Контроль целостности программных и информационных ресурсов

⇐ ПредыдущаяСтр 33 из 53Следующая ⇒

Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

o средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса;

o средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

o средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);

o средствами электронной цифровой подписи.

Контролируемые ресурсы:

o файлы и каталоги;

o элементы реестра;

o сектора дисков;

Контролируемые параметры:

o содержимое ресурса;

o списки управления доступом;

o атрибуты файлов;

Алгоритмы контроля:

o сравнение с эталоном;

o вычисление контрольных сумм (сигнатур);

o формирование ЭП и имитовставок;

Время контроля:

o до загрузки ОС;

o при наступлении событий;

o по расписанию.

Обнаружение атак

Обнаружение вторжений (атак) - это процесс мониторинга событий, происходящих в АС, с целью поиска признаков нарушений безопасности.

Выше было сказано, что нарушением безопасности (просто нарушением или атакой) называется реализация угрозы безопасности (наступление соответствующего события).

Например, просматривая журнал регистрации событий и обнаружив там большое количество неудачных попыток аутентификации за короткий промежуток времени (Рис. 1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном случае, определённое число неудачных попыток аутентификации за определённый период времени — это и есть признак нарушения безопасности.

Теоретически, поиск признаков атак может выполняться вручную (в этом случае он сводится к рассмотренному выше анализу собранной средствами регистрации информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть механизма обнаружения атак состоит именно в автоматизации данного процесса.

Таким образом, система (средство) обнаружения вторжений (атак) - это программное (или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения атак.

Попытки аутентификации

Для приведённого выше примера с журналом это означает, что система будет непрерывно осуществлять мониторинг журнала «Security» и при обнаружении там определённого количества записей, свидетельствующих о попытках аутентификации за единицу времени, будет произведено соответствующее оповещение (Рис. 1.7.14).

Консоль системы обнаружения атак

Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance».

В частности, Джеймс Андерсен предложил автоматизировать анализ результатов работы механизма регистрации событий с целью сокращения времени реагирования на нарушения.

Таким образом, появившись как дополнительная «надстройка» над механизмом регистрации событий, обнаружение атак стао вполне самостоятельным защитным механизмом.

В настоящее время системы обнаружения атак осуществляют поиск признаков нарушений в следующих источниках:

o сетевой трафик;

o журналы событий;

o действия субъектов системы.

Более подробно средства обнаружения атак будут рассмотрены ниже.

Защита периметра компьютерных сетей

С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны (Firewall), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.

Межсетевые экраны, установленные в точках соединения с сетью Интернет - обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Intemet-cepBepoB, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

o трансляция адресов для сокрытия структуры и адресации внутренней сети;

o фильтрация проходящего трафика;

o управление списками доступа на маршрутизаторах;

o дополнительная идентификация и аутентификация пользователейстандартных служб (на проходе);

o ревизия содержимого (вложений) информационных пакетов, выявление инейтрализация компьютерных вирусов;

o виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяютсякриптографические методы, рассмотренные выше);

o противодействие атакам на внутренние ресурсы.

Дата добавления: 2022-01-22; просмотров: 23; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 28 29 30 31 323334 35 36 37 Следующая ⇒

Мы поможем в написании ваших работ!