Спасибо.
А кто-нибудь применял STRIDE и DREAD в реальной жизни?

У каждой компании есть свои умные слова: у IBM это MASS, у ISS это ADDME

Представьте себе канатоходца. Он тратит деньги на крюк на поясе, на веревку и на человека, который эту веревку внизу держит, хотя он никогда в жизни не падает. Почему он это делает?
Представьте себе этого же канатоходца, который будет тоже ходить по канату, но по земле. Соберет ли он огромный зал людей, который будут на него смотреть?
Ваша компания вышла в Интернет - очень агрессивную среду. Она перешла на более высокий уровень и у нее от этого выросли доходы. Безрассудно не тратить часть этих денег на безопасность.

Аналогия прослеживается?

интересные задачи:
1. Получать нормальную зарплату
2. Купить квартиру
3. Купить машину
4. Купить дачу
...
N. Защитить диссертацию

Сразу после выпуска главное правильно расставить приоритеты.
А тема диссертации у Вас наверняка в справочнике тем есть.

Кстати, мне интересно в Вашем учебном заведении вы будете первым кто защитит диссертацию по ИБ или уже были преценденты?

для секлаба и пишу

Могу переслить коротко:
Сisco Guard
Arbor SP + TMS
Cloudshield CS-2000
Narus
Дальше через google или подождать когда выйдет моя статья про DDoS.

Вопрос хороший. Чтобы разобраться нужно прочитать описание IPSEC.
Вообще говоря стандарт IPSEC базируется на понятии Security Association (SA) и это понятие не зависит от реализации: на PIX или на Windows.
Если кратко, то SA это информация о параметрах соединения с другой стороной, включая IP адрес другой стороны. Соответственно для каждого сайта-узла у вас будет свой SA отличающийся в том числе IP адресом. Таким образом на базе SA у вас будет поддерживаться защищенное соединение с указанным узлом, в том числе с разными параметрами безопасности.
http://www.ciscopress.com/articles/article.asp?p=24833&seqNum=7

на сегодняшних конференциях по ИБ нужно как можно больше людей, которые реально что-то достигли и которые могут рассказать как они это сделали.
А теорий "как сделать" и "куда дальше развиваться Интернету" и так куча по Интернет разбросано.

Андрей, а что это такое? Можно ссылку?

есть кейлоггеры, которые вставляются в PS/2 или USB порт между клавиатурой и десктопом. тогда в разделе Hardware этот вопрос имеет смысл.
Посмотрите фотографии в разделе 2 этой статьи http://www.securitylab.ru/contest/239775.php
Он не обнаруживается антивирусами

вот тут перечислено несколько способов
http://www.securitylab.ru/contest/239775.php

Катя, на мой взгляд эта "прога" называется Windows XP. В зависимости от текущего локального пользователя она подменяет рабочий стол, запрещает доступ к файлам и папкам, заменяет иконки рабочего стола и удаляет доки в Пуск/Документы.

Что еще... для защиты от изменения данных ставите ShadowUser, включаете ShadowMode и пусть злоумышленник делает что хочет - кнопкой ресет все восстанавливается на начальное состояние.

к любому из популярных сигнатурных антивирусов нужно брать хостовую систему предотвращения атак с анализом поведения неизвестного кода, чтобы защита сработала своевременно, а не через час после очередной эпидемии.

Провайдер просто не хочет поставить нормальное решение. А пока ваш провайдер выходит из шока, выберите другого провайдера у которого стоит оборудование Arbor, Narus или Cloudshield и спите спокойно. Защита от DDoS давно есть.

2bcool, а может Вам просто попробовать зарегистрировать свой блог и в нем писать все что хочется?
Плюсы:
+ HTML изучать не надо.
+ Блоги бесплатны в большинстве своем. Например на этом сайте каждый может вести свой блог.

xRoNx, я поддерживаю уже прозвучавшие слова про то, что Вам надо изучить Asynchronous JavaScript and XML (что сокращенно зучит как Ajax (Аякс)).

Чтобы понять, что такое WEB 2.0 нужно просто почитать его определение. Как говорится, RTFM.
Дам определения от Тима О'Рейли:
"Web 2.0 это революция в компьютерной индустрии вызванная перемещением бизнеса в Интернет как на платформу и попытка понять правила для достижения успеха на этой платформе. Главным среди этих правил является: построить приложения передающие свойства сети для того чтобы люди лучше пользовались ими.“ – Tim O’Reilly

Чтобы было понятнее, сравните, например, персональные странички и блоги, затем онлайн энциклопедии и википедии, по сути WEB 2.0 - это все что создается Интернет сообществом совместно (причем сообщество влияет на контент, а не на внешний вид).

Tim O'Reilly gave examples of companies or products that embody these principles in his description of his "four plus one" levels in the hierarchy of Web 2.0-ness:
Level 3 applications, the most "Web 2.0", which could only exist on the Internet, deriving their power from the human connections and network effects Web 2.0 makes possible, and growing in effectiveness the more people use them. O'Reilly gives as examples: eBay, craigslist, Wikipedia, del.icio.us, Skype, dodgeball, and Adsense.
Level 2 applications, which can operate offline but which gain advantages from going online. O'Reilly cited Flickr, which benefits from its shared photo-database and from its community-generated tag database.
Level 1 applications, also available offline but which gain features online. O'Reilly pointed to Writely (since 10 October 2006: Google Docs & Spreadsheets, offering group-editing capability online) and iTunes (because of its music-store portion).
Level 0 applications would work as well offline. O'Reilly gave the examples of MapQuest, Yahoo! Local, and Google Maps. Mapping applications using contributions from users to advantage can rank as level 2.
non-web applications like email, instant-messaging clients and the telephone.

Таких сервисов туча. Ключевые слова для поиска в google "monitor web server uptime" или "система мониторинга".
Делают все что хочешь: сидят в виде программ в трее, шлют e-mail, SNMP, SMS, Jabber, ставят картинку на сервере с временем uptime.

Вот, например, бесплатные
http://host-tracker.com/ - мониторит с разных точек и ставит баннер на сайт с временем uptime
http://www.website-monitor.org/ - сидит в трее виндов и мониторит.
http://www.paessler.com/ipcheck/download - еще одна программа для Windows
http://basicstate.com/ - после регистрации на сайте, движок бесплатно мониторит и шлет письма или sms.
http://mon.itor.us/ - та же самая схема регистрации на сайте с письмами-оповещениями
http://www.nagios.org/ - бесплатная утилита под UNIX
http://www.zabbix.com/ - бесплатное произведение искусства, вообще фантастика: оповещение через SNMP, SMS, почту и даже через jabber!

и т.д.

IPS - Intrusion Prevention System - система предотвращения атак. Устройство которое ставится прямо на канал и пропускает все пакеты через себя и таким образом во первых видит все пакеты без перенастройки свитчей и во второых может блокировать атаки и проводить аудит работы сети. Устройство как правило содержит WEB интерфейс, через который можно во первых пользоваться встроенными сигнатурами просмотра пакетов и также добавлять свои сигнатуры. сигнатуры не только ищут атаки но и вылавливают нужную информаци: например, пароли ICQ и сообщения, URL и e-mail адреса и т.д. такие сигнатуры нужны для аудита работы сети. естественно есть и сигнатуры для блокирования известных атак.

Michael, а я там уже не работаю

Прошу учесть при выборе, что у программ бэкапа появилась новая функция - восстанавливать операционку на новое железо. Представьте, вы честно бэкапили свой веб сервер, а через 5 лет работы он сгорает: материнская плата уже не производится. Как восстановить сервер с бэкапа на новое железо? Многие производители уже позволяют при восстановлении умудриться подоткнуть новые драйвера, чтобы операционка загрузилась без проблем.

Кстати PowerQuest был куплен компанией Symantec, которая делает GHost. В итоге и PowerQuest и Symantec со своим Ghost работают на технологии VSNAP, которую обе лицензировали у компании ShadowStor. Соотвественно у ShadowStor есть собственная программа ShadowProtect, которую вы тоже можете учесть при выборе. ShadowStor еще известна своей программой ShadowUser. В общем программ много. И это приятно.

на мой взгляд Snort не может детектировать DDoS. Например, если вы посмотрите ddos.rules то увидите, что те примеры DDoS, которые там заложены обнаруживют атаку лишь по содержимому пакета, причем атаки которые уже были и широко известны. Вот например.
DDOS TFN Probe - content:"1234"
DDOS Trin00 Daemon to Master PONG message detected - content:"PONG"
DDOS shaft handler to agent - content:"alive tijgu"
DDOS Trin00 Attacker to Master default mdie password - content:"killme"
DDOS mstream agent to handler - сontent:"newserver"
DDOS Stacheldraht handler->agent niggahbitch - content:"niggahbitch"

Когда на Вас будет DDoS, то Вам придется писать сигнатуры самому, поскольку атака будет наверняка нетиповой. Возникает вопрос: "Зачем Вам писать правила Snort, если вы и так уже знаете что у Вас DDoS?"
Зачем вообще детектировать DDoS. Его надо брокировать. Причем заблокировать вы его сможете эффективно лишь у провайдера.

Все что вы сможете заблокировать у себя: атаки на уязвимости протоколов и DoS атаки на загрузку ресурсов публичных серверов. А вот атаку на переполнение канала к провайдеру - никак.

Кроме того у Snort нереальное количество ложных срабатываний. Посмотрите на системы предотвращения атак профессиональные: IBM Proventia IPS, Cisco IPS и т.д.

Если говорить про блокирование DDoS, то провайдеры обычно используют решения от Arbor, Narus, CloudShield.