Контроль целостности программных и информационных ресурсов
Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.
Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:
o средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса;
o средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
o средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);
o средствами электронной цифровой подписи.
Контролируемые ресурсы:
o файлы и каталоги;
o элементы реестра;
o сектора дисков;
Контролируемые параметры:
o содержимое ресурса;
o списки управления доступом;
o атрибуты файлов;
Алгоритмы контроля:
o сравнение с эталоном;
o вычисление контрольных сумм (сигнатур);
o формирование ЭП и имитовставок;
Время контроля:
o до загрузки ОС;
o при наступлении событий;
o по расписанию.
Обнаружение атак
Обнаружение вторжений (атак) - это процесс мониторинга событий, происходящих в АС, с целью поиска признаков нарушений безопасности.
|
|
Выше было сказано, что нарушением безопасности (просто нарушением или атакой) называется реализация угрозы безопасности (наступление соответствующего события).
Например, просматривая журнал регистрации событий и обнаружив там большое количество неудачных попыток аутентификации за короткий промежуток времени (Рис. 1.7.13), можно сделать вывод, что произошла атака «подбор пароля». В данном случае, определённое число неудачных попыток аутентификации за определённый период времени — это и есть признак нарушения безопасности.
Теоретически, поиск признаков атак может выполняться вручную (в этом случае он сводится к рассмотренному выше анализу собранной средствами регистрации информации, что, в принципе, позволяет выявить факты совершения нарушений), но суть механизма обнаружения атак состоит именно в автоматизации данного процесса.
Таким образом, система (средство) обнаружения вторжений (атак) - это программное (или программно-аппаратное) обеспечение, автоматизирующее процесс обнаружения атак.
Попытки аутентификации
Для приведённого выше примера с журналом это означает, что система будет непрерывно осуществлять мониторинг журнала «Security» и при обнаружении там определённого количества записей, свидетельствующих о попытках аутентификации за единицу времени, будет произведено соответствующее оповещение (Рис. 1.7.14).
|
|
Консоль системы обнаружения атак
Считается, что впервые механизм обнаружения атак был «обозначен» в работе Джеймса Андерсена (James Anderson) «Computer Security Threat Monitoring and Surveillance».
В частности, Джеймс Андерсен предложил автоматизировать анализ результатов работы механизма регистрации событий с целью сокращения времени реагирования на нарушения.
Таким образом, появившись как дополнительная «надстройка» над механизмом регистрации событий, обнаружение атак стао вполне самостоятельным защитным механизмом.
В настоящее время системы обнаружения атак осуществляют поиск признаков нарушений в следующих источниках:
o сетевой трафик;
o журналы событий;
o действия субъектов системы.
Более подробно средства обнаружения атак будут рассмотрены ниже.
Защита периметра компьютерных сетей
С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны (Firewall), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.
|
|
Межсетевые экраны, установленные в точках соединения с сетью Интернет - обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Intemet-cepBepoB, открытых для общего пользования, от несанкционированного доступа.
В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:
o трансляция адресов для сокрытия структуры и адресации внутренней сети;
o фильтрация проходящего трафика;
o управление списками доступа на маршрутизаторах;
o дополнительная идентификация и аутентификация пользователейстандартных служб (на проходе);
o ревизия содержимого (вложений) информационных пакетов, выявление инейтрализация компьютерных вирусов;
o виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяютсякриптографические методы, рассмотренные выше);
o противодействие атакам на внутренние ресурсы.
Дата добавления: 2022-01-22; просмотров: 23; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!