LINEBURG


страница 1
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

• Файл взят с сайта
• http://www.natahaus.ru/

• где есть ещё множество интересных и
редких книг.

• Данный файл представлен исключительно
в
• ознакомительных целях.

• Уважаемый читатель!
• Если вы скопируете данный файл,
• Вы должны незамедлительно удалить его
• сразу после ознакомления с содержанием.
• Копируя и сохраняя его Вы принимаете на
себя всю
• ответственность, согласно действующему
• международному законодательству .
• Все авторские права на данный файл
• сохраняются за правообладателем.
• Любое коммерческое и иное
использование
• кроме предварительного ознакомления
запрещено.

• Публикация данного документа не
преследует за
• собой никакой коммерческой выгоды. Но
такие документы
• способствуют быстрейшему
профессиональному и
• духовному росту читателей и являются
рекламой
• бумажных изданий таких документов.

• Все авторские права сохраняются за
правообладателем.
• Если Вы являетесь автором данного
документа и хотите
• дополнить его или изменить, уточнить
реквизиты автора
• или опубликовать другие документы,
пожалуйста,
• свяжитесь с нами по e-mail - мы будем
рады услышать ваши

пожелания.
IT Security:
Risking the Corporation



Linda McCarthy
Линда Маккарти




IT-безопасность
(Стоит ли рисковать корпорацией


Перевод с английского




КУДИЦ-ОБРАЗ
Москва • 2004
'•'









Посвяшение
Доктору Полу Глинну за то, что он раскрыл передо мной мир и научил
считать единственными границами в жизни только
пределы нашего мышления.
Линда
ББК 32. 973-018. 2
Маккарти Л.
IT-безопасность: стоит ли рисковать корпорацией?
Пер. с англ. - М.: КУДИЦ-ОБРАЗ, 2004. - 208 с.
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непо­
средственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки,
крупные торговые фирмы, госпитали, музеи... И этот список легко продолжить. И все чаще объек­
том грабителей, террористов или просто вандалов становятся информационные системы и сети
и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что зло­
умышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не
разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга,
которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для
тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но
в книге вы и не найдете технических деталей, необходимых системным администраторам и спе­
циалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с кото­
рыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться
в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отве­
чающих за информационную безопасность компаний.
ISBN 0-13-101112-Х
ISBN 5-9579-0013-3

Линда Маккарти
IT-безопасность: стоит ли рисковать корпорацией?
Учебно-справочное издание

Корректор М. П. Матекин
Перевод с англ. А. С. Казаков
Научные редакторы А. В. Закис, А. Г. Серго (гл, 11)

ООО "ИД КУДИЦ-ОБРАЗ"
119049, Москва, Ленинский пр-т., д. 4, стр. 1А. Тел.; 333-82-!!, ok@kudits. ru
Подписано в печать 10. 12. 2003.
Формат 70x100/16. Бум. офсетная. Печать офсетная.
Усл. печ. л. 16, 8. Тираж 3000. Заказ 777.
Отпечатано с готовых диапозитивов
в ООО «Типография ИПО профсоюзов Профиздат».
109044. Москва, Крутицкий вал, 18.
ISBN 0-13-101112-Х
ISBN 5-9579-0013-3 © ООО "ИД КУДИЦ-ОБРАЗ", 2004
Авторизованный перевод с англоязычного издания, озаглавленного IT Security: Risking the Corporation.
Iя Edition by MCCARTHY, LINDA, опубликованного Pearson Education, inc. под издательской маркой
Prentice Hall PTR / Sun Microsystem Press, Copyright © 2003 by Pearson Education, Inc.
Ail rights reserved. No part of this book may be reproduced or transmitted in any forms or by any means,
electronic or mechanical, including photocopying, recording or by any information storage retrieval system,
without permission from Pearson Education inc,
Все права защищены Никакая часть этой книги не может воспроизводиться или распространяться в лю­
бой форме или любыми средствами, электронными или механическими, включая фотографирование,
магнитную запись или информационно-поисковые системы хранения информации без разрешения
от Pearson Education, inc.
Русское издание опубликовано издательством «КУДИЦ-ОБРАЗ», С 2004
Оглавление

Благодарности
Введение ......... 16
Глава 1 Отражение атак ....... 18
Кошмар реагирования на инцидент 18
День 1-й: Неавторизованный доступ 19
День 2-й: Проблема решена 20
День 3-й: Защита взломана снова 20
Дни с 4-й по 7-й: Эскалация инцидента 21
День 8-й: Слишком поздно собирать улики 21
День 9-й: Кто был этим плохим парнем? ..... 21
Резюме: Атаки изнутри . .... 22
Мы пойдем другой дорогой 23
Сосредоточиться на упреждающих мерах 23
Готовиться к худшему ... 26
Реагировать быстро и решительно ... 29
Завершающие действия ..... 30
Контрольный список 31
Заключительные слова . 31
Глава 2 Безопасность в стандартной поставке ............... 33
Безопасностью займемся позднее 34
День 1-й: Ложное чувство безопасности 34
Два года спустя: Замечена атака 35
+Две недели: Хакер возвращается . 35
+Три недели: Усиление защиты ....... 35
Продолжение саги: Сеть остается под угрозой 37
Резюме: Будете ли вы подключаться через такого провайдера? 38
Мы пойдем другой дорогой 38
Знать. каким рискам вы подвергаетесь 39
Избегать стандартных установок систем 39
Протестировать вашу сеть 40
Изучить людей. которые знают вашу информацию 40
Предусмотреть или потребовать необходимое финансирование
безопасности 41
Не экспортировать глобальные разрешения чтения/записи 42
Стереть старые учетные записи 42
Оглавление
6

Тестировать пароли 42
Сделать исправления программ (патчи), повышающие безопасность 43
Выполнять политики и процедуры 43
Использовать экспертов 43
Обучать использованию 44
Контрольный список 44
Заключительные слова 45
Глава 3 Поддержка со стороны руководства 46
Участие руководителей 47
День 1-й: Незащищенные системы 48
Год спустя: Неавторизованный доступ продолжается 49
Резюме: Займите активную позицию 52
Мы пойдем другой дорогой 53
Правильно относиться к безопасности на любом уровне сотрудников 53
Не перекладывать работу на другие плечи 53
Уменьшать количество уровней руководства до минимума 54
Предоставлять отчеты вышестоящему руководству 55
Сделать безопасность общей целью 55
Учить или учиться самому сколько нужно 55
Обеспечить понимание вопросов безопасности всеми
руководителями 56
Поддерживать прямую связь с руководством 57
Контрольный список 57
Заключительные слова 58
Глава 4 Сетевой доступ 59
Соединение с партнерами 60
День 1-й: Архитектура безопасности 60
Несколько недель спустя: Политика установки средств безопасности . 60
На следующий день: Кто отвечает за безопасность 60
Еще через 29 дней: Хакер захватывает контроль 6!
+ Один месяц: Незапланированное тестирование безопасности 61
Аудит, день 1-й: Схемы сети говорят о многом 61
Аудит, день 2-й: Ничем не подкрепленные политики 63
Последний день аудита: Кто несет ответственность за безопасность ... 64
Резюме: Не подпускать к себе конкурентов 66
Мы пойдем другой дорогой 66
Использовать типовые архитектурные схемы 67
Отслеживать внешние подключения 67
Отвечать за свою территорию 68
Требовать утверждения внешних подключении 68
7
Оглавление


Следить за выполнением политик и процедур 69
Выключать ненужные службы 69
Подчеркивать важность обучения 69
Проследить весь процесс настройки 69
Не подключать незащищенные системы к Интернету 70
Контрольный список 70
Заключительные слова 70
Глава 5 Обучение безопасности 72
Пробелы в обучении 73
Первый контакт: Тестирование безопасности 74
День 1-й: Сбор фактов 74
День 2-й: Тестирование систем 75
День 3-й: Обучение безопасности оставлено за рамками бюджета .77
Резюме: Обеспечьте финансирование обучения 79
Мы пойдем другой дорогой 80
Просвещать высшее руководство 80
Отстаивать бюджет обучения безопасности 80
Включать вопросы безопасности в обязанности руководства 80
Делать обязательным обучение системных администраторов 81
Посещать семинары по безопасности 81
Организовывать деловые ланчи 81
Распространять информацию по безопасности 81
Присоединиться к спискам рассылки по вопросам безопасности ....82
Выпускать «белые статьи» 82
Писать в периодические издания 82
Превращать инструменты в продукты 82
Контрольный список 82
Заключительные слова . 83
Глава 6 Безопасность вне плана 84
План перехода 85
День 1-й: Тестирование безопасности 86
Выяснение риска 87
Первая фаза: Физическая безопасность 87
Вторая фаза: Прохождение через систему физического контроля ...87
Третья фаза: Неавторизованный доступ 88
День 2-й: Риск для персональной информации 89
Резюме: Тщательнее планируйте выполнение подрядных работ 90
Мы пойдем другой дорогой 91
Оценить риски 91
Классифицировать системы 91
8 Оглавление


Запретить стандартные установки систем ... ........ 92
Не быть слишком доверчивым...... ..... ..... 92
Извлекать уроки из прошлого ............... ... 92
Выбирать цели при сокращении бюджета 92
Проводить тестирование безопасности . 92
Сделать руководителей подотчетными 93
Не расплачиваться за других 93
Включать обучение в бюджет . 93
Подсчитывать очки 93
Контрольный список . 94
Заключительные слова 94
Глава 7 Поддержка безопасности ... 95
..
Кто отвечает за безопасность 96
День 1-й: Как выгоняли плохих парней 96
День 2-й: Администратор брандмауэра 97
Временная безопасность 98
Руководители и безопасность . . 98
Серьезное отношение к поддержке безопасности ..... 99
Мой последний день: Отношение к работе может говорить о многом ..100
Резюме: Нe спрашивайте у сотрудников компании. отвечающих
за безопасность. что они могут для вас сделать . 101
Мы пойдем другой дорогой 102
Определить роли и обязанности 102
Разработать политики и процедуры для брандмауэра . . 102
«Кормить» свой брандмауэр 102
Читать своп контрольные журналы .. 102
Использовать программы обнаружения взлома . . 103
Реагировать быстро! 103
Требовать подтверждении безопасности 103
Проводить аудиты . 104
Углублять знания 104
Контрольный список 104
Заключительные слова . 105
Глава 8 Безопасность внутренней сети..........................................................106
Незащищенная сеть....................................................................................107
Начало событий; В обход корпоративной сети 107
День 1-й: Сбор доказательств 108
День 2-й: Системные администраторы против группы обеспечения
безопасности ....... 109
В чьих руках безопасность 110
Оглавление 9

Перекладывание ответственности .... 111
Резюме: Безопасность - жертва войны . 111
Мы пойдем другой дорогой 112
Возложить на кого-либо из сотрудников ответственность за политики
и процедуры . 112
Разграничить обязанности по поддержке безопасности между
группами . 112
Не надеяться на чудо..... 112
Пересматривать процессы 113
Иногда - просто сдаться 113
Выполнять свои обязанности 113
Контрольный список 113
Заключительные слова 114
Глава 9 Безопасность аутсорсинга ..... 115
...
Забыли о безопасности? ... 116
День 1-й: Осмотр средств обеспечения безопасности ... 116
День 2-й: Сетевые соединения 117
Поразительные ошибки в защите 118
Техническая поддержка при отсутствии обучения и опыта 120
Дни 3-й и 4-й: Понимает ли проблему руководство? 120
Резюме: Аутсорсинговые системы должны быть защищены 121
Мы пойдем другой дорогой 121
Проводить оценку безопасности 121
Проводить ее правильно . . 121
Проводить ее регулярно .. 122
Решать обнаруженные вами проблемы 122
Не использовать подход «плыви или тони» !22
Контрольный список . 123
Заключительные слова . 123
Глава 10 Незащищенная электронная почта. 125
Есть ли у электронной почты конверт? ..... 125
Доступ к персональной информации получен 126
Резюме: Вы имеете право отказаться от вашего права на тайну
переписки . ... 127
Мы пойдем другой дорогой 128
Использовать шифрование! 128
Убедить компанию в необходимое!!! шифрования .... 129
Предусмотреть в бюджете средства па шифрование 129
Отслеживать возникновение других угроз электронной почте 129
Заключительные слова ............ 130
10 Оглавление

Глава 11 Оглядываясь назад: что будет дальше? 131
Риск для всей корпорации 132
Юридические обязанности по защите информации и сетей 134
Деловые инициативы и корпоративные цели 139
Угрозы требуют действий 140
Глава 12 Прогулка хакера по сети 142
Краткая характеристика хакеров 143
Реальные хакеры 143
О применяемых инструментах 144
Прогулка с хакером 144
Что делал хакер 145
Заключение 160
Приложение А Люди и продукты, о которых следует знать 161
Сокращения 197
Глоссарий 198
Предметный указатель 202
Предисловие

Поймите сразу - эта книга не похожа на большинство других купленных вами книг по во­
просам безопасности. В ней вы не найдете мрачных подробностей о слабых местах
в серверах и списки IP-портов, используемых для проникновения в них. Нет в ней также
и листингов исходных кодов вирусных программ с комментариями. Автор не включил
в книгу каталог скриптов для взлома и лист подписки на веб-сайты, откуда вы могли бы
их «скачать». Здесь нет трагических (и повторяющихся) рассказов от первого лица о том,
как легко одурачить людей, раскрывая их пароли. Так что если вы надеетесь, что все это
есть в книге, то лучше отложить ее в сторону.
Но... я предупреждаю вас, что вы отказываетесь от книги, в которой обсуждаются реальные
проблемы реальной безопасности и даются основательные и запоминающиеся уроки - неко­
торые из них я настоятельно рекомендую усвоить любому, кто работает с компьютерами.
Только подумайте - примерно в течение года после отправки этой книги в печать объем
электронной коммерции в Интернете перевалил отметку в один триллион долларов в год.
Коммерческого использования сетей практически не было до 1993 года, поэтому такие
темпы роста являются невероятными. Но даже глядя на эти цифры, мы все равно не смо­
жем себе представить, что это только начало, - ведь «подключена» сейчас только час­
тичка населения планеты, и только частичка делового мира начала принимать участие
в онлайновой коммерции по схеме «бизнес-бизнес»1.
Многие слышали о законе (Гордона) Мура, впервые сформулированном в 1965 году и пред­
сказывавшем, что производительность процессоров будет удваиваться каждые 18 месяцев.
Действительность подтвердила это предположение, и ожидается, что оно будет продолжать
действовать, по меньшей мере, еще одно десятилетие. Подобный рост наблюдался и в исполь­
зовании вторичной памяти, вследствие чего емкость онлайновых систем за последние не­
сколько лет удваивалась приблизительно каждые 14 месяцев. Также был виден впечатляющий
рост пропускной способности линий связи, вызванный непрерывным распространением опто­
волоконных и беспроводных технологий. Стоимость всех этих товаров широкого потребления
(а они действительно таковыми стали) упала после того, как увеличился их общий объем.
Являясь как причиной, так и следствием роста инфраструктуры информационных техно­
логий, критически важная информация размещается в сетях во все возрастающих объе­
мах. Банки, брокерские фирмы, аудиторские и финансовые компании всех видов приме­
няют для ведения своего бизнеса компьютеры и сети. Федеральное правительство и адми­
нистрация штатов не могут работать без компьютеров. Критически важные инфраструк­

страница 1
(всего 25)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign