В Интернете есть уже почти все, что может понадобиться для человека: товары, услуги, общение, возможность самовыражения, игры и т.д. Естественно, за некоторые услуги надо платить и чем быстрее и проще система платежей, тем лучше. Потребность в подобной платежной системе начали ощущать и продавцы, и покупатели. И поэтому были придуманы электронные деньги. Задача любых видов электронных денег — создание универсальной платежной среды, объединяющей покупателей и продавцов товаров и услуг. Цель электронных денег — повышение экономической эффективности Интернета как отрасли в целом. Механизм электронных денег таков, что позволяет, не отходя от компьютера оплачивать товары, заключать сделки, вести коммерческую деятельность. Электронные деньги очень похожи на электронные платежные карты, только это не карта и пин-код, а логин и пароль с помощью которых можно совершать денежные операции. Также в любой момент времени вы можете вывести деньги из сети или ввести их в сеть через банк, почтовым переводом, наличными, кредитной картой.

По данным исследовательского агентства DataInsight, в 2012 году объем российского рынка электронной коммерции достигнет 370 млрд рублей. Таким образом, на долю онлайн-продаж будет приходиться 5,1% от общего объема продаж всей российской розницы (в среднем по ЕС этот показатель составляет 5,9%, а в США — 6,7%). Через Интернет продается, около 19-25% бытовой техники, электроники и книг.

На 2012 год в России насчитывается порядка 32 000 интернет-магазинов, большая часть из которых находится в регионах страны. По статистике, за год в России закрывается порядка 10% интернет-магазинов, но вместо них открывается 20-30% новых. Сам рынок электронной коммерции в РФ прогнозирует свой рост в 2 раза за ближайшие четыре года. При этом в последнее время прослеживается тенденция увеличения атак на системы электронной коммерции, результатом которых является нарушения конфиденциальности, целостности, доступности информации, а так же большие финансовые потери. Актуальной задачей на сегодняшний день является исследование и разработка модели обеспечения безопасности в системах электронной коммерции.

Целью работы является повышение защищенности систем электронной коммерции.

Для ее достижения надо выполнить следующие задачи:

-                   Анализ архитектуры систем электронной коммерции.

-                   Анализ модели злоумышленника в системах электронной коммерции.

-                   Анализ угроз безопасности системам электронной коммерции.

-                   Анализ уязвимостей систем электронной коммерции.

-                   Анализ атак на системы электронной коммерции.

-                   Анализ существующих механизмов и средств защиты в системах электронной коммерции.

-                   Разработка формальной модели обеспечения безопасности в системах электронной коммерции.

-                   Разработка архитектуры модели обеспечения безопасности в системах электронной коммерции.

-                   Разработка пользовательского интерфейса.

-                   Разработка алгоритмов модулей.

-                   Разработка методики работы с моделью защиты системы электронной коммерции.

-                   Определение условий и среды для экспериментальных исследований разработанной модели.

-                   Экспериментальные исследования модели обеспечения безопасности системы электронной коммерции.

-                   Разработка эргономических требований к организации рабочего места исследователя модели обеспечения безопасности в системах электронной коммерции.

-                   Оценка особенностей трудовой деятельности пользователя, объема  и интенсивности информационных потоков;

-                   Оценка влияние эргономических характеристик рабочего места на работоспособность и здоровье пользователя;

-                   Проектирование мер, обеспечивающих эргономические требования к организации рабочего места пользователя и профилактики утомления.

-                   Провести обоснование экономической эффективности проекта.

-                   Выбор методики расчета трудоемкости разработки и затрат.

-                   Расчет показателей экономической эффективности проекта.

Дипломный проект включает введение, пять разделов, заключение, список использованных источников, содержащий 69 наименований. Основной текст дипломной работы изложен на 78 страницах, включая 15 рисунка и  17  таблиц.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены задачи, решаемые для достижения данной цели.

В первой главе на основе анализа модели электронной коммерции выделена его структура, для формализации которой выбран теоретико-множественный метод. В результате проведенного анализа национальных стандартов, определяющих критерии оценки безопасности информационных технологий, сделан вывод о невозможности их применения к оценке защищенности информации в системах электронной коммерции и в качестве подхода для оценки защищенности предложен анализ рисков в соответствии с группой национальных стандартов в области менеджмента информационной безопасности. Рассмотрены методы управления защитой информации и в качестве приоритетного выделен комбинированный подход. Рассмотрены программные средства, наиболее широко представленные на рынке в сегменте управления ЗИ, сделаны выводы, на основе которых сформулированы требования к разрабатываемому программному комплексу управления защитой информации в системах электронной коммерции.

Во второй главе разработана методика управления защитой информации в сегменте систем электронной коммерции, разработана архитектура программного комплекса, пользовательский интерфейс и алгоритмы, а также содержание разделов технического задания и спецификация на программный комплекс.

В третьей главе  представлен план эксперимента, описаны условия его проведения, исходные данные. Приведены результаты. Проведен их анализ.

В четвертой главе обоснована экономическая эффективность разработки и внедрения проекта на предприятии.

В пятой главе затронуты вопросы охраны труда, приведены эргономические требования к рабочему месту пользователя.

В заключении приведены основные результаты, которые были получены при решении поставленных задач.

 ===========================================================================================================================

 Содержание

ВВЕДЕНИЕ.

1 ПРОБЛЕМА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В СИСТЕМАХ ЭЛЕКТРОННОЙ КОММЕРЦИИ.

1.1 Анализ архитектуры систем электронной коммерции.

1.2 Анализ модели нарушителя в системах электронной коммерции.

1.3 Анализ основных угроз безопасности и атак в системах электронной коммерции

1.4 Анализ существующих механизмов и средств защиты в системах электронной коммерции.

1.5 Выводы..

2 РАЗРАБОТКА ПРОГРАММНОГО КОМПЛЕКСА ДЛЯ ИССЛЕДОВАНИЯ МОДЕЛИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В СИСТЕМАХ ЭЛЕКТРОННОЙ КОММЕРЦИИ

2.1 Разработка формальной модели обеспечения безопасности в системах электронной коммерции.

2.2 Разработка архитектуры модели обеспечения безопасности в системах электронной коммерции.

2.3 Разработка пользовательского интерфейса.

2.4 Разработка алгоритмов модулей.

2.4.1 Разработка алгоритма модуля «Сбор данных».

2.4.2 Разработка алгоритма модуля «Расчета оценки риска».

2.4.3 Разработка алгоритма модуля «Отчет».

2.5 Выводы.

3.1  Разработка плана проведения экспериментальных исследований.

3.2  Эксперимент 1. «Проведение первоначального моделирования».

3.3 Эксперимент 2. «Проведение повторного моделирования».

3.4 Выводы..

4 РАЗРАБОТКА ЭРГОНОМИЧЕСКИХ ТРЕБОВАНИЙ К ОРГАНИЗАЦИИ АВТОМАТИЗИРОВАННОГО МЕСТА ИССЛЕДОВАТЕЛЯ МОДЕЛИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В СИСТЕМАХ ЭЛЕКТРОННОЙ КОММЕРЦИИ..

4.1 Требования, предъявляемые к ПЭВМ.

4.2 Требования к помещениям для работы с ПЭВМ.

4.3 Требования к микроклимату, содержанию аэроионов и вредных химических веществ в воздухе на рабочих местах, оборудованных ПЭВМ.

4.4 Требования к уровням шума и вибрации на рабочих местах, оборудованных ПЭВМ

4.5 Требования к освещению на рабочих местах, оборудованных ПЭВМ.

4.6 Требования к уровням электромагнитных полей на рабочих местах, оборудованных ПЭВМ.

4.7 Требования к визуальным параметрам ВДТ, контролируемым на рабочих местах

4.8 Требования к организации и оборудованию рабочих мест с ПЭВМ для пользователей.

4.9 Выводы..

5 ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ РАЗРАБОТАННОГО ПРОГРАММНОГО КОМПЛЕКСА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИСТЕМ ЭЛЕКТРОННОЙ КОММЕРЦИИ.

5.1 Расчет себестоимости модели

5.2 Расчет экономического эффекта от внедрения модели

5.3 Выводы..

ЗАКЛЮЧЕНИЕ.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ.

Приложение

================================================================================================================

Состав и характеристики работы:

Общий объем основной работы 88, в комплект входят: текст расчетно-пояснительной записки, приложения, автореферат, проект с исходным кодом программного обеспечения, презентация

Код работы в каталге:  БИТВП-1

При разработке программного обеспечения практически всегда допускаются ошибки, приводящие различным эффектам в программе – от неприятных оплошностей до серьезнейших ошибок, позволяющих злоумышленнику выполнить свой код. Даже в небольших проектах отладка часто занимает больше времени, чем сам процесс программирования, а крупные компании тратят гигантские деньги на проведение аудита кода своих продуктов. Поэтому, актуальным видится создание методики поиска уязвимостей в программном обеспечении, которая позволила бы значительно снизить время поиска ошибок в коде или же исключила возможность их появления. Ввиду этого, цель работы состоит в исследовании методов поиска уязвимостей в программном обеспечении. Для достижения этой цели необходимо решить следующие задачи:

1. Анализ уязвимостей программного обеспечения.
2. Анализ типовых ошибок в исходных текстах программ, приводящих к наличию уязвимостей.
3. Сравнительный анализ методов поиска уязвимостей в программном обеспечении.
4. Сравнительный анализ инструментальных средств поиска уязвимостей.
5. Разработка методики поиска уязвимостей в программном обеспечении.
6. Экспериментальные исследования с целью проверки эффективности разработанной методики.

Во введении обоснована актуальность исследования, сформулирована цель работы, перечислены решаемые задачи.

В первой части классифицированы и проанализированы виды уязвимостей, перечислены основные ошибки в коде, приводящие к появлению уязвимостей, произведен анализ методов поиска уязвимостей и существующих на сегодняшний день инструментальных средств.

Во второй части предложена методика поиска уязвимостей в программном обеспечении и представлена программная реализация этой методики.

В третьей части приведены результаты экспериментальных исследований, состоящих в анализе кода сторонней библиотеки.

В заключении перечислены решенные задачи и указана достигнутая цель.

В приложении А приведен код библиотеки, используемой в качестве объекта тестирования.

В приложении Б приведен код драйвера теста для первого эксперимента.

В приложении В приведен код драйвера теста для второго эксперимента.

==============================================================================================

Содержание

Введение

1. Анализ уязвимостей программного обеспечения и современных методик их поиска

1.1.        Классификация ошибок, приводящих к появлению уязвимостей в программном обеспечении

1.2.        Анализ наиболее распространенных и опасных уязвимостей программного обеспечения

1.2.1.   Переполнение буфера

1.2.2.   Дефекты форматных строк

1.2.3.   Разыменование нулевого указателя

1.2.4.   Обход дерева директорий

1.2.5.   Ошибки синхронизации и состояние гонок

1.3.      Анализ типовых ошибок в исходных текстах программ приводящих к наличию уязвимостей

1.3.1.  Переполнение одного байта

1.3.2.  Приравнивание вместо сравнения

1.3.3.  Доступ к члену структуры по нулевому указателю

1.3.4.  Ошибки адресной арифметики

1.3.5.  Использование непереносимого кода

1.4.       Сравнительный анализ методик поиска уязвимостей в программном обеспечении

1.4.1.  Лексический анализ исходного кода

1.4.2.  Семантический анализ исходного кода

1.4.3.  Анализ двоичного кода

1.4.4.  Глубокий семантический анализ

1.4.5.  Тестирование нагрузкой

1.4.6.  Динамическая трассировка

1.4.7.  Символьное выполнение на виртуальной машине

1.5.        Обобщение результатов анализа

2. Разработка методики  нахождения уязвимостей в программном обеспечении

2.1.   Low Level Virtual Machine

2.2.        Символьная виртуальная машина KLEE

2.2.1.   Использование KLEE

2.2.2.   Обработка результатов

3. Экспериментальные исследования

3.1.       Обзор объекта исследования

3.2.      Описание эксперимента

3.3.            Анализ результатов исследования

Заключение

Список литературы

Приложение

==============================================================================================

Состав и характеристики работы

текст расчетно-пояснительной записки, доклад, презентация

Грамотно построить систему защиты гораздо сложнее, чем успешно провести не менее грамотную атаку. Ведь даже одна маленькая ошибка в ответственной программе или сервисе – способна свести на нет все усилия и затраты на защиту системы. Из этого можно сделать следующий вывод: потенциально страдающая сторона просто обязана работать на опережение для уменьшения возможных рисков. Один из методов, позволяющий осуществить такую идею – это метод использования ложных уязвимостей.

Целью данной работы является разработка методики защиты локальной сети организации на основе обманных систем.

Для достижения поставленной цели решаются следующие задачи:

• анализ литературных источников по предметной области;
• анализ структуры и ресурсов корпоративной ЛВС;
• анализ типовых уязвимостей корпоративной ЛВС;
• анализ традиционных методов защиты ЛВС;
• сравнительный анализ существующих обманных систем;
• разработка методики защиты локальной сети с использованием обманных систем;
• экспериментальные исследования работы методики.

Объект исследования – средства и методы защиты информации в локальных сетях.

Предмет исследования – защита локальной сети обманной системой.

Дипломная работа состоит из следующих частей:

Во введении обоснована актуальность работы, сформулирована цель работы, определены объект и предмет исследования, перечислены задачи, решаемые в рамках данной дипломной работы.

Дипломная работа включает введение, три раздела, заключение, список использованных источников, содержащий 42 наименования и три приложения. Основной текст дипломной работы изложен на 148 страницах, включая 121 рисунок и 8 таблиц.

В первой главе проанализированы типовая структура и ресурсы корпоративной сети, рассмотрены существующие методы защиты локальных сетей. Проведен сравнительный анализ существующих обманных систем на основе выбранных критериев и на базе проведенного анализа выбрана обманная система для разработки методики защиты.

Во второй главе описывается процесс разработки методики защиты . Рассматривается архитектура выбранной обманной системы. Последовательно описываются шаги лежащие в основе данной методики.

В третьей главе представлены результаты экспериментальных исследований работы методики.

В заключении приведены основные результаты, которые были получены при решении поставленных задач.

========================================================================================

 Содержание

 Введение

1  Анализ литературных источников

1.1 Анализ типовой структуры корпоративной информационной системы предприятия

1.2 Анализ ресурсов корпоративной информационной системы

1.3 Анализ уязвимостей и угроз КИС

1.4 Анализ распространенных видов сетевых атак на ЛВС

1.5 Обзор традиционных методов защиты информации в ЛВС от злоумышленников

1.5.1 Анализ VPN

1.5.2 Анализ прокси-сервера

1.5.3 Анализ Межсетевого экрана

1.5.4 Анализ систем обнаружения атак

1.6 Анализ систем ложных уязвимостей

1.7 Анализ разновидностей систем ложных уязвимостей

1.7.1 Анализ СЛУ слабого взаимодействия

1.7.2 Анализ СЛУ среднего взаимодействия

1.7.3  Анализ СЛУ сильного взаимодействия

1.8 Функциональные требования к обманным системам

1.9 Анализ существующих систем ложных уязвимостей

1.9.1 СЛУ Back Officer Friendly

1.9.2 СЛУ Advanced Port Scanner

1.9.3 Коммерческая СЛУ «Specter»

1.9.4 Коммерческая СЛУ «KFSensor»

1.9.5 СЛУ «Honeyd»

1.9.6 Коммерческая СЛУ «ManTrap»

1.9.7 Коммерческая СЛУ «Honeypot Manager»

1.10 Признаки классификации СЛУ

1.11 Сравнительный анализ существующих систем ложных уязвимостей

1.12 Выводы

2  Разработка методики защиты

2.1 Назначение и основные функции СЛУ honeyd

2.2 Принципы функционирования СЛУ honeyd

2.3 Архитектура СЛУ honeyd0

2.4 Разработка методики защиты локальной сети с использованием  системы ложных уязвимостей honeyd

2.4.1 Анализ сети

2.4.2 Анализ уязвимостей и выбор местоположения обманной системы

2.4.3 Создание шаблонов и внедрение сценариев взаимодействия со злоумышленником

2.4.4 Процесс тестирования СЛУ

2.4.5 Процесс эксплуатации и сопровождения СЛУ

3   Экспериментальные исследования работы методики

3.1 Стенд для проведения экспериментальных исследований

3.2 Методика защиты СЛУ офисной сети с отдельным сервером

3.3 Методика защиты СЛУ офисной сети с демилитаризованной зоной

Заключение

Список использованных источников

Приложение А

Приложение Б

Приложение В

 ================================================================

Характеритики работы

Дипломная работы выполнена на 145 листах, объем приложений составляет еще 45 листов. В комплект к работы входит текст расчетно-пояснительной записки, приложения, презентация выполненная в MS Power Point

Описание работы 

На протяжении всего жизненного цикла программного обеспечения разработчики выпускают пакеты обновлений или критические обновления безопасности. Это обусловлено тем, что производитель не в состоянии при создании программного обеспечения предусмотреть все возможные уязвимости защиты, возникающие в процессе эксплуатации. Проблему своевременного выявления таких уязвимостей помогают решить так называемые сканеры безопасности.

В связи с этим целью данной работы является анализ существующих сканеров безопасности и разработка методику работы со сканером безопасности Microsoft^® Baseline Security Analyzer.

Для достижения поставленной цели решаются следующие задачи:

• анализ существующих уязвимости операционных систем (ОС);
• анализ существующих средства выявления уязвимостей и возможностей их применения;
• анализ существующих программных средств защиты;
• разработка методики работы со сканером безопасности Microsoft^® Baseline Security Analyzer.

Во введении данной работы обоснована актуальность исследования, сформулирована цель работы и перечислены решаемые задачи.

В первой главе основной части проанализированы основные существующие уязвимости операционных систем, средства выявления уязвимостей и программные средства защиты.

Во второй и третей главе проанализированы основные возможности безопасности Microsoft^® Baseline Security Analyzer и разработана методика работы со сканером.

В заключении курсовой работы сформулированы общие выводы по рассмотренным вопросам .

===========================================================================================

Содержание работы:

Введение.

1.   Анализ существующих сканеров безопасности операционных систем.

1.1.    Уязвимости операционных систем.

1.2.    Анализ средств выявления уязвимостей.

1.2.1.    Анализ механизмов работы.

1.2.2.    Анализ особенностей этапов сканирования.

1.2.3.    Анализ особенностей  применения средств выявления уязвимостей

1.2.4.    Анализ существующих сканеров безопасности.

1.3.    Анализ средств защиты..

2.   Разработка методики работы со сканером безопасности ОС

2.1.    Основные возможности Microsoft^® Baseline Security Analyzer

2.2.    Возможности проверки уязвимости системы..

2.3.    Режимы работы сканера.

2.4.    Методика работы с Microsoft® Baseline Security Analyze

3. Экспериментальное исследование ОС.

Заключение.

Список литературы

Целью данной курсовой работы является создание функциональной модели проведения  спецпроверок СВТ. Созданная модель проведения спецпроверок должна в полной мере проводить исследование на наличие всех известных типов закладных устройств. Объектом исследования   является  изучение закладных устройств устанавливаемых в СВТ и методы их обнаружения или нейтрализации. Для достижения этих целей необходимо провести анализ известных закладных устройств, выявить те из них, которые могут быть установлены в СВТ. Рассмотреть методы их обнаружения или нейтрализации, и на основе этих данных составить модель проведения проверки средств вычислительной техники на наличие закладных устройств.

Работа состоит из трех глав, введения и заключения.

Содержание работы:

Введение
Глава 1 Анализ литературных источников предметной области.
1.1 Актуальность проблемы перехвата информации с помощью закладных устройств
1.2 Общий анализ закладных устройств
1.3 Виды закладных устройств, устанавливаемых в СВТ
Глава 2 Исследование методов использования закладных устройств в СВТ.
2.1 Модель злоумышленника по использованию им закладных устройств
2.2 Обобщённый анализ технических характеристик используемых закладных устройств в     СВТ
2.3 Мероприятия, проводимые  в организациях для выявления закладных устройств в СВТ
Глава 3 Разработка модели бизнес процессов по проведению спецпроверок СВТ.
3.1 Модель понятий в предметной области
3.2 Функциональная модель проведения спецпроверок в СВТ
3.3 Анализ результатов функционального моделирования и использования модели
Заключение
Список литературы

Цель дипломной работы: Проанализировать существующие методики и средства оценки рисков, разработать методику оценки рисков информационной безопасности научной организации.

Задачи дипломной работы:
1)    Анализ деятельности научных организаций,
2)    Изучить аспекты информационной безопасности научных организаций,
3)    Проанализировать угрозы информационной безопасности, а также методы защиты интеллектуальной собственности научных организаций,
4)    Проанализировать принцип оценки рисков и экспертные методы в задачах оценки рисков,
5)    Проанализировать средства оценки и управления рисками,
6)    Проанализировать существующие методики оценки рисков,
7)    Разработать методику и модель оценки рисков информационной безопасности научных организаций,
8)    Провести апробирование разработанной методики.

Работа состоит их трех глав, введения, заключения, списка литературы, а так же приложений. Общий объем работы составляет 155 листов. В комплект работы входит расчетно-пояснительная записка, приложения, программное средство (язык реализации C#, среда разработки Visual Studio.Net), мультимедийная презентация

.
Содержание работы

Введение
1.    Анализ информационной безопасности информационной системы научной организации
1.1    Анализ научных организаций
1.1.1  Положения доктрины ИБ РФ, относящиеся научной области
1.2  Исследование информационной безопасности  научной организации
1.2.1  Модель нарушителя информационной безопасности научной организации
1.3  Угрозы информационной безопасности научной организации
1.3.1  Классификация угроз безопасности научной организации
1.3.2  Ущерб как категория классификации угроз
1.4   Методы социальной  инженерии как угроза ИБ НО
1.5  Защита интеллектуальной собственности и авторских прав
1.6  Оценка рисков информационной безопасности
1.6.1    Алгоритм оценки рисков информационной безопасности
1.6.2   Типовая методология оценки риска
1.7  Экспертные методы в задачах оценки рисков информационной безопасности
1.7.1  Оценка рисков ИБ методом Дельфи
1.7.2  Оценка рисков ИБ с помощью метода анализа иерархий
1.8   Страхование информационных рисков
1.9  Современные средства анализа и управления рисками
1.9.1   CRAMM
1.9.2   RiskWatch
1.9.3  Система ГРИФ
1.9.4  Средство оценки безопасности Microsoft Security Assessment Tool
1.9.5   Сравнительная таблица инструментальных средств анализа рисков
1.10  Вывод
2.    Разработка методики оценки рисков ИБ научной организации
2.1  Оценка рисков информационной безопасности по стандарту NIST SP 800-30
2.1.1  Определение характеристик системы
2.1.2    Определение уязвимостей
2.1.3  Идентификация угроз
2.1.4  Меры безопасности
2.1.5  Определение вероятности
2.1.6  Анализ влияния реализации угроз
2.1.7  Определение уровня риска
2.1.8   Выработка рекомендаций
2.1.9   Документирование результатов
2.2  Методика оценки риска ГРИФ 2006 из состава Digital Security Office
2.2.1  Алгоритм: модель информационных потоков
2.2.2  Алгоритм: модель анализа угроз и уязвимостей
2.3 Вывод
2.4  Разработка методики оценки рисков ИБ научной организации
2.4.1  Информационная система организации
2.4.2   Список актуальных угроз ИБ организации
2.4.3   Анализ существующих мер обеспечения безопасности
2.4.4  Определение рисков информационной безопасности
2.4.5  Рекомендации по снижению рисков
2.5  Вывод
3.    Апробация методики оценки рисков
3.1    Вывод
Заключение

Приложния

При обеспечении ИБ важно учесть все существенные аспекты, что будет гарантировать некоторый минимальный (базовый) уровень ИБ, обязательный для любой информационной технологии, независимо от цели и места ее применения. В этом случае необходимо определить стандартный набор наиболее распространенных угроз безопасности, которые по определению, всегда присутствуют и могут быть реализованы.

Для обеспечения постоянного контроля защищенности информации на объекте информатизации должна регулярно проводиться процедура контроля соответствия уровня реализации системы защиты информации на объекте информатизации требованиям национальных и отраслевых стандартов и нормативных документов. В случае типовых объектов информатизации, например в составе корпоративной системы, целесообразно автоматизировать процесс оценки с использованием программных комплексов.

Целью данной дипломной работы является разработка модели комплексной оценки угроз информации, циркулирующей на объекте информатизации. В рамках данной дипломной работы были решены следующие задачи:

–       проведение анализа существующих практик в области оценки защищенности информации;

–       выбор стандарта для разработки модели на его основе;

–       разработка модели и методики оценки угроз информации, циркулирующей на объекте информатизации;

–       разработка программного комплекса, реализующего разработанные модель и методику;

–       тестирование работоспособности разработанного программного комплекса.

Содержание работы

Введение

1. Анализ существующих подходов к оценке защищенности информации

1.1            Анализ онтологии предметной области

1.2            Анализ существующих подходов к оценке защищенности информации.10

1.2.1    Анализ стандарта ГОСТ Р ИСО/МЭК 17799-2006

1.2.2    Анализ стандарта ГОСТ Р ИСО/МЭК 27001-2006

1.2.3    Анализ стандарта ГОСТ Р ИСО/МЭК 15408-2002

1.3            Анализ общей методологии оценки

1.4            Анализ отраслевого стандарта СТО БР ИББС-1.0-2006

2. Разработка модели и методики оценки угроз информации, циркулирующей на объекте информатизации

2.1 Разработка топологии модели

2.2 Разработка методики оценки

2.2.1 Общие положения методики оценки

2.2.2 Показатели защиты информации. Способы оценивания показателей и уровней защиты информации

2.2.3 Определение текущего уровня защиты информации объекта информатизации

2.2.4 Определение тенденции в обеспечении защиты информации объекта информатизации

2.2.5 Определение уровня осознания значения защиты информации для функционирования объекта информатизации

2.2.6 Формирование уровня соответствия защиты информации на объекте информатизации требованиям стандарта СТО БР ИББС 1.0-2006

2.3 Разработка программы комплексной оценки угроз информации, циркулирующей на объекте информатизации

2.3.1 Разработка архитектуры программы

2.3.2 Разработка общего алгоритма работы программы

2.3.3 Разработка алгоритма модуля оценки внесенных значений

3. Экспериментальные исследования программы

Заключение

Список литературы

Приложение

Анализ состояния дел в области защиты информации показывает, что в промышленно развитых странах мира уже сложилась вполне оформившаяся инфраструктура защиты информации в системах обработки данных. И, тем не менее, количество фактов злоумышленных действий над информацией не только не уменьшается, но и имеет достаточно устойчивую тенденцию к росту. В этом смысле Россия и другие страны СНГ не являются, к сожалению, исключением.

Среди всех возможных каналов утечки информации наибольшую опасность в России в ближайшее время, очевидно, будут представлять технические каналы. Такое предположение основывается на следующих фактах:

• наличии в России большого числа технически грамотных специалистов, знания и навыки которых не востребованы вследствие тяжелого экономического положения;
• выхода на российский рынок западных фирм — производителей аппаратуры для технического шпионажа;
• недостаточного внимания, а чаще всего просто игнорирования проблем безопасности информации со стороны российского бизнеса.

В этой связи представляется целесообразным более подробное исследование существующих методов защиты средств вычислительной техники и формирование на их основе методики, а также разработка лабораторной работы для обучения студентов измерению побочных электромагнитных излучений средств (ПЭМИ).

Целью данной курсовой работы является разработка методики защиты типового средства вычислительной техники (СВТ). Для достижения поставленной цели в данной работе необходимо решить следующие задачи:

1)провести обзор методики обследования СВТ на побочные электромагнитные излучения;

2)провести литературный обзор методов защиты СВТ от утечки информации по каналам ПЭМИ;

3)разработать методику защиты типового СВТ;

4)разработать лабораторную работу по анализу защищенности СВТ от ПЭМИ;

Содержание работы

Введение

Глава 1

1.1.         Побочное электромагнитное излучение СВТ

1.2.         Прием побочных электромагнитных излучений СВТ

1.3.         Некоторые особенности измерения ПЭМИ технических средств

1.4.         Методы защиты информации от утечки по каналу ПЭМИ

1.5.         Экранирование технических средств

1.6.         Экранирование соединительных линий

Глава 2

2.1.         Выявление источников информационных ПЭМИ

2.2.         Методика экранирования типового СВТ

Глава 3

3.1.         Принципы создания лабораторного практикума

3.2.         Структура лабораторной работы

3.3.         Методика специальных исследований средств вычислительной  техники на ПЭМИ

3.3.1. Подготовка к работе

3.3.2. Проведение работы

3.3.3. Пересчет полученных результатов и подготовка отчетной документации

Заключение

Список использованных источников и литературы

Приложение

Целью данной работы является разработка модели преодоления системы защиты информации в виде Марковского процесса.

Таким образом, в рамках этой работы необходимо решить следующие задачи:

1.           проанализировать существующие методы и средства моделирования преодоления системы защиты информации;

2.           разработать программный комплекс моделирования преодоления системы безопасности информационной системы;

3.           провести экспериментальные исследования с помощью разработанного программного комплекса.

В первой главе основной части рассмотрены существующие методы и средства преодоления и тестирования защиты информационных систем. Проведен анализ стандартов по безопасности, которые непосредственно относятся к тестированию системы защиты информации.

Во второй главе основной части описывается процесс разработки программного комплекса модели преодоления системы защиты информации в виде Марковского процесса. Рассматривается архитектура разрабатываемого программного комплекса. Последовательно описываются алгоритмы лежащие в основе данного комплекса. Кроме того, подробно описывается интерфейс программы и предлагается методика работы с комплексом.

В третьей главе представлены результаты экспериментальных исследований проведенных с использованием разработанного программного комплекса.

В заключение  работы сформулированы общие выводы по результатам проведенных исследований.

——————————————————————————————————————————

Содержание работы

Введение.

1. Анализ существующих методов и средств преодоления защиты информационных систем

1.1. Анализ показательного проникновения в защищаемую систему.

1.1.1. Анализ общей специфики моделирования проникновения.

1.1.2. Анализ актуальности моделирования проникновения.

1.2. Анализ стандартов информационной безопасности.

1.2.1. Анализ стандартов BS 7799 и ISO 17799.

1.2.2. Анализ стандарта BSI

1.2.3. Анализ нормативных документов РФ.

1.2.4. Анализ стандарта ISO/IEC 15408.

1.3. Анализ инструментальных средств оценки надежности системы безопасности

1.2.1. Система анализа и управления рисками ГРИФ..

1.2.2. Система разработки и управления политикой безопасности     КОНДОР

1.2.3. Метод анализа и управления рисками CRAMM..

1.2.4. Средство анализа и управления рисками RiskWatch.

1.3. Результаты сравнительного анализа методов и инструментальных средств оценки эффективности СЗИ..

2. Разработка модели преодоления системы защиты информации.

2.1. Разработка модели на основе Марковских процессов.

2.1.1. Марковские процессы..

2.1.2. Разработка метода получения вероятности преодоления системы защиты информации с использованием модели СЗИ на основе Марковских процессов

2.2. Разработка интерфейса программы моделирования преодоления системы защиты информации на основе Марковских цепей.

2.3. Методика работы с разработанным программным комплексом.3. Тестирование разработанной модели преодоления системы защиты информации на основе Марковских процессов.

3. Тестирование разработанной модели преодоления системы защиты информации на основе Марковских процессов.

Для достижения цели решаются следующие задачи

1. Анализ моделей нарушения физической целостности информации
2. Разработка модели нарушения физической целостности информации
3. Разработка программно – реализованного алгоритма
4. Тестирование разработанного программного обеспечения.

———————————————————————————————————————————————————-

Содержание

Введение

1. Анализ моделей нарушения физической целостности информации

1.1 Основные понятия и определения

1.2 Анализ возможных нарушений физического состояния носителя информации

1.3 Анализ возможных методов восстановления носителей информации

1.4 Анализ возможных мер защиты носителей и информации, хранимой на них

2. Разработка модели нарушения физической целостности информации

2.1 Основные понятия и определения

2.2 Разработка параметров надежности винчестера

3. Разработка программно-реализованного алгоритма

3.1 Блок-схема алгоритма

3.2 Выбор языка программирования

3.3 Структура и назначение программного комплекса

3.4 Интерфейс программного комплекса

4. Тестирование разработанного программного обеспечения

Заключение