33639

Классификация уязвимостей

Доклад

Информатика, кибернетика и программирование

Некоторые уязвимости подобного рода трудно назвать недостатками скорее это особенности проектирования. В Уязвимости могут быть следствием ошибок допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем протоколов и служб использование нестойких паролей пользователей паролей учетных записей по умолчанию и др. по уровню в инфраструктуре АС К уровню сети относятся уязвимости сетевых протоколов стека TCP IP протоколов NetBEUI IPX SPX. Уровень операционной системы охватывает уязвимости...

Русский

2013-09-06

37.5 KB

21 чел.

3. Классификация уязвимостей

1. По источникам возникновения уязвимостей

А) на этапе проектирования. Например сервис TELNET, в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда передачи.

Б) на этапе реализации (программирования). Например, ошибки программирования стека TCP/IP, приводящие к отказу в обслуживании; ошибки при написании приложений, приводящие к переполнению буфера и т.п.

В) Уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем, протоколов и служб, использование нестойких паролей пользователей, паролей учетных записей «по умолчанию» и др.

2. по уровню в инфраструктуре АС

К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI, IPX/SPX.

Уровень операционной системы охватывает уязвимости Windows, UNIX, Novell и т. д., т.е. конкретной ОС.

На уровне баз данных находятся уязвимости конкретных СУБД - Oracle, MS SQL, Sybase и др. Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью АС любой компании.

К уровню приложений относятся уязвимости программного обеспечения WEB, SMTP серверов и т.п.

Персонал и пользователи системы также уязвимы. Например, один из путей внедрения вредоносных программ - это провоцирование пользователей на запуск присланных по электронной почте приложений.

3. по степени риска

Высокий уровень риск. Уязвимости, позволяющие получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов или других средств защиты (полный контроль над атакуемым объектом).

Средний уровень риска. Уязвимости, позволяющие получить информацию, которая с высокой степенью вероятности позволит в дальнейшем получить полный контроль над объектом и доступ к любым его ресурсам.

Низкий уровень риска. Уязвимости, позволяющие осуществлять сбор критичной информации о системе.

Классификация атак

1. по целям

  •  нарушение нормального функционирования атакуемого объекта (отказ в обслуживании);
  •  получение конфиденциальной и критичной информации;
  •  модификация и фальсификация данных;
  •  получение полного контроля над объектом атаки.

2. по мотивации действий

  •  случайность, безответственность, халатность;
  •  самоутверждение, любопытство;
  •  вандализм;
  •  принуждение;
  •  месть;
  •  корыстный интерес.

3. по местонахождению нарушителя

  •  в одном сегменте с объектом атаки;
  •  в разных сегментах с объектом атаки.

От взаимного расположения атакующего и жертвы зависит механизм реализации атаки. Как правило, осуществить межсегментную атаку бывает сложнее.

4. по механизму реализации атак

  •  пассивное прослушивание. Перехват трафика сетевого сегмента.
  •  подозрительная активность. Сканирование портов (служб) объекта атаки, попытки подбора пароля.
  •  бесполезное расходование вычислительного ресурса. Исчерпание ресурсов атакуемого узла или группы узлов, приводящее к снижению производительности (переполнение очереди запросов на соединение и т п.)
  •  Нарушение навигации (создание ложных объектов и маршрутов). Изменение маршрута сетевых пакетов, таким образом, чтобы они проходили через хосты и маршрутизаторы нарушителя, изменение таблиц соответствия условных Internet-имен и IP-адресов (атаки на DNS) и т.п.
  •   выведение из строя. Посылка пакетов определённого типа на атакуемый узел, приводящая к отказу узла или работающей на нём службы (WinNuke и др.)
  •   запуск приложений на объекте атаки. Выполнение враждебной программы в оперативной памяти объекта атаки (троянские кони, передача управления враждебной программе путём переполнения буфера, исполнение вредоносного мобильного кода на Java или ActiveX и др.)


 

А также другие работы, которые могут Вас заинтересовать

81250. Понятие информационных и коммуникационных технологий. Направления внедрения ИКТ в образование. Дистанционные технологии в образовании 37.12 KB
  Хуторской выделяет следующие принципы дистанционного обучения: Принцип создания дистантным учащимся образовательной продукции в изучаемых предметных и образовательных областях. Принцип соответствия внешнего образовательного продукта ученика его внутренним личностным приращениям. Принцип приоритета деятельностного содержания перед информационным. Принцип креативного характера учебной деятельности.
81251. Инструментальные средства для разработки ППС, их достоинства и недостатки. Экспертная оценка ППС 35.7 KB
  Экспертная оценка ППС. Зайнутдинова предлагает различать 3 типа компьютерных обучающих программ: педагогические программные средства ППС компьютерные учебные программы одноцелевого назначения: сервисные контролирующие тренажеры моделирующие демонстрационные и т. Процесс создания ППС Педагогический сценарий детализирует структуру учебного материала и последовательность его изложения Технологический сценарий детализируетя технология представления Кодирование технологического сценария Технология разработки ППС рассмотрение принципов...
81252. Понятие государства 38.69 KB
  Суть ее в том что государство возникает в результате раскола общества на антагонистические классы и является исторически переходящим явлением. С исчезновением классов государство неизбежно должно отмереть. Естественноправовая договорная теория которая выводит государство из соглашения между правителями и подданными заключаемого в целях организации общественной жизни.Гумплович считал что государство возникло как результат порабощения слабых групп более организованными и более сильными.
81253. Типология государств; формационный и цивилизационный подходы 39.33 KB
  Типология государства это научная классификация государств по определенным типам на основании их общих признаков отражающая свойственные данному типу государств общие закономерности возникновения развития и функционирования. Центральным в типологии государства является понятие типа государства. Понятие тип государства служит для обозначения наиболее общих черт различных государств дающих возможность определить типовую принадлежность государства то есть его родство с другими государствами. Тип государства это совокупность общих...
81254. Государство и экономика 37.86 KB
  При построении системы государственного регулирования экономики здесь господствует принцип максимальной возможности: все экономические процессы которые в принципе поддаются централизованному регулированию должны управляться центральными органами. Методы государственного регулирования экономики. Административные или прямые методы регулирования ограничивают свободу выбора хозяйствующего субъекта. Например директивные плановые задания по объему и ассортименту производимой продукции или централизованно установленные цены на товары и услуги...
81255. Понятие формы государства 35.49 KB
  Научное исследование различных аспектов формы государственности имеет важное теоретическое и практическое значение. Более полное конкретное представление о форме государства дает анализ 3х его составляющих формы правления государственного устройства государственно правового режима.
81256. Монархическая форма правления 43.24 KB
  Другой важной формой правления является регентство временное коллегиальное или единоличное осуществление полномочий главы государства в монархиях в случае продолжительной болезни малолетства или временного отсутствия монарха. В зависимости от принципа наследования власти монархия может быть династической родовой и выборной. Гораздо чаще нам встречается родовая монархия где действовал принцип принадлежности к царскому роду.
81258. Форма государственного устройства 39.69 KB
  Конституция разграничивает полномочия субъектов и самой федерации.Территория федерации состоит из: а Субъектов которые по-разному называются. Субъекты федерации могут принимать свои конституции законы постановления и другие нормативно-правовые акты.