Безопасность ИТ-систем. Принципы и практика. Том 1 и Том 2

Bezpieczeństwo systemów informatycznych. Zasady i praktyka.  Tom 1 i Tom 2

William Stallings, Lawrie Brown

Zapewnienie bezpieczeństwa systemu informatycznego jest dziś nie lada wyzwaniem. Między administratorami a napastnikami trwa ciągły wyścig zbrojeń. Agresorzy dysponują bardzo różnymi narzędziami i często postępują w sposób nieprzewidywalny. W efekcie każde zabezpieczenie usługi czy zasobu, mimo że początkowo wydaje się doskonałe, prędzej czy później okazuje się podatne na ataki. Jedyną rzeczą, jaką może zrobić administrator bezpieczeństwa systemu, jest ciągłe utrzymywanie stanu gotowości, a także odpowiednio wczesne wykrywanie prób ataku i sukcesywne ich neutralizowanie. Poza tym powinien cały czas się uczyć i aktualizować swoją wiedzę.

Ta książka to kolejne, zaktualizowane i uzupełnione wydanie znakomitego podręcznika przeznaczonego dla projektantów systemów i administratorów bezpieczeństwa. Poruszono w niej zagadnienia określania zagrożeń systemów komputerowych i sieci, oceny względnego ryzyka tych zagrożeń i opracowywania efektywnych kosztowo i przyjaznych dla użytkownika środków zaradczych. Wyjaśniono także najważniejsze zasady utrzymywania bezpieczeństwa systemu i wskazano, dlaczego ich przestrzeganie ma kluczowe znaczenie. Zaprezentowano również metody projektowe pozwalające na zaspokojenie wymagań bezpieczeństwa komputerowego, szeroko omówiono ważniejsze standardy w tej dziedzinie, a poszczególne kwestie zilustrowano za pomocą praktycznych przykładów.

Najciekawsze zagadnienia:

• Zasady bezpieczeństwa i ich wdrożenie
• Bezpieczeństwo oprogramowania i infrastruktury
• Elementy kryptografii
• Praca administratora bezpieczeństwa
• Zapewnienie bezpiecznej pracy sieci

Cyberobrona: bądź czujny i przygotuj się!

O autorach

William Stallings - jest autorem 17 książek na zakresu technicznych aspektów bezpieczeństwa informacji i sieci komputerowych. Jest 11-krotnym laureatem nagrody za najlepszą książkę informatyczną roku, przyznawanej przez Text and Academic Authors Association. W trakcie ponad trzydziestoletniej kariery zawodowej zaprojektował i zaimplementował wiele pakietów związanych z protokołami TCP/IP i OSI dla różnych platform. Jako konsultant doradzał m.in. agencjom rządowym, oraz dostawcom sprzętu i oprogramowania.

Dr Lawrie Brown wykłada w School of Engineering and Information Technology w Australii. Specjalizuje się w zagadnieniach komunikacji oraz bezpieczeństwa systemów, a także kryptografii i projektowania bezpiecznych środowisk zdalnego wykonywania kodu.

Spis treści

Przedmowa 9

Notacja 21

O autorach 23

Rozdział 1. Przegląd 25

• 1.1. Koncepcje bezpieczeństwa komputerowego 26
• 1.2. Zagrożenia, ataki i aktywa 35
• 1.3. Funkcjonalne wymagania bezpieczeństwa 42
• 1.4. Podstawowe zasady projektowania bezpieczeństwa 44
• 1.5. Powierzchnie ataków i drzewa ataków 49
• 1.6. Strategia bezpieczeństwa komputerowego 53
• 1.7. Standardy 56
• 1.8. Podstawowe pojęcia, pytania sprawdzające i zadania 57

CZĘŚĆ I. TECHNIKI I ZASADY BEZPIECZEŃSTWA KOMPUTEROWEGO

Rozdział 2. Narzędzia kryptograficzne 61

• 2.1. Osiąganie poufności za pomocą szyfrowania symetrycznego 62
• 2.2. Uwierzytelnianie komunikatów i funkcje haszowania 69
• 2.3. Szyfrowanie z kluczem publicznym 79
• 2.4. Podpisy cyfrowe i zarządzanie kluczami 85
• 2.5. Liczby losowe i pseudolosowe 90
• 2.6. Zastosowanie praktyczne: szyfrowanie przechowywanych danych 93
• 2.7. Podstawowe pojęcia, pytania sprawdzające i zadania 95

Rozdział 3. Uwierzytelnianie użytkownika 101

• 3.1. Zasady cyfrowego uwierzytelniania użytkownika 103
• 3.2. Uwierzytelnianie oparte na hasłach 109
• 3.3. Uwierzytelnianie oparte na żetonach 124
• 3.4. Uwierzytelnianie biometryczne 129
• 3.5. Zdalne uwierzytelnianie użytkownika 135
• 3.6. Zagadnienia bezpieczeństwa uwierzytelniania użytkownika 140
• 3.7. Zastosowanie praktyczne: tęczówkowy system biometryczny 142
• 3.8. Przykład konkretny: problemy bezpieczeństwa w systemach bankomatowych 144
• 3.9. Podstawowe pojęcia, pytania sprawdzające i zadania 147

Rozdział 4. Kontrolowanie dostępu 151

• 4.1. Zasady kontrolowania dostępu 154
• 4.2. Podmioty, obiekty i prawa dostępu 156
• 4.3. Uznaniowe kontrolowanie dostępu 158
• 4.4. Przykład: kontrolowanie dostępu w uniksowym systemie plików 165
• 4.5. Kontrolowanie dostępu według ról 169
• 4.6. Kontrolowanie dostępu według atrybutów 176
• 4.7. Tożsamość, poświadczenia i zarządzanie dostępem 183
• 4.8. Ramy zaufania 187
• 4.9. Przykład konkretny: kontrolowanie ról w systemie bankowym 192
• 4.10. Podstawowe pojęcia, pytania sprawdzające i zadania 195

Rozdział 5. Bezpieczeństwo baz i centrów danych 201

• 5.1. Zapotrzebowanie na bezpieczeństwo baz danych 202
• 5.2. Systemy zarządzania bazami danych 204
• 5.3. Relacyjne bazy danych 206
• 5.4. Ataki wstrzykiwania w sql 210
• 5.5. Kontrolowanie dostępu do bazy danych 217
• 5.6. Wnioskowanie 223
• 5.7. Szyfrowanie baz danych 226
• 5.8. Bezpieczeństwo centrum danych 231
• 5.9. Podstawowe pojęcia, pytania sprawdzające i zadania 237

Rozdział 6. Malware - szkodliwe oprogramowanie 243

• 6.1. Rodzaje szkodliwego oprogramowania 245
• 6.2. Zaawansowane trwałe zagrożenie 249
• 6.3. Rozsiewanie - zainfekowana treść - wirusy 250
• 6.4. Rozsiewanie - wykorzystanie wrażliwych punktów - robaki 257
• 6.5. Rozsiewanie - socjotechnika - spam pocztowy, konie trojańskie 269
• 6.6. Ładunek - psucie systemu 272
• 6.7. Ładunek - agent ataku - zombie, boty 275
• 6.8. Ładunek - kradzież informacji - keylogery, phishing, spyware 277
• 6.9. Ładunek - działania ukradkowe - boczne drzwi, rootkity 280
• 6.10. Przeciwdziałania 285
• 6.11. Podstawowe pojęcia, pytania sprawdzające i zadania 293

Rozdział 7. Ataki polegające na odmowie świadczenia usług 297

• 7.1. Odmowa usług jako rodzaj ataku 298
• 7.2. Ataki zatapiające 307
• 7.3. Rozproszone ataki blokowania usług 310
• 7.4. Ataki na przepływność oparte na aplikacjach 312
• 7.5. Ataki odbijające i ataki ze wzmocnieniem 315
• 7.6. Obrona przed odmową świadczenia usług 321
• 7.7. Reagowanie na atak typu odmowa świadczenia usług 325
• 7.8. Podstawowe pojęcia, pytania sprawdzające i zadania 327

Rozdział 8. Wykrywanie włamań 331

• 8.1. Intruzi 332
• 8.2. Wykrywanie włamań 336
• 8.3. Podejścia analityczne 341
• 8.4. Wykrywanie włamań oparte na hoście 344
• 8.5. Wykrywanie włamań oparte na sieci 351
• 8.6. Rozproszone lub hybrydowe wykrywanie włamań 358
• 8.7. Format wymiany wykrywania włamań 361
• 8.8. Miodownice (honeypoty) 364
• 8.9. Przykład systemu: snort 367
• 8.10. Podstawowe pojęcia, pytania sprawdzające i zadania 371

Rozdział 9. Zapory sieciowe i systemy zapobiegania włamaniom 377

• 9.1. Zapotrzebowanie na zapory sieciowe 378
• 9.2. Charakterystyka zapór sieciowych i polityka dostępu 379
• 9.3. Rodzaje zapór sieciowych 381
• 9.4. Posadowienie zapór sieciowych 389
• 9.5. Umiejscowienie i konfiguracja zapór sieciowych 392
• 9.6. Systemy zapobiegania włamaniom 398
• 9.7. Przykład: ujednolicone środki opanowywania zagrożeń 404
• 9.8. Podstawowe pojęcia, pytania sprawdzające i zadania 409

CZĘŚĆ II. BEZPIECZEŃSTWO OPROGRAMOWANIA I SYSTEMÓW

Rozdział 10. Przepełnienie bufora 415

• 10.1. Przepełnienia stosu 417
• 10.2. Obrona przed przepełnieniami bufora 442
• 10.3. Inne formy ataków przepełniających 450
• 10.4. Podstawowe pojęcia, pytania sprawdzające i zadania 457

Rozdział 11. Bezpieczeństwo oprogramowania 461

• 11.1. Zagadnienia bezpieczeństwa oprogramowania 463
• 11.2. Obsługa wejścia programu 468
• 11.3. Pisanie bezpiecznego kodu 482
• 11.4. Współpraca z systemem operacyjnym i innymi programami 488
• 11.5. Obsługa wyjścia programu 504
• 11.6. Podstawowe pojęcia, pytania sprawdzające i zadania 507

Rozdział 12. Bezpieczeństwo systemów operacyjnych 511

• 12.1. Wprowadzenie do bezpieczeństwa systemów operacyjnych 514
• 12.2. Planowanie bezpieczeństwa systemu operacyjnego 514
• 12.3. Hartowanie systemów operacyjnych 515
• 12.4. Bezpieczeństwo aplikacji 521
• 12.5. Dbałość o bezpieczeństwo 522
• 12.6. Bezpieczeństwo w systemach Linux i UNIX 524
• 12.7. Bezpieczeństwo w systemie Windows 529
• 12.8. Bezpieczeństwo wirtualizacji 532
• 12.9. Podstawowe pojęcia, pytania sprawdzające i zadania 542

Rozdział 13. Bezpieczeństwo chmur i internetu rzeczy 545

• 13.1. Obliczenia w chmurze 546
• 13.2. Koncepcje bezpieczeństwa chmury 556
• 13.3. Podejścia do bezpieczeństwa chmury 561
• 13.4. Internet rzeczy (ir) 570
• 13.5. Bezpieczeństwo internetu rzeczy 576
• 13.6. Podstawowe pojęcia i pytania sprawdzające 587

Spis treści tomu 2. 589

Słowniczek 595

Akronimy 605

Literatura 607

Skorowidz 621

Bezpieczeństwo systemu informatycznego od dawna nie jest problemem wyłącznie administratora IT i jego zespołu. Różnorodność metod, socjotechnik i wyrafinowanych narzędzi wykorzystywanych do ataków oraz zacierania śladów sprawia, że zabezpieczenie usług czy zasobów musi być obowiązkiem całego personelu firmy - od prezesa po stażystę. Co więcej, bezpieczeństwo zasobów informatycznych wymaga systematycznej kontroli i systemowego podejścia, co wcale nie jest łatwym zadaniem. Z jednej strony polityka bezpieczeństwa informatycznego powinna zostać sprzężona z pozostałymi elementami strategii przedsiębiorstwa, z drugiej - podlegać ciągłej aktualizacji i przeglądom z uwagi na szybki rozwój technik ataków i ich nieprzewidywalność.

Ta książka jest drugim tomem znakomitego podręcznika projektowania, wdrażania i utrzymywania systemów bezpieczeństwa informatycznego. Poruszono w niej dość różnorodne zagadnienia: problemy zarządzania bezpieczeństwem systemu, algorytmy kryptograficzne i bezpieczeństwo sieci. Zaprezentowano różne podejścia do oceny ryzyka bezpieczeństwa, a także do tworzenia planów reagowania w przypadku wystąpienia zagrożeń, w tym klęski żywiołowej. Sporo uwagi poświęcono zapobieganiu szkodom wyrządzanym przez ludzi i reagowaniu na incydenty bezpieczeństwa. W przystępny sposób wyjaśniono standardy bezpieczeństwa sieci bezprzewodowych oraz systemów linuksowych i opartych na MS Windows. Książkę wzbogacono o szereg interesujących studiów przypadków, pytań sprawdzających, projektów i uzupełnień.

Najciekawsze zagadnienia:

• zarządzanie bezpieczeństwem i ryzykiem IT w organizacji
• praktyki, procedury i zasady zwiększające bezpieczeństwo oprogramowania i infrastruktury
• standardy szyfrowania i rodzaje ataków na zaszyfrowane dane
• bezpieczeństwo sieci bezprzewodowych i urządzeń mobilnych
• środowiska zaufane i zabezpieczenia wielopoziomowe

Cyberbezpieczeństwo: tu nie ma miejsca na przeoczenia!

O autorach

William Stallings - jest autorem 17 książek na zakresu technicznych aspektów bezpieczeństwa informacji i sieci komputerowych. Jest 11-krotnym laureatem nagrody za najlepszą książkę informatyczną roku, przyznawanej przez Text and Academic Authors Association. W trakcie ponad trzydziestoletniej kariery zawodowej zaprojektował i zaimplementował wiele pakietów związanych z protokołami TCP/IP i OSI dla różnych platform. Jako konsultant doradzał m.in. agencjom rządowym, oraz dostawcom sprzętu i oprogramowania.

Dr Lawrie Brown wykłada w School of Engineering and Information Technology w Australii. Specjalizuje się w zagadnieniach komunikacji oraz bezpieczeństwa systemów, a także kryptografii i projektowania bezpiecznych środowisk zdalnego wykonywania kodu.

Spis treści

Przedmowa 9

Notacja 21

O autorach 23

CZĘŚĆ III. PROBLEMY ZARZĄDZANIA

Rozdział 14. Zarządzanie bezpieczeństwem IT i ocena ryzyka 25

• 14.1. Zarządzanie bezpieczeństwem IT 27
• 14.2. Kontekst organizacyjny i polityka bezpieczeństwa 30
• 14.3. Ocena ryzyka bezpieczeństwa 34
• 14.4. Szczegółowa analiza ryzyka bezpieczeństwa 38
• 14.5. Studium przypadku: Silver Star Mines 52
• 14.6. Podstawowe pojęcia, pytania sprawdzające i zadania 58

Rozdział 15. Środki, plany i procedury bezpieczeństwa IT 61

• 15.1. Wdrażanie mechanizmów zarządzania bezpieczeństwem IT 62
• 15.2. Środki bezpieczeństwa lub zabezpieczenia 63
• 15.3. Plan bezpieczeństwa IT 72
• 15.4. Wdrażanie zabezpieczeń 74
• 15.5. Monitorowanie zagrożeń 75
• 15.6. Studium przypadku: Silver Star Mines 78
• 15.7. Podstawowe pojęcia, pytania sprawdzające i zadania 81

Rozdział 16. Bezpieczeństwo fizyczne i środowiskowe 83

• 16.1. Przegląd 85
• 16.2. Zagrożenia dla bezpieczeństwa fizycznego 85
• 16.3. Zapobieganie zagrożeniom fizycznym i środki łagodzące 94
• 16.4. Odtwarzanie po naruszeniach bezpieczeństwa fizycznego 98
• 16.5. Przykład: korporacyjna polityka bezpieczeństwa fizycznego 99
• 16.6. Integracja bezpieczeństwa fizycznego i logicznego 99
• 16.7. Podstawowe pojęcia, pytania sprawdzające i zadania 107

Rozdział 17. Bezpieczeństwo zasobów ludzkich 109

• 17.1. Świadomość bezpieczeństwa, szkolenie i edukacja 110
• 17.2. Praktyki i zasady zatrudniania 117
• 17.3. Zasady korzystania z poczty e-mail i internetu 121
• 17.4. Zespoły reagowania na incydenty bezpieczeństwa komputerowego 124
• 17.5. Podstawowe pojęcia, pytania sprawdzające i zadania 132

Rozdział 18. Audyt bezpieczeństwa 135

• 18.1. Architektura audytu bezpieczeństwa 137
• 18.2. Ślad audytu bezpieczeństwa 143
• 18.3. Implementacja funkcji logowania 148
• 18.4. Analiza śladu audytu bezpieczeństwa 162
• 18.5. Zarządzanie informacjami o bezpieczeństwie i zdarzeniach 167
• 18.6. Podstawowe pojęcia, pytania sprawdzające i zadania 169

Rozdział 19. Aspekty prawne i etyczne 173

• 19.1. Cyberprzestępczość i przestępczość komputerowa 174
• 19.2. Własność intelektualna 178
• 19.3. Prywatność 186
• 19.4. Kwestie etyczne 194
• 19.5. Podstawowe pojęcia, pytania sprawdzające i zadania 201

CZĘŚĆ IV. ALGORYTMY KRYPTOGRAFICZNE

Rozdział 20. Szyfrowanie symetryczne i poufność wiadomości 207

• 20.1. Zasady szyfrów symetrycznych 208
• 20.2. Standard DES 214
• 20.3. Standard AES 216
• 20.4. Szyfry strumieniowe i RC4 223
• 20.5. Tryby działania szyfrów blokowych 228
• 20.6. Dystrybucja kluczy 234
• 20.7. Podstawowe pojęcia, pytania sprawdzające i zadania 236

Rozdział 21. Kryptografia klucza publicznego i uwierzytelnianie komunikatów 243

• 21.1. Bezpieczne funkcje haszowania 244
• 21.2. HMAC 251
• 21.3. Szyfrowanie uwierzytelnione 255
• 21.4. Algorytm szyfrowania RSA z kluczem publicznym 258
• 21.5. Algorytm Diffiego-Hellmana i inne algorytmy asymetryczne 265
• 21.6. Podstawowe pojęcia, pytania sprawdzające i zadania 270

CZĘŚĆ V. BEZPIECZEŃSTWO SIECI

Rozdział 22. Protokoły i standardy bezpieczeństwa internetu 275

• 22.1. Bezpieczne wiadomości e-mail i S/MIME 276
• 22.2. Poczta DKIM 280
• 22.3. Zabezpieczenia SSL i TLS 283
• 22.4. HTTPS 293
• 22.5. Bezpieczeństwo IPv4 i IPv6 294
• 22.6. Podstawowe pojęcia, pytania sprawdzające i zadania 301

Rozdział 23. Aplikacje do uwierzytelniania w internecie 305

• 23.1. Kerberos 306
• 23.2. X.509 313
• 23.3. Infrastruktura klucza publicznego 317
• 23.4. Podstawowe pojęcia, pytania sprawdzające i zadania 320

Rozdział 24. Bezpieczeństwo sieci bezprzewodowych 323

• 24.1. Bezpieczeństwo sieci bezprzewodowych 324
• 24.2. Bezpieczeństwo urządzeń mobilnych 328
• 24.3. Przegląd sieci bezprzewodowych IEEE 802.11 333
• 24.4. Bezpieczeństwo sieci bezprzewodowych IEEE 802.11i 341
• 24.5. Podstawowe pojęcia, pytania sprawdzające i zadania 357

Rozdział 25. Bezpieczeństwo Linuksa 361

• 25.1. Wprowadzenie 362
• 25.2. Model bezpieczeństwa Linuksa 362
• 25.3. DAC w szczegółach: bezpieczeństwo systemu plików 364
• 25.4. Luki w systemie Linux 372
• 25.5. Wzmacnianie systemu Linux 375
• 25.6. Bezpieczeństwo aplikacji 384
• 25.7. Obligatoryjne mechanizmy kontroli dostępu 387
• 25.8. Literatura 394

Rozdział 26. Bezpieczeństwo systemu Windows 395

• 26.1. Podstawowa architektura bezpieczeństwa systemu Windows 396
• 26.2. Luki w systemie Windows 408
• 26.3. Mechanizmy obronne systemu Windows 409
• 26.4. Zabezpieczenia przeglądarki 420
• 26.5. Usługi kryptograficzne 422
• 26.6. Specyfikacja Common Criteria 424
• 26.7. Literatura 424
• 26.8. Podstawowe pojęcia i projekty 425

Rozdział 27. Środowiska zaufane i zabezpieczenia wielopoziomowe 427

• 27.1. Model bezpieczeństwa komputerowego Bell-Lapadula 429
• 27.2. Inne formalne modele bezpieczeństwa komputerowego 440
• 27.3. Koncepcja systemów zaufanych 447
• 27.4. Zastosowania zabezpieczeń wielopoziomowych 451
• 27.5. Środowiska zaufane i moduł TPM 458
• 27.6. Specyfikacja Common Criteria oceny bezpieczeństwa informatycznego 463
• 27.7. Gwarancje i ocena 470
• 27.8. Literatura 476
• 27.9. Podstawowe pojęcia, pytania sprawdzające i zadania 477

DODATKI

Spis treści tomu 1. 483

Dodatek A. Projekty i inne ćwiczenia dla studentów uczących się bezpieczeństwa komputerów 487

Dodatek B. Wybrane elementy teorii liczb 495

Dodatek C. Standardy i organizacje standaryzacyjne 505

Dodatek D. Generowanie liczb losowych i pseudolosowych 519

Dodatek E. Kody uwierzytelniania komunikatów bazujące na szyfrach blokowych 531

Dodatek F. Architektura protokołów TCP/IP 537

Dodatek G. Konwersja Radix-64 545

Dodatek H. System DNS 549

Dodatek I. Zaniedbywanie miarodajności 561

Dodatek J. SHA-3 567

Słowniczek 585

Akronimy 595

Lista dokumentów NIST i ISO 597

Literatura 599

Skorowidz 613