Тема 1.3. Обеспечение безопасности компьютерных систем и сетей. Безопасность компьютерных систем презентация

Содержание

Слайд 2

Лекция. Безопасность компьютерных систем. ТЕМА 1.3. Обеспечение безопасности компьютерных систем

Лекция. Безопасность компьютерных систем.

ТЕМА 1.3. Обеспечение безопасности компьютерных систем и сетей


План занятия:
Проблемы обеспечения безопасности в компьютерных системах и сетях. Типовая корпоративная сеть. Уязвимости и их классификация.
Назначение, возможности и защитные механизмы межсетевых экранов. Угрозы, связанные с периметром сети. Типы межсетевых экранов. Сертификация межсетевых экранов.
Слайд 3

1. Проблемы обеспечения безопасности в компьютерных системах и сетях. Типовая

1. Проблемы обеспечения безопасности в компьютерных системах и сетях. Типовая корпоративная

сеть. Уязвимости и их классификация

Компьютерная сеть (КС) — это специальная сеть, предназначенная для выполнения вычислений, объединения коммуникационных и информационных ресурсов и передачи электронных данных (например, электронных документов, голоса, видеоизображений). В общем случае КС это система, обеспечивающая информационный обмен между различными прикладными программами, используемыми в корпорации. КС включает в себя различные компоненты системных и прикладных программ, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы и кабельные системы.

Слайд 4

Современные КС обеспечивают различного рода службы - традиционные передачи данных,

Современные КС обеспечивают различного рода службы - традиционные передачи данных,

IP –телефония, аудиоконференции и видеопередачи, защита и видеонаблюдение.
Использование КС обеспечивает в учреждении функции:
совместную эффективную работу пользователей
максимально рациональное использование компьютеров, периферийных устройств и программных средств
простоту и удобство доступа к данным, находящимся в общем пользовании
Современные корпорации— это сложные и многопрофильные структуры, представляющие собой распределенную иерархическую систему управления. Кроме этого в корпорацию входят находящиеся вдалеке друг от друга учреждения, отделения и административные офисы.
Именно с этой целью создаются корпоративные сети (КС) для централизованного управления этими объединениями учреждений.
Слайд 5

Решение телекоммуникационных проблем Одной из основных проблем при создании КС

Решение телекоммуникационных проблем
Одной из основных проблем при создании КС является

организация каналов связи. Как правило КС охватывают большие территории, т. е. включают в себя офисы, отделения и др. структуры, расположенные вдалеке друг от друга (в различных городах, странах и континентах)
Принципы построения подобных сетей отличаются от принципов построения локальных сетей (ЛС), охватывающих несколько зданий. Основное различие состоит в том, что территориально распределенные КС используют арендованные каналы связи. Если при создании ЛС затраты на их создание состоят из стоимости соответствующего оборудования и на проводку кабелей, то затраты территориально распределенных КС идут на аренду каналов связи.
Слайд 6

В настоящее время эта проблема решается путем подключения к уже

В настоящее время эта проблема решается путем подключения к уже существующим

глобальным сетям (ГС), например, Internet. В это время требуется лишь обеспечение связи до ближайшего узла ГС, а передачу информации между узлами обеспечивает ГС. Поэтому, при создании даже сколько-нибудь маленькой сети в рамках города, необходимо использовать технологии, способные обеспечить адаптирование к существующим ГС и допускающие расширение создаваемой сети. При создании КС для передачи данных могут быть использованы все существующие технологии и каналы связи. Внутри самой для передачи данных можно использовать виртуальные каналы сети с пакетной коммутацией.
Слайд 7

При создании КС необходимо уделить крайне значительное внимание безопасности передачи

При создании КС необходимо уделить крайне значительное внимание безопасности передачи данных

и предотвращению недозволенного доступа к корпоративной информации.
Современные средства защиты информации способны на высоком уровне обеспечить безопасность сетей. Межсетевые экраны (МЭ), организация специальных виртуальных сетей (СВС), системы обнаружения несанкционированных доступов и др. позволяют безопасную передачу информации в любой части КС. Для предотвращения недозволенных доступов к информационным ресурсам предприятия в КС создаются демилитаризованные зоны (ДМЗ) - эта зона играет буферную роль между внутренней сетью и например Internet.
Слайд 8

В этой зоне обычно располагается w.w.w. сервер и почтовый сервер.

В этой зоне обычно располагается w.w.w. сервер и почтовый сервер. Управление

связями и пакетами в ДМЗ осуществляется с помощью МСЭ. Система управления входами пользователей КС в Internet и пользователей из Internet в КС строится на базе МСЭ и Web — сервера.
Под понятием обеспечение безопасности КС понимается организация «сопротивления» попыткам несанкционированного доступа к процессу функционирования, а также, модификации аппаратных средств, программных обеспечений и данных, краже, выводу их из строя и уничтожение.
В инфраструктуру безопасности КС входят:
надзор за входами;
аутентификация;
шифрование (электронно-цифровая подпись (ЭЦП));
контентный анализ и др.
Слайд 9

Уязвимостью (vulnerability) называется любая характеристика информационной системы, использование которой нарушителем

Уязвимостью (vulnerability) называется любая характеристика информационной системы, использование которой нарушителем может

привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.
В компьютерной безопасности, термин уязвимость (англ. vulnerability) используется для обозначения недостатка в системе, используя который, возможно вызвать ее неправильную работу. Уязвимость может быть результатом ошибок программирования или недостатков, допущенных при проектировании системы.
Слайд 10

Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в

Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе.

Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в сети, они не могут заменить участие человека в их оценке.
В основе классификации уязвимостей ИС используются следующие классификационные признаки:
область происхождения уязвимости;
типы недостатков ИС;
место возникновения (проявления) уязвимости ИС.
Слайд 11

В качестве уязвимых компонентов ИС рассматриваются общесистемное (общее), прикладное, специальное

В качестве уязвимых компонентов ИС рассматриваются общесистемное (общее), прикладное, специальное ПО,

технические средства, сетевое (коммуникационное, телекоммуникационное) оборудование, средства ЗИ.
Кроме этого используются поисковые признаки уязвимостей ИС:
Основные (наименование операционной системы (ОС) и тип аппаратной платформы, наименование ПО и его версия, степень опасности уязвимости);
Дополнительные (язык программирования, служба (порт), которая(ый) используется для функционирования ПО).
Слайд 12

Классификация Уязвимости ИС по области происхождения подразделяются на следующие классы:

Классификация
Уязвимости ИС по области происхождения подразделяются на следующие классы:
уязвимости кода;
уязвимости конфигурации;
уязвимости

архитектуры;
организационные уязвимости;
многофакторные уязвимости.
Слайд 13

Уязвимости ИС по типам недостатков ИС подразделяются на следующие: недостатки,

Уязвимости ИС по типам недостатков ИС подразделяются на следующие:
недостатки, связанные с

неправильной настройкой параметров ПО.
недостатки, связанные с неполнотой проверки вводимых (входных) данных.
недостатки, связанные с возможностью прослеживания пути доступа к каталогам.
недостатки, связанные с возможностью перехода по ссылкам.
недостатки, связанные с возможностью внедрения команд ОС.
недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).
недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.
Слайд 14

недостатки, связанные с внедрением произвольного кода. недостатки, связанные с переполнением

недостатки, связанные с внедрением произвольного кода.
недостатки, связанные с переполнением буфера памяти.
недостатки,

связанные с неконтролируемой форматной строкой.
недостатки, связанные с вычислениями.
недостатки, связанные с управлением полномочиями (учетными данными).
недостатки, связанные с управлением разрешениями, привилегиями и доступом.
недостатки, связанные с аутентификацией.
недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).
недостатки, связанные с подменой межсайтовых запросов.
недостатки, приводящие к "состоянию гонки".
недостатки, связанные с управлением ресурсами.
Слайд 15

2. Назначение, возможности и защитные механизмы межсетевых экранов. Угрозы, связанные

2. Назначение, возможности и защитные механизмы межсетевых экранов. Угрозы, связанные с

периметром сети. Типы межсетевых экранов. Сертификация межсетевых экранов

Периметр сети - это граница, отделяющая внутреннюю (доверенную) сеть от внешних (не доверенных, un-trusted) сетей. Периметр - это первая линия защиты от внешних угроз.

Слайд 16

Для зашиты периметра используются следующие средства: Межсетевые экраны (МЭ), называемые

Для зашиты периметра используются следующие средства:
Межсетевые экраны (МЭ), называемые также сетевые

экраны, или firewall или брандмауэры,
Антивирусные системы сетевого уровня,
Устройства для построения виртуальных частных сетей (Virtual Private Network, VPN),
Системы противодействия атакам.
Периметр может состоять из одного или нескольких МЭ и набора контролируемых серверов, расположенных в так называемой демилитаризованной зоне (demilitarized zone, DMZ). DMZ обычно содержит почтовые серверы, Web-серверы, там же могут быть расположены и антивирусные средства сетевого уровня.
Слайд 17

Защита периметра - это контроль взаимодействия внутренней сети с внешними

Защита периметра - это контроль взаимодействия внутренней сети с внешними сетями.


В рамках защиты периметра решаются следующие задачи:
Фильтрация трафика,
Построение VPN,
Антивирусная защита,
Противодействие атакам,
Анализ содержимого трафика,
Защита от СПАМа,
Контроль беспроводных устройств.
Слайд 18

Межсетевой экран (МЭ) — это специализированное программное или аппаратное (или

Межсетевой экран (МЭ) — это специализированное программное или аппаратное (или программно-аппаратное)

средство, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую.
МЭ, установленные в точках соединения с сетью Интернет, обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Intemet-cepвepoв, открытых для общего пользования (расположенных в DMZ), от несанкционированного доступа.
Слайд 19

Основные механизмы защиты, реализуемые МЭ: Фильтрация сетевого трафика - она

Основные механизмы защиты, реализуемые МЭ:
Фильтрация сетевого трафика - она может осуществляться

на любом уровне модели OSI. В качестве критериев может выступать информация с разных уровней: адреса отправителя/получателя, номера портов, содержимое поля данных.
Трансляция адресов - замена в заголовке IP-пакета адреса отправителя или получателя при прохождении пакета через МЭ. При этом часто требуется заменять информацию не только сетевого, но и транспортного уровня (номера портов). Кроме того, для корректной работы некоторых служб прикладного уровня требуется заменять и содержимое поля данных.
Шифрование (создание VPN) - выполняется на сетевом уровне, т. е. шифруются IP-пакеты и используется для построения на их основе так называемых виртуальных частных сетей. Т.е. МЭ используются в качестве VPN-шлюзов.
Слайд 20

Кроме того, МЭ могут обеспечивать и дополнительные механизмы защиты: Аутентификация

Кроме того, МЭ могут обеспечивать и дополнительные механизмы защиты:
Аутентификация (дополнительная),
Противодействие некоторым

сетевым атакам (наиболее распространённым)
Существует несколько критериев, используя которые можно поделить МЭ на группы. Например:
по способу реализации можно поделить МЭ на программные и программно-аппаратные,
по защищаемым объектам - периметровые и персональные.
Слайд 21

Существуют две методологии функционирования МЭ: согласно первой брандмауэр пропускает через

Существуют две методологии функционирования МЭ:
согласно первой брандмауэр пропускает через себя весь

трафик, за исключением того, который отвечает определенным критериям;
вторая заключается в том, что брандмауэр, наоборот, блокирует весь трафик, кроме соответствующего определенным критериям.
Возможности брандмауэров и степень их интеллектуальности зависят от того, на каком уровне эталонной модели OSI они функционируют. Чем выше уровень OSI, на основе которой построен брандмауэр, тем выше его уровень защиты.
Напомним, что модель OSI (Open System Interconnection) включает семь уровней сетевой архитектуры. Первый, самый нижний уровень — физический. За ним следуют канальный, сетевой, транспортный, сеансовый уровни, уровень представления и прикладной уровень, или уровень приложений (рис. 1).
Слайд 22

Рис. 1. Модели OSI и TCP/IP

Рис. 1. Модели OSI и TCP/IP

Слайд 23

Все брандмауэры можно условно разделить на четыре категории в соответствии

Все брандмауэры можно условно разделить на четыре категории в соответствии с

теми уровнями модели OSI, на которых они работают:
Пакетный фильтр (packet filter) - являются самыми простыми и наименее интеллектуальными. Они работают на сетевом уровне модели OSI или на IP-уровне стека протоколов TCP/IP. Такие брандмауэры в обязательном порядке присутствуют в любом маршрутизаторе, поскольку все маршрутизаторы могут работать как минимум на третьем уровне модели OSI.
Слайд 24

В пакетных фильтрах каждый пакет, прежде чем быть переданным, анализируется

В пакетных фильтрах каждый пакет, прежде чем быть переданным, анализируется на

предмет соответствия критериям передачи или блокировки передачи. В зависимости от пакета и сформированных критериев передачи брандмауэр может передать пакет, отвергнуть его или послать уведомление инициатору передачи. Критерии, или правила, передачи пакетов могут формироваться на основе IP-адресов источника и получателя, номеров портов источника и получателя и используемых протоколов.
Преимуществом пакетных фильтров является их низкая цена. Кроме того, они практически не влияют на скорость маршрутизации, то есть не оказывают негативного влияния на производительность маршрутизатора.
Слайд 25

Шлюзы сеансового уровня (circuit-level gateway) - это брандмауэры, работающие на

Шлюзы сеансового уровня (circuit-level gateway) - это брандмауэры, работающие на сеансовом

уровне модели OSI или на уровне TCP (Transport Control Protocol) стека протоколов TCP/IP. Они отслеживают процесс установления TCP-соединения (организацию сеансов обмена данными между узлами сети) и позволяют определить, является ли данный сеанс связи легитимным. Данные, передаваемые удаленному компьютеру во внешней сети через шлюз на сеансовом уровне, не содержат информации об источнике передачи, то есть все выглядит таким образом, как будто данные отправляются самим брандмауэром, а не компьютером во внутренней (защищаемой) сети.
К преимуществам шлюзов сеансового уровня относится их низкая цена, к тому же они не оказывают существенного влияния на скорость маршрутизации. Однако шлюзы сеансового уровня не способны осуществлять фильтрацию отдельных пакетов.
Слайд 26

Шлюзы прикладного уровня (application-level gateway) ALG - также называются proxy-серверами,

Шлюзы прикладного уровня (application-level gateway) ALG - также называются proxy-серверами, функционируют

на прикладном уровне модели OSI, отвечающем за доступ приложений в сеть. На этом уровне решаются такие задачи, как перенос файлов, обмен почтовыми сообщениями и управление сетью.
Получая информацию о пакетах на прикладном уровне, такие шлюзы могут реализовывать блокировку доступа к определенным сервисам. Например, если шлюз прикладного уровня сконфигурирован как Web-proxy, то любой трафик, относящийся к протоколам telnet, ftp, gopher, будет заблокирован.
Слайд 27

Поскольку данные брандмауэры анализируют пакеты на прикладном уровне, они способны

Поскольку данные брандмауэры анализируют пакеты на прикладном уровне, они способны осуществлять

фильтрацию специфических команд, например http:post, get и т.д. Эта функция недоступна ни пакетным фильтрам, ни шлюзам сеансового уровня. Шлюзы прикладного уровня могут также использоваться для регистрации активности отдельных пользователей и для установления ими сеансов связи.
Эти брандмауэры предлагают более надежный способ защиты сетей по сравнению со шлюзами сеансового уровня и пакетными фильтрами, однако в значительно большей степени оказывают влияние на уменьшение скорости маршрутизации.
Слайд 28

Stateful Packet Inspection (SPI) - объединяют в себе преимущества пакетных

Stateful Packet Inspection (SPI) - объединяют в себе преимущества пакетных фильтров,

шлюзов сеансового уровня и шлюзов прикладного уровня. Фактически это многоуровневые брандмауэры, которые работают одновременно на сетевом, сеансовом и прикладном уровнях.
(SPI) (фильтрация с учётом контекста) – это фильтрация с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.
Слайд 29

SPI-брандмауэры осуществляют фильтрацию пакетов на сетевом уровне, определяют легитимность установления

SPI-брандмауэры осуществляют фильтрацию пакетов на сетевом уровне, определяют легитимность установления сеанса

связи, основываясь на данных сеансового уровня, и анализируют содержимое пакетов, используя данные прикладного уровня.
SPI-брандмауэры обеспечивают наиболее надежную защиту сетей и применяются во многих современных маршрутизаторах. Они позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов.
К преимуществам такой фильтрации относится анализ содержимого пакетов и то, что не требуется информация о работе протоколов 7 уровня.
Слайд 30

DMZ-зона Демилитаризованная зона (DMZ-зона) — суть DMZ заключается в том,

DMZ-зона
Демилитаризованная зона (DMZ-зона) — суть DMZ заключается в том, что она

не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей — там располагаются только серверы (рис. 2).

Рис. 2. DMZ

Слайд 31

Демилитаризованная зона как правило служит для предотвращения доступа из внешней

Демилитаризованная зона как правило служит для предотвращения доступа из внешней сети

к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью с публичными адресами, защищенной (или — отделенной) от публичных и корпоративных сетей межсетевыми экранами (рис.3).
Слайд 32

Рис. 3. Трафик в DMZ

Рис. 3. Трафик в DMZ

Слайд 33

МЭ позволяют эффективно реализовать политику безопасности, касающуюся вопросов обмена информацией

МЭ позволяют эффективно реализовать политику безопасности, касающуюся вопросов обмена информацией с

«чужими» сетями (например, с внешним миром). Однако, наряду с очевидными достоинствами, МЭ имеют ряд ограничений:
МЭ обеспечивают безопасность только тех соединений, которые установлены непосредственно через них. Это означает, что применение МЭ будет эффективным только тогда, когда периметр контролируется полностью. МЭ не контролируют соединения, установленные в обход средств защиты периметра, например, с использованием модемов. Кроме того, МЭ не контролируют внутренние соединения, т. е. подключения со стороны внутренних пользователей к внутренним ресурсам.
Слайд 34

МЭ могут содержать ошибки: В программном обеспечении (ошибки реализации). Допущенные

МЭ могут содержать ошибки:
В программном обеспечении (ошибки реализации).
Допущенные при конфигурировании

правил МЭ (ошибки обслуживания)
МЭ не способны обнаружить запрещённый трафик, передаваемый поверх разрешённого протокола (эта проблема частично решается с помощью средств анализа содержимого). Как известно, механизм передачи трафика заданного типа поверх (внутри) другого называется туннелированием.
Слайд 35

Сети HoneyNet. Honeypot — ресурс, представляющий собой приманку для злоумышленников.

Сети HoneyNet.
Honeypot — ресурс, представляющий собой приманку для злоумышленников. Это оборудование

или ПО, которые специально развертываются отделами безопасности для изучение угроз и служит приманкой для сбора информации о злоумышленнике и защиты реальной целевой системы. Honeynet — это сеть из honeypot. Например, антивирусные компании, используют сети honeynet для получения свежих компьютерных вирусов, по большей части сетевых и почтовых червей.
Слайд 36

Основная цепь «HoneyNet» - сбор данных о противнике, изучение его

Основная цепь «HoneyNet» - сбор данных о противнике, изучение его тактики.

С её помощью можно решить следующие задачи:
Получение сведений о рисках в области безопасности и уязвимостях. Ресурс состоит из систем и приложений, используемых в повседневной деятельности. Уязвимости, имеющиеся в HoneyNet, отображают уязвимости реальной сети организации.
Отработка политики реагирования на инциденты.
Отслеживание действий нарушителя в реальном времени.
Таким образом, с помощью «HoneyNet» можно контролировать любую деятельность, происходящую внутри. Анализ собранных данных дает информацию об использованных инструментах, тактике и мотивах нарушителей.
Слайд 37

Схема «HoneyNet» должна быть спроектирована таким образом, чтобы обеспечить: Возможность

Схема «HoneyNet» должна быть спроектирована таким образом, чтобы обеспечить:
Возможность контроля ситуации
Возможность

фиксации как можно большего числа данных
Сеть «HoneyNet» должна работать вместе с корпоративной сетью и быть максимально независимой от нее. Она может быть подключена к Интернет по отдельному каналу или использовать основной маршрутизатор организации. В предлагаемом варианте сети можно выделить три сегмента:
Собственно сама сеть «HoneyNet»
Административная сеть
Интернет
Слайд 38

Сегмент «HoneyNet» состоит из: Узлов-приманок. Они создают сетевую среду, моделирующую

Сегмент «HoneyNet» состоит из:
Узлов-приманок. Они создают сетевую среду, моделирующую реальную сеть

предприятия. На этих узлах ничего не эмулируется, ничего не сделано специально для ослабления защиты.
Сервера регистрации. Он собирает данные с узлов-приманок, настроенных так, что все данные сохраняются локально и на сервере-регистрации. На него могут поступать данные и от системы обнаружения атак.
Системы обнаружения атак, собирающей трафик сегмента «HoneyNet».
Имя файла: Тема-1.3.-Обеспечение-безопасности-компьютерных-систем-и-сетей.-Безопасность-компьютерных-систем.pptx
Количество просмотров: 8
Количество скачиваний: 0
- Предыдущая
Проектная деятельность в начальной школе
Следующая -
Своя игра

Похожие презентации

Основы информационного поиска и библиотечных знаний
Технология программирования гетерогенных систем OpenCL. Лекция 1
Разработка сайта для салона красоты Перфект
Web-страницы. Язык HTML и др. Тема 1
Клан JAS - мой дом
Компьютерные презентации. Разработка и создание презентации
Алгебраические структуры: группы, кольца, поля
Путешествие в мир графического редактора Paint
Команды ввод-вывод в Турбо Паскале
Рекурсия. Рекурсия типов данных
Оплата банковской картой
Вставка графических объектов в текстовый документ Writer
Технология обработки числовой информации
Б-деревья. Лекция 19
Наследование. Основы наследования. Лекция №8
Кодирование источника сообщений
Модули для работы с http. Создание сервера. Занятие №4
Проектирование в KOMANDOR Designer
Adobe Photoshope бағдарламасының қолданылуы
Облачные технологии
2 Основные понятия сети Интернет
Инструкция – настройки телефона
Государственные кадастры природных ресурсов Республики Казахстан
Урок інтернет-безпеки
Тест на геймера
Программа Cocos. Инструкция к пользованию
Введение в дисциплину Основы построения инфокоммуникационных систем и сетей
Welcome To Epson Printer Customer Care Center
Обратная связь
Email: Нажмите что бы посмотреть