- •Значение и роль иб в современном мире. Проблема иб
- •Понятие иб. Основные составляющие иб и их определение
- •3. Взаимосвязь между составляющими иб
- •4. Уровни иб. Основные задачи и положения, решаемые на каждом уровне
- •5. Российское законодательство в области защиты информации
- •6. Стандарты и спецификации в области защиты иб
- •7. Административный уровень иб (политика безопасности, распределение ролей и ответственности)
- •8.Понятие угрозы. Виды угроз информационным системам
- •9. Компьютерные вирусы. Определение, классификация, пути заражения
- •10. Виды вирусоподобных программ
- •11. Правила защиты от компьютерных вирусов: методы обнаружения, виды антивирусных программ
- •12. Сетевая безопасность: особенности обеспечения и основные цели иб компьютерных сетей
- •13. Понятие удаленная угроза: классификация и характеристика удаленных угроз.
- •14. Понятие удаленная атака. Классификация и характеристика удаленных атак.
- •15. Методы обнаружения атак. Механизмы реагирования
- •18. Протоколирование и аудит
- •19. Основные понятия криптографической защиты информации: криптология, криптоанализ, криптография
- •20. Основные процедуры цифровой подписи
- •21. Криптографические хэш-функции: понятие, область использования, криптографические алгоритмы
- •22. Разграничение доступа к объектам ос: основные понятия (объекта доступа, метода доступа, субъекта доступа) и модели разграничения доступа ( избирательное, полномочное ).
15. Методы обнаружения атак. Механизмы реагирования
Методы анализа сетевой информации
Статистический метод
Основные преимущества статистического подхода — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация к поведению субъекта. Определяем профиль.
Однако при использовании этих методик возникают и проблемы:
«статистические» системы не чувствительны к порядку следования событий;
трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак характеристик, чтобы адекватно идентифицировать аномальную деятельность;
«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы атакующие действия рассматривались как нормальные.
Экспертные системы
Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта. Использование экспертных систем представляет собой распространенный метод обнаружения атак, при котором информация об атаках формулируется в виде правил.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже небольшое изменение уже известной атаки может стать серьезным препятствием для функционирования системы обнаружения атак.
Нейронные сети
Большинство современных методов обнаружения атак используют некоторую форму анализа контролируемого пространства на основе правил или статистического подхода. В качестве контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ опирается на набор заранее определённых правил, которые создаются администратором или самой системой обнаружения атак.
Методы реагирования
Уведомление. Является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. К категории уведомление относится также посылка управляющих последовательностей к другим системам
Сохранение. Относится 2 варианта реагирования:
Регистрация событий в БД
Воспроизведение атаки в реальном масштабе времени
Активное реагирование.относятся след. Варианты реагирования:
Блокировка работы атакующего
Завершение сессии с атакующим узлом
Управление сетевым оборудованием и средствами защиты
16. межсетевые экраны: определение, классификация, функции.
МЭ –это специализированная программное или аппаратное ПО, позволяющее разделить сеть на две части и более и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую.
Функции
Фильтрация трафика
Противодействие атакам
Анализ содержимого трафика
Защита от спама
Антивирусная защита
Классификация
По функционированию на уровнях модели OSI:
Пакетный фильтр(экранирующий маршрутизатор)
Шлюз сеансового уровня (экранирующий транспорт)
Прикладной шлюз
Шлюз экспертного уровня
По используемой технологии:
Контроль состояния протокола
На основе модулей посредников
По исполнению:
Аппаратно-программный
Программный
По схеме подключения:
Схема единой защиты сети
Схема с защищаемым закрытым и не защищаемым открытым сегментами сети
Схема с раздельной защитой закрытого и открытого сегментов сети
17. аутентификация, авторизация и администрирование действий пользователя
Аутентифика́ция — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности, процесса или устройства. «А он ли на самом деле?»
Авторизация — предоставление этому лицу возможностей в соответствии с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие.
Администрирование – процедура регистраций действий пользователя в сети, включая его попытки доступа к ресурсам.