Model 1: brak ochrony

    Jednym z modeli bezpieczeństwa jest brak jakichkolwiek zabezpieczeń. Można go określić mianem modelu zerowego ponieważ nie są stosowane żadne środki ochrony informacji. Brak ochrony możemy zaobserwować w organizacjach, których władze uznały, że poziom ryzyka zagrożenia jest niewspółmiernie mały w porównaniu do kosztów wdrożenia polityki bezpieczeństwa oraz w instytucjach, których władze zaniedbały aspekt bezpieczeństwa (z takich czy innych przyczyn). Z takimi systemami możemy spotkać się dość często; władze instytucji w ogóle nie zajmują się zagadnieniami bezpieczeństwa bądź uznały, że wprawdzie przydałyby się jakieś zabezpieczenia ale jest tak wiele innych zadań, że sprawa jest odkładana. W sytuacji gdy pojawi się zagrożenie i spowoduje poważne konsekwencje władze organizacji wydają duże środki na zabezpieczanie instytucji i często wielokrotnie większe na likwidację skutków ataku.

Autor: [ s-portal.pl ] 

Model 2: bezpieczeństwo dzięki brakowi zainteresowania ze strony otoczenia

    Ten model opiera się na fakcie, że system informatyczny organizacja jest tak mało istotny dla konkurencji i tak mało ciekawy dla włamywaczy włamujących się ?dla sportu lub wandali, że bezpieczeństwo można oprzeć na dużym prawdopodobieństwie braku prób ataku. Niestety system ten bywa zawodny zwłaszcza w odniesieniu do ataków włamywaczy ?sportowców i wandali.

Model 3: ochrona na poziomie poszczególnych komputerów

    Prawdopodobnie najszerzej stosowaną metodą ochrony jest ochrona na poziomie poszczególnych komputerów. Choć w aspekcie pojedynczego komputera metoda ta - jeśli poprawnie zrealizowana - jest jak najbardziej właściwa to w odniesieniu do całego systemu informatycznego organizacji ma tę wadę, że jest trudno skalowalna. Związane jest to faktem, że system jest przeważnie w taki czy inny sposób zróżnicowany; różne mogą być platformy sprzętowe czy systemy operacyjne, dla jednakowych systemów czy programów - różne ich wersje czy konfiguracje. W sytuacji takiej pielęgnacja mechanizmów ochrony w tych wszystkich środowiskach jest złożona i nieefektywna.

    Ochrona na poziomie poszczególnych komputerów wymaga dostępu do każdego komputera w trybie specjalnym (jako tzw. superużytkownik (root)). Wiąże się to z faktem, że każdy operator takiego komputera najprawdopodobniej będzie musiał mieć specjalne prawa dostępu do swojego komputera, który przecież jest elementem składowym całej sieci. W sytuacji takiej w instytucji pojawi się wielu użytkowników, na których spoczywać będzie odpowiedzialność za bezpieczeństwo systemu. W praktyce wielu spośród tych użytkowników nie będzie miało dość kompetencji i/lub czasu aby zagadnieniami bezpieczeństwa zajmować się w sposób właściwy.

    Jak widać model ten najprawdopodobniej nie sprawdzi się w przypadku dużych systemów. Jednak całkiem nieźle może funkcjonować dla systemów niedużych.

Model 4: ochrona w skali całego systemu (całej sieci komputerowej organizacji)

    Dla dużych systemów informatycznych ochrona w skali całego systemu zdaje się być rozwiązaniem lepszym niż ochrona na poziomie pojedynczych komputerów. Przy przyjęciu takiego modelu bezpieczeństwa zajmujemy się na kontrolowaniem wszystkich dostępów do komputerów czy usług poprzez sieć a nie na ochronie poszczególnych maszyn. Narzędziami wykorzystywanymi w funkcjonowaniu takiego modelu są silne procedury uwierzytelniania (np. Kerberos, procedury z inteligentnymi kartami ), architektury separujące (systemy firewall) czy szyfrowanie (programy do szyfrowania poczty, czy sesji komunikacyjnych w sieci).

Autor: [ s-portal.pl ]