- •Информационная безопасность.
- •Определение безопасности как процесса.
- •Категории атак.
- •Атаки хакеров.
- •Конфиденциальность.
- •Идентифицируемость.
- •Необходимость и важность политики.
- •Информационная политика.
- •Политика безопасности.
- •Процедуры управления пользователями.
- •Межсетевые экраны.
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны с пакетной фильтрацией.
- •Гибридные межсетевые экраны.
- •Ответные действия ids (03.10.11)
- •Понятие трансляции сетевых адресов
- •Что такое трансляция сетевых адресов?
- •Примечание
- •Частные адреса
- •Примечание
- •Статическая nat
- •Динамическая nat
- •Трансляция сетевых адресов
- •Вопросы безопасности беспроводных соединений:
- •Какие службы следует предоставлять
- •Примечание
- •Шифрованная электронная почта
- •Примечание
- •Интернет
- •Внутренний доступ в интернет
- •Примечание
- •Внешний доступ к внутренним системам
- •Внимание!
- •Службы контроля
- •Примечание
- •Какие службы не следует предоставлять
- •Разработка архитектуры соединений
- •Доступ через один канал
- •Многоканальный доступ к одному провайдеру
- •Доступ с одной точкой присутствия
- •Доступ с несколькими точками присутствия
- •Вопрос к эксперту
- •Многоканальный доступ к нескольким провайдерам
- •Выбор провайдеров
- •Примечание
- •Адресация
- •Вопросы для самопроверки
- •Проектирование демилитаризованной зоны
- •Определение демилитаризованной зоны
- •Системы, размещаемые в dmz
- •Примечание
- •Примечание
- •Системы, доступные из внешней среды
- •Системы контроля
- •Подходящие архитектуры dmz
- •Примечание
- •Маршрутизатор и межсетевой экран
- •Один межсетевой экран
- •Два межсетевых экрана
- •Примечание
- •Разработка партнерских сетей
- •Работа с партнерскими сетями
- •Настройка
- •Службы электронной коммерции
- •Различия между службами электронной коммерции и обычными службами dmz
- •Примеры служб электронной коммерции
- •Продажа товаров
- •Предоставление конфиденциальной информации
- •Важность доступности
- •Вопросы взаимоотношений "компания-клиент"
- •"Компания-компания"
- •Примечание
- •Всемирное время
- •Удобство клиента
- •Убытки вследствие простоя
- •Решение проблемы доступности
- •Реализация безопасности клиентской стороны
- •Безопасность соединений
- •Хранение информации на компьютере клиента
- •Вопрос к эксперту
- •Отказ от выполненной операции
- •Вопросы для самопроверки
- •Реализация безопасности серверной части
- •Информация, хранимая на сервере
- •Защита сервера от атак
- •Расположение сервера
- •Примечание
- •Конфигурация операционной системы
- •Конфигурация веб-сервера
- •Реализация безопасности приложений
- •Правила разработки приложения
- •Правильные методы программирования
- •Общедоступность исходного кода
- •Управление конфигурацией
- •Примечание
- •Реализация безопасности сервера базы данных
- •Расположение базы данных
- •Примечание
- •Соединение с сервером электронной коммерции
- •Защита внутреннего доступа
- •Примечание
- •Разработка архитектуры электронной коммерции
- •Расположение сервера и соединения
- •Примечание
- •Сканирование уязвимостей
- •Данные аудита и обнаружение проблем
- •Разработка архитектуры сайта электронной коммерции
- •Практика
Примечание
Если для сайта ключевым фактором является уровень задержек, можно убрать межсетевые экраны. Хотя это и неразумно с точки зрения безопасности, данный шаг необходим для обеспечения требований, предъявляемых к уровню задержек. В данном случае маршрутизаторы должны быть настроены на фильтрацию всего трафика, а не только трафика, поступающего через порты 80 и 443.
Сканирование уязвимостей
Для периодического сканирования всех систем имеется стандартная программа. Сканирование осуществляется из четырех местоположений.
Вне зоны, охраняемой межсетевым экраном; показывает, какие порты являются разрешенными межсетевым экраном, и какие уязвимости видны из интернета.
В сети веб-сервера для обнаружения служб и уязвимостей на веб-серверах.
В сети сервера приложений для обнаружения служб и уязвимостей на втором интерфейсе веб-сервера и на серверах приложений.
Во внутренней сети организации для обнаружения служб и уязвимостей в сервере базы данных.
Эти действия по сканированию выполняются ежемесячно, и исправление уязвимостей отслеживается. Новые системы сканируются перед вводом в эксплуатацию.
Данные аудита и обнаружение проблем
Протоколы аудита на сервере базы данных проверяются для обнаружения внутренних сотрудников, которые осуществляют попытки внесения изменений в базу данных. Ключевые файлы на веб-серверах и серверах приложений проверяются на изменения через каждые 10 минут для быстрого обнаружения систем, в которые могут проникнуть злоумышленники.
Разработка архитектуры сайта электронной коммерции
Данный проект показывает этапы разработки сайта, предназначенного для реализации электронной коммерции. В рамках данного проекта будем считать, что банку требуется предоставить своим клиентам домашнюю банковскую систему. У банка уже имеется центр данных с соответствующими мерами физической безопасности. Вся информация об учетных записях клиентов хранится на главном компьютере. У каждого клиента есть личный идентификационный номер PIN, используемый на автоматизированных банкоматах.
Руководство банка приняло решение предоставлять клиентам доступ к их учетным записям для выполнения следующих действий.
Передача средств между учетными записями в банке.
Заказ по чеку.
Проверка баланса учетных записей и просмотр недавних транзакций.
Платежи по счету через партнера (клиент для этого будет перенаправлен к партнеру через веб-сайт без необходимости повторного входа в систему).
Практика
Подключение новых пользователей Linux.
Использование пакета OpenSSH.
Динамическое присвоение IP адресов, DHCP –сервер.
Применение межсетевого экрана ОС Linux – iptables.
Настройка FTP – сервера vsftpd.
Настройка NTP – сервера.
Настройка Samba-сервера.
Настройка сервиса DNS.
Настройка веб-сервера Apache.