- •Отчет о выполнении курсового проекта
- •Введение
- •Описание бизнес-процесса. Постановка задачи
- •Региональная специфика
- •Описание технологического процесса
- •Модули и компоненты, составляющие технологический процесс
- •Карта информационных потоков
- •Модель нарушителя информационной безопасности
- •Угрозы и уязвимости для функционирования технологического и бизнес-процесса
- •Возможные атаки на рассматриваемую систему
- •Сравнительная характеристика элементов технологического решения и их аналогов
- •Внутренняя сеть компании
- •Подсистема обеспечения информационной безопасности
- •Умная атс с фильтрацией
- •Банк-эквайер
- •База данных
- •Шлюз сотового оператора и атс телефонной линии общего пользования.
- •Внутренняя вычислительная сеть филиалов магазина
- •Оплата налогов, пошлин и услуг через банк
- •Разграничение доступа
- •Требования закона «о персональных данных»
- •Сценарии тестирования системы
- •Нагрузочное тестирование
- •Тестирование подсистемы обеспечения иб
- •Организационно-технические меры, направленные на повышение уровня защищенности и увеличение эффективности
- •Заключение
- •Заключение о работе группы
_ _______________________________________________________________________________________________
Факультет
«Кибернетика и информационная безопасность»
________________________________________________________________________________________________
Отчет о выполнении курсового проекта
«Продажа товаров в сети розничных магазинов в Курске»
Работу выполнили:
Липсюк Сергей, Б9-04
Макрушин Денис, Б9-03
Шамшина Елена, Б9-02
Зайцев Антон, Б9-01
Москва 2011
Реферат
Отчет 48 с., 1 ч., 8 рис., 12 табл.
БИЗНЕС-ПРОЦЕСС, РОЗНИЧНАЯ ТОРГОВЛЯ, НАРУШИТЕЛЬ, УГРОЗА, УЯЗВИМОСТЬ, ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ, ТЕСТИРОВАНИЕ, РЕЗЕРВИРОВАНИЕ, ОТКАЗОУСТОЙЧИВОСТЬ, АТАКИ, ИНФОРМАЦИОННЫЕ ПОТОКИ.
Объектом исследования является корпоративная инфраструктура сети магазинов розничной торговли в городе Курске.
Цель работы - построить модель технологического процесса с учетом систем и средств обеспечения сетевой информационной безопасности.
Для достижения поставленной цели рассматриваются модули и компоненты, составляющие технологический процесс, информационные потоки, модель нарушителей информационной безопасности, угрозы и уязвимости для функционирования технологического процесса, проводится сравнительная характеристика программного обеспечения и оборудования для реализации технологического процесса. При разработке системы учитывались требования Федерального закона «О персональных данных». Была рассмотрена региональная специфика города Курска, в котором планируется внедрение разработанной системы.
В результате работы была разработана модель технологического процесса с учетом подсистемы обеспечения сетевой информационной безопасности, а также обеспечивающая отказоустойчивость и возможность резервирования. Были предложены варианты тестирования данной системы, организационно-технические меры для повышения уровня защищенности.
Оглавление
Введение 6
1. Описание бизнес-процесса. Постановка задачи 7
2 Региональная специфика 9
3 Описание технологического процесса 12
3.1 Модули и компоненты, составляющие технологический процесс 12
3.2 Карта информационных потоков 14
3.3 Модель нарушителя информационной безопасности 18
3.4 Угрозы и уязвимости для функционирования технологического и бизнес-процесса 21
3.5 Возможные атаки на рассматриваемую систему 23
4 Сравнительная характеристика элементов технологического решения и их аналогов 25
5 Внутренняя сеть компании 28
6 Подсистема обеспечения информационной безопасности 32
7 Оплата налогов, пошлин и услуг через банк 35
8 Разграничение доступа 35
9 Требования закона «О персональных данных» 41
10 Сценарии тестирования системы 42
10.1 Нагрузочное тестирование 42
10.2 Тестирование подсистемы обеспечения ИБ 42
11 Организационно-технические меры, направленные на повышение уровня защищенности и увеличение эффективности 44
Заключение 45
Заключение о работе группы 46
Термины и определения
АТС – Автоматическая телефонная станция – устройство, автоматически передающее сигнал вызова от одного телефонного аппарата к другому.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
Банк-эквайер – банк, осуществляющий прием оплаты товара с помощью платежных карт посредством установки платежного терминала (POS-терминала) на стороне обслуживаемого магазина.
Ведение журнала событий (логирование) – процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл).
Вредоносная программа – программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного владельцем использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ, путем копирования, искажения, удаления или подмены информации.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и ТС, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таки средств.
Кейлоггер – программа, предназначенная для перехвата кодов нажатых на клавиатуре клавиш.
Маршрутизатор – сетевое устройство, пересылающее пакеты данных между различными сегментами сети и принимающее решения на основании информации о топологии сети и определённых правил, заданных администратором.
Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз – перечень возможных угроз. Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Нагрузочное тестирование – определение или сбор показателей производительности и времени отклика программно-технической системы или устройства в ответ на внешний запрос с целью установления соответствия требованиям, предъявляемым к данной системе (устройству).
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
СКЗИ – Средство криптографической защиты информации – средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Социальная инженерия – это метод управления действиями человека без использования технических средств.
СУБД – Система управления базами данных – совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных.
Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уязвимость ‑ Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
ARP - Address Resolution Protocol - протокол низкого уровня, предназначенный для определения адреса канального уровня по известному адресу сетевого уровня.
DoS-атака (Denial of Service) – атака типа «отказ в обслуживании».
DDoS-атака (Distributed Denial of Service) – распределенная атака типа «отказ в обслуживании».
DNS – Domain Name System – компьютерная распределённая система для получения информации о доменах.
IPS – Intrusion Prevention System (система предотвращения вторжений) – программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
MAC-адрес (Media Access Control) - уникальный идентификатор, присваиваемый каждой единице оборудования компьютерных сетей.
POS-терминал – торговый терминал (программно-аппаратный комплекс для торговли или АРМ кассира), установленный на месте, где кассир осуществляет прием платежей от клиентов.
Spoofing - метод атаки, связанный с подменой доменных имен.