Приложение А. Глоссарий

Эти определения дадут четкое понимание терминов, которые использовались в данной книге. Чем больше технических терминов в книге, тем больше требуется информации, чтобы лучше понять содержание. Подробные определения этих и других терминов лучше всего получить по адресу http://www.whatis.com.

Авторское право (copyright). Эксклюзивное законное право на копирование, публикацию и продажу интеллектуальной собственности. Авторские права необязательно регистрировать, но регистрация поможет защитить их в суде.

Альянс производителей коммерческого программного обеспечения (Business Software Alliance — BSA). Международная промышленная организация, которая занимается борьбой с пиратским копированием программного обеспечения.

Антивирус (anti-virus). Класс программного обеспечения, которое предназначено для предотвращения инфицирования системы вирусами.

Апплет (applet). Небольшая программа, которая загружается с сервера и запускается на компьютере клиента.

Асимметричное шифрование (asymmetric encryption). См. "Шифрование открытым ключом".

Аутентификация (authentification). Процесс выяснения, является ли кто-то или что-то тем, за кого он себя выдает.

Биометрия (biometric). Технологии измерения и анализа характеристик человеческого тела в целях его аутентификации.

Брандмауэр (firewall). Устройство или программа для защиты сети. Брандмауэры размещают на шлюзах сети для предотвращения входа в сеть организации нежелательного или злоумышленного трафика и блокирования выхода несанкционированного трафика из внутренней сети.

Бюро экспортных отношений (Bureau of Export Affairs — BXA). Бюро федеральной торговой комиссии США, которое проводит государственную политику по экспорту криптографических средств.

Вассенаарское соглашение (Wassenaar Arrangement - WA). Международное соглашение по вопросам вооружения, в котором также имеются постановления по импортированию и экспортированию криптографической продукции.

Виртуальная частная сеть (Virtual Private Network — VPN). Частная сеть, в которой используется общедоступная инфраструктура телекоммуникаций, а защита обеспечивается путем использования шифрования и протокола туннелирования.

Вирус (virus). Самовоспроизводящийся злоумышленный код, который интегрируется в исполняемые хосты, такие как загрузочные секторы, исполняемые программы и макросы. Вирусы копируются при выполнении.

Внутренняя сеть (intranet). Частная сеть предприятия. Intranet может состоять из одной сети или нескольких связанных сетей, доступных только для предприятия.

Воздушный зазор (air gap). Термин, используемый при описании полного разделения двух и более сетей.

Временное подключение (transient connection). Подключение, которое не является долговременным. Подключения к сети с помощью модема и беспроводные подключения считаются временными подключениями.

Всемирная паутина (World Wide Web— WWW). "Всемирная паутина — это целая вселенная доступной через сеть информации, вместилище человеческих знаний" (определение изобретателя Web, Тима Бернерс-Ли (Tim Berners-Lee)).

Граничная проверка, проверка на нарушение границ (bounds checking). Метод разработки программного обеспечения, с помощью которого проверяют границы операций с внутренней памятью для предотвращения таких проблем, как переполнение буфера.

Демилитаризованная зона (demilitarized zone— DMZ). Сегмент сети, который размещен между сетью организации и общедоступной сетью, обычно Internet. Такие службы общедоступных сетей как DNS (Domain Name System— служба именования доменов) и Web-серверы обычно устанавливаются в DMZ.

Дешифрование (decryption). Процесс преобразования зашифрованных данных обратно в исходную форму.

Дистанционная передача данных (telecommuting). Работа вне привычного офиса, используя сетевые средства для подключения пользователя к системе организации.

Живучесть (survivability). Способность сетевой компьютерной системы поддерживать важнейшие функции во время атак и сбоев, а также восстанавливать все функции в короткий срок.

Запрос на комментарии и предложения (Request for Comments — RFC). Документ IETF, определяющий или обновляющий стандарты. Некоторые документы RFC являются только информативными.

Интеллектуальная собственность (intellectual property). В концепции информационной безопасности данные, созданные в организации и защищенные определенными правилами.

Информационные активы (information assets). Данные организации, составляющие ее достояние. Во многих организациях в информационных активах определены цели и задачи организации.

Информационный Центр сети Internet (Internet Network Information Center — InterNIC). Созданная совместно правительством США и корпорацией Network Solutions, Inc. организация. Эта организация отвечала за регистрацию и сопровождение имен доменов высшего уровня. В настоящее время сформирована всемирная организация назначения имен и адресов (Internet Corporation for Assigned Names and Numbers- ICANN), занимающаяся контролем и регистрацией процессов аккредитации.

Инфраструктура открытого ключа (public key infrastructure— PKI). Позволяет пользователям незащищенных открытых сетей защитить обмен данными. В PKI используются в паре открытый и секретный ключи, генерируемые в процессе шифрования открытым ключом, которые получают согласно подтвержденным полномочиям.

Использование изъянов (exploit). Атака компьютерной системы, основанная на использовании отдельных слабых мест.

Коммерческие программные продукты (Commercial Off-The-Shelf — COTS). Описывает продукцию, которую можно сразу закупить у коммерческих организаций.

Концентратор (hub). Устройство, в котором сходится сетевой трафик перед распределением на подключенные системы и другие сети.

Криптографический хэш (cryptographic hash). Функция, использующая криптографические функции для преобразования данных в уникальную величину фиксированной длины, которую невозможно снова преобразовать в исходные данные.

Маршрутизатор (router). Программное средство или устройство, которое проверяет адрес в пакете и определяет путь доставки пакета по назначению. В маршрутизаторах используются таблицы, где описываются сетевые подключения, для определения пути доставки пакетов.

Межсетевой обмен пакетами (Internetwork Packet Exchange — IPX). Сетевой протокол от компании Novell, который связывает сети, использующие программное обеспечение NetWare компании Novell.

Незваный гость (intruder). Другое название хакера, которое использует пресса.

Национальный институт стандартов и технологий (National Institute of Standards and Technology— NIST). Бюро департамента торговли США. Центр защиты компьютерных ресурсов (Computer Security Resource Center) разрабатывает стандарты защиты информации для федерального правительства.

Нелегальный вход (backdoor). В проектировании программного обеспечения алгоритм, запрограммированный для предоставления программисту специального доступа к программному обеспечению.

Новости Usenet (Usenet News). Набор сообщений, организованных в конференции, пересылаемый через Internet. При этом используется система хранения и распространения, которая рассылает корреспонденцию на другие серверы. Центрального сервера Usenet не существует.

Обнаружение вторжений (intrusion detection). Система, которая наблюдает за системным или сетевым трафиком в целях обнаружения нарушений в защите.

Общий шлюзовой интерфейс (Common Gateway Interface — CGI). Стандарт, используемый при передаче данных от клиента (например, от броузера) на Web-сервер для обработки его специальной программой на сервере.

Ответственность за информацию (Information Ownership). Концепция назначения кого-то ответственным за управление данными и обеспечение их целостности.

Отказ в обслуживании (Denial of Service — DoS). Атака системы или сети, в результате которой пользователи не могут получить доступ к ресурсам.

Открытый исходник (open source). Ссылается на любую программу, исходный текст которой сделан доступным для общего пользования или модификации. Большинство открытых исходников программного обеспечения разработано в результате совместной работы.

Отправка электронной почты (sendmail). Популярная открытая исходная программа, используемая для управления пересылкой электронной почты через Internet.

Оценка степени риска (risk assessment). Процесс оценки защиты и определения уязвимых мест в сети.

Пакет (packet). Минимальный набор данных, пересылаемых по сети.

Пароль (password). Уникальная последовательность символов, которая вводится пользователем в систему, чтобы идентифицировать себя. Один из этапов аутентификации.

Переполнение буфера (buffer overflow). Распространенная проблема программного обеспечения, когда внутренняя команда управления памятью записывает данные в область, находящуюся вне этих границ. Может быть предотвращено с помощью граничной проверки.

План послеаварийного восстановления (Disaster Recovery Plan — DRP). Процедуры, разработанные в процессе планирования чрезвычайных обстоятельств для обеспечения того, чтобы информация в сетях, системах и базах данных не была потеряна в случае аварийных отключений или бедствий. В некоторые DRP включены процедуры поддержания эксплуатации в случае аварийных отключений.

Планирование чрезвычайных обстоятельств (contingency planning). Разработка процедур для обеспечения того, чтобы информация в сетях, системах и базах данных не была потеряна в случае аварийных отключений или бедствий. Результатом планирования чрезвычайных обстоятельств является план послеаварийного восстановления.

Подсеть (subnetwork). Часть сети организации. Обычно, подсети создаются для изолирования сетевого трафика от остальной части сети.

Правила информационной безопасности (information security policies). Правила, определяющие программу защиты информации.

Правило конфиденциальности (privacy policy). Формулировка, определяющая, как в организации должны работать с собираемой конфиденциальной информацией.

Правило надежной работы (Acceptable Use Policy — AUP). Правило, которое пользователи соглашаются соблюдать, прежде чем получают доступ к сети.

Право на информацию (data ownership). Концепция назначения ответственных за данные в целях распределения обязанностей в области защиты информации.

Преобразование сетевых адресов (Network Address Translation — NAT). Преобразование IP адреса, используемого в одной сети, в другой IP адрес, принятый в другой сети.

Привлечение внешних ресурсов (outsourcing). Соглашение, согласно которому одна компания предоставляет услуги для внутреннего использования в другой организации.

Принудительный пароль (duress password). Специальный пароль, предназначенный для административных функций, введение которого означает, что пользователь вошел в систему под принуждением. Цель пароля — показать контакт с системой или показать источник проблемы.

Проверка пакета сохраняемых адресов (stateful packet inspection). Тип фильтрации брандмауэра, которая поддерживает состояние входящих пакетов для предотвращения атак, основанных на фрагментации пакетов. Проверка пакета сохраняемых адресов может также приводить в соответствие ответы внешним запросам для обеспечения дополнительного контроля.

Промышленный шпионаж (industrial espionage). Похищение одной компанией или иностранным государством технических секретов или коммерческих тайн другой компании.

Протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol — DHCP). Протокол, который позволяет сетевым администраторам централизованно управлять и автоматизировать распределение адресов IP (Internet Protocol) в сети организации.

Протокол передачи от точки к точке, протокол двухточечного соединения (point-to-point protocol— PPP). Протокол, используемый для обмена между двумя компьютерами, использующими серийный интерфейс, обычно с помощью телефонных линий.

Протокол пользовательских дейтаграмм (User Datagram Protocol — UDP). Коммуникационный протокол без установления соединений, который пересылает между системами отдельные наборы данных, называемые дейтаграммами. UDP не гарантирует ни того, что дейтаграммы будут получены после отправления, ни того, что удаленный сервер вообще получит эти дейтаграммы.

Протокол управления передачей (Transmission Control Protocol — TCP). Коммуникационный, ориентированный на подключения протокол, который пересылает сообщения между системами. TCP поддерживает режим передачи пакетов, пока не убедится, что все данные доставлены в удаленную систему, а удаленная система собрала эти пакеты надлежащим образом.

Протокол управляющих сообщений в сети Internet (Internet Control Message Protocol- ICMP). Протокол, фиксирующий сбои и контролирующий сообщения между хостами Internet. В ICMP используются прозрачные для пользователя дейтаграммы IP и пользовательские приложения.

Протокол начальной загрузки (bootstrap protocol - ВООТР). Протокол, который позволяет компьютеру в сети автоматически получать сетевой адрес при загрузке или инициализации операционной системы. ВООТР является основой протокола динамической конфигурации хоста (Dynamic Host Configuration Protocol — DHCP).

Рабочая группа проектирования Internet (Internet Engineering Task Force — IETF). Добровольная организация, которая поддерживает стандарты, используемые в Internet.

Распределенный отказ в обслуживании (Distributed Denial of Service — DDoS). Атака ресурсов одного сервера с нескольких систем одновременно в целях вызвать отказ в обслуживании.

Реагирование на инциденты (incident response). Правила и процедуры, разработанные для реагирования на проблемы или нарушения в защите.

Ретрансляция кадров (Frame Relay). Служба телекоммуникаций, созданная для соединения локальных сетей (LAN). Их называют конечными точками в сети ретрансляции кадров. Служба ретрансляции кадров упаковывает данные в кадры переменной длины (фреймы) и пересылает их на связанную конечную точку. Все исправления ошибок делаются в конечной точке, что увеличивает скорость передачи данных.

Сетевая файловая система (Network File System— NFS). Протокол, который позволяет компьютеру использовать диск удаленного компьютера таким образом, будто этот диск стоит на собственном компьютере пользователя.

Сервлет (servlet). Небольшая программа, которая запускается на сервере.

Симметричное шифрование (symmetric encryption). Тип шифрования, в котором для шифрования и дешифрования используется один и тот же ключ.

Служба именования доменов (Domain Name Service — DNS). Сервер, который преобразует читабельное имя домена в IP-адрес.

Служба межсетевых адресов в среде Windows (Windows Internet Naming Service — WINS). Сетевая служба Microsoft Windows, которая поддерживает преобразование системных имен из сетевых адресов Windows в IP-адреса.

Список управления доступом (access control list — ACL). Таблица, используемая системами и системным программным обеспечением для определения прав доступа.

Спуфинг (spoofing). Этап атаки сети, на котором взломщик меняет IP-адрес пакета на тот адрес, который атакуемая система признает достоверным или на который система готова отправить ответ.

Сценарий атаки (attack scenario). Этап анализа сети на живучесть. Сценарии атаки определяют, каким образом может быть атакована система.

Тестирование на преодоление защиты (penetration testing). Процесс проверки защиты внешних границ сети.

Троянский конь (Trojan Horse). Программа, в которой код злоумышленника содержится внутри программы или данных, на первый взгляд, безобидный, но способный перехватить управление и повредить компьютер.

Туннелирование (tunneling). Протокол, который определяет специфический виртуальный путь, который проходят сообщения через IP-сети.

Упрощенный протокол электронной почты, протокол SMTP (Simple Mail Transfer Protocol). Протокол 5 уровня, используемый для пересылки электронной почты с одной системы на другую.

Уязвимость (vulnerability). Слабое место в системе, которым могут воспользоваться взломщики. Эти слабые места обычно являются результатом недоработок проекта, ошибок в программах или ошибок конфигурации в системном и вспомогательном программном обеспечении.

Федеральные стандарты обработки информации (Federal Information Processing Standards — FIPS). Стандарты, используемые федеральными службами США для определения среды обработки информации. Публикации FIPS представляют собой задокументированные стандарты, поддерживаемые национальным институтом стандартов и технологий (NIST).

Функциональная совместимость (interoperability). Способность программного обеспечения или систем работать друг с другом без специальной поддержки.

Хакер (hacker). Термин, используемый программистами по отношению к хорошему программисту. В прессе этим термином называют тех лиц, которые взламывают системы и сети без соответствующих санкций, или тех, кто занимается электронным мошенничеством.

Центр Защиты Национальной Инфраструктуры (National Infrastructure Protection Center- NIPC). Подразделение ФБР, занимающееся расследованиями, под юрисдикцию которого подпадают важные государственные инфраструктуры, включая Internet.

Цифровая подпись (digital signature). Криптографические хэши, создаваемые с помощью секретного ключа в цифровом виде. Цифровые подписи могут сверяться с помощью открытого ключа подписавшейся стороны, который может быть защищен сертифицированными полномочиями.

Цифровой сертификат (digital certificate). Небольшой фрагмент данных, создаваемых при сертифицировании полномочий, который содержит информацию о том, кто получил этот сертификат, а также об официальном органе, который выдал сертификат. Цифровой сертификат содержит открытый ключ, который используется при шифровании открытым ключом.

Человек в центре атаки (Man In The Middle Attack). Атака, в которой перехватывается и копируется, или модифицируется сообщение перед передачей его назначенному получателю. Цель заключается в перехвате информации по аутентификации или фальсификации пересылаемой информации, такой как финансовые документы.

Червь (worm). Самовоспроизводящийся код злоумышленника. "Черви" проявляют себя в том, что становится заметна чрезмерная нагрузка или когда процесс самовоспроизведения становится неуправляемым.

Широковещательная рассылка сообщений (spam). Незатребованная, практически бесполезная электроннная почта, обычно реклама, принудительно рассылаемая большому числу абонентов электронной почты.

Шифрование (encryption). Преобразование данных в форму, которую трудно понять неуполномоченным лицам.

Шифрование открытым ключом (public key cryptography). Основано на математической функции, в которой используется один ключ для шифрования сообщения и другой ключ для его дешифрования. Один ключ общедоступен, а другой ключ хранится в секрете.

Шлюз (gateway). Точка в сети, являющаяся входом в другую сеть.

Экстрасеть (extranet). Частная сеть, в которой используется Internet-протокол и открытая сеть Internet для безопасного расширения внутренней сети (intranet) организации, чтобы сделать ее доступной для партнеров, клиентов, поставщиков и т.д.

Электронный обмен данными (Electronic Data Interchange — EDI). Стандартный формат, используемый торговыми партнерами при обмене деловой информацией. Сообщение EDI содержит строки с элементами данных, каждая из которых представляет отдельный фрагмент. Вся строка называется сегментом данных. Один и более сегментов данных можно группировать вместе для формирования набора транзакций. Эти наборы транзакций обычно содержат элементы, которые являются стандартными документами или формами, используемыми в бизнесе.

ActiveX. Объектно-ориентированный язык, разработанный корпорацией Microsoft и используемый для создания перемещаемых программ (mobile code).

AUP. См. "Правило надежной работы".

BSA. См. "Альянс производителей коммерческого программного обеспечения".

ВХА. См. "Бюро экспортных отношений".

CGI. См. "Общий шлюзовой интерфейс".

COTS. См. "Коммерческие программные продукты".

DDoS. См. "Распределенный отказ в обслуживании".

DHCP. См. "Протокол динамической конфигурации хоста".

DMZ. См. "Демилитаризованная зона".

DoS. См. "Отказ в обслуживании".

DRP. См. "План послеаварийного восстановления".

FIPS Pub 140-2. Требования защиты для криптографических модулей, стандарт, используемый федеральными службами США для шифрования.

ICMP. См. "Протокол управляющих сообщений в сети Internet".

IETF. См. "Рабочая группа проектирования Internet".

ISO 9001. Стандарт, описывающий стандарты управления качеством всех процессов и процедур бизнеса.

Java. Объектно-ориентированный язык, разработанный компанией Sun Microsystems и используемый для разработки перемещаемых программ.

Kerberos. Разработан как часть проекта Athena Project в Массачусетсом технологическом институте (MIT — Massachussets Institute of Technlogies). Метод защиты санкционированных запросов в компьютерной сети. Kerberos позволяет пользователю запрашивать "билет" в процессе проверки полномочий, который используется для запроса к серверу на обслуживание. Службы Kerberos-aware проверяют запрашиваемый билет в целях определения прав доступа.

Mobile code (перемещаемая программа). Название программного обеспечения, которое можно загрузить с сервера и запустить в любой системе. Для создания mobile code обычно используются ActiveX и Java.

NAT. См. "Преобразование сетевых адресов".

NetWare. Сетевая операционная система, разработанная корпорацией Novell, Inc., которая поддерживает сетевые протоколы IPX и IP.

NFS. См. "Сетевая файловая система".

NIPC. См. "Центр Защиты Национальной Инфраструктуры".

NIST. См. "Национальный Институт Стандартов и Технологий".

PKI. См. "Инфраструктура открытого ключа".

РРР. См. "Протокол передачи от точки к точке, протокол двухточечного соединения".

Proxy server (промежуточный сервер). Вспомогательная система, которая действует в качестве промежуточного звена между пользователем или системой, расположенных на внутренней сети, и Internet для обеспечения надежной защиты.

Shareware. Программное обеспечение, которое распространяется бесплатно с условием, если пользователь продолжит пользоваться им после истечения определенного периода времени, обычно 30 дней, то он должен оплатить лицензию.

TCP. См. "Протокол управления передачей".

UDP. См. "Протокол пользовательских дейтаграмм".

VPN. См. "Виртуальная частная сеть".