[ Pobierz całość w formacie PDF ]
Politechnika Śląska w Gliwicach
Wydział
Górnictwa i Geologii
Katedra Zarządzania i InŜynierii Bezpieczeństwa
PREZENTACJA
WYKŁADU:
TECHNOLOGIE INFORMACYJNE
4
dr inŜ. TADEUSZ BURAK
p. 664
Tadeusz.Burak@polsl.pl
Gliwice 2009 r.
Wprowadzenie
do problematyki bezpieczeństwa systemów
komputerowych
Brak uniwersalnej i jednoznacznej definicji pojęcia
bezpieczeństwa, która pokryłaby wszystkie oczekiwania stawiane
w tej dziedzinie systemom komputerowym. Przykład ciekawej
definicji :
Def. : System komputerowy jest bezpieczny, jeŜeli jego uŜytkownik moŜe
na nim polegać, a zainstalowane oprogramowanie działa
zgodnie ze swoją specyfikacją.
W myśl tej definicji, moŜemy system uznać za bezpieczny, jeśli np.
moŜna od niego oczekiwać, Ŝe wprowadzone na stałe dane nie
zostaną utracone, nie ulegną zniekształceniu i nie zostaną
pozyskane przez nikogo nieuprawnionego – ufamy, Ŝe system
będzie przechowywał i chronił dane.
TECHNOLOGIE INFORMACYJNE
2
1
Bezpieczeństwo jest elementem szerszego kontekstu,
nazywanego wiarygodnością systemu komputerowego.
W kontekście tym wyróŜnia się w sumie cztery atrybuty
wiarygodności:
System wiarygodny =
– dyspozycyjny (available) = dostępny na bieŜąco
– niezawodny (reliable) = odporny na awarie
– bezpieczny (secure) = zapewniający ochronę danych
– bezpieczny (safe) = bezpieczny dla otoczenia,
przyjazny dla środowiska
TECHNOLOGIE INFORMACYJNE
3
Czynniki decydujące o znaczeniu bezpieczeństwa
O doniosłości problematyki bezpieczeństwa dla współczesnej cywilizacji decyduje
przede wszystkim wszechobecność technik komputerowych.
W szczególności rozwaŜyć naleŜy następujące zagadnienia:
¡
rola systemów informatycznych (szczególnie sieci) dla funkcjonowania
współczesnej cywilizacji jest nie do przecenienia; nie ma juŜ praktycznie
obszaru działalności człowieka, w którym Ŝadne elementy techniki
komputerowej (bądź szerzej mikroprocesorowej) nie byłyby obecne. Jako
drobny przykład niech posłuŜy telefonia komórkowa, towarzysząca dziś
człowiekowi niemal ciągle i wszędzie;
¡
trudności związane ze skonstruowaniem i eksploatacją systemu spełniającego
wysokie wymagania w zakresie bezpieczeństwa (niedoskonałości technologii,
konfiguracji i polityki bezpieczeństwa) stwarzają niebezpieczeństwo
niedopracowanego pod względem bezpieczeństwa i niezawodności produktu
informatycznego lub nieodpowiedniego pod owym względem wykorzystania
tego produktu;
¡
elementarny konflikt interesów występujący pomiędzy uŜytecznością systemu
a ryzykiem związanym z jego wykorzystaniem rodzi szereg pragmatycznych
problemów (często całkowicie pozatechnicznych) związanych z oczywistymi
utrudnieniami we wdroŜeniu i uŜytkowaniu systemów o podwyŜszonym
bezpieczeństwie.
TECHNOLOGIE INFORMACYJNE
4
2
Przed czym powinniśmy chronić informacje?
Aspekty ochrony informacji:
1.
Zniszczenie bądź utrata informacji
2.
Nieuprawniony dostęp do informacji
TECHNOLOGIE INFORMACYJNE
5
ZagroŜenia bezpieczeństwa
ZagroŜenia bezpieczeństwa mają róŜną naturę. Mogą być najzupełniej
przypadkowe lub powstać w efekcie celowego działania. Mogą wynikać
z nieświadomości lub naiwności uŜytkownika, bądź teŜ mogą być motywowane chęcią
zysku, poklasku lub odwetu. Mogą pochodzić z zewnątrz systemu lub od jego środka.
Większość działań skierowanych w efekcie przeciwko bezpieczeństwu
komputerowemu jest w świetle aktualnego prawa traktowana jako przestępstwa.
MoŜemy tu wyróŜnić w szczególności:
¡
włamanie do systemu komputerowego
¡
nieuprawnione pozyskanie informacji
¡
destrukcja danych i programów
¡
sabotaŜ (sparaliŜowanie pracy) systemu
¡
piractwo komputerowe, kradzieŜ oprogramowania
¡
oszustwo komputerowe i fałszerstwo komputerowe
¡
szpiegostwo komputerowe
• artykuły 267-269 Kodeksu Karnego
• artykuł 287 Kodeksu Karnego
TECHNOLOGIE INFORMACYJNE
6
3
Komponenty systemu informatycznego
w kontekście bezpieczeństwa
Elementarne składniki systemu informatycznego jakie naleŜy
wyróŜnić przy omawianiu problematyki bezpieczeństwa to:
¡
stanowisko komputerowe i infrastruktura sieciowa
¡
system operacyjny i usługi narzędziowe
¡
aplikacje uŜytkowe
TECHNOLOGIE INFORMACYJNE
7
Identyfikacja zagroŜeń „Przed czym chronić?”
ZagroŜenia jakie naleŜy rozwaŜyć stanowią m.in.:
¡
włamywacze komputerowi
¡
infekcje wirusami
¡
destruktywność pracowników / personelu zewnętrznego
¡
błędy w programach
¡
kradzieŜ dysków / laptopów (równieŜ w podróŜy słuŜbowej)
¡
utrata moŜliwości korzystania z łączy telekomunikacyjnych
¡
bankructwo firmy serwisowej / producenta sprzętu
¡
choroba administratora / kierownika (jednoczesna choroba wielu
osób)
¡
powódź, poŜar itp.
TECHNOLOGIE INFORMACYJNE
8
4
Ogólne problemy konstrukcji zabezpieczeń 1
Problematyka bezpieczeństwa, jak kaŜda dziedzina, podlega pewnym
ogólnym prawom, niektórym sformalizowanym, innym – nieformalnym.
MoŜna wyróŜnić pewne truizmy obowiązujące podczas projektowania
i realizowania zabezpieczeń. Niektóre z nich to:
Brak absolutnego bezpieczeństwa. WiąŜe się to z wieloma
przyczynami.
Jedną z nich jest fakt, iŜ nigdy nie jesteśmy w stanie przewidzieć
z góry wszystkich moŜliwych zagroŜeń.
Innym istotnym powodem niemoŜliwości osiągnięcia 100%
bezpieczeństwa jest ludzka słabość, w szczególności omylność
projektantów, programistów, uŜytkowników systemów
informatycznych, skutkująca błędami w oprogramowaniu
systemowym
i
aplikacyjnym
oraz
niewłaściwym
lub
niefrasobliwym jego wykorzystaniu.
TECHNOLOGIE INFORMACYJNE
9
Ogólne problemy konstrukcji zabezpieczeń 2
Jaki jego poziom moŜna uznać za zadowalający?
OtóŜ wydaje się, Ŝe najwłaściwszą odpowiedzią na to pytanie
jest – taki, który okaŜe się dla atakującego na tyle trudny do
sforsowania, wymagając operacji Ŝmudnych lub czasochłonnych,
iŜ uczyni to atak nieatrakcyjnym lub nieekonomicznym (lub
oczywiście nieopłacalnym wg innego kryterium obranego przez
atakującego).
Zatem naleŜy na tyle utrudnić włamywaczowi atak, aby z niego
zrezygnował widząc marne, choć nadal niezerowe, szanse
powodzenia.
TECHNOLOGIE INFORMACYJNE
10
5
[ Pobierz całość w formacie PDF ]