1. Место информационной безопасности в системе национальной безопасности
Скачать 453.88 Kb.
|
Основные понятияДалее будут часто встречаться такие термины, как угрозы, уязвимости и атаки. Поэтому необходимо дать определения этим понятиям. Угроза - это потенциально возможное событие, явление или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы. Атака - это любое действие нарушителя, которое приводит к реализации угрозы путём использования уязвимостей информационной системы. Классификация уязвимостейИз определений видно, что, производя атаку, нарушитель использует уязвимости информационной системы. Иначе говоря, если нет уязвимости, то невозможна и атака, её использующая. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Рассмотрим различные варианты классификации уязвимостей. Такая классификация нужна, например, для создания базы данных уязвимостей, которая может пополняться по мере обнаружения новых уязвимостей. Источники возникновения уязвимостей Часть уязвимостей закладывается ещё на этапе проектирования. В качестве примера можно привести сервис TELNET , в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда . передачи. Другая часть уязвимостей возникает на этапе реализации (программирования). К таким уязвимостям относятся, например, ошибки программирования стека TCP/IP приводящие к отказу в обслуживании. Сюда следует отнести и ошибки при написании приложений, приводящие к переполнению буфера. И, наконец, уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы. Сюда относятся неверное конфигурирование операционных систем, протоколов и служб, нестойкие пароли пользователей и др. Классификация уязвимостей по уровню в инфраструктуре АС Следующий вариант классификации - по уровню информационной структуры организации. Это наиболее наглядный вариант классификации, т. к. он показывает, что конкретно уязвимо. К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI , IPX / SPX . Уровень операционной системы охватывает уязвимости Windows , UNIX , Novell и т. д., т.е. конкретной ОС. На уровне баз данных находятся уязвимости конкретных СУБД - Oracle , MSSQL , Sybase . Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью любой компании. К уровню приложений относятся уязвимости программного обеспечения WEB , SMTP серверов и т. п. Классификация уязвимостей по степени риска Этот вариант классификации достаточно условный, однако, если придерживаться взгляда компании Internet Security Systems , можно выделить три уровня риска: Высокий уровень риска Уязвимости, позволяющие атакующему получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов, или иных средств защиты. Средний уровень риска Уязвимости, позволяющие атакующему получить информацию, которая с высокой степенью вероятности позволит получить доступ к узлу. Низкий уровень риска Уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе. Информацию об известных обнаруженных уязвимостях можно найти на сайтах, таких как: www.iss.net- компания Internet Security Systems (ISS); www.cert.org- координационный центр CERT; www.sans.org - институт системного администрирования, сетевых технологий и защиты; www.ciac.org - группа реагирования на инциденты в области компьютерной безопасности; www.securityfocus.com - информация об обнаруженных уязвимостях с подробными пояснениями и группой новостей. Примеры уязвимостей (база данных компанииISS) Название:nt - getadmin - present Описание:проблема одной из функций ядра ОС Windows NT , позволяющая злоумышленнику получить привилегии администратора Уровень: ОС Степень риска:высокая Источник возникновения:ошибки реализации Название:ip-fragment-reassembly-dos Описание:посылка большого числа одинаковых фрагментов IP -датаграммы приводит к недоступности узла на время атаки Уровень:сеть Степень риска:средняя Источник возникновения:ошибки реализации Что такое CVE ? CommonVulnerabilitiesandExposures ( CVE ) - это список стандартных названий для общеизвестных уязвимостей. Основное назначение CVE - это согласование различных баз данных уязвимостей и инструментов, использующих такие базы данных. Например, одна и та же уязвимость может иметь различные названия в базе данных Internet Scanner и CyberCop Scanner . Появление CVE - это результат совместных усилий известных мировых лидеров в области информационной безопасности: институтов, производителей ПО и т.д. Поддержку CVE осуществляет MITRE Corporation ( www . mitre . org ). Процесс получения индекса CVE ( CVE entry ) начинается с обнаружения уязвимости. Затем уязвимости присваивается статус кандидата CVE и соответствующий номер ( CVE candidate number ). После этого происходит обсуждение кандидатуры при помощи CVE Editorial Board и вынесение решения о получении или неполучении индекса CVE . CVEкандидат С кандидатом CVE ассоциируются номер, краткое описание и ссылки. Номер, также называемый именем, состоит из года и уникального индекса, например, CAN -1999-0067. После утверждения кандидатуры аббревиатура « CAN » заменяется на « CVE ». CVEentry После получения статуса CVEentry уязвимости присваиваются номер, краткое описание и ссылки, например, CVE -1999-0067. И затем она публикуется на сайте. Зная индекс CVE , можно быстро найти описание уязвимости и способы её устранения. Примеры CVE-1999-0005 Arbitrary command execution via IMAP buffer overflow in authenticate command. Reference:CERT:CA-98.09.imapd Reference:SUN:00177. Reference:BID: 130 Reference:XF:imap-authenticate-bo CVE-2000-0482 Check Point Firewall-1 allows remote attackers to cause a denial of service by sending a large number of malformed fragmented IP packets. Reference:BUGTRAQ:20000605 FW-1 IP Fragmentation Vulnerability Reference:CONFIRM: http://www.checkpoint.com/techsupport/alerts/list_vun#IP_Fragmentation Reference:BID: 1312 Reference:XF:fw1-packet-fragment-dos Подробнее узнать о CVE и получить список CVEentry можно по адресу: http ://cve .mitre .org /cve. |