Навигация по каталогу статей
01.15 Система обнаружения вторжений: принцип действия, область использования.
Опубликовал  GMan1990 GMan1990 Добавлено  15-03-2015 15:27 15-03-2015 15:27 1591  Прочтений 1591 Прочтений  0 Комментариев 0 Комментариев
printer

Раздел 1. Вопрос 15 .Система обнаружения вторжений: принцип действия, область использования. 

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы

• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров

• хранилище, обеспечивающее накопление первичных событий и результатов анализа

• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

• Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

• Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.

• Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

• Узловая СОВ (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

• Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention system  (англ.)), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

 

C 15 марта 2012 г. сертификация средств защиты информации, реализующих функции обнаружения вторжений, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638.

Для дифференциации требований к функциям безопасности систем обнаружения вторжений установлено шесть классов защиты систем обнаружения вторжений. Самый низкий класс - шестой, самый высокий - первый.

Системы обнаружения вторжений, соответствующие 6 классу защиты, применяются в ИСПДн 4 уровня защищенности и ГИС 4 класса.

Системы обнаружения вторжений, соответствующие 5 классу защиты, применяются в ИСПДн  3 уровня защищенности и ГИС 3 класса.

Системы обнаружения вторжений, соответствующие 4 классу защиты, применяются в ИСПДн  1 и 2 уровня защищенности и ГИС 1 и 2 класса.

Системы обнаружения вторжений, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

 

Детализация требований к функциям безопасности систем обнаружения вторжений, установленных Требованиями, а также взаимосвязи этих требований приведены в профилях защиты, утвержденных ФСТЭК России в качестве методических документов.

Спецификация профилей защиты систем обнаружения вторжений для каждого типа системы обнаружения вторжений и класса защиты системы обнаружения вторжений приведена в таблице.

 

 

6

5

4

3

2

1

Система обнаружения вторжений уровня сети

ИТ.СОВ. С6.ПЗ

ИТ.СОВ. С5.ПЗ

ИТ.СОВ. С4.ПЗ

ИТ.СОВ. СЗ.ПЗ

ИТ.СОВ. С2.ПЗ

ИТ.СОВ. С1.ПЗ

Система обнаружения вторжений уровня узла

ИТ.СОВ. У6.ПЗ

ИТ.СОВ. У5.ПЗ

ИТ.СОВ. У4.ПЗ

ИТ.СОВ. УЗ.ПЗ

ИТ.СОВ. У2.ПЗ

ИТ.СОВ. У1.ПЗ

Комментарии
Нет комментариев.
Добавить комментарий
Пожалуйста, авторизуйтесь для добавления комментария.
Рейтинги
Рейтинг доступен только для пользователей.

Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.

Нет данных для оценки.