Wyniki 1-5 spośród 5 dla zapytania: authorDesc:"ANNA FELKNER"

Model kontroli dostępu opartej na rolach i jego rozszerzenie

Czytaj za darmo! »

Kontrola dostępu jest ważnym wymogiem w systemach informatycznych. Dostęp do danych, czy to w formie elektronicznej, czy papierowej musi być odpowiednio chroniony. Ochronę zapewniamy przez zastosowanie systemów kontroli dostępu. Jest to logiczna lub fizyczna kontrola zaprojektowana, aby chronić przed nieautoryzowanym wejściem do systemu lub przed jego użyciem. Kontrola dostępu obejmuje nadzó[...]

PRZEGLĄD I ANALIZA ŹRÓDEŁ INFORMACJI O PODATNOŚCIACH REVIEW AND ANALYSIS OF SOURCES OF INFORMATION ABOUT VULNERABILITIES DOI:10.15199/59.2016.8-9.37


  Niniejszy artykuł przedstawia wynik przegla ˛du i analizy z´ródeł informacji o podatnos´ciach. W pracy przedstawiono z´ródła podaja˛ce informacje o róz˙nym oprogramowaniu, nie analizowano z´ródeł podaja˛cych informacje o podatno´sciach tylko dla jednego rodzaju oprogramowania. Przeprowadzono szczegółowa˛ analize˛ wszystkich uz˙ytecznych ´zródeł w celu wyodr˛ebnienia jednego ´zródła (i ewentualnych kilku dodatkowych) dostarczaja˛cego jak najwie˛kszy zakres wiedzy o podatno´sciach, jak równie˙z najwi˛ekszy zakres wyste˛puja˛cych podatnos´ci. Abstract: This work shows the result of review and analysis of sources of information about vulnerabilities. The paper presents sources which gives information about different types of software. A detailed analysis of all sources was conducted. The main purpose of this article is to find one source (or few sources) with the biggest amount of useful data connected with vulnerabilities. Słowa kluczowe: analiza ´zródeł, bazy podatno´sci, podatno´s´c systemu Keywords: analysis of sources, vulnerability database, vulnerability of the system 1. WSTE˛P W ramach prac wybrano ogólnodost˛epne bazy podatno ´sci systemów teleinformatycznych i przeanalizowano informacje z tych ´zródeł. Na podstawie analizy ´zródeł została przeprowadzona wst˛epna selekcja, która wyeliminowała ´zródła z ró˙znych przyczyn (problemy z jasnos ´cia˛ komunikatów, niewielka aktywnos´c´ w dodawaniu nowych podatno´sci, brak podstawowych informacji, problemy z dost˛epem do podstawowych informacji). Niestety w trakcie zbierania danych do analizy podatno´sci niektóre serwisy przestały działa´c lub przestały udost˛epnia´c informacje (np. OSVDB [1]). Po wyeliminowaniu wy˙zej wymienionych ´zródeł, przetestowano poni˙zsze: — Symantec [2] — CVE (Common Vulnerabilities and Exposures) [3] — Dragonsoft [4] — NVD (National Vulnerability Database) [5] — SecurityFocus [6] — Security Tracker [7] R[...]

PRAKTYCZNE ZASTOSOWANIE JĘZYKÓW ZARZĄDZANIA ZAUFANIEM DOI:10.15199/59.2015.8-9.58


  Tematem pracy jest język zarządzania zaufaniem, który pochodzi z rodziny języków Role-based Trust management (RT). Zarządzanie zaufaniem jest formą rozproszonej kontroli dostępu, a języki z rodziny RT są najbardziej dostosowane do użycia zarządzania zaufaniem w rzeczywistych systemach. Artykuł ten ma za zadanie pokazanie rozszerzonych możliwości języka RT (ograniczenia czasowe, porządkowanie poświadczeń), które umożliwią mu zastosowanie w praktycznych systemach w prosty sposób, mimo złożoności tych systemów. 1. WSTĘP We współczesnym świecie niezbędne jest zapewnienie pełnej ochrony posiadanym zasobom, zarówno materialnym, jak i niematerialnym. W celu ochrony zasobów przed nieautoryzowanym dostępem należy opracować i zastosować odpowiednie polityki bezpieczeństwa, których istotną częścią jest kontrola dostępu. Niniejszy artykuł jest poświęcony kwestii bezpieczeństwa rozproszonych systemów informatycznych, w tym zwłaszcza ważnemu problemowi kontroli dostępu do zasobów i usług systemu. Kontrola dostępu polega na logicznej lub fizycznej weryfikacji uprawnień (mechanizmie weryfikacyjnym) zaprojektowanej (zaplanowanej) w celu ochrony przed nieautoryzowanym wejściem do systemu lub przed jego użyciem, a także na zagwarantowaniu, że osoby uprawnione uzyskają dostęp. Kontrola dostępu obejmuje sprawowanie nadzoru nad tym, którzy uczestnicy (osoby, procesy, maszyny, itd.) i w jakim czasie mają dostęp do poszczególnych zasobów systemu komputerowego, na czym ten dostęp polega, w jaki sposób korzystają ze wspólnych danych, itp. Jest to kluczowy składnik każdego rozwiązania związanego z bezpieczeństwem systemu, którego zadaniem jest zapewnienie, że zasób jest używany przez odpowiednich odbiorców w uprawniony sposób, w odpowiednim miejscu i czasie. W dalszej części pracy opisana jest koncepcja zarządzania zaufaniem w rozdziale 2. Rozdział 3 poświęcony jest przedstawieniu rodziny języków Rolebased Trust management wraz z ich składnią[...]

Rozproszona kontrola dost˛epu w praktyce DOI:10.15199/48.2016.02.46

Czytaj za darmo! »

Tematem pracy jest rodzina je˛zyków zarza˛dzania zaufaniem (Role-based Trust management), która słuz˙y do reprezentacji polityk bezpiecze´nstwa i po´swiadcze´n w zdecentralizowanych, rozproszonych systemach kontroli dost˛epu do zasobów i usług. Artykuł pokazuje, jak wprowadzone rozszerzenia (ograniczenia czasowe pos´wiadczen´ , pos´wiadczenia warunkowe i ustalanie porza˛dku) moga˛ wpłyna˛c´ na zwie˛kszenie stosowalnos´ci takiego rozwia˛zania w politykach bezpieczen´stwa. Abstract. The topic of this paper is the family of Role-based Trust management languages (RT) which is used for representing security policies and credentials in decentralized, distributed, large scale access control systems. The goal of this paper is to explore the potential of RT languages. It shows how security policies can be made more realistic by including timing information, maintaining the procedure or parameterizing the validity of credentials. (Distributed access control in practice) Słowa kluczowe: polityka bezpieczen´stwa, kontrola doste˛pu, zarza˛dzanie zaufaniem, pos´wiadczenia Keywords: security policy, access control, trust management, credentials Wst˛ep Zasoby poufne, zarówno materialne jak i niematerialne, oferowane przez systemy komputerowe w sektorach rza˛- dowych, wojskowych, jak równie˙z handlowych i przemysłowych, potrzebuja˛ szczególnej ochrony. Co za tym idzie powinny by´c one udost˛epniane tylko autoryzowanym u˙zytkownikom. W celu ochrony zasobów przed nieautoryzowanym dost˛epem nale˙zy opracowa´c i zastosowa´c odpowiednie polityki bezpieczen´stwa, których istotna˛ cze˛s´cia˛ jest kontrola dost˛epu. Niniejszy artykuł jest po´swi˛econy kwestii bezpiecze ´nstwa, a w szczególno´sci problemowi kontroli dost˛epu do zasobów i usług systemu. Kontrola dost˛epu polega na logicznej lub fizycznej weryfikacji uprawnie´n zaprojektowanej w celu ochrony przed nieautoryzowanym wej´sciem do systemu lub przed jego u˙zyciem, jak równie˙z na zagwarantowaniu, ˙[...]

PRZEGLĄD I ANALIZA ŹRÓDEŁ INFORMACJI O POPRAWKACH BEZPIECZEŃSTWA DOI:10.15199/59.2017.8-9.59


  Artykuł [1] pokazuje szeroki zakres źródeł informacji o podatnościach, nie analizując jednakże źródeł informacji o poprawkach i aktualizacjach, stworzonych w celu wyeliminowania podatności. Nie analizowano także źródeł podających informacje o podatnościach tylko dla jednego rodzaju oprogramowania. Celem było wyodrębnienie jednego źródła, które będzie w stanie dostarczyć jak najszerszy zakres wiedzy o istniejących podatnościach. Jednakże, gdybyśmy chcieli użyć powyższych informacji w rzeczywistym systemie, co jest celem naszych dalszych działań, okazałoby się, że zakres dostarczanych przez to źródło informacji nie jest wystarczający. Ostatnie nasze badania pokazują, że konieczne jest pozyskiwanie danych z wielu dodatkowych źródeł w celu skutecznego wdrożenia mechanizmów zarządzania oprogramowaniem w kontekście cyberbezpieczeństwa. Istnieje zatem potrzeba korzystania również ze źródeł dostarczanych bezpośrednio przez twórców oprogramowania, jak również niezależnych analityków bezpieczeństwa. Warto podkreślić, że od czasu analizy opisanej w przywoływanym artykule, w wielu analizowanych źródłach zaszły istotne zmiany lub rozszerzenia, co z jednej strony odzwierciedla dynamiczny charakter tych źródeł, jak i całej problematyki nadzoru nad podatnościami, a z drugiej strony wymusza przeprowadzenie ponownej ich analizy w stosunku do niektórych obszarów. W niniejszym artykule dokonano bardziej szczegółowej analizy w celu wskazania źródeł tych informacji, które mogłyby okazać się przydatne dla kompleksowego systemu zarządzania podatnościami. Pomimo, że możliwe jest wyszukanie w Internecie wielu danych w stosunku do konkretnej podatności, czy poprawki bezpieczeństwa, to konieczne jest dokonanie tego przez analityka, a co więcej, nie jest to osiągalne w przypadku każdej podatności. Wobec tego, zaprezentowane przez autorów podejście zakłada analizę tych źródeł, które umożliwiają pozyskiwanie informacji w sposób automatyczny, to znaczy[...]

 Strona 1