Технологии предотвращения сетевых атак на информационные системы

Автор работы: Пользователь скрыл имя, 15 Декабря 2015 в 20:02, контрольная работа

Описание работы

Одна из основных угроз информационной безопасности - угроза информационных атак, направленных, например, на нарушение работоспособности ИС или получение несанкционированного доступа к информации, хранящейся в ИС. Число информационных атак в последние годы неуклонно растет. Так, по данным Координационного центра немедленного реагирования CERT, число атак на ИС, зафиксированных в 2002 году, составляет 74 тыс., что в два раза превышает аналогичный показатель 2001 года.

Скачать архив (10.14 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Информационная безопасность.docx

— 40.54 Кб (Скачать файл)

Управление компонентами сетевого датчика проводится с помощью отдельного модуля управления, в функциях которого заложена способность изменять параметры работы каждого из компонентов. Реализуются эти функции по командам, формируемым в центральном модуле управления СОА и направляемым сетевому датчику по выделенному каналу связи через отдельный сетевой адаптер.

Результаты работы сетевого датчика протоколируются в локальной базе данных, доступ к содержимому которой администратор безопасности ИС может получить с использованием модуля управления сетевого датчика.

Одним из примеров коммерческих СОА, реализующих технологию предотвращения атак на сетевом уровне, может служить система "IntruShield" компании IntruVert.

    1. Предотвращение атак на системном уровне ИС.

Технология предотвращения информационных атак на системном уровне реализуется на уровне хостов ИС с использованием хостовых датчиков СОА. Этот подход позволяет предотвратить два типа информационных атак:

    • сетевые атаки, реализуемые нарушителем удаленно путем посылки объекту нападения серии пакетов данных с целью нарушить информационную безопасность хоста;
    • системные атаки, реализуемые нарушителем локально посредством несанкционированного запуска программ, также с целью нарушить информационную безопасность хоста. Примерами таких программ являются информационные вирусы, программы типа "троянский конь", программы, направленные на несанкционированное повышение прав доступа и др.

Защита от атак этого типа обеспечивается сетевыми и системными компонентами хостовых датчиков.

Алгоритм функционирования сетевого компонента во многом повторяет алгоритм работы сетевого датчика. Сетевой компонент перехватывает все пакеты данных, поступающие на хост ИС, анализирует их и отфильтровывает те, которые могут представлять опасность для хоста. Анализ проводится либо на основе сигнатур, либо на основе профиля трафика хоста. Сетевой компонент, в отличие от датчика, перехватывает и анализирует пакеты данных на различных уровнях модели взаимодействия открытых систем. Это дает возможность предотвращать атаки, которые реализуются по криптозащищенным IPSec- и SSL/TLS-соединениям. Сетевой компонент датчика может состоять из нескольких отдельных программных модулей, запускаемых на хосте. Так, например, для перехвата и анализа HTTP-трафика, поступающего в веб-сервер MS Internet Information Services, сетевой компонент может включать отдельный модуль, выполненный в виде ISAPI-фильтра, который позволяет перехватывать весь входящий HTTP-трафик на прикладном уровне и удалять те HTTP-запросы, которые не соответствуют заданному профилю.

Важно подчеркнуть, что системный компонент хостового датчика позволяет перехватывать и анализировать системные вызовы всех приложений, запущенных на узле ИС. Анализ проводится на основе сигнатур или на основе профиля хоста ИС. В каждом из перехваченных системных вызовов анализируются следующие параметры:

    • имя процесса/приложения, инициировавшего системный вызов;
    • учетная запись пользователя, от имени которого выполняется системный вызов;
    • идентификатор ресурса, к которому направлен системный вызов;
    • параметры системного вызова и др.

В случае установления факта нарушения системным вызовом информационной безопасности хоста, этот вызов блокируется. Такой механизм анализа и обработки системных вызовов позволяет предотвратить системные атаки нарушителей.

Параметры функционирования приложений, которые можно контролировать с использованием системного компонента, и их описание приведены в табл. 2.

 

 

 

Таблица 2.

Наименование параметра

Описание

Доступ приложений к файловой системе хоста

Параметр контролирует доступ приложений к файловой системе хоста. С использованием этого параметра компонент может предотвратить несанкционированный доступ к файлам пользователей со стороны некоторых приложений

Доступ приложений к системным конфигурационным файлам операционной системы (ОС) хоста

Параметр позволяет контролировать доступ приложений к реестру, системным библиотекам и другим конфигурационным файлам ОС. С помощью этого параметра компонент может запретить внесение изменений в эти системные файлы, что позволит обеспечить защиту от программ типа "троянский конь", а также программ, направленных на несанкционированное получение администраторских прав

Параметры вызова системных функций из приложения

Параметр позволяет блокировать те системные вызовы, значения параметров которых не соответствуют заданным ограничениям. Это позволяет предотвратить системные атаки, направленные на переполнение буфера программ (buffer overflow attacks), приводящие к несанкционированному выполнению кода на хосте

Среда выполнения приложения

Параметр системного компонента блокирует запросы приложения на запись в ту область памяти, которая не принадлежит этому приложению. Это позволяет обеспечить защиту от информационных вирусов, а также программ, направленных на несанкционированное получение администраторских прав


 

 

Большая часть приведенных выше параметров анализируется системным компонентом с помощью профильного метода. При этом для каждого приложения или группы приложений определяется свой собственный профиль работы. Так, например, профиль HTTP-сервера должен разрешать доступ веб-приложений только к веб-ресурсам, включающим HTML-документы, ASP-сценарии, CGI-модули и др. Доступ ко всем остальным информационным ресурсам хоста, включая системные конфигурационные файлы ОС, должен быть запрещен.

Сигнатурный анализ системных вызовов позволяет выявлять известные системные атаки, такие как GetAdmin и SecHole, которые реализуются путем запуска на локальной машине специальных программ, позволяющих несанкционированно получить администраторские права доступа к хосту.

Примерами коммерческих СОА, реализующих технологию предотвращения информационных атак на системном уровне, являются программные комплексы Entercept компании Entercept Technologies и StormWatch компании OKENA.

 

 

 

 

  1. Методика тестирования СОА.

Поскольку новое поколение СОА способно не только обнаруживать, но и предотвращать информационные атаки, к тестированию систем этого класса предъявляются другие требования. В первую очередь это связано с тем, что тестироваться должны не только функции обнаружения атак, но и функции их блокирования. Для тестирования СОА, реализующих технологию предотвращения атак на сетевом уровне, могут использоваться специализированные системы анализа защищенности, позволяющие смоделировать заданное множество сетевых атак нарушителя. В этом случае эффективность СОА будет определяться количеством допущенных ошибок первого и второго рода. Под ошибкой первого рода понимается блокирование СОА легального сетевого запроса, не являющегося атакой. Ошибка второго рода возникает в том случае, если СОА не смогла блокировать реальную сетевую атаку.

Тестирование СОА, реализующих технологию предотвращения атак на системном уровне, реализуется способом, аналогичным тому, который применяется на сетевом уровне ИС. Единственное отличие состоит в том, что здесь, кроме всего прочего, необходимо проводить моделирование системных атак нарушителя. Другими словами, требуется провести установку программ типа "троянский конь", активизировать информационный вирус, несанкционированно изменить системные файлы ОС хоста и др. Эффективность СОА этого типа оценивается путем подсчета количества ошибок первого и второго рода, допущенных системой в процессе функционирования.

Проведенный анализ новых методов защиты информационных ресурсов ИС позволяет констатировать, что они позволяют не только выявлять, но и предотвращать атаки как на сетевом, так и на системном уровне ИС. Таким образом, можно сделать вывод, что такие технологии обеспечивают качественно новый уровень защиты от информационных атак нарушителя. В первую очередь это связано с тем, что они переводят существующие СОА из разряда пассивных в класс активных средств противодействия атакам нарушителя.

Немаловажно отметить и тот факт, что российские компании, работающие в области информационной безопасности, также приступили к разработке аналогичных технологий защиты от информационных атак и в настоящее время уже готовы представить на рынок новые продукты. Это позволит отечественным системам обнаружения атак в перспективе достойно конкурировать с зарубежными аналогами.

 

 

 

 

 

 

 

 

 

 

Литература:

1. В.А. Сердюк. Перспективы развития новых технологий обнаружения информационных атак. Системы безопасности связи и телекоммуникаций, №5, 2002.

2. В.А. Сердюк. Системы обнаружения компьютерных атак и их роль в защите информационных сетей. BYTE/Россия, №10, 2000.

 3. S.M. Avdoshin, V.A. Serdiouk. Some approaches to information security of communication networks. Informatica, Slovenia, №26, 2002.

4. Theuns Verwoerd, Ray Hunt. Intrusion detection techniques and approaches. Computer Communications, №25, 2002.

 

 

 


Информация о работе Технологии предотвращения сетевых атак на информационные системы