Biztonsági modell Flashcards
Mi a biztonsági alany?
Informatikai rendszer erőforrásai: hardver, hálózat és adathordozók, szoftver, adatok.
Mi a fenyegetés?
Olyan lehetséges művelet vagy esemény, amely sértheti az informatikai rendszer vagy annak elemeinek védettségét, biztonságát.
Mi a sérülékenység?
Olyan gyengesége a rendszernek amelyen keresztül fenyegetés megvalósulhat.
Rendszerelem módosulhat: nem megfelelően működik, rossz válaszokat ad
Rendszerelem szivárogtathat: valaki jogosulatlan hozzáféréssel információkhoz jut
Rendszerelem nem elérhető, vagy nagyon lassú
Jellemezd a támadást!
Fenyegetést előidéző cselekmény.
Lehet módja szerint:
- Aktív: rendszerelemek vagy azok működését módosítja
- Passzív: rendszerinformációk megszerzése és felhasználása
Lehet végrehajtója szerint:
- Belső: jogosult a rendszerelem hozzáférésére, de nem jogosult módon használja fel
- Külső: egyáltalán nincs joga a rendszer használatára
Jellemezd a kockázatot!
Fenyegetettség mértéke, amely valamely fenyegető tényezőből ered.
Jellemezd a védelmi intézkedést!
Olyan eljárás, mely csökkenti a kockázatot.
Lehet alkalmazás területe szerint:
-Fizikai: kábelezés, védelmi eszközök, ajtók stb
-Ügyviteli: szabályok, eljárások, oktatás stb
-Technikai: tűzfalak, autentikációs rendszerek, titkosítások
Lehet funkcionalitás szerint:
-Preventív: megelőzi a támadás bekövetkezését
-Detektív: ha a preventív meghiúsulna akkor észleljük a támadást
-Korrektív: próbáljuk kijavítani az sérülést
Jellemezd a jogosultságok minimalizálása tervezési alapelvet!
Annyi jogosultságot adjunk, amennyi szükséges. Preventív intézkedés. Bárhol alkalmazható.
Jellemezd a minimalizálás tervezési alapelvet!
Csak a rendszerkonfigurációra vonatkozik. Olyan szoftvert ne futtassunk, mely nem feltétlen szükséges a biztonságos működéshez. Növeli a teljesítményt, tárhelyet takarít meg.
Jellemezd a több szintű védelem tervezési alapelvet!
Nehezebb támadni. Valamennyi védelmi mechanizmusnak szerepelni kell:
preventív, detektív, korrektív.
Jellemezd az open design tervezési alapelvet!
Biztonsági mechanizus elemeinek, működési módjának nyílvánosnak kell lenniük. Szakértők elemezhetik, bizalmat ad. Csak a titkos kulcsot tartsuk titokban, a titkosító algoritmusok nyílvánosak.
Jellemezd a felosztás tervezési alapelvet!
Parcellák, zónák, virtuális terek kialakítása. Limitálja a kárt, egyik sérül a többi védve van.
Jellemezd az egyszerű megoldások tervezési alapelvet!
Összetett rendszerek ellenségek, nehéz tervezni, implementálni, tesztelni.
Jellemezd a pszichológiai elfogadottság tervezési alapelvet!
Ha egy biztonsági mechanizmus gátolja az erőforrások könnyű hozzáférését azt lehessen kikapcsolni. A biztonsági mechanizmusok a felhasználók számára transzparensnek kell lennie.
Jellemezd az erőforrások és vagyontárgyak fenyegetéseit!
Hardver: rendelkezésre állásra irányuló fenyegetések a leggyakoribbak. Fizikai és adminisztratív intézkedések adhatnak védelmet.
Szoftver: rendelkezésre állásra irányuló fenyegetések - alkalmazás törlése, módosítással haszontalanná válhat, védelem a backup
sértetlenségre irányuló fenyegetés: szoftver módosítása, vírusok
szoftverkalózkodás: másolat készítése jogosulatlanul
Adat: Bizalmasságra irányuló fenyegetés: jogosulatlan olvasása az adatoknak
Sértetlenségre irányuló fenyegetés: adatok módosítása
rendelkezésre állásra irányuló fenyegetések: adat törlése
