Ważna jest weryfikacja ludzi pragnących się znaleźć wewnątrz systemu (autoryzacja i autentykacja) Weryfikacja może się odbywać w oparciu o trzy rodzaje kryteriów:
„coś, co masz” – klucze, karty magnetyczne
„coś, co wiesz” – PIN, hasła, poufne dane
„coś, czym jesteś” – metody biometryczne
Aby do danych nie dostała się postronna osoba (hacker) stosuje się różne metody kryptograficzne
Słabe punkty sieci komputerowych
Postępowanie w razie wykrycia zagrożenia z zewnątrz
1. PROTECT AND PROCEED (chroń i kontynuuj)
2. PURSUE AND PROSECUTE (ścigaj i oskarż)
PROTECT AND PROCEED Strategię tą obierają organizacje, w których:
1. Zasoby nie są dobrze chronione
2. Dalsza penetracja mogłaby zakończyć się dużą stratą finansową
3. Nie ma możliwości lub woli ścigania intruza
4. Nieznane są motywy włamywacza
5. Narażone są dane użytkowników
6. Organizacja nie jest przygotowana na działania prawne w wypadku strat doznanych przez użytkowników
PURSUE AND PROSECUTE W myśl strategii pursue and prosecute pozwala się intruzowi kontynuować niepożądane działania dopóki się go nie zidentyfikuje, aby został oskarżony i poniósł konsekwencje.
Jest to strategia o wiele bardziej ryzykowna!
Ważną techniką zwiększającą bezpieczeństwo systemów informatycznych jest szyfrowanie komunikatów i danych. Istnieje obecnie wiele technik szyfrowania, ale powszechnie używane są głównie dwie:
Technika symetryczna (klucza tajnego)
Technika asymetryczna (klucza publicznego i prywatnego)
Użycie klucza prywatnego i publicznego
Podczas transmisji sygnału jest on całkowicie bezpieczny, gdyż tylko legalny odbiorca wiadomości może ją skutecznie zdekodować Kluczy publicznych może być dowolnie dużo i może je mieć każdy, kto chce poufnie korespondować z odbiorcą Klucz prywatny musi być tylko jeden, bo na tym opiera się cała metoda!
Przesyłanie wiadomości kodowanej przy pomocy dwóch kluczy
Kodowanie kluczem symetrycznym jest znacznie „tańsze” obliczeniowo Tę część może odszyfrować tylko posiadacz klucza prywatnego pasującego do tego klucza publicznego
Porównanie i zastosowanie kryptografii symetrycznej i asymetrycznej
Z zagadnieniem szyfrowania danych w celu zapewnienia ich poufności wiąże się zagadnienie elektronicznego podpisywania dokumentów, mające na celu zapewnienie ich niezaprzeczalności
Proces składania i weryfikacji podpisu
Przydział kluczy publicznych i tajnych przez dostawcę usług certyfikacji
Etapy przesyłania dokumentu zaszyfrowanego za pomocą asymetrycznego systemu krypto-graficznego
Ważne jest także, by nie utracić ważnych danych nawet w sytuacji poważnej awarii
Ważne jest także, by nie utracić ważnych danych nawet w sytuacji poważnej awarii
Sposobem zwiększenia bezpieczeństwa danych jest tworzenie kopii
Rodzaje kopii stosowane do zabezpieczenia systemu
Narzędzia do archiwizacji danych
Ważna jest weryfikacja ludzi pragnących się znaleźć wewnątrz systemu (autoryzacja i autentykacja) Weryfikacja może się odbywać w oparciu o trzy rodzaje kryteriów:
„coś, co masz” – klucze, karty magnetyczne
„coś, co wiesz” – PIN, hasła, poufne dane
„coś, czym jesteś” – metody biometryczne
Zadania
Najwygodniejsze dla konstruktorów systemów informatycznych są metody oparte na hasłach lub PIN Wadą jest ryzyko, że użytkownik zapomni hasło lub że intruz wejdzie nielegalnie w posiadanie hasła
Comments