авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 12 | 13 ||

«Брюс Шнайер: «Секреты и ложь. Безопасность данных в цифровом мире» Брюс Шнайер Секреты и ложь. Безопасность данных в цифровом мире ...»

-- [ Страница 14 ] --

Выбор заключается не в том, чтобы доверять организации, а в том, какой организации до верять. Для меня отдел MIS (управленческой информационной структуры) компании, в которой я работаю, вероятно, заслуживает меньшего доверия, чем независимая привлеченная организа ция, которая всерьез заботится о безопасности.

Безопасность – это не продукт, а процесс. Вы не можете ее просто добавить к системе уже после нападения. Жизненно важно понять реальные угрозы для системы, спроектировать поли тику безопасности, соразмерную серьезности угроз, и реализовать соответствующие контрмеры.

Помните, что не требуются идеальные решения, но также недопустимы системы, которые можно полностью разрушить. Хорошие процессы безопасности также существенны, они помогают про дукту работать.

Благоразумнее готовиться к наихудшему. Нападения и нападающие со временем только со вершенствуются, а системы, установленные сегодня, могли быть к месту на 20 лет раньше. Ре альным уроком Y2K83 стала замена устаревшего кода компьютера. Мы все еще подвержены ошибкам, допущенным в аналоговых телефонных системах десятилетия назад и в цифровых со товых системах годы назад. Мы все еще работаем с опасным Интернетом и ненадежными систе мами защиты пароля.

Мы также до сих пор еще имеем дело с ненадежными дверными замками, уязвимыми фи нансовыми системами и несовершенной юридической системой. Но все же ничто из перечислен ного не является причиной крушения цивилизации и маловероятно, что станет. И мы не добьем ся должной цифровой безопасности, пока не сосредоточим внимание на процессах безопасности, а не на технологиях.

Эта книга постоянно менялась. Я написал две трети книги и осознал, что мне нечем обна дежить читателя. Казалось, возможности технологий безопасности исчерпаны. Мне пришлось отложить рукопись более чем на год, было слишком тягостно работать над ней.

В начале 1999 года я разочаровался в своей консультационной деятельности. Компания Counterpane Systems давала консультации по криптографии и компьютерной безопасности на протяжении нескольких лет, и бизнес быстро развивался. В основном наша работа заключалась в проектировании и анализе. Например, заказчик приходил к нам со своей проблемой, и мы разра батывали систему, которая была способна противостоять определенным угрозам. Или же заказ чик приходил к нам с уже разработанной системой, которая должна была противостоять целому списку угроз, а мы искали просчеты в решении и устраняли их. Мы могли работать до изнеможе ния. Единственная проблема состояла в том, что наши изящные разработки не выдерживали столкновения с реальным миром. Хорошая криптография постоянно оказывалась неэффективной из-за плохого исполнения. Прошедшие тщательные испытания средства защиты отказывали из за ошибок, допущенных людьми. Мы делали все, что могли, но системы все же оставались нена дежными.

От криптографии я обратился к безопасности и представлял себе проблему примерно так же, как и военные. Большинство публикаций по вопросам безопасности были проникнуты той же идеей, которую можно кратко сформулировать так: профилактические меры могут обеспе чить безопасность.

Для чего используется шифрование? Существует угроза прослушивания, и шифрование должно помешать этому. Представьте себе, что Алиса общается с Бобом, а Ева подслушивает их.

83 Проблема-2000. – Примеч. ред.

Брюс Шнайер: «Секреты и ложь. Безопасность данных в цифровом мире» Единственный способ помешать Еве узнать, о чем говорят Алиса и Боб, – использовать такое профилактическое средство защиты, как шифрование. В этом случае нет ни обнаружения, ни ре агирования. Нет также возможности управлять риском. Поэтому следует заранее отвести угрозу.

В течение нескольких десятилетий мы использовали этот подход к безопасности. Мы рисо вали различные схемы. Мы классифицировали различных нападающих и определяли, на что они способны. Мы использовали профилактические меры, такие как шифрование и контроль досту па. Если мы можем отвести угрозы, то мы победили. Если нет – мы пропали.

Вообразите мое удивление, когда я узнал, что в реальном мире такой подход не работает. В апреле 1999 года я прозрел: безопасность связана с управлением рисками, процессы безопасно сти имеют первостепенное значение, а обнаружение и реагирование – реальные способы улуч шить безопасность, и все это могут обеспечить лишь привлеченные независимые компании. Вне запно все стало на свои места. Так что я переписал книгу и преобразовал свою компанию Counterpane Systems в Counterpane Internet Security, Inc. Теперь мы предоставляем услуги по контролю безопасности сетей (обнаружение и реагирование).

Раньше, когда использовалась связь только по радио или телеграфу, такой подход не имел бы смысла. Обнаружение и реагирование были невозможны. Сегодняшний электронный мир сложнее. Нападающий не просто подключается к линии связи. Он взламывает брандмауэр. Он пытается украсть деньги, используя подделанную смарт-карту. Он хозяйничает в сети. Сего дняшний виртуальный мир больше похож на физический со всеми его возможностями.

Но это не ситуация «все или ничего». Раньше, если уж Ева умела подслушивать, то она могла бы подслушать всех. А если бы у нее не было такой возможности, то ей не удалось бы подслушать никого. Сегодня все иначе. Можно украсть деньги, но не слишком много. Пи рат-одиночка может сделать несколько копий DVD, но не десятки тысяч. Нападающий может проникнуть в сеть и поковыряться в ней минут десять, после чего он будет обнаружен и выдво рен.

Реальный мир полон опасностей. Это не значит, что их нужно избегать, невозможно делать деньги, ничем не рискуя. В выигрыше оказывается не та компания, которая лучше всех отводит угрозы, а та, которая лучше всех управляет рисками. (Вспомните систему кредитных карт.) В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность за ключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы со бираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы напа дений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него ре агировать.

Я понял, что проблема не в технологиях, а в их использовании. В своей фирме мы исполь зуем симбиоз человеческих способностей и возможностей машины. Люди – наиболее уязвимое звено любой системы безопасности, в том числе компьютерной.

И если читателю покажется, что эта книга написана в рекламных целях, то он будет отча сти прав. И книга, и новая компания появились на свет благодаря открытию того, что самую на дежную защиту можно обеспечить только с помощью опытных специалистов, занимающихся обнаружением и реагированием. Эта книга отражает ход моих мыслей, связанных с преобразова нием нашей компании, и поясняет, чем мы занимаемся.

Вы можете узнать больше о нас на сайте www counterpane com.

Спасибо за внимание.

Источники Многие идеи этой книги были почерпнуты автором в работах других людей. Я намеренно не прерывал повествование сносками или цитатами. В конце книги я решил поместить список некоторых наиболее полезных источников.

Некоторые специалисты открыто осуждают Интернет за то, что не поддается систематиза ции как архив, поскольку URL постоянно меняются. Так что вы можете использовать этот спи сок, чтобы попытаться подтвердить или опровергнуть этот взгляд.

Брюс Шнайер: «Секреты и ложь. Безопасность данных в цифровом мире» Работы Росса Андерсона (Ross Anderson) всегда интересны и заслуживают внимания. Его веб-сайт: www cl cam ac uk/users/rjal4/. Ищите его книгу Security Engineering: A Comprehensive Guide to Building Dependable Distributed Systems (John Wiley& Sons, 2000).

Дороти Деннинг (Dorothy Denning) писала о криптографии, компьютерной безопасности и защите баз данных, а позже об информационной войне. Я использовал ее самую последнюю кни гу Information Warfare and Security (Addison-Wesley, 1999), а также ее классическую работу Cryptographyand Data Security (Addison-Wesley, 1982).

Работы и речи Вита Диффи (Whit Diffie) также повлияли на мои размышления. Я рекомен дую книгу, написанную им в соавторстве со Сьюзен Ландау (Susan Landau) Privacy on the Line (MIT Press, 1998).

Карл Эллисон (Carl Ellison) продолжает писать эссе и статьи об инфраструктуре открытого ключа. Многие его работы можно найти на веб-сайте: world std com/~cme/.

От Эда Фелтона (Ed Felton) я узнал много нового о ненадежности модульного программ ного обеспечения и о средствах безопасности Java. Именно он показал мне однажды рисунки, воспроизведенные в этой книге под номерами 10.1 и 10.2.

Речи Дэна Гира (Dan Geer) были столь же содержательны.

Превосходная работа Дитера Голлманна (Dieter Gollmann) Computer Security (John Wiley&Sons, 1999) содержит много полезных сведений.

Классическая книга Дэвида Кана (David Kahn) The Codebreakers изобилует интересными историческими фактами из области криптографии. [русский перевод книги доступен на http://lib aldebaran ru/author/kan_dyevid/kan_dyevid_vzlomshiki_kodov/ Прим сост. FB2] Стюарт МакКлур (Stuart McClure), Джоел Скрамбрей (Joel Scrambray) и Джордж Курц (George Kurtz) написали книгу Hacking Exposed (Osborne/McGraw-Hill,1999), которую я настоя тельно рекомендую. Я написал предисловие ко второму ее изданию, которое уже должно выйти к моменту публикации этой книги.

Гэри Макграу (Gary McGraw) подробно описал разработку надежного программного обес печения, а также все плюсы и минусы открытого исходного кода. Я использовал его книгу Securing Java (John Wiley&Sons, 1999), написанную в соавторстве с Эдом Фелтоном (Ed Felton).

Наблюдения Питера Неймана (Peter Neumann) настолько глубоки и очевидны, что я часто забываю, что не всегда верил ему. Его колонка Inside Risks на последней странице журнала Communications of the ACM всегда интересна. Я также настоятельно рекомендую его книгу Computer-Related Risks (Addison-Wesley, 1995).

Эссе, речи и застольные шутки Маркуса Ранума (Marcus Ranum) долго были для меня ис точником вдохновения и здравого смысла. Я настоятельно рекомендую прочитать все, что он на писал. Его веб-сайт: http://pubweb nfi-.net/~mjr/.

Эви Рувин (Avi Ruvin), Дэн Гир (Dan Geer) и Маркус Ранум (Marcus Ranum) совместно на писали книгу Web Security Sourcebook (John Wiley&Sons, 1997), которую я тоже рекомендую.

Книга Винна Швартау (Winn Schwartau) Time Based Security (Interpact Press, 1999) содержит схожие с моими идеи о важности обнаружения и реагирования.

Диомидис Спинеллис (Diomidis Spinellis) приводит данные о сложности операционных си стем и языков программирования в своей статье Software Reliability: Modern Challenges (in G.I.Schueller and P.Kafka, editors, Proceedings ESREL'99 – The Tenth European Conference on Safety and Reliability, pages 589–592, Munich-Garching Germany, September 1999).

Размышления Ричарда Тиема о хакерстве и эпистемологии Интернета были для меня ис точником вдохновения. Вы можете найти его работы на сайте: www thiemeworks com.

Сотни эссе и статей о компьютерной безопасности публикуются каждый год. Если бы я все их прочитал, то, несомненно, все мысли, идеи, размышления, нюансы и умные остроты, собран ные там, попали бы в эту книгу. Я приношу свои извинения за то, что не могу выразить благо дарность каждому, кто заслуживает этого.

Об авторе Брюс Шнайер – президент криптографической компании Counterpane Systems (США), член совета директоров Международной ассоциации криптологических исследований (IACR) и член консультативного совета Информационного центра электронной приватности (EPIC).

Брюс Шнайер: «Секреты и ложь. Безопасность данных в цифровом мире» Шнайер известен как автор нескольких бестселлеров и признанный эксперт в области приклад ной криптографии и компьютерной безопасности. Его книги давно стали настольными энцикло педиями для множества людей, интересующихся вопросами защиты информации.

В своей новой книге Брюс Шнайер развеивает миф о том, что информация в цифровом мире может быть абсолютно конфиденциальной. Он проповедует собственный подход к защите информации. Безопасность данных для него – не только систематизация, обнаружение и отраже ние угроз, главное – управление рисками, своевременные превентивные меры для снижения рис ка угроз, каждодневная кропотливая работа по системному обеспечению безопасности предпри ятия.

«…Наконец-то я могу предложить решения для обозначенного круга проблем, показать путь из тьмы, дать надежду на будущее компьютерной безопасности…»

Брюс Шнайер

Pages:     | 1 |   ...   | 12 | 13 ||
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.