Nguyên tắc của an ninh mạng

Ngành công nghiệp internet và chúng ta nhận thấy sự cần thiết phải phát triển một loạt các Nguyên tắc hướng dẫn để cải thiện tính bảo mật trực tuyến của khách hàng của ISP và hạn chế sự gia tăng của các cuộc tấn công mạng. An ninh mạng cho những mục đích này bao gồm việc bảo vệ thông tin, quy trình và hệ thống thiết yếu, được kết nối hoặc lưu trữ trực tuyến, với tầm nhìn bao quát trên các lĩnh vực con người, kỹ thuật và vật lý.

Các bài viết liên quan:

• Luật pháp với mạng và máy tính
• Các thay đổi về Graph API của Facebook
• Luật bảo vệ quyền riêng tư
• Cách Nhận Liên kết ngược với Trang Tài nguyên & Liên kết
• Biểu đồ phân bổ tài nguyên trong hệ điều hành

Các Nguyên tắc này thừa nhận rằng ISP (và các nhà cung cấp dịch vụ khác), người dùng internet và Chính phủ Vương quốc Anh đều có vai trò trong việc giảm thiểu và giảm thiểu các mối đe dọa mạng vốn có trong việc sử dụng internet.

Các Nguyên tắc Hướng dẫn này đã được phát triển để đối phó với thách thức này bằng cách cung cấp một cách tiếp cận nhất quán để giúp đỡ, thông báo, giáo dục và bảo vệ khách hàng của ISP (Nhà cung cấp dịch vụ Internet) khỏi tội phạm trực tuyến. Các Nguyên tắc Hướng dẫn này mang tính tham vọng, được phát triển và chuyển giao với tư cách là sự hợp tác giữa Chính phủ và các ISP. Họ nhận ra rằng ISP có nhiều nhóm khách hàng khác nhau, cung cấp các mức hỗ trợ và dịch vụ khác nhau để bảo vệ những khách hàng đó khỏi các mối đe dọa mạng.

Một số nguyên tắc an ninh mạng cơ bản được mô tả dưới đây-

1. Economy of mechanism
2. Fail-safe defaults
3. Least Privilege
4. Open Design
5. Complete mediation
6. Separation of Privilege
7. Least Common Mechanism
8. Psychological acceptability
9. Work Factor
10. Compromise Recording

Economy of mechanism

Nguyên tắc này nói rằng các cơ chế Bảo mật phải càng đơn giản và càng nhỏ càng tốt. Nguyên tắc Kinh tế của cơ chế đơn giản hóa việc thiết kế và thực hiện các cơ chế bảo mật. Nếu thiết kế và thực hiện đơn giản và nhỏ thì sẽ có ít khả năng xảy ra lỗi hơn. Quá trình kiểm tra và thử nghiệm ít phức tạp hơn do đó ít thành phần cần được kiểm tra hơn.

Giao diện giữa các mô-đun bảo mật là khu vực nghi ngờ nên càng đơn giản càng tốt. Bởi vì các mô-đun Giao diện thường đưa ra các giả định ngầm về các tham số đầu vào hoặc đầu ra hoặc trạng thái hệ thống hiện tại. Nếu bất kỳ giả định nào trong số này là sai, các hành động của mô-đun có thể tạo ra kết quả không mong muốn. Khung bảo mật đơn giản tạo điều kiện cho các nhà phát triển và người dùng hiểu được nó, đồng thời cho phép phát triển và xác minh hiệu quả các phương pháp thực thi cho nó.

Fail-safe defaults

Nguyên tắc mặc định không an toàn cho biết rằng cấu hình mặc định của hệ thống phải có một sơ đồ bảo vệ cẩn thận. Nguyên tắc này cũng hạn chế cách các đặc quyền được khởi tạo khi một chủ thể hoặc đối tượng được tạo. Bất cứ khi nào quyền truy cập, đặc quyền / quyền hoặc một số thuộc tính liên quan đến bảo mật không được cấp rõ ràng, nó sẽ không được cấp quyền truy cập cho đối tượng đó.

Ví dụ: Nếu chúng tôi sẽ thêm người dùng mới vào hệ điều hành, thì nhóm người dùng mặc định sẽ có ít quyền truy cập vào tệp và dịch vụ hơn.

Least Privilege

Nguyên tắc này nói rằng người dùng chỉ nên có những đặc quyền cần thiết để hoàn thành nhiệm vụ của mình. Chức năng chính của nó là kiểm soát việc chuyển nhượng các quyền được cấp cho người dùng, chứ không phải danh tính của người dùng. Điều này có nghĩa là nếu sếp yêu cầu quyền truy cập root vào hệ thống UNIX mà bạn quản lý, thì anh ấy / cô ấy sẽ không được cấp quyền đó trừ khi anh ấy / cô ấy có nhiệm vụ yêu cầu mức độ truy cập đó. Nếu có thể, các quyền nâng cao của danh tính người dùng nên bị xóa ngay khi các quyền đó không còn cần thiết nữa.

Open Design

Nguyên tắc này nói rằng tính bảo mật của một cơ chế không nên phụ thuộc vào tính bí mật của việc thiết kế hoặc thực hiện nó. Nó cho thấy rằng sự phức tạp không tăng thêm tính bảo mật. Nguyên tắc này đối lập với cách tiếp cận được gọi là “bảo mật thông qua sự che khuất”. Nguyên tắc này không chỉ áp dụng cho các thông tin như mật khẩu hoặc hệ thống mật mã mà còn cho các hoạt động khác liên quan đến bảo mật máy tính.

Ví dụ: Bảo vệ đầu đĩa DVD & Hệ thống xáo trộn nội dung (CSS). CSS là một thuật toán mật mã bảo vệ các đĩa phim DVD khỏi bị sao chép trái phép.

Complete mediation

Nguyên tắc dàn xếp hoàn toàn hạn chế việc lưu thông tin vào bộ nhớ đệm, điều này thường dẫn đến việc triển khai các cơ chế đơn giản hơn. Ý tưởng của nguyên tắc này là quyền truy cập vào mọi đối tượng phải được kiểm tra xem có tuân thủ sơ đồ bảo vệ hay không để đảm bảo rằng chúng được phép. Do đó, nên thận trọng với các kỹ thuật cải thiện hiệu suất lưu thông tin chi tiết của các lần kiểm tra ủy quyền trước đó, vì các quyền có thể thay đổi theo thời gian.

Bất cứ khi nào ai đó cố gắng truy cập một đối tượng, hệ thống sẽ xác thực các quyền truy cập được liên kết với đối tượng đó. Quyền truy cập của chủ thể được xác minh một lần tại lần truy cập đầu tiên và đối với các lần truy cập tiếp theo, hệ thống giả định rằng các quyền truy cập tương tự phải được chấp nhận cho chủ thể và đối tượng đó. Hệ điều hành phải làm trung gian cho tất cả và mọi quyền truy cập vào một đối tượng.

Ví dụ: Một trang web ngân hàng trực tuyến phải yêu cầu người dùng đăng nhập lại sau một khoảng thời gian nhất định như chúng ta có thể nói, hai mươi phút đã trôi qua.

Separation of Privilege

Nguyên tắc này nói rằng một hệ thống phải

cấp quyền truy cập dựa trên nhiều hơn một điều kiện được đáp ứng. Nguyên tắc này cũng có thể hạn chế vì nó giới hạn quyền truy cập vào các thực thể hệ thống. Vì vậy, trước khi đặc quyền được cấp, cần thực hiện nhiều hơn hai xác minh.

Ví dụ: Để su (thay đổi) thành root, hai điều kiện phải được đáp ứng-

Người dùng phải biết mật khẩu gốc.

Người dùng phải ở đúng nhóm (bánh xe).

Least Common Mechanism

Nguyên tắc này chỉ ra rằng trong hệ thống có nhiều người dùng, cơ chế cho phép tài nguyên được chia sẻ bởi nhiều người dùng phải được giảm thiểu hết mức có thể. Nguyên tắc này cũng có thể hạn chế vì nó hạn chế việc chia sẻ tài nguyên.

Ví dụ: Nếu có nhu cầu được truy cập vào tệp hoặc ứng dụng bởi nhiều người dùng, thì những người dùng này nên sử dụng các kênh riêng biệt để truy cập các tài nguyên này, điều này giúp tránh những hậu quả không lường trước được có thể gây ra sự cố bảo mật.

Psychological acceptability

Nguyên tắc này nói rằng một cơ chế bảo mật không được làm cho việc truy cập tài nguyên trở nên phức tạp hơn nếu các cơ chế bảo mật không có mặt. Nguyên tắc tâm lý chấp nhận thừa nhận yếu tố con người trong bảo mật máy tính. Nếu phần mềm liên quan đến bảo mật hoặc hệ thống máy tính quá phức tạp để cấu hình, bảo trì hoặc vận hành, người dùng sẽ không sử dụng các cơ chế bảo mật cần thiết. Ví dụ: nếu một mật khẩu được khớp trong quá trình thay đổi mật khẩu, chương trình thay đổi mật khẩu phải nêu lý do tại sao nó bị từ chối thay vì đưa ra một thông báo lỗi khó hiểu. Đồng thời, các ứng dụng không nên truyền tải thông tin không cần thiết có thể dẫn đến việc bảo mật bị ảnh hưởng.

Ví dụ: Khi chúng tôi nhập sai mật khẩu, hệ thống sẽ chỉ cho chúng tôi biết rằng id người dùng hoặc mật khẩu không chính xác. Nó không nên cho chúng tôi biết rằng chỉ có mật khẩu sai vì điều này cung cấp cho kẻ tấn công thông tin.

Work Factor

Nguyên tắc này nói rằng chi phí phá vỡ một cơ chế bảo mật nên được so sánh với các nguồn lực của kẻ tấn công tiềm năng khi thiết kế một sơ đồ bảo mật. Trong một số trường hợp, có thể dễ dàng tính toán chi phí phá vỡ (“được gọi là yếu tố công việc”). Nói cách khác, hệ số công việc là một thước đo mật mã phổ biến được sử dụng để xác định độ mạnh của một mật mã nhất định. Nó không ánh xạ trực tiếp đến an ninh mạng, nhưng khái niệm tổng thể được áp dụng.

Ví dụ: Giả sử số thử nghiệm cần thiết để thử tất cả các mật khẩu bốn ký tự có thể là 244 = 331776. Nếu kẻ tấn công tiềm năng phải thử từng mật khẩu thử nghiệm tại một thiết bị đầu cuối, người ta có thể coi mật khẩu bốn ký tự là thỏa đáng. Mặt khác, nếu kẻ tấn công tiềm năng có thể sử dụng một máy tính thiên văn có khả năng thử một triệu mật khẩu mỗi giây, thì mật khẩu bốn chữ cái sẽ là một rào cản nhỏ đối với kẻ xâm nhập tiềm năng.

Compromise Recording

Nguyên tắc Ghi chép Thỏa hiệp nêu rõ rằng đôi khi bạn nên ghi lại các chi tiết của sự xâm nhập để áp dụng một biện pháp tinh vi hơn để ngăn chặn.

Ví dụ: Các máy chủ trong mạng văn phòng có thể lưu nhật ký cho tất cả các truy cập vào tệp, tất cả các email được gửi và nhận cũng như tất cả các phiên duyệt trên web. Một ví dụ khác là camera giám sát có kết nối Internet là một ví dụ điển hình của hệ thống ghi âm thỏa hiệp có thể được đặt để bảo vệ một tòa nhà.