- •Введение
- •1. Основные понятия информационной безопасности
- •1.1. Проблема информационной безопасности общества
- •1.2. Определение понятия «информационная безопасность»
- •1.3. Составляющие информационной безопасности
- •1.4. Важность и сложность проблемы информационной безопасности
- •1.4.1. Наиболее опасные угрозы информационной безопасности
- •1.4.2. Внутренние угрозы иб
- •1.4.3. Средства защиты
- •1.5. Сценарии реализации угроз информационной безопасности
- •1.5.1. Разглашение конфиденциальной информации
- •1.5.2. Обход средств защиты от разглашения конфиденциальной информации
- •1.5.3. Кража конфиденциальной информации
- •1.5.4. Нарушение авторских прав на информацию
- •1.5.5. Нецелевое использование ресурсов
- •1.6. Традиционный подход к анализу проблем информационной безопасности
- •1.6.1. Актуальность задач компьютерной безопасности
- •1.6.2. Основные понятия информационной безопасности автоматизированных систем обработки информации
- •1.6.3. Основные угрозы безопасности систем обработки информации
- •1.6.4. Понятие несанкционированного доступа
- •2. Система формирования режима информационной безопасности
- •2.1. Задачи информационной безопасности общества
- •2.2. Уровни формирования режима информационной безопасности
- •2.3. Нормативно-правовые основы информационной безопасности
- •2.3.1. Обзор Российского законодательства
- •2.3.2. Обзор зарубежного законодательства в области информационной безопасности
- •3. Стандарты и спецификации информационной безопасности
- •3.1. Требования безопасности к информационным системам
- •3.1.1. Функциональные требования
- •3.1.2. Требования доверия
- •3.2. Стандарты информационной безопасности распределенных систем
- •3.2.1. Сервисы безопасности в вычислительных сетях
- •3.2.2. Механизмы безопасности
- •3.2.3. Администрирование средств безопасности
- •3.3. Стандарты информационной безопасности в рф
- •3.3.1. Гостехкомиссия и ее роль в обеспечении информационной безопасности в рф
- •4. Уровни информационной безопасности
- •4.1. Административный уровень
- •4.1.1. Политика безопасности
- •4.1.2. Программа безопасности
- •4.1.3. Синхронизация программы безопасности с жизненным циклом систем
- •4.1.4. Понятие об управлении рисками
- •4.2. Процедурный уровень
- •4.2.1. Основные классы мер процедурного уровня
- •4.2.2. Управление персоналом
- •4.2.3 Физическая защита
- •4.2.4 Поддержание работоспособности
- •4.2.5 Реагирование на нарушения режима безопасности
- •4.2.6 Планирование восстановительных работ
- •5. Криптографическая защита информации
- •5.1. Основные принципы криптографической зашиты информации
- •5.1.1. Понятие криптографии
- •5.1.2. Понятия о симметричных и асимметричных криптосистемах
- •5.1.3. Понятие криптоанализа
- •5.1.4. Аппаратно-программные криптографические средства защиты информации
- •5.2. Асимметричные криптосистемы
- •5.2.1. Концепция криптосистемы с открытым ключом
- •5.2.2. Однонаправленные функции
- •5.2.3. Криптосистема шифрования данных rsa
- •5.2.4. Аутентификация данных и электронная цифровая подпись
- •5.2.5. Алгоритм цифровой подписи rsa
- •5.3.Симметричные криптосистемы
- •5.3.1. Понятие о симметричной криптосистеме
- •5.3.2 Шифры перестановки
- •Терминатор прибывает седьмого в полночь
- •Тнпве глеар адонр тиеьв омобт мпчир ысооь
- •Пеликан,
- •Гнвеп лтооа дрнев теьио рпотм бчмор соыьи
- •Тюае оогм рлип оьсв
- •5.3.3. Шифры сложной замены
- •5.3.4. Одноразовая система шифрования
- •5.3.5. Шифрование методом гаммирования
- •5.3.6. Стандарт шифрования данных des
- •6. Компьютерные вирусы и защита от них
- •6.1. Вирусы как угроза информационной безопасности
- •6.1.1. Компьютерные вирусы и информационная безопасность
- •6.1.2. Характерные черты компьютерных вирусов
- •6.1.3. Хронология развития компьютерных вирусов
- •6.2. Классификация компьютерных вирусов
- •6.2.1. Классификация компьютерных вирусов по среде обитания
- •6.2.2. Классификация компьютерных вирусов по особенностям алгоритма работы
- •6.2.3. Классификация компьютерных вирусов по деструктивные возможностям
- •6.3.3. Утилиты скрытого администрирования
- •6.3.4. «Intended»-вирусы
- •6.4. Антивирусные программы
- •6.4.1. Особенности работы антивирусных программ
- •6.4.2. Классификация антивирусных программ
- •6.4.3. Факторы, определяющие качество антивирусных программ
- •6.5. Профилактика компьютерных вирусов
- •6.5.1. Характеристика путей проникновения вирусов в компьютеры
- •6.5.2. Правила защиты от компьютерных вирусов
- •6.6. Обнаружение неизвестного вируса
- •6.6.1. Обнаружение загрузочного вируса
- •6.6.2. Обнаружение резидентного вируса
- •6.6.3. Обнаружение макровируса
- •6.6.4. Общий алгоритм обнаружения вируса
- •7. Информационная безопасность вычислительных сетей
- •7.1.2. Специфика средств защиты в компьютерных сетях
- •7.2. Сетевые модели передачи данных
- •7.2.1. Понятие протокола передачи данных
- •7.2.2. Принципы организации обмена данными в вычислительных сетях
- •7.2.3. Транспортный протокол tcp и модель тср/iр
- •7.3. Модель взаимодействия открытых систем osi/iso
- •7.3.1. Сравнение сетевых моделей передачи данных tcp/ip и osi/iso
- •7.3.2. Характеристика уровней модели osi/iso
- •7.4. Адресация в глобальных сетях
- •7.4.1. Основы ip-протокола
- •7.4.2. Классы адресов вычислительных сетей
- •7.4.3. Система доменных имен
- •7.5. Классификация удаленных угроз в вычислительных сетях
- •По характеру воздействия:
- •По цели воздействия:
- •По условию начала осуществления воздействия
- •По наличию обратной связи с атакуемым объектом:
- •По расположению субъекта атаки относительно атакуемого объекта:
- •По уровню модели iso/osi, на котором осуществляется воздействие:
- •7.6. Типовые удаленные атаки и их характеристика
- •7.6.1. Удаленная атака "анализ сетевого трафика"
- •7.6.2. Удаленная атака «подмена доверенного объекта»
- •7.6.3. Удаленная атака «ложный объект»
- •7.6.4. Удаленная атака «отказ в обслуживании»
- •7.7. Причины успешной реализации удаленных угроз в вычислительных сетях
- •7.8. Принципы защиты распределенных вычислительных сетей
- •8. Обеспечение безопасности глобальных компьютерных сетей
- •8.1. Межсетевые экраны (firewall)
- •8.2. Организация и эксплуатация виртуальных частных сетей (vpn)
- •8.2.1. Определение виртуальных частных сетей
- •8.2.2. Пользовательские vpn
- •8.2.3. Узловые vpn
- •8.2.4. Понятие стандартных технологий функционирования vpn
- •8.2.5. Типы систем vpn
- •8.3. Системы предотвращения вторжений (ids)
- •8.3.1. Общие понятия о функционировании ids
- •8.3.2. Узловые ids
- •8.3.3. Сетевые ids
- •8.3.4. Использование ids
- •9. Безопастное взаимодействие в глобальных компьютерных сетях
- •9.1. Аутефекация и управление сертификатами
- •9.1.1. Цифровые подписи
- •9.1.2. Управление ключами и сертификация ключей
- •9.1.3. Концепция доверия в информационной системе
- •9.1.4. Аутентификация с использованием протоколов открытого ключа
- •9.2. Протокол конфиденциального обмена данными ssl
- •9.3. Обеспечение безопасности беспроводных сетей
- •9.3.1. Угрозы безопасности беспроводных соединений
- •9.3.2. Протокол wep
- •9.3.3. Протокол 802.1x - контроль доступа в сеть по портам
- •10. Информационная безопасность в операционных системах windows
- •10.1. Средства управления безопасностью
- •10.1.1. Система управления доступом
- •10.1.2. Пользователи и группы пользователей
- •10.1.3. Объекты. Дескриптор защиты
- •10.2. Основные компоненты системы безопасности
- •10.2.1. Политика безопасности
- •10.2.2. Ролевой доступ. Привилегии
- •11. Безопасность программного обеспечения
- •11.1. Угрозы безопасности по
- •11.2. Разрушающие программные средства
- •11.3. Модель угроз и принципы обеспечения безопасности по
- •11.4. Основные принципы обеспечения безопасности по на различных стадиях его жизненного цикла
- •11.4.1. Обеспечение безопасности при обосновании, планировании работ и проектном анализе по
- •11.4.2. Обеспечение безопасности по в процессе его разработки
- •11.4.3 Обеспечение безопасности по на этапах стендовых и приемо-сдаточных испытаний
- •11.4.4. Обеспечение безопасности при эксплуатации по
- •11.5. Методы и средства анализа безопасности по
- •Заключение
- •Оглавление
- •1. Основные понятия информационной безопасности 5
- •394026 Воронеж, Московский просп., 14
8.3.3. Сетевые ids
Сетевые IDS (Network intrusion detection system - NIDS) представляет собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в режим работы, при котором сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспечение NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется соответствующее событие.
На данный момент большинство систем NIDS базируется на признаках атак. Это означает, что в системы встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS не замечает эту атаку.
NIDS-системы позволяют указывать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслеживания трафика, не соответствующего признакам атак.
Рис. 8.7. Конфигурация NIDS с двумя сетевыми картами
Среди преимуществ использования NIDS можно выделить следующие моменты.
NIDS можно полностью скрыть в сети таким образом, что злоумышленник не будет знать о том, что за ним ведется наблюдение.
Одна система NIDS может использоваться для мониторинга трафика с большим числом потенциальных систем-целей.
NIDS может осуществлять перехват содержимого всех пакетов, направляющихся на систему-цель.
Среди недостатков NIDS необходимо отметить следующие аспекты.
Система NIDS может только выдавать сигнал тревоги, если трафик соответствует предустановленным правилам или признакам.
NIDS может упустить нужный интересуемый трафик из-за использования широкой полосы пропускания или альтернативных маршрутов.
Система NIDS не может определить, была ли атака успешной.
Система NIDS не может просматривать зашифрованный трафик.
В коммутируемых сетях (в отличие от сетей с общими носителями) требуются специальные конфигурации, без которых NIDS будет проверять не весь трафик.
8.3.4. Использование ids
Пример использования IDS приведен на рис. 8.8.
Рис. 8.8. Пример выбора объекта мониторинга
Таблица 8.3
События, отслеживаемые при наличии политики IDS
Политика |
NIDS |
HIDS |
Обнаружение атак |
Весь трафик, поступающий на потенциально атакуемые системы (сетевые экраны, веб-серверы, и т.д.) |
Неудачные попытки входа. Попытки соединения. Удачный вход с удаленных систем. |
Предотвращение атак |
То же, что и для обнаружения атак |
То же, что и для обнаружения атак. |
Обнаружение нарушений политики |
Весь трафик HTTP и FTP, формируемый на системах клиентах. |
Успешные HTTP-соединения. Успешные FTP соединения. Загружаемые файлы. |
Принуждение к использованию политик |
То же, что и для обнаружения нарушений политики |
То же, что и для обнаружения нарушения политики. |
Принуждение к соответствию политикам соединений |
Весь трафик, нарушающий принудительно используемую политику |
Успешные соединения с запрещенных адресов или по запрещенным портам. |
Сбор доказательств |
Содержимое всего трафика, формируемого на системе-цели или атакующей системе |
Все успешные подключения, исходящие с атакующей системы. Все неудачные соединения с атакующих систем. Все нажатия клавиш из интерактивных сеансов на атакующих системах. |
При обнаружении вторжения IDS должна выработать методы противодействия вторжению.
Рассматривают следуюшие виды действий при обнаружении вторжений:
Пассивная обработка - это наиболее распространенный тип действий, предпринимаемых при обнаружении вторжения. Причина этому проста - пассивные ответные действия обеспечивают меньшую вероятность повреждения легитимного трафика, являясь, в то же время, наиболее простыми для автоматического применения. Как правило, пассивные ответные действия осуществляют сбор большего числа информации или передают уведомления лицам, имеющим право на принятие более жестких мер.
Активная обработка события позволяет наиболее быстро предпринять возможные меры для снижения уровня вредоносного действия события. Однако если недостаточно серьезно отнестись к логическому программированию действий в различных ситуациях и не провести должного тестирования набора правил, активная обработка событий может вызвать повреждение системы или полный отказ в обслуживании легитимных пользователей. Среди активной обработки событий различают следующие.
Прерывание соединений, сеансов или процессов. Вероятно, самым простым действием для понимания является прерывание события. Оно может осуществляться посредством прерывания соединения, используемого атакующим злоумышленником (это возможно только в том случае, если событие использует TCP-соединение), с закрытием сеанса пользователя или завершением процесса, вызвавшего неполадку.
Определение того, какой объект подлежит уничтожению, выполняется посредством изучения события. Если процесс использует слишком много системных ресурсов, лучше всего завершить его. Если пользователь пытается использовать конкретную уязвимость или осуществить нелегальный доступ к файлам, то рекомендуется закрыть сеанс этого пользователя. Если злоумышленник использует сетевое соединение в попытках изучения уязвимостей системы, то следует закрыть соединение.
Таблица 8.4
Примеры ответных действий, определяемые политикой IDS
Политика |
Пассивные ответные действия |
Активные ответные действия |
Обнаружение атак |
Ведение журналов. Ведение дополнительных журналов. Уведомление |
Нет ответного активного действия. |
Предотвращение атак |
Ведение журналов. Уведомление. |
Закрытие соединения. Завершение процесса. Возможна перенастройка маршрутизатора или межсетевого экрана. |
Обнаружение нарушений политики |
Ведение журналов. Уведомление. |
Нет ответного активного действия. |
Принудительное использование политик |
Ведение журналов. Уведомление. |
Закрытие соединения. Возможно перенастройка прокси. |
Принудительное использование политик соединения |
Ведение журналов. Уведомление. |
Закрытие соединения. Возможно перенастройка маршрутизатора или межсетевого экрана. |
Сбор доказательств |
Ведение журналов. Ведение дополнительных журналов. Уведомление. |
Обманные действия. Возможно закрытие соединения. |