Московский ордена Ленина, ордена Октябрьской Революции

и ордена Трудового Красного Знамени

ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ имени Н. Э. БАУМАНА

Факультет: «Информатика и системы управления»

Кафедра: «Информационная безопасность»

_____________________________________________________________________

Расчетно-пояснительная записка

к курсовой работе

по курсу

Операционные системы-2

Студент: Никеева А.С. ИУ8-93

(фамилия, инициалы) (индекс группы)

Руководитель: Голованов В.С.

(фамилия, инициалы)

Москва

2012

Оглавление

Студент: Никеева А.С. ИУ8-93 1

1.Перечень сокращений 3

2.Задание 4

3.Введение 5

4.Моделирование ЛВС малого офиса 6

4.1. Физическая структура сети 6

4.2. Логическая структура сети 6

4.3. Создание виртуальной модели ЛВС 7

5.Модель угроз 8

5.1. Классификация угроз 8

5.2. Организационно-технические меры противодействия угрозам 10

6. Модель нарушителя 12

6.1. Внешний нарушитель 12

6.2. Внутренний нарушитель 12

7.Анализ безопасности ЛВС 14

7.1. Результаты сканирования АРМ. 14

7.2. Результаты сканирования Сервера. 18

7.3. Результаты сканирования Контроллера домена. 25

8.Проведение атаки на уязвимость 27

9. Заключение 30

10.Список использованных источников и литературы 31

1. Перечень сокращений

АС – автоматизированная система

КР – курсовая работа

ЛВС – локальная вычислительная сеть

НСД – несанкционированный доступ

ОС – операционная система

ПЭВМ – персональная электронная вычислительная машина

СЗИ – средство защиты информации

СУБД – система управления базами данных

ПО – программное обеспечение

АРМ – автоматизированное рабочее место

2. Задание

Создать модель автоматизированной системы, представляющей собой ЛВС малого офиса (файловый сервер, контроллер домена, СУБД, АРМ, шлюз). Разработать модель угроз и модель нарушителя. Смоделировать АС при помощи средств виртуализации. Провести анализ безопасности и индуцировать атаку.

2. Введение

Автоматизированные системы, используемые на предприятиях, играют важную роль, обеспечивая экономически эффективное функционирование бизнес-процессов коммерческих и государственных структур. Автоматизированные системы используются для хранения информации, а также ее обработки и дальнейшей передачи по коммуникационным каналам. В связи с этим особую актуальность имеет вопрос, связанный с защитой автоматизированных систем. Элементами уязвимости автоматизированных систем являются: некорректная архитектура служб сети этих систем, применение программного обеспечения без возможности обновления, применение простых паролей, а также полное отсутствие средств, направленных на защиту информационных данных.

Для объективной оценки текущего уровня безопасности автоматизированных систем применяется аудит информационной безопасности. Можно выделить следующие основные виды аудита безопасности:

1. Инструментальный анализ защищенности автоматизированной системы, направленный на выявление и устранение уязвимостей программного и аппаратного обеспечения системы.

2. Оценка автоматизированных систем на предмет соответствия рекомендациям международных стандартов и требованиям руководящих документов ФСТЭК, ГОСТов, отраслевых стандартов.

3. Экспертный аудит защищенности автоматизированной системы, в процессе проведения которого должны быть выявлены недостатки в системе защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования.

Целью данной курсовой работы является проведение аудита безопасности автоматизированной системы. Исходя из поставленной цели, можно сформулировать следующие задачи:

1. Смоделировать АС с учётом данных, указанных в задании;

2. Провести анализ безопасности АС и привести список существующих уязвимостей;

3. На основе полученного списка уязвимостей осуществить информационную атаку;

4. Разработать рекомендации по повышению уровня защиты АС.