• Artykuły
  • Forum
  • Ciekawostki
  • Encyklopedia
  • Bezpieczeństwo teleinformatyczne



    Podstrony: 1 [2] [3] [4] [5]
    Przeczytaj także...
    Programista, zwany też potocznie koderem to osoba, która tworzy programy komputerowe w pewnym języku programowania. Termin ten może odnosić się także do specjalisty w jednej dziedzinie programowania. Większość programistów zna co najmniej kilka języków programowania (np. C, C++, Java), lecz specjalizuje się tylko w wybranych z nich. Nazwa głównego języka jest często dodawana do nazwy stanowiska, np. programista C++, aby podkreślić specjalizację.Ryzyko (ang. risk, fr. risque, niem. risiko,wł. rischio) – jest pojęciem wieloznacznym, trudnym do zdefiniowania. W różnych dziedzinach nauk jest ono różnie interpretowane, dlatego zdaniem niektórych autorów stworzenie jednej uniwersalnej definicji jest niemożliwe.
    Bankomat Diebold z leżącym obok modemem – przykład poważnego zagrożenia

    Bezpieczeństwo teleinformatyczne – zbiór zagadnień z dziedziny telekomunikacji i informatyki związany z szacowaniem i kontrolą ryzyka wynikającego z korzystania z komputerów, sieci komputerowych i przesyłania danych do zdalnych lokalizacji, rozpatrywany z perspektywy poufności, integralności i dostępności.

    Konto użytkownika (ang. account) – w systemach komputerowych konto oznacza zbiór zasobów i uprawnień w ramach danego systemu przypisanych konkretnemu użytkownikowi. We współczesnych systemach operacyjnych konta posiadają unikalną nazwę (login) i hasło. Proces autoryzacji w systemie wymagający zwykle podania nazwy konta i hasła określa się logowaniem.Międzynarodowa Organizacja Normalizacyjna, ISO (ang. International Organization for Standardization, fr. Organisation internationale de normalisation) – organizacja pozarządowa zrzeszająca krajowe organizacje normalizacyjne.

    Budowanie bezpiecznych systemów teleinformatycznych i aplikacji jest celem starań projektantów sieciowych i programistów, a także przedmiotem studiów teoretycznych, zarówno w dziedzinie telekomunikacji oraz informatyki, jak i ekonomii. Zaowocowało to opracowaniem metod oceny bezpieczeństwa i kontrolowania zagrożeń, których przegląd znajduje się poniżej. Mimo tych starań, ze względu na złożoność i czasochłonność wielu spośród proponowanych procesów, luki zabezpieczeń stanowią jednak poważny i wymierny problem dla użytkowników sieci teleinformatycznych.

    Inżynieria społeczna, inżynieria socjalna, socjotechnika — w bezpieczeństwie teleinformatycznym zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę. Hackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku. Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym jest człowiek.Przepełnienie bufora (ang. Buffer overflow) – błąd programistyczny polegający na zapisaniu do wyznaczonego obszaru pamięci (bufora) większej ilości danych, niż zarezerwował na ten cel programista. Taka sytuacja prowadzi do zamazania danych znajdujących się w pamięci bezpośrednio za buforem, a w rezultacie do błędnego działania programu. W wielu sytuacjach, zwłaszcza gdy dane, które wpisywane są do bufora podlegają kontroli osoby o potencjalnie wrogich intencjach, może dojść do nadpisania struktur kontrolnych programu w taki sposób, by zaczął on wykonywać operacje określone przez atakującego.

    Spis treści

  • 1 Teoria i praktyka bezpiecznych systemów komputerowych
  • 2 Geneza błędów zabezpieczeń
  • 2.1 Błędy projektowe
  • 2.2 Błędy implementacyjne
  • 2.3 Błędy konfiguracyjne
  • 2.4 Błędy operatora
  • 2.5 Spory dotyczące kategoryzacji
  • 3 Projektowanie z myślą o bezpieczeństwie
  • 3.1 Odpowiednia budowa protokołów i interfejsów
  • 3.2 Wybór metod programistycznych
  • 3.3 Testowanie jakości aplikacji
  • 3.3.1 Przegląd kodu źródłowego
  • 3.3.2 Testy typu czarna skrzynka
  • 3.3.3 Testy siłowe
  • 3.4 Formalne dowodzenie poprawności
  • 4 Zarządzanie bezpieczeństwem
  • 4.1 Ograniczanie interakcji
  • 4.2 Ograniczanie uprawnień
  • 4.3 Rozliczalność i nadzór operacyjny
  • 5 Stan faktyczny
  • 6 Kontrowersje wokół produktów
  • 6.1 Pomiar bezpieczeństwa
  • 6.2 Pomiar wagi błędów w systemach
  • 6.3 Niezrozumiała terminologia
  • 6.4 Zrzekanie się odpowiedzialności
  • 6.5 Tryb informowania o błędach
  • 7 Zobacz też
  • 8 Przypisy
  • 9 Linki zewnętrzne
  • Haker (ang. hacker) – osoba, która wyszukuje i ewentualnie wykorzystuje dziury bezpieczeństwa w oprogramowaniu komputerowym. Może też dzięki nim uzyskiwać dostęp do zabezpieczonych zasobów. W 2011 roku hakerzy poznali 174 mln rekordów w 855 atakach.Zapewnianie jakości (Quality assurance; QA) – planowe i systematyczne działania niezbędne do zapewnienia spełnienia wymagań jakości końcowego produktu w procesie jego tworzenia.

    Teoria i praktyka bezpiecznych systemów komputerowych[]

    Według powszechnie przytaczanej definicji, prawdziwie bezpieczny system teleinformatyczny jest wyidealizowanym urządzeniem, które poprawnie i w całości realizuje tylko i wyłącznie cele zgodne z intencjami właściciela.

    W praktyce, budowa skomplikowanego systemu spełniającego te założenia jest z reguły niemożliwa. Dzieje się tak nie tylko ze względu na ryzyko wystąpienia prozaicznych usterek i błędów, ale także na trudność określenia i sformalizowania często sprzecznych oczekiwań projektanta oprogramowania, programisty, prawowitego właściciela systemu, posiadacza przetwarzanych danych, czy w końcu użytkownika końcowego. Nawet po ich określeniu, w wielu przypadkach trudne lub niemożliwe jest też automatyczne dowiedzenie, że dany program spełnia sformalizowane oczekiwania. Z tych względów, zapewnianie bezpieczeństwa sprowadza się najczęściej do całościowego zarządzania ryzykiem: określane są potencjalne zagrożenia, szacowane prawdopodobieństwo ich wystąpienia, oceniany potencjał strat – a następnie podejmowane są kroki zapobiegawcze w zakresie, który jest racjonalny z uwagi na możliwości techniczne i względy ekonomiczne.

    Accenture, d. Andersen Consulting – największe na świecie przedsiębiorstwo outsourcingowe i konsultingowe w dziedzinie zarządzania i wysokich technologii (w tym technologii informatycznych). Zarejestrowane w Irlandii. W 1989 r. wydzieliło się z Arthur Andersen & Co. 1 stycznia 2001 r. przedsiębiorstwo zmieniło formalnie nazwę na Accenture, zaś 19 lipca 2001 stało się spółką giełdową notowaną na nowojorskiej New York Stock Exchange (NYSE).NASA (National Aeronautics and Space Administration) (pl. Narodowa Agencja Aeronautyki i Przestrzeni Kosmicznej) – agencja rządu Stanów Zjednoczonych odpowiedzialna za narodowy program lotów kosmicznych, ustanowiona 29 lipca 1958 r. na mocy National Aeronautics and Space Act, zastępując poprzednika – National Advisory Committee for Aeronautics. Jest wydziałem Departamentu Obrony USA i jest mu bezpośrednio podległa.


    Podstrony: 1 [2] [3] [4] [5]



    w oparciu o Wikipedię (licencja GFDL, CC-BY-SA 3.0, autorzy, historia, edycja)

    Warto wiedzieć że... beta

    Common Criteria (norma ISO 15408) - norma pozwalająca w sposób formalny weryfikować bezpieczeństwo systemów teleinformatycznych.
    Format string attack – atak informatyczny, będący stosunkowo nową techniką wykorzystywania błędów programistycznych w aplikacjach. Błędnie napisana aplikacja może być przy wykorzystaniu tej techniki usunięta z listy procesów przez system operacyjny (tzw. crash) lub zmuszona do wykonania kodu dostarczonego przez napastnika.
    Stany Zjednoczone, Stany Zjednoczone Ameryki (ang. United States, US, United States of America, USA) – federacyjne państwo w Ameryce Północnej graniczące z Kanadą od północy, Meksykiem od południa, Oceanem Spokojnym od zachodu, Oceanem Arktycznym od północnego zachodu i Oceanem Atlantyckim od wschodu.
    Polska Norma (oznaczana symbolem PN) – norma o zasięgu krajowym, przyjęta w drodze konsensu i zatwierdzona przez krajową jednostkę normalizacyjną – Polski Komitet Normalizacyjny (PKN). Normy PN są powszechnie dostępne, ale nie bezpłatne, zaś ich dystrybucję kontroluje PKN.
    Komputer (z ang. computer od łac. computare – liczyć, sumować; dawne nazwy używane w Polsce: mózg elektronowy, elektroniczna maszyna cyfrowa, maszyna matematyczna) – maszyna elektroniczna przeznaczona do przetwarzania informacji, które da się zapisać w formie ciągu cyfr albo sygnału ciągłego.
    Audyt wewnętrzny – według definicji podanej przez The Institute of Internal Auditors (IIA) - jest niezależną działalnością doradczą i weryfikującą (ang. assurance activity), której celem jest usprawnienie operacyjne organizacji i wniesienie do niej wartości dodanej. Audyt wewnętrzny pomaga organizacji w osiąganiu jej celów poprzez systematyczne i metodyczne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i zarządzania organizacją (ang. governance).
    Zombie (komputer zombie) - komputer przyłączony do Internetu, w którym bez wiedzy jego posiadacza został zainstalowany program sterowany z zewnątrz przez inną osobę. Celem takiego działania jest zazwyczaj wykorzystanie komputera do działań sprzecznych z prawem, jak ataki DDoS. Programy typu backdoor infekują zwykle maszyny użytkowników poprzez pocztę elektroniczną rozsyłaną masowo przez osoby kierujące takimi akcjami - przy braku odpowiednich zabezpieczeń posiadacze komputerów nie zdają sobie nawet sprawy, że są bezwolnym elementem szerzej zakrojonego działania.

    Reklama