33639

Классификация уязвимостей

Доклад

Информатика, кибернетика и программирование

Некоторые уязвимости подобного рода трудно назвать недостатками скорее это особенности проектирования. В Уязвимости могут быть следствием ошибок допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем протоколов и служб использование нестойких паролей пользователей паролей учетных записей по умолчанию и др. по уровню в инфраструктуре АС К уровню сети относятся уязвимости сетевых протоколов стека TCP IP протоколов NetBEUI IPX SPX. Уровень операционной системы охватывает уязвимости...

Русский

2013-09-06

37.5 KB

22 чел.

3. Классификация уязвимостей

1. По источникам возникновения уязвимостей

А) на этапе проектирования. Например сервис TELNET, в котором имя пользователя и пароль передаются по сети в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Некоторые уязвимости подобного рода трудно назвать недостатками, скорее это особенности проектирования. Например, особенность сетей Ethernet - общая среда передачи.

Б) на этапе реализации (программирования). Например, ошибки программирования стека TCP/IP, приводящие к отказу в обслуживании; ошибки при написании приложений, приводящие к переполнению буфера и т.п.

В) Уязвимости могут быть следствием ошибок, допущенных в процессе эксплуатации информационной системы: неверное конфигурирование операционных систем, протоколов и служб, использование нестойких паролей пользователей, паролей учетных записей «по умолчанию» и др.

2. по уровню в инфраструктуре АС

К уровню сети относятся уязвимости сетевых протоколов - стека TCP/IP, протоколов NetBEUI, IPX/SPX.

Уровень операционной системы охватывает уязвимости Windows, UNIX, Novell и т. д., т.е. конкретной ОС.

На уровне баз данных находятся уязвимости конкретных СУБД - Oracle, MS SQL, Sybase и др. Этот уровень рассматривается отдельно, потому что базы данных, как правило, являются неотъемлемой частью АС любой компании.

К уровню приложений относятся уязвимости программного обеспечения WEB, SMTP серверов и т.п.

Персонал и пользователи системы также уязвимы. Например, один из путей внедрения вредоносных программ - это провоцирование пользователей на запуск присланных по электронной почте приложений.

3. по степени риска

Высокий уровень риск. Уязвимости, позволяющие получить непосредственный доступ к узлу с правами суперпользователя, или в обход межсетевых экранов или других средств защиты (полный контроль над атакуемым объектом).

Средний уровень риска. Уязвимости, позволяющие получить информацию, которая с высокой степенью вероятности позволит в дальнейшем получить полный контроль над объектом и доступ к любым его ресурсам.

Низкий уровень риска. Уязвимости, позволяющие осуществлять сбор критичной информации о системе.

Классификация атак

1. по целям

  •  нарушение нормального функционирования атакуемого объекта (отказ в обслуживании);
  •  получение конфиденциальной и критичной информации;
  •  модификация и фальсификация данных;
  •  получение полного контроля над объектом атаки.

2. по мотивации действий

  •  случайность, безответственность, халатность;
  •  самоутверждение, любопытство;
  •  вандализм;
  •  принуждение;
  •  месть;
  •  корыстный интерес.

3. по местонахождению нарушителя

  •  в одном сегменте с объектом атаки;
  •  в разных сегментах с объектом атаки.

От взаимного расположения атакующего и жертвы зависит механизм реализации атаки. Как правило, осуществить межсегментную атаку бывает сложнее.

4. по механизму реализации атак

  •  пассивное прослушивание. Перехват трафика сетевого сегмента.
  •  подозрительная активность. Сканирование портов (служб) объекта атаки, попытки подбора пароля.
  •  бесполезное расходование вычислительного ресурса. Исчерпание ресурсов атакуемого узла или группы узлов, приводящее к снижению производительности (переполнение очереди запросов на соединение и т п.)
  •  Нарушение навигации (создание ложных объектов и маршрутов). Изменение маршрута сетевых пакетов, таким образом, чтобы они проходили через хосты и маршрутизаторы нарушителя, изменение таблиц соответствия условных Internet-имен и IP-адресов (атаки на DNS) и т.п.
  •   выведение из строя. Посылка пакетов определённого типа на атакуемый узел, приводящая к отказу узла или работающей на нём службы (WinNuke и др.)
  •   запуск приложений на объекте атаки. Выполнение враждебной программы в оперативной памяти объекта атаки (троянские кони, передача управления враждебной программе путём переполнения буфера, исполнение вредоносного мобильного кода на Java или ActiveX и др.)


 

А также другие работы, которые могут Вас заинтересовать

27209. Продумайте приемы работы со справочной литературой 22 KB
  Продумайте приемы работы со справочной литературой энциклопедии словари ЗАЧЕМ Для повышения интереса для углубления для любознательности. Приемы учитель разница понятий для сравнения из словарей.
27210. Покажите использование наглядного метода обучения 21.5 KB
  На репродукцию: орудия труда иллюстрации портреты схемы Творческий ученый портрет высказывание.
27211. Продумайте технологию разработки презентации урока 29 KB
  Продумайте технологию разработки презентации урока.лаконичность Этапы создания презентации 1.создание слайдов Подготовка и структурирование материала разработка графических материалов формирование информационных компонентов отлажка презентации 3.реализация и анализ презентации перевод пед.
27213. Предложите варианты формулировки темы урока 21.5 KB
  Либо формулирование идет в виде проблемного вопроса В виде изречения В виде шарады В зависимости от типа урока.
27214. Продемонстрируйте различные способы целеполагания на уроке истории 24.5 KB
  от учителя: общая цель и задачи триединство целей 2. Образовательная цель: Сформировать целостное представление об Афинах после греко персидских воин; продолжить формирование умений работы в группах; Развивающая цель: Продолжить формировать умение составлять рассказ выделять главное высказывать свою точку зрения; Воспитательная цель: Способствовать развитию у школьников интереса к истории приобщать их к культурному наследию прошлого. Цель урока: сформировать представление учащихся о городе Афины как центре греческой культуры показать...
27216. Покажите использование игровых технологий на уроке истории 25 KB
  Покажите использование игровых технологий на уроке истории ИГРА вид деятельности детей заключающийся в воспроизведении действий взрослых и отношений между ними и направленный на ориентировку и познание предметной и социальной действительности. ПОЧЕМУ ВАЖНА ВИДЫ Виды деловых игр: В зависимости от типа человеческой деятельности: Учебный Исследовательский Аттестационный Управленческий Ежова Без ограниченный Ограниченный В реальном времени Время смято По оценке деятельности Бальная Как работал По конечному результату Жесткие игры...
27217. Продумайте приемы проверки и оценки знаний и умений учащихся 24 KB
  Но в настоящее время появилась новая система отслеживания всего комплекса образованности учащегося. Это система педагогического мониторинга.