Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Закон'
2. Настоящим Законом не регулируются отношения, связанные с выдачей лицензий в рамках заключенного между физическими и (или) юридическими лицами лице...полностью>>
'Вопросы к экзамену'
Общие сведения о наиболее часто употребляемых психоактивных веществах и их влияние на жизнедеятельность человека (физическое, умственное, эмоциональн...полностью>>
'Документ'
Введение. Современной науке известны лишь две формы существования материи: вещество и поле. До настоящего времени человечество использовало энергию т...полностью>>
'Документ'
3.Проведение индивидуальных консультаций педагогов-предметников по итогам адаптации пятиклассников в среднем звене. (МР) Беседа «Как помочь учащимся ...полностью>>

Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ

Главная > Книга
Сохрани ссылку в одной из сетей:

IT Security: Risking the Corporation

Linda McCarthy

Линда Маккарти

IT-безопасность (Стоит ли рисковать корпорацией)

Посвяшение

Доктору Полу Глинну за то, что он раскрыл передо мной мир и научил считать единственными границами в жизни только пределы нашего мышления.

Линда

ББК 32. 973-018. 2

Маккарти Л.

IT-безопасность: стоит ли рисковать корпорацией?

Пер. с англ. - М.: КУДИЦ-ОБРАЗ, 2004. - 208 с.

Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи... И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.

Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.

ISBN 0-13-101112-Х

ISBN 5-9579-0013-3

Линда Маккарти

IT-безопасность: стоит ли рисковать корпорацией?

Учебно-справочное издание

Корректор М. П. Матекин

Перевод с англ. А. С. Казаков

Научные редакторы А. В. Закис, А. Г. Серго (гл, 11)

ООО "ИД КУДИЦ-ОБРАЗ"

119049, Москва, Ленинский пр-т., д. 4, стр. 1А. Тел.; 333-82-!!, ok@kudits. ru

Подписано в печать 10. 12. 2003.

Формат 70x100/16. Бум. офсетная. Печать офсетная.

Усл. печ. л. 16, 8. Тираж 3000. Заказ 777.

Отпечатано с готовых диапозитивов

в ООО «Типография ИПО профсоюзов Профиздат».

109044. Москва, Крутицкий вал, 18.

ISBN 0-13-101112-Х

ISBN 5-9579-0013-3 © ООО "ИД КУДИЦ-ОБРАЗ", 2004

Авторизованный перевод с англоязычного издания, озаглавленного IT Security: Risking the Corporation.

Iя Edition by MCCARTHY, LINDA, опубликованного Pearson Education, inc. под издательской маркой Prentice Hall PTR / Sun Microsystem Press, Copyright © 2003 by Pearson Education, Inc.

Ail rights reserved. No part of this book may be reproduced or transmitted in any forms or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Pearson Education inc,

Все права защищены Никакая часть этой книги не может воспроизводиться или распространяться в любой форме или любыми средствами, электронными или механическими, включая фотографирование, магнитную запись или информационно-поисковые системы хранения информации без разрешения от Pearson Education, inc.

Русское издание опубликовано издательством «КУДИЦ-ОБРАЗ», С 2004

Предисловие 6

Благодарности 8

Об авторе 8

Введение 9

Об этой книге 9

Как устроена эта книга 9

О хакерах 10

Глава 1 Отражение атак 10

Кошмар реагирования на инцидент 10

День 1-й: Неавторизованный доступ 11

День 2-й: Проблема решена 12

День 3-й: Защита взломана снова 12

Дни с 4-й по 7-й: Эскалация инцидента 12

День 8-й: Слишком поздно собирать улики 13

День 9-й: Кто был этим плохим парнем? 13

Резюме: Атаки изнутри 13

Мы пойдем другой дорогой... 14

Сосредоточиться на упреждающих мерах 14

Не думать, что такое не может случиться с ними 14

Знать, что началась атака 16

Готовиться к худшему 16

Разработать политику действий при вторжении в письменном виде 17

При необходимости нанять эксперта 17

Обучиться самому (или обеспечить обучение сотрудников) 17

Установить точку контакта 18

Понять цели и установить их приоритеты 18

Реагировать быстро и решительно 19

Завершающие действия 20

Контрольный список 20

Заключительные слова 21

Глава 2 Безопасность в стандартной поставке 22

проект OpenBSD 22

Безопасностью займемся позднее 23

День 1-й: Ложное чувство безопасности 23

Два года спустя: Замечена атака 23

+Две недели: Хакер возвращается 24

+Три недели: Усиление защиты 24

Продолжение саги: Сеть остается под угрозой 25

Резюме: Будете ли вы подключаться через такого провайдера? 26

Мы пойдем другой дорогой... 26

Знать, каким рискам вы подвергаетесь 27

Избегать стандартных установок систем 27

Протестировать вашу сеть 27

Изучить людей, которые знают вашу информацию 28

Предусмотреть или потребовать необходимое финансирование безопасности 28

Не экспортировать глобальные разрешения чтения/записи 29

Стереть старые учетные записи 29

Тестировать пароли 29

Сделать исправления программ (патчи), повышающие безопасность 30

Выполнять политики и процедуры 30

Использовать экспертов 30

Обучать использованию 30

Контрольный список 31

Заключительные слова 31

Глава 3 Поддержка со стороны руководства 31

Участие руководителей 32

День 1-й: Незащищенные системы 33

Год спустя: Неавторизованный доступ продолжается 34

Резюме: Займите активную позицию 37

Мы пойдем другой дорогой... 37

Правильно относиться к безопасности на любом уровне сотрудников 37

Не перекладывать работу на другие плечи 37

Уменьшать количество уровней руководства до минимума 38

Предоставлять отчеты вышестоящему руководству 38

Сделать безопасность общей целью 39

Учить или учиться самому сколько нужно 39

Обеспечить понимание вопросов безопасности всеми руководителями 41

Поддерживать прямую связь с руководством 41

Контрольный список 41

Заключительные слова 42

Глава 4 Сетевой доступ 42

Соединение с партнерами 43

День 1-й: Архитектура безопасности 43

Несколько недель спустя; Политика установки средств безопасности 44

На следующий день: Кто отвечает за безопасность 44

Еще через 29 дней: Хакер захватывает контроль 44

+ Один месяц: Незапланированное тестирование безопасности 44

Аудит, день 1-й: Схемы сети говорят о многом 45

Аудит, день 2-й: Ничем не подкрепленные политики 46

Последний день аудита: Кто несет ответственность за безопасность 47

Резюме: Не подпускать к себе конкурентов 48

Мы пойдем другой дорогой... 48

Использовать типовые архитектурные схемы 49

Отслеживать внешние подключения 49

Отвечать за свою территорию 50

Требовать утверждения внешних подключений 50

Следить за выполнением политики процедур 50

Выключать ненужные службы 50

Подчеркивать важность обучения 51

Проследить весь процесс настройки 51

Не подключать незащищенные системы к Интернету 51

Контрольный список 51

Заключительные слова 52

Глава 5 Обучение безопасности 52

Первый контакт: Тестирование безопасности 54

День 1-й: Сбор фактов 54

День 2-й: Тестирование систем 55

День 3-й: Обучение безопасности оставлено за рамками бюджета 56

Резюме: Обеспечьте финансирование обучения 58

Мы пойдем другой дорогой... 58

Просвещать высшее руководство 58

Отстаивать бюджет обучения безопасности 59

Включать вопросы безопасности в обязанности руководства 59

Делать обязательным обучение системных администраторов 59

Посещать семинары по безопасности 59

Организовывать деловые ланчи 60

Распространять информацию по безопасности 60

Присоединиться к спискам рассылки по вопросам безопасности 60

Выпускать «белые статьи»7 60

Писать в периодические издания 60

Превращать инструменты в продукты 60

Контрольный список 61

Заключительные слова 61

Глава 6 Безопасность вне плана 61

План перехода 62

День 1-й: Тестирование безопасности 63

Выяснение риска 64

Первая фаза: Физическая безопасность 64

Вторая фаза: Прохождение через систему физического контроля 64

Третья фаза: Неавторизованный доступ 65

День 2-й: Риск для персональной информации 66

Резюме: Тщательнее планируйте выполнение подрядных работ 67

Мы пойдем другой дорогой... 67

Оценить риски 67

Классифицировать системы 67

Запретить стандартные установки систем 68

Не быть слишком доверчивым 68

Извлекать уроки из прошлого 68

Выбирать цели при сокращении бюджета 68

Проводить тестирование безопасности 68

Сделать руководителей подотчетными 69

Не расплачиваться за других 69

Включать обучение в бюджет 69

Подсчитывать очки 69

Контрольный список 69

Заключительные слова 70

Глава 7 Поддержка безопасности 70

Кто отвечает за безопасность 71

День 1-й: Как выгоняли плохих парней 71

День 2-й: Администратор брандмауэра 72

Временная безопасность 72

Руководители и безопасность 73

Серьезное отношение к поддержке безопасности 74

Мой последний день: Отношение к работе может говорить о многом 74

Резюме: Не спрашивайте у сотрудников компании, отвечающих за безопасность, что они могут для вас сделать 75

Мы пойдем другой дорогой... 76

Определить роли и обязанности 76

Разработать политики и процедуры для брандмауэра 76

«Кормить» свой брандмауэр 76

Читать свои контрольные журналы 76

Использовать программы обнаружения взлома 76

Реагировать быстро! 77

Требовать подтверждений безопасности 77

Проводить аудиты 77

Углублять знания 78

Контрольный список 78

Заключительные слова 78

Глава 8 Безопасность внутренней сети 79

Незащищенная сеть 79

Начало событий: В обход корпоративной сети 80

День 1-й: Сбор доказательств 80

День 2-й: Системные администраторы против группы обеспечения безопасности 82

В чьих руках безопасность 82

Перекладывание ответственности 83

Резюме: Безопасность - жертва войны 83

Мы пойдем другой дорогой... 83

Разграничить обязанности по поддержке безопасности между группами 84

Не надеяться на чудо 84

Пересматривать процессы 84

Иногда - просто сдаться 85

Выполнять свои обязанности 85

Контрольный список 85

Заключительные слова 85

Глава 9 Безопасность аутсорсинга 86

Забыли о безопасности? 86

День 1-й: Осмотр средств обеспечения безопасности 87

День 2-й: Сетевые соединения 88

Поразительные ошибки в защите 88

Техническая поддержка при отсутствии обучения и опыта 89

Дни 3-й и 4-й: Понимает ли проблему руководство? 90

Резюме: Аутсорсинговые системы должны быть защищены 90

Мы пойдем другой дорогой... 91

Проводить оценку безопасности 91

Проводить ее правильно 91

Проводить ее регулярно 91

Решать обнаруженные вами проблемы 91

Не использовать ПОДХОД «ПЛЫВИ ИЛИ ТОНИ» 92

Контрольный список 92

Аутсорсинг 92

Процедуры проведения аудита 92

Заключительные слова 93

Глава 10 Незащищенная электронная почта 93

Есть ли у электронной почты конверт? 94

Доступ к персональной информации получен 94

Резюме: Вы имеете право отказаться от вашего права на тайну переписки 95

Мы пойдем другой дорогой... 96

Использовать шифрование! 96

Убедить компанию в необходимости шифрования 96

Предусмотреть в бюджете средства на шифрование 96

Отслеживать возникновение других угроз электронной почте 97

Заключительные слова 97

Глава 11 Оглядываясь назад: что будет дальше? 97

Риск для всей корпорации 98

Юридические обязанности по защите информации и сетей 99

Деловые инициативы и корпоративные цели 103

Угрозы требуют действий 104

Глава 12 Прогулка хакера по сети 105

Краткая характеристика хакеров 106

Реальные хакеры 106

Неуловимый хакер № 1: Рассерженный сотрудник 106

Неуловимый хакер № 2: Промышленный шпион 106

Неуловимый хакер № 3: Одинокий «социопат» 107

Неуловимый хакер № 4: «Хактивист» 107

О применяемых инструментах 107

Прогулка с хакером 107

Что делал хакер... 108

Заключение 118

Приложение А 119

Люди и продукты, о которых следует знать 119

Организации, связанные с обеспечением безопасности 119

Ресурсы по обеспечению безопасности 121

Архивы со сведениями об уязвимых местах 121

Популярные почтовые списки рассылки 121

Консультационные фирмы 122

Расследование компьютерных преступлений 122

Страхование информационных технологий 123

Программы, о которых вам нужно знать 123

Поставщики продуктов 126

Сокращения 133

Глоссарий 133

Предметный указатель 137

Предисловие

Поймите сразу - эта книга не похожа на большинство других купленных вами книг по вопросам безопасности. В ней вы не найдете мрачных подробностей о слабых местах в серверах и списки IP-портов, используемых для проникновения в них. Нет в ней также и листингов исходных кодов вирусных программ с комментариями. Автор не включил в книгу каталог скриптов для взлома и лист подписки на веб-сайты, откуда вы могли бы их «скачать». Здесь нет трагических (и повторяющихся) рассказов от первого лица о том, как легко одурачить людей, раскрывая их пароли. Так что если вы надеетесь, что все это есть в книге, то лучше отложить ее в сторону.

Но... я предупреждаю вас, что вы отказываетесь от книги, в которой обсуждаются реальные проблемы реальной безопасности и даются основательные и запоминающиеся уроки - некоторые из них я настоятельно рекомендую усвоить любому, кто работает с компьютерами.

Только подумайте - примерно в течение года после отправки этой книги в печать объем электронной коммерции в Интернете перевалил отметку в один триллион долларов в год. Коммерческого использования сетей практически не было до 1993 года, поэтому такие темпы роста являются невероятными. Но даже глядя на эти цифры, мы все равно не сможем себе представить, что это только начало, - ведь «подключена» сейчас только частичка населения планеты, и только частичка делового мира начала принимать участие в онлайновой коммерции по схеме «бизнес-бизнес». (. В2В, или B-to-B, - схема электронной коммерции, при которой предприятия и организации предоставляют товары и оказывают услуги друг другу. - Примеч. пер. )

Многие слышали о законе (Гордона) Мура, впервые сформулированном в 1965 году и предсказывавшем, что производительность процессоров будет удваиваться каждые 18 месяцев. Действительность подтвердила это предположение, и ожидается, что оно будет продолжать действовать, по меньшей мере, еще одно десятилетие. Подобный рост наблюдался и в использовании вторичной памяти, вследствие чего емкость онлайновых систем за последние несколько лет удваивалась приблизительно каждые 14 месяцев. Также был виден впечатляющий рост пропускной способности линий связи, вызванный непрерывным распространением оптоволоконных беспроводных технологий. Стоимость всех этих товаров широкого потребления (а они действительно таковыми стали) упала после того, как увеличился их общий объем.

Являясь как причиной, так и следствием роста инфраструктуры информационных технологий, критически важная информация размещается в сетях во все возрастающих объемах. Банки, брокерские фирмы, аудиторские и финансовые компании всех видов применяют для ведения своего бизнеса компьютеры и сети. Федеральное правительство и администрация штатов не могут работать без компьютеров. Критически важные инфраструктуры, включая энергетику и транспорт, зависят от датчиков и исполнительных механизмов, подключенных по сетевой схеме. Правоохранительные органы и вооруженные силы опираются на информационные технологии при хранении своей информации и технической поддержке выполнения своих задач. Документация учреждений здравоохранения, медицинская справочная система, системы врачебной диагностики все больше обрастают компьютерами. В онлайновую среду помещается также интеллектуальная собственность, которая приводит в движение огромные пласты нашей коммерции. Проекты чипов, новые программы, лекарственные формулы, сведения о разработке нефтяных месторождений, музыкальные и литературные произведения, кинофильмы и прочее - все это может быть украдено, изменено и уничтожено. Бесспорно, каждый коммерческий сектор имеет свой жизненно важный компонент в киберпространстве (или вскоре будет иметь).

Теперь вспомним изречение, приписываемое знаменитому грабителю банков Вилли Саттону. Когда его спросили, зачем он грабит банки, он искренне ответил: «Потому что в них есть деньги». Как вы думаете, на что будут нацеливаться знаменитые преступники будущего? Террористы? Радикальные активисты, вандалы и анархисты? Смело посмотрим в лицо действительности - самым привлекательным объектом всех видов атак станут информационные технологии. И это будущее уже наступило. Годовые потери от вирусов, взломов и онлайновых фальсификаций уже оцениваются во многие десятки миллионов долларов.

Широкое распространение такие потери получили вследствие хронической нехватки нужной информации, средств защиты и подготовленного персонала, которая усиливается плохим знанием законов рынка массовой продукции. Типичные онлайновые системы создаются на базе программного обеспечения, не предполагающего наличия средств защиты и ориентированного на совместимость со старым, еще менее безопасным программным обеспечением. Такие программы писались людьми, не имеющими представлений о защите, их тестирование сводилось к минимуму, и это программное обеспечение выпускалось к установленным срокам начала его продажи, невзирая на остающиеся в нем ошибки. Эти же самые системы затем покупались людьми, не имеющими знаний в области безопасности, устанавливались как расширение незащищенной программной базы и использовались в режиме обхода средств защиты, так как они мешали онлайновой деятельности. Слишком часто руководители полагались на услуги и программы, написанные доморощенными специалистами, чей опыт основывался на «скачивании» и запуске подготовленных другими инструментов взлома. Поэтому неудивительно, что происходит так много компьютерных инцидентов. Удивительно другое - почему их так мало!

Еще не так давно, в 1980-х годах, информационная безопасность была диковинной и закрытой областью вычислительной техники, сравниваемой с такими новинками, как компьютерная графика, сетевые технологии и искусственный интеллект. Я помню, что в то время было лишь несколько книг по информационной безопасности (не считая книг по криптографии), доступных широкому кругу компьютерных пользователей. Идея безопасности тогда еще не окрепла, так как широкий пользователь пока не сталкивался с какими-либо реальными угрозами в сфере информационных технологи!!. Интернет и компьютерное обслуживание торговли в корне изменили динамику этого процесса! И вот уже выпущены сотни книг по вопросам безопасности. Но из всего этого обилия лишь некоторые книги заслуживают внимания, остальные же содержат переработку более глубоких исследований, простое перечисление уязвимых мест (которое становится непригодным через пару месяцев) и информацию о том, как наложить дополнительные «заплаты» на прохудившуюся инфраструктуру.

На этом фоне выделяются немногие эксперты, действительно понимающие «общую картину» информационной безопасности. Линда Маккарти является одним из таких экспертов, и внимательное чтение данной книги покажет вам, почему ее первое издание находится на полках большинства преподавателей и практиков. Вместо того чтобы давать готовые решения для временных «заплат», Линда использует свой опыт аудитора безопасности, консультанта, менеджера, разработчика, преподавателя и руководителя для определения и демонстрации скрытых структур и взаимоотношений, которые являются движущими силами планирования и осуществления мер безопасности. Она знает, что компьютерная безопасность зависит главным образом не от самих компьютеров, а от людей, которые покупают, устанавливают и эксплуатируют эти компьютеры. Необходимо знать экономическую, психологическую, правовую и деловую стороны практики применения компьютеров, которые определяют реальную обстановку безопасности, Дополняя заголовок, придуманный Линдой для этой книги, можно сказать о том, что он подчеркивает главное в обеспечении безопасности; роль высших руководителей корпораций, С такого высокого уровня обеспечение информационной безопасности видится как нечто большее, чем борьба «системного администратора с хакером» - оно становится функцией по поддержанию живучести всего предприятия. Как показывает текст книги, выполнение обязанностей по обеспечению безопасности и выполнению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них. Руководство должно проявлять постоянную заботу о безопасности, опираться на имеющиеся ресурсы, и ему вовсе не обязательно знать, как работает сканер уязвимых мест в защите.

По мере того как мы продвигаемся по веку информации, в котором защита информации становится все более важной, мы должны понять, почему в этих обоих терминах применяется слово «информация», а не «компьютер». Это связано с тем, что мы расширяем наши знания о защите наших информационных ресурсов независимо от их местонахождения.

Главное место в нашем мышлении должны занимать не конкретный компьютер или версия операционной системы, а структуры, образующие основу для их функционирования, - социальная, экономическая и правовая. Нам всем нужно понять, что информационная безопасность не представляла бы проблемы, если бы она не была ради людей, а технологии сами по себе не смогли бы решить вопросов, которые люди ставят перед безопасностью. Технологии, несомненно, важны, но они не единственный и даже не самый главный компонент. Линда познавала эти главные истины годами и использовала их в своей карьере. Почти каждый сможет извлечь для себя что-нибудь ценное из ее опыта, прекрасно обобщенного и иллюстрированного в последующих главах.

Первое издание этой книги не являлось единственным источником для моих рассуждении о глубинах информационной безопасности. И все же его я часто рекомендовал студентам и коллегам, желающим углубить свои знания о безопасности, и они находили эту книгу поучительной. Это еще одно ее отличие от толстых книг, в которых перечисляются вебсайты с хакерскими инструментами и дается сомнительный совет: «Эта книга в корне изменит ваше представление о безопасности». Если вы ищете одну из таких книг по безопасности, то мой совет будет заключаться в том, чтобы вы не откладывали эту книгу в сторону... по крайней мере, пока ее не прочитаете.

Юджин X. Спаффорд.

Декабрь 2002 года



Скачать документ

Похожие документы:

  1. Тоффлер Э. Т50 Шок будущего: Пер с англ. / Э. Тоффлер

    Книга
    Выражаю свою искреннюю благодарность Максиму Мошкову за бескорыстно предоставленное место на своем сервере для отсканированных мной книг в течение многих лет.
  2. Проблемы предотвращения глобальных рисков, угрожающих существованию человеческой цивилизации

    Сборник статей
    О.В. Иващенко. Изменение климата и изменение циклов обращения парниковых газов в системе атмосфера-литосфера-гидросфера - обратные связи могут значительно усилить парниковый эффект.
  3. И цивилизации

    Закон
    Что-то словно щелкнуло у нее в сознании, она смягчилась, улыбнулась - и рассказала историю о своем дедушке, который присутствовал в качестве пажа на коронации королевы Виктории.
  4. Бьюкенен П. Дж. Смерть Запада / Патрик Дж. Бьюкенен

    Документ
    Что-то словно щелкнуло у нее в сознании, она смягчилась, улыбнулась – и рассказала историю о своем дедушке, который присутствовал в качестве пажа на коронации королевы Виктории.
  5. "Компьютерные" мальчики и девочки. Зануды-"яппи", внезапно решившие покинуть безопасность "родной корпорации" и стать свободными

    Документ
    ”Компьютерные” мальчики и девочки. Зануды-”яппи”, внезапно решившие покинуть безопасность “родной корпорации” и стать свободными.Но что такое свобода? Есть ли она вообще? Есть ли она для “рабов “Майкрософта”?Новая “исповедь поколения”

Другие похожие документы..