Elektronika.lt
 2024 m. lapkričio 8 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Lapkričio 8 d. 14:17
Skaitmeninis amžius: kur baigiasi pažanga ir prasideda atskirtis?
Lapkričio 8 d. 11:40
„GreenUp“ įrengė 480 kW saulės parką „Jammi“ restoranų tinklui
Lapkričio 8 d. 08:34
Išmaniojo telefono apsauga: kodėl ultragarsiniai pirštų antspaudų jutikliai yra geresni ir kokius privalumus jie suteikia
Lapkričio 7 d. 20:16
Kaip lietuvius susodinti į elektromobilius?
Lapkričio 7 d. 17:30
„Samsung Galaxy A16“ atkeliauja su ryškiais ekranais ir apsauga
Lapkričio 7 d. 14:37
Kokią bendrą ateitį gali turėti viešasis sektorius ir dirbtinis intelektas?
Lapkričio 7 d. 11:29
Su antrąja puse nesutariate, kur eiti vakarienės? Nuo šiol ginčuose tašką dės „Google Maps“
Lapkričio 7 d. 08:22
Mokėjimai monetomis ir banknotais artėja link išnykimo ribos. Ekspertai pateikia tris scenarijus, kaip bus toliau
Lapkričio 6 d. 20:11
Televizoriai, kurie jums suteiks išskirtinę vaizdo kokybę
Lapkričio 6 d. 17:38
KTU viešėjęs kibernetinio saugumo ekspertas Alessandro Guarino: Italijoje saugumo internete mokomi jau pradinukai
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Saugumas ir patogumas: aukso viduriuko beieškant

Publikuota: 2009-12-31 07:05
Tematika: Kompiuteriai, IT
Skirta: Profesionalams
Autorius: Miroslav Lučinskij
Inf. šaltinis: Critical Security

Dažnai girdime nuomonę, kad informacijos saugumo užtikrinimas – tai ilgas bei sudėtingas procesas, kurio rezultatas bus sudėtinga ir nepatogi vartotojui terpė. Daugelyje knygų yra kalbama apie tai, kad norint sukurti gerą informacijos saugumo sistemą įmonėje, reikia ieškoti balanso tarp naudojimosi patogumo ir saugumo lygio.

 Rodyti komentarus (1)
Įvertinimas:  1 2 3 4 5 

Dažnai girdime nuomonę, kad informacijos saugumo užtikrinimas – tai ilgas bei sudėtingas procesas, kurio rezultatas bus sudėtinga ir nepatogi vartotojui terpė. Daugelyje knygų yra kalbama apie tai, kad norint sukurti gerą informacijos saugumo sistemą įmonėje, reikia ieškoti balanso tarp naudojimosi patogumo ir saugumo lygio. Galime tik sutikti, nes kol kas niekas nesukūrė kieto ir saugaus vikšrinio tanko, kuris skraidytų kaip naujos kartos sportinis automobilis.

Žinome, kad negalima apsaugoti savo būsto nepastačius tvirtų sienų, langų ar kai kuriais atvejais ir grotų ant jų. Taip, tai trukdo grožėtis aplinkiniais gamtos vaizdais ir netgi tokiu atveju mes vis dar nesame saugūs, kadangi lieka spynos kokybės problema ar galų gale žmogiškasis faktorius. Lygiai taip pat negalime leisti visiems norintiems laisvai eiti į mūsų biurą, vaikštinėti po vadovybės kabinetus ir panašiai. Bet kompromiso ieškoti reikia – juolab, kad šiuolaikinės technologijos leidžia palengvinti mūsų gyvenimą ir papildomai verta pastebėti, kad saugumo priemonės savaime nėra galutinis tikslas (nors daugelis informacijos saugumo specialistų giliai širdyje galvoja būtent taip). Saugumas iš tikrųjų yra tik papildomas antros ar trečios eilės tikslas, tačiau visgi tai neužgesina jo svarbos.

Prieš 30 metų, dar 1975-aisiais mokslininkai Jerome Saltzer ir Michael Schroeder savo darbe „The Protection of Information in Computer Systems“ nustatė „psichologinį priimtinumą“ (psichological acceptability) kaip vieną iš 8 pagrindinių saugių sistemų kūrimo principų. Skamba šis principas taip: „Labai svarbu, kad vartotojo sąsaja būtų patogi naudoti tam, kad vartotojas paprastai ir „automatiškai“ naudotų saugos mechanizmus tinkamu būdu. Jeigu apsaugos supratimas vartotojo sąmonėje atitiks tuos principus, kuriuos jis naudoja kasdien praktiškai, tuomet klaidų tikimybė bus minimizuota. Tačiau jeigu vartotojui tenka jam pateiktą mechanizmą versti į kitą „kalbą“, jis būtinai darys klaidas.“ Šio principo esme labai paprasta – saugumo mechanizmas neturi pasunkinti priėjimo prie norimo resurso.

Saugumas ir patogumas: aukso viduriuko beieškant

Deja, praktikoje šio principo nėra laikomasi – daugelio saugumo sistemų vartotojo sąsajos nors ir yra reklamuojamos kaip „intuityviai suprantamos“, bet jos yra projektuojamos neįvertinant ergonomikos, praktiškumo ir naudojimo paprastumo kriterijų. O tai kartais netgi svarbiau nei šifravimo stiprumas, dviejų faktorių autentifikacijos naudojimas ar euristinių mechanizmų panaudojimas! Informacinės sistemos šiandien tampa vis sudėtingesnės ir kompleksiškesnės, o tai reiškia, kad auga tikimybė padaryti klaidą ir neteisingai naudotis ar konfigūruoti bei netinkamai prižiūrėti saugomą sistemą. Dėl to saugumo lygis natūraliai mažėja.

Psichologinio priimtinumo principus įgyvendinti nėra taip paprasta: saugumo sistemos gyvenimo cikle dalyvauja labai daug žmonių pradedant programuotoju ir baigiant galutiniu produkto vartotoju. Saugumo produktai yra kuriami tam, kad užtikrintų informacijos apsaugą, tačiau ne visuomet galutinis vartotojas net ir turėdamas gerą produktą sugebės tinkamai apsisaugoti. Tarkime ugniasienė praneša, jog blokuoja procesą SVCHOST.EXE, esantį My Documents aplanke. Ką tai sako vartotojui? Dažniausiai nieko, bet labiau pasikaustęs vartotojas žino, kad SVCHOST.EXE yra kažkoks sistemos komponentas (nes matau jį kasdien task manageryje), todėl jį reikia praleisti. Greičiausiai šis sprendimas nėra teisingas, bet kalba ne apie tai, kad priimtas blogas sprendimas, o apie tai, kad iš tikrųjų vartotojas neturėtų priiminėti tokio sprendimo: gera asmeninė ugniasienė turėtų pati priimti šį sprendimą prieš tai pasitardama su naudojama antivirusine programa bei „paklaususi“ viso interneto (t. y. kitų vartotojų, cloud computing‘o ar kitais būdais) ar jos sprendimas yra geras ar ne. Tas pats liečia ir kitus produktus – jungiantis per VPN vartotojui neturi rūpėti ar ten geras sertifikatas ar jo kompiuteris neatneš kokio užkrato į tinklą ir panašiai. Lygiai taip pat yra ir su programinės įrangos atnaujinimais – saugumo atnaujinimai turėtų ateiti nepastebimai ir nepriklausomai ar nori to vartotojas ar ne (Kai nežinai gyvent lengviau. Aišku, kartais atnaujinimai atneša naujų klaidų, dėl to sistemos ar programinė įranga ima nebeveikti, bet taip atsitinka labai retai ir yra sprendžiama įdiegiant senesnę programos versiją ar kažkokį pataisymo pataisymą. Be abejo, serveriuose tokia praktika netinka, nes ten yra kita programinės įrangos stabilumo kaina, tačiau įvertinkime ir tai, kad atitinkamus sprendimus priima sistemų administratorius – žmogus turintis didesnę kvalifikaciją nei vidutinis vartotojas. Bet net ir jam sprendimai turėtų būti palengvinami – naujai diegiama programinė įranga turėtų būti sukonfigūruota maksimaliai saugiai ir joje neturėtų būti mygtuko „disable all security features“. Deja, dažnai net ir esant geroms konfigūravimo galimybėms galioja Merfio dėsnis informacijos saugumui: „Saugumo ekspertu kaip ir krepšinio žinovu save laiko kas antras vartotojas“.

Kaip ir geras automobilis, saugumo sistemos mus turi perspėti dar prieš įvykstant blogam įvykiui – kitaip jos bus tiesiog bevertės: vargu ar mums labai reikalinga apsauga nuo slydimo tada, kai jau slystame artimiausio medžio link, teisinga saugumo sistema automobilyje mums tiesiog neduotų nuslysti. Visgi atsakomybės nukėlimas nuo vartotojo nėra vienintelis patogumo kriterijus projektuojant informacijos saugos sistemas. Pavyzdžiui, daugelis organizacijų naudojasi slaptažodžiais kaip pagrindine autentifikacijos priemone. Lygiai taip pat daugelis organizacijų turi ir elektronines praėjimo kontrolės sistemas, kuriose naudojamos ar magnetinės ar dažniau bekontaktės kortelės. Slaptažodžius be abejo esame priversti užsirašyti, nes jų yra daug ir jie sudėtingi. Dabar pas mus į ofisą ateina saugumo konsultantas ir sako, kad panaudojus elektroninį tokian tipo įrenginuką mums reikės prisiminti tik įrenginio slaptažodį, o visi kiti slaptažodžiai bus įrenginyje: taip laimima tikrai daug – slaptažodžiai yra talpinami saugioje vietoje, atsiranda antras autentifikacijos faktorius bei iš esmės sumažėja pagrindinio slaptažodžio kompleksiškumas. Iš saugumo pusės viskas yra gerai – saugumas padidėjo, patogumas irgi – įkišai įrenginį, paspaudei mygtuką, suvedei pin‘ą ir tu sistemoje. Bet ar tikrai mums pasidarė patogiau? Nes autentifikacijos priemonių iš esmės tai padaugėjo: turėjome praėjimo kontrolės kortelę, knygutę su slaptažodžiais, gal kelis slaptažodžius galvoje. Dabar turime praėjimo kontrolės kortelę, elektroninio prisijungimo token‘ą, knygutę su slaptažodžiais toms sistemoms kur negalimas prisijungimas su token‘u ir token‘o slaptažodį galvoje. Aišku šis pavyzdys šiek tiek dirbtinis, kadangi šiuolaikiniai autentifikacijos token raktai turi priemones, leidžiančias prisijungti prie sistemų kur jie nėra tiesiogiai palaikomi, bet mano tikslas buvo tiesiog pailiustruoti problemą – juk dažnai yra susigundoma integruoti dar kažkokią papildomą nesuderinamą technologiją, pvz. kažkoks atskiras one time pad įrenginys kokiai svarbiai sistemai, kuri atsirado organizacijoje dėl, pvz., kompanijų susijungimo ir vientisos IT plėtros politikos nebuvimo (plius, pvz., buhalteris turės atskirą generatorių priėjimui prie banko ir jo dėl objektyvių priežasčių negalima integruoti į bendrą katilą, kas sukelia nepatogumų). Akivaizdus patogumo klausimo sprendimas būtų ieškoti priemonių kurios integruotų tiek slaptažodžių klausimą tiek ir praėjimo kontrolės klausimą į vieną bendrą sistemą arba judėti link progresyvesnių technologijų, kokia pavyzdžiui yra biometrija, faktiškai leidžianti spręsti visas autentifikacijos problemas prie skenerio pridedant vis kitą kūno dalį.

Baigiant pamąstymą, norėtųsi pasakyti, kad pro atviras duris visuomet lengviau praeiti, dėl to šiuolaikinis pasaulis diktuoja mums savo sąlygas – be informacijos saugumo negalime apsieiti. Ir čia mes turime du kelius – palikti viską kaip yra arba mėginti realizuoti psichologinio priimtinumo principą, tam, kad mūsų sistemos būtų ne tik saugios, bet ir patogios naudoti, juk informacijos saugumas yra glaudžiai susijęs su žmogiškuoju faktoriumi. Netgi geriausios informacijos saugumo politikos ar apsaugos metodai gali būti pramušti ar apeiti jeigu vartotojas nuspręs, kad jų taikymas trukdo jo darbui, atnešančiam pinigus ir t. t. Todėl prieš renkantis, o juo labiau realizuojant konkretų saugumo mechanizmą reikia įsitikinti ar pritaikius šią priemonę bus išlaikomas tam tikras balansas tarp informacijos saugumo ir patogumo naudotis, plius reikia žiūrėti ir šiek tiek į ateitį – juk galime nuspėti kokios technologijos bus integruojamos už kelių metų ir ar nebus taip, kad vartotojas liks apkabinėtas visokiomis saugumo priemonėmis ir didelį savo darbo laiko procentą skirs autentifikacijai, virusų blokavimui, ugniasienių derinimui ir saugumo pranešimų skaitymui iš dar kažkokios įvykių monitoringo sistemos. Plius į viską visada galima pažiūrėti pro kaštus – dažnai racionalu rinktis technologiją, kuri bus aktuali ir po 5–10 metų, tačiau investicijos šiam momentui bus sąlyginai didelės ir išsitiesins per ilgą laiką, o ne paslaptis, kad būna taip, jog problemą reikia išspręsti greitai ir tai tenka padaryti labiau trumpalaikėmis priemonėmis, be didelių investicijų, tačiau rezultate ta sistema bus prasčiau integruojama ar mažiau patogi. Lieka tikėtis, kad laikui bėgant tiek saugumo sprendimų kūrėjai tiek ir mes patys daugiau dėmesio skirsim ne tik naujausiems saugumo metodams, bet ir tokiems „elementariems“ dalykams – patogumui ir praktiškumui.


Critical Security



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama