Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Анализ защищенности автоматизированной информационной системы




Читайте также:
  1. A. системы учета
  2. A.Становление системы экспортного контроля
  3. B) Информационные системы в логистике
  4. Cоциологический анализ электорального процесса: проблемы и методы исследования, сферы применения результатов
  5. GNU(рекурсивный акроним от GNU’s Not UNIX — «GNU — не Unix!») — это проект создания свободной UNIX-подобная операционной системы, открытый в 1983 году Ричардом Столлмэном.
  6. I. Декларация-заявка на проведение сертификации системы качества II. Исходные данные для предварительной оценки состояния производства
  7. I. Коллективный анализ и целеполагание воспитатель­ной работы с привлечением родителей, учащихся, учите­лей класса.
  8. I. Особенности формирования отраслевой системы оплаты труда работников учреждений здравоохранения
  9. II. Рабочие определения, используемые при анализе литературного произведения
  10. II. Становление и развитие системы общественного призрения

Под защищенностью АИС (автоматизированной информационной системы) понимается степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации.

Технология анализа защищенности – это совокупность методов обнаружения технологических и эксплуатационных уязвимостей, реализуемых с помощью сканеров безопасности и систем анализа защищенности. Данная технология позволяет устранить действия нарушителей, направленные на нарушение работоспособности ИС, на активизацию закладок, внедренных в систему на этапе проектирования АИС.

Типовая методика анализа защищенности включает использование следующих методов:

- изучение исходных данных по АС;

- оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

- анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима ИБ и оценка их соответствия требованиям существующих нормативных документов а так же их адекватности существующим рискам;

- ручной анализ конфигурационных файлов маршрутизаторов, МЭ, и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а так же других критических элементов сетевой инфраструктуры;

- сканирование внешних сетевых адресов ЛВС из сети Интернет;

- сканирование ресурсов ЛВС изнутри;

- анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. Активно тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную, либо с использованием специализированных программных средств.

Объекты анализа защищенности

В качестве объектов анализа защищенности могут выступать:

- АС;

- СВТ;

- ВП;

- СЗИ.

Если АС рассматривается как объект защиты, то необходимо соблюдение некоторых требований. АС должна:



- находиться на строго ограниченной контролируемой территории;

- выполнять четко определенные функции, заранее определенные в документации;

- управляться подразделением организации, несущим ответственность за ее функционирование.

Методы анализа защищенности АИС

Анализ защищенности АИС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а так же с целью поиска уязвимостей в защите. Традиционно используют 2 основных метода анализа:

- тестирование по методу «черного ящика»;

- тестирование по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы анализа эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.



Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рискам. Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и используемого программного обеспечения, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня.

Кроме того, необходимо учитывать еще несколько подходов к тестированию СЗИ, которые могут быть использованы при проведении анализа защищенности ИАС:

- экспертно-документальный;

- пробного запуска;

- тестирования на устойчивость СЗИ в условиях внешних воздействий;

В результате анализа защищенности АИС получают:

- структурированные данные о состоянии ИБ в системе управления предприятием;

- детализированный перечень требований РД по защищенности информации для данного класса систем;
- рекомендации по формированию политики ИБ, созданию или модернизации подсистем ЗИ, управлению рисками и минимизации возможных потерь.

 


Дата добавления: 2015-04-18; просмотров: 33; Нарушение авторских прав







lektsii.com - Лекции.Ком - 2014-2021 год. (0.005 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты