 |
|
БРЯНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
Содержание основной части пояснительной записки
Основная часть пояснительной записки должна содержать материал, на основании которого проводится проектирование. Её рекомендуется разбить на следующие разделы:
1. Описание информационной системы
2. Анализ угроз информационной безопасности
3. Разработка политики информациооной безопасности информации в ИС
4. Анализ эффективности системы защиты информации.
В разделе “Описание информационной системы” должно быть представлено:
1. Цель, задачи ИС предприятия. Информационные технологии, применяемые для их реализации.
2. Анализ технической оснащенности ИС предприятия.
3. Анализ информации, циркулирующий на предприятии.
4. Информационная политика предприятия.
При описании информационной системы предприятия необходимо указать полное название предприятия, его основную форму деятельности, приблизительную величину доходов, цель создания ИС, т.е. цель информатизации деятельности предприятия. А так же, необходимо перечислить задачи информатизации. Например:
“Предприятие ООО «Три слона» является предприятием оптово-розничной торговли и объединят сеть продуктовых магазинов под общим названием «Слонёнок»… Для обеспечения непрерывности работы магазинов и качества обслуживания покупателей развёрнута распределённая база данных… В магазинах установлены терминалы с фискальным учётом... ”
Анализ технической оснащённости включает схему ЛВС и технический паспорт объекта. Схема ЛВС выполняется с указанием размещения АРМ, серверов, коммутационного оборудования, линий связи, электроснабжения, заземления, сигнализации, оргтехники и других элементов информационной системы предприятия. Технический паспорт представляет собой таблицу, форма которой представлена в таблице 1:
Таблица 1.Технический паспорт объекта
| Наименование объекта | (Название предприятия) | |
| Этаж (этажей в многоэтажном здании) | ||
| Наличие комнат с неконтролируемым доступом | Сколько? Какие? | |
| Порядок доступа в помещения | Какие комнаты и как сдаются по охрану? | |
| Наличие других предприятий | Да/нет? | |
| Состав технических средств | ||
| Количество и тех. характеристики серверов | Тип процессора/мат. платы/объём ОЗУ/объём жесткого диска/ОС | |
| Количество и характеристики АРМ | Тип процессора/мат. платы/объём ОЗУ/объём жесткого диска/монитор/ОС | |
| Количество и характеристики терминалов | Тип процессора/мат. платы/объём ОЗУ/объём жесткого диска/монитор/ОС | |
| Количество коммутаторов ЛВС | производитель/модель/пропускная способность/количество портов | |
| Выход в Internet | ||
| Тип подключения | (Dial-Up/ADSL/коммутированный канал)/скорость передачи | |
| Коммуникационное оборудование | производитель/модель | |
| Коммуникационное ПО | Шлюз, сетевой экран | |
| Характеристика ПО | ||
| Информационное ПО | ||
| Тип ПО | Сетевое? (да/нет)/количество мест | |
| Структура ПО (Клиент-сервер/Файл-сервер) | Производитель/версия | |
| Объем базы данных | ||
| Дополнительное ПО | ||
| Наименование | Назначение/версия/сетевое? (да/нет) | |
| Дополнительное оборудование | ||
| Факсы | Производитель/модель/количество | |
| Факс-модемы (не используемые для Internet) | Производитель/модель/количество | |
| Внутренняя АТС | Производитель/модель/количество | |
| Телефоны | Производитель/модель/количество | |
Графы, которые являются неактуальными для данного предприятия, разрешается не заполнять. Графы для описания различных моделей устройств или программного обеспечения должны повторятся.
Анализ информации циркулирующей в ИС предприятии представляется в виде таблицы 2.
Таблица 2. Анализ информации в ИС
| № п.п. | Тип информации | Размещение |
В графе 2 “Тип информации” таблицы 2 необходимо указать информационных ресурс (ИР) и характер информации, которая в нём храниться. Например: “База данных продуктов”, “Каталог с текстовыми документами” и т.д. В графе 3 “Размещение” необходимо указывать где размещён ИР. Например: “Сервер баз данных”, “Файловый сервер”, “АРМ менеджера” и т.п.
Во второй части курсовой работы необходимо провести анализ угроз информационной безопасности (УИБ). Результатом анализа является таблица, форма которой представлена в таб. 3.
Таблица 3. Анализ угроз информационной безопасности
| № ИР | Угроза информационной безопасности | Степень опасности | Уровень потерь |
В графе 1 “№ ИР” (номер информационного ресурса) указывается номер ИР в соответствии с таб. 2. В графе 2 “Угроза информационной безопасности” необходимо указать перечень угроз, которые могут угрожать данному ресурсу. Например: “Несанкционированный доступ”, “Утеря”, “Воздействие вирусов” и т.п. Каждую угрозу необходимо отделять новой строкой и пронумеровать. Номер каждой УИБ должен содержать номер ИР и номер угрозы в списке по порядку, например: 1.1, 1.2, и т.д. Угрозы могут повторяться для разных ресурсов.
Степень опасности каждой угрозы оценивается методом экспертных оценок способом неформального оценивания. В качестве эксперта выступает студент. Для оценки степени опасности необходимо определить значения, например: “не опасно”, “опасно”, “очень опасно”.
Уровень потерь указывается для всего ресурса целиком. Измеряться он должен в рублях или в любой другой валюте.
После проведения анализа угроз необходимо определить методы защиты информации. Их необходимо представить в виде таблицы 4.
| № п.п. | № УИБ | Мероприятия по защите |
В графе 2 “№ УИБ” необходимо указать номер угрозы в соответствии с номером, указанным в графе 2 таб. 3. В графе 3 “Мероприятия по защите” указываются мероприятии, которые предполагается провести для нейтрализации данной угрозы. В таблице необходимо указывать принципиальные мероприятия без подбора аппаратуры и программных средств. Например: “Разграничение доступа к ресурсу”, “Организация учета носителей”, “Обучение персонала” и т.д.
В третьей части работы необходимо провести подбор технических и программных средств защиты информации, а также, разработать политику информационной безопасности.
Подбор технических средств (ТС) производиться студентов исходя из его знаний опыта и предложений на рынке. Для каждого подобранного средства необходимо указывать его стоимость, а так же затраты на его внедрение.
При разработке политики информационной безопасности (ПИБ) должны быть решены следующие вопросы:
1. Определён перечень информации подлежащей защите.
2. Определён тип ПИБ (избирательный, мандатный, ролевой).
3. Определены категории пользователей, доступные им ресурсы ИС и порядок доступа к этим ресурсам.
4. Разработан порядок применения ТС.
Перечни информации подлежащей защиты формируются на основании законодательства РФ и реальной необходимости. Основой для них должен послужить анализ информации циркулирующей на объекте защиты.
Категории пользователей и тип ПИБ определяются исходя из структуры ИС, должностных обязанностей работников, порядка доступа к ресурсам и методов защиты информации, представленных в таблице 4. Порядок применения ТС разрабатывается на основе методов защиты информации (таблица 4), назначения и функциональных возможностей выбранных ТС. Необходимо, так же, представить схему их размещения. Схема размещения ТС должна повторять схему ЛВС с указанием на ней подобранных средств защиты информации.
В конце основной части курсовой работы необходимо произвести приближенный анализ эффективности системы. Стоимость всей системы защиты информации не должна превышать 10% от доходов предприятия. А стоимость каждого технического средства – 10% от суммы ущерба, который может нанести реализация угрозы, нейтрализуемая этим средством.
В тексте основной части ПЗ необходимо отразить только основные положения ПИБ, указанные выше. Полнотекстный вариант документа, отражающего ПИБ, рекомендуется приводить в приложении.
Содержание практической части
В практической части студентам необходимо реализовать шаговую функцию хеширования в программной реализации. Так же необходимо представить её структуру. Структура программы представляет собой схему, в которой обозначены все поля и связи между ними.
При описании приложения необходимо указать цель автоматизации данной области применения и задачи, которые решаются при разработке программы, представить структурную и функциональную схему программы и их описание.
Структурная схема представляет собой совокупность элементарных звеньев объекта и связей между ними. Она предназначена для отражения общей структуры программы, то есть его основных блоков, узлов, частей и главных связей между ними. Из структурной схемы должно быть понятно, зачем нужна данная программа и что она делает в основных режимах работы, как взаимодействуют её части. Обозначение структурной схемы могут быть достаточно свободными, хотя некоторые общепринятые правил необходимо придерживаться. Элементарные звенья изображаются прямоугольниками, а связи между ними – сплошными линиями со стрелками, показывающими направление действия звена.
Функциональная схема дает возможность понять всю логику работы программы, все её отличия от других подобных программ. Что касается обозначений, используемых на функциональных схемах, то они не стандартизованы. При разработке функциональных схем пользуются теми же правилами, что и при разработке структурных.
В данном КП студентам необходимо представить в виде хешфункции какое-либо сообщение, введенное с клавиатуры в поле программы. Далее пользователь должен ввести пароль, и уже с помощью этого пароля сообщение преобразуется в хешфукцию, которая в свою очередь так же должна выводиться в отдельном поле программы.
Пароль является секретной информацией. Пароль не хранится и не передаётся в открытом виде
Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения.
Хеширование применяется для сравнения данных: если у двух массивов (сообщений) хеш-коды разные, массивы гарантированно различаются; если одинаковые – массивы, скорее всего, одинаковы. В общем случае однозначного соответствия между исходными данными и хеш-кодом нет в силу того, что количество значений хеш-функций меньше, чем вариантов входного массива; существует множество массивов, дающих одинаковые хеш-коды — так называемые коллизии. Вероятность возникновения коллизий играет немаловажную роль в оценке качества хеш-функций.
Существует множество алгоритмов хеширования с различными характеристиками (разрядность, вычислительная сложность, криптостойкость и т. п.). Выбор той или иной хеш-функции определяется спецификой решаемой задачи. Простейшими примером хеш-функции может служить контрольная сумма.
Таблица 1. Варианты шаговых функций сжатия
| 
| 
|
| 
| 
|
| 
| 
|
| 
| 
|
Для реализации в КП предлагаются хэш-функции на основе блочных симметричных алгоритмов шифрования. Перечень их шаговых функций сжатия указан в таб. 1.
В данной таблице E – обозначает криптографическое преобразование, т.е. процедуру шифрования. Алгоритмы шифрования, разрешённые для реализации в КР, приведены в прил. 3. X – блок хэш-функции. Y – инициализирующий вектор.
Хэш-функция является многоитерационным действием. Для вычисления хэш-кода, по какому либо сообщению, его разбивают на блоки равной длины (X). Затем последовательно над каждым блоком выполняются действия, описанные в шаговой функции сжатия.
Например, вычисление хэш-кода для шаговой функции сжатия, представленной в левой верхней ячейке таб. 1, происходит следующим образом. Вначале текст сообщения, по которому вычисляется хэш, разбивается на блоки одинаковой длины. Поскольку в курсовой работе представлены хэш-функции на основе блочных алгоритмов шифрования, то длина блока хэш-функции должна быть равна длине блока шифра. Как правило, длина блока равна 64 или 128 бит.
Затем блок шифруется соответствующим алгоритмом, причём в качестве ключа используется Y. Y – является инициализирующим вектором. Для первого блока это будет пароль пользователя.
Последним действием необходимо произвести побитовое сложение по модулю 2, т.е. операцию XOR, исходного блока текста X и результата шифрования. Затем перейти к обработке следующего блока. Действия над вторым и последующими блоками ничем не отличаются от действий над первым. При этом в качестве Y, т.е. в качестве инициализирующего вектора, используется результат действий над первым, т.е. предыдущим блоком.
Функции сжатия, представленные во втором столбце таб. 1, отличаются тем, что в качестве ключа шифрования используется блок хэшируемого текста (X), а шифруется всегда инициализирующий вектор (Y).
При реализации программы, хэш-функция может потребоваться в трёх случаях – при регистрации или перерегистрации пользователя, при идентификации пользователя и при выработке хэш-кода по строке журнала безопасности. Во всех случаях, при шаговой функции свёртки над первым блоком, необходимо использовать пароль пользователя. Пароль пользователя рассматривается, как истинная случайная последовательность. Причём он должен быть такой же длины, как блок хэш-функции или ключ шифрования используемого алгоритма шифрования, т.е. 64, 128, 256 и т.д. бит. Такую последовательность можно получить, введя с клавиатуры не менее 8, 16, 32 и т.д. символов. Но такие пароли труднозапоминаемы. А пароль длиной 32 символа практически запомнить нельзя. С другой стороны, пароли меньшей длины снижают стойкость пароля.
Частично эту проблему можно решить, используя технологию “подсаливания”. Данная технология используется для шифрования каких либо сообщений. Суть этой технологии сводится к следующему: пользователь вводит короткий “пароль”, используемый в качестве ключа шифрования. Недостающие символы берутся из псевдослучайной последовательности, длиною равной длине ключа. Затем последовательность пристыковывается к сообщению.
В КП требуется реализовать следующий механизм дополнения пароля.
– Во-первых, принять у пользователя пароль.
– Во-вторых, сгенерировать псевдослучайную последовательность (ПСП).
– В-третьих, дополнить пароль символами последовательности.
– В-четвёртых, выработать по полученной строке хэш-код.
Данная процедура должна удовлетворять одному очень важному условию: каждый раз при введении одного и того же пароля, генерировать одну и ту же строку. Для соблюдения данного условия необходимо разработать процедуру, которая контролировала ввод пароля с клавиатуры: убирала “лишние” пробелы, контролировать кодировку и т.п.
В качестве генератора псевдослучайной последовательности можно использовать алгоритм шифрования, а введённый пользователем пароль – в качестве ключа шифрования, шифруя одно и то же сообщение – инициализирующей вектор. Выработка ПСП будет выглядеть следующим образом (рис. 1).
Первым действием пароль пользователя, введённый с клавиатуры, дополняется нулями до длины ключа шифрования. Далее производится шифрование инициализирующего вектора. В качестве вектора можно использовать любую константу. В принципе, допускается использовать в качестве константы последовательность “0000000…” или “111111…”. Но рекомендуется использовать какие-нибудь числа. Например, первые биты числа “π” или “e”. В конце концов, данную константу можно задать самому, например последовательностью “01010101…”. Главное требование к этому числу, в данном случае, – оно ни когда не должен меняться.
После шифрования образуется псевдослучайная последовательность длиной равной длине блока хэш-функции. Эту последовательность и надо применять для дополнения первоначального пароля, начиная с её первого символа.
Полученная строка (“пароль” + “символы ПСП”) является дополненным паролем пользователя. По ней вырабатывается хэш-код, и выводится в поле программы.
Выработка хэш-функции по введенному сообщению является более простой операцией. Все данные из поля необходимо конкатенировать. Если получившаяся строка не кратна длине блока хэш-функции или короче его, то данную строку дополняют “0”. Далее по полученной строке вырабатывается хэш-код, в соответствии с выбранной шаговой функцией сжатия. Пароль пользователя используется либо как ключ шифрования, либо как инициализирующий вектор. Это зависит от выбранной шаговой функции свёртки. Необходимо заметить, что в данной хэш-функции используется уже дополненный пароль пользователя. Т.е. после проведения успешной процедуры шифрования дополненный пароль необходимо сохранять на протяжении всего сеанса работы с программой.
В пояснительной записке КП, при описании программы функции хеширования необходимо: описать алгоритм шифрования, реализацию шаговой функции сжатия.
Последняя глава ПЗ должна быть посвящена методике работы с программой. Т.е. эта глава является пользовательской инструкцией.
Содержание графической части
Презентациядолжна содержать:
1. Титульный лист.
2. Основную часть презентации.
3. Содержание.
Титульный лист, представляет собой копию титульного листа пояснительной записки.
В основной части презентации необходимо разместить слайды, содержащие основные сведенья о предприятии, схемы, примеры расчетов и другую информацию, иллюстрирующую доклад студента во время защиты. Рекомендуется избегать текстовых слайдов. Не забывайте, что чертёж или схема– это “язык инженера”. Схемы и чертежи, представленные в пояснительной записке и презентации могут повторяться. Рекомендуется оформлять слайды презентации в едином стиле. Однако следует избегать насыщения слайдов средствами мультимедиа: анимацией, звуками, сложными переходами и т.п.
Каждый лист, за исключением титульного, должен быть пронумерован и озаглавлен. В содержании должны быть указаны заголовки слайдов и их номер. Рекомендуется создать ссылку из содержания на каждый слайд. Титульный лист в содержании не указывается. Слайд содержания должен заканчивать презентацию. Специальные слайды окончания, содержащие текст “Спасибо за внимание…”, “До свиданья…” и т.п. создавать запрещается!
Список литературы
1. ГОСТ Р ИСО/МЭК 13335-2006 Информационные технологии. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
2. Юркова Т.И., Юрков С.В. Экономика предприятия: Конспект лекций; ГАЦМиЗ. – Красноярск, 2001. – 109 с.
3. В.А. Герасименко, А.А. Малюк Основы защиты информации М: ООО “Инкомбук”, 1995 – 537 с.
4. ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию
5. ГОСТ Р ИСО/МЭК 17799-2005 Практические правила управления информационной безопасностью
Список сокращений
АРМ – автоматизированное рабочее место
ИР – информационный ресурс
ИС – информационная система
ЛВС – локальная вычислительная сеть
НСД – несанкционированный доступ
ОС – операционная система
ПЗ – пояснительная записка
ПИБ – политики информационной безопасности
ПО – программное обеспечение
ТС – технические средства
УИБ – угроза информационной безопасности
Приложение № 1
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
БРЯНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ
УНИВЕРСИТЕТ
Кафедра
" Компьютерные технологии и системы "
Курсовой проект
РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ …
(название предприятия)
по дисциплине:
"ТЕОРЕТИЧЕСКИЕ ОСНОВЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ"
РуководительГрабежов И.Е.
Студент гр. 10-БАС Иванов И.И.
Брянск 2013
Приложение №2
ЗАДАНИЕ
на курсовой проект по дисциплине
"Теоретические основы компьютерной безопасности"
Студент_______________________________Группа____________
Тема____________________________________________________
________________________________________________________
_________________________________________________________
_________________________________________________________
Практическое задание_______________________________________
__________________________________________________________
__________________________________________________________