PL EN


Preferencje help
Widoczny [Schowaj] Abstrakt
Liczba wyników
Tytuł artykułu

Ile jest bezpieczeństwa w bezpiecznych systemach informatycznych

Autorzy
Treść / Zawartość
Identyfikatory
Warianty tytułu
EN
How much 'security' is there in the secure IT systems
Języki publikacji
PL
Abstrakty
PL
Od przeszło dwóch dekad bezpieczeństwo informacyjne w tym informatyczne, postrzegane jest jako coraz większy problem. Przez ten okres kolejne rządy, przedsiębiorstwa, użytkownicy widzieli rewolucję IT, a w szczególności lawinowy rozwój Internetu, jako nieograniczoną i pozbawioną wad utopię błyskawicznej zmiany technologicznej, zapewniającej zwiększenie skuteczności i podnoszącej jakość życia. Problem bezpieczeństwa jednak istnieje. Mimo dużego zainteresowania tą tematyką, wiele firm i instytucji stosuje nowoczesne narzędzia systemów bezpieczeństwa w sposób całkowicie przypadkowy, kierując się różnymi kryteriami wyboru bez odniesienia do przemyślanych i wdrożonych polityk bezpieczeństwa. Bezpieczeństwo działania w cyberprzestrzeni wymaga opracowania wymagań systemów zabezpieczenia na wielu płaszczyznach, począwszy od fizycznej ochrony sprzętu i oprogramowania, po ochronę elektronicznych nośników danych, które składają się na informacje przechowywane w sieci. Artykuł ten nie jest kolejnym podejściem do opisu działań mających na celu właściwe prowadzenie prac zmierzających do poprawy bezpieczeństwa w organizacji. Jest próbą pokazania, iż każdy dzień jest nową demonstracją znaczenia bezpieczeństwa. Stanowi przegląd realnych, w sposób ciągły modyfikowanych zagrożeń, mających wpływ na ryzyko ponoszenia strat jednostki czy instytucji. Wskazuje absurdy i paradoksy współużytkowania cyberprzestrzeni. W odniesieniu do typowej analizy bezpieczeństwa w organizacji składającej się z zewnętrznych i wewnętrznych testów penetracyjnych, formalnej analizy infrastruktury technicznej oraz przepływu informacji, przygotowywania raportów, pokazane zostaną typowe błędy w działaniu szeroko pojętych systemów bezpieczeństwa, przed którymi niestety nie są w stanie obronić się zarówno rządy, korporacje, instytucje i organizacje, jak również pojedynczy użytkownicy. W artykule przedstawiono najważniejsze informacje na temat szacowania poziomu bezpieczeństwa w systemach informatycznych, przeprowadzono analizę zagrożeń dla bezpieczeństwa systemów informatycznych wskazując te najczęściej wykorzystywane. W zakończeniu przedstawiono krótką informację na temat programu CRASH (CleanSlate Design of Resilent, Adaptative, Secure Hoss) powołanego przez agencję DARPA (Defense Advanced Research Project Agency), który ma umożliwić projektowanie w przyszłości bezpieczniejszych sieci i systemów komputerowych poprzez próbę zastosowania w nich mechanizmów analogicznych do systemów odpornościowych organizmu ludzkiego. Zakłada on m.in. przeniesienie zasad działania systemów odpornościowych człowieka w dziedzinę IT.
EN
For more than two decades the security of information, including the one of IT, has been seen as more and more problematic. During that time the following governments, enterprises, users had seen the IT revolution, especially the rapid development of the Internet, as a utopia of a swift technological change with no limits and disadvantages, that ensures growth of effectiveness and improvement of the quality of life. But still, the problem of security exists. Though there is a lot of interest in this subject matter, many companies and institutions use modern tools of security systems in a completely accidental way. They follow different choice criteria without respect to the thought-out and implemented security policies. Secure activity in cyberspace requires developing security systems regarding many issues, from the physical equipment and software protection to the security of electronic data carriers which are part of the information kept in the Net. This article is not another attempt to describe activities aimed at improving security in the organization. It is to show that every single day is a new demonstration of the security importance. It is a review of many actual and constantly modified threats which influence the risk of incurring losses by an individual or an institution. It points out nonsense and paradoxes of sharing the cyberspace. There will be presented typical mistakes occurring in many security systems which governments, corporations, institutions and organizations as well as individual users are not able to defend themselves from. Those mistakes are going to be shown with reference to a typical security analysis in an organization consisting of external and internal penetration tests, formal analysis of technical infrastructure, flow of information and preparing reports. The article shows the most important information about estimating the level of security in IT systems and analyses threats to the safety of IT systems which are used most often. In the end there is short information about the CRASH program (CleanSlate Design of Resilent, Adaptative, Secure Hoss) formed by DARPA agency (Defense Advanced Research Project Agency) to enable future safer networking and computer systems by using mechanisms similar to the human immune system. Founders of the CRASH program want to use it, among other things, to transfer the rules of the human immune system functioning to the area of IT.
Rocznik
Tom
Strony
103--125
Opis fizyczny
Bibliogr. 35 poz., rys., tab., wykr.
Twórcy
  • Warszawska Wyższa Szkoła Informatyki
Bibliografia
  • 1. Agata M.: Problemy SQL Injection w bazach danych Oracle, XII Konferencja PLOUG, październik 2007
  • 2. Clarke J.: SQL Injection Attacks and Defense, Syngress, 2009
  • 3. Glos sary of Terms: Bequeath protocol, http://www.orafaq.com/wiki/Bequeath_protocol
  • 4. http ://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
  • 5. htt p://www.securiteam.com
  • 6. Jakusz-Gastomski G.: Project Lockdown - wybrane elementy i narzędzia, XV Konferencja PLOUG, październik 2009
  • 7. Krawaczyński P., Linke K.: Klasy zabezpieczeń według Orange Book, http://nfsec.pl/security/120
  • 8. Krawaczyński P.: Klasy zabezpieczeń według CCITSE, http://nfsec.pl/security/84
  • 9. Maziarz P.: Wykorzystywanie tęczowych tablic do łamania haseł, Hackin9, Nr 7/2007
  • 10. NIST 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems, Network Reliability and Interoperability Council (NRIC), 1998, http://www.bell-labs.com/cgi-user/krauscher/bestp.pl
  • 11. OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, http://www.dti.gov.uk/industry_files/word/M00034478%202.doc
  • 12. PN-I SO/IEC 17799:2007
  • 13. Project Lockdown, http://www.oracle.com/technology/pub/articles/project_lockdown/index.html
  • 14. Radziulis J., Hołubowicz W.: Wymagania dotyczące bezpieczeństwa informacji i baz danych zawarte w obowiązujących w Polsce aktach prawnych, XII Konferencja PLOUG, Zakopane 2006
  • 15. Rapo rt CERT Polska, Analiza incydentów naruszających bezpieczeństwo teleinformatyczne, 2009
  • 16. Computer Security Criteria: Security Evaluations and Assessment, Oracle White Paper, July 2001
  • 17. Liderman K.: Podręcznik administratora bezpieczeństwa teleinformatycznego, Wyd. MIKOM 2003
  • 18. Liderman K.: Bezpieczeństwo teleinformatyczne. Problemy formalne i techniczne. Podręcznik administratora bezpieczeństwa teleinformatycznego, WAT, Warszawa 2006
  • 19. 52 OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security,
  • 20. Generally Accepted Information Security Principles (GAISP), Information Systems Security Association (ISSA), 1999, http://www.issa.org/gaisp/_pdfs/v30.pdf
  • 21. National Institute of Standards and Technology (NIST), Computer Security Resource Center (CSRC), 1996, http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf
  • 22. Molski M., Łacheta M.: Przewodnik audytora systemów informatycznych. Gliwice, 2007, Helion
  • 23. Marciniak M.: Jak zmierzyć bezpieczeństwo „Computerworld” 2009 18/576 s. 29
  • 24. Marciniak M.: Realne bezpieczeństwo wirtualnych maszyn „Computerworld” 2009, 26-27/863 s. 26-27
  • 25. Marciniak M.: Szyfrujcie dane na notebookach „Computerworld” 2009, 33/867 29
  • 26. Guzik A.: Zagrożenia dla bezpieczeństwa informacji i ich identyfikacja „Ochrona mienia i informacji” 2009, 6/2009 s. 8-10
  • 27. www.wikipedia.pl
  • 28. www.ensi.net
  • 29. pl. wikipedia.org
  • 30. firma.locos.pl/
  • 31. www.i-slownik.pl/1,2541,fast, flux.html
  • 32. www.niebezpiecznik.pl
  • 33. www.iso2700.pl
  • 34. www.securitystandard.pl
  • 35. www.kaspersky.pl
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-80743049-bea5-4bbb-b42b-96d164b520e9
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.