- •Отчет о выполнении курсового проекта
- •Оглавление
- •Общие сведения.
- •Перечень конфиденциальных данных
- •Карта информационных потоков
- •Программно-аппаратные средства и комплексы обеспечения безопасности информации
- •Организационные меры обеспечения безопасности информации
- •Модель нарушителя
- •Модель внешнего нарушителя
- •Модель внутреннего нарушителя
- •Перечень угроз безопасности информации
- •Угрозы, реализуемые за счет несанкционированного доступа
- •Угрозы, реализуемые за счет непосредственного доступа
- •Угрозы, реализуемые за счет удаленного доступа
- •Сценарии проведения испытаний стойкости бизнес-модели к злонамеренному воздействию
- •Сценарии проверки корректности и достаточности систем и средств обеспечения информационной безопасности
Сценарии проведения испытаний стойкости бизнес-модели к злонамеренному воздействию
Недобросовестный клиент. В целях нарушения работы компании, подставное лицо или группа пытаются загрузить систему ложными вызовами такси. Во избежание подобных действий, сохраняются номера телефонов текущих заказов, и не допускается появление двух заказов с одного номера. При распределенной реализации атака выявляется при анализе статистики, после чего номера регистрируется номера нарушителей, впоследствии политика приема заказов с них изменяется.
Недобросовестный call-центр. В целях нарушения работы компании или получения дополнительной прибыли, call-центр может перенаправлять информацию о заказах компании третьим лицам, вместо помещения их в базу данных текущих заказов компании. Для предотвращения подобных действий стоит поручать доверенным лицам проверять корректность работы call-центра, делая пробные заказы.
Кража (утрата) мобильного устройства связи с сервером водителем. Нарушитель, завладевший мобильным устройством, получает доступ к текущим заказом в районе его нахождения. В целях предотвращения исполнения заказа нарушителем необходим ввод пароля для приёма заказа. Остальная информация, доступная в таком случае нарушителю, не является критичной.
Недобросовестный водитель. В целях предотвращения осуществления перевозок пассажиров без регистрации перевозки водителем, необходимо вести статистику по количеству обслуженных клиентов водителями в течение смены, отказов от заказа, свободного от перевозок времени.
Перехват трафика. Для получения информации о работе компании противник перехватывает трафик. Атака предотвращается путем шифрования всех передаваемых по неконтролируемым каналам конфиденциальных данных.
Сценарии проверки корректности и достаточности систем и средств обеспечения информационной безопасности
Проверка настроек фильтрации входящего сетевого трафика на межсетевом экране, путем проведения атак типа «DDoS» на веб сервер и почтовый сервер, расположенные в демилитаризованной зоне, и доступные из внешней сети интернет.
Проверка производится со стороны внешнего периметра, соответствуя модели внешнего нарушителя.
Тестирование заключается в отправке большого числа SYN-пакетов по протоколу TCP на сетевые порты 80, 8080, 25, 110 веб сервера и почтового сервера с целью затруднения или отказа доступа к сетевым ресурсам компании легитимных пользователей.
Проверка сложности установленных паролей на учетных записях пользователей и администраторов ИВС.
Проверка производится со стороны внутреннего периметра, соответствуя модели внутреннего нарушителя.
Тестирование заключается в подборке паролей к учетным записям пользователей или администраторов при помощи специализированных средств, позволяющих выполнять атаки типа «bruteforce».
Проверка веб сервера на возможность внедрения SQL-кода.
Проверка производится со стороны внешнего периметра, соответствуя модели внешнего нарушителя.
Тестирование заключается в проверке сайта, размещенного на веб сервере, на возможность проведения атаки типа внедрение SQL-кода, как вручную, так и при помощи специализированных программных средств.
Проверка веб сервера на возможность размещения на нем вредоносных скриптов.
Проверка производится со стороны внешнего периметра, соответствуя модели внешнего нарушителя.
Тестирование заключается в проверке сайта, размещенного на веб сервере, на возможность проведения атаки типа «XSS», как вручную, так и при помощи специализированных программных средств.
Проверка фильтрации спама на внешней границе ИВС компании.
Проверка производится со стороны внешнего периметра, соответствуя модели внешнего нарушителя.
Тестирование проводится путем рассылки анонимных почтовых сообщений на множество почтовых адресов зарегистрированных на почтовом сервере компании.
Проверка фильтрации ICMP пакетов на межсетевом экране.
Проверка производится как со стороны внешнего, так и стороны внутреннего периметров.
Тестирование производится отправкой ICMP Echo-Request из внешнего сегмента сети во внутренний и наоборот. Результаты тестирования зависят от получения или не получения ICMP Echo-Reply. Не фильтруемый протокол ICMP позволяет внутреннему злоумышленнику создать ICMP туннель через межсетевой экран.
Проверка возможности изменения ARP-таблицы на маршрутизаторе.
Проверка производится со стороны внутреннего периметра, соответствуя модели внутреннего нарушителя.
Тестирование проводится путем попытки изменения в ARP таблице адреса жертвы на адрес злоумышленника. Уязвимость в ARP протоколе дает возможность для проведения MITM-атаки.
Проверка возможности установки на АРМ пользователя программ, которые устанавливают потайной ход на компьютере пользователя, что позволяет злоумышленнику удаленно проникать и управлять таким компьютером.
Проверка производится со стороны внутреннего периметра, соответствуя модели внутреннего нарушителя.
Тестирование производится путем использования специализированного ПО, позволяющего создавать «бэкдоры» на компьютере легитимного пользователя.
Проверка ПО, установленного на АРМ пользователях на наличие известных уязвимостей, описанных в базах данных уязвимостей (таких как NVD).
Проверка производится со стороны внутреннего периметра, соответствуя модели внутреннего нарушителя.
Тестирование производится при помощи специализированных программных средств (nessus, maxpatrol). Подтверждение наличия выявленной уязвимости выполняется, в зависимости от найденной уязвимости, вручную или при помощи использования уже созданных эксплоитов.
Проверка ПО, установленного на серверах, сетевых устройствах маршрутизации и межсетевого экранирования компании на наличие известных уязвимостей, описанных в базах данных уязвимостей (таких как NVD).
Проверка производится как со стороны внешнего, так и стороны внутреннего периметров.
Тестирование производится при помощи специализированных программных средств (nessus, maxpatrol). Подтверждение наличия выявленной уязвимости выполняется, в зависимости от найденной уязвимости, вручную или при помощи использования уже созданных эксплоитов.
Выводы
Цель данной работы – описание решения автоматизации обработки и выполнения заказов на пассажирские перевозки службой такси, а также системы защиты информации для данной схемы автоматизации.
В результате работы составлен план бизнес-процесса обработки и выполнения заказов службы такси, предложен вариант автоматизированной системы, реализующей этот процесс, с описанием ее функционирования и подсистемы защиты информации. Описана схема технических средств системы, информационные потоки.
В рассматриваемой системе обрабатываются персональные данные и информация конфиденциального характера, ценная для бизнеса. С целью предотвращения получения злоумышленником информации, нарушения ее целостности или доступности предусматривается система защиты информации. Составлены перечень угроз безопасности информации и модель нарушителя. Описаны технические средства и организационные меры, обеспечивающие безопасность информации в системе.
Приведены тесты для проверки устойчивости бизнес-процесса к злоумышленному воздействию при наличии системы защиты информации и тесты проверки корректности и достаточности систем и средств обеспечения информационной безопасности.