شعبه GOU VPO "MPEI (TU)"
در شهر اسمولنسک ،
دانش آموز سال ششم
روش های ایمنی سیستم اطلاعات
در حال حاضر ، رایانه ها در همه جا قاطعانه وارد دنیای مدرن و در همه زمینه های فعالیت و علوم انسانی شده اند و در نتیجه نیاز به تهیه نرم افزارهای مختلف برای آنها ایجاد می شود. البته این در درجه اول به دلیل توسعه محاسبات الکترونیکی و بهبود سریع و اجرای آن در حوزه های مختلف فعالیت های انسانی است.
دلیل چنین پیشرفت فزاینده فناوری اطلاعات ، نیاز روزافزون به پردازش سریع و با کیفیت اطلاعات است که جریانهای آن با پیشرفت جامعه دائماً در حال رشد هستند.
ترکیبی از رایانه ها در شبکه به طور قابل توجهی بهره وری را بهبود بخشیده است. شبکه های کامپیوتر هم برای نیازهای تولیدی یا اداری و هم برای آموزش ، ارتباطات و غیره مورد استفاده قرار می گیرد.
استفاده گسترده از فناوری رایانه در سیستم های پردازش و کنترل خودکار اطلاعات ، مشکل محافظت از اطلاعات در گردش در سیستم های رایانه ای را تشدید کرده است. نیاز به ایجاد یک سیستم یکپارچه تشخیص نفوذ وجود داشت.
سیستم های تشخیص نفوذ برای تشخیص برخی از انواع استفاده می شوند فعالیت مخربکه ممکن است مختل شود امنیت اطلاعات سیستم رایانه ای. این فعالیت ها شامل حملات شبکه علیه خدمات آسیب پذیر ، حملات با هدف افزایش امتیاز ، دسترسی غیرمجاز به پرونده های مهم و همچنین اقدامات مخرب است. نرم افزار (ویروس های رایانه ای ، تروجان ها و کرم ها).
زیر نقض امنیت سیستم اطلاعاتما یکی از موقعیت هایی را که می توان توسط متخلف ترتیب داد ، درک خواهیم کرد. این شامل :
· قطع یا قطع ارتباط.
اطلاعات از بین می رود یا غیرقابل دسترسی یا غیر قابل استفاده می شود. در این مورد در دسترس بودن اطلاعات نقض می شود. نمونه ای از چنین تخلفاتی می تواند تأثیر یک متجاوز بر عناصر شبکه (خطوط ارتباطی (LS) ، گره های سوئیچینگ (CC) ، دستگاه های کنترل ، پایگاه داده و غیره) با هدف از بین بردن آنها یا اجرای آنها غیر عملی باشد.
· استراق سمع.
دسترسی غیرمجاز به اطلاعات. محرمانه بودن اطلاعات منتقل شده نقض می شود. نمونه ای از این نوع تخلف ، اتصال غیرمجاز به کانال ارتباطی است.
· تغییر (اعوجاج).
دسترسی غیرمجاز برای تغییر اطلاعات باز می شود. که در آن محرمانه بودن اطلاعات منتقل شده و تمامیت آن نقض می شود. هدف از این نوع تخلف تغییر اطلاعات منتقل شده از طریق شبکه است.
· تحریف.
یک متجاوز وانمود می کند که منبع اطلاعات است. که در آن صحت اطلاعات نقض می شود(خاصیتی که تضمین می کند موضوع یا منبع با آنچه ادعا می شود یکسان باشد). نمونه ای از این نوع تخلف ارسال پیام های جعلی از طریق شبکه است.
انواع فوق تخلفات را می توان به دو گروه تقسیم کرد:
· فعال؛
منفعل
تأثیر فعال بر روی یک سیستم محاسباتی توزیع شده به معنای تأثیرگذاری است که تأثیر مستقیم بر عملکرد سیستم دارد (تغییر پیکربندی یک توزیع شده سیستم کامپیوتری، اختلال در عملکرد و غیره) و نقض سیاست امنیتی اتخاذ شده در آن. تقریباً همه انواع حملات از راه دور دارای تأثیرات فعال هستند. یک ویژگی بارز یک اثر فعال ، در مقایسه با یک منفعل ، امکان اساسی تشخیص آن است ، زیرا در نتیجه اجرای آن تغییرات خاصی در سیستم رخ می دهد. این گروه شامل موارد زیر است:
· وقفه - نقض دسترسی و محرمانه بودن.
· اصلاح - نقض صداقت؛
· جعل - نقض صحت.
یک اثر منفعل بر روی یک سیستم محاسباتی توزیع شده ، اثری است که به طور مستقیم بر عملکرد سیستم تأثیر نمی گذارد ، اما ممکن است خط مشی امنیتی آن را نقض کند.
عدم وجود تأثیر مستقیم بر عملکرد یک سیستم محاسباتی توزیع شده است که تشخیص نور از راه دور منفعل را تقریباً غیرممکن می کند. نمونه ای از قرار گرفتن در معرض از راه دور معمولی منفعل در یک سیستم محاسباتی توزیع شده ، گوش دادن به یک کانال ارتباطی در یک شبکه است. با یک اثر منفعل ، بر خلاف یک فعال ، هیچ اثری از آن باقی نمی ماند (از این واقعیت که مهاجم پیام شخص دیگری را در سیستم مشاهده می کند ، تغییر نخواهد کرد). با اطمینان می توان اظهار کرد که نقض منفعل هدف نهایی آنها انتقال به گروه تخلفات فعال است.
اهداف اصلی تأثیر:
· نقض محرمانه بودن اطلاعات یا منابع سیستم؛
· نقض یکپارچگی اطلاعات؛
· نقض سلامت (در دسترس بودن) سیستم.
هدف بیشتر حملات دستیابی غیرمجاز به اطلاعات است. دو امکان اساسی دسترسی به اطلاعات وجود دارد: رهگیری و تحریف. در حالت اول ، دسترسی غیرمجاز به اطلاعات بدون امکان تحریف آن (اثر منفعل) وجود دارد.
تحریف اطلاعات یعنی کنترل کامل بر آن جریان اطلاعات بین اشیاء سیستم یا توانایی ارسال پیام از طرف یک شی دیگر. بدیهی است که اعوجاج اطلاعات منجر به نقض تمامیت آن می شود ، یعنی نشان دهنده یک تأثیر فعال است.
هدف اساساً متفاوت حمله ، مختل ساختن سیستم است. در این حالت ، هدف اصلی کراکر اطمینان از عدم موفقیت سیستم عامل روی شیء حمله شده است و بنابراین برای سایر اشیاء موجود در سیستم دسترسی به منابع این شی غیرممکن خواهد بود. نمونه ای از حمله از راه دور ، که هدف آن مختل کردن عملکرد سیستم است ، می تواند یک انکار معمولی از حمله به سرویس باشد.
با شرط شروع ضربه ، حملات را نیز می توان طبقه بندی کرد. قرار گرفتن در معرض از راه دور ، مانند سایر موارد ، فقط در شرایط خاصی می تواند شروع شود. در سیستم های محاسباتی توزیع شده ، سه نوع شرط برای شروع حمله از راه دور وجود دارد:
· حمله به تقاضا از شی مورد حمله.
· حمله به وقوع رویداد مورد انتظار در شی مورد حمله.
· حمله بی قید و شرط.
در حالت اول ، کراکر انتظار دارد نوع خاصی از درخواست از هدف احتمالی حمله منتقل شود ، که شرط شروع ضربه خواهد بود. ذکر این نکته حائز اهمیت است این نوع حملات از راه دور برای سیستم های محاسباتی توزیع شده رایج است.
در حالت دوم ، مهاجم مرتباً بر دولت نظارت دارد سیستم عامل هدف از راه دور حمله ، و هنگامی که یک رویداد خاص در این سیستم رخ می دهد ، اثر شروع می شود. مانند مورد قبلی ، آغازگر شروع حمله ، خود هدف حمله شده است.
در مورد سوم ، شروع حمله بی قید و شرط است ، در رابطه با هدف حمله ، یعنی حمله بلافاصله و صرف نظر از وضعیت سیستم و شی مورد حمله انجام می شود. بنابراین در این حالت مهاجم آغازگر آغاز حمله است.
ادبیات
1. نوویکوف ، س. ن. امنیت اطلاعات در شبکه های ارتباطی با کیفیت خدمات تضمین شده: کتابچه راهنمای آموزش. - نووسیبیرسک ، 20s: بیمار.
2. هوارد M. کد محافظت شده / M. Howard، D. Leblanc. - مطابق. از انگلیسی ، - چاپ دوم ، اسپانیایی. م.: خانه نشر و تجارت "نسخه روسی" ، دهه 20.
3. شانین ، V.F. امنیت اطلاعات سیستم ها و شبکه های رایانه ای: کتاب درسی. کمک هزینه - م: انتشارات "انجمن": اینف-م ، 20s.
نقض آی بی آی. امنیت فضای اینترنت و شرکت ها
نتایج نظرسنجی
کارشناسی ارشد ساولیف
معاون مدیر بازاریابی
شرکت "Informzashchita"
استراتژی مؤثر حمایت از شرکت محیط اطلاعات (IP) نه تنها میل به تضمین امنیت جامع شبکه شرکت را می طلبد ، بلکه به تجزیه و تحلیل وضعیت فعلی در این زمینه و ارزیابی اقدامات صورت گرفته برای تحلیل خطرات موجود و جلوگیری از تخلف نیز می پردازد. نتایج یک تحقیق که توسط مجله اطلاعات امنیتی انجام شده است می تواند برای بررسی مشکلات امنیت اطلاعات (IS) یک شرکت مفید باشد.
نتایج این بررسی به صورت فصیح نشان می دهد که تهدید اصلی برای امنیت فضای اطلاعات شرکت ها دقیقاً از درون شرکت صورت می گیرد.
سیستم اطلاعات شرکت بهداشت
تقریبا هیچ یک از پاسخ دهندگان با نقض قابل توجه امنیت اطلاعات شرکت توسط مهاجمان خارجی روبرو نبودند (شکل 1). نیمی از پاسخ دهندگان ادعا می کنند که هیچ تلاشی برای نفوذ به آی پی شرکتی از خارج انجام نشده است. درست است ، برای یک نتیجه گیری کاملاً دقیق ، جالب است که یک واقعیت دیگر را نیز در نظر بگیریم: آیا شرکت هایی که در این نظرسنجی شرکت می کنند ، وسایل شناسایی و جلوگیری از حملات خارجی را دارند ، اما از چنین سؤالی پرسیده نشده است.
در تمرین روزمره ، اغلب لازم است با این واقعیت روبرو شویم که با وجود در اختیار داشتن تجهیزات حفاظتی در زرادخانه آنها ، ادارات امنیت اطلاعات شرکت ها و سازمان ها قادر به اجرای موفقیت آمیز آنها نیستند. تأیید غیرمستقیم این ، عکس پاسخ به سؤال "مدیریت سیستم امنیت اطلاعات چقدر توسعه یافته است؟" (شکل 2): حتی از چنین درمانی "بهداشتی" به عنوان آنتی ویروس به طور ناکارآمد استفاده می شود. تقریباً یک پنجم از پاسخ دهندگان گزینه ها را در شرکت ها تنظیم نمی کنند به روز رسانی خودکار پایگاه داده های ضد ویروس - این سوال در اختیار کاربران قرار می گیرد. از اینجا ، موارد زیر کاملاً واضح است: ممکن است متخصصان مدیریت و فناوری اطلاعات شرکتهای پاسخ دهنده به سادگی از وقایعی که در سیستمهای آنها رخ می دهد آگاهی نداشته باشند. به هر حال ، تهدیدهای مدرن مانند ویروس های ربات فقط با استفاده از ابزارهای محافظت شده با دقت تنظیم می شوند.
خطرناک ترین مزاحم کاربر است
بر خلاف ادعاهای بسیار متداول در سال 2006 در مورد خطر عظیمی که توسط تهدیدات خودی ایجاد شده است ، یک نظرسنجی از مجله نشان داد که بیشتر حوادث در تجربه واقعی متخصصان امنیت اطلاعات ، اقدامات غیر عمدی و ناخواسته کاربر است (شکل 3). در حقیقت ، کاربران با استفاده از آی پی شرکتی با ارتکاب ناخواسته عملی ، قوانینی را که سازمان تعیین کرده است ، نقض می کنند (شکل 4). علاوه بر این ، معمولی است که قوانین رفتاری در زمینه امنیت اطلاعات برای کارکنان شرکت با احتیاط توصیف می شود (شکل 2) هم در سیاست امنیت اطلاعات ، هم در وظایف کارمندان و هم در سایر اسناد. علیرغم وجود دستورالعمل های خاص و اسناد اطلاعاتی در مورد امنیت اطلاعات در شرکت های آنها ، به دلیل عدم آگاهی کاربران ، نقض امنیت بسیاری وجود دارد.
آیا این اتفاق می افتد زیرا الزامات اسناد مربوط به امنیت اطلاعات به کارکنان ابلاغ نمی شود؟ شما در پاسخ به این سؤال "کارمندان شرکت شما چگونه می توانند در مورد تعهدات خود در زمینه رعایت امنیت اطلاعات اطلاعات کسب کنند؟" (شکل 5) ، 15٪ از پاسخ دهندگان گفتند که چنین الزاماتی فقط بر روی کاغذ وجود دارد و کارمندان سازمانها به هیچ وجه از آنها آگاه نیستند. آموزش های منظم در زمینه حفاظت از اطلاعات فقط در یک پنجم شرکت های مورد بررسی برگزار می شود. در اکثریت قریب به اتفاق موارد ، کارشناسان امنیت اطلاعات به نوعی تصور می کنند که کارمندان به نوعی باید مستقل به مطالب اسناد نظارتی درباره امنیت تسلط داشته باشند. من به جرات می توانم ادعا كنم كه حتی آشنایی با امضا نیز هیچ تاثیری ندارد: همه ما عادت داریم كه بطور رسمی در دستورالعمل های ایمنی عضو شویم بدون آنكه به ذات آنها بیفتیم. غالباً بدون آن کاملاً پخش می شود.
تعقیب سه خرگوش
با 10٪ تخلف شناسایی شده چه چیزی برای ما مملو است؟ قضاوت با توزیع یکسان پاسخ ها به سؤال "اهمیت را شرح دهید اطلاعات شرکت ها"(شکل 6) ، معدودی از کارشناسان امنیت اطلاعات ، ذات تجارت محافظت شده را درک می کنند .البته ، خود سؤال را تا حدودی صریح پرسیده می شود ، اما در عمل غالباً باید با این واقعیت روبرو شد که در تعقیب سه پرنده با یک سنگ (یکپارچگی ، محرمانه بودن و دسترسی) ) بسیاری آماده هستند تا آنچه را که بسیار مهم نیستند ، بگیرند ، بلکه آنچه که "گرفتن آسانتر" است. بعضی اوقات این تلاشها با عقل سلیم از بین می روند: در بعضی مواقع تمام نیروهای سرویس امنیتی صرف محدود کردن توانایی استفاده از رسانه USB می شوند و در همان زمان به هیچ وجه کنترل نشده است پست الکترونیک، نمابر ، چاپگر و سایر روشهای ارسال اطلاعات به خارج از سازمان. مشکلات بازیابی اطلاعات و عملکرد سیستم در صورت عدم موفقیت به طور کلی نادیده گرفته می شود. و به هر حال ، اگر به نتایج پاسخ به سؤال اعتماد دارید ، این یکی از تهدیدات اصلی است: "انواع استفاده را مشخص کنید منابع اطلاعات شرکت هایی با کارمندان در نقض رژیم های مستقر در سال گذشته؟ "(شکل 4).
آیا این سوء تفاهم تناقض آشکار شده از نظرسنجی را توضیح می دهد: علیرغم اهمیت مهمی که مدیریت شرکت به مسائل امنیتی می دهد (شکل 7) ، مدیران TOP هیچ عجله ای برای افزایش بودجه برای امنیت اطلاعات و بهبود سیستم های حفاظتی ندارند (شکل 8).
متخصصان امنیتی "آب درون خانه"
از این مطالعه مشخص است که بسیاری از کارشناسان امنیتی "آب آنها را آب می کنند": در پاسخ به این سؤال که "شرکت شما در طول سال گذشته چه تدابیری در زمینه مدیریت و بررسی امنیت اطلاعات اعمال کرده است؟" (شکل 9) ، فقط 12.5٪ از پاسخ دهندگان اظهار داشتند كه از خدمات و توصیه های مشاوران حرفه ای امنیتی استفاده می كنند. کمی بیشتر از 6٪ به معیارها و رویه های بین المللی می پردازند. بقیه ترجیح می دهند واقعیت را فقط با تجربه خودشان و تجربه همكارانشان تأیید كنند. لازم به ذکر است که بخش قابل توجهی از پاسخ دهندگان اطمینان دارند که تعداد حوادث مربوط به IS فقط در آینده رشد خواهد کرد و تشخیص آنها دشوارتر خواهد شد (شکل 10). با این حال ، بسیاری از پاسخ دهندگان امیدوارند از نوعی پاناسورا ، یک مادام العمر در قالب راه حل های پیشرفته ای برخوردار باشند که آنها را از خطر قریب الوقوع نجات دهد. خوشحال می شود اظهار داشت که امیدهای اصلی دقیقاً با ایجاد و مدیریت صحیح فرآیندهای دفاعی در ارتباط است. و این رشد رشد علاقه را که امروزه در استانداردهای پذیرفته شده بین المللی ایمنی مشاهده می شود ، تأیید می کند. متخصصان مدرن آگاهانه در تلاشند از توصیه های استانداردها در فعالیت های روزمره استفاده کنند.
در این مقاله سعی شده است تهدیدهای واقعی برای امنیت اطلاعات در نظر گرفته شود که ممکن است در شرایط مدرن ایجاد شود. لازم به ذکر است که این مقاله وانمود نمی شود که "کتاب درسی در مورد امنیت اطلاعات" است و هر آنچه در آن ارائه می شود ، صرفاً نظر نویسنده است.
اشتباه سنتی بسیاری از روسای شرکتهای روسی این است که تهدیدات برای امنیت اطلاعات یک شرکت را دست کم یا بیش از حد ارزیابی کنند. غالباً آنها امنیت فناوری اطلاعات را در بهترین حالت به عنوان یكی از اقدامات پشتیبان برای تأمین امنیت به طور كلی درك می كنند ، گاهی اوقات این حداقل به هیچ وجه نقش مهمی ایفا نمی كند - آنها می گویند ، این همه دغدغه مدیران سیستم است. این گزینه معمولاً برای شرکت های متوسط \u200b\u200bو جزئی است. افراط دوم ، برآورد ارزش امنیتی فناوری اطلاعات ، عمدتاً در بین شرکتهای بزرگ یافت می شود و با بالا بردن مجموعه ای از اقدامات برای اطمینان از امنیت IT به رتبه "hyperstrategy" ، با توجه به آن استراتژی اصلی تجارت ساخته می شود.
هیچ راز نیست که در دنیای مدرن ، تجارت کم و بیش وابسته به فناوری اطلاعات است. مزایای استفاده از فناوری اطلاعات برای مشاغل بدیهی است: سرعت و سادگی در تولید ، توزیع ، دستکاری و جستجوی اطلاعات ناهمگن ، ساماندهی آن بر اساس معیارهای مختلف ، سهولت در ذخیره سازی ، امکان دسترسی از تقریباً در هر نقطه در جهان ... همه این مزایا نیاز به پشتیبانی و نگهداری به موقع دارند ، که ، به نوبه خود ، شرایط خاصی را در زیرساختهای زیربنایی فناوری اطلاعات تحمیل می کند. از طرف دیگر ، در سیستم های اطلاعاتی اغلب اطلاعاتی وجود دارد که افشای آن بسیار نامطلوب است (برای مثال ، اطلاعات محرمانه یا اطلاعاتی که راز تجارت را تشکیل می دهد). نقض عملکرد عادی زیرساختها یا دستیابی به اطلاعات واقع در IP ، تهدیداتی برای امنیت اطلاعات است.
بنابراین ، تهدیدات مربوط به امنیت اطلاعات یک شرکت را می توان به چند طبقه تقسیم کرد:
- دسترسی به تهدیدات
- تهدیدات برای صداقت
- تهدید به نقض حریم خصوصی
تهدیدات مربوط به نقض دسترسی ، تهدیداتی است که با افزایش مدت زمان دریافت اطلاعات خاص یا افزایش زمان همراه است خدمات اطلاعاتی. نقض دسترسی ، ایجاد چنین شرایطی است که در طی آن دسترسی به سرویس یا اطلاعات برای مدتی مسدود خواهد شد یا امکان پذیر خواهد بود که تحقق اهداف تجاری خاص را تضمین نمی کند. یک مثال را در نظر بگیرید: در صورت خرابی سرور که اطلاعات لازم برای تصمیم گیری استراتژیک در آن قرار دارد ، خاصیت دسترسی به اطلاعات نقض می شود. مثال مشابه: در صورت انزوا به هر دلیلی (خرابی سرور ، خرابی کانال های ارتباطی و غیره) سرور پست الکترونیکی ما می توانیم در مورد تخلف در دسترس بودن خدمات IT "نامه الکترونیکی" صحبت کنیم. نکته خاص این واقعیت است که دلیل نقض در دسترس بودن اطلاعات یا خدمات اطلاعاتی لازم نیست در حوزه مسئولیت صاحب سرویس یا اطلاعات باشد. به عنوان مثال ، در مثال بالا با نقض دسترسی سرور پست الکترونیکی ، دلیل (عدم موفقیت کانالهای ارتباطی) ممکن است خارج از مسئولیت سرورهای سرور باشد (به عنوان مثال ، عدم موفقیت کانالهای ارتباطی تنه). همچنین لازم به ذکر است که مفهوم «دسترسی» در هر لحظه از زمان ذهنی است برای هر یک از نهادهای مصرف کننده یک سرویس یا اطلاعات در یک لحظه معین. به ویژه ، نقض در دسترس بودن سرور نامه برای یک کارمند ممکن است به معنای اختلال در برنامه های فردی و از بین رفتن یک قرارداد باشد ، و برای یک کارمند دیگر از همان سازمان - عدم توانایی در دریافت آخرین اخبار.
تهدیدات مربوط به نقض یکپارچگی تهدیداتی است که با احتمال تغییر هرگونه اطلاعات ذخیره شده در IP وجود دارد. نقض صداقت می تواند توسط عوامل مختلفی ایجاد شود - از اقدامات عمدی پرسنل گرفته تا خرابی تجهیزات. نقض صداقت می تواند عمدی یا غیر عمدی باشد (دلیل نقض غیر عمد از صداقت ممکن است برای مثال تجهیزات ناسازگار باشد).
تهدیدات مربوط به نقض حریم خصوصی تهدیداتی است که با دسترسی به اطلاعات خارج از امتیاز دسترسی به یک موضوع خاص در دسترس است. چنین تهدیداتی ممکن است در اثر "عامل انسانی" ایجاد شود (برای مثال ، به طور تصادفی به کاربر یا سایر امتیازات کاربر دیگر) ، ناسازگاری نرم افزار و سخت افزار.
اجرای هر یک از این تهدیدات به صورت جداگانه یا بهم پیوسته منجر به نقض امنیت اطلاعات شرکت می شود.
در حقیقت ، کلیه اقدامات برای اطمینان از امنیت اطلاعات باید براساس اصل به حداقل رساندن این تهدیدها باشد.
کلیه اقدامات برای اطمینان از شرایط شرطی می تواند در دو سطح اصلی در نظر گرفته شود: در سطح دسترسی فیزیکی به داده ها و در سطح دسترسی منطقی به داده هایی که نتیجه تصمیمات اداری (سیاست ها) است.
در سطح دسترسی فیزیکی به داده ها ، مکانیسم های محافظت از داده ها از دسترسی غیرمجاز و مکانیسم های محافظت در برابر آسیب در حامل های داده های فیزیکی در نظر گرفته شده است. محافظت در برابر دسترسی غیرمجاز شامل قرار دادن تجهیزات سرور با داده در یک اتاق جداگانه است که دسترسی به آنها فقط برای پرسنل دارای مرجع مناسب در دسترس است. در همان سطح ، به عنوان وسیله ای برای محافظت ، می توان یک سیستم سرور توزیع شده از لحاظ جغرافیایی ایجاد کرد. سطح محافظت در برابر آسیب های جسمی شامل سازماندهی انواع سیستم های تخصصی است که از چنین فرآیندهایی جلوگیری می کند. این موارد عبارتند از: خوشه های سرور و بک آپ ( کپی رزرو) سرور هنگام کار در یک خوشه (به عنوان مثال ، دو سرور) در صورت خرابی جسمی یکی از آنها ، حالت دوم به کار خود ادامه می دهد ، بنابراین عملکرد سیستم محاسبات و داده ها تحت تأثیر قرار نمی گیرد. با سازماندهی اضافی نسخه پشتیبان (سرور پشتیبان) می توان به سرعت سیستم محاسبات و داده ها را حتی در صورت عدم موفقیت سرور دوم در خوشه بازیابی کرد.
سطح محافظت در برابر دسترسی به داده های منطقی به معنای محافظت در برابر دسترسی غیرمجاز به سیستم است (از این پس سیستم به معنای سیستم IT است که برای تولید ، ذخیره و پردازش داده های هر کلاس - از سیستم های حسابداری ساده گرفته تا راه حل های کلاس ERP) طراحی شده است. داده ها ، و در سطح هسته سیستم و فرم های کاربر. حفاظت در این سطح شامل اقداماتی برای جلوگیری از دسترسی به بانک اطلاعاتی از طریق اینترنت و شبکه محلی سازمان (جنبه دوم امنیت به طور سنتی توجه کمتری به خود جلب کرده است ، گرچه این جنبه با پدیده ای همچون جاسوسی صنعتی ارتباط مستقیم دارد). محافظت از هسته اصلی سیستم ، همراه با اقدامات ذکر شده در بالا ، محاسبه چک های قسمت های مهم کد اجرایی و ممیزی دوره ای این چک ها را شامل می شود. این روش به شما امکان می دهد درجه کلی امنیت سیستم را افزایش دهید. (لازم به ذکر است که این رویداد تنها واقعه نیست ؛ بلکه به عنوان نمونه خوبی آورده می شود). امنیت در سطح فرم های کاربر رمزگذاری اجباری ترافیک منتقل شده از طریق شبکه محلی (یا از طریق اینترنت) بین مشتری (فرم کاربر) و برنامه (هسته سیستم) را اعلام می کند. همچنین با محاسبه چک های این فرم ها ، به دنبال بررسی آنها ، و اتخاذ ایدئولوژی "جداسازی داده ها و کد" ، می توان امنیت در این سطح را تضمین کرد. به عنوان مثال ، سیستمی که با استفاده از فناوری "مشتری نازک" از منظر امنیتی در این سطح ساخته شده ، دارای مزیت نسبت به سیستمی است که با استفاده از فناوری "مشتری ضخیم" ساخته شده است ، زیرا دسترسی به کد منطق کسب و کار را در سطح فرم های کاربر فراهم نمی کند (به عنوان مثال ، با جدا کردن مجدد اجرایی فایل). مکانیسم صدور گواهینامه نیز به همان سطح محافظت تعلق دارد ، هنگامی که در مبادله بین فرم کاربر و سرور و همچنین صحت فرم کاربر خود توسط سومین شرکت کننده در بورس - مرکز صدور گواهینامه تأیید می شود.
به همین ترتیب ، در سطح محافظت در برابر دسترسی منطقی در سطح دیتابیس های دسترسی ، توصیه می شود محاسبات جداول بحرانی را محاسبه کرده و از دسترسی اشیاء به دیتابیس نیز یادداشت کنید. در حالت ایده آل ("مشتری نازک") ، فقط برنامه سرور (سرور منطق کسب و کار) به پایگاه داده دسترسی دارد و کلیه نمایش داده های مربوط به پایگاه داده (شخص ثالث) مسدود شده است. چنین رویکردی باعث از بین رفتن چندین نوع حمله و تمرکز سیاست حفاظت از پایگاه داده برای تضمین امنیت "در نقاط بحرانی" خواهد شد.
حمایت در سطح تصمیمات اداری شامل اقدامات اداری با هدف ایجاد یک سیاست واضح و قابل درک در مورد فناوری اطلاعات ، IP ، امنیت اطلاعات و غیره است. می توان گفت که این سطح در رابطه با کاربر اصلی است - از آنجا که این محافظت در سطح تصمیمات اداری است که می تواند مانع از بحرانی ترین شرایط مرتبط با امنیت اطلاعات شود.
دو موضوع مهم دیگر مرتبط با امنیت باید در نظر گرفته شود - روش ها و وسایل تأیید اعتبار کاربر و ورود به سیستم از وقایع رخ داده در IP.
تأیید اعتبار کاربر به سطح منطقی امنیت اطلاعات اشاره دارد. هدف از این روش ، ابتدا آگاه ساختن IS است که کاربر خاصی با او همکاری می کند ، و حق و رابط های مناسب را برای او فراهم می کند. ثانیا ، برای تأیید حقوق این کاربر خاص در رابطه با IP. به طور سنتی ، روش احراز هویت به کاربر وارد شده به نام کاربر (ورود به سیستم) و رمز عبور کاهش می یابد.
اغلب در برنامه های مهم برای ماموریت ، فرم ورود نام کاربری / رمز عبور برنامه ای است که در یک تونل نرم افزاری ایمن (کمتر از سخت افزار) کار می کند ، بدون قید و شرط رمزگذاری تمام اطلاعات منتقل شده از طریق شبکه. متأسفانه بیشترین وضعیت زمانی است که نام کاربری و رمز عبور به صورت باز از طریق شبکه منتقل می شوند (بعنوان مثال ، بیشترین شناخته شده رایگان آن ها طبق این اصل کار می کنند سیستم های پستی در اینترنت). علاوه بر نرم افزار (وارد کردن یک نام کاربری / رمز عبور) ، راه حل های سخت افزاری - نرم افزاری و سخت افزاری برای احراز هویت کاربر نیز وجود دارد. این شامل دیسک های فلاپی و میله USB با پرونده کلیدی (اغلب اوقات - در ترکیب با وارد کردن نام کاربری / رمزعبور معمول برای تأیید مجوز برای اقدامات مهم) ، از کپی محافظت می شود. درایوهای فلش USB با یک فایل کلیدی. اسکنر عنبیه؛ اسکنر اثر انگشت؛ سیستم های انسان شناسی. یکی از گزینه های افزایش درجه حفاظت IP ، محدود کردن مدت زمان رمز عبور و محدود کردن زمان عدم فعالیت کاربر در IP است. محدود کردن مدت زمان رمز عبور ، صدور رمز عبور است که فقط برای تعداد معینی روز - 30 ، 60 و غیره معتبر است. بر این اساس ، با تغییر دوره ای رمزهای عبور ، میزان محافظت از IP به طور کلی افزایش می یابد. محدود کردن زمان عدم فعالیت کاربر شامل بسته شدن خودکار جلسه کاربر در صورت عدم ثبت فعالیت کاربر در این جلسه برای مدت زمان مشخص است.
ثبت همه وقایع رخ داده در IP برای به دست آوردن تصویر واضح از تلاشهای دسترسی غیرمجاز یا اقدامات غیرقانونی پرسنل در رابطه با IP ضروری است. یک وضعیت مشترک معرفی IP ماژول های تخصصی است که وقایع سیستم را تجزیه و تحلیل می کند و از اقدامات مخرب در رابطه با IP جلوگیری می کند. چنین ماژول هایی می توانند بر اساس دو محل کار کنند: تشخیص نفوذ و جلوگیری از دسترسی بیش از حد. در حالت اول ، ماژول ها از نظر آماری رفتارهای معمولی کاربر را تجزیه و تحلیل می کنند و در صورت انحراف قابل توجه (به عنوان مثال ، کار اپراتور برای 22 بار برای 22 بار برای اولین بار در دو سال به طور قطع مشکوک می شود). در حالت دوم ، بر اساس تجزیه و تحلیل جلسه فعلی کاربر ، آنها سعی می کنند از اقدامات مخرب بالقوه جلوگیری کنند (برای مثال ، تلاش برای حذف هرگونه اطلاعات).
توجه داشته باشید:
IS - امنیت اطلاعات
فناوری اطلاعات - فناوری اطلاعات
IP - سیستم های اطلاعاتی یا سیستم اطلاعاتی (در متن)
تهدید برای امنیت اطلاعات به عنوان یک فعالیت تصادفی یا عمدی افراد یا یک پدیده جسمی شناخته می شود که می تواند به نقض امنیت اطلاعات منجر شود. در زیر انواع و جنبه های اصلی تهدیدات امنیت اطلاعات وجود دارد.
2.2.1 طبقه بندی تهدیدات امنیت اطلاعات
مجموعه تهدیدات احتمالی برای امنیت اطلاعات با توجه به ماهیت وقوع آنها می تواند به دو طبقه تقسیم شود (شکل 7): طبیعی (هدف) و مصنوعی (ذهنی).
شکل 7 - تهدیدهای امنیتی
تهدیدات طبیعی تهدیداتی است که در اثر ضربه به یک سیستم خودکار و عناصر آن در فرآیندهای فیزیکی عینی یا بلایای طبیعی مستقل از فرد ایجاد می شود.
تهدیدات مصنوعی تهدیدی برای امنیت اطلاعات ناشی از فعالیتهای انسانی است. در میان آنها ، براساس انگیزه اعمال ، می توانیم این موارد را تشخیص دهیم:
1- تهدیدهای غیر عمدی (غیر عمدی ، تصادفی) ناشی از خطاها در طراحی سیستم خودکار و عناصر آن ، خطاهای نرم افزار ، خطاها در اقدامات پرسنلی و غیره.
2. تهدیدهای عمدی (عمدی) مرتبط با آرمانهای خودخواهانه مردم (مهاجمان).
منابع تهدید برای یک سیستم خودکار می تواند خارجی یا داخلی باشد. تهدیدات داخلی توسط مؤلفه های سیستم اطلاعاتی خود یعنی سخت افزار و نرم افزار یا پرسنل تحقق می یابد.
تهدیدهای اصلی مصنوعی ناخواسته برای امنیت اطلاعات شامل اقدامات انجام شده توسط افراد به صورت اتفاقی ، از ناآگاهی ، بی توجهی یا سهل انگاری ، از کنجکاوی ، اما بدون قصد مخرب است:
1. اقدامات غیرعمدی که منجر به خرابی جزئی یا کامل سیستم یا از بین رفتن سخت افزار ، نرم افزار ، منابع اطلاعاتی سیستم (آسیب غیر عمدی به تجهیزات ، حذف ، فساد پرونده ها با اطلاعات یا برنامه های مهم از جمله سیستم و غیره) می شود.
2. خاموش بودن غیرقانونی تجهیزات یا تغییر حالت های عملکرد دستگاه ها و برنامه ها.
3. فساد غیر عمدی در اطلاعات حامل.
4- راه اندازی برنامه های فن آوری قادر به استفاده بی کفایت باعث از بین رفتن عملکرد سیستم (انجماد یا حلقه زدن) یا ایجاد تغییرات برگشت ناپذیر در سیستم (قالب بندی یا بازسازی رسانه های ذخیره سازی ، حذف داده ها و غیره).
5- اجرای غیرقانونی و استفاده غیرقابل حساب برای برنامه ها (بازی ، آموزشی ، فنی و غیره که برای مجرم برای انجام وظایف رسمی خود ضروری نیست) و به دنبال آن هزینه های غیر منطقی از منابع (بار CPU ، ضبط رم و حافظه در رسانه های خارجی) انجام می شود.
6. عفونت رایانه با ویروس.
7. اقدامات بی دقتی منجر به افشای اطلاعات محرمانه یا در دسترس قرار دادن آن در دسترس عموم است.
8- افشای ، انتقال یا از بین رفتن ویژگی های کنترل دسترسی (گذرواژه\u200cها ، کلیدهای رمزنگاری ، کارت شناسایی ، پاس).
9- طراحی معماری سیستم ، فناوری پردازش داده ها ، تدوین برنامه های کاربردی ، با امکاناتی که تهدیدی برای سلامت سیستم و امنیت اطلاعات باشد.
10. نادیده گرفتن محدودیت های سازمانی (قوانین تعیین شده) هنگام کار در سیستم.
11. ورود به سیستم با دور زدن تجهیزات محافظ (بارگیری یک سیستم عامل خارجی از رسانه مغناطیسی قابل جابجایی و غیره).
12. استفاده نادرست ، پیکربندی یا قطع ارتباط غیرقانونی تجهیزات امنیتی توسط پرسنل امنیتی.
13. انتقال اطلاعات به آدرس اشتباه مشترک (دستگاه).
14. وارد کردن داده های نادرست.
15. آسیب غیر عمدی به کانالهای ارتباطی.
تهدیدهای اصلی مصنوعی شامل موارد زیر است:
1. تخریب فیزیکی سیستم (از طریق انفجار ، آتش سوزی و غیره) یا خرابی کلیه یا برخی از مهمترین مؤلفه های سیستم رایانه ای (دستگاه ها ، حامل اطلاعات مهم سیستم ، پرسنل و غیره).
2. برای اطمینان از عملکرد سیستم های محاسباتی (قدرت ، سرمایش و تهویه ، خطوط ارتباطی و غیره) ، زیر سیستم ها را غیرفعال یا غیرفعال کنید.
3. اقدامات برای عدم نظم بخشیدن به عملکرد سیستم (تغییر حالت های عملیاتی دستگاه ها یا برنامه ها ، اعتصاب ، خرابکاری پرسنل ، برگزاری تداخل رادیویی فعال قدرتمند در فرکانس های عملکرد دستگاه های سیستم و غیره)
4- معرفی مأمورین به تعداد پرسنل در سیستم (از جمله ، احتمالاً در گروه اداری مسئول امنیت).
5- استخدام (از طریق رشوه خواری ، باج خواهی و غیره) از پرسنل یا کاربران شخصی با اختیارات خاص.
6. استفاده از دستگاه های گوش دادن ، عکسبرداری از راه دور عکس و فیلمبرداری و غیره.
7. رهگیری انتشار گازهای گلخانه ای الکترومغناطیسی ، آکوستیک و سایر انتشارها از دستگاهها و خطوط ارتباطی و همچنین وانتهای انتشار آلاینده فعال از وسایل فنی کمکی که مستقیماً در پردازش اطلاعات (خطوط تلفن ، منبع تغذیه ، گرمایش و غیره) دخیل نیستند.
8- رهگیری داده های منتقل شده از طریق کانال های ارتباطی ، و تجزیه و تحلیل آنها به منظور تعیین پروتکل های مبادله ، قوانین ورود به ارتباط و مجوز کاربر و تلاش های بعدی برای شبیه سازی آنها برای نفوذ به سیستم.
9. سرقت رسانه های ذخیره سازی (دیسک های مغناطیسی ، نوارها ، تراشه های حافظه ، دستگاه های ذخیره سازی و کل رایانه های شخصی).
10. کپی غیرمجاز از رسانه های ذخیره سازی.
11- سرقت زباله های صنعتی (چاپ ، پرونده ، رسانه های دور ریخته شده و غیره).
12. خواندن اطلاعات باقیمانده از RAM و دستگاههای ذخیره سازی خارجی.
13. خواندن اطلاعات از مناطق RAM استفاده شده توسط سیستم عامل (از جمله سیستم فرعی حفاظت) یا سایر کاربران ، به صورت همزمان و با استفاده از کاستی های سیستم عامل های چند وظیفه ای و سیستم های برنامه نویسی.
14. دریافت غیرقانونی کلمه عبور و سایر جزئیات کنترل دسترسی (مخفی کاری ، استفاده از سهل انگاری کاربران ، انتخاب ، با شبیه سازی رابط سیستم و غیره) ، و به دنبال آن مبدل به عنوان کاربر ثبت شده ("نقاب ساز").
15- استفاده غیرمجاز از ترمینال های کاربر با خصوصیات بدنی منحصر به فرد ، مانند شماره ایستگاه کاری شبکه ، آدرس فیزیکی ، آدرس در سیستم ارتباطی ، واحد رمزگذاری سخت افزار و غیره
16. باز کردن رمزهای اطلاعات رمزنگاری.
17. معرفی سرمایه گذاری های ویژه سخت افزاری ، بوک مارک های نرم افزار و ویروس ها ، یعنی چنین بخش هایی از برنامه هایی که برای انجام توابع اعلام شده لازم نیستند ، اما این امکان را برای غلبه بر سیستم حفاظت فراهم می کند ، به طور پنهانی و غیرقانونی به منابع سیستم دسترسی پیدا می کند تا بتواند اطلاعات بحرانی را ثبت و انتقال کند یا عملکرد سیستم را بی نظم کند.
18. اتصال غیرقانونی به خطوط ارتباطی به منظور کار "بین خطوط" ، استفاده از مکث در اقدامات کاربر مشروع از طرف وی با ورودی بعدی پیامهای نادرست یا اصلاح پیامهای انتقال یافته.
19. اتصال غیرقانونی به خطوط ارتباطی با هدف جایگزینی مستقیم کاربر مشروع با قطع جسمی وی پس از ورود به سیستم و احراز هویت موفقیت آمیز با معرفی بعدی اطلاعات غلط و تحمیل پیامهای دروغین.
در بیشتر مواقع ، برای رسیدن به این هدف ، مهاجم نه از یک ، بلکه از ترکیبی از مسیرهای فوق استفاده می کند.
در این مقاله تهدیدات مربوط به نقض امنیت اطلاعات سیستم های اطلاعاتی و مدل ها و روش های موجود برای مقابله با حملات رایانه ای مورد بررسی قرار گرفته است. در این مقاله همچنین به بررسی مشکلات تضمین امنیت اطلاعات می پردازیم.
واژه\u200cهای کلیدی: سیستم اطلاعاتی ، امنیت اطلاعات ، مدلها ، روشها ، تهدیدهای اطلاعات
تا به امروز ، مشکلات امنیت اطلاعات (IS) هم در سطح ایالتی و هم در کشور
توجه کافی به مقیاس یک بنگاه اقتصادی اختصاص داده می شود ، با وجود این ، تعداد تهدیدهای احتمالی کمتر نمی شود.
تنوع تهدیدات مربوط به نقض امنیت اطلاعات به حدی است که پیش بینی هرکدام دشوار است ، اما کار عملی است.
برای اطمینان از سطح معینی از حفاظت از اطلاعات ، در مرحله اول لازم است که اصلی مورد شناسایی قرار گیرد
تهدیدات مربوط به نقض داعش برای یک شیء خاص از اطلاعات ، دوم ، ایجاد یک مدل مناسب برای مقابله با آنها و اجرای آن در آینده.
تهدید اطلاعات معمولاً به عنوان یک خطر احتمالی نقض عمدی یا غیر عمدی (تصادفی) از نظم ذخیره و پردازش اطلاعات درک می شود.
فرآیندهای جمع آوری ، ذخیره سازی ، پردازش و انتشار اطلاعاتی که در یک سیستم اطلاعات (IP) رخ می دهد ، باعث بروز تهدیدهای اطلاعاتی می شود.
تهدیدات IS بر اساس چندین معیار اصلی قابل طبقه بندی است:
با توجه به ماهیت وقوع (طبیعی ، مصنوعی)؛
از جنبه امنیت اطلاعات (دسترسی ، محرمانه بودن ، صداقت)؛
با توجه به میزان تأثیر IP (غیرفعال ، فعال)؛
توسط مؤلفه های IP که تهدیدها به آنها هدایت می شود (زیرساخت ها ، کانال های ارتباطی ، سخت افزار ، نرم افزار).
براساس محل منبع تهدیدات (داخلی ، خارجی)
به روش اجرا (تصادفی ، عمدی).
در مرحله فعلی توسعه ابزارهای امنیتی اطلاعات ، تهدیدهای احتمالی برای امنیت اطلاعات یک شرکت بدون توجه به مالکیت شناخته شده است. اینها در درجه اول شامل موارد زیر است:
- اقدامات عمدی کارمندان؛
- اقدامات تصادفی کارمندان؛
- حملات هکرها به منظور به دست آوردن اطلاعات محرمانه یا آسیب رساندن به فعالیتهای شرکت.
به گفته کارشناسان حوزه امنیت اطلاعات ، بیش از 90٪ کل جرایم در حوزه فناوری اطلاعات توسط کارمندان سازمانها (کاربران داخلی) انجام می شود.
در عمل ، تهدیدهای اطلاعاتی غالباً براساس تأثیر آنها بر خصوصیات اساسی اطلاعات طبقه بندی می شوند. با توجه به این مشکل، به عنوان ویژگی های اصلی اطلاعات قابل شناسایی است:
یکپارچگی اطلاعات - خاصیت اطلاعات برای حفظ ارتباط و سازگاری در روند جمع آوری ، انباشت ، ذخیره سازی ، بازیابی و انتشار آن. مقاومت اطلاعات در برابر تخریب و تغییر غیرمجاز
دسترسی به اطلاعات - امکان حفظ مقدار آن بسته به سرعت استفاده از آن و امکان ارائه به کاربر مجاز در یک دوره زمانی خاص.
محرمانه بودن اطلاعات ، خاصیت اطلاعات است که فقط باید به اشخاص مجاز و تأیید شده (مجاز) از شرکت (مدیریت ، کارمندان مسئول ، کاربران شبکه اطلاعاتی شرکت و غیره) شناخته شود و هنگام افشای یک کاربر غیرمجاز ، ارزش خود را از دست بدهد.
علاوه بر خصوصیات فوق اطلاعات ، افزودن اهمیت و آسیب پذیری اطلاعات نیز ضروری است.
اهمیت اطلاعات یک شاخص یکپارچه برای ارزیابی کیفیت اطلاعات مورد استفاده در مدیریت نوع خاص فعالیت ، ویژگی کلی آن ، منعکس کننده اهمیت تصمیم گیری های مدیریتی ، ارتباط عملی برای دستیابی به نتایج خاص یا اجرای کارکردهای خاص آسیب پذیری اطلاعات امکان نشت بالقوه ، تخریب فیزیکی و غیر مجاز است. استفاده در چارچوب فرآیندهای اطلاعاتی.
از مطالب فوق نتیجه می گیرد که مسئله تضمین امنیت IP اهمیت فزاینده ای پیدا می کند. بدیهی است ، راه حل آن باید مبتنی بر مطالعه جامع فن آوری های امنیتی ، بصورت سیستماتیک اجرا شود حوزه اطلاعات، مدل ها و روش های مقابله با حملات رایانه ای.
بر اساس تجزیه و تحلیل ادبیات در مورد سیستم های تشخیص و تجزیه و تحلیل حمله کامپیوتر ، روش های فوق معمولاً توضیحات ریاضی کافی ندارند. در اصل ، آنها به صورت روش ها و کارکردهای ابزارهای شناسایی حمله حمله کامپیوتری که در ابزارهای پیشگیری و تشخیص حملات رایانه ای مورد استفاده قرار می گیرند رسمیت می یابند. موضوعات مشکل ساز مقابله با حملات رایانه ای در ادبیات مدرن به طور مستقل منعکس نشده است ، بنابراین ، تجزیه و تحلیل روش های در نظر گرفته شده برای روش های شناخته شده برای تشخیص و تجزیه و تحلیل حملات انجام می شود. روشهای تشخیص و تجزیه و تحلیل تأثیرات غیرمجاز بر روی منابع یک سیستم اطلاعاتی را می توان به این موارد تقسیم کرد:
- روش های تحلیل امضا ،
- روشهای تشخیص انحراف غیر طبیعی.
روش های تجزیه و تحلیل امضا برای شناسایی حملات شناخته شده طراحی شده اند و بر اساس کنترل برنامه ها و داده ها در IP و تأیید مرجع دنباله کاراکترها و وقایع موجود در شبکه با بانک اطلاعاتی امضاهای حمله انجام می شوند. داده های اولیه برای استفاده از روشها ، اطلاعات مربوط به سیاهههای مربوط به سیستم نرم افزارهای عمومی و ویژه ، بانکهای اطلاعاتی و کلمات کلیدی ترافیک شبکه IP است. مزیت این روشها الزامات ناچیز در منابع محاسباتی IS ، راندمان بالای چرخه کنترل تکنولوژیکی (TCU) در IS و قابلیت اطمینان در تشخیص و تجزیه و تحلیل حملات است. ضرر روشهای تحلیل امضا عدم توانایی تشخیص حملات جدید (اصلاح شده) بدون رسمیت دقیق است کلید واژه ها ترافیک شبکه و به روزرسانی پایگاه داده امضاء حمله.
روشهای تشخیص ناهنجاری غیرطبیعی برای شناسایی حملات ناشناخته طراحی شده است. اصل عمل آنها این است که رفتار IP غیر عادی تشخیص داده می شود که متفاوت از نوع معمولی است و بر اساس این واقعیت در مورد احتمال حضور یک حمله تصمیم گیری می شود. انحرافات غیر عادی در شبکه با علائم حملات رایانه ای ، مانند انواع نادر پشته های پروتکل (واسط ها) جهت درخواست اطلاعات ، بسته های داده بلند ، بسته هایی با توزیع نمادهای نادر و یک فرم غیر استاندارد درخواست به آرایه داده ها شناسایی می شود.
استفاده از روشهای تشخیص انحراف غیر طبیعی و کاهش تعداد مثبت کاذب دانش روشنی در مورد قوانین مربوط به پردازش داده ها و الزامات لازم برای اطمینان از امنیت اطلاعات (روال اجرای دولت) ، به روزرسانی برنامه های کنترل شده ، اطلاعات در مورد الگوهای فناوری برای انجام TCU در IS مورد نیاز است. روشهای استفاده از روشهای تشخیص ناهنجاری غیرطبیعی متفاوت است مدلهای ریاضی :
· مدل های آماری:
- مدل های احتمالی؛
- مدل های تجزیه و تحلیل خوشه ای.
· مدل های ماشین های حالت محدود.
· مدلهای مارکوف.
· مدل های مبتنی بر شبکه های عصبی.
· مدل های مبتنی بر مهندسی ژنتیک.
در روش تشخیص انحرافات غیر عادی ، که در آن از مدلهای آماری استفاده می شود ، با مقایسه فعالیت فعلی ترافیک شبکه IS با الزامات مشخص شده برای الگوی تکنولوژیکی (پروفایل رفتاری عادی) IC TC ، فعالیت غیر عادی شناسایی می شود.
شاخص های زیر به عنوان شاخص اصلی در مدل های احتمالی برای تشخیص حملات رایانه ای استفاده می شود:
- احتمال شکل جدید یک بسته انتقال داده متفاوت از مرجع.
- انتظار ریاضی و واریانس متغیرهای تصادفی مشخص کننده تغییر آدرسهای IP منبع و مصرف کننده اطلاعات ، شماره بندر منابع AWP و مصرف کنندگان اطلاعات.
روشهای آماری نتایج خوبی را در زیر مجموعه کوچک حملات رایانه ای از مجموعه حملات احتمالی ارائه می دهد. ضرر مدلهای آماری برای تشخیص انحرافات غیر عادی این است که به ما اجازه نمی دهند میزان داده های منتقل شده را تخمین بزنیم و قادر نیستند با داده های تحریف شده ، حملات حملات را تشخیص دهیم. تنگنای روشها امکان سرریز شدن بافر چک های آستانه با اسپم پیام های دروغین است.
برای استفاده مؤثر از مدلهای آماری در روش تشخیص انحرافات غیر عادی ، قوانین تصمیم گیری کاملاً تعریف شده و تأیید کلمات کلیدی (آستانه پاسخ) در سطوح مختلف پروتکل های انتقال داده مورد نیاز است. در غیر این صورت ، طبق برخی برآوردها ، سهم مثبت کاذب حدود 40٪ از کل حملات شناسایی شده است.
مدل های تجزیه و تحلیل خوشه ای مبتنی بر ایجاد پروفایل فعالیت های عادی (به عنوان مثال خوشه ای از ترافیک عادی) و ارزیابی انحراف از این پروفایل با استفاده از معیارهای منتخب ، علائم (طبقه بندی کننده اجزای اصلی) حملات رایانه ای و محاسبه فاصله بین خوشه ها بر روی انواع علائم حمله است. مدل های تجزیه و تحلیل خوشه ای از یک الگوریتم دو مرحله ای برای تشخیص حملات رایانه ای استفاده می کنند. در مرحله اول ، اطلاعات برای جمع آوری مجموعه ای از خوشه های داده از رفتار IS ناهنجار در سطوح پایین پروتکل های انتقال داده جمع آوری می شود. در مرحله دوم ، تجزیه و تحلیل مقایسه ای از خوشه های به دست آمده از رفتار غیر طبیعی IS با خوشه های توصیف رفتار منظم سیستم انجام می شود. احتمال شناسایی حملات توسط مدلهای تجزیه و تحلیل خوشه ای به طور متوسط \u200b\u200b0.9 است که فقط در هدرهای بسته های انتقال داده بدون شناسایی معنایی از مؤلفه اطلاعات بسته ها ، می توان از نفوذ استفاده کرد. برای به دست آوردن داده های معتبر با استفاده از مدل های تجزیه و تحلیل خوشه ای ، تجزیه و تحلیل روش شناسایی و احراز هویت ، ثبت نام مشترک ، قطع سیستم ، دسترسی به منابع محاسباتی در چندین پرونده سیستم IP: ممیزی ، ثبت نام ، منابع ضروری است که منجر به تاخیر در تصمیم گیری می شود. چنین تاخیری اغلب استفاده از مدلهای تحلیل خوشه ای را در سیستم هایی با مقیاس زمانی شبه واقعی غیرممکن می کند.
تشخیص حملات با استفاده از مدل دستگاه دولتی مبتنی بر الگوبرداری توسط دستگاه های دولتی از فرآیندهای تعامل اطلاعات مشترکین IS با استفاده از پروتکل های انتقال داده است. دستگاه دولت توسط مجموعه ای از داده های ورودی ، داده های خروجی و حالت های داخلی توصیف می شود. حملات با انتقال "غیر طبیعی" از IP از ایالت به ایالت ثبت می شوند. فرض بر این است که در IS ، انتقال "منظم" از یک سیستم به دولت تعیین می شود ، و حالت های ناشناخته و انتقال به این ایالات به صورت غیر عادی ثبت می شوند. مزیت این مدل انتخاب ساده ای از ویژگی های طبقه بندی برای IP و در نظر گرفتن تعداد کمی از انتقال از حالت به حالت دیگر است. این مدل امکان شناسایی حملات در جریان پردازش داده ها توسط پروتکل های شبکه در یک حالت نزدیک به مقیاس زمان واقعی را فراهم می کند. معایب مدل شامل نیاز به تدوین تعداد زیادی از قوانین پیچیده متخصص برای تجزیه و تحلیل مقایسه ای از حالت ها و انتقال های مورد نیاز و غیر طبیعی است. قوانین متخصص برای ارزیابی وضعیت IP با مشخصات به هم پیوسته اند پروتکل های شبکه انتقال داده
روشهای تشخیص انحرافات غیر عادی بر اساس مدلهای مارکوف بر اساس شکل گیری زنجیره مارکوف یک سیستم عادی و عملکرد توزیع توابع احتمال انتقال از یک حالت به حالت دیگر است. این اطلاعات به عنوان داده های آموزش استفاده می شود. ناهنجاری ها با مقایسه زنجیره های مارکوف و توابع توزیع احتمال مربوطه از عملکرد غیر طبیعی و عادی IS با مقادیر آستانه احتمال شروع حوادث تشخیص داده می شوند. در عمل ، این مدل برای تشخیص حملات رایانه ای بر اساس تماس های سیستم عامل سیستم مؤثر است ، و به معیارهای آنتروپی شرطی اضافی برای استفاده در سیستم های شبه واقعی نیاز دارد.
روش های تشخیص حملات رایانه ای بر اساس شبکه های عصبی برای طبقه بندی اولیه ناهنجاری ها در IP استفاده می شود. آنها مبتنی بر شناسایی رفتار عادی سیستم با عملکرد توزیع دریافت بسته های داده (اجرای دستورات اپراتور داده شده) ، آموزش هستند شبکه عصبی و تجزیه و تحلیل مقایسه ای از رویدادهای نمونه آموزش.
انحراف غیرطبیعی در IP هنگامی تشخیص می شود که میزان اعتماد به نفس شبکه عصبی در تصمیم گیری آن در زیر یک آستانه از پیش تعیین شده قرار داشته باشد. فرض بر این است که استفاده از مدلی از شبکه های عصبی برای اجرای مکانیسم های محافظت از اطلاعات IS در برابر حملات رایانه ای بر آموزش این شبکه ها با الگوریتم های مشخص شده برای عملکرد عادی مقدم است. مضرات تشخیص حملات رایانه ای با استفاده از شبکه عصبی دستگاه پیچیده ریاضی است که در سیستم های شبه واقعی به طور موثر کار نمی کند و پیچیدگی آموزش شبکه برای تشخیص حملات ناشناخته است.
مدلهای تشخیص حملات رایانه ای مبتنی بر مهندسی ژنتیک به کاربرد دستاوردهای ژنتیک و مدلهای سیستم ایمنی بدن انسان در زمینه فناوری اطلاعات متکی است. رویکرد این مدل مبتنی بر مدل سازی عناصر سیستم ایمنی بدن انسان به معنای تشخیص ناهنجاری ها با ارائه داده های مربوط به فرآیندهای تکنولوژیکی در زنجیره IS (بردار) علائم است ، و سپس محاسبه اندازه گیری شباهت بین زنجیره آموزش علائم مشخصه "رفتار" عادی از IS و زنجیره آزمایش که ناهنجار را توصیف می کند عملکرد اگر هیچ توافقی بین داده های آموزش و آزمون حاصل نشود ، این روند به صورت غیر طبیعی تعبیر می شود. یکی از اصلی ترین مشکلات در استفاده از این مدل ، انتخاب آستانه برای مطابقت داده ها ، تشکیل مقدار مورد نیاز آموزش و داده های نمونه آزمون و حساسیت نسبت به مثبت کاذب است.
از یک مدل مبتنی بر مهندسی ژنتیک (سیستم ایمنی طبیعی) برای تشخیص ترکیبات غیر طبیعی با استفاده از پروتکل TCP / IP با استفاده از داده ها در آدرس های IP استفاده می شود: منبع اطلاعات ، مصرف کننده اطلاعات و ابزار های ارتباطیاز طریق آن مشترکین به شبکه وصل می شوند. نقطه ضعف این مدل ها این است که برای آموزش و آزمایش نمونه ها و یا داده های مربوط به رفتار یک فرد در IP با دخالت یک اپراتور بسیار ماهر نیاز به یک روش تنظیم پیچیده دارد.
بنابراین ، مزیت روشهای تشخیص انحراف غیر طبیعی ، توانایی تجزیه و تحلیل فرآیندهای پویا عملکرد IP و شناسایی انواع جدیدی از حملات رایانه ای در آنها است. روش ها با اسکن منظم از آسیب پذیری ها ، تشخیص قبلی از ناهنجاری ها را ممکن می سازند.
از مضرات این روش ها می توان به افزایش بار ترافیک در شبکه ، پیچیدگی اجرای و قابلیت اطمینان پایین تر در تشخیص حملات رایانه ای در مقایسه با آنالیز امضا اشاره کرد.
محدودیت روشهای تشخیص و تجزیه و تحلیل حملات رایانه ای ، نیاز به اطلاعات دقیق در مورد استفاده از پروتکل ها (پشته های پروتکل) برای انتقال داده در IP در کلیه سطوح مدل مرجع برای تعامل سیستم های باز است.
تجزیه و تحلیل مقایسه ای از روش های موجود برای شناسایی حملات رایانه ای با تجزیه و تحلیل امضاها و انحرافات غیر عادی در IP نشان داده است که جهانی ترین روش برای تشخیص حملات شناخته شده و ناشناخته ، روش تشخیص ناهنجاری است. برای افزایش پایداری عملکرد IP ، یک روش ترکیبی برای مقابله با حملات رایانه ای لازم است ، که از انعطاف پذیری عناصر تجزیه و تحلیل امضا ، شناسایی ناهنجاری ها و تجزیه و تحلیل عملکردی توابع IP پویا استفاده می شود.
کتابشناسی - فهرست کتب
1. Betelin V. B. ، Galatenko V. A. اصول امنیت اطلاعات: دوره سخنرانی: کتاب درسی نسخه سوم ، 2006 ، 208 ص.
2. Burkov V.N.، Graziansky E.V.، Dzyubko S.I.، Scppkin A.V. مدل ها و مکانیسم های مدیریت امنیت. سری "امنیت". - SINTEG ، 2001 ، 160 ثانیه.
3. GOST R ISO / IEC 27033-3 - 2014 فناوری اطلاعات روشها و ابزارهای امنیتی. امنیت شبکه قسمت 3 سناریوهای شبکه مرجع. تهدیدها ، روشهای طراحی و موضوعات مدیریتی.
4. Devyanin P.N. مدل های امنیتی سیستم های رایانه ای. مرکز انتشارات آکادمی ، 2005 ، 144 ص.
5. Klimov S.M. ، Sychev M.P. ، Astrakhov A.V. مقابله با حملات رایانه ای. مبنای روش انتشار آموزش الکترونیکی. - م.: MSTU به نام N.E. Bauman ، 2013 ، 108 ص.
6. شانین V.F. امنیت اطلاعات در سیستم ها و شبکه های رایانه ای. DMK Press، 2012، 591 pp.
7. http://sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - "تحلیل تهدیدات برای امنیت اطلاعات بنگاه های صنعتی" ، Balanovskaya A.V.، 2013
