Общие законы безопасности.
Как-то попалась статья про законы безопасности. Рассуждая, получается, что мы должны иметь представление о том, что все знают, но может не до конца осознают важность простых истин безопасности.
Может кто захочет добавить комментарии, советы и обсуждения.
Вы, вероятно, знакомы с «10 непреложными законами безопасности». Это очерк о безопасности, который, будучи опубликован примерно восемь лет назад, остается немаловажным и популярным по сей день.
Первый закон: «Если злоумышленник убедил вас запустить его программу на вашем компьютере — это уже не ваш компьютер».
Этот закон, по сути, утверждает, что любая программа, исполняемая на компьютере, может контролировать этот компьютер.
Второй закон: «Если злоумышленник изменил ОС на вашем компьютере — это уже не ваш компьютер».
С виду этот закон кажется довольно прямолинейным. Очевидно, что если злоумышленник изменил операционную систему на компьютере, то доверять этому компьютеру уже нельзя.
Третий закон: «Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру — это уже не ваш компьютер».
Многие люди не понимали в полной мере, что можно сделать, имея физический доступ к системе.
Четвертый закон: Если злоумышленнику позволено загружать программы на ваш веб-узел – это уже не ваш веб-узел.
может показаться, что четвертый закон звучит немного странно.
Пятый закон. Слабые пароли перекрывают прочную безопасность.
Очевидно, что пароли, как они обычно используются – очень слабая форма безопасности.
Шестой закон: Компьютер защищен настолько, насколько можно доверять администратору.
Это существенно важно. Когда шестой закон утверждает, что компьютер защищен настолько, насколько можно доверять администратору, эта фраза имеет гораздо более широкое значение, чем кажется на первый взгляд. Никогда не забывайте, что, с точки зрения компьютера, администратором является любой процесс, работающий внутри контекста безопасности административного пользователя. Действительно ли хотел пользователь исполнить этот элемент кода, или он предназначен для причинения вреда, не имеет значения.
Седьмой закон: Зашифрованные данные защищены настолько, насколько защищен ключ дешифрования.
Шифрование слишком часто рассматривается как панацея для многих проблем безопасности. Истина, однако, заключается в том, что хотя шифрование является ценным средством в мире безопасности, оно никогда не сможет решить основную часть распространенных проблем само по себе.
Восьмой закон. Устаревшая программа поиска вирусов лишь немногим лучше отсутствия программы поиска вирусов.
Вирусы — это довольно старомодная технология по сравнению со всеми прочими вредоносными вещами, с которыми приходиться иметь дело сегодня.
Девятый закон. Абсолютная анонимность непрактична как в реальной жизни, так и в сети.
Огромный объем информации о нас либо выдается нами намеренно, либо может быть получен из одного лишь взаимодействия с нами.
Десятый закон. Технологии — не панацея.
Десятый закон всеобъемлющ. Он означает, что нет никакой большой синей кнопки «защитить меня сейчас»… или, по крайней мере, она не работает. Одни лишь технологии не могут смягчить наши проблемы безопасности.
Объяснение включает утверждение, что если повысить затратность и сложность атак против технологий безопасности, то злоумышленники ответят на это переносом внимания с технологий на пользователя.
|