1. Kiedy system komputerowy jest bezpieczny?
System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze swoją specyfikacją. System komputerowy można uznać za bezpieczny, jeśli np. można od niego oczekiwać, że wprowadzone na stałe dane nie zostaną utracone, nie ulegną zniekształceniu i nie zostaną pozyskane przez nikogo nieuprawnionego - ufamy, że system będzie przechowywał i chronił dane.
2. Atrybuty wiarygodności systemu komputerowego.
System wiarygodny:
- dyspozycyjny (dostępny na bieżąco)
- niezawodny (odporny na awarie)
- bezpieczny (zapewniający ochronę danych)
- bezpieczny (bezpieczny dla otoczenia, przyjazny dla środowiska)
3. Działania przeciwko bezpieczeństwu komputerowemu.
Zagrożenia bezpieczeństwa mogą być przypadkowe lub celowe. Mogą wynikać z nieświadomości lub naiwności użytkownika lub być motywowane chęcią zysku czy odwetu. Mogą pochodzić z zewnątrz systemu lub z jego środka. Większość działań przeciwko bezpieczeństwu komputerowemu jest traktowana jako przestępstwa.
Można wyróżnić:
- włamanie do systemu komputerowego,
- nieuprawnione pozyskanie informacji,
- destrukcja danych i programów,
- sabotaż (sparaliżowanie pracy) systemu,
- piractwo komputerowe, kradzież oprogramowania,
- oszustwo komputerowe i fałszerstwo komputerowe,
- szpiegostwo komputerowe,
4. Na czym polega strategia bezpieczeństwa.
Strategia bezpieczeństwa polega na opracowaniu skutecznych zabezpieczeń i jest problemem bardzo złożonym. Szczególne znaczenie ma etap projektowy. Strategię bezpieczeństwa należy opracować w oparciu o udzielone odpowiedzi na pytania:
- co chronić (określenie zasobów)
- przed czym chronić (identyfikacja zagrożeń)
- ile czasu, wysiłku i pieniędzy można poświęcić na należną ochronę (oszacowanie ryzyka, analiza kosztów i zysku).
5. Identyfikacja zagrożeń "przed czym chronić".
Zagrożenia jakie należy rozważyć stanowią m. in.:
- włamywacze komputerowi,
- infekcje wirusami,
- destruktywność pracowników/personelu zewnętrznego,
- błędy w programach,
- kradzież dysków/laptopów (również w podróży służbowej),
- utrata możliwości korzystania z łączy telekomunikacyjnych,
- bankructwo firmy serwisowej/producenta sprzętu,
- choroba administratora/kierownika (jednoczesna choroba wielu osób),
- powódź
6. Podstawowe własności bezpieczeństwa. (3)
Wyróżnia się trzy podstawowe własności bezpieczeństwa informacji:
- poufność informacji,
- nienaruszalność informacji,
- dostępność informacji
7. Poufność - rozwinąć pojęcie
Poufność - ochrona informacji przed nieautoryzowanym jej ujawnieniem.
8. Uwierzytelnianie - rozwinąć pojęcie
Uwierzytelnienie - proces weryfikacji tożsamości użytkownika; najczęściej opiera się na tym:
- co użytkownik wie (np. zna hasło),
- co użytkownik ma (np. elektroniczną kartę identyfikacyjną).
9. Integralność - rozwinąć pojęcie
Integralność (nienaruszalność informacji) - ochrona danych przed ich nieautoryzowanym zmodyfikowaniem (dostępem do zapisu, w odróżnieniu od poufności, która oznacza ochronę przed nieautoryzowanym dostępem do odczytu).
10. Modele typowych topologii sieci (narysować).
11. Rodzaje ataków elektronicznych - wymienić co najmniej 5.
Najczęściej spotykanymi formami ataku są:
- podszywanie - atakujący (osoba, program) udaje inny podmiot, w domyśle zaufany systemowi atakowanemu, np. fałszywy serwer WW podszywa się pod znaną witrynę internetową,
- podsłuch - pozyskanie danych składowanych, przetwarzanych lub transmitowanych w systemie (przykład: przechwycenie niezabezpieczonego hasła klienta przesyłanego do serwera),
- odtwarzanie - użycie ponowne przechwyconych wcześniej danych, np. hasła,
- manipulacja - modyfikacja danych w celu rekonfigurowania systemu lub wprowadzenia go do stanu, z którego atakujący może osiągnąć bezpośrednio lub pośrednio korzyść (np. zastosować skuteczny atak gotowym narzędziem),
- wykorzystanie lub w systemie - posłużenie się wiedzą o znanej luce, błędzie w systemie lub gotowym narzędziem do wyeksploatowania takiej luki.
12. Przyczyny naruszeń bezpieczeństwa - wymienić.
Przyczyny naruszeń bezpieczeństwa:
- awaria sprzętu,
- błąd oprogramowania,
- niedozwolona ingerencja z zewnątrz/wewnątrz
13. Wady i zalety serwerów pośredniczących (Proxy).
Wady serwerów Proxy:
- nie zapewniają wszechstronnej anonimowości,
- posiadają dostęp do informacji o tym jakie strony są przeglądane przez użytkownika,
- użytkownik narażony jest na poważniejsze straty niż przy klasycznym przeglądaniu stron (serwery Proxy gromadzą wszystkie dane w jednym miejscu)
- nie zabezpieczają przed śledzeniem użytkowników usługi, poprzez analizę ruchu generowanego przez serwer pośredniczący i węzły z nim współpracujące,
Zalety serwerów Proxy:
- wysoka skuteczność w ukrywaniu danych o kliencie http,
- ogólnodostępność
- szerokie możliwości rozwoju,
- izolacja danych wysyłanych przez serwis WWW i ich analiza jeszcze poza hostem użytkownika,
- możliwość szyfrowania danych protokołu http wychodzących i przychodzących do komputera użytkownika, a przesyłanych do węzła, gdzie wszelkie informacje prywatne użytkownika są usuwane.
14. P3P - co to jest ?
Protokół P3P - Platforma Preferencji Prywatności umożliwiająca w sposób prosty i zautomatyzowany dla użytkownika, kontrolę nad wykorzystaniem danych osobowych przez strony WWW. Jest to standardowy zestaw pytań wielokrotnego wyboru, zawierający wszystkie główne aspekty polityki prywatności stron webowych. Ma za zadanie przedstawiać przejrzysty wgląd w to, jak strony WWW wykorzystują dane osobowe swoich użytkowników.
Technologia ta umożliwia serwerom WWW tłumaczenie swoich praktyk związanych z prywatnością osób odwiedzających, do standaryzowanego formatu, odczytywanego przez maszynę. Zapis taki może być następnie automatycznie interpretowany przez przeglądarkę użytkownika. Z punktu widzenia użytkownika, klient P3P automatycznie pobiera i odczytuje zapis polityki bezpieczeństwa danego serwisu WWW. Przeglądarka użytkownika, wyposażona w technologię P3P, może sprawdzić politykę prywatności serwisu i poinformować użytkownika o jego praktykach informacyjnych. Przeglądarka może również porównać zapis ten z ustawieniami bezpieczeństwa wybranymi przez użytkownika. Na tej podstawie dokonywany jest wybór o przyjęciu, bądź blokowaniu zapisu cookies. Klient P3P może być częścią składową przeglądarki, stanowić plug-in, lub być zewnętrznym programem.
3