Latest posts for the topic "Vài tản mạn về các domains trong CISSP - Phần 1"

Vài tản mạn về các domains trong CISSP - Phần 1

conmale — GMT

Hôm nay rảnh rỗi, tớ sắp xếp lại cái tủ sách và vô tình thấy cuốn CISSP Certification cũ kỹ của Shon Harris, một trong những ấn bản đầu tiên của hơn chục năm trước. Lật xuyên qua cuốn sách, tớ chợt nảy ra ý định sử dụng cái sườn của bộ giáo án CISSP làm nền cho những "tản mạn" về bảo mật. Hãy thử khai triển theo từng điểm trên và hy vọng sẽ nảy ra những thảo luận ích lợi. I. Khái niệm bảo mật dựa trên tier: 1. Tại sao tier được xem là một trong những cấu trúc nền tảng của bảo mật? 2. Tier khác với network topology ở điểm nào? 3. Thật sự có bao nhiêu tier? 4. Thật sự tier có bảo đảm bảo mật? 5. Những cái gì gìn giữ cho tier khỏi bị đổ vỡ? Hãy bắt đầu.

Vài tản mạn về các domains trong CISSP - Phần 1

seraphpl — GMT

1. Làm phức tạp hệ thống đối với attacker, từ bên ngoài không thể truy xuất trực tiếp vào dữ liệu chính, mà phải gián tiếp qua nhiều tier 2. Tier thường theo dạng tuyến tính O-O-O...-O Còn network toplogy thì hình sao, tuyến tính, vòng tròn,... 3. Có vô số tier, tùy theo độ phức tạp của dịch vụ, số lượng công việc cần xử lý. Ví dụa: giao diện người dùng, proxy, mã hóa, xử lý yêu cầu, truy xuất dữ liệu, ... 4. Tier làm đơn giản công việc đối với ta, phức tạp đối với địch, nhưng không chắc chắn đảm bảo bảo mật; vì không chừng địch có thể hạ gục từng tier một, lên tier tiếp theo hoặc sọc 1 đường kẻ thẳng vào trung tâm 5. Sức bảo mật của từng tier giúp củng cố hệ thống, ngoài ra còn chính sách liên kết giữa cái tier. thật sự em lờ mờ suy diễn ra, chứ chưa đc học sâu lắm xD. mong anh định hướng :D

Vài tản mạn về các domains trong CISSP - Phần 1

myquartz — GMT

tier: lớp. Bảo mật theo nhiều tier = tương tự như phòng ngự bóng đá theo nhiều lớp. Hoặc tổ chức phòng ngự theo nhiều phòng tuyến, mỗi phòng tuyến có ưu, nhược riêng. khai thác nhược của phòng tuyến này thì sẽ gặp phải ưu của phòng tuyến khác.

Vài tản mạn về các domains trong CISSP - Phần 1

radiohead — GMT

conmale wrote:

I. Khái niệm bảo mật dựa trên tier: 1. Tại sao tier được xem là một trong những cấu trúc nền tảng của bảo mật? 2. Tier khác với network topology ở điểm nào? 3. Thật sự có bao nhiêu tier? 4. Thật sự tier có bảo đảm bảo mật? 5. Những cái gì gìn giữ cho tier khỏi bị đổ vỡ? Hãy bắt đầu.

Em có search qua cuốn CISSP mới nhất, thì tier hiểu nôm na giống như lớp mà myquartz đã nhận định. Vậy câu trả lời sẽ như sau: 1. Tier là một trong những cấu trúc nền tảng của bảo mật: Bởi không có một tier (hay hệ thống) nào là đạt độ bảo mật 100%, nên buộc phải kết hợp nhiều tier để làm giảm xác suất bị khai thác thành công hệ thống cần bảo vệ xuống thấp đến mức chấp nhận được Giả sử xác suất bị tấn công thành công của 1 tier là 0.1%, khi kết hợp 2 tier với nhau (một cách hợp lý và đúng đắn) thì xác suất bị tấn công thành công của cả hệ thống là 0.1 x 0.1 = 0.01%. Càng có nhiều tier, xác suất bị rủi ro càng có thể được giảm thấp đi nữa 2. Tier trong bảo mật là khái niệm logic, ám chỉ các thành phần cung cấp những thuộc tính, dịch vụ khác nhau về bảo mật như Confident, Intergrity, Avaibility.....cho hệ thống chính Topo network là khái niệm logic, cho biết hình thái, cấu trúc của hệ thống mạng Tier trong bảo mật có thể bao hàm luôn cả topo network, nhưng ko có ngược lại 3. Thật sự thì ko có chính xác số tier, mà phụ thuộc mức độ bảo mật hệ thống cần đạt được. 4. Có tier không đảm bảo là đã có bảo mật. Tier chỉ là mô hình, kiến trúc lý thuyết để hỗ trợ cho triển khai thực tế. Thực tế triển khai, sự liên kết giữa các tier, công tác quản lý khi vận hành...mới là nhân tố biến độ an toàn trên lý thuyết của tier thành sự thật 5. Tier chỉ có thể đổ vỡ bởi 2 khâu +) Thiết kế sai +) Triển khai, vận hành tier sai so với thiết kế Vấn đề hay gặp nhất khi triển khai tier bảo mật là ở khâu tương tác, phối hợp giữa các tier khi hoạt động. 1 là vì rất phức tạp, khó lường hết khả năng. 2 là sự cẩu thả, buông lỏng không quản lý chặt chẽ ( người quản trị lười biếng, thích làm tắt, user không chịu tuân thủ policy...)