4. Классификация уязвимостей по этапам внедрения

Этапы внедрения ошибки и возникновения уязвимостей:

1. На стадии разработки

1.1. Ошибки в требованиях и спецификациях

1.2. Ошибки в исходных текстах программ

1.3. Ошибки в исполняемом коде

2. В ходе сопровождения

3. В ходе эксплуатации

5. Классификация уязвимостей по размещению в веб-системе

Web-система:

1. Уязвимости в средствах защиты

2. Уязвимости в базовых функциях, классах и компонентах

3. Уязвимости в дополнительных модулях

6. Причины возникновения уязвимостей

Причины нарушения безопасности:

1. Предопределенные на стадии разработке требований:

1.1. Выбор модели безопасности, не соответствующий назначению или архитектуре

2. Обусловленные принципами организации системы обеспечения безопасности:

2.1. неправильное внедрение модели безопасности

2.2. отсутствие идентификации и/или аутентификации субъектов и объектов

2.3. Отсутствие механизмов локализации уязвимости в пределах компонента системы

3. Обусловленные реализацией:

3.1. Ошибки, допущенные в ходе программной реализации средств обеспечения безопасности

3.2. Наличие средств отладки и тестирования

3.3. Отсутствие проверки допустимых значений параметров

4. Ошибки администрирования

7. Взаимосвязь причин возникновения уязвимостей и классификации по этапам внедрения

8. Взаимосвязь причин возникновения уязвимостей и классификации по размещению в системе

9. Понятие, состав, протоколы tcp/ip

Transport Control Protocol/Internet Protocol предназначена для построения ВС с коммутацией пакетов.

Разработка технологии TCP/IP началась в 1973 г.

В процессе разработки этой технологии был создан новый стек протоколов, получивший название TCP/IP.

Стек протоколов TCP/IP включает в себя 4 уровня: уровень межсетевых интерфейсов, уровень межсетевого взаимодействия, транспортный и прикладной уровни.

Уровни ЭМ ВОС – Нименование уровня ЭМ ВОС – Ниаменование стека TCP/IP

7 – прикладной - Прикладной уровень: протоколы FTP, SNMP, Telnet

6 - Ур.представления – нет

5 – сеансовый – нет

4 – транспортный - Транспортный уровень: протоколы TCP, UDP

3 – сетевой - Уровень межсет.взаимод-я: протоколы IP, ICMP,BGP,EGP, ISIS,OSPF

2 – канальный - Уровень сетевых интерфейсов: протоколы X.25, Frame Relay, ATM, SDH и т.д.

1 – физический - Уровень сетевых интерфейсов: протоколы X.25, Frame Relay, ATM, SDH и т.д.

Структура IP-сети:

Технология TCP/IP используется для построения глобальных сетей связи, базирующихся на стеке протоколов TCP/IP. По-другому они называются IP-сети.

IP-сеть представляет собой совокупность маршрутизаторов, связывающих между собой различные подсети, построенные на базе технологий X.25, Frame Relay, ATM и т.д.

Компоненты IP-сети:

Маршрутизаторы – устройства, обеспечивающие передачу сообщений между 2 подсетями;

Магистральные каналы связи – линии связи и аппаратура передачи данных между подсетью и маршрутизатором, а также между маршрутизаторами.

Каналы доступа – линии связи и аппаратура передачи данных между терминальным оборудованием

Пользователей и подсетями, связанными между собой маршрутизаторами. В качестве терминального оборудования пользователей могут выступать персональные компьютеры, серверы, терминалы и др.

IP-сеть реализует первые 2 уровня стека протоколов TCP/IP:

• Уровень сетевых интерфейсов

• - уровень межсетевого взаимодействия, который обеспечивает транспортные функции передачи сообщений, содержащих информацию пользователя или информацию управления.