- •1.Устройство локальных сетей
- •2. Устройство глобальных сетей. Основные отличия локальных и глобальных сетей
- •3. Вычислительные сети. Проблема объединения нескольких компьютеров.
- •4. Топология вычислительных сетей. Полносвязная топология.
- •5. Ячеистая топология вычислительных сетей. Общая шина.
- •6. Вычислительные сети по топологии"Звезда" и кольцо.
- •7. Организация совместного использования линий связи. Структуризация как средство построения больших сетей.
- •8. Физическая структуризация сети. Логическая структуризация сети
- •9. Многоуровневый подход. Модель osi. Процедура образования кадра данных в процессе взаимодействия абонентов сети.
- •10. Модель osi. Уровни приложений и представлений , протоколы и сетевые атаки.
- •11. Модель osi. Транспортный уровень, протоколы и сетевые атаки.
- •12. Модель osi. Сетевой и канальный уровни, протоколы и сетевые атаки.
- •13. Протокол. Интерфейс. Стек протокола
- •14. Сетезависимые и сетенезависимые уровни.
- •15. Сетевая безопасность. План защиты.
- •16 И 17 вопросы одно и то же!!!!!!!!!!!!!!!!
- •16. Структурные элементы плана защиты.
- •17. Базовые принципы защиты информации.
- •17. Базовые принципы защиты информации
- •18. Службы сертификации и их применение.
- •19. Центры сертификации (цс). Иерархия цс.
- •20. Сертификат, цели выдачи сертификата. Механизм проверки подлинности сертификата.
- •21. Модели доверия строгая иерархия и нестрогая иерархия удостоверяющих центров.
- •Нестрогая иерархия уц
- •22. Модель доверия иерархия на базе политик.
- •23. Модель распределённого доверия, четырёхсторонняя модель доверия.
- •25. Модель доверия сконцентрированная вокруг пользователя.
- •26. Концепция доверия pki. Кросс-сертификация.
- •27. Внутреннее устройство протоколов tcp/ip.
- •28. Внутреннее устройство протоколов udp, icmp.
- •29. Структура портов tcp и udp.
- •30. Функции и архитектура систем управления сетями. Функциональные группы задач управления.
- •31. Многоуровневое представление задачи управления.
- •32.Переносимость систем. Классификация сервисов платформ приложений по критерию способности к взаимодействию.
- •2. Сервисы распределенной платформы
- •3. Распределенные сервисы данных
- •4. Распределенные сервисы человекомашинного взаимодействия
- •5. Межкатегориальные сервисы
- •33. Классификация сервисов платформ приложений по критерию переносимости.
- •3.1Сервисы командного интерфейса:
- •4.2 Сервисы защиты:
- •34. Алгоритмы маршрутизации.
- •Одномаршрутные или многомаршрутные алгоритмы
- •Одноуровневые или иерархические алгоритмы
- •Алгоритмы с интеллектом в главной вычислительной машине или в роутере
- •Внутридоменные или междоменные алгоритмы
- •Алгоритмы состояния канала или вектора расстояния
- •35. Инфраструктура безопасности открытых систем. Стандарт iso/iec 7498-2. Применимость механизмов зи для обеспечения сервисов защиты в модели osi.
- •36. Распределение сервисов и механизмов зи по уровням модели osi.
- •Распределение сервисов и механизмов зи по уровням osi
- •37. Системы обнаружения уязвимостей и атак. Архитектура системы обнаружения атак.
- •38. Межсетевой экран
- •39. Виртуальные частные сети.
- •По способу реализации
- •По типу протокола.(tcp/ip, ipx, AppleTalk ).
- •По уровню сетевого протокола (сопоставления с уровнями эталонной сетевой модели iso/osi)
- •40. Вирусы. Средства антивирусной защиты.
37. Системы обнаружения уязвимостей и атак. Архитектура системы обнаружения атак.
Системы обнаружения атак (СОА) помогают компьютерным системам подготовиться к приему и отражению атак. Они выполняют эту цель путем сбора информации о целом ряде системных и сетевых ресурсов, затем они анализируют собранную информацию на предмет идентификации проблем защиты. В некоторых случаях СОА позволяют пользователю устанавливать ответные реакции на злоупотребления в реальном масштабе времени.
Функции СОА:
1. Мониторинг и анализ деятельности пользователей и вычислительных систем;
2. Аудит конфигураций системы и уязвимостей;
3. Оценка целостности наиболее важных системных файлов и файлов данных;
4. Распознавание шаблонов активности, отражающих известные атаки;
5. Статистический анализ шаблонов аномальной активности;
6. Управление журналами регистрации операционной системы с распознаванием деятельности пользователя, отражающей нарушения политики безопасности.
Некоторые системы имеют дополнительные характеристики, включающие:
1. автоматическую инсталляцию patch'ей ПО, поставляемых продавцом;
2. инсталляцию и работу серверов-ловушек для записи информации о нарушителях.
Комбинация этих характеристик позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой.
Системы поиска уязвимостей (сканеры безопасности) проводят всесторонние исследования систем с целью определения уязвимостей, которые могут привести к нарушениям защиты. При проведении этих исследований эти системы реализуют две стратегии. Первая - пассивная, - механизмы, действующие на уровне операционной системы и приложений, инспектируют конфигурационные файлы системы на предмет наличия неправильных параметров; файлы с системными паролями на предмет наличия легко угадываемых паролей, а также другие системные объекты на предмет нарушений политики безопасности. Следующие проверки в большинстве случаев являются активными, они осуществляют анализ на сетевом уровне, воспроизводя наиболее распространенные сценарии атак, и анализируют реакции системы на эти сценарии.
Результаты, полученные от средств анализа уязвимостей, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут надежно обнаруживать атаку в процессе ее развития, они могут определить то, что атака является возможной и, более того, иногда они могут определить, что атака имела место.
Главная задача средств поиска уязвимостей и обнаружения атак заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Поэтому продукты разрабатываются с графическим интерфейсом, удобным и понятным для пользователя, что помогает администраторам безопасности легко и быстро осуществлять инсталляцию, конфигурацию и использование соответствующих продуктов. Большинство систем включают информацию об обнаруживаемых проблемах, включая указания на то, как устранить эти проблемы.
Классификация СОА по уровням информационной системы:
1. Уровень приложений и СУБД. СОА данного уровня собирают тс анализируют информацию от конкретных приложений, например, от систем управления базами данных, Web-серверов или межсетевых экранов.
2. Уровень ОС. СОА уровня ОС собирают и анализируют информацию, отражающую деятельность, которая происходит в ОС на отдельном компьютере. Эта информация представляется, как правило, в форме журналов регистрации операционной системы.
3. Уровень сети. СОА уровня сети собирают информацию из самой сети, т.е. из сетевого трафика. Выполняться эти системы могут на обычных компьютерах, на специализированных компьютерах или интегрируются в маршрутизаторы или коммутаторы.
Все СОА можно разделить, на две категории — автономные и клиент-серверные системы. Первые выполняют сбор информации, ее анализ и реагирование на одном компьютере. Системы второй категории строятся по иному принципу. В наиболее критичных точках корпоративной сети устанавливаются сенсоры СОА, которые отвечают за выявление атак и реагирование на них. Все управление осуществляется с центральной консоли, на которую также передаются все сигналы тревоги.
Архитектура СОА включает 7 модулей, каждый из которых отвечает за выполнение своей задачи.
-Модуль работы с источником информации отвечает за взаимодействие с журналом регистрации, сетевой картой или ядром ОС для получения данных, на основе которых делается вывод о наличии или отсутствии атаки.
-Второй модуль служит для управления всеми компонентами СОА и обеспечения "общения" между ними.
-Хранилище данных является обычным журналом регистрации, в котором содержится вся информация о зафиксированных атаках и подозрительных событиях.
-База знаний содержит информацию, на основании которой принимается решение о том, зафиксирована ли атака в записях выбранного источника или нет.
-Сопоставление правил базы знаний с записями выбранного источника информации выполняет модуль обнаружения атак, который на основании полученного результата может отдавать команды модулю реагирования.
-Графический интерфейс облекает всю работу системы обнаружения атак в удобную для администратора форму. При помощи графического интерфейса осуществляется как управление, так и сбор информации от всех компонентов системы обнаружения атак.
Сенсор отвечает за обнаружение и реагирование на атаки, а также за передачу сведений об обнаруженных несанкционированных действиях на консоль управления. Консоль предназначена для управления сенсорами и сбора информации всех сенсоров, подключенных к ней.