Systemy komputerowe są narażone na różnego rodzaju niebezpieczeństwa. Wiadomo, że jednym z nich są włamania komputerowe i kradzieże dokonywane przez przestępców, takich jak np. Kevin Mitnick, Kevin Poulsen czy Susan Thunder. Najważniejsze niebezpieczeństwa na jakie jest narażony nasz system to:
Przyczyny tych zagrożeń mogą być bardzo różne i obejmować cały szereg zdarzeń losowych (awarie sprzętu, działania otoczenia), awarie oprogramowania i sprzętu, a także nieumyślne działania ludzkie (błędy) i działania umyślne, czyli wspominane wcześniej przestępstwa komputerowe, które będąc tylko częścią niebezpieczeństw, jakie zagrażają naszemu systemowi, przynoszą jednocześnie najwięcej szkód i strat. W kategorii zagrożeń komputerowych również nie można wyróżnić jednego uniwersalnego podziału. Dla potrzeb tej pracy stworzyłem swój własny podział niebezpieczeństw, jakie zagrażają systemom komputerowym:
W każdym z następnych rozdziałów omówię jedną z podanych tutaj grup i podam przykładowe metody zabezpieczeń przed tymi zagrożeniami.
Do tej kategorii zaliczę dwie grupy zagrożeń:
Podstawowym zagrożeniem, na jakie jest narażony system, jest możliwość złamania blokad zewnętrznych. Podstawową taktyką obrony przed intruzami jest utrzymanie ich z dala od budynku i pokoju, w którym znajduje się komputer bądź dane przez nas chronione. Nie jest to zadanie proste, gdyż w większości firm każdy pracownik ma teraz własny komputer, stację roboczą bądź terminal, a drukarki ( na których można łatwo wydrukować kradzione dane ) rozsiane są po całym biurze. Nie ma jednego pokoju, w którym znajdowałby się jeden główny komputer z drukarką. Byłoby to bardzo dobre rozwiązanie z punktu widzenia zabezpieczeń. Dobrym pomysłem jest tutaj także trzymanie najwartościowszego sprzętu i danych oraz ich nośników w oddzielnym, dobrze chronionym pokoju. Żeby uzyskać dostęp do budynku lub do samego już pokoju komputerowego, trzeba zastosować testy, które dadzą nam odpowiedź, czy dana osoba ma prawo do dostępu i w jakim stopniu jest do niego upoważniona. Są trzy sposoby na udowodnienie komputerowi odpowiadającemu za zabezpieczenie, że jest się osobą upoważnioną do dostępu:
Przy zabezpieczeniach fizycznych bardzo dobrą metodą ochrony jest tzw. metoda zagęszczonych kół koncentrycznych (ang. The Concentric Circle Approach). Obrazowo opisując pierwszym "kołem" jest ogrodzenie wokół budynku, które ma za zadanie odstraszyć ewentualnych intruzów lub też uniemożliwić im dostanie się na teren budynku. Następną barierą, którą należy pokonać jest strażnik, sprawdzający tożsamość osoby, która okazuje np. osobisty identyfikator. Osłoną jest tutaj również sam budynek, który stanowi kolejną przeszkodę. Dostęp do pokoju komputerowego lub miejsca, gdzie przechowujemy dane i informacje, uzyskuje się wówczas, gdy przejdziemy pozytywnie kontrolę przed tym pomieszczeniem. Może to być sprawdzenie karty magnetycznej, system identyfikacji głosowej, czy też inne zabezpieczenie weryfikujące tożsamość osoby pragnącej uzyskać dostęp. Ostatnim rodzajem zabezpieczenia systemu komputerowego jest tzw. login użytkownika ( najczęściej jest to skrót jego imienia i nazwiska np. janowak albo nowakj ) i hasło dostępu.
Najsłabszym elementem zabezpieczeń systemu komputerowego jest człowiek. Niewiele osób deklaruje częstą zmianę haseł z własnej woli, a prawie połowa użytkowników nie potrafi przechowywać haseł w bezpiecznym miejscu. A hasła właśnie stanowią bardzo ważne, a jednocześnie najczęściej lekceważone ogniwo w systemie zabezpieczeń. Większość użytkowników lekceważy zagadnienie haseł, używając kombinacji typu aaaaaa, czy bbbbbb itp. Według hackerów cztery najczęściej używane hasła to: God (Bóg), Sex (Sex), Love (Miłość) i Secret (Sekret, Tajemnica). Dobre hasło to po prostu hasło, które trudno jest odgadnąć. Aby takim się stało, powinno spełniać kilka warunków
Początki stosowania biometrii sięgają... antyku. W Babilonii odcisk palca stanowił potwierdzenie zawarcia transakcji. W starożytnych Chinach palce odciskano na urzędowych pieczęciach. Pierwsze próby "biometrycznego" oznaczania osób polegały na nacinaniu, wypalaniu lub tatuowaniu skóry, na przykład w Imperium Rzymskim tak znakowano najemników, by utrudnić im dezercję.
Długo trwało, nim nowożytna Europa przypomniała sobie wiedzę przodków. Dopiero w 1880 roku brytyjski chirurg pracujący w tokijskim szpitalu opublikował rozprawę wskazującą na niepowtarzalność struktury opuszków palców oraz możliwość identyfikowania ludzi tą metodą. Współczesna biometria jest zespołem metod służących do weryfikacji tożsamości osób poprzez analizę unikatowych cech fizycznych czy behawioralnych. Zaliczamy do nich:
Zaliczyć tutaj można różne kataklizmy naturalne takie jak trzęsienia ziemi, powodzie i pożary, przed którymi jedynym sposobem zabezpieczenia danych jest tworzenie kopii backup'ów i przechowywanie ich w bezpiecznym miejscu. Przed nieprzyjemnymi skutkami zdarzeń takich jak wyładowania atmosferyczne może nas uchronić listwa antyprzepięciowa czy filtrująca, ale najlepszym rozwiązaniem jest zakup UPS'u.
Najczęściej stosowanym kryterium podziału UPS-ów jest ich klasyfikacja ze względu na różnice konstrukcyjne. Pierwszą i zarazem najprostszą klasą są zasilacze typu off-line (określane też nazwą stand-by lub mianem UPS-a z tzw. bierną rezerwą) - patrz: rysunek "Najczęściej spotykane konstrukcje UPS-ów". Ich możliwości ograniczają się do filtrowania i korygowania w niewielkim zakresie (ą5%) parametrów napięcia zasilającego oraz uruchomienia podtrzymywania bateryjnego przy zaniku (lub spadku poniżej pewnej wartości - zazwyczaj 190 V) napięcia w sieci. Zadziałanie UPS-a następuje po kilku ms. Jest to czas w zupełności wystarczający, gdyż zasilacz impulsowy komputera wytrzymuje przerwę w dostawie prądu, w zależności od pojemności użytych kondensatorów, wynoszącą nawet 20-60 ms. UPS-y off-line są najczęściej zasilaczami małej mocy. Oprócz przedstawionego w artykule podziału zasilaczy awaryjnych ze względu na moc znamionową i sposób ich działania niektórzy producenci używają tzw. klasyfikacji 3-5-9. W zależności od liczby eliminowanych zakłóceń zasilania może być zaliczony odpowiednio do klasy 3 (ochrona przed trzema typami awarii), 5 (eliminacja pięciu problemów z prądem) lub 9 (zabezpieczenie przed dziewięcioma najczęściej występującymi anomaliami). Funkcjonalnie powyższe rozgraniczenie pokrywa się z podziałem na zasilacze małej, średniej i dużej mocy oraz klasyfikacją ze względu na konstrukcję UPS-a (off-line, line-interactive, on-line).
Najpopularniejszą obecnie klasą UPS-ów są line-interactive (tzw. UPS-y o działaniu wzajemnym). Oprócz zapewnienia zasilania awaryjnego potrafią one podwyższać (nawet z poziomu 150 V) lub obniżać napięcie zasilające bez przełączania się na pracę bateryjną, jak to czynią modele typu off-line. Zastosowanie takiej ulepszonej konstrukcji zmniejsza zużycie akumulatorów, a co za tym idzie, żywotność urządzenia. Zasilacze awaryjne line-interactive mają krótsze czasy przełączenia (ok. 2 ms) oraz potrafią eliminować zakłócenia występujące w sieci energetycznej w znacznie większym zakresie niż UPS-y off-line. Dotyczy to zwłaszcza wszelkiego rodzaju szumów, czyli odkształceń przebiegu napięcia od standardowej sinusoidy. Pod względem magazynowanej energii konstrukcje te można sklasyfikować jako zasilacze małej i średniej mocy.Ostatnia najwyższa kategoria to UPS-y on-line (nazywane też UPS-ami o działaniu ciągłym lub z separacją galwaniczną). Skonstruowane są one tak, że przetworniki AC/DC i DC/AC działają w sposób ciągły. Generowana przez zasilacz energia pobierana jest zawsze z baterii akumulatorów, które są ustawicznie doładowywane. Charakteryzują się one zerowym czasem przełączania, a napięcie wyjściowe wolne jest od jakichkolwiek nieprawidłowości (w tym praktycznie nie korygowanych przez inne typy zasilaczy awaryjnych wahań częstotliwości czy zniekształceń harmonicznych). UPS-y tego typu są najdroższymi dostępnymi na rynku modelami. Ich wadą jest niska sprawność i szybkie starzenie się akumulatorów. Dlatego też zasilacze typu on-line stosowane są tylko do najbardziej wymagających instalacji i wykonuje się je zazwyczaj wyłącznie jako urządzenia dużej mocy.
Są to wszelkiego rodzaju zagrożenia ze strony personelu danej firmy, korporacji czy grupy ludzi, którzy razem pracują nad jakimś projektem mając jednocześnie dostęp do tych samych poufnych danych. Zazwyczaj postępowanie ich jest powodowane niezadowoleniem z warunków swej pracy albo przekupieniem przez konkurencję, choć przyczyną może być także naiwność i lekkomyślność.
Definiowanie strategii bezpieczeństwa w firmie powinno zaczynać się od definiowania i wdrażania przepisów regulujących korzystanie z zasobów informatycznych firmy. Oprócz organizacyjnych zasad korzystania z systemu komputerowego i sieci komputerowej całej firmy powinien powstać regulamin pracy w sieci czyli tzw. Polityka Bezpieczeństwa. W regulaminie powinien być m.in. zawarty zakres odpowiedzialności pracowników na różnych szczeblach związany z ich dostępem do zasobów informatycznych, zasady pracy na poszczególnych stanowiskach itp. Wdrożenie takiego regulaminu nie pociąga za sobą dużych kosztów, a raz wdrożony nie wymaga żadnych dodatkowych kosztów. Jednakże każdy z pracowników musi zapoznać się z jego treścią i poświadczyć ten fakt własnoręcznym podpisem. Regulamin może chronić głownie dane elektroniczne, ale nie zapewni fizycznej ochrony dostępu do pomieszczeń. Podobna sytuacja jest w przypadku danych w postaci wydruków, gdzie ważne dokumenty po wykorzystaniu nie zostają najczęściej zniszczone, a zapanowanie nad stertami papieru jest dość trudne. W chwili gdy wprowadzono w firmach system zdalnej komunikacji z użytkownikami, pojawiły się zagrożenia zewnętrzne. Od tego momentu Politykę Bezpieczeństwa powinny prowadzić i określać: zarząd organizacji, menadżerowie oraz administratorzy systemu informatycznego. Powinni oni:
Taka Polityka Bezpieczeństwa, powinna być przeczytana i zrozumiana przez wszystkich pracowników organizacji użytkujących system komputerowy. Stąd wymóg potwierdzenia przez pracowników takiego stanu rzeczy własnoręcznym podpisem. Aby zminimalizować zagrożenia systemu informacyjnego niezbędne staje się przeprowadzenie szkoleń pracowników. Uwzględniając indywidualizację szkoleń dla poszczególnych działów w firmie i stanowisk pracy. Niezbędne jest ustalenie rozwiązań fizycznej ochrony danych, pomieszczeń w których się one znajdują, uwzględnienie zakupu sprzętu i oprogramowania, oraz trybu ich wdrażania, by spełnić założenia Polityki Bezpieczeństwa. Ważne jest wskazanie, bądź zatrudnienie osoby odpowiedzialnej za nadzorowanie strategii bezpieczeństwa w firmie, zatwierdzającej wypracowane w firmie zarządzenia i normy dotyczące ochrony informacji. Osoby, do której będą zgłaszane problemy związane z bezpieczeństwem danych, oraz odpowiadającej za bezpieczeństwo kont poszczególnych użytkowników, bezpieczeństwo katalogów i plików systemowych itp. Oprócz tego, że administrator jest wykonawcą Polityki Bezpieczeństwa, do jego zadań należy również opiniowanie w zakresie ochrony danych, współpraca z ze służbami ochrony obiektu, osobami odpowiedzialnymi za BHP, przestrzeganie przepisów przeciwpożarowych, jednym słowem ze wszystkimi od których zależy bezpieczeństwo w firmie. Należy się liczyć z tym, że uzyskanie większego bezpieczeństwa jest zazwyczaj równoznaczne ze zmniejszeniem wygody korzystania i efektywności systemu informacyjnego czemu towarzyszy ograniczenie dynamiki funkcjonowania organizacji.