Andrzej Majewski

Andrzej Majewski

Bezpieczeństwo Informacji w Internecie i Biznesie

Ogólne zagadnienia ochrony informacji

Podstawowa lista pojęć z zakresu bezpieczeństwa informacji

Często spotykam się z wypowiedziami typu: ..."dane są zaszyfrowane certyfikatem serwera"... lub ..."ta informacja jest poufna"... w sytuacji, gdy ktoś wcale nie ma na myśli informacji klasyfikowanej według wytycznych Ustawy o Ochronie Informacji Niejawnych.

Brak precyzji takich wypowiedzi często wynika z faktu, że jest to dla osób piszących lub dyskutujących tematyka znana wyłacznie z mediów. Dla uściślenia zagadnień, którymi sie z Wami dzielę, postanowiłem umieścić tutaj zbiór podstawowych definicji i określeń związanych z bezpieczeństwem i ochroną informacji w systemach i sieciach komputerowych. Precyzyjne rozumienie jest dla nas konieczne, bo materia jest delikatna a błędy i nieporozumienia zbyt wiele moga kosztować.

· Bezpieczeństwo informacji - zbiór działań i środków technicznych i organizacyjnych, mających zapewnić ochronę informacji przed przypadkowym lub zamierzonym zniszczeniem, zmianą treści lub ujawnieniem.

· Poufność - pojęcie dotyczące ludzi. Jest to prawo jednostki do decydowania o tym, którymi informacjami chce się podzielić z innymi ludźmi i z kim oraz jakie informacje i od kogo jest skłonna przyjąć.

· Tajność - jest to atrybut informacji, który określa niezbędny sposób jej ochrony. Jest wynikiem uzgodnienia pomiędzy osobą lub instytucją, będącą źródłem informacji i osobą lub instytucją otrzymującą informacje. Informacje tajne z różnych źródeł mogą wymagać istotnie różnych sposobów ochrony.

· Nienaruszalność treści przekazu - autentyczność - Informacja jest nienaruszona, jeżeli jej postać nie została przypadkowo lub celowo zmieniona lub zniszczona i nie różni się treścią od informacji pierwotnej, chociaż może różnić się formą. Informacja słowna po zapisaniu moze pozostać autentyczna, ale przetłumaczenie jej na inny język takiej gwarancji juz nie ma!

· Niezaprzeczalność autorstwa - cecha nadana informacji, która pozwala jednoznacznie określić autora oraz umożliwić udowodnienie autorowi, że informacja pochodzi od niego np. taki atrybut stanowi podpis pod dokumentem złożony przy świadkach.

· Autoryzacja dostępu – potwierdzenie prawa osoby do dostępu do strefy chronionej, zapoznania się z informacją chronioną lub dostępu do limitowanej usługi poprzez uwierzytelnienie. Ma to zastosowanie także dla procesów przetwarzania danych i programów komputerowych.

· Uwierzytelnienie – procedura, który weryfikuje, czy osoba/program/proces próbujący uzyskać dostęp do informacji, usługi systemu informatycznego lub chronionego obszaru, jest tym kimś lub czymś, za kogo lub co się podaje.

· Kryptografia - nauka o zabezpieczaniu informacji. W jej skład wchodzi tworzenie metod ochrony informacji i algorytmów szyfrowania.

· Szyfrowanie i deszyfrowanie - proces maskowania informacji tak, aby osoby postronne nie mogły jej poznać nazywamy szyfrowaniem. Proces odtworzenia oryginalnej treści z szyfrogramu nazywamy deszyfrowaniem.
W trakcie szyfrowania przekształceniu podlegają elementarne składniki informacji (znaki lub bity). Elementem określającym sposób przekształcenia informacji jest klucz.

· Kodowanie i dekodowanie - proces przekształcania poszczególnych składników informacji - słów lub fraz na inne, odpowiadające im w bezpośredni sposób, to kodowanie. Tłumaczenie na język obcy jest formą kodowania informacji. Jeżeli relacja pomiędzy słowem i jego kodem nie będzie znana intruzowi, to uzyskamy utajnienie informacji. Proces przekładu odwrotnego to dekodowanie.

· Kryptosystem z kluczem symetrycznym - zwany także systemem z kluczem tajnym. Jest to system kryptograficzny, w którym wykorzystuje się ten sam klucz do szyfrowania i rozszyfrowania informacji. Aby system był skuteczny musimy bezwzględnie zachować klucz w ścisłej tajemnicy.

· Kryptosystem z parą kluczy asymetrycznych - zwany także systemem z kluczem publicznym lub jawnym. Jest to system kryptograficzny, w którym wykorzystuje się parę kluczy - jeden klucz do szyfrowania informacji, drugi, inny klucz do jej rozszyfrowania. Klucze są ze sobą zależne, ale nie jest możliwe wyznaczenie drugiego klucza, jeżeli zna się pierwszy. Klucz jawny może być publicznie znany. Klucz prywatny musi być pilnie strzeżony. Informacja zaszyfrowana kluczem jawnym może być odszyfrowana wyłącznie kluczem prywatnym od pary. Operacja ta jest zamienna - możliwe jest szyfrowanie kluczem prywatnym, deszyfrowanie wyłącznie kluczem publicznym od pary.

· Klucz sesyjny - jednokrotnie wykorzystywany klucz do szyfrowania, generowany metodą (pseudo)losową, który jest używany w systemach hybrydowych do szyfrowania informacji przy użyciu algorytmu symetrycznego (np. AES, 3DES).

· Jednokierunkowa funkcja skrótu - przekształcenie matematyczne, które z komunikatu o dowolnej długości tworzy kombinację liczbową o stałej długości (np. 128 lub 160 bitów). Przekształcenie ma charakter jednokierunkowy, gdyż zakłada się, że nie jest możliwe odtworzenie komunikatu na podstawie jego skrótu. Dodatkowo zmiana dowolnego bitu w treści komunikatu powoduje istotną zmianę postaci jego skrótu. Funkcje skrótu zwane są także algorytmami mieszającymi (haszującymi). Powszechnie używane są funkcje MD5 i SHA1.

· Podpis cyfrowy - w systemie z kluczem publicznym jest to skrót informacji zaszyfrowany kluczem prywatnym nadawcy (autora) informacji. Wiąże treść informacji z kluczem nadawcy (autora podpisu). Dowolna osoba może zweryfikować podpis cyfrowy posługując się kluczem publicznym domniemanego autora. Potwierdzenie tożsamości autora może być zagwarantowane jedynie poprzez wykorzystanie odpowiedniej infrastruktury prawno – organizacyjnej (np. Ustawa o podpisie elektronicznym).

· Certyfikat Klucza Publicznego - poświadczenie wydane przez Centrum Certyfikacji (Certification Authority - CA). Wiążące klucz publiczny użytkownika z jego danymi identyfikacyjnymi, atrybutami i informacją o osobie właściciela. Jest to podpisany cyfrowo, kluczem prywatnym CA, klucz publiczny użytkownika oraz dane identyfikujące jego osobę, okres ważności certyfikatu i inne atrybuty, zgodne ze standardem X.509 v.3.

Nie jest to oczywiście kompletny zbiór pojęć z zakresu ochrony informacji i definicje nie są bardzo szczególowe, ale z pewnością zawiera informacje, które najbardziej nam są potrzebne.

Drodzy Czytelnicy, wszyscy rozumiemy i doceniamy wagę wspólnego języka pomiędzy specjalistami. Wiemy czym może skończyć się na przykład domyślanie sie intencji lekarza przez farmaceutę.
Internet pozwala nam na łatwe i szybkie docieranie do interesujących nas informacji, także tych niedokładnych, nieprecyzyjnych czy wręcz błędnych.
Ponieważ w kwestiach własnego bezpieczeństwa często sami dla siebie jesteśmy specjalistami, musimy mieć pewność, że jednoznacznie rozumiemy problem, który przychodzi nam rozwiązać.
Dociekliwym polecam lekturę Wikipedii - wiedzieć więcej napewno nie zaszkodzi!

Pozdrawiam moich Czytelników,

Andrzej J. Majewski







 Blog  Memos



© 2007-2018 Ekademia.pl | Polityka Prywatności | Regulamin


Produkty i Szkolenia Online

Nie jesteś zalogowany(a) Zaloguj się Utwórz konto


forked from Moodle