Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Информационная безопасность (Руслан Пермяков)

Tech Talks @NSU
September 30, 2013
Education
0
380

Информационная безопасность (Руслан Пермяков)

Руслан Пермяков («Системы информационной безопасности») рассказывает о том, какие аспекты безопасности нужно иметь в виду при разработке программных систем.

http://techtalks.nsu.ru

Tech Talks @NSU

September 30, 2013
Tweet

More Decks by Tech Talks @NSU

See All by Tech Talks @NSU
Ходячие объекты мертвецы, или GC всегда прав
techtalksnsu
0
45
Семь раз отмерь, один раз отрежь или как "Production Ready Code" поможет спокойно спать по ночам
techtalksnsu
0
81
От бизнес-объектов - к акторам: причины перехода и опыт внедрения
techtalksnsu
0
30
Введение в функциональное программирование
techtalksnsu
0
53
Стажировки в американских IT-компаниях. Как стать стажером, а главное зачем
techtalksnsu
0
740
Путь студента в IT-бизнес
techtalksnsu
1
450
Lean UX и Design Thinking: как создавать востребованные продукты
techtalksnsu
0
620
Тестировщик: ожидание vs. реальность
techtalksnsu
0
610
Роли и задачи HR в работе IT-компаний
techtalksnsu
0
2.1k

Other Decks in Education

See All in Education
Master of Applied Science & Engineering: Computer Science & Master of Science in Applied Informatics
signer
PRO
0
430
Beispiel einer Fortbildung für "Soziales Lernen"
gsgoethe
0
110
Evaluation Methods - Lecture 6 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
700
アニメに学ぶチームの多様性とコンピテンシー
terahide
0
240
情報処理工学問題集 /infoeng_practices
kfujita
0
120
1030
cbtlibrary
0
300
寺沢拓敬 2024. 09. 「言語政策研究と教育政策研究の狭間で英語教育政策を考える」
terasawat
0
200
HTML5 and the Open Web Platform - Lecture 3 - Web Technologies (1019888BNR)
signer
PRO
1
2.6k
Semantic Web and Web 3.0 - Lecture 9 - Web Technologies (1019888BNR)
signer
PRO
1
2.5k
Padlet opetuksessa
matleenalaakso
4
12k
Flinga
matleenalaakso
2
13k
Ch2_-_Partie_3.pdf
bernhardsvt
0
100

Featured

See All Featured
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Code Review Best Practice
trishagee
64
17k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Music & Morning Musume
bryan
46
6.2k
Being A Developer After 40
akosma
86
590k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
4 Signs Your Business is Dying
shpigford
180
21k
Six Lessons from altMBA
skipperchong
27
3.5k

Transcript

  1. Проблема ИБ. Что стоит знать об информационной безопасности при проектировании

    информационных систем Пермяков Руслан Анатольевич технический директор ООО «СИБ» [email protected]

  2. Информационные системы Сегодня smart-устройств становится все больше...

  3. Безопасность • Поддержание информационной системы в заранее определенном множестве состояний

    признаных безопасными.

  4. Проблемы безопасности • Ошибки конфигурирования и инсталяции; • Ошибки пользователя;

    • Ошибки создания: • I тип - ошибки написания (переполнение буфера и т.п.) • II тип ошибок - алгоритмические ошибки (неуточненное поведение, слабые алгоритмы авторизации и т.п.)

  5. Проблема • При разработке ПО не делается анализ безопасности решения;

    • Не оцениваются (хотя бы умозрительно) возможности нарушителя.

  6. TCP Уровень нулевого знания

  7. TCP • В ftp есть уязвимость, позволяющаяя «увести» соединение

  8. ADS-И – Система авиакоммуникаций следующего покаления Идентификация: •Aircraft Address -

    глобальный уникальный идентификатор воздушного судна; •Parity Information - информация для контроля битной чтности (с) А. Костин. Спуфинг в воздухе. Хакер № 1 (168) 2013

  9. Априорное доверие •Неявно выраженное убеждение, что устройства подключенные к системе

    авторизованным пользователем заслуживает доверие. •Так ли это? •USB накопители? •ЗУ? •Устройства подключенные к ODB-II?

  10. Взлом автомобиля •Доверие к устройствам бортовой сети; •Доверия к устройствам,

    подключенным к ODB-II

  11. Взлом через ЗУ •Доверие ко всему, что подключено к порту;

    •Доверие к ПО, полученному через локальный порт.

  12. Итоги • В современных условиях не существует «доверия по умолчанию»;

    • Обратите внимание на buffer и stack; • Пользователя надо контролировать на каждом этапе.

  13. Принципы безопасной архитектуры • простота механизмов (economy of mechanism); •

    безопасность по умолчанию (fail-safe defaults); • полное проникновение защиты (complete mediation); • открытый дизайн (open design); • разделение полномочий (separation of privilege); • минимум привилегий (least privilege); • минимизация разделения ресурсов (least common mechanism); • психологическая приемлемость (psychological acceptability).

  14. Испрользуйте шаблоны • Существуют design patterns для задач безопасности. •

    При этом они есть на всех уровнях: • архитектуры; • написания кода; • пользовательского интерфейса; • поведения программы.

  15. Шаблоны • Концорциум Open Group (http:// opengroup.org); • CERT (http://cert.org);

    • cgisecurity (http://www.cgisecurity.com)

  16. ТППС • Теория проектирования программных систем: • Придерживайтесь стандартов проектирования;

    • Изоляция модулей; • Понятный код; • Повторное использование.