- •Возможные подходы к решению проблемы обеспечения информационной безопасности процесса передачи данных в гспд
- •Средства защиты иб гспд и их возможности
- •Технология межсетевого экранирования
- •Мсэ на базе пакетных фильтров и прокси-серверов
- •Методы использования межсетевых экранов
- •Технология построения виртуальных частных сетей
- •Криптошлюзы и методы их построения
- •Криптопротокол ipSec
- •Отечественные и зарубежные vpn
- •Задачи иб, реализуемые vpn
- •Функции криптошлюзов в маршрутизаторах и магистральных каналах
- •Технология анализа защищенности
- •Методы выявления технологических уязвимостей по
- •Методы выявления эксплуатационных уязвимостей по
- •Системы обнаружения воздействий нарушителя и их функции
- •Сенсоры и их функции
- •Методы анализа выявления воздействий нарушителя
- •Сетевая реализация систем обнаружения вн
- •Технология защиты информации от нсд
- •Журнал аудита
- •Средства защиты информации от нсд
- •Технология антивирусной защиты
- •Методы оценки информационной безопасности гспд
- •Реальные методы оценки информационной безопасности гспд
- •Практические методы оценки информационной безопасности гспд
Технология анализа защищенности
Технология анализа защищённости представляет собой совокупность методов обнаружения технологических и эксплуатационных уязвимостей ПО АС. Данная технология реализуется при помощи систем анализа защищённости (security assessment systems) или сканеров безопасности (security scanners), представляющих собой специализированное ПО. Рассмотрим более подробно методы выявления технологических и эксплуатационных уязвимостей и проанализируем возможность использования существующих средств, реализующих эти методы, для выявления уязвимостей ПО узлов ГСПД и ЦУС. Выявление и своевременное устранение обнаруженных технологических и эксплуатационных уязвимостей в ПО узлов ГСПД и ЦУС позволит предотвратить следующие типы ВН:
-
ВН, направленные на получение НСД к информационным ресурсам и инфраструктурам ЦУС и узлов ГСПД;
-
ВН, направленные на нарушение работоспособности ЦУС и узлов ГСПД;
-
ВН, направленные на активизацию «закладок», внедрённых в По узлов ГСПД и ЦУС.
Методы выявления технологических уязвимостей по
Процесс выявления технологических уязвимостей ПО АС может осуществляться при помощи одного из следующих методов:
-
путём анализа исходных текстов ПО АС;
-
при помощи исполняемого кода ПО АС;
-
посредством имитации ВН на ПО АС.
Обнаружение технологических уязвимостей ПО АС путём анализа исходных текстов ПО, как правило, осуществляется при помощи составления алгоритма работы программы и последующей проверки его правильности. Алгоритм работы программы АС может быть составлен в виде блок-схем или формализован при помощи различных математических аппаратов. Так, например, системы обнаружения уязвимостей АСТМА (Ассемблер - Тензорно-Множественный Аппарат) и СОТМА (Словесное Описание - Тензорно-Множественный Аппарат), разработанные в пензенском филиале НТЦ «Атлас», в процессе анализа исходных текстов программы используют тензорно-множественный математический аппарат. Другим примером системы анализа защищённости такого типа является анализатор исходный текстов Си и Си++ программ (АИСТ-С), разработанный в ЗАО «ЦБИ-Сервис». Главным недостатком данного метода обнаружения уязвимостей является высокая сложность его практической реализации, а также отсутствие чётко определённой методики анализа исходных текстов, позволявшей бы гарантировать отсутствие уязвимостей в анализируемом коде ПО АС.
Существующие средства анализа защищённости, реализующие метод анализа исходных текстов ПО, не могут быть использованы для обнаружения технологических уязвимостей ПО узлов ГСПД и ЦУС, поскольку основная часть исходных текстов ПО узлов ГСПД и ЦУС является «закрытой», т. е. интеллектуальной собственностью производителей ПО, и не подлежит распространению вне рамок компании-разработчика. Процедура же дизассемблирования, которая может быть применена для получения исходного кода ПО узлов ГСПД и ЦУС из исполняемых модулей программ, не может однозначно гарантировать, что полученный в результате этой процедуры исходный код соответствует дизассемблированной программе. Это связано с тем, что в процессе дизассемблирования не всегда имеется возможность определить разницу между исполняемыми командами и данными программы.
Обнаружение технологических уязвимостей ПО АС при помощи анализа исполняемого кода ПО осуществляется путём запуска программы АС в рамках тестовой среды, которая проверяет правильность выполнения этой программы. В процессе выполнения программы для неё формируется ряд запросов, после чего анализируется реакция тестируемой программы, т.е. каким образом исполняемый код программы влияет на состояние тестовой среды. Если в результате сформированного запроса тестовая среда переходит в небезопасное состояние, приводящее, например, к нарушению работоспособности АС, то делается вывод о наличие ряда уязвимостей в тестируемой программе. Такой метод обнаружения уязвимостей позволяет выявить ряд ошибок, внесённых на технологическом этапе, например ошибки, приводящие к переполнению буфера, ошибки неправильного доступа к памяти, выход за границы массива данных и др. Основным недостатком рассмотренного метода является отсутствие гарантий обнаружения всех технологических уязвимостей ПО АС, поскольку смоделировать все возможные состояния среды, в рамках которой выполняется программа АС, не представляется возможным. Примером практической реализации описанного метода обнаружения технологических уязвимостей является программный комплекс тестирования, разработанный в специализированном центре защиты информации Санкт-Петербургского государственного технического университета.
Существующие средства обнаружения технологических уязвимостей при помощи анализа исполняемого кода могут быть использованы только для анализа защищённости ПО ЦУС, поскольку оно базируется на стандартных ОС, таких как Windows и UNIX. В настоящее время на отечественном рынке ИБ отсутствуют средства анализа защищённости ПО узлов ГСПД, которые используют специализированные ОС (например, ОС Cisco IOS маршрутизаторов и коммутаторов компании Cisco).
Последний способ обнаружения технологических уязвимостей заключается в имитации ВН на АС и анализе результатов моделирования этих ВН. В случае, если процесс моделирования ВН завершается успехом, то система делает вывод о наличии уязвимости в ПО тестируемой АС. Примерами систем анализа защищённости этого класса являются: анализатор уязвимостей «НКВД» (ООО «Кировский региональный центр деловой информации»), система анализа защищённости Cisco Secure Scanner (компания «Cisco Systems»), программный комплекс анализа защищённости Internet Scanner (компания «Internet Security Systems»), сканер безопасности Nessus (проект «Nessus Project») и др. К преимуществам этого метода обнаружения уязвимостей можно отнести простоту его реализации, а к недостаткам - невозможность обнаружения уязвимостей АС, которые отсутствуют в базе данных системы анализа защищённости.
Рассмотренные выше средства анализа защищённости, функционирующие посредством имитации ВН, могут быть использованы для выявления уязвимостей ПО как узлов ГСПД, так и ЦУС. Тем не менее необходимо отметить, что в настоящее время системы этого класса, представленные на отечественном рынке ИБ, могут применяться только в ГСПД функционирующих на основе стека протоколов TCP/IP.