«Захист web-сторінки від несанкціонованого доступу»


Скачати 153.36 Kb.
Назва «Захист web-сторінки від несанкціонованого доступу»
Дата 21.04.2013
Розмір 153.36 Kb.
Тип Реферат
bibl.com.ua > Інформатика > Реферат
Державний університет інформаційно-комунікаційних технологій

Навчально-науковий інститут захисту інформації

Кафедра безпеки інформаційних технологій

Правове забезпечення інформаційної безпеки

РЕФЕРАТ
на тему

«Захист web-сторінки від несанкціонованого доступу»

Виконав: студент БСД – 41




Прізвище І.Б.________Зайцев Олександр

Дата здачі/захисту____________________

Оцінка_____________________________

2012

Зміст

1. Ціль роботи

2. Визначення елементів СУІБ

2.1. Перелік досліджуваних документів

2.2. Визначення напрямів, об'єктів, активів.

2.3. Визначення загроз

2.4. Визначення ризиків

2.5. Визначення вимог

2.6. Визначення співробітників

2.7. Визначення засобів та заходів

3. Опис задач.

4. Висновки

1. Ціль роботи: Проаналізувати нормативні документи в сфері захисту веб-сторінки від несанкціонованого доступу використовуючи систему управління інформаційною безпекою «Матриця»
2. Визначення елементів СУІБ

2.1. Перелік досліджуваних документів

Для виконання поставленої задачі були проаналізовані наступні документи:

  • НД ТЗІ 2.5-010-03 «Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу». Мета цього НД ТЗІ – надання нормативно-методологічної бази для розроблення комплексу засобів захисту від несанкціонованого доступу до інформації WEB-сторінки під час створення комплексної системи захисту інформації.

  • НД ТЗІ 1.4-001-2000 «Типове положення про службу захисту інформації в автоматизованій системі». Цей нормативний документ системи технічного захисту інформації (НД ТЗІ) встановлює вимоги до структури та змісту нормативного документу, що регламентує діяльність служби захисту інформації в автоматизованій системі

  • НД ТЗІ 3.7-001-99 «Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі»


2.2. Визначення напрямів, об'єктів, активів



Рис.1 – Таблиця напрямів
Для дослідження проблем захисту веб-сторінок від НСД були вибрані наступні напрямки:

  • Форум.

  • Інформативний сайт. Під цим поняттям я мав на увазі сайт з контактною інформацією деякої фірми і невеликою базою знань по специфіці роботи фірми.



Рис. 2 – Таблиця об’єктів
Під об’єктом розуміється певна функціональна частина веб-сторінки, яка приймає участь в захисті інформації. Об’єкти складаються з активів.


Рис. 3 – Список активів

Активи – це найбільш діяльні одиниці, які забезпечують захист і потребують захищеності (наприклад комп’ютер, диск, папір, людина, кабінет). Кожен актив має свій збиток (шкала оцінення від 1 до 5: 1 - незначний збиток, 5 - дуже сильний збиток). На свій розсуд, приблизно пишемо поруч із кожним активом збиток для організації у разі пошкодження даного активу.

2.3. Визначення загроз

Загроза — будь-які обставини або події, які можуть бути причиною порушення політики безпеки інформації і нанесення збитків автоматизованій системі (видалення, зміна або доступність інформації веб-сторінки).


Рис. 4 – Таблиця загроз

Загрози були визначені згідно нормативних документів і записані в найбільш загальному вигляді. Наприклад, до конфіденційності інформації можна віднести ознайомлення зловмисником з політикою безпеки, технологічною інформацією, технічними даними КЗЗ та ін. До цілісності загальнодоступної інформації відноситься взлом паролю адміністратора сторінки, що може призвести до модифікації або знищення інформації, несанкціонований доступ до комп’ютера адміністратора, що призведе до таких самих наслідків, та ін.

У СУІБ Матриця кожна загроза має свою частоту ймовірності появи. Оцінюємо за шкалою від 1 до 5. 1- дуже низька ймовірність появи, 5 – висока ймовірність появи.
2.4. Визначення ризиків

Ризик — функція ймовірності реалізації певної загрози, виду і величини завданих збитків. На рис. 5, 6 приведена інформація про активи, які є найбільш небезпечними для веб-сайту.



Рис. 5 – Оцінка ризиків



Рис. 6 – Оцінка ризиків

Найбільший ризик представляють документація КСЗІ та документація по управлінню (70), ідентифікатори та паролі і комп’ютер адміністратора безпеки (75)
2.5. Визначення вимог



Рис. 7 - Вимоги
Більшість вимог формувалися згідно до нормативних документів. Але ці вимоги не охоплюють всіх проблем, які виникають при формуванні політики безпеки веб-сторінки. Тому деякі вимоги були добавлені мною самостійно або взяті з інших джерел.
2.6. Визначення співробітників

До структури співробітників служби захисту інформації можуть входити:


Рис. 8 – Таблиця співробітників
2.7. Визначення засобів та заходів

При управління захистом веб-сторінки для вирішення випливаючих задач впроваджують наступні заходи:



Рис. 9 - Заходи
Деякі заходи, так само як і вимоги я добавив сам.



Рис. 10 – Таблиця засобів
Якихось конкретних засобів захисту в нормативних документах вказано не було, тому я вибрав найбільш поширені.
3. Опис задач
Задача 1. Захистити від несанкціонованої модифікації/видалення інформації: 1. Забезпечити потрібну стікість паролю

Коди рівнів: Напрямок Інформативний сайт

Коли поставлена 05.01.2012 Об'єкт Загальнодоступна інф

Строк виконання 08.01.2012 Основи

Людино-годин 4 Керівник Власник веб-сервера

Статус Виконана Відповідальний Адмін безпеки

Оновлена 05.01.2012 Заходи Розподіл прав доступу до сторінки

Код задачі 20 Засоби Логін та пароль

Виконавці Етап 7.Контроль (аудит, вдосконал)

Адмін безпеки Зміст етапів

Активи Загальнодоступна інф

Загрози Цілісніості загальнодоступної інф

Оцін. ризику 9

Вимоги Застос технологій контролюв дост до

Вирішення Забезпечити стійкість паролю

Впровадження Використовувати стікі паролі

Контроль Повний аудит (контроль)

Стан Пароль повинен бути захищений: 1) повинні використовуватись букви різних регістрів; 2) повинні використовуватись цифри та спеціальні символи; 3) довжина паролю - 12 значень.

Проблеми

Зауваження

Для службового користування

Задача. 2. Забезпечити стабільну роботу веб-сайту

Коди рівнів: Напрямок Інформативний сайт

Коли поставлена 26.12.2011 Об'єкт Комп'ютерна система веб-сервера

Строк виконання 10.01.2012 Основи

Людино-годин 10 Керівник Власник веб-сторінки

Статус Поточна Відповідальний Адмін безпеки

Оновлена 05.01.2012 Заходи Резервні копії всієї інф

Код задачі 17 Засоби Апаратні засоби захисту

Виконавці Етап 7.Контроль (аудит, вдосконал)

Оператор Зміст етапів

Активи Комп сервера

Загрози Доступності загальнодоступної інф

Оцін. ризику 10

Вимоги Забезп цілісн та доступ загальнодост

Вирішення Захистити сервер від НСД

Впровадження Вибір програми резервування

Контроль Повний аудит (контроль)

Стан Негайно придбати та ввести в експлуатацію пристрій безперебійного живлення

Проблеми

Зауваження Внести зміни до технологічної документації

Для службового користування

Задача 3. Забезпечити захист від НСД до технологічної документації КСЗІ: 1. Розподілити права доступу до кабінету адміністратора безпеки. 2. Встановити на дверях кабінету адміна безпеки замок із ключем у вигляді смарт-карт. 3. Видати всім дозволеним особам особисті смарт-карти.

Коди рівнів: Напрямок Форум

Коли поставлена 26.12.2011 Об'єкт Документація КСЗІ

Строк виконання 01.02.2012 Основи

Людино-годин 20 Керівник Адмін безпеки

Статус Поточна Відповідальний Адмін безпеки

Оновлена 05.01.2012 Заходи Розподіл прав доступу до

Код задачі 15 Засоби Апаратні засоби захисту

Виконавці Етап 7.Контроль (аудит, вдосконал)

Фірма "Безопасность", м. Київ Зміст етапів

Активи Приміщення адміна безпеки

Загрози Конфіденційності документації

Оцін. ризику 4

Вимоги Доступ до приміщення відповідно до політики безпеки

Вирішення Розподправа доступ до кімн адміна

Впровадження Добавити зміни до технологічної інф

Контроль Контроль за діями співробітників

Стан Внести зміни до технічної документації

Проблеми

Зауваження Роботу по монтажу і введенню в експлуатацію довірити провіреним людям

Задача 4. Захистити веб-сторінку від НСД з боку відвідувачів. Заходи: 1 раз в місяць проводити заміну паролів адміністраторів та операторів форума

Коди рівнів: Напрямок Форум

Коли поставлена 26.12.2011 Об'єкт Засоби адміністрування

Строк виконання 15.01.2012 Основи

Людино-годин 2 Керівник Адмін безпеки

Статус Постійна Відповідальний Адмін безпеки

Оновлена 05.01.2012 Заходи Розподіл прав доступу до сторінки

Код задачі 13 Засоби Логін та пароль

Виконавці Етап 5.Розробка рішень

Адміністратор безпеки Зміст етапів

Активи Форма входу на сайт

Загрози Цілісніості загальнодоступної інф

Оцін. ризику 12

Вимоги Виявлення спроб НСД до інф веб-стор

Вирішення Призначення прав дост надає адмін

Впровадження Змінювати паролі адміністраторам

Контроль Контроль за діями співробітників

Стан Пароль повинен бути захищений: 1) повинні використовуватись букви різних регістрів; 2) повинні використовуватись цифри та спеціальні символи; 3) довжина паролю - 12 значень.

Проблеми

Зауваження

Для службового користування

Задача 5. Захист комп'ютера адміністратора безпеки від НСД з боку глобальної мережі Інтернет

Коди рівнів: Напрямок Форум

Коли поставлена 26.12.2011 Об'єкт Засоби адміністрування

Строк виконання 10.01.2012 Основи

Людино-годин 6 Керівник Власник веб-сторінки

Статус Постійна Відповідальний Адмін безпеки

Оновлена 05.01.2012 Заходи Встановити на всіх комп'ютерах фаєрвол

Код задачі 14 Засоби Firewall

Виконавці Етап 6.Впровадження

Адмін безпеки Зміст етапів

Активи ПЗ безпеки адміна безпеки

Загрози Доступності загальнодоступної інф

Оцін. ризику 8

Вимоги Блок користув, які порушили

Вирішення Встановити на комп адміна безп

Впровадження Добавити зміни до технологічної

Контроль Повний аудит (контроль)

Стан Встановити і налаштувати політику безпеки фаєрвола

Проблеми

Зауваження На комп'ютері адміністратора безпеки повинна бути встановлена ліцензійна ОС

Для службового користування

Задача 6. Захистити комп'ютери адміністраторів від програмних закладок: встановити на комп'ютери адміністраторів ліцензійні ОС та програмне забезпечення

Коди рівнів: Напрямок Форум

Коли поставлена 05.01.2012 Об'єкт Засоби адміністрування

Строк виконання 01.02.2012 Основи

Людино-годин 20 Керівник Власник веб-сервера

Статус Поточна Відповідальний Адмін безпеки

Оновлена 05.01.2012 Заходи Використовувати ліцензійне ПЗ

Код задачі 19 Засоби

Виконавці Етап 7.Контроль (аудит, вдосконал)

Адмін Зміст етапів

Активи Засоби адміністрування

Загрози Всі загрози

Оцін. ризику 15

Вимоги Використання ліцензійного ПЗ

Вирішення Використовувати ліцензійне ПЗ

Впровадження Встановити ліцензійне ПЗ на комп

Контроль Контроль за діями співробітників

Стан Активи, які потрібно замінити: 1) комп'ютер адміна безпеки; 2)комп'ютер адміна; 3) ОС на компі адміна безпеки; 4) ОС на компі адміна; 5) ПЗ в комп. системі адміна безпеки; 6) ПЗ в комп. системі адміна

Проблеми

Зауваження
Задача 7. Забезпечити реєстрацію спроб НСД: 1. Узгодити з програмістом набір функцій.

Коди рівнів: Напрямок Форум

Коли поставлена 05.01.2012 Об'єкт Засоби адміністрування

Строк виконання 30.01.2012 Основи

Людино-годин 50 Керівник Адмін безпеки

Статус Поточна Відповідальний Адмін

Оновлена 05.01.2012 Заходи Реєстрація подій

Код задачі 18 Засоби Спеціалізована програма

Виконавці Етап 7.Контроль (аудит, вдосконал)

Програміст Зміст етапів

Активи Засоби адміністрування

Загрози Цілісніості загальнодоступної інф

Оцін. ризику 9

Вимоги Виявлення спроб НСД до інф веб-стор

Вирішення Створити відповідний програмний

Впровадження

Контроль Повний аудит (контроль)

Стан Проконтролювати процес створення програми. Протестувати програму на відсутність програмних закладок.

Проблеми

Зауваження
4. Висновки
На підставі дослідження нормативних документів НД ТЗІ 2.5-010-03, НД ТЗІ 1.4-001-2000 і НД ТЗІ 3.7-001-99 я провів аналіз ризиків, визначив вимоги до захисту та розподілив обов’язки між співробітниками, які займаються супроводженням та захистом веб-сторінки. Найбільш ризикованими активами є різного роду документація по веб-сторінці, в тому числі інформація про логіни і паролі співробітників, а також комп’ютерна система адміністратора безпеки. В комп’ютері можуть бути чорновики або готові до друку файли документації, різноманітні звіти та дані про логіни і паролі. Тому кабінет адміністратора безпеки, документація та комп’ютер адміністратора безпеки потребують особливого захисту. Звідси випливають наступні вимоги:

  • Наявність правил безпеки, які встановлюють права доступу до об’єктів, які прямо або частково стосуються захисту веб-сторінки

Адміністратором повинна бути розроблена політика безпеки, згідно з якою буде відбуватись захист цінної інформації. Політика безпеки інформації в АС повинна поширюватися на об’єкти комп’ютерної системи, які безпосередньо чи опосередковано впливають на безпеку інформації.

До таких об’єктів належать:

- адміністратор безпеки та співробітники СЗІ;

- користувачі, яким надано повноваження забезпечувати управління АС;

- користувачі, яким надано право доступу до загальнодоступної інформації;

- інформаційні об’єкти, що містять загальнодоступну інформацію;

- системне та функціональне ПЗ, яке використовується в АС для оброблення інформації або для забезпечення функцій КЗЗ;

- технологічна інформація КСЗІ (дані про мережеві адреси, імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об’єктів);

- засоби адміністрування і управління обчислювальною системою АС та технологічна інформація, яка при цьому використовується.

  • Доступ до приміщень адміністраторів відповідно до політики безпеки

  • Забезпечити конфіденційність та цілісність технологічної інформації:

  • обмежити доступ до технологічної інформації згідно ПБ;

  • зберігати технологічну інформацію в захищеному середовищі.

  • Застосування технологій контролю доступу до інформації (дверні замки, сейфи, стійкі паролі)

  • Забезпечити захист комп’ютерних систем працівників, які приймають участь в адмініструванні веб-сторінки від різного роду шкідливих програм (вірусів, троянських програм, червяків, шпіонив, кейлогерів та ін.) та з боку глобальної мережі Інтернет. Тобто потрібно встановити програмні продукти, які забезпечують захист від перерахованих загроз (антивірус, антишпіон, антикейлогер, фаєрвол та ін.)

Схожі:

«Захист інформації в автоматизованих системах»
В експлуатаційному режимі програмно-технічні комплекси повинні забезпечити ефективне і надійне функціонування інформаційних підсистем...
Захист інформації в комп
...
Вимоги із захисту конфіденційної інформації від несанкціонованого...
Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в
Модуль Основи WEB-дизайну
Приватні особи використовують персональні Web-сторінки для організації кола спілкування за якою-небудь тематикою або для презентації...
Тема: Створення Web сторінок в програмі Microsoft FrontPage
Найпростіша Веб- сторінка має включати в себе графіку та текст. Умовне поділення за зонами та раціональне використання поля сторінки...
Колекція фотографій
Шаблон – це набір заздалегідь розроблених текстових і графічних форматів, на основі яких можуть створюватися нові Web-сторінки і...
Завадський І. О. та ін. Інформатика: 9 кл.: Підруч для загальноосвіт...
Тема. Використання та настроювання браузера. Вибір системи кодування під час перегляду web-сторінок. Збереження web-сторінок та їх...
Тема: Налагодження параметрів браузера
Мета: Навчитися переглядати та завантажувати web сторінки та зберігати їх на диску
Тема: Налагодження параметрів браузера
Мета: Навчитися переглядати та завантажувати web сторінки та зберігати їх на диску
Завадський І. О. та ін. Інформатика: 9 кл.: Підруч для загальноосвіт...
Протоколи Інтернету. Адресація в Інтернеті, поняття IP-адреси, доменного імені та URL-адреси. Способи підключення до Інтернету, функції...
Додайте кнопку на своєму сайті:
Портал навчання


При копіюванні матеріалу обов'язкове зазначення активного посилання © 2013
звернутися до адміністрації
bibl.com.ua
Головна сторінка