Informācijas drošība
Informācijas drošība ir saistīta ar datoru drošību. Pasargāt informāciju var, realizējot aizsardzību pret datorvīrusiem un urķiem (hakeriem), datora bojājumiem, piešķirot paroles un ierobežojot piekļūšanas tiesības, kā arī regulāri dublējot svarīgus datus.
Datu aizsardzība ir pasākumi, ko, izmantojot aparatūru un programmatūru, veic, lai izsargātos no datu zaudēšanas, bojāšanas vai nesankcionētas piekļuves.
Terminoloģijā drošībai ir vairāki precizējumi, kas izceļ tās dažādus aspektus:
- informācijas drošība (information security) - informācijas sistēmas aizsargātība pret neatļautu piekļuvi informācijai un tās maiņu glabāšanas, apstrādes vai pārraides procesā;
- datu drošība (data security) - datu aizsargātība pret tīšu vai netīšu nesankcionētu rīcību, kas var radīt to modificēšanu, atklāšanu vai bojāšanu;
- fiziskā drošība (physical security) - pasākumu kopums, ko izmanto, lai nodrošinātu datoru tīkla resursu aizsardzību pret iepriekš plānotiem vai gadījuma rakstura draudiem;
- pakalpojuma drošība (service security performance) - aizsardzība, kas paredzēta, lai izsargātos no neautorizētas pārraudzības, krāpnieciskas vai nepareizas izmantošanas, ļaundabīgiem bojājumiem, cilvēciskām kļūdām un dabas katastrofām.
Apkopojot šīs definīcijas, var atzīmēt šādus faktorus, kas var apdraudēt datoru un datus:
- elektroapgādes traucējumi, kas var rasties elektrotīklu pārslodzes vai citu iemeslu dēļ;
- mehāniskie bojājumi, kas rodas datora ekspluatācijas laikā, piemēram, cieto disku nolietošanās, vai kas var rasties ļaunprātīgas rīcības dēļ, piemēram, salaužot datora
ierīci;
ierīci;
- vides ietekme, kas var būt ļoti daudzveidīga. Piemēram, apkārtējās vides temperatūra, kurai jābūt noteiktās robežās, lai aparatūra normāli darbotos. Ir iespējamas dabas katastrofas, piemēram, vētras, zemestrīce, ugunsgrēks u.tml.;
- ļaunprātīga rīcība, piemēram, datora aparatūras vai datu nesēja zādzība, kuras rezultātā var tikt zaudēti svarīgi dati;
- nesankcionētā piekļuve, ar ko saprot apzinātu datu izmantošanas ierobežojumu pārkāpumu, kura rezultātā dati tiek lasīti un izmantoti, izmainīti vai iznīcināti.
Lai nodrošinātu informācijas drošību, var veikt šādus vispārīgus pasākumus:
- organizatoriskie pasākumi, piemēram, datoru kabinetu apsardze, lietotāju apmācība
pareizām un drošām darba metodēm;
pareizām un drošām darba metodēm;
- tehniskie pasākumi, kas saistās ar datoru telpu iekārtošanu, piemēram, ugunsdrošības sistēmas izveide, pareizs un drošs zemējums, avārijas elektroapgādes sistēma, nepārtrauktās barošanas bloki;
- profilakses pasākumi, piemēram, aparatūras testēšana, dublējumkopiju regulāra veidošana uz pārnēsājamām atmiņas ierīcēm un šo kopiju glabāšana drošā vietā, pretvīrusu programmu lietošana.
Mūsdienās datortīklu un it īpaši interneta straujā izplatība un pieejamība liek šai problēmai pievērst lielāku uzmanību. Galvenā drošības problēma datortīklos ir to aizsardzība pret nesankcionētu izmantošanu.
Minēsim dažus gadījums, kas ir raksturīgi darbam tīklos:
- veicot elektroniskos maksājumus, pastāv iespēja, ka dati tiks nozagti un ļaunprātīgi izmantoti;
- bīstama ir urķu (hacker) darbība, kas saistās ar datorsistēmu "uzlaušanu" jeb nelikumīgu piekļūšanu tajās uzglabātajai informācijai, publisko portālu pārslogošanu;
- veicot globālā tīmekļa pārlūkošanu, datņu lejupielādi vai atverot e-pasta vēstulēm piesaistītās datnes, pastāv risks inficēties ar datoru vīrusiem. Atsevišķos gadījumos vīrusi ir inficējuši miljoniem datoru visā pasaulē.
Jebkuram tīklam ir raksturīga paroļu un lietotāju piekļuves tiesību izmantošana:
- lai lietotājs piekļūtu tīkla resursiem, tam jāievada lietotāja identifikators jeb vārds (user name) un parole (password). Lietotāja vārdu un paroli veido rakstzīmju (parasti burtu un ciparu) virkne. Nopietnos gadījumos ir rūpīgi jāpārdomā paroles izvēle, nelietojot savu vai ģimenes locekļu vārdus u.tml;
- lietotāji var tikt dalīti grupās ar dažādām piekļuves tiesībām (access rights), kuras nosaka lietotāja tiesības piekļūt tīkla resursiem, piemēram, serverim vai atsevišķām mapēm, kā arī atļautās darbības, piemēram, tikai lasīt vai lasīt un mainīt datnes saturu. Piekļuves tiesības tīkla resursiem konkrētam lietotājam piešķir tīkla administrators.
Ievadītās paroles rakstzīmju vietā parasti ir redzamas tikai viena veida rakstzīmes, piemēram, zvaigznītes, krustiņi vai punkti. Noteikts skaits nepareizi ievadītu paroļu var tikt uzskatīts par atminēšanas mēģinājumu un pieejas tiesības var tikt liegtas.
Lai nevarētu atminēt paroles un iegūtos datus izmantot ļaunprātīgi, ieteicams ievērot labu (drošu) paroļu veidošanas un lietošanas noteikumus.
Paroļu veidošanas labā prakse
Nelietot | Ieteicams |
| Ar sevi saistītus vārdus, piemēram, savu, ģimenes locekļu vai mājdzīvnieciņa vārdu. | Paroli izvēlēties vismaz 8 simbolus garu – jo tā ir garāka, jo grūtāk to uzminēt. |
| Atsevišķu jebkurā valodā loģiski saprotamu vārdu. | Izmantot kāda sakarīga teksta vārdu pirmos burtus, piemēram, Kur tu teci, kur tu teci, gailīti man’? – KttKttGm? |
| Zīmīgus skaitļus, piemēram, dzimšanas datumu vai tālruņa numuru. | Parolei vajadzētu saturēt vismaz 2 lielos un divus mazos burtus un vismaz vienu ciparu un kādu simbolu, piemēram, 2xKttG} |
Strādājot internetā, ir vēlama ugunsmūra (firewall) lietošana.
Ar ugunsmūri saprot drošības sistēmu, kas paredz:
- speciāli programmēta datora ievietošanu starp kādas organizācijas lokālo datoru tīklu un tīklu Internet;
- speciālas programmatūras lietošanu atsevišķā datorā, piemēram, Windows Firewall operētājsistēmā Windows.
- speciāli programmēta datora ievietošanu starp kādas organizācijas lokālo datoru tīklu un tīklu Internet;
- speciālas programmatūras lietošanu atsevišķā datorā, piemēram, Windows Firewall operētājsistēmā Windows.
Ugunsmūris aizsargā no nesankcionētas tīkla Internet lietotāju piekļuves, bet apgrūtina aizsargātā tīkla lietotājiem tīkla Internet pakalpojumu izmantošanu.
Veicot norēķinus internetā, lieto elektronisko parakstu jeb ciparparakstu (digital signature). Ar ciparparakstu saprot datus, kas pievienoti pārsūtāmajam datu blokam un ļauj datu saņēmējam pārliecināties par datu bloka veselumu un sūtītāja autentiskumu (īstumu), nepieļaujot datu viltošanu.
Ciparparaksti tiek lietoti drošas elektroniskās datu pārraides (transakcijas) standartā SET (Secure Electronic Transaction), kas nodrošina drošu kredītkaršu izmantošanu tīklā Internet. Standartu SET izmanto vairums galveno elektroniskās tirdzniecības dalībnieku pasaulē. Izmantojot ciparparakstus, standarts SET nodrošina iespēju pārdevējiem pārbaudīt, vai pircēji ir tie, par kuriem viņi uzdodas, kā arī nodrošina pircēja kredītkartes numura slepenību.
Lai datus vai ziņojuma saturu nodrošinātu pret nesankcionētu izmantošanu, lieto šifrēšanu (encryption).
Šifrēšana ir datu un ziņojumu apstrādes process, ko veic datu sagatavotājs vai ziņojuma nosūtītājs. Lai šādus datus vai ziņojuma saturu varētu izmantot, jāveic tā atšifrēšana. Datu šifrēšanai un atšifrēšanai lieto šifrēšanas atslēgu (encryption key).
Internetā popularitāti ir guvušas publiskās atslēgas (public key), kuras lietotājs (juridiska persona vai organizācija) var izplatīt saviem sadarbības partneriem, lai tie varētu atšifrēt saņemtos ziņojumus, kā arī varētu šifrēt lietotājam adresētos ziņojumus. Publiskās atslēgas piederību kādai personai apstiprina elektronisks dokuments - ciparsertifikāts (digital certificate), kuru izsniedz droša sertificēšanas organizācija (Certificate Authority).
Ciparsertifikāts satur lietotāja publisko atslēgu, vārdu, derīguma termiņu, sertificēšanas organizācijas parakstu un citu informāciju.