33639

Классификация уязвимостей

Доклад

Информатика, кибернетика и программирование

Некоторые уязвимости подобного рода трудно назвать недостатками скорее это особенности проектирования. В Уязвимости могут быть следствием ошибок допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем протоколов и служб использование нестойких паролей пользователей паролей учетных записей по умолчанию и др. по уровню в инфраструктуре АС К уровню сети относятся уязвимости сетевых протоколов стека TCP IP протоколов NetBEUI IPX SPX. Уровень операционной системы охватывает уязвимости...

Русский

2013-09-06

37.5 KB

19 чел.

3. Классификация уязвимостей

1. По источникам возникновения уязвимостей

А) на этапе проектирования. Например сервис TELNET, в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда передачи.

Б) на этапе реализации (программирования). Например, ошибки программирования стека TCP/IP, приводящие к отказу в обслуживании; ошибки при написании приложений, приводящие к переполнению буфера и т.п.

В) Уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем, протоколов и служб, использование нестойких паролей пользователей, паролей учетных записей «по умолчанию» и др.

2. по уровню в инфраструктуре АС

К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI, IPX/SPX.

Уровень операционной системы охватывает уязвимости Windows, UNIX, Novell и т. д., т.е. конкретной ОС.

На уровне баз данных находятся уязвимости конкретных СУБД - Oracle, MS SQL, Sybase и др. Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью АС любой компании.

К уровню приложений относятся уязвимости программного обеспечения WEB, SMTP серверов и т.п.

Персонал и пользователи системы также уязвимы. Например, один из путей внедрения вредоносных программ - это провоцирование пользователей на запуск присланных по электронной почте приложений.

3. по степени риска

Высокий уровень риск. Уязвимости, позволяющие получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов или других средств защиты (полный контроль над атакуемым объектом).

Средний уровень риска. Уязвимости, позволяющие получить информацию, которая с высокой степенью вероятности позволит в дальнейшем получить полный контроль над объектом и доступ к любым его ресурсам.

Низкий уровень риска. Уязвимости, позволяющие осуществлять сбор критичной информации о системе.

Классификация атак

1. по целям

  •  нарушение нормального функционирования атакуемого объекта (отказ в обслуживании);
  •  получение конфиденциальной и критичной информации;
  •  модификация и фальсификация данных;
  •  получение полного контроля над объектом атаки.

2. по мотивации действий

  •  случайность, безответственность, халатность;
  •  самоутверждение, любопытство;
  •  вандализм;
  •  принуждение;
  •  месть;
  •  корыстный интерес.

3. по местонахождению нарушителя

  •  в одном сегменте с объектом атаки;
  •  в разных сегментах с объектом атаки.

От взаимного расположения атакующего и жертвы зависит механизм реализации атаки. Как правило, осуществить межсегментную атаку бывает сложнее.

4. по механизму реализации атак

  •  пассивное прослушивание. Перехват трафика сетевого сегмента.
  •  подозрительная активность. Сканирование портов (служб) объекта атаки, попытки подбора пароля.
  •  бесполезное расходование вычислительного ресурса. Исчерпание ресурсов атакуемого узла или группы узлов, приводящее к снижению производительности (переполнение очереди запросов на соединение и т п.)
  •  Нарушение навигации (создание ложных объектов и маршрутов). Изменение маршрута сетевых пакетов, таким образом, чтобы они проходили через хосты и маршрутизаторы нарушителя, изменение таблиц соответствия условных Internet-имен и IP-адресов (атаки на DNS) и т.п.
  •   выведение из строя. Посылка пакетов определённого типа на атакуемый узел, приводящая к отказу узла или работающей на нём службы (WinNuke и др.)
  •   запуск приложений на объекте атаки. Выполнение враждебной программы в оперативной памяти объекта атаки (троянские кони, передача управления враждебной программе путём переполнения буфера, исполнение вредоносного мобильного кода на Java или ActiveX и др.)


 

А также другие работы, которые могут Вас заинтересовать

46690. Поняття про фразеологію. Типи фразеологізмів 26 KB
  Фразеологізм це стійке сполучення слів побудоване як словосполучення чи речення і характеризується злитістю компонентів цілісністю значення та автоматичною відтворюваністю в мовленні. За ступенем злитості значень слів які входять до фразеологізму їх поділяють на фразеологічні зрощення стійке сполучення слів значення якого не випливає зі значень окремих слів точити ляси піймати облизня; фразеологічні єдності стійке сполучення слів про значення якого можна здогадуватися із значень окремих слів як в рот води набрати;...
46691. Синтаксична норма. Однорідні члени речення, дієприкметникові та дієприслівникові звороти 26 KB
  Однорідні члени речення дієприкметникові та дієприслівникові звороти. Однорідні члени речення це такі члени речення які виконують однакову синтаксичну функцію відносяться до одного й того самого члена речення і поєднуються між собою сурядним зв’язком. Однорідні члени речення рівноправні і не залежать одне від одного. Однорідними можуть бути будьякі і головні і другорядні члени речення.
46694. ФИРМА В ЭКОНОМИКЕ ОТРАСЛЕВЫХ РЫНКОВ 26.48 KB
  Отличие фирмы от других хозяйствующих субъектов состоит в том что она: представляет собой достаточно крупную и организационно оформленную единицу; является самостоятельным юридически независимым экономическим агентом; выполняет особую функцию в экономике: покупает ресурсы с целью производства товаров и услуг. Фирма служит инструментом распределения ресурсов в экономике между альтернативными возможностями их использования; существование и рост фирмы...
46695. Drogensucht 26.5 KB
  Viele Jugendliche sind heutzutage drogen- und alkoholabhängig. Sehr früh beginnen sie zu rauchen und Alkohol zu trinken. Alkohol, Nikotin und Medikamente nennt man weiche Drogen. Grundsätzlich ist diese Unterscheidung irreführend. Alle Drogen sind Stoffe, die unser Bewusstsein verändern. Sie tun dies unterschiedlich stark, aber alle sind schädlich und machen fast immer abhängig
46696. Налогоплательщики и налоги 26.5 KB
  Налоговая база определяется как кадастровая стоимость земельных участков признаваемых объектом налогообложения Налоговым периодом признается календарный год. Налоговые ставки устанавливаются нормативными правовыми актами представительных органов муниципальных образований законами городов федерального значения Москвы и СанктПетербурга и не могут превышать: 1 03 процента в отношении земельных участков: отнесенных к землям сельскохозяйственного назначения или к землям в составе зон сельскохозяйственного использования в поселениях и...
46697. The model of immediate constituents 26.5 KB
  The model of immediate constituents is based on the group-parsing of the sentence which has been developed by traditional grammar together with the sentence-part parsing scheme. It consists in dividing the whole of the sentence into two groups: that of the subject and that of the predicate, which, in their turn, are divided into their sub-group constituents according to the successive subordinative order of the latter
46698. Мовна надмірність і мовна недостатність у різностильових текстах 26.5 KB
  Наприклад у творах художньої літератури або у публіцистиці навіть іноді в розмовному стилі. Але його вживання у науковому чи офіційноділовому стилі є категорично забороненим і зовсім недоречним адже це буде порушувати основні ознаки стилів наприклад лаконічність. Наприклад у реченнях можуть оминатися дієслівні зв'язки Я вже додому а ти ще на роботу . Він може бути механізмом утворення нових лексичних одиниць наприклад пропозиція у значення пропозиція одружитися .