Basiskennis informatica/Veiligheid
Vandaag gebeurt héél veel a.d.h.v. informatica en niet alleen voor plezier en ontspanning. Bovendien kan er op één pc-systeem een mix van 'privé' en 'werk' aanwezig zijn. Bij de 'basiskennis van informatica' moet er dan ook wel een luik 'veiligheid' zijn, dat enkele basisbegrippen bespreekt.
Authenticatie (Wie ben ik?)
[bewerken]Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn.
Wat je weet
[bewerken]Buiten de IT kan je denken aan de cijfers van je fietsslot, bagage of kluis. Iemand die de cijfers en hun volgorde niet weet zal in principe geen toegang krijgen tot fiets/bagage of kluis. Beroemde geheime zinnen zijn "Sesam open U" en "Scilt ende Vrient (Schild en Vriend)".
Op vlak van IT is iets wat je weet bijvoorbeeld een wachtwoord, een pincode of een geheime zin. Het is de bedoeling dat dit bewijs geheim is, het mag niet uitlekken om diefstal van de identiteit tegen te gaan. Een hacker zal proberen de identiteit van iemand over te nemen door een wachtwoord te raden, te achterhalen met behulp van bijvoorbeeld een keylogger of te kraken. Om die reden wordt in professionele omgevingen dan ook het gebruik van complexe wachtwoorden afgedwongen, die periodiek gewijzigd moeten worden. Als het goed is, zal de kraaktijd van een wachtwoord langer moeten zijn dan de vervaltermijn.
Betreffende wachtwoorden is er een apart Wikibook, als onderdeel van de cursus "Veilig op het internet".
Wat je hebt
[bewerken]Dit betekent dat het bewijs van de identiteit wordt geleverd door het gebruikmaken van een fysiek iets dat je bezit. Buiten de IT kan je bv. denken aan de sleutel van je voordeur of van je fiets.
In de IT gaat het om een fysiek herkenningsteken, dat door of namens het autoriserende systeem werd uitgereikt. Te denken valt aan een 'token' als een chipkaart (de smartcard), een USB-sleutel, of een TAN-codelijst.
Wat je bent
[bewerken]Zonder IT wordt dit heel vaak gebruikt: door specifieke kenmerken van iemand weet je of je al of niet "écht" met die persoon te doen hebt. En in de meeste gevallen is dat ook zo, tenzij je met een dubbelganger te maken hebt.
Bij IT wordt een uniek identificerend kenmerk van een persoon opgeslagen in een authenticatiedatabase. Voorbeelden zijn: vingerafdruk, stem, iris, retinale vasculatuur of zelfs gezichtsherkenning.
Autorisatie (Wat mag ik?)
[bewerken]Autorisatie in de informatica is het proces waarin een subject (een persoon of een proces) rechten krijgt op het benaderen van een object (een bestand, een systeem). Er zijn verschillende autorisaties beschikbaar. De meest bekende zijn het Lees-recht en het Schrijf-recht. Afhankelijk van het object zijn er meer rechten denkbaar. Het Uitvoer-recht is bijvoorbeeld beschikbaar voor applicaties.
Het beheer van autorisaties is een kostbare aangelegenheid. Bij nieuwe individuen of functiewijziging, bij nieuwe systemen of nieuwe processen, moeten voor elk object de nieuwe of gewijzigde autorisaties worden ingesteld. Om de efficiëncy van het autorisatiebeheerproces te verhogen, worden rechten toegekend aan groepen, zodat niet elke individuele autorisatie hoeft te worden beheerd. De huidige term voor deze wijze van beheer is Role Based Access Control.
Auditing of controleerbaarheid (Hoe doe ik het?)
[bewerken]Auditing is een héél breed begrip, maar in wezen komt het neer op het controleren van een organisatie. Binnen IT-auditing kan zo bv. het beveiligingssysteem van een bedrijf gecontroleerd worden. In dat opzicht zullen logboeken belangrijk zijn. Stel dat iemand bv. de authenticatie (bv. het kraken van een wachtwoord) en/of de autorisatie (heeft zich rechten toegeëigend, die hij eigenlijk niet zou mogen hebben) heeft omzeild. Dan zullen logboeken helpen bij het beantwoorden van de vragen wie, wat, wanneer, hoe,...
Encryptie
[bewerken]Betrouwbaarheid, redundantie en beschikbaarheid
[bewerken]Als je met ICT werkt, dan kom je de bovenstaande termen wel eens tegen. Helaas ook vaak als synoniem of compleet verkeerd gebruikt. Dus, wat is wat?[1]
Betrouwbaarheid
[bewerken]Het handboek zegt "De betrouwbaarheid van een ICT-dienst geeft aan in welke mate de dienst onder vooraf bepaalde omstandigheden de afgesproken functionaliteit biedt gedurende een aangegeven tijdsduur." Kun je op erop vertrouwen op informatica dat het doet wat het moet doen, wanneer je het nodig hebt. Hierbij is het belangrijk weten wat de verwachting of afspraak is. Op kantoor dient het te werken tussen 8 uur 's ochtends en 17:00 in de middag. Tijdens kantooruren.
Redundantie
[bewerken]Bij redundantie gaat op de mate het dat opgevangen worden was iets uit valt. Welke valnetten zijn er. In onwaarschijnlijke geval dat iets uit werkt het ICT hardware of software dan nog. Hier kun je aan denken aan noodsystemen. Dus dat er alternatieve software, hardware, netwerk, stroomvoorziening aanwezig is om het direct over te nemen.
Beschikbaarheid
[bewerken]Hier gaat het om wanneer je de ICT dienst of middel kan gebruiken en op welke plek. Vergelijk het maar met een trein, deze brengt je van A naar B. Maar je dient wel op A te staan en aanwezig te zijn als de trein vertrekt. Een trein is niet altijd en overal beschikbaar.