поиск уязвимостей в информационных системах

ВВЕДЕНИЕ
1. УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫМ КОМПЬЮТЕРНЫМ СИСТЕМАМ
1.1. ПУТИ И МЕТОДЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИОННЫМ РЕСУРСАМ КОМПЬЮТЕРНЫХ СИСТЕМ
1.2. КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ НА ФИЗИЧЕСКОМ УРОВНЕ
1.3. ВИРУСЫ И ВРЕДОНОСНЫЕ ПРОГРАММЫ
2. ОСНОВНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ
ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ
2.1. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
2.2. УПРАВЛЕНИЕ ДОСТУПОМ
2.3. ПРОТОКОЛИРОВАНИЕ И АУДИТ
2.4. КРИПТОГРАФИЯ
2.5. ЭКРАНИРОВАНИЕ
3.1. ИМИТАЦИОННОЕ МОДЕЛИРОВАНИЕ АТАК НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ.
3.2. ОБНАРУЖЕНИЕ АТАК И УГРОЗ ИНФОРМАЦИОННЫМ СИСТЕМАМ
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ

Если пользователь в течение 1 мин четыре раза подряд введет неправильный пароль, то метод зафиксирует факт осуществления атаки.
Рис. 3.3. Сеть Петри, описывающая сигнатуру атаки, осуществляющей подбор пароля.
Методы, базирующиеся на экспертных системах, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертная система, лежащая в основе методов этого типа, состоит из двух баз данных: фактов и правил. Факты представляют собой исходные данные о работе ИС, а правила - алгоритмы логических решений о факте атаки на основе поступившего набора фактов. Все правила экспертной системы записываются в формате "если <...>, то <...>". Результирующая база правил должна описывать характерные признаки атак, которые обязана обнаруживать СОА.
Поведенческие методы базируются не на моделях информационных атак, а на моделях штатного функционирования (поведения) ИС. Принцип работы любого из таких методов состоит в обнаружении несоответствия между текущим режимом работы ИС и режимом работы, отвечающим штатной модели данного метода. Любое несоответствие рассматривается как информационная атака. Преимущество методов данного типа - возможность обнаружения новых атак без модификации или обновления параметров модели. К сожалению, создать точную модель штатного режима функционирования ИС очень сложно.
Среди поведенческих методов наиболее распространены те, что базируются на статистических моделях. Такие модели определяют статистические показатели, характеризующие параметры штатного поведения системы. Если с течением времени наблюдается определенное отклонение данных параметров от заданных значений, то фиксируется факт обнаружения атаки. Как правило, в качестве таких параметров могут выступать уровень загрузки процессора, нагрузка на каналы связи, штатное время работы пользователей системы, количество обращений к сетевым ресурсам и т. д.
Примерами подобных статистических моделей могут служить пороговая модель, модель среднего значения и среднеквадратичного отклонения или ее "расширение" - многовариационная модель.
В пороговой модели, как явствует из названия, для каждого статистического параметра определены пороговые величины. Если наблюдаемый параметр превышает заданный порог, то событие, вызвавшее это превышение, считается признаком потенциальной атаки. Например, превышение заданного количества запросов на доступ к ресурсам ИС может свидетельствовать о факте атаки типа "отказ в обслуживании".
Модель среднего значения и среднеквадратичного отклонения для каждого статистического параметра на основе математического ожидания и дисперсии определяет доверительный интервал, в пределах которого должен находиться данный параметр. Если текущее значение параметра выходит за эти границы, то фиксируется осуществление атаки.
Многовариационная модель аналогична модели среднего значения и среднеквадратичного отклонения, но позволяет одновременно учитывать корреляцию между большим количеством статистических показателей.
Обнаружение атак системами обнаружения атак должно выполняться на различных уровнях ИС (рис. 3.4). Так, на самом нижнем уровне СОА способны выявлять атаки на конкретных узлах ИС - рабочих станциях, серверах и маршрутизаторах. Следующий уровень обнаружения - сетевые сегменты ИС, состоящие из нескольких хостов. Обнаружение атак также возможно и в более крупных объединениях элементов ИС - в локальных, территориально распределенных и глобальных системах. При этом в зависимости от инфраструктуры защищаемой ИС на разных уровнях могут использоваться разные методы выявления атак.
Рис. 3.4. Многоуровневая схема обнаружения атак в ИС.
Рассмотрим, как можно использовать сигнатурный и поведенческий методы для обнаружения различных стадий информационных атак.
На стадии рекогносцировки, когда осуществляется сбор информации, эффективны лишь сигнатурные методы выявления атак. Дело в том, что все операции получения необходимой нарушителю информации в большинстве случаев не вызывают никакого отклонения работы ИС от штатного режима. Для этого этапа характерны такие признаки, как формирование запроса к DNS-серверу, получение информации из базы данных SNMP MIB или многократные TCP-запросы на установление соединения с различными портами.
На стадии рекогносцировки могут использоваться как сетевые, так и хостовые датчики (см. таблицу 3.1.).
Таблица 3.1. Применимость сигнатурного и поведенческого методов для обнаружения различных стадий атак
Стадия атаки Сигнатурный метод Поведенческий метод Рекогносцировка +, СХ - Вторжение в ИС +, СХ +, СХ Атакующее воздействие - +, Х Развитие атаки - +, Х Примечание: + - метод применим; - - метод неприменим; СХ - используются сетевые и хостовые датчики; Х - только хостовые датчики На стадии вторжения обнаружить атаку можно при помощи как сигнатурных, так и поведенческих методов. Любое вторжение характеризуется определенными признаками, которые, с одной стороны, можно представить в виде сигнатуры, а с другой - описать как некое отклонение от штатного поведения ИС. Наиболее эффективно сочетание обоих методов, при этом для получения необходимых исходных данных применимы любые (хостовые или сетевые) датчики.
Эффективное выявление атак на этапах атакующего воздействия и развития атаки возможно только при помощи поведенческих методов, поскольку действия нарушителей зависят от целей проводимой атаки и фиксированным множеством сигнатур атак однозначно не определяются. Учитывая тот факт, что на двух последних стадиях жизненного цикла информационной атаки самые характерные объекты - это хосты, в данном случае наиболее целесообразно применение хостовых датчиков.
Заключение
В ближайшее время прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий даст толчок к развитию средств обеспечения безопасности, что потребует во многом пересмотреть существующую научную парадигму информационной безопасности. Основными положениями нового взгляда на безопасность должны являться:
- исследование и анализ причин нарушения безопасности компьютерных систем;
- разработка эффективных моделей безопасности, адекватных современной степени развития программных и аппаратных средств, а также возможностям злоумышленников и РПС;
- создание методов и средств корректного внедрения моделей безопасности в существующие ВС, с возможностью гибкого управления, безопасностью в зависимости от выдвигаемых требований, допустимого риска и расхода ресурсов;
- необходимость разработки средств анализа безопасности компьютерных систем с помощью осуществления тестовых воздействий (атак).
Широкая информатизация обществ, внедрение компьютерной технологии в сферу управления объектами, стремительный рост темпов научно-технического прогресса создают реальные предпосылки для утечки конфиденциальной информации. В курсовой работе рассмотрены следующие аспекты информационной безопасности:
Рассмотрены основные пути защиты от несанкционированного доступа к информации, циркулирующей в системах обработки данных.
Произведена классификация способов и средств защиты информации.
Детально осуществлен анализ методов ЗИ в системах обработки данных.
Рассмотрены основные направления защиты информации в компьютерных системах.
Список литературы
Федеральный закон «Об информации, информатизации и защите информации».
Доктрина информационной безопасности РФ. Утверждена Президентом РФ 9.09.2000.
Гостехкомиссия России. «Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения», - Москва, 2002.
Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам .- М.: Компания "Гротек", 2007
Безруков Н.Н. Компьютерные вирусы. - М.: Инфра-М, 2007.
Галатенко В.В., Информационная безопасность, «Открытые системы», № 4, 2005.
Галатенко В.В. , Информационная безопасность, «Открытые системы», № 6, 2005.
Галатенко В.В., Информационная безопасность, «Открытые системы», № 1, 2006.
Галатенко В.В., Информационная безопасность, «Открытые системы», № 1, 2006.
Галатенко В.В., Информационная безопасность, «Открытые системы», № 2, 2006.
Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн. - М.: Энергоатомиздат, 2004. - 176 с.
Гринберг А.С., Горбачев Н.Н., Тепляков А.А. Защита информационных ресурсов: Учебное пособие для вузов. - М.: ЮНИТА-ДАНА, 2003. 327 с.
Гундарь К.Ю. Защита информации в компьютерных системах - К.: «Корнейчук», 2005. К. Ю. Гундарь, А. Ю. Гундарь, Д. А. Янышевский.
Девянин П.Н. Теоретические основы компьютерной безопасности: Учебное пособие для вузов - М.: Радио и связь, 2005. П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков
Домарев В.В. Защита информации и безопасность компьютерных систем. - К.: Издательство "Диасофт", 1999. - 480 с.
Левин А.Н., Защита информации в информационно-вычислительных системах и сетях. - «Программирование», 2004
Мещеряков В.А. Методическое обеспечение обоснования требований к системам защиты информации от программно- математического воздействия в автоматизированных информационных системах критического применения // Безопасность информационных технологий Выпуск 2, 2006, МИФИ. В. А. Мещеряков, С. А. Вялых, В. Г. Герасименко.
Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство "Ось-982, 2003 г. - 336 с.
Уолкер Л, Блейк Я., Безопасность ЭВМ и организация их защиты, - Москва, 2001.
Хофман Л., Современные методы защиты информации, - Москва, 2005.
Домарев В.В. Защита информации и безопасность компьютерных систем. - К.: Издательство "Диасофт", 1999. - 480 с., стр. 77-79
Левин А.Н., Защита информации в информационно-вычислительных системах и сетях. - «Программирование», 2004, стр. 27
Хофман Л., Современные методы защиты информации, - Москва, Информикс, 2005, стр. 105
См. там же, стр. 118
Левин А.Н., Защита информации в информационно-вычислительных системах и сетях. - «Программирование», 2004, стр. 88
Галатенко В.В., Информационная безопасность, «Открытые системы», № 2, 2006.
Безруков Н.Н. Компьютерные вирусы. - М.: Инфра-М, 2007, стр. 33
См. там же, стр. 212
Уолкер Л, Блейк Я., Безопасность ЭВМ и организация их защиты, - Москва, 2001, стр. 99
Хофман Л., Современные методы защиты информации, - Москва, 2005, стр. 218
Хофман Л., Современные методы защиты информации, - Москва, 2005, стр. 233
См. там же, стр. 235
Гостехкомиссия России. «Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения», - Москва, 2002
Торокин А.А. Основы инженерно-технической защиты информации. - М.: Издательство "Ось-982, 2003 г. - 336 с.
Галатенко В.В., Информационная безопасность, «Открытые системы», № 2, 2006
Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам .- М.: Компания "Гротек", 2007
Галатенко В.В., Информационная безопасность, «Открытые системы», № 1, 2006.
Галатенко В.В. , Информационная безопасность, «Открытые системы», № 6, 2005.
Уолкер Л, Блейк Я., Безопасность ЭВМ и организация их защиты, - Москва, 2001, стр. 117-119
CSI/FBI 2005 Computer Crime and Security Survey, Computer Security Institute, 2005.
Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн. - М.: Энергоатомиздат, 2004. - 176 с., стр. 91-92
1
Рис. 1.3.. Цели и угрозы безопасности информации
Анализ сетевого трафика
Подмена доверенного объекта или субъекта в РВС
Ложный объект РВС
Модификация информации
Подмена информации
Отказ в обслуживании
Типовые удаленные атаки и механизмы реализации
Сбор исходных данных о работе ИС
Анализ собранных данных
Обнаружение атаки
Реагированеи на выявленную атаку
S5
S4
S3
S2
Неправильный ввод пароля
Неправильный ввод пароля
Неправильный ввод пароля
Неправильный ввод пароля
S1
t=T1
T2-T1<1 мин