В чем разница между аутентификацией и авторизацией?

Аутентификация устанавливает, кто является стороной (проверка личности, например, с помощью пароля или ключа). Авторизация определяет, что разрешено делать аутентифицированной стороне (ее разрешения). Система должна выполнять обе функции: подтверждать личность, а затем обеспечивать права доступа.

Достаточно ли сильной криптографии для защиты системы?

Нет. Криптография необходима, но недостаточна. Большинство реальных взломов используют слабые пароли, неправильную конфигурацию, необновленное программное обеспечение, фишинг или плохое управление ключами, а не взлом самой криптографии, поэтому безопасное проектирование и операции имеют такое же значение, как и алгоритмы.

Безопасность систем и сетей

Безопасность систем и сетей применяет криптографические и инженерные методы для защиты компьютеров, сетей и передаваемых между ними данных от перехвата, подделки, выдачи себя за другое лицо и несанкционированного доступа.

Найти тему в PaperMindСкороFind papers & topics

Tools & resources

Скачать слайды

Learn & explore

ВидеоСкоро

Definition

Безопасность систем и сетей — это дисциплина защиты конфиденциальности, целостности и доступности компьютерных систем и соединяющих их сетей путем сочетания криптографии, контроля доступа и методов безопасного проектирования.

Scope

Эта область охватывает практическую защиту развернутой инфраструктуры: обеспечение безопасности сетевой связи, аутентификацию пользователей и машин, контроль доступа, распределение доверия через инфраструктуру открытых ключей и создание защищенных каналов, таких как TLS. Она рассматривает, как криптографические примитивы объединяются в реальные протоколы и как принципы безопасности (наименьшие привилегии, глубокая защита) определяют проектирование систем. Она исключает разработку базовых криптографических примитивов и анализ уязвимостей на уровне программного обеспечения, которые рассматриваются в смежных областях.

Sub-topics

Core questions

Как данные защищаются при передаче по недоверенным сетям?
Как надежно аутентифицируются пользователи и машины, и как контролируется их доступ?
Как устанавливается и управляется доверие к открытым ключам в масштабе?
Какие принципы безопасности определяют проектирование надежных систем?
Как балансируются конфиденциальность, целостность и доступность с удобством использования и производительностью?

Key concepts

конфиденциальность, целостность, доступность
наименьшие привилегии
глубокая защита
аутентификация и авторизация
контроль доступа
инфраструктура открытых ключей
защищенные каналы (TLS)
моделирование угроз
сетевой периметр и сегментация

Key theories

Принципы проектирования Зальцера и Шредера: Классические принципы проектирования безопасных систем — наименьшие привилегии, отказоустойчивые настройки по умолчанию, экономия механизмов, полная посредническая функция, открытый дизайн, разделение привилегий — остаются основой инженерии безопасности.
Триада ЦРУ и глубокая защита: Цели безопасности формулируются как конфиденциальность, целостность и доступность; надежные системы накладывают несколько независимых элементов управления (глубокая защита), чтобы отказ одного механизма не скомпрометировал всю систему.

Clinical relevance

Безопасность систем и сетей обеспечивает работоспособность интернета: TLS защищает веб-трафик и трафик API, VPN и IPsec обеспечивают безопасный удаленный доступ, центры сертификации и PKI позволяют машинам незнакомых пользователей доверять друг другу, а системы контроля доступа защищают все — от облачных консолей до больничных записей. Сбои в этой области приводят к утечкам данных, инцидентам с программами-вымогателями и компрометациям цепочек поставок, которые доминируют в новостях о безопасности.

Evidence & guidelines

Практика формируется на основе фреймворков и стандартов: NIST Cybersecurity Framework и серия SP 800, ISO/IEC 27001, базы знаний OWASP и MITRE ATT&CK, а также RFC протоколов. Архитектуры нулевого доверия (NIST SP 800-207) все чаще заменяют модели, основанные только на периметре, а регуляторные режимы (GDPR, HIPAA, PCI-DSS) налагают требования безопасности на конкретные секторы.

History

Сетевая безопасность развивалась вместе с самим интернетом: червь Морриса (1988) продемонстрировал системную уязвимость, брандмауэры и системы обнаружения вторжений появились в 1990-х годах, а SSL/TLS (с 1995 года) обеспечили безопасность сети. Принципы Зальцера и Шредера 1975 года до сих пор являются основой этой области. По мере того как периметры размывались с развитием облачных и мобильных вычислений, дисциплина сместилась в сторону моделей, ориентированных на идентификацию и нулевое доверие.

Key figures

Roger Needham
Ross Anderson
Jerome Saltzer
Michael Schroeder
Whitfield Diffie

Seminal works

anderson2020
saltzer1975
stallings2017

Frequently asked questions

В чем разница между аутентификацией и авторизацией?: Аутентификация устанавливает, кто является стороной (проверка личности, например, с помощью пароля или ключа). Авторизация определяет, что разрешено делать аутентифицированной стороне (ее разрешения). Система должна выполнять обе функции: подтверждать личность, а затем обеспечивать права доступа.
Достаточно ли сильной криптографии для защиты системы?: Нет. Криптография необходима, но недостаточна. Большинство реальных взломов используют слабые пароли, неправильную конфигурацию, необновленное программное обеспечение, фишинг или плохое управление ключами, а не взлом самой криптографии, поэтому безопасное проектирование и операции имеют такое же значение, как и алгоритмы.