- •Введение
- •1. Анализ процессов тестирования на проникновение
- •1.1 Характеристика понятия тестирования проникновения
- •1.2 Описание алгоритма метода тестирования на проникновение
- •2. Оценка возможность восстановления ключевой информации протокола ipSec
- •2.1 Этапы обеспечение безопасности от проникновения с помощью протокола ipSec
- •2.2 Метод статического анализа при тестировании на проникновение
- •2.3 Метод динамического анализа
- •Заключение
- •Список литературы
Содержание
Введение 3
1. Анализ процессов тестирования на проникновение 4
1.1 Характеристика понятия тестирования проникновения 4
1.2 Описание алгоритма метода тестирования на проникновение 5
2. Оценка возможность восстановления ключевой информации протокола IPSec 8
2.1 Этапы обеспечение безопасности от проникновения с помощью протокола IPSec 8
2.2 Метод статического анализа при тестировании на проникновение 12
2.3 Метод динамического анализа 13
Заключение 14
Список литературы 15
Введение
Актуальностью проблемы организации информационной защиты является проблема защиты передаваемой информации от несанкционированного доступа или искажения волнует многих пользователей, которым необходимо иметь постоянный доступ к своей персональной информации и быть уверенными в невозможности ее неправомерного использования. Наиболее остро данная проблема стоит перед компаниями и организациями. При появлении угроз, связанных с возможностью потери, искажения, раскрытия конфиденциальных данных и утечки стратегически важной информации, организация или государство в целом может потерять не только огромные суммы денег, но и репутацию на политическом и экономическом уровне. Добиться высокой степени защищенности можно только при использовании передовых технологий защиты сети передачи данных. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается и уровень угроз для используемых информационных технологий. С каждым годом появляются все новые и новые атаки на сети передачи данных. В ответ на новые атаки появляются новые или совершенствуются старые методы защиты информации и информационно-технической инфраструктуры.
Цель преддипломной практики – исследовать тест на проникновение через уязвимости в программном обеспечении телекоммуникационного оборудования. Задачи: дать характеристику понятия тестирования проникновения; описать алгоритм метода тестирования на проникновение; рассмотреть этапы обеспечение безопасности от проникновения с помощью протокола IPSec; исследовать метод статического анализа при тестировании на проникновение; исследовать метод динамического анализа.
Работа состоит из введения, двух пунктов, заключения и списка литературы.
1. Анализ процессов тестирования на проникновение
1.1 Характеристика понятия тестирования проникновения
Тест проникновений – совокупность внешних и внутренних деструктивных воздействий, направленных на обнаружение уязвимостей доступа к сервисам КС путем моделирования или анализа проникновений на модели киберсистемы.
Качество теста определяется его полнотой, выраженной в процентах, относительно проверки всех возможных типов уязвимостей, генерируемых вручную или автоматически для каждой конкретной киберсистемы.
Результат тестирования реальной системы (System Under Penetration Test – SUPT) формирует количественную оценку уязвимости, а также список структурных уязвимостей наперед заданных типов, обнаруженных в процессе тестового эксперимента.
Если процесс тестирования зафиксировал непустой список деструктивностей (уязвимостей), то необходимо выполнять диагностирование на основе использования тестов в целях определения места, причины и вида уязвимости с наперед заданной глубиной поиска деструктивностей.
После точного определения всех уязвимостей выполняются процедуры их устранения путем частичной или полной реконструкции киберсистемы на основе использования проверенных библиотечных структурных решений.
Все процедуры, упомянутые выше, используют три библиотеки:
1) негативную, описывающую все возможные типы уязвимостей;
2) позитивную, где каждой уязвимости ставится в соответствие верное программно-аппаратное решение, устраняющее деструктивность;
3) непроверенные решения, составляющие потенциал «интеллекта» КС, который доопределяется в процессе эксплуатации киберсистемы. Все три библиотеки необходимо пополнять как в процессе проектирования КС, так и на стадии эксплуатации в реальном времени1.
Задачи инфраструктуры защитного сервиса киберсистемы:
1) Синтез (дедуктивной) модели КС для тестирования, диагностирования и восстановления неуязвимости киберсистемы.
2) Генерирование тестов проверки и диагностирования уязвимостей, близких к 100% полноте.
3) Создание алгоритмов поиска уязвимостей с наперед заданной глубиной диагностирования.
4) Создание генераторов тестов проверки и диагностирования уязвимостей, близких к 100% полноте.
5) Тестопригодное проектирование (модификации) неуязвимых киберсистем, «свободных» от уязвимостей на текущий момент развития технологической и математической культуры.
6) Разработка встроенной инфраструктуры защитного сервиса для киберсистем, ориентированных на мониторинг, тестирование, диагностирование и восстановление неуязвимости в реальном масштабе времени в процессе эксплуатации.
7) Разработка специализированных маршрутов (алгоритмов, планов) мониторинга, тестирования, диагностирования и восстановления неуязвимости КС в реальном масштабе времени в процессе эксплуатации.
8) Верификация инфраструктурных тестопригодных решений, разработанных для реальных КС.