- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
- •1. Основные понятия и определения
- •2. Основные угрозы безопасности асои
- •2. Программные средства воздействия на асои
- •3. Основные подходы и меры обеспечения безопасности асои.
- •Меры обеспечения безопасности.
- •Глава 28 ук рф:
- •4. Этапы построения и принципы проектирования систем защиты
- •Принципы проектирования системы защиты.
- •Идентификация и аутентификация. Организация парольной защиты.
- •Длина пароля
- •Правила выбора паролей что не надо делать:
- •Что надо делать:
- •Меры повышения парольной защиты
- •Действия вс, выполняемые при отказе в доступе
- •Методы управления доступом. Протоколирование и аудит.
- •Произвольное управление доступом
- •Принудительное управление доступом
- •Протоколирование и аудит
- •Криптографическое преобразование информации. Требования, предъявляемые к алгоритмам шифрования.
- •Криптографическое закрытие информации
- •1. Шифрование
- •2. Кодирование
- •3. Другие виды
- •Шифрование подстановкой и перестановкой. Частотный анализ. Шифрование подстановкой (заменой)
- •Абвгдеёжзийклмнопрстуфхцчшщъыьэюя превращается в гдеёжзийклмнопрстуфхцчшщъыьэюяабв
- •Сегодня прекрасная погода
- •Многоалфавитные подстановки
- •Сегодня прекрасная погода
- •Бвгдеёжзийклмнопрстуфхцчшщъыьэюяа
- •Ж##д#дмпы#иоо###рг##уяо##
- •Частотный анализ
- •9. Методы шифрования ориентированные на эвм.
- •4)Методы побитовой шифрации
- •10.Симметричное шифрование.Блочные шифры.
- •Центр генерации ключей
- •Работа с ключами
- •11.Ассиметричное шифрование. Совместное использование симметричных и асимметричных методов.
- •Эффективное шифрование сообщения
- •Расшифровка эффективно зашифрованного сообщения
- •12.Цифровая подпись.
- •4. Использование однонаправленных хэш-функций для подписания документов.
- •Аппаратные шифровальные устройства
- •13.CriptoApi: архитектура, провайдеры криптографических услуг.
- •14.CryptoApi: ключи, хэши, сертификаты
- •15. CryptoApi работа с сообщениями
- •16. Распределенные вс. Стек протоколов tcp/ip. Угрозы, характерные для распределенных систем.
- •17. Распределенные вс. Протоколы управления сетями.
- •19. Протокол http и средства разработки серверных Интернет приложений.
- •20. Типовые ошибки при написании серверных приложений.
- •21. Средства сетевой защиты. Межсетевые экраны.
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •Межсетевой экран на основе экранированного шлюза
- •Межсетевой экран – экранированная подсеть
- •Системы обнаружения атак в процессе их реализации.
- •4. Обманные системы.
- •23.Системы анализа защищенности, обманные системы, системы обнаружения совершенных атак.
- •24. Построение защищенных виртуальных систем. Понятие туннелирования.
- •25. Протоколы аутентификации. Централизованный контроль доступа к сетевым ресурсам.
- •26. Этапы развития систем защиты информации. Стандарты информационной безопасности.
- •27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
- •II.1. Управление персоналом
- •II.2. Физическая защита
- •II.3. Поддержание работоспособности.
- •II.4. Реакция на нарушение режима безопасности
- •II.5. Планирование восстановительных работ
- •18. Безопасность клиентских прилож. Анонимность в Internet.
- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
Системы обнаружения атак в процессе их реализации.
1. Системы обнаружения атак на уровне узла – системы устанавливаются на узлах, могут функционировать на ОС, на отдельных приложениях. Системы обнаружения атак уровня операционной системы собирают и анализируют информацию, отражающую деятельность, которая происходит в операционной системе на отдельном компьютере (например, RealSecure Server Sensor или Intruder Alert). Эта информация представляется, как правило, в форме журналов регистрации операционной системы. В последнее время стали получать распространение системы, функционирующие на уровне ядра ОС, тем самым, предоставляя более эффективный способ обнаружения нарушений политики безопасности. К такого рода системам можно отнести LIDS.
Достоинства |
Недостатки |
Системы данного класса могут контролировать доступ к информации в виде "кто получил доступ и к чему". |
Уязвимости ОС могут подорвать доверие к обнаружению атак на данном уровне. |
Системы данного класса могут отображать аномальную деятельность конкретного пользователя для любого приложения. |
Атаки, реализуемые на нижних или более высоких уровнях (сети и приложений) остаются за пределами рассмотрения данных средств. |
Системы данного класса могут отслеживать изменения режимов работы, связанные со злоупотреблениями. |
Запуск механизмов аудита для фиксирования всех действий в журналах регистрации может потребовать использования дополнительных ресурсов. |
Системы данного класса могут работать в сетевом окружении, в котором используется шифрование. |
Когда журналы регистрации используются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения. |
Системы данного класса могут эффективно работать в коммутируемых сетях. |
Эти методы зависят от типа конкретной платформы. |
Позволяют контролировать конкретный узел и "не распыляться" на другие, менее важные, узлы. |
Расходы на стоимость эксплуатации и управление, связанные со средствами обнаружения атак уровня операционной системы, как правило, значительно выше, чем в других подходах. |
100%-е подтверждение "успешности" или "неудачности" атаки. |
Средства данного класса практически неприменимы для обнаружения атак на маршрутизаторы и иное сетевое оборудование. |
Обнаружение атак, пропускаемых средствами, функционирующими на других уровнях. |
При неполноте данных эти системы могут "пропускать" какие-либо атаки. |
Возможность проведения автономного анализа. |
|
Системы обнаружения атак на уровне сети – система устанавливается на один из узлов, входящих в сеть, после чего проверяют всю информацию, которая ходит по сети, пытаются обнаружить сигнатуры шаблонов атак. Можно прослушать весь трафик, проходящий через маршрутизатор и шлюз.
Достоинства |
Недостатки |
Данные поступают без каких-либо специальных требований для механизмов аудита. |
Атаки, реализуемые на более высоких уровнях (ОС и приложений) остаются за пределами рассмотрения данных средств. |
Использование систем данного класса не оказывает влияния на существующие источники данных. |
Системы данного класса не применимы в сетях, использующих канальное и, тем более, прикладное шифрование данных. |
Системы данного класса могут контролировать и обнаруживать сетевые атаки типа "отказ в обслуживании" (например, атаки типа SYN flood или packet storm), направленные на выведение узлов сети из строя. |
Системы данного класса неэффективно работают в коммутируемых сетях. |
Системы данного класса могут контролировать одновременно большое число узлов сети (в случае с разделяемыми средами передачи данных). |
Системы данного класса существенно зависят от конкретных сетевых протоколов. |
Низкая стоимость эксплуатации. |
Современные подходы к мониторингу на сетевом уровне не могут работать на высоких скоростях (например, Gigabit Ethernet). |
Трудность "заметания следов" для злоумышленника. |
|
Обнаружение и реагирование на атаки в реальном масштабе времени. |
|
Обнаружение подозрительных событий (например, "чужих" IP-адресов). |
|
Обнаружение атак, пропускаемых средствами, функционирующими на других уровнях. |
|
Независимость от используемых в организации операционных систем и прикладного программного обеспечения, т.к. все они взаимодействуют при помощи универсальных протоколов. |
|
3. Интегрированные подход - до недавнего времени все существующие системы обнаружения атак можно было отнести либо к классу сетевых, либо к классу узловых. Однако идеальным решением было бы создание системы, совмещающей в себе обе эти технологии, т. е. на каждый контролируемый узел устанавливался бы агент системы обнаружения атак и контролировал не только атаки на прикладном уровне (уровне ОС, СУБД и уровне приложений), но и сетевые атаки, направленные на данный узел. Этот подход имеет несколько преимуществ по сравнению с существующими решениями. Во-первых, высокая сетевая скорость уже не представляет проблемы, поскольку указанный агент просматривает только трафик для данного узла вместо всего трафика всей сети. Во-вторых, расшифрование пакетов осуществляет прежде, чем они достигнут прикладного уровня. И, наконец, из-за того, что он размещается непосредственно на каждом контролируемом компьютере, коммутируемые сети также не накладывают ограничений на их использование. Некоторые системы обнаружения атак объединяют в себе возможности каждого из средств, функционирующих на уровне сети, ОС, СУБД и прикладного ПО. К таким системам можно отнести RealSecure Server Sensor компании ISS [ISS2-99] и Centrax компании CyberSafe. Эти системы комбинируют характеристики сетевых сенсоров, работающих в реальном масштабе времени, с тактическими преимуществами сенсоров системного уровня.