КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Противодействие атакам
|
|
|
|
Тактики реализации безопасности
Тактики реализации безопасности подразделяются на несколько подвидов: тактики противодействия атакам, тактики обнаружения атак и тактики восстановления после атак. Все эти категории в равной степени важны. Проведем бытовую аналогию: замок на двери есть средство противодействия атакам, датчик движения — средство обнаружения атаки, а наличие страховки — средство восстановления после атаки. Назначение тактик безопасности показано на рис. 5.8.
В главе 4, характеризуя безопасность, мы обозначили в качестве целей строгое выполнение обязательств, конфиденциальность, целостность и гарантирование.
Достичь этих целей можно путем совместного применения нижеприведенных тактик.
♦ Аутентификация пользователей. Аутентификация проверяет, является ли пользователь или удаленный компьютер тем, за кого себя выдает. Сред-ствами аутентификации являются пароли, одноразовые пароли, цифровые сертификаты и биометрические данные.
♦ Авторизация пользователей. Авторизация проверяет наличие у аутентифицированного пользователя полномочий на получение доступа к данным или службам и их модификацию. Как правило, для проведения авторизации в системе используются образцы управления доступа. Субъектами управления доступом могут быть пользователи или классы пользователей. Последние определяются группами пользователей, ролями пользователей или списками отдельных лиц.
♦ Обеспечение конфиденциальности данных. Данные необходимо защищать от несанкционированного доступа. Как правило, для обеспечения конфиденциальности данные и каналы связи шифруются. Шифрование — это средство дополнительной защиты постоянно обслуживаемых данных, усиливающее результаты авторизации. Каналы связи же обычно вообще не контролируются средствами авторизации. Шифрование, таким образом, оказывается единственным способом защиты данных, передаваемых по открытым каналам связи. Такие каналы реализуются посредством виртуальной частной сети (virtual private network, VPN) или (в случае с вебканалами) протокола защищенных сокетов (secure sockets layer, SSL). Шифрование бывает симметричным (обе стороны пользуются одним и тем же ключом) и ассиметричным (предусматриваются открытый и секретный ключи).
|
|
|
♦ Обеспечение целостности. Данные должны передаваться в неизменном виде. Содержащаяся в них служебная информация — например, контрольные суммы или результаты хэширования — может шифроваться совместно с исходными данными или независимо от них.
♦ Минимизация подверженности внешним воздействиям. В большинстве случаев для проведения атаки на все содержащиеся на хосте данные и службы злоумышленнику достаточно одной лазейки. Задача архитектора состоит в том, чтобы оптимально распределить службы между хостами.
♦ Ограничение доступа. Брандмауэры ограничивают доступ, проверяя порты отправки и назначения сообщений. Сообщения неизвестного происхождения иногда свидетельствуют об атаке. Ограничить доступ известными источниками не всегда возможно. К примеру, запросы на общедоступный вебсайт поступают из самых разных, в том числе неизвестных, источников. В таком случае имеет смысл организовать так называемую демилитаризованную зону (demilitarized zone, DMZ). DMZ открывает доступ к интернет- службам, одновременно защищая ресурсы частной сети. Она находится между общедоступной сетью и брандмауэром, рядом с внутренней сетью. В DMZ располагаются устройства, допускающие прием сообщений от произвольных источников — в частности, веб-службы, почтовые службы и службы доменных имен.
|
|
|
|
|
Дата добавления: 2015-04-25; Просмотров: 794; Нарушение авторских прав?; Мы поможем в написании вашей работы!