Рекомендуем

Информационная безопасность открытых систем. Том 2.  Средства защиты в сетяхЗапечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем. Том 2. Средства защиты в сетях
Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защитеЗапечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем. Том 1. Угрозы, уязвимости, атаки и подходы к защите
Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсамАфанасьев А. А., Веденьев Л. Т., Воронцов А. А. и др. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам

Книга

Безопасность компьютерных сетей

2017 г.
644 стр.
Тираж 500 экз.
Формат 60х90/16 (145x215 мм)
Исполнение: в мягкой обложке
ISBN 978-5-9912-0420-0
ББК 32.973.202
УДК 004.056:004.7
Аннотация

Систематизированы обширные теоретические и практические сведения в области методов и способов обеспечения безопасности компьютерных сетей. Рассмотрены меры обеспечения безопасности компьютерных систем как органической части общей информационной системы предприятия; методы защиты программного обеспечения компьютеров и обрабатываемой ими информации; сетевые аспекты передачи информации между узлами компьютерной сети (вопросы безопасности сетевых протоколов и сервисов); базовые технологии, используемые для защиты информации в компьютерной сети, такие как шифрование, аутентификация, авторизация, организация защищенного канала и другие, которые в той или иной мере являются основой всех методов обеспечения безопасности компьютерных сетей.

Книга структурирована в виде учебного курса и отличается широким охватом затронутых тем, при этом авторы стремились сохранить достаточную глубину рассмотрения вопросов, позволяющую понять их суть. Все главы книги завершаются набором вопросов для проверки и самопроверки.

Для широкого круга читателей, которые хотят углубить и систематизировать свои знания в области безопасности компьютерных сетей. Будет особенно полезна для специалистов в области информационной безопасности, занимающихся практическими вопросами построения комплексных систем защиты информации, слушателей курсов переподготовки и повышения квалификации, студентов и аспирантов, обучающихся по направлению «Информационная безопасность».

Об авторах:

Профессиональные биографии Виктора и Натальи Олифер очень похожи – они получили свое первое высшее образование в МВТУ имени Н. Э. Баумана (специальность «Электронные вычислительные машины»), а второе – в МГУ им. М. В. Ломоносова (специальность «Прикладная математика»). После защиты диссертации каждый из них совмещал преподавание в вузах с научной работой. В 1995 году Наталья и Виктор стали читать лекции по сетевым технологиям в Центре информационных технологий при МГУ. Ими были разработаны несколько авторских курсов, которые и составили в дальнейшем основу для написания нескольких книг, в том числе таких популярных учебников как «Сетевые операционные системы» и «Компьютерные сети. Принципы, технологии, протоколы». Последняя книга была издана на английском, испанском, португальском и китайском языках. В настоящее время Наталья Олифер работает независимым консультантом в области сетевых технологий, а Виктор Олифер участвует в проекте по развитию сети JANET, объединяющей университеты и исследовательские центры Великобритании, а также международном проекте GEANT, посвященном разработке и поддержке панъевропейской академической сети.

Книга выпущена при поддержке компании NTC (Network Training Center)

Оглавление

Введение

Часть I. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Глава 1. Основные понятия и принципы безопасности
Термины и определения
ИС как система контролируемого доступа к ресурсам
Концепция совместного использования ресурсов
Идентификация
Аутентификация
Авторизация
Модели информационной безопасности
Триада «Конфиденциальность, доступность, целостность»
Гексада Паркера и модель STRIDE
Уязвимость, угроза, атака, ущерб
Типы и примеры атак
Пассивные и активные атаки
Отказ в обслуживании
Внедрение вредоносных программ
Кража личности, фишинг
Сетевая разведка
Вопросы к главе 1

Глава 2. Управление рисками
Анализ уязвимостей и угроз
Ущерб как мера риска
Управление рисками
Стандартные методики оценки рисков
Рекомендации NIST
Методика оценки рисков RiskWatch
Методика CRAMM
Методика OCTAVE
Определение профилей угрозы для ключевых активов
Идентификация уязвимостей инфраструктуры
Разработка стратегии безопасности и планов снижения рисков
Вопросы к главе 2

Глава 3. Системный подход к управлению безопасностью
Иерахия средств защиты от информационных угроз
Законодательный уровень
Законы в области информационной безопасности
Стандарты в области информационной безопасности
Административный уровень. Политика безопасности
Определение политики безопасности
Верхний уровень политики безопасности
Средний уровень политики безопасности
Нижний уровень политики безопасности
Пример политики безопасности
Процедурный уровень
Процедуры управления персоналом
Процедуры реагирования на нарушения безопасности
Поддержка работоспособности предприятия
Физическая защита
Принципы защиты информационной системы
Подход сверху вниз
Защита как процесс
Эшелонированная защита
Сбалансированная защита
Компромиссы системы безопасности
Вопросы к главе 3

Часть II. БАЗОВЫЕ ТЕХНОЛОГИИ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

Глава 4. Криптография
Основные термины и понятия
Симметричные алгоритмы шифрования
Алгоритм DES
Проблема распределения ключей
Асимметричные алгоритмы шифрования
Исторические предпосылки
Концепция шифрования с открытым ключом
Алгоритм RSA
Атаки на криптосистемы
Сравнение симметричных и асимметричных методов шифрования
Односторонние функции шифрования. Обеспечение целостности
Вопросы к главе 4

Глава 5. Технологии аутентификации
Факторы аутентификации человека
Многоразовые пароли
Электронные аутентификаторы
Биометрические аутентификаторы
Строгая аутентификация на основе многоразового пароля
Аутентификация пользователей сети средствами ОС
Аутентификация по протоколу CHAP
Аутентификация на основе одноразового пароля
Схема с использованием синхронизации
Схема с использованием слова-вызова
Аутентификация на основе сертификатов
Схема использования сертификатов
Сертифицирующие центры
Инфраструктура с открытыми ключами
Технология единого логического входа
Аутентификация информации. Электронная подпись
Электронная подпись
Аутентификация программных кодов
Вопросы к главе 5

Глава 6. Технологии авторизации и управления доступом
Формы представления ограничений доступа
Правила
Матрица прав доступа
Списки доступа
Группы
Способы назначения прав
Дискреционный метод управления доступом
Мандатный метод управления доступом
Ролевое управление доступом
Иерархия ролей
Разделение обязанностей
Формальные модели безопасности управления доступом
Модели на основе конечного автомата
Модель Белла–ЛаПадулы
Модель Биба
Аутентификация и авторизация на основе справочной службы
Назначение справочной службы
Архитектура справочной службы
Вопросы к главе 6

Глава 7. Технологии защищенного канала
Способы образования защищенного канала
Иерархия технологий защищенного канала
Туннелирование
Протокол IPSec
Распределение функций между протоколами IPSec
Безопасная ассоциация
Транспортный и туннельный режимы
Протокол AH
Протокол ESP
Базы данных SAD И SPD
Вопросы к главе 7

Глава 8. Технологии анализа трафика и состояния сети
Аудит
Подотчетность
Задачи аудита
Файерволы
Сегментация сети
Фильтрация трафика
Определение файервола
Типы файерволов
Системы обнаружения вторжений
Типы систем обнаружения вторжений
Функциональная схема IDS
Правила обнаружения атак
Вопросы к главе 8

Часть III. ЗАЩИТА ТРАНСПОРТНОЙ ИНФРАСТРУКТУРЫ СЕТИ

Глава 9. Транспортная инфраструктура и ее уязвимости
Протоколы и их уязвимости
Атаки на траспортную инфраструктуру
TCP-атаки
Затопление SYN-пакетами
Подделка TCP-сегмента
Повторение TCP-сегментов
Сброс TCP-соединения
ICMP-атаки
Перенаправление трафика
ICMP Smurf-атака
Ping смерти и ping-затопление
UDP-атаки
UDP-затопление
ICMP/UDP-затопление
UDP/echo/chargen-затопление
IP-атаки
Атака IP-опции
Атака IP-фрагментация
DNS-атаки
Организация DNS
Атаки на DNS
Методы защиты службы DNS
Сетевая разведка
Вопросы к главе 9

Глава 10. Фильтрация и мониторинг трафика
Фильтрация трафика и файерволы
Типы фильтрации трафика
Файерволы на основе маршрутизаторов
Файерволы с функцией NAT
Мониторинг сети
Сетевые снифферы
Система мониторинга NetFlow
Типовые архитектуры сетей, защищаемых файерволами
Демилитаризованная зона
Обобщенная архитектура сети с защитой периметра и разделением внутренних зон
Вопросы к главе 10

Глава 11. Безопасность маршрутизации на основе BGP
Принципы работы протокола маршрутизации BGP
Уязвимости и инциденты BGP
Защита BGP сессии между соседними маршрутизаторами
Защита маршрутизации BGP на основе данных региональных информационных центров Интернет
Сертификаты ресурсов и их использование для защиты BGP
Защита полного маршрута BGP с помощью сертификатов RPKI
Вопросы к главе 11

Глава 12. Виртуальные частные сети
Определение виртуальной частной сети
Свойства частной сети, имитируемые VPN
Типы VPN
MPLS VPN
VPN на основе шифрования
Вопросы к главе 12

Глава 13. Безопасность локальных беспроводных сетей
Уязвимости локальных беспроводных сетей
Две схемы организации беспроводной сети
Методы защиты локальных беспроводных сетей
Протокол WEP
Стандарт WPA2
Беспроводные системы обнаружения вторжений
Вопросы к главе 13

Глава 14. Безопасность облачных сервисов
Что такое «облачные сервисы»
Определение облачных вычислений
Свойства облачных вычислений
Технологии облачных вычислений
Модели сервисов облачных вычислений
Преимущества облачных сервисов
Проблемы безопасности облачных сервисов
Значимость облачных сервисов
Вопросы к главе 14

Часть IV. БЕЗОПАСНОСТЬ СИСТЕМНОГО И ПРИКЛАДНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Глава 15. Архитектурная безопасность ОС
Сетевая операционная система и сетевые службы
Сетевые приложения
Ядро и вспомогательные модули ОС
Ядро в привилегированном режиме
Микроядерная архитектура
Концепция
Преимущества и недостатки микроядерной архитектуры
Вопросы к главе 15

Глава 16. Аутентификация и управление доступом в ОС
Аутентификация пользователей в ОС
Управление доступом в ОС
Аутентификация пользователей в ОС Windows
Структура и протоколы системы аутентификации ОС Windows
Политика управления паролями
Аутентификация пользователей в ОС Unix
Обзор средств аутентификации Unix
Хранение паролей
Аутентификация по протоколу SSH
Контроль доступа в ОС Unix
Файловая модель доступа
Суперпользователь root
Контроль доступа в ОС семейства Windows
Разрешения на доступ к каталогам и файлам
Встроенные группы пользователей и их права
Система Kerberos
Первичная аутентификация
Получение разрешения на доступ к ресурсному серверу
Получение доступа к ресурсу
Достоинства и недостатки
Справочная служба Active Directory компании Microsoft
Домены Active Directory
Объекты
Глобальный каталог
Иерархия организационных единиц Active Directory
Иерархия доменов. Доверительные отношения
Пространство имен
Аутентификация в многодоменной структуре Active Directory
Вопросы к главе 16

Глава 17. Аудит событий безопасности
Аудит событий в ОС Windows
Аудит событий безопасности в ОС Unix
Вопросы к главе 17

Глава 18. Стандарты безопасности и сертификация
Оранжевая книга
Критерии сертификации вычислительных систем в области безопасности
Шесть базовых требований
Уровни и классы безопасности
Стандарт «Общие критерии»
Общая структура и цели
Функциональные требования безопасности
Требования доверия безопасности
Задание по безопасности и профили защиты
Вопросы к главе 18

Глава 19. Уязвимости программного кода и вредоносные программы
Использование уязвимостей программных кодов
Уязвимости, связанные с нарушением защиты оперативной памяти
Уязвимости контроля вводимых данных
Скрытые коммуникации и скрытые каналы
Внедрение в компьютеры вредоносных программ
Троянские программы
Сетевые черви
Вирусы
Программные закладки
Антивирусные программы
Ботнет
Вопросы к главе 19

Глава 20. Безопасность веб-сервиса
Организация веб-сервиса
Веб- и HTML-страницы
Адрес URL
Веб-клиент и веб-сервер
Протокол HTTP
Формат HTTP-сообщений
Динамические веб-страницы
Безопасность веб-браузера
Приватность и куки
Безопасность коммуникаций браузера и протокол HTTPS
Безопасность средств создания динамических страниц
Вопросы к главе 20

Глава 21. Безопасность электронной почты
Организация почтового сервиса
Электронные сообщения
Протокол SMTP
Непосредственное взаимодействие клиента и сервера
Схема с выделенным почтовым сервером
Схема с двумя почтовыми серверами посредниками
Протоколы POP3 и IMAP
Угрозы и механизмы защиты почты
Угрозы почтовому сервису
Аутентификация отправителя
Шифрование содержимого письма
Защита метаданных пользователя
Атаки на компьютер с помощью почты
Спам
Атаки почтовых приложений
Вопросы к главе 21

Глава 22. Системы защиты программного обеспечения
Файерволы прикладного уровня
Прокси-серверы
Функции прокси-сервера
Прокси-серверы прикладного уровня и уровня соединений
«Проксификация» приложений
Программные файерволы хоста
Вопросы к главе 22

Приложение 1. Обзор нормативно-правовых актов РФ в области информационной безопасности
Федеральный закон «Об информации, информационных технологиях и о защите информации»
Уголовный кодекс РФ
Трудовой, гражданский кодексы и кодекс об Административных правонарушениях РФ
Федеральный закон «О национальной платежной системе»
Законы и нормативно-правовые акты о персональных данных
Правовые акты об электронной подписи
Правовые акты о лицензировании отдельных видов деятельности
Приложение 2. Стеки коммуникационных протоколов
Многоуровневый подход
Модель OSI
Распределение функций между различными элементами сети
Стек протоколов TCP/IP
Типы адресов стека TCP/IP
Формат IP-адреса
Заголовок IP-пакета
Порты
Заголовки UDP- и TCP-сегментов
Сокеты
Протокол ICMP. Утилита ping

Ответы на контрольные вопросы

Предметный указатель

Литература