- •1, 8. Физическая защита информационных систем.
- •2. Защита процессов, процедур и программ.
- •3)Защита каналов связи
- •4. Защита от пэмин
- •5. Этапы создания систем защиты информации.
- •6. Угрозы, виды угроз и дифференциация угроз
- •7. Методы проведения оценки уязвимости и рисков информационных систем.
- •9. Разрушение информационных систем с помощью вредоносных программ.
- •Файловые вирусы
- •Загрузочные вирусы
- •Макровирусы
- •Скрипт-вирусы
- •Особенности алгоритмов работы вирусов
- •Резидентные вирусы
- •Стелс-вирусы
- •Полиморфик-вирусы
- •10. Признаки комплексных преступлений и злоупотреблений
- •Информационная безопасность
- •13,Безопасность глобальных сетевых технологий и методы информационного воздействия на глобальные информационные сети.
- •14. Методы несанкционированного доступа в локальные сети
- •15. Троянские кони, люки и технология салями
- •16. Положение о защите информации
- •17. Аутентификаторы и системы аутентификации.
- •Сервер аутентификации Kerberos
- •Идентификация/аутентификация с помощью биометрических данных
- •18. Положение по парольной защите
- •19. Системные журналы и ведение системных журналов
- •20. Комплекс документации на информационные системы
- •21. Пожароохранные системы
- •22. Охранное телевидение, охранное освещение, ограждение и физическая изоляция.
- •23. Аппаратные средства защиты информации
- •24. Программные средства защиты информации
- •25. Сканеры сети
- •26. Технология работы электронной подписи. Контрольные суммы
- •Контроль crc
- •Алгоритмы хэширования
- •Цифровая подпись и криптосистемы с ключом общего пользования
- •27. Биометрия. Технологии создания защищенных систем с помощью биометрии.
- •28. Требования по защите ис и классы защиты ис
- •29. Аутентификаторы и методы аутентификации
- •30. Межсетевые экраны и методы создания защищенных систем включающих межсетевые экраны. Классы защищенности мсэ.
- •31. Электронная почта и методы защиты почтовых сообщений
- •32. Методы и средства защиты от несанкционированного доступа
- •33. Организация безопасного удаленного доступа
- •34. Протоколы ppp, smtp, ftp и методы создания защищенного обмена
13,Безопасность глобальных сетевых технологий и методы информационного воздействия на глобальные информационные сети.
С помощью таких программ, как WinNuke, Papa Smurf и Teardrop злоумышленники могут атаковать ваши компьютеры и нанести вам ущерб. Согласно опросу за 1999 год Института Компьютерной Безопасности и ФБР о компьютерных преступлениях 57 процентов опрошенных организаций сообщили, что считают соединения их сетей с Интернет "местом, откуда часто организуются атаки". 30 процентов опрошенных сообщило, что имели место случаи проникновения в их сети, а 26 процентов сказали, что в ходе атак происходила кража конфиденциальной информации. Федеральный центр по борьбе с компьютерными преступдениями в США - FedCIRC сообщил, что в 1998 году атакам подверглось около 130000 государственных сетей с 1100000 компьютерами.
Для защиты от атак в киберпространстве системным администраторам требуется серьезное понимание методов, используемых атакующими для проникновения в компьютеры. Вы не можете бороться с врагом, если не знаете, как устроено оружие, которым он пользуется. В данном бюллетене описываются приемы атакующих и методы защиты от них.
Классификация компьютерных атак
Когда мы говорим "компьютерная атака", мы имеем в виду запуск людьми программ для получения неавторизованного доступа к компьютеру. Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий:
Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть)
Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают.
Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем (для восстановления работоспособности чаще всего компьютер надо перезагрузить)
Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают
Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам.
Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернете в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки.
Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей. Сейчас компьютеры могут угадывать пароли так быстро, что казалось бы сложные пароли могут быть угаданы.
Сетевые анализаторы (снифферы): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика.
Самы популярные атаки в Интернет
В марте 1999 г. самыми популярными атаками (или наиболее уязвимыми приложениями), как было установлено NIST, являлись Sendmail, ICQ, Smurf, Teardrop, IMAP, Back Orifice, Netbus, WinNuke и Nmap.
Sendmail: Sendmail - это очень старая программа, в которой на протяжении всей ее истории имелись уязвимости. Sendmail - наглядное доказательство того, что у сложных программ редко бывают исправлены все ошибки, так как разработчики постоянно добавляют новые возможности, из-за которых появляются новые уязвимые места. Последние атаки против sendmail попадают в категорию удаленного проникновения, локального проникновения, а также удаленного блокирования компьютера.
ICQ: - это сложная программа онлайнового общения с большим числом разнообразных возможностей, название которой является сокращением для фразы "I-Seek-You." (я ищу вас). Сейчас она используется приблизительно 26 миллионами пользователей. В прошлом году было разработано несколько атак на ICQ, которые позволяли атакующему выдавать себя за другого и расшифровывать "зашифрованный" трафик. Затем атакующий начинал диалог в ICQ с тем человеком, чьим другом являлся тот, за кого он себя выдавал, и посылал ему через ICQ троянские кони (враждебные программы, встроенные в казалось бы нормальные программы).
Smurf: Smurf использует сеть, в которой машины обрабатывают широковещательные ping-пакеты для переполнения жертвы пакетами ответов на ping. Эту атаку можно представить как усилитель, позволяющий атакующему анонимно блокировать работу компьютера жертвы из-за прихода ему по сети огромного количества пакетов.
Teardrop: Teardrop полностью блокирует компьютеры с Windows 95 и Linux, используя ошибку в подпрограммах сетевых драйверов, обрабатывающих фрагментированные пакеты.
IMAP: IMAP позволяет пользователям получать их электронные письма с почтового сервера. В последний год было выпущено программное обеспечение сервера IMAP, в котором содержались ошибки, позволяющие удаленному атакующему получать полный контроль над машиной. Эта уязвимость очень опасна, так как большое количество почтовых сервероа используют уязвимое программное обеспечение IMAP.
Back Orifice: Back Orifice - это троянский конь, позволяющий пользователю удаленно управлять компьютером с Windows 95/98 с помощью удобного графического интерфейса.
Netbus: Netbus аналогичен Back Orifice, но может атаковать как Windows NT, так и Windows 95/98.
WinNuke: WinNuke полностью блокирует работу компьютера с Windows 95 путем посылки ему особого пакета "срочные данные" по протоколу TCP.
Nmap: Nmap - это сложное средство для сканирования сети. Помимо всего прочего, nmap может сканировать с помощью нескольких протоколов, работать в скрытом режиме и автоматически идентифицировать удаленные операционные системы.
Как защититься от большинства компьютерных атак
Защита сети от компьтерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.
Оперативная установка исправлений для программ (Patching) Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер.
Обнаружение вирусов и троянских коней Межсетевые экраны Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.
Вскрыватели паролей (Password Crackers)
Шифрование
Сканеры уязвимых мест
Грамотное конфигурирование компьютеров в отношении безопасности
Боевые диалеры(war dialer) Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть.
Рекомендации по безопасности (security advisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах.
Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки.
Средства выявления топологии сети и сканеры портов Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине.
Группа по расследованию происшествий с безопасностью В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае
Политики безопасностиСистема сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети.
Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования