebasert opplæring og oppfølgning av kronikere/pasienter

Detaljer

Hvordan få tilgang til journalopplysning fra andre virksomheter

Hvordan få tilgang til journalopplysning fra andre virksomheter Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur

Detaljer

Fremtiden er lys - fremtiden er fiber!

Fremtiden er lys - fremtiden er fiber! Fremtiden er lys - fremtiden er fiber! Vi ønsker bedrifter i Norge velkommen til fiberrevolusjonen! Vi leverer fiberbasert datakommunikasjon til bedrifter i hele Norge! Fiber the business revolution Broadnet

Detaljer

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett Elektroniske spor Innsynsrett, anonymitet Kirsten Ribu Kilde: Identity Management Systems (IMS): Identification and Comparison Study Independent Centre for Privacy Protection and Studio Notarile Genghini

Detaljer

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN). Innledning Vi har valgt brannmurer som tema og grunnen til dette er de stadig høyere krav til sikkerhet. Begrepet datasikkerhet har endret innhold etter at maskiner ble knyttet sammen i nett. Ettersom

Detaljer

Bilag 2.2 Jara SHDSL Produktblad til Avtale om JARA Bredbåndsaksess. Bilag 2.2. Jara SHDSL Produktblad. Utgave 01.05.

Bilag 2.2 Jara SHDSL Produktblad til Avtale om JARA Bredbåndsaksess. Bilag 2.2. Jara SHDSL Produktblad. Utgave 01.05. Bilag 2.2 Jara SHDSL Produktblad Utgave 01.05.2013 Side 1 av 9 INNHOLDSFORTEGNELSE 1 Innledning... 3 2 Definisjoner... 3 3 Beskrivelse... 4 3.1 Egenskaper og bruksområder... 4 4 Produktspesifikasjon for

Detaljer

i en enebolig MÅL Praktisk oppgave Etter at du har arbeidet med dette kapitlet, skal du kunne

i en enebolig MÅL Praktisk oppgave Etter at du har arbeidet med dette kapitlet, skal du kunne TELEINSTALLASJON I EN ENEBOLIG 13 Tel elee- 2 installasjon i en enebolig MÅL Etter at du har arbeidet med dette kapitlet, skal du kunne foreta en vanlig teleinstallasjon i en enebolig velge riktig utstyr

Detaljer

Nettverkspakke. Brannmur og nettverkspakke.

Nettverkspakke. Brannmur og nettverkspakke. 2012 Nettverkspakke. Brannmur og nettverkspakke. Denne pakken inneholder alt man trenger for å kunne føle seg timelig trygg mot innbrudd på nettverket fra Internett. I tillegg vil systemet inneholde upnp

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Ny teknologi for TV-overvåkning og sikring av VA-installasjoner

Ny teknologi for TV-overvåkning og sikring av VA-installasjoner Ny teknologi for TV-overvåkning og sikring av VA-installasjoner Presentasjon av løsningen som er valgt for overvåkning av havner Triangel AS Finn Humborstad www.triangel.no ISPS - koden International Ship

Detaljer

Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - "Den gode spesialistepikrise"

Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - Den gode spesialistepikrise Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - "Den gode spesialistepikrise" Versjon 1.0 31. desember 2002 KITH Rapport R31/02 ISBN 82-7846-158-9 KITH-rapport Medisinsk-faglig

Detaljer

Toshiba EasyGuard i praksis:

Toshiba EasyGuard i praksis: Toshiba EasyGuard i praksis Toshiba EasyGuard i praksis: Tecra A5 Opplev et nytt nivå av mobil produktivitet Toshiba EasyGuard består av et sett med funksjoner som dekker forretningsbrukeres behov for

Detaljer

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Erlend Dyrnes NextGenTel AS Tekna 30.03.2011 Mobilt bredbånd - LTE - WiMAX 1 Om presentasjonen Introduksjon

Detaljer

KRAVSPESIFIKASJON FOR SOSIORAMA

KRAVSPESIFIKASJON FOR SOSIORAMA KRAVSPESIFIKASJON FOR SOSIORAMA Innhold 1. Forord... 2 2. Definisjoner... 3 3. Innledning... 4 3.1 Bakgrunn og formål... 4 3.2 Målsetting og avgrensninger... 4 4. Detaljert beskrivelse... 8 4.1 Funksjonelle

Detaljer

Teori om sikkerhetsteknologier

Teori om sikkerhetsteknologier Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................

Detaljer

Kjenn din PC (Windows7, Vista)

Kjenn din PC (Windows7, Vista) Kjenn din PC (Windows7, Vista) Michael Moncrieff, Kristoffer Kjelvik, Ola Johannessen og Jarle Bergersen Denne delen handler om hva man kan finne ut om datamaskinens hardware fra operativsystemet og tilleggsprogrammer.

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien SonicWALL UTM NSA serien TZ serien NSA E-Class serien Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur Nettverksikkerhet for SMB - Minimumskrav Brannmur(UTM) Et brannmur er førstelinjeforsvar

Detaljer

Grunnleggende om datanett. Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune

Grunnleggende om datanett. Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune Grunnleggende om datanett Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune LAN LAN Local Area Network. Et lokalt kommunikasjonsnettverk med datamaskiner, printere, filservere,

Detaljer

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

Kryptoløsninger I Hjemmekontor Og Mobile Klienter Kryptoløsninger I Hjemmekontor Og Mobile Klienter Norsk kryptoseminar 2002. Trondheim 17-18 oktober. Anders Paulshus, forsker ved seksjon for teknisk krypto apaulshus@mil.no FO / Sikkerhetsstaben Nasjonal

Detaljer

TTM4175 Hva er kommunikasjonsteknologi?

TTM4175 Hva er kommunikasjonsteknologi? 1 TTM4175 Hva er kommunikasjonsteknologi? Del 4 Bjørn J. Villa PhD, Senior Engineer, UNINETT AS bv@item.ntnu.no // bv@uninett.no 2 Innhold Begrepet «Kommunikasjonsteknologi» Definisjon, historikk og en

Detaljer

Brukerveiledning Tilkobling internett

Brukerveiledning Tilkobling internett JANUAR 2013 Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT 1 1 2 3 4 5 6 KOBLING TIL HJEMMESENTRAL OPPSETT AV TRÅDLØS ROUTER OG BRANNMUR I HJEMMESENTRALEN OPPKOBLING

Detaljer

Brukerveiledning Tilkobling internett

Brukerveiledning Tilkobling internett JULI 2012 Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT 1 1 2 3 4 5 6 KOBLING TIL HJEMMESENTRAL OPPSETT AV TRÅDLØS ROUTER OG BRANNMUR I HJEMMESENTRALEN OPPKOBLING AV

Detaljer

Norsk Helsenett og kommunene Regionale seminarer høsten 2007

Norsk Helsenett og kommunene Regionale seminarer høsten 2007 Norsk Helsenett og kommunene Regionale seminarer høsten 2007 Norsk Helsenetts formålsparagraf Norsk Helsenett AS er opprettet for å ivareta behovet for et sikkert og enhetlig kommunikasjonsnettverk for

Detaljer

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur) NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle

Detaljer

Våre tekniske konsulenter kan bistå slik at din bedrift får en best mulig tilpasset Handyman installasjon ut fra deres infrastruktur.

Våre tekniske konsulenter kan bistå slik at din bedrift får en best mulig tilpasset Handyman installasjon ut fra deres infrastruktur. Bob Innhold 1 Innledning... 3 2 Komplett installasjon på en PC... 4 2.1 Beskrivelse... 4 2.2 Hardware... 4 2.3 Software... 4 3 Applikasjonsserver... 5 3.1 Beskrivelse... 5 3.2 Hardware... 5 3.3 Software...

Detaljer

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett " %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon

Detaljer

Veien fra pilot til drift. Ronny Kristiansen

Veien fra pilot til drift. Ronny Kristiansen Veien fra pilot til drift Ronny Kristiansen Gode prosjekt Områder på OUS Video Sensor teknologi BAN Body area network Medisinskteknisk utstyr Hvorfor mobile tjenester Reksjoner fra London Eksempler på

Detaljer

GENERELL BRUKERVEILEDNING WEBLINE

GENERELL BRUKERVEILEDNING WEBLINE Side 1 av 10 INNHOLDSFORTEGNELSE 1. FORMÅL MED DOKUMENTET... 3 2. TILGANG TIL PORTALEN... 4 3. TILGJENGELIGE TJENESTER/MODULER... 5 3.1 ADMIN... 5 3.2 NORDIC CONNECT/IP VPN... 5 3.3 INTERNETT INFORMASJON...

Detaljer

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT 1 2 3 4 5 6 7 KOBLING TIL HJEMMESENTRAL OPPSETT AV TRÅDLØS ROUTER OG BRANNMUR I HJEMMESENTRALEN OPPKOBLING AV PC TIL INTERNETT

Detaljer

Falske Basestasjoner Hvordan er det mulig?

Falske Basestasjoner Hvordan er det mulig? Sikkerhetskonferansen 2015 Falske Basestasjoner Hvordan er det mulig? Martin Gilje Jaatun 1 SINTEF IKT Hvem er vi? SINTEF er Skandinavias største uavhengige forskningsinstitusjon Anvendt forskning FoU-partner

Detaljer

Presentasjonene vektlegger tilgjengelighetsfasetten. Det er innen denne at begrepene robusthet og redundans ligger.

Presentasjonene vektlegger tilgjengelighetsfasetten. Det er innen denne at begrepene robusthet og redundans ligger. 1 2 Presentasjonene vektlegger tilgjengelighetsfasetten. Det er innen denne at begrepene robusthet og redundans ligger. 3 4 Mange tekniske begrep i grensesnittet mellom tale og IP Det er.. telefoniske

Detaljer

Oppsummering: Linjesvitsjing kapasiteten er reservert, og svitsjing skjer etter et fast mønster. Linjesvitsj

Oppsummering: Linjesvitsjing kapasiteten er reservert, og svitsjing skjer etter et fast mønster. Linjesvitsj Oppsummering: Linjesvitsjing kapasiteten er reservert, og svitsjing skjer etter et fast mønster Linjesvitsj Pakkesvitsjing Ressursene er ikke reservert; de tildeles etter behov. Pakkesvitsjing er basert

Detaljer

Internett og pc Brukerveiledning

Internett og pc Brukerveiledning Internett og pc Brukerveiledning 1 Klar for internett fra Altibox? 2 Oppsett av trådløs router og brannmur i hjemmesentralen 3 Oppkobling av pc til internett med Windows Vista 4 Koble opp mot e-post/oppsett

Detaljer

Standarder for sikker bruk av VPN med og i offentlig sektor

Standarder for sikker bruk av VPN med og i offentlig sektor Standarder for sikker bruk av VPN med og i offentlig sektor Standardiseringsrådsmøte 23.-24. november 2011 beslutningssak Bakgrunn Grønn IKT (Hjemmekontor, videokonferanser) Fjernarbeid og distribuert

Detaljer

Side 1 av 5. www.infolink.no post@infolink.no. Infolink Datatjenester AS Ensjøveien 14, 0655 Oslo. Telefon 22 57 16 09 Telefax 22 57 15 91

Side 1 av 5. www.infolink.no post@infolink.no. Infolink Datatjenester AS Ensjøveien 14, 0655 Oslo. Telefon 22 57 16 09 Telefax 22 57 15 91 Side 1 av 5 En grunnleggende guide til trådløst nettverk WiFi er et begrep som brukes om trådløst nettverk og internett. WiFi er et bransjenavn som inkluderer en rekke standarder for trådløs overføring

Detaljer

Kapittel 9 Teletjenester

Kapittel 9 Teletjenester Kapittel 9 Teletjenester I dette kapitlet ser vi nærmere på: Infrastruktur for telekommunikasjon ISDN Digital Subscriber Lines Leide linjer Frame Relay ATM X.25 1 Infrastruktur for Telekommunikasjon Ønsker

Detaljer

RFID AutoLogOff - et studentprosjekt

RFID AutoLogOff - et studentprosjekt RFID AutoLogOff - et studentprosjekt Utført ved Høgskolen i Gjøvik våren 2008 av Erik Sørdal (dataingeniør) Vegard Ruden (datasikkerhet) Stig Atle Haugen (informatikk) som avsluttende bacheloroppgave Presentert

Detaljer

Kjenn din pc (Windows Vista)

Kjenn din pc (Windows Vista) Kjenn din pc (Windows Vista) Jeg har en Acer Aspire 5739G 1. Hva slags prosessor har maskinen. Min maskin har: Intel(R) Core(TM)2 Duo CPU 2. Hvor mye minne har den. RAM-type: DDR3 RAM (MB): 4 096 Minnehastighet

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

AirLink 29150 v6 / AL59300 v6 avansert oppsett

AirLink 29150 v6 / AL59300 v6 avansert oppsett AirLink 29150 v6 / AL59300 v6 avansert oppsett I denne manualen finner du informasjon og veiledning om avansert oppsett av din AirLink 29150 v6 eller AirLink 59300 v6 ruter. Innhold Side Oppsett av Virtual

Detaljer

Kjenn din PC(windows7)

Kjenn din PC(windows7) Kjenn din PC(windows7) Asus N53S 1. Hva slags prosessor har maskinen? - Min Bærbare pc har en Intel(R)Core(TM) i7-2630qm CPU @ 2.00GHz 2.00GHz 2. Hvor mye minne har den? - den har 4.00GB RAM 3. Hva er

Detaljer

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte

PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Revidert 05.02.09 PC som hjelpemiddel i grunnskolen i Bærum kommune - informasjon til elever og foresatte Til foresatte og elever som har fått vedtak om pc som hjelpemiddel Når dere nå skal velge en pc

Detaljer

Min Helsestasjon - sikker kommunikasjon ved hjemmebasert oppfølging og opplæring

Min Helsestasjon - sikker kommunikasjon ved hjemmebasert oppfølging og opplæring Min Helsestasjon - sikker kommunikasjon ved hjemmebasert oppfølging og opplæring Tatjana Burkow Eva Henriksen Fri Flyt, 16. juni 2009 Motivasjon Økende antall personer med kroniske sykdommer Helsemessig

Detaljer

Brukerdokumentasjon Promed Online Booking

Brukerdokumentasjon Promed Online Booking Brukerdokumentasjon Promed Online Booking Informasjon om ProMed og online booking... 2 Systemkrav... 2 Internettoppkobling (hvis du bruker Norsk Helsenett)... 3 Internettoppkobling (hvis du ikke bruker

Detaljer

DV - CODEC. Introduksjon

DV - CODEC. Introduksjon DV - CODEC EN KORT PRESENTASJON I INF 5080 VED RICHARD MAGNOR STENBRO EMAIL: rms@stenbro.net 21. April 2004 Introduksjon Dv-codecen ble utviklet spesielt for bruk i både profesjonelle og konsumer kamera.

Detaljer

Norsk Helsenett Tromsø

Norsk Helsenett Tromsø Norsk Helsenett Tromsø Etablert: t 2004 Eiere: De fire RHF-ene Hovedkontor: Avdelingskontor: Trondheim Tromsø og Oslo Trondheim Oslo Aksjeselskap med ikke-økonomisk formål Driften finansieres av medlemsavgifter

Detaljer

! Ytelsen til I/O- systemer avhenger av flere faktorer: ! De to viktigste parametrene for ytelse til I/O er:

! Ytelsen til I/O- systemer avhenger av flere faktorer: ! De to viktigste parametrene for ytelse til I/O er: Dagens temaer! Ulike kategorier input/output! Programmert! Avbruddstyrt! med polling.! Direct Memory Access (DMA)! Asynkrone vs synkrone busser! Med! Fordi! -enheter menes de enheter og mekanismer som

Detaljer

TechnoPort 2005 Edgar Glück, Trondheim 21.10.2005

TechnoPort 2005 Edgar Glück, Trondheim 21.10.2005 Deling av RIS-informasjon mellom helseforetak Spesiallege Edgar Glück KITH Teleradiologiprosjektet i Helse Vest Skal tilby sømløs samhandling Mellom helseforetak Mellom system fra ulike leverandører Finne

Detaljer

Sak: NBF lanserer Bilsportkanalen for all Norsk bilsport. http://tv.bilsport.no/

Sak: NBF lanserer Bilsportkanalen for all Norsk bilsport. http://tv.bilsport.no/ Til: Arrangører og klubber Fra: Norges Bilsportforbund Dato: 2015-04-20 Sak: NBF lanserer Bilsportkanalen for all Norsk bilsport http://tv.bilsport.no/ Bakgrunn Mange av dere kjenner til SBFPlay (www.sbfplay.se).

Detaljer

Reduser kostnadene, ikke sikkerheten. Beskyttet eiendom, beskyttet nettverk

Reduser kostnadene, ikke sikkerheten. Beskyttet eiendom, beskyttet nettverk Sikker overføring av alle typer alarmer Reduser kostnadene, ikke sikkerheten Beskyttet eiendom, beskyttet nettverk Bedriftsnettverk Lukkede nettverk Private dedikerte systemer Offentlige nettverk WEBWAY

Detaljer

Spørreundersøkelse for primærleger

Spørreundersøkelse for primærleger Spørreundersøkelse for primærleger i helseregion 4 Versjon 1.0 10.11.2000 KITH Rapport 24/00 ISBN 82-7846-107-4 KITH-rapport Tittel Midt-Norsk Helsenett Spørreundersøkelse for primærleger i helseregion

Detaljer

Krav til kommunikasjonssikkerhet

Krav til kommunikasjonssikkerhet Krav til kommunikasjonssikkerhet for EDI-løsninger Versjon 1.0 30. januar 2002 KITH Rapport 04/02 ISBN 82-7846-128-7 KITH-rapport Tittel Krav til kommunikasjonssikkerhet for EDI-løsninger Forfatter(e)

Detaljer

Datamaskinens oppbygning og virkemåte

Datamaskinens oppbygning og virkemåte Datamaskinens oppbygning og virkemåte Laboppgave Sasa Bakija, 08DAT Del 1: Setup BIOS 1. DELL Optiplex GX270 har en Intel Pentium 4 CPU med buss speed på 800 Mhz og klokkefrekvens på 2.80 Ghz. 2. Internminne

Detaljer

Informasjon og priser på digital trygghetsalarm i utgave CareIP og CareIP-M

Informasjon og priser på digital trygghetsalarm i utgave CareIP og CareIP-M Til Fra : Båtsfjord kommune v/ Elin Karlsen : Tryggitel AS v/ Arne Sporild Dato : 18.02.2013 Informasjon og priser på digital trygghetsalarm i utgave CareIP og CareIP-M Vi viser til henvendelse mottatt

Detaljer

Fullstendig ytelsesbehandling

Fullstendig ytelsesbehandling Fullstendig ytelsesbehandling Fungerer også med Windows XP og Windows Vista 2013 Oppgrader og ta ansvar for datamaskinens ytelse med et kraftig og raskt program. Nedlasting og installasjon av Powersuite

Detaljer

Et skråblikk på partiprogrammene - Et lite forsøk på å finne ut hva partiene mener om ikt foran valget til høsten

Et skråblikk på partiprogrammene - Et lite forsøk på å finne ut hva partiene mener om ikt foran valget til høsten Et skråblikk på partiprogrammene - Et lite forsøk på å finne ut hva partiene mener om ikt foran valget til høsten Paul Chaffey, Abelia Hva er et partiprogram? 50 til 120 sider tekst Partimessig gruppearbeid

Detaljer

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering Sikkerhets-problemer Innbrudd/Uautorisert tilgang til informasjon Avsløre informasjon og offentliggjøre den Stjele informasjon uten å gi seg til kjenne Forfalske/endre informasjon Forfalska informasjon,

Detaljer

Kommunikasjonsbærere Mobil/GPRS. Toveiskommunikasjon EBL temadager Gardermoen 21. 22. mai 2008 Harald Salhusvik Jenssen hsj@netcom gsm.

Kommunikasjonsbærere Mobil/GPRS. Toveiskommunikasjon EBL temadager Gardermoen 21. 22. mai 2008 Harald Salhusvik Jenssen hsj@netcom gsm. Kommunikasjonsbærere Mobil/GPRS Toveiskommunikasjon EBL temadager Gardermoen 21. 22. mai 2008 Harald Salhusvik Jenssen hsj@netcom gsm.no, 930 45 010 Agenda Fakta om GPRS Fordeler med GPRS AMR nettverksløsninger

Detaljer

Grid computing for radiologi

Grid computing for radiologi Grid computing for radiologi Wolfgang Leister Sjefsforsker, Norsk Regnesentral PACS 2005, Trondheim Grid computing for radiologi Hva er grid? Hva kan grid bidra for radiologi? Hvilke fordeler har bruk

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Fahad Said Data ingeniør 2015 GRIT

Fahad Said Data ingeniør 2015 GRIT Fahad Said Data ingeniør 2015 GRIT Kjenn din PC (Windows 8.1) Denne delen handler om hva man kan finne ut om datamaskinens hardware fra operativsystemet og tilleggsprogrammer. Alle oppgavene skal dokumenteres

Detaljer

Kvantekryptografi. Hva er kryptografi? Symmetrisk kryptografi

Kvantekryptografi. Hva er kryptografi? Symmetrisk kryptografi Kvantekryptografi Lars Lydersen og Johannes Skaar Institutt for elektronikk og telekommunikasjon, NTNU, og Universitetssenteret på Kjeller (UNIK). 26. mai 2014 Kvantekryptografi er kunsten å kommunisere

Detaljer

Informasjonssikkerhet i morgendagens helsevesen

Informasjonssikkerhet i morgendagens helsevesen Informasjonssikkerhet i morgendagens helsevesen Avdelingssjef www.kith.no Informasjonssikkerhet i morgendagens helsevesen Avdelingssjef www.kith.no K I T H ~ samhandling for helse og velferd KITH KITH

Detaljer

DataGuard. Installasjonsguide. Internett. Thomson Speedtouch 585i v7

DataGuard. Installasjonsguide. Internett. Thomson Speedtouch 585i v7 DataGuard Internett Thomson Speedtouch 585i v7 Installasjonsguide Oppkobling med analog telefon 1.Ta ledningen til telefonapparatet som går inn i veggkontakten ut og flytt den over til splitter boksen.

Detaljer

Hva skoleledere bør vite om IT-teknologi

Hva skoleledere bør vite om IT-teknologi Hva skoleledere bør vite om IT-teknologi Geir Kjetil Sandve Institutt for datateknikk og informasjonsvitenskap, NTNU Markedsføring og relevans Bilannonse eller: 1896 CCM, 90 HK, 66 KW, 210 NM, 1244 KG,

Detaljer

Brukerveiledning Tilkobling Altibox Fiberbredbånd

Brukerveiledning Tilkobling Altibox Fiberbredbånd Juli 2014 Graving og kabling 4 Plassering av hjemmesentral Brukerveiledning Tilkobling Altibox Fiberbredbånd Alt du trenger å vite om bruken av Altibox Fiberbredbånd 1 Altibox Fiberbredbånd 1 Kobling til

Detaljer

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING

JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING JANUAR 2016 FIBERBREDBÅND BRUKERVEILEDNING 1 1 1 KOBLE TIL HJEMMESENTRAL S 3 2 OPPSETT AV TRÅDLØS RUTER OG BRANNMUR I HJEMMESENTRALEN S 4 3 OPPKOBLING AV PC TIL INTERNETT MED WINDOWS 8 S 8 4 OPPKOBLING

Detaljer

Infobroker en kommunikasjons og integrasjonsplattform. Sverre A. Størkson HV-IKT Trondheim 22 september 2009

Infobroker en kommunikasjons og integrasjonsplattform. Sverre A. Størkson HV-IKT Trondheim 22 september 2009 Infobroker en kommunikasjons og integrasjonsplattform Sverre A. Størkson HV-IKT Trondheim 22 september 2009 Nasjonale og regionale planer/rapporter : Lokalsykehusenes akuttfunksjon i en samlet behandlingskjede

Detaljer

Videobasert Akuttmedisinsk Konferanse i Helse-Nord (VAKe HN) oddvar.hagen@telemed.no

Videobasert Akuttmedisinsk Konferanse i Helse-Nord (VAKe HN) oddvar.hagen@telemed.no På vei mot en felles kommunikasjonsløsning for helse? Videobasert Akuttmedisinsk Konferanse i Helse-Nord (VAKe HN) oddvar.hagen@telemed.no Videobasert akuttmedisinsk konferanse (VAKe) MÅL; akuttkompetanse

Detaljer

Olaf.Schjelderup@nhn.no

Olaf.Schjelderup@nhn.no TEK.NO, KRAGERØ, 26 MAI 2015 Kan norske nett levere robustheten helsevesenet er helt avhengig av? Olaf.Schjelderup@nhn.no TAKK FOR SIST, PÅ TELECRUISE I 2013 Nå gjør vi det vi sa: Vi har fått på plass

Detaljer

Tele- og datanettverk

Tele- og datanettverk Del 1 TELE- OG DATANETTVERK 7 Tele- og datanettverk 1 MÅL Etter at du har arbeidet med dette kapitlet, som er et rent teorikapittel, skal du ha kunnskap om: telenettets utvikling i Norge oppbygningen av

Detaljer

K I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI

K I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI K I T H INFORMASJONSTEKNOLOGI FOR HELSE OG VELFERD.. Ebrev Elektronisk utsending av brev VERSJON 1.0 Status: Til utprøving 1.2.2010 KITH-rapport 1020:2010 KITH-rapport TITTEL Ebrev Elektronisk utsending

Detaljer

Strategi EPJ-relaterte bilder, video og annen multimediainformasjon

Strategi EPJ-relaterte bilder, video og annen multimediainformasjon Strategi EPJ-relaterte bilder, video og annen multimediainformasjon (inkludert EKG og kurvedata) Hvorfor skal vi ha en strategi? Bruk av bilder innen medisinsk diagnostikk og behandling er det raskest

Detaljer

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger der det trengs, når det trengs Ellen K.Christiansen Seniorrådgiver Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no

Detaljer

SAKSUTREDNING INFORMASJONSSAK EPJ, HMN RHF STYRE 10.11.04

SAKSUTREDNING INFORMASJONSSAK EPJ, HMN RHF STYRE 10.11.04 SAKSUTREDNING INFORMASJONSSAK EPJ, HMN RHF STYRE 10.11.04 Strategisk utgangspunkt Helse Midt-Norges IT-strategi fastslår: Innføring av felles, elektronisk pasientjournal skal være sluttført i 2004. Innen

Detaljer

GigaCampus Mobilitetskurs Del 2. Sesjon 4. Torsdag 20.04.2006 Jardar.Leira@uninett.no

GigaCampus Mobilitetskurs Del 2. Sesjon 4. Torsdag 20.04.2006 Jardar.Leira@uninett.no GigaCampus Mobilitetskurs Del 2 Sesjon 4 Torsdag 20.04.2006 Jardar.Leira@uninett.no IEEE 802.1X En relativt gammel standard (godkjent 14. juni 2001) Definerer en standard for portbasert nettverks aksesskontroll

Detaljer

Den mobile arbeidshverdagen

Den mobile arbeidshverdagen Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk

Detaljer

Kjenn din PC (Windows7)

Kjenn din PC (Windows7) Kjenn din PC (Windows7) Denne delen handler om hva man kan finne ut om datamaskinens hardware fra operativsystemet og tilleggsprogrammer. Alle oppgavene skal dokumenteres på din studieweb med tekst og

Detaljer

Generelt om permanent lagring og filsystemer

Generelt om permanent lagring og filsystemer Generelt om permanent lagring og filsystemer Filsystem Den delen av OS som kontrollerer hvordan data lagres på og hentes frem fra permanente media Data deles opp i individuelle deler, filer, som får hvert

Detaljer

Strategisk plan for bredbåndsutbygging 2016-2020

Strategisk plan for bredbåndsutbygging 2016-2020 Strategisk plan for bredbåndsutbygging 2016-2020 Vedtatt av Lillesand bystyre 10.02.2016 Innhold 1. Innledning... 3 2. Definisjoner... 3 2.1 Bredbånd... 3 2.2 Høyhastighetsbredbånd... 3 2.3 xdsl... 3 2.4

Detaljer

Samordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi

Samordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi Samordning av IKT i spesialisthelsetjenesten Status ny felles IKT-strategi v/administrerende direktør i Nasjonal IKT HF, Gisle Fauskanger IKT-forum 2015 for medisinsk nødmeldetjeneste GISLE FAUSKANGER

Detaljer

Kraftig Dual-Core-ytelse for dagens og morgendagens bedrifter

Kraftig Dual-Core-ytelse for dagens og morgendagens bedrifter Kraftig Dual-Core-ytelse Kraftig Dual-Core-ytelse for dagens og morgendagens bedrifter Med Toshibas nyeste serie av bærbare PCer for bedriftsbrukere med Intel Core 2 Duo-prosessor, kan Toshiba nok en gang

Detaljer

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret

Brukerdokumentasjon. Adresseregisteret Om Adresseregisteret Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk

Detaljer

Oppgaver til kapittel 19 - Kryptering og steganografi

Oppgaver til kapittel 19 - Kryptering og steganografi Oppgaver til kapittel 19 - Kryptering og steganografi Oppgave 1 - Cæsars kode (plenum) I symmetrisk kryptering brukes samme nøkkel både for å kryptere og dekryptere. Avhengig av hvordan nøkkelen utformes

Detaljer