- •Политика информационной безопасности
- •Когда необходимо иметь разработанные правила безопасности
- •Анализ данных защиты
- •1. Какие данные должны быть зарезервированы?
- •Права интеллектуальной собственности и политика безопасности
- •Физическая безопасность информационных ресурсов
- •Размещение компьютеров и монтаж оборудования
- •Средства управления доступом
- •Доступность системы
- •Телекоммуникации и удаленный доступ
- •Руководящие принципы эксплуатации оборудования
- •Административные обязанности
- •Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- •Модемы и прочие лазейки
- •Администрирование электронной почты .:
- •Вирусы, "черви" и "троянские кони"
- •Правила эксплуатации стороннего программного обеспечения
- •Шифрование
- •Управление криптографией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Соображения о генерировании ключей
- •Управление ключами
- •Этапы разработки программного обеспечения
- •Замена версий и управление конфигурацией
- •Эксплуатация криптографических систем и обработка зашифрованных данных
- •Виртуальная частная сеть (vpn).
- •Внутренняя сеть (intranet). Экстрасеть (extranet).
Эксплуатация криптографических систем и обработка зашифрованных данных
Помимо всех соображений, которые необходимо учесть при использовании криптографии, существует тенденция разработки отдельных правил, касающихся работы с зашифрованными данными. Однако, существует один аргумент, о котором нельзя забывать: предполагается, что правила являются инструкциями, а все специфические вопросы должны быть включены в рабочие процедуры.
Правила, определяющие, когда шифровать данные, лучше включить в процедуры. Целью разработки правил, регламентирующих работу в области криптографии, является предоставление некоторых инструкций для разработки этих процедур. В одной из организаций, с которой сотрудничал автор книги, в ходе изучения данной проблемы было принято решение, что данные следует классифицировать на основе требований к их хранению или пересылке. После продолжительной дискуссии было принято решение, что вместо такой классификации в правилах будет лучше использовать классификацию данных по принципу: если они не используются, то лучше их удалить. Формулировка правил следующая.
Виртуальная частная сеть (vpn).
VPN (англ. Virtual Private Network — виртуальная частная сеть[1]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
Внутренняя сеть (intranet). Экстрасеть (extranet).
Intranet - это внутрикорпоративная локальная или территориально распределенная сеть, защищенная от несанкционированного доступа, основанная на Internet-технологиях. Intranet может использовать как локальные вычислительные сети и выделенные линии (физически закрытая сеть), так и различные комбинации локальных и территориальных сетей включая Интернет.
Extranet - это корпоративная сеть, использующая Internet-технологиях как для корпоративных целей, так и для предоставления части служебной информации клиентам, партнерам и другим лицам за пределами компании. Иногда ее понимают только как часть корпоративной сети, которая доступна для уполномоченных пользователей вне компании.
При создании Intranet/Extranet - систем приоритетными являются задачи безопасности и разграничения прав доступа к информации и сервисам. При этом компания имеет возможность размещать в системе закрытые корпоративные материалы и предоставлять пользователям доступ к сервисам, напрямую связанными с жизнедеятельностью компании.
Инфраструктура открытого ключа
Инфраструктура открытого ключа (PKI) является системой цифровых сертификатов, центров сертификации (ЦС) и других центров регистрации (ЦР), которая производит проверку и подтверждение подлинности каждой из сторон, участвующих в электронной операции, с помощью криптографии открытых ключей.
Дешифрование
Дешифрование - получение открытых данных по зашифрованным в условиях, когда алгоритм расшифрования и его секретные параметры не являются полностью известными и расшифрование не может быть выполнено обычным путем. Дешифрование шифротекстов является одной из задач криптоанализа.
Живучесть
Живучесть — способность технического устройства, сооружения, средства или системы выполнять основные свои функции, несмотря на полученные повреждения.
Например, под живучестью судна можно понимать его способность оставаться на плаву и не терять остойчивость в случае затопления одного или большего числа отсеков из-за полученного повреждения корпуса.
Живучесть системы городского электротранспорта определяется способностью не прерывать работу всей системы или значительного ее участка из-за планового ремонта, аварии, повреждения контактной сети и (или) рельсового пути. При возникающих затруднениях маршруты пускаются по обходным путям, укорачиваются за счет промежуточных разворотных колец или перенаправляются на запасную конечную станцию. Для троллейбусов также возможно применение систем автономного хода. В случаях, когда работа маршрута на участке невозможна в течение длительного времени (ремонт) - вводят временные маршруты электротранспорта и компенсирующие автобусные маршруты. В некоторых случаях, когда разветвленный участок соединен с основной сетью единственной линией (по мосту, например) - на этом участке стараются запроектировать собственное депо. При его отсутствии организуют временные площадки для ночного отстоя ПС. В случаях с трамваями, когда на заблокированном на длительный период участке нет разворотного кольца, применяют челноки - вагоны, сцепленные хвостами.
Инфраструктура открытого ключа
Инфраструктура открытого ключа (PKI) является системой цифровых сертификатов, центров сертификации (ЦС) и других центров регистрации (ЦР), которая производит проверку и подтверждение подлинности каждой из сторон, участвующих в электронной операции, с помощью криптографии открытых ключей.
Криптографические хэш-функции
Криптографические хэш-функции используются обычно для генерации дайджеста сообщения при создании цифровой подписи. Хэш-функции отображают сообщение в имеющее фиксированный размер хэш-значение (hash value) таким образом, что все множество возможных сообщений распределяется равномерно по множеству хэш-значений. При этом криптографическая хэш-функция делает это таким образом, что практически невозможно подогнать документ к заданному хэш-значению.
Криптографические хэш-функции обычно производят значения длиной в 128 и более бит. Это число значительно больше, чем количество сообщений, которые когда-либо будут существовать в мире.
Много хороших криптографических хэш-функций доступно бесплатно. Широко известные включают MD5 и SHA.
Общий шлюзовой интерфейс
Общий шлюзовой интерфейс - стандартный шлюзовой интерфейс, позволяющий веб-серверу запускать программы и передавать веб-браузеру их выходные данные в виде текстовой, графической или звуковой информации.
Преобразование сетевых адресов (NAT).
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.
Преобразование сетевых адресов (Network Address Translation - NAT) - это метод определения соответствия IP-адресов между разными адресными пространствами (например, между частной сетью intranet и общедоступной Internet). NAT позволяет хостам из intranet прозрачным образом обращаться к хостам в общедоступном пространстве, при этом для внутренних хостов не требуется наличия зарегистрированных (и наиболее дефицитных) сетевых Internet-адресов.
Протокол динамической конфигурации хоста (DHCP)
Протокол DHCP упрощает процедуры предоставления и управления подключениями компьютеров к сети TCP/IP. DHCP автоматически присваивает компьютерам и другим сетевым устройствам IP-адреса из пула доступных адресов.
Настроенный DHCP-сервер предоставляет базу данных доступных IP-адресов и может устанавливаться с учетом дополнительных настроек для клиентов, включая адреса DNS-серверов, шлюзов и другую информацию. Как правило, DHCP-серверы используются в крупных организациях и поставщиках услуг Интернета, т. к. они предусматривают свободное назначение и повторное применение IP-адресов.
PPP
[point-to-point protocol] протокол передачи от точки к точке, протокол двухточечного соединения (набор протоколов фреймирования и аутентификации, являющихся частью сервиса RAS системы Windows NT; связывает конфигурационные параметры многочисленных уровней модели OSI)
СЕТЕВАЯ ФАЙЛОВАЯ СИСТЕМА NFS (Network File System)
Стандартной сетевой файловой системой для UNIX'а является NFS. Любая Unix-машина умеет монтировать по протоколу NFS удаленные файловые системы и использовать их как свои собственные, а так же может выделять свои каталоги для других машин. Выглядит это примерно так:
mount -F nfs udalennaq.mashina:/katalog_tam /katalog
или, если у вас BSD или Linux
mount -o rsize=8192,wsize=8192 mashina:/katalog_tam /katalog
ls -al /katalog
Хотя NFS был когда-то разработан для Unix'а, имеется реализация NFS для MSDOS-овских PC. Эти пакеты принято называть сводным именем PC/NFS (Не путать с названием "PC-NFS" - это реализация PC/NFS от фирмы "Sun Select"). Т.е. PC'юк, на котором запущен NFS для PC, может монтировать в качестве сетевых дисков каталоги Unix'овской машины, которые она выделяет в NFS. - Фактически, PC/NFS дает для PC те же самые возможности, что и Netware - удаленный сетевой диск и удаленный сетевой принтер. Разница лишь в том, что Unix-host, помимо позволения NFS-ения себя, в состоянии заниматься и своими собственными задачами, а сервер Netware ничем кроме обслуживания своих клиентов, изображая для них диск с ethernet'ом, заниматься не приспособлен, но работает быстрее раза в 1.5-2. Ну и занимают NFS-ные резиденты порядка 100 Kb оперативной памяти, в то время как Netwar'ные - порядка 50.
Симметричное шифрование
Алгоритм шифрования, требующий для шифрования и расшифровки один и тот же секретный ключ. Благодаря своей скорости, симметричное шифрование обычно используется, когда отправителю необходимо зашифровать большое количество данных. Симметричное шифрование называется также шифрованием с применением секретных ключей.
Спуфинг
Спуфинг (Spofing) — вид сетевой атаки, заключающейся в подмене чего-либо.
Наиболее известен IP-спуфинг - подмена IP-адреса. Используется для обхода систем управления доступом на основе IP адресов, а также для набирающей сейчас обороты маскировки ложных сайтов под их легальных двойников или просто под законные бизнесы.
IP-спуфинг (от англ. spoof — мистификация) —
Вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности.
Метод, используемый в некоторых атаках. Состоит в проставлении в поле обратного (source) адреса IP-пакета неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями.
Протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения спуфинга — так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга. Гарантированным методом защиты от подмены IP-адреса является сопоставление MAC-адреса (Ethernet кадр) и IP-адреса (заголовок протокола IP) отправителя.
MAC-спуфинг (от англ. spoof — мистификация) — это метод изменения MAC-адреса сетевого устройства. Это метод позволяет обойти список контроля доступа к серверам, маршрутизаторам, скрыть компьютер, что может нарушить работоспособность сети.
ARP-spoofing — техника атаки в Ethernet сетях, позволяющая перехватывать трафик между хостами. Основана на использовании протокола ARP.
При использовании в распределённой ВС алгоритмов удалённого поиска существует возможность осуществления в такой сети типовой удалённой атаки «ложный объект РВС». Анализ безопасности протокола ARP показывает, что, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP-ответ, в котором объявить себя искомым хостом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного хоста, воздействуя на него по схеме «ложный объект РВС».