Вопрос 14. Понятие и классификация уязвимостей информации.
Уязвимости – слабое место (дефект) в защите инф. системы, которое может привести к нарушению инф. безопасности.
При организации защиты инф системы необходимо выявить в первую очередь уязвимости и проводить их анализ. Рекомендуется использовать источники информации по уязвимостям, проводить тестирование защищенности инф. системы и проводить контроль составляющих контрольным перечням требования безопасности.
Состав инф. системы: аппаратное обеспечение, программное об., данные, персонал
Типы рассматриваемых уязвимостей и методы их выявления зависят от спецификации инф. системы, а также этапов жизненного цикла, на котором она находится.
|
|
Проектирование |
|
|
| ||
|
Эксплуатация |
Реализация |
На этапе проектирования основное внимание уделяется требованиям безопасности, планируемым процедурам, анализу доступных защитных средств.
На этапе реализации привлекается дополнительная конкретная информация (разграничение доступа, шифрование).
На этапе эксплуатации проводится анализ используемых защитных средств.
Классификация в соответствии с этапами жизненного цикла:
-Уязвимости проектирования
-Уязвимости реализации
-Уязвимости эксплуатации
Наиболее опасны уязвимости проектирования, уязвимости свойственные проекту или алгоритмы даже при совершенной реализации останутся уязвимостями в инф. системе. (например TCP/IP).
Наиболее частые ошибки конфигурации ПО и аппаратного обесп.
Вопрос 15. Классификация уязвимостей по степени риска.
Классификация уязвимостей по степени риска:
высокий уровень риска — уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;
средний уровень риска — уязвимость позволяет атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;
низкий уровень риска — уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.
Такая классификация используется для оценки степени критичности уязвимостей при определении качества защищенности ИС.
Этот вариант классификации достаточно условный и разные источники предлагают свои варианты такой классификации. Соответственно, это очень субъективный метод классификации уязвимостей.
Вопрос 16. Список стандартных названий общепринятых уязвимостей.
Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Примеры уязвимостей (база данных компании ISS ) :
Название: nt - getadmin - present
Описание: проблема одной из функций ядра ОС Windows NT , позволяющая злоумышленнику получить привилегии администратора
Уровень: ОС
Степень риска: высокая
Источник возникновения: ошибки реализации
Название : ip-fragment-reassembly-dos
Описание: посылка большого числа одинаковых фрагментов IP -датаграммы приводит к недоступности узла на время атаки
Уровень: сеть
Степень риска: средняя
Источник возникновения: ошибки реализации
Существует список стандартных названий для общеизвестных уязвимостей - Common Vulnerabilities and Exposures ( CVE ).
Примеры CVE
CVE-1999-0005
Arbitrary command execution via IMAP buffer overflow in authenticate command.
Reference: CERT:CA-98.09.imapd Reference: SUN:00177. Reference: BID: 130 Reference: XF:imap-authenticate-bo
CVE-2000-0482
Check Point Firewall-1 allows remote attackers to cause a denial of service by sending a large number of malformed fragmented IP packets.
Reference: BUGTRAQ:20000605 FW-1 IP Fragmentation Vulnerability