ИНТЕРНЕТ МАГАЗИН: КНИГИ, электронные книги, на английском языке, софт — купить, заказать почтой, опт недорого, отзывы, форумы и общение друзей

ОГЛАВЛЕНИЕ

ПРЕДИСЛОВИЕ 3

ВВЕДЕНИЕ 6

1. СТАНДАРТИЗАЦИЯ И МОДЕЛЬНОЕ ПРЕДСТАВЛЕНИЕ ОТКРЫТЫХ ИНФОРМАЦИОННЫХ СИСТЕМ 11
1.1. Основные элементы технологии открытых информационных систем 12
1.1.1. Основные понятия и определения 12
1.1.2. Концепция открытых систем 16
1.1.3. Роль стандартов в технологии открытых систем. Основные группы стандартов и организации по стандартизации 18
1.2. Совместимость открытых систем 24
1.2.1. Переносимость и способность к взаимодействию 24
1.2.2. Базовая модель информационной системы 26
1.2.3. Системный подход к описанию функциональности на базе модельного представления информационных систем 28
1.2.4. Расширение базовой модели информационной системы для взаимодействующих систем 30
1.3. Переносимость 33
1.3.1. Способы реализации переносимости 34
1.3.2. Классификация сервисов платформы приложений по критериям переносимости 36
1.4. Способность к взаимодействию 43
1.4.1. Способы реализации способности к взаимодействию 43
1.4.2. Классификация сервисов платформы приложений по критериям способности к взаимодействию 51
1.5. Основные модели открытых систем 60
1.5.1. Модель OSI 61
1.5.2. Модель POSIX 64

2. ИНТРАНЕТ КАК ОТКРЫТАЯ СИСТЕМА 68
2.1. Понятие интранета 68
2.1.1. Структура интранета 74
2.1.2. Эталонная модель интранета 77
2.1.3. Этапы создания интранета 82
2.1.4. Виды интранета 101
2.1.5. Стандарты создания интранета 102
2.2. Интранет как часть среды открытых систем 104
2.3. Интранет и экстранет 111
2.4. Портал и интранет 112
2.4.1. Классификация порталов 117
2.4.2. Логическая структура и компоненты 120
2.4.3. Схема портала 123
2.4.4. Базовые сервисы портала 124

3. УЯЗВИМОСТЬ ОТКРЫТЫХ СИСТЕМ НА ПРИМЕРЕ ИНТРАНЕТА 129
3.1. Основные понятия 129
3.2. Угрозы ресурсам интранета и причины их реализации 137
3.3. Уязвимость архитектуры клиент-сервер 147
3.3.1. Конфигурация системы 155
3.3.2. Уязвимость операционных систем 157
3.3.3. Уязвимость серверов 168
3.3.4. Уязвимость рабочих станций 187
3.3.5. Уязвимость каналов связи 191
3.4. Слабости системных утилит, команд и сетевых сервисов 211
3.4.1. Telnet 212
3.4.2. FTP 213
3.4.3. NFS 218
3.4.4. DNS 220
3.4.5. NIS 224
3.4.6. World Wide Web 225
3.4.7. Команды удаленного выполнения 236
3.4.8. Sendmail и электронная почта 239
3.4.9. Другие утилиты 244
3.5. Слабости современных технологий программирования 246
3.6. Ошибки в программном обеспечении 255
3.7. Сетевые вирусы 272

4. АТАКИ НА ОТКРЫТЫЕ СИСТЕМЫ 280
4.1. Удаленные атаки на открытые системы 280
4.1.1. Анализ сетевого трафика 286
4.1.2. Подмена доверенного объекта или субъекта 293
4.1.3. Ложный объект 294
4.1.4. "Отказ в обслуживании" 295
4.1.5. Удаленный контроль над станцией в сети 311
4.2. Типичные сценарии и уровни атак 319
4.2.1. Этапы реализации атак 320
4.2.2. Уровни атак 329
4.3. Классические и современные методы, используемые нападающими для проникновения в открытые системы 331
4.3.1. Перехват данных и обнаружение прослушивающих приложений 353
4.3.2. Мониторинг в графических интерфейсах 355
4.3.3. Подмена системных утилит 357
4.3.4. Атаки с использованием сетевых протоколов 358
4.3.5. Примеры некоторых атак 381

5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ОТКРЫТЫХ СИСТЕМАХ 385
5.1. Четырехуровневая модель открытой системы 385
5.2. Специфика защиты ресурсов открытых систем на примере интранета 387
5.3. Выбор сетевой топологии интранета при подключении к другим внешним сетям 392
5.3.1. Физическая изоляция 394
5.3.2. Изоляция протокола 395
5.3.3. Выделенные каналы и маршрутизаторы 397
5.4. Принципы создания защищенных средств связи объектов в открытых системах 397
5.4.1. Стандарт ISO 7498-2 397
5.4.2. Стандарт ISO 17799 405
5.4.3. Стандарт ISO 15408 407
5.4.4. Требования к защищенным каналам связи в открытых системах 408
5.5. Политика безопасности для открытых систем 411
5.5.1. Определение политики безопасности 411
5.5.2. Причины выработки политики безопасности 412
5.5.3. Основные требования к политике безопасности 414
5.5.4. Этапы выработки политики безопасности 417
5.5.5. Содержание политики безопасности 418
5.5.6. Реализация политики безопасности 422
5.5.7. Аудит за проведением политики безопасности 424
5.6. Сервисы безопасности 424
5.6.1. Идентификация/аутентификация 425
5.6.2. Разграничение доступа 427
5.6.3. Протоколирование и аудит 429
5.6.4. Экранирование 430
5.6.5. Туннелирование 431
5.6.6. Шифрование 432
5.6.7. Контроль целостности 432
5.6.8. Контроль защищенности 434
5.6.9. Обнаружение отказов и оперативное восстановление 436
5.6.10. Управление 437
5.7. Средства обеспечения информационной безопасности
в открытых системах 438
5.8. Создание комплексной системы обеспечения безопасности
открытых систем 444
5.9. Управление безопасностью открытых систем 452
5.10. Организационно-правовые методы защиты открытых систем 458
5.11. Некоторые рекомендации по обеспечению информационной
безопасности открытых систем 463
5.11.1. Что делать в случае взлома системы 463
5.11.2. Как проследить за работой пользователей 468
5.11.3. Краткие рекомендации администраторам информационной
безопасности 471

Приложение 1. СРЕДСТВА ИНТРАНЕТА 474

Приложение 2. СРЕДСТВА СОЗДАНИЯ ПОРТАЛОВ 482

Приложение 3. ПЕРЕЧЕНЬ СТАНДАРТОВ ISO ПО ЗАЩИТЕ ИНФОРМАЦИИ В ОТКРЫТЫХ СИСТЕМАХ 487

Приложение 4. ПРИМЕРЫ ПОЛИТИК БЕЗОПАСНОСТИ 492
П-4.1. Политика использования ресурсов интранета 492
П-4.2. Политика в отношении паролей 495
П-4.3. Политика шифрования 498
П-4.4. Антивирусная политика 499
П-4.5. Политика оценки рисков 500
П-4.6. Политика аудита 501
П-4.7. Политика для пограничных маршрутизаторов 502
П-4.8. Политика удаленного доступа 502
П-4.9. Политика построения виртуальных частных сетей 504
П-4.10. Политика для экстранета 505
П-4.11. Политика для оборудования пограничной
демилитаризованной зоны 507
П-4.12. Политика подключения подразделений к интранету 510
П-4.13. Политика подключения к интранету с применением модема 512
П-4.14. Политика для конфиденциальной информации 513
П-4.15. Политика для веб-сервера 515
П-4.16. Политика пересылки электронной почты 516
П-4.17. Политика хранения электронной почты 517
П-4.18. Политика для межсетевых экранов 518
П-4.19. Политика специального доступа 518
П-4.20. Политика подключения новых устройств в интранет 518

Приложение 5. ЗАРУБЕЖНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СЕТЯХ 519

Принятые сокращения 523

Список литературы 527

ПРЕДИСЛОВИЕ

Основой для написания учебника послужили многолетний опыт преподавания технологий защиты в открытых сетях и ранее изданные учебные пособия лично авторов и их коллег, подробные описания, сделанные разработчиками данных технологий и средств защиты, а также многочисленные отечественные и зарубежные публикации по рассматриваемой тематике.
В настоящее время специалистов-профессионалов по различным аспектам защиты информации готовит ряд вузов России. Обучение происходит на специализированных факультетах, ознакомительных курсах или на курсах повышения квалификации. Но все эти учебные заведения испытывают острую нехватку узкопрофильной учебно-методической литературы, что в первую очередь сказывается на качестве обучения. Данный учебник предлагается в качестве базового для обучающихся (студентов, аспирантов и повышающих квалификацию специалистов) по группе специальностей "Информационная безопасность" (ИБ). Объектом профессиональной деятельности таких обучающихся являются открытые информационные системы (ИС) и методы и средства обеспечения их ИБ.
Основная задача, которую призван решить данный учебник, – это представить обучающимся систематизированный подход к проблеме обеспечения ИБ в открытых ИС на примере интранета, ознакомить их с характерными признаками сетевых атак и развитием сценариев нападений, показать главные причины и угрозы ИБ базовых составляющих интранета, изложить основные концептуальные подходы к правильной организации их защиты, а также научить квалифицированно выбирать, применять и самостоятельно разрабатывать реализующие эти подходы средства защиты. Поскольку число атак на интранет неуклонно растет, а создать полностью защищенную информационную среду очень сложно, нужны специализированные средства, предназначенные для осуществления постоянного предотвращения любых несанкционированных действий из внешнего и внутреннего мира, контроля за использованием этой среды и воплощения в жизнь принятой организацией политики защиты ее информационных и сетевых ресурсов. Специалист в области ИБ должен владеть глубокими теоретическими знаниями и практическими навыками во всех этих перечисленных и других не менее важных областях. На сегодняшний день учебной литературы по данным вопросам, к сожалению, пока крайне мало. Также не известны авторам и работы, дающие рекомендации по созданию учебно-лабораторной базы для широкого изучения проблем обеспечения ИБ в сетях.
Важно подчеркнуть, что для приступающих к ознакомлению с учебником есть определенные требования по предварительной подготовке. Например, следует знать протоколы Интернета; сервисы Интернета; основные принципы ИБ; технологии и средства их реализации; сетевые операционные системы; базы данных; компьютерные вирусы; языки программирования.
Учебник состоит из двух частей. В первой части представлено введение, пять глав и пять приложений к ним, а также список литературы.
Во введении обоснована актуальность темы учебника.
В гл. 1 рассматриваются основные элементы технологии открытых ИС, для чего вводятся основные понятия и определения, описывается концепция открытых систем и определяется роль стандартов в технологии открытых систем, а также приводятся основные группы стандартов и организации по стандартизации. Далее обсуждается совместимость открытых систем, которая проявляется в свойствах переносимости и способности к взаимодействию. Представляются базовая модель ИС и ее расширение для взаимодействующих систем. Описывается системный подход к описанию функциональности на базе модельного представления ИС. Для свойств переносимости и способности к взаимодействию отдельно рассматриваются способы ее реализации и классификация сервисов платформы приложений по критериям переносимости. Также приводятся основные модели открытых систем: модель OSI и модель POSIX.
В гл. 2 интранет характеризуется как открытая система. Вводится понятие интранета, кратко указываются технологии создания интранета, рассматривается ее архитектура и описываются этапы создания. Более детально анализируются сетевая инфраструктура, информационное наполнение, приложения, система публикации, управление, функционирование, безопасность и персонал, сопровождающий работу интранета. После этого приводится эталонная модель интранета, состоящая из базовых механизмов и сервисов, системы управления и информационного наполнения. Обсуждаются вопросы стандартизации для интранета. Выделяются четыре вида интранета, дается определение экстранета и отдельно более детально рассматривается такой вид интранета, как порталы: приводится их классификация, логическая структура, компоненты, схема и сервисы. В конце главы особо отмечается специфика защиты ресурсов интранета.
Гл. 3 вводит понятийный аппарат, используемый при дальнейшем изложении, а именно определяются понятия угроз, уязвимостей, риска и атаки. Рассматриваются виды вторжений в открытые системы и типы нарушителей, совершающих их. Определяются виды организаций, сети которых наиболее уязвимы для атак злоумышленников. Подробно анализируются способствующие атакам причины, которые можно разделить на пять классов: уязвимость архитектуры клиент-сервер, слабости в системных утилитах, командах и сетевых сервисах, слабости в современных технологиях программирования; ошибки программного обеспечения (ПО) и распространяющиеся по открытым сетям сетевые вирусы. Отдельно описываются уязвимости рабочих станций и различных серверов (веб- и почтовых серверов, серверов систем управления базами данных, серверов систем электронного документооборота и т. п.), а также каналообразующего оборудования.
В гл. 4 подробно изучаются удаленные атаки на интранет, для чего определяются типовые атаки, такие, как анализ сетевого трафика, подмена доверенного объекта или субъекта, создание ложного объекта, атаки типа "отказ в обслуживании" и получение удаленного контроля над станцией в сети. Описываются некоторые типичные сценарии и этапы реализации атак и их уровни. После этого рассматриваются классические и современные методы взлома, используемые нападающими для проникновения в открытые системы. В качестве основных иллюстраций современных методов приведены перехват данных, мониторинг в графических интерфейсах, подмена системных утилит. Особое место занимают атаки с использованием сетевых протоколов – атаки на основе протокола ICMP, SYN-бомбардировка, спуффинг, ложный ARP-сервер и перехват сеансов (hijacking).
Четырехуровневая модель ИС, на примере которой показывается, какие вопросы обеспечения ИБ решаются и на каком уровне, приводится в гл. 5. Показывается специфика защиты ресурсов открытых систем на примере интранета. Большое внимание уделено политике информационной безопасности для интранета – вводится определение, обосновывается необходимость ее выработки, приводятся основные требования к ней, кратко описывается ее жизненный цикл и содержание. Рассматриваются этапы создания и управления интегрированной системой обеспечения ИБ открытых систем. Приводятся принципы создания защищенных средств связи объектов в открытых системах и виды их сетевых топологий. Анализируются архитектуры безопасности открытых систем и предоставляемые в них сервисы безопасности. Кратко освещаются организационно-правовые методы защиты открытых систем и даются некоторые рекомендации по обеспечению ИБ в интранете.
В приложениях приводится информация справочного характера: средства построения интранета и порталов, перечень стандартов по защите информации в открытых системах, примеры типовых политик безопасности для интранета, современные зарубежные средства обеспечения ИБ в сетях.
После изучения данного учебника обучающиеся будут владеть основами проектирования, администрирования и обеспечения ИБ в открытых системах на примере интранета, а именно:
- знать основы организации и функционирования открытых систем, их стандарты, протоколы и предоставляемые сервисы;
- иметь представление об основных тенденциях и закономерностях развития открытых систем и средств их реализации;
- уметь определять и устранять основные угрозы ИБ для открытых систем;
- уметь строить модель нарушителя ИБ для открытых систем;
- уметь выявлять и устранять уязвимости в основных компонентах открытых систем;
- знать об основных методах и средствах реализации удаленных сетевых атак на открытые системы;
- уметь обнаруживать, прерывать и предотвращать удаленные сетевые атаки по их характерным признакам;
- знать организационно-правовые и нормативные основы защиты информации в открытых системах;
- уметь разрабатывать политику ИБ для открытых систем;
- знать основы построения комплексной системы защиты для ресурсов открытых систем;
- уметь проектировать и реализовывать комплексную систему обеспечения ИБ открытых систем;
- иметь представление об основных тенденциях и закономерностях развития средств и методов защиты информации в открытых системах;
- уметь тестировать и на основе результатов тестирования делать обоснованный выбор средств защиты для открытых систем;
- уметь осуществлять мониторинг сетевой безопасности, администрировать открытые системы.
Последующие главы, публикуемые во второй части учебника, посвящены подробному рассмотрению таких конкретных средств обеспечения ИБ в открытых системах, как системы аутентификации, межсетевые экраны, криптографические средства защиты, виртуальные частные и локальные сети, средства анализа защищенности, системы обнаружения вторжений и т. п.
Авторы признательны коллегам по факультету информационной безопасности МИФИ, а также всем рецензентам.
Авторы, естественно, не претендуют на исчерпывающее изложение всех названных в работе аспектов проблемы обеспечения ИБ в открытых системах, поэтому с благодарностью внимательно изучат и учтут критические замечания и предложения читателей при дальнейшей работе над учебником.