Разработка политики информационной безопасности системы
Локально-вычислительная сеть, ее схема. Информационная политика предприятия "ЦИТ "Аспект". Анализ угроз информационной безопасности. Перечень информации, подлежащей защите. Дискреционное управление доступом. Примерный уровень потерь, алгоритм шифрования.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 14.01.2014 |
| Размер файла | 771,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Аннотация
В данном курсовом проекте был проведен анализ технической оснащённости, схемы ЛВС и технического паспорта объекта. Во второй части курсовой работы необходимо провести анализ угроз информационной безопасности (УИБ). Степень опасности каждой угрозы оценивалась методом экспертных оценок способом неформального оценивания. В третьей части работы был произведен подбор технических и программных средств защиты информации, а также, разработана политику информационной безопасности. Для каждого подобранного средства указаны его стоимость и технические характеристики. В конце основной части курсовой работы был произведен приближенный анализ эффективности системы. В практической части проекта была реализована функция хеширования с помощью алгоритма AES.
Содержание
1. Описание информационной системы
1.1 Анализ технической оснащенности ИС
1.2 Анализ информации, циркулирующий в компании
1.3 Информационная политика предприятия
2. Анализ угроз информационной безопасности
3. Разработка политики информационной безопасности ИС
3.1 Средства защиты информации в ИС
3.2 Разграничение доступа к информации
4. Анализ эффективности систем защиты информации
5. Практическая часть
Список используемой литературы
1. Описание информационной системы
Компания ООО «ЦИТ «Аспект» является коммерческой организацией, и является региональным представителем множества крупнейших организаций продающих ПО.
1.1 Анализ технической оснащенности ИС
Локально-вычислительная сеть состоит из 7 АРМ (автоматизированное рабочее место), одного сервера , также имеется периферийное оборудование (принтеры).
Схема продемонстрирована на рис. 1.
Рис.1. Схема ЛВС
Таблица 1. Технический паспорт объекта
|
Наименование объекта |
ЦИТ Аспкет |
|
|
Офис (этажей в многоэтажном здании) |
Офисный комплекс (2 этажа) |
|
|
Наличие комнат с неконтролируемым доступом |
- |
|
|
Порядок доступа в помещения |
На внутреннем дворе имеется помещение охраны, которое контролирует въезд всех машин на территорию двора. |
|
|
Наличие других предприятий |
Да |
|
|
Состав технических средств |
||
|
Количество и тех. характеристики серверов |
Сервер баз данных Meijin Intel Xeon 4U 4x E7-4850 128G 1.8T SAS |
|
|
Количество и характеристики АРМ |
1. ASUS K75D <90NB3C4-18W528-35813AC> A8 4500M / 4 / 1Tb / DVD-RW / HD7670M / WiFi / BT / Win8 / 17.3" / 3.26 кг 2. DELL Inspiron 5520 <5520-5872> i5 3210M / 6 / 1Tb / DVD-RW / HD7670M / WiFi / BT / Win7HB / 15.6" / 2.8 кг 3. ПЭВМ C5000MB (C533XLNi): Core i3-3220 / 4 Гб / 500 Гб / HD Graphics 2500 / DVDRW / Win7 Pro (5 штук) |
|
|
Количество коммутаторов ЛВС |
1. D-Link DES-1210-28P/ 2 x Ethernet 100 Мбит/сек/ 28 |
|
|
Характеристика ПО |
||
|
Наименование |
«1С: Бухгалтерия», Kaspersky CRYSTAL, Kaspersky Internet Security |
|
|
Дополнительное ПО |
||
|
Наименование |
Гарант, Гектор, Консультант +, и другое продаваемое ПО |
|
|
Выход в Internet |
||
|
Тип подключения |
VPN-подключение скорость передачи - 5 мб/сек провайдер- БКС |
|
|
Коммуникационное оборудование |
Realtek pci-e gbe family controller |
|
|
Дополнительное оборудование |
||
|
Факсы |
Факс Brother FAX-2845 |
|
|
Факс-модемы (не используемые для Internet) |
Нет |
|
|
Внутренняя АТС |
Нет |
|
|
Телефоны |
1. Телефон teXet TX-212 (3 штуки) 2. Телефон Panasonic KX-TS 2365RUW (3 штуки) |
1.2 Анализ информации, циркулирующий в компании
Таблица 2. Анализ информации в ИС
|
№ элемента информации |
Элемент информации |
Местонахождение источника информации |
|
|
1 |
Финансовые документы |
Кабинет директора, кабинет бухгалтера |
|
|
2 |
Отчеты об уровне доходов |
Кабинет директора, кабинет бухгалтера |
|
|
3 |
Приказы |
Кабинет директора |
|
|
4 |
Организационные документы |
Все кабинеты |
|
|
5 |
Бухгалтерские документы |
Кабинет бухгалтера |
|
|
6 |
Данные о партнёрах и ценах |
Отдел по работе с клиентами |
|
|
7 |
Продаваемое ПО и цена его закупки |
Отдел по работе с клиентами |
1.3 Информационная политика предприятия
В учреждении применяется ролевая модель безопасности. Для всех клиентов, во-первых, всегда доступен сайт, который постоянно обновляется и содержит самую последнюю информацию. Во-вторых, работает телефон тех поддержки.
2. Анализ угроз информационной безопасности
Таблица 3. Анализ угроз информационной безопасности
|
№ ИР |
Угроза информационной безопасности |
Степень опасности |
Уровень потерь |
|
|
1 |
Перехват управления загрузкой операционной системы (ОС) АС, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к конфиденциальной информации |
средняя |
~ 20 000 |
|
|
2 |
Вызов штатных программ ОС АС или запуск специально разработанных программ, реализующих НСД к АС |
средняя |
~25 000 |
|
|
3 |
Внедрение в АС вредоносных программ |
средняя |
~23 000 |
|
|
4 |
Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации |
средняя |
~ 20 000 |
|
|
5 |
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа |
высокая |
~300 000 |
|
|
6 |
Удаленный запуск приложения в АС |
высокая |
~60 000 |
|
|
7 |
Внедрение по сети вредоносных программ |
средняя |
~20 000 |
|
|
8 |
Хищение элементов АС, содержащих конфиденциальной информации |
высокая |
~300 000 |
|
|
9 |
Вывод из строя элементов АС |
средняя |
~45 000 |
|
|
10 |
Внедрение в АС аппаратных закладок |
высокая |
~150 000 |
|
|
11 |
Утрата паролей доступа к АС |
низкая |
~19 000 |
|
|
12 |
Искажение или уничтожение информации в результате ошибок пользователя |
средняя |
~9 000 |
|
|
13 |
Выход из строя аппаратно-программных средств АС |
средняя |
~45 000 |
Таблица 4. Методы защиты информации
|
№ п.п |
№ УИБ |
Мероприятия по защите |
|
|
1 |
1 |
Запрет загрузки АРМ с отчуждаемых носителей информации. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. |
|
|
2 |
2 |
Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. |
|
|
3 |
3 |
Использование на серверах и АРМ, входящих в состав АС, антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов АС. Настройка антивирусного ПО на проверку подключаемых отчуждаемых носителей информации. |
|
|
4 |
4 |
Сегментирование ЛВС с помощью виртуальных локальных сетей. Запрет установки ПО, не связанного с исполнением служебных обязанностей. Регулярный контроль со стороны работников, ответственных за обеспечение безопасности конфиденциальной информации при их обработке в АС, прав доступа пользователей к АРМ и установленного на них ПО. Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. |
|
|
5 |
5 |
Сегментирование ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и предотвращения вторжений. Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. |
|
|
6 |
6 |
Сегментирование ЛВС с помощью виртуальных локальных сетей. Выполнение регулярного обновления ПО с помощью ПО АС. Использование систем обнаружения и предотвращения вторжений. |
|
|
7 |
7 |
Использование на серверах и АРМ входящих в состав АС антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов АС. |
|
|
8 |
8 |
Организация пропускного режима. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. |
|
|
9 |
9 |
Организация пропускного режима. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. Размещение помещений, содержащих АС, в пределах контролируемой зоны. |
|
|
10 |
10 |
Организация пропускного режима. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. Организация выполнения работ технического обслуживания, выполняемых работниками сторонних организаций, в присутствии работников организации. Включение требования по информационной безопасности в договоры и контракты на проведение работ и оказание услуг. Выбор в качестве исполнителей работ и поставщиков услуг организаций, прошедших сертификацию. Заключение соглашений о конфиденциальности со сторонними организациями, выполняющими работы или оказывающими услуги. |
|
|
11 |
11 |
Вменение персоналу АС обязанности обеспечения сохранности паролей. Определение парольной политики |
|
|
12 |
12 |
Контроль вводимых данных. Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей |
|
|
13 |
13 |
Резервирование аппаратных ресурсов АС. |
3. Разработка политики информационной безопасности ИС
3.1 Средства защиты информации в ИС
СЗИ от НСД Страж NТ (для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах)
Антивирусная защита (Kaspersky CRYSTAL, Kaspersky Internet Security).
Обязательная установка на все компьютеры. Полное сканирование один раз в месяц. Обновление антивирусных баз один раз в неделю.
Резервное копирование.
Копирование всей рабочей документации каждые 6 дней.
Проверка информационной системы один раз в год.
Таблица 5. Перечень информации подлежащей защите
|
№ элемента информации |
Элемент информации |
Гриф конфиденциальности информации |
Местонахождение источника информации |
|
|
1 |
Финансовые документы |
Конфиденциально |
Кабинет директора, кабинет бухгалтера |
|
|
2 |
Отчеты об уровне доходов |
Конфиденциально |
Кабинет директора, кабинет бухгалтера |
|
|
3 |
Приказы |
Конфиденциально |
Кабинет директора |
|
|
4 |
Организационные документы |
Конфиденциально |
Все кабинеты |
|
|
5 |
Бухгалтерские документы |
Служебная информация |
Кабинет бухгалтера |
|
|
6 |
Данные о партнёрах и ценах |
Конфиденциально |
Отдел по работе с клиентами |
|
|
7 |
Продаваемое ПО и цена его закупки |
Служебная информация |
Отдел по работе с клиентами |
3.2 Разграничение доступа к информации
Дискреционное управление доступом (англ. Discretionary access control) - разграничение доступа между поименованными субъектами и поименованными объектами.
Табл. 6 Модель доступа
|
№ п/п |
Фамилия, имя, отчество пользователя |
Уровень полномочий, функции |
Информационные ресурсы, к которым имеет доступ пользователь и права доступа |
||
|
Список ресурсов, к которым разрешен доступ |
Список ресурсов, к которым запрещен доступ |
||||
|
1 |
Щербаков Дмитрий Александрович |
Администратор безопасности информации |
Полные права на доступ |
||
|
Терешенок Александр Сергеевич |
Заместитель администратора |
Полные права на доступ |
|||
|
2 |
Володина Лариса Юрьевна |
Пользователь / Работа с БД ПД и документами |
1.Средства ОС, необходимые для запуска и работы ПЭВМ. 2.Средства разработки документов. 3.Антивирусные средства. |
1.Средства настройки и управления СЗИ от НСД. 2. Каталоги других пользователей 3.Основные конфигурационные файлы ОС и драйверы СЗИ от НСД. |
|
|
3 |
Вербицкий Сергей Викторович |
||||
|
4 |
Мигик Иван Александрович |
4. Анализ эффективности системы защиты информации
Табл. 7
Примерный уровень потерь
|
№ ИР |
Угроза информационной безопасности |
Степень опасности |
Уровень потерь |
|
|
1 |
Перехват управления загрузкой операционной системы (ОС) АС, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к конфиденциальной информации |
средняя |
~ 20 000 |
|
|
2 |
Вызов штатных программ ОС АС или запуск специально разработанных программ, реализующих НСД к АС |
средняя |
~25 000 |
|
|
3 |
Внедрение в АС вредоносных программ |
средняя |
~23 000 |
|
|
4 |
Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации |
средняя |
~ 20 000 |
|
|
5 |
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа |
высокая |
~300 000 |
|
|
6 |
Удаленный запуск приложения в АС |
высокая |
~60 000 |
|
|
7 |
Внедрение по сети вредоносных программ |
средняя |
~20 000 |
|
|
8 |
Хищение элементов АС, содержащих конфиденциальной информации |
высокая |
~300 000 |
|
|
9 |
Вывод из строя элементов АС |
средняя |
~45 000 |
|
|
10 |
Внедрение в АС аппаратных закладок |
высокая |
~150 000 |
|
|
11 |
Утрата паролей доступа к АС |
низкая |
~19 000 |
|
|
12 |
Искажение или уничтожение информации в результате ошибок пользователя |
средняя |
~9 000 |
|
|
13 |
Выход из строя аппаратно-программных средств АС |
средняя |
~45 000 |
Цена за Страж NT 3.0 7500р, использованием которого уменьшаем вероятность реализации угроз , общий уровень потерь от которых может составлять примерно 345 000 руб
Цена за пакет Kaspersky CRYSTAL(2 машины) составит 1990 руб в год, Kaspersky Internet Security(5 машин) составляет 4 800руб в год, с помощью которых уменьшается вероятность реализации угроз.
5. Практическая часть
41 Вариант AES Ex(Y) xor X
#!/usr/bin/env python
from Crypto.Cipher import AES
from itertools import cycle, izip
import string
import base64
import time
PADDING = '{'
BLOCK_SIZE = 32
pad = lambda s: s + (BLOCK_SIZE - len(s) % BLOCK_SIZE) * PADDING
EncodeAES = lambda c, s: base64.b64encode(c.encrypt(pad(s)))
loop=5
while loop==5:
letter=3
while letter==3:
secret = raw_input("vvedite klyuch shifrovaniya(klyuch dolzhen byt' 16 simvolov): ")
countTotal= (len(secret))
if countTotal==16:
cipher = AES.new(secret)
letter=0
else:
print "klyuch dolzhen byt' 16 simvolov\n"
letter=3
data=raw_input("vvedite parol': ")
encoded = EncodeAES(cipher, data)
E = ''.join(chr(ord(c)^ord(k)) for c,k in izip(encoded, cycle(secret)))
print 'Encrypted string:', E
options=raw_input("shifrovat' snova? Y/N\n")
if options=='y':
loop=5
if options=='n':
loop=0
if loop==0:
time.sleep(2)
exit
В начале инициализируются переменные и импортируется необходимый нам алгоритм шифрования AES. Далее запрос у пользователя ввести ключ шифрования, который должен быть 16 символов, в случае если введенное поле не удовлетворяет по длине, запрос будет повторен. Также пользователю необходимо ввести пароль, который будет подвергаться хэшированию, далее он шифруется с помощью AES. Затем выполняется функция XOR в соответствии с заданием Ex(Y) xor X, и результат выводится на экран.
информационная безопасность доступ потеря
Список литературы
ГОСТ Р ИСО/МЭК 13335-2006 Информационные технологии. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
Юркова Т.И., Юрков С.В. Экономика предприятия: Конспект лекций; ГАЦМиЗ. - Красноярск, 2001. - 109 с.
В.А. Герасименко, А.А. Малюк Основы защиты информации М: ООО “Инкомбук”, 1995 - 537 с.
ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию
ГОСТ Р ИСО/МЭК 17799-2005 Практические правила управления информационной безопасностью
Размещено на Allbest.ru
Подобные документы
Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
курсовая работа [64,2 K], добавлен 15.11.2009Перечень сведений, составляющих коммерческую тайну. Политика информационной безопасности. Основные положения информационной безопасности фирмы. План мероприятий по защите коммерческой тайны. Мероприятия по защите информации в компьютерной сети.
курсовая работа [2,0 M], добавлен 17.02.2011Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Понятие, цели и задачи информационной безопасности. Угрозы информационной безопасности и способы их реализации. Управление доступом к информации и информационным системам. Защита сетей и информации при работе в Интернете. Понятие об электронной подписи.
контрольная работа [37,1 K], добавлен 15.12.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Виды угроз информационной безопасности. Основные направления и мероприятия по защите электронной информации. Атакующие средства информационного воздействия. Информационный криминал, терроризм. Защитные действия, относящиеся к информационной безопасности.
реферат [19,9 K], добавлен 27.12.2011Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009
