Шпаргалка по "Информатике

Во втором случае, анализ и оценка уязвимостей  осуществляются параллельно с проектированием СЭД для конкретной политики безопасности.

К настоящему времени разработаны достаточно эффективные формализованные методы, имитационные модели и соответствующие  аппаратно-программные средства для  проектирования систем, основанные на методах теории массового обслуживания, оптимизации, принятия решений. К сожалению, для системы защиты, удовлетворяющей требованиям политики безопасности, отсутствует единый системный подход, основанный на теоретических исследованиях и формализованных методах проектирования с учетом показателей эффективности и проектных данных системы. Проектировщики, завершив разработку системы, передают проект специалистам по защите для обнаружения уязвимостей в отдельных компонентах системы и выработке соответствующих рекомендаций по их устранению. В таких условиях определение уязвимостей осуществляется следующими способами: приглашение «Команды тигров»; анализ информационных бюллетеней, составленных ими; использование рекомендаций производителей информационных технологий;  проведение с ними консультаций; самостоятельное проведение тестовых испытаний.

После проведения процедуры  анализа защищенности по проектной  документации аппаратно-программных средств при помощи одного из указанных способов, вырабатываются рекомендации по устранению уязвимостей. Этот процесс продолжается до тех пор, пока уровень защищенности системы электронного документооборота, обеспечение которого возложено на систему защиты, не будет отвечать требованиям политики безопасности.

 

11. Методы и средства обнаружения и анализа угроз безопасности.

 

Под обнаружением угроз безопасности понимается процесс оценки подозрительных действий в системе, осуществляемый посредством анализа журналов регистрации операционной системы, приложений, сетевого трафика.

Параметрами, определяющими вероятность таких подозрительных действий, являются: количество и типы структурных компонентов системы, в которых оценивается угроза; количество и типы случайных дестабилизирующих факторов, потенциально оказывающих негативное воздействие на информацию; количество и типы злоумышленных дестабилизирующих факторов; число и категории лиц, являющиеся потенциальными нарушителями правил эксплуатации системы; виды защищаемой информации.

При решении задачи обнаружения  угроз необходимо разрабатывать  и применять методы, позволяющие обнаруживать признаки угроз и вырабатывать решения по защите.

Методы обнаружения угроз делятся на две группы в зависимости от того, являются ли признаки угроз явными или скрытыми. Методы обнаружения угроз с явными признаками более разработаны, так как подобные признаки описываются заранее известными шаблонами, алгоритмами, последовательностями символов, они лишены неопределенностей, но и поэтому неэффективны при работе с неизвестными типами угроз. Вторая группа методов характеризуется тем, что обнаруживаемые ими угрозы имеют неявные признаки или таковые совсем отсутствуют. Формирование в процессе функционирования системы неявных признаков угроз происходит в условиях неопределенности и является трудно формализованной технической задачей. Для  ее решения существуют различные математические методы. Так, при помощи методов математической статистики составляют статистическую модель нормального поведения пользователей, отклонение от которого принимается как признак нарушения защиты. Профили нормального поведения разрабатываются для наблюдения за показателями работы и вероятностно-временными характеристиками (внезапное увеличение трафика, блокировка узла и т.д.) контролируемых точек, процессов, сервисов, трафика. Сравнивая заранее определенные статистические параметры с данными наблюдений, обнаруживают потенциальное нарушение. Но этот подход имеет недостаток  - порождается слишком большое число ложных тревог.

В связи с  этим, большинство современных подходов обнаружения угроз используют некоторую форму анализа контролируемого пространства на основе правил. В качестве такого пространства выступают журналы регистрации, сетевой трафик. Анализ опирается на набор заранее определенных правил, созданных специалистами по защите соответствующей системы или самой системой обнаружения угроз. На основе таких экспертных систем с учетом правил вырабатывают соответствующие сообщения об обнаружении угроз с неявными признаками. Недостаток обнаружения угроз при помощи экспертных систем - отсутствие комплексного анализа исходных данных на основе обобщенных правил идентификации взаимосвязанных аномальных процессов протекающих в защищаемой системе. Кроме того, из-за того, что угрозы постоянно изменяются и нарушители используют индивидуальные подходы, даже специальные обновления базы данных правил экспертной системы не дают гарантии точной идентификации всего диапазона угроз с неявными признаками.

Один из путей  устранения вышеназванных проблем - использование нейронных сетей. Наиболее важное преимущество нейросетей при обнаружении угроз с неявными признаками заключается в способности изучать характеристики умышленных угроз и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде. Обучающий алгоритм позволяет системе следить за поведением пользователя и самостоятельно адаптироваться к постоянному изменению его поведения. Недостаток данного метода заключается в том, что для выявления угроз в контролируемой зоне требуется определенное время для обучения нейросети, в течение которого могут быть не распознаны некоторые виды угроз.

К наиболее распространенным  и эффективным методам обнаружения определенного класса угроз относятся методы обнаружения сетевых вирусов: сканирование признаков угроз, при помощи которого идентифицируются вирусы по неизменным кодам (недостаток метода - не справляется с полиморфными вирусами, вирусами-невидимками); проверка целостности, основанной на сравнении контрольной суммы файла и контрольной суммы этого же файла, хранящегося в базе данных (недостаток - не эффективен при поиске вирусов-невидимок); эвристические методы, осуществляющие анализ поведения программы на предмет неординарных действий, например, форматирование жесткого диска; полиморфный анализ, направленный на поиск полиморфных вирусов, при помощи которого осуществляется запуск подозрительной программы в специально защищенной области и анализируется ее поведение; анализатор макровирусов, осуществляющий поиск макроопределений в файлах офисных приложений и проверяющий их на наличие вирусов. 

Сегодня на рынке  информационных технологий представлено большое количество средств - аудиторских пакетов, автоматизирующих поиск уязвимостей и угроз операционных систем, сетевых протоколов, сервисов.

При использовании данных методов, средств  необходимо руководствоваться правилами. Первое правило заключается в том, что методами, средствами должны пользоваться квалифицированные специалисты в области защиты информации, в конкретной ситуации выбирающие  наиболее эффективный метод и средство и критически оценивающие степень адекватности получаемых решений. Второе - методы, средства необходимо использовать для анализа значений показателей уязвимостей и угроз в динамических условиях и возможных диапазонах их изменений. Третье - к такой работе надо чаще привлекать квалифицированных экспертов, потому что для эффективного использования методов и средств надо непрерывно следить за состоянием исходных данных, обладающих высокой степенью неопределенности и  приводящих к необходимости их уточнения, оценивания.

 

12. Неформальная модель нарушителя как носителя угроз безопасности.

 

Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Злоумышленник - нарушитель, намеренно идущий на нарушение из корыстных побуждений.

Неформальная модель нарушителя отражает его практические и теоретические возможности, знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.

В каждом конкретном случае, исходя из конкретной технологии обработки  информации, может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной системы.

При разработке модели нарушителя определяются:

предположения о категориях лиц, к которым может принадлежать нарушитель;

предположения о мотивах  действий нарушителя (преследуемых нарушителем  целях);

предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);

ограничения и предположения  о характере возможных действий нарушителей.

 

 

 

 

 

13. Классификация нарушителей

 

По отношению  к системе нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами).

 

По уровню знаний о системе:

-знает функциональные  особенности системы, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

-обладает высоким  уровнем знаний и опытом работы  с техническими средствами системы  и их обслуживания;

-обладает высоким  уровнем знаний в области программирования  и вычислительной техники, проектирования  и эксплуатации АИС;

-знает структуру, функции  и механизм действия средств  защиты, их сильные и слабые  стороны. 

 

По уровню возможностей (используемым методам и средствам):

-применяющий чисто агентурные методы получения сведений;

-применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

-использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

-применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

 

По времени  действия:

-в процессе функционирования системы (во время работы компонентов системы);

-в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);

-как в процессе функционирования системы, так и в период неактивности компонентов системы.

 

По месту  действия:

-без доступа на контролируемую территорию организации;

-с контролируемой территории без доступа в здания и сооружения;

-внутри помещений, но без доступа к техническим средствам системы;

-с рабочих мест конечных пользователей (операторов) системы;

-с доступом в зону данных (баз данных, архивов и т.п.);

-с доступом в зону управления средствами обеспечения безопасности системы.

 

14. Общий состав, содержание  и соотношение методов и средств  защиты информации. Рубежи защиты  информации в СЗД. 

К настоящему времени  разработан весьма широкий набор  методов и средств защиты, с помощью которых может быть достигнут требуемый уровень защищенности СЭД.

Методами обеспечения  защиты информации являются:

-препятствие

-управление доступом

-маскировка

-регламентация

-принуждение

-побуждение

Препятствие заключается в создании на пути возникновения и распространения угрозы безопасности барьера, не позволяющего ей реализоваться.

Управление  доступом – метод защиты, регулирующий использование всех ресурсов системы организации. Включает в себя такие функции защиты, как:

-идентификация пользователей и ресурсов системы по средствам присвоения индивидуального идентификатора;

-аутентификация –  установление подлинности субъекта  или объекта по предъявленному  идентификатору;

-проверка полномочий;

-протоколирование обращений  к защищаемым ресурсам;

-реагирование при попытках несанкционированных действий.

Маскировка – преобразование информации, вследствие которого она становится недоступной и непонятной для нарушителей.

Регламентация как метод защиты заключается в разработке и реализации в процессе функционирования системы защиты комплексов организационных мероприятий, создающих условия обработки информации, затрудняющих проявление и воздействие угроз безопасности.

Принуждение – метод защиты, при котором субъекты системы вынуждены соблюдать правила создания, обработки, передачи защищаемой информации под угрозой материальной, административной, уголовной ответственности.

Побуждение – метод защиты, при котором субъекты системы внутренне (материальными, этическими, моральными мотивами) побуждаются к соблюдению всех правил работы с информацией.

Рассмотренные методы защиты на практике реализуются применением  различных средств защиты. Существует две группы средств защиты:

1. формальные – выполняют функции по защите формально, т.е. без участия человека (технические средства защиты);
2. неформальные – относятся средства, основу которых составляет деятельность людей (правовые, организационные, морально-этические средства).

Перечисленные средства рассматриваются как последовательные рубежи защиты информации, преодолевая которые можно добраться к объектам защиты.

Первый рубеж – чисто правовой, соблюдение юридических норм при передаче, обработке и хранении информации. К ним относятся действующие в стране НПА, регламентирующие вопросы защиты информации.