Безопасность

Безопасность отражает способность системы противостоять попыткам несанкционированного доступа при одновременном обслуживании легальных пользователей. Попытка нарушения системы защиты называется атакой (Некоторые специалисты по безопасности в качестве синонима «атаки» употребляют термин "угроза"), а существует она в нескольких разновидностях. Иногда эти попытки направлены на получение доступа к данным и услугам или изменение данных, а иной раз — на воспрепятствование обслуживанию легальных пользователей.

Содержание атак, которые иногда удостаиваются широкого освещения в средствах массовой информации, варьируется от хищений путем электронных денежных переводов до модифицирования уязвимых данных, от получения номеров кредитных карт до уничтожения файлов в компьютерных системах и атак типа «отказ от обслуживания», проводимых с помощью червей и вирусов. Тем не менее и общем сценарии безопасности используются те же элементы, что и в других общих сценариях: стимул, источник стимула, условия, цель атаки, предполагаемая реакция системы и количественная мера реакции.

Безопасность можно определить как атрибут качества системы, предусматривающий строгое выполнение обязательств, конфиденциальность, целостность, гарантирование, готовность и аудит. Для каждой из этих характеристик мы приведем определение и пример.

1. Строгое выполнение обязательств — это свойство, согласно которому права на отмену транзакции (операции доступа или модификации данных или услуг) нет ни у одной участвующей стороны. Если, к примеру, вы заказали какой-то продукт в интернет-магазине, вы не можете этого отрицать.

1. Конфиденциальность — это свойство, предусматривающее защиту данных и услуг от несанкционированного доступа. Так, хакер не может прочитать вашу налоговую декларацию, хранящуюся на компьютере в соответствующем правительственном учреждении.

2. Целостность — это свойство данных и служб, в соответствии с которым они предоставляются в оговоренном виде. Если ваш преподаватель поставил вам какую-то оценку, впоследствии ее нельзя будет исправить.

3. Согласно гарантированию, участники транзакции не должны выдавать себя за сторонних лиц. Так, интернет-магазин, которому покупатели предоставляют номера своих кредитных карт, должен быть именно тем магазином, каким он себя называет, и никаким другим.

4. Готовность — это свойство системы, обеспечивающее ее открытость для законных пользователей. Покупателя не волнует, что его любимый интернет-магазин из последних сил сопротивляется DOS-атаке, — у него все равно должна быть возможность заказать ту книгу, которая ему нужна.

5. Аудит предполагает отслеживание системой всех операций на том уровне, на котором их впоследствии будет возможно реконструировать. Если, к примеру, вы переводите деньги с одного счета в швейцарском банке на другой, система зафиксирует эту операцию.

Каждой из перечисленных категорий соответствует ряд общих сценариев.