Számítógép-biztonság: alapfogalmak

A számítógépek és a számítógépes adatok védelme egyre növekvő jelentőséggel bír, ennek megfelelően egyre nagyobb érdeklődés mutatkozik a számítógép-biztonság iránt. A védelem jelentősége lényegesen megnőtt a hálózatok megjelenésével, a védekezés összetettebbé és bonyolultabbá vált, s a felhasználóknak ugyanakkor eddig nem ismert veszélyforrásokkal kell szembenézniük. Tévhitek terjedtek el mind a veszélyforrásokról, mind a védekezési módokról.

Ez csak bevezetés, megfelelő védelem csak saját rendszerünk megfelelő ismeretében lehetséges. Elengedhetetlen, hogy a felhasználók tisztában legyenek az általuk használt rendszerek, szoftverek alapjainak (biztonsági alapjainak) ismeretével. Tanulmányozni kell a használt berendezések, szoftverek stb. leírásait, meg kell ismerni a helyi működési szabályokat, rendet. A biztonság alapja a jó menedzsment, a megbízható és kellően integrált hardver és szoftver, a szakképzettség és a kulturált használat. Természetesen nem elég az általános alapelveket tudni, ismerni kell a használt rendszerek, programok biztonsági alapjait is.

Számítógép-biztonság

Számítógép-biztonság (computer security) alatt szűkebb értelemben az adatok illetéktelenek hozzáférésétől való védelmét, elsősorban a titkosságot (secrecy, confidentiality) értik. Tágabb értelemben az alábbi négy fogalmat értjük rajta:

A megbízhatóságon egy más fogalmat is értünk: azt, hogy mennyire lehetünk biztosak rendszerünk megbízható működésében, védettségében - mennyire tesztelt, igazolt annak védelme (trustiness). Ez nem ennek a kurzusnak a témája.

A fenti fogalmakba beleértjük, hogy megfelelő kontrollal rendelkezünk rendszerünk felett, hitelesen nyomon tudjuk követni a biztonsági eseményeket. Előtérbe került az ember és a környezet védelme is. A nem megfelelő környezet természetesen veszélyt jelent a számítógépes rendszerekre és a számítógépes munkavégzésre nézve is, de ennél is fontosabb az ember és környezete védelme.

Sebezhetőség

Nagyon fontos tudnunk: mit és miért védjünk/védünk, mennyit ér meg a védelem? Ehhez a sebezhetőségünket (vulnerability), a kockázatot (risk) és a védekezés módját, a választható óvintézkedéseket (counter-measures) kell ismernünk. A sebezhetőség főbb típusai:

A megfelelő óvintézkedésekhez tudnunk kell a támadási lehetőségekről, a veszélyforrásokról (threats). A veszélyforrások és a sebezhetőség egyes típusai között egyszerűen leírható kapcsolatok vannak. A főbb veszélyforrások a következők:

A megfelelő védelem az arányos védelem, ahol a védendő érték, a potenciális veszély, a védekezés által okozott kellemetlenség ésszerű arányban áll a védelemre fordított költségekkel és erőfeszítésekkel. Általában az adatok jelentik a legnagyobb értéket, egyes helyeken pedig a folyamatos üzem elengedhetetlen. Az akadémiai szférában és az otthoni felhasználóknál az adatok értéke relatíve kisebb, az üzembiztonság szintén csekélyebb jelentőségű, ennek megfelelő a felelősség is. Amíg az adatvesztés egy cég életébe kerülhet, itt csak múló fájdalmat jelent - azonban ez lehet igen kellemetlen is, akár évek munkája is veszendőbe mehet. A privát szférával szemben azonban a védekezés itt sem könnyebb. Nyílt, eleve nem biztonságos környezetben kell megfelelő védelmet biztosítani. (Természetesen nem az erőforrások elzárásával fokozandó a biztonság!)