Security Goals and Principles
Thema 1 Kai Brünnler
Thema 1 Kai Brünnler
Fichier Détails
| Cartes-fiches | 20 |
|---|---|
| Langue | Deutsch |
| Catégorie | Informatique |
| Niveau | Collège |
| Crée / Actualisé | 06.01.2019 / 24.01.2019 |
| Lien de web |
https://card2brain.ch/box/20190106_security_goals_and_principles
|
| Intégrer |
<iframe src="https://card2brain.ch/box/20190106_security_goals_and_principles/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Créer ou copier des fichiers d'apprentissage
Avec un upgrade tu peux créer ou copier des fichiers d'apprentissage sans limite et utiliser de nombreuses fonctions supplémentaires.
Connecte-toi pour voir toutes les cartes.
Security Goals
Fasst die Punkte zusammen nach welchen wir die Sicherheit von Software beurteilen
Security Goals (einzelne Punke)
- Prevention
- Traceability and Auditing
- Monitoring
- Privacy and Confidentiality
- Anonymity
- Authentication
- Integrity
Security Principles (Beschribung)
Best practise prinzipien beim Software "bauen" um die Security Goals zu erreichen
Security Principles (einzelne Punkte)
- Secure the weakest link
- Practice defense in depth
- Fail securely
- Least privilege
- Compartmentalize
- Keep it simple
- Promote privacy
- Hiding secrets is hard
- Be reluctant to trust
- Use your community resources
- Prevention (Security Goal)
Prävention für den Schutz des Zugangs, z.B.
- Lock the door
- Require a password
- Close the port on the firewall
Traceability and Auditing (Security Goal)
Die einzelnen Zugriffe in Logs festhalten um nachvollziehen zu können was gemacht wurde.
- Sometimes we cannot prevent malicious actions
- A cashier can steal cash
- A database admin can steal data
- Logs help catch them
- Firewalls sometimes write logs to WORM
Monitoring (Security Goal)
Lifetime Analyse und Auditing, zum erkennen von annomalien und unerlaubten operationen
Privacy and Confidentiality (Security Goal)
Schutz der Daten und der Privatssphäre. Hatte bisher den grössten Einfluss wenn es um messbaren Verlust ging.
z.B. nach den Yahoo Hack, als die Nutzerdaten von x-tausenden gestolen wurden, hat die Aktie ernormen Wert verloren.
Anonymity (Security Goal)
Anonymität und zugehörigkeit der Daten. z.B.
- Your exam grades are personal data, they are owned by you
- Swiss data protection law forces anonymity when publishing exam grades
Authentication (Security Goal))
Den Anspruch für den Zugriff feststellen.
Meinstens ist es eine Identifikation, kann aber auch z.B. das Alter (ab 18+) sein oder oder eine Qualifikation (z.B. Zugang bei einer bestimmten Zertifizierung)
Integrity (Security Goal)
Unverfälschbarkeit der Daten
- Schulnotren
- Gesundheitsdaten
- Bankkontobetrag
Secure the weakest link (Security Principle)
Security ist wie eine Kette, das schwächste Glied muss gestärkt werden um die Sicherheit zu erhöhen, da ein Angreiffer den schwächsten Punkt ausnutzen kann.
- z.B. gespooftes E-Mail an Sekretariat zum ändern von Noten
Practice defense in depth (Security Principle)
Meherere Schutzmassnahmen vornehmen, z.B. beim schützen vor E-Mail anfriffen einen Mail Filter verwenden, die Angestellten schulen, Antivirus installieren etc.
Fail Securely (Security Principle)
Bei einem Error nicht zu viel Informationen geben, als Fallback (falls Vorhanden) keine Unsicheren Methoden auswählen etc.
Least privilege (Security Principle)
Gib die minimum Rechte um die Arbeit erfüllen zu können. Ein User braucht keine admin Rechte
Compartmentalize (Security Principle)
Brauche verschiedene Security Zonen, z.B. Sandbox Systeme, Netzwerk Zonen
Keep it simple (Security Priciple)
Wie der Name sagt, Software sollte einfach bleiben um die Übersicht zu behalten. Mehr Code bedeutet mehr mögliche Lücken zum überprüfen. z.B. OpenSSL vs. BoringSSL von Google
Promote privacy (Security Principle)
Kann am besten mit Beispielen erklärt werden:
Web sites: don’t force login with facebook
on your users Browsers: don’t allow tracking
Hiding secrets is hard (Security Principle)
Don't store informations you don't need to. Store only Hashs of Passwords, delete closed accounts etc.
Be reluctant to trust (Security Principle)
Wessen Software traust du? Trunst is not transitiv
-
- 1 / 20
-
