Pojęcie bezpieczeństwa

Bezpieczeństwo informacji objawia się na różne sposoby, zgodnie z określoną sytuacją i wymaganiami. Niezależnie od tego, kto bierze udział i w jakim stopniu jest zaangażowany, wszyscy uczestnicy wymiany informacji muszą mieć zaufanie, że pewne szczególne założenia dotyczące jej bezpieczeństwa zostały spełnione. Niektóre z tych założeń to:

• prywatność lub poufność,
• integralność danych,
• uwierzytelnianie lub identyfikacja,
• uwierzytelnianie wiadomości
• podpis,
• autoryzacja,
• atestacja,
• kontrola dostępu,
• certyfikacja,
• oznaczanie czasu,
• świadectwo,
• pokwitowanie,
• zatwierdzenie,
• własność,
• anonimowość,
• niezaprzeczalność,
• unieważnienie

Metoda zapisywania informacji przez wieki nie zmieniła się w sposób dramatyczny. Wcześniej informacja była zwykle przechowywana i przekazywana w postaci papierowej, obecnie zaś znaczna jej część jest zapisywana na nośnikach magnetycznych oraz przesyłana za pośrednictwem systemów telekomunikacyjnych. To co zmieniło się znacznie, to zdolność do kopiowania i modyfikowania informacji.
Informacja, bezsprzecznie, jest wartością, dlatego należy wiedzieć, w jaki sposób tę wartość chronić. Wymogi bezpieczeństwa w różnych systemach informacyjnych mogą się znacznie różnić, jednak zawsze związane są nieodłącznie z trzema podstawowymi zagadnieniami, takimi jak: poufność, integralność i dostępność.

Poufność informacji polega na jej zabezpieczeniu przed dostępem osób niepowołanych, dostępna tylko dla tego, dla kogo jest przeznaczona.

Integralność (jednolitość) informacji realizuje trzy funkcje:

1. Zapobiega modyfikacji informacji przez nieupoważnione osoby.
2. Zapobiega nieautoryzowanym lub przypadkowym modyfikacjom informacji przez osoby upoważnione.
3. Zapewnia spójność wewnętrzną i zewnętrzną:

Informacja, na podstawie której podejmowane są decyzje, powinna być adekwatna i dokładna, chroniona przed zniszczeniem i nieautoryzowaną modyfikacją.

Dostępność informacji oraz odpowiednich narzędzi do jej przetwarzania zapewnia autoryzowanym użytkownikom bieżący i nieprzerwany dostęp do danych w systemie i sieci.

Bezpieczeństwo komputerów da się opisać tymi samymi pojęciami, co bezpieczeństwo fizyczne: zaufanie, znajomość sekretu pozwalającego dowieść swojej tożsamości, posiadanie klucza do otwierania zamków i odpowiedzialność przed prawem. Analogie są tak trafne, że większość mechanizmów zabezpieczania komputerów nosi takie same nazwy jak ich fizyczne odpowiedniki.

Zaufanie
Całe bezpieczeństwo komputerów ma swoje źródło w zaufaniu. Na nim bowiem bazują wszystkie kolejne zabezpieczenia. Mimowolne zaufanie w bezpieczeństwie komputerowym to coś więcej niż tylko początkowe ustawienie systemu. Na przykład zakładamy, że w używanym przez nas programie nie ma żadnych "tylnych drzwi", dzięki którym znająca je osoba mogłaby się dostać do naszego systemu. Ufamy, że ekran logowania jest autentycznym ekranem logowania do systemu, a nie atrapą, której celem jest przechwycenie hasła i przesłanie go do zdalnego systemu. Wreszcie wierzymy, że twórcy systemu nie popełnili żadnych poważnych błędów, które mogą zniweczyć stosowane przez nas zabezpieczenia.

Uwierzytelnianie
Uwierzytelnianie to proces ustalania tożsamości użytkownika. Zmuszanie użytkownika do udowodnienia, że znany jest mu sekret, który powinien być znany tylko jemu, pozwala stwierdzić, że jest on faktycznie tą osobą, za którą się podaje.

Konta użytkowników są połączone z sekretem pod postacią np. hasła, PIN-u, skrótu biometrycznego albo karty elektronicznej, która zawiera dłuższe i o wiele bardziej bezpieczne hasła, niż użytkownik byłby w stanie zapamiętać. Z punktu widzenia systemu nie istnieje coś takiego jak człowiek; jest tylko sekret, informacja powiązana z tym sekretem i informacja, do której znajomość sekretu daje dostęp.

Inna forma uwierzytelniania wykorzystuje fizyczne cechy użytkowników. Chodzi o uwierzytelnianie biometryczne, bazujące na unikatowych i niezmiennych cechach fizycznych ludzi, takich jak charakter pisma, odciski palców, rysy twarzy.

Ciąg upoważnień
Podczas instalacji systemu bezpieczeństwa, administrator tworzy konto podstawowe (ang. root). Z tego konta pochodzą wszystkie pozostałe konta, klucze i certyfikaty. Każde konto w systemie, nawet w ogromnych systemach zawierających miliony kont, pochodzi z tego ciągu upoważnień. Systemy certyfikatów również bazują na ciągu upoważnień.

Rozliczanie kont
Rozliczanie kont to miejsce, w którym sekret spotyka się z użytkownikiem. Użytkownicy nie naruszają zabezpieczeń, ponieważ ich tożsamość jest znana i zostaliby pociągnięci do odpowiedzialności prawnej za swoje działania. To właśnie rozliczanie kont, a nie kontrola dostępu, zapobiega nielegalnemu zachowaniu. W systemach bazujących na samym rozliczaniu kont nie ma żadnych mechanizmów kontroli dostępu. Użytkownicy po prostu wiedzą, że wszystkie ich działania są kontrolowane, a ponieważ ich tożsamość jest znana, a działania śledzone, nie robią tego, co mogłoby zagrozić ich pozycji (chyba, że byłoby im to obojętne).

Kontrola dostępu
Kontrola dostępu to metoda zabezpieczeń, która pozwala na dostęp do informacji na podstawie tożsamości. Użytkownicy, którzy otrzymali uprawnienie bądź klucze do korzystania z informacji, mogą z nich korzystać, w przeciwnym razie dostęp będzie wzbroniony.