ACCESS Control.

ACCESS Control

Domain Objectives • Provide definitions and key concepts • Identify access control categories and types • Discuss access control threats • Review system access control measures

Domain Objectives • Review data access control measures • Understand intrusion detection and intrusion prevention systems • Understand access control assurance methods

Information Security TRIAD
Availability Integrity Confidentiality

Domain Agenda • Definitions and Key Concepts • Access Control Categories and Type • Access Control Threats • Access to System • Access to Data • Intrusion Prevention Systems (IPS) & Intrusion Detection Systems (IDS) • Access Control Assurance

Basic Requirements • Security ระบบมีความปลอดภัย • Reliability ระบบมีความน่าเชื่อถือ • Transparency ระบบมีความสะดวกใช้เช่น SSO • Scalability ระบบมีการรองรับการขยาย

Key Concepts Separation of Duties มีการแบ่งแยกการทำงาน
• Least Privilege ใช้สิทธิให้น้อยที่สุด • Need-to-know รู้เท่าที่ควรรู้เท่านั้น • Information Classification การแบ่งประเภทของ information เช่น chmod

Information Classification Procedures
• Scope ประเภทของความลับ • Process กระบวนการ • Responsibility การรับผิดชอบ • Declassification การเปลี่ยนแปลงสิทธิ เช่นการเปิดซองจดหมาย • Marking and Labeling มีการทำเครื่องหมาย • Assurance การประกันคุณภาพ

Access Control Categories
• Preventive การป้องกันการเข้าถึงข้อมูล • Detective การดักจับ • Corrective การทำให้ถูกต้อง • Directive การทำการคำสั่งเช่น การสั่งให้ login • Deterrent มีมาตรการลงโทษ • Recovery การกู้คืนข้อมูล • Compensating ค่าตอบแทน

Access Control Types • Administrative เชิงบริหาร • Technical (Logical) เชิงเทคนิค • Physical ทางด้านกายภาพ

Access Control Examples

Access Control Threats
• Denial of Service หยุดให้บริการของระบบ • Buffer Overflow ทำให้ buffer ล้น • Mobile Code • Malware (Malicious Software) • Password Crackers • Spoofing/Masquerading แปลง Mac Address • Sniffers ไม่ต้อง install เครื่องที่เป้าหมายก่อน • Eavesdroppers การดักจับข้อมูล

• Emanations การแพร่กระจายของคลื่น • Shoulder Surfing การมองข้าม • Tapping เช่นการต่อ tel แบบขนาน • Object Reuse เช่น restore recycle bin • Data Remanence ข้อมูลที่หลงเหลือ gabage • Unauthorized Data Mining • Dumpster Diving • Back Door/Trap Door

• Theft ขโมย • Intruders ผู้บุกรุก • Social Engineering

System Access Control • Identification เช่น รหัส ชื่อ สกุล • Authentication การตรวจสอบในระบบ • Authorization การมีสิทธิในการทำงานในระบบ • Accountability ความรับผิดชอบต่อระบบ

Identification • Methods กระบวนการที่ได้มาของการควบคุม • Guidelines

Authentication Methods
• Knowledge (Something you know) • Ownership (Something you have) • Characteristics (Something you are)

Authentication by Knowledge
• Password • Passphrase

Authentication by Ownership
• Tokens (One-time Passwords) • Smartcards • Memory Cards

Smart Cards • Contact Smart Cards • Card body • Chip • Contacts • Contactless Smart Cards • Antenna

Authentication by Characteristic
• Biometrics • Physiological Biometrics • Behavioral Biometrics • Characteristics • Accuracy • Acceptability • Reaction time

Static Biometric Types
• Fingerprint/Palm Print • Hand Geometry • Retina Scan • Iris Scan

Dynamic Biometric Types
• Voice Pattern • Facial Recognition • Keystroke Dynamics • Signature Dynamics

ACCESS Control.

งานนำเสนอที่คล้ายกัน

งานนำเสนอเรื่อง: "ACCESS Control."— ใบสำเนางานนำเสนอ:

งานนำเสนอที่คล้ายกัน

เรื่องโครงการ

การติดต่อกลับ

เข้าสู่ระบบ

ลงทะเบียนผ่านเครือข่ายสังคม:

ACCESS Control.

งานนำเสนอที่คล้ายกัน

งานนำเสนอเรื่อง: "ACCESS Control."— ใบสำเนางานนำเสนอ:

งานนำเสนอที่คล้ายกัน

เรื่องโครงการ

การติดต่อกลับ