Приложение 1.5 Научно-образовательный материал «Информационная безопасность компьютерных сетей» Курс обеспечивает слушателей теоретической и практической информацией по защите компьютерных систем. Как организован курс: В курсе сочетаются лекционные и демонстрационно-практические занятия. Использование компьютерной сети, проекторов и другой оргтехники позволяют проводить занятия на уровне европейских центров и существенно увеличить информативность курса. Краткое содержание курса: Основы теории защиты информации; Информационные угрозы; Технологии анализа рисков; Современные технологии и системы защиты: o межсетевые экраны, o системы обнаружения атак, o системы контроля целостности, o средства борьбы с вирусами в ИТС, o криптографические средства защиты информации; Обеспечение безопасности Internet-сервисов (Web, почта, DNS); Критерии оценки безопасности информационных технологий; Защита персональных данных; Демонстрационно-практические занятия. Развернутое содержание курса: 1. ИНФОРМАЦИОННЫЕ УГРОЗЫ. СОВРЕМЕННЫЕ ТЕХНОЛОГИИ И СИСТЕМЫ ЗАЩИТЫ 2. УГРОЗЫ ИНФОРМАЦИОННЫМ РЕСУРСАМ В СОВРЕМЕННЫХ 3.ИНФОРМАЦИОННЫХ СИСТЕМАХ 4.ИНФОРМАЦИЯ - ОСНОВНОЙ РЕСУРС СОВРЕМЕННОЙ КОМПАНИИ 5.КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННЫМ РЕСУРСАМ "Человеческий фактор" Вирусы Локальные атаки Сетевые атаки Модель построения информационной системы Модель угроз физического уровня Модель угроз канального уровня Модель угроз сетевого и транспортного уровней Модель угроз сеансового, представительного и транспортного уровней 1 Анализ сетевого трафика в сети, построенной на концентраторах Анализ сетевого трафика в сети, построенной на коммутаторах Инструменты анализа сетевого трафика Сканирование 6.КОНТРОЛЬНЫЕ БИТЫ (СONTROL BITS): Определение топологии сети Наиболее показательные методы сканирования портов: Принципы защиты от сканирования Удаленное переполнение буфера Утечка информации по каналам ПЭМИН 7.ОБЩАЯ КЛАССИФИКАЦИЯ УГРОЗ 8.МОДЕЛЬ НАРУШИТЕЛЯ 9.МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ 10.ФОРМАЛЬНЫЕ МОДЕЛИ БЕЗОПАСНОСТИ 11.СОВРЕМЕННЫЕ ТЕХНОЛОГИИ И СИСТЕМЫ ЗАЩИТЫ 12.ВИДЫ ТЕХНОЛОГИЙ И СИСТЕМ ЗАЩИТЫ Разграничение доступа Разделение сетевого трафика в канале передачи Криптографические методы защиты Антивирусная защита Фильтрация сетевого трафика Анализ защищенности Обнаружение атак Мониторинг и аудит Обманные системы Контроль целостности Системы предупреждения вторжений Примеры систем предупреждения вторжений: Платформы управления безопасностью 13.ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ 14.КОРПОРАТИВНОЙ СЕТИ В СООТВЕТСТВИИ СО СТАНДАРТОМ ISO 17799 15.ЭТАПЫ ПОСТРОЕНИЯ Этап обследования (классификация и управление ресурсами) Этап формирования политики безопасности Этап внедрения политики безопасности Процесс аудита за соблюдением ПБ 16.ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ INTERNET-СЕРВИСОВ 17.БЕЗОПАСНОСТЬ DNS Задачи DNS Типичные угрозы DNS и способы защиты 18.БЕЗОПАСНОСТЬ ЭЛЕКТРОННОЙ ПОЧТЫ Принципы работы электронной почты Типичная архитектура почтовой системы Угрозы и уязвимости почтовых систем Технологии защиты почтовых систем 2 19.БЕЗОПАСНОСТЬ WEB Назначение WEB Обобщенная архитектура WEB-среды Угрозы WEB и технологии защиты 20.КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ 21.СОВРЕМЕННАЯ СИТУАЦИЯ В ОБЛАСТИ ИНФОРМАЦИОННОЙ 22.БЕЗОПАСНОСТИ Категории информационной безопасности Абстрактные модели защиты информации 23.КРИПТОГРАФИЯ Классификация криптоалгоритмов Симметричные криптоалгоритмы Симметричные криптосистемы Асимметричные криптоалгоритмы Асимметричные криптосистемы 24.БЕЗОПАСНЫЕ ПРОТОКОЛЫ SSL SSH TLS 25.СИСТЕМЫ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА 26.ФАЙЛОВАЯ СИСТЕМА Типы файлов Права доступа к файлу Права доступа на примере ОС UNIX 27.КЛАССИФИКАЦИЯ УДАЛЕННЫХ АТАК НА РАСПРЕДЕЛЕННЫЕ 28.ВЫЧИСЛИТЕЛЬНЫЕ СИСТЕМЫ Программно-аппаратные методы защиты от удаленных атак в сети Internet 29.АНТИВИРУСНАЯ ЗАЩИТА СОКРАЩЕНИЯ: 1. КОМПЬЮТЕРНЫЕ ВИРУСЫ 1.1. Файловые компьютерные вирусы 1.2. Загрузочные компьютерные вирусы 1.3. Макрокомандные компьютерные вирусы 1.4. Сетевые компьютерные вирусы 1.5. Троянские программы 2. ОБЗОР И КЛАССИФИКАЦИЯ АНТИВИРУСНЫХ СРЕДСТВ 2.1. Алгоритмы работы антивирусных средств 2.2. Общая структура антивирусного средства 3. АНТИВИРУСНЫЕ СРЕДСТВА 3.1. Антивирус Dr.Web для Windows 3.2. Антивирус Касперского для Windows 3 1.5.1. Угрозы информационным ресурсам в современных информационных системах Информация – основной ресурс современной компании Информационная Эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел. Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать. Информационные ресурсы компании – совокупность данных и программ, задействованных, задействованных при обработке информации техническими средствами Сетевые ресурсы – оборудование и сетевые сервисы Утечка – хищение информации и средств ее обработки Искажение - модификация и подделка информацииУничтожение или разрушение Задержка в доступе - невозможность обращения к данным за приемлемое времяОчевидно, что проявление хотя бы одной из них может очень существенно отразиться на бизнесе компании в целом. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется. Информационная безопасность дает гарантию того, что достигаются следующие цели: конфиденциальность критической информации целостность информации и связанных с ней процессов( создания, ввода, обработки и вывода) 4 доступность информации, когда она нужна Определим основные термины: Конфиденциальность - определяет возможность хранения, пересылки и обработки информации ограниченного круга распространения в информационно телекоммуникационной системе; Целостность - предполагает невозможность несанкционированных изменений информационных ресурсов; Доступность - возможность беспрепятственного доступа к ресурсам информационно - телекоммуникационной системы (сервисным услугам и/или циркулирующей в сети информации) при наличии соответствующих у пользователя прав; Угроза информационной безопасности - потенциальная возможность нарушения указанных выше характеристик (свойств) информационно - телекоммуникационной системы в ходе её функционирования; Уязвимость информационно - телекоммуникационной системы - возможность возникновения угрозы информационной безопасности. Другими словами, наличие уязвимостей в системе – это возможность возникновения такого события, в результате которого могут быть нарушены конфиденциальность, целостность и доступность информационно - телекоммуникационной системы. Классификация угроз информационным ресурсам «Человеческий фактор» - ОСНОВА УГРОЗ • Вирусы, сетевые черви, программные закладки • Локальные атаки • Сетевые атаки • Утечки по каналам ПЭМИН • Аппаратно – программные сбои • Природные явления • «Человеческий фактор» Анализ угроз начнем с «человеческого фактора», являющегося основой большинства угроз. Рассмотрим прежде всего мотивы, побуждающие людей совершать компьютерные преступления: Материальная выгода Месть Желание прославиться Любопытство Скрытие ошибок Военные и политические цели Конкурентная борьба Другие. Вот только малый перечень последствий, к которым может привести материализация таких мотивов: • Переход конфиденциальных данных конкурентам 5 • Уничтожение важной информации • Фальсификация документов Результатом всего этого становятся огромные убытки компании. Вирусы Компьютерный вирус - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. При этом созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению, а также самовоспроизведению Вирусная атака - действие (как преднамеренное, так и непреднамеренное), заключающееся во внедрении в данную информационно-телекоммуникационную инфраструктуру компьютерных вирусов, а также других, смежных с ними классов вредоносных программ (программные закладки, троянские кони, сетевые черви) Антивирусная защита - защита информационных ресурсов и компонентов информационно-телекоммуникационной инфраструктуры от компьютерных вирусов, а также смежных с ними классов вредоносных программ. При этом антивирусная защита включает в себя комплекс взаимосвязанных мер по установке, настройке, обновлению, сопровождению антивирусных средств, оперативному взаимодействию с их разработчиками, а также проверки реализации мероприятий по защите от компьютерных вирусов (в том числе и смежных с ними классов вредоносных программ). Троянский конь – программа, встраиваемая в программы широкого пользования, способная изменить уничтожить или раскрыть данные Червь – программа, выполняющая различные деструктивные действия и распространяющаяся в сетях Основные источники вирусов: • Глобальные сети – общедоступные файловые архивы, просмотр WEB, электронная почта, электронные конференции • Локальные сети • Пиратское программное обеспечение • Мобильные носители информации Признаки проявления вирусов: • Замедление работы компьютера • Частые сбои в работе операционной системы и приложений • Некорректное функционирование сервисов • Неожиданное исчезновение/модификация/появление файлов • Существенное уменьшение размера свободной оперативной памяти Локальные атаки Этот класс угроз связан с получением не привилегированного доступа на локальном устройстве путем запуска соответствующего вредоносного программного обеспечения, путем подбора пароля и т.д. Сетевые атаки Целями проведения сетевых атак являются: • Сбор данных о цели атаки • Вывод из строя устройства или ПО 6 • «Взлом», связанный с получением контроля над удаленной системой Различают несколько классов сетевых атак: • Анализ сетевого трафика • Сканирование • Отказ в обслуживании (DoS, DDoS) • Удаленное «переполнение буфера» (buffer overflow) • «Ложный объект» Рассмотрение сетевых атак начнем с рассмотрения и анализа принципов взаимодействия открытых систем. Модель построения информационной системы В качестве примера модели информационной системы рассмотрим модель взаимодействия открытых систем (ISO/OSI). Классическая модель ISO/OSI состоит из семи уровней. В случае глобальной сети Интернет данная модель трансформируется в пятиуровневую: физический, канальный, сетевой, транспортный и прикладной уровень (который объединяет в себе сеансовый, представительный и прикладной уровни модели ISO/OSI). Модель угроз физического уровня На физическом уровне, который ограничен физической средой распространения несущего информационного сигнала (это, например, может быть кабель или беспроводная линия связи), передаваемая информация представляет собой неструктурированный поток. На физическом уровне уязвимости атакуемой ИТС во многом определяются степенью устойчивости используемой в данной системе среды распространения сигнала к физическому воздействию на неё, например, устойчивость кабельных линий к разрушению, для радиоканалов – устойчивость к наведению помех и зашумлению, а также помехоустойчивостью оборудования физического уровня. Атакующие воздействия: • Зашумление канала с целью искажения и/или уничтожения информации, передаваемой по данному каналу • Подмена передаваемой информации • Перехват передаваемой информации • Попытки несанкционированного подключения к совместной информационнотелекоммуникационной инфраструктуре Модель угроз канального уровня Канальный уровень отличается от физического наличием определённого формата у передаваемой информации, определяемой протоколом, работающем в информационно – технической системе на данном уровне. Среди наиболее известных протоколов канального уровня можно назвать, например, Ethernet, HDLC, Frame Relay. Кадр, блок информации на канальном уровне, имеет чёткую структуру и, в общем случае, содержит в себе поля адресации, установления соединения и управления регламентом информационного обмена. В связи с этим можно проводить воздействия на тело кадра (например, внесение ошибок, подмена, потеря и имитация), а также непосредственно на оборудование звена передачи данных, как ещё называется совокупность физического и канального уровней. 7 В силу того, что протоколы канального уровня не имеют штатных механизмов защиты (за исключением наличия у некоторых механизма контрольного суммирования тела кадра, как, например, у протокола HDLC), то изложенные выше уязвимости системы на физическом уровне относятся и к канальному уровню. Особенность рассматриваемого уровня модели ISO/OSI заключается в том, что на данном уровне осуществляется канальное шифрование информации для её последующей передачи. Таким образом, на канальном уровне возможно проведение всех атак, целью которых являются соответствующие системы защиты, прежде всего попытки НСД к указанным средствам. Таким образом, к атакующим воздействиям данного уровня можно отнести: • воздействия на тело кадра (внесение ошибок, подмена, потеря и имитация) • воздействия на оборудование звена передачи данных • попытки несанкционированного доступа к средствам криптографической защиты информации канального уровня Модель угроз сетевого и транспортного уровней Целями атак на указанных уровнях может стать любой объект или ресурс совместной информационно-телекоммуникационной инфраструктуры, как и вся данная система в совокупности. Такие возможности для нарушителя определяются возможностью удалённого воздействия на оборудование и ресурсы системы, к которым он не имеет непосредственного доступа посредством работающего в атакуемой системе протокола сетевого уровня. Можно выделить три основных типа атак на сетевом и остальных более высоких уровнях модели ISO/OSI. Первый тип построен на использовании ошибок и уязвимостей реализации используемых в системе протоколов и/или сетевых сервисных служб. В качестве примера атаки, относящейся к данному типу, можно назвать посылку на атакуемый объект неправильно сформированного пакета, то есть пакета недопустимого формата или длины, а также пакета, недопустимого для того состояния сетевого оборудования, в котором данная аппаратура находится в момент приёма указанного пакета. Другой тип атакующего воздействий связан с наличием возможности возникновения и проявления недокументированных свойств сетевого оборудования при его функционировании на нагрузках, близких к предельным. При высокой интенсивности информационного обмена могут возникать сбои в работе механизмов управления потоком, распределения памяти и процессорного времени, влекущие за собой нарушение нормальной работы оборудования и штатного процесса информационного взаимодействия между абонентами контролируемой системы. Данный тип атак, имеющий целью создать перегрузки в контролируемой информационно – технической системе, позволяет добиться отказов в функционировании ресурсов системы также и в том случае, когда отсутствуют ошибки в программном обеспечении. Третий тип атак базируется на человеческом факторе. Любая информационно – техническая система на данный момент времени представляет собой систему «человек-машина», в процессе управления данной системой доминирует человек. Это как раз и создает базисную основу для проведения атак типа сбора необходимой 8 информации и создания условий и предпосылок для успешной реализации атакующего воздействия. Атакующие воздействия на сетевом и транспортном уровнях: • использование ошибок и уязвимостей реализации используемых в системе протоколов и/или сетевых сервисных служб (посылка на атакуемый объект неправильно сформированного пакета) • возможности возникновения и проявления недокументированных свойств сетевого оборудования при его функционировании на нагрузках, близких к предельным Модель угроз сеансового, представительного и транспортного уровней Атакующие воздействия: • использование ошибок и уязвимостей реализации прикладных сетевых серверов (WEB-серверы, почтовые серверы, DNS, FTP, т.д.) • использование ошибок и уязвимостей реализации СУБД • использование ошибок и уязвимостей реализации специализированных систем защиты прикладного уровня (firewall-proxy, антивирусы) • использование ошибок и уязвимостей реализации внутренних систем защиты прикладного ПО (разграничение доступа в банковских системах, управленческих системах) Классификация систем анализа защищенности по источнику информации об уязвимостях: • Системы сетевого уровня - используют активные методы определения степени защищенности на сетевом уровне. В них реализован ряд сценариев атак против возможных объектов системы и, на основе анализа результатов проводимых атак, определяется наличие уязвимостей. • Системы системного уровня - используют пассивные методы для проверки параметров настройки системы и конфигурации на предмет наличия известных ошибок, способных вызывать проблемы защиты на системном уровне (права доступа к файлам и их принадлежность, анализ пароля и др.) • Системы прикладного уровня - используют пассивные методы для проверки параметров настройки и конфигурации пакетов прикладных программ на предмет выявления известных ошибок Утечка информации по каналам ПЭМИН ПЭМИН – побочное электро–магнитное излучение и наводки, возникающее около кабельных систем, мониторов и т.п. Это дает возможность, имея соответствующее оборудование, «снимать» информацию, передаваемую по сети, отображаемую на мониторах пользователей и возникающую, в следствие наводок, на трубах отопления и т.п. Общая классификация угроз Случайные угрозы возникают независимо от воли и желания людей, занимающихся эксплуатацией и сопровождением информационнотелекоммуникационной инфраструктуры. Данный тип угроз связан, прежде всего, с прямым физическим воздействием на элементы информационнотелекоммуникационной системы(чаще всего, природного характера) и ведёт к нарушению работы информационно-телекоммуникационной системы и/или 9 физическому уничтожению носителей информации, средств обработки и передачи данных, физических линий связи и обслуживающего персонала. Причиной возникновения технических угроз случайного характера могут быть как сбои вследствие ошибок персонала (порождённые людьми), так и случайные нарушения в работе оборудования информационнотелекоммуникационной системы(например, вследствие поломки какого-либо узла или устройства, сбоя в работе программного обеспечения или элементарное «короткое замыкание»). Последствиями подобных событий могут быть отказы и сбои аппаратуры, искажение или уничтожение информации, нарушение линий связи, ошибки и физический вред персоналу. Примером реализации случайной угрозы, созданной людьми, может быть физическое нарушение проводных линий связи из-за проведения строительных работ. Другими словами, угрозы данного типа возникают вследствие каких-либо действий людей, целью которых не является нанесение физического вреда и нарушение функционирования работы информационно-телекоммуникационной инфраструктуры и/или отдельных её сегментов и ресурсов, однако побочный эффект данных действий приводит именно к таким последствиям. Преднамеренные угрозы в отличие от случайных могут быть созданы только людьми и направлены именно на дезорганизацию работы информационнотелекоммуникационной инфраструктуры. Примером реализации такой угрозы может быть как физическое уничтожение аппаратуры и сетевых коммуникаций информационно-телекоммуникационной системы, так и нарушение её целостности и доступности, а также конфиденциальности обрабатываемой и хранимой ею информации с применением средств и ресурсов самой информационнотелекоммуникационной системы, а также с использованием дополнительного оборудования. Формальные модели безопасности Формальные модели безопасности позволяют решить целый ряд задач, возникающих в ходе проектирования, разработки и сертификации защищенных систем. Производители защищенных информационных систем используют их в следующих случаях: при составлении формальной спецификации политики безопасности разрабатываемой системы; при выборе и обосновании базовых принципов архитектуры защищенной системы, определяющих механизмы реализации средств защиты; в процессе анализа безопасности системы в качестве эталонной модели; при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности. Базовые представления формальных моделей безопасности: • Система является совокупностью взаимодействующих сущностей – субъектов и объектов • Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами 10 • Все операции контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности • Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами • Совокупность множеств субъектов, объектов и отношений между ними определяет состояние системы. Каждое состояние системы является безопасным, либо небезопасным в соответствии критерием безопасности модели • Основной элемент – доказательство теоремы, что система из безопасного состояния не может перейти в небезопасное при соблюдении всех установленных правил и ограничений Примеры формальных моделей безопасности: Дискреционная модель Харрисона – Руззо – Ульмана Типизированная матрица доступа (развитие первой модели) Мандатная модель Белла-ЛаПадулы Ролевая политика безопасности Политика доступа и типов для ОС UNIX Современные технологии и системы защиты Виды технологий и систем защиты Как было показано выше, сложность реализации формальных моделей безопасности влечет за собой необходимость создания множества технологий и средств защиты, каждое из которых решает свою определенную задачу. В результате построение реальной защищенной системы основывается на применение совокупности таких систем, К сожалению, такой подход может позволить только приблизить информационно – техническую систему к разряду защищенных. Рассмотрим существующие на сегодняшний день технологии и методы защиты: • Разграничение доступа • Разделение сетевого трафика в канале передачи• Архивирование данных• Криптографические методы защиты • Антивирусная защита • Фильтрация и контроль содержания сетевого трафика • Анализ защищенности • Обнаружение атак • Мониторинг и аудит • Обманные системы • Системы контроля целостности • Анализаторы протоколов • Системы предотвращения атак на хосты (Host Intrusion Prevention) • Платформы управления безопасностью 11 Разграничение доступа Данная технология непосредственно основывается на формальных моделях безопасности. Особенности технологии: • наиболее легко реализуемо с точки зрения соответствия формальным моделям безопасности • интегрируется в операционные системы, системы управления базами данных (СУБД), прикладные офисные и другие приложения • основано на идентификации объекта (пользователя): парольная идентификация, биометрическая, аппаратная (смарт-карты, LPT-,USB-ключи (eToken)) Разделение сетевого трафика в канале передачи -технология построения виртуальных локальных сетей (VLAN) VLAN: - строятся на базе коммутаторов и (при необходимости) специализированных сетевых плат - описываются стандартами IEEE 802.1q и 802.1p- реализуются на канальном уровне Методы построения VLAN:• По портам. Каждому порту коммутатора соответствует номер VLAN. • По MAC-адресам. Принадлежность конкретному VLAN определяется конкретными MAC-адресами сетевых плат, являющихся источниками сетевых пакетов. База данных соответствия MAC-адресов и номеров VLAN хранится на коммутаторе. Стандарты IEEE 802.1q/p Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. Кадр Ethernet Криптографические методы защиты Используются для: • Шифрования хранимых и передаваемых данных; • Подтверждения подлинности данных (цифровая подпись); • Создания защищенных каналов передачи данных. Virtual Private Network (VPN) защищенная сеть, построенная на базе публичной зашифрованный или инкапсулированный процесс коммуникации, который безопасным образом передает данные из одной точки в другую; безопасность этих данных обеспечена устойчивой технологией шифрования; передаваемые данные проходят через открытую, незащищенную, маршрутизируемую сеть обеспечивает обособленность потоков данных компании от потоков данных всех других пользователей публичной сети Антивирусная защита Особенности технологии: • не основана на формальной модели безопасности 12 • подчиняется принципу поиска сигнатур (последовательность событий системы или код, однозначно идентифицирующие вирус) • реализуется в виде приложений прикладного уровня • предусматривается установка на пользовательские машины, почтовые серверы • примеры антивирусов: «AVP» (Лаборатория Касперского), «Dr. WEB» (Диалог Наука), Norton Antivirus (Symantec), набор продуктов от Trend Micro Inc. Фильтрация сетевого трафика Особенности технологии: • реализует монитор взаимодействий в формальной модели безопасности • основана на анализе сетевого трафика (сетевых пакетов) => идентификаторы субъектов и объектов являются частью трафика • два вида технологий фильтрации: пакетный фильтр и прокси – сервер (например, HTTP, FTP- прокси) • реализуется в аппаратном или программном исполнении • примеры межсетевых экранов (firewall): Firewall-1 (CheckPoint), PIX (Cisco), ipchains (GNU Linux), fwtk (TIS) Анализ защищенности Особенности технологии: • основан на анализе информационных ресурсов на наличие уязвимостей • реализуется в виде программных сканеров уязвимостей • различают сканеры сетевого, системного и прикладного уровней • позволяет обнаруживать только известные уязвимости • используется хакерами для поиска целей для взлома • примеры сканеров: NMAP, System Scanner, SATAN, Internet Scanner, Database Scanner, CyberCop Scanner, NetSonar Некоторые из проблем, идентифицируемых системами анализа защищенности: • "люки" в программах (back door) и программы типа "троянский конь"; • слабые пароли; • восприимчивость к проникновению из незащищенных систем; • неправильная настройка межсетевых экранов, Web-серверов и баз данных; • т.д. 13 Классификация систем анализа защищенности по источнику информации об уязвимостях Обнаружение атак Определим основные термины: • Атака – последовательность переходов состояний информационной системы, переводящая ее из безопасного состояния в опасное и связанное с наличием уязвимости в этой системе • Точность метода обнаружения атак – процент реальных атак от общего числа сообщений об атаках • Полнота метода обнаружения атак – процент обнаруженных атак среди общего числа проведенных • Аномалия – поведение наблюдаемого объекта, не соответствующее описанию нормального поведения для данного объекта. • Злоупотребление – поведение объекта, соответствующее описанию опасного поведения из базы известных атак. Построение системы защиты информационных ресурсов корпоративной сети в соответствии со стандартом ISO 17799 Решать вопросы построения защищенной информационной инфраструктуры современной компании можно: Фрагментарно. Это предполагает внедрение и использование специализированных средств защиты, направленных на выявление строго определенных классов угроз. Комплексно, что предполагает создание защищенной среды обработки информации, включающей организационные, правовые и программно-аппаратные меры защиты. Создание эффективной защиты компании предполагает реализацию комплексного подхода и требует проведения большой аналитической и технической работы. Основные рекомендации и шаги по ее осуществлению собраны в международном стандарте ISO 17799. 14