Wstęp  

W dzisiejszym świecie businessu szanse na przeżycie ma tylko ten, kto szybko potrafi dotrzeć 
do potrzebnej mu informacji w relatywnie krótkim czasie i odpowiednio ją wykorzystac. Bez 
sieci komputerowych proces ten jest niemożliwy. Dlatego firmy i instytucje łączą swoje 
komputery w sieci, aby czas wymiany informacji był jak najkrótszy a jej dostępność - dla 
osób upoważnionych - łatwa. Niestety sieci komputerowe niosą ze sobą wiele nowych 
zagrozen. Dane nie są umiejscawiane w jednym centralnym ośrodku, w którym 
zabezpieczenia fizyczne i programowe chronią je przed dostepem osób niepowołanych. Nie 
można stworzyć całkowicie otwartej sieci realizującej jednocześnie postulat bezpieczeństwa, 
tak samo jak stworzenie sieci całkowicie bezpiecznej wyklucza na dzień dzisiejszy jej 
otwartość.  

Co więcej, wiele firm nie ogranicza się jedynie do komunikacji wewnętrznej, ale stara się 
połączyc swoją sieć lokalną z Internetem. Takie podejście oznacza nowe szanse i możliwości 
dostępu do danych globalnych a także wymiany doświadczeń z analogicznymi firmami 
w innych częściach świata. Należy uświadomić sobie jednak fakt, że nowe możliwości to 
również nowe zagrożenia, którym trzeba zaradzić.  

Inny aspekt to komercjalizacja Internetu, z jaką obecnie mamy do czynienia. Internet 
przestaje być siecią akademicką o statusie ,,eksperymentalnym'', staje się środkiem do 
prowadzenia biznesu. Za pomocą globalnej sieci dokonuje się marketingu, sprzedaje towary 
i usługi. Klienci płacą, ale i wymagają, przede wszystkim poufności, wiarygodności i 
bezpieczeństwa swoich danych wedrujących po globalnej sieci. Fakt, że niewiele banków na 
świecie zdecydowało się jeszcze świadczyć bezpośrednio usługi typu 
płatnościowo/rozliczeniowego przez Internet świadczy o tym, że w dziedzinie bezpieczeństwa 
Internetu pozostało wiele do zrobienia.  

W kontekście wymienionych wyżej zagadnień, które decyduja o bezpieczeństwie sieci, w 
czasie wykładu zostaną omówione obecnie stosowane metody ochrony informacji. 
Zaprezentowane zostaną rozwiązania stosowane zarówno w sieciach wewnętrznych 
(intranetach) jak i w Internecie. Szczególna uwaga zostanie zwrócona na nabierające coraz 
większego znaczenia kwestie prywatności, w odniesieniu do poczty elektronicznej (e-mail) 
jak i WWW.  

Polityka bezpieczeństwa  

Bezpieczeństwo komputerowe: Komputer jest bezpieczny, jeśli jego użytkownik może na 
nim polegać, a zainstalowane oprogramowanie działa zgodnie ze stawianymi mu 
oczekiwaniami. Bezpieczeństwo komputerowe to zbiór technicznych rozwiązań 
nietechnicznych problemów .  

Etapy tworzenia struktur bezpieczeństwa :  

1. Planowanie.  
2.  Ocena ryzyka.  
3.  Analiza kosztów i zysków.  
4.  Tworzenie strategii odpowiadającej konkretnym potrzebom.  
5. Implementacja.  

6.  Audyt i reagowanie na incydenty.  

Zasady efektywnej strategii i polityki bezpieczeństwa :  

• 

Świadomość strategii i bezpieczeństwa musi spływać z góry na dół w hierarchii 
organizacji.  

• 

Efektywne bezpieczeństwo komputerowe oznacza ochronę danych.  

 

Usługi związane z ochroną informacji  

• 

Generalnie :  

Poufność:  
Ochrona informacji przed odczytem przez osoby nieupoważnione (drukowanie, 
wyświetlanie, inne formy ujawniania, w tym ujawnianie istnienia jakiegoś obiektu).  
Uwierzytelnienie:  
Poprawne określenie pochodzenia informacji z zapewnieniem autentyczności źródła.  
Spójność (nienaruszalność):  
Ochrona informacji przed nieautoryzowanymi zmianami (pisanie, zmiany, zmiany 
stanu, kasowanie, tworzenie, opóźnianie i powtarzanie).  
Dostępność (dyspozycyjność):  
Ochrona świadczonych usług przed zniekształceniem i uszkodzeniem, zapewnienie 
uprawnionym osobom możliwości korzystania z systemu w każdej chwili.  
Niezaprzeczalność:  
Uniemożliwienie tak nadawcy, jak i odbiorcy informacji zaprzeczenia faktowi jego 
przesłania.  
Prawidłowość:  
Zapewnienie pracy systemu zgodnej z oczekiwaniami.  
Kontrola dostępu (sterowanie):  
Regulowanie dostepu do systemu, autoryzacja.  
Audyt:  
Niepodatny na zniszczenia i uszkodzenia zapis zdarzeń w systemie.  

Przykłady:  

o 

Środowisko bankowe: spójność, audyt poufność, dostępność.  

o 

Systemy obrony narodowej (zastrzeżone dane): poufność dostępność.  

o 

Uczelnia: integralność, dostępność sterowanie, audyt.  

• 

W kontekście przesyłania wiadomości przez sieci teleinformatyczne [

3

]:  

Integralność zawartości:  
Zapewnia możliwość sprawdzenia tego, czy przesyłane dane nie zostały w żaden 
sposób zmodyfikowane podczas transmisji.  
Integralność sekwencji:  
Chroni przed przechwyceniem i opóźnionym przesłaniem wiadomości, zmianą 
kolejności wiadomości oraz przed powieleniem, dodaniem lub usunięciem 
wiadomości.  
Uwierzytelnienie nadawcy:  

Zapewnia możliwość sprawdzenia, czy nadawca wiadomości jest tym użytkownikiem 
sieci, za którego się podaje.  
Poufność zawartości:  
Takie przekształcenie przesyłanych danych, by były one niemożliwe do odczytania 
przez żadną inną osobę poza właściwym odbiorcą wiadomości.  
Niezaprzeczalność nadania:  
Chroni przed możliwością wyparcia się przez nadawcę faktu wysłania określonej 
wiadomości.  
Niezaprzeczalność odbioru wiadomości:  
Chroni nadawcę komunikatu przed wyparciem się przez odbiorcę faktu odbioru 
komunikatu.  

Niezaprzeczalność nadania 

 

Uwierzytelnienie nadawcy 

 

Integralność zawartości 

Kategorie zagrożeń  

Ogólne typy ataków na przepływającą informację [

8

]:  

Przechwycenie:  

Nieupoważniony dostęp do zasobów (atak na poufność).  

• 

odkrycie treści komunikatu;  

• 

analiza przesyłu.  

Przerwanie:  

Zniszczenie części systemu albo spowodowanie jej niedostepności lub niemożności 
użycia (atak na dyspozycyjność).  

Modyfikacja:  

Nieupoważniony dostep do zasobów połączony z wprowadzeniem zmian (atak na 
nienaruszalność).  

Podrobienie:  

Wprowadzenie do systemu fałszywych obiektów (atak na autentyczność).  

Przechwycenie jest atakiem pasywnym, pozostałe są aktywne.  

1. Zagrożenia fizyczne:  

o 

kradzież sprzętu, plików lub danych;  

o 

celowe zniszczenie;  

o 

bezmyślne zniszczenie danych lub programów.  

2. Siły wyższe:  

o 

powódź;  

o 

pożar;  

o 

wyładowania atmosferyczne;  

o 

trzęsienie ziemi;  

o 

...  

3.  Inne katastrofy:  

1.  zwiazane z użytkownikami:  

! 

pomyłki i nieuwaga;  

! 

celowe działania na szkodę firmy;  

! 

wykorzystywanie służbowego sprzętu i oprogramowania (nielegalne 
kopiowanie) do celów niezgodnych z przeznaczeniem.  

2. związane z technologią:  

! 

awarie sprzętowe;  

! 

awarie systemowe i błędy programów;  

! 

wirusy i bomby logiczne w programach.  

3. związane z komunikacją:  

! 

zdalny dostęp do sieci dla legalnych użytkowników;  

! 

nielegalny dostęp do sieci (hakerzy);  

! 

celowe podsłuchiwanie komunikacji.  

 

Tablica: Zagrożenie systemu informatycznego celowym działaniem człowieka [

26

]. 

Obszar Ryzyko 

Infrastruktura  
telekomunikacyjna 

• 

podsłuch linii (pasywny)  

• 

podsłuch aktywny, polegający na modyfikacji przesyłanych 
danych  

• 

wnioskowanie, czyli odwracanie procesów statystycznych 
mających za zadanie ukrycie danych źródłowych  

Wykonywanie  
programów 

• 

kopiowanie oprogramowania (lub danych)  

• 

wprowadzenie wirusa komputerowego  

• 

przenikanie/przeciekanie, czyli możliwość nieuprawnionego 
dostępu do danych poprzez wykorzystanie ,,dziur'' w 
oprogramowaniu użytkowym  

Korzystanie z 
systemu 

• 

świadomy błąd wprowadzania danych  

• 

kopiowanie, podmiana lub niszczenie plików  

• 

wykonywanie działań niedozwolonych  

• 

podszywanie się pod autoryzowanego użytkownika (ang. 
masquerading)  

Nośniki danych 

• 

kradzież nośników  

• 

podmiana nośnika  

• 

kopiowanie nośników  

Poziomy bezpieczeństwa  

W dokumencie Trusted Computer Standards Evaluation Criteria, znanym także jako Orange 
Book, Departament Obrony USA zdefiniował siedem poziomów bezpieczeństwa 
komputerowego systemu operacyjnego. Różne poziomy określają ró żne sposoby 
zabezpieczania sprzętu, oprogramowania i danych. Klasyfikacja ma charakter ,,zawierania'', 
co oznacza, że wyższe poziomy mają wszystkie cechy poziomów niższych.  

D1  

Najniższy poziom bezpieczeństwa określający także całkowity brak wiarygodności 
systemu. Poziom ten nie wymaga certyfikacji, bowiem oznacza on po prostu brak 
jakichkolwiek zabezpieczeń. Naszym zdaniem do tej klasy należą także systemy 
pozornie bezpieczne. Przykładem jest procedura autoryzacji dostępu w sieciowych 
komputerach Microsoft Windows. Użytkownik pytany jest o identyfikator i hasło, ale 
wystarczy podać dane ,,z sufitu'' i też mamy dostęp do lokalnych zasobów komputera. 
Trochę lepiej wygląda w tym przypadku zabezpieczanie swoich zasobów przed 
dostępem z innych komputerów w sieci i z tego punktu widzenia Microsoft Windows 
nie należą do klasy D1.  

C1  

Jest to najniższy poziom bezpieczeństwa. System operacyjny kontroluje uprawnienia 
użytkowników do odczytu i zapisu plików i kartotek oraz dysponuje mechanizmem 
autoryzacji dostępu. System taki nie ma na ogół zdefiniowanego tzw. super-
użytkownika (np. w UNIX root) lub użytkownik taki nie jest bardziej ,,bezpieczny'' 
niż pozostali. C1 jest także pozbawiony mechanizmów rejestrowania zdarzeń 
(auditing, logging).  

C2  

Poziom ten gwarantuje automatyczne rejestrowanie wszystkich istotnych z punktu 
widzenia bezpieczeństwa zdarzeń i zapewnia silniejszą ochronę kluczowych danych 
systemowych takich jak np. baza danych haseł użytkowych.  

B1  

Klasa ta obsługuje bezpieczeństwo na kilku poziomach takich jak tajne i ściśle tajne. 
Ma wdrożone mechanizmy uznaniowej kontroli dostępu do zasobów systemu, co 
może np. sprowadzić się do braku możliwości zmiany charakterystyki dostępu do 
plików i kartotek przez określonego użytkownika.  

B2  

Poziom wymaga przypisania każdemu obiektowi systemu komputerowego etykiety 
bezpieczeństwa określającej status tego obiektu w odniesieniu do przyjętej polityki 
bezpieczeństwa (np. gdy obiekt użytkownik żąda dostępu do obiektu plik system 
ochrony akceptuje lub odrzuca to żądanie na podstawie porównania zawartości etykiet 
bezpieczeństwa tych obiektów). Etykiety te mogą zmieniać się dynamicznie w 
zależności od tego co jest aktualnie użytkowane.  

B3  

Jest to rozszerzenie problemu bezpieczeństwa na sprzęt komputerowy. W tym 
przypadku bezwzględnie obowiązkowym jest chronienie zarówno przechowywanej 
jak i przesyłanej informacji. Przykładowo: terminale mogą być połączone z serwerem 
tylko za pośrednictwem wiarygodnego okablowania i specjalizowanego sprzętu 
gwarantującego, że nikt nie będzie w stanie "podsłuchać" naszej klawiatury.  

A1  

Jest to najwyższy poziom bezpieczeństwa. Cała konfiguracja sprzętowo-programowa 
wymaga matematycznej weryfikacji. Zarówno sprzęt jak i oprogramowanie musi 
podlegać specjalnej ochronie w trakcie transportu zapewniającej jego nienaruszalność 
(aby nikt niczego nie podmienił).  

Literatura  

1  

N.N., Internet. Agresja i Ochrona. Podręcznik hackera. Wydawnictwo Robomatic, 
Wrocław 1999.  

2  

Edward Amoroso, Sieci: Wykrywanie intruzów, Wydawnictwo RM, Warszawa 1999.  

3  

Krzysztof Gaj, Karol Górski, Anna Zugaj, Elementarz kryptologii, ENIGMA Systemy 
Ochrony Informacji, Warszawa 1999,  

http://www.enigma.com.pl/publikacje/EL.ARJ

  

4  

Mirosław Kutyłowski, Willy-B. Strothmann, Kryptografia. Teoria i praktyka 
zabezpieczania systemów komputerowych, wydanie drugie rozszerzone, Oficyna 
Wydawnicza Read Me, Warszawa 1999.  

5  

Adam Błaszczyk, Wirusy. Pisanie wirusów i antywirusów, Oficyna Wydawnicza Read 
Me, Warszawa 1998.  

6  

L. Klander, Hacker Proof czyli jak się bronić przed intruzami, MIKOM 1998.  

7  

Simson Garfinkel, Gene Spafford, Bezpieczeństwo w Unixie i Internecie, 
Wydawnictwo RM, Warszawa 1997.  

8  

William Stallings, Ochrona danych w sieci i intersieci. W teorii i praktyce, 
Wydawnictwa Naukowo-Techniczne, Warszawa 1997.  

9  

Bruce Schneier, Ochrona poczty elektronicznej, Wydawnictwa Naukowo-Techniczne, 
Warszawa 1996.  

10  

Jan Hruska, Wirusy komputerowe i ochrona antywirusowa, Wydawnictwo 
Komunikacji i Łączności, Warszawa 1995.  

11  

Neal Koblitz, Wykład z teorii liczb i kryptografii, Wydawnictwa Naukowo-
Techniczne, Warszawa 1995.  

12  

M. Rączkiewicz Bezpieczeństwo sieci komputerowych, Wydawnictwo Fundacji 
Postępu Telekomunikacji, Kraków 1995.  

13  

Bruce Schneier Kryptografia dla praktyków - protokoły, algorytmy i programy 
źródłowe w języku C, Wydawnictwa Naukowo-Techniczne, Warszawa 1995.  

14  

Dariusz Seń, Kryptologia matematyczna. Kryptosystemy z publicznym kluczem, praca 
magisterska Zakładu Metod Numerycznych Instytutu Matematyki UMCS, Lublin 
1994.  

15  

Janusz Stokłosa, Kryptograficzna ochrona danych w systemach komputerowych, 
Wydawnictwo Nakom, Poznań 1994.  

16  

Janusz Stokłosa, Algorytmy kryptograficzne, Ośrodek Wydawnictw Naukowych, 
Poznań 1994.  

17  

Dorothy Elizabeth Robling Denning, Kryptografia i ochrona danych, Wydawnictwa 
Naukowo-Techniczne, Warszawa 1993.  

18  

David Ferbrache, Patologia wirusów komputerowych, Wydawnictwa Naukowo-
Techniczne, Warszawa 1993.  

19  

L. J. Hoffman, Poufność w systemach informatycznych, Wydawnictwa Naukowo-
Techniczne, Warszawa 1982.  

20  

Tomasz Bela, Ochrona danych i programów,  

http://www.wsi.edu.pl/~pablo/plan.htm

  

21  

Krzysztof Młynarski, Kryptografia a bezpieczeństwo danych, MAGAZYN CYBER 
4/98, 

http://www.cyber.com.pl/archiwum/12/25.shtml

  

22  

Krzysztof Młynarski, O bezpieczeństwie sieci słów kilka..., MAGAZYN CYBER 3/98, 

http://www.cyber.com.pl/archiwum/11/29.shtml

  

23  

Tomasz R. Surmacz, Zagrożenia bezpieczeństwa w sieciach TCP/IP,  

http://www.cbs.pl/ts4.html

  

24  

Grzegorz Blinowski, Bezpieczeństwo sieci,  

http://www.cc.com.pl/security/secur.html

  

25  

Bezpieczeństwo: Kolekcja Rozwiązań Clico,  

http://www.clico.krakow.pl/software/ochrona.html

  

26  

Maciej Janiec, Bezpieczeństwo w systemach gromadzenia i przetwarzania danych, 

http://www.ebiz.hg.pl/e-publ/secure/secure.htm  

27  

Informacje o PGP, http://pgp.icm.edu.pl/  

28  

CERT NASK, http://www.nask.pl/CERT/  

29  

Grupa dyskusyjna, news:pl.comp.security