Geum.ru

Анализ угроз и разработка политики безопасности информационной системы отделения Пенсионного фонда Российской Федерации

Курсовой проект - Компьютеры, программирование

Другие курсовые по предмету Компьютеры, программирование

° услуг компьютер должен быть присоединен к Интернет по протоколу TCP/IP (протокол управления передачей / протокол Internet) Transmission Control Protocol / Internet Protocol. Группа протоколов TCP предназначена для контроля передачи и целостности передаваемой информации. Протокол IP описывает формат пакета данных, передаваемых по сети и принципы адресации в Интернет. Уязвимость определяется ошибками содержимого пакета при передачи.

В TCP/IP для проверки правильности пакета использует контрольную сумму. Контрольная сумма - это число, помещаемое в дейтаграмму и вычисляемое по специальному алгоритму.

Протокол POP3 (Post Office Protocol) предназначен для организации динамического доступа рабочих станций к почтовому серверу. Протокол POP3 на транспортном уровне использует TCP-соединение. Уязвимостью протокола POP3 считается - невозможность выборочного приема клиентом сообщения с почтового сервера.

Чтобы обеспечить безопасность передачи данных необходимо защищать каналы связи следующими способами: защита сообщений от несанкционированного доступа и подтверждение целостности полученных по каналам связи. Уязвимость при огромном количестве передачи сообщений, снижается скорость передачи данных.

Передача данных осуществляется по каналам и линиям связи. С помощью информационно логической модели ИС (Приложение А) можно наблюдать распределение данных.

 

Таблица 3 - Информационно-технологическая инфраструктура

№Объект защитыУровеньУязвимости1.Линии связи Аппаратные средствафизическийНезащищенность от помех2.ШлюзСетевойМедленная передачаМаршрутизаторыЗависят от использу-емого протоколаКонцентраторыПри попытке одновременной передачи данных из двух узлов логического сегмента возникает коллизия.3.Почтовые программные средстваСетевых приложенийПрием и передача сообщений Протокол POP3 может только считывать либо доставлять почту, обработка данных происходит на АРМ.4.ОСОперационных системаСистема ввода вывода5.БДСистем управления базами данных (СУБД)Пароли, данные, нарушение конфиденциальности6.Процесс назначения на пенсиюБизнес-процессов организацииЧувствительной информация2. Перечень и анализ угроз

 

Для обеспечения информационной безопасности отделения Пензенского Фонда РФ необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности госоргана. Описание каждой угрозы анализируем с помощью модели угроз, включающую:

  1. нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
  2. объекты нападений;
  3. тип потери (конфиденциальность, целостность, доступность и т.д.);
  4. масштаб ущерба;
  5. источники угрозы. Для источников угроз людей модель нарушителя должна включать:
  6. указание их опыта,
  7. указание знаний,
  8. указание доступных ресурсов, необходимых для реализации угрозы,
  9. возможную мотивацию их действий.

Список угроз из части 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом:

  1. землетрясение;
  2. наводнение;
  3. ураган;
  4. молния;
  5. промышленная деятельность;
  6. бомбовая атака;
  7. использование оружия;
  8. пожар (огонь);
  9. преднамеренное повреждение;
  10. авария источника мощности;
  11. авария в подаче воды;
  12. авария воздушного кондиционирования;
  13. неисправности аппаратных средств;
  14. колебание мощности;
  15. экстремальные значения температуры и влажности;
  16. пыль;
  17. электромагнитное излучение;
  18. кража;
  19. неавторизованное использование среды хранения;
  20. износ среды хранения;
  21. операционная ошибка персонала;
  22. ошибка технического обслуживания;
  23. авария программного обеспечения;
  24. использование программного обеспечения неавторизованными пользователями;
  25. использование программного обеспечения неавторизованным способом;
  26. подделка идентификатора пользователя;
  27. нелегальное использование программного обеспечения;
  28. вредоносное программное обеспечение;
  29. нелегальный импорт/экспорт программного обеспечения;
  30. доступ к сети неавторизованных пользователей;
  31. ошибка операционного персонала;
  32. ошибка технического обслуживания;
  33. техническая неисправность компонентов сети;
  34. ошибки при передаче;
  35. повреждения в линиях связи;
  36. перегрузка трафика;
  37. перехват;
  38. проникновение в коммуникации;
  39. ошибочная маршрутизация сообщений;
  40. повторная маршрутизация сообщений;
  41. отрицание;
  42. неисправность услуг связи (то есть, услуг сети);
  43. ошибки пользователя;
  44. неправильное использование ресурсов;
  45. дефицит персонала.

Анализ каждой угрозы.

Землетрясение, наводнение, ураган и молнию не имеет смысла рассматривать подробно по модели, т.к. возможность их появления мало-вероятная. Тем не менее, в случае наводнения госучреждение не пострадает, потому что находится на возвышенной местности (недалеко от Западной Поляны), относительно центра города и других спальных районов. Географическое положение г. Пенза исключает возможность землетрясения. Ураган особых последствий за собой не повлечет, если окна будут закрыты. По неосторожности (если в открытую форточку ворвется ветер) можно потерять время на наведение порядка в разбросанных бумагах. В случае удара молнии возникнет пожар. Для избежания подобной катастрофической ситуации необходимо устанавливать громоотвод. У?/p>