Файл: Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое.pdf

Puke – Фабрикует пакеты ответа ICMP unreachable на клиенте.
Fake unreachable – Тоже самое, что и Puke, но направлен на сервер.
Host spoofing – Подмена хоста
Password crack – Атаки направленные на взлом или перебор пароля.
Back connect / Pipes /Reverse
Software Vulnerabilities
Buffer Overflow – Использование ошибки переполнения буфера.
Shatter
Nuke – Атака на протокол NetBIOS (TCP, UDP 137, 138, 139).
Cross User Attack
CGI Attack
SQL Injection – Инжекция в SQL запросы
HTTP Resource Splitting (HRS)
Cross User Defacement
Web Cache Poisoning / Browser Cache Poisoning
Hijacking Pages
Cross Site Scripting / Exchange Site Scripting (CSS / XSS)
SQL Injection CSS (CIXSS)
SQL Injection HTTP Resource Splitting (SiHRS)
NULL Bute (Perl) – Специфика атак с использованием Perl
Include bute, PHP Include bute – Специфика атак на PHP
Hidden Fields
Man in the Middle Attack (MITM) – Атака через посредника.
Man in the Browser Attack (MITB) – Атака на Интернет банкинг
Заключение
К сожалению, на практике достаточно часто бизнес считает, что вопросами информационной безопасности должна заниматься только IT. Еще хуже, когда бизнес не понимает, зачем вообще нужно уделять внимание информационной безопасности. Создание эффективной системы защиты информации влечет за собой большие затраты, которые должны быть понятны руководству, так как именно оно принимает решение о финансировании. При этом важно соблюдать баланс – обеспечение информационной безопасности не должно стоить больше самой защищаемой информации.
Концепция Информационной Безопасности должны принимается в расчет на всех этапах построения и сопровождения ИТ, будь то управление проектами, управления ИТ сервисами, управления качеством. Приоритеты (доступность или конфиденциальность) должны быть определены на начальном этапе и на самом высоком уровне организации. Порядок взаимодействия ИТ и Безопасности также должны быть описаны на уровне Архитектуры
Предприятия. В целом, статистика который год однозначно показывает, основные инциденты и угрозы информационной безопасности, в более чем семидесяти процентах случаях, происходили не по техническим причинам, а из-за ошибок сотрудников, недостатка знаний и квалификации, намеренных действий «инсайдеров», а также не соблюдений требований информационной безопасности сотрудниками организаций. Поэтому главные аспекты обеспечения информационной безопасности:
•жесткая дисциплина
•непрерывное обучение и периодическое тестирование всех сотрудников организации без исключения
•контроль за изменениями
Концепция Управления ИТ Сервисами
Основные определения
Данный раздел содержит основные принципы управления ИТ сервиса на всем жизненном цикле сервиса. Концепция основывается на стандартах COSO, ITAF, Balanced Score Card, COBIT,
ITIL, ISO 20000, ISO27000, ISO 17799, ISO9000, MOF. За основу взята «сервис

ориентированный» подход к управлению ИТ. Процессный подход предполагает представление основных деятельностей ИТ в виде процессов, состоящих из действий.
Процесс – структурированный набор видов деятельности, спроектированный для достижения определенной цели. В общем, процесс представляет собой набор процедур, на которые оказывает влияние политика организации и процедур, происходящих из других источников, в том числе процессов. Процессы имеют четкие, обусловленные бизнесом, причины возникновения, ответственных владельцев, должностные обязанности, связанные с наполнением процесса и средства измерения эффективности. Процессы имеют следующие характеристики:
•Процессы измеряемы, то есть можно измерить процесс каким-либо подходящим методом.
Менеджеры стремятся измерить в первую очередь стоимость и качество, а практикующие пользователи – продолжительность и продуктивность процесса.
•Процессы служат для достижения конкретных результатов. Причина существования процесса – предоставление конкретного результата, который можно идентифицировать и посчитать.
•Процессы имеют потребителей – каждый процесс предоставляет свои результаты потребителям или другим процессам. Потребители могут быть внутри или вне организации, но процессы в любом случае должны удовлетворять их ожиданиям.
•Процессы состоят из действий. Действие (Activity) – основные виды деятельности, предпринимаемые в рамках процесса.
Не менее важным понятиями являются:
•Владелец сервиса (service owner) – роль или структурное подразделение организации, который занимается постановкой целей, принимает решения и управляет финансированием по сервису.
•Менеджер сервиса (service manager) – роль или структурное подразделение организации, который занимается выполнением целей и задач, поставленных владельцем сервиса, обеспечивает развертывание и сопровождение сервиса.
Любой менеджер знает, что одна из самых сложных задач управления – построить и заставить работать процессы. Без налаженных процессов получить результаты – это подвиг.
Подвиги достойны уважения, если совершаются в первый раз. Постоянные подвиги вызваны управленческой слабостью и ведут к проблемам, стрессам, текучке и плохим результатам.
С ростом организации это приведет к гибели компании. Вся деятельность ИТ департамента разбита на процессы. Краткое описание сервисов приводится в данной главе.
Требования бизнеса
Требования бизнеса являются ключевым драйвов при внедрении ИТ решений. Любой сервис должен быть рассмотрен с точки зрения бизнес-ориентирования.
•Бизнес сервисы, имеющие непосредственное влияние на бизнес должны обладать первичным приоритетом.
•Технические сервисы (Корневые, первичные, вторичные и вспомогательные) нацелены на поддержание бизнес сервисов и приложений на надлежащем уровне.
При проектировании систем компании следует руководствоваться:
•Определить и следовать цепочке требований: доступность, безопасность и целостность.
•Бизнес сервисы имеют первичный приоритет.
•Технические сервисы
(корневые и первичные) имеют первичный приоритет, и рекомендуется рассматривать в контексте максимальной доступности и надежности.
•Технические сервисы (вторичные и вспомогательные) имеют вторичный приоритет, и рекомендуется рассматривать в контексте минимальных расходов.

Фазы жизненного цикла ИТ сервиса
Согласно ITIL v3 определены следующие этапы (5) управления ИТ сервисами с использованием (26) процессов, (6) функций, а также (2) направления.
Модели ИТ архитектуры

ИТ архитектура организации может строится по нескольким моделям:
•«Децентрализованная» – Вычислительные мощности расположены по портфелям или компаниям организации.
•«Централизованная» – Вычислительные мощности расположены в дата центре холдинга, на периферии остаются «front-end» решения и службы поддержки пользователей.
•«Облачная» – Вычислительные мощности переносятся в «облако».
•«Смешанная» – Вычислительные мощности расположены как в дата центре холдинга, так и в облаке.
Модели предоставления ИТ сервисов
ИТ департамент компании ориентирован на предоставление различного уровня услуг.
Определены следующие модели:
•Совместное размещение (Co-location IT assets) – ИТ ресурсы компаний размещены в дата центре. ИТ службы компаний самостоятельно управляют данными ИТ ресурсами.
•Инфраструктура как Сервис (Infrastructure as Service (IaaS)) – ИТ департамент предоставляет вычислительные ресурсы и инфраструктуру, которая включает в себя, но не ограничивается сеть, виртуализация, доступ в интернет, хостинг и т п. ИТ службы компании самостоятельно управляют
ИТ ресурсами, расположенными на данных инфраструктурах.
•Платформа как Сервис (Platform as Service (PaaS)) – ИТ департамент предоставляет вычислительные ресурсы, инфраструктуру и платформу, которая включает в себя, но не ограничивается, хостинг, ERP платформа и т п. ИТ службы компаний самостоятельно управляют ИТ ресурсами, расположенными на данных платформах.
•Программы как Сервис (Software as Service (SaaS)) – ИТ департамент предоставляет вычислительные ресурсы, инфраструктуру, платформу и сами сервисы, которая включает в себя, но не ограничивается, корпоративная почта, Интрасети и т п. Компании являются пользователями данных услуг.
Диаграмма предоставления ИТ сервисов
Типы предоставления сервисов
Типы предоставления сервисов определяются как на стратегическом этапе для ИТ стратегии в целом, так и для каждого сервиса в отдельности. Так в частности, при проектировании бизнес систем необходимо определиться с вопросом «купить» или «разрабатывать». Основные типы предоставления сервисов (Service Delivery Models) можно определить, как:

Insourcing
Insourcing – самостоятельная разработка, используя внутренние ресурсы организации на всех этапах жизненного цикла сервиса.
Преимущества:
•Прямой контроль
•Свобода выбора
•Быстрое создание прототипа и передовое обслуживание
•Удобные процессы и процедуры
•Применение специфики организации
Недостатки:
•Ограниченные ресурсы
•Может быть затратная в плане стоимости и времени выведения продукта на рынок
•Зависит от возможностей и уровня компетенции ресурсов организации
Outsourcing
Outsourcing – использование внешних ресурсов организаций, как полностью, так и частично на этапах жизненного цикла сервиса
Преимущества:
•Экономия масштаба
•Приобретение опыта и знаний
•Помогает организации сфокусироваться на основной деятельности
•Удобна при выполнении не системных задач
•Более формальный процесс тестирования новых продуктов
Недостатки:
•Меньший уровень непосредственного контроля
•Ограничения по выходу из проекта или изменению задач
•Риски, связанные с поставщиком продукта (платежеспособность, готовность продукта и т п)
•Неизвестность об уровне компетенции поставщика
•Более сложная модель организации
•Увеличивает долю проверки и соответствия продукта
Co-sourcing
Co-sourcing – комбинированное использование первых двух моделей
Преимущества:
•Снижает время выхода продукта на рынок
•Уверенность в уровне компетенции за счет выбора поставщика
•Высокий уровень контроля
Недостатки:
•Возможная сложность проекта
•Вопросы по защите интеллектуальной собственности
•Проблемы коммуникации в связи с различным уровнем культуры организаций

Knowledge Process Outsourcing (KPO) – Формальное соглашение между организациями по полному переносу процессов и функций в аутсорсинг. Наблюдается при необходимости иметь высокий уровень качества, сервиса и экспертизы по данному направлению деятельности, а также снижение или перенос рисков.
Преимущества:
•Доступ к специализированным специалистам, знаниям и опыту
•Относительно низкая стоимость
Недостатки:
•Вопросы по защите интеллектуальной собственности
•Проблемы коммуникации в связи с различным уровнем культуры организаций
•Потеря знаний по данному направлению
Направления деятельности по управлению ИТ сервисами
Различают следующие два направления деятельности по управлению ИТ сервисами:
•Предоставление сервиса (Service Delivery). Формирование ИТ сервиса и передача его к использованию.
•Сопровождение сервиса (Service Support). Сопровождение ИТ сервиса в процессе эксплуатации.
Предоставления Сервиса (Service Delivery)
Основные цели Предоставления Сервиса (Service Delivery):
•Удовлетворение бизнес целей (Satisfy Business Objects)
•Эффективная разработка по стоимости и в срок (Be efficiently development in time scale & cost)
•Определение и управление рисками (Identity & Manage Risks)
•Дизайн методов и метрик (Design methods & metrics)
•Уменьшение Стоимости Владения (Total Cost of Ownership)
•Улучшение качества предоставления ИТ сервисов
•Улучшение ИТ сервисов
•Упрощение внедрения новых ИТ сервисов и изменения имеющихся
•Более эффективная работа ИТ сервисов
•Улучшение управления ИТ и соответствия бизнесу
Деятельность по Предоставлению Сервиса включает в себя следующие процессы:
•Управление Финансами
•Управление Мощностями
•Управление Непрерывностью
•Управление Доступностью
•Управление Уровнем Обслуживания
Основные аспекты по Предоставлению сервисов:
•Новые сервисы и изменение в существующих
•Инструменты и системы управление сервисами, портфель сервисов и сервисный каталог
•Технологическая архитектура и системы управления
•Следование процессам
•Методики и метрики измерений
Сфера ответственности направления предоставления сервисов – это цепочка: Люди –
Процессы – Продукты – Поставщики.
Поддержка сервиса (Service Support)
Основные цели Поддержки Сервиса (Service Support):