Файл: Разработка модели системы информационной безопасности на предприятии.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 212

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

АКТУАЛЬНОСТЬ

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.1. Описание предприятия

1.2. Состав аппаратных и программных средств и структура сети

1.3. Анализ информационных потоков

1.4. Анализ информационных ресурсов

1.5. Физическая безопасность объектов (охрана)

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1. Классификация и анализ источников угроз и уязвимостей безопасности

2.2. Модель нарушителя

2.3. Определение актуальных угроз информационной системы

2.4. Определение класса защищенности информационной системы

ЗАКЛЮЧЕНИЕ

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи:

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз.

Список литературы

Приложение 1


    1. Подсистема обеспечения целостности

Должно обеспечиваться состояние неизменности серверов, системного и программного обеспечения. В качестве средств обеспечения целостности данных можно выделить:

  • Авторизация и аутентификация пользователей информационной системы с целью обеспечения безопасности данных;

  • Шифрование (повышает уровень защиты данных, но усложняет процесс разграничения доступа);

  • Проведение аудита позволяет постоянно контролировать объекты информационной системы;

  • Средства резервного копирования позволяют восстановить данные в результате сбоя или отказа технических средств;

  • Фильтрация входных данных с целью выявления SQL – инъекции с шифрованием паролей;

  • Физическая безопасность (контроль территории, пропускной режим, контроль помещений с техническими средствами системы);

Все меры безопасности должны проводиться под руководством администратора безопасности.16

    1. Подсистема регистрации и учета

Обеспечивает регистрацию входа/выхода субъектов доступа в систему/из системы; Осуществление контроля над исполняемыми программами и процессами, функционирующими с защищенными данными; регистрация попыток доступа к программным средствам. Основными параметрами являются:

  • Дата и время;

  • Наименование программы, к который запрашивается доступ;

  • Результат действия (успешный/неуспешный);

  • Ключ, идентифицирующий субъект во время доступа.

  1. Требования к организационному обеспечению

8.1 В соответствии с выявленными угрозами, необходимо провести ряд организационных мер, направленных на расширение знаний персонала в области информационных технологий. Работа с сотрудниками:

  • при получении прав для доступа к информационной системе персонал должен получить от администратора информацию о методах и средствах защиты;

  • если сотрудник университета не обладает знаниями принципов и средств защиты информации, он не имеет доступа к системе;

  • инструкция доступа к объектам и допуска к ресурсам информационной системы университета;

  • введение средств дистанционного обучения персонала;

  • изучение угроз, связанных с действиями сотрудников;

  • информирование сотрудников управлений/отделов о запрете разглашения конфиденциальной информации, циркулирующей в соответствующем управлении/отделе;

  • информирование сотрудников о запрете разглашения и передачи идентификационных данных пользователя для доступа к служебным системам другим лицам;

  • соблюдение пользователем правил доступа к информационной системе университета;

  • определение ответственность за нарушение политики информационной безопасности университета.

8.2 Фиксирование происшествий:

  • программными или иными способами оперативное выявление происшествия;

  • устранение источника угрозы;

  • определение контрмер и их последующая реализация при согласовании с системным администратором и администратором информационной безопасности университета;

  • анализ ущерба, причиненного реализованной угрозой;

  • анализ угрозы и создание плана действий, которые в последующем позволят избежать данной угрозы.

  1. Требования к физической и технической защите

    1. Физическая защита реализуется с использованием средств контроля (видеонаблюдение, сигнализация) и специальных устройств, которые способны предотвратить несанкционированный доступ внешний нарушителей к объектам системы безопасности университета;

    2. Каждый корпус университета должен быть оборудован постом охраны;

    3. Доступ на территорию университета осуществляется по специальным магнитным пропускам;

    4. Доступ к ресурсам информационной системы университета осуществляется посредством ввода уникальных идентификационных данных (логин, пароль);

    5. Идентификационные данные пользователя выдаются администратором безопасности университета, с возможностью последующей смены пароля;

    6. Хранение паролей в базе информационной системы университета производится только в хешированном виде;

    7. В случае увольнения сотрудника или отчисления студента из университета, его пропуск становится неактивным (размагничивается), а идентификационные данные удаляются из базы;

    8. Система безопасности должна отслеживать действия пользователей и записывать в журнал.

  2. Требования к аппаратно – программному обеспечению

    1. Внедрение нового программного и аппаратного обеспечения в информационную систему университета возможно только после его тестирования;

    2. Количество лицензий продукта должно совпадать с количеством рабочих станций университета, на которых будет использоваться данное обеспечение;

    3. Конфигурация программного обеспечения может осуществляться только системным администратором университета;

    4. Установка и использование программного обеспечения недопустимо без разрешения администратора университета и проведения тестирования;

    5. Каждая рабочая станция должна иметь программу антивирусной защиты;

    6. Внешние и съемные накопители перед запуском должны быть проверены на наличие вирусов;

    7. Автоматическая реакция антивирусного обеспечения на обнаружение вируса;

    8. В соответствии с классом защищенности информационной системы университета, межсетевые экраны должны быть не ниже третьего класса;

    9. Использование нелицензированного обеспечения не допускается;

    10. Аппаратное обеспечение сети должно находиться в отдельном помещении с ограниченным доступом;

    11. Для обеспечения защиты информационной безопасности предприятия должно использоваться актуальные программные продукты лидеров в сфере информационной безопасности;

    12. Аппаратные средства информационной системы университета должны корректно работать с операционными системами университета (Windows, Linux).

    13. Аппаратные средства должны иметь функции масштабирования и легко конфигурироваться.
Настоящая политика разработана в соответствии с Руководящим документом 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».17
















  1. РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ


    1. Постановка задачи

Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной системы ННГАСУ. В результате исследования были выделены основные угрозы безопасности и меры по их предотвращению.

Одной из задач был анализ информационных потоков, в результате которого были выделены информационные порталы разного доступа. Было определено, что изолированные информационные системы достаточно хорошо защищены аппаратными и программными средствами. Однако внешние информационные порталы время от времени подвергаются атакам. Внешними информационными службами в университете являются:

  • Tandem eLearning;

  • Moodle;

Данные информационные ресурсы используются для контроля учебной деятельности и дают возможность обучаться дистанционно, посредством системы управления образованием, которая позволяет распространять учебные материалы. Доступ к этим информационным ресурсам имеют руководство, сотрудники учебного отдела, преподаватели и студенты.

В результате изучения информационных ресурсов было решено разработать портал первичной авторизации пользователей, которая ограничит прямой доступ к внешним порталам, отделит систему внутренних ресурсов от внешних и уменьшит поверхность атаки.

С внедрением этого ресурса пользователь, прежде чем пройти авторизацию на порталах университета, должен её пройти на портале первичной авторизации. После успешного входа на портале, пользователь сможет получить доступ к образовательным системам.

Предметом разработки является портал для безопасного подключения к внешним информационным системам университета. Целевая аудитория портала: персонал учебного отдела, преподавательский состав, студенты.

Назначение портала:

  • Проверка идентификационных данных пользователя внешних информационных систем;

  • Ограничение времени доступа пользователя к ресурсам;

    1. Требования к функциональности портала


  • Подключение к исходной базе данных пользователей внешних информационных систем;

  • Отказ в доступе к желаемому ресурсу, если пользователем не пройдена первичная авторизация;

  • Ограниченная по времени сессия;

  • При успешном осуществлении первичной авторизации, пользователь направляется на следующую страницу, на которой отображается время до закрытия сессии;

  • Доступ к внешним ресурсам возможен до истечения времени сессии и пока в браузере не закрыта вкладка со страницей таймера сессии.

    1. Разработка портала


Как и большинство веб – ресурсов, портал разрабатывается на скриптовом языке PHP. Работа портала заключается в отправке SQL запросов в базу данных и их последующей проверке. При внедрении портала в информационную среду университета, к порталу будет подключена существующая база данных пользователей внешних ресурсов. Ввиду ограниченности доступа к ресурсам, для проверки работоспособности портала была создана база данных и сайт, имитирующий внешний служебный ресурс университета. Для её создания была использована среда для администрирования баз данных PHPMyAdmin. Таблица базы данных users содержит семь полей:

  • id (данное поле заполняется автоматически);

  • name (содержит ФИО пользователя);

  • email (содержит корпоративный e-mail пользователя);

  • password (содержит пароль в хешированном виде);

Пароль хешируется посредством функции hash("sha256", password). Это стандартная функция, использующая алгоритм хеширования sha-256.

  • date_from (время входа на портал);

  • date_to (время окончания доступа к порталу);

При успешном входе на портал строка вошедшего пользователя обновляется, и в данные поля записывается время входа $date_from = time() и время окончания прекращения доступа $date_to = $time+(3600*5) соответственно. Где $time стандартная функция, содержащая в секундах время, прошедшее с полуночи 1 января 1970 года. Доступ прекращается спустя 5 часов после открытия сессии.

  • online (информация о том, что пользователь находится на портале);

Смотрите также файлы