ISMS

© Христо Тужаров,  

октомври 2012

ИНФОРМАЦИОННА СИГУРНОСТ речник

 

[Home] [Съдържание] [Асеневци] [Инфопедия] [Консултации]

 

А, Б, В, Г, Д, Е, З, И,

К, Л, М, Н, О, П, Р, С, Т, У, Ф, Х, Ц, Ш, Ю

3-DES (Triple Data Encryption Standard)

Алгоритъм за симетрично шифриране, който представлява развитие на DES, като използва трикратно последователно шифриране чрез DES и 168-битов ключ. 3DES и модификациите му са описани в документите ISO 8372 и ANSI Х3.52. Притежава висока степен на надеждност

 

AES (Advanced Encryption Standard)

Блоков алгоритъм за симетрично шифриране, който да работи с ключове с дължина 128, 192 и 256 бита. Явява се  наследник на DES. Базиран е на  Rijndeal Block Chiper с автори Joane Daemen иVincent Rijndael - белгийски криптографи. Това е новият стандарт за симетричен алгоритъм за криптиране.

 

BS 7799

Английски стандарт за управление на информационната сигурност, на който са базирани съвременните международни стандарти в тази област. В годините претърпява актуализация и развитие до три части. Първата му част е издадена през февруари 1995г.

 

DES (Data Encryption Standard)

Алгоритъм за симетрично шифриране, създаден от IBM и през 1977 г. и одобрен като стандарт за САЩ. Скоро DES се превръща в световен стандарт. Трансформира блок данни с дължина 64 бита и използва ключ с дължина 56 бита. Като стандарт е описан в документите FIPS81, ISO 8731-1, ANSI Х3.92 и ANSI Х3.106. Използван е за граждански цели. Заменен е със стандарта AES.

 

DoS-атака (Denial of Service)

Злонамерени действия, водещи до блокиране на системата и отказ на достъпа на потребителите до ресурсите на системата. Атаките DoS имат много форми, те биват централизирани (задействани от една система) или разпределени (задействани от няколко системи).

 

DSA

Алгоритъмът се използва в механизми за създаване на електронен подпис. Представлява вариант на ElGamal криптосхема. Сигурността се основава на трудността на намиране на дискретен логаритъм Zp. Недостатък на тази криптосистема е, че шифрирания текст е два пъти по-дълъг от оригиналния.

 

ISO/IEC 17799

Първият международен стандарт, определящ общ модел за създаване на система за информационна сигурност.  Базиран е на стандарта  BS 7799  част 1 и 2. За пръв път е публикуван през 2000г.

 

ISO/IEC 2700х

Серия  международни стандарти, която днес се използва за оценяване и създаване на системи за информационна сигурност. Първият стандарт от серията ISO/IEC 27001 е публикуван през 2005 г.

 

ISO/IEC 27005 (BS 7799-3)

Стандартът се придържа към най – общо понятие за риск, под което са резбира комбинация от вероятности за събития и техните последици (стойност на компроментирания ресурс). Той допуска използването както на количествени, така и на качествени методи за оценка на риска.

 

IDEA (International Encryption Algorithm)

Алгоритъм за симетрично шифриране, който е базиран на структурите на Фейстел и се състои от 8 идентични цикъла, следвани от изходна трансформация. Шифрира 64-битов блок от изходни данни в 64-битов блок шифрирани данни, като използва 128-битов ключ. При всяка итерация се използват шест 16-битови подключа. IDEA е 3 пъти по-бърз от 3-DES и е по-сигурен. Търговското му използване е свързано с заплащане на лицензионна такса.

 

RSA (Rivest, Shamir, Aldeman - имената на създателите му)

Алгоритъм за асиметрично шифриране, който се базира на трудността да се разложи едно естествено число на n прости множители. Алгоритъмът е намерил широко приложение в много системи и стандарти (SSL, S-HHTP, S-MIME, S/WAN, STT и  PCT).

 

А

 

Автентификация

Предоставя услуга за проверка истинността на субект или съобщение.

Процес на сравнение на идентификатора, въведен от обекта, с данните, съдържащи се в списъка на регистрираните обекти. Ако представените сведения съвпаднат с регистрираните, обектът получава право на достъп, но само в размера, разрешен му от списъкът на пълномощията.

 

Автентичност (authenticity

установяване идентичност на субект или ресурс с обявените.

 

Авторизация (authorization — разрешение, упълномощаване)

Предоставяне на определено лице или група от лица на права за:

  • Изпълнение на определени действия;

  • Проверка (потвърждаване) на тези права при опит за изпълнение на определените действия.

  • Авторизацията не трябва да се бърка с автентификацията - тя е само процедурата за проверка на истинността на даннит

Адекватна политика на сигурност

Осигурява достатъчно ниво на защита на системата, като минимизира загубите до допустими значения.

 

Администриране на сигурността

Управление и разпространение на информация, необходима за реализиране на различните услуги за сигурност. Включва:

  • Процесите за настройка параметрите по инсталиране и експлоатация на програмното и апаратно осигуряване на услугите за сигурност.

  • Контрола на внасяните изменение в обурудването

 

Администриране на средствата за сигурност, съгласно X 800

Включва разпространение на информация, необходима за работата на сервизите и механизмите за сигурност, както и събиране на данни и анализ на тяхното функциониране.

      Примери: разпространение на криптографически ключове, установяване стойностите на параметрите за защита, водене на регистрационен дневник и т.н.

 

Анализ на риска

Процес на анализ възможностите за реализиране на заплахи в уязвимите места, с цел да се оцени твърдостта на водената политика за осигуряване сигурността на системата.

 

Архитектура на информационната сигурност (Data Security Architecture)

Архитектурата на информационната сигурност описва процеси, роли, хора, технологии и различни типове информация. Тя отчита сложността и динамичността на съвременните организации, като се адаптира към тях, без да ограничава бизнес възможностите.

Архитектурата на информационната сигурност описва желаното състояние на системите за информационна сигурност и други компоненти и интерфейси, които са свързани с нея. Тя отразява както настоящите, така и бъдещите потребности на бизнеса.

 

Асиметричен начини за шифриране на данни

Използват се два ключа. Първият от тях, който е общоизвестен служи за шифриране на данните, а втория, който се знае само от собственика му служи за разшифриране на данните. Двата ключа се генерират едновременно и са неразривно свързани един с друг.

 

Атака

Всяко несанкционирано действие, което води до реализация на заплаха чрез използване на уязвимост на информационната система.

 

Атака на сугурността

Несанкциониран достъп, който се състои в търсене и използване на някаква уязвимост на системата, с цел реализиране на конкретна заплаха.

Опит за преодоляване на системата за сигурност. Степента на "успеха" на атаката зависи от  уязвимостта и ефективността на системата за сигурност.

 

Аудит на сигурността

Откриване на събития, оказващи влияние на сигурността на системата. Изпълнява функцията на контрол на сигурността на системата, т. е. събиране и анализ на информация с цел осигуряване на гаранции за съответствие на функционирането на системата с   политиката за сигурност.

 

Б

 

Базов стандарт ISO/IEC 15408

Приемането на стандарта ISO/IEC 15408 “ Общи критерии за оценка сигурността на информационните технологии ” създаде предпоставки за общ подход при проектиране, изграждане, оценка (сертификация) и експлоатация на защитени информационни системи.

ISO/IEC 15408 определя критериите, на които трябва да съответстват защитените информационни системи и задава базата за създаване на методологии за проектиране и оценка на сигурността на информационните системи.

 

Биометрия

Наука, използвана за идентификация на потребителите въз основа на техните физически параметри.

 

Блокови  шифри  при симетрично шифриране

Последователност (с възможност за повторение и редуване) на основните методи за преобразуване, прилагани към блок от текста за шифриране. По-голяма част от известните стандарти за шифриране използват блокови шифри.

 

В

 

Верификация

Установяване на съответствие между приетата и предадена информация с помощта на логически методи.

 

Водене на статистика за функционирането на системата

Подпомага системните и мрежови администратори, като ги осигурява със статистически данни за нормалното функциониране на системата, като цяло и на отделните и части. 

 

Възстановяване на сигурността

Изпълнява функция на реакция на системата на нарушаване на сигурността. Реализира се чрез механизми като прекъсване на връзката или работата, отказ на достъп, временно лишаване от права, Вписване в „ черен” списък и т.н.

 

Г

 

Гамиране при симетрично шифриране

Методът се състои в обработка на изходния текст с псевдослучайна последователност генерирана на база съответния ключ.  Обработката на получената гама с изходния текст трябва да става по обратим начин (например с използване на събиране по модул 2).

Процесът на дешифриране на данните се свежда до повторна генерация на същата гама, на база известния ключ и обработката и с шифрирания текст.

 

Д

 

Доверена система, съгласно Оранжевата книга

Система, използваща достатъчно апаратни и програмни средства, за да осигури едновременна обработка на информация с различна степен на секретност за група потребители, без нарушаване правата на достъп.

 

Достоверност (reliability)

Удостоверяване съответствие с прогнозирано поведение или резултат;

 

Дешифриране

Процес обратен на шифрирането. Чрез използване на ключа, шифрирания текст се преобразува в изходен.

 

Достъпност (availability)

Възможност за получаване на информация от авторизиран потребител в удобно за него време.

Процес на защита на данните и програмите от несанкциониран достъп. Осигурява получаване на необходимата информация в нужното време от потребителя за когото е предназначена.

`

Домейн на сигурността

Ограничена група обекти и субекти на сигурността, управлявани от общ администратор и към които се прилага единна политика за сигурност.

 

Е

 

Електронен подпис

Цифров еквивалент на подпис (печат, подпис и т.н.), наличието на който в съобщението позволява с висока степен да се определи източника на съобщението (документа) и юридически да се докаже, че с определена вероятност, само той може да създаде и подпише този документ.

Електронният подпис използва "открити" ключове, които се генерират от изпращача на данните и се проверяват от получателя. За шифриране на на контролната сума обикновено се използва асиметрично шифриране.

 

З

 

Замяна на символи при симетрично шифриране

Най-простия вид преобразуване, състоящ се в замяна символите на изходния текст с други от същия алфавит по повече или по-малко ­сложно правило. За осигуряване на висока криптоустойчивост е необходимо използването на големи ключове.

 

Заплаха за достъп

Получаване на информация, за ползването на която липсва разрешение.

 

Заплаха за модифициране

Опит за неправомерна промяна на информацията, обикновено реализирана чрез метода прихващане. При нея хакера прихваща трафика и има възможност да замени, добави или унищожи информация.

 

Заплаха за сигурността

Нещо (действие, бездействие, средство и т.н.), което съдейства за нарушаване на политиката за сигурност (например загуба на цялостност или конфиденциалност)

Потенциално възможно произшествие, преднамерено или не, което може да окаже нежелателно въздействие на самата система, както и на информацията, съхранявана в нея.

 

Защитени комуникации

Осигурява цялостност, конфиденциалност, достъпност на информацията при нейното предаване по комуникационни канали.

 

Защитени модеми

Обединяват функциите на модема и шифриращото устройство. Работят в асинхронен или синхронен режим по комутируеми или арендовани канали.

 

Защитеност на системата

Съвкупност от свойства на системата, които осигуряват доверие в техническата и реализация. Включва не само качеството на реализираните  средства за защита, но и процедурите за разработка, както и начините за решаване на поставените задачи

 

Защитна стена (firewall)

Осигурява защита посредством филтрация на информацията, вследствие на което взема решение за разпространението и в или от информационната система, на основа зададени правила. Названието firewall възниква от името на стена, която дели къщата на две части - за защита от пожар.

 

И

 

Идентификация

Eднозначна идентифицируемост на обектите и субектите на информационно взаимодействие. Явява се необходимо условие за реализиране на по-голяма част от услугите за сигурност. Осигурява присвояване на уникален идентификатор на потребители, процеси, ресурси и т.н.

 

Инцидент в СУСИ [information security incident]

Едно или серия нежелателни или неочаквани събития в СУСИ, които имат голям шанс да компроментират деловите операции и поставят под заплаха информационната сигурност.[ISO/IEC TR 18044:2004]

 

Изисквания за доверие

Предявявани изисквания  към технологиите и процесите по разработка и експлоатация. Определят пасивната страна на защитата.

 

Използване на шаблони при анализ на риска

Състои се в разработване на базови средства и мерки за защита, предназначени за предварително определени стандартни нива на риска.

Стандартните нива на риска могат да бъдат базирани на:

  • Ценността на ресурсите като такива;

  • Последствията, които могат да настъпят след успешна атака;

  • Други фактори.

 

Информационна сигурност

Понятието информационна сигурност обикновено се разглежда в три перспективи:

  • Състояние  (качество) на сигурност на информацията за определен обект  (информация, данни, ресурси, информационна система и т.н.);

  • Научна специалност - информационна сигурност, сигурност в Интернет, компютърна сигурност;

  • Дисциплина, учебен курс - информационна сигурност,  сигурност на данните;

 

Имитация на IP-адреси

Правилността на IP-адресите в пакетите не се проверява. Това позволява промяна на адреса на отправителя и реализиране на заплаха.

 

К

 

Количествен метод за анализ на риска

Създаден е в качеството на рекомендация FIPS 65 през 1979 г. от NIST. Основно е предназначен за анализ на риска в големи центрове за обработка на риска. Описва получаването на оценката на риска за всеки файл. Оценява:

  • Честотата на възникване на заплахи;

  • Последствията в долари, които могат да възникнат в резултат на всяка заплаха;

 

Контрол на участниците

Дава гаранция, че субектите действително са участвали във взаимодействие  или части от него.

 

Контрол на цялостта

Своевременно откриване нарушения на цялостта на   програмната, апаратната и информационна част на информационната система.

 

Контролна сума

Остатък от математическа обработка (сума по модул две, делене на полиноми и т.н.) на блок данни (програмен код), който прикачен към блока, служи за проверка наличието на грешки или модификации в съдържанието му.

 

Конфиденциалност

Процес на осигуряване поверителност и секретност на данните. Явява се предна линия на защитата. Включва механизми, свързани с управление на достъпа, както и шифриране.

 

Кракер

Осъществява несанкциониран достъп до системата с цел кражба, подмяна, унищожаване на информация или обявяване факта на достъпа.

 

Криптоанализ

Изследване възможностите за разшифриране на информация без знаене на ключа.

 

Криптоалгоритъм

Функцията, осъществяваща шифриране и дешифриране.

 

Криптография (cryptography)

Занимава се с търсене и изследване на математически методи за преобразуване на информацията.

 

Криптоключ

Набор от символи, които се обработват заедно с данните за защита по съответния алгоритъм в "права" посока за получаване на шифрирани, защитени данни. Ключ се ползва и за обработка на шифрираните данни в "обратна" посока за получаване на изходната информация в явен вид.

 

Криптология(kryptos - таен, logos - наука)

Наука, която се занимава с проблемите на защитата на информацията.

 

Криптосистема

Комплекс от теоретичен, математически апарат и алгоритмичната му реализация за шифриране и дешифриране, реализирани чрез програмно-технологични средства.

 

Криптоустойчивост

Времето, необходимо за разчитане на шифрирано   съобщение.

 

 

Л

 

Лицевото разпознаване

Сравняват се характеристиките на лицето на потребителя със записаните резултати на изчислителен алгоритъм (подобен на hash функцията за данните). Предлага сериозно ниво на сигурност. Някои системи обединяват две статични изображения, а други, според твърденията на разработчиците, са способни да открият даден индивид в група хора.

 

М

 

Мандатно управление на достъпа

Реализира се чрез сравнение правата и времето на достъп с критичността на данните или програмите.

 

Механизми за запълване на трафика

Използват се за осигуряване на конфиденциалност на трафика. Включват:

  • Генериране на случайни числа;

  • Запълване на пакетите с допълнителна информация;

  • Предаване на пакетите в лъжливи направление;

  • Запълване на постоянна дължина на пакетите.

Механизмите за запълване на трафика са ефективни, само когато се използват в съчетание със средства за осигуряване на конфиденциалност. При самостоятелно използване е виден фиктивния характер на допълнителната информация

 

Механизми за нотаризация 

Механизмите за нотаризация използват трета страна, ползваща се с доверието на двата субекта. Третата страна потвърждава комуникационните характеристики (цялоствост, време, личност на  източника и получателя) на предаваните данни.

 

Механизми за привилегии при управление на достъпа

Позволяват на оторизирани потребители да игнорират ограниченията за достъп, т.е да заобиколят управлението на достъпа и получат достъп до определен ресурс.

 

Механизъм за сигурност

Средство, чрез което се реализира съответната услуга.

    Примери: Конфиденциалността се явява услуга, шифрирането – механизъм, който се използва за осигуряване на конфиденциалността.  Шифрирането може да се използва и за реализация на други услуги, например услугата достъпност.

 

Механизми за управление на маршрутизацията

Механизмите за управление на маршрутизацията решават следните задачи:

  • Осигуряване на конфиденциалност;

  • Избор  само на надеждни физически канали и мрежови устройства при предаване на данни;

  • Забрана за предаване на данни по ненадеждни канали;

  • Избор на алтернативни пътища при откриване на атаки.

 

Механизми за управление на достъпа

Механизмите за управление на достъпа се използват за осигуряване на услуги реализиращи политиката за управление на достъпа.

При управление на достъпа се използват следните средства:

  • Бази данни, в които се намират списъци за управление на достъпа.

  • Пароли или друга информация за идентификация;

  • Удостоверения, които гарантират правата на достъп;

  • Маркери на сигурност, асоциирани със субектите и обектите на достъп;

  • Време на искания достъп;

  • Маршрут на искания достъп;

  • Продължителност на искания достъп и друга информация.

 

Механизми за шифриране

Процес на преобразуване на данните за обезпечаване тяхната конфиденциалност.

Шифрирането осигурява използване на криптографско преобразуване с цел да се направят данните невъзможни за четене или осмисляне. Шифрирането се реализира заедно с обратната функция – дешифриране. При използване на механизма шифриране е от особена важност генерирането, съхранението и разпространението на криптографските ключове.

 

Механизми за цялостност на данните

Съществуват два типа механизми за осигуряване цялостността на данните;

  • За защита цялостта на отделен пакет данни. Механизмите от този тип се явяват обект на стандарта  ISO/IEC 9797:1994 ;

  • За защита цялостта на последователност от пакети данни.

Минимизация на риска

Определя се остатъчния риск, на база възможностите на организацията да вложи средства в осигуряване на сигурността.

       Извършват се следните дейности:

  • Определяне областите с недопустимо голям риск;

  • Избор на най-ефективните средства за защита;

  • Определяне доколко е приемлив остатъчния риск.

Модел за сигурност на  Java

Базира се на създаване на отделена безопасна среда за изпълнение на аплетите. Аплетите могат да взаимодействат само със сървъра, от който са били заредени. Забранено им е да се обръщат към локалните дискове и да изграждат мрежови съединения.

 

Модел за сигурност на Active X

Позволява на потребителя да укаже степента на доверие към сървъра, от който е зареден компонента (аплета). Ако сървърът е доверен и е автентифициран с помощта на електронни сертификати  или цифрови подписи, компонентът Active X може да бъде зареден и да работи като обикновена програма.

 

Модел OSI

разработен е от Международната организация по стандартизация (International Standards Organization — ISO) и определя седем нива, на които компютърните системи взаимодействат помежду си.

 

Модификация на данни и програми

Когато във файл или програма се извършва неавторизирана промяна - добавяне, премахване или модификация.

 

Мрежови скенери

Програми, които осъществяват събиране на информация за мрежата, с цел определяне кои от компютрите и програмите им са потенциално уязвими към атака.

 

Н

 

Неоторизиран  достъп

Неоторизиран достъп – получаване на достъп до системните ресурси от неоторизирано лице, което действа като законен потребител на системата.

 

Несиметрични криптосхеми

Когато процесите на шифриране и дешифриране се осъществяват по два  взаимно обратими алгоритъма.

 

Несъответстващ достъп

Потребител, законен или незаконен получава права за достъп  до ресурс, който не е разрешено да използва.

 

Ниво на гарантираност

Мярка на доверие, която може да бъде оказана на архитектурата и реализацията на информационна система.

Показател на коректността на механизмите отговарящи за реализацията на политиката на сигурност.

 

О

Обработка на риска (risk treatment), съгласно стандарт ISO/IEC 27005

Обхваща избора и реализацията на мерките за контрол и средствата за минимизиране на риска.

 

Определяне на контекста, съгласно ISO/IEC 27005

Включва обобщаване на цялата информация за организацията, имаща отношение към управление на риска и информационната сигурност.

 

Осигуряване на информационната сигурност

Явява се процес на управление на рисковете, чрез управление на персонала и средствата за защита.

 

Оранжева книга

Стандарт на министерството на отбраната на САЩ, който се явява първия стандарт за оценка и оказва огромно влияние на развитие стандартизацията на сигурността на информацията в много страни. За пръв път е публикуван през август 1983г.

 

Отдалечена атака

Отдалечено информационно въздействие, програмно осъществявано по комуникационните канали и характерно за всяка компютърна  мрежа

 

Откриване на атаки (intrusion detection)

Процес на идентификация и реагиране на подозрителна дейност, насочена към компютърните или мрежовите ресурси.

 

Откриване на произшествия

Услугата е насочена както към откриване на опити за нарушаване на сигурността, така и към регистриране на легитимната активност на потребителите

 

Оценка на риска

На база определените граници на защита и степен на детайлизация се подбира конкретна методология за анализ на риска, чрез която се измерва риска, зависещ от идентифицираните ценностите на системата и вероятността за реализиране на заплахи, използващи съществуващите уязвимости.

                        Извършват се следните дейности:

  • Определяне границите на защитата и необходимата степен на детайлизация;

  • Избор на подходяща  методология за анализ на риска – в зависимост от типа на системата се избира количествен или качествен подход и съответстващата им методология, която е желателно да бъде стандартизирана;

П

 

Парола  (от френски  parole — дума)

Секретна дума или набор от думи, предназначени за потвърждаване на личността или пълномощия.

 

Политика за сигурност(security policy)

Съвкупност от ръководящи принципи, правила и процедури в областта на сигурността, които регулират управлението, защитата и разпределението на ценната информация.

 

Политика на сигурност на организацията ( organizational security policies)

Съвкупност от документирани решения, приети от ръководството на организацията и насочени към защита на информацията и асоциираните с нея ресурси.

 

Подотчетност(accountability)

Осигуряване идентификация на достъпа на субекта и регистрация на неговите действия;

 

Потребители на СУСИ

Хора, уреди, организации и други субекти, които активно участват във функционирането на системата за информационна сигурност и ползват получаваната от нея информация в оперативните си дейности и за вземане на решения.

 

Предупреждаване за атака

Използване на проактивен подход за предотвратяване на проблемите до тяхното възникване.

 

Препоръки Х 800

Появил се малко по-късно от  "Оранжевата книга", този документ много пълно разисква въпросите по информационна сигурност на разпределени системи. Той разглежда мрежовите услуги за сигурност и необходимите за реализацията им механизми за сигурност.

 

Принцип на минималните привилегии

На всеки субект в системата се предоставят възможно най-ограничен за изпълнение на задачите му набор от привилегии. Колкото привилегиите са по-детайлни, толкова се намалява възможността за нерегламентираното им използване.

 

Проактивна защита

Анализиране поведението на програми в реално време и откриване на по-рано неизвестни вируси, изпреварвайки тяхното по нататъшно разпространение още преди обновяване на антивирусната база данни.

 

Прогнозируеми шаблони за анализ на атаките

Методът позволява да се предсказват бъдещи събития на базата на вече минали такива.

 

Прослушване на мрежата

Прослушването, или снифинг (sniffing), се използва за събиране на системна информация. За целта мрежовия адаптер се поставя в режим на прослушване на трафика, т.е. мрежовия адаптер ще прихваща всички пакети предавани по мрежата, а не само тези които са адресирани до него. Прослушване от този тип работи добре в мрежи с концентратори.

 

Прослушване на трафика

Достъп до данните, при който някой, комуто не е разрешено, чете или записва информация, когато тя се предава по мрежата.

 

Р

 

Разкриване на пароли

Програми, които откриват лесно разгадаеми  пароли в шифрираните файлове с пароли.

 

Регистриране на атаки

Откриват се завършили атаки и чрез анализът им се предотвратява повторната им реализация.

 

Реакция на атака

Възстановяване на системата с минимално възможни загуби. Изучаване на опита и подобряване на сигурността.

 

Регистрация на абонатите (subscriber logging) 

Процес на водене на отчет на абонатите и предоставяне на права за ползване на програмите и данните.

 

Риск

Ситуация, когато заплахата използва уязвимо място за нанасяне вреда на информационната система.

 

С

 

Сваляне на пръстови отпечатъци

Дактилоскопните скенери са най-често срещаната форма на биометрия, поради използването на евтин и лесен за внедряване метод. При тях се използват следните подходи:

  • Проследяване ръбовете на палците;

  • Запомняне цялата "шарка" на ръката;

  • Използване специални методи като ултразвук.

 

Симетричен начини за шифриране на данни

За кодиране и декодиране на данните се използва един и същи ключ за кодиране.

 

Симетрични криптосхеми

Един и същи алгоритъм осъществява шифриране и дешифриране.

 

Системи за анализ на сигурността (security assessment systems)

Наричат се още скенери на сигурността (security scanners). Те функционират на първия етап на реализация на атаката и позволяват да се открият уязвимостите на ИС.

 

Система за управление сигурността на информацията СУСИ (information security management system  ISMS)

Информационната сигурност се осъществява от специализирана подсистема в рамките на конкретна информационна система. За нея важат всички условия и изисквания, които характеризират една информационна система. 

 

Системно шифриране на данни

Системното шифриране се реализира вътре в компютрите и се явява функция на операционната система или на специализирана програма. Възможен е и вариант с апаратна реализация. Обработените файлове се съхраняват в шифриран вид във външната памет на компютъра и когато е необходимо се предават по мрежата.

 

Сканиране на ретината

С помощта на светлинен лъч с малък интензитет се проследяват характерните черти на ретината. Методът се прилага лесно, но интегрирането със останалите системи е трудно, макар че последните разработки отбелязват голям напредък и в тази насока.

 

Скенери за уязвимости

Програми, които проверяват големи групи от компютри в Интернет, с цел откриване на комнютри уязвими към една или друга атака.

 

Социален инжинеринг

Получаване на несанкциониран достъп до информация или система без използване на технически средства. Залага се на човешките слабости – доверчивост, безотговорност, липса на съответни знания. Други форми на социален ижинеринг се явява изследване на „боклуците” на организацията, използване на източници за открита информация и т.н. 

 

Среда за защита на цялостността на данните

Среда, в която се предотвратява или открива несанкционирано модифициране на данните.

 

Стандарт

За дефиниция на понятието “стандарт”, се възприема предложената  от международната организация по стандартизация ISO:

“Стандартите са документирани договорености, съдържащи технически спецификации или други прецизни критерии, които трябва да бъдат използвани последователно, като правила, ръководства или дефиниции на характеристики, с цел да осигуряват необходимата реализация на предназначението на материали, продукти, процеси и услуги”.

 

Стандарт ISO/IEC 15408

Най-пълният съвременен оценъчен стандарт издаден на 1 декмври 1999 г. Явява се метастандарт, определящ инструментите за оценка на сигурността на информационните системи и порядъка на тяхното използване.

 

Статистически метод за анализ на атаките

В анализираната система се определят профили за всички нейни обекти. Всяко отклонение в изпълнявания профил от еталонния се счита за несанкционирана дейност.

 

Събития в СУСИ [information security event]

Откриване прецедент в системата, услугата или състоянието на мрежата, указващ за възможно нарушение на политиката на сигурност или на дотогава неизвества ситуация, която може да има значение за сигурността на информацията. [ISO /IEC TR 18044:2004]

 

Съпричастност

Предотвратяване на възможността за отказ от факта на участие в сеанса на един от участниците.

 

У

 

Управление на достъпа

Осигурява достъп до ресурсите на системата само на авторизирани потребители  (процеси).

 

Управление на криптографски ключове

Съвкупност от методи и процедури, осъществяващи определяне и управление на криптографски ключове, използвани от оторизирани обекти. Услугата е задължителна при прилагане на криптографски функции в предоставяните услуги.

 

Управление на риска

Използването на информационни системи е свързано с определена съвкупност от рискове. Когато възможната загуба  е неприемливо голяма е необходимо да се приемат икономически оправдани мерки за защита.

 

Услуги за откриване и възстановяване

Услуги, насочени към откриване откриване на  нарушения и възстановяване на системата за сигурност.

 

Услуга за сигурност

Осигурява защита от идентифицирана заплаха и представлява абстрактно понятие, което може да бъде използвано за характеризиране на изискванията за сигурност.

 

Устройства за шифриране  на данни

Поставят се между модема и мрежовия процесор за всяко направление и осигуряват криптографска защита на данните, предавани по канала за връзка

 

Уязвимост

Неудачна характеристика, която прави възможно възникването на заплахи.

 

Ф

 

Филтрация

Анализ на информацията  чрез реализиране на съвкупност от правила.

 

Филтри на пакети с контекстна проверка

Извършват контекстна проверка на сеансите между клиентите и сървърите. Прихващат пакетите на мрежово ниво и приемат решение на базата на информация от по горните нива чрез анализ на данните в пакетите.

 

Филтриране на пакети

Пакетните филтри анализират идващите IP-пакети и ги пропускат или не ги пропускат в зависимост от предварително зададен списък с правилата за филтриране. Принадлежността на пакетите към една или друга категория се установява от значенията на полетата "адрес" и "порт" в заглавието на IP пакета.

 

Функционални изисквания за сигурност

Предявявани към функциите за сигурност и реализиращите ги  механизми. Определят активната страна на защитата.

 

Х

 

Хакер

изследва информационната система с цел откриване на слабите и места (уязвимостта) и информира потребителите за отстраняването им. Анализира съществуващата сигурност на системата, формулира необходимите изисквания и условия за повишаване нивото и  на защита.

 

Ц

 

Цялостност на данните

Услуга, осигуряваща цялостността на данните и съобщенията, която помага да се осъществи защита на информацията от неавторизирана модификация.

 

Ш

 

Шифриране на данни (encryption)

Процес на кодиране на данните за обезпечаване тяхната конфиденциалност.