Анализ безопасности ИТ инфраструктуры вузов на примере НИУ ВШЭ
Процедура проверки качества информационной безопасности в ходе проведения аудита. Классификация уязвимостей. Этапы проверки, разведка, сканирование. Оценка эксплуатации и пост-эксплуатации. Разбор примеров аудита. Рекомендации по улучшению безопасности.
| Рубрика | Коммуникации, связь, цифровые приборы и радиоэлектроника |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 04.12.2019 |
| Размер файла | 1,8 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
· Соблюдать правила безопасной разработки
· Следить за доступностью критичных файлов
· Проводить внешние и внутренние аудиты безопасности
· Фильтрация пользовательских данных
· Наличие действующих SSL-сертефикатов
Соблюдение данных правил поможет избежать проблем с информационной безопасностью не только вузам с большим бюджетом, но и вузам с куда более скромной статьей финансирования.
ВЫВОД
В ходе данного исследования был проведен аудит безопасности одного из самых передовых образовательных учреждений Высшей школы экономики. В ходе исследования решали следующие задачи:
1. Исследовать лучшие практики проведения аудита безопасности ИТ систем, выбор методологии определения уязвимостей.
2. Собрать всю возможную информацию об университете из открытых источников, определить стек технологий.
3. Просканировать сайты и, используя полученную ранее информацию, определить уязвимости.
4. Составить рекомендации по улучшению безопасности в случае обнаружения уязвимостей в системе.
По результатам анализа теоретической базы, а также после рассмотрения других аудитов безопасности других компаний были выделены основные методики анализа и определенный спектр задач, необходимых для получения качественного результата. В качестве основной методики определения уязвимостей была выбрана методология OWASP, как самая часто применимая. Согласно этой методологии, был определен перечень наиболее опасных уязвимостей, на предмет которых рассматривались основные домены и поддомены университета. В ходе проведенного анализа безопасности были выявлены нарушения в система, в основном заключающиеся в устаревшем программном обеспечении. Как было сказано в главе 3, необходимо исправлять эту ситуацию, поскольку это критично для безопасности университета. Были также выявлены критические уязвимости по классификации OWASP, эксплуатация которых может привести к финансовому ущербу.
Главная задача данного исследования - составления рекомендаций по устранению найденных уязвимостей. Согласно исследованию, была найдена одна тенденция, которая очень негативно сказывается на системе безопасности, а именно устаревшее программное обеспечение. Кроме того, были найдены критические уязвимости, по методологии OWASP, которые также должны быть исправлены с целью повышения защиты системы и наше исследование подробно рассказало, как защититься от данных проблем.
В заключение можно сказать, что несмотря на то, что было найдено не так много уязвимостей, эксплуатирование даже одной может привести к серьезным последствиям. Учитывая, что Высшая школа экономики - передовой университет России, который может позволить тратить большие деньги на разработку порталов по всем стандартам безопасности, можно сказать, что безопасность менее крупных университетов находится в худшем положении. Им необходимо провести внутренний аудит своей системы, определить слабые места. Кроме того, стоит выделять деньги на независимые аудиты безопасности и тестирования на проникновения, чтобы постоянно соответствовать высшим стандартам безопасности, которые позволят, как например это исследование, обнаружить основные критические уязвимости на наиболее важных поддоменах университета
СПИСОК ЛИТЕРАТУРЫ
1. Positive Technologies: number of critical vulnerabilities in web applications tripled in 2018 [Электронный ресурс]
URL: https://www.ptsecurity.com/ww-en/about/news/number-of-critical-vulnerabilities-in-web-applications-tripled-in-2018/
2. The EU General Data Protection Regulation [Электронный ресурс]
URL: https://eugdpr.org
3. Федеральный закон от 06.07.2016 № 374-ФЗ [Электронный ресурс]
URL:https://ru.wikisource.org/wiki/Федеральный_закон_от_06.07.2016_№_374-ФЗ
4. Федеральный закон от 06.07.2016 № 375-ФЗ [Электронный ресурс]
URL:https://ru.wikisource.org/wiki/Федеральный_закон_от_06.07.2016_№_375-ФЗ
5. Positive Technologies finds number of new vulnerabilities in Industrial Control Systems grew by 30 percent in a year [Электронный ресурс]
URL: https://www.ptsecurity.com/ww-en/about/news/new-vulnerabilities-in-industrial-control-systems-grew-by-30-percent-in-a-year/
6. Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ [Электронный ресурс]
URL: http://www.consultant.ru/document/cons_doc_LAW_61801/
7. Скандал с Facebook и Cambridge Analytica. Что мы знаем [Электронный ресурс]
URL: https://www.bbc.com/russian/features-43475612
8. Keeping password secure [Электронный ресурс]
URL: https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/
9. The OWASP foundation [Электронный ресурс]
URL: https://www.owasp.org/index.php/Main_Page
10. Web Application Security Consortium [Электронный ресурс]
URL: http://www.webappsec.org
11. OWASP top 10 [Электронный ресурс]
URL: https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
12. Top 1000 common passwords [Электронный ресурс]
URL: https://github.com/DavidWittman/wpxmlrpcbrute/blob/master/wordlists/1000-most-common-passwords.txt
13. The WASC Threat Classification v2.0 [Электронный ресурс]
URL: http://projects.webappsec.org/w/page/13246978/Threat%20Classification).
14. Google hacking database [Электронный ресурс]
URL: https://www.exploit-db.com/google-hacking-database/).
15. Public Pentesting Reports [Электронный ресурс]
URL: https://github.com/juliocesarfort/public-pentesting-reports
16. Узнать IP-адресс [Электронный ресурс]
URL: https://2ip.ru/whois/
17. Whois Lookup - Domain Names Search, Registration and Avaliability [Электронный ресурс]
URL: https://whois.net
18. Whois: Практическое руководство пользователя [Электронный ресурс] URL: https://habr.com/en/post/165869/
19. Вакансия Программист (Node.JS) [Электронный ресурс]
URL: https://hh.ru/vacancy/30244681
20. Вакансии компании Национальный исследовательский университет «Высшая школа экономики» [Электронный ресурс]
URL:https://moikrug.ru/companies/hse
21. DNSdumpster.com is a FREE domain research tool that can discover hosts related to a domain. Finding visible hosts from the attacker's perspective is an important part of the security assessment process. [Электронный ресурс]
URL:https://dnsdumpster.com
22. Microsoft Outlook Web Access Security vulnerabilities. [Электронный ресурс]
URL: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-5076/Microsoft-Outlook-Web-Access.html
23. CVE-2008-2248 [Электронный ресурс]
URL:https://www.cvedetails.com/cve/CVE-2008-2248/
24. CVE-2005-1052 [Электронный ресурс]
URL:https://www.cvedetails.com/cve/CVE-2005-1052/
25. File Transfer Protocol [Электронный ресурс] URL:https://en.wikipedia.org/wiki/File_Transfer_Protocol
26. Что такое человек посередине? [Электронный ресурс]
URL: https://www.kaspersky.ru/blog/chto-takoe-chelovek-poseredine/740/
27. FreeNAS - `exec_raw.php' Arbitary Command Execution [Электронный ресурс]
URL:https://www.exploit-db.com/exploits/16313
28. FreeNAS 0.7.2.5543 - `indes.php' Multiple Xross-Stie Scripting Vulnerabilities [Электронный ресурс]
URL:https://www.exploit-db.com/exploits/35124
29. What Is SSL Certificate? [Электронный ресурс]
URL: https://www.globalsign.com/en/ssl-information-center/what-is-an-ssl-certificate/
30. Mantis Bug Tracker 1.1.8 - Cross-Site Scripting/SQL injection [Электронный ресурс]
URL: https://www.exploit-db.com/exploits/36068
31. DIRB Package Description [Электронный ресурс]
URL:https://tools.kali.org/web-applications/dirb
32. Cross-site scripting [Электронный ресурс]
URL: https://portswigger.net/web-security/cross-site-scripting
Размещено на Allbest.ru
...Подобные документы
Оценка безопасности информационных систем. Методы и средства построения систем информационной безопасности. Структура системы информационной безопасности. Методы и основные средства обеспечения безопасности информации. Криптографические методы защиты.
курсовая работа [40,3 K], добавлен 18.02.2011Тенденции развития систем безопасности с точки зрения использования различных каналов связи. Использование беспроводных каналов в системах охраны. Функции GSM каналов, используемые системами безопасности. Вопросы безопасности при эксплуатации систем.
дипломная работа [1,6 M], добавлен 22.07.2009Анализ информационной безопасности в дошкольном образовательном учреждении. Рассмотрение разновидностей систем видеонаблюдения, расчет затрат на их установку и монтаж. Подбор оборудования, необходимого для информационной безопасности в детском саду.
дипломная работа [2,4 M], добавлен 15.05.2019Информатизация общества и проблема информационной безопасности. Цели и объекты информационной безопасности страны. Источники угроз для информационной безопасности. Основные задачи по предотвращению и нейтрализации угроз информационной безопасности.
реферат [20,9 K], добавлен 16.12.2008Анализ и характеристика информационных ресурсов предприятия. Выявление недостатков в системе защиты информации. Анализ рисков угрозы безопасности вычислительной системы. Цель и задачи системы информационной безопасности, принципы ее функционирования.
курсовая работа [28,6 K], добавлен 22.01.2015Основные понятия безопасности информационной системы. Свойства конфиденциальности, доступности и целостности данных. Защита данных в момент их передачи по линиям связи, от несанкционированного удаленного доступа в сеть. Базовые технологии безопасности.
презентация [279,4 K], добавлен 18.02.2010Исследование интегрированной системы безопасности (ИСБ), ее состава, функций и особенностей применения в авиапредприятии. Классификация технических средств и системы обеспечения безопасности авиапредприятия. ИСБ OnGuard 2000 с открытой архитектурой.
дипломная работа [79,0 K], добавлен 07.06.2011Оценка безопасности информационных систем. Методы и средства построения систем информационной безопасности, их структура и основные элементы, принципы и значение. Криптографические методы защиты информации, виды и основные направления их обеспечения.
курсовая работа [32,9 K], добавлен 12.03.2011- Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO
Проведение инфологической модели информационной системы организации. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия. Реализация требований политики доступа на уровне подсетей.
курсовая работа [872,9 K], добавлен 24.06.2013 Принципы построения систем безопасности: принципы законности и своевременности и т.д. Рассматривается разработка концепции безопасности – обобщения системы взглядов на проблему безопасности объекта на различных этапах и уровнях его функционирования.
реферат [16,4 K], добавлен 21.01.2009Построение структурной схемы датчиков и разработка микроконтроллерной системы обеспечения безопасности. Описание интерфейса системы, считывание и обработка данных с помощью сканирования отпечатков пальцев. Использование клавиатуры для ввода пароля.
дипломная работа [3,8 M], добавлен 04.02.2016Особенности эксплуатации приборов для измерения давления в управлении технологическими процессами и обеспечении безопасности производства. Назначение и классификация приборов; принцип работы манометров, вакуумметров, барометров, тягометров, датчиков.
презентация [288,6 K], добавлен 08.10.2013История обеспечения безопасности в открытых и закрытых компьютерных сетях. Применение административных и технических средств ее защиты, аппаратное обеспечение. Проблемы информационной безопасности в интернете. Построение системы хранения данных.
контрольная работа [108,0 K], добавлен 14.01.2014Специфика применения периметральных систем. Технические характеристики радиоволновых систем. Оценка рисков и возможностей при использовании радиоволной системы для обеспечения безопасности периметра объекта. Модель угроз, классификация нарушителей.
дипломная работа [2,6 M], добавлен 29.05.2013Способы организации систем безопасности, их характеристика. Система контроля и регистрации доступа. Оборудование для безопасного хранения ценностей. Проверка безопасности отделения почтовой связи г. Омска. Защита секретной информации и оборудования.
дипломная работа [44,6 K], добавлен 14.05.2015Вопросы компьютерной безопасности (в том числе безопасности в сети Интернет). Пособие рассчитано на подготовленного читателя. Использование криптографии. Программное обеспечение по защите информации ПК. Парольная идентификация. Типы программных средств.
книга [122,0 K], добавлен 02.01.2009Угроза безопасности – потенциальное нарушение безопасности, любое обстоятельство, которое может явиться причиной нанесения ущерба предприятию. Нарушитель – лицо, предпринявшее попытку выполнения запрещенных операций при помощи различных методов.
реферат [866,7 K], добавлен 15.12.2008Анализ схемотехнических решений мультиметров, рассмотрение принципов работы устройства для проверки элементов, разработка структурной и принципиальной схемы устройства. Меры безопасности при техническом обслуживании средств вычислительной техники.
дипломная работа [4,2 M], добавлен 11.01.2015Метрологические, динамические и эксплуатационные характеристики измерительных систем, показатели их надежности, помехозащищенности и безопасности. Средства и методы проверки; схема, принцип устройства и действия типичной контрольно-измерительной системы.
контрольная работа [418,2 K], добавлен 11.10.2010Основные формы собственности: материальные и информационные ресурсы. Интересы личности, общества и государства в информационной сфере. Влияние особенностей на безопасность создания, хранения и использования материальных и информационных ресурсов.
реферат [19,1 K], добавлен 10.12.2008
