Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности

Предположения об имеющейся у нарушителя информации об объектах реализации угроз

• 
  данные о структуре и используемых технических, программных и программно-технических средствах ИС;
  
• 
  сведения об информационных ресурсах ИС: порядок и правила создания, хранения и передачи информации;
  
• 
  данные о реализованных в ПСЗИ принципах и алгоритмах;
  
• 
  данные об уязвимостях, включая данные о недокументированных (не декларированных) возможностях программных и программно-технических средств ИС;
  
• 
  сведения о возможных каналах реализации угроз;
  
• 
  информацию о способах реализации угроз.
  

4. Предположения об имеющихся у нарушителя средствах реализации угроз

• 
  доступные в свободной продаже технические средства и программное обеспечение;
  
• 
  специально разработанные технические средства и программное обеспечение
  

5. Описание объектов и целей реализации угроз информационной безопасности

• 
  данные о пользователях системы
  
• 
  данные предоставляемые организаторами мероприятий
  
• 
  данные полученные в ходе работы ИС на мероприятиях
  

1. 
   конфигурационные файлы
   
2. 
   средства и принципы защиты, применяемые в ИС
   
3. 
   базы данных
   

6. Описание каналов реализации угроз информационной безопасности

• 
  каналы доступа, образованные с использованием штатных средств ИС
  
• 
  каналы доступа, образованные с использованием специально разработанных программных средств
  

• 
  каналы доступа, образованные с использованием специально разработанных технических средств;
  
• 
  технические каналы связи.
  

7. Определение актуальных угроз и способов их реализации

• 
  угроза осуществления НСД к разделам ИС требующим авторизации;
  
• 
  угрозы получения НСД путем подмены доверенного объекта;
  
• 
  угрозы типа «Отказ в обслуживании»;
  

• 
  воздействие на веб-приложение путем использования различных уязвимостей в коде приложения. Внутренние нарушители могут применять атаки, описанные в пункте 1.5 первой главы.
  
• 
  превышение полномочий, предоставленных пользователю в виду возможных недостатков механизма разграничения доступа;
  

8. Методы защиты от актуальных угроз.

1. Список угроз, актуальность которых удалось минимизировать на этапе проектирования системы

2. Список угроз, актуальность которых удалось минимизировать на этапе разработки системы

• 
  XSS – в качестве защиты от данной атаки используется библиотека AntiXSS, которая позволяет фильтровать любые входящие запросы.
  
• 
  SQL-injection – защита от данной атаки происходит на уровне технологии доступа к данным - EntityFramework. Все данные передаются параметрами и экранируются.
  
• 
  Отсутствие контроля доступа к функциональному уровню – на уровне веб-приложения реализована система проверки прав доступа.
  
• 
  Подделка межсайтовых запросов (CSRF) – все операции с данными выполняются POST запросами, а так же у каждой формы есть уникальный ключ, передаваемый с каждым запросом.
  
• 
  Небезопасные прямые ссылки на объекты – минимизировано количество методов, через которые можно получить полную информацию по каким-либо объектам системы. Так же при вызове методов, предоставляющих такую информацию – обязательно проверяются права доступа.
  
• 
  Осуществляется запись всех действий пользователей в лог, осуществлено на уровне триггеров базы данных. Лог представляет информацию о том, кто и когда совершил какое-то действие.
  
• 
  При идентификации пользователей с ролью «Администратор» или «Администратор подсистемы» - осуществляется двухэтапная идентификация, пользователю приходит СМС с кодом доступа.
  
• 
  Авторизация и аутентификация пользователей происходит по алгоритму, описанному в пункте 2.6 второй главы.
  

• 
  ошибки в реализации аутентификации и сессий – защита от данной атаки происходит на уровне системы авторизации от Microsoft - ASP.NET Identity.
  
• 
  невалидированные перенаправления (OpenRedirect)
  

3. Реализация защиты от OpenRedirect

4. Реализация базовой защиты от XSS и CSRF атак

ЗАКЛЮЧЕНИЕ

• 
  выработаны требования и спроектирована ИС;
  
• 
  проведен анализ угроз, выявлены основные меры защиты, определены актуальные угрозы;
  
• 
  разработана информационная система с необходимыми мерами защиты, определенными на основе анализа угроз.
  

• 
  автоматизации процедуры предоставления площадок для проводимых мероприятий, подключение системы оплаты;
  
• 
  расширение возможностей функционала, для пользователей, создание групп.
  

СПИСОК ЛИТЕРАТУРЫ

1. 
   William S. Davis. The Information System Consultant's Handbook. Systems Analysis and Design. / William S. Davis, David C. Yen. — CRC Press, 1998. — 800 с. — ISBN 0849370019
   
2. 
   Об информации, информационных технологиях и о защите информации: Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ
   
3. 
   Стандарт ISO/IEC 2382-1
   
4. 
   Когаловский М. Р. Перспективные технологии информационных систем. — М.: ДМК Пресс; Компания АйТи, 2003. — 288 с. — ISBN 5-94074-200-9
   
5. 
   Социальные сетевые сервисы // Википедия [Электронный ресурс]. – URL: http://ru.wikipedia.org/wiki/ Социальные_сетевые_сервисы (дата обращения 19.11.2013).
   
6. 
   SQL Azure// Википедия [Электронный ресурс]. – URL: http://ru.wikipedia.org/wiki/SQL_Azure. (дата обращения 19.11.2013).
   
7. 
   Социальная сеть// Википедия [Электронный ресурс]. – URL: http://ru.wikipedia.org/wiki/ Социальная_сеть (дата обращения 19.11.2013).
   
8. 
   Блоги// Википедия [Электронный ресурс]. – URL: http://ru.wikipedia.org/wiki/ Блоги. (дата обращения 19.11.2013).
   
9. 
   Макаренко С. И. Информационная безопасность: учебное пособие для студентов вузов. – Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. – 372 с.: ил.
   
10. 
    Информационные технологии. Основные термины и определения в области технической защиты информации. [Электронный ресурс]. – URL: http://allsnips.info/docs/45/45674/index.htm. (дата обращения 15.11.2013).
    
11. 
    Курс Безопасность Информационных Технологий [Электронный ресурс]. - URL: http://w15408.narod.ru/books/ KursSecurOfInformTechn.doc. (дата обращения 19.11.2013).
    
12. 
    Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
    
13. 
    The Open Web Application Security Project [Электронный ресурс]. - URL: https://www.owasp.org/index.php/Main_Page (дата обращения 20.11.2013).
    
14. 
    Cписок топ-10 уязвимостей от OWASP [Электронный ресурс]. - URL: http://www.xakep.ru/post/60778/default.asp (дата обращения 20.11.2013).
    
15. 
    Центр управления безопасностью Windows Azure [Электронный ресурс]. - URL: https://www.windowsazure.com/ru-ru/support/trust-center/security/ (дата обращения 15.10.2013).
    

Приложение 1

Схема базы данных

Приложение 2

Реализация функции проверки URL адреса