Wykład 1. Bezpieczeństwo teleinformatyczne. 1. Wstęp

Transkrypt

Bezpieczeństwo teleinformatyczne
Wykład 1. Bezpieczeństwo teleinformatyczne.
1.
WSTĘP............................................................................................................................................................................ 1
2.
DOKUMENTY I SPECYFIKACJE DOTYCZĄCE BEZPIECZEŃSTWA TELEINFORMATYCZNEGO ............. 3
2.1
2.2
2.3
2.4
2.5
3.
USTAWY I ROZPORZĄDZENIA ............................................................................................................................................ 3
STANDARDY ISO ZWIĄZANE Z BEZPIECZEŃSTWEM TELEINFORMATYCZNYM ................................................................................ 9
STANDARD BEZPIECZEŃSTWA BS 7799 ............................................................................................................................ 11
DOKUMENTY WYDAWNICTWA RFC DOTYCZĄCE BEZPIECZEŃSTWA SIECI KOMPUTEROWYCH ........................................................ 13
BEZPIECZEŃSTWO W STANDARDZIE 802.3, 802.11 ........................................................................................................... 14
TYPY LICENCJI OPROGRAMOWANIA .................................................................................................................. 15
3.1
3.2
WOLNE OPROGRAMOWANIE.......................................................................................................................................... 16
OTWARTE OPROGRAMOWANIE ...................................................................................................................................... 17
4.
SHAREWARE, FREEWARE, ADWARE .................................................................................................................. 20
5.
BEZPIECZEŃSTWO JAKO ELEMENT JAKOŚCI OPROGRAMOWANIA ......................................................... 21
6.
PODSTAWOWE POJĘCIA ZWIĄZANE BEZPIECZEŃSTWEM TELEINFORMATYCZNYM ......................... 22
1. Wstęp
Bezpieczeństwo teleinformatyczne oznacza
•
bezpieczeństwo systemów komputerowych,
•
bezpieczeństwo danych elektronicznych,
•
bezpieczeństwo transmisji danych w sieciach teleinformatycznych (bezpieczeństwo urządzeń i
mediów transmisyjnych).
ZagroŜeniem dla bezpieczeństwa teleinformatycznego moŜe być
•
osoba naruszająca zasady bezpieczeństwa danego systemu,
•
złośliwe oprogramowanie,
•
błędy w programach,
•
zawodne łącza w sieciach teleinformatycznych,
•
zjawiska losowe (poŜar, powódź, …).
1
Zagadnienie bezpieczeństwa teleinformatycznego związane jest z:
•
ochroną systemów teleinformatycznych przed włamaniami,
•
ochroną przed kradzieŜami danych, kradzieŜami oprogramowania,
•
ochroną przed przestępstwami komputerowymi (oszustwa, fałszerstwa, kradzieŜe),
•
szpiegostwem komputerowym,
•
niszczeniem danych i programów,
•
paraliŜowaniem pracy systemów komputerowych (obniŜenie dostępności systemu),
•
uwierzytelnieniem i autoryzacją uŜytkowników, hostów i usług,
•
ochroną poufności, integralności danych,
•
ochroną systemów teleinformatycznych przed złośliwym oprogramowaniem.
Bezpieczeństwo teleinformatyczne moŜna realizować poprzez:
•
określanie zasad autoryzacji i kontroli dostępu (do systemów, zasobów, usług),
•
definiowanie zasad poufności i integralności danych w systemach komputerowych,
•
definiowanie mechanizmów podnoszenia stopnia dostępności do informacji (nadmiarowość
komponentów, archiwizacja danych, wykonywanie kopii zapasowych).
Zarządzanie bezpieczeństwem teleinformatycznym polega na:
•
tworzenie polityki bezpieczeństwa dla systemów komputerowych,
•
tworzenie norm i zaleceń bezpieczeństwa,
•
określanie klas bezpieczeństwa systemów komputerowych,
•
definiowanie mechanizmów uwierzytelniania,
•
monitorowaniu zabezpieczeń (monitorowanie transmisji danych, aktywności hostów),
•
specyfikowanie narzędzi słuŜących do analizy zabezpieczeń,
•
tworzenie zasad dostępu do zasobów,
•
tworzenie procedur analizy ryzyka związanego z bezpieczeństwem teleinformatycznym,
•
tworzenie procedur reagowania i dokumentowanie incydentów naruszenia bezpieczeństwa ,
•
aktualizacja systemów operacyjnych i aplikacji.
2
2. Dokumenty i specyfikacje dotyczące bezpieczeństwa
teleinformatycznego
2.1 Ustawy i rozporządzenia
http://isap.sejm.gov.pl/
I. ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie
podstawowych wymagań bezpieczeństwa teleinformatycznego.
Dz. U. z dnia 8 września 2005 r.
§ 1. Rozporządzenie określa:
1) podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać
systemy i sieci teleinformatyczne słuŜące do wytwarzania, przetwarzania, przechowywania lub
przekazywania informacji niejawnych;
2) sposób opracowywania dokumentów szczególnych wymagań bezpieczeństwa i procedur
bezpiecznej eksploatacji systemów lub sieci teleinformatycznych.
Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w
systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to
bezpieczeństwo, w szczególności przed utratą
•
poufności,
•
dostępności i
•
integralności.
§ 5. Ochrona fizyczna systemu lub sieci teleinformatycznej polega na:
1) umieszczeniu urządzeń systemu lub sieci teleinformatycznej w strefie bezpieczeństwa, strefie
administracyjnej lub specjalnej strefie bezpieczeństwa, zwanych dalej "strefą kontrolowanego
dostępu" w zaleŜności od:
a) klauzuli tajności,
b) ilości,
c) zagroŜeń dla poufności, integralności lub dostępności - informacji niejawnych;
2) zastosowaniu środków zapewniających ochronę fizyczną, w szczególności przed:
a) nieuprawnionym dostępem,
b) podglądem,
c) podsłuchem.
3
§ 6. 1. Ochrona elektromagnetyczna systemu lub sieci teleinformatycznej polega na
niedopuszczeniu do utraty poufności i dostępności informacji niejawnych przetwarzanych w
urządzeniach teleinformatycznych.
§ 7. 1. Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub sieci
teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność,
integralność oraz uwierzytelnienie.
§ 8. Niezawodność transmisji polega na zapewnieniu integralności i dostępności informacji
niejawnych przekazywanych w systemach lub sieciach teleinformatycznych.
§ 9. 1. W celu zapewnienia kontroli dostępu do systemu lub sieci teleinformatycznej:
1) kierownik jednostki organizacyjnej lub osoba przez niego upowaŜniona ustala warunki i
sposób przydzielania uprawnień osobom uprawnionym do pracy w systemie lub sieci
teleinformatycznej;
2) administrator systemów określa warunki oraz sposób przydzielania tym osobom kont oraz
mechanizmów kontroli dostępu, a takŜe zapewnia ich właściwe wykorzystanie.
2. System lub sieć teleinformatyczną wyposaŜa się w mechanizmy kontroli dostępu
odpowiednie do klauzuli tajności informacji niejawnych w nich przetwarzanych.
Rozdział 3 Sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego.
4
II.
Ustawa o podpisie elektronicznym, z dnia 18 września 2001 r.
Dz. U. 01.130.1450
Art. 1. Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego
stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami
świadczącymi te usługi.
podpis elektroniczny - dane w postaci elektronicznej, które wraz z innymi danymi, do których
zostały dołączone lub z którymi są logicznie powiązane, słuŜą do identyfikacji osoby składającej
podpis elektroniczny.
bezpieczny podpis elektroniczny - podpis elektroniczny, który:
a) jest przyporządkowany wyłącznie do osoby składającej ten podpis,
b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis
elektroniczny bezpiecznych urządzeń słuŜących do składania podpisu elektronicznego i
danych słuŜących do składania podpisu elektronicznego,
c) jest powiązany z danymi, do których został dołączony, w taki sposób, Ŝe jakakolwiek
późniejsza zmiana tych danych jest rozpoznawalna.
certyfikat - elektroniczne zaświadczenie, za pomocą którego dane słuŜące do weryfikacji
podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które
umoŜliwiają identyfikację tej osoby.
III.
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 7 sierpnia 2002 r.
w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów
świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów
wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń
słuŜących do składania i weryfikacji podpisu elektronicznego.
Dz. U. Nr 128, poz. 1094
§ 1. Rozporządzenie określa:
1) szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do
składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów
elektronicznych;
2) podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla
kwalifikowanych certyfikatów;
3) szczegółowe warunki techniczne i organizacyjne, które muszą spełniać kwalifikowane
podmioty świadczące usługi certyfikacyjne.
5
IV.
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
Dz. U. 2002 nr 144 poz. 1204.
Ustawa określa:
1) obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną,
2) zasady wyłączania odpowiedzialności usługodawcy z tytułu świadczenia usług drogą
elektroniczną,
3) zasady ochrony danych osobowych osób fizycznych korzystających z usług świadczonych
drogą elektroniczną.
V.
Ustawa z dnia 17 lutego 2005 o informatyzacji działalności podmiotów realizujących
zadania publiczne, Dz.U.05.64.565.
VI.
USTAWA z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych
Dz.U. 1994 Nr 24 poz. 83.
Rozdział 1 Przedmiot prawa autorskiego
Art. 1.
1. Przedmiotem prawa autorskiego jest kaŜdy przejaw działalności twórczej o indywidualnym
charakterze, ustalony w jakiejkolwiek postaci, niezaleŜnie od wartości, przeznaczenia i sposobu
wyraŜenia (utwór).
2. W szczególności przedmiotem prawa autorskiego są utwory:
1) wyraŜone słowem, symbolami matematycznymi, znakami graficznymi (literackie,
publicystyczne, naukowe, kartograficzne oraz programy komputerowe);
Rozdział 7 Przepisy szczególne dotyczące programów komputerowych.
VII.
USTAWA z dnia 27 lipca 2001 r. o ochronie baz danych
Art. 1. Bazy danych podlegają ochronie określonej w ustawie niezaleŜnie od ochrony przyznanej
na podstawie ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach
pokrewnych (Dz. U. z 2006 r. Nr 90, poz. 631, Nr 94, poz. 658, Nr 121, poz. 843
oraz z 2007 r. Nr 99, poz. 662) bazom danych spełniającym cechy utworu.
VIII.
USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Dz.U. 1997 Nr 133 poz. 883
Art. 2 1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa
osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
6
2. Kodeks karny
USTAWA z dnia 6 czerwca 1997 r. Kodeks karny. Dz. U. z dnia 2 sierpnia 1997 r.
Art. 130. Dotyczy szpiegostwa komputerowego.
Art. 116 - 118. Dotyczy ochrony praw autorskich.
Art. 202. Przestępstwa popełniane przy uŜyciu komputera (rozpowszechnianie, przechowywanie
poronografii dziecięcej).
Art. 267. Dotyczy włamań do systemów komputerowych (hakerstwo), podsłuchu (sniffing).
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte
pismo, podłączając się do przewodu słuŜącego do przekazywania informacji lub przełamując
elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada
lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej
osobie.
Art. 268. Dotyczy niszczenia danych lub programów komputerowych.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej
informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z
nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. JeŜeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca
podlega karze pozbawienia wolności do lat 3.
Art. 269. Dotyczy sabotaŜu komputerowego.
§ 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o
szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania
administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub
uniemoŜliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze
pozbawienia wolności od 6 miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając
nośnik informacji lub niszcząc albo uszkadzając urządzenie słuŜące automatycznemu przetwarzaniu,
gromadzeniu lub przesyłaniu informacji.
7
Art. 270. Dotyczy fałszerstw komputerowego zapisu informacji.
Art. 276. Dotyczy niszczenia lub pozbawienia mocy dowodowej dokumentu elektronicznego.
Art. 278. Dotyczy nielegalnego uzyskania programu komputerowego.
Art. 287. Dotyczy oszustw komputerowych.
§ 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez
upowaŜnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub
zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze
pozbawienia wolności od 3 miesięcy do lat 5.
I.
USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych.
Dz. U. 1999 nr 11 poz. 95.
Art. 1. 1. Ustawa określa zasady ochrony informacji, które wymagają ochrony przed nieuprawnionym
ujawnieniem, jako stanowiące tajemnicę państwową lub słuŜbową, niezaleŜnie od formy i sposobu ich
wyraŜania, takŜe w trakcie ich opracowania, zwanych dalej „informacjami niejawnymi”.
Rozdział 10 Bezpieczeństwo systemów i sieci teleinformatycznych.
Art. 60 - 64.
systemem teleinformatycznym jest system, który tworzą urządzenia, metody postępowania i
procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie,
przechowywanie, przetwarzanie lub przekazywanie informacji.
siecią teleinformatyczną jest organizacyjne i techniczne połączenie systemów teleinformatycznych.
akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu lub sieci
teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji
niejawnych, na zasadach określonych w ustawie.
dokumentacją bezpieczeństwa systemu lub sieci informatycznej są szczególne wymagania
bezpieczeństwa oraz procedury bezpiecznej eksploatacji danego systemu lub sieci
teleinformatycznej, sporządzone zgodnie z zasadami określonymi w ustawie.
8
2.2 Standardy ISO związane z bezpieczeństwem teleinformatycznym
http://www.iso.org/
ISO/IEC 17799, 2005, Information technology — Security techniques — Code of practice for
information security management.
ISO/IEC 27006:2007, Information technology -- Security techniques -- Requirements for bodies
providing audit and certification of information security management systems.
ISO/IEC 27003:2010,Information technology -- Security techniques -- Information security
management system implementation guidance.
ISO/IEC 19790:2006, Information technology -- Security techniques -- Security requirements for
cryptographic modules.
ISO/IEC 18043:2006, Information technology -- Security techniques -- Selection, deployment and
operations of intrusion detection systems.
ISO/IEC 18033-2:2006, Information technology -- Security techniques -- Encryption algorithms -- Part
2: Asymmetric ciphers
ISO/IEC 15946-1:2008, Information technology -- Security techniques -- Cryptographic techniques
based on elliptic curves -- Part 1: General.
ISO/IEC TR 15443-2:2005, Information technology -- Security techniques -- A framework for IT
security assurance -- Part 2: Assurance methods
9
ISO/IEC 18028-3:2005, Information technology -- Security techniques -- IT network security -- Part 3:
Securing communications between networks using security gateways.
Network security architecture.
Securing communications across networks using virtual private networks.
ISO/IEC 24759:2008, Information technology -- Security techniques -- Test requirements for
cryptographic modules.
ISO/IEC 14888-1:2008, Information technology -- Security techniques -- Digital signatures with
appendix -- Part 1: General.
ISO/IEC 21827:2008, Information technology -- Security techniques -- Systems Security
Engineering -- Capability Maturity Model® (SSE-CMM®)
http://www.sse-cmm.org/model/model.asp
ISO/IEC 19772:2009, Information technology -- Security techniques -- Authenticated encryption.
ISO/IEC 19792:2009, Information technology -- Security techniques -- Security evaluation of
biometrics.
ISO 7498-2:1989, Information processing systems -- Open Systems Interconnection -- Basic
Reference Model -- Part 2: Security Architecture
ISO/IEC 11586-1:1996, Information technology -- Open Systems Interconnection -- Generic upper
layers security: Overview, models and notation.
ISO/IEC TR 19791:2010, Information technology -- Security techniques -- Security assessment
of operational systems.
10
2.3 Standard bezpieczeństwa BS 7799
BSI (British Standards Institute), Brytyjski Instytut Standardów.
http://www.bsi.org.uk
http://www.bsigroup.com
Organizacja załoŜona w 1901.
BSI reprezentuje organizacje ISO w Wielkiej Brytanii.
W 1990 roku firmy:
BOC, BT, Marks&Spencer, Midland Bank, Nationwide Building Society, Shell, Unilever
opracowały standard BS 7799 słuŜący do zarządzania bezpieczeństwem informacji.
Według normy BS 7799 informacja jest zasobem który naleŜy chronić.
Bezpieczeństwo informacji oznacza zachowanie:
•
integralności informacji,
•
poufności informacji i metod ich przetwarzania,
•
dostępu do informacji.
Standard BS 7799 składa się z dwóch części:
•
BS 7799 Part 1 Code of Practice for Information Security Management.
Przewodnik do zarządzania bezpieczeństwem informatycznym. Norma ISO 17799.
•
BS 7799 Part 2 Specification for Information Security Management Systems.
Specyfikacja systemów zarządzania bezpieczeństwem informatycznym (styczeń 1998).
11
Standard BS 7799 określa zasady:
•
funkcjonowania dokumentacji określającej procedury bezpieczeństwa informatycznego,
•
funkcjonowania struktury organizacyjnej w firmie związanej z bezpieczeństwem
informatycznym, (przydzielenie odpowiednim osobom odpowiedzialności za bezpieczeństwo
informatyczne),
•
prowadzenia szkoleń związanych bezpieczeństwem informatycznym,
•
dokumentowania i reakcji na naruszenie procedur bezpieczeństwa,
•
ochrony antywirusowej,
•
kontroli w zakresie zachowania praw autorskich (kopiowania oprogramowania, dokumentów
elektronicznych),
•
analizy ryzyka w procesie zarządzania (critical record management processes),
•
ochrona danych osobowych,
•
okresowego przeglądu i ulepszania procedur bezpieczeństwa.
12
2.4 Dokumenty wydawnictwa RFC dotyczące bezpieczeństwa sieci komputerowych
Wydawnictwo RFC, (ang.) Requests for Comments
htpp://www.rfc-editor.org/
Dokumenty RFC dotyczą opracowań i specyfikacji:
•
protokołów komunikacyjnych
•
aplikacji sieciowych
•
procedur zarządzania siecią
•
nowych rozwiązań technicznych
•
notatek ze spotkań, opinii na temat rozwoju sieci.
Dokumenty RFC dotyczące bezpieczeństwa sieci komputerowych i Internetu.
RFC 1281, R.Pethia, S.Crocker, B.Fraser, Guidelines for the Secure Operation of the Internet, 1991.
RFC 2179, A. Gwinn, Network Security For Trade Shows, 1997.
RFC 2196, B. Fraser, Site Security Handbook, 1997.
RFC 2316, S. Bellovin, Report of the IAB Security Architecture Workshop, 1998.
RFC 2504, E. Guttman, L. Leong, G. Malkin, Users' Security Handbook, 1999.
RFC 2709, P. Srisuresh, Security Model with Tunnel-mode IPsec for NAT Domains.
RFC 2725, C.Villamizar, C.Alaettinoglu, D.Meyer, S.Murphy, Routing Policy System Security, 1999.
RFC 3748, B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson, H.Levkowetz, Extensible Authentication
Protocol (EAP), 2004.
RFC 4120, C. Neuman, T. Yu, S. Hartman, K. Raeburn, The Kerberos Network Authentication Service
(V5), 2005, Area: sec, WG: krb-wg
RFC 4301, S. Kent, K. Seo, Security Architecture for the Internet Protocol, 2005, Area: sec,WG:ipsec
RFC 4949, R. Shirey, Internet Security Glossary, Version 2, 2007.
RFC 5424, R. Gerhards, The Syslog Protocol, 2009, Area: sec, WG: syslog
13
2.5 Bezpieczeństwo w standardzie 802.3, 802.11
Standard bezpieczeństwa w sieciach LAN, WLAN :
IEEE Computer Society, 802.1X - Port Based Network Access Control, 2001.
IEEE 802.11-2007 IEEE Standard for Information technology -- Telecommunications and information
exchange between systems -- Local and metropolitan area networks-Specific requirements -- Part 11:
Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications
.
802.11i- 2004, IEEE Standard for Information technology—Telecommunications and information
exchange between systems—Local and metropolitan area networks—Specific requirements Part 11:
Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 6:
Medium Access Control (MAC) Security Enhancements.
14
3. Typy licencji oprogramowania
Licencjonowanie oprogramowania - uŜytkownik kupując program komputerowy nie staje się jego
właścicielem. Twórca lub dystrybutor programu udziela mu jedynie licencji na jego uŜywanie.
Licencja oprogramowania - umowa na korzystanie z utworu jakim jest aplikacja komputerowa,
zawierana pomiędzy podmiotem, któremu przysługują majątkowe prawa autorskie do utworu, a
osobą, która zamierza z danej aplikacji korzystać.
Licencje zamkniętego oprogramowania (EULA, End-User License Agreement).
Licencja typu EULA zastrzega wszelkie prawa dla producenta oprogramowania.
UŜytkownik otrzymuje tylko ściśle określony, wąski zakres uprawnień.
Przykład. Licencja systemu Microsoft Windows XP Professional zezwala uŜytkownikowi na:
•
instalowanie i uŜywanie tylko 1 kopii systemu,
•
uŜywanie systemu na komputerze posiadającym maksymalnie 2 procesory,
•
udostępnianie usług obsługi plików, drukowania, połączenia z Internetem, oraz dostępu zdalnego
maksymalnie 10 komputerom lub innym urządzeniom,
•
wykonanie tylko 1 kopii zapasowej nośnika z oprogramowaniem,
•
jednorazowe przekazanie (sprzedaŜ lub podarunek) produktu osobie trzeciej.
Licencja zabrania odtwarzania, dekompilacji i dekompilacji produktu, oraz zastrzega wszystkie prawa nie
udzielone licencjobiorcy. Oznacza to, Ŝe licencja zabrania m.in.:
•
kopiowania oprogramowania (z wyjątkiem wykonania 1 kopii zapasowej),
•
instalowania oprogramowania na większej niŜ 1 liczby stanowisk,
•
modyfikowania oprogramowania,
•
dystrybucji zmodyfikowanych kopii.
Licencje OEM (Original Equipment Manufacturer) - Są to licencje przeznaczone dla producentów
sprzętu komputerowego, bądź gotowych zestawów komputerowych (komputerów biurkowych, a takŜe
laptopów), którzy sami instalują oprogramowanie na sprzedawanych przez siebie komputerach, lub
dołączają je do sprzedawanego sprzętu (np. nagrywarki CD/DVD, karty graficzne), z zastrzeŜeniem,
Ŝe owo oprogramowanie moŜe być tylko z nim uŜywane.
Licencje grupowe - licencje wielostanowiskowe.
15
3.1 Wolne oprogramowanie
Definicja Free Software Foundation (FSF), http://www.gnu.org/
licencji wolnego oprogramowania
(ang. free software):
Wolne oprogramowanie to kwestia wolności, nie ceny. By zrozumieć tę koncepcję,
powinniśmy myśleć o «wolności słowa», a nie «darmowym piwie»
“Free software” is a matter of liberty, not price. To understand the concept, you should think of “free” as
in “free speech”, not as in “free beer”.
Wolne oprogramowanie odnosi się do prawa uŜytkowników do swobodnego uruchamiania,
kopiowania, rozpowszechniania, analizowania, zmian i ulepszania programów.
Cztery wolności uŜytkowników programu:
Wolność 0.
Wolność uruchamiania programu, w dowolnym celu.
Wolność 1.
Wolność analizowania, jak program działa, i dostosowywania go do swoich
potrzeb. Warunkiem koniecznym jest tu dostęp do kodu źródłowego.
Wolność 2.
Wolność rozpowszechniania kopii, byście mogli pomóc sąsiadom.
Wolność 3.
Wolność udoskonalania programu i publicznego rozpowszechniania własnych
ulepszeń, dzięki czemu moŜe z nich skorzystać cała społeczność.
Warunkiem koniecznym jest tu dostęp do kodu źródłowego.
16
3.2 Otwarte oprogramowanie
Otwarte oprogramowanie (open source) - oprogramowanie o otwartym/dostępnym kodzie
źródłowym.
Określenie to zostało sformułowane 3 lutego 1998 roku, podczas burzy mózgów w Palo Alto w
Kalifornii.
W sesji brali udział Todd Anderson, Christine Peterson (z Foresight Institute), John "maddog" Hall, Larry Augustin
(obaj z Linux International), Sam Ockman (z Silicon Valley Linux User’s Group), Michael Tiemann i Eric
Raymond.
Uczestnicy poszukiwali nowej nazwy dla wolnego oprogramowania: takiej, która by nie powodowała
niejednoznaczności i nie kojarzyła się tylko z darmowym oprogramowaniem, i która by była bardziej
przyjazna dla ludzi biznesu.
Christine Peterson wymyśliła nazwę open source, która przez pozostałych uczestników spotkania
została uznana za najlepszą.
Otwarte oprogramowanie - definicja Open Source Initiative http://www.opensource.org/
Open source nie oznacza tylko dostępu do kodu źródłowego. Warunki dystrybucji oprogramowania
open source muszą być zgodne z następującymi kryteriami:
1. Swoboda redystrybucji
Licencja nie moŜe ograniczać swobody którejkolwiek ze stron do sprzedawania lub rozdawania
oprogramowania jako elementu szerszej dystrybucji zawierającej programy z róŜnych źródeł. Licencja
nie moŜe wymagać pobierania honorariów lub innych opłat od takiej sprzedaŜy.
2. Kod źródłowy
Do programu musi być dołączony kod źródłowy, a licencja musi zezwalać na dystrybucję zarówno w
postaci kodu źródłowego, jak i skompilowanej. Jeśli któryś produkt
nie jest rozprowadzany wraz z kodem źródłowym, musi istnieć dobrze udokumentowany sposób
uzyskania tego kodu źródłowego za cenę nie przekraczającą rozsądnych kosztów wykonania kopii –
najlepiej poprzez darmowe pobranie z Internetu. Kod źródłowy musi być dostępny w zalecanej postaci,
pozwalającej na prostą modyfikację. Nie jest dozwolone celowe gmatwanie kodu źródłowego. Formaty
pośrednie, takie jak wynik działania preprocesora lub translatora, nie są dozwolone.
3. Dzieła pochodne
Licencja musi zezwalać na dokonywanie zmian oraz tworzenie dzieł pochodnych. Musi równieŜ
umoŜliwiać dystrybucję takich dzieł na tych samych warunkach, jakie opisuje licencja oryginalnego
oprogramowania.
17
4. Spójność kodu źródłowego autora
Licencja moŜe ograniczać dystrybucję kodu źródłowego w zmodyfikowanej postaci tylko wtedy, jeśli
dozwolona jest przy tym dystrybucja «poprawek» (ang. patch) wraz z kodem źródłowym, za pomocą
których program jest potem modyfikowany w trakcie kompilacji. Licencja musi jawnie zezwalać na
dystrybucję oprogramowania skompilowanego ze zmodyfikowanego kodu źródłowego. Licencja moŜe
wymagać, aby dzieła pochodne nosiły inną nazwę lub numer wersji niŜ oprogramowanie oryginalne.
5. Niedozwolona dyskryminacja osób i grup
Licencja nie moŜe dyskryminować jakichkolwiek osób czy grup.
6. Niedozwolona dyskryminacja obszarów zastosowań
Licencja nie moŜe zabraniać wykorzystywania programu w jakimś konkretnym obszarze zastosowań.
Na przykład, nie moŜe zabraniać wykorzystania programu w sposób komercyjny lub uŜywania go do
badań genetycznych.
7. Dystrybucja licencji
Określenie praw dołączone do programu musi obowiązywać wszystkich, którzy otrzymują
oprogramowanie bez konieczności przestrzegania przez te osoby dodatkowych licencji.
8. Licencja nie moŜe obejmować konkretnego produktu
Określenie praw dołączone do programu nie moŜe zaleŜeć od tego, Ŝe dany program stanowi część
określonej dystrybucji oprogramowania. Jeśli program został pobrany z takiej dystrybucji i
wykorzystywany lub rozprowadzany zgodnie z warunkami licencji, wszystkie osoby do których program
trafia powinny posiadać te same prawa, które określone są dla oryginalnej dystrybucji oprogramowania.
9. Licencja nie moŜe ograniczać stosowania innego oprogramowania
Licencja nie moŜe nakładać ograniczeń na inne oprogramowanie rozprowadzane wraz z
oprogramowaniem objętym licencją. Na przykład, nie moŜe wymagać aby wszystkie inne programy
rozprowadzane na tym samym nośniku były programami open source.
10. Licencja musi być neutralna technologicznie
śaden punkt licencji nie moŜe narzucać konkretnej technologii lub stylu interfejsu.
18
Open Source Initiative
Free Software
Foundation
1
2
3
Wolność 0
4
5
6
7
X
X
X
8
9
X
X
Wolność 1
Wolność 2
X
Wolność 3
X
X
X
X
10
X
X
X
X
Tabela 1. Porównanie definicji wg FSF i OSI.
Klauzula copyleft
Klauzula zezwala uŜytkownikom na dowolne kopiowanie, dystrybuowanie oraz modyfikowanie danej
pracy lub pracy pochodnej. Jednocześnie zastrzega się by wszelkie zmiany równieŜ były objęte
klauzulą copyleft, a więc wykorzystywane na tych samych zasadach co pierwotna praca.
Celem klauzuli jest stworzenie twórczości, która będzie się rozprzestrzeniać i proces ten nie będzie mógł być
zablokowany przez ponowne zastrzeŜenie wszystkich praw autorskich.
19
4. Shareware, freeware, adware
Shareware jest to metoda marketingowa powstała w latach 80-tych, polegająca na udostępnianiu
programów uŜytkownikom, aby mogli je wypróbować przed zakupem.
Shareware nie jest licencją.
Podstawową cechą oprogramowania shareware jest zezwolenie uŜytkownikom na dalsze
rozpowszechnianie (redystrybucję) programu.
Programy shareware są dostarczane tylko w wersji binarnej, bez ich kodu źródłowego.
Odmiany programów shareware
•
wersja podstawowa (ang. basic) lub lekką (light), płatną wersję pełną (full, retail), zwaną takŜe
zarejestrowaną (registered) albo profesjonalną (pro).
•
wersje testowe (ang. trial).
Odmianą programów shareware są programy darmowe, freeware (ang. free software).
Freeware obejmuje takŜe darmowe programy, które zabraniają redystrybucji lub ją ograniczają.
Adware – darmowe oprogramowanie wyświetlające uŜytkownikowi reklamy.
20
5. Bezpieczeństwo jako element jakości oprogramowania
Bezpieczeństwo systemów komputerowych (security & safety).
Bezpieczeństwo systemów teleinformatycznych jest elementem ich jakości (quality).
Bezpieczeństwo systemu (system safety) – zbiór zasad, kryteriów, technik słuŜących do osiągnięcia
akceptowalnego poziomu bezpieczeństwa działania systemu z uwzględnieniem ograniczeń
wynikających z efektywności, czasu, kosztów działania systemu.
The application of engineering and management principles, criteria, and techniques to achieve
acceptable mishap risk, within the constraints of operational effectiveness and suitability, time, and
cost, throughout all phases of the system life cycle.
Atrybuty jakości systemu komputerowego
•
funkcjonalność (functionality),
•
łatwość uŜycia (usability),
•
wydajność (performance),
•
koszt (cost),
•
niezawodność usług, pewność działania, niezaleŜność (dependability).
Pewność działania, niezaleŜność (dependability) systemu komputerowego określa zdolność systemu
do niezawodnego i bezpiecznego dostraczenia usługi.
Dependability of a computing system is the ability to deliver service that can justifiably be trusted.
Atrybuty niezaleŜność systemu komputerowego
•
dostępność (availability), gotowość do dostarczenia usługi,
•
niezawodność (reliability), miara nieawaryjnego działania systemu, zdolności do dostarczenia
usługi,
•
obsługiwalność (maintainability), miara zdolności systemu do naprawy lub modyfikacji,
•
bezpieczeństwo (safety), odporność na uszkodzenia spwodowane przez uŜytkowników
lub wpływem otoczenia,
•
poufność (confidentiality), odporność na nieutoryzowany dostęp do chronionych danych,
•
integralność (integrity), odporność na wprowadzenie systemu w niewłasciwe zachowanie.
21
6. Podstawowe pojęcia związane bezpieczeństwem teleinformatycznym
identyfikacja (ang. identification) moŜliwość rozróŜnienia uŜytkowników, np. uŜytkownicy są
identyfikowani w systemie operacyjnym za pomocą UID (user identifier).
uwierzytelnianie (ang. authentication) proces weryfikacji toŜsamości uŜytkownika; najczęściej opiera
się na tym co uŜytkownik wie (proof by knowledge), np. zna hasło, co uŜytkownik ma
(proof by possession), np. elektroniczną kartę identyfikacyjną.
autoryzacja (ang. authorization) proces przydzielania uŜytkownikowi praw dostępu do zasobów.
kontrola dostępu (ang. access control) procedura nadzorowania przestrzegania praw dostępu do
zasobów.
poufność (ang. confidentiality) ochrona informacji przed nieautoryzowanym jej ujawnieniem.
integralność danych (ang. data integrity) ochrona informacji przed nieautoryzowanym jej
zmodyfikowaniem.
autentyczność (ang. authenticity) pewność co do pochodzenia (autorstwa i treści) danych.
niezaprzeczalność (ang. nonrepudiation) ochrona przed fałszywym zaprzeczeniem przez nadawcę –
faktu wysłania danych, przez odbiorcę - faktu otrzymania danych.
22

Wykład 1. Bezpieczeństwo teleinformatyczne. 1. Wstęp

Transkrypt

Podobne dokumenty

Polityka bezpieczeństwa informacji ISO 27001