7506567163

Bezpieczeństwo informacji

19 października 2010 12:28

CIA

-    Confidentiality — poufność

-    Integrity — integralność, nienaruszalność

-    Availability — dostępność, dyspozycyjność

Inny zestaw

Confidentiality — poufność Possesion — własność, posiadanie Integrity — integralność, nienaruszalność Authenticity — autentyczność, oryginalność Avability — dostępność, dyspozycyjność Utility — użyteczność, przydatność

Zagrożenia poufności

-    Nieuprawniony dostęp do danych w miejscu składowania, np. w bazie danych

-    Nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika

-    Podsłuchanie danych przesyłanych w sieci

-    Analiza fal elektromagnetycznych emitowanych przez urządzenia elektroniczne

-    Analiza poboru prądu przez układy elektroniczne

Uwierzytelnianie

-    Uwierzytelnianie jednokierunkowe:

o uwierzytelnianie jednego podmiotu (uwierzytelnianego), np. klienta aplikacji, wobec drugiego (uwierzytelniającego), np. serwera;

o weryfikacja danych uwierzytelniających przekazanych przez podmiot uwierzytelniany; o typowe dane uwierzytelniające to identyfikator użytkownika i jego hasło dostępu, o pierwsza wersja GSMu tylko abonent uwierzytelniał się względem sieci

-    Uwierzytelnianie dwukierunkowe:

o kolejne lub jednoczesne uwierzytelnieniu obu podmiotów, które są wzajemnie i naprzemiennie uwierzytelnianym oraz uwierzytelniającym;

o jeżeli wzajemne uwierzytelnianie następuje sekwencyjnie (np. najpierw klient wobec serwera, a później serwer wobec klienta), mówimy o uwierzytelnianiu dwuetapowym; o natomiast jednoczesne uwierzytelnienie obu stron nazywamy jednoetapowym, o UMTS, ssh

-    Uwierzytelnianie z udziałem zaufanej strony trzeciej:

o strona trzecia bierze na siebie ciężar weryfikacji danych

o po pomyślnej weryfikacji podmiot uwierzytelniany otrzymuje poświadczenie, które następnie przedstawia zarządcy zasobu (serwerowi), do którego dostępu żąda; o dzięki temu uwierzytelnianie przebiega w jednym, bardzo bezpiecznym miejscu o uwierzytelniony klient może potencjalnie korzystać z wielu zasobów, komputerów itd. o zaufana strona trzecia może być

■    lokalna dla danej sieci komputerowej (korporacyjnej)

■    zewnętrzna (wykorzystująca infrastrukturę uwierzytelniania dostępną w sieci rozległej, np. publiczne urzędy certyfikujące).

Uwierzytelnianie za pomocą identyfikatora i hasła

-    klasycznie - login i hasło

-    najpowszechniejsza metoda

-    często loginy i hasła są przesyłane jawnym tekstem

-    Hasło można złamać metodą przeszukiwania wyczerpującego (ang. brute-force attack).

-    Hasło można odgadnąć, używając ataku słownikowego (ang. dictionary attack).

-    Hasło można podsłuchać w trakcie niezabezpieczonej transmisji.

-    Hasło można wykraść z systemowej bazy haseł użytkowników:

o zwykle hasła nie są przechowywane w postaci jawnej, często są zakodowane funkcją jednokierunkową lub za szyfrowane

o jednak niekiedy można stosunkowo łatwo jest pobrać i następnie starać się odzyskać ich oryginalną postać.

-    Hasło można pozyskać inną metodą, np. kupić.

-    Hasła starzeją się

o trzeba je systematycznie zmieniać

-    często w systemach są predefiniowane konta z powszechnie znanymi hasłami Atak słownikowy

-    Zgromadź nazwy użytkowników, ich inicjały oraz inne dostępne informacje, np. daty urodzin.

BSK Strona 15