- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Архитектура соа.
Архитектура СОА включает в себя 7 модулей:
Модуль работы с источниками информации отвечает за взаимодействие с журналом регистрации, сетевой картой или ядром ОС для получения данных, на основе которой делается вывод о наличие или отсутствие атаки.
Модуль управления компонентами – служит для управления всеми компонентами системы обнаружения атак и обеспечения взаимосвязи ними.
Хранилище данных - является обычным журналом регистрации
Модуль обнаружения атак – на основании полученного этим модулем результата могут отдавать команды модулю реагирования.
База знаний
Модуль реагирования. Предпринимает действия в соответствии с заданными правилами.
графический интерфейс
СОА делится на 2 категории:
автономная
клиент-серверная делится на 2 уровня:
а) сенсоры
б) детекторы
Сенсоры используют роль связующего звена СОА с вычислительной средой. Она собирают необходимую информацию об уязвимостях, фильтруют ее и отсылают детекторам. На следующем уровне производится анализ собранных событий, обнаружение в них вторжений и выработка уведомлений о подозрительной активности.
Детекторы выявляют атаки по заданным критериям обнаружения (сигнатуры, шаблоны, правила). Затем принимаются контроллеры в ответ на обнаруженную атаку.
Архитектура сенсоров.
Сенсор является компонентом СОА. Может являться, как конкретный узел сети, так и вся сеть в целом. Сенсоры осуществляют сбор событий и безопасности из сетевого трафика (клиент-серверный СОА) или производят предварительную фильтрацию потока событий в системе (локальные).
В связи с непосредственным контактом защищаемой системы на сенсоры зачастую возлагается реализация контрмер (закрытие соединений, завершение процессов и т.д.). Включает в себя локальный:
монитор ресурсов
монитор целостности
монитор доступа
монитор логинов
монитор выполнения
сетевой:
сетевое оборудование
МЭ
Архитектура детекторов.
Детектор отвечает за обнаружение атак. Существует несколько механизмов обнаружения:
сигнатурный поиск
поиск регулярных выражений
интеллектуальный механизм распознавания атак
В первом случае производится поиск битов сигнатуры в проходящем потоке системных событий.
Во втором случае требует накопление ряда событий для поиска в них сценария атаки.
В третьем случае производится поиск на специализированном языке ретроспективного анализа с использованием методов искусственного интеллекта (накопление событий происходит за длительный период времени). Включает в себя: фильтр событий, анализатор протоколов и логов, коды сигнатурного поиска, поиска регулярных выражений, локальный банк критериев обнаружения и генератор уведомлений.
ЛЕКЦИЯ №9.
Тема 7. Централизованный контроль удаленного доступа.
Удаленный доступ (УД) – это технология взаимодействия абонентских систем с локальными сетями через коммуникационные сети.
УД осуществляется посредством сервера УД. Используют две модели:
дистанционное управление
удаленная система
Для реализации УД необходимо реализовать доступ оператора к территориальному удаленному серверу. Средой передачи данных являются протоколы сетевого уровня (например, PPP).
Сервер УД – это программный сервер, принимающий PPP-соединения и обеспечивающий УД. Подключается одновременно к локальной и внешней сетям. Обеспечивает маршрутизацию блоков данных при их передаче.