Пер. с англ. – М.: Компания АйТи: ДМК Пресс: ТЕТРУ, 2004. — 552 с.
Автор: Райан Рассел, Марк Мерков, Робин Уолшоу, Тери Бидвел, Майкл
Кросс, Оливер Стойдлер, Кевин Цайсе.
Безопасность в виртуальном мире Inteet - более запутанная вещь,
чем безопасность в обычном ее понимании. Даже несмотря на то, что
программное обеспечение постоянно модернизируется, специалисты
утверждают: Глобальная сеть день ото дня становится все более
опасной и непредсказуемой.«Единственный способ остановить хакера -
это думать, как он» - основная идея книги. Вниманию читателей
представлены пошаговые инструкции по обеспечению безопасности
финансовых транзакций и реализации защищенного коммерческого сайта,
специальные пояснения, а также подробное руководство по проверке
сайта на ударопрочность.
В книге подробно рассмотрены методы регулирования и оценки защитных мер, составления бюджета проекта и контроля расходов на безопасность. Тем, кто собирается защищать уже работающий коммерческий сайт, безусловно, будет интересно узнать, как вести себя и каким образом повысить существующий уровень безопасности системы.
Издание представляет интерес для руководителей информационных служб предприятий и организаций, разработчиков систем электронной коммерции, специалистов в области информационной безопасности, а также студентов и аспирантов, обучающихся по соответствующим специальностям. Предисловие
Электронная коммерция и принципы информационной безопасности
Введение
Безопасность как фундамент системы
Конфиденциальность
Целостность
Доступность
Безопасность - не просто звучное слово
Цели безопасности в системах электронной коммерции
Разрабатывая систему, думайте о безопасности
Обеспечение безопасности на стадии разработки системы
Воплощение решений безопасности
Управление информационными системами в защищенном режиме
Защита систем, находящихся в эксплуатации
Все начинается с риска
Внесение изменений в систему
Регулирование расходов на безопасность
Метод эталона
Метод оказания давления
Ограничивающие свойства защиты
Способствующие свойства защиты
Резюме
Конспекты
Часто задаваемые вопросы
Распределенная атака «отказ в обслуживании». Цели, средства нападения и методы защиты
Введение
Что такое распределенная атака
Все начинается с DoS
Анатомия распределенной атаки «отказ в обслуживании»
Атаки февраля 2000 года
DDoS и сайты электронной коммерции
Проблемы роста
Проблемы СМИ
Хакер и мотивы, приводящие к взлому коммерческих систем
Этика взлома или путаница в терминологии?
Хактивизм
Пятнадцать минут славы
Нет ничего страшнее униженного хакера
Деньги
Злой умысел
Средства осуществления DDoS-атаки
Trinoo
Портативный монстр TFN2K
Stacheldraht
Другие разновидности DDoS-систем
Защита сайта от распределенного нападения
Основные методы защиты
Резюме
Конспекты
Часто задаваемые вопросы
Разработка защищенного Web-сайта
Введение
Выбор Web-сервера
Web-сервер или Web-сервис
Поддерживаемые платформы и цены
Сравнение защитных свойств Web-серверов
Основы разработки защищенного сайта
Создание плана безопасности
Внедрение слоя безопасности, закрывающего Web-сервер
Apache или Inteet Information Services
Установка сервера
Повышение надежности сервера
Укрепление всей системы
Вскрытие и аудит паролей
Проблемы разработки, связанные с HTML
Введение в Java, javascript и ActiveX
Проблемы, связанные с применением Java, javascript и ActiveX
Предупреждение атак с использованием Java, javascript и ActiveX
Программирование защищенных скриптов
Программные подписи: проблема или решение
Коротко о программных подписях
Аутсорсинг работ по созданию сайта
Определение необходимых знаний
Достоинства и недостатки аутсорсинга
Проверьте выполненную работу перед тем, как ввести сайт в эксплуатацию
Резюме
Конспекты
Часто задаваемые вопросы
Разработка и внедрение политики сетевой безопасности
Введение
Зачем нужна политика безопасности
Что такое политика сетевой безопасности
Из чего состоит политика безопасности
Политика конфиденциальности и приватности
Политика целостности информации
Политика гарантии качества
Политика доступности
Можно ли найти в сети готовую политику безопасности?
Разные организации - разные политики безопасности
Примеры и структура политики безопасности
Несколько слов о привлечении специалистов со стороны
Использование политики безопасности в реализации технических решений
Как ознакомить клиентов с политикой безопасности
Получение доверия путем огласки данных
Резюме
Конспекты
Часто задаваемые вопросы
Реализация защищенного сайта электронной коммерции
Введение
Компоненты коммерческого сайта
Создание зон безопасности
Зоны демилитаризации
Дополнительные потребности - новые зоны безопасности
Многозональные сети и связанные с ними трудности
Межсетевое экранирование
Возможности систем межсетевого экранирования
Создание набора фильтрующих правил
Размещение сетевых компонентов
Профилирование систем по критерию риска
Определение требований к управлению рисками
Создание зон безопасности на основе предъявляемых требований
Системы обнаружения вторжения
Что такое «обнаружение вторжения»
Выбор системы IDS
Пример сетевой IDS
Пример локальной IDS
Управление и контроль
Управленческие задачи, решаемые администратором
Что должен контролировать администратор
Зачем нужны аутсорсинг-партнеры
Достоинства и недостатки аутсорсинга
Использование мощностей выделенных подстанций
Выбор аутсорсинг-партнера
Резюме
Конспекты
Часто задаваемые вопросы
Защита финансовых операций
Введение
Принцип и системы оплаты через Inteet
Кредитные, расходные или дебетные карты
Процесс оплаты на пункте продажи
Особенности обработки расходных карт
Обработка и окончательный расчет
Стадии процесса оплаты через Inteet
Осторожно, опасная информация!
Подходы к решению проблем оплаты через Inteet
Варианты и выбор способа коммерческой оплаты
Провайдеры коммерческого сервера
Использование собственных ресурсов
Обеспечение надежности процесса оплаты
Дополнительные средства управления сервером
Управление на прикладном уровне
Понятие криптографии
Методология
Роль ключей в криптосистемах
Принципы криптографии
Цифровые сертификаты
Криптография в электронной коммерции
Функции хэширования
Блочные шифры
Системы, реализующие РРК-криптографию
Протокол SSL
Протокол защищенных транспортных уровней
Система PGP
S/MIME
Протокол защищенных электронных транзакций
Цифровые подписи на языке XML
Реализация виртуального POS
Программа ICVERIFY
Альтернативные системы оплаты
Разработки на основе использования смарт-карт
Системы proxy-обслуживания
Забавные деньги
Резюме
Конспекты
Часто задаваемые вопросы
Взлом собственного сайта
Введение
Различные виды атак
Отказ в обслуживании
Утечка информации
Получение доступа к файловой системе
Дезинформация
Получение доступа к служебным файлам
Расширение привилегий
Планирование риска
Определение количества вложенных средств
Каким образом хакеры могут угрожать сайту и как обнаружить угрозу
Выявление уязвимостей сайта
Основы техники проведения аудита
Изучение уязвимостей системы
Использование средств автоматического сканирования
Наем команды аудиторов
Резюме
Конспекты
Часто задаваемые вопросы
Чрезвычайное планирование
Введение
Что такое чрезвычайное планирование
Структура чрезвычайного плана
Чрезвычайный план и соответствие стандартам качества
Обеспечение резервного копирования и восстановления данных
Необходимость сверки резервной копии с оригиналом
Защита резервных копий конфиденциальной информации
Планирование действий при отказе оборудования или прекращении обслуживания
Проблема отказа ключевого элемента
Как защититься от стихийных бедствий
«Горячие» сайты: альтернативный путь к спасению
Как выбрать «горячий» сайт
Тестирование «горячего» сайта
Страхование рисков электронной коммерции
Страхование профессиональной ответственности
Страхование интеллектуальной собственности
Защита собственности и доходов
Выбор страхования
Страхование, которое может и не понадобиться
Резюме
Конспекты
Часто задаваемые вопросы
Поддержка больших объемов сетевого трафика
Введение
Что делать, если популярность сайта превзошла все ожидания
Определение загрузки сайта
Повышение производительности Web-сервера
Управление пропускной способностью
Заключение договора с провайдером
Когда скорости не хватает
Растут потребности - увеличиваются скорости
Распределение нагрузки
Что подразумевается под распределением нагрузки
Преимущества и недостатки использования распределителя нагрузки
Аспекты безопасности в применении распределителей нагрузки
Резюме
Конспекты
Часто задаваемые вопросы
Чрезвычайное реагирование, сетевая криминалистика и закон
Введение
Зачем нужна политика чрезвычайного реагирования
Решайте сами - паниковать или сохранять спокойствие
Чего делать не стоит
Хорошая политика окупается сторицей
Краткое резюме политики чрезвычайного реагирования
Создание команды чрезвычайного реагирования
Определение рамок преследования
Хакеры, переступившие черту
Понятие цепи доступа
Процесс чрезвычайного реагирования
Введение в сетевую криминалистику
Отслеживание инцидентов
Ресурсы
Юридические документы
Резервное копирование/сетевая криминалистика
Системы отслеживания инцидентов
Разное
Резюме
Конспекты
Часто задаваемые вопросы
Методы доставки информации, предлагаемые компанией Cisco
Введение
Модернизация защиты с использованием Cisco LocalDirector
Технология LocalDirector
Краткое описание продукта LocalDirector
LocalDirector: опции повышения безопасности системы
Cisco DistributedDirector и системы географически разрозненных серверов
Краткое описание продукта DistributedDirector
Механизмы обеспечения безопасности
Информационные коммутаторы Cisco
Технология информационной коммутации
Краткое описание продукта
Информационные коммутаторы: опции повышения безопасности системы
Резюме
Часто задаваемые вопросы
Защита от хакеров коммерческого сайта. Конспекты
Предметный указатель
В книге подробно рассмотрены методы регулирования и оценки защитных мер, составления бюджета проекта и контроля расходов на безопасность. Тем, кто собирается защищать уже работающий коммерческий сайт, безусловно, будет интересно узнать, как вести себя и каким образом повысить существующий уровень безопасности системы.
Издание представляет интерес для руководителей информационных служб предприятий и организаций, разработчиков систем электронной коммерции, специалистов в области информационной безопасности, а также студентов и аспирантов, обучающихся по соответствующим специальностям. Предисловие
Электронная коммерция и принципы информационной безопасности
Введение
Безопасность как фундамент системы
Конфиденциальность
Целостность
Доступность
Безопасность - не просто звучное слово
Цели безопасности в системах электронной коммерции
Разрабатывая систему, думайте о безопасности
Обеспечение безопасности на стадии разработки системы
Воплощение решений безопасности
Управление информационными системами в защищенном режиме
Защита систем, находящихся в эксплуатации
Все начинается с риска
Внесение изменений в систему
Регулирование расходов на безопасность
Метод эталона
Метод оказания давления
Ограничивающие свойства защиты
Способствующие свойства защиты
Резюме
Конспекты
Часто задаваемые вопросы
Распределенная атака «отказ в обслуживании». Цели, средства нападения и методы защиты
Введение
Что такое распределенная атака
Все начинается с DoS
Анатомия распределенной атаки «отказ в обслуживании»
Атаки февраля 2000 года
DDoS и сайты электронной коммерции
Проблемы роста
Проблемы СМИ
Хакер и мотивы, приводящие к взлому коммерческих систем
Этика взлома или путаница в терминологии?
Хактивизм
Пятнадцать минут славы
Нет ничего страшнее униженного хакера
Деньги
Злой умысел
Средства осуществления DDoS-атаки
Trinoo
Портативный монстр TFN2K
Stacheldraht
Другие разновидности DDoS-систем
Защита сайта от распределенного нападения
Основные методы защиты
Резюме
Конспекты
Часто задаваемые вопросы
Разработка защищенного Web-сайта
Введение
Выбор Web-сервера
Web-сервер или Web-сервис
Поддерживаемые платформы и цены
Сравнение защитных свойств Web-серверов
Основы разработки защищенного сайта
Создание плана безопасности
Внедрение слоя безопасности, закрывающего Web-сервер
Apache или Inteet Information Services
Установка сервера
Повышение надежности сервера
Укрепление всей системы
Вскрытие и аудит паролей
Проблемы разработки, связанные с HTML
Введение в Java, javascript и ActiveX
Проблемы, связанные с применением Java, javascript и ActiveX
Предупреждение атак с использованием Java, javascript и ActiveX
Программирование защищенных скриптов
Программные подписи: проблема или решение
Коротко о программных подписях
Аутсорсинг работ по созданию сайта
Определение необходимых знаний
Достоинства и недостатки аутсорсинга
Проверьте выполненную работу перед тем, как ввести сайт в эксплуатацию
Резюме
Конспекты
Часто задаваемые вопросы
Разработка и внедрение политики сетевой безопасности
Введение
Зачем нужна политика безопасности
Что такое политика сетевой безопасности
Из чего состоит политика безопасности
Политика конфиденциальности и приватности
Политика целостности информации
Политика гарантии качества
Политика доступности
Можно ли найти в сети готовую политику безопасности?
Разные организации - разные политики безопасности
Примеры и структура политики безопасности
Несколько слов о привлечении специалистов со стороны
Использование политики безопасности в реализации технических решений
Как ознакомить клиентов с политикой безопасности
Получение доверия путем огласки данных
Резюме
Конспекты
Часто задаваемые вопросы
Реализация защищенного сайта электронной коммерции
Введение
Компоненты коммерческого сайта
Создание зон безопасности
Зоны демилитаризации
Дополнительные потребности - новые зоны безопасности
Многозональные сети и связанные с ними трудности
Межсетевое экранирование
Возможности систем межсетевого экранирования
Создание набора фильтрующих правил
Размещение сетевых компонентов
Профилирование систем по критерию риска
Определение требований к управлению рисками
Создание зон безопасности на основе предъявляемых требований
Системы обнаружения вторжения
Что такое «обнаружение вторжения»
Выбор системы IDS
Пример сетевой IDS
Пример локальной IDS
Управление и контроль
Управленческие задачи, решаемые администратором
Что должен контролировать администратор
Зачем нужны аутсорсинг-партнеры
Достоинства и недостатки аутсорсинга
Использование мощностей выделенных подстанций
Выбор аутсорсинг-партнера
Резюме
Конспекты
Часто задаваемые вопросы
Защита финансовых операций
Введение
Принцип и системы оплаты через Inteet
Кредитные, расходные или дебетные карты
Процесс оплаты на пункте продажи
Особенности обработки расходных карт
Обработка и окончательный расчет
Стадии процесса оплаты через Inteet
Осторожно, опасная информация!
Подходы к решению проблем оплаты через Inteet
Варианты и выбор способа коммерческой оплаты
Провайдеры коммерческого сервера
Использование собственных ресурсов
Обеспечение надежности процесса оплаты
Дополнительные средства управления сервером
Управление на прикладном уровне
Понятие криптографии
Методология
Роль ключей в криптосистемах
Принципы криптографии
Цифровые сертификаты
Криптография в электронной коммерции
Функции хэширования
Блочные шифры
Системы, реализующие РРК-криптографию
Протокол SSL
Протокол защищенных транспортных уровней
Система PGP
S/MIME
Протокол защищенных электронных транзакций
Цифровые подписи на языке XML
Реализация виртуального POS
Программа ICVERIFY
Альтернативные системы оплаты
Разработки на основе использования смарт-карт
Системы proxy-обслуживания
Забавные деньги
Резюме
Конспекты
Часто задаваемые вопросы
Взлом собственного сайта
Введение
Различные виды атак
Отказ в обслуживании
Утечка информации
Получение доступа к файловой системе
Дезинформация
Получение доступа к служебным файлам
Расширение привилегий
Планирование риска
Определение количества вложенных средств
Каким образом хакеры могут угрожать сайту и как обнаружить угрозу
Выявление уязвимостей сайта
Основы техники проведения аудита
Изучение уязвимостей системы
Использование средств автоматического сканирования
Наем команды аудиторов
Резюме
Конспекты
Часто задаваемые вопросы
Чрезвычайное планирование
Введение
Что такое чрезвычайное планирование
Структура чрезвычайного плана
Чрезвычайный план и соответствие стандартам качества
Обеспечение резервного копирования и восстановления данных
Необходимость сверки резервной копии с оригиналом
Защита резервных копий конфиденциальной информации
Планирование действий при отказе оборудования или прекращении обслуживания
Проблема отказа ключевого элемента
Как защититься от стихийных бедствий
«Горячие» сайты: альтернативный путь к спасению
Как выбрать «горячий» сайт
Тестирование «горячего» сайта
Страхование рисков электронной коммерции
Страхование профессиональной ответственности
Страхование интеллектуальной собственности
Защита собственности и доходов
Выбор страхования
Страхование, которое может и не понадобиться
Резюме
Конспекты
Часто задаваемые вопросы
Поддержка больших объемов сетевого трафика
Введение
Что делать, если популярность сайта превзошла все ожидания
Определение загрузки сайта
Повышение производительности Web-сервера
Управление пропускной способностью
Заключение договора с провайдером
Когда скорости не хватает
Растут потребности - увеличиваются скорости
Распределение нагрузки
Что подразумевается под распределением нагрузки
Преимущества и недостатки использования распределителя нагрузки
Аспекты безопасности в применении распределителей нагрузки
Резюме
Конспекты
Часто задаваемые вопросы
Чрезвычайное реагирование, сетевая криминалистика и закон
Введение
Зачем нужна политика чрезвычайного реагирования
Решайте сами - паниковать или сохранять спокойствие
Чего делать не стоит
Хорошая политика окупается сторицей
Краткое резюме политики чрезвычайного реагирования
Создание команды чрезвычайного реагирования
Определение рамок преследования
Хакеры, переступившие черту
Понятие цепи доступа
Процесс чрезвычайного реагирования
Введение в сетевую криминалистику
Отслеживание инцидентов
Ресурсы
Юридические документы
Резервное копирование/сетевая криминалистика
Системы отслеживания инцидентов
Разное
Резюме
Конспекты
Часто задаваемые вопросы
Методы доставки информации, предлагаемые компанией Cisco
Введение
Модернизация защиты с использованием Cisco LocalDirector
Технология LocalDirector
Краткое описание продукта LocalDirector
LocalDirector: опции повышения безопасности системы
Cisco DistributedDirector и системы географически разрозненных серверов
Краткое описание продукта DistributedDirector
Механизмы обеспечения безопасности
Информационные коммутаторы Cisco
Технология информационной коммутации
Краткое описание продукта
Информационные коммутаторы: опции повышения безопасности системы
Резюме
Часто задаваемые вопросы
Защита от хакеров коммерческого сайта. Конспекты
Предметный указатель