Задать вопрос
  • Как развиваться в области ИБ?

    Deerenaros
    @Deerenaros
    Программист, математик, задрот и даже чуть инженер
    Ну ладно, парни. Давайте не будем обижать новичка.

    Ок. Смотри, расклад прост. Есть три ветви ИБ: две как прикладные и одна как теоретическая:

    Начнём с прикладных. Здесь в ИБ "делиться" на две части: собственно, обеспечение безопасности и её тестирование.
    Первое, это скорее сисадминство и best practice, когда всё до тебя расписано, только следуй указанием. На мой взгляд - самое бесполезное занятие, ибо никакого творчества не требуется. Конечно, можно заняться обеспечением комплексной безопасности под ключ, но это интересно только тем, что появляется слишком много нюансов. Ну и да, стоит мониторить новости на предмет утечек аля heartbleed.
    Второе же куда интереснее - дяди сделали крутую защиту, всякие динамические байт-коды и эволюционные системы (генетика и все дела), здесь намного больше творчества, потому что обычно тестируешь систему сделанную по best practice, а задача - именно сломать, а не сказать "всё хорошо". Ведь если сломал, значит одной уязвимостью меньше, а если нет, то волновая функция так и не сколлапсирует. Но ко всему прочему, здесь потребуется реверс-инжениринг, так что дизассемблер и тонкие настройки компиляторов-линкеров-компоновщиков гарантированы, равно как и намного более подробное понимание работы компьютера. Впрочем, тем не менее здесь что-то вроде good practice: есть куча вполне рабочих техник и придумать что-то новое вряд ли возможно. А обнаружение чего-то стоящего обычно простая удача, а не что-то выдающееся.

    Ок. Есть ещё теоретическая. Это in reseach область, полная матана и никому непонятных вещей, таки да. Здесь есть довольно новая теория, которая до сих пор ходит по грани. Самое перспективное направление - дискретка и теория чисел оказались крайне неподготовленными к переходу в цифровую эру. Повезло хотя бы, что функция эйлера не подкачала, но в любом случае, здесь точно есть чем заняться: совсем недавно французы неплохо упростили сложность декодирования общих линейных кодов, а тут ещё из первых рук сообщаю - вполне возможно появился первый субэкспоненциальный алгоритм (а это на, на минутку, McEliece), который между прочим наступает на пятки уже P ?= NP. Впрочем, криптология на самом деле скучна. Невероятно скучна. На практике делать нечего, трон будет поделён между двумя-тремя командами, а остальные что? Так и останутся не удел, проверяя и перепроверяя результаты коллег. Ну и сама криптография с криптоанализом тоже самое противостояние с теми же самыми practice. Конечно, здесь намного больше возможностей что-то открыть, совершенно новое. Вот месяц назад обсуждали abc-гипотезу и что возможно, если она таки верна. Конечно, ни к чему не пришли, но было очень интересно. Но одно ясно - теория она и в Африке теория, на практике применяется невероятно мало. Разве только тот же самый субэкспоненциальный алгоритм, если оправдает ожидания, вполне юзабелен для помехоустойчивого кодирования за счёт намного большей эффективности "случайного" линейного кода. Хотя, там на самом деле много интересных вещей, рекомендую хотя бы посмотреть в сторону не столько хардового ИБ, сколько в теорию информации в целом. А криптография?.. Да ну ей, криптографию. Разве только тот факт, что в теории она на грани совсем чуть-чуть печалит иногда, а потом узнаёшь, что на практике современные квантовые компьютеры не такие уж и квантовые, да и кубит всё равно не хватит, чтобы разложить хотя бы 1кбит число на сомножители.
    Ответ написан
    Комментировать
  • Есть ли какие-то требования к паролю по закону о персональных данных?

    В соответствии с требованиями ст.19 ФЗ "О персональных данных" Правительство выпустило Постановление №1119, в котором в зависимости от объема обрабатываемых данных определяется требуемый уровень защиты (цифра от 1 до 4).

    ФСТЭК РФ в соответствии с ФЗ и ПП-1119 выпустило 2 приказа : для гос.учреждений - Приказ №17, для коммерческих учреждений - Приказ №21, в которых указывается какие меры защиты должны быть внедрены, и если это принципиально, то их характеристики. Парольная защита указана для всех 4 уровней защищенности, однако, параметры этой парольной защиты не указаны. Таким образом по факту они могут быть выбраны Вами любыми, если Вы в случае проверки докажете невозможности их взлома полным перебором за время его (пароля) жизни (иначе это будет противоречить тому же Приказу №21).

    Дальше Вы должны отталкиваться от скорости перебора и вычислять по ней требуемую информационную емкость (энтропию) пароля. Явных требований к набору символов энтропия не задает, но увеличивая наборы, Вы фактически позволяете сделать пароль короче (при той же информационной емкости). И очень советую внедрять в системе таймаут (например, 2 минуты) после 5-10 неверных попыток подбора пароля. Иначе требуемая минимальтная длина у Вас выйдет просто нереальная для запоминания рядовому пользователю.
    Ответ написан
    Комментировать
  • Школьная программа по физике в одной книге

    Не могу сказать, в кратце ли, но мне в свое время нравился справочник Кабардина: описаны все разделы физики, изучаемые в школе, и хорошо, на мой взгляд.
    Ответ написан
    Комментировать