Разновидности современных систем обнаружения вторжений.
1. Системы обнаружения вторжений, защищающие сегмент сети. Развертываются на специализированном сервере, на котором не работают никакие другие приложения. Поэтому сервер может быть особенно надежно защищен от нападения. Кроме того, этот сервер может быть сделан "невидимым" для нападающего. Для защиты сети устанавливаются несколько таких серверов, которые анализируют сетевой трафик в различных сегментах сети. Несколько удачно расположенных систем могут контролировать большую сеть.
К недостаткам таких систем относят проблемы распознавания нападений в момент высокой загрузки сети, и неспособность анализировать степень проникновения. Система просто сообщает об инициированном нападении.
2. Системы обнаружения вторжений, защищающие отдельный сервер. Собирают и анализируют информацию о процессах, происходящих на конкретном сервере. Благодаря узкой направленности, могут проводить высоко детализированный анализ и точно определять, кто из пользователей выполняет злонамеренные действия. Некоторые IDS этого класса могут управлять группой серверов, подготавливая централизованные обобщающие отчеты о возможных нападениях. В отличие от предыдущих систем могут работать даже в сети, использующей шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю. Однако системы этого класса не способны контролировать ситуацию во всей сети, так как видят только пакеты, получаемые "своим" сервером. Снижается эффективность работы сервера вследствие использования его вычислительных ресурсов.
3. Системы обнаружения вторжений на основе защиты приложений. Контролируют события, проявляющиеся в пределах отдельного приложения. Знания о приложении, а также возможность анализировать его системный журнал и взаимодействовать с ним посредством API, позволяет таким системам контролировать деятельность пользователей, работающих с данным приложением, с очень высокой степенью детализации.
Аналогично антивирусным программам системы обнаружения вторжений используют два основных подхода к методам обнаружения подозрительной активности.
1. Подход на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающему известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах. Однако такая система обнаружения вторжений не может бороться с новыми видами нападений, а также с видоизмененными вариантами традиционных нападений, сигнатура которых незначительно отличается от имеющейся в базе.
2. Система обнаружения вторжений на основе аномалий обнаруживают нападения, идентифицируя необычное поведение на сервере или в сети. Они способны обнаруживать нападения, заранее не запрограммированные в них, но производят большое количество ложных срабатываний.
Контрольные вопросы к главе 2
1. Какие существуют виды атакующих средств информационного воздействия?
2. Дайте краткую характеристику перечням каналам несанкционированного получения информации.
3. Дайте развернутую характеристику КНПИ 1-го и 2-го классов.
4. Сформулируйте основные положения КНПИ 3-го и 4-го классов.
5. Назовите основные положения КНПИ 5-го и 6-го классов.
6. Охарактеризуйте специфику проблемы компьютерной преступности в РФ.
7. Какие основные способы НСД существуют?
8. Назовите группы технических каналов утечки информации и характеризуйте их.
9. Дайте подробную характеристику каналам утечки акустической информации.
10. Назовите основные классификации вирусов.
11. Дайте характеристику функциональным блокам вируса.
12. Какова структура, алгоритм работы файлового вируса?
13. Опишите функционирование макровируса и загрузочного вируса. 14. Назовите методы и средства борьбы с вирусами.
15. Каковы методы удаления последствий заражения вирусами?
16. Сформулируйте основные правила профилактики заражения вирусами компьютерных систем.
17. Назовите виды нарушений информационной системы.
18. Опишите кодификатор рабочей группы Интерпола.
19. В чем сущность классификации информационной безопасности, предложенная В.А. Мещеряковым?
20. Какие существуют средства защиты в автоматизированных системах обработки данных?
21. Дайте пояснения политики безопасности организации.
22. В чем сущность парольной защиты компьютерных систем?
23. Дайте характеристику защиты компьютерных сетей с использованием межсетевых экранов.
24. Назовите основные положения защиты компьютерных сетей с использованием виртуальных частных сетей (VPN).
25. Какие существуют системы обнаружения вторжений? Дайте им развернутую характеристику.
Глава 3
Нормативные руководящие документы, назначение и задачи информационной безопасности России
3.1. Основные нормативные руководящие документы, касающиеся государственной тайны
В РФ сформулированы и продолжают формулироваться правовые механизмы, способствующие созданию целостной системы ограничения на доступ к информации. В нашей стране законодательством охраняется значительное количество видов тайн, основным из которых является государственная тайна.
Основные понятия:
• государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ;
• носители сведений, составляющих государственную тайну – материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов сигналов, технических решений и процессов;
• система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях;
• допуск к государственной тайне – процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций – на проведение работ с использованием таких сведений;
• доступ к сведениям, составляющим государственную тайну – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну;
• гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и/или в сопроводительной документации на него;
• средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации;
• перечень сведений, составляющих государственную тайну – совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством;
• специальные объекты – пункты управления государством и Вооруженными силами РФ, а также другие объекты, обеспечивающие функционирование федеральных органов государственной власти и органов государственной власти субъектов РФ в военное время;
• военные объекты – боевые позиции войск, пункты управления, полигоны, узлы связи, базы, склады и другие сооружения военного назначения;
• режимные объекты – военные и специальные объекты, воинские части, предприятия, организации, учреждения для функционирования которых установлены дополнительные меры безопасности;
• инфраструктура экономики рф – отрасли экономики РФ, используемые в интересах обеспечения обороноспособности и безопасности государства.
Государственную тайну составляют:
1) сведения в военной области:
• о содержании стратегических и оперативных планов, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию Вооруженных сил РФ, других войск, воинских формирований и органов, предусмотренных Федеральным законом "Об обороне", их боевой и мобилизационной готовности, создании и использовании мобилизационных ресурсов;
• планах строительства Вооруженных сил РФ, других войск РФ, направлениях развития вооружения и военной техники, содержании и результатах выполнения целевых программ, научно-исследовательских и опытно-конструкторских работ по созданию и модернизации образцов вооружения и военной техники;
• разработке, технологии, производстве, объемах производства, хранении, утилизации ядерных боеприпасов, их составных частей, делящихся ядерных материалах, используемых в ядерных боеприпасах, технических средствах и (или) методах защиты ядерных боеприпасов от несанкционированного применения, а также ядерных энергетических и специальных физических установках оборонного значения;
• тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники, свойствах, рецептурах или технологиях производства новых видов ракетного топлива или взрывчатых веществ военного назначения;