- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
Контрольные вопросы:
Из чего состоит локальная архитектура IDS?
Из чего состоит глобальная архитектура IDS?
Лекция 10. Стандарты в области ids
Цель: изучить стандарты в области IDS
План:
Рабочая группа по обнаружению вторжений IETF
Формат IDMEF
Каркас системы обнаружения вторжений CIDF
Обмен данными о подозрительной активности. Многие атаки на информационные системы носят распределенный характер. При этом разные средства активного аудита видят один и тот же инцидент с разных точек зрения.
Разделение информации о подозрительной активности является главным направлением работ созданной в рамках Тематической группы по технологии Интернет (Internet Engineering Task Force, IETF) Рабочей группы по обнаружению вторжений (Intrusion Detection Working Group, IDWG).
Группе IDWG предстоит специфицировать формат IDMEF (Intrusion Detection Message Exchange Format) — формат обмена данными между компонентами IDS. Он используется для передачи предупреждающих сообщений о подозрительных событиях между системами выявления атак. Данный формат должен обеспечить совместимость между коммерческими и свободно распространяемыми IDS и возможность их совместного использования для обеспечения наивысшего уровня защищенности.
IDMEF должен поддерживать все механизмы обнаружения подозрительной активности. Он должен быть рассчитан на IPv6, содержать все необходимое для интернационализации, поддерживать фильтрацию и агрегирование сообщений компонентом реагирования, их надежную доставку (в том числе через межсетевой экран без внесения в конфигурацию последнего изменений, способных ослабить периметр безопасности).
Разумеется, формат IDMEF должен поддерживать взаимную аутентификацию общающихся сторон, неотказуемость от факта передачи, а также целостность и конфиденциальность потока сообщений.
В сообщениях формата IDMEF должны содержаться дата и время подозрительных событий и, если возможно, дата и время атаки.
Если анализатор сам принял ответные меры, в IDMEF-сообщениях должна быть информация об этом. Если анализатор может оценить последствия зафиксированной атаки, он также обязан сообщить об этом.
Формат IDMEF должен поддерживать информацию о производителе системы обнаружения вторжений, сгенерировавшей сообщение, а также расширения, специфичные для конкретной системы.
Предполагается, что будет утвержден список стандартных атак и методов их проведения. Если анализатор может идентифицировать атаку и используемый метод, он должен включить соответствующую информацию в IDMEF-сообщение. Если атака является нестандартной, ее имя может быть специфичным для производителя системы активного аудита.
Общий каркас систем обнаружения вторжений (Common Intrusion Detection Framework, CIDF) разрабатывается группой исследовательских организаций, финансируемых агентством DARPA и работающих в области выявления подозрительной активности.
В рамках CIDF разработан язык описания подозрительной активности и способ кодирования информации о подозрительных событиях. Язык приспособлен для описания, по крайней мере, трех видов сообщений:
"сырой" информации о событиях (например, записей регистрационного журнала или сетевых пакетов);
результатов анализа (таких как выявленные аномалии или атаки);
рекомендованных реакций (прервать какую-либо активность или изменить конфигурацию защитных средств).
Кроме того, на языке могут быть описаны следующие сущности:
связи между событиями (например, причинно-следственные);
роли объектов в событиях (например, объект инициировал событие);
свойства объектов;
связи между объектами.
В заключении хотелось бы ещё раз подчеркнуть, что IDS – это лишь одно из средств хорошей архитектуры обеспечения безопасности сети и многоуровневой стратегии её защиты. Они имеют свои преимущества и недостатки, развить первые и сгладить последние можно, применяя IDS в комплексе с другими средствами обеспечения безопасности информации. У IDS имеются некоторые перекрытия выполняемых функций, особенно с межсетевыми экранами, которые уже выполняют некоторые ограниченные функции обнаружения вторжений, поднимая тревогу, когда «срабатывает» соответствующее правило. IDS уникальны в том, что в отличие от МЭ, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение вторжений в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из МЭ, кроме самых дорогих и сложных.
Контрольные вопросы:
Что такое IETF?
Что такое IDMEF?
Что такое CIDF?