КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Системы обнаружения атак. Традиционно системы защиты компьютерной информации опираются на три основных средства
|
|
|
|
Традиционно системы защиты компьютерной информации опираются на три основных средства.
1. Аутентификация – означает средство, позволяющее одному участнику компьютерного взаимодействия доказать своему партнеру свою идентичность. Чаще всего она сводится к указанию имени и пароля.
2. Авторизация означает средство распределения ресурсов, позволяющее определить, какие ресурсы должны быть доступны аутентифицированному пользователю.
3. Аудит означает наблюдение за событиями, происходящими в системе, в том числе, событиями безопасности.
Системы защиты, основанные на указанных методах, имеют один существенный недостаток. Все они позволяют блокировать атаки на компьютер, но совершенно неспособны упредить атаку.
Защита компьютерной системы должна опираться на накопленные знания о технологии и методах хакерских атак и учитывать все уязвимости, присущие защищаемой компьютерной системе. Для этого следует применять технологии выявления атак, опирающиеся на следующие базовые средства:
1. Накопленную информацию о признаках атаки. К числу признаков можно отнести многие характеристики поведения системы, включая отклонения от стандартных значений различных параметров работы системы. К таким признакам относятся внезапное изменение сетевого трафика или параметров конфигурации компьютера, появление непонятных отказов системы или многократно повторяемых событий определенного типа и т.д.
2. Контроль источников информации о признаках атаки. К таким источникам информации относятся сведения о сетевом трафике, журналы регистрации событий безопасности о текущей деятельности пользователей и программно-аппаратного обеспечения системы.
|
|
|
3. Накопленные методы анализа информации, предоставляемые различными источниками с целью выявления признаков атаки.
Системы защиты, построенные на основании современных технологий, должны включать в себя следующие функциональные возможности:
1. Сканеры безопасности, которые действуют как средство анализа защищенности системы путем имитации хакерской атаки на этапе выявления уязвимостей атакуемой системы.
2. Классические средства выявления вторжений, действующие в режиме реального времени и позволяющие обнаруживать атаки на этапе их реализации.
3. Контроль целостности, обнаруживающий изменения в контролируемых ресурсах, например, в ресурсах файловой системы, для выявления последствия выполнения атаки.
Эти возможности должны обеспечить выявление вторжений на всех трех этапах хакерской атаки. Рассмотрим эти средства по порядку.
Сканеры безопасности применяются для превентивного анализа защищаемой системы с целью выявления уязвимостей. Сканеры делают моментальный «снимок» состояния системы в текущий момент времени, по которому можно судить о ее готовности к обороне. Сканеры безопасности, в принципе, должны выявлять уязвимости всех типов, рассмотренных в разделе «классификация уязвимостей и угроз», а именно уязвимости проектирования, реализации и эксплуатации.
Уязвимости проектирования выявляются путем анализа аппаратного и программного обеспечения компьютерной системы организации, а также ее проекта. Практически это сводится к сертификации всех указанных компонентов информационной системы на их соответствие требованиям безопасности.
Уязвимости реализации выявляются верификацией программного и аппаратного обеспечения на предмет наличия ошибок, могущих стать причиной уязвимости системы. Для поиска таких ошибок применяются два метода – аналитико-математические исследования программного кода и контрольно-испытательные проверки, заключающиеся в генерации множества тестов компьютерной системы. Первый метод применяется, как правило, при сертификации разрабатываемой компьютерной системы различными государственными организациями. Второй метод весьма широко применяется на практике, в силу его дешевизны, простоты и эффективности. Наиболее часто метод контрольно-испытательных проверок реализуется с помощью программ, имитирующих атаки на компьютерные системы.
|
|
|
Уязвимости эксплуатации позволяют определить дефекты в системе защиты всех компонентов информационной системы. Наиболее широко сканеры уязвимостей эксплуатации применяются для анализа безопасности сетевых служб и протоколов, а также операционных систем. Для выявления уязвимостей сканеры безопасности применяют два метода – пассивный и активный. При пассивном методе выполняется проверка параметров настройки приложений и ОС на соответствие некоторым правилам политики безопасности, например, правилу обязательного использования сложных паролей определенной длины. Активный метод поиска уязвимостей сводится к описанному выше методу имитации сетевых атак и анализу реакции системы с целью устранения дефектов защиты системы.
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 580; Нарушение авторских прав?; Мы поможем в написании вашей работы!