Archive for the ‘News’ Category

h1

Information Classification Process.

Listopad 5, 2006

Proces klasyfikacja informacji o którym będę dziś pisał jest jednym z kluczowych. Po co klasyfikować ? Odpowiedź jest prosta, bo nie wszystko jest „równie ważne”. Są takie dane które są bardziej wartościowe dla firmy a są takie które są mniej co wcale nie oznacza że nie mają żadnej wartości. Myślę że to jest logiczne więc o tym czy i po co rozpisywać się nie będę. Dla zachęty dodam może coś o tych profitach z klasyfikowania danych.

  • Pokazuje oddanie firmy zagadnieniom bezpieczeństwa danych.
  • Pozwala wskazać które dane są najbardziej wartościowe dla firmy. Które są najwrażliwsze, które najbardziej cenne w dla zachowania poufności i integralności danych o których wspominałem w którymś z wcześniejszych tekstów.
  • Pomaga ustalić do jakich danych zastosować jaką politykę bezpieczeństwa.
  • No i klasyfikacja może się przydać w kwestiach legalnych/prawnych.

Classification Terms czyli pojęcia związane z klasyfikacją.

  • Unclassified (niesklasyfikowane) – dane o nieokreślonej wartości, których upublicznienie nie naruszy przyjętych zasad poufności.
  • Sensitive but Unclassified (wrażliwe lecz nie sklasyfikowane, w skrócie SBU) – dane które mogą być uznane za poufne ale ich upublicznienie nie sprawiłoby większych szkód.
  • Confidential (poufne) – informacje które są z założenia poufne. Nieautoryzowany dostęp do nich mógłby spowodować zagrożenie dla bezpieczeństwa kraju (np). Ten poziom znajduje się między dokumentami oznaczonymi SBU a tymi z etykietką „Secret”.
  • Secret (tajne) – Tajne informacje. Nieautoryzowany dostęp mógłby spowodować poważne zagrożenie dla bezpieczeństwa kraju.
  • Top Secret (ściśle tajne) – najwyższy poziom klasyfikacji dla informacji ( w stanach tylko prezydent ma prawa do tego poziomu ).

no ale to by było odnośnie bardziej takich hmmm formal spraw… a co z sektorem prywatnym ? Tutaj klasyfikacja wygląda odrobinkę inaczej :

  • Public – tak jak poziom „unclassified” w poprzednim listingu poziomów.
  • Sensitive – te dane są „troszku” bardziej ważne i zabezpieczone przed nieautoryzowanym dostępem.
  • Private – dane które mogą mieć skutek dla firm i jej pracowników, dane poufne. Np lista płac, badań pracowników to dane klasy „private”.
  • Confidential – wyłącznie do wewnętrznego użytku firmy. Nieautoryzowany wgląd na nie mógłby bardzo zagrozić firmie i negatywnie wpłynąć na jej wizerunek.

Ok to teraz jak już wiemy jak się dzielą musimy się dowiedzieć jak przydzielić jakieś informacje konkretnym grupkom…

Kryteria klasyfikacji :

  • Value (wartość) – najważniejszy z kryteriów dla klasyfikacji dancyh w sektorze prywatnym. Jeśli informacja jest wartościowa musi zostać sklasyfikowana.
  • Age (wiek) – klasyfikacja informacjimoże być obniżona jeśli wartość jej maleje z czasem. W departamencie obrony ( Department of Defense) pewne sklasyfikowane dane po określonym czasie zostają zdeklasyfikowane.
  • Useful Life (czas użyteczności) – jeśli informacja stała się przeterminowana z powodu nowych informacji, zmian w firmie lub innych powodów może zostać zdeklasyfikowana.
  • Personal Association (powiązania personalne) – jeśli informacja jest powiązana z pewnymi indywidualnymi osobami bądź jest chroniona prawami właności może wymagać klasyfikacji.

No to już coś nieco wiemy, nadeszła więc pora na działania. Wiadomym jest że przy tak ważnym i kluczowym zadaniu jak klasyfikacja informacji nie możemy sobie pozwolić na „odwalenie roboty”. Aby więc wszystko poszło sprawnie i dokładnie musimy wykonać kilka konkretnych kroków :

  1. Identyfikacja Administratora/Opiekuna informacji.
  2. Ustalenie kryteriów klasyfikacji i etykietowania informacji.
  3. Klasyfikacja danych przez właściciela,
  4. Ustalenie i udokumentowanie wszystkich wyjątków od polityki klasyfikowania danych. (hmmm z tego co zrozumialem to ta polityka ktora powstaje w punkcie drugim).
  5. Ustalenie kontrolek które będą zastosowane do każdego poziomu klasyfikacji.
  6. Ustalenie procedur przedawnienia dla deklasyfikacji informacji bądź przekazania opieki nad informacją innej jednostce.
  7. Stworzenie programu „wiarygodności” dla przedsiębiorstwa odnośnie kontroli klasyfikacji.

no i ok, 03:04 na zegarku… chwilowo kończę, jutro opiszę jeszcze informacje o dystrybucji danych i podziału na Właściciela, Opiekuna i Użytkownika (w odniesieniu do danych rzecz jasna :] )…

Reklamy
h1

spam… sko…

Listopad 4, 2006

drabikspam.jpg

jakby kto nie wiedzial, adrabik – Pani Pro-Rektor…

zadanie z zajęć z Warstwy Aplikacji odnoszące się do poczty zakończone :)

h1

SKO ciąg dalszy…

Listopad 3, 2006

Ok przy pomocy Przemka udało mi się w końcu rozszerzyć mojego klienta o wczytywanie danych z pliku (ktorego nazwa jest pobierana przez argument).

No więc po kolei, mieliśmy uruchamiać klienta w którym jednym z parametrów jest nazwa pliku. U mnie wygląda to tak :
dist>java -jar UDPClient.jar dane.txt
teraz mam miejsce na wpisanie danych które zostaną przesłane… szczerze powiedziawszy mimo tych

  • [count] – ilosc wysłanych pakietów
  • [interval] – czas co jaki wysyłany jest kolejny pakiet od momentu przyjścia ostatniej odpowiedzi
  • [preload] – ilość pakietów, jakie moga byc wysłane bez odpowiedzi
  • [pattern] – zawartość (wzór) wysyłanego pakietu
  • [packetsize] – rozmiar wysyłanego pakiet

wciąż nie wiem jak ma wyglądać pakiet…

no w każdym bądź razie, jak wygląda wczytanie pliku ? (może dla Was to banał ale ja się z tym męczyłęm… no i męczyłem Przemka ^_- ).

Dodałem dwie zmienne, dla portu i adresu IP.
class UDPClient {
//zmienna dla adres ip hosta
public String ipek="";
//zmienna dla portu hosta
public int porcisko=0;
(......)
}

Teraz te zmienne wczytuje z pliku linia po linii :
ipek = in.readLine();
porcisko = Integer.parseInt(in.readLine());

Jak może pamiętacie z poprzednich newsów informacje o porcie znajdowały się w miejscu gdzie tworzyliśmy pakiet „sendPacket”. Tam też umieszczamy zmienną „porcisko”.
DatagramPacket sendPacket =
new DatagramPacket(sendData,
sendData.length, //dlugosc danych
IPAddress, //adres IP serwera
porcisko); //numer portu wczytany ze zmiennej

zapewne zastanowicie się co więc robi tam IPAddress… a no zmienną ipeka wcisnąłem gdzieś wcześniej :)
InetAddress IPAddress = InetAddress.getByName(ipek);
no i dalej to juz takie układanie kodu. No w każdym razie narazie mi działa, teraz się zastanawiam nad tym jakie konkretnie dane mamy przesyłać do hosta docelowego… no ale zobaczymy…
idę spać…

h1

Security Management Concepts

Listopad 2, 2006

The C. I. A. triad…
Confidentiality, Integrity, and Availability… czyli wielkie drzewko zarządzania bezpieczeństwem.
Poufność. W bezpieczeństwie informacji pojęcie poufności związane jest z próbą zapobiegania zamierzonego lub nieumyślnego nieuatoryzowanego ujawnienia ważnych dla nas danych. Strata poufności może się wydarzyć na wiele sposobów takich jak umyślne opublikowanie prywatnych informacji firmy lub admin dupa i sami wiemy jak jest :)
Integralność. Co zapewnia nam integralność w bezpieczeństwie firmy ? :

  • Modyfikacje do poufnych danych nie są dokonywane przez nieautoryzowany personel lub „proces”
  • Nieautoryzowane modyfikacje do poufnych danych nie są dokonywane przez autoryzowany personel lub „proces”
  • Dane są wewnętrznie i zewnętrznie zgodne, i.e.

Dostępność. W bezpieczeństwie informacji pojęcie „dostępności” gwarantuje że systemy pracują i są dostępne wtedy gdy są potrzebne.

odwrotnością CIA jest DAD czyli disclosure, alteration, and destruction…. proste i logiczne :)

Pozostałe ważne pojęcia :

  • Identyfikacja (identification) – sposób w jaki użytkownik przedstawia dowód na swoją tożsamość systemowi.
  • Autentykacja(authentication) – sposób w jaki system sprawdza dowód tożsamości użytkownika. Ustalenie tożsamości użytkownika i potwierdzenie lub nie czy jest tym za kogo się podaje.
  • Accountability – umiejętność systemu do indywidualnego obsługiwania pojedynczego usera. Audyt logów umozliwia przejzenie konkretnych userów.
  • Autoryzacja (authorization) – Prawa i zezwolenia nadane pojedynczym ludziom (procesom), które dają dostęp do zasobów komputera. Po autentykacji tożsamości, poziom autoryzacji ustala jakie prawa zostaną nadane.
  • Prywatność (privacy) – poziom poufności i prywatności dany użytkownikowi w systemie.


Oglądaliście film „The Hackers” ? Sure you did. Pamiętacie scenę w knajpie kiedy rozmawiają o Red Book, Green Book, Black Book itd ? A wiecie ze takie knigi naprawdę istnieją ? (tj nie do końca pamiętam jak je nazwali w filmie ale pomyślałem że się z Wami podzielę tym co wiem o tym jak jest in real life :P bo wiecie…to był tylko film… they’re not real…well… that’s what they’ve told me…ups…)…

Książki zostały wydane w „Rainbow Series” przez Narodowy Ośrodek Bezpieczeństwa Komputerowego USA (NCSC- National Computer Security Center).

  • Orange BookTrusted Computer System Evaluation Criteria (TCSEC). Dokument w którym NCSC zdefiniowało siedem poziomów bezpieczeństwa komputerowego systemu operacyjnego. Każdy z poziomów wyżej zawiera ten poniżej. Wymienie je poniżej (za jakiś czas chwilowo mi się nie chce :] )
  • Red BookTrusted Networking Interpretation. Zawiera informacje odnośnie oceny bezpieczeństwa sieci.
  • Green Book – (znalazłem kilka wersji tej…) – jak i w jaki sposob i jakie używać hasełka :)

Orange Book :

  • D1Minimal Protection – zero :P tj bezpieczeństwo na poziomie ujemnym… totalny brak bezpieczeństwa..
  • C1Discretionary Protection – najniższy poziom bezpieczeństwa. Mamy tu uprawnienia read/write, autoryzacje. Brak logowania przebiegu pracy usera.
  • C2Controlled Access Protection -Dodana opcja logowania (w sensie prowadzenia dziennika zdarzeń w systemie ) i zapewniona silniejsza ochrona tych ważniejszych danych.
  • B1 – wprowadzone kilka poziomów bezpieczeństwa (tajne tajniejsze :P ).
  • B2Labeled Security Protection – wprowadzenie etykietek określających prawa do pliku w odniesieniu do aktualnie przyjętej polityki bezpieczeństwa. Etykietki mogą się zmieniać dynamicznie w zależności od tego jakie zasoby będą w danej chwili używane.
  • B3 – dodatkowe skupienie na bezpieczeństwie sprzętu.
  • A1Verified Design – Najwyższy poziom . Wszystko tu musi być zapięte na ostatni guziczek (potwierdzone matematycznie wręcz).

ps. przypominam że każdy poziom zawiera wszystkie niższe… tj kiedy patrzysz na A1 bierzesz pod uwagę że w sieci/firmie zostały już wzięte pod uwagę poprzednie podpunkty…

cdn…

h1

2 artykuły Agnieszki.

Październik 22, 2006

Agnieszka sprezentowała mi już 2 arty. Do przeczytania na blogu projektu http://FTGB.wordpress.com w dziale pliki.

h1

Opis projektu – For the good beginning.

Październik 21, 2006

W zakładce „Projects” dodałem opis pierwszego z projektów. http://FTGB.wordpress.com < blog projektu.
Co więcej ? Rozmyślam nad wyborem topa…. może dam go Wam do wyboru ?

h1

Startujemy :)

Październik 19, 2006

No więc blog rusza. Co na nim będzie ? Zaraz się okaże.. Właśnie kończe kategorie.

Zmieniłem więc top :) dodałem kilka kategorii i poza tym wsystko jak dawniej (czyta jak przed dwoma godzinami :] ).

muszę jeszcze dodać kategorie do projektów.