Файл: Сравнение и анализ эффективности существующих средств защиты.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 24.10.2023

Просмотров: 289

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1.2 Основные принципы защиты информационной системы

2. Средства защиты от вредоносных программ и атак хакеров

2.1 Антивирусные программы

2.2 Интегрированные системы защиты

2.3 Системы обнаружения и предотвращения вторжений

3. Анализ эффективности средств защиты информационных систем

3.1 Методы анализа эффективности

3.2 Сравнение различных средств защиты

Заключение

Список литературы



С компьютерной связью разных систем, можно сэкономить, а также обеспечит выполнение различного рода функций. Они сами могут функционировать, как полноценные функциональные комплексы управления, безопасностью объекта.

ИСБ в комплексе создаются на протяжении некоторых этапов. Среди главных выделяют следующие:

  1. Монтаж;

  2. Проект;

  3. Осуществление работ по налаживанию;

  4. Сдача клиенту объекта.

Все объекты, что применяют охранную систему, можно рассматривать как уникальный. И благодаря этому структура, созданная профессиональными специалистами, рекомендует индивидуальный экземпляр, который создается под определенные объекты.

Способом интегрирования можно определить принципы проектирования. От него может зависеть систематизация интеграционной системы защиты.

Принципы распределяют на следующие четыре степени:

  1. В период образования проекта система объединяет разного рода оборудование, что не назначают для организации системы охраны.

  2. В период разработки программы соединяются механизмы разных производителей. Они базируются с разработанной задачей интеграции программы, для управления и проверки.

  3. В период программно-аппаратного уровня соединяются программа и специальное оборудования.

  4. В период аппаратного этапа соединяются программа и устройство установленного производителя. Управлять системой можно без использования ПЭВМ. Они основаны на высоких производительных специальных контролях.

Преимущества внедрения решения:

  1. Система позволяет избавить оператора от часто выполняемых действий;

  2. Наблюдение ведется по разным зонам объекта;

  3. Благодаря одному интерфейсу можно вести наблюдение и контроль удаленно. Возможность у оператора использовать несколько экранов одновременно с подсказками. Этот процесс снижет восприятие оператора в период слежения за экраном, ведь он многочасовой.

  4. Создание разного уровня АРМ.

  5. Ведение протокола происшедших событий. Это прекрасное решение в работе охранной службы, так и отдельных сослуживцев, для того, чтобы разработать внештатные ситуации.

  6. Архивирование видео событий. Благодаря базе данных можно найти информацию за определенный период времени.

Преимущество интеграционной системы безопасности – это простота использования, надежность оборудования, приемлемая стоимость и возможность объединять системы безопасности разных производителей.

Имеются некоторые недостатки:

  1. Низкоустойчивая к действиям подмены устройства;

  2. Сниженное качество работы в процессе подключения множества устройств;

  3. Невозможно реализовать изображение данных на графических планах объекта, управление и контроля.

  4. Сделаем вывод, что ИСБ - это прекрасное решение для обеспечения защиты и безопасности объекта, и не только: людей и культурных, материальных ценностей, против угроз, неполадок, враждебных действий.


2.3 Системы обнаружения и предотвращения вторжений


Глобальный рынок продуктов информационной безопасности развивается под воздействием быстро растущего многообразия сложных и комплексных угроз, что приводит к непосредственному влиянию на бизнес, и становятся востребованными не только для крупных и средних, но и для малых организаций. В настоящее время ситуация обстоит таким образом, когда традиционные средства защиты, такие как межсетевой экран и антивирус, не способны обеспечить надлежащий уровень защиты внутренней сети организации, ведь вредоносное программное обеспечение может «замаскироваться» и отправлять пакеты, которые с точки зрения межсетевого экрана выглядят полностью легитимными. Существует множество коммерческих решений, способных обеспечить надлежащий уровень защиты внутренней сети организации, однако сегодня мы остановимся на таком классе решений, как системы обнаружения вторжений и системы предотвращения вторжений. В англоязычной литературе это Intrusion Detection Systems (IDS) и Intrusion Prevention Systems (IPS).

Различия между ними заключаются лишь в том, что одна может автоматически блокировать атаки, а другая просто предупреждает об этом.

Решения данного класса бывают как коммерческими (проприетарными), так и с открытым исходным кодом, и в умелых руках могут стать отличным дополнением к общей системе защиты организации. Данный класс средств защиты относится к методу отслеживания несанкционированных попыток получения доступа к защищаемым ресурсам организации, называемый мониторингом управления доступом. Он нацелен на выявление и регистрацию недостатков в безопасности внутренней инфраструктуры – сетевые атаки, попытки несанкционированного доступа или повышения привилегий, работа вредоносного программного обеспечения и т.д. Таким образом, по сравнению с межсетевым экраном, контролирующим только параметры сессии, IDS и IPS анализируют передаваемые внутренние потоки данных, находя в них последовательности битов, которые могут представлять из себя вредоносные действия или события. Помимо этого, они могут осуществлять мониторинг системных журналов и других файлов регистрации деятельности пользователей.


Но обо всем по порядку. Итак, IDS – система обнаружения вторжений, предназначенная для регистрации подозрительных действий в сети, и уведомляет о них ответственного за информационную безопасность сотрудника с помощью передачи сообщения на консоль управления, отправки электронного письма, SMS-сообщения на мобильный телефон и т.п.

Традиционная IDS состоит из сенсоров, которые просматривают сетевой трафик или журналы и передают анализаторам, анализаторы ищут в полученных данных вредоносный характер и в случае успешного обнаружения – отправляет результаты в административный интерфейс. В зависимости от места расположения IDS делятся на сетевые (network-based IDS, NIDS) и хостовые (host-based, HIDS). По названию понятно, что одна отслеживает весь сетевой трафик того сегмента, где она установлена, а другая в пределах единственного компьютера. Для более понятной классификации IDS необходимо выделить еще два подмножества, которые делятся по типу анализируемого трафика: IDS, основанная на протоколе (Protocol-based IDS, PIDS), которая анализирует коммуникационные протоколы со связанными системами или пользователями, а также IDS, основанная на прикладных протоколах (Application Protocol-based IDS, APIDS), предназначенная для анализа данных, передаваемых с использованием специфичных для определенных приложений протоколов.

Естественно, вредоносную активность в анализируемом трафике обнаружить можно разными способами. Поэтому в IDS существуют следующие характеристики, отличающие друг от друга различные типы технологий IDS и описать их можно следующим образом:

Сигнатурные IDS. Отслеживают определенные шаблоны в трафике и работают подобно антивирусному программному обеспечению. Недостатки данного подхода: сигнатуры должны быть в актуальном состоянии и IDS подобного типа не способны выявить незнакомые атаки. Данную категорию также можно разделить на два типа: сигнатурные IDS, отслеживающие шаблоны – сравнивают сетевые пакеты с сигнатурами, и отслеживающие состояние – сравнивают действия с шаблонами. Уверен, что принцип работы сигнатурной NIDS, отслеживающей шаблоны, известен и понятен. Что касается сигнатурной IDS, отслеживающие состояние, то здесь следует уяснить понятие состояния, которым оперирует IDS. Любое изменение в работе системы (запуск программного обеспечения, ввод данных, взаимодействие приложений между собой и т.д.) приводит к изменению состояния. Что касается IDS, то первоначальное состояние – перед началом атаки, а скомпрометированное состояние –
после осуществления атаки, т.е. успешное заражение.

IDS, основанные на аномалиях. Данный тип IDS не использует сигнатур. Он основан на поведении системы и перед началом работы происходит этап обучения «нормальной» деятельности системы. Поэтому она способна выявлять незнакомые атаки. Аномалии, в свою очередь, в данной категории делятся на три типа: статистические – IDS создает профиль штатной деятельности системы и сравнивает весь проходящий трафик и деятельность с этим профилем; аномалии протоколов – IDS анализирует трафик с целью выявления фрагментов нелегитимного использования протоколов; аномалии трафика – IDS выявляет нелегитимные действия в сетевом трафике.

IDS, основанные на правилах. Данные IDS используют «ЕСЛИ ситуация ТОГДА действие» программирование, основанное на правилах. IDS на основе правил похожи на экспертные системы, т.к. экспертная система представляет из себя совместную работу базы знаний, логических выводов и программирования на основе правил. В данном случае знания – это правила, а анализируемые данные можно назвать фактами, к которым применяются правила. Например: «ЕСЛИ пользователь administrator авторизовался в System1 И сделал изменение в File2 ЗАТЕМ запустил «Утилиту3» ТОГДА отправить уведомление», т.е. если пользователь зашел в систему 1 и сделал изменение в файле 2, а затем запустил утилиту 3, то отправить уведомление.

Таким образом, IDS у нас может предупреждать о вредоносной активности, но зачастую задача стоит именно предотвратить на ранней стадии вредоносную активность. В этом может помочь IPS, которая упоминалась ранее. Методы ее работы относятся к своевременным (превентивным) и проактивным, в отличие от IDS, выполняющей детективные функции. Стоит отметить, что IPS является подклассом IDS, поэтому основана на ее методах обнаружения атак. IPS может работать как на уровне хоста (HIPS), так и на уровне сети (NIPS). Возможность предотвращения атак реализована за счет того, что сетевая IPS, как правило, встраивается «в разрыв» сети и пропускает через себя весь трафик, а также имеет внешний интерфейс, на который приходит трафик и внутренний интерфейс, который пропускает трафик далее, если он признается безопасным. Существует также возможность работы с копией трафика в режиме мониторинга, но тогда мы теряем основной функционал данной системы.

Смотрите также файлы