22. Omówić cechy informacji: poufność, nienaruszalność, autentyczność, niezaprzeczalność.
Poufność, rozumiana jako ochrona przed nieautoryzowanym ujawnieniem (odczytem) informacji, narażona jest na ataki poprzez:
nieuprawniony dostęp do danych w miejscu składowania w systemie, np. w bazie danych
nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika
podsłuchanie danych przesyłanych w sieci
W celu ochrony informacji przed jej nieautoryzowanym odczytem należy przede wszystkim umieć określić czy zamierzony odczyt jest autoryzowany oraz
zminimalizować prawdopodobieństwo „wycieku" danych poza mechanizmem kontroli dostępu (w transmisji). Zatem mechanizmy obrony stosowane do zapewnienia
poufności realizować będą następujące zadania:
uwierzytelnianie
autoryzację i kontrolę dostępu do zasobów
utrudnianie podsłuchu
Kolejnym po poufności aspektem bezpieczeństwa jest nienaruszalność informacji, rozumiana jako ochrona danych przed ich nieautoryzowanym zmodyfikowaniem (dostępem do zapisu, w odróżnieniu od poufności, która oznacza ochronę przed nieautoryzowanym dostępem do odczytu).
Zagrożeniem nienaruszalności informacji jest zatem celowa lub przypadkowa modyfikacja danych przez nieuprawnionych użytkowników bądź oprogramowanie (np. wirusowe).
Mechanizmy obrony stosowane do zapewnienia nienaruszalności informacji obejmują w szczególności:
kontrolę dostępu do danych - wymienione wcześniej mechanizmy list kontroli dostępu
sumy kontrolne zbiorów danych (np. plików dyskowych)
kryptograficzne sumy kontrolne i podpis elektroniczny
rejestrację operacji na danych (auditing) - niezbędną dla formalnego wykrycia naruszeń integralności; zwykle spotyka się podział danych audytu co najmniej na rejestr zdarzeń systemowych oraz rejestr zdarzeń aplikacji.
kontrolę antywirusową
Autentyczność
pewność co do pochodzenia (autorstwa i treści) danych
zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana Uwierzytelnienie będące podstawowym mechanizmem bezpieczeństwa informacji należy rozumieć jako proces potwierdzenia tożsamości użytkownika. Jeśli ma miejsce poprawne uwierzytelnienie, wówczas zachodzi pewność, iż użytkownik jest tym za kogo się podaje. To z kolei daje podstawę do dalszego udostępnienia mu zasobów, które są jego własnością. Jak widać mechanizm uwierzytelnienia stanowi rodzaj bariery, po przejściu której każdy użytkownik jest jednoznacznie rozpoznany przez system.
Najczęściej stosowaną oraz najprostszą metodę stanowi kontrola dostępu, która polega na sprawdzeniu jedynego w swoim rodzaju identyfikatora użytkownika, zwanego także loginem, oraz hasła przypisanego do tego loginu. Tego typu
procedura stanowi uwierzytelnianie proste i polega ona na tym, że po wprowadzeniu danych autoryzujących system dokonuje sprawdzenia poprawności zarówno loginu, jak i hasła. Najczęściej identyfikator jest jawny, często udostępniany jest publicznie.
Tajnym parametrem identyfikacyjnym pozostaje przypisane do danego loginu hasło.
Niezaprzeczalność
Ochrona przed fałszywym zaprzeczeniem
a. przez nadawcę - faktu wysłania danych
b. przez odbiorcę - faktu otrzymania danych
Brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie.
W bezpieczeństwie teleinformatycznym niezaprzeczalność jest realizowana m.in.
przez zgromadzenie odpowiedniej ilości materiału dowodowego dokumentującego dokonanie operacji, co ogranicza możliwość nieuzasadnionego wyparcia się jej przez strony. Ponadto możliwość wyparcia się ograniczają operacje kryptograficzne, w których każda ze stron dysponuje swoim indywidualnym, unikalnym kluczem prywatnym.
