Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5135 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Рязанский государственный радиотехнический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекции ТОКБ - оглавление в них не полное.docx
Скачиваний:
111
Добавлен:
15.12.2018
Размер:
622.6 Кб
Скачать
►Содержание►

  1. Межсетевые экраны экспертного уровня

Это наиболее сложные межсетевые экраны, сочетающие в себе элементы всех трех перечисленных выше категорий. Вместо прокси-сервера в таких экранах используются алгоритмы распознавания и обработки данных на уровне приложений.

Большинство используемых в настоящее время межсетевых экранов корпоративного уровня относятся к категории экспертных. Наиболее известные и распространенные межсетевые экраны – это CheckPointFirewall, продукты семейства Cisco-ASA.

2.4.10.2. Системы обнаружения вторжений.

Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа (НСД) или попыток несанкционированного доступа к ресурсам компьютерной системы.

Система обнаружения вторжений (IDS) в общем случае представляет собой аппаратно-программный комплекс, решающий данную задачу. Общая структура IDS представлена на рисунке 7.

Рисунок 7 – Общая структура IDS

Алгоритм функционирования данной системы представлен на рисунке 8.

Рисунок 8 – Алгоритм функционирования IDS

Функционирование систем IDS во многом аналогично межсетевым экранам. Сенсоры получают сетевой трафик, а ядро путем сравнения полученных сетевых пакетов с записями базы сигнатур известных видов атак позволяет выявить следы попыток несанкционированного доступа. Модуль ответного реагирования является опциональным компонентом, который может быть использован для оперативного противодействия угрозе. Например, может быть сформировано правило для межсетевого экрана, блокирующее источник нападения.

Существует две основные категории систем IDS:

  1. IDS уровня сети.

В таких системах сенсор функционирует на выделенном для этих целей компьютере (хосте) в защищаемом сегменте сети. Обычно сетевой адаптер данного хоста функционирует в режиме прослушивания, что позволяет анализировать весь проходящий в этом сегменте сетевой трафик.

  1. IDS уровня хоста.

В случае, кода сенсор функционирует на уровне хоста, для анализа может быть использована, в том числе и следующая информация:

  • записи стандартных средств протоколирования операционной системы и сетевых приложений;

  • информация об используемых ресурсах;

  • профиль ожидаемого поведения пользователя.

Каждый из типов IDS имеет свои достоинства и недостатки. IDS уровня сети не снижает общую производительность системы, однако IDS уровня хоста более эффективно выявляют атаки и позволяют анализировать активность различных программных средств, функционирующих на данном хосте.

2.4.11. Протоколирование и аудит.

Подсистема протоколирования и аудита является обязательным компонентом любой компьютерной системы.

Протоколирование (регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующий все события, относящиеся к вопросам безопасности.

Аудит – это анализ протоколируемой информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Назначение механизма регистрации и аудита:

  1. Обеспечение подотчетности пользователей и администраторов.

  2. Обеспечение возможности реконструкции последовательности событий, например, для расследования инцидентов, связанных с информационной безопасностью.

  3. Обнаружение попыток нарушения информационной безопасности.

  4. Предоставление информации для выявления и анализа технических проблем напрямую не связанных с безопасностью.

Протоколируемые данные помещаются в журнал регистрации, который представляет собой хронологически упорядоченную совокупность записей результатов деятельности субъекта в компьютерной системе, достаточную для восстановления, просмотра и анализа последовательности действий с целью контроля их конечного результата. Запись в журнале регистрации, как правило, включает в себя следующие обязательные поля:

  • Метка времени;

  • Тип события;

  • Инициатор события;

  • Объект воздействия;

  • Результата события.

В последнее время наметилась тенденция хранения журналов регистрации в виде одной или нескольких таблиц базы данных с использованием соответствующей СУБД.

Поскольку системные журналы являются основным источником информации для последующего аудита и выявления нарушений безопасности, вопросу защиты системных журналов от несанкционированной модификации должно уделяться самое пристальное внимание.

Система протоколирования должна быть спроектирована так, чтобы ни один пользователь, включая администратора, не мог произвольным образом модифицировать записи системных журналов.

Не менее важен вопрос о порядке хранения системных журналов. Поскольку файлы журналов хранятся на том или ином носителе, неизбежно возникает проблема превышения максимально допустимого объема системного журнала. При этом реакции системы могут быть различными. Например:

  1. система может быть заблокирована вплоть до решения проблемы с доступным дисковым пространством;

  2. могут быть автоматически удалены самые старые записи системных журналов;

  3. система может продолжить функционирование, временно приостановив протоколирование событий.

Безусловно, последний вариант в большинстве случаев является неприемлемым, и порядок хранения журналов должен быть четко регламентирован в политике безопасности организации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности