Вход

Сертификационные испытаний средств защиты информации на остутсвие недекларированных возможностей

Курсовая работа
Код 100636
Дата создания 20.04.2016
Страниц 32
Источников 19
Файлы будут доступны для скачивания после проверки оплаты.
1 450руб.
КУПИТЬ

Содержание

Введение 3 1.Теоретические аспекты защиты информационных систем от недокументированных возможностей 5 1.2. Методика испытаний на наличие недокументированных возможностей СЗИ 13 2. Сертификация СЗИ на примере ООО «Альянс» 20 2.1. Общая характеристика информационной системы ООО «Альянс» 20 2.2. Сертификационные испытания СЗИ ООО «Альянс» 27 Заключение 29 Список использованных источников 31   Содержание

Фрагмент работы для ознакомления

В таблице 5 приведены характеристики компьютеров, соответствующих требованиям к работе в информационной системе предприятия и не подлежащих замене.Таблица 5 - Технические характеристики рабочей станции специалистаХарактеристикаЗначениеПериферияЕстьМониторAcer G226HQLHbd, 21,5’, 1920x1080 (16:9), 8мс, LED, 250 кд/м2ОписаниеОфисныйПКПроцессорIntel (TM) Core i3Память4GBHDD320Гб 7200 об/мин 32 МбОптический накопительDVD-ROM + CD-RW (COMBO) 52/32/52+16 Видеосистема512Mb integratedFDDестьАудиоАС97LAN1GB/cРазмеры~ 415 х 185 х 505ммСпецифика деятельности OOO «АЛЬЯНС» предполагает наличие в информационной системе объектов защиты информации, которые можно классифицировать следующим образом:информация, содержащаяся в базах данных автоматизированных систем, потеря которой приведет к необходимости дополнительных трудозатрат на восстановление, вероятности простое организации и прямым убыткам организации;персональные данные клиентов и сотрудников;коммерчески значимая информация сторонних организаций – клиентов OOO «АЛЬЯНС».Система защиты информации в OOO «АЛЬЯНС» включает в себя следующие компоненты:организационное и документационное обеспечение (издание ряда локальных нормативных актов, связанных с соблюдением технологии защиты информации и определяющие ответственность сотрудников);технические меры (автоматизированная система пропускного режима, использование системы охранной и пожарной сигнализации);технологическое обеспечение защиты информационной системы – антивирусная защита, защита от сетевых угроз, парольная защита, система разграничения доступа, криптографическая защита.Антивирусным решением в условиях OOO «АЛЬЯНС» является ПО KasperskyEndPointSecurity.Основные принципы системы АВЗ:назначение ответственных за организацию АВЗ;использование в работе только лицензионного ПО и последних версий антивирусного ПО, ведущих производителей;ежедневное обновление антивирусных баз;проверка на наличие вредоносного ПО всех файлов, полученных на магнитных, оптических и иных внешних носителях, по электронной почте, перед их использованием;обучение правилам и нормам АВЗ вновь принятых на работу сотрудников.Объектами АВЗ являются в условиях OOO «АЛЬЯНС» являются:прокси-серверы;серверы в локальных вычислительных сетях (ЛВС);рабочие станции в ЛВС, портативные (переносные) компьютеры.Структура антивирусной защиты на основе решений от KasperskyLabпредставляет собой разветвленную структуру, обеспечивающую централизованное управление системой защиты информации на предприятии (рисунок 4). Главный сервер антивирусной защиты предприятия получает обновления с сервера лаборатории Касперского, после чего рассылает его на подчиненные сервера, откуда происходит обновления антивирусного ПОна рабочих станциях, на которые установлено ПО «Агент Администрирования». Также данная система позволяет централизованно настраивать политики антивирусной защиты (управление ключами, управление внешними устройствами, USB-портами, сетевыми подключениями, централизованная установка ПО). В таблице 7 приведен сводный перечень средств защиты информации, используемых в ООО «Альянс».Таблица 7 - Сводный перечень средств защиты информации, используемых в ООО «Альянс»Тип СЗИНаименованиеВид реализацииАнтивирусная защитаKaspersky EndPoint Security 10ПрограммнаяЭлектронные ключи eToken/AlladdinПрограммно-аппаратнаяКриптографическая Крипто-ПроПрограммнаяСКУДОрионПрограммно-аппаратнаяРисунок 6 - Принципиальная схема организации антивирусной защиты на основе решений от KasperskyLabПарольная защита используется на следующих уровнях:авторизация на уровне домена;авторизация на уровне программного обеспечения.К парольной защите применяются требования к сложности паролей, конфиденциальности и срокам их действия.Таким образом, система информационной безопасности в автоматизированной системе OOO «АЛЬЯНС» должна соответствовать следующим требованиям:- наличие организационной компоненты, предполагающей наличие специалистов, ответственных за обеспечение системы информационной безопасности;наличие системы разграничения доступа (уровень ввода документов, уровень первичной постановки документов на учет, уровень исполнителя, уровень руководителя);наличие парольной защиты с требованиями к сложности пароля, а также к его периодической смене;возможностью интеграции с ЭП;наличие системы автоматического резервного копирования и условий выполнения соответствующих требований к хранению копий баз данных. 2.2. Сертификационные испытания СЗИ ООО «Альянс»Согласно методике, построенной в разделе 1.2, проведем испытания СЗИ на наличие недокументированных возможностей. Результаты представим в таблице 8.Таблица 8 – Результаты тестирования СЗИ на наличие недокументированных возможностейУязвимостьИнструмент тестированияKaspersky Endpoint SecurityeTokenAlladdinСКУД ОрионАктивность встроенных учетных записейКСЗИ «Панцирь-К»+--Анализ программного кодаАПК «Щит»Не проводилось--Сетевая активностьVipNet Client---Анализ запущенных процессовКСЗИ «Панцирь-К»---Доступ к буферу обменаКСЗИ «Панцирь-К»-+-Протоколирование ввода с клавиатурыКСЗИ «Панцирь-К»---Таким образом, по итогам тестирования СЗИ на наличие недокументированных возможностей были сделаны следующие выводы:- ПО eTokenAlladdin имеет доступ к буферу обмена, но эта функция декларируется документацией к данному ПО, вредоносного действия не выявлено;- Kaspersky Endpoint Security использует встроенные учетные записи операционной системы, но эта функция декларируется документацией к данному ПО, вредоносного действия не выявлено.Таким образом, согласно разработанной методике по указанным критериям в исследованных СЗИ не выявлено наличия недокументированных возможностей.ЗаключениеВ настоящее время с развитием информационных систем и усложнением программного обеспечения растет количество угроз, связанных информационной безопасностью, обусловленных активностью программных закладок и недокументированных возможностей.В рамках данной работы проведен анализ технологии защиты СЗИ от активности, связанной с недокументированными возможностями. В рамках анализа технологии работы ПО СЗИ было показано, что программное обеспечение, используемое в данных системах, делится на категории специализированного ПО, связанного с работой аппаратных систем и микроконтроллеров и общесистемного ПО, связанного с функционированием компьютеров, управляющих СЗИ.В ходе работы было показано, что безопасностьмониторинга недокументированных возможностейСЗИ может быть обеспечена при условии минимизации взаимодействия тестирующего средства с общей сетью предприятия. В идеальном варианте эти сети должны существовать параллельно, так как программы, обеспечивающие производственный процесс, должны обладать высокой степенью защищенности и их взаимодействие со сторонним ПО должно быть ограничено.Этапами работы явились:- анализ теоретических аспектов недокументированных возможностей и их классификация;- анализ вопросов обеспечения информационной безопасности при работе с СЗИ;- анализ угроз, связанных с недокументированными возможностями;- обзор методов противодействия программным закладкам;- разработка проекта испытаний на наличие недокументированных возможностей СЗИ.Результатом работы явилось построение алгоритмов противодействия функционалу программных закладок, которые могут быть использованы при проектировании систем защиты от программных закладок в информационных системах, содержащих СЗИ.Список использованных источников6 шагов к информационной безопасности СЗИ. [Электронный ресурс]. Режим доступа: http://ua.automation.com/content/6-shagov-k-informacionnoj-bezopasnosti-asu-tpПрограммные закладки в бизнес-приложениях. [Электронный ресурс]. Режим доступа: http://bezopasnik.org/article/31.htmАПК «Щит». [Электронный ресурс]. Режим доступа: http://zlonov.ru/catalog/%D0%B0%D0%BF%D0%BA-%D1%89%D0%B8%D1%82/6. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.7. Стефанюк В.Л. Локальная организация интеллектуальных систем. – М.: Наука, 2014. - 574 c.8. Якубайтис Э.А. Информационные сети и системы: Справочная книга.- М.: Финансы и статистика, 2011. – 232с.9. Разработка инфраструктуры сетевых служб Microsoft Windows Server 2008. Учебный курс MCSE М.: Bзд-во Русская редакция, 2009. 10. Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008. 11. NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization»Гук М. Аппаратные средства локальных сетей. Энциклопедия. – СПб.: Питер, 2010. – 576с.Иопа, Н. И. Информатика: (для технических специальностей): учебное пособие– Москва: КноРус, 2011. – 469 с. Акулов, О. А., Медведев, Н. В. Информатика. Базовый курс: учебник – Москва: Омега-Л, 2010. – 557 с.Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2012Могилев А.В.. Информатика: Учебное пособие для вузов - М.: Изд. центр "Академия", 2011Партыка Т.Л. Операционные системы и оболочки. - М.: Форум, 2011Под ред. проф. Н.В. Макаровой: Информатика и ИКТ. - СПб.: Питер, 2011Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. – СПб.: Интуит, 2012. – 360с.

Список литературы

Список использованных источников 1. 6 шагов к информационной безопасности СЗИ. [Электронный ресурс]. Режим доступа: http://ua.automation.com/content/6-shagov-k-informacionnoj-bezopasnosti-asu-tp 2. Программные закладки в бизнес-приложениях. [Электронный ресурс]. Режим доступа: http://bezopasnik.org/article/31.htm 3. АПК «Щит». [Электронный ресурс]. Режим доступа: http://zlonov.ru/catalog/%D0%B0%D0%BF%D0%BA-%D1%89%D0%B8%D1%82/ 6. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с. 7. Стефанюк В.Л. Локальная организация интеллектуальных систем. – М.: Наука, 2014. - 574 c. 8. Якубайтис Э.А. Информационные сети и системы: Справочная книга.- М.: Финансы и статистика, 2011. – 232с. 9. Разработка инфраструктуры сетевых служб Microsoft Windows Server 2008. Учебный курс MCSE М.: Bзд-во Русская редакция, 2009. 10. Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008. 11. NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization» 12. Гук М. Аппаратные средства локальных сетей. Энциклопедия. – СПб.: Питер, 2010. – 576с. 13. Иопа, Н. И. Информатика: (для технических специальностей): учебное пособие– Москва: КноРус, 2011. – 469 с. 14. Акулов, О. А., Медведев, Н. В. Информатика. Базовый курс: учебник – Москва: Омега-Л, 2010. – 557 с. 15. Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2012 16. Могилев А.В.. Информатика: Учебное пособие для вузов - М.: Изд. центр "Академия", 2011 17. Партыка Т.Л. Операционные системы и оболочки. - М.: Форум, 2011 18. Под ред. проф. Н.В. Макаровой: Информатика и ИКТ. - СПб.: Питер, 2011 19. Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. – СПб.: Интуит, 2012. – 360с. список литературы
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
Сколько стоит
заказать работу?
1
Заполните заявку - это бесплатно и ни к чему вас не обязывает. Окончательное решение вы принимаете после ознакомления с условиями выполнения работы.
2
Менеджер оценивает работу и сообщает вам стоимость и сроки.
3
Вы вносите предоплату 25% и мы приступаем к работе.
4
Менеджер найдёт лучшего автора по вашей теме, проконтролирует выполнение работы и сделает всё, чтобы вы остались довольны.
5
Автор примет во внимание все ваши пожелания и требования вуза, оформит работу согласно ГОСТ, произведёт необходимые доработки БЕСПЛАТНО.
6
Контроль качества проверит работу на уникальность.
7
Готово! Осталось внести доплату и работу можно скачать в личном кабинете.
После нажатия кнопки "Узнать стоимость" вы будете перенаправлены на сайт нашего официального партнёра Zaochnik.com
© Рефератбанк, 2002 - 2017