- •Минобрнауки россии
- •Дипломный проект
- •Аннотация
- •О главление
- •Введение
- •Глава 1 анализ предметной области
- •1.1 Информационные системы и система здравоохранения
- •1.2 Классификация мисс
- •1.3 Мисс территориального уровня
- •1.5 Автоматизация бизнес-процессов
- •1.6 Мисс «MedTime»
- •1.7 Мисс «ums – avrora»
- •1.8 Мисс «MedWork»
- •1.9 Сравнительная характеристика рассмотренных систем
- •1.11Методология создания автоматизированных больничных информационных систем
- •1.12 Стратегии разработки информационных систем
- •1.13 Требования к информационному обеспечению
- •Глава 2 проектно-конструкторская часть
- •2.1 Структура автоматизированной системы управления
- •2.2 Создание базы данных
- •2.3 Схема базы данных
- •2.4 Интерфейс программы
- •Глава 3 технологическая часть
- •3.1 Обоснование и описание методов и средств, которые нужно применить для выполнения разработки
- •3.2 Процесс нормализация отношений
- •3.3 Программное обеспечение
- •3.4 Анализ существующих систем управления базами данных и выбор наилучшей
- •3.5 Организация файлов баз данных
- •3.6 Программный продукт dbForge Studio for mysql
- •3.7 Установка dbForge Studio for mysql
- •Глава 4 оценка качества объекта разработки
- •4.1 Общие положения
- •4.2 Оценка качества разработанной программы
- •Глава 5 организационно-экономическая часть
- •5.1 Техническо-экономическое обоснование дипломного проекта
- •5.2 Расчет трудоемкости и цены разработки
- •5.3 Определение затрат на разработку программной продукции
- •Глава 6 информационная безопасность
- •Часть 1. Введение и общая модель.
- •Часть 2. Функциональные требования безопасности.
- •Часть 3. Требования доверия к безопасности.
- •6.1 Объект оценки
- •6.2 Активы, нуждающиеся в защите
- •6.3 Информация о среде безопасности
- •6.3.1 Предположения о безопасном использовании
- •6.3.2 Угрозы безопасности
- •6.3.3 Политика безопасности организации
- •6.3.4 Цель безопасности
- •6.4 Требования безопасности
- •6.5 Определение класса безопасности
- •Глава 7 охрана труда
- •7.1 Электробезопасность
- •7.2 Электромагнитные излучения
- •7.3 Требования к освещенности, эргономике и микроклимату
- •7.4 Пожарная безопасность
- •Последний лист дипломного проекта
6.3.2 Угрозы безопасности
Есть несколько методов несанкционированного доступа, которыми может пользоваться злоумышленник. Перечислим несколько наиболее важных:
Нарушитель может получить доступ более высокого уровня, выдав себя за уполномоченного пользователя объекта оценки.
Уполномоченный пользователь объекта оценки может получить доступ к конфиденциальной информации, выдав себя за некого другого уполномоченного пользователя.
Удаление различных файлов, баз данных, порча или подмена, а также вывод из строя оборудования, компьютеров (разрушение ресурсов).
Несанкционированное проникновение на территорию компании.
Вирусы и вредоносные программы.
6.3.3 Политика безопасности организации
Политика безопасности должна быть направленной в сторону обеспечения конфиденциальности и сохранности данных организации, на предотвращение несанкционированного доступа. Также необходимо иметь специальные средства, позволяющие обнаруживать любые отклонения в безопасности организации и идентифицировать злоумышленника. Каждый пользователь обязан нести ответственность за собственные действия.
Некоторые положения политики безопасности, правила, которым должен следовать ОО:
Все вычислительные ресурсы сконцентрированы в контролируемой зоне;
Программное и аппаратное обеспечение объекта защищено от несанкционированных физических модификаций;
только пользователи, уполномоченные на доступ к информации в системе, могут его получить
система ограничивает доступ к ресурсам в зависимости от служебных обязанностей пользователей;
пользователи ответственны за действия в системе.
6.3.4 Цель безопасности
При определении цели руководствуемся следующими требованиями: доступ к изменению приложения должен быть только у уполномоченных пользователей, нужно управлять уровнем доступа пользователей, регистрировать все их действия, относящиеся к безопасности.
Кроме этого, администраторам необходимо обеспечить установку и функционирование программы методом, соответствующим целям безопасности организации. Необходима защита программы от физического воздействия.
6.4 Требования безопасности
Для оценки безопасности проекта, необходимо чтобы все критерии оценки удовлетворяли все системы. В разработке профилей защиты требуется помнить, что он не устанавливает, как будут выполняться требования, обеспечивая независимость продукта описания требований от реализации.
6.5 Определение класса безопасности
Гостехкомиссия России выпускает Руководящие документы (РД), которые играют роль общенациональных стандартов оценки в области информационной безопасности. Стратегическим направлением Гостехкомиссия России приняла ориентацию на "Общие критерии"
Согласно первому из документов, установлено девять классов защиты АС от несанкционированного доступа к информации.
Классы подразделяются на три группы, которые отличаются особенностями обработки информации.
В пределах каждой из групп соблюдена иерархия всех требований по защите, в зависимости от ценности информации а, следовательно, иерархия классов защищенности.
Третья группа классифицирует средства, в которых работает только один пользователь, у которого имеется доступ ко всей информации АС, размещенной на одном уровне конфиденциальности. Эта группа включает два класса – ЗБ и ЗА. Вторая классифицирует АС, где пользователи имеют одинаковые полномочия в отношении всей информации АС, обрабатываемой или хранящейся на носителях различных уровней конфиденциальности. Группа содержит классы – 2Б и 2А. Первая группа охватывает многопользовательские АС, где одновременно обрабатывают информацию различных уровней конфиденциальности, где пользователи имеют различные уровни прав доступа ко всей информации АС. В группе содержатся классы – 1Д, 1Г, 1В, 1Б и 1А.
Требования ко всем девяти классам защищенности АС приведены в таблице 6.1.
Таблица 6.1 - Классы безопасности
Подсистемы и требования |
Классы |
||||||||
ЗБ |
ЗА |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
|
1.Подсистема управления доступом |
|
|
|
|
|
|
|
|
|
1.1.Идентификация, проверка подлинности, |
|
|
|
|
|
|
|
|
|
контроль доступа: в систему; |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
к терминалам, узлам сети, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам; |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
к программам; |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
к файлам, каталогам, записям, полям |
|
|
|
|
|
|
|
|
|
записей. |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
1.2. Управление потоками информации |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
2. Система регистрации и учета |
|
|
|
|
|
|
|
|
|
2.1. Регистрация и учет: входа/выход субъектов |
|
|
|
|
|
|
|
|
|
доступа в систему; |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
выдачи печатных выходных |
|
|
|
|
|
|
|
|
|
документов; |
- |
+ |
- |
+ |
- |
+ |
+ |
+ |
+ |
Продолжение таблицы 6.1
Подсистемы и требования |
Классы |
||||||||
ЗБ |
ЗА |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
|
запуск/завершение программ и процессов; |
|
|
|
|
|
|
|
|
|
|
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
доступ программ субъектов доступа к |
|
|
|
|
|
|
|
|
|
терминалам, узлам сети ЭВМ, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам, программам, |
|
|
|
|
|
|
|
|
|
файлам, каталогам, записям, томам, полям |
|
|
|
|
|
|
|
|
|
записей; |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
изменения полномочий субъектов; |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
создания защищаемых объектов доступа. |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
2.2. Учет носителей информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
2.3. Очистка |
|
|
|
|
|
|
|
|
|
освобождаемых областей оперативной памяти |
|
|
|
|
|
|
|
|
|
компьютера и накопителей. |
- |
+ |
- |
+ |
- |
+ |
+ |
+ |
+ |
2.4. Сигнализация попыток нарушения защиты. |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
3. Криптографическая подсистема |
|
|
|
|
|
|
|
|
|
3.1. Шифрование |
|
|
|
|
|
|
|
|
|
информации. |
- |
- |
- |
+ |
- |
- |
- |
+ |
+ |
3.2. Шифрование информации, принадлежащей |
|
|
|
|
|
|
|
|
|
различным субъектам доступа |
|
|
|
|
|
|
|
|
|
|
- |
- |
- |
- |
- |
- |
- |
- |
+ |
3.3. Использование сертифицированных |
|
|
|
|
|
|
|
|
|
криптографических |
|
|
|
|
|
|
|
|
|
средств. |
- |
- |
- |
+ |
- |
- |
- |
+ |
+ |
4. Подсистема обеспечения целостности |
|
|
|
|
|
|
|
|
|
4.1. Обеспечение целостности программных |
|
|
|
|
|
|
|
|
|
средств и информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.2. Физическая защита средств вычислительной |
|
|
|
|
|
|
|
|
|
техники и носителей. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.3. Наличие администратора (службы защиты) |
|
|
|
|
|
|
|
|
|
информации в АС. |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
4.4. Тестирование СЗИ НС Д. |
|
|
|
|
|
|
|
|
|
4.5. Средства восстановления СЗИ НС Д. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
4.6. Сертифицированные средства |
|
|
|
|
|
|
|
|
|
защиты. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
Вывод
В данной главе приведены требования доверия, функциональные требования и требования к среде для обеспечения безопасного пользования разработанным программным продуктом. Рассмотрены основные профили защиты системы на основе государственного стандарта ГОСТ 15408/2002.
Разработанное программное средство по уровню защищенности от несанкционированного доступа относится к группе «1», к классу «Г».