Rpasi Curs
-
Upload
vlad-oftici -
Category
Documents
-
view
218 -
download
0
description
Transcript of Rpasi Curs
16.09.2015
Sabloane de proiectare
Sabloanele de proiectare descriu o problema tipica si ofera o solutie pentru aceasta problema tipica.Sabloanele de proiectare se impart in 3 categorii:
1. Sabloane creationale (rezolva probleme ce tin de crearea obiectelor2. Sabloanele structural (rezolva probleme ce tin de structura obiectelor si modificarea
acesteia in timp real)3. Sabloane comportamentale(rezolva problem ce tin de comportamentul obiectului si
modificarea acestuia in timp real)
Fabrica abstracta - grupeaza fabrici de obiecte care au o tema comuna
23.09.2015
Tema: Securitatea informationala inter-retea
VPN-Retea virtuala privata
IPSec este o suita de protocoale pentru securizarea comunicatiilor peste stiva TCP/IP
Acesta suita se bazeaza pe folosirea functiilor matematice si a algoritmilor de criptare si autentificare pentru a asigura confidentialitatea si nonrepudierea informatiilor din fiecare pachet IP transmis pe retea.
IPSec are o arhitectura de tip end-to-end, compatibila atit cu stiva IPv4, cit si cu IPv6
Arhitectura IPSec:
- Asocierea de Securitate- Authentication Header (AH) – asigura integritatea si autenticitatea pachetelor IP- Ecapsulating Security Payload (ESP) – asigura confidentialitatea , integritatea si
autenticitatea pachetelor IP.
Transport se foloseste cind se conecteaza doua calculatoare care transmit pachete intre ele
30.09.2015
Tema: Principii de securizare in dezvoltarea sistemelor IT.
Principiile de baza care trebuie sa fie implimentate in sistemele IT : confidentialitatea, integritatea, disponibilitatea. Selectarea mecanismelor de control si securizarea este posibila doar dupa clasificarea (catalogara) ce trebuie sa fie protejate. De exemplu securizarea datelor pentru sisteme de valoare mai mica (forumuri), trebuie sa fie diferita de mecanismele de securizare cu valoare inalta(sisteme bancare, guvernamentale, etc).
Arhitectii aplicatiilor sint responsabili de construirea proictului care acopera riscurile in mod adecvat atit pentru cazurile standart cit si pentru cazuri extreme. Cind o aplicatie este proiectata sau este la etapa de refactory trebuie analizata fiecare functionalitate si trebuie de gasit raspuns la urmatoarele intrebari:
- este oare mediul functionalitatii securizat? - daca as fi un rau-facator , cum as ataca aceasta functionalitate?- este aceasta functionalitate necesare in mod implicit? Daca este , care sunt limitele pentru
a reduce riscurile de la aceasta functionalitate?
07.10.2015
Principiile de securizare:
- minimizarea suprafetei de atac (fiecare functionalitate care este adaugata la aplicatie ridica nivelul de risc a intregii aplicatii, acest principiu spune ca preminimizarea functionalitatilor disponibile pentru atac este minimizat nivelul de risc total)
- securizarea valorilor implicite (exista mai multe moduri prin care putem sa licram o experienta clara sau obisnuita utilizatorilor insa in mod implicit aceasta trebuie sa fie una care are implimentate mecanisme de securitate in spate)
- principiul privilegiului minimal (acest principiu recomanda ca conturile utilizatorilor in sistem sa aiba drepturile minimale necesare pentru asi indeplini procesul de lucru, aceasta include drepturi de utilizator la functionalitati, la date si permisiuni la resurse cum ar fi limitele de processor, de memorie RAM, memorie hard disk si acces la fisiere din sistem )
- principiul protectiei in adincime (acest principiu sugereaza ca in cazul in care un control sau verificare este rezonabil mai multe controale sau verificari care analizeaza riscul din mai multe puncte de vedere este mai bun, controalele care utilizeaza securizarea in adincime nu permit vulnerabilitatilor de grad inalt sa fie usor de exploatat si deci probabilitatea de aparitie a acestora este mai mica, in cazul scrierii de cod securizat aceasta poate insemna ca noi vom scri modul de validare la fiecare nivel si la nivel centralizat , aceasta insemnind ca sar putea sa fie pusa si condita ca utilizatorii care au acces la resurse ... …)
- securizarea esecurilor (aplicatiile ajung in regim de fail din mai multe motive si destul de regulat , nivelul de securizare a asistemului poate fi determina de modul in care ele trateaza aceste esecuri )
- sistemele externe trebuie tratate ca sisteme nesigure ( multe organizatii utilizeaza parteneri terti care mai mult ca probabil au alte politici de Securitate decit cele ale organizatiilor, este putin probabil ca aceste organizatii sa poata infuienta sau controla aceste parti terte, diferenta in politici de Securitate poate duce la atacuri asupra sistemelor organizatiei prin serviciile partilor terte )
- separarea responsabilitatilor ( un factor cheie este separarea responsabilitatilor, daca cineva cere un calculator(intr-o companie), anumite roluri au diferite incredere fata de utilizatorii obisnuiti , in particular administratorii ca si rol sunt foarte diferiti de utilizatorii obisnuiti si acestia nu ar trebui sa fie utilizatori ai aplicatiei )
- securizarea prin necunoastere nu trebuie aplicata ( )- simplitate (simplitatea si minimizarea suprafetei de atac sunt doua principii care sunt
interconectate, scopul oricarui membru al proiectului trebuie sa fie de a incerca de a simplifica lucrurile si prin aceasta de a micsora numarul de elemente care pot fi supuse atacului )
- reparati problemele de securitate in mod corect