Файл: Н. Н. Мошак должность, уч степень, звание подпись, дата инициалы, фамилия.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2023
Просмотров: 86
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
Расчет общего уровня угроз, действующих на ресурс и риск ресурса для режима с одной общей угрозой с учетом контрмер. Результаты приведены в табл.5.7.
Таблица5. 7
| Угроза/Уязвимость | Общий уровень угроз по ресурсу (%),   | Риск ресурса для режима с одной общей угрозой  (%),   |
| Веб-сервер открытого контура | ||
| Угроза1/Уязвимость 1 | 0,017 | 0,84 |
| Угроза1/Уязвимость 2 | ||
| База данных открытого контура | ||
| Угроза1/Уязвимость 1 | 0,117 | 1,17 |
| Угроза1/Уязвимость 2 | ||
| Сервер приложения закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,079 | 1,975 |
| Угроза1/Уязвимость 2 | ||
| Сервер безопасности закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,112 | 1,68 |
| Угроза1/Уязвимость 2 | ||
| База данных закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,059 | 1,18 |
| Угроза1/Уязвимость 2 | ||
| СКЗИ закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,079 | 1,975 |
| Угроза1/Уязвимость 2 | ||
| Однонаправленный МЭ | ||
| Угроза1/Уязвимость 1 | 0,112 | 1,68 |
| Угроза1/Уязвимость 2 | ||
| Оборудование ЛВС открытого контура | ||
| Угроза1/Уязвимость 1 | 0,059 | 1,18 |
| Угроза1/Уязвимость 2 | ||
| Оборудование ЛВС закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,069 | 0,69 |
| Угроза1/Уязвимость 2 | ||
-
Расчет эффективности введения контрмер.
Результат представлен в табл.5.8.
Таблица 4.8
| Ресурс | Эффективность  |
| Веб-сервер открытого контура | 0,96 |
| База данных открытого контура | 0.945 |
| Сервер приложения закрытого контура | 0,8753 |
| Сервер безопасности закрытого контура | 0.854 |
| База данных закрытого контура | 0.903 |
| Однонаправленный МЭ | 0,879 |
| СКЗИ закрытого контура | 0,873 |
| Оборудование ЛВС открытого контура | 0.803 |
| Оборудование ЛВС закрытого контура | 0.846 |
- 1 2 3 4 5
Модель угроз и уязвимостей аппаратных ресурсов ИС с тремя видами угроз
Уровень приемлемого риска принимаем равным 10% от предполагаемого ущерба по ресурсу.
Модель угроз и уязвимостей приведена в табл.5.1:
Таблица 4. 9
| Ресурс | Угрозы | Уязвимости |
| 1. Веб-сервер открытого контура (критичность ресурса 50y.e) | 1. SQL-инъекция | 1. неправильно обработанный вход данных пользователя |
| 2. недостаточная проверка на правильность типа данных | ||
| 2. атака на протокол HTTPS | 1.Отсутствиеавторизации для внесения изменений в систему электронной почты | |
| 2. использование слабых криптографических алгоритмов | ||
| 3. DoS-атака | 1. неэффективное управление трафиком, необходимым для поддержания работы сервера | |
| 2. База данных открытого контура (критичность ресурса 30y.e) | 1. Злоумышленники могут внедрять вредоносный код в базу данных через веб-приложение, если оно не защищено от SQL-инъекций | 1. Отсутствие валидации пользовательского ввода |
| 2. Некорректная обработка пользовательского ввода | ||
| 2. Злоумышленники могут легко подобрать пароль и получить несанкционированный доступ к базе данных | 1. Использование слабых паролей | |
| 3. Злоумышленники могут перехватывать данные, передаваемые через открытый порт, и получать доступ к конфиденциальной информации без предварительной аутентификации или авторизации | 1. Отсутствие шифрования данных | |
| 2. Необходимость доступа к базе данных через открытый порт | ||
| 3. Сервер приложения закрытого контура (критичность ресурса 25y.e) | 1.Встраивание вредоносного кода | 1. Несанкционированный доступ к БД приложения |
| 2. Отсутствие аутентификации и авторизации. Если приложение не требует аутентификации и авторизации для доступа к БД, то злоумышленник может получить несанкционированный доступ к БД, используя поддельный запрос или подделав свойство пользователя. | ||
| 2. Отказ в обслуживании (DoS) | 1. Недостаточная защита от пакетных атак | |
| 2. Недостаточная производительность сервера | ||
| 3. Несанкционированный доступ к данным приложения | 1.Использование слабых или устаревших криптографических алгоритмов | |
| 2. Отсутствие шифрования данных | ||
| 4. Сервер безопасности закрытого контура (критичность ресурса 15y.e) | 1. Атака на службу аутентификации | 1. Уязвимости в программном обеспечении службы аутентификации, такие как SQL-инъекции, недостаточная обработка ошибок, небезопасное хранение паролей и т.д. |
| 2. Недостаточная сложность паролей для пользователей, которая может быть легко подобрана или угадана злоумышленником. | ||
| 2. Компрометация сервера | 1. Уязвимости операционной системы и программного обеспечения, такие как уязвимости веб-сервера или служб базы данных. | |
| 2. Недостаточная защита административного доступа, такая как использование слабых паролей, отсутствие механизмов многофакторной аутентификации или небезопасное хранение паролей. | ||
| 3. Атака на данные пользователя | 1. Уязвимости в программном обеспечении, используемом для обработки данных пользователей, такие как SQL-инъекции, недостаточная обработка ошибок, недостаточная проверка правильности ввода данных и т.д. | |
| 2. Недостаточная защита данных, такая как небезопасное хранение или передача данных, недостаточная защита от утечек данных или уязвимости в механизмах шифрования данных. | ||
| 5. База данных закрытого контура (критичность ресурса 20 y.e) | 1. слабые аутентификационные механизмы, позволяющие злоумышленникам получить доступ к системе | 1. использование устаревших или уязвимых версий СУБД, которые не устраняют данную уязвимость |
| 2. отсутствие проверки вводимых пользователем данных на сервере приложений, позволяющее злоумышленнику внедрять в запросы SQL-код | ||
| 2. Несанкционированный доступ | 1. отсутствие контроля доступа и слабые механизмы аутентификации | |
| 2. недостаточное шифрование данных, передаваемых между сервером приложений и базой данных | ||
| 3. Физические угрозы | 1. отсутствие защиты от несанкционированного доступа к серверам базы данных, которые могут быть скомпрометированы | |
| 2. отсутствие резервного копирования базы данных, что может привести к потере данных при сбое оборудования или кибератаке | ||
| 6.СКЗИ закрытого контура (критичность ресурса 25y.e) | 1.Угроза анализа криптографических алгоритмов и их реализации | 1. Использование слабых криптографических алгоритмов |
| 2.Наличие ошибок в программном коде криптографических средств | ||
| 7. Однонаправленный МЭ (критичность ресурса 15y.e) | 1.Отказ в обслуживании | 1.Отсутствие резервный межсетевой экран |
| 2.Низкая пропускная способность шлюза | ||
| 8. Оборудование ЛВС открытого контура (критичность ресурса 20 y.e) | 1. Перехват передаваемых сообщений | 1.Неправильная конфигурация средств криптографических средств защиты информации |
| 2.Использование алгоритмов шифрования с недостаточной длиной ключа | ||
| 9. Оборудование ЛВС закрытого контура (критичность ресурса 10y.e) | 1. Прослушивание привилегированного трафика | 1. Отсутствие криптографической защиты, применяемой к пакетам данных |
| 2. Отсутствие контроля доступа к защищенному каналу |
-
Расчет вероятности и критичности для каждой угрозы для аппаратных ресурсов приведен в табл.5.2.
Таблица 4.10
| Угроза/Уязвимость | Вероятность реализации угрозы через данную уязвимость в течение года (%), P(V) | Критичность реализации угрозы через уязвимость (%), ER |
| Веб-сервер открытого контура | ||
| Угроза1/Уязвимость 1 | 95 | 70 |
| Угроза1/Уязвимость 2 | 75 | 50 |
| Угроза2/Уязвимость 1 | 70 | 50 |
| Угроза2/Уязвимость 2 | 85 | 70 |
| Угроза3/Уязвимость 1 | 70 | 20 |
| Угроза3/Уязвимость 2 | 55 | 20 |
| База данных открытого контура | ||
| Угроза1/Уязвимость 1 | 50 | 50 |
| Угроза1/Уязвимость 2 | 80 | 70 |
| Угроза2/Уязвимость 1 | 20 | 20 |
| Угроза2/Уязвимость 2 | 15 | 10 |
| Угроза3/Уязвимость 1 | 70 | 60 |
| Угроза3/Уязвимость 2 | 40 | 20 |
| Сервер приложения закрытого контура | ||
| Угроза1/Уязвимость 1 | 30 | 20 |
| Угроза1/Уязвимость 2 | 90 | 70 |
| Угроза2/Уязвимость 1 | 30 | 10 |
| Угроза2/Уязвимость 2 | 40 | 30 |
| Угроза3/Уязвимость 1 | 30 | 30 |
| Угроза3/Уязвимость 2 | 50 | 60 |
| Сервер безопасности закрытого контура | ||
| Угроза1/Уязвимость 1 | 70 | 70 |
| Угроза1/Уязвимость 2 | 90 | 50 |
| Угроза2/Уязвимость 1 | 40 | 50 |
| Угроза2/Уязвимость 2 | 60 | 30 |
| Угроза3/Уязвимость 1 | 50 | 30 |
| Угроза3/Уязвимость 2 | 40 | 30 |
| База данных закрытого контура | ||
| Угроза1/Уязвимость 1 | 20 | 40 |
| Угроза1/Уязвимость 2 | 60 | 40 |
| Угроза2/Уязвимость 1 | 70 | 50 |
| Угроза2/Уязвимость 2 | 40 | 20 |
| Угроза3/Уязвимость 1 | 20 | 10 |
| Угроза3/Уязвимость 2 | 50 | 30 |
| СКЗИ закрытого контура | ||
| Угроза1/Уязвимость 1 | 30 | 20 |
| Угроза1/Уязвимость 2 | 90 | 70 |
| Угроза2/Уязвимость 1 | 30 | 10 |
| Угроза2/Уязвимость 2 | 40 | 30 |
| Угроза3/Уязвимость 1 | 30 | 30 |
| Угроза3/Уязвимость 2 | 50 | 60 |
| Однонаправленный МЭ | ||
| Угроза1/Уязвимость 1 | 70 | 70 |
| Угроза1/Уязвимость 2 | 90 | 50 |
| Угроза2/Уязвимость 1 | 40 | 50 |
| Угроза2/Уязвимость 2 | 60 | 30 |
| Угроза3/Уязвимость 1 | 50 | 30 |
| Угроза3/Уязвимость 2 | 40 | 30 |
| Оборудование ЛВС открытого контура | ||
| Угроза1/Уязвимость 1 | 20 | 40 |
| Угроза1/Уязвимость 2 | 60 | 40 |
| Угроза2/Уязвимость 1 | 70 | 50 |
| Угроза2/Уязвимость 2 | 40 | 20 |
| Угроза3/Уязвимость 1 | 20 | 10 |
| Угроза3/Уязвимость 2 | 50 | 30 |
| Оборудование ЛВС закрытого контура | ||
| Угроза1/Уязвимость 1 | 70 | 50 |
| Угроза1/Уязвимость 2 | 50 | 30 |
| Угроза2/Уязвимость 1 | 90 | 70 |
| Угроза2/Уязвимость 2 | 95 | 70 |
| Угроза3/Уязвимость 1 | 55 | 40 |
| Угроза3/Уязвимость 2 | 60 | 40 |
-
Расчёт уровня угрозы по уязвимости Th и уровня угрозы по всем уязвимостям, через которые реализуется данная угроза
Результаты расчета приведены в табл. 4.3.
Таблица5. 11
| Угроза/Уязвимость | Уровень угрозы (%),   | Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%),  |
| Веб-сервер открытого контура | ||
| Угроза1/Уязвимость 1 | 0,665 | 0,791 |
| Угроза1/Уязвимость 2 | 0,375 | |
| Угроза2/Уязвимость 1 | 0,35 | 0,737 |
| Угроза2/Уязвимость 2 | 0,595 | |
| Угроза3/Уязвимость 1 | 0,14 | 0,235 |
| Угроза3/Уязвимость 2 | 0,11 | |
| База данных открытого контура | ||
| Угроза1/Уязвимость 1 | 0,25 | 0,67 |
| Угроза1/Уязвимость 2 | 0,56 | |
| Угроза2/Уязвимость 1 | 0,04 | 0,054 |
| Угроза2/Уязвимость 2 | 0,015 | |
| Угроза3/Уязвимость 1 | 0,42 | 0,466 |
| Угроза3/Уязвимость 2 | 0,08 | |
| Сервер приложения закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,06 | 0,652 |
| Угроза1/Уязвимость 2 | 0,63 | |
| Угроза2/Уязвимость 1 | 0,03 | 0,146 |
| Угроза2/Уязвимость 2 | 0,12 | |
| Угроза3/Уязвимость 1 | 0,09 | 0,363 |
| Угроза3/Уязвимость 2 | 0,3 | |
| Сервер безопасности закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,49 | 0,72 |
| Угроза1/Уязвимость 2 | 0,45 | |
| Угроза2/Уязвимость 1 | 0,2 | 0,344 |
| Угроза2/Уязвимость 2 | 0,18 | |
| Угроза3/Уязвимость 1 | 0,15 | 0,252 |
| Угроза3/Уязвимость 2 | 0,12 | |
| База данных закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,08 | 0,301 |
| Угроза1/Уязвимость 2 | 0,24 | |
| Угроза2/Уязвимость 1 | 0,35 | 0,402 |
| Угроза2/Уязвимость 2 | 0,08 | |
| Угроза3/Уязвимость 1 | 0,02 | 0,167 |
| Угроза3/Уязвимость 2 | 0,15 | |
| Угроза3/Уязвимость 2 | 0,24 | |
| СКЗИ закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,06 | 0,652 |
| Угроза1/Уязвимость 2 | 0,63 | |
| Угроза2/Уязвимость 1 | 0,03 | 0,146 |
| Угроза2/Уязвимость 2 | 0,12 | |
| Угроза3/Уязвимость 1 | 0,09 | 0,363 |
| Угроза3/Уязвимость 2 | 0,3 | |
| Однонаправленный МЭ | ||
| Угроза1/Уязвимость 1 | 0,49 | 0,72 |
| Угроза1/Уязвимость 2 | 0,45 | |
| Угроза2/Уязвимость 1 | 0,2 | 0,344 |
| Угроза2/Уязвимость 2 | 0,18 | |
| Угроза3/Уязвимость 1 | 0,15 | 0,252 |
| Угроза3/Уязвимость 2 | 0,12 | |
| Оборудование ЛВС открытого контура | ||
| Угроза1/Уязвимость 1 | 0,08 | 0,301 |
| Угроза1/Уязвимость 2 | 0,24 | |
| Угроза2/Уязвимость 1 | 0,35 | 0,402 |
| Угроза2/Уязвимость 2 | 0,08 | |
| Угроза3/Уязвимость 1 | 0,02 | 0,167 |
| Угроза3/Уязвимость 2 | 0,15 | |
| Оборудование ЛВС закрытого контура | ||
| Угроза1/Уязвимость 1 | 0,35 | 0,448 |
| Угроза1/Уязвимость 2 | 0,15 | |
| Угроза2/Уязвимость 1 | 0,63 | 0,876 |
| Угроза2/Уязвимость 2 | 0,665 | |
| Угроза3/Уязвимость 1 | 0,22 | 0,407 |
| Угроза3/Уязвимость 2 | 0,24 | |