| Najważniejsze elementy bezpieczeństwa informacji |
|
|
|
| Redaktor: Administrator | |
| 10.02.2009. | |
Większość firm, które działają na współczesnym rynku opierają swoją działalność o sieci komputerowe. W Europie zachodniej dwie na trzy firmy posiadają komputery dołączone do Internetu i w sposób aktywny korzystają z jego zasobów.Gwałtowny rozwój sieci typu klient – serwer, wzrost liczby użytkowników dołączonych do Internetu czy rozwijająca się sprzedaż za pośrednictwem sieci – sprawiło, że bezpieczeństwo każdej z tych dziedzin stało się sprawą priorytetową. Bezpieczeństwo można zapewnić na różne sposoby. Jak już wcześniej pisałem w przypadku przedsiębiorstwa pierwszym elementem jest stworzenie polityki bezpieczeństwa. Następnym krokiem jest utworzenie procedur i określenie sposobów wprowadzenia polityki bezpieczeństwa. Ostatnim zaś zastosowanie odpowiednich mechanizmów zabezpieczających. Mechanizmy te są implementacjami odpowiednich usług zabezpieczania informacji. Za podstawowe usługi zabezpieczania informacji uznaje się najczęściej:Utajnianie Utajnianie (ang. confidentiality) odnosi się do ochrony przekazywanej informacji przed jej nieautoryzowanym ujawnieniem. Zgodnie z definicją3 jest to aspekt ochrony danych, zapewnienie że informacje pamiętane w systemie komputerowym oraz przekazywane w jego obrębie będą czytane (wyświetlane, drukowane) tylko przez osoby upoważnione. Usługa ta więc umożliwia tajność informacji. Odpowiednie jej użycie zezwala na dostęp do informacji tylko autoryzowanym użytkownikom. Usługa ta może się odnosić do różnych form danych. Jeśli ochronie mają podlegać katalogi papierowe, muszą one być chronione fizycznie. Należy więc kontrolować dostęp do miejsc, w których dane te się znajdują. W przypadku danych elektronicznych ochrona polega na ich szyfrowaniu, bądź też nadawaniu stosownych praw dostępu do plików, w których dane są zapisane. W przypadku przesyłania danych w sieci komputerowej muszą być one szyfrowane, przy czym algorytm szyfrujący musi uwzględniać bezpieczną dystrybucję kluczy szyfrujących między nadawcą a odbiorcą. Jednak by usługa ta była w pełni skuteczna musi współpracować z usługą identyfikacji i uwierzytelniania, w celu ustalenia danych osoby ubiegającej się o dostęp do informacji. Integralność danych Usługa oparta na integralności danych (ang. data integrity) pozwala wykryć nieautoryzowane zmiany danych przez osoby do tego nieuprawnione. Usługa ta dotyczy więc prawdziwości informacji. W przypadku dobrej implementacji tej usługi pozwala ona ufać użytkownikom, że dane nie różnią się od danych źródłowych i nie zostały przypadkowo lub umyślnie zmienione, zniszczone lub ujawnione. Usługa ta powinna współpracować z usługą identyfikacji i uwierzytelniania aby właściwie zidentyfikować użytkownika. Podobnie jak w przypadku utajniania usługa ta może dotyczyć informacji fizycznej, elektronicznej oraz przepływającej. Jeśli informacja jest w formie papierowej ochrona jej jest prostsza, niż w przypadku informacji elektronicznej. Wiemy przecież, że do sfałszowania dokumentu na papierze potrzebne są duże umiejętności i odpowiedni sprzęt, a plik może zmodyfikować przeważnie każdy kto ma do niego dostęp. W przypadku papierowej formy dokumentu, istnieje wiele sposobów ochrony. Najpopularniejsze to: podpisywanie stron, parafowanie każdej strony czy bindowanie dokumentu w książkę. Oczywiście wszystkie te metody można podrobić, ale wymaga to pewnych umiejętności. Jak już wspomniałem o wiele prościej przedstawia się sytuacja plików elektronicznych. W większości przypadków wystarczy wyświetlić plik w edytorze tekstu i poddać go modyfikacji. Podstawowa metoda ochrony polega na kontroli dostępu, która powinna umożliwiać odczytanie pliku bez możliwości dokonywania w nim zmian. Znaczącą rolę odgrywa tu usługa identyfikacji i uwierzytelniania, gdyż ważne jest właściwe zidentyfikowanie osoby usiłującej dokonać zmiany. W przypadku informacji przepływającej możliwa jest modyfikacja danych podczas transmisji. Sposobem ochrony okazuje się szyfrowanie, które jest w stanie zapobiec większości tego typu atakom. Usługa integralności danych może więc zapobiec atakom modyfikującym. Dostępność Usługa ta pozwala uzyskać użytkownikom dostęp do systemów komputerowych, informacji na nich zawartych oraz aplikacji przeprowadzających na nich operacje. Dostępność (ang. availability) dotyczy również przepływu informacji pomiędzy różnymi systemami komunikacyjnymi. Usługa ta dotyczy głównie informacji elektronicznych jednak ochronie mogą również podlegać informacje zawarte na papierze. Jednym ze sposobów ochrony informacji jak również najprostszą formą dostępności4 są kopie zapasowe (backup). Pod tym pojęciem kryje się również przesyłanie danych między różnymi węzłami w sieci po to, by były przechowywane w różnych miejscach, co w znacznym stopniu podnosi poziom bezpieczeństwa. Backup wykonuje się na wypadek wielu nieprzewidzianych sytuacji na przykład: awarii systemu, włamania hakera lub zainfekowania systemu wirusem. W niektórych przypadkach jest to wręcz niezbędne. Na przykład w bankach bardzo często zachodzi konieczność rozwiązywania różnych problemów związanych z operacjami dokonanymi w przeszłości. Ważne jest także bezpieczne miejsce dla kopii zapasowych (na przykład miejsca w ogniotrwałym otoczeniu). W przypadku archiwizacji ważna jest częstotliwość jej wykonywania, im częściej tym lepiej. Właśnie ta idea leży u podstaw koncepcji systemów FTS (ang. Foult Tolerant System – system tolerujący błąd). Systemy te odgrywają bardzo ważną rolę w dziedzinie bezpieczeństwa i niezawodności (ang. reliability). W systemach FTS stosuje się5 zwielokrotnienie procesów, magistral I/O lub pamięci, a także stosowane są funkcje wzajemnego nadzoru niezawodnościowego. Do systemu FTS należą tak zwane macierze dyskowe RAID (Redundant Array of Inexpensiv Disk – nadmiarowa tablica niedrogich dysków). Najczęstszym awariom ulegają dyski twarde i właśnie w takich sytuacjach doskonale sprawdzają się systemy RAID. System RAID to nic innego jak kilka połączonych ze sobą dysków. Są one skonfigurowane w ten sposób, że awaria jednego z nich nie powoduje utraty zapisanych na nim danych. W systemach RAID jest zdefiniowanych sześć poziomów6: od RAID 0 do RAID 5. Do najpopularniejszych rozwiązań należą dyski lustrzane (mirroring) oraz zdublowane (duplexing). Dyski te są szczególnym przypadkiem macierzy dyskowych na poziomie RAID 1. Chcąc krótko scharakteryzować te dwa rodzaje możemy powiedzieć, że w przypadku dysków lustrzanych do jednego sterownika dołączone są dwa dyski, na których równolegle zapisywane są te same pliki. W przypadku awarii jednego z nich, system jest ciągle sprawny, gdyż dane dostępne są na drugim dysku. Natomiast w przypadku dysków zdublowanych, każdy dysk jest przyłączony do innego niezależnego sterownika. Widzimy więc, że usługa dostępności ma na celu zminimalizowanie skutków ataków pozbawienia dostępu. Nie ma jednak skutecznej metody na powstrzymanie tego typu ataków. Jednak dobre zaimplementowanie tej usługi jest w stanie stosunkowo szybko i skutecznie przywrócić do działania uszkodzony system. Identyfikacja i uwierzytelnianie Usługa ta spełnia dwa podstawowe zadania. Po pierwsze, identyfikuje użytkownika usiłującego przeprowadzić dane zadanie. Po drugie, uwierzytelnia danego użytkownika, czy jest on na pewno tym, za kogo się podaje. Usługę uwierzytelniania7 można osiągnąć poprzez wykorzystanie poniższych elementów: czegoś, co użytkownik zna, czegoś, co użytkownik ma, czegoś, kim (czym) użytkownik jest. Do identyfikacji może posłużyć jedną z powyższych metod uwierzytelniania, ale zastosowanie kilku z nich daje o wiele większe bezpieczeństwo. Najpopularniejszym współcześnie stosowanym rozwiązaniem jest oczywiście metoda opierającą się na tym, co dany użytkownik zna. Każdy z nas korzysta z tej usługi codziennie na przykład włączając swój telefon czy wybierając pieniądze z bankomatu. W obu tych przypadkach musimy podać osobisty numer identyfikacyjny tak zwany PIN (ang. Personal Identification Number). W przypadku bankomatu zabezpieczeniem jest również karta kredytowa (coś, co użytkownik ma). W przypadku komputerów, aby uzyskać dostęp do swoich danych czy do zasobów sieciowych uwierzytelniamy się za pomocą hasła. Takie rozwiązanie ma jednak wady. Hasło lub jego zakodowana forma spoczywa wewnątrz komputera. Opis uprawnień oraz parametrów (na przykład klucze szyfrowe), do których drogę otwiera hasło również znajdują się w komputerze. Podczas naszej nieobecności przechowywane w komputerze dane narażone są na próby łamania lub wykradnięcia. Również w trakcie wprowadzania hasła z klawiatury komputera jest ono podatne na przechwycenie. Odbiegając poniekąd od głównego tematu, w celu przechwycenia danych wprowadzanych z klawiatury możemy wykorzystać program IKS – Invisible Keylogger Stealth. Program ten rejestruje wszystko co zostało wprowadzone z klawiatury. Wyniki zapisu umieszczane są w pliku iks.dat. Program jest trudny do wykrycia. W celu pozbycia się go należy usunąć dodany wpis w rejestrze. Wracając jednak do tematu, rozwiązaniem tego problemu może być elektroniczny klucz dostępu (coś, co urzytkownik ma). Obecnie taką rolę mogą spełniać na przykład mikroprocesorowe karty elektroniczne (ang. smartcard). Istnieje jednak duże prawdopodobieństwo, że numer PIN czy hasło mogą zostać odgadnięte, a identyfikator czy przepustka skradzione. Najpewniejsze są metody biometryczne. Jeszcze pięć lat temu systemy tego typu były ściśle tajne. Stosowano je jedynie w instytucjach rządowych i militarnych. Używano ich do kontroli dostępu do pilnie strzeżonych obszarów, a z czasem również w dostępie do danych. Około czterech lat temu biometria przestała być technologią ściśle tajną i stała się dostępna na rynku cywilnym. Zaowocowało to dużą ilością urządzeń służących do kontroli dostępu do obiektów fizycznych, danych, przy okazji doskonale rejestrujących czas pracy. W chwili obecnej biometrii jako klucza używają już dziesiątki tysięcy małych i dużych firm na całym świecie. Korzyści i atutów tej metody jest wiele. Nie musimy pamiętać haseł, numerów PIN czy nosić ze sobą różnego rodzaju kluczy identyfikujących. W biometrii do identyfikacji potrzebne jest przecież coś co zawsze mamy przy sobie (polec lub oko). Pokonanie tych systemów jest teoretycznie niemożliwe, gdyż by to osiągnąć musielibyśmy podrobić odcisk palca lub wzór siatkówki oka. Zatem klonowanie musiałoby dojść do poziomu umożliwiającego wyhodowanie organu osoby, za którą chcemy się podać, ale to chyba jeszcze trochę potrwa... |
| « poprzedni artykuł | następny artykuł » |
|---|
Sonda
Gościmy
Odwiedza nas 1 gośćprawo - Informacje na temat wplywu gospodarki na biznes, zaleznosci gieldowe, porady dla przedsiebiorców, regulacje prawne, wszystko w jednym miejscu.
| krzesła -
solidne i tanie
projekty domów - tanio i szybko odzyskiwanie danych - najlepsza skuteczność projekty domów - tanio i terminowo sklep z bizuteria - DODAJ OPIS hotel spa - odradź się na nowo projektowanie serwerowni - biuro tłumaczeń specjalistycznych - najlepsze tłumaczenie tekstów perfumy męskie - DODAJ OPIS kursy pierwszej pomocy - |