Контрольная работа по дисциплине «Информационные Системы и Технологии»

Автор работы: Пользователь скрыл имя, 06 Февраля 2014 в 10:47, контрольная работа

Краткое описание

Целью данной работы является вычленение конкретной подсистемы представленной целостной информационной системы, нуждающейся в проведении всестороннего анализа состояния информационной безопасности, состояния методов и средств защиты данных для конкретного рабочего места, а также проведение вышеуказанного анализа, формулирование вывода, определение сильно- и слабозащищенных подструктур рассматриваемой подсистемы.
На основании данной цели были поставлены следующие задачи:
1. Определить информационную систему. Рассмотреть основные процессы и информационные потоки, протекающие в данной системе. Вычленить подсистемы для дальнейшего анализа.
2. Рассмотреть информационные элементы (данные всех видов и на любых носителях, используемые при решении задач в ИС), технические средства (средства ввода, обработки, хранения и вывода данных), которые могут подвергнуться случайному и/или преднамеренному вредному воздействию.
3. Выявить реально существующие и потенциально возможные «каналы утечки информации» (направления несанкционированного воздействия на защищаемые элементы).
4. Проанализировать степень защищенности ИС: оценить эффективность работы существующих средств защиты по перекрытию «каналов утечки информации», выработать рекомендации по дополнительным методам и средствам защиты для устранения обнаруженных дефектов в информационной безопасности и надежного перекрытия каналов утечки.

Скачать полностью (116.51 Кб) Сколько стоит заказать работу?

Прикрепленные файлы: 1 файл

Маринов. Информационная Безопасность. КР.docx

— 119.99 Кб (Скачать документ)

Данная модель разработана на основе анализа информационного и технического обеспечения рабочего места Оператора СУ.

Здесь более подробно описан принцип циклического обмена информационными потоками, взаимодействия между объектами.

Рисунок 2. Организация обмена информационными потоками. Информационные элементы.

Третий этап: Регистрация технических средств и информационных элементов ИС.

Технические средства и информационные элементы ИС, участвующие в процессе научно-исследовательской деятельности, а конкретнее – те её элементы, которые в наибольшей степени могут подвергнуться случайному и/или преднамеренному вредному воздействию, зарегистрированы в таблице 1.

Иденти- фикатор	Наименование	Носитель
ИЭ1	Общие инструкции, положения	Бумажный носитель
ИЭ2	Общие инструкции, положения	Сетевой электронный носитель
ИЭ3	Системный блок на рабочем месте Оператора СУ (Ревизора, Заведующего, Посредника)	Техническое обеспечение
ИЭ4	Жесткий диск ПК на рабочем месте Оператора СУ	Техническое обеспечение
ИЭ5	Монитор на рабочем месте Оператора (Ревизора, Заведующего, Посредника)	Техническое обеспечение
ИЭ6	Принтер на рабочем месте Оператора	Техническое обеспечение
ИЭ7	Оперативная память ПК на рабочем месте Оператора	Техническое обеспечение
ИЭ8	Операционная система на рабочем месте Оператора	Программное обеспечение
ИЭ9	ПО, обеспечивающее доступ к БД (CSP+ Blue)	Программное обеспечение
ИЭ10	ПО, формирующее отчет (MS Office)	Программное обеспечение
ИЭ11	Отчет о результатах анализа, рекомендации Оператора	Локальный электронный носитель
ИЭ12	Отчет о результатах анализа, рекомендации Оператора	Сетевой электронный носитель
ИЭ13	Сервер баз данных требований, почты.	Техническое обеспечение
ИЭ14	Операционная система сервера баз данных требований, почты.	Программное обеспечение
ИЭ15	Модель основных требований	Сетевой электронный носитель
ИЭ16	Модель дополнительных требований	Сетевой электронный носитель
ИЭ17	Документ спецификации дополнительных требований	Локальный электронный носитель
ИЭ18	Документ спецификации дополнительных требований	Бумажный носитель
ИЭ19	Список паролей для доступа к серверу и базам данных	Локальный электронный носитель
ИЭ20	Web-браузер	Программное обеспечение
ИЭ21	Документ об отдаче распоряжений сотрудникам	Сетевой электронный носитель
ИЭ22	Документ об отдаче распоряжений сотрудникам	Локальный электронный носитель
ИЭ23	Отчет о выполненных операциях Посредником	Локальный электронный носитель
ИЭ24	Отчет о выполненных операциях Посредником	Бумажный носитель
ИЭ25	Коммутационное оборудование	Техническое обеспечение
ИЭ26	Клавиатура, мышь	Техническое обеспечение
ИЭ27	Порты USB	Техническое обеспечение
ИЭ28	Постановка задачи написания спецификации дополнительных требований	Сетевой электронный носитель
ИЭ29	Постановка задачи написания спецификации дополнительных требований	Локальный электронный носитель

Таблица 1. Инвентаризация по техническому (аппаратному) обеспечению процесса и данным

После прохождение трех этапов, мы в итоге получили список информационных элементов, который предстоит проанализировать на необходимость принятия решения относительно защиты данного элемента. Для этого необходим такой процесс как Классификация.

Классификация предполагает назначение для каждого элемента (в таблице 2) значений уровней по Доступности, Целостности, Конфиденциальности (ДЦК). Назначение уровня производилось по результатам прогнозирования вида и размера предполагаемого ущерба, реакции ИС.

2. КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ДАННЫХ

Иденти- фикатор	Наименование	Доступ- ность	Целост- ность	Конфи- денциаль ность	Идентифи катор для анализа
ИЭ1	Общие инструкции, положения	3	3	4
ИЭ2	Общие инструкции, положения	3	3	4
ИЭ3	Системный блок на рабочем месте Оператора СУ (Ревизора, Заведующего, Посредника)	1	1	2	ИЭ.1
ИЭ4	Жесткий диск ПК на рабочем месте Оператора СУ	1	1	2	ИЭ.2
ИЭ5	Монитор на рабочем месте Оператора (Ревизора, Заведующего, Посредника)	1	1	4	ИЭ.3
ИЭ6	Принтер на рабочем месте Оператора	2	2	4	ИЭ.4
ИЭ7	Оперативная память ПК на рабочем месте Оператора	1	1	2	ИЭ.5
ИЭ8	Операционная система на рабочем месте Оператора	1	1	3	ИЭ.6
ИЭ9	ПО, обеспечивающее доступ к БД (CSP+ Blue)	1	1	2	ИЭ.7
ИЭ10	ПО, формирующее отчет (MS Office)	2	2	3	ИЭ.8
ИЭ11	Отчет о результатах анализа, рекомендации Оператора	3	3	4
ИЭ12	Отчет о результатах анализа, рекомендации Оператора	3	3	4
ИЭ13	Сервер баз данных требований, почты.	1	1	2	ИЭ.9
ИЭ14	Операционная система сервера баз данных требований, почты.	1	1	3	ИЭ.10
ИЭ15	Модель основных требований	1	1	1	ИЭ.11
ИЭ16	Модель дополнительных требований	1	1	1	ИЭ.12
ИЭ17	Документ спецификации дополнительных требований	4	4	1	ИЭ.13
ИЭ18	Документ спецификации дополнительных требований	4	4	1	ИЭ.14
ИЭ19	Список паролей для доступа к серверу и базам данных	1	2	2	ИЭ.15
ИЭ20	Web-браузер	3	3	3
ИЭ21	Документ об отдаче распоряжений сотрудникам	3	3	4
ИЭ22	Документ об отдаче распоряжений сотрудникам	3	3	4
ИЭ23	Отчет о выполненных операциях Посредником	3	3	4
ИЭ24	Отчет о выполненных операциях Посредником	3	3	4
ИЭ25	Коммутационное оборудование	1	1	2	ИЭ.16
ИЭ26	Клавиатура, мышь	1	1	2	ИЭ.17
ИЭ27	Порты USB	4	4	3
ИЭ28	Постановка задачи написания спецификации дополнительных требований	3	3	4
ИЭ29	Постановка задачи написания спецификации дополнительных требований	3	3	4

Таблица 2 – Классификация по признакам Доступность(Д), Целостность(Ц), Конфиденциальность (К)

В результате проведённой классификации выделим несколько элементов ИС в наибольшей степени нуждающихся в защите (таблица 3).

Иденти- фикатор	Наименование	Носитель
ИЭ.1	Системный блок на рабочем месте Оператора СУ (Ревизора, Заведующего, Посредника)	Техническое обеспечение
ИЭ.2	Жесткий диск ПК на рабочем месте Оператора СУ	Техническое обеспечение
ИЭ.3	Монитор на рабочем месте Оператора (Ревизора, Заведующего, Посредника)	Техническое обеспечение
ИЭ.4	Принтер на рабочем месте Оператора	Техническое обеспечение
ИЭ.5	Оперативная память ПК на рабочем месте Оператора	Техническое обеспечение
ИЭ.6	Операционная система на рабочем месте Оператора	Программное обеспечение
ИЭ.7	ПО, обеспечивающее доступ к БД (CSP+ Blue)	Программное обеспечение
ИЭ.8	ПО, формирующее отчет (MS Office)	Программное обеспечение
ИЭ.9	Сервер баз данных требований, почты.	Техническое обеспечение
ИЭ.10	Операционная система сервера баз данных требований, почты.	Программное обеспечение
ИЭ.11	Модель основных требований	Сетевой электронный носитель
ИЭ.12	Модель дополнительных требований	Сетевой электронный носитель
ИЭ.13	Документ спецификации дополнительных требований	Локальный электронный носитель
ИЭ.14	Документ спецификации дополнительных требований	Бумажный носитель
ИЭ.15	Список паролей для доступа к серверу и базам данных	Локальный электронный носитель
ИЭ.16	Коммутационное оборудование	Техническое обеспечение
ИЭ.17	Клавиатура, мышь	Техническое обеспечение

Таблица 3–Результаты классификации: перечень информационных элементов, подлежащих защите

3. ВЫЯВЛЕНИЕ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ

Зная Информационные элементы системы, нуждающиеся в защите, мы можем приступить к анализированию всевозможных вредоносных действий (каналов утечки – КУ), которым может подвергнуться наша Информационная система.

Каналы утечке бывают различных уровней:

На уровне файлов, хранящихся на электронных носителях (НЖМД, процессор, оперативная память)
На уровне файлов, хранящихся на твердых носителях (бумажные документы, журналы, инструкции, распечатки, книги и справочники)
На уровне «мягких» носителей (данные на экране монитора, проектора, индикатора, клавиатура: последовательность нажимаемых клавиш)
На уровне процессора
На уровне каналов передачи информации
На уровне коммутационного пункта (коммутаторы, маршрутизаторы, мосты)
На уровне рабочего места

Таблица 4 – Перечень вредоносных воздействий

КУ1	Несанкционированный просмотр (для электронных носителей)


КУ2	Несанкционированный просмотр на электронных носителях с частичным или полным копированием данных (для электронных носителей)


КУ3	Хищение носителей информации (для электронных носителей)


КУ4	Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств (для электронных носителей)


КУ5	Физическое разрушение системы или вывод из строя наиболее важных компонентов средств ввода-вывода (для электронных носителей)


КУ6	Физическое уничтожение (для электронных носителей)


КУ7	Кража данных (с носителем) (для электронных носителей)


КУ8	Несанкционированный просмотр (для твердых "бумажных" носителей)


КУ9	Несанкционированный просмотр с частичным или полным копированием данных (для твердых "бумажных" носителей)


КУ10	Чтение данных из информационных отходов (для твердых "бумажных" носителей)


КУ11	Физическое уничтожение (для твердых "бумажных" носителей)


КУ12	Кража данных (с носителем) (для твердых "бумажных" носителей)


КУ13	Несанкционированный просмотр (на уровне "мягких носителей)


КУ14	Хищение средств отображения информации (на уровне "мягких носителей)


КУ15	Вывод из строя наиболее важных компонентов средств ввода-вывода (на уровне "мягких носителей)


КУ16	Прослушивание звуков нажатия клавиш (на уровне "мягких носителей)


КУ17	Сбои системного программного обеспечения (на уровне процессора)


КУ18	Сбои и ошибки пользовательского программного обеспечения (на уровне процессора)


КУ19	Сбои аппаратного обеспечения (на уровне процессора)


КУ20	Сбои и ошибки в работе аппаратуры, вызванные скачками напряжения в сети питания, неисправностями энергоснабжения, временными или постоянными ошибками в ее схемах (на уровне процессора)


КУ21	Воздействие сильных магнитных полей на магнитные носители информации или дефекты оборудования, приводящее к разрушению хранимых данных (на уровне процессора)


КУ22	Отключение или вывод из строя подсистем обеспечения работоспособности системного блока (на уровне процессора)


КУ23	Незаконное подключение к линиям связи для вставки ложных сообщений или подмены передаваемых (работа «между строк»: использование технологических пауз в передаче пакетов данных в сетях, перемыкание: подключение к коммутаторам или точкам доступа, ответвление (на уровне каналов передачи информации)


КУ24	Незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений (перемыкание) (на уровне каналов передачи информации)


КУ25	Перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации (на уровне каналов передачи информации)


КУ26	Внедрение аппаратных и программных «закладок» и «вирусов», позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам ИС (на уровне каналов передачи информации)


КУ27	Физическое повреждение каналов связи (на уровне каналов передачи информациим


КУ28	Неправильная коммутация абонентов (перекоммутация) (на уровне коммутационного пункта)


КУ29	Ответвление линий связи – организация дополнительных точек подключения (на уровне коммутационного пункта)


КУ30	Небрежное хранение и учет носителей, а также их нечеткая идентификация – нарушение регламентных требований по организации ввода, хранения и использования данных (на уровне рабочего места)


КУ31	Ошибки ввода данных (на уровне рабочего места)


КУ32	Неправомерное отключение оборудования или изменение режимов работы устройств и программ (на уровне рабочего места)


КУ33	Неумышленная порча носителей информации (на уровне рабочего места)


КУ34	Запуск служебных программ, способных при некомпетентном использовании привести к потере работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.) (на уровне рабочего места)


КУ35	Несанкционированное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения служебных обязанностей (на уровне рабочего места)


КУ36	Несанкционированное использование программ, нарушение лицензионных соглашений (на уровне рабочего места)


КУ37	Установка видео и звукозаписывающей аппаратуры (на уровне рабочего места)


КУ38	Некомпетентное использование, настройка или неправомерное отключение средств защиты (на уровне рабочего места)


КУ39	Пересылка данных по ошибочному адресу абонента (устройства) (на уровне рабочего места)


КУ40	Использование стандартного способа доступа к системе или ее части с помощью обмана средств защиты или захвата секретных параметров (на уровне рабочего места)

4. ОПИСАНИЕ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ.

МАТРИЦЫ U И V

В таблице 5 приведены результаты анализа путей воздействия (КУ) по информационным элементам. Использована система значений для обозначения активности КУ по отношению к информационному элементу.

Значение	Активность вредоносного воздействия (КУ)
0	Не влияет на информационный элемент (не соприкасается)
1	Влияет незначительно (вероятность атаки близка к нулю, интенсивность утечки не нулевая)
2	Влияет незначительно (интенсивность воздействия при атаке незначительная)
3	Влияние заметно при продолжении работы
4	Вредоносное воздействие оперативно обнаруживается, использование данных возможно
5	Вредоносное воздействие оперативно обнаруживается, использование данных требует дополнительных затрат
6	Вредоносное воздействие активно проявляется, использование данных требует значительных затрат
7	Вредоносное воздействие активно проявляется, использование данных требует значительных затрат, возможна частичная утрата данных
8	Угрожающее значение интенсивности утечки информации, вредоносное воздействие проявляется оперативно, использование данных не возможно, частичная или полная утрата данных
9	Максимальная, реально существующая утечка. вредоносное воздействие проявляется оперативно, утрата данных необратима

Таблица 5 – Активность вредоносного воздействия по отношению к информационному элементу

Интенсивность утечки является экспертной оценкой. Получается матрица U, в матрицу заносятся результаты оценивания.

Суммы по строкам позволяют сделать выводы по потребностям защиты данных рассматриваемой ИС. Чем больше сумма, тем в большей степени соответствующий информационный элемент подвержен воздействию атак.

Суммы по столбцам позволяют сделать выводы по активности КУ. Чем больше сумма, тем активнее данный канал, тем больше данных зависят от перекрытия этого канала.

Для дальнейшего анализа матрицу U следует нормализовать по строкам, разделив значение каждого элемента на сумму по строке. Получается матрица V, каждый элемент которой рассчитывается по формуле:

Информация о работе Контрольная работа по дисциплине «Информационные Системы и Технологии»