27.10


 * 1.6 What's Next**toc

This book describes all aspects of security in computing. By studying it, you will become acquainted with computer security's major problem areas, the controls that are effective against them, and how current research is addressing the open problems. To present security in a comprehensive way, this book is organized in four parts. The first part introduces encryption, an important tool on which many controls are based. That introduction presents encryption's goals, terminology, and use. You will be able to understand the role of encryption in addressing security needs without having to learn the intricate details of particular encryption methods. The second part contains material on the hardware and software components of computing systems. We describe the types of problems to which each is subject and the kinds of protection that can be implemented for each component. The third part of the book discusses factors outside the system's hardware, software, and data that can influence the system's security. In particular, this part contains a study of physical factors in security, as well as characteristics of the people who use the system. The book's final section is a more detailed study of encryption, for those readers who are interested in understanding the intricacies of encryption techniques and evaluating their effectiveness. The remainder of this section presents the contents of these parts in more depth.

Березкина
Эта книга описывает все аспекты компьютерной безопасности. Изучая ее, вы познакомитесь с главными проблемными областями компьютерной безопасности, со средствами управления, которые эффективны против них; также вы узнаете, __какие меры текущее исследование принимает__ какие меры может принимать исследование? )) по поводу открытых проблем. Чтобы представить безопасность с разных сторон, эта книга разделена на четыре части. Первая часть вводит понятие шифрования, важного инструмента, на котором базируются много средств управления. В этом введении представлены цели шифрования, терминология и его использование. Вы сможете понять роль шифрования в адресации применительно к потребностям безопасности, не имея без необходимости изучать запутанные детали особых методов шифрования. Вторая часть содержит материал по аппаратным и программным компонентам компьютерных систем. Мы описываем типы проблем, которым каждый подвергается и виды защиты, которая может быть осуществлена для каждого компонента. В третьей части книги обсуждаются факторы вне аппаратных средств системы, программного обеспечения, и данных, которые могут влиять на безопасность системы. В частности эта часть содержит исследование физических факторов в безопасности, таких как а также особенности людей, которые используют систему. Заключительный параграф раздел книги - более подробное исследование шифрования для тех читателей, которые интересуются пониманием запутанности тонкостей методов шифрования и оценки их эффективности. Остаток от этого раздела представляет более глубокое содержание этих частей.

5- но можно было и получше со стилем поработать

Chapter 2 presents the goals and terminology of encryption so that you will understand not only why data are scrambled but also the role of the scrambling in the larger context of protecting assets. This chapter provides you with knowledge of encryption sufficient for study of its use as part of other security tools and techniques.
 * Encryption Overview**

Chapters 3 through 7 address the role of security in general programs, operating systems, database management systems, and networks. In particular, the security problems and features of programs are introduced in Chapter 3. Here, we look at viruses and other malicious code and ways to devise controls against them. Operating systems are considered separately, in Chapter 4, because they play a major role in security and are fundamental to proper computer usage. While providing security features to protect one user from another, operating systems can at the same time introduce security vulnerabilities themselves. Chapter 5 focuses on a special type of operating system, called a trusted operating system, to study how to make certain data and functions accessible only to those who have the need or permission to view or handle them. This chapter is especially important for those developers who plan to design their own operating systems or modify functions in an existing operating system.
 * Hardware and Software Security**

Болтунов Артем.
Аппаратная и программная безопасность. Главы с 3ей по 7ую обращают наше внимание в целом на [роль безопасности в] программы, операционные системы, системы управления базами данных и сети. В частности, в главе 3 вводятся проблемы и особенности программ. В этой главе мы рассматриваем вирусы и другие вредоносные коды, а также способы разработки средств контроля над ними. Операционные системы рассматриваются отдельно в главе 4, так как они играют большую роль в безопасности и являются __фундаментом__ (основными) правильного использования компьютера. Обеспечивая функции защиты одного пользователя от других, ОС в то же время +сами могут содержать уязвимости в безопасности. Глава 5 фокусируется на особых видах операционных систем (называемых доверенными операционными системами) чтобы изучить, как сделать определенные данные и функции доступными только для тех, кто в них нуждается или имеет разрешение на их просмотр или может __справиться__ работать с ними. Эта глава особенно важна для тех разработчиков ПО, которые планируют разрабатывать свои ОС или модифицировать функции в существующих ОС. 5

Database management systems are also specialized programs: they permit many users to share access to one common set of data. Because these systems are partially responsible for the confidentiality, integrity, and availability of the shared data, we look at database security in Chapter 6. Chapter 7 contains material on security problems and solutions particular to computer networks and the communications media by which networked computers are connected. Network security has become very significant because of the rapid growth in use of networks, especially the Internet.

The first two parts of this book form a progression from simple security applications and tools to complex security technology in multiuser, multicomputer systems. These technology-based security methods are rather sophisticated, and researchers continue to look to technology to assist in security assurance. However, most computer-based security breaches are caused by either human or environmental factors. Thus, Chapters 8 through 11 suggest alternative or supplemental approaches to computer security: Treat the causes (people and the environment) rather than the symptoms (attacks and vulnerabilities). We examine procedures that can be implemented in spite of, or in addition to, any controls built into hardware and software.
 * Human Controls in Security**

** Нефёдов Евгений **
Человеческий контроль в безопасности Первые 2 части этой книги образуют прогрессию простых приложений безопасности в многопользовательской, многомашинной системе. Эти технологические методы защиты довольно сложны, и исследователи продолжают __рассматривать__ обращаться к (м.б. искать) технологии __для__ за помощью помощи в обеспечении безопасности. Однако большинство компьютерных угроз безопасности вызваны либо человеком, либо окружающими факторами. Таким образом, главы с 8 по 11 предлагают альтернативные или дополнительные подходы к компьютерной безопасности: лечить причины (людей и условия) а не симптомы (атаки и уязвимости). Мы изучим процедуры, которые могут быть реализованы в, вопреки или в дополнение к любому элементу управления в аппаратном и программном обеспечении. 5 пожалуйста, не опаздывайте больше

Chapter 8 addresses the administration of security. It begins with security planning and the particularly important role played by risk analysis. The chapter also explains physical security mechanisms that can be used to protect computing systems against human attacks or natural disasters. It explains why security policy is essential to security planning, illustrating the concepts with several examples from actual organizational policy documents. The chapter concludes with a discussion of disaster recovery: how to deal with the failure of other controls. Chapter 9 looks at the economics of cybersecurity. In any organization, security is just one of many competing needs. Security will never be the "long pole in the tent," getting a disproportionately large share of resources; too often, unfortunately, it ends up being the short pole, suffering from inattention. In Chapter 9 we describe the economic case for cybersecurity: how to justify spending on security (which often means not spending on facilities or benefits or marketing) and how to demonstrate that investing in security has paid off.

Ярушин Д.
В Главе 8 мы обращаемся к организационному управлению безопасностью. Оно начинается с планирования безопасности и особенно важную роль играет анализ риска. В главе также объясняются физические механизмы безопасности, которые могут быть использованы для защиты вычислительных систем от __человеческих__ хакерских? атак или стихийных бедствий. Объясняется, почему политика безопасности имеет важное значение для планирования безопасности, иллюстрируя концепции __на нескольких__ несколькими примерах из реальных документов организационной политики. Глава завершается обсуждением восстановления в аварийных ситуациях: как справиться с __провалом__ сбоем, поломкой других элементов управления. В главе 9 рассматривается экономика кибербезопасности. В любой организации, безопасность является лишь одной из многих конкурирующих потребностей. Безопасность никогда не является "длинным шестом в палатке", получая непропорционально большую долю ресурсов; слишком часто, к сожалению, шест ломается из-за халатности. В главе 9 мы описываем __экономические основы__ экономический пример для кибербезопасности: как обосновать расходы на безопасность (что часто означает не тратиться на оборудование, льготы или маркетинг), и как продемонстрировать, что инвестиции в безопасность окупаемы. 5

In Chapter 10 we consider privacy, which is a different part of the human side of computer security. As more data are collected about more people, two concerns arise: First, who owns or controls personal data, and what are acceptable uses of that data, and second, how are personal data protected against loss or inappropriate disclosure? As data collection and analysis systems grow and new ones are developed, now is the right time to ensure that appropriate security controls protect these valuable kinds of data. Chapter 11 considers the use of law and ethics to control malicious behavior. Although computer law is a relatively new field, it is evolving rapidly and is an important tool in the defense of computing systems. We look at how ethical systems may address some situations where the law is ineffective, inappropriate, or inadequately defined.

Артя Смирнов.
В главе 10 мы рассматриваем частную жизнь человека, которая __так или иначе тесно связана с КБ__. является отдельным вопросом среди проблем КБ, связанных с человеческим фактором. По мере того как накапливаются данные о все большем количестве людей, становятся актуальными следующие проблемы: во-первых, КТО хранит и управляет личными данными, и КАК он это делает (критерии приемлемости использования), во-вторых, КАК личные данные защищены от потери содержимого или незаконного вскрытия? Т. к. системы сбора и анализа данных требуют все больше «ресурсов», а новые системы совершеннее старых, сегодня мы __можем__ должны с полной уверенностью гарантировать, что ценные виды данных защищены системами безопасности, которые отвечают всем требованиям КБ. Согласно главе 11, использование законов и этики контролирует __отступное__ ??? поведение. Несмотря на то, что __компьютерный закон__ есть ещё "закон о защите ВТ" ) - относительно новая область, он развивается быстро и является важной составляющей защиты обработки данных. Мы наблюдаем за тем, как этические системы(?) организации, видимо обращаются к нетипичным (=некоторым) ситуациям, где закон малоэффективен, неприменим, или неверно определен. 5

Chapter 12 builds on the simple encryption methods and terminology presented in Chapter 2. It progresses from theoretical encryption algorithms to current standard practices in the field. We study what makes a cryptosystem secure enough for commercial use; for protecting government data; or for securing your own private, personal information. Throughout the book, we raise issues related to the important problems in computer security today. When the solution is known, we describe it or at least give you pointers to a fuller description of the solution. At the same time, we discuss work in progress so that you can watch the media and the literature for significant achievements in improving computer security. It is important to remember that computer security is a relatively new field that is gaining prominence as computing itself becomes pervasive. The speed of new development in computing far outpaces capabilities in computer security. It sometimes seems as if each advance in computing brings with it new security problems. In a sense, this is true. However, there is reason to be optimistic. The fundamental work in security provides tools (such as encryption and operating system features) that form the basis of controls for these new problems as the problems arise. Part of the excitement of computer security is that there are always new challenges to address.
 * Encryption In-Depth**

Глава 12 основывается на простых методах шифрования и терминологии, представленной в главе 2. Глава начинается с теории алгоритмов шифрования и заканчивается описанием нынешних стандартов в этой области. Мы изучаем то, что делает криптографичесие системы достаточно безопасными для коммерческого использования; для защиты правительственных данных; или для обеспечения безопасности вашей личной, персональной информации. На протяжении всей книги, мы поднимаем вопросы, связанные с важными и актуальными проблемами в области компьютерной безопасности.Когда решение известно, мы описываем его или по крайней мере даем вам ссылку на более полное описание решения. В то же время, мы обсуждаем работу постепенно, чтобы вы могли просмотреть электронные источники и литературу для существенных достижений в повышении компьютерной безопасности. Важно помнить, что компьютерная безопасность - относительно новая область, которая займет достойное положение, поскольку сами компьютеры становятся все более распространенными. Скорость появления новых разработок в вычислительной технике далеко опережает возможности в области компьютерной безопасности.. Иногда кажется, как будто каждое усовершенствование в вычислительной технике приносит с этим новые проблемы в области безопасности. В некотором смысле это правда. Однако, есть причина быть оптимистичным. Фундаментальные работы в области безопасности предоставляют нам инструменты(такие, как шифрование данных и функции операционной системы), которые формируют основу контроля новых проблемами, как только они возникают. Часть волнений в области компьютерной безопасности вызывает то, что всегда появляются новые проблемы. Tsykarev Aleksey