I.Нарушители Информационной безопасности II.Методика Вторжения III.Защита паролей и обнаружение взломов IV.Примеры для объектов электроэнергетики
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства
Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, обладающих соответствующим потенциалом. Только совокупность знаний обо всех элементах облика нарушителя позволит адекватно среагировать на возможные угрозы и, в конце концов, выбрать соответствующие средства защиты.
Обнаружение вторжений остается областью активных исследований уже в течение двух десятилетий. Считается, что начало этому направлению, было положено в 1980 г. статьей Джеймса Андерсона "Мониторинг угроз компьютерной безопасности". Несколько позже, в 1987 г. это направление было развито публикацией статьи "О модели обнаружения вторжения" Дороти Деннинг. Она обеспечила методологический подход, вдохновивший многих исследователей и заложивший основу для создания коммерческих продуктов в области обнаружения вторжений.
Системы обнаружения вторжений (IDS - Intrusion Detection Systems) - один из важнейших элементов систем информационной безопасности сетей любого современного предприятия. Рост в последние годы числа проблем, связанных с компьютерной безопасностью, привёл к тому, что системы обнаружения вторжения очень быстро стали ключевым компонентом любой стратегии сетевой защиты. За последние несколько лет их популярность значительно возросла, поскольку продавцы средств защиты значительно улучшили качество и совместимость своих программ. Политика безопасности интрасети организации; 1.Система защиты хостов в сети; 2.Сетевой аудит; 3.Защита на основе маршрутизаторов; 4.Межсетевые экраны; 5.Системы обнаружения вторжений; 6.План реагирования на выявленные атаки.
Метод обнаружения описывает характеристики анализатора. Когда IDS использует информацию о нормальном поведении контролируемой системы, она называется поведенческой. Когда IDS работает с информацией об атаках, она называется интеллектуальной.
Классифицировать IDS можно также по нескольким параметрам. По способам реагирования различают статические и динамические IDS. Статические средства делают «снимки» (snapshot) среды и осуществляют их анализ, разыскивая уязвимое ПО, ошибки в конфигурациях и т.д. Статические IDS проверяют версии работающих в системе приложений на наличие известных уязвимостей и слабых паролей, проверяют содержимое специальных файлов в директориях пользователей или проверяют конфигурацию открытых сетевых сервисов. Статические IDS обнаруживают следы вторжения. Динамические IDS осуществляют мониторинг в реальном времени всех действий, происходящих в системе, просматривая файлы аудита или сетевые пакеты, передаваемые за определённый промежуток времени. Динамические IDS реализуют анализ в реальном времени и позволяют постоянно следить за безопасностью системы.
У систем обнаружения вторжений целесообразно различать локальную и глобальную архитектуру. В рамках локальной архитектуры реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем. Основные элементы локальной архитектуры и связи между ними показаны на рисунке 3. Первичный сбор данных осуществляют агенты, называемые также сенсорами. Регистрационная информация может извлекаться из системных или прикладных журналов (технически несложно получать ее и напрямую от ядра ОС), либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.
На уровне агентов (сенсоров) может выполняться фильтрация данных с целью уменьшения их объема. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы.
Подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений
Обмен данными о подозрительной активности. Многие атаки на информационные системы носят распределенный характер. При этом разные средства активного аудита видят один и тот же инцидент с разных точек зрения. Разделение информации о подозрительной активности является главным направлением работ созданной в рамках Тематической группы по технологии Интернет (Internet Engineering Task Force, IETF) Рабочей группы по обнаружению вторжений (Intrusion Detection Working Group, IDWG).
Существует три этапа осуществления атаки. Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т.е. ко второму этапу. На третьем этапе завершается атака, "заметаются" следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, SATAN считается атакой.
Первый, и самый распространенный, способ - это обнаружение уже реализуемых атак Этот способ применяется в "классических" системах обнаружения атак (например, RealSecure компании Internet Security Systems), межсетевых экранах и т.п. Однако, "недостаток" средств данного класса в том, что атаки могут быть реализованы повторно. Второй путь - предотвратить атаки еще до их реализации. Осуществляется это путем поиска уязвимостей, которые могут быть использованы для реализации атаки. И, наконец, третий путь - обнаружение уже совершенных атак и предотвращение их повторного осуществления. Таким образом, системы обнаружения атак могут быть классифицированы по этапам осуществления атаки
Системы, функционирующие на втором этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. Помимо этого можно выделить такой класс средств обнаружения атак как обманные системы.
Системы, функционирующие на третьем этапе осуществления атаки и позволяющие обнаружить уже совершенные атаки. Эти системы делятся на два класса - системы контроля целостности, обнаруживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации.
Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы народного хозяйства. Компьютеры управляют космическими кораблями и самолетами, контролируют работу атомных электростанций, распределяют электроэнергию и обслуживают банковские системы. Компьютеры являются основой множества автоматизированных систем обработки информации (АСОИ), осуществляющих хранение и обработку информации, предоставление ее потребителям, реализуя тем самым современные информационные технологии.
Немаловажным фактором для разработки технического решения является защита информации, поступающей с камер и датчиков. Этому разделу следует уделять отдельное пристальное внимание в рамках защиты не только информации самой интегрированной системы, но и защиты системы АСУ ТП с целью пресечь проникновение злоумышленников в программную часть системы управления для введения неверных параметров работы энергообъекта и его последующего выхода из строя. Такой подход позволяет учесть на объекте элементы борьбы как с физическим терроризмом, так и с кибертерроризмом.
%B8%D1%82%D0%B5%D0%BB%D0%B8%20%D0%B8%D0%BD%D1%84%D0%BE%D1%8 0%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9%20%D 0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D 1%82%D0%B8%20%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D0%BA%D0%B 0%20%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F%2 0%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D1%8B%20%D0%B4%D0%BB%D 1%8F%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BA%D0%BE%D0%B2%20%D1%8D%D 0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D1%8D%D0%BD%D0%B5%D1%80% D0%B3%D0%B5%D1%82%D0%B8%D0%BA%D0%B8&source=web&cd=1&sqi=2&ved=0C DUQFjAA&url=http%3A%2F%2Fcota.madi.ru%2Fzi%2Flect%2F001_terms.doc&ei=4b3QU IWUGrDU4QTZ6oDIDg&usg=AFQjCNEAmhLBiUT6oV- YZ6WIJLWp_M3_Mg&bvm=bv ,d.bGE&cad=rja 0%B8%D1%82%D0%B5%D0%BB%D0%B8%20%D0%B8%D0%BD%D1%84%D0%BE%D1%8 0%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9%20%D 0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D 1%82%D0%B8%20%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D0%BA%D0%B 0%20%D0%B2%D1%82%D0%BE%D1%80%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F%2 0%D0%BF%D1%80%D0%B8%D0%BC%D0%B5%D1%80%D1%8B%20%D0%B4%D0%BB%D 1%8F%20%D0%BE%D0%B1%D1%8A%D0%B5%D0%BA%D0%BE%D0%B2%20%D1%8D%D 0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D1%8D%D0%BD%D0%B5%D1%80% D0%B3%D0%B5%D1%82%D0%B8%D0%BA%D0%B8&source=web&cd=1&sqi=2&ved=0C DUQFjAA&url=http%3A%2F%2Fcota.madi.ru%2Fzi%2Flect%2F001_terms.doc&ei=4b3QU IWUGrDU4QTZ6oDIDg&usg=AFQjCNEAmhLBiUT6oV- YZ6WIJLWp_M3_Mg&bvm=bv ,d.bGE&cad=rja narushitelja.html narushitelja.html