• Дисциплины
• Виды работ

Политика безопасности при работе в Интернете

Дипломная работа - Компьютеры, программирование

Другие дипломы по предмету Компьютеры, программирование

?ы положений политики безопасности о обнаружении происшествий.

5.5.2. Методы обнаружения происшествия

Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Существует ряд методов для обнаружения вторжения злоумышленника.

Независимо от того, какой метод используется, организация должна иметь специальную группу для расследования происшествий. Этот могут быть ответственные за прием звонков от пользователей о подозрениях на происшествие, или это может быть специальная группа, использующая предупредительные меры и средства для предотвращения происшествий. "NIST Computer Security Handbook" содержит более подробную информацию о создании этой группы, а в центрах CERT и CIAC можно найти много полезной информации для этой группы и получить оперативную консультацию.

Одним из методов является пассивное ожидание заявлений от пользователей о подозрительных событиях. Обычно в заявлениях может сообщаться, что какие-то файлы изменились или были удалены, или что диски на серверах заполнены до отказа по непонятным причинам. Достоинством этого метода является то, что его легко реализовать. Но у него имеется ряд серьезных недостатков. Ясно, что такой метод не обеспечит дополнительной защиты информационных систем или гарантий выполнения политики безопасности. Умные атакующие вообще не будут делать ничего такого, что приведет к появлению подозрительных симптомов. Со временем станет ясно, что сеть была атакована, но будет слишком поздно, чтобы предотвратить ущерб организации. В худшем случае первым признаком того, что что-то не в порядке, может оказаться появление в организации сотрудников правоохранительных органов или репортеров.

Другим методом является периодический анализ журналов, поиск в них сообщений о необычных событиях. Такими событиями могут быть большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д. Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем. Часто эти возможности по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Если протоколирование встроено в операционную систему или приложение, и эта операционная система или приложение недостаточно защищены от атак, этот метод может быть обойден умными атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.

Можно легко создать средства мониторинга на основе стандартных утилит операционной системы, используя вместе различные программы. Например, может быть создан список контрольных проверок правильности установок полномочий по доступу к файлам. Этот список может потом периодически сопоставляться с текущими установками полномочий по доступу. Различия могут свидетельствовать о неавторизованных модификациях, произведенных в системе.

Важно не делать наблюдение по графику. Системные администраторы могут периодически выполнять многие из команд, используемых для наблюдения, в течение дня. Если они, кроме того, выполняют ряд команд в случайные моменты времени, злоумышленнику становится труднее предсказать ваши действия. Например, если злоумышленник знает, что в 5 часов утра система проверяется на то, что все пользователи отключились, он просто подождет некоторое время, и после завершения этой проверки подключится к системе. Но если системный администратор осуществляет наблюдение в случайные моменты времени дня, злоумышленник не сможет угадать, когда это будет и будет подвергаться большему риску быть обнаруженным.

Средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки. Требуются определенные затраты времени системного администратора, чтобы гарантировать правильность проверок целостности. Так как механизмы безопасности не являются частью операционной системы или приложения, становится гораздо менее вероятным, что атакующий сможет скрыть свои следы. К сожалению, эти средства могут быть полезны только для выявления атак, связанных с модификацией системных модулей и не могут выявить другие атаки, например, те, в ходе которых информация крадется с помощью копирования файлов.

Сигналы тревоги и предупреждения от систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как брандмауэры и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визу

• На первую страницу
• Назад
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• Далее
• На последнюю страницу