25.11.2011+-+ДЗ

Текст []

Summary Computer security attempts to ensure the confidentiality, integrity, and availability of computing systems' components. Three principal pieces of a computing system are subject to attacks: hardware, software, and data. These three, and the communications among them, constitute the basis of computer security vulnerabilities. In turn, those people and systems interested in compromising a system can devise attacks that exploit the vulnerabilities. This chapter has identified four kinds of attacks on computing systems: interception, interruption, modification, and fabrication.

Four principles affect the direction of work in computer security. By the principle of easiest penetration, a computing system penetrator will use whatever means of attack is the easiest; therefore, all aspects of computing system security must be considered at once. By the principle of timeliness, a system must be protected against penetration only so long as the penetration has value to the penetrator. The principle of effectiveness states that controls must be usable and used in order to serve their purpose. And the weakest link principle states that security is no stronger than its weakest point.

Controls can be applied at the levels of the data, the programs, the system, the physical devices, the communications links, the environment, and the personnel. Sometimes several controls are needed to cover a single vulnerability, and sometimes one control addresses many problems at once.

Итог Компьютерная безопасность должна гарантировать конфиденциальность, целостность, и доступность компонентов компьютерных систем. Три основные части компьютерных систем, которые подвергаются атакам: аппаратные средства, программное обеспечение, и данные. Эти три вещи, и их взаимосвязи, представляют собой основные уязвимости компьютерных систем. В свою очередь, люди и системы, заинтересованные в причинении ущерба системе, могут разработать атаки, которые используют эти уязвимости. Эта глава идентифицировала четыре вида атак на вычислительные системы: перехват, прерывание, изменение и фальсификация.

Четыре принципа влияют на направление работы в компьютерной безопасности. По принципу простого самого лёгкого проникновения, взломщик компьютерной системы будет использовать те средства атаки, которые являются самыми легкими; поэтому, обо всех аспектах безопасности компьютерной системы нужно думать сразу. По принципу своевременности, система должна быть защищена от проникновения только, пока это проникновение имеет ценность для нарушителя. Принцип эффективности утверждает, что средства управления должны быть применимы и применяться для того, чтобы служить своей цели. И +принцип слабого звена утверждает, что безопасность системы не выше, чем безопасность ее самого слабого звена. Средства управления могут применяться на уровне данных, программ, системы, физических устройств, __линий связи__ неверно, окружающей среды, и персонала. Иногда для того, чтобы закрыть одну уязвимость необходимо несколько средств управления, а и иногда одно средство решает сразу несколько проблем.

Tsykarev Aleksey 4+

Kazakov Oleg
текст []

1.8 Terms and Concepts
Virus, Trojan horse, worm, rabbit, salami, firewall, spray paint, mental poker, orange book, war dialer. The vocabulary of computer security is rich with terms that capture your attention. Also, the field is filled with acronyms: DES, AES, RSA, TCSEC, CTCPEC, ITSEC, PEM, PGP, and SSE CMM, to list a few. All of these are explained in this book. Each chapter ends with a list of terms and concepts, in order of their occurrence, as a way to review and see whether you have learned the important points of the chapter. The list for this chapter includes some terms that may be new, as well as the major concepts introduced here. Although these terms are elaborated on in future chapters, it is good to begin now to learn the terms and the underlying concepts.

перевод: =Термины и понятия.= Вирус, Троянский конь, червь, высокоскоростной поточный шифр, метод "салями", брандмауэр, "окрашивание распылением", честная игра на расстоянии, "оранжевая книга", номеронабиратель. Словарь по компьютерной безопасности богат терминами, которые привлекают ваше внимание. Кроме того, словарь заполнен сокращениями: DES(Data Encryption Standard) - стандарт шифрования данных, AES(Advanced Encryption Standard) - спецификации среды прикладных программ, RSA (Rivest-Shamir-Adleman)-алгоритм шифрования, TCSEC (TrustedComputerSystemEvaluationCriterial)- критерии оценки безопасности защищенных вычислительных систем(“оранжевая книга”), CTCPEC ( Canadian Trusted Computer Product Evaluation Criteria) - Канадские критерии безопасности компьютерных систем, ITSEC (Information technology security evaluation criteria) - критерии оценки безопасности информационных технологий, PEM (Privacy Enhanced Mail) - почта повышенной секретности, PGP (Pretty Good Privacy) - надежная конфиденциальность, SSE CMM (Systems Security Engineering Capability Maturity Models) - Системные Модели развития функциональных возможностей Разработки Безопасности, __перечислим некоторые из них.__ стилистическая ошибка Все они описаны в этой книге. Каждая глава завершается списком терминов и понятий, в порядке их появления, чтобы увидеть изучили ли вы важные моменты главы. Список для этой главы включает в себя некоторые термины, которые могут быть не новыми, а так же основные понятия, рассмотренные здесь. Хотя эти термины подробно рассматриваются в последующих главах, хорошо бы начать изучать термины и основные понятия уже сейчас. 5-


 * 1.9 Where the Field Is Headed**

We conclude most chapters with a paragraph or two highlighting some interesting work being done. For students interested in pursuing a career in security, these sections may identify an area of interest. The number of computer security professionals is growing rapidly but so, too, is the number of attackers. The U.S. CERT and its counterpart organizations around the world do an exceptional job of tracking serious system vulnerabilities and countermeasures. Several efforts are underway to categorize and catalog computer security incidents and vulnerabilities (for example, Landwehr et al. [LAN94]). Being able to sort and correlate incident information is critical to successful forensic analysis of large incidents.

Мы завершаем большинство глав параграфом абзацем или двумя __выделениями__ неправильная часть речи на первый план интересной проделанной работы. Для студентов, которые хотят заниматься карьерой в области безопасности, эти параграфы могут __раскрыть__ обозначить интересующую область. Число профессионалов в области компьютерной безопасности быстро растет, но также растет и число нападающих. Американское Свидетельство и дополняющие его организации во всем мире делают исключительную работу по отслеживанию серьезных системных слабых мест и контрмер. Разрабатываются Некоторые меры состоят в том, чтобы в стадии реализации категоризировать и составить каталог инцидентов и слабых мест компьютерной безопасности (например, Landwehr и др. [LAN94]). Возможность сортировать и устанавливать соотношения между информацией об инцидентах очень важна для успешного судебного анализа больших происшествий. 4+ 1. "У меня было бы больше воспоминаний, если бы я был множеством...".

2. “Если бы я был девушкой, то я бы отчаялся. Количество хороших женщин намного превышает количество мужчин, которые их заслуживают”.

3. “Если я был могильщиком или даже палачом, есть некоторые люди, с которыми я бы мог работать с огромным удовольствием”.

4. “Я чувствую себя так, как если бы я был частью шахматной игры, когда мой противник говорит: эта фигура не может быть передвинута”.

5. “Бейсбол и американский футбол - совсем разные игры. В некотором смысле, они обе просты. Американский футбол прост, если Вы сумасшедший, как ад. Бейсбол легок, если у Вас есть терпение. Они и были бы легче для меня, если бы я был немного более сумасшедшим и немного терпеливее”. 1322054743

The severity of the computer security problem is causing many companies, schools and universities, government bodies, and individuals to address their security needs. Looking at these groups separately can be daunting and also risks your missing the ones who do it really well. Several groups have promulgated codes of security best practices. The Information Security Forum [ISF00] and the Internet Security Alliance [ISA02] have published codes of best security practices, which are recommendations for secure computing. Governments and regulatory bodies are beginning to enforce standards.

Серьезность проблем информационной безопасности заставляет многие компании, школы и университеты, гос. организации и частных лиц обратиться к своим нуждам безопасности. Рассматривание этих групп по отдельности может быть сложным, а кроме того, вы рискуете упустить тех, кто делает это хорошо. Несколько групп обнародовали рекомендации по кодам обеспечения безопасности. Форум по информационной безопасности и Альянс безопасности сети Интернет опубликовали __рекомендации по безопасности, которые носят рекомендательный характер__ стилистическая ошибка для обеспечения безопасности вычислений. Правительственные и регулирующие органы начинают контролировать __выполнение нормативов__. соблюдение стандартов .user:Kurorisu 5-