Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Информационная безопасность (Руслан Пермяков)

Tech Talks @NSU
September 30, 2013
Education
0
360

Информационная безопасность (Руслан Пермяков)

Руслан Пермяков («Системы информационной безопасности») рассказывает о том, какие аспекты безопасности нужно иметь в виду при разработке программных систем.

http://techtalks.nsu.ru

Tech Talks @NSU

September 30, 2013
Tweet

More Decks by Tech Talks @NSU

See All by Tech Talks @NSU
Ходячие объекты мертвецы, или GC всегда прав
techtalksnsu
0
29
Семь раз отмерь, один раз отрежь или как "Production Ready Code" поможет спокойно спать по ночам
techtalksnsu
0
58
От бизнес-объектов - к акторам: причины перехода и опыт внедрения
techtalksnsu
0
20
Введение в функциональное программирование
techtalksnsu
0
45
Стажировки в американских IT-компаниях. Как стать стажером, а главное зачем
techtalksnsu
0
710
Путь студента в IT-бизнес
techtalksnsu
1
420
Lean UX и Design Thinking: как создавать востребованные продукты
techtalksnsu
0
590
Тестировщик: ожидание vs. реальность
techtalksnsu
0
550
Роли и задачи HR в работе IT-компаний
techtalksnsu
0
2k

Other Decks in Education

See All in Education
第1回全国商業高校Webアプリコンテスト総括
asial_corp
0
400
LightSail2324
cbtlibrary
0
120
Digijulkaisut
matleenalaakso
1
8.5k
2024年度春学期 統計学 講義の進め方と成績評価について (2024. 4. 11)
akiraasano
PRO
0
100
20240319AJG
tosseto
0
290
AI教育の未来『おもしろい』を作れる人材の育て方 #東京AI祭
o_ob
1
340
キャリアと組織の成長塾#1 アスリートからエンジニアの道へ
takashi_toyosaki
2
720
Sähköiset kyselyt, kokeet ja arviointi
matleenalaakso
1
16k
@ngrx/signals
yannickbaron
0
120
人生の転機からチャンスを掴む「シュロスバーグの4Sモデル」/4s-models
yuko_yokouchi
2
690
Microsoft Office 365
matleenalaakso
0
1.5k
Padlet opetuksessa
matleenalaakso
3
11k

Featured

See All Featured
Code Review Best Practice
trishagee
54
15k
Creatively Recalculating Your Daily Design Routine
revolveconf
209
11k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
The Language of Interfaces
destraynor
151
23k
KATA
mclloyd
14
12k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
243
20k
GraphQLの誤解/rethinking-graphql
sonatard
49
9.2k
The Power of CSS Pseudo Elements
geoffreycrofte
58
5k
The Illustrated Children's Guide to Kubernetes
chrisshort
28
46k
Reflections from 52 weeks, 52 projects
jeffersonlam
343
19k
Optimising Largest Contentful Paint
csswizardry
7
2.3k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
319
20k

Transcript

  1. Проблема ИБ. Что стоит знать об информационной безопасности при проектировании

    информационных систем Пермяков Руслан Анатольевич технический директор ООО «СИБ» [email protected]

  2. Информационные системы Сегодня smart-устройств становится все больше...

  3. Безопасность • Поддержание информационной системы в заранее определенном множестве состояний

    признаных безопасными.

  4. Проблемы безопасности • Ошибки конфигурирования и инсталяции; • Ошибки пользователя;

    • Ошибки создания: • I тип - ошибки написания (переполнение буфера и т.п.) • II тип ошибок - алгоритмические ошибки (неуточненное поведение, слабые алгоритмы авторизации и т.п.)

  5. Проблема • При разработке ПО не делается анализ безопасности решения;

    • Не оцениваются (хотя бы умозрительно) возможности нарушителя.

  6. TCP Уровень нулевого знания

  7. TCP • В ftp есть уязвимость, позволяющаяя «увести» соединение

  8. ADS-И – Система авиакоммуникаций следующего покаления Идентификация: •Aircraft Address -

    глобальный уникальный идентификатор воздушного судна; •Parity Information - информация для контроля битной чтности (с) А. Костин. Спуфинг в воздухе. Хакер № 1 (168) 2013

  9. Априорное доверие •Неявно выраженное убеждение, что устройства подключенные к системе

    авторизованным пользователем заслуживает доверие. •Так ли это? •USB накопители? •ЗУ? •Устройства подключенные к ODB-II?

  10. Взлом автомобиля •Доверие к устройствам бортовой сети; •Доверия к устройствам,

    подключенным к ODB-II

  11. Взлом через ЗУ •Доверие ко всему, что подключено к порту;

    •Доверие к ПО, полученному через локальный порт.

  12. Итоги • В современных условиях не существует «доверия по умолчанию»;

    • Обратите внимание на buffer и stack; • Пользователя надо контролировать на каждом этапе.

  13. Принципы безопасной архитектуры • простота механизмов (economy of mechanism); •

    безопасность по умолчанию (fail-safe defaults); • полное проникновение защиты (complete mediation); • открытый дизайн (open design); • разделение полномочий (separation of privilege); • минимум привилегий (least privilege); • минимизация разделения ресурсов (least common mechanism); • психологическая приемлемость (psychological acceptability).

  14. Испрользуйте шаблоны • Существуют design patterns для задач безопасности. •

    При этом они есть на всех уровнях: • архитектуры; • написания кода; • пользовательского интерфейса; • поведения программы.

  15. Шаблоны • Концорциум Open Group (http:// opengroup.org); • CERT (http://cert.org);

    • cgisecurity (http://www.cgisecurity.com)

  16. ТППС • Теория проектирования программных систем: • Придерживайтесь стандартов проектирования;

    • Изоляция модулей; • Понятный код; • Повторное использование.