VAASAN YLIOPISTO  TEKNILLINEN TIEDEKUNTA  TIETOLIIKENNETEKNIIKKA        Jussi Itämäki  TIETOTURVALLISET TIETOLIIKENNEYHTEYDET  YRITYSYMPÄRISTÖSSÄ  ABB Oy:n ja kolmansien osapuolien tietojärjestelmien väliset  tietoliikenneyhteydet    Diplomityö, joka on jätetty tarkastettavaksi diplomi‐insinöörin tutkintoa varten  Vaasassa 29.6.2010    Työn valvoja  Matti Linna  Työn ohjaaja  Reino Virrankoski 1    ALKULAUSE  Diplomityön  aihe  tuli  vastaan  hieman  sattumalta  kesätöiden  yhteydessä  vuonna  2009.  Runsaan  puolen  vuoden  kypsyttelyn  jälkeen  aiheidea  jalostui  diplomityöprojektiksi.  Diplomityöprojekti  eteni  varsin  perinteiseen  tapaan  alun  ihmettelystä  lopun  kiireeseen.  Ehkä  sitä  seuraavaa  opinnäytetyötä  kirjoittaessa  osaa  jakaa  ajankäytön paremmin.  Projektin  läpiviennin  kannalta  varsin  tärkeiksi  osoittautuivat  diplomityön  ohjaukseen  osallistuneiden  tahojen  kommentit  sekä  Kimmo  Svinhufvudin  vuonna 2009 julkaistu Gradutakuu‐kirja.  Kiitokset  työn  oikolukijalle,  ohjaajille,  ohjausryhmälle  ja  muille  projektiin  osallistuneille tahoille.      Vaasassa 29.6.2010  Jussi Itämäki        2 SISÄLLYSLUETTELO  sivu ALKULAUSE  1  LYHENNELUETTELO  7  TIIVISTELMÄ  10  ABSTRACT  11  1.  JOHDANTO  12  2.  TAVOITTEET JA YMPÄRISTÖ  15  2.1.  Yrityksen ja yksiköiden esittely  15  2.2.  Ratkaisumallia ohjaavat vaatimukset  17  2.2.1.  Tietoturvakonsepti  17  2.2.2.  Tietoliikenneyhteydet  18  2.2.3.  Ulkoverkkoon tarjottavat palvelut  20  2.3.  Tutkimuksen tarve  20  2.4.  Tutkimuksen tavoitteet  22  3.  TIETOTURVA  24  3.1.  Tietoturvan osa‐alueet  25  3.2.  Tietoturvavaatimukset  26  3.3.  Peruskomponentit  27  3.3.1.  Hyökkäykset  27  3.3.2.  Kryptografiset primitiivit  30  3.3.3.  Tietoturvaprotokollat ja ‐mekanismit  30  3.3.4.  Tietoturvafunktiot  31  3.3.5.  Tietoturvapalvelut  31  3.4.  Tietoliikenneverkkojen tietoturva  33    3 3.5.  Tietoturvariskien hallinta  36  4.  KRYPTOGRAFISET MENETELMÄT  38  4.1.  Salaisen avaimen menetelmä  38  4.2.  Julkisen avaimen menetelmä  41  4.3.  Tiivistefunktiot  43  4.3.1.  Digitaalinen allekirjoittaminen  45  4.3.2.  Digitaalinen kirjekuori  45  4.4.  Digitaaliset sertifikaatit  46  4.5.  Satunnaisluvut  46  5.  TCP/IP‐ARKKITEHTUURI  48  5.1.  OSI‐malli  48  5.1.1.  OSI‐mallin kerrokset  49  5.2.  TCP/IP‐kerrosmalli  51  5.3.  Ydinprotokollat  53  5.3.1.  Internet Protocol (IP)  53  5.3.2.  Transmission Control Protocol (TCP)  55  5.3.3.  User Datagram Protocol (UDP)  57  5.4.  TCP/IP‐protokollapinon haavoittuvuudet  58  6.  TIETOLIIKENNEVERKKOJEN SUOJAUSMENETELMIÄ  59  6.1.  Verkon arkkitehtuuri  59  6.1.1.  Verkon segmentointi  59  6.1.2.  Tärkeiden palveluiden toisintaminen  62  6.2.  Palomuuri  62  6.2.1.  Tilattomat pakettisuodatinpalomuurit  63  6.2.2.  Tilallinen pakettisuodatinpalomuuri  64  6.2.3.  Piiritason yhdyskäytävä  64  6.2.4.  Sovellustason yhdyskäytävä  65    4 6.3.  IDS‐ ja IPS‐järjestelmät  66  6.4.  Julkisen avaimen infrastruktuuri (PKI)  68  6.5.  Tietoliikenneyhteyksien salaaminen  69  6.5.1.  Linkkitason salaus ‐menetelmä  70  6.5.2.  Sovellustason salaus ‐menetelmä  71  6.5.3.  Virtuaalinen yksityisverkko (VPN)  73  7.  TIETOLIIKENNEYHTEYKSIEN SUOJAUSPROTOKOLLIA  75  7.1.  Secure Sockets Layer (SSL)  75  7.2.  Transport Layer Security (TLS)  75  7.2.1.  Tietuekerros  77  7.2.2.  Kättelykerros  79  7.2.3.  SSL/TLS VPN  83  7.3.  Internet Protocol Security (IPsec)  84  7.3.1.  Turvayhteys (SA)  85  7.3.2.  Authentication Header (AH)  86  7.3.3.  Encapsulating Security Payload (ESP)  87  7.3.4.  Internet Key Exchange (IKE)  90  7.3.5.  IPsec VPN  91  7.4.  Secure Shell (SSH)  91  8.  NYKYTILANTEEN KARTOITUS  94  8.1.  Tutkimusmenetelmä  94  8.2.  Olemassa olevan tietoliikenneverkon rakenne  95  8.3.  Tutkimukseen liittyvät riskit ja ongelmat  97  8.4.  Tunnistetut käyttötarpeet  98  9.  AINEISTON RAJAAMINEN  100  9.1.  Rajausprosessi  100  9.2.  Olennaiset tarpeet  103    5 9.2.1.  Alihankkijoiden yhteydet materiaalipankkeihin  104  9.2.2.  Asiakkaiden yhteydet materiaalipankkeihin  104  9.2.3.  Asiakasjärjestelmien etävalvontayhteydet  104  9.2.4.  Asiakasjärjestelmien etähallintayhteydet  105  9.2.5.  Tietokantojen synkronointi  105  9.2.6.  Tiedonsiirto alihankkijan ja asiakkaan välillä  105  10.  OLENNAISTEN TARPEIDEN TOTEUTTAMINEN  106  10.1. Alihankkijoiden yhteydet materiaalipankkeihin  106  10.1.1.  Olemassa olevat käyttötapaukset  106  10.1.2.  Yhtenäinen sisällönhallintajärjestelmä  107  10.1.3. Materiaalin jakoa koskevia vaatimuksia  108  10.1.4.  Vaihtoehtoiset ratkaisumallit  110  10.2. Asiakkaiden yhteydet materiaalipankkeihin  113  10.2.1.  Eri tilanteiden ratkaisumallit  114  10.3. Asiakasjärjestelmien etävalvontayhteydet  116  10.3.1.  Etävalvonnan toteutustavat  117  10.3.2.  Olemassa olevat käyttötapaukset  118  10.3.3.  Etävalvontayhteyksien ongelmia ja vaatimuksia  120  10.3.4.  Ratkaisumallit  121  10.4. Asiakasjärjestelmien etähallintayhteydet  125  10.5. Tietokantojen synkronointi  126  10.6. Tiedonsiirto alihankkijan ja asiakkaan välillä  128  11.  YLEINEN MALLI  129  11.1. Verkon looginen rakenne  129  11.2. Verkkosegmenttien väliset yhteydet  130  11.3. Palvelukonseptit  132  11.3.1. Materiaalin jakaminen alihankkijoille  132  11.3.2. Materiaalin jakaminen asiakkaille  133  11.3.3.  Etävalvontainformaatio kerääminen palvelimeen  135  11.3.4.  Suorat etävalvonta‐ ja etähallintayhteydet  136    6 11.3.5.  Suurten tiedostojen siirtäminen  138  11.3.6. Materiaalin välittäminen alihankkijoilta asiakkaille  139  11.3.7.  Tietokantojen synkronointi  139  11.4. Muiden tunnistettujen tarpeiden toteuttaminen  141  11.5. Vertailu lähtötilanteeseen  142  11.6. Mallin käyttöönotto  144  12.  YHTEENVETO  146  LÄHDELUETTELO  149  LIITTEET  159  LIITE 1.  TCP/IP‐protokollapinon haavoittuvuudet kerroksittain  159  LIITE 2.  Diplomityön ohjausryhmän kokoonpano  166  LIITE 3.  Tarvekartoituksen toteutus  167  LIITE 4.  Tunnistetut tarpeet  169      7  LYHENNELUETTELO  3DES  Triple Data Encryption Standard  AD  Active Directory  ADAM  Active Directory Application Mode  AD LDS  Active Directory Lightweight Directory Service  AES  Advanced Encryption Standard  AH  Authentication Header  ARP  Address Resolution Protocol  ATM  Asynchronous Transfer Mode  CA  Certificate Authority  CBC  Cipher Block Chaining  DES  Data Encryption Standard  DHCP  Dynamic Host Configuration Protocol  DMZ  Demilitarized Zone  ECB  Electronic Codebook  ESP  Encapsulating Security Payload  FTP  File Transfer Protocol  GPRS  General Packet Radio Service  HMAC  Hash‐based Message Authentication Code  HTTP  Hypertext Transfer Protocol  HTTPS  Hypertext Transfer Protocol Secure  IAG  Intelligent Application Gateway  ICMP  Internet Control Messaging Protocol  IDEA  International Data Encryption Algorithm  IDS  Intrusion Detection System  IETF  Internet Engineering Task Force  IGMP  Internet Group Management Protocol  IIS  Internet Information Services    8 IKE  Internet Key Exchange  IP  Internet Protocol  IPS  Intrusion Prevention System  ISA  Internet Security & Acceleration Server  ISAKMP  Internet Security Association and Key Management Protocol  ISO  International Organization for Standardization  ITU  International Telecommunication Union  LAN  Local Area Network  LDAP  Lightweight Directory Access Protocol  MAC  Media Access Control  MAC  Message Authentication Code  MD5  Message‐Digest 5  MIT  Massachusetts Institute of Technology  MPLS  Multiprotocol Label Switching  NAT  Network Address Translation  NBA  Network Behavior Analysis  OSI  Open Systems Interconnection  PKI  Public Key Infrastructure  RDP  Remote Desktop Protocol  RFC  Request for Comments  RSA  Rivest Shamir Adleman  SA  Security Association  SCP  Secure Copy  SFTP  SSH File Transfer Protocol  SHA  Secure Hash Algorithm  SNA  Systems Network Architecture  SOAP  Simple Object Access Protocol  SRA  Secure Remote Access  SSH  Secure Shell    9 SSL  Secure Sockets Layer  TCP  Transmission Control Protocol  Telnet  Telecommunication Network  TLS  Transport Layer Security  UAG  Unified Access Gateway  UDP  User Datagram Protocol  VLAN  Virtual Local Area Network  VNC  Virtual Network Computing  VPN  Virtual Private Network  VSE  Virtual Support Engineer  WSS  Windows SharePoint Services  WWW  World Wide Web  XML  eXtensible Markup Language        10 VAASAN YLIOPISTO  Teknillinen tiedekunta  Tekijä:  Jussi Itämäki  Erikoistyön nimi:  Tietoturvalliset tietoliikenneyhteydet    yritysympäristössä  Valvojan nimi:  Matti Linna  Ohjaajan nimi:  Reino Virrankoski  Tutkinto:  Diplomi‐insinööri  Yksikkö:  Tieto‐ ja tietoliikennetekniikan yksikkö  Koulutusohjelma:  Tietotekniikan koulutusohjelma  Suunta:  Tietoliikennetekniikka  Opintojen aloitusvuosi:  2001   Erikoistyön valmistumisvuosi:  2010    Sivumäärä: 176  TIIVISTELMÄ  Diplomityössä  käsitellään  tietoliikenneverkkojen  ja  ‐yhteyksien  tietoturvallisuutta  yritysympäristössä.  Aihealuetta  tarkastellaan  esimerkkiyrityksenä olevan ABB Oy:n näkökulmasta.  Tutkimuksen  tavoitteena  on  luoda  yleinen  konsepti  tietoturvallisten  tietoliikenneyhteyksien  luomiseen  ABB  Oy:n  ja  kolmansien  osapuolien  tietojärjestelmien  välille.  Konsepti  kattaa  liiketoimintayksiköiden  merkittävimmät  käyttötarpeet  sekä  noudattaa  ABB:n  yhtymänlaajuisia  tietoturvavaatimuksia.  Tutkimuksessa  käytettävä  aineisto  koostuu  yhtymän  tietoturvavaatimuksista,  aihealueesta aiemmin  tehdyistä  selvityksistä  ja  tutkimuksista  sekä yrityksessä  tehtävästä  tarvekartoituksesta.  Tarvekartoitus  toteutetaan  haastattelututkimuksena  ja  sen  tavoitteena  on  tunnistaa  liiketoimintayksiköiden olemassa olevat käyttötarpeet.  Työn  lopputuloksena  laadittiin  asetetut  tavoitteet  täyttänyt  yleinen  malli  tietoliikenneyhteyksien  muodostamiseen  yhtiön  ja  kolmansien  osapuolien  välille. Luodun mallin  ja siinä määriteltyjen palvelukonseptien avulla voidaan  saavuttaa  merkittäviä  resurssisäästöjä  ja  parannuksia  tietoliikenneverkon  tietoturvaan.  AVAINSANAT: Tietoturva, tietoliikenneverkot, etäkäyttö, TCP/IP    11 UNIVERSITY OF VAASA   Faculty of Technology  Author:   Jussi Itämäki  Topic of the Thesis:   Secure Network Connections in Enterprises  Supervisor:   Matti Linna  Instructor:   Reino Virrankoski  Degree:   Master of Science in Technology  Department:  Department of Computer Science  Degree Programme:  Degree Programme in Computer Science  Major of Subject:   Telecommunications Engineering  Year of Entering the University:  2001  Year of Completing the Thesis:  2010   Pages: 176  ABSTRACT  This master’s thesis deals with corporate telecommunication networks security  and the topic is studied from an example of a company ABB Oy’s point of view.  The  objective  of  the  research  is  to  create  a general model  for  creating  secure  telecommunication  connections  between ABB’s  and  third party’s  information  systems. The general model must cover most significant demands of business  units and it must also fulfil ABB Group’s security requirements.  The  research material  consists of  the ABB Group’s  security  requirements,  the  previously carried out studies and researches  in  the  field as well as  the needs  assessment which is done in the company. Needs assessment is carried out by  interviews whose  objective  is  to  identify  the  existing  needs  of  the  business  units.  As a result, the defined general model fulfils the original objectives of research.  The  developed  general model  and  included  service  concepts  can  be  used  to  achieve significant resource savings and improvements to network security.  KEYWORDS: Security, networks, remote access, TCP/IP    12 1. JOHDANTO  Tietojärjestelmien  merkitys  yrityksille  on  erittäin  suuri,  koska  käytännössä  kaikki niiden toiminnot ovat riippuvaisia tietojärjestelmien avulla toteutetuista  palveluista.  Järjestelmiä  käytetään  tiedon  tallentamiseen,  käsittelyyn  ja  esittämiseen.  Käyttötarkoitusten  monimuotoisuudesta  johtuen  myös  tietojärjestelmiä on useita eri tyyppejä ja niitä voidaan luokitella monella tapaa.  Järjestelmät  voidaan  esimerkiksi  jakaa  hajautettuihin  ja  keskitettyihin  tietojärjestelmiin.  Yhteistä  pääosalle  tietojärjestelmistä  on  kuitenkin  se,  että  niiden käyttöön tarvitaan tietoliikenneyhteyksiä.  Yritysten  koko,  rakenne,  toimiala  ja  toimintakulttuuri  asettavat  tietojärjestelmille  sekä  niiden  välisille  tietoliikenneyhteyksille  omia  vaatimuksiaan. Tietoliikenneyhteyksiä voidaan tarvita esimerkiksi yrityksen eri  toimipisteiden, alihankkijoiden  ja tehtaiden tai asiakkaiden  ja tuotetuen välille.  Tietoliikenneyhteyksille  asetetut  vaatimukset  liittyvät  yleisesti  yhteyksien  luotettavuuteen,  kustannuksiin,  kapasiteettiin,  vasteaikoihin  sekä  turvallisuuteen.  Diplomityössä esimerkkiyrityksenä olevan ABB Oy:n käytössä on huomattava  määrä  erityyppisiä  tietojärjestelmiä.  Tutkimuksen  tavoitteena  on  määritellä  ABB  Oy:lle  yleinen  tietoturvallinen  konsepti  tietoliikenneyhteyksien  muodostamiseen  yhtiön  ja  kolmansien  osapuolien  tietojärjestelmien  välille.  Konseptin tulee kattaa liiketoimintayksiköiden merkittävimmät käyttötarpeet ja  ABB:n  yhtymänlaajuiset  tietoturva‐  ja  käytettävyysvaatimukset.  Työn  yhteydessä kolmansilla osapuolilla tarkoitetaan yhtiön asiakkaita, alihankkijoita  ja kumppaneita.  Huolimatta  siitä,  että useat  eri  liiketoimintayksiköt ovat  jo pitkään  tarvinneet  erityyppisiä  etäyhteyksiä  ja  muita  palveluita,  joiden  avulla  voidaan  muun  muassa  hallita  asiakkaille  myytyjä  tuotteita  tai  tarjota  alihankkijoille  pääsy  yhtiön  sisäverkossa  oleviin  tiettyihin  tietojärjestelmiin,  ABB  Oy:llä  ei  ole  olemassa  yleistä  konseptia  yhtiön  ja  kolmansien  osapuolien  välisten  tietoliikenneyhteyksien  muodostamiseen.  Yleisen  mallin  puuttuminen  on  johtanut  siihen,  että  eri  yksiköt  ovat  luoneet  omia  yksittäisiä  ratkaisuja  olemassa olevien tarpeiden täyttämiseksi.    13 Ratkaisuja  on  luotu  varsin  tapauskohtaisesti  ilman  laajempaa  suunnittelua.  Seurauksena on muodostunut huomattava määrä erityyppisiä ratkaisuja,  jotka  pahimmassa  tapauksessa  ovat  yhteensopimattomia  jopa  saman  liiketoimintayksikön  muiden  olemassa  olevien  ratkaisujen  kanssa.  Ongelma  korostuu  entisestään,  kun  eri  liiketoimintayksiköiden  ratkaisuja  vertaillaan  keskenään.  Merkittävä  osa  tutkimuksen  tavoitteiden  saavuttamisessa  ja  yleisen  mallin  rakentamisessa  on  liiketoimintayksiköiden  nykyisten  ja  tulevien  tarpeiden  selvittämisellä  sekä  analysoinnilla.  Tarpeiden  tunnistamisen  lisäksi  tarkastellaan  yksiköiden  nykyisin  käyttämiä  sekä  vielä  kehityksen  alla  olevia  yhteysratkaisuja.  Liiketoimintayksiköiden  nykyisiä  ja  tulevia  käyttötarpeita  sekä  ratkaisuja  selvitetään  liiketoimintayksiköissä  tehtävien  haastattelujen  avulla.  Tarvekartoituksen  pääpaino  on  niissä  liiketoimintayksiköissä,  jotka  käyttävät  nykytilanteessa eniten erityyppisiä etäyhteyksiä.  Haastattelujen avulla löydettyjä tarpeita analysoidaan ABB Oy:n tietohallinnon  edustajista koostuvan ohjausryhmän sekä liiketoimintayksiköiden tietohallinto‐  ja  palvelujohtajien  kanssa.  Analysoinnin  tavoitteena  on  tunnistaa  liiketoiminnan kannalta tärkeimmät tarpeet.  Työn  lopputuloksena  luodaan  yleinen  malli,  jonka  avulla  liiketoimintayksiköiden olennaisimmat nykytarpeet voidaan toteuttaa. Mallissa  määritellään miten tietoliikenneyhteydet muodostetaan kolmansien osapuolien  ja ABB Oy:n  tietoliikenneverkkojen välille  sekä mitä palveluita yhteyksien yli  voidaan käyttää.  Yleisen  mallin  rakentamisen  kannalta  on  olennaista  liiketoimintayksiköiden  todellisten  tarpeiden  tunnistaminen  sekä  niiden  onnistunut  rajaaminen.  Olemassa olevien  tarpeiden  suuri määrä  tekee  tehtävästä varsin haasteellisen.  Epäonnistunut  rajaus  voi  johtaa malliin,  josta  saatava  liiketoimintahyöty  on  käytännössä mitätön. Konsepti  otetaan  liiketoimintayksiköissä  täysimittaisesti  käyttöön  vain  siinä  tapauksessa,  että  yksiköt  kokevat  saavansa  sen  myötä  merkittävää lisäarvoa.    14 Lopputuloksena  saatua  yleistä  mallia  tarkastellaan  lopuksi  erityisesti  tietoturvanäkökulmasta.  Tietoturvallisuuden  lisäksi  on  arvioitava  myös  sen  taloudellisuutta,  tarkoituksenmukaisuutta  sekä  soveltuvuutta  ja  kehityspotentiaalia  konseptin  ulkopuolelle  jääneiden  yksittäisten  tarpeiden  suhteen. Yleistä mallia verrataan myös  aiemmin käytössä olleisiin yksittäisiin  ratkaisuihin.    15 2. TAVOITTEET JA YMPÄRISTÖ  Tutkimuksen  tavoitteena  määritellä  yleinen  tietoturvallinen  malli  tietoliikenneyhteyksien muodostamiseen ABB Oy:n  ja  kolmansien  osapuolien  välille. Mallissa määritellään käytettävän tietoliikenneverkon looginen rakenne,  tietoliikenneyhteydet ja tarjottavat palvelut.  Diplomityö  laaditaan  ABB  Oy:n  tietohallintopalveluiden  tilauksesta.  Tutkimusympäristönä  on  yrityksen  Suomessa  toimivat  liiketoimintayksiköt  sekä tukipalvelut.  2.1. Yrityksen ja yksiköiden esittely  ABB Ltd on yksi maailman suurimpia teollisuuskonserneja ja se toimii nykyisin  yli  sadassa  maassa.  ABB  on  markkinajohtaja  useilla  sähkö‐  ja  automaatiotekniikan osa‐alueilla. Toimipaikkoja konsernilla oli vuonna 2009 87  maassa ja työntekijöitä yhteensä noin 117 000. Yhtiön pääkonttori on Zürichissä  ja se on  listattuna Zürichin (SIX Swiss Exchange), Tukholman (OMX Stockholm)  ja New Yorkin (New York Stock Exchange) pörsseissä. (ABB 2010a.)  ABB  Oy  on  konsernin  Suomessa  toimiva  yksikkö,  jolla  on  toimintaa  yli  40  paikkakunnalla ja työntekijöitä yhteensä noin 6 000. ABB Oy kuuluu konsernin  NEU  (Northern  Europe)  ‐alueeseen.  Suomen  organisaatio  on  jaettu  viiteen  divisioonaan  sekä  tukitoimintoihin.  Divisioonia  ovat  Sähkökäytöt  ja  kappaletavara‐automaatio  (Discrete Automation and Motion), Pienjännitetuotteet  (Low  Voltage  Products),  Prosessiautomaatio  (Process  Automation),  Sähkövoimajärjestelmät (Power Systems) ja Sähkövoimatuotteet (Power Products).  (ABB 2010b.)  Sähkökäytöt  ja  kappaletavara‐automaatio  ‐divisioona  koostuu  Drives,  MV  Drives, Sähkökoneet (Machines), Motors  ja Robotit (Robotics) ‐yksiköistä. Edellä  mainituista  yksiköistä  Drives  vastaa  sähkökäyttöjen  kehittämisestä  ja  valmistuksesta.  MV  Drives  ‐yksikön  vastuulla  on  sähkökäyttöprojektien  markkinointi,  suunnittelu  ja  toteuttaminen.  Sähkökoneet‐yksikkö  vastaa  suurjännitteisten  vaihtovirtamoottorien  ja  ‐generaattorien  suunnittelusta,    16 valmistuksesta  ja  myynnistä.  Motors‐yksikkö  sen  sijaan  valmistaa  ja  myy  pienjännitteisiä  vaihtovirtamoottoreita  ja  ‐generaattoreita.  Robotit‐yksikön  vastuulle kuuluu robottien suunnittelu ja valmistaminen. (ABB 2010b.)  Pienjännitetuotteet‐divisioona koostuu Pienjännitekojeet (Low Voltage Switches),  Pienjännitejärjestelmät  (Low  Voltage  Systems)  ja  Asennustuotteet  (Wiring  Accessories)  ‐yksiköistä.  Yksiköiden  vastuut  jakautuvat  siten,  että  Pienjännitekojeet‐yksikkö  kehittää,  valmistaa  ja markkinoi  pienjännitekojeita,  Pienjännitejärjestelmät‐yksikkö kehittää, valmistaa  ja myy pienjännitekojeistoja  sekä  ‐keskuksia  ja  Asennustuotteet‐yksikkö  keskittyy  rakentamisen  sähköistystarvikkeiden  ja  ‐kalusteiden  kehittämiseen,  valmistamiseen  sekä  markkinointiin. (ABB 2010b.)  Prosessiautomaatio‐divisioona  jakautuu  Prosessiteollisuus  (Process  Industry),  Marine  ja Turboahtimet  (Turbocharging)  ‐yksiköihin. Prosessiteollisuus‐yksikön  vastuulle  kuuluu  sähkö‐  ja  automaatiojärjestelmien  sekä  niihin  liittyvien  palveluiden kehittäminen  ja markkinoiminen prosessiteollisuudelle. Marine‐  ja  Turboahtimet‐yksiköt vastaavat laivojen sähköistyksistä ja automaatiosta. (ABB  2010b.)  Sähkövoimajärjestelmät‐divisioonaan kuuluu Sähkönsiirto‐ ja jakelujärjestelmät  (Substations)  sekä  Voimantuotannon  järjestelmät  (Power  Generation)  ‐yksiköt.  Ensin  mainitun  vastuulla  on  standardoitujen  automaatioratkaisujen  toimittaminen  sähkönjakeluyhtiöille  ja  voimalaitosasiakkaille.  Jälkimmäisen  tehtävänä on sähkön siirto‐ ja jakelujärjestelmien suunnittelu, valmistaminen ja  markkinointi. (ABB 2010b.)  Sähkövoimatuotteet‐divisioona  on  jaettu  kolmeen  yksikköön.  Sähkönjakeluautomaatio  (Distribution  Automation)  ‐yksikön  tehtävänä  on  sähköverkon  suojareleiden,  hälytyslaitteiden,  paikallisautomaatio‐  ja  kaukokäyttöjärjestelmien kehittäminen  ja valmistaminen. Keskijännitekojeet  ja  ‐kojeistot  (Medium  Voltage  Apparatus  and  Switchgear)  ‐yksikkö  valmistaa  kojeistoja  ja kytkimiä. Muuntajat  (Transformers)  ‐yksikkö kehittää  ja valmistaa  erikoismuuntajia, reaktoreita sekä suurmuuntajia sähköntuotantoon ja siirtoon.  (ABB 2010b.)    17 Divisiooniin kuulumattomia yksiköitä on Suomessa Service, Product Support,  Kotimaan  myynti  (Domestic  Sales)  ja  Toiminnot  ja  palvelut  (Functions  and  Services)  ‐yksiköt.  Service‐yksikön  tehtävänä  on  tuotantotehokkuutta  parantavien  ratkaisujen  ja  palveluiden  kehittäminen  ja  toimittaminen  sopimuskumppaneille.  Product  Support  ‐yksikkö  tarjoaa  tuotteen  elinkaaripalveluita.  Kotimaan  myynti  vastaa  nimensä  mukaisesti  kotimaan  markkinoiden  tuotemyynnistä.  Toiminnot  ja  palvelut  ‐yksikön  tehtävänä  on  tukipalveluiden tarjoaminen liiketoimintayksiköille. (ABB 2010b.)  2.2. Ratkaisumallia ohjaavat vaatimukset  Yhtiön  ja  kolmansien  osapuolien  välisiä  tietoliikenneyhteyksiä  määritellään  yrityksen  sisäiseen  käyttöön  julkaistussa Dillardin,  Stephansonin,  Bouleyn &  Wiesendangerin  (2003)  laatimassa  External  Connectivity  Baseline  Policies  ‐dokumentissa.  Dokumentissa määritellään  yleisellä  tasolla  tietoverkkojen  tietoturvakonsepti,  sallitut  yhteydet  ja  niiden muodostamistavat  sekä  ulkoverkkoon  tarjottavien  palveluiden toteuttaminen. (Dillard ym. 2003.)  Ratkaisumallin  määrittelyä  ohjaa  lisäksi  yrityksen  standardoimat  järjestelmäratkaisut sekä käytössä oleva tietojärjestelmäarkkitehtuuri.  2.2.1. Tietoturvakonsepti  Dokumentissa määritellään,  että  ulkoiset  yhteydet  tulee  erottaa  palomuurilla  yhtiön  sisäverkosta  yhteyden  muodostustavasta  riippumatta.  Palomuureissa  käytettävien palomuurisääntöjen tulee noudattaa yhtiön tietoturvavaatimuksia  ja  ‐käytäntöjä. Palomuureja käytetään  lisäksi yhtiön verkon segmentointiin eri  verkkoalueisiin. Tavoitteena on  rajoittaa  tietoturvariskien  laajuutta eristämällä  mahdollinen  hyökkääjä  vain  yhteen  verkkoalueeseen.  Verkkoalueita,  joihin  voidaan  muodostaa  yhteys  sekä  yhtiön  sisäverkosta  että  ulkoverkosta  kutsutaan Demilitarized Zone (DMZ) ‐alueiksi. (Dillard ym. 2003.)  Verkon segmentointia käsitellään kattavammin kappaleessa 6.1.    18 External  Connectivity  Baseline  Policies  (Dillard  ym.  2003)  ‐dokumentissa  määritellään, että DMZ‐alueella sijaitsevan yhtiön omistaman tai hallinnoiman  verkkosolmun tulee läpäistä yhtiön tiukennettu tietoturvatestaus. Verkkosolmu  tulee määritellä siten, että vain tietyillä käyttäjillä on pääsy kyseiseen solmuun  ja  sen  tulee  myös  ylläpitää  lokia  käyttöyrityksistä  sekä  sitä  vastaan  kohdennetuista hyökkäyksistä. Verkkosolmussa tulee lisäksi käyttää vahvoja ja  usein  vaihtuvia  salasanoja,  sen  käyttöjärjestelmästä  tulee  karsia  tarpeettomat  palvelut, etähallinta tulee sallia vain tietyistä Internet Protocol (IP) ‐osoitteista ja  verkkoalueista,  verkkosolmun  käyttämien  tietoliikenneyhteyksien  tulee  olla  suojattuja  ja  solmun  tarjoamien  palveluiden  käyttäminen  tulee  sallia  vain  erikseen määritellylle asiakasjoukolle. (Dillard ym. 2003.)  DMZ‐alueella  ja muissa kriittisissä verkkosegmenteissä tulee käyttää Intrusion  Detection  System  (IDS)  ‐sovelluksia,  jotka  kykenevät  tunnistamaan  sovelluksissa  tapahtuneita  muutoksia  ja  tarkkailemaan  epänormaalia  verkkoliikennettä. Teknologian  avulla  kerättyä  tietoa pyritään hyödyntämään  hyökkäysten  tunnistamiseen,  todisteiden  keräämiseen  ja  hyökkäysten  selvittämiseen.  Ulkoverkkoon  näkyvien  verkkosolmujen  lisäsuojana  tulee  käyttää erikoistuneita Intrusion Prevention System (IPS)  ‐ohjelmistoja. (Dillard  ym. 2003.)  IPS‐ohjelmistot  täydentävät  edellä  mainittuja  verkkoliikenteen  tarkkailuun  tarkoitettuja  sovelluksia  sillä,  että  ne  kykenevät  hyökkäyksen  tunnistamisen  lisäksi  toimimaan aktiivisesti niitä vastaan  (Scarfone & Mell 2007: 15).  IDS‐  ja  IPS‐sovelluksia käsitellään laajemmin kappaleessa 6.3.  Myös  virustorjuntaan  tulee  kiinnittää  huomiota.  Tietoliikenneyhteyksiä  voidaan muodostaa  vain  niiden  kolmansien  osapuolien  kanssa,  jotka  voivat  osoittaa käyttävänsä asianmukaista virustorjuntaa. (Dillard ym. 2003.)  2.2.2. Tietoliikenneyhteydet  External Connectivity Baseline Policies (Dillard ym. 2003) ‐dokumentin mukaan  yhteydet yrityksen  ja kolmansien osapuolien  tietojärjestelmien välille voidaan  muodostaa  Internet‐palveluntarjoajan  tarjoaman  yleisen  tietoverkon  yli  tai  vaihtoehtoisesti  voidaan  käyttää  yksityisiä  linjoja  ja  verkkoja.  Yleisen    19 tietoverkon  tapauksessa  käytettävää  yhteystekniikkaa  ei  ole  tarkemmin  määritelty, vaan se voidaan valita tarpeen mukaan. (Dillard ym. 2003.)  Yhtiön  tietoturvaohjeistuksen mukaan  yleisen  tietoverkon  yli  ei  saa missään  tapauksessa  siirtää  luottamuksellista  tietoa  suojaamattoman  tietoliikenneyhteyden välityksellä. Sen sijaan yhteyden osapuolten välille tulee  muodostaa  erillinen  tunneloitu  yhteys.  Tunneloinnissa  osapuolten  välille  muodostetaan  erillinen  suojattu  looginen  tietoliikenneyhteys  suojaamattoman  tietoliikenneverkon  yli  (VPN  Consortium  2008).  Suojatun  yhteyden  avulla  voidaan  pienentää  yhteyden  kaappaamisen  ja  salakuuntelun  riskiä.  External  Connectivity  Baseline  Policies  ‐dokumentissa  suositellaan  käyttämään  tunnelointiin Virtual Private Network (VPN) ‐tekniikkaa. Yhteyden salaukseen  tulisi käyttää  joka  tilanteessa mahdollisimman vahvaa salausta. Dokumentissa  suositellaan  käyttämään  168‐bittistä  Triple Data  Encryption  Standard  (3DES)  ‐salausta. (Dillard ym. 2003.)  Yhtiön  omat  työntekijät  ja  valitut  kolmannet  osapuolet  voivat  muodostaa  yhteyden yrityksen sisäverkkoon käyttäen ABB:n Secure Remote Access (SRA)  ‐palvelua.  Palvelussa  tietoliikenneyhteydet  osapuolten  välille  muodostetaan  IPsec  VPN  ‐tekniikalla.  Yhteys  voidaan  muodostaa  ainoastaan  ABB:n  omistamilta tai valtuuttamilta työasemilta. Mikäli yhteyden toinen osapuoli on  yhtiön ulkopuolinen toimija, tarjolla tulee olla vain tietyt palvelut. (Dillard ym.  2003; Vitorino 2009.)  VPN‐yhteyksiä  voidaan  soveltaa  myös  ABB:n  eri  toimipisteiden  välisten  yhteyksien muodostamiseen.  Toimipisteiden  tietoverkot  yhdistetään  toisiinsa  julkisen  tietoverkon  yli  käyttäen  VPN‐tekniikkaa.  External  Connectivity  Baseline Policies  ‐dokumentissa VPN‐yhteyksiä suositellaan käyttämään myös  tilanteissa,  joissa  ABB:n  sisäverkosta  tulee  muodostaa  yhteys  kolmannen  osapuolen tietoliikenneverkkoon. (Dillard ym. 2003.)  Mikäli  tietoliikenneyhteys  muodostetaan  yksityisen  yhteyden  välityksellä,  External  Connectivity  Baseline  Policies  ‐dokumentissa  korostetaan  ABB:n  vastuuta varmistaa, että myös toinen osapuoli suhtautuu tietoturvaan vakavasti  ja  täyttää  yleiset  vaatimukset.  Tietoturvavaatimuksiin  kuuluu  riittävä  virustorjunta,  kunnolliset  palomuurikäytännöt  ja  säännölliset    20 tietoturvapäivitykset.  Yksityiset  yhteydet  tulee  muodostaa  siten,  että  ne  päättyvät  DMZ‐alueelle  ja  niiden  kautta  pääsee  käsiksi  vain  tiettyihin  palveluihin  ja  resursseihin.  Kolmannen  osapuolen  verkko‐osoitteita  ei  saa  reitittää ABB:n verkon kautta. Sama pätee myös  toisin päin,  liikennettä ABB:n  verkko‐osoitteisiin ei saa reitittää kolmannen osapuolen verkon kautta. Mikäli  jostain syystä edellä mainittuun reititykseen on tarvetta, tulee käyttää Network  Address Translation  (NAT)  ‐tekniikkaa osoitteen muuntamiseksi.  (Dillard ym.  2003.)  2.2.3. Ulkoverkkoon tarjottavat palvelut  External  Connectivity  Baseline  Policies  ‐dokumentin  mukaan  ulkoverkkoon  palveluita  tarjoavat  palvelimet  tulee  sijoittaa  DMZ‐alueelle  ja  suojata  palomuurilla.  Palvelimien  tietoturvaan  tulee  kiinnittää  erityistä  huomiota.  (Dillard ym. 2003.)  Palvelimien  tietoturva‐asetukset  määritellään  mahdollisimman  vahvoiksi  ja  tietoturvapäivitykset  otetaan  käyttöön  heti  julkaisun  jälkeen.  Palvelimet  ylläpitävät kattavia lokitietoja ja lisäksi niissä suoritettavien ohjelmistojen tulee  läpäistä  tietoturvakatselmointi.  Suoritettavien  ohjelmistojen  joukossa  on  IPS‐ ohjelmisto  ja sekä tietoliikenneyhteyksissä että tiedon tallennuksessa käytetään  salausta.  Palvelimien  ja  suoritettavien  ohjelmistojen  toimintaa  katselmoidaan  säännöllisesti.  Lisäksi  palvelimista  on  erilliset  kopiot  testauskäyttöön.  Testiympäristön  palvelimet  eristetään  tuotantokäytössä  olevista  palvelimista  palomuurilla. (Dillard ym. 2003.)  2.3. Tutkimuksen tarve  Liiketoimintayksiköiden  tarpeista  huolimatta, ABB:llä  ei  ole  yleistä  yhtymän,  alueen  tai  maatason  konseptia  yhtiön  ja  kolmansien  osapuolien  välisten  tietoliikenneyhteyksien muodostamiseen.  Liiketoimintayksiköiden  käyttötarpeet  liittyvät  erityyppisiin  etäyhteyksiin  ja  muihin  palveluihin,  joiden  avulla  voidaan  muun  muassa  hallita  asiakkaille  myytyjä  tuotteita  tai  tarjota  alihankkijoille  pääsy  yhtiön  sisäverkossa  oleviin    21 tietojärjestelmiin.  Yleisen  mallin  puuttuminen  on  johtanut  siihen,  että  eri  yksiköt ovat  luoneet omia yksittäisiä  ratkaisuja  tunnistettujen käyttötarpeiden  täyttämiseksi.  Ratkaisuja on luotu varsin tapauskohtaisesti ilman laajempaa suunnittelua sekä  toteutuksen  asianmukaista  katselmointia  ja  hyväksyttämistä.  Seurauksena  on  muodostunut  huomattava  määrä  erityyppisiä  käytäntöjä,  jotka  pahimmassa  tapauksessa ovat yhteensopimattomia jopa saman liiketoimintayksikön muiden  ratkaisujen  kanssa.  Ongelma  korostuu  entisestään,  kun  eri  liiketoimintayksiköiden olemassa olevia ratkaisuja vertaillaan keskenään.  Suunnittelemattomuus  on  tarkoittanut myös  jossain  tapauksissa  puutteellista  testausta  ja  dokumentointia,  mikä  tekee  kyseisten  palveluiden  ylläpidosta  erittäin hankalaa.  Useiden rinnakkaisten käytäntöjen ja palveluiden olemassa olo monimutkaistaa  merkittävästi  tietoverkkojen  ja  niiden  tarjoamien  palveluiden  ylläpitoa  sekä  kehittämistä. Lisäongelmia  tuottaa  jo edellä mainittu ratkaisujen puutteellinen  tai  vanhentunut  dokumentaatio.  Tietoverkosta  poistetun  näennäisesti  tarpeettoman  palvelun  todellinen  tärkeys  voikin  selvitä  pahimmillaan  vasta  vuosien kuluttua.  Rinnakkaiset  ratkaisut  tarjoavat myös  laajemman  hyökkäyspinta‐alan  ja  siten  ne  lisäävät  huomattavasti  potentiaalisia  tietoturvauhkia.  Ratkaisujen  suuri  määrä  hidastaa  myös  mahdollisten  tietoturvapäivitysten  käyttöönottoa  ja  testausta sekä hankaloittaa merkittävästi verkonvalvontaa.  Tapauskohtaisten  ratkaisujen  kehittäminen  johtaa  myös  päällekkäisen  työn  tekemiseen  yhtiössä,  mikäli  jo  olemassa  olevia  ratkaisuja  ei  hyödynnetä  täysipainoisesti.  Iso  osa  kehittämispanoksesta  menee  tällaisissa  tapauksissa  usein jo aiemmin ratkaistujen ongelmien ja virheiden selvittämiseen.  Rinnakkaisten  ratkaisujen  olemassaolo  lisää  kustannuksia  monella  tasolla.  Edellä  mainituissa  ongelmissa  merkittävimmät  kustannukset  aiheutuvat  henkilöstö‐, laite‐ ja sovellusresurssien sitomisesta.    22 Yleisen  konseptin  puuttuminen  aiheuttaa  ongelmia  myös  tuotteiden  ja  palveluiden myynnissä. Nykyisellään asiakkaalle ei voida esimerkiksi osoittaa  suoraan  tapaa,  miten  yhtiö  hallinnoi  myymiään  tuotteita  mahdollisissa  vikatilanteissa tai miten asiakas voi hakea ohjelmistopäivityksiä hankkimalleen  laitteelle.  Tarve  yhtiön  ja  kolmansien  osapuolien  yhteyksille  tulee  todennäköisesti  lisääntymään  tulevaisuudessa  merkittävästi.  Samaan  aikaan  yhteystarpeet  muuttuvat  jatkuvasti  maailmanlaajuisemmiksi.  Muutokseen  voidaan  vastata  tehokkaimmin mahdollisimman yhtenäisillä käytännöillä ja ratkaisuilla.  2.4. Tutkimuksen tavoitteet  Tutkimuksen  tavoitteena  on  muodostaa  ABB  Oy:lle  yleinen  tietoturvallinen  malli  tietoliikenneyhteyksien  muodostamiseen  yrityksen  ja  kolmansien  osapuolien tietojärjestelmien välille. Määritellyn mallin ensisijaisena tavoitteena  on  yrityksen  liiketoimintayksiköiden  olennaisten  liiketoimintatarpeiden  toteuttaminen yhtymän tietoturvapolitiikkaa noudattaen.  Toissijaisina  tavoitteina  ovat  yhteensopivuus  olemassa  olevien palveluiden  ja  järjestelmien kanssa, yksittäisten ratkaisujen korvaaminen yleisillä vakioiduilla  ratkaisuilla,  mallin  ja  ratkaisujen  yksinkertaisuus  sekä  läpinäkyvyys.  Ratkaisujen tulee olla luotettavia ja käytettävyydeltään riittävän hyviä.  Mallin  tulee  myös  soveltua  mahdollisimman  hyvin  yksiköiden  jo  olemassa  olevien että lähitulevaisuuden käyttötarpeiden toteuttamiseen.   Yleinen malli määrittelee yhteyksien muodostamisen sekä ulkoverkosta ABB:n  sisäverkkoon  että ABB:n  sisäverkosta  ulkoverkkoon. Mallissa  otetaan  kantaa  käytettäviin  tietoliikenneyhteyksiin,  tarjottaviin  palveluihin,  tietoliikenneverkon  loogiseen  rakenteeseen,  käyttäjien  ja  laitteiden  tunnistamiseen,  yhteyksien  suojausprotokolliin  ja  tarvittaviin  palomuuriavauksiin sekä palveluiden käytön valvontaan.    23 Yleiselle  mallille  määriteltyjen  tavoitteiden  täyttäminen  on  tärkeää,  koska  niiden  myötä  voidaan  nopeuttaa  ja  yksinkertaistaa  tietoliikenneyhteyksien  luomista yhtiön ja kolmansien osapuolien välille, parantaa kokonaistietoturvaa,  vähentää  rinnakkaisten  yhteysratkaisujen  lukumäärää,  helpottaa  olemassa  olevien yhteyksien ylläpitoa sekä tarjota kolmansille osapuolille  läpinäkyviä  ja  joustavia yhteysratkaisuja.  Toiminnan  tehostumisen  myötä  yritys  voi  käyttää  vapautuvat  resurssit  ydintoimintaansa  ja ulkopuoliset  tahot kykenevät osallistumaan kattavammin  ja  nopeammin  yrityksen  arvoketjuun.  Toiminnan  tehostuminen mahdollistaa  myös  liiketoiminnan  kasvun  sekä  tuottavuuden  parantumisen  ja  siten  liikevaihdon  ja  liikevoiton  lisääntymisen.  (Porter  1988; Haverila, Uusi‐Rauva,  Kouri & Miettinen 2009: 357–358.)    24 3. TIETOTURVA  Sähköisen  viestinnän  tietosuojalain  (17.3.2006/198)  mukaan  tietoturvalla  tarkoitetaan ”hallinnollisia  ja  teknisiä  toimia,  joilla varmistetaan se, että  tiedot  ovat vain niiden käyttöön oikeutettujen  saatavilla,  ettei  tietoja voida muuttaa  muiden kuin siihen oikeutettujen toimesta ja että tiedot ja tietojärjestelmät ovat  niiden käyttöön oikeutettujen hyödynnettävissä”.  Kerttula  (1998:  84) mainitsee  tietoturvallisuuteen  kuuluvan  ”koko  se  tietojen  synnyttämiseen,  käyttämiseen,  säilyttämiseen  ja  hävittämiseen  liittyvien  laitteiden,  ohjelmistojen  ja  menetelmien  sekä  henkilöstön  turvakysymysten  joukko, mitä tuon turvallisuuden tavoitetilan saavuttamiseen vaaditaan”.  Tietoturvan  yhteydessä  käytetään  kolmea  peruskäsitettä,  joita  ovat  haavoittuvuus,  uhka  ja  kontrolli.  Tietoturvahaavoittuvuudella  tarkoitetaan  tietojärjestelmässä  olevaa  heikkoutta,  jonka  kautta  tietojärjestelmälle  voi  aiheutua vahinkoa. Tietoturvauhka on  sitä vastoin  tilanne  tai  tapahtumasarja,  joka  voi  johtaa  haavoittuvuuden  toteutumiseen.  Tietoturvauhkia  ovat  esimerkiksi  tietojärjestelmän  haavoittuvuuksiin  kohdistuvat  hyökkäykset.  Tietoturvakontrollit  ovat  toimenpiteitä,  laitteita,  käytäntöjä  tai  tekniikoita,  joiden  avulla  tietoturvahaavoittuvuuksia  voidaan  poistaa  tai  vähentää.  (Pfleeger & Pfleeger 2006.)  Tietojärjestelmän  tietoturvallisuus  on  aina  käytännössä  kompromissi  tietoturvatavoitteiden,  tietoturvauhkien  ja  kustannusten  välillä  (kuva  1).  (Kerttula 1998: 206.)    25   Kuva 1. Käytännön  tietoturvallisuuteen  vaikuttavat  tekijät  (Kerttula  1998:  207).  3.1. Tietoturvan osa‐alueet  Tietojärjestelmien  tietoturvallisuus  on  monimutkainen  ja  moniulotteinen  kokonaisuus,  jonka  systemaattinen  tarkastelu  ja  ylläpitäminen  vaativat  kokonaisuuden  jakamista  mahdollisimman  yksinkertaisiin  itsenäisiin  osa‐ alueisiin (Kerttula 1998: 85).  Valtionvarainministeriö  (1999)  jakaa  tietoturvallisuuden  seuraaviin  osa‐ alueisiin:   Hallinnollinen tietoturvallisuus   Henkilöstöturvallisuus   Fyysinen turvallisuus  Tietoturva‐ tavoitteet   26  Tietoliikenneturvallisuus   Laitteistoturvallisuus   Ohjelmistoturvallisuus   Tietoaineistoturvallisuus   Käyttöturvallisuus  Tässä työssä keskitytään tietoliikenteen turvallisuuteen.  3.2. Tietoturvavaatimukset  Tietoturvaan  liittyy  olennaisesti  vaatimus  tiedon  luottamuksellisuudesta,  eheydestä  ja  saatavuudesta.  Lisäksi  usein  korostetaan  vielä  vaatimusta  osapuolten todentamisesta ja tapahtumien kiistämättömyydestä (Stallings 2009:  703; Kerttula 1998: 84; Valtionvarainministeriö 1999; Pfleeger ym. 2006).    Kuva 2. Tietoturvan  perusvaatimusten  välinen  riippuvuus  (Pfleeger  ym.  2006).  Luottamuksellisuus EheysSaatavuus   27 Tietoturvan  perusvaatimusten  välinen  riippuvuus  on  esitetty  kuvassa  2.  Vaatimukset ovat tasapainossa alueella, jossa kaikki kolme ympyrää leikkaavat  toisensa.  Vaatimus  luottamuksellisuudesta  täyttyy,  kun  tiedot  ja  järjestelmät  ovat  vain  niiden käyttöön oikeutettujen tahojen käytettävissä. Eheydellä tarkoitetaan, että  tiedot  ja  järjestelmät  ovat  luotettavia,  oikeita  ja  ajantasaisia,  eivätkä  ne  ole  hallitsemattomasti  muuttuneet  tai  muutettavissa  ulkopuolisten  toimien  seurauksena.  Saatavuudella  vaaditaan  tiedon  ja  järjestelmien  olevan  siihen  oikeutettujen  tahojen  käytettävissä  määritellyssä  vasteajassa.  Todentaminen  tarkoittaa  viestinnän  osapuolten  luotettavaa  tunnistamista.  Todentamisesta  käytetään myös  nimitystä  autentikointi.  Tapahtuman  kiistämättömyys  vaatii,  että  tapahtuma  voidaan  todistaa  jälkeenpäin  ja  sillä  on  tällöin  juridinen  sitovuus,  jolloin  toinen  osapuoli  ei  voi  kiistää  toimintaansa  jälkeenpäin.  (Stallings  2009:  703;  Kerttula  1998:  84,  93–97;  Valtionvarainministeriö  1999;  Pfleeger ym. 2006.)  Edellä mainittuja vaatimuksia käsitellään tarkemmin kappaleessa 3.3.5.  3.3. Peruskomponentit  Kerttula  (1998:  86)  jakaa  tietoturvallisuuden  viiteen  hierarkkiseen  peruskomponenttiin,  joita  ovat  hyökkäykset,  kryptografiset  primitiivit,  tietoturvaprotokollat ja ‐mekanismit, tietoturvafunktiot sekä ‐palvelut.  3.3.1. Hyökkäykset  Shireyn  (2000:  12)  mukaan  hyökkäyksellä  tarkoitetaan  tietojärjestelmien  yhteydessä  tahallista  tekoa,  joka  on  suunnattu  järjestelmää  vastaan  ja  sen  tarkoituksena  on  esimerkiksi  ohittaa  järjestelmän  suojaukset.  Yleisesti  hyökkäykset  kohdistuvat  johonkin  tietojärjestelmän  tietoturvapalveluun  ja  ne  on  suunnattu  tiedon  salausta  tai  tiettyä  tietoturvaprotokollaa  vastaan.  Hyökkäyksien  taustalla  olevat  syyt  ja  tavoitteet  ovat  usein  varsin  monimuotoisia.  Yleisesti  voidaan  sanoa,  että  suojatulla  tiedolla,  jolla  on    28 strategista arvoa omistajalle, on strategista arvoa myös hyökkääjälle.  (Kerttula  1998: 87; Pfleeger ym. 2006.)  Pfleeger  ym.  (2006) mainitsee  kolme  hyökkääjältä  vaadittavaa  ominaisuutta.  Hyökkääjällä  tulee  olla  hyökkäykseen  vaadittavat  taidot,  tiedot  ja  työkalut,  riittävästi  aikaa  ja  pääsy  tietojärjestelmään  sekä  jokin  syy  hyökkäykseen.  Vaadittavat  ominaisuudet  ovat  siis  menetelmä,  mahdollisuus  ja  motiivi.  (Pfleeger ym. 2006.)  Kerttula  (1998: 89)  ja Pfleeger & Pfleeger  (2006)  jakavat  tietoturvahyökkäykset  neljään  perustyyppiin,  joita  ovat  keskeytys,  sieppaaminen,  muuntaminen  ja  väärentäminen.  Keskeytyshyökkäys  kohdistuu  tietojärjestelmän  resursseja  vastaan ja sen tavoitteena on estää tietyn tai tiettyjen resurssien käyttäminen ja  siten saattaa tieto saavuttamattomiin. Sieppauksessa on kyse tietojärjestelmään  tunkeutumisesta  ja  informaation  varastamisesta.  Sieppaushyökkäys  loukkaa  tiedon luottamuksellisuutta. Muuntamishyökkäyksessä hyökkääjän tavoitteena  on muokata tietojärjestelmässä välitettävää informaatiota  ja siten rikkoa tiedon  eheyttä.  Väärentämisessä  hyökkääjä  sekä  tunkeutuu  kohdetietojärjestelmään  että muuttaa  järjestelmän sisältämään informaatiota. Hyökkäys  loukkaa tiedon  luottamuksellisuutta ja eheyttä. (Kerttula 1998: 89–90; Pfleeger ym. 2006.)  Hyökkäykset  jaetaan  edellä  mainitun  jaottelun  lisäksi  niiden  luonteen  perusteella  passiivisiin  ja  aktiivisiin  hyökkäyksiin. Aktiivisella  hyökkäyksellä  pyritään  muuttamaan  ja  häiritsemään  kohdejärjestelmän  toimintaa.  Passiivisessa  hyökkäyksessä  sitä  vastoin  pyritään  vain  vakoilemaan  kohdejärjestelmää  sen  toimintaan  varsinaisesti  puuttumatta.  (Shirey  2000:  12;  Stallings 2009: 703; Kerttula 1998: 90.)  Aktiiviset  hyökkäykset  voidaan  jakaa  neljään  perustyyppiin  hyökkäystavan  perusteella.  Hyökkääjä  pyrkii  vaikuttamaan  kohdejärjestelmään  esiintymällä  jonain  toisena  osapuolena,  toistamalla  aiemmin  kaapattua  dataa,  muokkaamalla  järjestelmän  lähettämiä  viestejä  tai  ylikuormittamalla  tiettyjä  palveluita.  Aktiivisten  hyökkäysten  luonteesta  johtuen  ne  ovat  helposti  havaittavissa.  Hyökkäyksien  estäminen  on  sitä  vastoin  varsin  hankalaa,  ja  yleisesti  tyydytäänkin  vain  niiden  tunnistamiseen  ja  vahingoista  palautumiseen. (Stallings 2009: 704–705; Kerttula 1998: 90.)    29 Passiivisessa hyökkäystavassa hyökkääjä  tavallisesti pyrkii  joko analysoimaan  tai  kaappaamaan  kohdejärjestelmän  tietoliikennettä.  Tietoliikenteen  analysoinnissa  on  ajatuksena  selvittää  ja  seurata  vain  hyökkääjän  kannalta  olennaisia  yksityiskohtia,  kun  taas  kaappaamisessa  on  kyse  kaiken  informaation  läpikäynnistä.  Passiivisia  hyökkäyksiä  on  useissa  tapauksissa  hyvin  hankala  havaita.  Sen  sijaan  estäminen  tai  ainakin  vaikeuttaminen  on  huomattavasti helpompaa. Passiivisia hyökkäyksiä vastaan voidaan  suojautua  varsin  tehokkaasti  erilaisten  salausmenetelmien  avulla.  (Stallings  2009:  704;  Kerttula 1998: 90.)  Hyökkäykset  voivat  kohdistua  suoraan  salausjärjestelmää  tai  tietoturvaprotokollia  vastaan.  Ensin  mainitut  hyökkäykset  perustuvat  salauksen  purkamiseen  systemaattisesti  vaihtoehtoja  läpikäymällä.  Lopputuloksena pyritään  selvittämään  joko pelkästään alkuperäinen viesti  tai  vaihtoehtoisesti  käytössä  oleva  salausavain.  Tietoturvaprotokollia  vastaan  tehtävissä  hyökkäyksissä  hyökkääjä  pyrkii  selvittämään  miten  tietojärjestelmässä käytetään kryptografisia primitiivejä. (Kerttula 1998: 90–91.)  Tietoturvahyökkäykset  alkavat  yleisesti  kohteen  tarkkailulla  ja  tiedustelulla.  Hyökkääjän  tavoitteena  on  kerätä mahdollisimman  paljon  tietoa  kohteesta  ja  siten tunnistaa mahdollisia haavoittuvuuksia. Seuraavassa vaiheessa hyökkääjä  valitsee  haavoittuvuudet,  joita  vastaan  varsinainen  hyökkäys  kohdistetaan  ja  laatii hyökkäyssuunnitelman. (Pfleeger ym. 2006.)  Tiedon keräämiseen on olemassa useita toisiaan täydentäviä menetelmiä, joista  tavallisimmat  ovat  porttiskannaus  (Port  Scanning),  sosiaalinen  manipulointi  (Social  Engineering),  tiedustelu  (Intelligence)  sekä  käyttöjärjestelmän  ja  ohjelmistojen  tunnistetietojen  selvittäminen  (Operating  System  and  Application  Fingerprinting). (Pfleeger ym. 2006.)  Lisäinformaatiota  kohteesta  saadaan  myös  siihen  liittyvästä  julkisesta  dokumentaatiosta (Pfleeger ym. 2006.)  Kun  hyökkääjä  on  saanut  kerättyä  kohteesta  riittävästi  informaatiota  ja  suunnitellut  hyökkäyksen,  aloitetaan  varsinainen  hyökkäys.  Hyökkäykset  kohdistetaan  yleisesti  joko  kohdejärjestelmän  ohjelmistojen  sisältämiä    30 tietoturvahaavoittuvuuksia, autentikointipalvelua, tiedon luottamuksellisuutta,  tiedon eheyttä tai tiedon saatavuutta vastaan. (Pfleeger ym. 2006.)  3.3.2. Kryptografiset primitiivit  Kryptografiset  primitiivit  ovat  matemaattisia  menetelmiä  informaation  salaamiseen  ja muuntamiseen. Kryptografisia  primitiivejä  ovat  kryptografiset  algoritmit ja muunnokset. (Kerttula 1998: 91; Pfleeger ym. 2006.)  Kryptografiset  algoritmit  ja muunnokset  ovat  ennalta  sovittuja, usein  erittäin  monimutkaisia,  epälineaarisia  ja  yksisuuntaisia matemaattisia  tai  algoritmien  ohjaamia  operaatioita,  joiden  avulla  salataan  tietojärjestelmässä  välitettäviä  sanomia.  Kryptografisten  algoritmien  ja  muunnosten  vahvuuden  määrittämiseen on luotu useita erilaisia malleja. (Kerttula 1998: 70–71; Pfleeger  ym. 2006.)  Primitiiveihin kuuluvat muun muassa tiedon salaus‐ ja allekirjoitusmenetelmät  sekä  hash‐funktiot.  Kryptografiset  menetelmät  jaetaan  yleisesti  salaisen  ja  julkisen avaimen menetelmiin.  (Kerttula 1998: 23; Pfleeger ym. 2006; Stallings  2003: 20; Stallings, Brown, Bauer & Howard 2008: 42.)  Kryptografisia  algoritmeja  ja  muunnoksia  käsitellään  kattavammin  luvussa  neljä.  3.3.3. Tietoturvaprotokollat ja ‐mekanismit  Tietoturvaprotokollat  ja  ‐mekanismit  ovat  joukko  ennalta  määriteltyjä  toimenpiteitä,  joiden  tehtävänä  on  hyökkäysten  tunnistaminen,  estäminen  tai  vaikutusten minimoiminen (Kerttula 1998: 86, 91).  Tietoturvaprotokollien  avulla  voidaan  siirtää  informaatiota  viestinnän  osapuolten välillä tietoturvallisesti. Tietoturvaprotokollat, joista käytetään myös  nimitystä kryptografiset protokollat, rakentuvat kryptografisista primitiiveistä.  Protokollia  käytetään muun muassa  salausavainten  jakamiseen  ja  hallintaan,  pääsynhallintaan sekä viestinnän osapuolten tunnistamiseen. (Kerttula 1998: 92,  145–146.)    31 Tietoturvamekanismi koostuu yhdestä tai useammasta tietoturvaprotokollasta,  kryptografisesta  algoritmista  tai  muunnoksesta  sekä  ei‐kryptografisista  tekniikoista.  Tietoturvamekanismista  käytetään  myös  nimitystä  kryptomekanismi. (Kerttula 1998: 92.)  Tietoverkkojen tietoturvamekanismit ovat usein erittäin monimutkaisia johtuen  verkkoihin  kohdistuvista  lukuisista  vaatimuksista.  Lisäksi  mekanismien  rakenteessa  on  varauduttava  odottamattomiin  vikatilanteisiin  ja  hyökkäysmenetelmiin. (Kerttula 1998: 23–24.)  Mahdollisten  tietoturvauhkien  monimuotoisuus  hankaloittaa  tietoturvamekanismien  kehittämistä  merkittävästi.  Mahdollisten  ongelmien  määrän kasvaessa kokonaisuuden hahmottaminen vaikeutuu,  ja kehittäjän on  vaikea  arvioida  yksittäisten  tietoturvaratkaisujen  vaikutusta  kokonaisuuteen.  Mekanismien suunnittelun  jälkeen on vielä päätettävä, missä niitä  loogisesti  ja  fyysisesti  tietoverkossa  hyödynnetään.  Tietoturvamekanismien  kehitystä  ohjaavat myös käytettävissä olevat  tietoturva‐  ja verkkoprotokollat. Lisäksi on  huomioitava  mekanismissa  mahdollisesti  käytettävän  salaisen  informaation  hallinnointi ja suojaaminen. (Kerttula 1998: 24–25.)  3.3.4. Tietoturvafunktiot  Tietoturvaprotokollat  ja  ‐mekanismit  muodostavat  yhdessä  kryptografisten  primitiivien  kanssa  kokonaisuuksia,  joita  kutsutaan  tietoturvafunktioiksi.  Tietoturvafunktio  on  itsenäinen  toiminnallinen  kokonaisuus,  jolla  ratkaistaan  jokin tietty tietoturvatavoite. (Kerttula 1998: 86, 92.)  Simmonsin  (1992:  5)  mukaan  tietoturvafunktioita  ovat  muun  muassa  tunnistaminen,  allekirjoittaminen,  kuittaus,  autentikointi,  äänestäminen  ja  sertifikaatin todentaminen.  3.3.5. Tietoturvapalvelut  Tietoturvapalvelut koostuvat yhdestä tai useammasta tietoturvafunktiosta ja ne  näkyvät käyttäjille konkreettisina  tietoturvatavoitteina. Palvelut voidaan  jakaa  neljään  geneeriseen  tietoturvapalveluun,  joita  ovat  luottamuksellisuus    32 (Confidentiality),  eheys  (Integrity),  kiistämättömyys  (Non‐repudiation)  ja  oikeellisuus  (Authentication).  Tietoturvan  perustavoitteisiin  luetaan  lisäksi  yleisesti pääsynvalvonta  (Access Control)  ja  saatavuus  (Availability),  vaikka  ne  ovatkin  johdettavissa edellä mainituista neljästä geneerisestä perustavoitteesta.  (Kerttula 1998: 86, 93–95.)  Tietojärjestelmässä oleva tai sinne siirretty tieto on luottamuksellista, kun se on  vain  sen  käyttöön  oikeutettujen  tahojen  saatavilla.  Luottamuksellisuus  vaatii  tiedon  ja  tietoliikenteen  suojaamista  sivullisilta  ja  täten  se  suojaa passiivisilta  hyökkäyksiltä.  (Kerttula  1998:  93–95;  Valtionvarainministeriö  1999;  Stallings  2007: 703; Pfleeger 2006.)  Tiedon  ja  tietojärjestelmän  eheys  vaatii,  että  tieto  ja  tietojärjestelmä  ovat  luotettavia,  oikeita  ja  ajantasaisia. Vaatimuksena  on  lisäksi,  että  niihin  voivat  tehdä  muutoksia  ainoastaan  muutoksiin  oikeutetut  tahot.  Myöskään  mahdolliset  laite‐  ja ohjelmistoviat  tai  luonnontapahtumat  eivät  saa  aiheuttaa  muutoksia  tietoihin. Tietojen  ja  järjestelmien eheyttä vastaan voidaan hyökätä  aiemmin  mainituilla  aktiivisilla  hyökkäyksillä.  (Kerttula  1998:  93–96;  Valtionvarainministeriö 1999; Stallings 2007: 703; Pfleeger 2006.)  Tiedon  ja  tietojärjestelmän  oikeellisuuden  varmistamiseen  liittyy  sekä  tiedon  että  tietoa  käsittelevän  olion  autentikointi.  Autentikoinnissa  on  kyse  alkuperäisen  tiedon,  henkilön  tai  olion  tunnistamisesta  ja  identiteetin  todistamisesta. Viestinnän osapuolten  tulisikin autentikoida  sekä  toisensa että  vastaanottamansa  informaation.  Autentikoinnin  avulla  voidaan  suojautua  ennen  kaikkea  useilta  aktiivisilta  hyökkäystavoilta.  (Kerttula  1998:  93–96;  Valtionvarainministeriö 1999; Stallings 2007: 703.)  Tieto on kiistämätöntä, kun kaikki tietoa koskevat tapahtumat ja niissä mukana  olleet  osapuolet  voidaan  tarkastaa  jälkeenpäin.  Kiistämättömyys  takaa,  että  viestinnän  osapuolet  voivat  varmistua  tiedon  siirtyneen  toisilleen.  Tiedonsiirron  kiistämättömyys  on  yksi  suojautumiskeino  tiettyjä  aktiivisia  hyökkäyksiä  vastaan.  (Kerttula  1998:  96–97;  Valtionvarainministeriö  1999;  Stallings 2007: 703.)    33 Pääsynvalvonnassa  kohdejärjestelmä  hallitsee  järjestelmän  ja  sen  sisältämien  tietojen  käyttämistä.  Pääsynvalvonta  kontrolloi  sitä,  millä  oliolla  on  oikeus  tiettyihin  tietoihin  ja  järjestelmiin  sekä mitä  kyseinen  olio  järjestelmässä  voi  tehdä. Pääsynvalvonta vaatii olioiden autentikointia. (Kerttula 1998: 96–97.)  Saatavuudessa  on  kyse  siitä,  että  tieto  tai  tietojärjestelmä  on  käytettävissä  tietyssä vasteajassa. Tietojärjestelmän  ja sen sisältämien  tietojen  tulee palautua  ja  olla  käytettävissä  hyökkäyksen  jälkeenkin.  (Kerttula  1998:  97;  Valtionvarainministeriö 1999; Pfleeger 2006.)  3.4. Tietoliikenneverkkojen tietoturva  Tietoliikenneverkkojen suojaamisessa käytettävät kryptomekanismit sijoitetaan  johonkin verkkokerrokseen  tai niiden väliin. Tietoturvasuunnittelussa verkkoa  tuleekin tarkastella kerroksittain. (Kerttula 1998: 191.)  Tietoliikenneverkkojen  tietoturvan yhteydessä on olennaista  erottaa  toisistaan  verkon  avulla  välitettävät  sanomat  ja  verkossa  siirrettävät paketit.  Sanomalla  tarkoitetaan kokonaista viestiä,  joka siirretään  lähettäjältä vastaanottajalle  ja se  voi  koostua  useasta  tietoliikennepaketista. Verkossa  käytettävien  laitteiden  ja  protokollien  vastuulla  on  sanomien  jakaminen  paketteihin,  pakettien  siirtäminen  tietoliikenneverkossa  ja  pakettien  kokoaminen  takaisin  alkuperäisiksi sanomiksi. (Kerttula 1998: 189–190.)  Tietoliikenneyhteyksien suojaamisen perustavoitteena on Kerttulan  (1998: 206)  mukaan  saavuttaa  riittävän  suuri varmuus  siitä,  että ulkopuoliset  eivät pysty  lukemaan  tai  muuttamaan  verkossa  välitettäviä  sanomia.  Huomioitavaa  tietoturvassa  on  suhteellisuuden  periaate.  Esimerkiksi  maksuliikenneinformaation  siirtäminen  verkossa  vaatii  huomattavasti  kehittyneemmän  suojausmenetelmän  kuin  markkinointimateriaalin  siirtäminen. (Kerttula 1998: 206.)  Merkittävimmät  erot  eristetyn  tietojärjestelmän  ja  tietoliikenneverkkoon  kytketyn  välillä  voidaan  jakaa  Pfleeger  ym.  (2006)  mukaan  kuuteen  osa‐ alueeseen.    34 Tietoliikenneverkkojen yhteydessä käyttäjät voivat  toimia anonyymisti,  jolloin  myös  hyökkääjä  voi  suorittaa  hyökkäyksensä  anonyyminä.  Hyökkääjä  voi  peittää  jälkensä  ohjaamalla  hyökkäyksen  kulkemaan  useiden  ulkopuolisten  tietojärjestelmien kautta. Lisäksi erityisesti  julkisiin tietoverkkoihin kytkettyjen  järjestelmien kohdalla hyökkääjän maantieteellisen sijainnin merkitys vähenee.  (Pfleeger ym. 2006; Kerttula 1998: 206.)  Tietoliikenneverkko  koostuu  useista  yksittäisistä  laitteista  ja  tällöin  myös  tietoliikenne kulkee useiden eri  laitteiden kautta. Verkkosolmujen  lukumäärän  kasvaminen  lisää  mahdollisia  hyökkäyskohteita  ja  ‐lähteitä  huomattavasti.  Lisäongelmia  aiheuttaa  laitteiden  heterogeenisyys  esimerkiksi  tietoturva‐ asetusten suhteen. (Pfleeger ym. 2006.)  Tietoliikenneverkot mahdollistavat  resurssien  ja kuormituksen  jakamisen sekä  laitteiden  että  käyttäjien  välillä.  Luonnollinen  seuraus  ominaisuudesta  on  väärinkäytösmahdollisuuksien lisääntyminen. (Pfleeger ym. 2006.)  Tietoliikenneverkkoa  käyttävä  tietojärjestelmä  on  lähtökohtaisesti  monimutkaisempi  kuin  tietoliikenneyhteyksiä  käyttämätön  tietojärjestelmä.  Tietojärjestelmän  monimutkaistuminen  vaikuttaa  kokonaisuuteen  kahdella  tasolla;  toisaalta  lisäämällä  hyökkäyspinta‐alaa  ja  toisaalta  vaikeuttamalla  järjestelmän toiminnan seuraamista. (Pfleeger ym. 2006.)  Tietoliikenneverkkojen  laajennettavuus  johtaa epäselvyyteen verkon rajoista  ja  siihen  kuuluvista  solmuista.  Vapaan  laajennettavuuden  myötä  verkkoon  liittyvä solmu voi yhdistää useita verkkoja yhteen. Tällöin  tietoturvasääntöjen  ylläpitäminen  on  erittäin  monimutkaista  verkon  jatkuvasti  muuttaessa  muotoaan. (Pfleeger ym. 2006.)  Tietoliikenteen reititykseen verkossa käytetään hyvin harvoin kiinteitä reittejä,  jolloin tietoliikennepakettien reiteistä ei voida olla varmoja pakettien lähetyksen  yhteydessä. Kiinteiden  reittien  puuttuminen  voi  johtaa  pakettien  kulkemisen  vihamielisten  tai  suojaamattomien  verkkosolmujen  kautta  viestinnän  alkuperäisten osapuolten siitä tietämättä. (Pfleeger ym. 2006.)    35 Parziale, Britt, Davis, Forrester, Liu, Matthews ja Rosselot (2006: 772) luettelevat  seitsemän yleistä tietoverkkoja vastaan tehtävää hyökkäysmenetelmää:   tietoliikennepakettien kaappaaminen   identiteetin väärentäminen   palvelunestohyökkäys   tietoliikenteen väärentäminen   salausavainten murtaminen   virukset ja madot   porttiskannaus  Tietoliikennepakettien  kaappaamisessa  on  tavoitteena  päästä  käsiksi  salaamattomaan  arkaluonteiseen  informaatioon.  Identiteetin  väärentämisessä  hyökkääjä pyrkii  esiintymään  sallittuna  käyttäjänä  ja pääsemään  näin  käsiksi  arkaluonteiseen  tietoon  tai  lähettämään  viestejä  toisen  henkilön  nimissä  kolmansille  osapuolille.  Palvelunestohyökkäyksessä  tietoverkko  tai  jokin  sen  osa  pyritään  saattamaan  pois  käytöstä  ylikuormittamalla  tietoverkkoa.  Tietoliikenteen  väärentämisessä  hyökkääjä  kaappaa  ja  muokkaa  kohteena  olevan  tietoliikenneyhteyden  yli  siirrettävää  informaatiota.  Salausavainten  murtamisessa  hyökkääjä  pyrkii  murtamaan  tai  arvaamaan  kohteena  olevan  tietoliikenneyhteyden  salaamiseen  käytettävät  salausavaimet.  Virusten  ja  matojen  avulla  hyökkääjä  pyrkii  vahingoittamaan  tietoverkon  laitteita  ja  tuhomaan välitettävää informaatiota. Porttiskannauksessa tavoitteena on kerätä  informaatiota tietoverkon mahdollisista hyökkäyskohteista. (Parziale ym. 2006:  772.)    36 3.5. Tietoturvariskien hallinta  Tietoturvauhkien hallintaan on olemassa useita menetelmiä  ja kontrolleja. Osa  menetelmistä  kykenee  täysin  torjumaan  tiettyjä  uhkia,  osa  lieventämään  seurauksia  ja  osa  vain  tunnistamaan  toteutuneita  hyökkäyksiä.  (Pfleeger  ym.  2006.)  Tietoturvavahinko  tapahtuu,  kun  jokin  tietoturvauhka  realisoituu.  Tietoturvavahingoilta  voidaan  suojautua  poistamalla  mahdolliset  tietoturvahaavoittuvuudet  tai  ‐uhat.  Mahdollisesti  toteutuvaa  tietoturvavahinkoa kutsutaan tietoturvariskiksi. (Pfleeger ym. 2006.)  Tietoturvariskien  hallintaan  on  olemassa  viisi  perusstrategiaa.  Tietoturvariski  voidaan estää  täysin  (Prevent), estää osittain  (Deter),  siirtää  (Deflect),  tunnistaa  (Detect)  tai  siitä  voidaan  palautua  (Recover).  Käytännössä  yleisesti  käytetään  useamman perusstrategian kombinaatioita. (Pfleeger ym. 2006.)  Riski  voidaan  täysin  estää  joko  poistamalla  riskiin  liittyvä  tietoturvahaavoittuvuus  tai  torjumalla  siihen kohdistuvat hyökkäykset. Riskin  osittaisessa  estämisessä  riskiin  liittyvän  haavoittuvuuden  hyödyntämistä  vaikeutetaan  olennaisesti  hyökkääjän  näkökulmasta.  Riskin  siirtämisessä  on  ajatuksena tehdä jostain toisesta riskistä hyökkääjän näkökulmasta alkuperäistä  riskiä  kiinnostavampi.  Riskin  tunnistamisessa  tyydytään  vain  tarkkailemaan  riskin mahdollista toteutumista. Palautumisstrategiassa on kyse siitä, että riskin  toteutuessa  järjestelmä palautetaan hyökkäystä  edeltäneeseen  tilaan.  (Pfleeger  ym. 2006.)  Tietoturvariskejä  kontrolloidaan  salausmenetelmillä,  ohjelmisto‐  ja  laitteistopohjaisilla  kontrolleilla,  tietoturvapoliitikoilla  ja  ‐käytännöillä  sekä  fyysisillä kontrolleilla. (Pfleeger ym. 2006.)  Viestinnän  salaamisella  on  erittäin  suuri  merkitys  tietojärjestelmän  tietoturvallisuuteen,  mutta  se  ei  yksistään  riitä.  On  myös  tärkeää  käyttää  riittävän  vahvoja  salausmenetelmiä  oikeissa  kohteissa.  Liian  heikko  salausmenetelmä  saattaa  johtaa  väärään  turvallisuuden  tunteeseen  ja  jopa  heikentää  järjestelmän  kokonaistietoturvaa. Liian  vahva  salausmenetelmä  sitä    37 vastoin  voi  aiheuttaa  tietojärjestelmän  suorituskyvyn  merkittävää  heikentymistä,  erityisesti mikäli menetelmää  käytetään  järjestelmässä  väärin.  (Pfleeger ym. 2006.)  Ohjelmistopohjaisia  kontrolleja  ovat  ohjelmistojen  sisäiset  tietoturvakontrollit,  itsenäiset  tietoturvaohjelmistot  sekä  ohjelmistojen  kehitystyökalujen  tietoturvakontrollit (Pfleeger ym. 2006).  Laitteistopohjaisilla  kontrolleilla  tarkoitetaan  erillisiä  tietoturvalaitteita.  Laitteistopohjaisia kontrollilaitteita ovat muun muassa palomuurit, IPS‐laitteet,  VPN‐reitittimet sekä erilaiset älykortit. (Pfleeger ym. 2006.)  Tietoturvapolitiikkoihin  ja  ‐käytäntöihin  kuuluu  esimerkiksi  pakotetut  säännölliset  salasanan  vaihtamiset  ja  tietojärjestelmän  käyttösäännöt.  Fyysisiä  kontrolleja  ovat  muun  muassa  kulunvalvonnalla  valvotut  suljetut  tilat  ja  varmuuskopioiden säilyttäminen useassa paikassa. (Pfleeger ym. 2006.)  Pfleeger  ym.  (2006) määrittelee  tietoturvakontrolleille  ja  niiden  käyttämiselle  neljä periaatetta:   kontrollien tulee olla tehokkaita, helppokäyttöisiä ja sopivia   paras tietoturva saadaan käyttämällä useita toisiaan tukevia kontrolleja   kontrolleja tulee kehittää jatkuvasti   järjestelmän  kokonaistietoturva  on  aina  yhtä  vahva  kuin  sen  heikoin  tietoturvakontrolli    38 4. KRYPTOGRAFISET MENETELMÄT  Tietoturvan  teknisten  tavoitteiden  toteuttamiseen  liittyy  olennaisesti  kryptografia,  joka  on  informaation  salaukseen  liittyvien  matemaattisten  menetelmien  tutkimusta  (Kerttula  1998:  23).  Edellä mainittuja matemaattisia  menetelmiä kutsutaan kryptografisiksi algoritmeiksi ja muunnoksiksi (Kerttula  1998: 70–71; Pfleeger ym. 2006).  Kryptografiaan  liittyy  olennaisesti  informaation  salaaminen  ja  salauksen  purkaminen.  Informaation  salauksessa alkuperäinen  selväkielinen  informaatio  salataan  jonkin  kryptografisen  algoritmin  eli  salausmenetelmän  avulla.  Salauksen  purkamisessa  on  kyse  päinvastaisesta  operaatiosta.  Salattu  viesti  muunnetaan  takaisin  selväkieliseksi  tietyn  kryptografisen  algoritmin  avulla.  (Parziale ym. 2006: 777; Kaufman, Perlman & Speciner 2002: 41.)  Salaukseen  käytetään  yleisesti  salausmenetelmiä,  joissa  sekä  informaation  salaukseen että salauksen purkamiseen käytetään salausavainta ja jotain tiettyä  salausalgoritmia.  Salauksen  vahvuus  riippuu  ensisijaisesti  käytetystä  salausavaimesta,  joka voidaan valita  salausmenetelmästä  riippuvasta  joukosta  vaihtoehtoja.  Lähtökohtaisesti mitä  enemmän  on  vaihtoehtoja,  sitä  vahvempi  salaus on mahdollista saavuttaa. (Parziale ym. 2006: 778.)  Salauksen  avulla  voidaan  varmistaa  viestinnän  luottamuksellisuus,  autentikoida viestinnän osapuolet, valvoa viestinnän eheyttä ja taata viestinnän  kiistämättömyys (Parziale ym. 2006: 779).  Kryptografiset  menetelmät  voidaan  jakaa  salausmenetelmiin  ja  tiivistefunktioihin. Salausmenetelmät voidaan edelleen jakaa julkisen ja salaisen  avaimen menetelmiin. (Kaufman ym. 2002: 47; Lehtonen 2004: 11–12.)  4.1. Salaisen avaimen menetelmä  Salaisen  avaimen menetelmästä  käytetään myös  nimeä  symmetrinen  salaus.  Menetelmässä  sekä  informaation  salaukseen  että  salauksen  purkamiseen  käytetään samaa salausavainta. Viestinnän osapuolten tulee sopia käytettävästä    39 salausavaimesta  ennen  salauksen  käyttöönottoa.  Kuvassa  3  on  esitetty  periaatekuva symmetrisestä salauksesta. (Parziale ym. 2006: 779; Stallings 2003:  24–25; Lehtonen 2004: 11.)    Kuva 3. Symmetrisen salauksen periaatekuva (Pfleeger ym. 2006).  Symmetrisiä  salausmenetelmiä  on  kahta  tyyppiä,  lohko‐  ja  jonosalausalgoritmeja.  Lähdeinformaatiota  käsitellään  lohkosalauksessa  useamman bitin lohkoina ja jonosalauksessa bitti kerrallaan. (Parziale ym. 2006:  779; Stallings ym. 2008: 44–49.)  Lohkosalausalgoritmeja käytetään useassa eri  tilassa. Yksinkertaisin  tiloista on  Electronic  Codebook  (ECB),  jossa  jokainen  lähdeinformaation  bittilohko  salataan  itsenäisesti.  ECB:n  ongelmana  on,  että  hyökkääjän  on  mahdollista  muodostaa  koodikirja,  jolla  salaus  voidaan  murtaa,  mikäli  hyökkääjä  saa  selvitettyä  riittävän määrän viestipareja  (alkuperäinen  ja  sitä vastaava  salattu  viesti).  Ongelma  voidaan  kiertää  yleisesti  käytetyllä  Cipher  Block  Chaining  (CBC)  ‐tilalla,  jossa  lohkon  salaus  riippuu  lähdeinformaatiolohkon  lisäksi  edellisestä salatusta lohkosta. (Parziale ym. 2006: 779.)  Lohkosalausalgoritmit  käyttävät  usein  alkuarvovektoreita.  Alkuarvovektorit  ovat  riippumattomia  salausavaimista  ja  ne  sopivat  siten  algoritmien  alkuarvojen määrittämiseen. (Parziale ym. 2006: 779.)  Tunnettuja  lohkosalausmenetelmiä  ovat  muun  muassa  Data  Encryption  Standard  (DES)  ja  sen  muunnos  Triple‐DES  (3DES),  Advanced  Encryption  Standard (AES) sekä International Data Encryption Algorithm (IDEA). (Parziale  ym. 2006: 779–780.)    40 Data Encryption Standard (DES) on menetelmistä vanhin, ja sitä ei enää pidetä  turvallisena. Menetelmässä lohkon koko on 64 bittiä. Salausavain on 56 bittinen  luku, joka usein esitetään pariteettibitit mukaan lukien 64 bittisenä lukuna ja se  jaetaan algoritmissa käytettäviin 16 aliavaimeen. Salausmenetelmässä käytetään  täysin samaa algoritmia sekä viestien salaamiseen että salauksen purkamiseen  ja salaus‐ ja purkamisprosessit eroavat toisistaan ainoastaan aliavainten käytön  suhteen.  Menetelmällä  salattu  viesti  sisältää  yhtä  monta  merkkiä  kuin  alkuperäinen viesti. (Parziale ym. 2006: 779–780; Stallings ym. 2008: 44–45.)  DES‐menetelmän  merkittävin  haavoittuvuus  liittyy  salausavaimen  heikkouteen. 56 bittinen avain on murrettavissa kaikkien mahdollisten avainten  läpikäyntiin  perustuvalla  Brute  force  ‐menetelmällä  varsin  nopeasti.  Menetelmän uudemmat muunnokset kuten 3DES suorittaa DES‐menetelmässä  käytetyn salausalgoritmin kolmeen kertaan käyttäen kahta tai kolmea  joko 112  tai 168 bittistä salausavainta. (Parziale ym. 2006: 780; Stallings ym. 2008: 45–46.)  3DES‐menetelmän merkittävinä  etuina  ovat  salausalgoritmin  yhteensopivuus  DES‐menetelmässä  käytetyn  algoritmin  kanssa  ja  vahvat  salausavaimet,  jotka  kestävät erityisesti 168 bittisinä Brute force ‐menetelmällä tehtäviä hyökkäyksiä  varsin  hyvin.  3DES‐menetelmän  heikkouksina  voidaan  mainita  salausalgoritmin ohjelmistototeutuksen hankaluus  ja tehottomuus sekä vain 64  bittinen lohkokoko. (Stallings ym. 2008: 46.)  Advanced  Encryption  Standard  (AES)  ‐menetelmä  on  suunniteltu  DES‐  ja  3DES‐menetelmien korvaajaksi  ja se perustuu Rijndael‐lohkosalausalgoritmiin.  Algoritmissa lohkon koko on 128 bittiä  ja salausavain voi olla  joko 128, 192 tai  256 bittinen. (Parziale ym. 2006: 780; Stallings ym. 2008: 47.)  Toinen  DES‐menetelmän  korvaajaksi  tarkoitettu  lohkosalausmenetelmä  on  International  Data  Encryption  Algorithm  (IDEA),  joka  käyttää  64  bittisiä  lohkoja  ja  128  bittistä  salausavainta.  IDEA  on  DES‐menetelmään  verrattuna  nopeampi ja vahvempi. (Parziale ym. 2006: 780.)  Jonosalausmenetelmistä  tunnetuin  on  A5,  jota  käytetään  GSM‐standardissa.  Jonosalausalgoritmit  ovat  periaatteessa  yhtä  turvallisia  kuin  lohkosalausalgoritmit,  mikäli  käytettävät  salausavaimet  ovat  pituudeltaan    41 vastaavia  ja  jonosalausalgoritmin  satunnaislukugeneraattori  on  oikein  suunniteltu. (Parziale ym. 2006: 780; Stallings ym. 2008: 47–48.)  Jonosalausalgoritmien  merkittävimmät  edut  lohkosalausmenetelmiin  verrattuna  ovat  nopeus  ja  toteutuksen  yksinkertaisuus.  Lohkosalausmenetelmien  eräänä  merkittävänä  etuna  voidaan  mainita  mahdollisuus käyttää samoja salausavaimia. (Stallings ym. 2008: 48.)  Symmetristen  salausmenetelmien merkittävin etu  liittyy niiden  tehokkuuteen.  Menetelmät  on  myös  helppo  toteuttaa  laitteistopohjaisina.  Merkittävin  heikkous  liittyy  avainten  hallintaan.  Menetelmien  hyödyntäminen  vaatii  turvallisen  tavan  salausavainten  siirtämiseen  viestinnän  osapuolten  välillä.  (Parziale ym. 2006: 780.)  4.2. Julkisen avaimen menetelmä  Julkisen  avaimen menetelmää  kutsutaan myös  epäsymmetriseksi  salaukseksi.  Menetelmässä käytetään salausavainparia informaation salaukseen ja salauksen  purkamiseen. Avainparin toinen avain on julkinen ja toinen yksityinen salainen  avain. Menetelmässä on tärkeää, että yksityistä avainta ei voida johtaa julkisesta  avaimesta. Epäsymmetrisen  salauksen  toimintaperiaate  on  esitetty  kuvassa  4.  (Parziale ym. 2006: 780; Stallings ym. 2008: 56–59; Lehtonen 2004: 11.)    Kuva 4. Epäsymmetrisen salauksen periaatekuva (Pfleeger ym. 2006).    42 Epäsymmetrisessä salauksessa informaatio, joka on salattu julkisella avaimella,  voidaan  purkaa  ainoastaan  käyttämällä  saman  avainparin  yksityistä  avainta.  Vastaavasti  yksityisellä  avaimella  salatun  informaation  purkaminen  vaatii  saman avainparin  julkisen avaimen.  (Parziale ym. 2006: 780–781; Stallings ym.  2008: 57–59.)  Epäsymmetrisessä  salauksessa  avainten  hallinta  on  yksinkertaista,  sillä  viestinnän  osapuolet  tarvitsevat  vain  toistensa  julkiset  avaimet  informaation  salaukseen. Avainten vaihtoon ei  tarvita salaisen avaimen salausmenetelmissä  vaadittavaa  suojattua yhteyttä, koska pelkkien  julkisten  avaimien  joutuminen  kolmansien osapuolien käsiin ei vaaranna salausta. (Parziale ym. 2006: 780–781;  Stallings ym. 2008: 56–59.)  Parziale  ym.  (2006:  782) mainitsee Rivest  Shamir Adleman  (RSA)  ‐algoritmin  olevan  yleisin  epäsymmetrinen  salausmenetelmä.  RSA‐menetelmä  on  lohkosalausalgoritmi  ja  se perustuu  suurten  alkulukujen  tulon  tekijöihin  jaon  ongelmallisuuteen.  Algoritmissa  käytettävät  julkiset  ja  yksityiset  avaimet  muodostetaan  kertomalla  kaksi  erittäin  suurta  alkulukua  toisillaan.  (Parziale  ym. 2006: 782; Stallings ym. 2008: 60.)  RSA‐algoritmilla  salattu  viesti  on  periaatteessa  purettavissa,  mikäli  hyökkääjällä  on  käytettävissään  salatun  viestin  lisäksi  salaukseen  käytetty  julkinen  avain  ja  hyökkääjä  kykenee  jakamaan  julkisen  avaimen  tekijöihin.  Tekijöihin  jakaminen  vaikeutuu  merkittävästi  avaimen  koon  kasvaessa,  ja  Stallings  ym.  (2008:  60)  toteaa  1024  bittisten  salausavaimien  riittävän  käytännössä kaikkiin tarkoituksiin.  Toinen  yleinen  epäsymmetrinen  salausmenetelmä  on  Diffie‐Hellman‐ avaintenvaihtoalgoritmi,  joka  on  tarkoitettu  salaisen  tiedon  välittämiseen  suojaamattoman tietoliikenneyhteyden yli. Algoritmi perustuu suurten lukujen  diskreettien  logaritmien  laskemisen  vaikeuteen.  Menetelmässä  viestinnän  osapuolet  valitsevat  ja  laskevat  joukon  lukuja,  joista  osa  on  julkisia  ja  osa  salaisia. Osapuolet  lähettävät  toisilleen  julkiset  luvut  ja  johtavat  julkisten sekä  salaisten  lukujen perusteella viestinnän salauksessa käytettävät salausavaimet.  Salausavaimia  ei  voida  määrittää  yhteyden  yli  siirretyn  informaation    43 perusteella, mikäli  valitut  ja  siten myös  lasketut  luvut  ovat  riittävän  suuria.  (Parziale ym. 2006: 783.)  Diffie‐Hellman‐menetelmä  sopii  hyvin  symmetristen  salausmenetelmien  vaatimien  suojattujen  avaintenvaihtoyhteyksien  luomiseen.  Algoritmin  merkittävin ongelma on sen rajoittuneisuus, se kykenee ainoastaan välittämään  salauksessa käytettävät salausavaimet osapuolten välillä. Menetelmä ei kykene  esimerkiksi autentikoimaan osapuolia, vaan siihen joudutaan käyttämään jotain  toista menetelmää. (Parziale ym. 2006: 783; Stallings ym. 2008: 61.)  Symmetrisiin  salausmenetelmiin  verrattuna  epäsymmetristen  salausmenetelmien  merkittävimmät  heikkoudet  liittyvät  niiden  monimutkaisuuteen.  Monimutkaisuuden  myötä  ne  kuluttavat  runsaasti  laskentatehoa  ja  niiden  toteuttaminen  laitteistopohjaisena  on  vaikeaa.  Epäsymmetriset  salausmenetelmät  eivät  siten  sovellu  suurten  informaatiomassojen salaukseen. (Parziale ym. 2006: 783.)  Julkisen  avaimen  salausmenetelmiä  käytetään  sen  sijaan  symmetristen  salausmenetelmien salausavaimien jakamiseen ja salaamiseen sekä digitaaliseen  allekirjoittamiseen  (Stallings  ym.  2008:  59,  61).  Hyvässä  kryptografisessa  järjestelmässä  käytetäänkin  sekä  symmetrisiä  että  epäsymmetrisiä  salausmenetelmiä (Parziale ym. 2006: 783).  4.3. Tiivistefunktiot  Tiivistefunktio  on  matemaattinen  funktio,  joka  tuottaa  muuttuvamittaisesta  syötteestä  kiinteämittaisen  tiivisteen.  Tiiviste  on  ikään  kuin  alkuperäisen  syötteen  sormenjälki.  (Parziale  ym.  2006:  785;  Stallings  ym.  2008:  52–55;  Lehtonen 2004: 12.)  Kryptografiassa  käyttökelpoisimpia  ovat  yksisuuntaiset  tiivistefunktiot.  Yksisuuntaiselta  tiivistefunktiolta  vaaditaan,  että  sen  avulla  voidaan  laskea  alkuperäisestä viestistä nopeasti sellainen tiiviste,  jonka muuntaminen takaisin  alkuperäiseksi viestiksi on erittäin hankalaa. Hyvän tiivistefunktion tulee lisäksi  tuottaa mahdollisimman  ainutkertaisia  tiivisteitä  eli  todennäköisyys  sille,  että    44 on  olemassa  kaksi  erilaista  syötettä,  joilla  on  sama  tiiviste,  tulee  olla  mahdollisimman pieni. (Parziale ym. 2006: 785; Stallings ym. 2008: 54–55.)  Tiiviste,  jonka  laskemisessa  tiivistefunktio  käyttää  syötteenä  annetun  alkuperäisen  datan  lisäksi  salausavainta,  kutsutaan  Message  Authentication  Code  (MAC)  ‐tiivisteeksi.  Tiivistefunktio  voi  hyödyntää  joko  symmetristä  tai  epäsymmetristä  salausalgoritmia  MAC‐tiivisteen  luomisessa.  (Parziale  ym.  2006: 786.)  Tiivistefunktioita  käytetään  yleisesti  viestien  eheyden  tarkastamiseen  ja  viestinnän osapuolten tunnistamiseen (Parziale ym. 2006: 786).  Viestin  eheys  tarkastetaan  siten,  että  lähettäjä  laskee  alkuperäiselle  viestille  tiivisteen  ja  lähettää  sekä  tiivisteen  että  alkuperäisen  viestin  vastaanottajalle.  Seuraavaksi  viestin  vastaanottaja  laskee  vastaanotetulle  viestille  tiivisteen  samalla tiivistefunktiolla ja vertaa sitä lähettäjän laskemaan tiivisteeseen. Mikäli  tiivisteet täsmäävät, vastaanottaja olettaa viestin olevan alkuperäinen. (Parziale  ym. 2006: 786.)  Viestinnän  toinen  osapuoli  voidaan  autentikoida  käyttämällä  tavallisten  tiivisteiden  sijaan MAC‐tiivisteitä. Mikäli  vastaanotettu MAC‐tiiviste  voidaan  purkaa  tietyllä  salausavaimella,  vastaanottaja  voi  varmistua  lähettäjästä.  (Parziale ym. 2006: 786.)  Yleisesti  käytettyjä  tiivistefunktioita  ovat  Message‐Digest  5  (MD5)  ja  sen  korvaajaksi  tarkoitettu  Secure  Hash  Algorithm  (SHA). MD5  luo  128  bittisiä  tiivisteitä  ja SHA‐funktion  1. versio  (SHA‐1) 160 bittisiä  tiivisteitä. Molemmat  funktiot tallettavat tiivisteeseen tiedon alkuperäisen syötteen pituudesta, mutta  kumpikaan ei osaa ottaa syötteenä salausavainta. (Parziale ym. 2006: 788.)  Hash‐based Message Authentication Code (HMAC) on menetelmä, jonka avulla  voidaan  luoda  niin  sanottuja  avainnettuja  MAC‐tiivisteitä  käyttäen  mitä  tahansa  kryptografista  tiivistefunktiota,  kuten  esimerkiksi  edellä  esitettyjä  MD5‐  ja  SHA‐1‐funktioita. Menetelmä  perustuu  syötteen  salaamiseen  ennen  varsinaisen  tiivistefunktion  suorittamista. Koska HMAC‐menetelmässä  tiiviste  lasketaan  kahdesti,  myös  syöte  salataan  kahdesti  käsittelijän  salaisella    45 avaimella. (Krawczyk, Bellare & Canetti 1997; Diersk ym. 2008: 14; Stallings ym.  2008: 632–634.)  4.3.1. Digitaalinen allekirjoittaminen  Digitaalista  allekirjoittamista  voidaan  käyttää  olioiden  autentikointiin  ja  viestinnän kiistämättömyyden varmistamiseen. On kuitenkin huomattava, että  digitaalisen  allekirjoittamisen  avulla  ei  voida  taata  viestinnän  luottamuksellisuutta, koska kuka vain voi purkaa  salatun viestin käyttämällä  lähettäjän  julkista avainta. (Parziale ym. 2006: 781–782, 787; Stallings ym. 2008:  62.)  Digitaalinen  allekirjoittaminen  toteutetaan  epäsymmetrisellä  salausmenetelmällä  siten,  että  viestinnän  lähettävä  osapuoli  luo  yksityisellä  avaimellaan  salatun  MAC‐tiivisteen  ja  lähettää  sen  alkuperäisen  viestin  mukana  vastaanottajalle.  Mikäli  vastaanottaja  kykenee  avaamaan  MAC‐ tiivisteen  lähettäjän  julkisella  avaimella  ja  se  täsmää  vastaanotetusta  viestistä  lasketun  tiivisteen  kanssa,  vastaanottaja  voi  varmistua  viestin  lähettäjän  henkilöllisyydestä. (Parziale ym. 2006: 781–782, 787; Stallings ym. 2008: 62.)  4.3.2. Digitaalinen kirjekuori  Digitaalisen  kirjekuoren  avulla  voidaan  lähettää  salaista  informaatiota  suojaamattoman  tietoliikenneyhteyden  yli.  Menetelmää  käytetään  yleisesti  symmetristen  salausmenetelmien  salausavaimien  jakamiseen.  (Parziale  ym.  2006: 787; Stallings ym. 2008: 64.)  Digitaalinen kirjekuori luodaan salaamalla alkuperäinen viesti kertakäyttöisellä  salausavaimella.  Seuraavaksi  kertakäyttöinen  salausavain  salataan  vastaanottajan  julkisella  avaimella  ja  lähetetään  tiivisteenä  salatun  viestin  yhteydessä  vastaanottajalle. Vastaanottaja  purkaa  yksityisellä  salausavaimella  viestin  tiivisteenä  lähetetyn  kertakäyttöisen  salasanan  ja  purkaa  sillä  varsinaisen viestin. (Stallings ym. 2008: 64.)    46 4.4. Digitaaliset sertifikaatit  Julkisen avaimen  salauksen  eräs merkittävä  tietoturvaongelma  liittyy  julkisen  avaimen  jakamiseen  ja  olioiden  autentikointiin.  Hyökkääjän  on  mahdollista  korvata  viestinnän  toisen  tai molempien  osapuolien  julkiset  avaimet  omalla  julkisella avaimellaan  ja näin päästä käsiksi yhteyden yli  lähetettyyn salattuun  informaatioon. (Parziale ym. 2006: 791; Stallings ym. 2008: 62.)  Ongelma  voidaan  ratkaista  käyttämällä digitaalisia  sertifikaatteja. Digitaaliset  sertifikaatit  ovat  tiedostoja,  jotka  sitovat  julkisen  avaimen  ja  sen  omistajan  identiteetin  yhteen.  Sidoksen  vahvistamisesta  vastaa  luotettava  kolmas  osapuoli,  jota  kutsutaan  varmentajaksi.  Varmentajasta  käytetään  usein  englanninkielistä nimeä Certification Authority  (CA).  (Parziale ym. 2006: 791;  Stallings ym. 2008: 62; Pfleeger ym. 2006.)  Varmentaja  salaa digitaalisen  sertifikaatin omalla  salaisella  salausavaimellaan,  jolloin  varmentaja  voidaan  identifioida  purkamalla  sertifikaatti  varmentajan  julkisella avaimella. Yleisesti digitaalinen sertifikaatti sisältää omistajan julkisen  avaimen  ja  identiteetti‐informaation  lisäksi  tietoa  sertifikaatin myöntämis‐  ja  päättymisajankohdasta. (Parziale ym. 2006: 791–792; Stallings ym. 2008: 62.)  Koska  varmentajia  voi  olla  useita,  tarvitaan  tapa,  jolla  voidaan  varmistua  varmentajan  luotettavuudesta.  Varmentajat  muodostavat  hierarkkisen  luottamusketjun  (Trust  Chain),  jossa  hierarkiassa  ylemmällä  tasolla  oleva  varmentaja takaa alemman tason luotettavuuden. Luotettavuuden takaamiseen  käytetään  digitaalisia  sertifikaatteja.  Luottamusketjun  tietoturvan  tulee  luonnollisesti  olla  erittäin  vahva  ja  sen  tulee  vahvistua  hierarkiassa  ylöspäin  mentäessä. (Parziale ym. 2006: 792.)  4.5. Satunnaisluvut  Satunnaislukugeneraattorit ovat merkittävässä roolissa useissa kryptografisissa  järjestelmissä.  Satunnaislukuja  käytetään  muun  muassa  salausalgoritmien  alkuarvoina. (Parziale ym. 2006: 792–793.)    47 Hyvän  satunnaislukugeneraattorin  tulee  tuottaa  mahdollisimman  ennalta  arvaamattomia  lukuja,  joita  ei  voida  laskea,  vaikka  generaattorin  toimintalogiikka  olisi  tiedossa.  Tehtävä  on  vaikea,  koska  tietokoneet,  joilla  satunnaisluvut yleisesti määritellään, perustuvat säännöllisten laskutoimitusten  tekemiseen ja satunnaisluvut joudutaankin aina jollain tasolla laskemaan jonkin  algoritmin perusteella. (Parziale ym. 2006: 793.)    48 5. TCP/IP‐ARKKITEHTUURI  TCP/IP‐protokollapino  koostuu  useista  tietoliikenneverkoissa  käytettävistä  protokollista. Viralliselta nimeltään protokollapino on  Internet Protocol  Suite.  Virallisen nimen sijaan protokollapinosta käytetään yleisesti nimeä TCP/IP, joka  viittaa  protokollapinon  alkuperäisiin  ydinprotokolliin,  Transmission  Control  Protocol  (TCP)  ja  Internet  Protocol  (IP)  ‐protokolliin.  Protokollapinon  kehittämisestä vastaa nykyisin Internet Engineering Task Force (IETF). (Stewart  2009; Parziale ym. 2006: 1–4.)  TCP/IP‐arkkitehtuuri  pohjautuu  kerroksittaiseen  malliin,  jossa  protokollat  sijoittuvat  eri  kerroksille  niiden  käyttötarkoituksen  ja  toiminnallisuuden  mukaan.  Kerrosmalliin  perustuva  arkkitehtuuri  tarjoaa  useita  etuja  yksitasoiseen arkkitehtuuriin verrattuna. (Parziale ym. 2006: 6.)  Kerrosmallin merkittävin  etu  on  siinä,  että  se  yksinkertaistaa  kokonaisuuden  ymmärtämistä ja sovellusten sekä protokollien suunnittelua. Sovelluskehittäjän  ja  ‐suunnittelijan  kannalta  oleellista  on  ainoastaan,  että  standardin  määrittelemät  rajapinnat  toteutetaan.  Varsinaisella  toteutustavalla  ei  ole  merkitystä. Modulaarinen  rakenne nopeuttaa myös kehitystyötä  ja  toteutusta.  (Anttila 2001: 30–31; Stallings 2009: 44.)  TCP/IP‐mallin  lisäksi  tietoliikenneverkoissa  käytetään muun muassa  Systems  Network  Architecture  (SNA)  ja  Open  System  Interconnection  (OSI)  ‐kerrosmalleja.  Eri  mallit  eroavat  toisistaan  huomattavasti  muun  muassa  kerrosten  lukumäärän  ja  niillä  toteutettavien  toiminnallisuuksien  suhteen.  (Parziale ym. 2006: 6.)  5.1. OSI‐malli  Anttilan (2001: 30–31) mukaan kaikki verkkotekniikat on mallinnettavissa OSI‐ mallin avulla. Malli on kehitetty 80‐luvun alussa kansainvälisen  International  Organization  for  Standardization  (ISO)  ‐standardointitoimiston  yleiseksi  verkkoarkkitehtuuriksi  ja  sen päätavoitteena  oli  vähentää  verkkotekniikoiden  yhteensopivuusongelmia.  OSI‐mallia  kehitettäessä  pohjalla  ei  ollut  mitään    49 olemassa  olevaa  mallia  ja  se  sekä  sen  sisältämät  standardiprotokollat  ovat  läpikäyneet  vaativan  virallisen  hyväksymisprosessin  toisin  kuin  esimerkiksi  TCP/IP‐malli  ja  suuri osa  siihen kuuluvista protokollista.  (Anttila 2001: 30–31;  Parziale ym. 2006: 6, 20–21.)  OSI‐mallia  ei  ole  kuitenkaan  otettu  käyttöön  alun  perin  suunnitellussa  laajuudessa (Anttila 2001: 30–31). Anttila (2001: 30–31) mainitsee erääksi syyksi  sen, että OSI‐mallin määrittelemät standardit ovat monimutkaisia sekä käyttää  että  toteuttaa.  ISO‐standardien  tiukka  muodollinen  hyväksymisprosessi  on  lisäksi  hidastanut mallissa määriteltyjen  standardien  jatkokehitystä  (Parziale  ym. 2006: 21). Eräs merkittävä  syy on myös ollut  se,  että kilpailevan TCP/IP‐ arkkitehtuurin  tärkeimmät  protokollat  olivat  jo  koeteltuja  ja  kypsiä  samaan  aikaan, kun OSI‐mallia vasta kehitettiin (Stallings 2009: 43).  OSI‐mallin  käytännön  ongelmat  ovat  johtaneet  siihen,  että  mallista  on  muotoutunut  niin  sanottu  referenssimalli  (Anttila  2001:  30–31;  Stallings  2009:  44).  5.1.1. OSI‐mallin kerrokset  OSI‐malli  koostuu  seitsemästä  itsenäisestä  kerroksesta,  jotka  ovat  sovelluskerros  (Application  Layer),  esitystapakerros  (Presentation  Layer),  yhteysjaksokerros (Session Layer), kuljetuskerros (Transport Layer), verkkokerros  (Network Layer), siirtoyhteyskerros (Data Link Layer) ja fyysinen kerros (Physical  Layer). Kerrosten keskinäinen  järjestys on esitetty kuvassa 5.  (Anttila 2001: 30– 31.)    50   Kuva 5. OSI‐mallin kerrokset.  Sovelluskerros  on OSI‐mallin  kerroksista  lähimpänä  käyttäjää. Kerros  tarjoaa  sovelluksille verkkopalveluita. (Anttila 2001: 32.)  Esitystapakerros  määrittelee  välitettävän  informaation  muodon  eli  koodaustavan.  Kerroksen  tehtävänä  on  myös  toimia  tulkkina,  ja  sen  avulla  voidaan esimerkiksi muuttaa merkkejä merkistöstä toiseen. (Anttila 2001: 33.)  Yhteysjaksokerros koordinoi sovellusten eri toimintoja laitteiden välillä. Kerros  vastaa  siirrettävän  informaation välittämisestä oikeassa  järjestyksessä.  (Anttila  2001: 33.)  Kuljetuskerros vastaa ylemmiltä kerroksilta tulevan informaation pilkkomisesta  segmentteihin ja välittämisestä vastaanottajalle. Kerroksen toimintaperiaate voi  olla yhteydellinen tai yhteydetön. (Anttila 2001: 34.)  Verkkokerros pakkaa  kuljetuskerrokselta  vastaanotetut  segmentit  käytettävän  verkon vaatimusten mukaisiin paketteihin ja välittää ne vastaanottajalle. Kerros    51 vastaa  myös  pakettien  reitityksestä;  paketit  lähetetään  vastaanottajan  verkkokerroksen osoitteen perusteella vastaanottajalle. (Anttila 2001: 34.)  Siirtoyhteyskerros vastaa lähetettävän datakehyksen rakentamisesta. Datakehys  pitää  sisällään  muun  muassa  verkkokerrokselta  saadut  paketit.  Kerroksessa  kehykseen lisätään tarvittavat otsikkotiedot. (Anttila 2001: 34.)  Fyysinen kerros on nimensä mukaisesti  lähimpänä  laitteistotasoa. Kerroksessa  määritellään  miten  bittien  välitys  toteutetaan  käytössä  olevalla  tekniikalla.  Määrittelyt pitävät  sisällään muun muassa käytettävät koodausmenetelmät  ja  jännitetasot. (Anttila 2001: 34.)  5.2. TCP/IP‐kerrosmalli  Vaikka  TCP/IP‐tekniikka  on  kehitetty  ennen OSI‐mallia,  niin  siitä  huolimatta  TCP/IP‐pinon kerrokset vastaavat pääsääntöisesti OSI‐mallin kerroksia (Anttila  2001: 35.)  TCP/IP‐malli  on  jaettu  sovelluskerrokseen  (Application  Layer),  kuljetuskerrokseen  (Transport  Layer),  verkkokerrokseen  (Internetwork  Layer)  ja  fyysiseen kerrokseen (Network Interface Layer). TCP/IP‐kerrosmallia on verrattu  OSI‐malliin kuvassa 6. (Anttila 2001: 35; Parziale ym. 2006: 7–8.)    52 Sovelluskerros Application Layer Esitystapakerros Presentation Layer Yhteysjaksokerros Session Layer Kuljetuskerros Transport Layer Verkkokerros Network Layer Siirtoyhteyskerros Data Link Layer Fyysinen kerros Physical Layer Sovelluskerros Application Layer Kuljetuskerros Transport Layer Verkkokerros Internetwork Layer Fyysinen kerros Network Interface Layer   Kuva 6. OSI‐mallin ja TCP/IP‐pinon kerrosten vastaavuus.  Sovelluskerroksen  tehtävänä on  tarjota  rajapinta TCP/IP‐tekniikkaa käyttäville  sovelluksille.  Osa  kerroksen  protokollista  voi  olla  suoraan  käyttäjän  hallittavissa,  kuten  esimerkiksi  File  Transfer  Protocol  (FTP).  Yleinen  sovelluskerrokselle  sijoittuva  protokolla  on  edellä  mainitun  FTP:n  lisäksi  Hypertext  Transfer  Protocol  (HTTP)  ‐protokolla.  (Parziale  ym.  2006:  7;  Black  1998: 10.)  Kuljetuskerros  mahdollistaa  päätelaitteiden  väliset  tiedonsiirtoyhteydet  ja  se  tukee useita samanaikaisia yhteyksiä. Merkittäviä kuljetuskerroksen protokollia  ovat Transmission Control Protocol  (TCP)  ja User Datagram Protocol  (UDP).  (Parziale ym. 2006: 7–9; Black 1998: 10.)  Kuljetuskerroksen  protokollat  käyttävät  pakettien  välitykseen  alla  olevan  verkkokerroksen protokollia  (Anttila 2001: 133). Kuljetuskerroksen protokollat  tarjoavat  toiminnallisuuksia  muun  muassa  luotettavaan  tiedonsiirtoon  sekä  ruuhkan‐ ja vuonhallintaan. (Parziale ym. 2006: 143.)    53 Verkkokerros sisältää toiminnallisuudet,  joiden avulla useita verkkoja voidaan  liittää  toisiinsa.  Verkkokerroksesta  käytetään  joissakin  yhteyksissä  nimeä  Internet‐kerros.  Sen  tehtävänä  on piilottaa  fyysisen  tason  yhteydet  ylemmiltä  verkkokerroksilta.  Verkkokerroksen  protokollat  vastaavat  tietoliikennepakettien  reitittämisestä  ja  siirtämisestä.  Lisäksi  kerroksen  protokollia käytetään dynaamiseen osoitteen määrittämiseen  ja  selvittämiseen  verkkokerroksen  ja fyysisen kerroksen välillä. Kerroksen tärkein protokolla on  Internet Protocol (IP). (Parziale ym. 2006: 8, 67; Black 1998: 9–10.)  Muita verkkokerroksen merkittäviä protokollia ovat  Internet Control Message  Protocol  (ICMP),  Internet  Group  Management  Protocol  (IGMP),  Address  Resolution  Protocol  (ARP)  ja Dynamic Host Configuration  Protocol  (DHCP).  Vaikka  ICMPv4‐  ja  IGMPv3‐protokollat  toimivat  IPv4‐protokollan  päällä,  ne  sijoittuvat kuitenkin arkkitehtuurisesti samalle kerrokselle.  (Parziale ym. 2006:  8, 67; Black 1998: 9–10.)  Fyysinen  kerros  on TCP/IP‐mallin  alin  verkkokerros. Kerros  sisältää nimensä  mukaisesti  varsinaiset  fyysiset  tiedonsiirtoyhteydet.  Lähtökohtaisesti  ainoa  fyysisen  kerroksen  komponenteille  asetettu  vaatimus  on,  että  niiden  tulee  tarjota  verkkokerroksen  protokollille  standardoitu  rajapinta  komponenttien  käyttämiseen.  Fyysisen  kerroksen  laitteet  ja  yhteydet  voivat  perustua  esimerkiksi  X.25‐,  Asynchronous  Transfer  Mode  (ATM)  tai  General  Packet  Radio Service (GPRS) ‐teknologiaan. (Parziale ym. 2006: 8; Black 1998: 9.)  5.3. Ydinprotokollat  5.3.1. Internet Protocol (IP)  Internet  Protocol  on  IETF:n  virallinen  standardi  numero  viisi  (IETF  STD  5).  Standardiin  kuuluu  IP:n  lisäksi  ICMP‐  ja  IGMP‐protokollat.  IP‐protokolla  on  määritelty  protokollaksi,  joka  tulee  toteuttaa  kaikissa  TCP/IP‐tekniikkaa  hyväksikäyttävissä sovelluksissa. (Parziale ym. 2006: 68.)  IP‐protokolla  on määritelty RFC‐dokumenteissa RFC  950, RFC  919, RFC  922,  RFC  3260,  RFC  3168  ja  RFC  1349  (Parziale  ym.  2006:  68).  Protokollasta  on    54 käytössä  tällä  hetkellä  kaksi  versiota;  versiot  neljä  (IPv4)  ja  kuusi  (IPv6).  Valtaosa  Internetin  verkkoliikenteestä  käyttää  edelleen  IPv4‐protokollaa.  (Anttila 2001: 113.)  IPv4‐protokollan  tehtävänä  on  välittää  tietoliikennepaketteja.  Pakettien  välitystä varten protokolla luo eräänlaisen virtuaalisen verkon, jonka avulla alla  oleva  fyysinen  kerros  piilotetaan  ylemmän  tason  kerroksilta.  IPv4‐protokolla  vastaa  ylemmiltä  kerroksilta  tulevien  tietoliikennepakettien  osioimisesta  ja  reitityksestä. (Anttila 2001: 114.)  IPv4‐protokolla  ei  ylläpidä  tietoja  muodostetuista  yhteyksistä  eli  se  on  toimintaperiaatteeltaan  yhteydetön  protokolla.  IPv4  ei  sisällä  toiminnallisuuksia  verkkoliikenteen  määrän  hallintaan  (vuonohjaus)  eikä  virheenkorjaukseen.  Edellä  mainittujen  ominaisuuksien  karsimisella  protokollasta  on  saatu  yksinkertainen,  suorituskykyinen  ja  vikasietoinen.  (Anttila 2001: 114; Parziale ym. 2006: 68.)  IPv4‐protokollan  reititysalgoritmi  reitittää  jokaisen  tietoliikennepaketin  itsenäisesti aiemmista paketeista välittämättä. Käytännössä reitit ovat kuitenkin  varsin pysyviä, ja ne muuttuvat lähinnä vain poikkeustilanteissa. (Anttila 2001:  114–115.)  IPv4‐pakettien  reitityksen  kannalta  olennaiselle  IP‐osoitteelle  on  varattu  32‐ bittiä  IPv4‐standardissa.  Standardi  on  tarkemmin  määritelty  RFC  1166  ‐dokumentissa.  Osoite  koostuu  verkko‐osoitteesta  (Network  Number)  ja  laiteosoitteesta  (Host  Number).  IPv4‐protokollaa  käyttävissä  tietoliikenneverkoissa  jokaisella verkkoon  liitetyllä  laitteella on vähintään yksi  yksilöllinen  IPv4‐osoite.  Osoitteita  käytetään  laitteiden  tunnistamiseen  sekä  verkkoliikenteen reitittämiseen. (Anttila 2001: 84–85; Parziale ym. 2006 68–69.)  IPv4‐osoitteiden tehokkaaseen hyödyntämiseen käytetään menetelmää nimeltä  aliverkotus  (Subnetting).  Menetelmässä  verkko  jaetaan  sisäisesti  useampaan  aliverkkoon  siten,  että  ulospäin  verkko  näyttää  yhtenäiseltä.  Aliverkotus  toteutetaan pääsääntöisesti reitittimillä. (Anttila 2001: 97; Parziale ym. 2006: 72.)    55 Aliverkkojen  muodostamismenetelmiä  on  useita.  Yleisimmin  käytössä  on  menetelmä,  jossa  aliverkko  luodaan  erillisen  aliverkonpeitteen  (Subnet Mask)  avulla. Menetelmässä IPv4‐osoitteen  laiteosa  jaetaan verkko‐  ja  laiteosoitteisiin  niin sanotun aliverkonpeitteen avulla. (Anttila 2001: 99–100; Parziale ym. 2006:  73.)  5.3.2. Transmission Control Protocol (TCP)  Transmission  Control  Protocol  on  IETF:n  standardi  numero  seitsemän  (IETF  STD  7)  ja  se  on  kuvattu  RFC  793  ‐dokumentissa.  Protokollasta  on  yleisesti  käytössä  versio  neljä  (TCPv4).  TCPv4‐protokolla  on  luotettava  yhteydellinen  protokolla, joka sisältää vuonhallinnan, multipleksoinnin ja datan kapseloinnin.  Protokollan  tehtävänä  on  tarjota  kahden  päätelaitteen  välille  luotettava  yhteydellinen  tiedonsiirtokanava  alemman  kerroksen  protokollan  ominaisuuksista  riippumatta.  (Anttila  2001:  133–135;  Parziale  ym.  2006:  149– 151.)    56 Sovellus 1 TCP-protokolla IP-protokolla IP-protokolla ... Portti x ... TCP-protokolla ... Portti y ... Sovellus 2 Epäluotettava IP-yhteys Luotettava TCP-yhteys Luotettava yhteys   Kuva 7. TCPv4‐yhteyden periaatekuva (Parziale ym. 2006: 150).  TCPv4‐protokolla  vastaanottaa  ylempien  verkkokerroksien  protokollilta  informaatiota  ja  paketoi  sen  itsenäisesti  sopivan  kokoisiin  TCPv4‐ segmentteihin, jotka protokolla toimittaa alemmalle verkkokerrokselle edelleen  käsiteltäväksi.  Paketoinnin  yhteydessä  protokolla  numeroi  jokaisen  paketoimansa oktetin. TCPv4‐yhteyden toimintaperiaate on esitetty kuvassa 7.  TCPv4‐protokolla  on  vuorovaikutuksessa  ylempien  verkkokerrosten  kanssa  TCP‐porttien välityksellä. (Anttila 2001: 134; Parziale ym. 2006: 150–151.)  Jokaisella  TCPv4‐segmentillä  on  järjestysnumero,  joka  määräytyy  sen  sisältämän  ensimmäisen  oktetin  perusteella.  Protokolla  lähettää  jokaisen  segmentin  mukana  tiedon  sen  järjestysnumerosta  ja  pyytää  vastaanottajalta  kuittauksen (ACK). Vastaanottaja kuittaa lähetyksen lähettämällä ACK‐viestin,  joka  sisältää  tiedon  vastaanottajan  odottaman  seuraavan  segmentin  järjestysnumerosta.  Segmentti  lähetetään  uudestaan,  mikäli  vastaanottaja  ei  lähetä kuittausta ennalta määrätyssä ajassa. Uudelleenlähetyskäytäntö riippuu    57 TCPv4‐protokollan toteutuksesta; jossain tapauksissa uudelleen lähetetään vain  viimeisimmässä  ACK‐viestissä  ilmaistu  segmentti  ja  joissain  sekä  ilmaistu  segmentti  että  kaikki  sen  jälkeen  lähetetyt  kuittaamattomat  segmentit.  Vastaanottaja  järjestää  segmentit  järjestysnumeroiden  perusteella  ja  poistaa  tarvittaessa päällekkäisen  informaation.  (Anttila  2001:  134; Parziale  ym.  2006:  151, 161–162.)  Multipleksointi  toteutetaan  TCPv4‐protokollassa  TCP‐porttien  avulla.  Yksittäinen TCPv4‐pino  kykenee  hallitsemaan useita  samanaikaisia  yhteyksiä  erottelemalla  yhteydet  eri  portteihin.  Porttinumeroita  on  käytettävissä  216  kappaletta. (Anttila 2001: 135, 139; Parziale ym. 2006: 151.)  TCPv4‐yhteyttä  muodostettaessa  molemmat  osapuolet  neuvottelevat  muun  muassa käytettävistä porttinumeroista ja oktettien järjestysnumeroinnista ennen  varsinaista  tiedonsiirtoa. Osapuolten välille muodostuu  looginen yhteys,  joka  puretaan  tiedonsiirron  päätyttyä  molemminpuolisesti.  Yhteydet  yksilöidään  käytettävien  porttinumeroiden  ja  IPv4‐osoitteiden  perusteella.  (Anttila  2001:  135; Parziale ym. 2006: 151.)  Porttinumero muodostaa yhdessä IPv4‐osoitteen ja käytetyn protokollan kanssa  niin  sanotun  Socket‐rajapinnan,  joiden  avulla  yhteydet  voidaan  yksilöidä  tilanteissa,  joissa  tietyn  päätelaitteen  tiettyyn  sovellukseen  on  useita  samanaikaisia  yhteyksiä  useammalta  asiakaslaitteelta  (Anttila  2001:  141–143;  Parziale ym. 2006: 145–146).  Edellä  kuvatusta  yhteyden  muodostumisperiaatteesta  johtuen  TCPv4‐ protokolla on niin sanottu yhteydellinen protokolla (Anttila 2001: 135). TCPv4‐ protokolla  toimii  Full  Duplex  ‐periaatteella,  joten  dataa  voidaan  siirtää  molempiin suuntiin samanaikaisesti (Parziale ym. 2006: 151).  5.3.3. User Datagram Protocol (UDP)  User Datagram Protocol on IETF:n standardi numero kuusi (IETF STD 6)  ja se  on  määritelty  RFC  768  ‐dokumentissa.  UDP‐protokollan  perustehtävä  on  informaation  välittäminen  ja  se  on  yleinen  TCP/IP‐toteutuksissa,  joissa  siirretään pieniä tietoliikennepaketteja tai siirrettävän informaation satunnaiset    58 virheet  eivät  ole  merkityksellisiä.  UDP‐protokollasta  on  käytössä  sen  ensimmäinen versio (UDPv1). (Parziale ym. 2006: 146.)  UDPv1  on  hyvin  yksinkertainen  protokolla  ja  se  on  periaatteessa  vain  sovellusrajapinta  IPv4‐protokollalle.  Yksinkertainen  rakenne  tekee  protokollasta  hyvin  tehokkaan.  Protokolla  täydentää  IPv4‐protokollan  tarjoamia  palveluita  lisäämällä multipleksauksen,  joka  on  toteutettu  TCPv4‐ protokollan tapaan porttien (UDP‐portit) avulla. (Anttila 2001: 167; Parziale ym.  2006: 147.)  5.4. TCP/IP‐protokollapinon haavoittuvuudet  TCP/IP‐verkkojen tietoturvaongelmien taustalla on Keaninin (2005: 13) mukaan  pääsääntöisesti  sekä  itse  TCP/IP‐protokollapinoon  että  sitä  käyttäviin  ohjelmistoihin liittyvät ongelmat.  Protokollapinon  tietoturvaongelmat  johtuvat  suurilta  osin  siitä,  että  TCP/IP‐ protokollapinoa  ei ole  suunniteltu alun perin  tarjoamaan  tietoturvapalveluita,  vaan  ajatuksena  on  ollut,  että  tietoturvaratkaisut  toteutetaan  verkkoa  käyttävissä  sovelluksissa  ja  päätelaitteissa  (Harris & Hunt  1999:  896; Keanini  2005: 13).  Ohjelmistojen  osalta  ongelmia  tuottaa  sovellusten  jatkuva  monimutkaistuminen,  joka  kasvattaa  suoraan  potentiaalisten  suunnittelu‐,  toteutus‐  sekä määrittelyvirheiden  lukumäärää  (Harris ym. 1999: 897; Keanini  2005: 13).  TCP/IP‐arkkitehtuurin  haavoittuvuuksia  voidaan  hahmotella  varsin  hyvin  käyttämällä  kerroksittaista  lähestymistapaa.  Tarkoitukseen  sopii  OSI‐mallin  mukainen  kerrosjako,  koska  sen  avulla  voidaan  kohdentaa  haavoittuvuudet  hieman TCP/IP‐mallin omaa kerrosjakoa yksityiskohtaisemmin. (Reed 2003.)  TCP/IP‐protokollapinon  tietoturvahaavoittuvuuksia  on  käsitelty  OSI‐mallin  mukaisilla kerroksilla liitteessä 1.    59 6. TIETOLIIKENNEVERKKOJEN SUOJAUSMENETELMIÄ  Tietoliikenneverkkojen  tietoturvaan  voidaan  vaikuttaa  merkittävästi  verkon  arkkitehtuurilla,  käytettävillä  verkkolaitteilla  ja  ‐protokollilla.  Tässä  luvussa  esitellään joitakin tietoturvaa parantavia suojausmenetelmiä.  6.1. Verkon arkkitehtuuri  6.1.1. Verkon segmentointi  Verkon  segmentoinnilla  voidaan  vaikuttaa  merkittävästi  tietoverkon  kokonaistietoturvaan.  Segmentoinnilla  voidaan  vähentää  tietoturvauhkien  kokonaismäärää  ja  rajata  yksittäisten  haavoittuvuuksien  vaikutusta.  Segmentoinnin ajatuksena on jakaa verkko useisiin pienempiin osiin, ryhmitellä  verkon palvelut loogisesti eri segmentteihin ja kontrolloida segmenttien välisiä  yhteyksiä.  Yleisperiaate  verkon  jakamisessa  ja  palveluiden  ryhmittelyssä  on  sijoittaa  kaikki  palvelut  ja  järjestelmät,  joilla  on  erilaiset  tietoturva‐  ja  liikennöintivaatimukset omiin verkkosegmentteihin. (Pfleeger ym. 2006; Young  2001; Maley 2001: 6–7; CCNA Notes 2010; LINFO 2005; Laaksonen, Nevasalo &  Tomula 2006: 182.)  Alateeq  (2005)  käsittelee  pienten  organisaatioiden  verkkojen  segmentointia  ja  toteaa optimaaliseksi verkon  jakamisen neljään segmenttiin. Hänen mukaansa  verkko  tulee  jakaa  ulkoiseen  segmenttiin,  palvelusegmenttiin,  sisäiseen  segmenttiin ja etäkäyttäjille tarkoitettuun verkkosegmenttiin (Alateeq 2005).  Palvelusegmentistä  käytetään  yleisesti  nimeä  DMZ‐alue  ja  se  muodostaa  Alteeqin mallissa yhdessä sisäisen segmentin kanssa organisaation sisäverkon.  Sisä‐  ja  ulkoverkko  on  yhdistetty  toisiinsa  ulkoisen  segmentin  avulla.  Etäkäyttösegmentti sijoittuu mallissa sisäverkon ulkopuolelle  ja yhteydet sieltä  sisäverkkoon  kulkevat ulkoisen  segmentin  kautta. Alateeqin malli  on  esitetty  kuvassa 8.    60   Kuva 8. Verkon jakaminen segmentteihin (Alateeq 2005).  Alateeqin  mallissa  ulkoinen  segmentti  sisältää  laitteet,  jotka  ovat  suorassa  yhteydessä  julkiseen verkkoon. Palvelusegmenttiin  sijoitetaan verkkopalvelut,  joihin  tulee  saada  yhteys  julkisesta  verkosta  ja  muista  verkkosegmenteistä.  Sisäinen  segmentti  sen  sijaan  sisältää  organisaation  työasemat  ja  sisäiseen  käyttöön  tarkoitetut  verkkopalvelut.  Etäkäyttösegmentti  on  mallissa  varattu  etäkäyttäjien yhteyspisteille. (Alateeq 2005.)  Mallissa tietoliikenne eri segmenttien välillä on tarkasti rajattua ja kontrolloitua.  Ensimmäinen  ja ehkä merkittävin kontrollipiste on ulko‐  ja  sisäverkon  rajalla.  Ulkoisessa  segmentissä  olevien  verkkolaitteiden  vastuulla  on  sallia  vain  erikseen  määritelty  liikenne  ulko‐  ja  sisäverkon  välillä.  Palvelusegmenttiin  sallitaan  liikenne  kaikista  verkkosegmenteistä,  mutta  vain  määrättyihin  palveluihin.  Tietoliikenne  palvelusegmentistä  ulospäin  on  pääsääntöisesti  estetty. Sisäinen  segmentti on mallissa kaikkein