Анализаторы системных вызовов
Анализаторы системных вызовов осуществляют анализ вызовов между приложениями и операционной системой для идентификации событий, связанных с безопасностью. Датчики HIDS данного типа размещают программную спайку между операционной системой и приложениями. Когда приложению требуется выполнить действие, его вызов операционной системы анализируется и сопоставляется с базой данных признаков. Эти признаки являются примерами различных типов поведения, которые являют собой атакующие действия, или объектом интереса для администратора IDS.
Анализаторы поведения приложений
Анализаторы поведения приложений аналогичны анализаторам системных вызовов в том, что они применяются в виде программной спайки между приложениями и операционной системой. В анализаторах поведения датчик проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствие вызова признакам атак.
Контролеры целостности файлов
Контролеры целостности файлов отслеживают изменения в файлах. Это осуществляется посредством использования криптографической контрольной суммы или цифровой подписи файла. Конечная цифровая подпись файла будет изменена, если произойдет изменение хотя бы малой части исходного файла (это могут быть атрибуты файла, такие как время и дата создания). Алгоритмы, используемые для выполнения этого процесса, разрабатывались с целью максимального снижения возможности для внесения изменений в файл с сохранением прежней подписи.
При изначальной конфигурации датчика каждый файл, подлежащий мониторингу, подвергается обработке алгоритмом для создания начальной подписи. Полученное число сохраняется в безопасном месте. Периодически для каждого файла эта подпись пересчитывается и сопоставляется с оригиналом. Если подписи совпадают, это означает, что файл не был изменен. Если соответствия нет, значит, в файл были внесены изменения.
Сетевые IDS
NIDS представляет собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в системе в неразборчивый режим работы, при котором сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспечение NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется соответствующее событие.
На данный момент большинство систем NIDS базируется на признаках атак. Это означает, что в системы встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS не замечает эту атаку. NIDS-системы позволяют указывать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслеживания трафика, не соответствующего признакам атак.
Чаще всего при применении NIDS используются две сетевые карты (см. рис. 33.). Одна карта используется для мониторинга сети. Эта карта работает в "скрытом" режиме, поэтому она не имеет IP-адреса и, следовательно, не отвечает на входящие соединения.
У скрытой карты отсутствует стек протоколов, поэтому она не может отвечать на такие информационные пакеты, как пинг-запросы. Вторая сетевая карта используется для соединения с системой управления IDS и для отправки сигналов тревоги. Эта карта присоединяется ко внутренней сети, невидимой для той сети, в отношении которой производится мониторинг.
Рис. 33. Конфигурация NIDS с двумя сетевыми картами
Список литературы:
1. Концепция национальной безопасности Российской Федерации (в редакции Указа Президента РФ от 10 января 2000 года № 24).
2. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 9 сентября 2000 г. № Пр-1895).
3. Закон РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4. ГОСТ 50922-2006 «Защита информации. Основные термины и определения».
5. Закон РФ от 12 августа 1995 года № 144-ФЗ «Об оперативно-розыскной деятельности».
6. Кодекс РФ об административных правонарушениях;
7. Уголовный кодекс РФ;
8. Руководящие документы ФСТЭК – «Основные термины и определения».
9. Р_50.1.056-2005 - Техническая защита информации - Основные термины и определения.
10. ГОСТ Р ИСО/МЭК 19794-2-2005 - Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки. Аналог ISO/IEC 19794-2:2005.
11. ГОСТ Р ИСО/МЭК 19794-4-2006 - Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца. Аналог ISO/IEC 19794-4:2005.
12. ГОСТ Р ИСО/МЭК 19794-5-2006 - Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица. Аналог ISO/IEC 19794-5:2005.
13. ГОСТ Р ИСО/МЭК 19794-6-2006 Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза. Аналог ISO/IEC 19794-6:2005.
14. ГОСТ Р ИСО/МЭК 13335-1-2006 – Информационная технология - Методы и средства обеспечения безопасности – Часть 1: Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Аналог ISO/IEC 13335-1:2004.
15. ГОСТ Р ИСО/МЭК 13335-3-2007 - Информационная технология - Методы и средства обеспечения безопасности - Часть 3: Методы менеджмента безопасности информационных технологий. Аналог ISO/IEC TR 13335-3:1998.
16. ГОСТ Р ИСО/МЭК 13335-4-2007 - Информационная технология - Методы и средства обеспечения безопасности - Часть 4: Выбор защитных мер. Аналог ISO/IEC TR 13335-4:2000.
17. ГОСТ Р ИСО/МЭК 13335-5-2006 - Информационная технология - Методы и средства обеспечения безопасности - Часть 5: Руководство по менеджменту безопасности сети. Аналог ISO/IEC TR 13335-5:2001.
18. ГОСТ Р ИСО/МЭК 15408-1-2-3-2002 - Информационная технология - Методы и средства обеспечения безопасности – Критерии оценки безопасности информационных технологий – Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Требования доверия и безопасности. Аналог ISO/IEC 15408-1-2-3-1999.
19. ГОСТ Р ИСО/МЭК 17799-2005 - Информационная технология – Практические правила управления безопасностью. Аналог ISO/IEC 17799:2000.
20. ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию.
21. ГОСТ Р 51897-2002 - Менеджмент риска. Термины и определения.
22. ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.
23. ГОСТ Р 51901.1-2002 - Управление надежностью - Анализ риска технологических систем.
24. ГОСТ Р 51901.2-2005 - Менеджмент риска - Системы менеджмента надежности. Аналог IEC 60300-1:2003.
25. ГОСТ Р 51901.5-2005 - Менеджмент риска – Руководство по применению методов анализа надежности. Аналог IEC 60300-3:2003.
26. ГОСТ Р 51901.14-2005 - Менеджмент риска - Метод структурной схемы надежности. Аналог IEC 61078:1991.
27. ГОСТ Р 51901.16-2005 - Менеджмент риска - Повышение надежности – Статистические критерии и методы оценки. Аналог IEC 61164:1995.
28. Закон РФ от 21 июля 1993 года № 5485-1 «О государственной тайне».
29. Закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
30. Федеральный закон РФ от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи».
31. Перечень сведений, отнесенных к государственной тайне (утв. Указом Президента РФ от 30 ноября 1995 года № 1203).
32. Перечень сведений конфиденциального характера (утв. Указом Президента РФ от 6 марта 1997 года № 188 (в ред. Указа Президента РФ от 23 сентября 2005 года № 1111)).
33. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие.- М.: Логос; ПБОЮЛ Н.А.Егоров, 2001.- 264с: ил.
34. Конеев И., Беляев А. Информационная безопасность предприятия. - СПб.: БХВ - Петербург, 2003.- 752с.: ил.
35. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - СПб.: Наука и техника, 2004.
36. Основы информационной безопасности. Учебное пособие для вузов /Е.Б.Белов, В.П.Лось, Р.В.Мещериков, А.А.Шелупанов.- М.: Горячая линия – Телеком, 2006.-544с.:ил
37. Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие. – М.: Горячая линия-Телеком, 2005.- 416 с.
38. Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие/Издание третье – М.: ИНТУИТ.РУ, 2006г.
39. Касперски К. Записки исследователя компьютерных вирусов. – СПб.:Питер, 2005г.
40. Куприянов А.И., Сахаров А.В.,Шевцов В.А. Основы защиты информации: учебное пособие для студентов высш. учеб. Заведений . – М.: Издательский центр «Академия», 2006г.
41. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. – М.: Академический проект, Гаудеамус, 2-е изд. – 2004г.
42. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: - Старый Оскол: ООО «ТНТ», 2005г.
43. Родичев Ю.А. Информационная безопасность: нормативно-правовые аспекты: Учебное пособие, изд. Питер, 2008г.
44. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства, изд. ДМК-Пресс, 2008г
45. Расторгуев С.П. Основы информационной безопасности, изд. Академия, 2007г.
46. Петраков А.В. Основы практической защиты информации: Учебное пособие, изд. Солон-пресс, 2005г
47. Губенков А.А., Бойбурин П.Б. Информационная безопасность, изд. Новый издательский дом, 2005г.
48. Дворянкин С.В., Минаев В.А., Никитин.М.М., Скрыл А.А. Правовое обеспечение информационной безопасности, изд. Маросейка, 2008г.
49. Семкин С.Н., Беляков Э.В. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие, изд. Гелиос, 2005г.
ОГЛАВЛЕНИЕ
| Введение………………………………………………………………….. | |
| Лекция 1. Основные понятия информационной безопасности и защиты информации | |
| 1.1.Основные понятия информационной безопасности и защиты информации…………………………………………………………….. | |
| 1.2.Основные составляющие национальных интересов в информационной сфере…………………………………………………. | |
| 1.3.Виды и источники угроз информационной безопасности страны…. | |
| 1.4.Принципы государственной политики обеспечения информационной безопасности Российской Федерации…………… | |
| 1.5.Обеспечение информационной безопасности в общегосударственных информационных и телекоммуникационных системах (в том числе и в ОВД)………………………………………… | |
| 1.6.Важнейшие составляющие интересов в информационной сфере и основные угрозы информационной безопасности органов внутренних дел………………………………………………………………………… | |
| Лекция 2. Организационно-правовые основы защиты информации в органах внутренних дел | |
| 2.1.Понятие информации, особенно охраняемой законодательством России……………………………………………………………………… | |
| 2.2.Комплексный подход к защите информации……………………… | |
| 2.3.Ответственность за совершение информационных и компьютерных преступлений…………………………………………………………….. | |
| 2.4.Основные способы защиты информации…………………………. | |
| 2.5.Обеспечение информационной безопасности в условиях проведения оперативно-розыскных мероприятий сотрудниками ОВД | |
| Лекция 3. Защита информации от утечки на объектах информатизации органов внутренних дел | |
| 3.1.Понятие каналов утечки информации ограниченного доступа объектов информатизации ОВД………………………………………… | |
| 3.2.Общая характеристика технических средств несанкционированного получения информации и технологий их применения………………………………………………………………. | |
| 3.3.Основные направления инженерно-технической защиты информации от утечки………………………………………………….. | |
| 3.4.Проведение специальных проверок объектов информатизации… | |
| Лекция 4. Защита информационных процессов в компьютерных системах | |
| 4.1.Основные понятия и положения защиты информации в компьютерных системах (КС)…………………………………………… | |
| 4.2.Основные угрозы безопасности информации в компьютерных системах (КС)……………………………………………………………. | |
| 4.3.Методы и средства несанкционированного доступа к информации | |
| 4.4.Основные способы защиты информации в компьютерных системах | |
| 4.5.Методы криптографической защиты……………………………… | |
| 4.6.Вредоносные программы…………………………………………… | |
| Лекция 5. Защита информации в телекоммуникационных системах | |
| 5.1.Угрозы безопасности современных вычислительных сетей……… | |
| 5.2.Понятие, определение и управление рисками……………………. | |
| 5.3.Хакеры……………………………………………………………….. | |
| 5.4.Обеспечение информационной безопасности…………………….. | |
| 5.5.Межсетевые экраны………………………………………………….. | |
| 5.6.Системы обнаружения вторжений…………………………………. | |
| Список литературы……………………………………………………… |