Методы мониторинга

1. создать достаточное количество проверок для обеспечения высокой степени надежности;
2. не слишком увлечься количеством и частотой проверок, чтобы избежать перегрузок оборудования, но в первую очередь – специалистов, в чьи обязанности входит анализ результатов мониторинга.

 

 

Информация - это одна из самых важных ценностей в современной жизни. С массовым внедрением компьютеров  во все сферы деятельности человека объем информации, хранимой в электронном  виде, вырос в тысячи раз. И теперь скопировать любой файл не составляет большого труда. А с появлением компьютерных сетей и Интернета даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности  информации.

Одной из причин неуемного роста  компьютерных преступлений является сумма  денег, получаемая в результате таких  деяний. В то время как ущерб  при ограблении банка - $19 000, потери от среднего компьютерного преступления составляют почти в 30 раз больше.

Согласно информации исследовательского центра DataPro Research, основные причины повреждений электронной информации распределились следующим образом: неумышленная ошибка человека - 52 % случаев, умышленные действия человека - 10 % случаев, отказ техники - 10 % случаев, повреждения в результате пожара - 15 % случаев, повреждения водой - 10 % случаев. Как видим, каждый десятый случай повреждения электронных данных связан с компьютерными атаками.

Кто же был исполнителем этих действий: в 81 % случаев - штатные сотрудники учреждений, только в 13 % случаев - совершенно посторонние  люди, и в 6 % случаев - бывшие работники  этих же учреждений. Доля атак, производимых сотрудниками компаний и предприятий, просто ошеломляет и заставляет вспомнить  не только о технических, но и о  психологических методах профилактики подобных действий.

«Добравшись» до информации, что  же предпринимают злоумышленники? В 44 % случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16 % случаев выводилось из строя программное обеспечение, в 16 % случаев - производилась кража информации с различными последствиями, в 12 % случаев информация была фальсифицирована, а в 10 % случаев злоумышленники с помощью компьютера воспользовались либо заказали услуги, к которым, в принципе, не должны были иметь доступа.

 

Тема курсовой работы «Информационная  безопасность».

 

Основная цель работы – получить информацию и сделать анализ антивируснных программ защиты компьютеров и компьютерных систем, разобраться с системами и технологиями информационной безопасности и т.д.

Угрозы защищенности в глобальных сетях и локальных сетях

Бурное развитие глобальных сетей, появление новых технологий поиска информации и отображения  данных привлекает все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть, а также установки своих WWW-, FTP-, Gopher- и других серверов услуг в глобальных сетях. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащую коммерческую или государственную тайну, влечет за собой необходимость построения квалифицированной системы защиты информации.

Использование глобальных сетей  не только для поиска "интересной" информации или игры в Red AlertФ с заокеанскими партнерами (или противниками), но и в коммерческих целях, приводит к возможным потерям из-за действия поля угроз защищенности и отсутствия необходимых систем и средств защиты. В настоящее время в России глобальные сети используются для передачи коммерческой информации различной степени конфиденциальности, например, связь с удаленными офисами из головной штаб-квартиры организации или создание WWW-страницы предприятия с размещенной на ней рекламы и коммерческих предложений.

Одним из следствий бурного  развития глобальных сетей является практически неограниченный рост количества пользователей этих сетей, и как  следствие, рост вероятности угроз  защищенности информации, связанных  с предумышленным и неумышленным воздействием. Необходимость работы с удаленными пользователями и обмена конфиденциальной информацией с  ними приводит к необходимости установления жестких ограничений доступа  к информационным ресурсам локальной  сети. При этом чаще всего бывает необходима организация в составе корпоративной сети нескольких сегментов с различным уровнем защищенности:

• свободно доступные (Например, рекламный WWW-сервер),
• сегмент с ограничениями доступа (Например, для доступа сотрудникам организации с удаленных узлов),
• закрытые для любого доступа (Например, финансовая локальная сеть организации).

 

При подключении локальной или  корпоративной сети к глобальным сетям администратор сетевой  безопасности должен решать следующие  задачи:

1. Защита локальной или корпоративной сети от несанкционированного удаленного доступа со стороны глобальной сети;
2. Скрытие информации о структуре сети и ее компонент от пользователей глобальной сети;
3. Разграничение доступа из/в защищаемой локальной сети в/из незащищенную глобальную сеть.

При этом наиболее распространены следующие  способы так:

1. Вход с узла сети с недопустимым сетевым адресом.
2. "Заваливание" сетевыми пакетами при помощи программы ping.
3. Соединение с разрешенного сетевого адреса по запрещенному сетевому адресу.
4. Соединение по запрещенному или неподдерживаемому сетевому протоколу.
5. Подбор пароля пользователя по сети
6. Модификация таблицы маршрутизации с помощью ICMP пакета типа REDIRECT
7. Модификация таблицы маршрутизации с помощью нестандартного пакета протокола RIP.
8. Запрос несанкционированного удаленного администрирования с запрещенного адреса
9. Запрос на изменение пароля при соединении со стороны открытой сети.
10. Соединение с использованием DNS spoofing.
1. Соединение с разрешенного адреса по разрешенному адресу в неразрешенное время

Приведенное перечисление видов угроз  охватывает несколько областей глобальной сети:

• локальный участок, традиционная местная управляемая и администрируемая в организации локальная сеть,
• стык локально-глобальная сеть,
• участок глобальной сети, используемый для передачи конфиденциальной информации, администрируемый коллективным администратором безопасности,
• неуправляемый участок глобальной сети.

На каждом указанном участке  необходимо использование своих, специфических  средств защиты. В таблице 1 показана привязка перечисленных угроз к  участкам глобальной сети.

 

 

 

Таблица 1. Привязка угроз  к различным участкам глобальной сети

	Области глобальной сети
Угрозы	Локальный участок	Стык ЛС/ГС	Администр.   участок ГС	Неуправ. участок ГС
1.Неверный сетевой адрес	+		+	+
2. "Заваливание" пакетами				+
3. Недопустимое соединение	+			+
4. Недопустимый протокол	+	+		+
5. Подбор пароля	+	+		+
6. ICMP атака		+	+
7. RIP атака		+	+
8. Несанкц. удаленн. администрирование	+	+	+	+
9. Изменение пароля				+
10. DNS атака		+	+
11. Недопустимое время	+	+	+	+

Ряд задач по отражению наиболее вероятных угроз в том или  ином объеме способны решать межсетевые экраны (firewalls). В российской литературе данный термин иногда переводится как брандмауэр, реже - межсетевой фильтр.

Межсетевой экран - это автоматизированная система или комплекс систем, позволяющие  разделить сеть на две или более  частей и обеспечивающее защитные механизмы  от НСД на уровне пакетов обмена информацией сетевого, транспортного  и прикладного уровней сетевых  протоколов семиуровневой модели OSI.

На мировом рынке присутствуют около 50 различных межсетевых экранов, отличающихся платформами функционирования, производительностью и функциональными  возможностями. Можно установить следующую  классификацию функциональных требований к межсетевым экранам.

Функциональные требования к МЭ включают в себя:

• требования к фильтрации на сетевом уровне;
• требования к фильтрации на прикладном уровне;
• требования по ведению журналов и учету;
• требования по администрированию и настройке правил фильтрации;
• требования к средствам сетевой аутентификации.

Фильтрация на сетевом  уровне

При фильтрации на сетевом уровне межсетевой экран принимает решение  о пропуске пакета в/из защищаемой локальной сети из/в глобальной незащищенной сети. Данное решение МЭ принимает просматривая заголовок этого пакета и анализируя его содержимое. Решение о пропускании или запрещении прохождении пакета может зависеть от сетевых адресов источника и назначения пакета, номеров TCP-портов, времени и даты прохождения пакета и любых полей заголовка пакета.

Достоинствами данного вида фильтрации являются:

• небольшая задержка при прохождении пакетов,
• относительно невысокая стоимость МЭ.

К недостаткам данного вида фильтрации можно отнести:

• возможность просмотра структуры локальной сети из глобальной сети,
• возможность обхода системы защиты при использовании IP-спуфинга (IP-spoofing) - способ атаки, при котором атакующей стороной производится подстановка IP-адреса "разрешенного" сетевого узла в заголовок IP-пакета.

Фильтрация на прикладном уровне

При фильтрации на прикладном уровне решение о пропускании или  запрещении прохождении пакета принимается  после обработки запроса от клиента  на программе-сервере конкретного  сервера (WWW, Telnet, FTP, SMTP, Gopher и т.п.). Данный сервер носит название proxy-server (уполномоченный или доверенный сервер). Название "доверенный" - из-за того, что сервер, к которому производится обращение, доверяет proxy-серверу установить связь с клиентом, идентифицировать его и провести аутентификацию. Proxy-сервер пропускает через себя весь трафик, относящийся к данному сервису.

При принятии решения о пропускании  и запрещении прохождения пакета proxy-сервер может использовать следующие параметры:

• имя пользователя;
• название сервиса;
• сетевое имя компьютера клиента;
• способ аутентификации;
• время и дата запроса.

Достоинствами данного способа  фильтрации являются:

• невидимость структуры локальной сети из глобальной сети;
• возможность организации большого числа проверок, что повышает защищенность локальной сети;
• организация аутентификации на пользовательском уровне.

Основными недостатками данного способа  маршрутизации являются низкая производительность обработки и высокая стоимость. Кроме того, при реализации данного  способа фильтрации появляется сложность  использования протоколов UDP и RPC.

Ведение журналов и учет

Ведение журналов, сбор статистики и  ее учет является весьма важным компонентом  межсетевого экрана. При помощи этих функциональных возможностей администратор  может гибко определять политику реагирования на нарушения: необязательно  при каждой ночной попытке доступа  к WWW-серверу компании выдавать администратору безопасности сообщение на его личный пейджер, - администратор - все-таки человек, и ночью хочет спать. В тоже время, при доступе к финансовому  сегменту с базой данных зарплаты вышеупомянутого администратора необходимо указать данному администратору на возможность депремирования и/или невыплаты заработной платы.

Существует большое количество схем подключения межсетевых экранов: - сколько администраторов безопасности - столько мнений. При этом все  схемы подразделяются на: