Рекомендуем

Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защитеЗапечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защите
Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсамАфанасьев А. А., Веденьев Л. Т., Воронцов А. А. и др. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам
Введение в защиту информации в автоматизированных системахМалюк А. А., Пaзизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных системах

Книга

Информационная безопасность открытых систем. Том 2. Средства защиты в сетях

Учебник для вузов
2008 г.
558 стр.
Тираж 1500 экз.
Формат 70x100/16 (170x240 мм)
Исполнение: в твердом переплете
ISBN 978-5-9912-0034-9
ББК 32.973.2-018.2я73
УДК 004.732.056(075.8)
Гриф УМО
Допущено Министерством образования и науки РФ в качестве учебника для студентов высших учебных заведений, обучающихся по специальности 075500 (090105) – «Комплексное обеспечение информационной безопасности автоматизированных систем»
Аннотация

В учебнике рассматриваются основы информационной безопасности открытых систем на примере интранета. Подробно рассматриваются конкретные средства и системы обеспечения информационной безопасности в открытых системах: аутентификация, межсетевые экраны, виртуальные сети, системы анализа защищенности, системы обнаружения вторжений.

Для студентов высших учебных заведений и слушателей курсов повышения квалификации, обучающихся по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем».

Оглавление

ПРЕДИСЛОВИЕ 3

ВВЕДЕНИЕ 7

1. АУТЕНТИФИКАЦИЯ СУБЪЕКТОВ И ОБЪЕКТОВ ВЗАИМОДЕЙСТВИЯ В ОТКРЫТЫХ СИСТЕМАХ 9
1.1. Сетевая аутентификация – «первый рубеж»
защиты открытой системы 9
1.1.1. Унификация данных о субъектах и объектах 13
1.1.2. Единая система аутентификации 14
1.1.3. Единая система авторизации 16
1.1.4. Единая система персонализации 17
1.1.5. Единая система делегированного управления данными о субъектах и объектах 18
1.1.6. Единая система аудита доступа 18
1.2. Подсистема аутентификации 18
1.2.1. Аутентификация в клиент-серверных системах 19
1.2.2. Типовые модели аутентификации 28
1.2.3. Методы аутентификации 31
1.2.4. Протоколы аутентификации 58
1.2.5. Серверы аутентификации 69
1.3. Российский рынок средств аутентификации 70

2. МЕЖСЕТЕВЫЕ ЭКРАНЫ 72
2.1. Функции межсетевых экранов 72
2.2. Руководящий документ Гостехкомиссии России по межсетевым экранам 77
2.3. Профили защиты для межсетевых экранов 78
2.4. Типы межсетевых экранов 82
2.4.1. Экранирующие концентраторы 87
2.4.2. Пакетные фильтры 87
2.4.3. Шлюзы сеансового уровня 91
2.4.4. Шлюзы прикладного уровня 93
2.4.5. Межсетевые экраны экспертного уровня 94
2.4.6. Персональные межсетевые экраны 96
2.5. Основные компоненты межсетевого экрана 98
2.6. Схемы подключения межсетевых экранов 99
2.7. Слабости межсетевых экранов 105
2.8. Выбор реализаций межсетевых экранов 107

3. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА В ОТКРЫТЫХ СИСТЕМАХ 113
3.1. Основные понятия и методы криптографии 114
3.1.1. Симметричные шифры 117
3.1.2. Открытое распределение ключей. Схемы открытого шифрования 124
3.1.3. Аутентификация сообщений 132
3.2. Стандартизация криптографических функций и механизмов 137
3.2.1. Российские стандарты 137
3.2.2. Международные стандарты 138
3.3. Криптографические протоколы 141
3.4. Криптографическая инфраструктура 151
3.4.1. Управление криптографическими ключами. Жизненный цикл ключей 151
3.4.2. Инфрастуктура открытых ключей 156
3.4.3. Пример: модель инфраструктуры открытых ключей PKIX 163
3.4.4. Закон Российской Федерации «Об электронной цифровой подписи» 168
3.4.5. Новые направления: идентификационные и бессертификатные криптосистемы 170
3.5. Программные и аппаратные средства криптографической защиты 173
3.5.1. Программные средства криптографической защиты 174
3.5.2. Аппаратные средства криптографической защиты 175
3.5.3. Критерии оценки защищенности криптографических модулей 178

4. ВИРТУАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ СЕТИ 182
4.1. Определение виртуальных частных вычислительных сетей 182
4.2. Цели и задачи построения ВЧВС 184
4.3. Специфика построения ВЧВС 191
4.4. Туннелирование в ВЧВС 194
4.5. Схема ВЧВС 198
4.6. Политики безопасности для ВЧВС 202
4.7. Стандартные протоколы построения ВЧВС 205
4.7.1. Уровни защищенных каналов 205
4.7.2. Защита данных на канальном уровне 208
4.7.3. Защита данных между канальным и сетевым уровнями 215
4.7.4. Защита данных на сетевом уровне 217
4.7.5. Защита на сеансовом уровне 232
4.7.6. Сравнение функциональных возможностей протоколов 241
4.8. Варианты построения ВЧВС 241
4.8.1. ВЧВС на базе сетевой операционной системы 245
4.8.2. ВЧВС на базе маршрутизаторов 245
4.8.3. ВЧВС на базе межсетевых экранов 247
4.8.4. ВЧВС на базе специализированного программного обеспечения 249
4.8.5. ВЧВС на базе аппаратных средств 250
4.9. Виды ВЧВС в зависимости от решаемых задач 252
4.9.1. Intranet VPN 252
4.9.2. Client/server VPN 253
4.9.3. Extranet VPN 254
4.9.4. Remote Access VPN 256
4.10. Топологии ВЧВС 261
4.11. VPN-консорциум о ВЧВС 263
4.12. Рекомендации специалистов по выбору решений для построения ВЧВС 267
4.13. Проблемы и уязвимости современных ВЧВС 275
4.14. Виртуальные локальные вычислительные сети 278
4.14.1. Переход от сетей с разделяемой средой передачи к взаимодействию коммутируемых сетей 278
4.14.2. Определение, назначение и технологии ВЛВС 281
4.14.3. Виды ВЛВС 286
4.14.4. Преимущества технологии ВЛВС 295

5. СИСТЕМЫ АНАЛИЗА ЗАЩИЩЕННОСТИ 302
5.1. Аудит и мониторинг информационной безопасности
в открытых системах 302
5.2. Место и задачи систем анализа защищенности в защите открытых систем 306
5.3. Классификации систем анализа защищенности 310
5.4. Сетевые сканеры 313
5.4.1. Размещение агентов сетевых сканеров 315
5.4.2. Принципы работы сетевых сканеров 316
5.4.3. Этапы работы сетевых сканеров 319
5.4.4. Сравнение распространенных в России сетевых сканеров 338
5.5. Системные сканеры 341
5.6. Сканеры безопасности для приложений 345
5.7. Критерии выбора сканеров безопасности 346

6. СИСТЕМЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ 350
6.1. Методы отражения вторжений 352
6.1.1. Предотвращение вторжений 353
6.1.2. Прерывание вторжения 353
6.1.3. Сдерживание вторжения 354
6.1.4. Отклонение вторжения 355
6.1.5. Обнаружение вторжений 358
6.1.6. Устранение последствий вторжения 360
6.2. Основы построения систем обнаружения вторжений 361
6.2.1. Структура систем обнаружения вторжений 361
6.2.2. Классификация систем обнаружения вторжений 364
6.2.3. Эффективнось систем обнаружения вторжений 366
6.3. Системное обнаружение вторжений 367
6.3.1. Принципы работы системных систем обнаружения вторжения 367
6.3.2. Достоинства и недостатки системных систем обнаружения вторжения 372
6.4. Сетевое обнаружение вторжений 374
6.4.1. Принципы работы сетевых систем обнаружения вторжения 376
6.4.2. Размещение сетевых систем обнаружения вторжения 378
6.4.3. Достоинства и недостатки сетевых систем обнаружения вторжения 385
6.5. Поведенческое обнаружение вторжений 387
6.6. Интеллектуальное обнаружение вторжений 393
6.7. Комплексное обнаружение вторжений 397
6.8. Выбор системы обнаружения вторжений 402
6.8.1. Определение требований 403
6.8.2. Оценка продукта 409
6.9. Развертывание системы обнаружения вторжений 410
6.10. Практика обнаружения вторжений 413
6.11. Ограниченность систем обнаружения вторжений 422
6.12. Системы предотвращения вторжений 433
6.13. Реагирование на вторжения в интранет, выявленные системами обнаружения вторжений 437
6.13.1. Этапы реагирования 438
6.13.2. Реагирование на выявление вирусов и червей 440
6.13.3. Реагирование после атаки злоумышленников 441
6.14. Cохранение доказательств вторжения 443
6.14.1. Принципы и этапы сбора доказательств 446
6.14.2. Инструментальные средства сбора доказательств 451
6.15. Стандарты в области обнаружения вторжений 456

7. ДРУГИЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
В ОТКРЫТЫХ СИСТЕМАХ 461
7.1. Защита от спама в электронной почте 461
7.1.1. Определение спама 461
7.1.2. Методы детектирования спама 464
7.1.3. Архитектура защищенной от спама электронной почты 472
7.1.4. Правовые аспекты борьбы со спамом 473
7.1.5. Примеры средств защиты от спама 475
7.2. Многофункциональные устройства защиты от сетевых атак 477
7.3. Системы анализа и управления рисками 481
7.4. Системы обеспечения информационной безопасности на уровне предприятия 485

ЗАКЛЮЧЕНИЕ 492

Приложение 1. СЕРТИФИЦИРОВАННЫЕ МЕЖСЕТЕВЫЕ ЭКРАНЫ 495

Приложение 2. ДОКУМЕНТЫ ПО ОСНОВНЫМ ПРОТОКОЛАМ ДЛЯ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ 511

Приложение 3. СРАВНИТЕЛЬНЫЕ ХАРАКТЕРИСТИКИ
ВЧВС-ПРОДУКТОВ РОССИЙСКИХ ПРОИЗВОДИТЕЛЕЙ 516

Приложение 4. ОПИСАНИЯ НЕКОТОРЫХ СКАНЕРОВ
БЕЗОПАСНОСТИ 520
П-4.1. Internet Scanner 520
П-4.2. XSpider 522
П-4.3. Nessus 524
П-4.4. LANguard Network Security Scanner 525
П-4.5. Retina Network Security Scanner 526
П-4.6. Shadow Security Scanner 527
П-4.7. QualysGuard 528
П-4.8. SecPoint Penetrator 528

Приложение 5. ПРИМЕРЫ СИСТЕМ ОБНАРУЖЕНИЯ/ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ 530
П-5.1. RealSecure Server 530
П-5.2. Cisco IPS 531
П-5.3. Cisco Security Agent 533
П-5.4. Secure Host IPS 534
П-5.5. Intrusion SecureNet 535
П-5.6. Snort 537
П-5.7. Dragon Host Sensor и Dragon Network Sensor 538
П-5.8. GFI LANguard Security Event Log Monitor 539
П-5.9. Entercept 540
П-5.10. eTrust Intrusion Detection 541
П-5.11. Sana Security Primary Response 542
П-5.12. Netscreen IDP 543
П-5.13. StoneGate IPS 544

ПРИНЯТЫЕ СОКРАЩЕНИЯ 547

СПИСОК ЛИТЕРАТУРЫ 550