Модель угроз безопасности информации web-сайта на примере Агентства по делам молодёжи Астраханской области
Заказать уникальную курсовую работу- 28 28 страниц
- 18 + 18 источников
- Добавлена 06.12.2021
- Содержание
- Часть работы
- Список литературы
- Вопросы/Ответы
Введение 3
1. Общие требования к построению информационной безопасности 5
1.1. Общая характеристика Агентства по делам молодёжи г.Астрахань 5
1.2. Общая характеристика ИТ-инфраструктуры Агентства по делам молодёжи г.Астрахань 5
1.3. Понятие и типология DDoS-атак как угроз безопасности информационным ресурсам 8
2. Описание основных компонентов обеспечения защиты информации 12
2.1. Модель угроз и модель нарушителя 12
2.2. Общие подходы к обеспечению защиты от внешних программно-математических воздействий 15
2.3. Использование VPN-систем для обеспечения сетевой защиты от внешних программно-математических воздействий 21
Заключение 25
Список использованных источников 27
VPN - логическая сеть, создаваемая поверх другой сети, например Интернет. Данная технология позволяет обеспечивать безопасность сетевых соединений, даже если сеть, используемая для соединений, не отвечает требованиям защиты от внешних угроз VPN-технологии используются при создании корпоративных сетей для объединения сегментов удаленных площадок в единую информационную систему. Технология VPN обеспечивает работу выделенных каналов связи, система строится с использованием Интернет-соединений. Посредством туннелирования производится трансляция пакетов данных с использованием общедоступных сетей как по обычному двухточечному соединению. Для каждой пары «отправитель–получатель данных» устанавливаются своеобразные туннели – безопасные логические соединения, инкапсулирующие данные из одного протокола в сетевые пакеты другого. Основные составляющие туннеля включают [4]:системы - инициаторы соединений;сети, обеспечивающие маршрутизацию;работу туннельных коммутаторов;работу туннельных терминаторов.Алгоритмы работы VPN не противоречат основным принципам работы сетевых соединений. Так, при установлении удалённого соединения со стороны клиента проводится отсылка на сервер потоков пакетов по стандартному протоколу PPP. При использовании виртуальных выделенных каналов между локальными сетями их маршрутизаторами проводится обмен пакетами протокола PPP. Туннелирование позволяет передавать сетевые пакеты одного протокола в логических сетях с использованием других протоколов. В результате создаются возможности обеспечения взаимодействия между несколькими разнородными сетями, включающие обеспечение целостности и конфиденциальности передаваемой информации и совместимости внешних протоколов или схем адресации.Системы VipNet предполагают следующие варианты авторизации пользователей в системе [8]:вход с использованием предустановленного ключа (наиболее простой метод);вход с использованием сертификата;авторизация через ввод логина и пароля.Выпуск сертификатов производится удостоверяющими центрами. Заверение сертификатов, производится аккредитованными доверенными организациями, выполняющими роль удостоверяющих центров.Создание открытых ключей, предоставляемых для публичного использования, могут производить компании, имеющие аккредитацию на ведение данной деятельности и имеющие опубликованный открытий ключ, доступный для абонентов системы файлового обмена в криптографических системах.Если сеть VPN разворачивается для решения задач внутреннего документооборота, то создается самостоятельный удостоверяющий центр, выпускающий самоподписанные сертификаты. Полномочия таких сертификатов не выходят за пределы компании, соответственно их использование возможно только в системах внутреннего документооборота.Самоподписанные сертификаты в системе VipNet используются как публичные ключи, посредством которых на узлах сети VPN производится шифрование трафика. Для расшифровки данных в данном случае используются приватные ключи.Создание сертификатов производится в соответствии со стандартом X.509. Данный стандарт определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов, снабженных электронными подписями.В системе реализована автоматизированная система оборота сертификатов.Подсистемы системы защиты передачи данных в беспроводных сетях включают[22]:Клиентскую часть, устанавливаемую на сетевых узлах, которая обеспечивает возможности установки связи с сервером администрирования и защиту передаваемых данных путем шифрования и фильтрации сетевых пакетов по правилам, установленным на стороне администратора;Серверную часть (Координатор), которая производит фильтрацию передаваемого трафика за пределы локальной сети;Консоль Администратора, используемую для создания правил фильтрации трафика, использования алгоритмов шифрования, управление рабочими местами пользователей, подключаемыми учетными записями.В системе обеспечено предоставление следующих сервисов [17]:Режима внутреннего обмена сообщениями и файлами, в которой обеспечивается выполнение требований к защите;Режима работы с корпоративным защищенным сервером электронной почты;Возможности автоматизации файлового обмена по FTP (настройка правил пересылки файлов определенным группам абонентов, которые настраиваются в соответствии с масками файлов). ЗаключениеВ рамках данной работы проведен анализ системы защиты от атакWeb-ресурсов Агентства по делам молодёжи г.Астрахань, рассмотрены теоретические основы проведения поиска уязвимостей,рассмотрены теоретические аспекты проведения аудита системы информационной безопасности. Также показано, что проведение аудита системы информационной безопасности Агентства по делам молодёжи г.Астрахань с использованием специализированных программных средств позволит выявить узкие места в системе защиты информации и дать рекомендации по их устранению. В теоретический части работы рассмотрены особенности проведения аудита информационной безопасности, проведен обзор функционала программных средств, обеспечивающих защиты от внешних атак. В ходе анализа архитектуры информационной системы компании Агентства по делам молодёжи г.Астрахань был определен перечень информационных ресурсов, являющихся объектами защиты. к ним относятся базы данных, содержащие конфиденциальные сведения, коммерчески значимую информацию, персональные данные и криптографические системы. Обеспечение защиты указанных ресурсов требует применения специальных инструментов мониторинга обеспечения информационной безопасности.В ходе анализа состояния защищённости информационной системы Агентства по делам молодёжи г.Астрахань было показано, что она соответствует требованиям по большинству направлений. Вместе с этим, в части обеспечения защиты от перехвата информации с использованием специализированных устройств, мониторинга активности сотрудников необходимо принятие ряда мер, перечень которых описан в рамках проектной части работы. Таким образом, совершенствование системы защиты информации Агентства по делам молодёжи г.Астрахань предполагает необходимость проведение ряда мероприятий по настройке VPN, системы защиты от DDoS-атак, разграничению доступа к информационным ресурсам, использовании систем защиты от СПАМа, ограничение использования flash-накопителей. Список использованных источниковАгентства по делам молодёжи г.Астрахань. О компании. [Электронный ресурс]. Режим доступа: https://mol.astrobl.ru/Приказ ФСТЭК № 17 от 11.02.2013 «Об утверждении требований о защите информации, не составляющей государственную тайну»Аникин Д. В. Информационная безопасность и защита информации: учебное пособие / Д.В. Аникин. - Барнаул: Изд-во Алтайского государственного университета, 2018. - 196 с.Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта : УГТУ, 2016. - 69 с.Благодаров А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва: Горячая линия - Телеком, 2016. - 304 с. Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Михалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва : ФГБУ "Редакция "Российской газеты", 2019. - 143 с. Никифоров С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: СПбГАСУ, 2017. - 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 107 с. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова . - Хабаровск : Изд-во ТОГУ, 2018. – 81с.Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.Такатлы Д. А. Защита персональных данных / Д. А. Такатлы. - Петропавловск-Камчатский: Дальневосточный филиал Федерального государственного бюджетного образовательного учреждения высшего образования "Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации", 2016. - 92 с.
1. Агентства по делам молодёжи г.Астрахань. О компании. [Электронный ресурс]. Режим доступа: https://mol.astrobl.ru/
2. Приказ ФСТЭК № 17 от 11.02.2013 «Об утверждении требований о защите информации, не составляющей государственную тайну»
3. Аникин Д. В. Информационная безопасность и защита информации: учебное пособие / Д.В. Аникин. - Барнаул: Изд-во Алтайского государственного университета, 2018. - 196 с.
4. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.
5. Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.
6. Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта : УГТУ, 2016. - 69 с.
7. Благодаров А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.
8. Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.
9. Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва: Горячая линия - Телеком, 2016. - 304 с.
10. Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с.
11. Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.
12. Михалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва : ФГБУ "Редакция "Российской газеты", 2019. - 143 с.
13. Никифоров С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 с
14. Никифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: СПбГАСУ, 2017. - 76 с.
15. Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 107 с.
16. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова . - Хабаровск : Изд-во ТОГУ, 2018. – 81с.
17. Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.
18. Такатлы Д. А. Защита персональных данных / Д. А. Такатлы. - Петропавловск-Камчатский: Дальневосточный филиал Федерального государственного бюджетного образовательного учреждения высшего образования "Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации", 2016. - 92 с.
Вопрос-ответ:
Какие требования предъявляются к построению информационной безопасности веб-сайта Агентства по делам молодежи в Астраханской области?
Для обеспечения информационной безопасности веб-сайта Агентства по делам молодежи в Астраханской области требуется соблюдение общих требований, таких как защита от DDoS-атак, управление доступом, шифрование данных, аутентификация пользователей и другие. Кроме того, необходимо установить механизмы мониторинга и аудита безопасности, чтобы обнаруживать и реагировать на возможные угрозы в реальном времени.
Какова общая характеристика Агентства по делам молодежи в городе Астрахань?
Агентство по делам молодежи в городе Астрахань является государственным органом, который занимается организацией работы с молодежью, разработкой и реализацией программ и проектов в области социальной поддержки, образования, культуры, спорта и других сфер жизни молодых людей. Оно имеет свой веб-сайт, который нуждается в надежной защите информации.
Какова общая характеристика ИТ инфраструктуры Агентства по делам молодежи в городе Астрахань?
ИТ инфраструктура Агентства по делам молодежи в городе Астрахань включает в себя серверы, сетевое оборудование, рабочие станции, программное обеспечение и другие компоненты, необходимые для обеспечения работы организации. Данные и информация, хранящиеся в ИТ системах, требуют надежной защиты от угроз безопасности, таких как DDoS-атаки и несанкционированный доступ.
Что такое DDoS-атаки и какие они бывают по типологии?
DDoS-атаки (Distributed Denial of Service Attacks) представляют собой атаки на информационные ресурсы, направленные на перегрузку их системы, что приводит к невозможности доступа для законных пользователей. Типы DDoS-атак включают SYN флуд, Smurf-атаки, HTTP флуд, ICMP флуд и другие. Они могут нанести серьезный ущерб работоспособности и безопасности веб-сайта.
Какими требованиями должно соответствовать построение информационной безопасности?
Построение информационной безопасности должно соответствовать общим требованиям, которые включают в себя защиту от угроз безопасности информации, обеспечение конфиденциальности, целостности и доступности данных, а также контроль доступа и аутентификацию пользователей.
Какая информация хранится в Агентстве по делам молодежи г. Астрахани?
В Агентстве по делам молодежи г. Астрахани хранится разнообразная информация, касающаяся дел молодежи, такая как персональные данные, финансовые данные, документы, связанные с организацией мероприятий и программ для молодежи.
Какие угрозы безопасности может привести DDoS-атака на информационные ресурсы?
DDoS-атака является одной из наиболее распространенных и опасных угроз безопасности информационных ресурсов. Она может вызвать перегрузку серверов и сети, что приведет к недоступности веб-сайта для обычных пользователей. Такая атака может также привести к сбою в работе систем, потере данных и нанести значительные финансовые убытки.
Какие компоненты обеспечивают защиту информации в системе?
Основными компонентами обеспечения защиты информации являются антивирусные программы, брандмауэры, системы обнаружения вторжений, системы мониторинга и аудита безопасности, аутентификационные системы, системы резервного копирования данных и системы шифрования.
Что такое модель угроз и как она применяется в информационной безопасности?
Модель угроз - это инструмент, позволяющий идентифицировать и классифицировать потенциальные угрозы безопасности информационной системы. В информационной безопасности модель угроз используется для определения возможных уязвимостей и разработки соответствующих мер по их предотвращению или минимизации воздействия.
Какие требования предъявляются к построению информационной безопасности в Агентстве по делам молодежи г. Астрахань?
Требования к построению информационной безопасности в Агентстве по делам молодежи г. Астрахань включают обеспечение конфиденциальности, целостности и доступности информации, применение антивирусных программ, использование сложных паролей и многое другое.