Оценка безопасности информационных систем

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ВЫСШЕГО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования «Чувашский государственный университет имени И.Н. Ульянова»

(ФГБОУ ВО «ЧГУ им. И.Н. Ульянова»)

Факультет информатики и вычислительной техники

Кафедра компьютерных технологий

ОТЧЕТ О ПРОИЗВОДСТВЕННОЙ ПРАКТИКЕ (ПРАКТИКЕ ПО ПОЛУЧЕНИЮ ПРОФЕССИОНАЛЬНЫХ УМЕНИЙ И ОПЫТА ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ)

на базе ООО «Технические автоматизации»

Студент-практикант 5 курса

Марков Д.В.

Руководитель Лавина Т.А.

Чебоксары 2019

Задание

студенту-практиканту

Марков Д.В. ЗКТ-16-15

ФИО студента-практиканта, группа

для прохождения производственной практики (практики по получению профессиональных умений и опыта профессиональной деятельности) на (в) ООО «Технические автоматизации»

наименование профильной организации/подразделения университета

1. Ведение и оформление дневника практики.

2. Прохождение инструктажа по охране труда, технике безопасности, пожарной безопасности, а также ознакомление с правилами внутреннего трудового распорядка организации, предоставляющей место для прохождения практики.

3. Выполнение индивидуального задания:

- ознакомление с базой практики (профильной организацией), выпускаемой продукцией, структурой исследовательских, проектно-конструкторских и проектно-технологических подразделений, их ролью, задачами и взаимосвязями с другими подразделениями;

- ознакомление с научной организацией труда в исследовательских, проектно-конструкторских и проектно-технологических подразделениях профильной организации;

- изучение технологии создания (модификации), в том числе дизайна проектных решений, и сопровождения ИС: антивирусные комплексы, резервное копирование данных, системы контроля приложений

- приобретение и закрепление навыков проектно-конструкторской и проектно-технологической работы (проектирования прототипа ИС в соответствии с требованиями, дизайна информационной системы).

- ознакомление с методами тестирования прототипа ИС и анализа результатов тестов;

- приобретение навыков разработки и оформления программной документации;

- ознакомление с экономико-организационными аспектами функционирования исследовательских, проектно-конструкторских и проектно-технологических подразделений профильной организации;

- оформление отчета по практике в соответствии с рекомендациями п.п. 6,7 программы практики.

4. Планируемый результат:

Отчет о применении Резервных копирований данных, системы контроля приложений.

Руководитель практики от кафедры ___________/___________________



Реферат

Отчет 19 с., _____ табл., _____ рис. , ____ прил.

БИС, Концепции защиты БИС, распределение ролей и обязанностей, уровни защиты

Объект и предмет практики: Концепции защиты БИС, Недостатки Существующих стандартов

Цель производственной практики:

- получения профессиональных умений и опыта профессиональной деятельности;

- закрепления, расширения и углубления теоретических и практических знаний умений и навыков, полученных студентами ранее при изучении дисциплин учебного плана.

Во время прохождения данного типа практики студент должен получить умения и опыт при решении следующих профессиональных задач:

- проведение обследования прикладной области в соответствии с профилем подготовки: сбор детальной информации для формализации требований пользователей заказчика, в том числе дизайну проектных решений, интервьюирование ключевых сотрудников заказчика;

- формирование требований к информатизации и автоматизации прикладных процессов, формализация предметной области проекта;

- моделирование прикладных и информационных процессов, описание реализации информационного обеспечения прикладных задач;

- составление технико-экономического обоснования проектных решений и технического задания на разработку и дизайн информационной системы.

Результаты производственной практики: отчет, включающий вопросы применения Концепции защиты БИС, Недостатки существующих стандартов



Содержание

Введение

1. Основные понятия и методы оценки безопасности информационных систем

2. Концепция безопасности системы защиты

3. Российский рынок информационной безопасности

4. Распределение ролей и обязанностей

5. Недостатки существующих стандартов и рекомендаций

6. Средства защиты электронных данных

Заключение

Список литературы

Приложение

Введение

Говоря об информационной безопасности, в настоящее время имеют в виду, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки. информационный электронный данный несанкционированный

Вследствие этого настоящая работа посвящена именно проблеме обеспечения информационной безопасности именно в компьютерной среде. Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.



1. Основные понятия и методы оценки безопасности информационных систем

Чтобы разработать систему защиты, необходимо, прежде всего, определить, что такое "угроза безопасности информации", выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.

"угроза безопасности информации" понимается "действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства".

Под "несанкционированным доступом" понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользователей или других субъектов системы разграничения, являющейся составной частью системы защиты информации.

Под "каналом несанкционированного доступа" к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанкционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, приводящих к несанкционированному доступу. Для обеспечения защиты хранимых данных используется несколько методов и механизмов их реализации. В литературе выделяют следующие способы защиты:

· Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от "внешних" злоумышленников и не защищают информацию от тех лиц, которые обладают правом входа в помещение.

· Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.

· Управление доступом представляет способ защиты информации путем регулирования доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). Управление доступом предусматривает следующие функции защиты:

*идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора: имени, кода, пароля и т. п.);

* аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;

* авторизацию - проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

* разрешение и создание условий работы в пределах установленного регламента;

* регистрацию (протоколирование) обращений к защищаемым ресурсам;

* реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи, зашифровываются и тем самым преобразуются в шифрограмму или закрытый текст. Санкционированный пользователь получает данные или сообщение, дешифрует их или раскрывает посредством обратного преобразования криптограммы, в результате чего получается исходный открытый текст

Основные понятия, требования, методы и средства проектирования и оценки системы информационной безопасности для информационных систем (ИС) отражены в следующих основополагающих документах:

Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защиты информации в ИС, изложенных в этих документах.

"Оранжевая книга" - это название документа, который был впервые опубликован в августе 1983 г. в Министерстве обороны США. В этом документе дается пояснение понятия "безопасной системы", которая "управляет посредством соответствующих средств доступом к информации так, что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, писать, создавать и удалять информацию". Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.

2. Концепция безопасности системы защиты

Концепция безопасности разрабатываемой системы - "это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечивающие безопасность системы.

Концепция безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия" .

Концепция безопасности разрабатываемой системы согласно "Оранжевой книге" должна включать в себя следующие элементы:

* произвольное управление доступом;

* безопасность повторного использования объектов;

* метки безопасности;

* принудительное управление доступом.

Рассмотрим содержание перечисленных элементов.

Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Главное достоинство произвольного управления доступом - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Метки безопасности ассоциируются с субъектами и объектами для реализации принудительного управления доступом.

Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге" метки безопасности состоят из двух частей - уровня секретности и списка категорий.

Главная проблема, которую необходимо решать в связи с метками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правильными.

Одним из средств обеспечения целостности меток безопасности является разделение устройств на многоуровневые и одноуровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой.

Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.

Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является дополнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

*идентификация и аутентификация (проверка подлинности);

* предоставление надежного пути;

* анализ регистрационной информации (аудит).

3. Российский рынок информационной безопасности

На ( рис.1). Согласно оценкам аналитического центра TAdviser, объём рынка информационной безопасности в России по итогам 2018 года составил 79,5 млрд рублей. Рост по отношению к 2017 году составил 7,2% 

Рис.1

4. Распределение ролей и обязанностей

Перечисленные ниже группы людей отвечают за реализацию сформулированных ранее целей.

- руководитель организации отвечает за выработку соответствующей политики обеспечения информационной безопасности и проведение ее в жизнь;

- руководители подразделений отвечают за доведение положений политики обеспечения информационной безопасности до пользователей и за контакты с ними.

- администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики обеспечения информационной безопасности.

- пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

5. Недостатки существующих стандартов и рекомендаций

Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо меньшей степени - на потребителей.

Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.

Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:

- как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?

- как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?

Как уже отмечалось, стандарты и рекомендации несут на себе "родимые пятна" разработавших их ведомств. На первом месте в "Оранжевой книге" (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место.

Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес представляют по возможности простые рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще одно замечание общего характера.

Несмотря на отмеченные недостатки, у "Оранжевой книги" есть огромный идейный потенциал, который пока во многом остается невостребованным. Прежде всего, это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание "троянских коней" и распространение вирусов. К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация - как правило, идентификатор (пароль) владельца процесса, - не имеющая отношения к характеру действия.

6. Средства защиты электронных данных

Многоуровневый контроль доступа (идентификация пользователя, допуск в систему, к данным, к задачам);

уровни защиты данных (информационная база данных, информационный массив, набор, запись, поле);

тип замка (ключевой - применение единого ключа, физического или электронного; процедурный - прохождение авторизации (подтверждение статуса пользователя) и идентификации (определение самого пользователя));

вид пароля (статический - ключ; разовый - используемый при защите передаваемой конкретной информации, файлов, папок с файлами и т.д.; изменяемый - используется пользователем, администратором для защиты компьютеров);

динамическая проверка защищенности (в момент открытия базы, в момент подтверждения разрешения на обмен данными).

В последнее время многочисленные виды защиты информации группируются в три основных класса:

· Средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средств архивации, дисковых массивов и т.д.

· Программные средства защиты, в том числе антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.

· Административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.

Заключение

Выбор способов защиты информации в информационной системе - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации. После выбора методов и механизмов необходимо осуществить разработку программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в информационной системе. Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

Список литературы

1. Гайкович В., Першин А., Безопасность электронных банковских систем. - Москва, "Единая Европа", 1994.

2.Атре Ш. Структурный подход к организации баз данных. - М.: «Финансы и статистика», 2003.

3.Вендров А.М. CASE - технологии. Современные методы и средства проектирования информационных систем. - М.: Финансы и статистика, 1998.- 176 с.

4.Острейковский, В.А. Информатика .Учебник для вузов /Острейковский В.А. - М. : Высш. шк., 2001. - 511 с.

5.Благодатских В.А., Енгибарян М.А., Ковалевская Е.В. Экономика, разработка и использование программного обеспечения ЭВМ. - М.: Финансы и статистика,1997.

6.Левин В.К. Защита информации в информационно-вычислительных системах и сетях. / Программирование, 2004.-№5- 5-16 с.



Приложение

МИНИСТЕРСТВО ВЫСШЕГО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное

учреждение высшего образования

«Чувашский государственный университет имени И.Н. Ульянова»

(ФГБОУ ВО «ЧГУ им. И.Н. Ульянова»)

Факультет информатики и вычислительной техники

Кафедра компьютерных технологий

РАБОЧИЙ ГРАФИК (ПЛАН)

ПРОВЕДЕНИЯ ПРОИЗВОДСТВЕННОЙ ПРАКТИКИ

(ПРАКТИКИ ПО ПОЛУЧЕНИЮ ПРОФЕССИОНАЛЬНЫХ УМЕНИЙ И ОПЫТА ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ)

на базе ООО «Технические автоматизации»

Марков Д.В. студента группы ЗКТ-46-15

Прикладная информатика (прикладная информатика в государственном и муниципальном управлении)

(направление/специальность подготовки, профиль/специализация)

№ п/п	Разделы (этапы) практики	Виды работ на практике, включая самостоятельную работу студентов	Дата
1.	Организация практики, подготовительный этап	Оформление на практику, прохождение инструктажа по охране труда, технике безопасности, пожарной безопасности, а также ознакомление с правилами внутреннего трудового распорядка организации, предоставляющей место для прохождения практики	09.09.2019
2.	Производственный этап	Обучение и работа на рабочем месте в качестве стажера-практиканта в соответствии с индивидуальным заданием	09.09.2019 09.11.2019
3.	Подготовка отчета	Сбор, обработка и систематизация фактического и литературного материала	11.11.2019 18.11.2019
4.	Защита отчета	Получение отзыва на рабочем месте Публичная защита отчета	18.11.2019

ДНЕВНИК

ПРОХОЖДЕНИЯ ПРОИЗВОДСТВЕННОЙ ПРАКТИКИ (ПРАКТИКИ ПО ПОЛУЧЕНИЮ ПРОФЕССИОНАЛЬНЫХ УМЕНИЙ И ОПЫТА ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ)

на базе ООО «Технические автоматизации»

Марков Д.В. студента группы ЗКТ-46-15

Прикладная информатика (прикладная информатика в государственном и муниципальном управлении)

(направление/специальность подготовки, профиль/специализация)

№ п/п	Разделы (этапы) практики	Виды работ на практике, включая самостоятельную работу студентов	Дата
1.	Организация практики, подготовительный этап	Оформление на практику, прохождение инструктажа по охране труда, технике безопасности, пожарной безопасности, а также ознакомление с правилами внутреннего трудового распорядка организации, предоставляющей место для прохождения практики	09.09.2019
2.	Производственный этап	Сбор материала по изучению информатизации предприятия ООО «Технические автоматизации»	09.09.2019 28.09.2019
		Сбор материала по изучению опыта применения концепций защиты БИС	30.09.2019 09.11.2019
3.	Подготовка отчета	Сбор, обработка и систематизация фактического и литературного материала	11.11.2019 18.11.2019
4.	Защита отчета	Получение отзыва на рабочем месте Публичная защита отчета	18.11.2019

Студент практикант ____________/_____Марков Д.В.

Руководитель практики от профильной организации ____________/______Запанков А.С

Дата составления «18» ноября 2019 г.

Размещено на Allbest.ru

...