April 24, 2024

Alapfogalmak

A számítógépek és a számítógépes adatok védelme egyre növekvő jelentőséggel bír, ennek megfelelően egyre nagyobb érdeklődés mutatkozik a számítógép-biztonság iránt. A védelem jelentősége lényegesen megnőtt a hálózatok megjelenésével, a védekezés összetettebbé és bonyolultabbá vált, s a felhasználóknak ugyanakkor eddig nem ismert veszélyforrásokkal kell szembenézniük. Tévhitek terjedtek el mind a veszélyforrásokról, mind a védekezési módokról.

Ez csak bevezetés, megfelelő védelem csak saját rendszerünk megfelelő ismeretében lehetséges. Elengedhetetlen, hogy a felhasználók tisztában legyenek az általuk használt rendszerek, szoftverek alapjainak (biztonsági alapjainak) ismeretével. Tanulmányozni kell a használt berendezések, szoftverek stb. leírásait, meg kell ismerni a helyi működési szabályokat, rendet. A biztonság alapja a jó menedzsment, a megbízható és kellően integrált hardver és szoftver, a szakképzettség és a kulturált használat. Természetesen nem elég az általános alapelveket tudni, ismerni kell a használt rendszerek, programok biztonsági alapjait is.

Számítógép-biztonság

Számítógép-biztonság (computer security) alatt szűkebb értelemben az adatok illetéktelenek hozzáférésétől való védelmét, elsősorban a titkosságot (secrecy, confidentiality) értik. Tágabb értelemben az alábbi négy fogalmat értjük rajta:

  • titkosság és hozzáférési kontroll (access control);
  • integritás (sértetlenség – integrity, pontosság – accuracy, hitelesség – authenticity);
  • elérhetőség (availability);
  • megbízhatóság (reliability), melyen a hardver, a szoftver s a szolgáltatások üzembiztonságát értjük, azaz, hogy rendszerünk azt és úgy végzi-e, amint az elvárható/elvárt, elfogadható karbantartási igény és meghibásodásszám mellett. Ez több, mint a rendszer elérhetősége.

A megbízhatóságon egy más fogalmat is értünk: azt, hogy mennyire lehetünk biztosak rendszerünk megbízható működésében, védettségében – mennyire tesztelt, igazolt annak védelme (trustiness). Ez nem ennek a kurzusnak a témája.

A fenti fogalmakba beleértjük, hogy megfelelő kontrollal rendelkezünk rendszerünk felett, hitelesen nyomon tudjuk követni a biztonsági eseményeket. Előtérbe került az ember és a környezet védelme is. A nem megfelelő környezet természetesen veszélyt jelent a számítógépes rendszerekre és a számítógépes munkavégzésre nézve is, de ennél is fontosabb az ember és környezete védelme.

Sebezhetőség

Nagyon fontos tudnunk: mit és miért védjünk/védünk, mennyit ér meg a védelem? Ehhez a sebezhetőségünket (vulnerability), a kockázatot (risk) és a védekezés módját, a választható óvintézkedéseket (counter-measures) kell ismernünk. A sebezhetőség főbb típusai:

  • fizikai sebezhetőség;
  • hardver, szoftver, média (adathordozó) sebezhetőség;
  • kommunikációs sebezhetőség;
  • humán sebezhetőség.

A megfelelő óvintézkedésekhez tudnunk kell a támadási lehetőségekről, a veszélyforrásokról (threats). A veszélyforrások és a sebezhetőség egyes típusai között egyszerűen leírható kapcsolatok vannak. A főbb veszélyforrások a következők:

  • fizikai veszélyek;
  • gondatlan (nem szándékos) károkozás;
  • szándékos támadás (alkalmi rosszakarók, számítógép-betörők – crackerek, hackerek);
  • programozott kórokozók (közismert példa a számítógép-vírus);
  • program és konfigurációs hibák, hardver hibák;
  • házon belüli és házon kívüli támadók (insiders és outsiders).

A megfelelő védelem az arányos védelem, ahol a védendő érték, a potenciális veszély, a védekezés által okozott kellemetlenség észszerű arányban áll a védelemre fordított költségekkel és erőfeszítésekkel. Általában az adatok jelentik a legnagyobb értéket, egyes helyeken pedig a folyamatos üzem elengedhetetlen. Az akadémiai szférában és az otthoni felhasználóknál az adatok értéke relatíve kisebb, az üzembiztonság szintén csekélyebb jelentőség, ennek megfelelő a felelősség is. Amíg az adatvesztés egy cég életébe kerülhet, itt csak múló fájdalmat jelent – azonban ez lehet igen kellemetlen is, akár évek munkája is veszendőbe mehet. A privát szférával szemben azonban a védekezés itt sem könnyebb. Nyílt, eleve nem biztonságos környezetben kell megfelelő védelmet biztosítani. (Természetesen nem az erőforrások elzárásával fokozandó a biztonság!)