- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Вопросы безопасности беспроводных соединений:
Обнаружение WLAN
Прослушивание
Активные атаки
Безопасность ТД.
Сделать достаточно длинный ключ
Использовать ограничения по МАК
Желательно не распространять SSID
Управление ТД должно осуществляться по протоколу HTTPS и с использованием «сильного» пароля.
Желательно ограничить диапазон действия ТД пределами помещений или здания.
Безопасность РС
Существует возможность напрямую атаковать РС
Если злоумышленник хочет проникнуть в сеть, то будет использовать снифферы для обнаружения других РС
Даже если не получится проникнуть во внутренние системы или прослушать информацию, передаваемую в сети, он сможет атаковать другие РС
Защита РС не отличается от защиты переносных устройств, расположенных в другом месте.
Необходимо установить необходимое ПО
Если риск велик, на РС следует применить персональные МЭ.
Сети необходимо развертывать в отдельных сегментах сети и установить МЭ между сетью и внутренней сетью. Наряду с сегментацией сети следует установить в WLAN систему обнаружения вторжений. Также нужно использовать надежный механизм А. Стандарт 802.1х предусматривает более надежную А, нежели SSID или MAC, однако он не защищен от перехвата сеанса соединения. Использование надежной А совместно с VPN значительно снизит возможность злоумышленника получить доступ к внутренним системам.
Архитектура Интернета. Какие службы следует предоставлять. Какие службы не следует предоставлять. Разработка архитектуры соединений. Демилитаризованная зона.
Интернет представляет огромные потенциальные возможности по развертыванию бизнеса, снижению затрат на обеспечение объема продаж, а также способствует повышению уровня обслуживания клиентов. Вместе с тем, интернет представляет собой повышенную опасность для информации и систем организации. При использовании правильной сетевой архитектуры интернет может стать настоящим помощником, и при этом вы сможете контролировать угрозы, представляемые для информации и систем.
Какие службы следует предоставлять
Первым вопросом, связанным с архитектурой интернета, на который необходимо дать ответ, является, какие службы будет предоставлять организация через интернет. От состава этих служб и от того, кто будет осуществлять к ним доступ, сильно зависит общая архитектура и даже место размещения служб.
Почта
Если доступна служба электронной почты, то она, как правило, предоставляется внутренним сотрудникам для отправки и получения сообщений. Эта служба требует, чтобы хотя бы один сервер был настроен на прием входящей почты. Если требуется больший уровень доступности, то необходимо использовать, по крайней мере, два почтовых сервера. Исходящая почта может передаваться через тот же самый сервер, либо в организации может быть разрешена отправка почты с рабочих станций непосредственно на системы назначения.
Примечание
Не рекомендуется разрешать рабочим станциям прямую отправку почты на системы назначения. Однако если почтовые системы расположены в интернете, каждая рабочая станция будет отправлять и получать почту с системы, находящейся в интернете. В данном случае разумно ограничить соединения исходящей почты на рабочих станциях, разрешив соединения только с почтовым сервером в интернете.
В организации также может действовать коммутация публичных сообщений, например, для реализации групп обсуждения, основанных на электронной почте. Такие системы, как правило, называются серверами списков. Они позволяют внешним пользователям отправлять почту в систему, а система пересылает сообщение подписчикам списка. Серверы списков могут располагаться на тех же серверах, что и основные почтовые системы организации, однако здесь необходимо учитывать повышенные требования к пропускной способности канала в общей архитектуре соединений интернета.