16.3. Функционирование системы управления
средствами безопасности
Структурными элементами системы управления средствами безопасности TrustWorks являются агенты безопасности (Trusted
Agent), Центр управления (Trusted GSM Server) и Консоль управления (Trusted GSM Console) (рис. 16.2).
Назначение основных средств безопасности
Агент безопасности (Trusted Agent), установленный на персо
нальном компьютере клиента, ориентирован на защиту индиви
дуального пользователя, выступающего, как правило, клиентом в приложениях клиент—сервер.
Агент безопасности, установленный на сервере приложений, ориентирован на обеспечение защиты серверных компонентов распределенных приложений.
Распределенное
приложение, Ресурс
(объект политики
безопасности)
Управление
Центр управления
средствами
информационной
безопасности
Сервер TGSM
Консоль
управления
GSM
Сервер
приложения
Агент
безопасности
Агент
безопасности
Шлюз
Агент
безопасности
Клиент
Инфраструктурные
(системообразующие)
службы
предприятия
Пользователь
(объект политики
безопасности)
—
а
Рис. 16.2. Общая структурная схема системы управления средствами
информационной безопасности
Агент безопасности, установленный на шлюзовом компьюте
ре, обеспечивает развязку сегментов сети внутри предприятия или между предприятиями.
Центр управления (Trusted GSM Server) обеспечивает описа
ние и хранение глобальной политики безопасности в масштабах сети, трансляцию глобальной политики в локальные политики безопасности устройств зашиты, загрузку устройств защиты и контроль состояний всех агентов системы. Для организации рас
пределенной схемы управления безопасности предприятия в сис
теме GSM предусматривается установка нескольких (до 65 535) серверов GSM.
Консоль управления (Trusted GSM Console) предназначена для организации рабочего места администратора (администраторов) системы. Для каждого из серверов GSM может быть установлено несколько консолей, каждая из которых настраивается согласно ролевым правам каждого из администраторов системы GSM.
Локальный Агент безопасности ( Trusted Agent) представляет со
бой программу, размещаемую на оконечном устройстве (клиенте, сервере, шлюзе) и выполняющую следующие функции защиты:
• аутентификацию объектов политики безопасности, вклю
чая интеграцию различных сервисов аутентификации;
• определение пользователя в системе и событий, связанных с данным пользователем;
• обеспечение централизованного управления средствами без
опасности и контроля доступа;
• управление ресурсами в интересах приложений, поддержку управления доступом к ресурсам прикладного уровня;
• защиту и аутентификацию трафика;
• фильтрацию трафика;
• событийное протоколирование, мониторинг, тревожную сигнализацию.
Дополнительные функции Trusted Agent:
• поставка криптосервиса (multiple concurrent pluggable mo
dules);
• управление периметрами Single Sign-On (как подзадача ау
тентификации пользователей);
• сервис в интересах защищенных приложений (криптосервис, сервис доступа к РКІ, доступ к управлению безопасностью);
• сжатие трафика (IPcomp, pluggable module);
• управление резервированием сетевых ресурсов (QoS);
• функции локального агента сетевой антивирусной защиты.
Центральным элементом локального агента является
процессор локальной политики безопасности (LSP processor), интерпре
тирующий локальную политику безопасности и распределяю
щий вызовы между остальными компонентами.
Защита ресурсовАутентификация и авторизация доступа. В рамках решения реализуются различные по функциональности схемы аутентифи
кации, каждая из которых включает тип аутентификации и спо
соб (механизм) идентификации объектов.
Для выбора типа аутентификации предусмотрены следующие возможности: аутентификация пользователя при доступе к среде
GSM или локальной ОС, аутентификация пользователя при дос
тупе в сеть (сегмент сети), взаимная сетевая аутентификация объектов (приложение—приложение). Для выбора способа иден
тификации предусмотрены следующие варианты, предполагаю
щие их любое совместное использование: токен (смарт-карта), пароль, «внешняя» аутентификация.
Контроль доступа при сетевых взаимодействиях. При инициа
лизации защищенного сетевого соединения от локальной ОС или при получении запроса на установление внешнего соедине
ния локальные агенты безопасности Trusted Agent на концах со
единения (и/или на промежуточном шлюзе) обращаются к ЛПБ устройства и проверяют, разрешено ли установление этого со
единения. В случае, если такое соединение разрешено — обеспе
чивается требуемый сервис защиты данного соединения, если запрещено — сетевое соединение не предоставляется.
Контроль доступа на уровне прикладных объектов. Для неза
щищенных распределенных приложений в GSM обеспечивается сервис разграничения прав доступа на уровне внутренних объек
тов данного приложения. Контроль доступа на уровне объектов прикладного уровня обеспечивается за счет применения меха
низма proxy. Proxy разрабатывается для каждого прикладного протокола. Предустановленным является протокол http.
Для построения распределенной схемы управления и сниже
ния загрузки сети в GSM используется архитектура распределен
ных прокси-агентов (Proxy Module в составе Trusted Agent), каж
дый из которых:
• имеет абстрактный универсальный интерфейс, обеспечиваю
щий модульное подключение различных ргоху-фильтров;
• имеет интерфейс к системе управления, но использует вре
менный кэш для управления параметрами фильтрации, а фильтрация управляется обобщенными правилами типа:
— аутентифицировать субъект X в приложении-объекте Y;
— разрешить доступ субъекту X к объекту Y с параметра
ми Р;
— запретить доступ субъекту X к объекту Z;
— семантика правил управления ргоху-фильтром и описа
ния субъектов и объектов доступа зависят от конкретного прикладного протокола, однако центр управления имеет возможность регистрировать ргоху-фильтры и обеспечи
вать управления ими в контексте общей глобальной по
литики безопасности.
Proxy Agent может быть установлен на шлюзе безопасности, непосредственно на сервере, исполняющем контролируемые при
ложения, и на клиентском месте системы.
Управление средствами защиты
Важнейшим элементом решения TrustWorks является центра
лизованная, основанная на политике (policy based) система управ
ления средствами сетевой и информационной безопасности мас
штаба предприятия. Эта система обеспечивает следующие качест
венные потребительские характеристики:
• высокий уровень защищенности системы управления (пу
тем выделения защищенного периметра управления внутри сети предприятия);
• расширяемость системы управления информационной без
опасностью;
• высокий уровень надежности системы управления и клю
чевых ее компонентов;
• интеграцию с корпоративными системами общего сетевого и информационного управления;
• простую, интуитивно воспринимаемую, эргономичную и ин
фраструктурную среду описания, формирования, мониторин
га и диагностики политики безопасности масштаба предпри
ятия (enterprise level policy based management).
Управление осуществляется специальным ПО администра
тора — Консолью управления (Trusted GSM Console). Количество и функции каждого из экземпляров установленного в системе
ПО Trusted GSM Console задаются главным администратором системы в зависимости от организационной структуры пред
приятия. Для назначения функций каждого из рабочих мест
Trusted GSM Console используется ролевой механизм разграни
чения прав по доступу к функциям управления (менеджмента) системы.
Функции управления GSM. В зависимости от вида управляе
мых объектов набор управляющих функций в GSM можно ус
ловно разбить на три категории.
1.
Управление информационным каталогом. Функции управ
ления информационным каталогом определяют информацион
ную составляющую GSM:
• формирование разделов каталога;
• описание услуг каталога;
• назначение и контроль сетевых ресурсов, требуемых для выполнения услуги;
• регистрацию описания услуги;
• контроль состояния услуг или разделов каталога услуг;
• мониторинг исполнения услуг;
• подготовку и пересылку отчетов (протоколов) по состоя
нию каталога.
2. Управление пользователями и правами доступа. Для управления правами доступа пользователей системы к услугам
(информационным или сетевым ресурсам) GSM обеспечивает следующие функции:
• формирование групп пользователей по ролям и/или приви
легиям доступа к услугам системы;
• формирование иерархических агрегаций пользователей по административным, территориальным или иным критери
ям (домены и/или департаменты);
• формирование ролей доступа пользователей к услугам (ин
формационным или сетевым ресурсам);
• назначение уровней секретности для услуг и пользователей системы (поддержка мандатного механизма разграничения прав);
• назначение фиксированных прав доступа группам, ролям, агрегациям пользователей или отдельным пользователям системы к информационным или сетевым ресурсам сис
темы;
• подготовку и пересылку отчетов (протоколов) по доступу пользователей к услугам системы;
• подготовку и пересылку отчетов (протоколов) по работе ад
министраторов системы
3. Управление правилами ГПБ. Правила ГПБ ставят в соот
ветствие конкретные свойства защиты (как для сетевых соедине
ний, так и для доступа пользователей к информационным услу
гам) предустановленным уровням безопасности системы. Кон
троль за соблюдением правил ГПБ выполняет специальный модуль в составе сервера системы —
Security Policy Processor, обеспечивающий:
• определение каждого из уровней безопасности набором па
раметров защиты соединений, схемы аутентификации и разграничения прав;
• назначение уровней безопасности
конкретным услугам или разделам каталога услуг;
• назначение уровней безопасности пользователям или лю
бым агрегациям пользователей системы (группам, ролям, доменам, департаментам);
• контроль за целостностью ГПБ (полнотой правил);
• вычисление политик безопасности ЛПБ локальных уст
ройств зашиты — агентов безопасности — и контроль их исполнения;
• контроль за исполнением ГПБ по различным критериям;
• подготовку и пересылку отчетов (протоколов) по состоя
нию системы и всех попыток нарушения ГПБ.
Каждый из администраторов системы аутентифицируется и ра
ботает с системой через Trusted GSM Console согласно предуста
новленным для него правам (на каталог ресурсов или его часть, на определенный ролями набор функций управления, на группы или другие наборы пользователей). Все действия любого из админист
раторов протоколируются и могут попарно контролироваться.
16.4. Аудит и мониторинг безопасности
Для организаций, компьютерные сети которых насчитывают не один десяток компьютеров, функционирующих под управле
нием различных ОС, на первое место выступает задача управле
ния множеством разнообразных защитных механизмов в таких гетерогенных корпоративных сетях. Сложность сетевой инфра- стуктуры, многообразие данных и приложений приводят к тому, что при реализации системы информационной безопасности за пределами внимания администратора безопасности могут ос
таться многие угрозы. Поэтому необходимо осуществление регу
лярного аудита и постоянного мониторинга безопасности ИС.
Аудит безопасности информационной системы
Понятие аудита безопасности. Аудит представляет собой неза
висимую экспертизу отдельных областей функционирования предприятия. Одной из составляющих аудита предприятия явля
ется аудит безопасности его ИС.
В настоящее время актуальность аудита безопасности ИС резко возросла. Это связано с увеличением зависимости органи
заций от информации и ИС. Возросла уязвимость ИС за счет повышения сложности элементов ИС, появления новых техно
логий передачи и хранения данных, увеличения объема ПО. Рас
ширился спектр угроз для ИС из-за активного использования предприятиями открытых глобальных сетей для передачи сооб
щений и транзакций.
Аудит безопасности И С дает возможность руководителям и сотрудникам организаций получить ответы на вопросы:
• как оптимально использовать существующую ИС при раз
витии бизнеса;
• как решаются вопросы безопасности и контроля доступа;
• как установить единую систему управления и мониторинга
ИС;
• когда и как необходимо провести модернизацию оборудо
вания и ПО;
• как минимизировать риски при размещении конфиденци
альной информации в ИС организации, а также наметить пути решения обнаруженных проблем.
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Достоверную и обоснованную информацию можно получить, только рассматривая все взаимосвязи между проблемами. Проведение аудита позволяет оценить текущую безопасность ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обос
нованно подойти к вопросу обеспечения безопасности информа
ционных ресурсов организации.
Цели проведения аудита безопасности ИС:
• оценка текущего уровня защищенности ИС;
• локализация узких мест в системе защиты ИС;
• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
• выработка рекомендаций по внедрению новых и повыше
нию эффективности существующих механизмов безопасно
сти ИС;
• оценка соответствия И С существующим стандартам в об
ласти информационной безопасности.
В число дополнительных задач аудита ИС могут также вхо
дить выработка рекомендаций по совершенствованию политики безопасности организации и постановка задач для ИТ персона
ла, касающихся обеспечения защиты информации.
Проведение аудита безопасности информационных систем. Ра
боты по аудиту безопасности ИС
состоят из последовательных этапов, которые в целом соответствуют этапам проведения ком
плексного ИТ аудита автоматизированной системы:
• инициирования процедуры аудита;
• сбора информации аудита;
• анализа данных аудита;
• выработки рекомендаций;
• подготовки аудиторского отчета.
Аудиторский отчет является основным результатом проведе
ния аудита. Отчет должен содержать описание целей проведения аудита, характеристику обследуемой ИС, результаты анализа данных аудита, выводы, содержащие оценку уровня защищенно
сти АС или соответствия ее требованиям стандартов, и рекомен
дации по устранению существующих недостатков и совершенст
вованию системы защиты.
Мониторинг безопасности системы
Функции мониторинга безопасности ИС выполняют средст
ва анализа защищенности и средства обнаружения атак (см. гл. 14). Средства анализа защищенности исследуют настройки элементов защиты ОС на рабочих станциях и серверах, БД. Они исследуют топологию сети, ищут незащищенные или неправиль
ные сетевые соединения, анализируют настройки МЭ.
В функции системы управления безопасностью входит выра
ботка рекомендаций администратору по устранению обнаружен
ных уязвимостей в сетях, приложениях или иных компонентах
ИС организации.
Использование модели адаптивного управления безопасно
стью сети дает возможность контролировать практически все уг
розы и своевременно реагировать на них, позволяя не только уст
ранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к их появлению.
Приложение ТРЕБОВАНИЯ К СОВРЕМЕННЫМ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИТребования к современным системам защиты информации основаны на материалах отечественных стандартов по информа
ционной безопасности и руководящих документов (РД) по тех
нической защите информации Государственной технической комиссии (ГТК) России.
Общие требования и рекомендацииСистема (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначе
ния,
должна предусматривать комплекс организационных, про
граммных, технических и, при необходимости, криптографиче
ских средств и мер по защите информации при ее автоматизиро
ванной обработке, хранении и передаче по каналам связи.
Основными направлениями защиты информации являются:
• обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки в результате
несанкционированного доступа (НСД) и специальных воз
действий;
• обеспечение защиты информации от утечки по техниче
ским каналам при ее обработке, хранении и передаче по каналам связи.
В качестве основных мер защиты информации рекоменду
ются:
• документальное оформление перечня сведений конфиден
циального характера с учетом ведомственной и отраслевой специфики этих сведений;
• реализация разрешительной системы допуска исполните
лей (пользователей, обслуживающего персонала) к инфор
мации и связанным с ее использованием работам и доку
ментам;
• ограничение доступа персонала и посторонних лиц в защи
щаемые помещения и помещения, где размещены средства информатизации и коммуникации и хранятся носители ин
формации;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• регистрация действий пользователей автоматизированной
системы (АС) и обслуживающего персонала, контроль за
НСД и действиями пользователей, обслуживающего персо
нала и посторонних лиц;
• учет и надежное хранение бумажных и машинных носите
лей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничто
жение;
• использование специальных защитных знаков (СЗЗ), созда
ваемых на основе физико-химических технологий для кон
троля доступа к объектам защиты и для защиты докумен
тов от подделки;
• необходимое резервирование технических средств и дубли
рование массивов и носителей информации;
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработ
ки, передачи и хранения информации;
• использование технических средств, удовлетворяющих тре
бованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты ин
формации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны (КЗ);
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
• развязка цепей электропитания объектов защиты с помо
щью защитных фильтров, блокирующих (подавляющих) ин
формативный сигнал;
• электромагнитная развязка между линиями связи и други
ми цепями вспомогательных технических средств и систем
(ВТСС), выходящими за пределы КЗ, и информационны
ми цепями, по которым циркулирует защищаемая инфор
мация;
• использование защищенных каналов связи и криптографи
ческих средств защиты информации (СЗИ);
• размещение дисплеев и других средств отображения ин
формации, исключающее несанкционированный просмотр информации;
• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри кон
тролируемой зоны технических средств разведки или про
мышленного шпионажа;
• криптографическое преобразование информации, обраба
тываемой и передаваемой средствами вычислительной тех
ники и связи;
• предотвращение внедрения в АС программ-вирусов и про
граммных закладок.
В целях дифференцированного подхода к защите информа
ции, обрабатываемой в АС различного уровня и назначения, проводится классификация АС. Классификация АС осуществля
ется на основании требований РД ГТК России «Автоматизиро
ванные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» [21].
Конкретные требования по защите информации и мероприя
тия по их выполнению определяются в зависимости от установ
ленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уров
ню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от НСД к информации приведены в таблице [21].
Лица, допущенные к автоматизированной обработке конфи
денциальной информации, несут ответственность за соблюдение установленного в учреждении (на предприятии) порядка обеспе
чения защиты этой информации.
Классы защищенности от НСД к информации
Руководящий документ
Классы защищенности
1 2
3
4 5
6 7
8 9
10 111 1 12 113 1 1 4 1 1 5 116 1 17 1 18
1
Автоматизированные системы
1А 1Б
1В
1Г
ід
2А 2Б ЗА ЗБ
1-я группа
2-я
группа
3-я
группа
1 1 *
*
*
1 *
2
Средства вычислительной техники
4-я
гр.
3-я группа
2-я
группа
1-я
ір.
*
3 Межсетевые экраны
*
4
Специальные защитные знаки
*
5
Недекларированные возможности
*
* рекомендуемые классы защищенности от НСД к конфиденциальной ин
формации.
Конкретные требования к современным системам защиты информации приве
дены в следующих руководящих документах Гостехкомиссии России и государ
ственных стандартах РФ:
1. Автоматизированные системы. Защита от НСД к информации. Классифи
кация АС и требования по защите информации. РД ГТК России. М., 1992.
2. Средства вычислительной техники. Защита от НСД к информации. Пока
затели защищенности от НСД к информации. РД ГТК России. М., 1992.
3. Средства вычислительной техники. МЭ. Защита от НСД к информации.
Показатели защищенности от НСД к информации. РД ГТК России. М., 1997.
4. Защита информации. Специальные защитные знаки. Классификация и
общие требования. РД ГТК России. М., 1992.
5. Защита от НСД к информации. Часть 1. ПО средств защиты информации.
Классификация по уровню контроля отсутствия недекларированных возможно
стей. РД ГТК России. М., 1999.
6. Специальные требования и рекомендации по технической защите конфи
денциальной информации (СТР-К). РД ГТК России. М., 2001.
7. ГОСТ Р 50739—95. Средства вычислительной техники. Защита от несанк
ционированного доступа к информации. Общие технические требования.
8. ГОСТ Р 51583—2000. Защита информации. Порядок создания систем в за
щищенном исполнении.
Литература
1. Абрамов А. В., Панасенко С. П., Петренко С. А. VPN-решения для российских компаний / / Конфидент. 2001. № 1.
2. Астахов А. М. Аудит безопасности информационных систем.
Конфидент. 2003. № 2.
3. Ахметов К. Безопасность в Windows ХР / / Безопасность. 2001.
№ 12 4. Гайкович В., Першин А. Безопасность электронных банковских систем. М.: Единая Европа, 1994.
5. Галатенко В. А. Информационная безопасность — грани практического подхода. Конференция «Корпоративные Информа
ционные Системы». М., 1999.
6. Галатенко В. А., И. Трифоленков. Введение в безопасность Ин
тернет / / LAN. 1996. № 6.
7. Галатенко В. А. Информационная безопасность / / Открытые системы. 1996. № 1.
8. Галатенко В. А. Информационная безопасность в Intranet / /
LAN. 1996. № 7.
9. Галицкий А. В., РябкоС.Д., Шаньгин В. Ф. Защита информа
ции в сети — анализ технологий и синтез решений М.: ДМК Пресс,
2004.
10. ГОСТ 28147—89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
М., 1989.
11. ГОСТ Р 34.10—94. Информационная технология. Криптогра
фическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного крипто
графического алгоритма. М., 1994.
12. ГОСТ Р 34.11—94. Информационная технология. Криптогра
фическая защита информации. Функция хэширования. М., 1994.
13. ГОСТ Р 50739—95. Средства вычислительной техники. За
щита от несанкционированного доступа к информации. Общие тех
нические требования.
14. ГОСТ Р 50922—96. Защита информации. Основные термины и определения.
15. ГОСТ Р 51275—99. Защита информации. Объект информа
ции. Факторы, воздействующие на информацию. Общие положения.
16. ГОСТ Р 51583—2000. Защита информации. Порядок созда
ния систем в защищенном исполнении.
17. ГОСТ Р 34.10—2001. Информационная технология. Крипто
графическая защита информации. Процессы формирования и про
верки электронной цифровой подписи.
18. ГОСТ Р ИСО/МЭК 15408-1—2002. Информационная техно
логия. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введе
ние и общая модель. М., 2002.
19. ГОСТ Р ИСО/МЭК 15408-2—2002. Информационная техно
логия. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функ
циональные требования безопасности. М., 2002.
20. ГОСТ Р ИСО/МЭК 15408-3—2002. Информационная техно
логия. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требо
вания доверия к безопасности. М., 2002.
21. Гостехкомиссия России. Автоматизированные системы. За
щита от несанкционированного доступа к информации. Классифи
кация автоматизированных систем и требования по защите инфор
мации: руководящий документ. М., 1992.
22. Гостехкомиссия России. Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показа
тели защищенности от НСД к информации: руководящий документ.
М., 1992.
23. Гостехкомиссия России. Средства вычислительной техники.
Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: руководящий документ. М., 1997.
24. Гостехкомиссия России. Защита информации. Специальные защитные знаки. Классификация и общие требования: руководя
щий документ. М., 1992.
25. Гостехкомиссия России. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутст
вия недекларированных возможностей: руководящий документ. М.,
1999.
26. Гостехкомиссия России. Специальные требования и реко
мендации по технической защите конфиденциальной информации
(СТР-К): руководящий документ. М., 2001.
27. Грязное Е. С., Панасенко С. П. Безопасность локальных се
тей / / Мир и безопасность. 2003. № 2.
28. Диффи У Первые десять лет криптографии с открытым клю
чом / / ТИИЭР. Т. 76. 1988. № 5.
29.
Дшхунян В.
Л.у
Шанъгин В. Ф. Электронная идентификация.
Бесконтактные электронные идентификаторы и смарт-карты. М.:
ACT: НТ Пресс, 2004.
30. ЗегждаД. П., ИвашкоА. М. Основы безопасности информа
ционных систем. М.: Горячая линия—Телеком, 2000.
31. Зима В. М., Молдовян А. А., Молдовян Н. А. Компьютерные сети и защита передаваемой информации. СПб.: Изд. СПбГУ, 1998.
32. Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность гло
бальных сетевых технологий. СПб.: БХВ-Петербург, 2001.
33. Иванов П. IPSec: защита сетевого уровня / / Сети. 2000. № 2.
34. ИСО/МЭК 14888-1—98. Информационная технология. Ме
тоды защиты. Цифровые подписи с приложением. Часть 1. Общие положения.
35. ИСО/МЭК 14888-2—99. Информационная технология. Ме
тоды защиты. Цифровые подписи с приложением. Часть 2. Меха
низмы на основе подтверждения подлинности.
36. ИСО/МЭК 10118-1—94. Информационная технология. Ме
тоды защиты. Хэш-функции. Часть 1. Общие положения.
37. ИСО/МЭК 10118-2—94. Информационная технология. Ме
тоды защиты. Хэш-функции. Часть 2. Хэш-функции с использова
нием
/7-битного
блочного алгоритма шифрации.
38. Касперский Е. Компьютерные вирусы: что это такое и как с ними бороться. М.: СК Пресс, 1998.
39. Костров Д. Системы обнаружения атак / / BYTE Россия.
2002
. №
8
.
40. Лукацкий А. Обнаружение атак. СПб.: БХВ-Петербург, 2003.
41. Лукацкий А. Безопасность беспроводных сетей / / Технологии и средства связи. 2005. № 1.
42. Максим М., Полино Д. Безопасность беспроводных сетей /
Пер. с англ. А. В Семенова. М.: ДМК Пресс, 2004.
43. Мамаев М., Петренко С. Технологии защиты информации
Интернета. Спец. справ. СПб.: Питер, 2002.
44. Монин С. Защита информации и беспроводные сети / / Ком
пьютерПресс. 2005. № 4.
45. Олифер В. Г., Олифер Н. А. Новые технологии и оборудование
IP-сетей. СПб.: БХВ-Петербург, 2000.
46. Олифер В. Г. Защита информации при работе в Интер
нет / / Connect. 2002. № 11.
47. Олифер Н. А. Протоколы IPSec / / LAN. 2001. № 3.
48. Олифер Н. А. Дифференцированная защита трафика средст
вами IPSec / / LAN. 2001. № 4.
49. Панасенко С. П. Вновь об ЭЦП: стандарт Х.509 / / Системы безопасности, связи и телекоммуникаций. 2003. № 3.
50. Панасенко С. П., Батура В. П. Основы криптографии для экономистов: учеб. пособие / под ред. JI. Г. Гагариной. М.: Финан
сы и статистика, 2005.
51. Панасенко С. П., Петренко С. А. Криптографические мето
ды защиты информации для российских корпоративных сис
тем / / Конфидент. 2001. № 5.
52. Петренко С. А. Реорганизация корпоративных систем безо
пасности / / Конфидент. 2002. № 2.
53. Петренко С. А. Построение эффективной системы антиви
русной защиты / / Конфидент. 2002. № 3.
54. Петров А. А. Компьютерная безопасность: криптографиче
ские методы защиты. М.: ДМК Пресс, 2000.
55. Программно-аппаратные средства обеспечения информаци
онной безопасности. Защита программ и данных: учеб. пособие для
вузов / П. Ю. Белкин, О. О. Михальский, А. С. Першаков и др. М.:
Радио и связь, 1999.
56. Проскурин В. Г., Крутов С. В., Мацкевич И. В. Программ
но-аппаратные средства обеспечения информационной безопасно
сти. Защита в операционных системах: учеб. пособие для вузов. М.:
Радио и связь, 2000.
57. Решения компании Cisco Systems по обеспечению безопас
ности корпоративных сетей. М.: Московский офис Cisco Systems.
Inc. 2001.
58. Романец Ю. В., Тимофеев П. А., В. Ф. Шаньгин. Защита ин
формации в компьютерных системах и сетях. 2-е изд. М.: Радио и связь, 2001.
59.
Сарбуков А.
у
ГрушоА. Аутентификация в компьютерных сис
темах / / Системы безопасности. 2003. N° 5(53).
60. Симонов С. В. Методология анализа рисков в информацион
ных системах / / Конфидент. 2001. № 1.
61. Скородумов Б. Безопасность союза интеллектуальных карто
чек и персональных компьютеров / / Мир карточек. 2002. № 5—6.
62. Соколов А. В., Шаньгин В. Ф. Защита информации в распре
деленных корпоративных сетях и системах. М.: ДМК Пресс, 2002.
63. Теоретические основы компьютерной безопасности: учеб. пособие для вузов / П. Н. Девянин, О. О. Михальский, Д. И. Прави- ков и др. М.: Радио и связь, 2000.
64. Типовые решения по применению технологии межсетевых экранов для защиты информационных ресурсов. СПб.: Конфидент,
2001
.
65. Типовые решения по применению средств VPN для защиты информационных ресурсов. СПб.: Конфидент, 2001.
66. Типовые решения по применению технологии централизо
ванного управления антивирусной защитой предприятия. СПб.:
Конфидент, 2002.
67. Трифаленков И., Зайцева Н. Функциональная безопасность корпоративных систем / / Открытые системы. 2002. № 7—8.
68. Филиппов М Вопросы обеспечения безопасности корпора
тивных беспроводных сетей / / Технологии и средства связи. 2003.
№ 2.
69. Фролов А.у Фролов Г. Что нужно знать о компьютерных виру
сах / / BYTE Россия. 2002. № 8.
70. Фролов А.у Фролов Г. Защита от компьютерных вирусов / /
BYTE Россия. 2002. № 9.
71. Четкое О. Особенности применения двухфакторной аутен
тификации / / Информационная безопасность. 2005. № 3.
72. ЧмораА.Л. Современная прикладная криптография. М.: Ге- лиос АРВ, 2001.
73. Шеннон К. Э. Теория связи в секретных системах / / Шен
нон К. Э. Работы по теории информации и кибернетике. М.:
Иностр. лит., 1963.
74. Шрамко В. Я. Комбинированные системы идентификации и аутентификации / / PCWeek/RE. 2004. № 45.
75. Шрамко В. Н. Защита компьютеров: электронные системы идентификации и аутентификации / / PCWeek/RE. 2004. № 12.
76. Шрамко В. Н. Аппаратно-программные средства контроля доступа / / PCWeek/RE. 2003. № 9.
77. Interoperability Specification for ICCs and Personal Computer
Systems. Part 8. Recommendations for ICC Security and Privacy
Devices. Revision 1.0. PC/SC Workgroup, 1997.
78. ISO 17799 — Международный стандарт безопасности инфор
мационных систем. 2002.
79. ISO/IEC 14443-1 Identification Cards — Contactless integrated circuit(s) cards Proximity Cards Part 1: Physical characteristics
International Standard. 2000.
80. ISO/IEC 14443-2 Identification Cards — Contactless integrated circuit(s) cards Proximity Cards Part 2: Radio frequency power and signal interface International Standard. 2001.
81. Menezes A. /., van Oorschot P. С., Vanstone S. A. Handbook of
Applied Cryptography. CRC Press, 1999.
82. Schneier B. Applied Cryptography. John Wiley & Sons, 1996.
Интернет-ресурсы
83.
Базовый стандарт организации беспроводных локальных се
тей IEEE 802.11. http://standards.ieee.org/reading/ieee/std/Ianman/
802.1 l-1999.pdf
84.
Беляев А. В. Методы и средства защиты информации, http:// www.citforum.ru/internet/infsecure/its2000_01 .shtml
85.
Касперский Е. Компьютерные вирусы, http://www.kaspersky.ru/)
86.
Коротыгин С. Развитие технологии беспроводных сетей: стандарт IEEE 802.11. http://www.ixbt.com/comm/wlan.shtml
87.
Кузнецов С. Защита файлов в операционной системе UNIX. http://www.citforum.ru/database/articles/art_8.shtml,
88.
Олифер Я . А.,
Олифер В. Г Сетевые операционные системы,
Центр Информационных Технологий, http://citforum.ru/operating_ systems/sos/contents.shtml
89. Семейство стандартов IEEE 802.11. http://www.wireless.ru/ wireless/wrl_base80211 90.
Скородумов Б. И. Стандарты для безопасности электронной коммерции в сети Интернет, http://www.stcarb.comcor.ru
91. Advanced Encryption Standard (AES) Development Effort.
February 2001 / / csrc.nist.gov/CryptoToolkit/aes/index2.html
92.
Daemen J., Rijmen V. AES Proposal: Rijndael. Document ver
sion 2. September 1999
I j www.esat.kuleuven.ac.be/ rijmen/rijndael
93.
Dierks Т., Allen C. RFC 2246: The TLS Protocol Version 1.0.
January 1999 / / www.ietf.org/rfc/rfc2246.txt
94. FIPS Publication 197. Announcing the Advanced Encryption
Standard (AES). November, 2001 / / csrc.nist.gov/publications/fips/ fipsl97/fips-197 .pdf
95.
Hodges J. RFC 3377: Lightweight Directory Access Protocol (v3):
Technical Specification. September 2002 / J. Hodges, R. Morgan / / www.ietf.org/rfc/rfc3377.txt
96.
Housley R.y Ford W, P o l k W. etc. RFC 2459: Internet X.509
Public Key Infrastructure. January 1999
11 www.ietf.org/rfc/ rfc2459.txt
91 Kent S., Atkinson R. RFC 2401: Security Architecture for IP.
November 1998
11 www.ietf.org/rfc/rfc2401.txt
98.
Orman H. RFC 2412: The OAKLEY Key Determination Pro
tocol. November 1998 / / www.ietf.org/rfc/rfc2412.txt
99. PKCS #1 v2.1: RSA Cryptography Standard. RSA Laboratories.
June 2002 / / www.rsasecurity.com/rsalabs/pkcs/pkcs-l
100.
Dusse S., Hoffman P., Ramsdell B.etc. RFC 2311: S/MIME
Version 2 Message Specification. March 1998 .// www.ietf.oi^/rfc/ rfc2311.txt
101. Leech М., Ganis М., Lee Y etc. RFC 1928: SOCKS Protocol
Version 5. March 1996 / / www.ietf.org/rfc/rfcl928.txt
102. Maughan D., Schertler M. etc. RFC 2408: Internet Security
Association and Key Management Protocol (ISAKMP). November
1998 / / www.ietf.oig/rfc/rfc2408.txt
103. Rivest R. The
MD5
Message-Digest Algorithm. April
1992 / / www.ietf.oig/rfc/rfcl321 .txt
104. Rivest R., Robshaw M.J.B., Sidney R. etc. The RC6 Block Cipher.
Version 1.1. August 1998 / / www.rsasecurity.com/rsalabs/aes
105. Zeilenga K. RFC 3673: Lightweight Directory Access Protocol version 3 (LDAPv3): All Operational Attributes. December 2003. www. ietf. org/rfc/rfc3673.txt
ОглавлениеПредисловие
3
Введение
5