Руководство Перевод Владимира Казеннова




НазваниеРуководство Перевод Владимира Казеннова
страница1/28
Дата02.09.2012
Размер2.03 Mb.
ТипРуководство
  1   2   3   4   5   6   7   8   9   ...   28
Барбара Гутман, Роберт Бэгвилл

Политика безопасности при работе в Интернете - техническое руководство


Перевод Владимира Казеннова

  • Введение

    • 1.1. Цель

    • 1.2. Для кого эта книга

    • 1.3. Основы Интернета

    • 1.4. Зачем разрабатывать политику безопасности для работы в Интернете?

    • 1.5. Основные типы политики

Политика безопасности при работе в Интернете - техническое руководство 1

2. Общие принципы 7

2.1. Что там должно быть 7

2.2. Получение разрешения 8

2.3. Претворение политики в жизнь 9

2.4. Примеры описания общих принципов работы в Интернете в политиках 10

5. Примеры областей, для которых нужны политики 25

5.1. Идентификация и аутентификация 26

5.1.1. Общие политики аутентификации в Интернете 27

5.1.2. Политика администрирования паролей 27

5.1.3. Политика для устойчивой аутентификации 28

5.1.4. Электронные подписи и сертификаты 29

5.2. Контроль за импортом программ 29

5.2.1. Защита от вирусов 30

5.2.2. Контроль интерактивных программ 35

5.2.3. Лицензирование программ 36

5.3. Шифрование 37

5.3.1. Общая политика для шифрования 37

5.3.2. Удаленный доступ 39

5.3.3. Виртуальные частные сети (Virtual Private Networks) 40

5.4. Архитектура системы 40

5.4.1. Виртуальные частные сети (Virtual Private Networks) 40

5.4.2. Удаленный доступ к системе 42

5.4.3. Доступ к внутренним базам данных 43

5.4.4. Использование нескольких брандмауэров 43

5.3. Шифрование 44

5.3.1. Общая политика для шифрования 45

5.3.2. Удаленный доступ 47

5.3.3. Виртуальные частные сети (Virtual Private Networks) 47

5.4. Архитектура системы 47

5.4.1. Виртуальные частные сети (Virtual Private Networks) 47

5.4.2. Удаленный доступ к системе 49

5.4.3. Доступ к внутренним базам данных 50

5.4.4. Использование нескольких брандмауэров 51

5.5. Улаживание происшествий с безопасностью 51

5.5.1. Введение в обнаружение происшествия 52

5.5.2. Методы обнаружения происшествия 52

5.5.3. Ответные действия 54

5.6. Организационные меры 58

5.6.1. Ответственность должностных лиц за безопасность 58

5.6.2. Допустимое использование 59

5.6.3. Сохранение конфиденциальности личной информации (privacy) 62

5.7. Обучение пользователей 62

6. Политика безопасности брандмауэров 64

6.1. Основы и цель 64

6.2. Аутентификация 65

6.3. Анализ возможностей маршрутизации и прокси-серверов 65

6.3.1. Маршрутизация источника 65

6.3.2. Фальсификация IP-адреса 66

6.4. Типы брандмауэров 66

6.4.1 Шлюзы с фильтрацией пакетов 66

6.4.2. Прикладные шлюзы 66

6.4.3. Гибридные или сложные шлюзы 67

6.4.4. Рейтинг 67

6.5. Архитектуры брандмауэра 68

6.5.1. Хост, подключенный к двум сегментам сети 68

6.5.2. Экранированный хост 68

6.5.3. Экранированная подсеть 69

6.6. Интранет 69

6.7. Администрирование брандмауэра 69

6.7.1. Квалификация администратора брандмауэра 70

6.7.2. Удаленное администрирование брандмауэра 70

6.7.3. Зарегистрированные пользователи 71

6.7.3.1. Архивные копии брандмауэра 71

6.8. Доверительные взаимосвязи в сети 71

6.9. Виртуальные частные сети (VPN) 72

6.10. Отображение имен в адреса с помощью DNS 72

7. Всемирная паутина - World Wide Web (WWW) 81

7.1. Поиск информации в Интернете с помощью браузера 81

7.2. Примеры политик для поиска информации 81

7.3. Веб-сервера 83

7.4. Примеры политик веб-серверов 84

8. Электронная почта 87

8.1. Использование электронной почты 87

Основы e-mail 87

8.2.1. SMTP 88

8.2.2. POP 88

8.2.3. IMAP 88

8.2.4. MIME 88

8.3. Потенциальные проблемы с электронной почтой 89

8.3.1. Случайные ошибки 89

8.3.2. Персональное использование 89

8.3.3. Маркетинг 90

8.4. Угрозы, связанные с электронной почтой 90

8.4.1. Фальшивые адреса отправителя 90

8.4.2. Перехват письма 90

8.4.3. Почтовые бомбы 90

8.4.4. Угрожающие письма 91

8.5. Защита электронной почты 91

8.5.1. Защита от фальшивых адресов 91

8.5.2. Защита от перехвата 92

8.6. Корректное использование электронной почты 92

8.7. Защита электронных писем и почтовых систем 92

8.8. Примеры политик безопасности для электронной почты 92

8.9. Хранение электронных писем 94



Введение

1.1. Цель

Этот документ создан для того, чтобы помочь организации создать согласованную политику безопасности для работы в Интернете. Он содержит краткий обзор Интернета и его протоколов. Он рассматривает основные виды использования Интернета и их влияние на политику безопасности. Кроме того, в нем есть примеры политик безопасности для сред с низким, средним и высоким уровнем угроз.

Читатели, которым требуется более общая информация о компьютерной безопасности, могут прочитать NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook.

1.2. Для кого эта книга

This document was written for readers involved in policy issues at three distinct levels:

Этот документ был написан для тех, кто участвует в разработке политики безопасности на трех уровнях:

  • Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования Интернета, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы.

  • Начальники подразделений организации, которым требуется разрабатывать специфические политики безопасности

  • Администраторы организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в Интернете, которым им надо будет обучать пользователей Интернета в организации.

1.3. Основы Интернета

Интернет - это всемирная "сеть сетей", которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol). Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации. В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых - коммерческие пользователи. Сейчас Интернет используется как основа Национальной Информационной Инфраструктуры США(NII).

1.4. Зачем разрабатывать политику безопасности для работы в Интернете?

Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.

Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:

  • Могут ли хакеры разрушить внутренние системы?

  • Может ли быть скомпрометирована( изменена или прочитана) важная информация организации при ее передаче по Интернету?

  • Можно ли помешать работе организации?

Все это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы( которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:

  • Легкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.

  • Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.

  • Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.

  • Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок . Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

1.5. Основные типы политики

Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.

При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.

1.2. Для кого эта книга

This document was written for readers involved in policy issues at three distinct levels:

Этот документ был написан для тех, кто участвует в разработке политики безопасности на трех уровнях:

  • Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования Интернета, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы.

  • Начальники подразделений организации, которым требуется разрабатывать специфические политики безопасности

  • Администраторы организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в Интернете, которым им надо будет обучать пользователей Интернета в организации.

1.3. Основы Интернета

Интернет - это всемирная "сеть сетей", которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol). Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации. В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых - коммерческие пользователи. Сейчас Интернет используется как основа Национальной Информационной Инфраструктуры США(NII).

1.4. Зачем разрабатывать политику безопасности для работы в Интернете?

Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объему информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.

Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:

  • Могут ли хакеры разрушить внутренние системы?

  • Может ли быть скомпрометирована( изменена или прочитана) важная информация организации при ее передаче по Интернету?

  • Можно ли помешать работе организации?

Все это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы( которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:

  • Легкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.

  • Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.

  • Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.

  • Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок . Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

1.5. Основные типы политики

Термин Политика компьютерной безопасности имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). В этом документе под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, описанные ниже.

При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.

Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.
  1   2   3   4   5   6   7   8   9   ...   28

Похожие:

Руководство Перевод Владимира Казеннова iconИнтервью премьер-министра РФ владимира Путина телекомпании cnn
Интервью председателя правительства Российской Федерации Владимира Путина американской телекомпании "Си-Эн-Эн"
Руководство Перевод Владимира Казеннова iconТомас Вудс Обвал Перевод посвящается Ларисе Пияшевой Переводчик
Перевод с англ. Эдуарда Шпака. (Предварительная публикация без редактирования и корректуры.)
Руководство Перевод Владимира Казеннова iconСинхронный перевод (СП) последовательный перевод
«Наш дом — Россия» Аграрная депутатская группа Депутатская группа «Народовластие»
Руководство Перевод Владимира Казеннова iconРуководство к действию в кризисных ситуациях для индустрии туризма (Рекомендации Всемирной туристской организации)
Федеральное агентство по туризму подготовило перевод Рекомендаций Всемирной туристской организации (юнвто) «Руководство к действию...
Руководство Перевод Владимира Казеннова iconРуководство по детской психотерапии. Вайолет оклендер перевод с английского
Описываются специфические проблемы поведения: агрессия, страх, аутизм, гиперактивность и отчуждение. Оцениваются взаимоотношения...
Руководство Перевод Владимира Казеннова iconРуководство по стратегическому планированию действий, направленных на свержение диктаторских режимов и борьбу с другими видами притеснений
Авторское право зарегистрировано в 2009 году за Джином Шарпом: все права ограничены, включая право на перевод книги
Руководство Перевод Владимира Казеннова iconМетодическое руководство Федерация горнолыжного спорта и сноуборда России fis masters rules alpine
Предлагаемый перевод Правил проведения международных соревнований по программе masters включает в себя разделы, относящиеся собственно...
Руководство Перевод Владимира Казеннова iconЛев Николаевич Толстой Соединение и перевод четырех Евангелий Соединение и перевод четырех Евангелий
«причины угнетения находятся в самом народе, а не вне его, сам народ поставил себя в такое положение, отступив от истинной веры»
Руководство Перевод Владимира Казеннова iconГалина Максимив переводчик, синхронист Львов, Украина Дата рождения : 12. 02. 1977
Юридическая документация, перевод материалов судебного дела. Перевод протоколов судебных заседаний, юридических заключений, корреспонденции,...
Руководство Перевод Владимира Казеннова iconРуководство по рнр 0 Перевод Всероссийского Клуба Вебмастеров
Версии 0 язык написания сценариев, внедренный в html. Многое из синтаксиса заимствовано из C, Java и Perl, с добавлением специфичных...
Разместите кнопку на своём сайте:
Руководства



База данных защищена авторским правом ©do.znate.ru 2012
При копировании укажите ссылку
обратиться к администрации
Руководства
Главная страница