-
saját kulcs (private
key) A rejtett kulcs egy összeillő kulcspárban -a saját és a publikus
kulcs- amelyek biztosítják a nyílt kulcsú kódolást.
-
sebezhetőség
(vulnerability) [1] Security gyenge pontjai
egy TOE-nak (target of evaluation). (pl.: helytelen elemzésből, tervezésből,
implementációból vagy működtetésből származó). [2] Egy információs
rendszernek vagy komponenseinek gyenge pontjai(pl.: rendszer security,
eljárások, hardware design vagy belső vezérlők), amelyeket fel lehet használni
valamely információ károsításában. [3] A gyenge pontjai a következőknek:
rendszer security, rendszer design, implementáció, belső vezérlők stb.,
amelyeket fel lehet használni a rendszer securityjének megkerülésére.
-
sebezhetőség
behatárolása (vulnerability assessment) [1]
Egy TOE (target of evaluation) hatékonyság-vizsgálati szempontja, azaz
annak megállapítása, hogy az ismert hibák gyakorlatban mennyire árthatnak
a securitynek. [2] A sebezhetőség mértéke, amelybe beletartozik
az is, hogy mennyire hajlamos egy konkrét rendszer egy izonyos betörésre
illetve, hogy milyen lehetőségei vannak veszélyes közegnek a betörés fokozására.
-
sebezhetőség
vizsgálat (vulnerability analysis) A rendszerek
szisztematikus kiértékelése, abból a célból, hogy megállapítsák mennyire
tesz eleget a security szabályoknak, milyen hiányosságok lelhetőek fel
a securityben és mennyire hatékony a tervezett security rendszer.
-
secret key
Lásd titkos kulcs.
-
secret
key cryptography (titkos kulcsú kódolás) Kódolás egy kulcsra alapozva.
Ugyanazt a titkos kulcsot használja kódolás és dekódolás alkalmával is.
(Szimmetrikus kódolás) Az üzenetet egy titkos kulccsal és egy titkos kulcsú
algoritmussal kódolják, mint például Skipjack, DES (Data Encryption Standard),
RC2 (Rivest Cipher 2), RC4 (Rivest Cipher 4).
-
secure
configuration management (biztonsági beállítások managmentje) Azon
eljárások halmaza, melyek képesek arra, hogy irányítsák egy rendszer hardware
és software struktúrájának változását annak érdekében, hogy biztosítsák,
hogy ez ne okozhasson sérülést a rendszer biztonsági felépítésében.
-
secure
state (biztonsági állapot) Az az állapot, melyben senki sem érhet el
egyetlen dolgot sem számára jogosulatlan módszerrel.
-
secure
subsystem (biztonsági alrendszer) Egy olyan alrendszer, mely tartalmazza
az általa irányított erőforrások dokumentált felügyelő feladatát is. De
a ~-nek függenie kell a más kontroloktól és az alap operációsrendszertől,
hogy irányítsa feladatát és a jóval egyszerűbb rendszer célokat.
-
security (biztonság)
[1] A bizalom, a sértetlenség és a lehetőségek kombinációja. [2]
Kontrolálatlan veszteségek és hatások elleni védelem állapota illetve ennek
minősége. Megj: Abszolút biztonságot tulajdonképpen lehetetlen elérni;
azaz a biztonság relatív fogalom. A biztonsági rendszerek állapota értelmében,
~ egy különleges állapot, amit meg kell őrizni a különböző működési feltételek
mellett is.
-
security
architecture (biztonsági felépítés) A számítógép felépítésének azon
része, amely a számítógép, vagy hálózat biztonságáért felel.
-
securirty audit trail
Azon jegyzőkönyvek, melyek biztosítják a dokumentált bizonyítékokat,
hogy segítse az eredeti tranzakció követését előre, a kapcsolatos jegyzőkönyvekhez
és jelentésekhez, illetve visszafele, a jegyzőkönyvektől és jelentésektől
az eredeti tranzakcióhoz.
-
security-critical
mechanisms (biztonságilag kritikus mechanizmusok) Azok a biztonsági
mechanizmusok, amelyeknek a helyes működése nélkülözhetetlen a biztonsági
előírások betartatásához.
-
security
enforcing (Biztonság végráhajtása) Az ami közvetlen hozzájárul egy
eljárás biztonsági feladatainak érvényre juttatásához.
-
security
evalution (biztonsági értékelés) Értékelés annak érdekében, hogy felbecsüljék
egy rendszer veszélyeztetett információk biztonságának biztosításának megbízhatóságát.
Az egyik típus, a termék értékelés, a hardware és software tulajdonságainak,
valamint a számítógép magbízhatóságának értékelése a felhasználási körülmények
szempontjából. A másik típus, a rendszer értékelése azért készül, hogy
felbecsüljék egy rendszer biztonságtechnikáját egy speciális feladat szempontjából.
Ez egy nagy lépés az azonosítás és akkreditáció eljárás folyamán is.
-
security
fault analysis (biztonsági hiba analízis) Biztonsági analízis, általában
hardwareen - processzor szinten, annak eldöntésére, hogy meghatározzák
a biztonsági tulajdonságokat hardware hiba esetén.
-
security
flaw (biztonsági rés) Olyan megbízási, mulasztási hiba, mely a védelmi
rendszerek megkerüléséhez vezethetnek.
-
security
flaw analysis (biztonsági rés analízise) Biztonsági analízis egy formális
rendszer specifikációján, mely meghatározza a információ lehetséges továbbítását
a rendszeren belül.
-
security
kernel (biztonsági mag) Egy megbízható számító központ hardware, firmware
és software részei, melyek megvalósítják a dokumentált felügyeletet. Minden
hozzáférést közvetítenie, a módosítások elleni védelmet biztosítani kell,
valamint ellenőrizhetően helyesnek kell lennie.
-
security
level (biztonsági szint) A hierarchikus osztályozás és nem-hierarchikus
kategorizálások kombinációja, amely az információ érzékenységét jellemzi.
-
security
objectives (biztonsági célok) Biztonsági eredmény, amit szeretnénk,
hogy egy rendszer vagy termék elérjen.
-
security
policy (Biztonsági előírások) [1] Szabályok és eljárások halmaza az
információ használatnak szabályzására, beleértve annak feldolgozását, tárolását,
módosítását és bemutatását. [2] Azon törvények, szabályok és utasítások
halmaza, amely megmondja, hogy egy szervezet hogyan kezeli, használja és
módosítja a bizalmas információt.
-
security
policy model (biztonsági előírási modell) [1] Egy formális bemutatása
annak, hogy a rendszer hogyan tartja/tartatja be a biztonságtechnikát.
Meg kell határoznia azokat a törvényeket és utasításokat, amelyek, megmondja,
hogy egy rendszer hogyan kezeli, használja és módosítja a bizalmas információkat.
[2] Egy nem hivatalos bemutatása a formális biztonságtechnikai előírásoknak.
Megj: Ez az eredeti definíció a US Trustedd Computer System Evaluation
Criteria-ból.
-
security
range (biztonsági hatáskör) Egy rendszerben, rendszer komponensben,
alrendszerben vagy hálózatban megengedett legmagasabb és legalacsonyabb
biztonsági szint.
-
security relevant
Az aminek működnie kell hogy betartassák a biztonságot, de nem tartozik
közvetlen a biztonságtechnika érvényesítéséhez.
-
security-relevant
event Bármilyen esemény, amely megkísérli megváltoztatni egy
rendszer biztonsági állapotát (például: hozzáférhetőséget, egy felhasználó
jogosultságait, felhasználó jelszavát). Valamint bármilyen más esemény,
ami megpróbálja megsérteni a biztonságtechnikai előírásokat (például: túl
sok log-in próbálkozás, egy eszköz megengedett hozzáférésének megsértése,
egy állomány privigéliumának megváltoztatása, stb.)
-
security
target (biztonsági cél) A kiértékelés célja a biztonsági elvárások
meghatározása, ami később a kiértékelés alapját szolgálja. A ~ specifikálja
a biztonságtechnika kivitelezését. Szintén meghatározza a biztonsági feladatokat,
a használt objektumok és bármilyen más speciális biztonsági mechanizmusok
veszélyeztetettségét.
-
security
test and evaluation (biztonsági tesztelés és értékelés) Egy rendszer
biztonságtechnikai vizsgálata, analízise, az őt alkalmazott környezetben,
hogy meghatározzák a biztonsági beállításokat.
-
security
testing (biztonsági tesztelés) Annak az eljárása, hogy meghatározzák,
hogy egy rendszert úgy valósítottak meg, hogy biztonsági tulajdonságai
megegyeznek tervezettel és megfelelnek a tervezett működési környezetnek.
Ezek az eljárások tartalmazzák a kívülről irányított tesztet, egy betôrési
tesztet és ellenőrzést.
-
sensitive
information (veszélyeztetett információ) [1] Olyan, független hatalom
által meghatározott információ, melynek jogosulatlan hozzáférése, módosítása,
vesztesége, megsemmisülése súlyos veszteségeket okozhat valakinek vagy
valaminek. [2] Bármilyen információ, aminek vesztesége, helytelen
használata, módosítása vagy jogosulatlan hozzáférése a nemzeti érdekeket
vagy a szövetségi programok irányítását befolyásolhatja, vagy az Amerikai
törvények 5. cikkej 552a részében foglaltaknak megfelelően. Azonban még
pontosan meg egyetlen kormányrendelet vagy Kongresszusi törvény sem tér
ki a nemzeti biztonságra vagy külpolitikai ügyekre.
-
SEVMS Security Enhanced VMS, egy
felturbósított VMS, amivel elérhető a B2-es biztonsági osztály. Bővebb
infó: http://www.openvms.digital.com/openvms/products/sevms/index.htm.
-
site
certification (helyi azonosítás) A minden részletre kiterjedő átvizsgálása
egy IT (Information Technology) rendszer technikai és nem technikai biztonsági
funkcióinak a működési környezetében, hogy meghatározzák annak a mértékét,
hogy a rendszer mennyire felel meg speciális biztonsági elvárásoknak, egy
rendszer azonosításánál.
-
Skipjack Egy osztályozott 64-bites
blokk kódoló, titkos kulcsú kódoló algoritmus. Az algoritmus 80-bites kulcsot
használ (a DES 56-biteset) és 32-szeres iterációval rendelkezik (DES: 16).
A Skipjack a DES minden működési lehetőségét támogatja. A ~ nagy sebességű
kódolást valósít meg kulcsot biztosító chip-be implementálva.
-
smart card Intelligens kártya.
Egy apró, önnáló áramforrassal nem rendelkező számítógép. Biztonságtechnikai
szempontból azonosításra kiválóan alkalmas. Lásd: http://valerie.inf.elte.hu/speci/smartcard/lexikon.htm.
-
software security
Olyan alkalmazások, programok vagy rutinok, amelyek a rendszer által kezelt
adatok védelmét biztosítják.
-
star properity (* properity
- csillag tulajdonság) A Bell
- LaPadula biztonság modell szabálya, amely csak akkor engedélyez írási
jogosultságot az egyednek egy objektumhoz, ha az egyed jogosultsága nagyobb
vagy egyenlő az objektum jogosultságával. Közismert neve ennek a tulajdonságnak:
„bezárás” tulajdonság (confinement property).
-
spoofing Lásd pózolás.
-
stand-alone,
osztott rendszer (stand-alone, shared system) Olyan rendszer, amely
fizikailag és műszakilag is izolált az összes többi rendszertől. Több felhasználó
használhatja egyidejűleg (több terminálos rendszer) vagy sorban egymás
után hozzáférve. Az egyes felhasználók adatai hozzáférhetőek
maradnak a rendszer számára, mialatt egy adott felhasználó használja a
rendszert. (pl.: PC amiben nem hordozható háttértár (is) van, mint például
egy merev lemez)
-
stand-alone,
egy felhasználós rendszer (stand-alone, single-user system) Olyan rendszer,
amely fizikailag és műszakilag is izolált az összes többi rendszertől.
Egyidejűleg csak egy felhasználó férhet a rendszerhez, és a felhasználók
adatai nem lesznek hozzáférhetőek más felhasználók számára. (pl.: PC amelyben
(csak) hordozható háttértár van, mint például egy floppy )
-
subject Lásd egyed.
-
subject security
level Lásd egyed
biztonsági szintje.
-
suitability
of functionality Lásd működőképesség.
-
süket duma betörési
módszer Álltalában működő igen egyszerű hackelési módszer. Az emberi
hibák kihasználásán alapul /fúú de tudományos ;) /.
Kellékek: Szükség van a célintézmény informatikai
oszályának telefonszámára, és egy ártatlan női hangra. Akció:
Az ártatlan női hang betelefonál az informatikai osztályra, hogy: XY
nagyfőnök titkárnője vagyok, és éppen egy sürgős levelet kéne megnéznem,
de a gép azt irja ki: "incorrect password", most mit tegyek ? Az estek
90%-ában megvan a szükséges jogokkal rendelkező jelszó. A módszernek fantáziától
függően egyéb változatai is léteznek
-
system integrity Lásd
rendszer integritás.
-
system security policy
Lásd rendszer
security elv.
-
szobatársak kivédése
Használati utasítás, szobatársak kivédésére (azonkívül, hogy véresre vered).
1. A BIOS-ban állíts be a jelszót.
2. A BIOS-ban a boot-olási sorrend legyen "C,A".
3. A BIOS-ban az "Enable floppy seek at boot" -ot kapcsold
ki.
4. A /etc/lilo.conf első soraiba írd be, hogy: restricted,
password=hellobello.
5. Ne azt, hogy hellobello, te marha, hanem valami mást.
6. Futtasd a /sbin/lilo programot.
Persze ha a gyereknek már volt root jelszava, akkor lehet
hogy backdoor-t rakott fel, ha paranoiás
vagy, installáld újra az egészet. Vagy keress megbízható(an lámer) szobatársat...
:-)