HOME -> SIKKERHED -> sikart-01 Tirsdag, 22. august 2017

HOME
FORUM
OPEN DIRECTORY
BOOKMARK
Offentliggjort 2003 - Opdateret n/a

Sikkerhedsanalyse

Artiklen beskriver hvordan en sikkerhedsanalyse kan udføres

Indhold


TopBegrebet sikkerhed.
I korte træk går sikkerhed ud på at analysere et system, og dermed klarlægge de muligheder der findes for at undgå, at der kan ske uønskede hændelser.
Udfra resultatet af analysen kan man evt. tilføje ekstra funktionaliteter for dermed at undgå uønskede hændelser, eks. en firewall.

Men hvad er en uønsket hændelse?

En uønsket hændelse er enhver form for brud på systemets sikkerhed, og den der udfører en uønsket hændelse er lig med angriberen, hvad enten dette sker med vilje eller ved et uheld.

Så vi konkluderer at

  en uønsket hændelse = brud på sikkerheden.
  den der udfører en uønsket hændelse = angriberen.

Jeg har nogen gange funderet over hvad motivet for et angreb kunne være. Er det politiske årsager eller måske personlige årsager? Er det for at bevise over for sig selv, og måske andre, at det kunne altså lade sig gøre at trænge ind i et virksomheds system? Eller har angriberen økonomiske hensigter? Og ikke mindst, hvor kommer angrebet fra? Kommer det fra Internettet, eller er det en af virksomhedens egne medarbejdere!

Skader kunne måske undgås i et vis omfang, men hvad skal der egentlig til? Her er der tre nøglebegreber indenfor sikkerhed.

  • Sikkerhedstjeneste: Den teoretiske sikring, f.eks. adgangskontrol / dataintegritet.
  • Sikkerhedsteknik: Det vi implementerer, - det kan være en protokol, - en sikkerhedsfunktion (implementeret algoritme), - en måde at generere nøgler på, - hardware.
  • Sikkerhedssystem: Samling af teknikker for at opnå et sikkerhedsniveau.


TopSikkerhedsanalyse.
Via en sikkerhedsanalyse får man mulighed for at sikre sig, at et eksisterende eller et nyt system har en ønsket sikkerheds niveau. Der findes mange metoder som kan danne grundlag for en sikkerhedsanalyse. Denne her beskriver analysen i 8 trin.

Trin 1 Der udformes en beskrivelse af mulig løsning. Lav en liste der giver overblik over, hvilke aktiver som den pågældende system løsning berører. Aktiver = programmer, data, hardware, kommunikationslinier (kabler), forretningsgang.

Trin 2 Trusselsbillede, (sandsynlighed for evt. hacker angreb, brud på kabel mm.).

De mest kendte trusler er:

  • Identitetsovertagelse: Stjæler et brugernavn / password, for derefter at udgive sig for en anden.
  • Maskerade, fuppe (spoofing): Man optræder med en andens identitet, og prøver at lokke brugeren til at aflevere informationer (Trojansk Hest).
  • Aflytte: (Tapning / aflytning af et transmissionsmedie).
  • Afspilning: Man optager en transmission og afspiller den igen.
  • Manipulation af data: Angriberen udskifter hele eller dele af data.
  • Nægtelse af deltagelse i en data samtale: truslen går ud på at en deltager nægter at have deltaget i (data) samtalen / transmissionen.
  • Denial of service: En angriber lukker eller nedsætter svartiden på en tjeneste. F.eks. synflood, ping of death, mailspam, data bombardering.
  • Forkert routning: Ved passering af en router kan data routes en anden vej.
  • Trafikanalyse: Kan være en trussel hvis tredje part kortlægger firmaets transmissioner.

Trin 3 Valg af sikkerhedstjeneste (teoretisk sikring, hvilke sikkerhedstjenester skal der bruges for at imødese trusler.)

  • Autentifikation: Bruger er den han udgiver sig for at være.
  • Adgangskontrol: Giver brugerne adgang til data.
  • Datahemmeligholdelse (fortrolighed): Beskytte data under en transmission, så ingen uautoriseret bruger kan opsnappe dem.
  • Dataintegritet: Beskytte data mod at blive ændret.
  • Uafviselighed: Sikrer at en deltager ikke kan nægte at have deltaget i en transmission.

Trin 4 Valg af sikkerhedsteknik (kryptering).

Trin 5 Implementering af sikkerhedsteknikker og tjenester.

Trin 6 Kontrol (kontrol af systemet kunne være, at man prøver på at "hacke" sig selv).

Trin 7 Konsekvens i tilfælde af brud på sikkerheden (politianmeldelse, fyring mm.).

Trin 8 Vurdering af sikkerhedsniveau.



Ovenfor stående er på ingen måde fyldestgørende, men giver dog lidt inspiration til emnet sikkerhed. Hvor høj sikkerheden i sidste ende skal være, er op til en selv, samt den pris man må betale i form af datatab eller "kroner og ører"! En overvejelse som man må holde op imod hinanden.

 

Copyright © 2002 - 2017
NETeXplorer.dk · All rights reserved Top