- •Иб(Информационная Безопасность) Лекция №1
- •Лекция №2 Основные методы обеспечения иб
- •Угрозы иб
- •Построение систем защиты от угроз нарушения конфиденциальности информации
- •Организационные меры и методы обеспечения физической безопасности
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Преимущества и недостатки парольной системы
- •Угрозы безопасности парольной системы
- •Рекомендации по практической реализации парольных систем
- •Лекция №3 Оценка стойкости парольных систем
- •Методы хранения и передачи паролей
- •Разграничение доступа
- •Лекция №4 Криптографическое преобразование информации
- •Лекция №6
- •Des(Data Encryption Standard)
- •Лекция №7 Алгоритмы с открытыми ключами
- •Алгоритм открытых рюкзаков(укладки ранца)
- •Сверх возрастающие рюкзаки
- •Лекция №8 Сравнение симметричных и ассиметричных систем
- •Методы защиты внешнего периметра
- •Межсетевое экранирование
- •Лекция №9 Системы обнаружения вторжений
- •Протоколирование и аудит
- •Лекция №10 Построение системы защиты от угроз нарушения целостности информации
- •Однонаправленные хэш функции
- •Лекция № 11
- •Идея функции сжатия
- •Применение
- •Коды проверки подлинности сообщений(mac(Message Authentication Code))
- •Лекция №12 Электронные подписи(Digital Signature)(не полная лекция)
- •Подпись документа с помощью криптографии с открытым ключом
- •Подпись документа с помощью ассиметричных алгоритмов и однонаправленных хэш функций
- •Управление открытыми ключами
- •Структура сертификатов(в России)
- •Хранение закрытого ключа
Лекция №9 Системы обнаружения вторжений
Обнаружения вторжений представляет собой процесс выявления несанкционированного доступа или попыток несанкционированного доступа к ресурсам АС.
Система обнаружения вторжений(Intrusion Detection System(IDS)) в общем случае представляет собой программно-аппаратный комплекс, решающий данную задачу.
Сигнатура – совокупность событий или действий, характерные для данного типа угрозы безопасности.
Сенсор получает сетевой пакет.
Пакет передается ядру для анализа.
Проверяется совпадение сигнатуры.
Если совпадений нет, то от узла получается следующий пакет.
Если есть совпадение, то появляется предупреждающее сообщение.
Происходит вызов модуля ответного реагирования.
Ошибки первого и второго рода:
Ошибки первого рода, когда авторизованный субъект безопасности воспринимается системой безопасности, как нарушитель.
Ошибки второго рода, когда нарушитель воспринимается системой безопасности, как авторизованный субъект доступа.
Все системы, использующие сигнатуры для проверки доступа, подвержены ошибкам второго рода, в том числе антивирусы, работающие на антивирусной базе.
Функционирование системы IDS во многом аналогично межсетевому экрану. Сенсоры получают сетевой трафик, а ядро, путем сравнения полученного трафика, с записями имеющихся базами сигнатур, пытается выявить следы попыток несанкционированного доступа. Модуль ответного реагирования представляет собой дополнительный компонент, который может быть использован для оперативного блокирования угрозы, например, может быть сформированного новое правило для межсетевого экрана.
Существует две основных категории IDS:
IDS уровня сети. В таких системах сенсор функционирует на выделенном для этих целей хосте(узле), защищаемом сегменте сети. Обычно он работает в прослушивающем режиме, чтобы анализировать весь ходящий по сегменту сетевой трафик.
IDS уровня хоста. В случае, если сенсор функционирует на уровне хоста для анализа может быть использована следующая информация:
Записи стандартных средств. Протоколирование ОС.
Информация об использованных ресурсах.
Профили ожидаемого поведения пользователя.
Каждый из типов IDS имеет свои достоинства и недостатки.
IDS уровня сети не снижает общую производительность системы, а IDS уровня хоста более эффективно выявляет атаки и позволяет анализировать активность, связанную с отдельным хостом. На практике целесообразно применять оба этих типа.
Протоколирование и аудит
Подсистема протоколирования и аудита является обязательным компонентом любой АС. Протоколирование(регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующая все события, относящиеся к информационной безопасности . Аудит – анализ протоколирования информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.
Назначения механизма регистрации и аудита:
Обеспечение подотчетности пользователей и администратора.
Обеспечение возможности реконструкции последовательности событий(например при инцидентах).
Обнаружение попыток нарушения режима информационной безопасности.
Выявление технических проблем, напрямую не связанных с информационной безопасностью.
Протоколируемые данные заносятся в регистрационный журнал , который представляет собой хронологически-упорядоченную совокупность записи результатов деятельности субъектов АС, влияющих на режим информационной безопасности. Основными полями такого журнала являются следующие:
Временная метка.
Тип события .
Инициатор события.
Результат события.
Так, как системные журналы являются основными источниками информации для последующего аудита и выявления нарушения безопасности должен быть поставлен вопрос о защите их от не санкционированной модификации. Система протоколирования должна быть спроектирована таким образом, чтобы не один пользователь, включая администраторов, не мог произвольным образом изменять записи системных журналов.
Поскольку файлы журналов хранятся на том или ином носителе, рано или поздно может возникнуть проблема нехватки пространства на этом носителе, при этом реакция системы может быть различной, например:
Продолжить работу системы, без протоколирования.
Заблокировать систему до решения проблемы.
Автоматически удалять самые старые записи в системном журнале.
Первый вариант является наименее приемлемым с точки зрения безопасности.