Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Информационная безопасность (Руслан Пермяков)

Tech Talks @NSU
September 30, 2013
Education
0
320

Информационная безопасность (Руслан Пермяков)

Руслан Пермяков («Системы информационной безопасности») рассказывает о том, какие аспекты безопасности нужно иметь в виду при разработке программных систем.

http://techtalks.nsu.ru

Tech Talks @NSU

September 30, 2013
Tweet

More Decks by Tech Talks @NSU

See All by Tech Talks @NSU
Ходячие объекты мертвецы, или GC всегда прав
techtalksnsu
0
24
Семь раз отмерь, один раз отрежь или как "Production Ready Code" поможет спокойно спать по ночам
techtalksnsu
0
45
От бизнес-объектов - к акторам: причины перехода и опыт внедрения
techtalksnsu
0
15
Введение в функциональное программирование
techtalksnsu
0
41
Стажировки в американских IT-компаниях. Как стать стажером, а главное зачем
techtalksnsu
0
670
Путь студента в IT-бизнес
techtalksnsu
1
400
Lean UX и Design Thinking: как создавать востребованные продукты
techtalksnsu
0
550
Тестировщик: ожидание vs. реальность
techtalksnsu
0
500
Роли и задачи HR в работе IT-компаний
techtalksnsu
0
1.9k

Other Decks in Education

See All in Education
菅原道真とスクラム / Mitizane and Scrum
aki_moon
0
360
情報処理工学14資料 /infoeng14
kfujita
0
120
Padlet opetuksessa
matleenalaakso
3
6.3k
FBCのご紹介
komagata
0
130
Analysis and Validation - Lecture 4 - Information Visualisation (4019538FNR)
signer
PRO
0
920
Data Processing and Visualisation Frameworks - Lecture 6 - Information Visualisation (4019538FNR)
signer
PRO
1
1.2k
Introduction - Lecture 1 - Information Visualisation (4019538FNR)
signer
PRO
0
2.7k
Introduction - Lecture 1 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
2.4k
どう進める?2023年セキュリティ人材の育成
mnori0211
1
240
「ChatGPT」って固いな。 ニックネームとかは無いの?
akane69
0
120
育児休業中のスキルアップどうする?
natsuyo
3
830
Hololens2と
小中高プログラミング教育の利用にむけた試行 / XRMTG 2023-1-18
gishi_yama
0
160

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
224
50k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
10
1.4k
Testing 201, or: Great Expectations
jmmastey
25
5.8k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
182
15k
What's new in Ruby 2.0
geeforr
336
30k
Documentation Writing (for coders)
carmenintech
51
3k
Web development in the modern age
philhawksworth
197
9.6k
Adopting Sorbet at Scale
ufuk
65
7.9k
Build The Right Thing And Hit Your Dates
maggiecrowley
22
1.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
31
20k
For a Future-Friendly Web
brad_frost
166
7.9k

Transcript

  1. Проблема ИБ.
    Что стоит знать об информационной
    безопасности при проектировании
    информационных систем
    Пермяков Руслан Анатольевич
    технический директор ООО «СИБ»
    [email protected]

    View Slide

  2. Информационные системы
    Сегодня smart-устройств становится все
    больше...

    View Slide

  3. Безопасность
    • Поддержание информационной системы в
    заранее определенном множестве
    состояний признаных безопасными.

    View Slide

  4. Проблемы безопасности
    • Ошибки конфигурирования и инсталяции;
    • Ошибки пользователя;
    • Ошибки создания:
    • I тип - ошибки написания (переполнение
    буфера и т.п.)
    • II тип ошибок - алгоритмические
    ошибки (неуточненное поведение,
    слабые алгоритмы авторизации и т.п.)

    View Slide

  5. Проблема
    • При разработке ПО не делается анализ
    безопасности решения;
    • Не оцениваются (хотя бы умозрительно)
    возможности нарушителя.

    View Slide

  6. TCP
    Уровень нулевого знания

    View Slide

  7. TCP
    • В ftp есть уязвимость, позволяющаяя «увести»
    соединение

    View Slide

  8. ADS-И – Система авиакоммуникаций
    следующего покаления
    Идентификация:
    •Aircraft Address - глобальный уникальный идентификатор воздушного судна;
    •Parity Information - информация для контроля битной чтности
    (с) А. Костин. Спуфинг в воздухе. Хакер № 1 (168) 2013

    View Slide

  9. Априорное доверие
    •Неявно выраженное убеждение, что
    устройства подключенные к системе
    авторизованным пользователем
    заслуживает доверие.
    •Так ли это?
    •USB накопители?
    •ЗУ?
    •Устройства подключенные к ODB-II?

    View Slide

  10. Взлом автомобиля
    •Доверие к устройствам бортовой сети;
    •Доверия к устройствам, подключенным к
    ODB-II

    View Slide

  11. Взлом через ЗУ
    •Доверие ко всему,
    что подключено к
    порту;
    •Доверие к ПО,
    полученному через
    локальный порт.

    View Slide

  12. Итоги
    • В современных условиях не существует
    «доверия по умолчанию»;
    • Обратите внимание на buffer и stack;
    • Пользователя надо контролировать на
    каждом этапе.

    View Slide

  13. Принципы безопасной
    архитектуры
    • простота механизмов (economy of mechanism);
    • безопасность по умолчанию (fail-safe defaults);
    • полное проникновение защиты (complete mediation);
    • открытый дизайн (open design);
    • разделение полномочий (separation of privilege);
    • минимум привилегий (least privilege);
    • минимизация разделения ресурсов (least common
    mechanism);
    • психологическая приемлемость (psychological acceptability).

    View Slide

  14. Испрользуйте шаблоны
    • Существуют design patterns для задач
    безопасности.
    • При этом они есть на всех уровнях:
    • архитектуры;
    • написания кода;
    • пользовательского интерфейса;
    • поведения программы.

    View Slide

  15. Шаблоны
    • Концорциум Open Group (http://
    opengroup.org);
    • CERT (http://cert.org);
    • cgisecurity (http://www.cgisecurity.com)

    View Slide

  16. ТППС
    • Теория проектирования программных
    систем:
    • Придерживайтесь стандартов
    проектирования;
    • Изоляция модулей;
    • Понятный код;
    • Повторное использование.

    View Slide