- •1. Состав служб администратора системы и их функции
- •2. Требования к специалистам служб администрирования ис
- •3. Технические принципы функционирования информационных систем
- •4. Организация хранения данных на носителях информации
- •5. Подсистема хранения
- •6. Восстановление данных
- •7. Организация кабельных систем зданий
- •Максимальная длина магистральной подсистемы кампуса
- •8. Задачи управления при обнаружении ошибки
- •8.1 Задачи функциональной группы f. Двенадцать задач управления при обнаружении ошибки.
- •8.2. Базовая модель поиска ошибок
- •9. Стратегия определения ошибок
- •8.3. Стратегии определения ошибок
- •10. Средства по сбору и поиску ошибок. Метрики ис.
- •8.4. Средства администратора системы по сбору и поиску ошибок
- •(8.5. Метрики работы информационной системы)
- •11. Основные положения стратегии администрирования
- •12. Правила и регламенты администрирования
- •13. Администрирование операционных систем. Одноранговые сети и сети на основе сервера.
- •Глава 5 средства администрирования операционных систем. Администрирование файловых систем
- •14. Инсталляция операционной системы
- •5.1 Параметры ядра операционной системы. Инсталляция операционной системы
- •15. Диагностика и предупреждение ошибок в стеке tcp/ip.
- •8.7 Диагностика ошибок в среде протоколов tcp/ip
- •8.8 Предупреждение ошибок в среде протоколов tcp/ip
- •16. Решение проблем в стеке tcp/ip. Часть 1
- •8.9 Решение проблем в среде протоколов tcp/ip
- •8.9.1 Проблемы установления соединения
- •8.9.2 Проблемы конфигурации ip, дублируемого ip-адреса и некорректной маски подсети
- •8.9.3 Некорректные маршруты по умолчанию и dns-сервера
- •8.9.4 Физические проблемы. Проблемы dns
- •8.9.5 Проблемы маршрутизации и конфигурации сервера
- •8.9.6 Проблемы безопасности доступа
- •17. Решение проблем в стеке tcp/ip. Часть 2.
- •8.9.7 Периодический отказ соединения
- •8.9.8 Низкая производительности сети
- •8.9.9 Медленные хосты
- •18. Типы серверов
- •19. Задачи учёта. Защита от угроз
- •Глава 10 администрирование процесса учета и обеспечения информационной безопастности
- •10.1. Задачи учета
- •10.2 Защита от угроз безопасности
- •20. Виды угроз. Средства, мероприятия и нормы обеспечения безопасности
- •10.2.1. Виды угроз безопасности
- •10.2.2. Средства, мероприятия и нормы обеспечения безопасности
- •21. Реализация средств безопасности сетевой подсистемы ис. Часть 1
- •10.4 Пример реализации средств безопасности сетевой подсистемы ис
- •10.4.1. Политика безопасности магистрального уровня
- •10.4.2. Политика безопасности уровня распределения
- •22. Реализация средств безопасности сетевой подсистемы ис. Часть 2
- •10.4.3 Политика безопасности на уровне доступа
- •23. Энергоснабжение пк
- •24. Охлаждение и кабель-менеджмент пк
- •Современный системный блок
- •25. Эксплуатация и сопровождение информационных систем
- •Глава 13 эксплуатация и сопровождение информационных систем
- •26. Регламентные работы
- •Основные регламентные работы по активному сетевому оборудованию
20. Виды угроз. Средства, мероприятия и нормы обеспечения безопасности
10.2.1. Виды угроз безопасности
Наиболее типичными видами угроз безопасности являются несанкционированный доступ, низкий уровень аутентификации, взлом паролей, атаки приложений, вирусы, черви и «троянские кони», подделка IP-адресов, атаки вида «отказ в обслуживании», захват контроля над системой [2].
Рассмотрим эти виды угроз безопасности [2, 6, 29].
Несанкционированный доступ. В руководящих документах Государственной технической комиссии РФ доступ к информации определен как ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации. Под несанкционированным доступом (НСД) к информации понимается доступ, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами [6]. Защита от не санкционированного доступа заключается в предотвращении или существенном затруднении последнего. Несанкционированный доступ к информационной системе — это использование ИС (или ее подсистемы) без согласия владельца. При мером является использование сети компании, использование программного обеспечения сервера в неразрешенных целях или похищение личной информации пользователя. Администратору системы следует реализовать контроль доступа средствами ИС и аудит потоков данных.
Низкий уровень аутентификации. Эта угроза существует, если ИС не имеет средств аутентификации (т. е. средств задания и проверки паролей пользователей) или эти средства не эффективны. Администратор системы должен в обязательном порядке использовать имеющиеся средства аутентификации, причем в наиболее строгом варианте, например все средства, предоставляемые сетевыми устройствами. Если требуется особенно надежная аутентификация, АС должен применить дополнительные средства, например биометрический анализ.
Взлом паролей. При вскрытии систем безопасности часто используется неосторожность пользователей, выбирающих себе слишком простые пароли или действующих по легко рас познаваемой схеме их создания. Как уже говорилось, обычно операционная система или ИС генерируют пароли пользователей по специальным алгоритмам, например MD5. При по пытке их взломать применяются произвольные комбинации букв, цифр, специальных символов, которые генерируются по тем же алгоритмам, либо используются списки слов (словари) для генерации пробных паролей. АС должен дать пользователям рекомендации по длине пароля и его сложности. Надежный пароль должен иметь длину 7 — 14 байт (символов), не включать в себя сленговые слова или наиболее вероятные комбинации, а также слова из словарей ОС. Следует установить срок действия паролей.
Атаки с использованием сетевых анализаторов пакетов. Анализаторы пакетов (Sniffers), или сетевые анализаторы, — это программно-аппаратные комплексы, перехватывающие пакеты, проходящие по кабельной системе. Они применяются для поиска неисправностей, определения сетевых проблем, измерения характеристик трафика. Но хакерское сообщество разработало анализаторы пакетов, позволяющие перехватывать пароли для вскрытия систем доступа к ИС. Поэтому администратору системы следует использовать шифрование паролей (а иногда и данных), например, по протоколу IP Security (IPSec), а также применять одноразовые пароли (One Time Password — ОТР-пароль).
Атаки приложений. Атаки приложений представляют со бой попытки атаковать уязвимые места в прикладном программном обеспечении. Например, атаки против серверов приложений. Администратору системы следует подписаться на официальную информационную рассылку производителя для получения информации об уязвимых местах приложений, устанавливать рассылаемые программные заплатки, связанные с защитой приложений, контролировать ресурсы серверов.
Вирусы, черви и «троянские кони». АС должен использовать антивирусное программное обеспечение на рабочих станциях, а также ограничить возможность записи пользователем на жесткие диски или внешние устройства несанкционированных продуктов. На серверах могут быть использованы специальные средства контроля и фильтрации доступа, например сетевые экраны — фаерволлы или host-based IDS.
Подделка IP-адресов. При подделке IP-адресов хакер пытается представиться санкционированным пользователем путем использования адреса из внутреннего диапазона IP-адресов или авторизованного внешнего адреса, с которого возможен доступ к некоторым ресурсам. АС должен руководствоваться рекомендациями RFC 2827 и RFC 1918 для организации фильтрации адресов.
Атаки вида «отказ в обслуживании» (Denial of Service, DoS). Эта атака заключается в приведении атакуемой системы или ее части в неработоспособное состояние. Результат достигается, например, путем взлома пароля и блокирования учетных записей пользователя, либо ищется неквотируемый ресурс, нужный прикладному процессу, или некорректно обрабатываемая ошибка в программном коде, приводящая к «зависанию» программы. Этот тип атак может привести к потере доходов предприятия. Вместе с входной и выходной фильтрацией АС должен согласовать свои действия с оператором связи, на пример, по ограничению скорости передачи на пограничном маршрутизаторе корпоративной системы, а также контролировать число соединений, разрешенных рабочей станции.
Захват контроля над системой в целях атаки на другие системы. Это наиболее опасные атаки. Трудно найти рабочую станцию под управлением ОС Windows, которая ни разу не была бы заражена вирусом и не представляла бы угрозу для остальных пользователей. По-видимому, проблему можно ре шить, если владелец, использованной таким образом системы, будет нести гражданско-правовую ответственность. Но тогда решение надо возложить (хотя бы частично) на разработчиков прикладного и системного ПО. Однако это противоречит бизнес-моделям поставщиков программного обеспечения. В первую очередь это касается корпорации Microsoft, поставляющей программное обеспечение в коробочном варианте (shrink-wrap software) без контракта на поддержку [2].