- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
8.8.2Активний аудит
Завдання активного аудиту - оперативно виявляти підозрілу активність і надавати засоби для автоматичного реагування на неї.
Під підозрілою активністю розуміється поведінка користувача або компоненту ІС, що є зловмисним (відповідно до наперед певної політики безпеки) або нетиповим (згідно прийнятим критеріям).
Активність, не відповідну політиці безпеки, доцільно розділити на атаки, направлені на незаконне отримання повноважень, і на дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки.
Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність що атакує є руйнівною незалежно від політики. Отже, для опису і виявлення атак можна застосовувати універсальні методи, інваріантні щодо політики безпеки, такі як сигнатури і їх виявлення у вхідному потоці подій за допомогою апарату експертних систем.
Сигнатура атаки - це сукупність умов, при виконанні яких атака вважається такою, що має місце, та викликає наперед певну реакцію.
Простий приклад сигнатури - "зафіксовані три послідовні невдалі спроби входу в систему з одного терміналу", приклад асоційованої реакції - блокування терміналу до прояснення ситуації.
Дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки, ми називатимемо зловживанням повноваженнями.
Зловживання повноваженнями можливі із-за неадекватності засобів розмежування доступу вибраній політиці безпеки. Простим прикладом зловживань є неетична поведінка суперкористувача, що проглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна виявити подібні події і повідомити про них адміністратору безпеки, хоча для цього необхідні відповідні засоби політики безпеки.
Нетипова поведінка виявляється статистичними методами. У простому випадку застосовують систему порогів, перевищення яких є підозрілим. (Втім, "пороговий" метод можна трактувати і як вироджений випадок сигнатури атаки, і як тривіальний спосіб політики безпеки.) У розвиненіших системах проводиться зіставлення довготривалих характеристик роботи (званих довгостроковим профілем) з короткостроковими профілями. (Тут можна угледіти аналогію біометричної автентифікації за поведінковим характеристикам.)
Стосовно засобів активного аудиту розрізняють помилки першого і другого роду: пропуск атак та помилкові тривоги, відповідно. Небажаність помилок першого роду очевидна; помилки другого роду не менш неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак.
Переваги сигнатурного методу:
висока продуктивність,
мале число помилок другого роду,
обґрунтованість рішень.
Основний недолік - невміння виявляти невідомі атаки і варіації відомих атак.
Основні переваги статистичного підходу:
універсальність і обґрунтованість рішень,
потенційна здатність виявляти невідомі атаки, тобто мінімізація числа помилок першого роду.
Недоліки полягають у:
відносно високій частці помилок другого роду,
поганій роботі у разі, коли неправомірна поведінка є типовою,
коли типова поведінка плавно міняється від легального до неправомірного,
коли типової поведінки немає (як показує статистика, таких користувачів приблизно 5-10%).
Засоби активного аудиту можуть розташовуватися на всіх лініях оборони ІС. На межі контрольованої зони вони можуть виявляти підозрілу активність в точках підключення до зовнішніх мереж (як спроби нелегального проникнення, так і дії з "промацування" сервісів безпеки). У мережі, в рамках інформаційних сервісів і сервісів безпеки, активний аудит в змозі виявити і присікти підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані порушеннями безпеки та апаратно-програмними помилками. Отже активний аудит, у принципі, здатний забезпечити захист від атак на доступність.
На жаль, формулювання "у принципі, здатний забезпечити захист" не випадкове. Активний аудит розвивається більше десяти років, і перші результати здавалися вельми багатообіцяючими. Досить швидко вдалося реалізувати розпізнавання простих типових атак, проте потім була виявлена безліч проблем, пов'язаних з виявленням наперед невідомих атак, атак розподілених, розтягнутих в часі і т.п. Було б наївно чекати повного рішення подібних проблем найближчим часом. Проте, і на нинішній стадії розвитку активний аудит корисний як один з рубежів ешелонованої оборони.