Защита автоматизированных систем от внешних атак

Автор: Пользователь скрыл имя, 08 Января 2012 в 17:28, реферат

Описание работы

Цель и задачи работы. Целью диссертационной работы является повышение эффективности защиты АС от информационных атак. Для достижения поставленной цели в работе решались следующие задачи:
• систематизация и анализ существующих типов информационных атак, а также средств защиты АС;
• сравнительный анализ существующих математических моделей защиты АС от информационных атак, включая модели атак, модели процесса обнаружения атак и модели процесса оценки рисков информационной безопасности;

Содержание

ВВЕДЕНИЕ.
ГЛАВА I. АНАЛИЗ И КЛАССИФИКАЦИЯ ОСНОВНЫХ ПОНЯТИЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИАВТОМАТИЗИРОВАННЫХ СИСТЕМ.
1.1. Структурная модель автоматизированной системы.
1.2. Классификация информационных атак на автоматизированные системы.
1.3. Средства защиты автоматизированных систем от информационных атак.
1.3.1. Средства криптографической защиты информации.
1.3.2. Средства разграничения доступа пользователей к информационным ресурсам АС.
1.3.3. Средства анализа защищённости автоматизированных систем.
1.3.4. Средства обнаружения атак.
1.3.5. Средства антивирусной защиты.
1.4. Выводы.
ГЛАВА II. АНАЛИЗ СУЩЕСТВУЮЩИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК.
2.1. Анализ существующих моделей информационных атак.
2.1.1. Табличные и диаграммные модели информационных атак.
2.1.2. Формализованные модели информационных атак.
2.2. Анализ существующих моделей процесса обнаружения информационных атак.
2.2.1. Сигнатурные модели процесса обнаружения атак.
2.2.2. Поведенческие модели процесса выявления атак.
2.3. Модели процесса оценки рисков информационной безопасности АС.
2.3.1. Модель, заложенная в основу программного комплекса оценки рисков «Кондор».
2.3.2. Модель, заложенная в основу программного комплекса оценки рисков «Гриф».
2.3.3. Модель, заложенная в основу программного комплекса оценки рисков «Risk Matrix».
2.3.4. Модель, заложенная в основу методики оценки рисков «OCTAVE».
2.4. Выводы.
ГЛАВА III. РАЗРАБОТКА НОВЫХ МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК.
3.1. Математическая модель информационных атак на ресурсы автоматизированных систем.
3.1.1. Формальное описание модели информационных атак.
3.1.2. Особенности использования разработанной математической модели информационных атак.
3.2. Математическая модель процесса обнаружения информационных атак.
3.3. Математическая модель процесса оценки рисков информационной безопасности автоматизированных систем.
3.3.1. Описание модели процесса оценки рисков информационной безопасности.
3.3.2. Особенности использования модели оценки рисков безопасности.
3.3.3. Методика разработки рекомендаций по повышению уровня защиты автоматизированных систем на основе модели оценки рисков безопасности.
3.4. Выводы.
ГЛАВА IV. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ РАЗРАБОТАННОЙ МАТЕМАТИЧЕСКОЙ МОДЕЛИ ПРОЦЕССА ВЫЯВЛЕНИЯ ИНФОРМАЦИОННЫХ АТАК.
4.1. Структура конфигурационного файла разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели.
4.2. Программа и методика испытаний разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели.
4.2.1. Объект и цель испытаний.
4.2.2. Функциональные требования к прототипу системы обнаружения атак.
4.2.3. Технические и программные средства проведения испытаний.
4.2.4. Порядок проведения испытаний.
4.2.5. Результаты проведённых испытаний.
4.3. Описание системы обнаружения атак, предназначенной для промышленной реализации.
4.3.1. Хостовые датчики системы обнаружения атак.
4.3.2. Сетевые датчики системы обнаружения атак.
4.3.3. Агенты системы обнаружения атак.
4.3.4. Модуль реагирования системы обнаружения атак.
4.3.5. Информационный фонд системы обнаружения атак.
4.3.6. Консоль администратора системы обнаружения атак.
4.3.7. Модуль координации потоков информации системы обнаружения атак.
4.4. Выводы.
Введение:

Работа содержит 1 файл

защита автоматизированных систем.docx

— 167.34 Кб (Скачать)

Основную  проблему в настоящее время представляют программные угрозы защиты информации.

Атаки, реализующие  подобные угрозы, в общем случае включают в себя 4 стадии (см. рисунок 2):

Стадия рекогносцировки. На этой стадии нарушитель старается  получить как можно больше информации об объекте атаки, на основе которой  планируется дальнейшие этапы атаки. Примерами таких данных являются: тип и версия операционной системы, установленной на хостах ИС, список пользователей, зарегистрированных в  системе, сведения об используемом прикладном программном обеспечении и др.

Стадия вторжения  в ИС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех хостов, на которые совершается  атака.

Стадия атакующего воздействия на ИС. Данная стадия атаки  направлена на достижение нарушителем  тех целей, для которых и предпринималась  атака. Примерами таких действий могут являться нарушение работоспособности  ИС, кража конфиденциальной информации, хранимой в системе, удаление или  модификация данных системы и  др. При этом атакующий может также  осуществлять действия, которые могут  быть направлены на удаление следов его  присутствия в ИС.

Стадия дальнейшего  развития атаки. На этом этапе выполняются  действия, которые необходимы для  продолжения атаки на другие объекты  ИС.

Процесс обнаружения  атак включает в себя четыре стадии:

Сбор исходных данных о работе ИС.

Анализ собранных  данных.

Обнаружение атаки.

Реагирование  на атаку.

Сбор исходных данных осуществляется при помощи специализированных датчиков системы обнаружения атак (СОА), размещаемых в ИС. СОА может  включать в себя два типа датчиков – сетевые и системные. Сетевые  датчики предназначены для сбора  информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик. Системные же датчики устанавливаются  на определённые компьютеры в ИС и  предназначаются для сбора информации о событиях, возникающих на этих компьютерах.

В зависимости  от того является ли злоумышленник  внешним или внутренним выявление  первых двух стадий атаки осуществляется с помощью сетевых или системных  датчиков. Последние же стадии проявляются в основном на системном уровне и для их обнаружения применяются системные датчики. Следовательно, СОА должна включать оба типа датчиков. 
 
 

Корпоративные сети как объект защиты. Часть 2 –  Анализ угроз

Posted: 14th Июнь 2011 by root in Защита информации на предприятииУгрозы информационной безопасности 
Tags: 
злоумышленникклассификация угрозкорпоративная сеть

1

Под угрозой  безопасности информации понимается событие  или действие, которое может вызвать  изменение функционирования КС, связанное  с нарушением защищенности обрабатываемой информации , т.е. воздействия на свойства информации конфиденциальность, целостность и доступность. Источниками возникновения угроз могут быть форс-мажорные обстоятельства, сбои оборудования, ошибки персонала и, безусловно, преднамеренные действия злоумышленников. Анализ  литературных источников показывает, что угрозы безопасности в КС в общем виде можно разделить на две основных категории это непреднамеренные и умышленные угрозы.К непреднамеренным угрозам относятся:

ошибки в  проектировании КС;

ошибки в  разработке программных средств  КС;

случайные сбои в работе аппаратных средств  КС, линий связи, энергоснабжения;

ошибки пользователей  КС;

воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

К умышленным угрозам относятся:

несанкционированные действия обслуживающего персонала  КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);

несанкционированный доступ к ресурсам КС со стороны  пользователей КС и посторонних  лиц, ущерб от которого определяется полученными нарушителем полномочиями.

В зависимости  от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:

угроза нарушения  конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной  КС к другой;

угроза нарушения  целостности, т. е. преднамеренного  воздействия на информацию, хранящуюся в КС или передаваемую между КС (заметим, что целостность информации может быть также нарушена, если к несанкционированному изменению или уничтожению информации приводит случайная ошибка в работе программных или аппаратных средств КС; санкционированным является изменение или уничтожение информации, сделанное уполномоченным лицом с обоснованной целью);

угроза нарушения  доступности информации, т. е. отказа в обслуживании, вызванного преднамеренными  действиями одного из пользователей  КС (нарушителя), при котором блокируется  доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на большой период времени).

Так же анализируя угрозы информационной безопасности в  КС, следует учитывать, что КС, как  и большинство других сетей, подключена к Интернет. Внутренние пользователи должны получать выход в Интернет, а внешние пользователи должны получать доступ к внутрикорпоративной сети. Это создает ряд угроз общего характера, которые могут дать злоумышленнику возможность воспользоваться уязвимостью, через которую он может проникнуть к важным сетевым ресурсам.

Первая угроза — это угроза со стороны внутренних пользователей. Статистика приводит разные цифры, но все исследователи сходятся в том, что большинство атак начинается изнутри корпоративной сети. Потенциальными источниками таких атак являются обиженные сотрудники, промышленные шпионы, посетители и беспечные пользователи, допускающие ошибки. Разрабатывая систему  безопасности, необходимо уделять особое внимание внутренним угрозам.

Второй является угроза подключенным к Интернет хостам общего доступа. Эти системы являются потенциальными объектами атак на уровне приложений и атак типа DoS.

Еще одна угроза связана с тем, что злоумышленник  может попытаться определить телефонные номера, которые используются для  передачи данных, с помощью аппаратного  и/или программного устройства под  названием «war-dialer». Это устройство набирает множество телефонных номеров и определяет тип системы, находящейся на другом конце провода. Наиболее уязвимыми для них являются слабо защищенные персональные системы с   программными средствами удаленного доступа, установленными пользователем. Такие системы расположены внутри зоны, защищенной межсетевым экраном, и поэтому  злоумышленник пытается получить доступ к ним через хост, поскольку это позволяет обезличить пользователя.

Таким образом, результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации.

Так же, можно  сделать вывод о том, что поскольку  сложно заранее определить возможную  совокупность угроз безопасности информации и результатов их реализации, модель потенциальных угроз безопасности информации в КС должна создаваться  совместно собственником (владельцем) КС и специалистами по защите информации на этапе проектирования КС. Созданная  модель должна затем уточняться в  ходе эксплуатации КС 
 

Структуризация  методов обеспечения информационной безопасности

Posted: 22nd Декабрь 2010 by root in Информационная безопасность 
Tags: 
защита информацииклассификация угрозугрозы

0

При рассмотрении вопросов защиты автоматизированных систем (АС) целесообразно использовать четырехуровневую градацию к обрабатываемой в АС информации которая может систематизировать  возможные угрозы и меры по их нейтрализации.Эти уровни следующие:

уровень носителя информации

уровень средств взаимодействия с носителем

уровень содержания информации (семантика)

уровень представления  информации (язык)

Применительно к АС защита носителя информации в первую очередь подразумевает защиту машинных носителей. Защита средств взаимодействующих с носителями охватывает спектр методов защиты программно аппаратных средств входящих в АС (защита от НСД). Защита представляемой информации обеспечивается средствами криптографической защиты. Защита содержания информации  обеспечивает семантическую защиту данных.

К основным направлениям реализации злоумышленником  угроз относятся:

непосредственное  обращение к объектам доступа

создание  программных и технических средств  выполняющих обращение к объектам доступа в обход средств защиты.

модификация средств защиты позволяющая реализовать  угрозу ИБ.

внедрение в технические средства АС программных  или технических механизмов нарушающих программную структуру и ф-ии АС.

К числу основных методов  реализации угроз  относятся:

Определение злоумышленником типа и параметров носителя информации

получение злоумышленником информации о программно аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии ОС в составе прикладного  программного обеспечения.

Получение злоумышленником детальной информации о функциях выполняемых АС

получение злоумышленником данных о применяемых  системах защиты.

определения способа представления информации

определение злоумышленником содержания данных обрабатываемых в АС на качественном уровне.

хищение или  копирование машинных носителей  информации с конфиденциальными  данными.

использование специальных технических средств для перехвата ПЭМИН.

уничтожение средств вычислительной техники  и носителей информации.

НСД пользователя к ресурсам АС в обход или путем  преодоления средств защиты

несанкционированное превышение пользователем своих  полномочий.

несанкционированное копирование программного обеспечения.

перехват  данных передаваемых по каналам связи.

визуальное  наблюдение

раскрытие представления информации (дешифрование)

раскрытие содержания информации на семантическом  уровне ( понятие смысла)

внесение  пользователем несанкционированно изменений в программно обрабатывающие средства.

установка и использование нештатного программного обеспечения.

заражение программными вирусами

внесение  искажения в представление данных. Уничтожение данных на уровне представления, искажение информации при передаче по линии связи.

внедрение дезинформации.

выведение из строя машинных носителей информации без уничтожения информации.

проявление  ошибок проектирования и разработки программно аппаратных средств АС.

обход или  отключение средств защиты.

искажение соответствия синтаксических и семантических  конструкций языка.

запрет на использование информации. 
 
 

Анализ атак на локальную сеть

Posted: 18th Ноябрь 2010 by root in Угрозы информационной безопасности 
Tags: 
вирусыклассификация угрозконфиденциальностькорпоративная сеть,переполнение буфераспамтрояны

Информация о работе Защита автоматизированных систем от внешних атак