Скачать 440.58 Kb.
|
Предположения об имеющейся у нарушителя информации об объектах реализации угрозВ качестве основных уровней знаний нарушителей об ИС можно выделить следующие:
Предполагается, что лица категории IV и категории V владеют только эксплуатационной информацией, что обеспечивается организационными мерами. Степень информированности нарушителя зависит от многих факторов, включая конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно. Подразумевается, что лица данной категории, могут обладать всей необходимой информацией, для подготовки и реализации угроз, исключением является информация, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, может относиться парольная, аутентифицирующая и ключевая информация. Предполагается, что нарушитель имеет:
Оценить имеющихся у нарушителя средства, которые могут быть использованы для реализации угроз информационной безопасности, а также возможности по их применению зависят от многих факторов, включая такие факторы как организационные меры, финансовые возможности и уровень компетенции нарушителей. Поэтому, в общем случае, оценить состав имеющихся у нарушителя средств реализации угроз практически невозможно. Поэтому, чтобы определить актуальные угрозы и создать деструктивные действия, предполагается, что вероятный нарушитель будет иметь все необходимые для реализации угроз средства, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, содержащую сведения, составляющие государственную тайну, и технические и программные средства, обрабатывающие эту информацию. Предполагается, что внешние нарушители имеют наиболее совершенные средства реализации угроз, так как они в большей степени могут быть заинтересованы в нарушении ИБ. Основными информационными ресурсами, обрабатываемыми в ИС являются
Техническая информация представляет собой:
Целью реализации угроз является нарушение для объекта реализации угроз таких характеристик безопасности как, конфиденциальность, целостность, доступность или создание условий для нарушения характеристик безопасности объекта реализации угроз. Целью нарушения конфиденциальности злоумышленником может быть получение большого количества данных о пользователях системы для осуществления спам рассылок. Целью нарушения целостности злоумышленником может быть целенаправленное желание изменить или удалить информацию, например, для накрутки баллов делегации или участников. Возможно, что по результатам отчетов, полученных в ходе работы системы при поддержки мероприятия будут выделяться различные гранты или рекомендации для участников. Целью нарушения доступности системы может быть остановка процесса обслуживания конкретного события, что вполне может стать причиной для разрыва отношений организаторов событий с создателем системы, а так же повлечет снижение репутации системы. Возможными каналами реализации угроз информационной безопасности являются:
Предполагается, что не являются каналами реализации угроз:
На основании описанных целей реализации угроз можно выделить актуальные угрозы ИБ:
На основании предположений о вероятных нарушителях, можно выделить следующие основные способы реализации угроз ИБ:
Методы защиты от некоторых атак разрабатываются еще на стадии проектирования системы.
Угрозы типа «Отказ в обслуживании» - размещение веб-приложения и базы данных в инфраструктуре Azure гарантирует требуемую отказоустойчивость. Дополнительно проведена защита от уязвимости «небезопасная конфигурация» – вся настройка сервера осуществлялась в соответствии с рекомендациями Microsoft[15]. Во избежание проблем с уязвимостями веб-приложения, которые могут быть реализованы через подключаемые модули (угроза «использование компонентов с известными уязвимостями») – все подключаемые компоненты своевременно обновляются через менеджер пакетов NuGet. Обеспечение защиты от внутренних нарушителей категорий I, II, III не осуществляется средствами ИС. Применяются юридические меры, относящиеся к типу сотрудничества лиц этих категорий и владельца системы.
На этапе разработки системы удалось минимизировать актуальность угроз осуществления НСД к разделам ИС требующим авторизации, путем защиты от следующих атак:
Так же минимизирована актуальность угрозы осуществления НСД путем подмены доверенного объекта, путем защиты от следующих атак:
В методах, в которых есть перенаправления на другие страницы, адрес которых передается в качестве параметра выполняется проверка посредством вызова метода IsLocalURL()[Приложение 2]. Если злоумышленник подставит в параметр свой ReturnUrl, то пользователь увидит страницу, которая предупредит его о переходе на другой сайт.
Для защиты от XSS-атак используется библиотека AntiXSS, которая позволяет фильтровать любые входящие запросы. ASP.NET MVC содержит собственный набор встроенных вспомогательных методов, защищающих от CSRF-атак с помощью уникальных токенов, передаваемых с каждым запросом. Эти методы используют не только скрытое поле на форме, так называемый маркер, но и значение cookie, сильно затрудняя поддержку запроса. Для реализации этого, необходимо в каждую передаваемую форму добавить запись @Html.AntiForgeryToken и ко всем контроллерам, принимающим данные необходимо добавить атрибут ValidateAntiForgeryToken. ЗАКЛЮЧЕНИЕВ ходе дипломной работы было сделано следующее:
Таким образом, были решены все поставленные задачи. Следовательно, можно сделать вывод о том, что цель дипломной работы достигнута. Разработанная ИС запущена и находится на стадии тестирования, а так же следующий этап работ уже находится на стадии написания ТЗ. Планируется добавление многих новых функций, таких как:
СПИСОК ЛИТЕРАТУРЫ
Приложение 1Схема базы данныхПриложение 2Реализация функции проверки URL адресаТюмень – 2014 |
Положения, регулирующие работу удостоверяющего центра обзор технологий используемых при разработке ас и угроз возникаемых при их... | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования | ||
Анализ практики применения методов оценки жизненного цикла по критериям экологической безопасности в строительном секторе | |||
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования | Федеральное бюджетное государственное образовательное учреждение высшего профессионального образования | ||
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тюменский государственный... | По направлению 100400 «Технология и организация туроператорской и турагентской деятельности» | ||
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тюменский государственный... | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Тюменский государственный... |
Поиск Главная страница   Заполнение бланков   Бланки   Договоры   Документы    |