Лекция: Информационн icon

Лекция: Информационн


Смотрите также:
Вводный семинар, вводная лекция, занятия по целе-полаганию, лекция-беседа...
Аналитические материалы к переговорному процессу по выработке нового соглашения «Копенгаген...
Лекция 20. 03. 12. Модели для исследования и оценки в pr лекция 27. 03. 12...
Лекция Фьючерсные контракты Лекция Фьючерсы на акции...
Об утверждении рекомендаций по проведению первоочередных мероприятий по интеграции деятельности...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...
Курс лекций Лекция Введение в земледелие. Лекция Научные основы земледелия...
Лекция Сионизм в оценке Торы Лекция Государство Израиль испытание на прочность...
Лекция Введение в социологию 6 Лекция Становление и основные этапы развития социологии. 20...
План лекционных занятий Лекция Развитие аудиальных средств информации. Лекция 2...
Курс лекций Москва 2008 Содержание Лекция Введение 4 Лекция Научные знания в средневековой Руси...
Лекция Историография как научная дисциплина Лекция Исторические знания в Древней Руси...



Загрузка...
страницы: 1   2   3   4   5   6   7   8   9   10
вернуться в начало
скачать
^

Когда ПО с открытыми исходными текстами может не соответствовать требованиям


Выше много говорилось о достоинствах ПО с открытыми исходными текстами. Вы могли подумать, что с его помощью можно решить все проблемы. Однако существуют ситуации, когда оно просто не подходит. Их не так много, но они встречаются.
^

Компания по созданию программных средств защиты данных


Если вы работаете в организации, которая создает патентованное программное обеспечение защиты данных, то ПО с открытыми исходными текстами не очень подходит в качестве основы разрабатываемых продуктов. Это не означает, что вы не можете экспериментировать с подобным ПО, чтобы получить идеи и ознакомиться с методами, но надо быть очень осторожным с включением каких-либо фрагментов из проекта с открытыми исходными текстами, поскольку это может нарушать лицензии открытого ПО и сделает недействительной всю работу организации. Если ваша организация может работать с лицензиями, включенными в программы с открытым кодом, вы можете их использовать. Некоторые организации также начинают открывать исходные тексты некоторых частей своего ПО. Такие "гибридные" лицензии становятся все более распространенными. Если вы решите сделать это, то необходимо убедиться, что вы ясно понимаете лицензию открытого ПО, а юристы должны внимательно исследовать этот вопрос.

Это не означает, что в вашей организации нельзя использовать ПО с открытыми исходными текстами. Если вы работаете сетевым администратором, то можете применять, например, межсетевой экран с открытыми исходными текстами. Многие компании по разработке ПО с закрытыми исходными текстами делают это, как бы лицемерно это ни выглядело. Вы не можете использовать открытые тексты для создания продукта, который не будет распространяться как открытое ПО.
^

Полный аутсорсинг информационных технологий


ПО с открытыми исходными текстами может не подойти, если ваш отдел ИТ не способен выполнить установку, компиляцию программ и т.д. Хотя большая часть программ с открытыми исходными текстами весьма проста в использовании, требуется определенный уровень подготовки. Если администрированием вашей системы занимаются только в свободное время, или если вы передали функции отдела ИТ сторонней организации, то использовать открытое ПО, наверное, не имеет смысла, если только ваш подрядчик не имеет значительного опыта в этой области.
^

Ограничительные корпоративные стандарты в области ИТ


Наконец, вы можете столкнуться с ограничениями корпоративных стандартов, которые либо требуют ориентироваться на определенных поставщиков, либо полностью запрещают использование открытого исходного кода. Это становится все менее распространенным, так как организации понимают, что неразумно ориентироваться только на одного поставщика. Долгое время игнорируемое большими компаниями ПО с открытыми исходными текстами уверенно покоряет корпоративную Америку. Такие компании как IBM - когда-то крупнейший поставщик патентованных продуктов с закрытыми исходными текстами - берут на вооружение и даже пропагандируют открытое ПО. Старое изречение, что "никто никогда не будет уволен за покупку (вставьте поставщика на выбор из голубых фишек)" в большинстве организаций больше не действует. Обновленной версией данного высказывания может быть "никто никогда не будет уволен за экономию денег организации с помощью решения, которое работает". Однако, конечно, предложение новой концепции может оказаться более рискованным, чем сохранение сложившегося порядка вещей.
^

Windows и ПО с открытыми исходными текстами


Так случилось, что ПО с открытыми исходными текстами разрабатывалось прежде всего в операционных системах на основе UNIX. Многие разработчики считают операционную систему Windows и создавшую ее компанию антиподом того, за что выступает движение за открытое ПО. И сама компания этого не отрицает; фактически корпорация Microsoft заказывает исследования, которые представляют открытое ПО в невыгодном свете, и активно борется на рынке с операционной системой Linux, которая начинает вторгаться в ее рыночную долю серверов. Однако независимо от отношения Microsoft к самой концепции, пользователи Windows активно создают для нее программы и выпускают их с открытыми исходными текстами. Существуют версии основных инструментальных средств мира UNIX и Linux для Windows. Эти программы иногда являются не полными аналогами своих собратьев из UNIX, но существуют также программы с открытыми исходными текстами, которые выпущены только для платформы Windows, такие как анализатор беспроводных сетей NetStumbler, который рассматривается в лекции 10.

Технический персонал ограничен рамками операционной системы, которую они могут использовать в корпоративной сети. Даже если они могут выбирать ОС самостоятельно, у них просто может не быть времени для загрузки и изучения одной из операционных систем с открытыми исходными текстами, которые рекомендуются в следующей лекции. Поэтому для каждой прикладной области, рассмотренной в этой книге, делаются попытки представить варианты как для UNIX, так и для Windows (зачастую они совпадают). Нравится это или нет, но Windows является доминирующей операционной системой для настольных компьютеров, а игнорирование данного факта сослужило бы дурную службу техническим специалистам, которые хотят воспользоваться возможностями открытого ПО.
^

Лицензии для ПО с открытыми исходными текстами


Многие считают, что открытость исходных текстов означает свободу программного обеспечения от всех ограничений. Действительно, во многих случаях за программу не нужно платить. Однако почти все ПО с открытыми исходными текстами охватывается лицензией, с которой вы должны согласиться при его использовании; так же это делается для коммерческих продуктов. Обычно эта лицензия значительно менее ограничительна, чем традиционная лицензия ПО с закрытыми исходными текстами; однако она устанавливает границы того, что можно делать с программным обеспечением. Без этих ограничений ни один программист не будет чувствовать себя в безопасности при предоставлении результатов своей работы в общее достояние. При использовании открытого ПО убедитесь, что вы действуете в соответствии с этой лицензией. Проверьте также, что все сделанные модификации ей также соответствуют. Это важный момент: если ваша организация тратит много времени, модифицируя программу с открытыми исходными текстами для собственного использования, необходимо понимать, что вы, согласно лицензии, берете на себя некоторые обязательства.

Существует два основных типа лицензий для ПО с открытыми исходными текстами: Генеральная публичная лицензия GNU GPL и лицензия BSD. При правильном их понимании вы сможете уверенно использовать большую часть открытого ПО, не боясь запутаться в каких-либо вопросах авторского права. Существует несколько необычных лицензий для ПО с открытыми исходными текстами, появляющихся для таких вещей, как иллюстрации в компьютерных играх и т.д. Эти "гибридные" лицензии несколько сложнее, а их использование требует определенной осторожности, так как с вас могут потребовать плату или вы невольно нарушите авторские права.

Цель обеих основных лицензий для ПО с открытыми исходными текстами в большей степени состоит не в защите существующего программного обеспечения, а в контроле использования производного кода, полученного на основе этого программного обеспечения. В конце концов, оно обычно бесплатно, и первоначальный разработчик не будет возражать, если вы сделаете миллион копий и распространите их среди своих друзей. Но когда вы начнете делать изменения в программном обеспечении и захотите его распространить, вы должны быть аккуратны. Две основные лицензии для ПО с открытыми исходными текстами, их сходства и различия описаны далее.
^

Генеральная публичная лицензия GNU GPL


Генеральная публичная лицензия GNU GPL используется, пожалуй, наиболее часто. Она поддерживается Фондом свободного программного обеспечения, который способствует созданию и распространению ПО с открытыми исходными текстами, используя эту лицензию. Сообщество GNU работает над определенными программными проектами и ставит на них свою печать одобрения. Эти проекты в большинстве своем являются базовыми инструментами и библиотеками, такими как семейство компиляторов Gcc. Любой может использовать лицензию GPL для программного обеспечения, пока вы применяете его в исходном виде, без изменений и добавлений. Ее используют многие разработчики, потому что она была проверена группой юристов и прошла испытание временем. Она настолько распространена, что когда говорят о "программе с GPL", то люди обычно понимают, что речь идет о программе, выпущенной с открытыми исходными текстами согласно лицензии GPL.

GPL сложнее, чем другая основная лицензия для ПО с открытыми исходными текстами, лицензия BSD. Она имеет больше ограничений на использование кода держателя лицензии, что делает ее более подходящей для организаций, которые создают коммерческий продукт. Обычно, если вы лицензируете что-то под GPL, то это понимается как свободное программное обеспечение. Поставщик, однако, может требовать плату за упаковку, распространение и поддержку. В этой области многие компании делают деньги на том, что, по общему мнению, является бесплатным пакетом. Свидетельством тому служат розничные пакеты разновидностей Linux, коммерческие версии web-серверов Apache и коммуникационного пакета Sendmail. Однако, если вы скачиваете или загружаете с компакт-диска ПО, распространяемое по лицензии GPL, и не указываете номер кредитной карты, то можно предположить, что вы не должны никому никаких денег.

Реальная ценность лицензии GPL с точки зрения разработчика состоит в том, что она позволяет автору программы поддерживать авторские права и некоторые привилегии, делая ее при этом бесплатной для максимального числа людей. Лицензия GPL также разрешает дальнейшее развитие, не беспокоясь, что исходный разработчик может не выдержать конкуренции с патентованной версией собственной программы.

В базовой форме лицензия GPL позволяет произвольным образом использовать и распространять программу со следующими ограничениями:

  • Если вы распространяете свою работу, то должны включить авторские права исходного автора и GPL во всей полноте. Это делается для того, чтобы любой будущий пользователь вашего дистрибутива полностью понимал свои права и ответственность согласно GPL.

  • Когда вы распространяете программу, вы всегда должны делать доступной версию исходных текстов. Можно также распространять бинарный код, но только вместе с исходными текстами. Это обеспечивает цель концепции открытого ПО. Если бы распространялся только бинарный код свободной программы и требовалось разыскивать его создателя, чтобы получить доступ к исходным текстам, то мощь свободного ПО оказалась бы существенно сниженной. Лицензия GPL гарантирует, что каждый получатель программы будет иметь полную возможность увидеть исходные тексты.

  • Если вы делаете какие-либо изменения в программе и выпускаете или распространяете ее, вы должны сделать доступными исходные тексты изменений таким же образом, как и первоначальные, то есть общедоступными и с лицензией GPL. Ключевая фраза здесь "и выпускаете или распространяете ее". Если вы ее не выпускаете, то вы не обязаны выпускать исходные тексты. Если вы делаете индивидуальные изменения для своей организации, то она может не беспокоиться о распространении результатов ваших усилий. Пока вы не выпускаете программу и не намерены ее продавать, исходные тексты могут оставаться закрытыми.

Однако хорошим тоном считается выпуск модифицированных программ с лицензией GPL. Это не только создает большую доброжелательность со стороны сообщества открытого ПО, но также гарантирует, что ваши изменения окажутся совместимыми с будущими версиями программы и полностью протестированы. Можно использовать эту логику, чтобы убедить свою организацию, что в этом случае можно получить опыт и бесплатную рабочую силу всех остальных программистов проекта. Обычно выпуск таких программ не влияет на конкурентоспособность компании, если только это не является частью основного бизнеса, и в этом случае ПО с открытыми исходными текстами может быть вообще неуместным. И, наконец, это не повредит вашей репутации и работе вместе с другими разработчиками проекта и в любом сообществе разработчиков программного обеспечения.

Приложение А содержит полный текст лицензии GPL. Можно получить его в других текстовых форматах по адресу http://www.gnu.org/licenses/gpl.html.
^

Лицензия BSD


Лицензия BSD является лицензией для ПО с открытыми исходными текстами, с которой была выпущена исходная версия BSD UNIX. После того, как разработчики выиграли судебное дело против AT&T по поводу исходной лицензии, они выпустили программное обеспечение в общее пользование с разрешающей лицензией BSD. Основное отличие от GPL состоит в том, что лицензия BSD не включает требования выпуска модификаций под той же лицензией. На основе этого некоторые компании продолжили выпуск коммерческих версий UNIX на основе базового кода BSD. BSDI является одной из таких компаний. Некоторые считают, что это противоречит идее открытого ПО, когда компания может взять улучшенную версию и требовать за нее плату, в то время как другие полагают, что это стимулирует нововведения, создавая коммерческую заинтересованность. В любом случае, это породило целое семейство свободных версий UNIX, включая FreeBSD, NetBSD и OpenBSD, и ряд коммерческих, таких как BSDI. Приложение А содержит полный текст лицензии BSD. Можно также найти его по адресу http://www.opensource.org/licenses/bsd-license.php.

Теперь, когда вы имеете представление об основах информационной безопасности и ПО с открытыми исходными текстами, мы переходим к конкретным вопросам: установка, настройка и использование реальных пакетов программного обеспечения. В следующих лекциях рассматриваются программы, которые могут помочь в защите вашей сети и данных различными способами. Эти лекции организованы согласно различным аспектам информационной безопасности, в них рассмотрено большинство основных областей ИБ. Многие инструменты могут иметь различные применения. Например, хотя программа Snort рассмотрена в лекции о системах обнаружения вторжений, она может использоваться и в криминалистической работе. И, конечно, если вы интересуетесь инструментом для определенной области применения, то можно перейти непосредственно к интересующему вас разделу.

^ 2. Лекция: Средства уровня операционной системы

Большинство средств, рассмотренных в этой книге, являются прикладными программами. Для их выполнения требуется поддержка операционной системы. Если рассматривать эти программы как инструментарий информационной безопасности, то операционную систему можно считать верстаком. Если ОС неустойчива, то работа по защите данных будет от этого страдать; вы никогда не сможете полностью доверять поступающим от нее данным. На самом деле, ваша ОС может даже понизить первоначальную безопасность сети. На жаргоне компьютерной безопасности окружение, в котором функционирует защищенная ОС, называется доверенной вычислительной базой (ДВБ). ДВБ включает в себя полный список элементов, обеспечивающих безопасность: операционную систему, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды служит операционная система. Без нее доверенная вычислительная база оказывается построенной на зыбучем песку.

Обзор лекции

Изучаемые концепции:

  • Введение в доверенную вычислительную базу

  • Рекомендации по настройке системы средств защиты

  • Повышение безопасности операционной системы

  • Основы использования средств, относящихся к уровню операционной системы

Используемые средства:

Bastille Linux, ping, traceroute, whois, dig, finger, ps, OpenSSH и Sam Spade for Windows.

Многие компьютерные атаки нацелены на операционную систему. Современные операционные системы "раздулись" до таких размеров, что одному человеку стало крайне сложно полностью понимать, что происходит "под капотом". XP, самая свежая версия Windows, содержит более 50 миллионов строк исходных текстов. Хотя она считается самой защищенной версией Windows (согласно Microsoft), почти ежедневно в ее системах защиты находят новые ошибки. Чем более сложным становится продукт, тем вероятнее, что непредвиденные исходные данные приведут к непредвиденному (но желательному для хакеров) результату.

Раньше программное обеспечение строилось контролируемым образом - прикладные программы предоставлялись или одобрялись поставщиком компьютеров. В наше время, с появлением Интернета и поддерживающих Java и ActiveX web-навигаторов, в компьютер могут поступать всевозможные виды трафика и кода, не предусмотренные при проектировании. Огромный объем программ в сочетании со всеми видами потоков данных, поступающих из Интернета, приводит к тому, что операционные системы со временем становятся не более, а менее защищенными, особенно если они используются без дополнительной настройки, в том виде, в котором поставляются изготовителями.

Добавьте к этому стремление поставщиков сделать компьютеры как можно более "готовыми к употреблению", чтобы пользователи могли просто включить их и приступить к работе. Может быть, для массового пользователя это и хорошо, но для безопасности, несомненно, плохо. Большинство защитных средств по умолчанию выключены, многие программы и службы загружаются автоматически, независимо от того, нужны они пользователю или нет, а к системе, в попытке превзойти конкурентов, приделано множество украшений. Хотя Microsoft Windows - наиболее злостный рецидивист в этой области, потребительские версии Linux немногим лучше, и даже операционные системы серверного уровня страдают этим грехом. Стандартная установка RedHat Linux по-прежнему загружает значительно больше служб и программ, чем требуется или хочется рядовому пользователю. В Windows Business Server 2000 по умолчанию устанавливается web-сервер. И хотя в Windows XP прежняя политика "открытых дверей" улучшена, в продукте при установке по умолчанию по-прежнему остаются дыры в безопасности.

Обеспечение доверия безопасности системы защитных средств важно по нескольким причинам. Прежде всего, если нарушается безопасность расположенного на "передовой" защитного устройства, такого как межсетевой экран, перестают действовать и предоставляемые им защитные функции. Если это устройство оповещения, например, система обнаружения вторжений, то потенциальные нарушители могут оккупировать компьютер и отключить систему раннего предупреждения. Или, что еще хуже, они могут изменить данные таким образом, что их действия не будут протоколироваться. Это может создать ложное чувство безопасности, в то время как нарушитель свободно орудует в вашей сети.

Существуют хакерские программы, разработанные именно для этой цели. Они изменяют некоторые системные файлы так, что любые данные, выходящие из компьютера, могут контролироваться хакером. Компьютеру, который был инфицирован одной из таких программ, никогда нельзя доверять. Практичнее всего переформатировать диск и начать все сначала.

Наконец, если неавторизованные пользователи получили контроль над вашей системой безопасности, они могут применить те же самые используемые вами защитные средства против вас и других сетей. Подключенный к Интернету компьютер с установленным инструментарием безопасности может стать очень ценной добычей для склонного к озорству злоумышленника.

Обеспечение доверия к безопасности базовой операционной системы на вашем защитном компьютере - первое, что вам следует сделать, прежде чем вы загрузите какие-либо средства или установите дополнительные программы. В идеале вы должны создать систему защитных средств с нуля, устанавливая гарантированно новую операционную систему. Таким образом вы можете быть уверены, что ни одна программа или процесс не будут мешать средствам безопасности. Это также гарантирует, что базовая операционная система свободна от каких-либо ранее измененных или вредоносных программ. Если по какой-то причине необходимо установить защитный инструментарий поверх ранее установленной операционной системы, обеспечьте выполнение приведенных ниже в данной лекции указаний по повышению безопасности ОС и защите системы. Далее в этой лекции рассматривается Bastille Linux, средство, используемое для достижения этой цели на платформе Linux. Существуют доступные бесплатные утилиты от Microsoft для повышения безопасности Windows. Можно также использовать описанные в лекции 5 средства для сканирования уязвимостей существующей системы.

Выбор ОС для системы средств безопасности определяет, как вы собираетесь ее защищать. Я рекомендую операционную систему с открытыми исходными текстами, такую как Linux или BSD, но Windows также будет прекрасно работать, если вы ее сначала правильно обезопасите. Я использовал Mandrake Linux для установки и выполнения рекомендованных в этой книге средств на платформе Linux, которые, впрочем, можно применять на большинстве дистрибутивов Linux и вариантов операционной системы BSD или UNIX.

Как упоминалось в лекции 1, доступно множество операционных систем с открытыми исходными текстами. Большинство из них основано на UNIX, хотя все они снабжены графическим интерфейсом X-Window и менеджерами окон, такими как KDE и GNOME. Эти интерфейсы привычны каждому, кто работал в Microsoft Windows, но есть и некоторые отличия.

Я не сторонник мнения, что какая-то операционная система в плане безопасности по своей природе лучше других. Все зависит от того, как она используется и как сконфигурирована, поэтому ниже следует длинный раздел о повышении безопасности установки ОС. Я использовал Linux, потому что имею наибольший опыт работы с этой операционной системой и убедился, что она совместима с большинством используемых систем. При наличии более 50 миллионов пользователей во всем мире и нескольких дюжин вариантов, Linux предоставляет широчайшее многообразие программ, и большинство защитных средств с открытыми исходными текстами, упоминаемых в этой книге, разработаны специально для этой ОС.

Первое обсуждаемое средство автоматизирует повышение безопасности Linux-системы, гарантируя, что вы работаете с рабочей станцией, безопасной настолько, насколько это изначально возможно. Приводятся также некоторые общие рекомендации, как правильно обезопасить операционную систему Windows для использования в качестве защитной рабочей станции. Наконец, вы освоите некоторые средства уровня операционной системы. Существует ряд функций системного уровня, которые вы будете регулярно использовать в защитных приложениях, и некоторые из них включены в раздел инструментария.

Данная лекция не претендует на роль исчерпывающего руководства по безопасности какой-либо из упоминаемых операционных систем. Скорее, она является обзором основ и некоторых используемых средств.




оставить комментарий
страница5/10
Дата02.10.2011
Размер5,46 Mb.
ТипЛекция, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3   4   5   6   7   8   9   10
отлично
  1
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх