- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Шифрованная электронная почта
Как правило, электронная почта не содержит секретной информации. Тем не менее, широкое использование интернета привело к тому, что секретную информацию стали пересылать и по электронной почте для экономии времени и вследствие низкой стоимости передачи данных по сравнению с обычными службами доставки. В данном случае рекомендуется шифровать содержимое электронной почты, чтобы защитить информацию.
Примечание
В некоторых отраслях бизнеса (особенно в финансовых и здравоохранительных организациях) необходимо осуществлять шифрование секретных данных, связанных с клиентами и пациентами.
Осуществлять шифрование электронной почты можно посредством использования нескольких типов систем. Эти системы варьируются от программных средств рабочего стола (таких как PGP) до сетевых конструкций, располагаемых в почтовом потоке (например, Tovaris). Выбор системы зависит от того, сколько зашифрованной электронной почты требуется отправлять и получать, а также от ряда других требований организации, таких как восстановление и управление ключами (для получения более подробной информации по этой тематике обратитесь к лекции 12).
Интернет
Если в организации осуществляется публикация данных для клиентов или партнеров через интернет, необходимо создать веб-сервер и разместить на нем содержимое для публичного просмотра. Этот веб-сервер может располагаться в другом месте либо находиться внутри сети.
Веб-серверы предоставляют пользователям простое статическое содержимое либо подключаются к системам электронной коммерции (см. лекции 17), обеспечивающую отображение динамического содержимого и позволяющую осуществлять прием заказов. Доступ к веб-сайту может быть общим либо ограниченным посредством использования некоторого механизма аутентификации (как правило, это идентификатор пользователя или пароль). Если содержимое сайта предусматривает ограниченный доступ или является секретным, следует использовать HTTPS (применяющий протокол защищенных сокетов SSL). HTTPS работает через порт 443 вместо порта 80, что нормально для веб-трафика. HTTPS - это шифрующая версия протокола HTTP, используемого для веб-трафика, и она, как правило, применяется для веб-страниц, содержащих секретную информацию или требующих аутентификацию. Выбор метода реализации веб-сайта влияет на ожидаемый объем трафика и важность самого веб-сервера.
Организация может предоставлять сервер FTP в качестве составной части веб-сервера. FTP-сервер позволяет внешним лицам получать или отправлять файлы. Доступ к этой службе осуществляется через веб-браузер или клиент FTP. Доступ может быть анонимным либо требующим указания входного идентификатора и пароля.
Внутренний доступ в интернет
Способ доступа сотрудников в интернет должен регламентироваться политикой организации (см. лекцию 6). В некоторых организациях сотрудникам разрешается осуществлять доступ в интернет с использованием любой нужной службы, включая мгновенный обмен сообщениями, чат и потоковое видео или аудио. В других компаниях доступ в интернет разрешается только отдельным сотрудникам и только к определенным сайтам. Здесь выбранный метод предоставления доступа влияет на потенциальный объем трафика и на работу сотрудников.
В таблице ниже приведен общий набор служб, разрешенных для использования сотрудниками.