Wykład 1. Bezpieczeństwo teleinformatyczne. 1. Wstęp
Transkrypt
Wykład 1. Bezpieczeństwo teleinformatyczne. 1. Wstęp
Bezpieczeństwo teleinformatyczne Wykład 1. Bezpieczeństwo teleinformatyczne. 1. WSTĘP............................................................................................................................................................................ 1 2. DOKUMENTY I SPECYFIKACJE DOTYCZĄCE BEZPIECZEŃSTWA TELEINFORMATYCZNEGO ............. 3 2.1 2.2 2.3 2.4 2.5 3. USTAWY I ROZPORZĄDZENIA ............................................................................................................................................ 3 STANDARDY ISO ZWIĄZANE Z BEZPIECZEŃSTWEM TELEINFORMATYCZNYM ................................................................................ 9 STANDARD BEZPIECZEŃSTWA BS 7799 ............................................................................................................................ 11 DOKUMENTY WYDAWNICTWA RFC DOTYCZĄCE BEZPIECZEŃSTWA SIECI KOMPUTEROWYCH ........................................................ 13 BEZPIECZEŃSTWO W STANDARDZIE 802.3, 802.11 ........................................................................................................... 14 TYPY LICENCJI OPROGRAMOWANIA .................................................................................................................. 15 3.1 3.2 WOLNE OPROGRAMOWANIE.......................................................................................................................................... 16 OTWARTE OPROGRAMOWANIE ...................................................................................................................................... 17 4. SHAREWARE, FREEWARE, ADWARE .................................................................................................................. 20 5. BEZPIECZEŃSTWO JAKO ELEMENT JAKOŚCI OPROGRAMOWANIA ......................................................... 21 6. PODSTAWOWE POJĘCIA ZWIĄZANE BEZPIECZEŃSTWEM TELEINFORMATYCZNYM ......................... 22 1. Wstęp Bezpieczeństwo teleinformatyczne oznacza • bezpieczeństwo systemów komputerowych, • bezpieczeństwo danych elektronicznych, • bezpieczeństwo transmisji danych w sieciach teleinformatycznych (bezpieczeństwo urządzeń i mediów transmisyjnych). ZagroŜeniem dla bezpieczeństwa teleinformatycznego moŜe być • osoba naruszająca zasady bezpieczeństwa danego systemu, • złośliwe oprogramowanie, • błędy w programach, • zawodne łącza w sieciach teleinformatycznych, • zjawiska losowe (poŜar, powódź, …). 1 Bezpieczeństwo teleinformatyczne Zagadnienie bezpieczeństwa teleinformatycznego związane jest z: • ochroną systemów teleinformatycznych przed włamaniami, • ochroną przed kradzieŜami danych, kradzieŜami oprogramowania, • ochroną przed przestępstwami komputerowymi (oszustwa, fałszerstwa, kradzieŜe), • szpiegostwem komputerowym, • niszczeniem danych i programów, • paraliŜowaniem pracy systemów komputerowych (obniŜenie dostępności systemu), • uwierzytelnieniem i autoryzacją uŜytkowników, hostów i usług, • ochroną poufności, integralności danych, • ochroną systemów teleinformatycznych przed złośliwym oprogramowaniem. Bezpieczeństwo teleinformatyczne moŜna realizować poprzez: • określanie zasad autoryzacji i kontroli dostępu (do systemów, zasobów, usług), • definiowanie zasad poufności i integralności danych w systemach komputerowych, • definiowanie mechanizmów podnoszenia stopnia dostępności do informacji (nadmiarowość komponentów, archiwizacja danych, wykonywanie kopii zapasowych). Zarządzanie bezpieczeństwem teleinformatycznym polega na: • tworzenie polityki bezpieczeństwa dla systemów komputerowych, • tworzenie norm i zaleceń bezpieczeństwa, • określanie klas bezpieczeństwa systemów komputerowych, • definiowanie mechanizmów uwierzytelniania, • monitorowaniu zabezpieczeń (monitorowanie transmisji danych, aktywności hostów), • specyfikowanie narzędzi słuŜących do analizy zabezpieczeń, • tworzenie zasad dostępu do zasobów, • tworzenie procedur analizy ryzyka związanego z bezpieczeństwem teleinformatycznym, • tworzenie procedur reagowania i dokumentowanie incydentów naruszenia bezpieczeństwa , • aktualizacja systemów operacyjnych i aplikacji. 2 Bezpieczeństwo teleinformatyczne 2. Dokumenty i specyfikacje dotyczące bezpieczeństwa teleinformatycznego 2.1 Ustawy i rozporządzenia http://isap.sejm.gov.pl/ I. ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Dz. U. z dnia 8 września 2005 r. § 1. Rozporządzenie określa: 1) podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać systemy i sieci teleinformatyczne słuŜące do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych; 2) sposób opracowywania dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji systemów lub sieci teleinformatycznych. Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą • poufności, • dostępności i • integralności. § 5. Ochrona fizyczna systemu lub sieci teleinformatycznej polega na: 1) umieszczeniu urządzeń systemu lub sieci teleinformatycznej w strefie bezpieczeństwa, strefie administracyjnej lub specjalnej strefie bezpieczeństwa, zwanych dalej "strefą kontrolowanego dostępu" w zaleŜności od: a) klauzuli tajności, b) ilości, c) zagroŜeń dla poufności, integralności lub dostępności - informacji niejawnych; 2) zastosowaniu środków zapewniających ochronę fizyczną, w szczególności przed: a) nieuprawnionym dostępem, b) podglądem, c) podsłuchem. 3 Bezpieczeństwo teleinformatyczne § 6. 1. Ochrona elektromagnetyczna systemu lub sieci teleinformatycznej polega na niedopuszczeniu do utraty poufności i dostępności informacji niejawnych przetwarzanych w urządzeniach teleinformatycznych. § 7. 1. Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub sieci teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność oraz uwierzytelnienie. § 8. Niezawodność transmisji polega na zapewnieniu integralności i dostępności informacji niejawnych przekazywanych w systemach lub sieciach teleinformatycznych. § 9. 1. W celu zapewnienia kontroli dostępu do systemu lub sieci teleinformatycznej: 1) kierownik jednostki organizacyjnej lub osoba przez niego upowaŜniona ustala warunki i sposób przydzielania uprawnień osobom uprawnionym do pracy w systemie lub sieci teleinformatycznej; 2) administrator systemów określa warunki oraz sposób przydzielania tym osobom kont oraz mechanizmów kontroli dostępu, a takŜe zapewnia ich właściwe wykorzystanie. 2. System lub sieć teleinformatyczną wyposaŜa się w mechanizmy kontroli dostępu odpowiednie do klauzuli tajności informacji niejawnych w nich przetwarzanych. Rozdział 3 Sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego. 4 Bezpieczeństwo teleinformatyczne II. Ustawa o podpisie elektronicznym, z dnia 18 września 2001 r. Dz. U. 01.130.1450 Art. 1. Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi. podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, słuŜą do identyfikacji osoby składającej podpis elektroniczny. bezpieczny podpis elektroniczny - podpis elektroniczny, który: a) jest przyporządkowany wyłącznie do osoby składającej ten podpis, b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń słuŜących do składania podpisu elektronicznego i danych słuŜących do składania podpisu elektronicznego, c) jest powiązany z danymi, do których został dołączony, w taki sposób, Ŝe jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna. certyfikat - elektroniczne zaświadczenie, za pomocą którego dane słuŜące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umoŜliwiają identyfikację tej osoby. III. ROZPORZĄDZENIE RADY MINISTRÓW z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń słuŜących do składania i weryfikacji podpisu elektronicznego. Dz. U. Nr 128, poz. 1094 § 1. Rozporządzenie określa: 1) szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych; 2) podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów; 3) szczegółowe warunki techniczne i organizacyjne, które muszą spełniać kwalifikowane podmioty świadczące usługi certyfikacyjne. 5 Bezpieczeństwo teleinformatyczne IV. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, Dz. U. 2002 nr 144 poz. 1204. Ustawa określa: 1) obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną, 2) zasady wyłączania odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną, 3) zasady ochrony danych osobowych osób fizycznych korzystających z usług świadczonych drogą elektroniczną. V. Ustawa z dnia 17 lutego 2005 o informatyzacji działalności podmiotów realizujących zadania publiczne, Dz.U.05.64.565. VI. USTAWA z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych Dz.U. 1994 Nr 24 poz. 83. Rozdział 1 Przedmiot prawa autorskiego Art. 1. 1. Przedmiotem prawa autorskiego jest kaŜdy przejaw działalności twórczej o indywidualnym charakterze, ustalony w jakiejkolwiek postaci, niezaleŜnie od wartości, przeznaczenia i sposobu wyraŜenia (utwór). 2. W szczególności przedmiotem prawa autorskiego są utwory: 1) wyraŜone słowem, symbolami matematycznymi, znakami graficznymi (literackie, publicystyczne, naukowe, kartograficzne oraz programy komputerowe); Rozdział 7 Przepisy szczególne dotyczące programów komputerowych. VII. USTAWA z dnia 27 lipca 2001 r. o ochronie baz danych Art. 1. Bazy danych podlegają ochronie określonej w ustawie niezaleŜnie od ochrony przyznanej na podstawie ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr 90, poz. 631, Nr 94, poz. 658, Nr 121, poz. 843 oraz z 2007 r. Nr 99, poz. 662) bazom danych spełniającym cechy utworu. VIII. USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz.U. 1997 Nr 133 poz. 883 Art. 2 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. 6 Bezpieczeństwo teleinformatyczne 2. Kodeks karny USTAWA z dnia 6 czerwca 1997 r. Kodeks karny. Dz. U. z dnia 2 sierpnia 1997 r. Art. 130. Dotyczy szpiegostwa komputerowego. Art. 116 - 118. Dotyczy ochrony praw autorskich. Art. 202. Przestępstwa popełniane przy uŜyciu komputera (rozpowszechnianie, przechowywanie poronografii dziecięcej). Art. 267. Dotyczy włamań do systemów komputerowych (hakerstwo), podsłuchu (sniffing). § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu słuŜącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. Art. 268. Dotyczy niszczenia danych lub programów komputerowych. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. JeŜeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3. Art. 269. Dotyczy sabotaŜu komputerowego. § 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemoŜliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie słuŜące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji. 7 Bezpieczeństwo teleinformatyczne Art. 270. Dotyczy fałszerstw komputerowego zapisu informacji. Art. 276. Dotyczy niszczenia lub pozbawienia mocy dowodowej dokumentu elektronicznego. Art. 278. Dotyczy nielegalnego uzyskania programu komputerowego. Art. 287. Dotyczy oszustw komputerowych. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upowaŜnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. I. USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych. Dz. U. 1999 nr 11 poz. 95. Art. 1. 1. Ustawa określa zasady ochrony informacji, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub słuŜbową, niezaleŜnie od formy i sposobu ich wyraŜania, takŜe w trakcie ich opracowania, zwanych dalej „informacjami niejawnymi”. Rozdział 10 Bezpieczeństwo systemów i sieci teleinformatycznych. Art. 60 - 64. systemem teleinformatycznym jest system, który tworzą urządzenia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji. siecią teleinformatyczną jest organizacyjne i techniczne połączenie systemów teleinformatycznych. akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu lub sieci teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych, na zasadach określonych w ustawie. dokumentacją bezpieczeństwa systemu lub sieci informatycznej są szczególne wymagania bezpieczeństwa oraz procedury bezpiecznej eksploatacji danego systemu lub sieci teleinformatycznej, sporządzone zgodnie z zasadami określonymi w ustawie. 8 Bezpieczeństwo teleinformatyczne 2.2 Standardy ISO związane z bezpieczeństwem teleinformatycznym http://www.iso.org/ ISO/IEC 17799, 2005, Information technology — Security techniques — Code of practice for information security management. ISO/IEC 27006:2007, Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. ISO/IEC 27003:2010,Information technology -- Security techniques -- Information security management system implementation guidance. ISO/IEC 19790:2006, Information technology -- Security techniques -- Security requirements for cryptographic modules. ISO/IEC 18043:2006, Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems. ISO/IEC 18033-2:2006, Information technology -- Security techniques -- Encryption algorithms -- Part 2: Asymmetric ciphers ISO/IEC 15946-1:2008, Information technology -- Security techniques -- Cryptographic techniques based on elliptic curves -- Part 1: General. ISO/IEC TR 15443-2:2005, Information technology -- Security techniques -- A framework for IT security assurance -- Part 2: Assurance methods 9 Bezpieczeństwo teleinformatyczne ISO/IEC 18028-3:2005, Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways. ISO/IEC 18028-2:2006, Information technology -- Security techniques -- IT network security -- Part 2: Network security architecture. ISO/IEC 18028-5:2006, Information technology -- Security techniques -- IT network security -- Part 5: Securing communications across networks using virtual private networks. ISO/IEC 24759:2008, Information technology -- Security techniques -- Test requirements for cryptographic modules. ISO/IEC 14888-1:2008, Information technology -- Security techniques -- Digital signatures with appendix -- Part 1: General. ISO/IEC 21827:2008, Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model® (SSE-CMM®) http://www.sse-cmm.org/model/model.asp ISO/IEC 19772:2009, Information technology -- Security techniques -- Authenticated encryption. ISO/IEC 19792:2009, Information technology -- Security techniques -- Security evaluation of biometrics. ISO 7498-2:1989, Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture ISO/IEC 11586-1:1996, Information technology -- Open Systems Interconnection -- Generic upper layers security: Overview, models and notation. ISO/IEC TR 19791:2010, Information technology -- Security techniques -- Security assessment of operational systems. 10 Bezpieczeństwo teleinformatyczne 2.3 Standard bezpieczeństwa BS 7799 BSI (British Standards Institute), Brytyjski Instytut Standardów. http://www.bsi.org.uk http://www.bsigroup.com Organizacja załoŜona w 1901. BSI reprezentuje organizacje ISO w Wielkiej Brytanii. W 1990 roku firmy: BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever opracowały standard BS 7799 słuŜący do zarządzania bezpieczeństwem informacji. Według normy BS 7799 informacja jest zasobem który naleŜy chronić. Bezpieczeństwo informacji oznacza zachowanie: • integralności informacji, • poufności informacji i metod ich przetwarzania, • dostępu do informacji. Standard BS 7799 składa się z dwóch części: • BS 7799 Part 1 Code of Practice for Information Security Management. Przewodnik do zarządzania bezpieczeństwem informatycznym. Norma ISO 17799. • BS 7799 Part 2 Specification for Information Security Management Systems. Specyfikacja systemów zarządzania bezpieczeństwem informatycznym (styczeń 1998). 11 Bezpieczeństwo teleinformatyczne Standard BS 7799 określa zasady: • funkcjonowania dokumentacji określającej procedury bezpieczeństwa informatycznego, • funkcjonowania struktury organizacyjnej w firmie związanej z bezpieczeństwem informatycznym, (przydzielenie odpowiednim osobom odpowiedzialności za bezpieczeństwo informatyczne), • prowadzenia szkoleń związanych bezpieczeństwem informatycznym, • dokumentowania i reakcji na naruszenie procedur bezpieczeństwa, • ochrony antywirusowej, • kontroli w zakresie zachowania praw autorskich (kopiowania oprogramowania, dokumentów elektronicznych), • analizy ryzyka w procesie zarządzania (critical record management processes), • ochrona danych osobowych, • okresowego przeglądu i ulepszania procedur bezpieczeństwa. 12 Bezpieczeństwo teleinformatyczne 2.4 Dokumenty wydawnictwa RFC dotyczące bezpieczeństwa sieci komputerowych Wydawnictwo RFC, (ang.) Requests for Comments htpp://www.rfc-editor.org/ Dokumenty RFC dotyczą opracowań i specyfikacji: • protokołów komunikacyjnych • aplikacji sieciowych • procedur zarządzania siecią • nowych rozwiązań technicznych • notatek ze spotkań, opinii na temat rozwoju sieci. Dokumenty RFC dotyczące bezpieczeństwa sieci komputerowych i Internetu. RFC 1281, R.Pethia, S.Crocker, B.Fraser, Guidelines for the Secure Operation of the Internet, 1991. RFC 2179, A. Gwinn, Network Security For Trade Shows, 1997. RFC 2196, B. Fraser, Site Security Handbook, 1997. RFC 2316, S. Bellovin, Report of the IAB Security Architecture Workshop, 1998. RFC 2504, E. Guttman, L. Leong, G. Malkin, Users' Security Handbook, 1999. RFC 2709, P. Srisuresh, Security Model with Tunnel-mode IPsec for NAT Domains. RFC 2725, C.Villamizar, C.Alaettinoglu, D.Meyer, S.Murphy, Routing Policy System Security, 1999. RFC 3748, B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson, H.Levkowetz, Extensible Authentication Protocol (EAP), 2004. RFC 4120, C. Neuman, T. Yu, S. Hartman, K. Raeburn, The Kerberos Network Authentication Service (V5), 2005, Area: sec, WG: krb-wg RFC 4301, S. Kent, K. Seo, Security Architecture for the Internet Protocol, 2005, Area: sec,WG:ipsec RFC 4949, R. Shirey, Internet Security Glossary, Version 2, 2007. RFC 5424, R. Gerhards, The Syslog Protocol, 2009, Area: sec, WG: syslog 13 Bezpieczeństwo teleinformatyczne 2.5 Bezpieczeństwo w standardzie 802.3, 802.11 Standard bezpieczeństwa w sieciach LAN, WLAN : IEEE Computer Society, 802.1X - Port Based Network Access Control, 2001. IEEE 802.11-2007 IEEE Standard for Information technology -- Telecommunications and information exchange between systems -- Local and metropolitan area networks-Specific requirements -- Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications . 802.11i- 2004, IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 6: Medium Access Control (MAC) Security Enhancements. 14 Bezpieczeństwo teleinformatyczne 3. Typy licencji oprogramowania Licencjonowanie oprogramowania - uŜytkownik kupując program komputerowy nie staje się jego właścicielem. Twórca lub dystrybutor programu udziela mu jedynie licencji na jego uŜywanie. Licencja oprogramowania - umowa na korzystanie z utworu jakim jest aplikacja komputerowa, zawierana pomiędzy podmiotem, któremu przysługują majątkowe prawa autorskie do utworu, a osobą, która zamierza z danej aplikacji korzystać. Licencje zamkniętego oprogramowania (EULA, End-User License Agreement). Licencja typu EULA zastrzega wszelkie prawa dla producenta oprogramowania. UŜytkownik otrzymuje tylko ściśle określony, wąski zakres uprawnień. Przykład. Licencja systemu Microsoft Windows XP Professional zezwala uŜytkownikowi na: • instalowanie i uŜywanie tylko 1 kopii systemu, • uŜywanie systemu na komputerze posiadającym maksymalnie 2 procesory, • udostępnianie usług obsługi plików, drukowania, połączenia z Internetem, oraz dostępu zdalnego maksymalnie 10 komputerom lub innym urządzeniom, • wykonanie tylko 1 kopii zapasowej nośnika z oprogramowaniem, • jednorazowe przekazanie (sprzedaŜ lub podarunek) produktu osobie trzeciej. Licencja zabrania odtwarzania, dekompilacji i dekompilacji produktu, oraz zastrzega wszystkie prawa nie udzielone licencjobiorcy. Oznacza to, Ŝe licencja zabrania m.in.: • kopiowania oprogramowania (z wyjątkiem wykonania 1 kopii zapasowej), • instalowania oprogramowania na większej niŜ 1 liczby stanowisk, • modyfikowania oprogramowania, • dystrybucji zmodyfikowanych kopii. Licencje OEM (Original Equipment Manufacturer) - Są to licencje przeznaczone dla producentów sprzętu komputerowego, bądź gotowych zestawów komputerowych (komputerów biurkowych, a takŜe laptopów), którzy sami instalują oprogramowanie na sprzedawanych przez siebie komputerach, lub dołączają je do sprzedawanego sprzętu (np. nagrywarki CD/DVD, karty graficzne), z zastrzeŜeniem, Ŝe owo oprogramowanie moŜe być tylko z nim uŜywane. Licencje grupowe - licencje wielostanowiskowe. 15 Bezpieczeństwo teleinformatyczne 3.1 Wolne oprogramowanie Definicja Free Software Foundation (FSF), http://www.gnu.org/ licencji wolnego oprogramowania (ang. free software): Wolne oprogramowanie to kwestia wolności, nie ceny. By zrozumieć tę koncepcję, powinniśmy myśleć o «wolności słowa», a nie «darmowym piwie» “Free software” is a matter of liberty, not price. To understand the concept, you should think of “free” as in “free speech”, not as in “free beer”. Wolne oprogramowanie odnosi się do prawa uŜytkowników do swobodnego uruchamiania, kopiowania, rozpowszechniania, analizowania, zmian i ulepszania programów. Cztery wolności uŜytkowników programu: Wolność 0. Wolność uruchamiania programu, w dowolnym celu. Wolność 1. Wolność analizowania, jak program działa, i dostosowywania go do swoich potrzeb. Warunkiem koniecznym jest tu dostęp do kodu źródłowego. Wolność 2. Wolność rozpowszechniania kopii, byście mogli pomóc sąsiadom. Wolność 3. Wolność udoskonalania programu i publicznego rozpowszechniania własnych ulepszeń, dzięki czemu moŜe z nich skorzystać cała społeczność. Warunkiem koniecznym jest tu dostęp do kodu źródłowego. 16 Bezpieczeństwo teleinformatyczne 3.2 Otwarte oprogramowanie Otwarte oprogramowanie (open source) - oprogramowanie o otwartym/dostępnym kodzie źródłowym. Określenie to zostało sformułowane 3 lutego 1998 roku, podczas burzy mózgów w Palo Alto w Kalifornii. W sesji brali udział Todd Anderson, Christine Peterson (z Foresight Institute), John "maddog" Hall, Larry Augustin (obaj z Linux International), Sam Ockman (z Silicon Valley Linux User’s Group), Michael Tiemann i Eric Raymond. Uczestnicy poszukiwali nowej nazwy dla wolnego oprogramowania: takiej, która by nie powodowała niejednoznaczności i nie kojarzyła się tylko z darmowym oprogramowaniem, i która by była bardziej przyjazna dla ludzi biznesu. Christine Peterson wymyśliła nazwę open source, która przez pozostałych uczestników spotkania została uznana za najlepszą. Otwarte oprogramowanie - definicja Open Source Initiative http://www.opensource.org/ Open source nie oznacza tylko dostępu do kodu źródłowego. Warunki dystrybucji oprogramowania open source muszą być zgodne z następującymi kryteriami: 1. Swoboda redystrybucji Licencja nie moŜe ograniczać swobody którejkolwiek ze stron do sprzedawania lub rozdawania oprogramowania jako elementu szerszej dystrybucji zawierającej programy z róŜnych źródeł. Licencja nie moŜe wymagać pobierania honorariów lub innych opłat od takiej sprzedaŜy. 2. Kod źródłowy Do programu musi być dołączony kod źródłowy, a licencja musi zezwalać na dystrybucję zarówno w postaci kodu źródłowego, jak i skompilowanej. Jeśli któryś produkt nie jest rozprowadzany wraz z kodem źródłowym, musi istnieć dobrze udokumentowany sposób uzyskania tego kodu źródłowego za cenę nie przekraczającą rozsądnych kosztów wykonania kopii – najlepiej poprzez darmowe pobranie z Internetu. Kod źródłowy musi być dostępny w zalecanej postaci, pozwalającej na prostą modyfikację. Nie jest dozwolone celowe gmatwanie kodu źródłowego. Formaty pośrednie, takie jak wynik działania preprocesora lub translatora, nie są dozwolone. 3. Dzieła pochodne Licencja musi zezwalać na dokonywanie zmian oraz tworzenie dzieł pochodnych. Musi równieŜ umoŜliwiać dystrybucję takich dzieł na tych samych warunkach, jakie opisuje licencja oryginalnego oprogramowania. 17 Bezpieczeństwo teleinformatyczne 4. Spójność kodu źródłowego autora Licencja moŜe ograniczać dystrybucję kodu źródłowego w zmodyfikowanej postaci tylko wtedy, jeśli dozwolona jest przy tym dystrybucja «poprawek» (ang. patch) wraz z kodem źródłowym, za pomocą których program jest potem modyfikowany w trakcie kompilacji. Licencja musi jawnie zezwalać na dystrybucję oprogramowania skompilowanego ze zmodyfikowanego kodu źródłowego. Licencja moŜe wymagać, aby dzieła pochodne nosiły inną nazwę lub numer wersji niŜ oprogramowanie oryginalne. 5. Niedozwolona dyskryminacja osób i grup Licencja nie moŜe dyskryminować jakichkolwiek osób czy grup. 6. Niedozwolona dyskryminacja obszarów zastosowań Licencja nie moŜe zabraniać wykorzystywania programu w jakimś konkretnym obszarze zastosowań. Na przykład, nie moŜe zabraniać wykorzystania programu w sposób komercyjny lub uŜywania go do badań genetycznych. 7. Dystrybucja licencji Określenie praw dołączone do programu musi obowiązywać wszystkich, którzy otrzymują oprogramowanie bez konieczności przestrzegania przez te osoby dodatkowych licencji. 8. Licencja nie moŜe obejmować konkretnego produktu Określenie praw dołączone do programu nie moŜe zaleŜeć od tego, Ŝe dany program stanowi część określonej dystrybucji oprogramowania. Jeśli program został pobrany z takiej dystrybucji i wykorzystywany lub rozprowadzany zgodnie z warunkami licencji, wszystkie osoby do których program trafia powinny posiadać te same prawa, które określone są dla oryginalnej dystrybucji oprogramowania. 9. Licencja nie moŜe ograniczać stosowania innego oprogramowania Licencja nie moŜe nakładać ograniczeń na inne oprogramowanie rozprowadzane wraz z oprogramowaniem objętym licencją. Na przykład, nie moŜe wymagać aby wszystkie inne programy rozprowadzane na tym samym nośniku były programami open source. 10. Licencja musi być neutralna technologicznie śaden punkt licencji nie moŜe narzucać konkretnej technologii lub stylu interfejsu. 18 Bezpieczeństwo teleinformatyczne Open Source Initiative Free Software Foundation 1 2 3 Wolność 0 4 5 6 7 X X X 8 9 X X Wolność 1 Wolność 2 X Wolność 3 X X X X 10 X X X X Tabela 1. Porównanie definicji wg FSF i OSI. Klauzula copyleft Klauzula zezwala uŜytkownikom na dowolne kopiowanie, dystrybuowanie oraz modyfikowanie danej pracy lub pracy pochodnej. Jednocześnie zastrzega się by wszelkie zmiany równieŜ były objęte klauzulą copyleft, a więc wykorzystywane na tych samych zasadach co pierwotna praca. Celem klauzuli jest stworzenie twórczości, która będzie się rozprzestrzeniać i proces ten nie będzie mógł być zablokowany przez ponowne zastrzeŜenie wszystkich praw autorskich. 19 Bezpieczeństwo teleinformatyczne 4. Shareware, freeware, adware Shareware jest to metoda marketingowa powstała w latach 80-tych, polegająca na udostępnianiu programów uŜytkownikom, aby mogli je wypróbować przed zakupem. Shareware nie jest licencją. Podstawową cechą oprogramowania shareware jest zezwolenie uŜytkownikom na dalsze rozpowszechnianie (redystrybucję) programu. Programy shareware są dostarczane tylko w wersji binarnej, bez ich kodu źródłowego. Odmiany programów shareware • wersja podstawowa (ang. basic) lub lekką (light), płatną wersję pełną (full, retail), zwaną takŜe zarejestrowaną (registered) albo profesjonalną (pro). • wersje testowe (ang. trial). Odmianą programów shareware są programy darmowe, freeware (ang. free software). Freeware obejmuje takŜe darmowe programy, które zabraniają redystrybucji lub ją ograniczają. Adware – darmowe oprogramowanie wyświetlające uŜytkownikowi reklamy. 20 Bezpieczeństwo teleinformatyczne 5. Bezpieczeństwo jako element jakości oprogramowania Bezpieczeństwo systemów komputerowych (security & safety). Bezpieczeństwo systemów teleinformatycznych jest elementem ich jakości (quality). Bezpieczeństwo systemu (system safety) – zbiór zasad, kryteriów, technik słuŜących do osiągnięcia akceptowalnego poziomu bezpieczeństwa działania systemu z uwzględnieniem ograniczeń wynikających z efektywności, czasu, kosztów działania systemu. The application of engineering and management principles, criteria, and techniques to achieve acceptable mishap risk, within the constraints of operational effectiveness and suitability, time, and cost, throughout all phases of the system life cycle. Atrybuty jakości systemu komputerowego • funkcjonalność (functionality), • łatwość uŜycia (usability), • wydajność (performance), • koszt (cost), • niezawodność usług, pewność działania, niezaleŜność (dependability). Pewność działania, niezaleŜność (dependability) systemu komputerowego określa zdolność systemu do niezawodnego i bezpiecznego dostraczenia usługi. Dependability of a computing system is the ability to deliver service that can justifiably be trusted. Atrybuty niezaleŜność systemu komputerowego • dostępność (availability), gotowość do dostarczenia usługi, • niezawodność (reliability), miara nieawaryjnego działania systemu, zdolności do dostarczenia usługi, • obsługiwalność (maintainability), miara zdolności systemu do naprawy lub modyfikacji, • bezpieczeństwo (safety), odporność na uszkodzenia spwodowane przez uŜytkowników lub wpływem otoczenia, • poufność (confidentiality), odporność na nieutoryzowany dostęp do chronionych danych, • integralność (integrity), odporność na wprowadzenie systemu w niewłasciwe zachowanie. 21 Bezpieczeństwo teleinformatyczne 6. Podstawowe pojęcia związane bezpieczeństwem teleinformatycznym identyfikacja (ang. identification) moŜliwość rozróŜnienia uŜytkowników, np. uŜytkownicy są identyfikowani w systemie operacyjnym za pomocą UID (user identifier). uwierzytelnianie (ang. authentication) proces weryfikacji toŜsamości uŜytkownika; najczęściej opiera się na tym co uŜytkownik wie (proof by knowledge), np. zna hasło, co uŜytkownik ma (proof by possession), np. elektroniczną kartę identyfikacyjną. autoryzacja (ang. authorization) proces przydzielania uŜytkownikowi praw dostępu do zasobów. kontrola dostępu (ang. access control) procedura nadzorowania przestrzegania praw dostępu do zasobów. poufność (ang. confidentiality) ochrona informacji przed nieautoryzowanym jej ujawnieniem. integralność danych (ang. data integrity) ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem. autentyczność (ang. authenticity) pewność co do pochodzenia (autorstwa i treści) danych. niezaprzeczalność (ang. nonrepudiation) ochrona przed fałszywym zaprzeczeniem przez nadawcę – faktu wysłania danych, przez odbiorcę - faktu otrzymania danych. 22