33639

Классификация уязвимостей

Доклад

Информатика, кибернетика и программирование

Некоторые уязвимости подобного рода трудно назвать недостатками скорее это особенности проектирования. В Уязвимости могут быть следствием ошибок допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем протоколов и служб использование нестойких паролей пользователей паролей учетных записей по умолчанию и др. по уровню в инфраструктуре АС К уровню сети относятся уязвимости сетевых протоколов стека TCP IP протоколов NetBEUI IPX SPX. Уровень операционной системы охватывает уязвимости...

Русский

2013-09-06

37.5 KB

17 чел.

3. Классификация уязвимостей

1. По источникам возникновения уязвимостей

А) на этапе проектирования. Например сервис TELNET, в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда передачи.

Б) на этапе реализации (программирования). Например, ошибки программирования стека TCP/IP, приводящие к отказу в обслуживании; ошибки при написании приложений, приводящие к переполнению буфера и т.п.

В) Уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем, протоколов и служб, использование нестойких паролей пользователей, паролей учетных записей «по умолчанию» и др.

2. по уровню в инфраструктуре АС

К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI, IPX/SPX.

Уровень операционной системы охватывает уязвимости Windows, UNIX, Novell и т. д., т.е. конкретной ОС.

На уровне баз данных находятся уязвимости конкретных СУБД - Oracle, MS SQL, Sybase и др. Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью АС любой компании.

К уровню приложений относятся уязвимости программного обеспечения WEB, SMTP серверов и т.п.

Персонал и пользователи системы также уязвимы. Например, один из путей внедрения вредоносных программ - это провоцирование пользователей на запуск присланных по электронной почте приложений.

3. по степени риска

Высокий уровень риск. Уязвимости, позволяющие получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов или других средств защиты (полный контроль над атакуемым объектом).

Средний уровень риска. Уязвимости, позволяющие получить информацию, которая с высокой степенью вероятности позволит в дальнейшем получить полный контроль над объектом и доступ к любым его ресурсам.

Низкий уровень риска. Уязвимости, позволяющие осуществлять сбор критичной информации о системе.

Классификация атак

1. по целям

  •  нарушение нормального функционирования атакуемого объекта (отказ в обслуживании);
  •  получение конфиденциальной и критичной информации;
  •  модификация и фальсификация данных;
  •  получение полного контроля над объектом атаки.

2. по мотивации действий

  •  случайность, безответственность, халатность;
  •  самоутверждение, любопытство;
  •  вандализм;
  •  принуждение;
  •  месть;
  •  корыстный интерес.

3. по местонахождению нарушителя

  •  в одном сегменте с объектом атаки;
  •  в разных сегментах с объектом атаки.

От взаимного расположения атакующего и жертвы зависит механизм реализации атаки. Как правило, осуществить межсегментную атаку бывает сложнее.

4. по механизму реализации атак

  •  пассивное прослушивание. Перехват трафика сетевого сегмента.
  •  подозрительная активность. Сканирование портов (служб) объекта атаки, попытки подбора пароля.
  •  бесполезное расходование вычислительного ресурса. Исчерпание ресурсов атакуемого узла или группы узлов, приводящее к снижению производительности (переполнение очереди запросов на соединение и т п.)
  •  Нарушение навигации (создание ложных объектов и маршрутов). Изменение маршрута сетевых пакетов, таким образом, чтобы они проходили через хосты и маршрутизаторы нарушителя, изменение таблиц соответствия условных Internet-имен и IP-адресов (атаки на DNS) и т.п.
  •   выведение из строя. Посылка пакетов определённого типа на атакуемый узел, приводящая к отказу узла или работающей на нём службы (WinNuke и др.)
  •   запуск приложений на объекте атаки. Выполнение враждебной программы в оперативной памяти объекта атаки (троянские кони, передача управления враждебной программе путём переполнения буфера, исполнение вредоносного мобильного кода на Java или ActiveX и др.)


 

А также другие работы, которые могут Вас заинтересовать

29564. Правило наименьших издержек 138.5 KB
  Правило наименьших издержек.5 Правило наименьших издержек это условие согласно которому издержки минимизируются в том случае когда последний доллар марка рубль и так далее затраченный на каждый ресурс дает одинаковую отдачу одинаковый предельный продукт. Правило наименьших издержек обеспечивает равновесие положения производителя. В этом положении достигается оптимальная комбинация факторов производства обеспечивающая максимизацию издержек.
29565. Трансакционные издержки 73 KB
  Трансакционные издержки По материалам курсовой Определений понятия трансакционные издержки множество каждый из ученых пытается выделить какуюлибо специфичную сторону данных видов затрат однако в целом обобщая можно сказать что трансакционные издержки представляют собой определенные затраты затраты ресурсов времени на взаимоотношения с внешним окружением. Можно сказать что трансакционные издержки – это цена оплачиваемая экономической системой за несовершенства и провалы рынка и провалы государства. То есть...
29566. Конкурентные и неконкурентные рынки 69.5 KB
  Принимая решение он рассматривает два его следствия: Эффект объема производства. Эффект цены. Если эффект объема производства больше чем эффект цены владелец колодца увеличит предложение воды. Если эффект цены превышает эффект объема производитель откажется от планов увеличения предложения.
29567. Понятия «неопределенность» и «риск». Предпосылки поведения потребителя в условиях неопределенности 365.5 KB
  Понятия неопределенность и риск. Неопределенность как условие риска Неопределенность – одно из центральных понятий в современной теории и практике управления. Неопределенность выступает необходимым и достаточным условием риска в принятии решений. Как отмечается в этимологическом словаре Фасмера термины риск рисковать происходят от греческого rysicon – утес скала; отсюда рисковать – значит взбираться на скалу или лавировать между скалами.
29568. Теория игр в выборе потребителя. Динамические игры. Координационные игры 487.5 KB
  Динамические игры. Координационные игры. думаю главное самое основное рассказать у теории игр большой математический аппарат который нет смысла сейчас изучать главное передать суть теории применительно к выбору потребителя и к решениям принимаемым на предприятиях в условиях олигополии стратегии равновесия выигрыши. Из лекции Бодрова у него только про статические игры: Теория игр анализирует принятие решений экономическими субъектами называемыми в соответствии с установившейся традицией игроками в ситуациях когда на результат...
29569. Эластичность спроса. Эластичность спроса относительно дохода 73 KB
  Эластичность спроса. Эластичность спроса относительно цены показывает относительное изменение объема спроса под влиянием изменения цены на один процент. Оно вызывает значительное изменение величины спроса. Рост цен автомобиля Вольво на 10 рублей практически не ощутим для покупателей этой автомашины поэтому изменение цены и величины спроса дается в формуле эластичности не абсолютно а относительно: EPD =  Q Q : P P  = Q в P в  3.
29570. Потребительское поведение и выбор потребителя 117.5 KB
  Полезность блага utility of good – это способность экономического блага удовлетворять одну или несколько человеческих потребностей. была выявлена закономерность: потребляемые последовательно части какоголибо блага обладают убывающей полезностью для потребителя. Это означает что любому бесконечно малому увеличению количества блага Q соответствует прирост общей полезности totl utility – TU см. Хотя общая полезность с увеличением количества благ постепенно возрастает предельная полезность mrginl utility MU каждой дополнительной...
29571. Кривая цена-потребеление 55 KB
  Однако при этом не учитываются два важных обстоятельства: цены товаров и доход потребителей. Если I доход потребителя Px цена блага X Py цена блага Y а X и Y составляют соответственно купленные количества благ то уравнение бюджетного ограничения можно записать следующим образом: I = Px X PY Y или в более привычном виде: Y = I Py – Px Py  X где –Px Py – угловой коэффициент бюджетной линии который измеряет наклон этой линии к оси абсцисс. При X = 0 Y = I Py то есть весь доход потребителя расходуется на благо Y....