Системы анализа и моделирования информационных потоков (CASE-системы)

DLP-системы строятся на анализе  потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

4.Анализаторы  протоколов

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов. Во время работы сниффера сетевой интерфейс переключается в т. н. «режим прослушивания» (Promiscuous mode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети.

Перехват трафика может осуществляться:

• обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
• подключением сниффера в разрыв канала;
• ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;
• через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
• через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

Снифферы применяются как в  благих, так и в деструктивных  целях. Анализ прошедшего через сниффер  трафика позволяет:

• Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
• Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).
• Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
• Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)

5.Антивирусные  средства

Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).

Антивирусное программное обеспечение  состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

 Методы обнаружения вирусов

Антивирусное программное обеспечение  обычно использует два отличных друг от друга метода для выполнения своих задач:

• Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.
• Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

.

Рис.3.

6.Межсетевые  экраны

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной  задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

 Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.

 Типичные возможности

• фильтрация доступа к заведомо незащищенным службам;
• препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
• контроль доступа к узлам сети;
• может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;
• регламентирование порядка доступа к сети;
• уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Вследствие защитных ограничений  могут быть заблокированы некоторые  необходимые пользователю службы, такие  как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.

Так же следует отметить, что использование  файрвола увеличивает время отклика  и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

 Проблемы, не решаемые файрволом

Межсетевой экран сам по себе не панацея ото всех угроз для  сети. В частности, он:

• не защищает узлы сети от проникновения через «люки» (англ. Back doors);
• не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
• не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

 

Рис.4.

7.Криптографические  средства.

7.1.Шифрование.

Шифрова́ние — способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи. Согласно ГОСТ 28147-89, шифрование подразделяется на процесс зашифровывания и расшифровывания. В зависимости от алгоритма преобразования данных, методы шифрования подразделяются на гарантированной или временной криптостойкости. В зависимости от структуры используемых ключей методы шифрования подразделяются на

• симметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, но неизвестна небольшая порция секретной информации — ключа, одинакового для отправителя и получателя сообщения;
• асимметричное шифрование: посторонним лицам может быть известен алгоритм шифрования, и, возможно, открытый ключ, но неизвестен закрытый ключ, известный только получателю.

7.2.Цифровая  подпись.

Электро́нная цифрова́я  по́дпись (ЭЦП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 3 и определяет ЭЦП так:

«Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе»

В Законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» прописаны условия использования ЭЦП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭЦП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

8.Системы резервного  копирования.

Резервное копирование (англ. backup) — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения..

9.Системы бесперебойного  питания: 

9.1.Источники бесперебойного питания.

Исто́чник бесперебо́йного  пита́ния, (ИБП) (англ. Uninterruptible Power Supply, UPS) — источник вторичного электропитания, автоматическое устройство, назначение которого обеспечить подключенное к нему электрооборудование бесперебойным снабжением электрической энергией в пределах нормы.

ГОСТ 13109-87 определяет следующие нормы  в электропитающей сети: напряжение 220 В + 10 %; частота 50 Гц + 1 Гц; коэффициент нелинейных искажений формы напряжения менее 8 % (длительно) и менее 12 % (кратковременно).

Неполадками в питающей сети считаются:

• авария сетевого напряжения (напряжение в питающей сети полностью пропало);
• высоковольтные импульсные помехи (резкое увеличение напряжения до 6 кВ продолжительностью от 10 до 100 мс);
• долговременные и кратковременные подсадки и всплески напряжения;
• высокочастотный шум (высокочастотные помехи, передаваемые по электросети);
• побег частоты (отклонение частоты более чем на 3 Гц).

Массовое использование ИБП  связано с обеспечением бесперебойной  работы компьютеров, позволяющее подключенному к ИБП оборудованию при пропадании электрического тока или при выходе его параметров за допустимые нормы, некоторое непродолжительное (как правило — до одного часа) время продолжить работу. Кроме компьютеров, ИБП обеспечивают питанием и другую электрическую нагрузку, критичную к наличию питания с нормальными параметрам электропитающей сети, например схемы управления отопительными котлами. ИБП способен корректировать параметры (напряжение, частоту) выходной сети. Может совмещаться с различными видами генераторов электроэнергии (например, дизель-генератором).

Важными показателями, обуславливающими выбор схемы построения ИБП являются время переключения нагрузки на питание  от аккумуляторных батарей и время  работы от аккумуляторной батареи.

9.2.Резервирование  нагрузки;

9.3.Генераторы  напряжения.

Электри́ческий генера́тор — это устройство, в котором неэлектрические виды энергии (механическая, химическая, тепловая) преобразуются в электрическую энергию.

 

10.Системы  аутентификации:

10.1.Пароль.

• Пароль (фр. parole — слово) — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для

Методы передачи пароля через сеть

 Простая передача пароля

Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.

Передача через зашифрованные каналы

Риск перехвата паролей через  Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL, такие функции встроены во многие браузеры Интернета.

 Базирующийся на хешах

Пароль передается на сервер уже  в виде хэша (например, при отправке формы на web-странице пароль преобразуется  в md5-хэш при помощи JavaScript), и на сервере полученный хэш сравнивается с хэшем, хранящимся в БД. Такой  способ передачи пароля снижает риск получения пароля при помощи сниффера

 Методы защиты от атаки

Методы защиты можно разделить  на две категории: обеспечение стойкости  к взлому самого пароля, и предотвращение реализации атаки. Первая цель может  быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.

Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов;

 

 

10.2.Ключ доступа  (физический или электронный);

10.3.Сертификат

Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.