русс | укр

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании


Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Методы обнаружения происшествия


Дата добавления: 2013-12-23; просмотров: 1084; Нарушение авторских прав


Введение в обнаружение происшествия

Улаживание происшествий с безопасностью

Происшествие с безопасностью – это событие, которое нанесло или может нанести вред работе компьютеров и сетей, последствием которого могут быть компьютерное мошенничество, использование компьютеров не по назначению, потеря или разрушение собственности организации или информации. Примерами происшествий являются проникновения в компьютерные системы, использование уязвимых мест в компьютерных системах, заражение компьютеров вирусами или другими вредоносными программами.

Улаживание происшествий с безопасностью должно охватывать как внутренние происшествия, так и те, которые вызываются внешними угрозами.

 

Обнаружение происшествия (intrusion detection) играет важную роль в реализации политики безопасности организации. Использование распределенных систем привело к появлению большого числа уязвимых мест, и поэтому недостаточно просто «закрыть двери и запереть их на все замки». Требуются гарантии того, что сеть безопасна – что «все двери закрыты, надежны, а замки крепки». Системы обнаружения происшествий обеспечивают такие гарантии.

Обнаружения происшествия выполняет две важные функции в защите информационных ценностей:

- оно является обратной связью, позволяющей уведомить сотрудников отдела информационной безопасности об эффективности компонент системы безопасности. Отсутствие обнаруженных вторжений при наличии надежной и эффективной системы обнаружения происшествий является свидетельством того, что оборона периметра надежна.

- оно является пусковым механизмом, приводящим в действие запланированные ответные меры безопасности.

Безопасность обычно реализуется с помощью комбинации технических и организационных методов.



 

Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Существует ряд методов для обнаружения вторжения злоумышленника.

- пассивное ожиданиезаявлений от пользователей о подозрительных событиях (какие-то файлы изменились или были удалены, диски на серверах заполнены до отказа по непонятным причинам). Достоинство – легко реализовать. Недостатки: не обеспечивает дополнительной защиты ИС или гарантий выполнения политики безопасности, атакующие обычно не делают ничего такого, что приводит к появлению подозрительных симптомов.

- периодический анализжурналов, поиск в них сообщений о необычных событиях (большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д.) Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем, но они по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Данный метод может быть обойден атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.

- средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки.

- сигналы тревоги и предупрежденияот систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как МЭ и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями пейджера, или сообщениями системам управления сетью, например SNMP-пакетами. Недостатки: обнаруживаются только те происшествия, в ходе которых злоумышленник пересекает периметр безопасности, вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены.

- средства, которые анализируют статистические аномалии и делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, сервера и т.д., и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это - признак возможной атаки. Этот подход также требует использования сложных эвристик, которые сильно затрудняют использование этого средства.

 



<== предыдущая лекция | следующая лекция ==>
Лицензирование программ | Ответные действия


Карта сайта Карта сайта укр


Уроки php mysql Программирование

Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных


 


Не нашли то, что искали? Google вам в помощь!

 
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.

Генерация страницы за: 0.003 сек.