Правила и методы фильтрации нежелательной входящей почты.

Существует определенное количество методов, которые реализуют идею аутентификации (проверки подлинности) отправителя.

Формальные методы.

Черные списки (Blackhole Lists)

Черные списки включают перечни адресов отправителей СПАМа; они составляются примерно таким же образом, как работают системы с поиском совпадений, – либо на основе жалоб пользователей, либо с помощью ловушек.

Белые списки (Safe Lists).

Белые списки, или безопасные списки, – это одна из самых распространенных технологий, которая работает в сочетании с обучаемыми фильтрами, системами с поиском совпадений и системами с запросом к отправителю.

В белые списки включают тех людей, которые зарекомендовали себя как добропорядочные отправители. Как правило, это индивидуальные пользователи, хотя в некоторых системах могут быть указаны целые домены.

Формальные правила.

Формальные правила проверяют способ посылки письма и его оформление. К типичным признакам СПАМ-письма относятся отсутствие адреса отправителя, отсутствие или наличие слишком большого числа получателей, отсутствие IP-адреса в системе DNS, сфальсифицированные или некорректные служебные заголовки и т.п.

По мнению Федеральной торговой комиссии США, у пользователей есть пять способов защитить свои адреса электронной почты от программ-сборщиков:

Замаскировать свой электронный адрес

Использовать отдельное экранное имя в чат-форумах.

Завести отключаемые адреса.

Использовать два электронных адреса.

Использовать уникальный почтовый адрес, содержащий буквы и цифры.

Лингвистические методы.

Сигнатуры.

Сигнатуры – это своего рода слепки письма, более короткие, чем само письмо, но идентифицирующие его достаточно точно. Используются самые разнообразные сигнатуры: список наиболее часто встречающихся слов письма, вектор служебных слов, контрольные суммы байт каждых пяти слов, свертки скользящих по тексту окон (шинглы) и т.д.

Достоинство сигнатур заключается в том, что они почти не дают ложных срабатываний.



Лингвистические эвристики.

Это наборы терминов (слов и словосочетаний), характерных для СПАМа, вместе с их вероятностными показателями (вероятностью встретиться в СПАМ-письме).



Самообучающиеся байесовские фильтры.

Многофакторные фильтры.

Современные системы фильтрации СПАМа являются многофакторными. Письмо проверяется многочисленными методами, каждый из которых дает ту или иную оценку, решение принимается на основе некоторой интегральной величины (рассчитываются доверительные интервалы с применением вероятностных схем).



Выбор анализа защищённости КС.

Классификация уязвимостей

Уязвимость - любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. Категории уязвимостей

Этапы жизненного цикла ИС

Категории уязвимостей ИС



Проектирование ИС

Уязвимости проектирования



Реализация ИС

Уязвимости реализации



Эксплуатация ИС

Уязвимости конфигурации



Наиболее опасны уязвимости проектирования, которые обнаруживаются и устраняются с большим трудом.

Смысл уязвимостей второй категории (уязвимости реализации) заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма.

Последняя причина возникновения уязвимостей - ошибки конфигурации программного или аппаратного обеспечения. Наряду с уязвимостями реализации они являются самой распространенной категорией уязвимостей.

Средства анализа защищенности и их классификация

Системы анализа могут быть классифицированы по типам обнаруживаемых ими уязвимостей (Рис.1), описанных выше.



Системы анализа защищенности второго и третьего классов получили наибольшее распространение среди конечных пользователей.

системы анализа защищенности, в частности системы поиска уязвимостей реализации и эксплуатации, могут на всех уровнях информационной инфраструктуры любой компании, то есть на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т.п.



В настоящий момент существует более сотни различных средств, автоматизирующих поиск уязвимостей на уровне сети, ОС, СУБД и прикладного ПО. Одни средства ориентированы на обнаружение целого спектра различных уязвимостей, другие - только на определенную их категорию. Например, система Internet Scanner является одним из самых известных средств поиска "дыр" и обнаруживает более 900 различных уязвимостей, принадлежащих различным категориям: Denial of Service, Brute Force, FTP, LDAP, SNMP, RPC, NIS, NFS, DNS и т.д.