Πέμπτη 20 Φεβρουαρίου 2014

Security Goals

I. Ολιστική Ασφάλεια

a. Φυσική Ασφάλεια
 - Προστασία από διαρροή πληροφοριών και κλοπή εγγράφων
 - Περιορισμένη πρόσβαση και χώροι υψηλής προστασίας για την αποφυγή κλοπής.
b. Τεχνολογική Ασφάλεια
 - Application Security
  • Διαδικασία επιβεβαίωσης προσώπου
  • Κατάλληλος σχεδιασμός των servers κάνοντας χρήση τοπικών αρχείων και προστασίας του περιεχόμενου των βάσεων δεδομένων
  • Αξιόπιστη μεταφορά δεδομένων
 - Operating Systems Security
  • Οι εφαρμογές χρησιμοποιούν πόρους του Λειτουργικού Συστήματος
  • Ο κώδικας του Λειτουργικού Συστήματος μπορεί να περιέχει vulnerabilities (πάντα ένα λειτουργικό σύστημα να είναι ενημερωμένο ως προ τα updates)
 - Network Security


  • Μετρίαση επιβλαβούς network traffic
  • Χρήση προγραμμάτων Firewall και Intrusion Detection Systems
c. Policies και Διαδικασίες
 - Social Engineering Attack 


 - Προστασία προσωπικών δεδομένων
 - Κάθε χρήστης πρέπει να είναι σε επιφυλακή ως προς τα ευαίσθητα δεδομένα

II. Security Concepts

a. Authentication
 - Πιστοποίηση ταυτότητας
  • Κωδικός (κάτι που γνωρίζω): εύκολο στην υλοποίηση, εύκολο στην κατανόηση από τους χρήστες, αλλά, easy to crack (εκτός κι αν γίνει χρήση περίπλοκου κωδικού), χρήση του ίδιου κωδικού πολλές φορές, και, One Time Passwords (OTP): διαφορετικός κωδικός κάθε φορά, αλλά δύσκολο για την συνεχή απομνημόνευση
  • Tokens (κάτι που κατέχω): OTP Card, Smart Card
  • Biometrics (κάτι που είμαι): Palm Scan (Effectiveness: 1, Acceptance: 6), Iris Scan (Effectiveness: 2, Acceptance: 1), Retinal Scan (Effectiveness: 3, Acceptance: 7), Figerprint (Effectiveness: 4, Acceptance: 5), Voice Id (Effectiveness: 5, Acceptance: 3), Facial Recognition (Effectiveness: 6, Acceptance: 4), Signature Dynamics (Effectiveness: 7, Acceptance: 2)
  • Συνδυασμός Μεθόδων (ΑΤΜ Κάρτα & PIN)


b. Authorization
 - Έλεγχος κατά πόσο ένας χρήστης έχει την άδεια για κάποια ενέργεια.
 - Ποιος είσαι vs Τι μπορείς να κάνεις
 - Access Control List (μηχανισμός που παρέχεται από το Λειτουργικό Σύστημα, όπου προσδιορίζει ποιοι χρήστες έχουν δικαίωμα σε συγκεκριμένες ενέργειες)

 - Access Control Models
  • Mandatory (το λειτουργικό σύστημα αποφασίζει ποιος χρήστης έχει πρόσβαση σε ποιους πόρους)
  • Discretionary (χρήστες έχουν την εξουσιοδότηση για ορίζουν σε άλλους χρήστες δικαιώματα πρόσβασης σε πόρους του συστήματος)
  • Role Based (δικαιώματα πρόσβασης σε πόρους του συστήματος καθορίζονται από συγκεκριμένους ρόλους)

 - Bell – LaPadula Model

c. Confidentiality

d. Message Data Integrity

e. Accountability
 - Ικανότητα εντοπισμού της επίθεσης
 - Logging και Audit ίχνη
 - Ασφαλές Time stamping
 - Αξιοπιστία στα log files, audit trails 

f. Availability
 - Uptime, Free Storage (Redundancy και impose limits στους legitimate users)
 - Denial of Service attacks επιδιώκουν να πλήξουν την διαθεσιμότητα ενός server
g. Non – Repudiation
 - Μη αμφισβήτηση κάποιας διαδικτυακής ενέργειας (π.χ. συναλλαγής)
 - Παραγωγή αποδείξεων (digitally signed statements)


Αναρτήθηκε από στις

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Εγγραφή σε: Σχόλια ανάρτησης (Atom)