- •Политика информационной безопасности
- •1. Цели политики информационной безопасности
- •• Политика информационной безопасности –
- •Основные цели политики информационной безопасности:
- •Политика информационной безопасности должна представлять совокупность требований, правил, положений и принятых решений, определяющих:
- •Политика информационной безопасности направлена на обеспечение:
- •Защите подлежит принимаемая/передаваемая, обрабатываемая и хранимая информация содержащая:
- •Уровни доступа к защищаемой информации
- •2. Стандарты
- •Политики безопасности компании должны явно определять следующее:
- •Характеристика современных стандартов безопасности
- •ISO/IEC 17799:2005 (BS 7799-1:2002) «Управление информационной безопасностью — Информационные технологии» («Information Technology —
- ••организация информационной безопасности на предприятии;
- •Алгоритм применения стандарта ISO 17799
- •Основные области применения стандарта ISO 17799
- •Вторая часть стандарта BS 7799-2:2002 «Спецификации систем управления информационной безопасностью» («Information Security Management
- •Рекомендуемые этапы проверки режима информационной безопасности
- •ISO 17799 (BS 7799) позволяет задать правила безопасности и определить политики безопасности компании.
- •Стандарт ISO/IEC 15408
- •Схема классификации требований ISO/IEC 15408
- •ISO/IEC 15408 позволяет:
- •Стандарт BSI (Германия)
- •Стандарт CobiT
- •Основная идея стандарта CobiT - все ресурсы информационной системы должны управляться набором естественно
- •2.Доверие к технологии — группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам
- •4. Инженерно-техническая защита периметра объекта связи
- •Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их
- •По функциональному назначению средства инженерно- технической защиты классифицируются на следующие группы:
- •Затруднение продвижения источника угроз к источникам информации обеспечивается в рамках направления, называемого физической
- •Структурное скрытие - достигается изменением или созданием ложного информационного портрета семантического сообщения, физического
- •К информационным узлам относятся принципиально новые технические, технологические и изобретательные решения и другие
- ••создает у владельца защищаемой информации запас времени, обусловленный проверкой злоумышленником достоверности полученной информации;
- •5.Технические средства охраны периметра
- •Решение задач обеспечения безопасности объектов опирается на применение технических средств охранной сигнализации (ТСОС)
- •Типовые варианты построения комплексов технических средств охраны
- •Рис. 1. Радиальное бесконцентраторное соединение станционной аппаратуры с СО
- •Рис. 2. Радиальное с концентраторами соединение станционной аппаратуры с СО
- •Рис. 3. Магистральное без концентраторов (рисунок слева) и с концентраторами (рисунок справа) соединение
- •Рис. 4. Смешанная соединение станционной аппаратуры с СО
- •Технические характеристики средств обнаружения
- •Вероятность обнаружения - это вероятность того, что СО выдаст обязательно сигнал "Тревога" при
- •Радиоволновые и радиолучевые средства обнаружения
- •Различают одно- и двухпозиционные РВСО и РЛСО:
- •Основные параметры человека, влияющие на параметры полезного сигнала
- •Оптические средства обнаружения
- •Классификация охранных извещателей
- •Для охраны внутренних помещений наибольшее распространение получили пассивные ИК-датчики движения и совмещенные датчики
- •Принцип действия ИКСО основан на регистрации теплового излучения нарушителя (пассивные ИКСО)
- •Принцип работы
- ••Варианты организации ИК барьеров с использованием извещателей.
- •ПАССИВНЫЕ ИК ИЗВЕЩАТЕЛИ
- ••Можно использовать пассивные ИК извещатели для прикрытия внешних периметров, отдельно стоящих зданий и
- •Соотношения между чувствительностью и помехозащищенностью для современных отечественных активных ИК извещателей
- •Пассивные инфракрасные датчики движения (ПИК).
- •Инфракрасные активные датчики движения
- •Радиоволновые объемные датчики движения
- •Совмещенные и комбинированные извещатели
- •Акустические датчики разбития стекла
- •Сейсмические средства обнаружения
- •Классы ССО:
- •Системы контроля и управления доступом
- •Способы ввода идентификационных признаков:
- •По способу управления преграждающими устройствами СКУД можно классифицировать:
- •Автономные системы контроля и управления доступом
- •Автономная не требует работающего компьютера в процессе эксплуатации, а также при настройке и
- •Сетевые системы контроля и управления доступом
- •Способы аутентификации субъектов
- •- устройство аутентификации — отличительной характеристикой является наличие у авторизованного лица некоего конкретного
- •Средства биометрических идентификаторов обеспечивают очень высокие показатели идентификации:
- •Аутентификация по многоразовым паролям - состоит во вводе вашего пользовательского идентификатора, в просторечии
- •Программно-техническое обеспечение защиты информации в информационных сетях
- ••Обеспечение безопасности названо первой из пяти главных проблем Интернета в программе действий новой
- •Типы и примеры атак
- •1. Атаки отказа в обслуживании (DoS)
- ••В таких случаях имеет место
- •2. Перехват и перенаправление трафика
- •Использование протокола ICMP
- •Для перехвата трафика, направляемого хостом HI хосту Н2, злоумышленник должен сформировать и послать
- •Использование ложных DNS-oтветов
- ••Протокол DNS может использовать для передачи своих сообщений как протокол UDP, так и
- •Внедрение в компьютеры вредоносных программ
- ••Ущерб, наносимый вредоносными программами, может выражаться не только в уничтожении, искажении или похищении
- ••Троянские программы, или трояны (trojan) —
- ••Сетевые черви (worm) — это программы, способные к самостоятельному распространению своих копий среди
- ••Вирус (virus) — это вредоносный программный фрагмент, который может внедряться в другие файлы.
- ••Шпионские программы— это такой тип вредоносных программ, которые тайно (как правило, удаленно) устанавливаются
- ••Спам — это атака, выполненная путем злоупотребления возможностями электронной почты.
- •Антивирусное ПО
- •Классификация антивирусного ПО
- •Сканеры
- •Сканеры
- •Сканеры
- •Сканеры
- •CRC-сканеры
- •Блокировщики
- •Иммунизаторы
- •Методы и средства защиты от удалённых атак через сеть Internet
- •Для решения задач по отражению наиболее вероятных угроз для внутренних сетей предусмотрено использование
- •Межсетевой экран Firewall – это устройство контроля доступа в сеть, предназначенное для блокировки
- •Схема установления межсетевого экрана
- •Основные компоненты межсетевых экранов
- •Экран как средство разграничения доступа
- •Экран как последовательность фильтров
- •Экран прикладного уровня
- •Экран с фильтрацией пакетов
- •Архитектура 1
- •Архитектура 2
- •Архитектура 3: двойной экран
- •ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ
- ••Обнаружение вторжений – это активный процесс, при котором происходит обнаружение хакера при его
- •Типы систем обнаружения вторжений IDS
- •Узловые IDS
- •Пять основных типов датчиков HIDS:
- ••Анализатор журнала – это то, что отражает само название датчика. Процесс выполняется на
- •Датчики признаков
- ••Анализаторы системных вызовов
- •Анализаторы поведения приложений
- •Контролеры целостности файлов
- •Сетевые IDS
- ••При создании политики IDS необходимо выполнить следующие шаги:
- •Определение целей применения IDS
- •Правила криптоанализа
- ••Проблемы распространения технологий ЭЦП в Беларуси
- •Защита информации в электронных платежных Internet-системах
- •Платежная Internet-система
- •Требования к системам электронной коммерции
- •Виды платежных систем
- •Дебетовые системы (электронные чеки)
- •Дебетовые системы
- •Кредитные системы
- •Общая схема платежей в кредитной Internet-системе
- •Схема взаимодействия субъектов протокола SET
Узловые IDS
•Узловые IDS (HIDS), представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером.
•Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены, предпринимают определенные действия на сервере либо передают уведомления.
•Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.
•Датчик на сервере может занимать от 5 до 15 % общего процессорного времени.
•Поэтому придется приобретать более производительную систему, чтобы присутствие датчика отрицательно не сказалась на производительности используемой системы.
Пять основных типов датчиков HIDS:
•анализаторы журналов.
•датчики признаков.
•анализаторы системных вызовов.
•анализаторы поведения приложений.
•контролеры целостности файлов.
•Анализатор журнала – это то, что отражает само название датчика. Процесс выполняется на сервере и отслеживает соответствующие файлы журналов в системе.
•При соответствии записи в журнале и критерия в процессе датчика HIDS, предпринимается установленное действие.
•Администратор системы, при желании, может определить другие записи журнала, представляющие определенный интерес.
•Анализаторы журналов не предотвращают атаку на систему, а реагируют на событие уже после того, как оно произошло.
•Его можно использовать для отслеживания активности и перемещения записи об активности персонала в область, недосягаемую для администратора или пользователя.
Датчики признаков
•Это наборы определенных признаков событий безопасности, сопоставляемых с входящим трафиком или записями журнала.
•Возможность анализа входящего трафика, является отличием данных датчиков от анализаторов журналов.
•Датчик признаков HIDS является полезным при отслеживании авторизованных пользователей внутри информационных систем.
•Анализаторы системных вызовов
Данные анализаторы осуществляют анализ вызовов между
приложениями и операционной системой для идентификации
событий, связанных с безопасностью.
•При выполнении приложением действий, его вызов операционной системы анализируется и сопоставляется с базой данных признаков, которые являются примерами различных типов поведения, представляющие собой, атакующие действия, или объектом интереса для администратора IDS.
•Анализаторы системных вызовов отличаются от выше перечисленных датчиков, что они могут предотвращать
действия.
•Обеспечение неправильной конфигурации датчиков этого типа, или их некорректная настройка влечет за собой ошибки в приложениях либо отказы в их работе.
Анализаторы поведения приложений
Применяются в виде программной спайки между приложениями и операционной системой, и проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствия вызова признакам атак.
При конфигурировании таких датчиков необходимо создавать список действий, разрешенных для выполнения каждым приложением.
Поставщики датчиков данного типа предоставляют шаблоны для наиболее широко используемых приложений.
Контролеры целостности файлов
Отслеживают изменения в файлах посредством использования криптографической контрольной суммы или цифровой подписи файла (Шифрование).
При изменении хотя бы малой части исходного файла (это могут быть атрибуты файла, такие как время и дата создания), конечная цифровая подпись файла будет изменена.
Цель данного алгоритма – максимальное снижение возможности для внесения изменений в файл с сохранением прежней подписи.
Сетевые IDS
•NIDS (Network Intrusion Detection System) – это программный процесс, работающий на специально выделенной системе, и отвечающий за переключение сетевой карты в системе в неразборчивый режим работы, при котором сетевой адаптер пропускает весь сетевой трафик в программное обеспечение NIDS.
•Анализирует трафик, используя набор правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. После чего генерируется соответствующее событие.
•На данный момент в большинство систем NIDS встроен набор признаков
атак, с которыми сопоставляется трафик в канале связи.
•При отсутствии каких-то признаков атаки в системе обнаружения вторжений, система NIDS не замечает эту атаку.
•Данные системы позволяют указывать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслеживания трафика, не соответствующего признакам атак.
•При создании политики IDS необходимо выполнить следующие шаги:
-Определить цели создания IDS.
-Выбрать объекты мониторинга.
-Выбрать ответные действия.
-Установить пороги.
-Применить политику.
Определение целей применения IDS
•Потенциально целями применения IDS являются следующие:
-обнаружение атак;
-предотвращение атак;
-обнаружение нарушений политики;
-принуждение к использованию политик;
-принуждение к следованию политикам соединений;
-сбор доказательств.