Структура ВС и принципы ее функционирования

Скачать презентацию Структура ВС и принципы ее функционирования Скачать презентацию Структура ВС и принципы ее функционирования

tzi_-_lekciya_4-5_2011.ppt

  • Размер: 6.6 Мб
  • Автор:
  • Количество слайдов: 45

Описание презентации Структура ВС и принципы ее функционирования по слайдам

 Структура ВС и принципы ее функционирования Классификация вторжений в ВС Классы защиты информации Структура ВС и принципы ее функционирования Классификация вторжений в ВС Классы защиты информации в ВС Средства и методы ограничения доступа к файлам

Целостность ресурсов ВС предполагает выполнение следующих условий: все ресурсы ВС всегда доступны пользователям независимоЦелостность ресурсов ВС предполагает выполнение следующих условий: все ресурсы ВС всегда доступны пользователям независимо от надежности технического или качества программного видов обеспечения, а также несанкционированных действий наиболее важные ресурсы всегда доступны независимо от попыток их разрушения защита от разрушения данныхзащита от потери данных

(сбор, хранение, использование и распространение информации)  (сбор, хранение, использование и распространение информации)

Можно  предположить, что  существует угроза  искажения  информации в любой точкеМожно предположить, что существует угроза искажения информации в любой точке ВС, начиная от места ввода сообщения в сеть до места назначения. Возрастающая сложность определяется следующими факторами: Географическая распределенность системы. Сеть объединяет различные устройства, средства управления, различные типы компьютеров, операционные системы и т. д. Сетевая структура приводит к росту сложности вычислительной системы.

Процессор Центр автоматиче ской коммутаци и. ПЕРЕХВАТ ОТВОДЫ ИЗЛУЧЕНИЕ ОТВОДЫ Линии связи. ИЗЛУЧЕНИЕ АППАРАТУРАПроцессор Центр автоматиче ской коммутаци и. ПЕРЕХВАТ ОТВОДЫ ИЗЛУЧЕНИЕ ОТВОДЫ Линии связи. ИЗЛУЧЕНИЕ АППАРАТУРА Вторжение в линию связи Взаимовлияние линий связи. ФАЙЛЫ Кража Копирование НСД АППАРАТУРА ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ Попытки преодолеть защиту Управление доступом Идентификация пользователя Управление ограничениями ОПЕРАТОР Может заменить защищенный монитор на незащищенный Выявляет механизмы защиты ИНЖЕНЕР ПО ЭКСПЛУАТАЦИИ Нарушает защиту технических средств Использует автономные утилиты для доступа к файлам и входа в систему СИСТЕМНЫЙ ПРОГРАММИСТ Нарушает защиту ПО Обеспечивает себе право входа в систему Выявляет механизмы защиты ПОЛЬЗОВАТЕЛЬУдаленные терминалы ДОСТУП Попытки получить копию (лента, валик, т. п. ) Идентифика ция Подтвержде ние подлинности. ИЗЛУЧЕНИЕ

При пассивном  вторжении нарушитель только наблюдает за прохождением информации по линии связи, При пассивном вторжении нарушитель только наблюдает за прохождением информации по линии связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. • Как правило, злоумышленник выполняет анализ потока сообщений (трафика) • фиксирует пункты назначений и идентификаторы • факт прохождения сообщения • длину сообщения и частоту обмена. При активном вторжении нарушитель стремится подменить информацию, передаваемую в сообщении • Он может выборочно модифицировать, изменить или добавить правильное или неправильное сообщение, удалить, задержать или изменить порядок следования сообщений. Злоумышленник при вторжении в ВС может использовать как пассивные, так и активные методы вторжения.

 ВС защищена,  если все операции выполняются в соответствии со строго определенными правилами, ВС защищена, если все операции выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов сети, ее ресурсов и операций Для выявления всех угрозы в ВС, проводят три стадии анализа: анализ требовании к защите анализ способов защиты анализ возможных реализаций функций, процедур и средств защиты

 Первая стадия - выработка требований – включает: › анализ уязвимых элементов ВС; › Первая стадия — выработка требований – включает: › анализ уязвимых элементов ВС; › оценку угроз › анализ риска

 Вторая стадия - определение способов защиты - включает ответы на следующие вопросы: › Вторая стадия — определение способов защиты — включает ответы на следующие вопросы: › какие угрозы должны быть устранены и в какой мере? › какие ресурсы сети должны быть защищены и в какой степени? › с помощью каких средств должна быть реализована защита? › каковы должны быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?

 Третья стадия - определение функций,  процедур и средств защиты,  реализуемых в Третья стадия — определение функций, процедур и средств защиты, реализуемых в виде некоторых механизмов защиты Функции, требования и механизмы защиты можно свести к: › защите объектов ВС; › защите линий связи; › защите баз данных; › защите подсистем управления ВС.

1. Сбои оборудования: • - сбои кабельной системы;  • - перебои электропитания; 1. Сбои оборудования: • — сбои кабельной системы; • — перебои электропитания; • — сбои дисковых систем; • — сбои систем архивации данных; • — сбои работы серверов, рабочих станций, сетевых карт и т. д. ; 2. Потери информации из-за некорректной работы ПО: • — потеря или изменение данных при ошибках ПО; • — потери при заражении системы компьютерными вирусами; 3. Потери, связанные с несанкционированным доступом: • — несанкционированное копирование, уничтожение или подделка информации; • — ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц; 4. Потери информации, связанные с неправильным хранением архивных данных. 5. Ошибки обслуживающего персонала и пользователей: • — случайное уничтожение или изменение данных; • — некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

 • средства защиты кабельной системы • средства защиты систем электропитания • средства архивации • средства защиты кабельной системы • средства защиты систем электропитания • средства архивации • дисковые массивы и т. д. средства физической защиты • антивирусные программы • системы разграничения полномочий • программные средства контроля доступа. программные средства защиты • реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства. смешанные средства защиты • контроль доступа в помещения • разработка стратегии безопасности фирмы • разработка планов действий в чрезвычайных ситуациях и т. д. административные меры защиты

 Кабельная система Применение СКС использование одинаковых кабелей для передачи данных в ЛВС, Кабельная система Применение СКС использование одинаковых кабелей для передачи данных в ЛВС, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем СКС состо ит из. Внешней подсисте мы Аппарат ных Админис -тративн ой подсисте мы Магистр али. Горизон- тальной подсисте мы. Рабочих мест

 Системы электроснабжения Проблемы систем электроснабжения Кратковременное отключение электроэнергии • Установка источников бесперебойного питания Системы электроснабжения Проблемы систем электроснабжения Кратковременное отключение электроэнергии • Установка источников бесперебойного питания Перепады напряжения • Установка стабилизаторов напряжения Длительное отключение электроэнергии • Применение аварийных электрогенераторов

 Системы архивирования и резервирования информации Резервное копирование процесс создания копии данных на носителе, Системы архивирования и резервирования информации Резервное копирование процесс создания копии данных на носителе, предназначенный для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения. Электронное архивирование хранение электронной информации (электронных документов) в неизменном виде.

Виды резервного копирования • Полное резервирование Full Backup • Дифференциальное резервирование Differential Backup •Виды резервного копирования • Полное резервирование Full Backup • Дифференциальное резервирование Differential Backup • Добавочное резервирование Incremental Backup • Пофайловый метод • Блочное инкрементальное копирование Block Level Incremental Схемы ротации • Одноразовое копирование; • Простая ротация; • «Дед, отец, сын» ; • «Ханойская башня» ; • « 10 наборов» .

Хранение резервной копии • Лента стримера — запись резервных данных на магнитную ленту стримера.Хранение резервной копии • Лента стримера — запись резервных данных на магнитную ленту стримера. • DVD или CD — запись резервных данных на компактные диски. • HDD — запись резервных данных на жёсткий диск компьютера. • LAN — запись резервных данных на любую машину внутри локальной сети. • FTP — запись резервных данных на FTP-серверы. • USB — запись резервных данных на любое USB-совместимое устройство (такое, как флэш-карта или внешний жёсткий диск)

 • шторм,  землетрясение,  воры,  пожар,  прорыв водопровода,  т. • шторм, землетрясение, воры, пожар, прорыв водопровода, т. п. приводит к потере всех носителей данных, расположенных на определённой территории • держать часть резервных копий в другом помещении, городе. единственный способ защиты от стихийных бедствий

Встроенные средства защиты информации Антивирусная программа Программы шифрования и криптографические системы Межсетевые экраны (такжеВстроенные средства защиты информации Антивирусная программа Программы шифрования и криптографические системы Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена» ). Proxy-servers VPN (виртуальная частная сеть)

 • Проверить обновления; проверить статус безопасности; включить автоматические обновления; проверить статус брэндмауэра; • Проверить обновления; проверить статус безопасности; включить автоматические обновления; проверить статус брэндмауэра; затребовать ввод пароля при включении. Центр безопасности • Включить и выключить брэндмауэр Windows; позволить программе работать через брэндмауэр Windows. Брэндмауэр Windows • Включить автоматические обновления; проверять обновления; просмотреть установленные обновления. Обновления Windows • Сканировать на наличие «шпионского» и другого потенциально нежелательного ПО. Защитник Windows • Изменить параметры безопасности; удалить cookies; очистить историю. Параметры Интернет • Установить родительский контроль для любого пользователя; просмотреть отчеты о действиях. Родительский контроль • позволяет защищать данные путём полного шифрования дисков. Протокол Bit. Locker Drive Encryption

 Часто злоумышленник осуществляет НСДИ, используя: › знания о КС и умения работать с Часто злоумышленник осуществляет НСДИ, используя: › знания о КС и умения работать с ней; › сведения о системе защиты информации; › сбои, отказы технических и программных средств; › ошибки, небрежность обслуживающего персонала и пользователей. Для защиты информации от НСД создается система разграничения доступа к информации

Решение владельца (администратора) КС о допуске пользователей к определенным информационным ресурсам КС Создание системыРешение владельца (администратора) КС о допуске пользователей к определенным информационным ресурсам КС Создание системы разграничения доступа (СРД ) При определении полномочий доступа администратор устанавливает операции, которые разрешено выполнять пользователю (субъекту доступа).

Различают следующие операции с файлами: Чтение ( R) Запись Субъекту доступа может быть даноРазличают следующие операции с файлами: Чтение ( R) Запись Субъекту доступа может быть дано право осуществля ть запись с изменением содержимог о файла (W) Разрешение только дописывани я в файл, без изменения старого содержимог о (А) Выполнен ие программ (Е)

Подходы к организации разграничения доступа: матричный предполага ет использован ие матриц доступа Матрица доступаПодходы к организации разграничения доступа: матричный предполага ет использован ие матриц доступа Матрица доступа – таблица с допустимым и операциями Полномочный (мандатный). Документу присваивает ся уровень конфиденци аль — ности Субъектам доступа устанавлива ется уровень допуска

 Дешевые и доступные коммуникационные каналы Internet Универсальность Доступ к разнообразной информации и услугам Дешевые и доступные коммуникационные каналы Internet Универсальность Доступ к разнообразной информации и услугам Internet Простота использования

 Брандмауэр - метод защиты сети от угроз безопасности,  исходящих от других систем Брандмауэр — метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на: традиционный сетевой (или межсетевой) экран программа на шлюзе или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями. персональный сетевой экран программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера. Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны,В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на: сетевом уровне сеансовом уровне (также известные как stateful) уровне приложений

В зависимости от отслеживания активных соединений сетевые экраны бывают: stateless (простая фильтрация), не отслеживаютВ зависимости от отслеживания активных соединений сетевые экраны бывают: stateless (простая фильтрация), не отслеживают текущие соединения, а фильтруют поток данных исключительно на основе статических правил; stateful, stateful packet inspection, с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Создание брандмауэра относится к решению задачи экранирования  Создание брандмауэра относится к решению задачи экранирования

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой Внешний межсетевой экран МежсетевойМежсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой Внешний межсетевой экран Межсетевой экран располагается между внешними сетями или другими сегментами корпоративной сети Внутренний межсетевой экран Межсетевой экран — идеальное место для встраивания средств активного аудита. На него целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам

Внешняя сеть Граничный маршрутизатор с экранирующими функциями Демилитаризованная зона (внешние информационные сервисы организации; Внешняя сеть Граничный маршрутизатор с экранирующими функциями Демилитаризованная зона (внешние информационные сервисы организации; Web -сервер, почтовый сервер и т. п. ) Основной межсетевой экран Внутренняя сеть

 Обеспечивается теми же средствами,  что и защищенность универсальных систем › физическая защита Обеспечивается теми же средствами, что и защищенность универсальных систем › физическая защита › идентификация и аутентификация › разграничение доступа › контроль целостности › протоколирование › аудит

Достоинства:  • может значительно повысить безопасность сети и уменьшить риск для хостов подсети,Достоинства: • может значительно повысить безопасность сети и уменьшить риск для хостов подсети, фильтруя заведомо незащищенные службы. ; • может препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб; • может регистрировать все попытки доступа и предоставлять необходимую статистику об использовании Internet; • может сообщать с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности; • предоставляет средства регламентирования порядка доступа к сети, тогда как без файрвоол этот порядок целиком зависит от совместных действий пользователей. Недостатки: • может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, Windows, NFS, и т. д. ; • не защищает объект от проникновения через «люки» (back doors); • не обеспечивает защиту от внутренних угроз; • не защищает от загрузки пользователями зараженных вирусами программ из архивов Internet или от передачи таких программ через электронную почту; • обладает низкой пропускной способностью, поскольку через него осуществляются все соединения, а в некоторых случаях еще и подвергаются фильтрации; • все средства безопасности сосредоточены в одном месте, а не распределены между системами.

Сервис анализа защищенност и предназначен для выявления уязвимых мест с целью их оперативной ликвидацииСервис анализа защищенност и предназначен для выявления уязвимых мест с целью их оперативной ликвидации этот сервис ни от чего не защищает но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник «оперативные» бреши, ( ошибки администрирования, невнимание к обновлению

Выявляемые бреши • наличие вредоносного ПО (в частности,  вирусов) • слабые пароли пользователейВыявляемые бреши • наличие вредоносного ПО (в частности, вирусов) • слабые пароли пользователей • неудачно сконфигурированные операционные системы • небезопасные сетевые сервисы • неустановленные обновления и заплаты • уязвимости в приложениях и т. д.

Анализ защищенности может производится путем пассивного анализа ( изучение конфигурационных файлов,  задействованных портовАнализ защищенности может производится путем пассивного анализа ( изучение конфигурационных файлов, задействованных портов и т. п. ) путем имитации действий атакующего