С развитието на компютърните системи и мрежи непрекъснато се развиват и стандартите и критериите за оценка на тяхната сигурност.
Необходимостта от стандартизацията на продуктите за изграждането на компютърни мрежи изведе на преден план в края на седемдесетте години потребността от универсална концепция, установяваща методологическата база и правилата за стандартизация на взаимодействието между изчислителни системи от различен тип. За целта бе разработен т.н. седем слоен еталонен модел за взаимодействие между отворени системи, известен като OSI модел. Към него е приета и концепция (архитектура) за защита на OSI-модела, съдържа описание на:
а) службите за защита (сигурност, безопасност);
б) средствата (механизмите) за обезпечаване на защитата;
в) разположението на службите и средствата за сигурност на нивата на процесите на взаимодействие.
В тази концепция за защитата са дефинирани следните основни служби за сигурност:
а) служба за секретност на данните – обезпечава защитата на съдържанието на данните, т.е. конфиденциалност на съдържанието на данните;
б) служба за секретност на потока от данни – осигурява защита срещу анализ на трафика, т.е. конфиденциалност на сеансите на връзка;
в) служба за поддържане на целостта на данните – открива въздействията върху потока от база данни без възстановяване или с възможност за възстановяване, както и прекъсвания при предаването на данни;
г) служба за потвърждения – осигурява източника с доказателство за правилна доставка на данните, а получателя – с доказателство за произхода на получените данни (верификация на сеансите на връзка);
д) служба за автентификация и контрол на достъпа.
Съществуват и няколко основни групи средства за сигурност като криптографски средства, цифрови подписи, средства за автентификация и контрол на достъпа, средства за обезпечаване на цялостта на данните и др., които могат да се прилагат от службите за сигурност самостоятелно или в комбинация.
От взаимовръзките между службите и средствата за защита произтича първостепенната роля, отредена на криптографските средства, които се използват, както индивидуално, така и в състава на други средства за сигурност.
Интересна информация за уеб дизайн услугите, изработката на сайтове и уеб дизайн развитието в България.
Какво е SEO оптимизация, защо се оптимизират сайтовете за търсачки, разликите между термините оптимизация на сайтове, SEO оптимизация и оптимизация за търсачки.
И още какво е уеб дизайна, за какво се използва какви технологии се използват в уеб дизайн услугите и разработването на уеб сайтове в Интернет.
2. Американска „Оранжева книга“
Критериите за оценка на защитени компютърни системи (Trusted Computer System Evaluation Criteria – TCSEC), известни като „Оранжевата книга“, издадена през август 1983 г. от Националния център за компютърна сигурност (NCSC – част от Националната агенция за сигурност на САЩ, NSA), дефинират основните класове, понятия и критерии за оценка на сигурността на компютърните системи.
Докато сме на вълна SEO оптимизация и търсачки, не е лошо да разберете повече информация за SEO оптимизацията и как се развива SEO оптимизирането на уеб сайтове в българските Интернет среди.
Според „Оранжевата книга“ нивата за отговорности на системите за сигурност в компютърните системи са следните:
| Нива на защита и сигурност | Характеристика на нивото |
| Раздел D | Минимална защита |
| Раздел C | Защита по преценка |
| Клас С1 | „Разумна“ защита. Потребителят решава какво да бъде нивото на защита за обектите, които притежава. |
| Клас С2 | Защита с контрол на достъпа (изисква се идентификация, така че потребителите да се регистрират при всякакви дейности). |
| Раздел В | Мандатна защита |
| Клас В1 | Всеки потребител има ниво на сигурност, наречено степен на достъп и всеки обект има присвоено ниво на чувствителност. Степента за сигурност решава дали да допусне потребителя до обекта на базата на степента на достъп и нивото на чувствителност. |
| Клас В2 | Структурирана защита. По-висока строгост при проектиране (чрез използване на формален модел за сигурност), тестване и доказване на сигурността. |
| Клас В3 | Домейн за сигурност. По-строги изисквания при проектирането и сигурността на системата. В частност съществува ядро на сигурност на системата, наричано (TCB) – база на компютърна отговорност. Има по-голяма степен на защитеност от останалата структура и е доказано, че е сигурно. |
| Раздел А | Доказана защита |
| Клас А1 | Проектиране чрез доказване – използват се математически методи и доказателство, че компютърната система съответства на политиката за сигурност на системата и нейните спецификации за проектиране. |
3. Европейска „Бяла книга“
На базата на националните критерии на няколко европейски страни са разработени „Критерии за оценка на сигурността на информационни технологии“ (Information Technology Security Evaluation Criteria, ITSEC) като един стандарт за международна сигурност. ITSEC е познат като европейската „Бяла книга“.
Техническите изисквания към информационните системи предполагат най-напред наличието на определени функции за защита:
а) идентификация и автентификация на потребителите;
б) контрола на достъпа (администриране на правомощията, проверка на правомощията);
в) наблюдаване и протоколиране на събитията;
г) изчистване на обектите от данни, преди да бъдат използвани повторно, така че случайни потребителите да не получат достъп до информация, за която нямат правомощия;
д) възстановяване при грешки;
е) работоспособност – осигуряване на всички услуги за поддържане на сигурността;
ж) защита на данните при предаване – първоначална автентификация; контрол на достъпа; поверителност на данните; цялостност на данните; автентичност на данните; безотказност.
ITSEC дефинира десет класа на функционалност (F1 – F10) за изискванията в различни приложения.
а) F1 (F – C1) – съответства на класа С1 от „Оранжевата книга“ – наличие на определена от потребителя система за контрол на достъпа;
б) F2 (F – C2) – има по-детайлизирана система за контрол на системата, отколкото F – C1;
в) F3 (F – B1) – към системата за контрол на достъпа има управление на атрибутите на секретност;
г) F4 (F – В2)
д) F5 (F – В3)
е) F6 (F – 1N) – един отделен клас системи с изисквания за висока интеграция (за разлика от изискванията за поверителност) на данните и програмите (напр. бази данни);
ж) F7 (F – AV) – един отделен клас системи със специални изисквания или за завършеност (цялостност) на системата или за конкретно назначение на системата (напр. системите за контрол);
з) F8 (F – DI) – един отделен клас системи със специални изисквания за гарантиране целостта на данните по време на предаването им;
и) F9 (F – DC) – един отделен клас системи със специални изисквания за гарантиране поверителността на данните по време на предаването им (напр. криптографски системи);
к) F10 (F – DX) – един отделен клас мрежи със специални изисквания за поверителност и цялостност на предаваната информация. Особено е подходящ, когато важна информация трябва да се обменя чрез незащитени публични мрежи.
ITSEC дефинира 6 нива на гарантирана коректност на функциониране на защитата:
а) Е1 – тестване;
б) Е2 – контрол на конфигурацията и разпределението, приблизително съответства на С2 от „Оранжевата книга“;
в) Е3 – достъп до подробния проект и изходните текстове (source code), приблизително съответства на В1;
г) Е4 – прецизен анализ за уязвимост, приблизително съответства на В2;
д) Е5 – представяне на съответствието между подробния проект и изходните текстове, приблизително съответства на В3;
е) Е6 – формални модели и формални описания, свързани чрез формални съответствия, приблизително съответства на С2.
За характеризиране ефективността се използват 3 оценки за здравината на механизмите за защита – ниска, средна, висока.
Нивото на качество на защитата се означава с комбинация, например Е2, средна.
В Русия средствата за защита на компютърните системи от несанкциониран достъп са определени седем класа за защитеност (1-7) и 9 класа за автоматизираните системи (1А, 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б). За компютърните системи „най-ниският“ клас е 7, а за автоматизираните системи – 3Б. Например клас 4 за компютърните системи включва идентификация и разграничаване на пълномощията на потребителите, криптографска защита на информацията, фиксиране на „изкривявание“ на еталонното състояние на работната среда, предизвикано от вируси, технически сривове, грешки на потребителите и т.н., автоматично възстановяване на основните компоненти на работната среда на компютъра.
Към компютърната сигурност има пряко отношение стратегията за резервно копиране и възстановяване на базите данни (БД). Обикновено тези операции се извършват в пакетен режим в извън работно време. В повечето СУБД резервното копиране и възстановяване на данните се разрешават само на потребители с права на достъп на системен администратор или на собственик на БД. Нежелателно е да се укажат толкова важни пароли непосредствено във файловете за пакетна обработка.
За да не се съхранява паролата в явен вид, се порепоръчва написването на малка приложна програма, която сама да извиква средствата за копиране и възстановяване.
Системната парола трябва да бъде „зашита“ в кода на това приложение. Недостатък на този подход е необходимостта да се прекомпилира програмата при всяка смяна на паролата.
4. Стандарт за информационна сигурност BS7799/ISO 17799
Стандартът е организиран в 10 основни раздела, като всеки покрива различни теми или области:
1. Непрекъснато бизнес планиране
Целите на този раздел са да се противодейства на големи системни сривове, което да доведе до прекъсването на бизнес дейностите и появата на критични за бизнеса процеси.
2. Система за контрол върху достъпа
Целите на този раздел са:
1 да се контролира достъпа до информацията;
2 да се предотврати неупълномощен достъп до информационни системи;
3 да се осигури предпазването на мрежовите услуги;
4 да се предотврати неупълномощен достъп до даден компютър;
5 да бъдат разкривани неупълномощените действия;
6 да се осигури защита на информацията, когато се използват компютърни и теле-мрежови опции.
3. Разработване и поддържане на системата
Целите на този раздел са:
1 осигурияване на вградена защита в операционните системи;
2 да се предотврати загуба, изменение или неправилна употреба на потребителски данни в приложните системи;
3 да се запази конфиденциалността, достоверността и целостта на информацията;
4 да се осигури контрол и сигурност на информационно-технологичните проекти;
5 да се поддържа защитата на софтуера на приложната система и данните.
4. Физическа и екологична защита
Целите на този раздел са да се предотврати неупълномощен достъп, провреда и намеса в бизнес предпоставки и информация, за да се предотврати загубата, повредата или рискът от намеса и прекъсване на бизнес дейностите.
5. Съответствие
Целите на този раздел са:
1 да се избегне нарушаване на закона, на регулаторни или договорни задължения и на изисквания за сигурност;
2 да се осигури съответствие на системите с организационната политика и стандарти за сигурност и защита;
3 да се максимизира ефективността и да се минимизира конфликтът със системния одиторски процес.
6. Защита на персонала
Целите на този раздел са да се намали рискът от допускане на човешка грешка, кражба, измама или неправилна употреба на оборудването; ползвателите на информацията да са запознати с опасностите за информационната защита и да са оборудвани за поддържане на корпоративната защитна политика в процеса на тяхната обичайна работа; да се минимизира повредата от инциденти, свързани със защитата и неизправност и да се поучават хората от такива инциденти.
7. Защита на Организацията
Целите на този раздел са:
1 да се управлява информационната сигурност и защита в рамките на Организацията;
2 да се поддържа сигурността на потока от информация, до която имат достъп трети страни;
3 да се поддържа сигурността на информацията, когато отговорността за генерирането на информацията е възложена на външна Организация.
8. Управление на компютрите и операциите
Целите на този раздел са:
1 да се осигури правилната и сигурна работа с информационните средства;
2 да се минимизира риска от сривове в системите;
3 да се защити целостта на софтуера и информацията;
4 да се поддържа интегритета и използваемостта на информацията и комуникацията;
5 да се осигури сигурност и защита на информация в мрежите и предпазване на поддържащата инфраструктура;
6 да се предотврати повреда на ценности и нарушаване на бизнес дейностите;
7 да се предотврати загубата, изменението или неправилното използване на информация, обменяна между Организациите.
9. Класификация и контрол на активите
Целите на този раздел са да се поддържат по подходящ начин корпоративните активи и да се осигури, че информационните активи са с подходящо ниво на сигурност.
10. Политика на сигурност и защита
Целите на този раздел са да се даде управленска насока и подкрепа относно информационната сигурност и защита.
Етикети: интернет, информация, ипотпал, компютри, Ipotpal, сигурност, системи, технологии, уеб, устройства
ipotpal 