- •Предесловие:
- •Вопросы гавна.
- •? Этапы выполнения окр, краткая их характеристика.
- •? Разделы технического задания на окр, краткая их характеристика.
- •Содержание задания по безопасности.
- •Оценка достаточности контрмер.
- •Взаимосвязь параметров безопасности.
- •Методы обеспечения безопасности при использовании информационных технологий.
- •Критерии оценки безопасности информационных технологий.
- •Функции государственного заказчика окр.
- •Функции головного исполнителя окр.
- •Функции исполнителя составной части окр.
- •Функции изготовителя опытного образца изделия.
- •Функции нио заказчика.
- •Группы опытно-конструкторских работ.
- •Требования к выполнению окр.
- •Содержание технического предложения.
- •Содержание эскизного проекта.
- •Содержание пояснительной записки эскизного проекта.
- •Содержание технического проекта.
- •Перечень работ, выполняемых при разработке технического проекта.
- •Содержание пояснительной записки технического проекта.
- •Содержание рабочей документации опытного образца.
- •Содержание этапа изготовления опытного образца.
- •Содержание этапа предварительных испытаний опытного образца.
- •Содержание этапа приемочных испытаний.
- •Состав рабочей документации.
- •Силы обеспечения безопасности значимых объектов кии.
- •Требования к силам и средствам обеспечения безопасности значимых объектов кии.
- •Требования к организационно-распорядительным документам по безопасности значимых объектов кии.
- •Требования к организации работ по обеспечению безопасности значимых объектов кии.
- •Требования к обеспечению безопасности в ходе создания, эксплуатации и вывода из эксплуатации значимых объектов кии.
- •Установление требований к обеспечению безопасности значимых объектов кии.
- •Разработка организационных и технических мер по обеспечению безопасности значимого объекта кии.
- •Анализ угроз безопасности информации.
- •Проектирование подсистемы безопасности значимого объекта кии.
- •Внедрение организационных и технических мер по обеспечению безопасности значимого объекта кии и ввод его в действие.
- •Способы выявления уязвимостей при проведении анализа угроз безопасности информации.
- •? Анализ угроз безопасности информации.
- •Способы обеспечения безопасности значимого объекта в ходе его эксплуатации.
- •Способы обеспечения безопасности значимого объекта при выводе его из эксплуатации.
- •Требования к организационным и техническим мерам, принимаемым для обеспечения безопасности значимых объектов.
- •Назначение профилей защиты для продуктов и систем информационных технологий.
- •Содержание профилей защиты для продуктов и систем информационных технологий.
- •Порядок разработки профилей защиты и заданий по безопасности.
- •Порядок выбора мер защиты информации.
- •Классы защищенности информационной системы.
- •Определение угроз безопасности информации в информационной системе.
- •Выбор мер защиты информации.
- •Определение базового набора мер защиты информации, его адаптация и уточнение.
- •Применение компенсирующих мер защиты информации.
- •Содержание, правила выбора и реализации мер защиты информации.
- •Причины возникновения ГосСопка и её назначение.
- •Системы обнаружения атак основанные на технологии ids.
- •Ids, основанные на аномалиях
- •Ids на основе правил
- •Различия типов технологий ids.
- •Принцип работы технологии ids.
- •Систем обнаружения вторжений основанные на технологии ips.
- •Структура системы ГосСопка.
- •Ведомственные и корпоративные сегменты ГосСопка.
- •Порядок взаимодействия главного центра ГосСопка и ведомственного сегмента ГосСопка. Порядок обработки сообщений от главного центра ГосСопка и ведомственного сегмента ГосСопка
- •Порядок предоставления сведений главному центру ГосСопка
- •Обязанности владельца объекта кии по взаимодействию с ГосСопка.
- •Подключение субъекта кии к инфраструктуре ГосСопка.
Ids, основанные на аномалиях
Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только имеет больший охват.
IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После тестового периода она готова к работе.
Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет аномалии. Аномалии делятся на три категории:
- статистические;
- аномалии протоколов;
- аномалии трафика.
Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности и сравнивает его с текущим профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
Для выявления аномалий протоколов IDS-система анализирует коммуникационные протоколы, их связи с пользователями, приложениями и составляет профили. Например, веб-сервер должен работать на порте 80 для HTTP и 443 для HTTPS. Если для передачи информации по HTTP или HTTPS будет использоваться другой порт, IDS пришлет уведомление.
Ids на основе правил
IDS на основе правил похожи на экспертные системы. Экспертная система основана на базе знаний, механизме логических выводов и программировании на основе правил. Знания представляют собой правила, а анализируемые данные – факты. Знания системы описываются с помощью программирования на основе правил (ЕСЛИ ситуация ТОГДА действие). Эти правила применяются к фактам, к данным, получаемым сенсором, или к контролируемым системам. Затем к этим данным применяются предварительно настроенные правила, которые проверяют, есть ли что-нибудь подозрительное в произошедших событиях.
Таким образом IDS на основе правил работают аналогично экспертным системам, собирают данные с сенсоров или из журналов аудита, а механизм логических выводов обрабатывает их, используя предварительно запрограммированные правила. Если характеристики удовлетворяют правилу, отправляется соответствующее уведомление или выполняется определенное действие для решения возникшей проблемы.
Различия типов технологий ids.
Сигнатурные
Отслеживающие шаблоны, работающие подобно антивирусным программам Сигнатуры должны постоянно обновляться
Не могут выявить новые атаки
Два типа:
- отслеживающие шаблоны – сравнивают пакеты с сигнатурами
- отслеживающие состояние – сравнивают действия с шаблонами
Основанные на аномалиях
Основанные на поведении системы, изучают ее «нормальную» деятельность
Могут выявлять новые атаки
Также называются поведенческими или эвристическими
Три типа:
- основанные на статистических аномалиях – создают профиль «нормальной» деятельности и сравнивают реальную деятельность с этим профилем
- основанные на аномалиях протоколов – выявляют факты необычного использования протоколов
- основанные на аномалиях трафика – выявляют необычное в сетевом трафике
Основанные на правилах
Используют ЕСЛИ/ТОГДА программирование, основанное на правилах, в рамках экспертных систем
Используют экспертную систему, подобную искусственному интеллекту
Более сложные правила
Не может выявлять новые атаки