Gå til indholdet

03 - Security Policies / Confidentiality Policies

Noter til dagens tekst

Resumé af 'Security Policies' (Bishop kap. 4)

  • Sikkerhedspolitikker kan enten være antydet ved en fælles forståelse i organisationen eller uformelle politikker defineret ved en fælles tolkning i organisationen.
  • Tillid er basis for alle politikker og håndhævelsesmekanismer. Man antager at politikker og principper overholdes og man gør antagelser om at software og hardware fungere sikkert (efter forskrifterne).
  • Ved at forstå de underliggende antagelser og tilliden involveret i et system øges forståelsen af sikkerheden i systemet.

Resumé af 'Confidentiality Policies' (Bishop kap. 5)

Bell-LaPadula modellen gennemsyrer alle fortrolighedspolitikker. Bell-LaPadula modellen siger kort "Read down; no read up. Write up; no write down". Dette pricip, skulle gerne sikre at folk (eller processer) med lavere godkendelsesniveau ikke opnår indsigt i informationer på et højere godkendelsesniveau.

Andre teoretikere (eks. McLean1 [pp. 164]) har sået tvivl om aspekter i Bell-LaPadula modellen, men uanset hvad er den stadig grundlaget for størstedelen af alle fortrolighedspolitikker. Tvivlen har blot givet anledning til at man har opdaget kompleksiteten ved virkelige systemer (i modsætning til teoretiske).

Bell-LaPadula explained

Yderligere ressourcer

Noter fra undervisningen (slides)

Skal have styr på (til eksamen):

Policies:

  • AUP: Acceptable Use Policies. Hvad må man / må man ikke på netværket.

  • MANRS: Mutual Acceptable Norms for Routing Security - Manerer for acceptabel opførsel for internetoperatører.

  1. McLean siger at "givet nogle usikre antagelser kan man med Bell-LaPadulas Theorem bevise et usikkert systems er sikkert" [parafrasering]. Igen, det hele handler om man kan stole på sine antagelser.