Công nghệ phần mềm chương 9

Kỹ thuật an ninh - đảm bảo an ninh Dụng cụ, kỹ thuật và phương pháp để hỗ trợ sự phát triển và bảo trì hệ thống mà có thể chống lại các cuộc tấn công độc hại nhằm làm hỏng một hệ thống

Bài giảng 9 - Kỹ thuật an ninh - điện lạnh

Phần 1 Chương 14 Kỹ thuật an ninh

Các chủ đề được đề cập -

Kỹ thuật an ninh và quản lý an ninh

Kỹ thuật an ninh liên quan đến các ứng dụng;

Quản lý an ninh với cơ sở hạ tầng

Đánh giá rủi ro an ninh

Thiết kế một hệ thống dựa trên đánh giá rủi ro bảo mật

Thiết kế cho an ninh

Làm thế nào kiến trúc hệ thống phải được thiết kế cho an ninh

Kỹ thuật an ninh - đảm bảo an ninh

Dụng cụ, kỹ thuật và phương pháp để hỗ trợ sự phát triển và bảo trì hệ thống mà có thể chống lại các cuộc tấn công độc hại nhằm làm hỏng một hệ thống dựa trên máy tính hoặc dữ liệu của nó

Một trường tiểu của lĩnh vực rộng hơn về bảo mật máy tính Giả sử kiến thức nền về các khái niệm về độ tin cậy và an toàn (Chương 10) và các yêu cầu về yêu cầu bảo mật (Chương 12)

Ứng dụng / cơ sở hạ tầng an ninh - ứng dụng về cơ sở hạ tầng Ứng dụng bảo mật là một vấn đề kỹ thuật phần mềm, nơi hệ thống được thiết kế để chống lại các cuộc tấn công

An ninh cơ sở hạ tầng là một vấn đề quản lý các hệ thống mà cơ

sở hạ tầng được cấu hình để chống lại các cuộc tấn công

Trọng tâm của chương này là bảo mật ứng dụng

Các lớp hệ thống nơi bảo mật có thể bị tổn hại

Hệ thống an ninh quản lý

Người sử dụng và cho phép quản lý

Thêm và xóa người dùng khỏi hệ thống và thiết lập cho phép thích hợp cho người dùng

Triển khai phần mềm và bảo trì

Cài đặt phần mềm ứng dụng và middleware và cấu hình các hệ thống này để các lỗ hổng được tránh

Giám sát tấn công, phát hiện và theo Phục hồi

Giám sát hệ thống cho việc truy cập trái phép, chiến lược thiết kế

để chống các cuộc tấn công và phát triển sao lưu và phục hồi các chiến lược

Quản lý rủi ro an toàn - quản lý rủi ro

Quản lý rủi ro là có liên quan với việc đánh giá các thiệt hại có

thể có thể xảy ra sau các cuộc tấn công trên hệ thống và cân đối

những mất mát so với chi phí của các thủ tục bảo mật có thể làm giảm

những tổn thất này

Quản lý rủi ro cần được thúc đẩy bởi một chính sách bảo mật của

tổ chức Quản lý rủi ro liên quan đến

Đánh giá rủi ro sơ bộ

Đánh giá rủi ro chu kỳ cuộc sống

Đánh giá rủi ro hoạt động

Đánh giá rủi ro sơ bộ

Trường hợp lạm dụng

Trường hợp lạm dụng là trường hợp của các mối đe dọa đến hệ

thống

Mối đe dọa đánh chặn

Lợi nhuận kẻ tấn công truy cập vào một tài sản

Mối đe dọa gián đoạn

Kẻ tấn công làm cho một phần của một hệ thống unavailable

Một tài sản hệ thống nếu giả mạo

Mối đe dọa chế tạo

Thông tin sai sự thật sẽ được thêm vào một hệ thống

Phân tích tài sản

Hệ thống thông tin Cao Cần thiết để hỗ trợ

tất cả các cuộc tư vấn lâm sàng Có khả năng

an toàn-quan trọng

Cao Tổn thất về tài chính vì các phòng khám có thể phải hủy

bỏ Chi phí phục hồi hệ thống

Có thể gây hại cho bệnh nhân nếu không thể điều trị được

Cơ sở dữ liệu bệnh

nhân

Cao Cần thiết để hỗ trợ tất cả các cuộc tư vấn lâm sàng Có khả năng

an toàn-quan trọng

Cao Tổn thất về tài chính vì các phòng khám có thể phải hủy

bỏ Chi phí phục hồi hệ thống

Có thể gây hại cho bệnh nhân nếu không thể điều trị được

Hồ sơ bệnh nhân cá

nhân

Thông thường thấp mặc

dù có thể cao đối với những bệnh nhân có đặc điểm cao

Thiệt hại trực tiếp thấp nhưng mất uy tín

Phân tích mối đe dọa và kiểm soát

Mối đe dọa Xác suất Điều khiển Tính khả thi

Người dùng không

được phép sẽ truy

cập quyền quản lý

hệ thống và làm cho

hệ thống không khả

dụng

Thấp Chỉ cho phép quản lý

hệ thống từ các vị trí

cụ thể được đảm bảo

về mặt vật lý

Chi phí thực hiện thấp nhưng cần phải cẩn thận với việc phân phối chính và đảm bảo rằng các chìa khóa có sẵn trong trường hợp khẩn cấp

Người sử dụng trái

phép truy cập vào

như là người sử

dụng hệ thống và

truy cập thông tin bí

mật

Cao Yêu cầu tất cả người

dùng tự xác thực bằng cách sử dụng một cơ chế sinh trắc học

Đăng nhập tất cả thay đổi vào thông tin bệnh nhân để theo dõi việc

sử dụng hệ thống

Giải pháp khả thi

về mặt kỹ thuật nhưng có chi phí cao Khả năng kháng của người dùng

Đơn giản và minh bạch để thực hiện và cũng hỗ trợ phục hồi

Yêu cầu bảo mật – an ninh

Thông tin bệnh nhân phải được tải vào lúc bắt đầu của một phiên

phòng khám đến một khu vực an toàn trên máy khách hệ thống được

sử dụng bởi đội ngũ nhân viên lâm sàng

Thông tin bệnh nhân không được duy trì trên các bệnh nhân hệ

thống sau khi buổi khám bệnh kết thúc

Một bản ghi trên một máy tính riêng biệt từ máy chủ cơ sở dữ

liệu phải được duy trì của tất cả các thay đổi được thực hiện cho cơ sở

dữ liệu hệ thống

Đánh giá rủi ro vòng đời

Đánh giá rủi ro trong khi hệ thống đang được phát triển và sau

khi nó đã được triển khai

Thông tin chi tiết có sẵn - nền tảng hệ thống, middleware và kiến

trúc hệ thống và dữ liệu tổ chức

Lỗ hổng phát sinh từ sự lựa chọn thiết kế do đó có thể được xác định

Phân tích nguy cơ vòng đời

Thiết kế các quyết định từ việc sử dụng COTS- sdung các modun thương mại

Người sử dụng hệ thống chứng thực sử dụng một sự kết hợp tên / mật khẩu -

Kiến trúc hệ thống là client-server với các máy khách truy cập vào hệ thống thông qua một trình duyệt web chuẩn

Thông tin được trình bày dưới dạng một mẫu web có thể chỉnh sửa

Các lỗ hổng liên quan đến các lựa chọn công nghệ

Yêu cầu về bảo mật

Kiểm tra mật khẩu sẽ được cung cấp và sẽ được vận hành hàng ngày Mật khẩu yếu sẽ được báo cáo cho quản trị viên hệ thống

Việc truy cập vào hệ thống chỉ được cho phép bởi các máy tính khách hàng đã được phê duyệt

Tất cả các máy khách sẽ có một trình duyệt web duy nhất, được chấp thuận bởi các quản trị viên hệ thống

Đánh giá rủi ro hoạt động - đánh giá rủi ro vận hành

Tiếp tục đánh giá rủi ro chu kỳ cuộc sống nhưng với thêm thông tin về môi trường mà hệ thống được sử dụng -

Các đặc điểm môi trường có thể dẫn đến rủi ro hệ thống mới

Rủi ro gián đoạn có nghĩa là các máy tính đã đăng nhập sẽ không được giám sát

Thiết kế cho an ninh - thiết kế chiều đảm bảo an ninh

Tke thiết tạo mẫu kiến trúc ki ế n tr ú c

làm thế nào để quyết định thiết kế kiến trúc ảnh hưởng đến sự an toàn của hệ thống?

Thói quen tốt

những gì được chấp nhận thực hành tốt khi thiết kế các hệ thống

an toàn?

Thiết kế cho việc triển khai

những gì hỗ trợ cần được thiết kế thành một hệ thống để tránh sự

ra đời của các lỗ hổng khi một hệ thống được triển khai để sử dụng? Thiết kế kiến trúc

Hai vấn đề cơ bản phải được xem xét khi thiết kế một kiến trúc

an ninh

bảo vệ

Làm thế nào hệ thống cần được tổ chức sao cho tài sản quan trọng có thể được bảo vệ chống lại cuộc tấn công bên ngoài?

Phân phối -

Làm thế nào tài sản hệ thống nên được phân phối sao cho hiệu quả của một cuộc tấn công thành công được giảm thiểu?

Đây là những điểm mâu thuẫn tiềm ẩn

Nếu tài sản được phân phối, sau đó họ có nhiều tốn kém hơn để bảo vệ Nếu tài sản được bảo vệ, sau đó khả năng sử dụng và hiệu suất yêu cầu có thể bị tổn hại

Sự bảo vệ

Bảo vệ nền tảng cấp

Các điều khiển cấp cao nhất trên nền mà hệ thống chạy

Bảo vệ cấp ứng dụng

Cơ chế bảo vệ cụ thể được xây dựng vào ứng dụng riêng của mình ví dụ như thêm mật khẩu bảo vệ

Ghi cấp bảo vệ cộng

Bảo vệ được viện dẫn khi tiếp cận thông tin cụ thể được yêu cầu Điều này dẫn đến một sự bảo vệ lớp architecture-

Kiến trúc bảo vệ lớp

Phân phối

Phân phối tài sản có nghĩa là các cuộc tấn công vào một hệ thống không nhất thiết dẫn đến mất hoàn toàn dịch vụ hệ thống

Mỗi nền tảng có các tính năng bảo vệ riêng biệt và có thể khác với các nền tảng khác để chúng không chia sẻ một lỗ hổng chung Phân phối là đặc biệt quan trọng nếu nguy cơ tấn công từ chối dịch vụ là cao

Tài sản được phân phối trong hệ thống giao dịch vốn chủ sở hữu Những điểm chính

Kỹ thuật an ninh liên quan đến cách phát triển các hệ thống có thể chống lại các cuộc tấn công nguy hiểm

Các mối đe dọa bảo mật có thể là mối đe dọa đối với tính bảo mật, toàn vẹn hoặc tính khả dụng của một hệ thống hoặc dữ liệu của

nó

Quản lý rủi ro an ninh liên quan đến việc đánh giá thiệt hại có thể xảy ra từ các cuộc tấn công và bắt nguồn từ các yêu cầu về an ninh để giảm thiểu thiệt hại

Thiết kế cho an ninh liên quan đến thiết kế kiến trúc, sau thực hành thiết kế tốt và giảm thiểu việc giới thiệu các lỗ hổng hệ thống

Bài giảng 9 - Kỹ thuật An ninh - quy tắc thiết kế

Phần 2 Chủ đề được bảo vệ

Hướng dẫn thiết kế bảo mật

Các hướng dẫn giúp bạn thiết kế một hệ thống an toàn

Thiết kế để triển khai

Thiết kế để triển khai các vấn đề có thể giới thiệu các lỗ hổng được giảm thiểu

Khả năng sống sót của hệ thống

Cho phép hệ thống cung cấp các dịch vụ thiết yếu khi bị tấn công Hướng dẫn thiết kế cho kỹ thuật an ninh - các quy tắc cần đảm bảo trong thiết kế

Hướng dẫn thiết kế đóng gói thực hành tốt trong thiết kế hệ thống an toàn

Hướng dẫn thiết kế phục vụ cho hai mục đích:

- Họ nâng cao nhận thức về các vấn đề an ninh trong một đội ngũ kỹ thuật phần mềm An ninh được xem xét khi đưa ra quyết định thiết

kế

- Chúng có thể được sử dụng làm cơ sở cho một danh sách kiểm tra

rà soát được áp dụng trong quá trình xác nhận hệ thống

Hướng dẫn thiết kế ở đây được áp dụng trong phần mềm và thiết kế đặc điểm kỹ thuật

Hướng dẫn thiết kế cho kỹ thuật hệ thống an toàn

Hướng dẫn bảo mật

Các quyết định bảo mật căn bản về chính sách bảo

mật rõ ràng

Tránh một điểm thất bại duy nhất

Không an toàn

Cân bằng an ninh và khả năng sử dụng

Đăng nhập người dùng hành động

Sử dụng thừa và đa dạng để giảm nguy cơ

Xác thực tất cả các đầu vào

Phân chia tài sản của bạn

Thiết kế để triển khai

Thiết kế phục hồi

Hướng dẫn thiết kế 1-3 - quy tắc 1-3

- Quyết định dựa trên một chính sách an ninh rõ ràng

- Xác định một chính sách bảo mật cho tổ chức đó đặt ra các yêu cầu

an ninh cơ bản mà nên áp dụng đối với tất cả các hệ thống tổ chức

- Tránh một điểm duy nhất của thất bại

- Đảm bảo rằng lỗi bảo mật chỉ có thể xảy ra khi có nhiều lỗi trong thủ tục an ninh Ví dụ, có mật khẩu và xác thực câu hỏi dựa trên

- Thất bại một cách an toàn

- Khi hệ thống thất bại, vì lý do gì, đảm bảo rằng thông tin nhạy cảm không thể được truy cập bởi người dùng trái phép thậm chí mặc dù thủ tục an ninh bình thường không có sẵn

Hướng dẫn thiết kế 4-6

- Cân bằng an ninh và usability

- Cố gắng tránh các thủ tục an ninh làm cho hệ thống khó sử dụng Đôi khi bạn phải chấp nhận an ninh yếu để làm cho hệ thống có thể sử dụng nhiều hơn nữa

- Đăng nhập hành động người dùng

- Duy trì bản ghi các hành động của người dùng có thể được phân tích để khám phá xem ai đã làm gì Nếu người dùng biết về nhật ký như vậy, họ ít có khả năng hành xử một cách vô trách nhiệm hơn

- Sử dụng dự phòng và đa dạng để giảm thiểu rủi ro -

- Giữ nhiều bản sao của dữ liệu và sử dụng cơ sở hạ tầng đa dạng để một lỗ hổng cơ sở không thể là điểm duy nhất của sự thất bại

Hướng dẫn thiết kế 7-10

Xác thực tất cả các đầu vào

Kiểm tra xem tất cả các đầu vào nằm trong phạm vi sao cho các đầu vào bất ngờ không thể gây ra vấn đề

Phân chia tài sản của bạn

Tổ chức hệ thống để tài sản ở các khu vực riêng biệt và người dùng chỉ có quyền truy cập vào thông tin mà họ cần chứ không phải là tất

cả thông tin hệ thống

Thiết kế cho việc triển khai

Thiết kế hệ thống để tránh các vấn đề triển khai

Thiết kế cho khả năng thu hồi

Thiết kế hệ thống để đơn giản hóa khả năng phục hồi sau một cuộc tấn công thành công

Thiết kế để triển khai

Triển khai bao gồm việc cấu hình phần mềm để hoạt động trong môi trường làm việc của nó, cài đặt hệ thống và cấu hình nó cho nền tảng hoạt động

Các lỗ hổng có thể được giới thiệu ở giai đoạn này do lỗi cấu hình Thiết kế hỗ trợ triển khai vào hệ thống có thể làm giảm xác suất mà các lỗ hổng sẽ được giới thiệu

Triển khai phần mềm

Lỗ hổng cấu hình

Thiết lập mặc định dễ bị tổn thương

Kẻ tấn công có thể tìm ra các cài đặt mặc định cho phần mềm Nếu chúng yếu (thường làm tăng khả năng sử dụng) thì chúng có thể bị khai thác bởi người dùng khi tấn công một hệ thống

Phát triển chứ không phải triển khai

Một số cài đặt cấu hình trong hệ thống được thiết kế để hỗ trợ phát triển và gỡ lỗi Nếu chúng không bị tắt, chúng có thể là một lỗ hổng

mà những kẻ tấn công có thể khai thác được

Hỗ trợ triển khai

Bao gồm hỗ trợ cho việc xem và phân tích các cấu hình

Đảm bảo rằng quản trị viên hệ thống chịu trách nhiệm triển khai có thể dễ dàng xem toàn bộ cấu hình Điều này làm cho dễ dàng hơn để phát hiện sự thiếu sót và sai sót đã được thực hiện

Giảm thiểu đặc quyền mặc định và do đó hạn chế thiệt hại có thể được gây ra

Thiết kế hệ thống để giảm thiểu các đặc quyền mặc định cho quản trị viên Điều này có nghĩa là nếu ai đó có quyền truy cập quản trị viên,

họ không có quyền truy cập ngay vào các tính năng của hệ thống

Hỗ trợ triển khai 2

Khoanh vùng cấu hình cài đặt

Khi thiết lập một hệ thống, tất cả các thông tin có liên quan đến cùng một bộ phận hoặc thành phần của một hệ thống phải được bản địa hoá

để nó được thiết lập cùng một lúc Nếu không, thật dễ dàng để quên thiết lập các tính năng bảo mật liên quan

Cung cấp cách dễ dàng để sửa chữa lỗ hổng an ninh

Khi vấn đề được phát hiện, cung cấp cách dễ dàng, chẳng hạn như tính năng tự động cập nhật, để sửa chữa lỗ hổng bảo mật trong các hệ thống được triển khai

Hệ thống sống sót

Khả năng sống sót là một tài sản hệ thống cấp cứu mà phản ánh khả năng hệ thống để cung cấp dịch vụ thiết yếu trong khi nó đang bị tấn công hoặc sau khi một phần của hệ thống đã bị hư hỏng Phân tích khả năng sống sót và thiết kế nên là một phần của quy trình kỹ thuật

an ninh

Tầm quan trọng của khả năng sống sót

Đời sống kinh tế và xã hội của chúng ta phụ thuộc vào hệ thống máy tính

Quan trọng cơ sở hạ tầng - điện, khí đốt, viễn thông, giao thông vận tải

Chăm sóc sức khỏe

Chính quyền

Mất hệ thống kinh doanh cho ngay cả một thời gian ngắn có thể có hiệu quả kinh tế rất nghiêm trọng

Hệ thống đặt vé máy bay

Hệ thống thương mại điện tử

Hệ thống thanh toán

Sẵn có dịch vụ sẵn sàng sử dụng

Các dịch vụ hệ thống nào là quan trọng nhất đối với một doanh

nghiệp?

Các dịch vụ này có thể bị xâm nhập như thế nào?

Chất lượng tối thiểu của dịch vụ phải được duy trì là gì?

Các dịch vụ này có thể được bảo vệ như thế nào?

Nếu một dịch vụ trở nên không có sẵn, làm thế nào nó có thể được phục hồi nhanh?

Chiến lược khả thi

Kháng

Tránh các vấn đề bằng cách xây dựng khả năng vào hệ thống để chống lại các cuộc tấn công

Recognition

Phát hiện vấn đề bằng cách xây dựng khả năng vào hệ thống để phát hiện các cuộc tấn công và thất bại và đánh giá thiệt hại kết quả

phục hồi

Chịu đựng các vấn đề bằng cách xây dựng khả năng vào hệ thống để cung cấp dịch vụ trong khi bị tấn

Các giai đoạn trong phân tích sự sống sót

Các hoạt động chính - các hđộng chính

Sự hiểu biết hệ thống -

Golas Rà soát, yêu cầu và kiến trúc

Xác định dịch vụ quan trọng

Xác định các dịch vụ phải được duy trì

Mô phỏng tấn công

Phát triển kịch bản tấn công và xác định các thành phần bị ảnh hưởng Phân tích khả năng sống sót

Xác định chiến lược sống sót được áp dụng

Hệ thống kinh doanh sống sót

Tài khoản người dùng và giá cổ phiếu được nhân rộng trên các máy chủ nên một số điều khoản về khả năng tồn tại

Khả năng chính được duy trì là khả năng đặt hàng cho cổ phiếu

Đơn đặt hàng phải chính xác và phản ánh việc bán / mua hàng thực tế của thương nhân

Dịch vụ đặt hàng đáng tin cậy

Dịch vụ quan trọng phải tồn tại là khả năng cho người sử dụng có thẩm quyền đặt hàng cho chứng khoán

Điều này đòi hỏi phải có 3 thành phần của hệ thống và độ tin cậy hoạt động:

Xác thực người dùng, cho phép người dùng được phép đăng nhập vào hệ thống

Báo giá, cho phép trích dẫn giá mua và bán