Nieinwazyjne metody oceny i poprawy bezpieczeństwa systemów komputerowych bazujące na standardach disa
DOI:
https://doi.org/10.34767/SIMIS.2010.02.02Słowa kluczowe:
Autentykacja (uwierzytelnianie), autoryzacja, aplikacja, baza danych, bezpieczeństwo, cheklista (procedura manualna), GoldDisk, hasła, interfejs, konta użytkowników, Linux, logi, logowanie zdarzeń systemowych, Microsoft Windows, PKI (infrastruktura klucza publicznego), SRR, STIG, system operacyjny, Unix, usługi sieciowe, wymaganiaAbstrakt
Artykuł jest próbą analizy dostępnych, nieinwazyjnych metod pozwalających na całościową analizę i ocenę bezpieczeństwa systemów komputerowych. Opisane metody nie ingerują bezpośrednio w działanie gotowych systemów, skupiając się w dużej mierze na statycznej analizie systemu. Analiza taka opiera się na stwierdzeniu zgodności systemu z poszczególnymi wymaganiami bezpieczeństwa, tworzonymi przez organizację DISA. Organizacja ta swoje wymagania przedstawia w trojaki sposób: tworząc statyczne wymagania tzw. STIG'i, manualne procedury, mające pomóc w analizie bezpieczeństwa oraz skrypty automatyczne dla części systemów (tzw. SRR). Przekrój systemów objętych wymaganiami jest ogromny, zaczynając od systemów operacyjnych, idąc przez systemy bazodanowe, sieci a skończywszy na tworzonych przez programistów aplikacjach. Artykuł zawiera również krótką analizę pewnych braków, niedogodności i wad wyżej wymienionych metod oraz jest próbą odpowiedzi w jakim kierunku powinien iść ich rozwój.
Bibliografia
Marcin Kołodziejczyk - Applying of security mechanisms to low layers of OSI/ISO network model - Automatyka, wyd. AGH, Kraków 2010
Michael Howard, David LeBlanc, John Viega -The 19 Deadly Sins of Software Security – McGraw-Hill/Osborne, California 2005
Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone - Handbook of Applied Cryptography - CRC Press 1996 (wersja online)
Marek R.Ogiela - Security of computer systems - Wydawnictwa AGH, Kraków 2002
The Top 10 Most Critical Internet Security Threats - (2000-2001 Archive)
Marcin Kołodziejczyk - Tablice tęczowe jako skuteczna optymalizacja algorytmu brute-force - Elektrotechnika i Elektronika, wyd.AGH.Kraków 2009/2010
