PL
 |
EN
Ograniczanie wyników
Czasopisma help
  1. 2 Logistyka
  2. 2 Nowa Energia
  3. 2 PAK
  4. 2 Pomiary Automatyka Kontrola
  5. 2 Prace Naukowe Akademii im. Jana Długosza w Częstochowie. Technika, Informatyka, Inżynieria Bezpieczeństwa
Więcej...
Autorzy help
  1. 3 Białas A.
  2. 2 Bialas A.
  3. 1 Andrukiewicz E.
  4. 1 Babś Aleksander
  5. 1 Białas K.
Więcej...
Lata help
  1. 1 2021
  2. 2 2019
  3. 4 2018
  4. 1 2017
  5. 2 2016
Więcej...
Preferencje help
Polish version English version Język
Widoczny [Schowaj] Abstrakt
Liczba wyników

Znaleziono wyników: 27

Liczba wyników na stronie
first rewind previous Strona / 2 next fast forward last
Wyniki wyszukiwania
Wyszukiwano:
w słowach kluczowych:  IT security
help Sortuj według:

help Ogranicz wyniki do:
first rewind previous Strona / 2 next fast forward last
1
Cyberbezpieczeństwo falowników fotowoltaicznych
Babś Aleksander
Wiadomości Elektrotechniczne
|
2021
|
R. 89, nr 4
25--27
PL
W artykule przedstawiono stan obecny instalacji fotowoltaicznych, sposób komunikacji z tymi falownikami i wynikające stąd zagrożenia dla bezpieczeństwa systemu elektroenergetycznego lokalnej sieci informatycznej. Opisano możliwy scenariusz naruszeń bezpieczeństwa funkcjonalnego i informatycznego oraz wskazano na możliwe sposoby przeciwdziałania takim zagrożeniom.
EN
The article presents the current state of photovoltaic installations, the method of communication with these inverters and the resulting threats to the security of the power system and the local IT network. A possible scenario of violations of functional and IT security was described and possible ways of counteracting such threats were indicated.
2
Content available Bezpieczeństwo przyrządów pomiarowych – transmisja danych
Mosiądz Michał, Sobiech Janusz, Wójcik Jacek
Zeszyty Naukowe Wydziału Elektrotechniki i Automatyki Politechniki Gdańskiej
|
2019
|
Nr 66
55--58
PL
Zabezpieczenie transmisji danych urządzeń pomiarowych jest ważnym obszarem bezpieczeństwa cyfrowego determinującym rzetelność pomiaru. Metody ochrony takie jak ograniczenie dostępu do zasobów systemu, czy techniki uwierzytelnienia i kodowania informacji utrzymują ryzyko transmisji cyfrowej w akceptowalnych granicach. Jednakże w praktyce wciąż wykrywane są elementarne luki zabezpieczeń sieciowych w przyrządach pomiarowych. Temat zabezpieczeń transmisji danych w rozwiązaniach metrologicznych jest więc aktualny. W nowych urządzeniach wprowadzanych na rynek, przesyłanie wyników pomiarów jest pożądaną funkcjonalnością. W entuzjazmie korzystania z dostępu online nie można zapomnieć o testowaniu bezpieczeństwa, badaniach oraz kontroli. Na straży wiarygodności pomiaru, poza rozwiązaniami informatycznymi, stoją regulacje prawne, normy oraz wytyczne organizacji metrologicznych. Zawarte w nich wymogi i zalecenia opisują metodykę testów wyszczególniając ochronę transmisji danych w przyrządach pomiarowych.
EN
Securing data transmission in measuring instruments is the important area of digital security, which determines the reliability of measurement. Methods of protection such as limited access to system resources or the use of authentication and information encoding techniques keep the risk of digital transmission in acceptable limits. However, in practice elementary security gaps are still detected in measuring instruments. The subject of securing data transmission is up-to-date in metrological solutions. In new devices placed on the market, sending measurement results is a desired functionality. In enthusiasm over using online access, we cannot forget about testing security, researches and control. IT solutions, legal regulations, standards and guidelines of metrological organizations uphold the reliability of measurement. Requirements and recommendations contained in them, describe the methodology of tests, specifying the protection of data transmission in measuring instruments.
3
Content available Security Assurance in DevOps Methodologies and Related Environments
Siewruk Grzegorz, Mazurczyk Wojciech, Karpiński Andrzej
International Journal of Electronics and Telecommunications
|
2019
|
Vol. 65, No. 2
211--216
EN
The biggest software development companies conduct daily more than hundreds deployments which influence currently operating IT (Information Technology) systems. This is possible due to the availability of automatic mechanisms which are providing their functional testing and later applications deployment. Unfortunately, nowadays, there are no tools or even a set of good practices related to the problem on how to include IT security issues into the whole production and deployment processes. This paper describes how to deal with this problem in the large mobile telecommunication operator environment.
4
Content available Wybrane aspekty wdrażania RODO
Pólkowski Z.
Zeszyty Naukowe Uczelni Jana Wyżykowskiego. Studia z Nauk Technicznych
|
2018
|
Nr 7
9--20
PL
Globalizacja i rozwój technologii informacyjnych i komunikacyjnych (ICT) spowodowały istotne zmiany w administracji publicznej i biznesie w Unii Europejskiej. Wprowadzone 25 maja 2018 r. ogólne rozporządzenie o ochronie danych (RODO) uwzględnia zachodzące zmiany, rozsądnie regulując aspekty przetwarzania i ochrony danych. RODO stosuje nowe podejście do oceny ryzyka. Celem niniejszego artykułu jest przedstawienie wybranych zagadnień związanych z wdrażaniem RODO. W pierwszej części artykułu przedstawiono podstawowe założenia RODO. W kolejnej zawarto analizę literatury i przepisów prawnych. Ostatnia część pracy koncentruje się na omówieniu wybranych rekomendacji dotyczących RODO. Opracowanie zawiera zalecenia, które wynikają z przeprowadzonych przez Autora działań związanych z wdrażeniem RODO i pełenieniem funkcji Inspektora Ochrony Danych Osobowych. Zawarte w pracy treści mogą być bezpośrednio wykorzystane zarówno przez osoby odpowiedzialne za ochronę danych, menadżerów, jak i informatyków. Ponadto opracowanie może być przydatne dla wykładowców i studentów podczas zajęć dydaktycznych na wielu kierunkach studiów.
EN
Globalization and development of Information and Communication Technology (ICT) have caused significant changes in public administration and business in the European Union. The General Data Protection Regulation (GDPR), introduced on 25 May 2018, takes into account the implemented changes, reasonably regulating the aspects of data processing and protection. The GDPR applies a new approach to risk assessment. The purpose of this article is to present selected issues related to the implementation of the GDPR. The first part of the article presents the basic assumptions of the GDPR. The next contains an analysis of literature and legal provisions. The last part of the work focuses on discussing selected recommendations regarding the GDPR. The study contains recommendations that result from the activities carried out by the author related to the implementation of the GDPR and his experience as the Inspector of Personal Data Protection. The content contained in the work can be directly used by persons responsible for data protection, managers as well as IT specialists. In addition, the study may be useful for lecturers and students during didactic classes in many fields of study.
5
Content available Cyberprzestrzeń współczesnym miejscem przestępstwa
Noga H., Małodobry Z., Jarczak J.
Prace Naukowe Akademii im. Jana Długosza w Częstochowie. Technika, Informatyka, Inżynieria Bezpieczeństwa
|
2018
|
T. 6
421--431
PL
Od drugiej dekady XXI wieku do chwili obecnej obserwujemy ciągły rozwój sieci komputerowej. Towarzyszą temu zagrożenia różnego typu przestępczością. W opracowaniu ukazano terminy i wyrażenia związane z cyberprzestępczością oraz wskazano na możliwości związane z występowaniem przestępstw i przeciwdziałaniem im w przestrzeni internetowej. Przytoczono również terminologię związaną z cyberterroryzmem i cyberbezpieczeństwem, która dotychczas nie została wprowadzona do przepisów międzynarodowych jako ogólnie akceptowalna. Zwrócono także uwagę, że nie można pominąć ograniczeń i braku kontroli nad nowymi technologiami i możliwościami Internetu dla przeciętnego użytkownika.
EN
From the second decade of the 21st century to the present, we observe the continuous development of the computer network. This is accompanied by threats of various types of crime. The paper presents terms and expressions related to cybercrime and indicates the possibilities related to the occurrence and counteracting of crimes in the Internet space. The terminology related to cyberterrorism and cybersecurity was also cited, which has not been introduced into international regulations as generally acceptable. It was also pointed out that the limitations and lack of control over new technologies and Internet possibilities for the average user can not be overlooked.
6
Content available Wzmacniaj swoje bezpieczeństwo informatyczne
Szulc Tadeusz
Nowa Energia
|
2018
|
nr 3
56--58
7
Content available Ile kosztuje bezpieczeństwo informatyczne?
Szulc T.
Nowa Energia
|
2018
|
nr 4
82--84
8
Content available remote Urządzenia zabezpieczające ze zintegrowanym switchem sieciowym. Jeszcze bardziej bezpieczne i bardziej opłacalne
Hilgenkamp I.
Napędy i Sterowanie
|
2017
|
R. 19, nr 6
28--31
PL
Obecnie wiele dyskusji prowadzi się na temat kwestii cyberbezpieczeństwa i jego optymalizacji. Jednak wiele firm nie ma nawet konkretnego wyobrażenia o rodzajach zagrożeń, którym muszą stawić czoło. Dzięki nowym Urządzeniom Bezpieczeństwa FL mGuard RS2000 i RS4004 Phoenix Contact oferuje urządzenia z innowacyjnymi funkcjami, które skutecznie chronią sieć przed wieloma rodzajami ataków.
9
Content available The principles of classified information protection handled in communication and information systems within the realisation of European Defence Agency research projects
Sobczyński T.
Zeszyty Naukowe Akademii Marynarki Wojennej
|
2016
|
R. 57 nr 4 (207)
87--100
EN
The article presents the aspects of Communication and Information Systems security principles for classified Information Security Management System implemented within the realization of European Defence Agency research and technology projects. In the content of article, author characterised the rules and procedures, resulting from the legal acts, which regulates IT security procedures of classified information processing, obtained during the realisation of research process. Special attention has been focused on the European Defence Agency projects during which common IT security procedures are very important to provide not only the proper level of secrecy but also to ensure confidentiality, integrity and availability of all information processed during the research process.
PL
W artykule zaprezentowano aspekty organizacji ochrony systemów teleinformatycznych wykorzystywanych w ramach systemu zarządzania bezpieczeństwem informacji niejawnych wytwarzanych, przetwarzanych i przechowywanych dla potrzeb realizacji prac naukowo-badawczych Europejskiej Agencji Obrony. Przedstawiono zasady oraz procedury wynikające z uregulowań prawnych normujących przetwarzanie informacji klauzulowanych w systemach teleinformatycznych. Szczególną uwagę zwrócono na zachowanie podstawowych cech sytemu ochrony informacji mających na celu zapewnienie poufności, integralności oraz dostępności informacji wytworzonych w trakcie realizacji procesu badawczego.
10
Content available Application of the Clark-Wilson model for Business Intelligence System security improvement
Buława P., Kowalczyk M.
Challenges of Modern Technology
|
2016
|
Vol. 7, no. 3
16--19
EN
This paper presents the theoretical issues of data security in information systems, a practical implementation of the Clark-Wilson model on the example of Business Intelligence tool, performing the function of a telecommunications operator sales module, and an evaluation of the increase of security of the system created, using risk analysis.
11
Content available remote Certyfikacja w zakresie „common criteria” : wstępna koncepcja budowy polskiego modelu bezpieczeństwa teleinformatycznego
Lewandowski R.
Studia Bezpieczeństwa Narodowego
|
2015
|
R. 5, Nr 7
131--143
PL
W artykule przedstawiono zagadnienie weryfikacji bezpieczeństwa systemów teleinformatycznych w oparciu o normę „common criteria”. Stanowi ona obecnie międzynarodowy standard m.in. w odniesieniu do dokumentów elektronicznych. Z tego względu zarówno sama norma, jak i model certyfikacji w zakresie „common criteria” mają fundamentalne znaczenie dla bezpieczeństwa państwa, a w szczególności bezpieczeństwa identyfikacyjnego obywateli. Analiza modelu certyfikacji w zakresie „common criteria” oraz relacja tej certyfikacji z bezpieczeństwem państwa prowadzi do wniosku o konieczności stworzenia w Polsce struktur organizacyjnych zapewniających przedmiotową certyfikację. W artykule zaprezentowano propozycję krajowego modelu bezpieczeństwa teleinformatycznego w oparciu o certyfikację „common criteria”. W modelu tym kluczowe funkcje pełnią Polskie Centrum Akredytacji, Agencja Bezpieczeństwa Wewnętrznego (lub Narodowe Centrum Kryptologii) oraz Centralny Ośrodek Informatyki (lub Instytut Maszyn Matematycznych).
EN
The paper presents the issue of verification of IT security on the basis of the Common Criteria standard. This standard is currently internationally recognized among others in the field of electronic documents. For this reason both the standard and the Common Criteria certification model are critical for the national security and especially the identification security of citizens. The analysis of the Common Criteria certification model as well as the relationship between this certification and the national security lead to the conclusion that in Poland it is necessary to establish organizational structures which will provide the said certification. A draft of the domestic IT security model, based on the Common Criteria certification, is presented in the paper. In this model the key functions are played by the Polish Centre for Accreditation, the Internal Security Agency (or the National Centre for Cryptology) and the Central IT Establishment (or the Institute of Mathematical Machines).
12
Wpływ obfuskacji na parametry techniczne projektów sprzętowych na bazie układów Altery
Brzozowski M.
Logistyka
|
2014
|
nr 4
3854--3862
PL
W artykule, w szczególności, zwrócono uwagę na ochronę własności intelektualnej za pomocą metod obfuskacyjnych. Kolejnym etapem przedstawionych badań był ich wpływ na parametry techniczne projektu po zsyntezowaniu dla układów programowalnych produkcji firmy Altera – obecnie jednego z największych dostawców rozwiązań reprogramowalnych. W artykule została wykazana możliwość zastosowania obfuskacji w ochronie projektów sprzętowych.
EN
In the article, in particular, highlighted the protection of intellectual property through obfuscation methods. The next phase of this research was the impact on the technical parameters of the synthesized design for programmable devices manufactured by Altera - currently one of the largest reprogrammable solution providers. The article has presented the possibility of using obfuscation in the protection of hardware designs.
13
Problematyka bezpieczeństwa informacji w systemach ITS
Siergiejczyk M., Wawrzyński W.
Logistyka
|
2014
|
nr 4
PL
W artykule zaprezentowano zagadnienia związane z analizą otoczenia telekomunikacyjnego ITS. Przeanalizowano wybrane aspekty przeciwdziałania zagrożeniom, które mogą być istotnym czynnikiem wpływającym na bezpieczeństwo funkcjonowania systemu transportowego. Dokonano analizy zagrożeń w systemach informatycznych ITS. Przedstawione zagrożenia mogą być istotnym czynnikiem wpływającym na bezpieczeństwo funkcjonowania systemu transportowego. Stopień wrażliwości na przekłamanie lub brak informacji dla jest różny dla poszczególnych kategorii systemów ITS. W związku z zagrożeniami wymienionymi powyżej dla systemów transmisji informacji w ITS proponuje się odpowiednie środki bezpieczeństwa
EN
The article presents the issues related to the analysis of the ITS telecommunications environment. There is an analysis of the selected aspects of the prevention of threats, which can be an important factor affecting the safety functioning of transport system. There is also an examination of risks in information systems in ITS. The above risks could be an important aspect affecting the safety of functioning of the transport system. The degree of sensitivity of misrepresentation or lack of information is different for each category of ITS systems. In relation to the risks mentioned above for information transmission systems we suggested the relevant security measures in ITS systems.
14
Content available Bezpieczeństwo informacji w świetle narastających zagrożeń związanych z rozwojem nowych technologii
Błaszczeć P.
Prace Naukowe Akademii im. Jana Długosza w Częstochowie. Technika, Informatyka, Inżynieria Bezpieczeństwa
|
2013
|
T. 1
235--245
PL
Od kilku lat tematy związane z bezpieczeństwem są na ustach wielu osób. Bezpieczeństwo nas otacza i wszyscy chcą mieć pewność, by zarówno my sami, ale też krytyczne dla nas informacje były bezpieczne. Zmienia się świat, zmieniają się nasze potrzeby, zmienia się także nasze spojrzenie na bezpieczeństwo. W ten sposób odchodzimy od najprostszego sposobu poprawienia świata, by był bezpieczniejszy, stosując takie rozwiązania, jak ograniczenia i zakazy. Szczególnie jest to widoczne w podejściu do informacji, do której po prostu chcemy mieć dostęp w każdej chwili, ale z drugiej strony, która ma być bardzo dobrze zabezpieczona przed jakimkolwiek wyciekiem. By to zapewnić, korzystamy z coraz większej liczby udogodnień, a nowe technologie niosą wiele ułatwień, ale też przynoszą nowe ryzyka, z których wiele osób kompletnie nie zdaje sobie sprawy. „Bezpieczeństwo jest procesem, a nie produktem” - o tym powinniśmy pamiętać.
EN
For several years, security issues are spoken by many people. Information Security surrounds us and we want to make sure that both we and also our critical information are secure. The world is changing, our needs are changing all the time and we also change the way we look at information security. In this way, we depart from the simplest way to improve the world a safer place by using solutions such as the limits and prohibitions. This is particularly evident in the approach to information which we just want to have access at any time, but on the other hand, which have to be very well protected against any leakage. On the other hand, in order to ensure this, we use more and more features and new technologies bring many facilities as well as new risks, that many people completely unaware. "Security is a process not a product" and that we should keep in mind.
15
Content available Bezpieczeństwo IT : siedem grzechów głównych
Chrząszcz A.
Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki
|
2012
|
nr 7
47--65
PL
W pracy opisane zostaną najczęstsze błędy popełniane w planowaniu, wdrażaniu, a zwłaszcza w procesie zarządzania i utrzymania należytego i oczekiwanego poziomu bezpieczeństwa infrastruktury IT. Znajdą się tu zarówno przykłady błędów skutkujących zagrożeniami zewnętrznymi jak i wykroczeń oraz naruszeń bezpieczeństwa skutkujących zagrożeniami ze strony wewnętrznych użytkowników. Dokument wskazuje także na istotną rolę jaką pełni świadomość bezpieczeństwa oraz jak rozwiązania techniczne wsparte polityką bezpieczeństwa wymuszają właściwe procedury zarządzania i kontroli systemów IT. Artykuł zawiera także wskazówki podpowiadające jak skutecznie minimalizować opisane zagrożenia. W opraco-waniu autor opisuje subiektywne spostrzeżenia i opinie dzieląc się z czytelnikiem wiedzą wynikającą z wieloletniej praktyki w dziedzinie bezpieczeństwa teleinformatycznego.
EN
This Article describes common mistakes in IT infrastructure design, implementation and especially in further maintenance and security management. There are examples of error causing external threats as well as security breaches related to internal users. Documents points out leading role of security awareness, and highlights the importance of close relation between technical solutions and implemented Security Policy requirements imposing appropriate IT management and control procedures. In this article you can find tips and tricks allowing successfully reduce risk level. Author presents his personal point of view and introduces conclusions, based on his practical knowledge and many years IT security experience.
16
Content available remote Security-related design patterns for intelligent sensors requiring measurable assurance
Bialas A.
Przegląd Elektrotechniczny
|
2009
|
R. 85, nr 7
92-99
EN
The paper deals with the IT security development process concerning intelligent electronic devices. When they are used for high risk applications, they require measurable assurance that can be provided by the Common Criteria methodology. On the motion sensor of a digital tachograph example, the complete security specification was elaborated. Additionally, thanks to the author's applied method, these specification items can be easily reused for a broader class of devices. This way security-related design patterns for intelligent sensors were elaborated.
PL
Artykuł dotyczy procesu konstruowania zabezpieczeń informatycznych w odniesieniu do inteligentnych urządzeń elektronicznych. Ich stosowanie w systemach obarczonych wysokim ryzykiem wymaga, by cechowały się one mierzalnym, uzasadnionym zaufaniem (wiarygodnością), które może zapewnić metodyka Common Criteria. Wypracowano kompletną specyfikację bezpieczeństwa dla czujnika ruchu tachografu cyfrowego. Dzięki autorskiej metodzie jej elementy mają charakter wzorców projektowych do opracowania szerszej grupy podobnych urządzeń (czujników)
17
Content available remote Ontological approach to the motion sensor security development
Bialas A.
Przegląd Elektrotechniczny
|
2009
|
R. 85, nr 11
36-44
EN
The paper deals with the IT security development process of the digital tachograph motion sensor having a claimed assurance level. The method, based on the Common Criteria standard and knowledge engineering, is presented and exemplified on the elaboration of the motion sensor security target and the evidences provided for the evaluation. The presented approach improves the preciseness of the security specifications and their reusability. The specifications elements can be considered as design patterns for other projects of similar intelligent electronic devices.
PL
Artykuł dotyczy procesu konstruowania zabezpieczeń czujnika ruchu tachografu cyfrowego o mierzalnym poziomie uzasadnionego zaufania (wiarygodności). Przedstawiono podejście oparte na standardzie Common Criteria oraz metodach inżynierii wiedzy. Opracowano ontologię oraz bazę wiedzy, które zastosowano do wypracowania specyfikacji bezpieczeństwa oraz materiału dowodowego przedkładanego do oceny i certyfikacji. Podejście zapewnia większą dokładność specyfikacji i możliwość jej ponownego wykorzystania w podobnych projektach, jako wzorców projektowych zapisanych w bazie wiedzy.
18
Content available remote A language for security issues specification during the IT security development process
Białas A.
Theoretical and Applied Informatics
|
2008
|
Vol. 20, No. 2
125-145
EN
The paper deals with the modelling of IT (Information Technology) security development process to be compliant with the Common Criteria (ISO/IEC 15408) family of standards. The paper concerns a more extensive project of the IT security development framework (ITSDF) but special attention is paid to improving and extending the means used to build the IT security specification. A dedicated language is proposed to define specification means for development stages other than the security requirement elaboration stage for which the standard does not provide specification means. The proposed means, called “enhanced generics”, can be used to specify items for the security environment, objectives, environmental requirements and the security functions. The enhanced generics have similar features as the components of the security requirements. They have a well defined structure and allow operations (iteration) on themselves. This solution, instead of the informal textual descriptors, ensures better preciseness of the security features description. The key element of the paper is the formal grammar of generics. It allows to derive all possible “legal” enhanced generics. They have semiformal character and features, similarly to the functional and assurance components defined by the standard to specify the security requirements. The paper, concluding an earlier informal approach, introduces syntax and semantics definitions based on the formal grammar and approach used to define the OCL language formally. The proposed means make security specifications more precise and coherent, allowing to reach the assurance level more easily. Moreover, this approach allows to create an IT security development tool in which the specification means are implemented as the design library elements.
PL
Artykuł dotyczy wybranych zagadnień modelowania procesu konstruowania produktów lub systemów teleinformatycznych zawierających elementy zabezpieczeń, zgodnie z wymaganiami określonymi we “Wspólnych kryteriach oceny zabezpieczeń teleinformatycznych” (ISO/IEC 15408) i w standardach z nim związanych. Dotyczy on szerzej zakrojonych prac autora nad szkieletowym systemem konstruowania zabezpieczeń (ITSDF – IT security development framework). Skupiono w nim uwagę na udoskonaleniu i rozszerzeniu środków do tworzenia specyfikacji modeli bezpieczeństwa produktów lub systemów teleinformatycznych. Zaproponowano dedykowany język do specyfikowania własności bezpieczeństwa dla wszystkich etapów konstruowania, innych niż etap definiowania wymagań bezpieczeństwa. Należy nadmienić, że w standardzie Wspólne kryteria tylko dla tego etapu określono środki specyfikacji, czyli komponenty funkcjonalne i uzasadniające zaufanie. Natomiast dla etapów wypracowania: otoczenia zabezpieczeń (“problemu bezpieczeństwa” według wersji 3.1 standardu), celów zabezpieczeń, wymagań dla środowiska eksploatacji oraz funkcji zabezpieczających, dotychczas takich środków nie zdefiniowano. Konstruktorzy zabezpieczeń stosują więc opisy słowne lub zwięzłe, ale dość swobodnie zdefiniowane, sformułowania oznaczane etykietami, które zwane są potocznie generykami. Autor w swej publikacji zaproponował udoskonalenie tego sposobu opisu. Zaproponowane w publikacji środki specyfikacji, z racji swych możliwości, nazwano “udoskonalonymi generykami” (enhanced generics). Są one przeznaczone dla tych etapów konstruowania, dla których dotychczas było brak środków opisu. Podobnie jak zdefiniowane przez standard komponenty wymagań bezpieczeństwa – funkcjonalne oraz uzasadniające zaufanie, wspomniane udoskonalone generyki mają charakter półformalny. Udoskonalone generyki dorównują precyzją i możliwościami komponentom zdefiniowanym w standardzie i razem z tymi komponentami stanowią spójny zbiór środków specyfikacji dla wszystkich etapów konstruowania zabezpieczeń. Mogą posiadać parametry, pod które można podstawiać inne generyki. Pozwala to na iterację, czyli wielokrotne umieszczanie danego generyka w specyfikacji, ale z różnymi podstawionymi wartościami parametrów, np. tego samego zagrożenia z różnymi agentami zagrożenia i atakowanymi zasobami (Przykład 3). Na wzór uszczegółowienia (ang. refinement) komponentu wprowadzono operację uszczegółowienia generyka. Nowum stanowi możliwość wyprowadzania z danego generyka generyków pochodnych (ang. derived), a przede wszystkim predefiniowane ciągi generyków wspomagające rozwiązywania problemów bezpieczeństwa przez konstruktora (ang. supporting chains). Dla danego zagrożenia (reguły polityki bezpieczeństwa czy założenia) przypisano bowiem typowe dla niego cele bezpieczeństwa, które dany problem rozwiązuja˛. Z kolei każdy cel ma przypisane typowe komponenty funkcjonalne, które go wyrażają “w języku wspólnych kryteriów”, zaś pogrupowane komponenty mają przypisane typowe funkcje bezpieczeństwa, które należy zaimplementować w produkcie lub systemie informatycznym. Konstruktor zabezpieczeń, bazując na “typowych”, predefiniowanych rozwiązaniach ma znacznie ułatwioną pracę podczas tworzenia i uzasadniania zadania zabezpieczeń (ang. ST- Security target) lub profilu zabezpieczeń (ang. PP- Protection Profile). Na tle stosowanych dotychczas nieformalnych środków specyfikacji (sformułowań tekstowych, prostych generyków), artykuł pokazuje ich ewolucję do postaci “udoskonalonych generyków”. Pierwszym krokiem była próba określenia stosowanego, lecz nigdzie jeszcze nie zdefiniowanego pojęcia “generyk” (Definicja 1). Następnie podano definicję udoskonalonego generyka, stosując popularną wśród użytkowników standardu notację z kropką (Definicja 2). Stało się to podstawą zdefiniowania składni (Definicja 3) i samego języka (Definicja 4). W ten sposób określono wszystkie możliwe nazwy generyków, nie precyzując jednak ich znaczenia. W celu zdefiniowania semantyki (sekcja 4) posłużono się metodą z rozprawy doktorskiej Richtersa, za pomocą której zdefiniowano semantykę języka OCL (Object Constraint Language), wykorzystywanego do precyzyjnego modelowania w UML (Unified Modeling Language). Istota metody tkwi w przypisaniu interpretacji do stosowanych literałów. W tym sensie środki specyfikacji własności bezpieczeństwa stały się zgodne z językiem OCL i mogą być traktowane jako jego podzbiór. Szerzej te zagadnienia prezentuje monografia [5]. Opisany powyżej zbiór środków do specyfikowania, obejmujący udoskonalone generyki oraz zdefiniowane przez standard komponenty, dzięki zastosowanym formalizmom, pozwala na większą spójność i dokładność modeli oraz na implementacje˛ programowa˛w postaci elementów bibliotecznych systemów wspomagania konstruowania zabezpieczeń teleinformatycznych.
19
Semiformal common criteria compliant it security development framework
Białas K.
Studia Informatica
|
2008
|
Vol. 29, nr 2B
3-267
EN
The monograph presents an IT Security Development Framework (1TSDF) based on the Common Criteria (ISO/IEC 15408) family of standards for the product designers and evaluators. The system, compliant with ISO/IEC TR 15446, is based on the enhanced concept of generics, advanced functionality, recent information security management standards, and risk analysis. A computer-aided tool was developed with the use of the UML-based (Unified Modelling Language) framework presented there. Due to the semiformal character of the Common Criteria and the UML methodologies, the framework has a semiformal character too. The formal, OCL-based (Object Constraint Language) method elements were introduced for the selected areas of the framework, where they can bring real advantages, especially to improve the specification means. The introductory part of the monograph presents the key term, i.e. the assurance, and general Common Criteria approach to provide the assurance of the IT product or systems. Rigorous IT product or system development to reach assurance is very complicated due to many details, feedbacks, auxiliary analysis and step-by-step rationale. The development is laborious and requires expert knowledge. These difficulties are seen as a barrier to the dissemination of IT solutions of the higher assurance. The motivation of the work presented in the monograph is how to improve the IT security development process, i.e. how to perform it more precisely, formally, consistently, and more effectively, i.e. more quickly and cheaply. The proposed solution to the problem is based on the UML/OCL approach, hence selected issues dealing with the application of this methodology in the information security domain are provided. At the end of the introductory chapter the general concept of the UML/OCL framework for IT security development is summarized together with the means and ways to develop this framework. The second chapter presents general background of the elaborated IT Security Development Framework and its software implementation. At the beginning, the current state of technology was reviewed, with focus on the gaps identification. The review includes the most relevant publications on: IT security development process, general modelling aspects, UML and OCL implementation, semiformal and security engineering methods, particularly concerning Common Criteria, and computer-aided tools. The relationships between IT product or system development process and their IT security development process is discussed. Additionally, this chapter gives a summary of the Common Criteria development process, identifying points whose support for the developers is especially required (i.e. developers' needs) and, generally, presents the concept of the developed framework (main structural model and the state machine representing its elaboration). Short discussion of the available specification means is added, that is the motivation to improve them. The concept presented in the monograph, dealing with the elaboration of the IT Security Development Framework, encompasses two basic issues: o creating the means to build the security specifications, i.e. "a security property language", o workout of the semiformal (UML/OCL-based) model of this development process. The first issue is discussed in the chapter 3, the second in chapters 4-10, each related to one section of the CC-defined Security Target (ST) presenting the IT product/system security requirements. Common Criteria include semiformal specification means, i.e. components only to specify the functional and assurance security requirements. Due to the absence of adequate specification means for other IT security development stages (the TOE security environment, TOE security objectives, security requirements for the environment, security functions), the monograph provides the set of enhanced generics which, together with the above mentioned components, constitutes a coherent set of the means, i.e. a language to carry out security specifications (ST). The common, UML/OCL-based model for these means is assumed. This creates quite new possibilities for developers, making the development process easier and more precise, e.g. operation on specification elements, decision support, coverage analysis, risk analysis, better compliance with the information security management, etc. Chapters 4 to 10 encompass the whole IT security development process compliant with the Security Target structure. Instead of commonly used informal textual descriptors, the UML models, supported by the OCL, were applied to specify this framework. The initial stage of the development methodology focuses on capturing the basic features of an IT product or system as "input data". The ST introduction is elaborated, presenting general features of the IT product or system, called there Target of Evaluation (TOE). On this basis the TOE security environment, presenting threats, security policy rules and assumptions, is worked out. The security objectives covering the identified security problems are elaborated with the use of the TOE security environment specification. The security objectives are used to specify the security requirements - functional and assurance. The functional security requirements allow to define the security functions which are implemented at the EAL-described(EAL1-EAL7) rigour level. A very important issue is the rationale processes which is obligatory between development stages. The monograph concerns development, hence the TOE evaluation against the declared EAL is presented there in a concise way in the chapter 11. The evaluation model compliant with the Common Criteria methodology is presented. Although the monograph is focused on the theoretical aspects of the ITSDF framework, please note that this framework was implemented as the computer-aided tool both for the development and evaluation. The author, referring for details to technical documentation and the demo version of the software tool, shows basic implemented issues, like the design library containing hundreds of specification means, wizard providing step-by-step assistance to developers, design support by the predefined supporting chains, visualization facilities, automatically generated ST, design evaluation, etc. The final chapter, 13, summarizes the objectives, range and results of the whole work. The five appendices of the monograph include: the basic Common Criteria terminology, selected OCL syntax and semantics used for the UML model representation in the monograph, selected cryptographic terms concerning the use of the UMLsec approach, basic principles of naming the terms, and an example illustrating the developed methodology with the use of a firewall design.
PL
Monografia dotyczy zagadnienia konstruowania zabezpieczeń wbudowywanych w produkty lub systemy informatyczne (IT) z zamiarem poddania niezależnej ocenie tych zabezpieczeń, zgodnie ze standardem ISO/IEC 15408 "Wspólne kryteria oceny zabezpieczeń teleinformatycznych" (Common Criteria). Dzięki specjalnej, rygorystycznej metodzie konstruowania, a potem niezależnej ocenie zabezpieczeń, poświadczanej certyfikatem, można dyskutować o uzasadnionym zaufaniu do zabezpieczeń (assurance). Jest ono mierzalne z wykorzystaniem tak zwanych poziomów uzasadnionego zaufania (Evaluation Assurance Levels), w zakresie od EAL1 do EAL7. Przypomnijmy, że pierwsza cześć wspomnianej normy prezentuje informacje ogólne - "filozofię" kreowania uzasadnionego zaufania do zabezpieczeń, druga zawiera katalog komponentów (elementarnych wymagań) funkcjonalnych, służących do modelowania zachowania zabezpieczeń, trzecia zaś - katalog komponentów opisujących uzasadnione zaufanie. Przedstawiana problematyka dotyczy bardzo szerokiego spektrum produktów informatycznych (sprzętu, oprogramowania, w tym układowego) oraz zbudowanych z nich systemów - określanych wspólnym mianem przedmiotów oceny (TOE - Target of Evaluation). Na tym tle niniejsza monografia prezentuje półformalny system szkieletowy do konstruowania zabezpieczeń informatycznych według ISO/IEC 15408, przeznaczony dla konstruktorów informatyków i elektroników oraz specjalistów oceniających zabezpieczenia. System szkieletowy zawiera model procesów konstruowania (struktury danych i działania) oraz modele środków do specyfikowania tworzonych projektów. Oferuje rozbudowane możliwości dla konstruktorów w zakresie wspomagania projektowania, w tym prowadzenia analizy rozwiązań, wspomagania decyzji oraz analizy ryzyka. Zachowana została zgodność ze standardami zarządzania bezpieczeństwem informacji w zakresie definiowania reguł polityki bezpieczeństwa. System opiera się również na wprowadzonej koncepcji tak zwanych zaawansowanych (rozszerzonych) generyków, wykorzystywanych obok komponentów funkcjonalnych i uzasadniających zaufanie do specyfikowania projektów zabezpieczeń. System szkieletowy opracowano, stosując szeroko język UML (Unified Modelling Language), co w rezultacie pozwoliło dokonać implementacji tych modeli i opracować komputerowe narzędzie wspomagające pracę konstruktorów. Zarówno Wspólne kryteria, jak i UML zaliczane są do metod półformalnych, stąd opracowany system szkieletowy posiada również taki charakter, aczkolwiek w sposób rozważny i z uwzględnieniem potencjalnych korzyści pewne jego elementy przedstawiono w sposób formalny, opierając się głównie na języku OCL (Object Constraint Language) oraz prostych operacjach na zbiorach. Rozdział 1., wprowadzający do monografii, wyjaśnia kluczowe pojęcie, jakim jest uzasadnione zaufanie oraz przedstawia, w świetle standardu Wspólne kryteria, w jaki sposób uzyskuje się uzasadnione zaufanie dla produktu lub systemu informatycznego podczas jego konstruowania, oceny i eksploatacji. Jest to trudne zadanie ze względu na konieczność zapanowania nad wieloma detalami, wzajemnymi zależnościami i sprzężeniami zwrotnymi w toku rygorystycznego procesu konstruowania. Pamiętajmy bowiem, że im większy stosuje się rygoryzm konstruowania, dokumentowania, testowania, analiz zachowania itp., tym wyższe może być uzasadnione zaufanie. Opracowywanie tego typu produktów lub systemów jest pracochłonne i wymaga specjalistycznej wiedzy, a trudności z tym związane są ciągle uznawane za barierę w ich upowszechnieniu. Motywacją do podjęcia pracy, której wyniki przedstawia niniejsza monografia, był zamiar udoskonalenia procesu konstruowania zabezpieczeń, tak by przez głębszą formalizację tego procesu poprawić dokładność i spójność projektów oraz obniżyć koszt i czas ich realizacji. W tym celu wykorzystano możliwości, jakie stwarza metodyka UML/OCL. Rozdział 2. przedstawia szeroko podstawy prowadzonych prac rozwojowych nad systemem szkieletowym, w tym jego implementacją w postaci oprogramowania wspomagającego działania konstruktorów. Dokonano przeglądu publikacji oraz istniejących rozwiązań technologicznych w tym zakresie (inżynieria zabezpieczeń, metody oparte na UML i ich rozszerzenia, metody i narzędzia wspomagające konstruowanie zabezpieczeń według Wspólnych kryteriów). Przedstawiono związki między procesem konstruowania produktu lub systemu a procesem konstruowania dla nich zabezpieczeń. Niniejsza praca dotyczy drugiego zagadnienia, aczkolwiek wymagało to również krótkiego wprowadzenia do pierwszego z nich, a także zwięzłego przedstawienia oceny zabezpieczeń, gdyż każda z tych kwestii decyduje o osiągnięciu uzasadnionego zaufania. Rozdział opisuje krótko proces konstruowania zabezpieczeń, potrzeby konstruktorów w zakresie wspomagania oraz ogólną koncepcję systemu szkieletowego w postaci struktury i maszyny stanowej. Koncepcja ta została rozwinięta w kolejnych rozdziałach pracy. Przedstawiona w monografii myśl dotyka dwóch podstawowych zagadnień: o opracowania środków (języka) do specyfikowania własności bezpieczeństwa produktów lub systemów informatycznych, zwanych przedmiotami oceny (TOE), o opracowania modelu procesu konstruowania zabezpieczeń z wykorzystaniem UML/OCL. Pierwsze zagadnienie zostało przedstawione obszernie w rozdziale 3, w rozdziałach od 4. do 10. pokazano zaś proces konstruowania zabezpieczeń informatycznych wyrażony w języku UML/OCL. Rozdziały od 4. do 10. odpowiadają strukturze dokumentu pt. "Zadanie zabezpieczeń" (ST - Security Target), określonego w standardzie, stąd są one różnej długości. Jak już wspomniano, Wspólne kryteria dostarczają półformalnych środków specyfikowania w postaci komponentów reprezentujących elementarne wymagania funkcjonalne albo uzasadniające zaufanie. Ze względu na brak odpowiednich środków specyfikowania dla pozostałych (innych niż wymagania bezpieczeństwa) etapów konstruowania (otoczenie zabezpieczeń, cele zabezpieczeń, wymagania otoczenia, funkcje zabezpieczające), w monografii wypełniono tę lukę oraz zdefiniowano zbiór tak zwanych zaawansowanych generyków i w ten sposób uzyskano kompletny oraz jednolity zestaw elementów półformalnych do tworzenia specyfikacji. Wykorzystano do tego celu właściwości języków UML i OCL. Stworzyło to całkiem nowe możliwości dla konstruktorów (elementy wspomagania decyzji podczas projektowania, analiza pokrycia elementów specyfikacji, analiza ryzyka, poprawa zgodności ze standardami zarządzania bezpieczeństwem informacji w zakresie reguł polityki bezpieczeństwa itp.) oraz umożliwiło późniejszą implementację programową modeli generyków i komponentów w postaci biblioteki projektowej. Rozdziały od 4. do 10. opisują całościowo proces konstruowania zabezpieczeń informatycznych, sprowadzający się do wypełnienia treścią struktury zadania zabezpieczeń (ST). Zamiast nieformalnych, mniej precyzyjnych określeń słownych, do budowy specyfikacji zastosowano elementy zamodelowane w UML ze wsparciem OCL. W pierwszym kroku metodyki konstruowania uwagę skupiono na zidentyfikowaniu podstawowych cech produktu lub systemu informatycznego, jako danych wejściowych dla kolejnych kroków postępowania. W rezultacie powstała specyfikacja wprowadzenia do ST, określająca podstawowe cechy przedmiotu oceny (TOE). Na tej podstawie, przy pewnych założeniach dotyczących TOE i jego środowiska, analizowane są zagrożenia oraz ustalane są reguły polityki bezpieczeństwa TOE, co prowadzi do wypracowania specyfikacji otoczenia zabezpieczeń przedmiotu oceny (w nowszej wersji standardu zwanej określeniem problemu bezpieczeństwa) jako kolejnej sekcji ST. Zidentyfikowane problemy (zagrożenia, reguły polityki, założenia) należy teraz pokryć ich rozwiązaniami, czyli celami zabezpieczeń dla TOE i jego środowiska eksploatacyjnego, w wyniku czego powstanie specyfikacja celów zabezpieczeń. Z kolei te cele należy przetransformować w bardziej sformalizowaną postać, to znaczy w wymagania bezpieczeństwa (funkcjonalne i uzasadnienia zaufania) dla TOE i jego środowiska. Wymagania co do uzasadnienia zaufania do TOE wynikają głównie z poziomu uzasadnionego zaufania (EAL) zadeklarowanego dla przedmiotu oceny. Wymagania funkcjonalne dla TOE są transformowane na funkcje zabezpieczające, wymagania uzasadniające zaufanie decydują zaś o stopniu rygoryzmu stosowanego przy implementowaniu tych funkcji w konkretnym produkcie lub systemie informatycznym. Niezwykle istotnymi, a zarazem trudnymi dla konstruktorów, są procesy uzasadniania transformacji jednej specyfikacji w drugą, to znaczy uzasadniania: celów zabezpieczeń opracowanych na podstawie otoczenia, wymagań bezpieczeństwa wyprowadzonych z tych celów oraz funkcji zabezpieczających, wynikających z wymagań funkcjonalnych. Monografia dotyczy konstruowania zabezpieczeń, stąd zagadnienie ich oceny z uwzględnieniem deklarowanego poziomu EAL przedstawiono w rozdziale 11. dość skrótowo, ograniczając się tylko do modeli ogólnych, aczkolwiek i one zostały zaimplementowane w komputerowym narzędziu wspomagającym. Należy zwrócić uwagę, że chociaż praca dotyczy zagadnień teoretycznych związanych z modelowaniem w dziedzinie inżynierii zabezpieczeń, to również posiada ona duży wymiar praktyczny, gdyż opracowane modele zostały zaimplementowane w postaci narzędzia do wspomagania pracy konstruktorów zabezpieczeń informatycznych, a także oceniających te zabezpieczenia. Zagadnienia implementacji przedstawiono skrótowo w rozdziale 12., odwołując się do dokumentacji technicznej narzędzia i jego wersji demonstracyjnej. Przedstawiono więc m.in. przykłady dotyczące: biblioteki projektowej, zawierającej setki uporządkowanych generyków i komponentów, kreatora projektów implementującego prezentowane w monografii diagramy czynności, wizualizacji wybranego łańcucha generyków i komponentów oraz automatycznego tworzenia zadania zabezpieczeń, a potem jego oceny. Rozdział 13. stanowi podsumowanie (osiągnięte rezultaty, uzyskane doświadczenia, plany dotyczące rozwoju) pracy, przedstawionej w monografii oraz w innych publikacjach autora z nią związanych. Monografia zawiera załączniki dotyczące kolejno: podstawowej terminologii związanej z metodyką Wspólne kryteria, składni i semantyki OCL wykorzystywanych dla bardziej precyzyjnego opisu opracowanych modeli UML, zasad notacji wyrażeń kryptograficznych związanych z zapewnieniem zgodności z możliwą do pomocniczego zastosowania formalną metodyką UMLsec, objaśnienia konwencji stosowanych nazw oraz przykład dotyczący zadania zabezpieczeń dla systemu zaporowego.
20
Content available Implementacja procesu klasyfikacji danych z użyciem układów reprogramowalnych
Botowicz J.
Pomiary Automatyka Kontrola
|
2008
|
R. 54, nr 8
532-535
PL
W artykule opisano różne problemy klasyfikacji danych oraz podano dziedziny w których mają one zastosowanie. Następnie przedstawiono architekturę systemu, w którym będzie możliwe zaimplementowanie podanych wcześniej przez innych autorów, sprawdzonych już algorytmów klasyfikacji danych i wsparcie ich działania poprzez specjalizowane układy sprzętowe. Podano wyniki (w postaci skuteczności klasyfikacji oraz zużycia zasobów) przykładowych modułów sprzętowych. Przedstawiony został również proces tworzenia modułu sprzętowego - od danych wejściowych poprzez wygenerowany kod źródłowy w języku opisu sprzętu, aż po konfigurację układu reprogramowalnego.
EN
In this article various classification problems was described and also their applications was depicted. Afterwards the hardware module architecture was introduced in which there is a possibility to implement previously described mature classification algorithms. The article contains results of testing hardware classification modules (classification precision and hardware resources usage). Finally, the complete process of module generation was presented (from examples of data, through source code in hardware description language to reconfigurable hardware configuration).
first rewind previous Strona / 2 next fast forward last
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.