СОДЕРЖАНИЕ Введение Используемая терминология Описание процедуры аттестации >Планирование Инициирование Анализ Планирование ресурсов Документирование плана проведения аттестации Сбор информации Документы, содержащие требования безопасности Отчет по результатам анализа рисков Диаграммы информационных потоков приложений Описание механизмов безопасности АС Базовый анализ Оценка адекватности требований безопасности Единые критерии оценки безопасности информационных технологий Анализ механизмов безопасности Проверка существования механизмов безопасности Обзор […]
По официальной версии, не сходившей с первых полос газет и экранов телевизоров с 1995-го по 1998 год, житель Петербурга Владимир Левин. 1967 года рождения, русский, микробиолог по образованию, холостой, ранее не судимый, не вставая со стула в обшарпанной комнатке на улице Малой Морской (бывшая Гоголя), залез в закрома нью-йоркского Ситибанка, откуда в период с 30 […]
В статье сделана попытка определить абсолютную систему защиты, относительно которой могут быть оценены любые другие, в том числе и программные системы защиты АИС. Прежде чем синтезировать абсолютную систему защиты попробуем кратко охарактеризовать основные способы защиты, реализуемые в живой природе. Результаты анализа известных в природе способов защиты схематично могут быть представлены в виде рис. 1. Рис. […]
Таблица 1. Каталог требований к функциям безопасностиТаблица 2. Каталог требований гарантии оценкиТаблица 3. Сравнительная оценка требований 5 класса защищенности и профиля защиты ПЗ-5 Таблица 1. Каталог требований к функциям безопасности Класс Семейство Название Иер.связи Зависимости Компонент FAU Аудит безопасности FAU_ARP Автоматический ответ аудита безопасности […]
Дата: 02-02-2001Подготовлено: National Computing Center Одной из популярнейших тем для обсуждения является безопасность электронной коммерции. Но до сих пор, несмотря на все ценные мнения и высказывания, не существует практичного, «земного» пособия к тому, что же все-таки является предметом безопасности электронной коммерции. В этой статье приводятся некоторые точки зрения на этот вопрос, и делается попытка отделить […]
Один из самых захватывающих аспектов в сетевой безопасности — сбор информации об атакующих. Чтобы правильно оценить угрозу и лучше защищаться от них нужно знать врага. Пассивный сбор информации (passive fingerprinting) — метод, позволяющий узнать больше о враге, так чтобы он не узнал, что его разрабатывают. Говоря конкретно, вы можете узнать тип операционной системы и другие […]
Представьте, что перед вашим домом остановился странный человек. Он обернулся, внимательно оглядел окрестности, а затем подошел к двери и повернул ручку. Дверь оказалась запертой. Он подошел к ближайшему окну и попытался осторожно его открыть. Окно тоже было закрыто. По-видимому, ваш дом в безопасности. Так зачем же устанавливать сигнализацию? Похожий вопрос часто задают защитникам технологии обнаружения […]
Давайте-ка, обсудим, как можно ломать PHP3-скрипты. Меня часто об этом просят. Итак, первый способ — подмена переменной. Делается это предельно просто через браузер. Допустим, нодо, что бы переменная root была равна 1. Набиваем строку http://www.xxx.com/admin.php3?$root=1 и у нас переменная root делается равной единице. Но тут есть один маленький напряг. Подменить ее таким образом можно только […]
Первый и наихудший из всех подвохов _ обмануть себя. Потом уже легко впасть в любой грех. Дж. Бейли По мнению специалистов по информационным компьютерным технологиям, самая большая угроза информационным системам и базам данных исходит не от суперхакеров, преследующих .злые. цели, а скорее от источников, которым мы абсолютно доверяем. Реалистическая оценка угрозы с последующей разработкой соответствующих […]
Ошибки в прикладном программном обеспечении были и остаются основным путем проникновения злоумышленника как на сервера, так и на рабочие станции. Объективная причина этого разработка подобного ПО различными группами разработчиков, которые просто не в состоянии уделить должного внимания сетевой и локальной безопасности своего продукта. И если фирмы-разработчики операционных систем тратят огромные суммы на тщательные испытания поведения […]