Конспект

Обзор законов безопасности

· Рассмотрены законы.

· Законы нужно знать для того, чтобы сделать систему более безопасной.

· Помните, что законы изменяются.

Закон 1. Невозможно обеспечить безопасность клиентской части

· Безопасность клиентской части целиком определяется клиентом.

· У пользователя всегда есть возможности для взлома системы защиты, потому что у него физический доступ к компьютеру.

· Если у злоумышленника достаточно времени и ресурсов, то безопасность клиентской части невозможна.

Закон 2. Нельзя организовать надежный обмен ключами шифрования без совместно используемой порции информации

· Общая информация используется для идентификации компьютеров до установления сетевого соединения.

· Вы можете обмениваться общими секретными ключами (shared private keys) или использовать протокол безопасных соединений SSL при работе с браузером.

· Обмен ключами уязвим к атаке типа MITM (злоумышленник посередине (MITM).

Закон 3. От кода злоумышленника нельзя защититься на 100 %

· Программное обеспечение несовершенно.

· Программное обеспечение обнаружения вирусов и Троянских коней основано на исследовании сигнатуры файлов.

· Незначительные изменения в коде сигнатуры приводят к необнаружению измененного кода до момента выпуска следующего файла сигнатуры.

Закон 4. Всегда может быть создана новая сигнатура кода, которая не будет восприниматься как угроза

· Злоумышленники могут быстро изменить характерные признаки или сигнатуру файла.

· Злоумышленники могут использовать сжатие, шифрование и пароли для изменения сигнатуры кода.

· Нельзя защититься от каждой возможной модификации.

Закон 5. Межсетевые экраны не защищают на 100 % от атаки злоумышленника

· Межсетевые экраны – это программные или аппаратные, или программно-аппаратные средства ЭВМ.

· Главная функция межсетевых экранов состоит в фильтрации входных и выходных пакетов.

· Успешные атаки возможны в результате ошибочных правил, несовершенной политики безопасности и проблем с обслуживанием межсетевых экранов.

Закон 6. От любой системы обнаружения атак можно уклониться

· Системы обнаружения вторжения – часто пассивные системы.

· Для злоумышленника трудно обнаружить присутствие системы обнаружения вторжения.

· Эффективность системы обнаружения вторжения снижается в результате неверной конфигурации и недостатков обслуживания.

Закон 7. Тайна криптографических алгоритмов не гарантируется

· Хорошие криптографические алгоритмы обеспечивают высокую степень защиты.

· Большинство криптографических средств не подвергаются достаточному исследованию и тестированию до начала использования.

· Единые алгоритмы используются в различных областях. Взломать их трудно, хотя и возможно.

Закон 8. Без ключа у вас не шифрование, а кодирование

· Этот закон универсален, не существует никаких исключений.

· Шифрование используется, чтобы защитить результат кодирования. Если ключ не используется, то нельзя ничего зашифровать.

· Ключи должны храниться в тайне, иначе ни о какой безопасности не может быть и речи.

Закон 9. Пароли не могут надежно храниться у клиента, если только они не зашифрованы другим паролем

· Пароли, сохраненные на компьютере клиента, легко обнаружить.

· Если пароль хранится в открытом виде (незашифрованным), то это небезопасно.

· Безопасное хранение паролей на компьютере клиента предполагает вторичный механизм обеспечения безопасности.

Закон 10. Для того чтобы система начала претендовать на статус защищенной, она должна проити независимый аудит безопасности

· Аудит – начало хорошего анализа систем безопасности.

· Системы безопасности часто не анализируются должным образом, что ведет к их дефектам.

· Внешняя проверка имеет решающее значение для защиты; ее отсутствие – дополнительное условие для атаки злоумышленником.

Закон 11. Безопасность нельзя обеспечить покровом тайны

· Скрыть что-либо – не значит обеспечить безопасность этого.

· Необходима упреждающая защита.

· Использование только скрытия информации способствует компрометации.

Загрузка...