Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, РАЗНОЕ

Разработка инструментария для реализации процесса оперативной оценки потенциальных уязвимостей информационной системы коммерческой организации ООО «ТОНАР»

irina_krut2020 1475 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 59 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 12.03.2020
Ключевые слова: информационная безопасность, информационная система, аудит безопасности, программное обеспечение, уязвимость, правила описания, оценка уровня риска информационной безопасности, метод CVSS, нейронные сети, нулевой день, предсказание уровня опасности. В данной дипломной работе представлена разработка инструментария, по оценке потенциальных уязвимостей информационной системы коммерческой организации. Оценка безопасности предназначена для анализа текущего состояния защищенности информации предприятия, а также полноценного функционирования и безопасной работы сотрудников, в том числе обеспечения безукоризненной репутации и имиджа самого предприятия.
Введение

Оценка уязвимости является неотъемлемым компонентом хорошей программы безопасности. Фактически, хорошо функционирующая система управления уязвимостями, включая тестирование и исправление, часто цитируется отраслевыми стандартами и регулирующими органами в качестве важного требования для безопасности и обязательно для соблюдения. Обеспечение информационной безопасности также, как правило, имеет большое значение не только для стратегического развития предприятия и создания основного продукта, но и для отдельных (иногда вспомогательных) направлений деятельности и бизнес-процессов, таких как коммерческие переговоры и условия контрактов, ценовая политика и т.п [1]. Информационная среда организации, вне зависимости от своего состава, должна предусматривать систему защиты. Однако затраты на обеспечение высокого уровня безопасности могут быть неоправданны. Нахождение разумного компромисса и выбор приемлемого уровня защиты при допустимых затратах является важным условием постановки задачи обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ рисков ИБ, позволяющий оценить существующий уровень защищенности ресурсов организации. Значение риска, являющееся произведением вероятности реализации угрозы по отношению к защищаемому ресурсу на ущерб от реализации данной угрозы, служит показателем полноты, комплексности и эффективности системы ИБ организации, а также позволяет выявить ее слабые места [1]. При этом возникает ряд трудностей с интерпретацией экономических показателей для области ИБ. В связи с этим, изучение данной темы представляется актуальным. Главной целью любой системы защиты является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений. Цель работы заключается в разработке инструментария для реализации процесса оперативной оценки потенциальных уязвимостей информационной системы коммерческой организации ООО «Тонар». Для достижения поставленной цели были сформулированы следующие задачи: 1. Рассмотреть существующий метод оценки уязвимостей, и недостатки, необходимости совершенствования подхода к оценке уязвимостей в информационных системах. 2. Описать актуальность применение нейронных сетей для оценки уязвимостей. 3. Разработать инструментарий для оценки уязвимостей ИС с применением нейронных сетей (обучение и тестирование модели на обучающих, тестовых данных). 4. Применить инструментария на информационной системе коммерческой организации ООО «Тонар».
Содержание

ВВЕДЕНИЕ 5 ГЛАВА 1. МЕТОД CVSS 7 1 Актуальность метода 7 1.2 Основа метода 7 1.3 Цель метода CVSS 9 1.4 Базовые показатели 9 1.5 Временные показатели 10 1.6 Контекстные показатели 11 1.7 Векторная строка 11 1.8 Уровни показателей 14 1.9 Уровень критичности оценки 16 ГЛАВА 2. НЕЙРОННЫЕ СЕТИ И ИХ ПРЕИМУЩЕСТВА ДЛЯ РЕШЕНИЯ ЗАДАЧИ ОЦЕНКИ РИСКОВ 17 1 Нейронные сети 17 2.2 Преимущества нейронных сетей 19 2.3 Области применения нейронных сетей в управлении рисками 21 ГЛАВА 3. РАЗРАБОТАННЫЙ ИНСТРУМЕНТАРИЙ 23 1 Актуальность разработанного инструментария 23 3.2 Описание разработанного инструментария 26 3.3 Обучение 31 3.4 Тестирование инструментария на известных уязвимостях ФСТЭК 34 ГЛАВА 4. АПРОБАЦИЯ ИНСТРУМЕНТАРИЯ НА ПРЕДПРИЯТИИ 40 1 Информация о предприятии 40 4.1.2 Фактическая защищенность предприятия 41 4.1.3 Инженерно-технические мероприятия 41 4.1.4 Организационные мероприятия 42 4.1.5 Правовые мероприятия 43 4.2 Практическая работа инструментария на предприятии 44 4.2.1 Уязвимость реализации интерфейса командной строки сетевой операционной системы NX-OS 44 4.2.2 Уязвимость браузера Internet Explorer 45 ГЛАВА 5. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКИЙ РАЗДЕЛ 49 1 Предполагаемые мероприятия по защите информации 49 5.2 Определение стоимости внедрения и установки оборудования 52 ГЛАВА 6. ОХРАНА ТРУДА 54 1 Микроклимат на рабочих местах 54 6.2 Искусственное освещение 54 ЗАКЛЮЧЕНИЕ 56 СПИСОК ЛИТЕРАТУРЫ 57 ПРИЛОЖЕНИЕ А 59 Инструкция пользователя 59
Список литературы

1) Баранова Е.К., Бабаш А.В. Информационная безопасность и защита информации. –М.: ИНФРА-М_РИОР, 2014. 2) 1) Торокин А.А. Инженерно-техническая защита информации: Учебное пособие. М.: Гелиос АРВ, 2010. 3) 2) Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др. Технические средства и методы защиты информации: Учебник для вузов. М.: ООО Издательство Машиностроение, 2009. 4) ГОСТ Р 56545-2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей — М.: Изд-во стандартов, 2005 - С. 39 - 109. 5) Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. - М.: Academia, 2011. Риски в современном бизнесе/ Под ред. В.Д. Шапиро. - СПб.: "Два - ТрИ", 2004. 6) Барсуков В.С., Водолазний В.В. Современные технологии безопасности. - М.: «Нолидж», 2000. - 496 с. 7) Методический документ. Регламент включения информации об уязвимостях программного обеспечения и программно-аппаратных средств в банк данных угроз безопасности информации ФСТЭК России" (утв. ФСТЭК России 26.06.2018) – М.: Омега-Л, 2018. 8) Securitylab. Полное руководство по общему стандарту оценки уязвимостей CVSS. [Электронный ресурс] Режим доступа - http://www.securitylab.ru/analytics/355336.php - Загл. с экрана. 9) Группа компаний «Тонар». Обзор предприятия. [Электронный ресурс] Режим доступа - http://www.tonar.su/- Загл. с экрана. 10) Техноком. Обзор товаров. [Электронный ресурс]: современные системы безопасности и комфорта. Режим доступа - http://техноком365.рф/videonablyudenie.html?yclid=3245970106736446555 11) Павел Велихов. Машинное обучение для понимания естественного языка // Открытые Системы. СУБД. — 2016. — № 1. — С.18–21. 12) Федеральный закон Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. N 149-ФЗ: офиц. текст по состоянию на 23 сент. 2013 года. – М.: Омега-Л, 2013. – 192 с. 13) ЭнергоВОПРОС. Тарифы на электроэнергию для населения Барнаула и Алтайского края с 1 января 2017 года. [Электронный ресурс]: сайт сервис для поиска и покупки товаров. Режим доступа - http://energovopros.ru/spravochnik/elektrosnabzhenie/tarify-na-elektroenergiju/3006/41008/ - Загл. с экрана. 14) СНиП 23-05-95. Естественное и искусственное освещение. 15) СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы.
Отрывок из работы

1 Актуальность метода В наше время актуальной становится проблема управления уязвимостями информационной системы. Различные системы оценки уязвимостей, например, CVSS, позволяют провести ранжирование уязвимостей на основании их уровней опасности. Возникает необходимость в определении целесообразности применения защитных мер и средств для устранения непропатченных уязвимостей. Для решения этой задачи предлагается использовать риск-ориентированный подход, который позволяет выбрать наиболее оптимальный способ для устранения обнаруженных уязвимостей. Риск предлагается оценивать, как комбинацию вероятности нарушения критических свойств информационного актива и величины возникающего при этом ущерба. Для расчета вероятности нарушения конфиденциальности, целостности и доступности информационного актива предлагается использовать значения базовых и временных CVSS метрик уязвимостей информационной системы. Представленный метод позволяет определить вероятностную составляющую риска без привлечения экспертов, поэтому он может быть полезен при построении автоматизированной системы оценки рисков [2]. 1.2 Основа метода Общая система оценки уязвимостей (CVSS) — это открытая основа для взаимодействия характеристики и воздействие ее уязвимости. CVSS состоит из 3 групп: базовая, временная и контекстная среды. Каждая группа производит числовой показатель-вектор в диапазоне от 0 до 10, то есть сжатое текстовое представление, которое отражает используемые оценки и характеристики, чтобы получить результат. Данный метод предлагает следующие преимущества: 1. Стандартизированные оценки уязвимости: при организации нормализует оценки уязвимости во всех своих программных и аппаратных платформах; 2. Открытая структура: CVSS, каждый может увидеть индивидуальные особенности, используемые для проверки, чтобы получить достоверный результат; 3. Приоритет риска: то есть, когда контекстная оценка уязвимости представляет реальный риск для организации. Структурная схема разделения группы-оценки представлена на рис. 1.1. Рисунок 1.1 – Структурная схема разделения группы-оценки Группы-оценки описаны следующим образом: Базовые: представляет собой встроенные и основные характеристики уязвимости, которые постоянны во времени и пользовательской среде. Временные: отражает характеристики уязвимости, которые изменяются с течением времени, но не среди пользователей среды. Контекстные: отражает характеристики уязвимости, которые являются актуальными и уникальными для конкретного пользователя среды [2]. 1.3 Цель метода CVSS Базовая группа должна определить и сообщить основные характеристики уязвимости. Это объективный подход к характеристике уязвимости предоставляет пользователям четкое и понятное представление уровня опасности. Пользователи могут затем вызвать временные и контекстные группы, чтобы обеспечить контекстуальную информацию, которая более точно отражает риск их уникальной среды. Это позволяет принимать более обоснованные решения при попытке смягчить риски, связанные с уязвимостями [3]. 1.4 Базовые показатели Базовая метрика группа отражает характеристики уязвимости, которые являются постоянными с течением времени и в различных средах пользователя. Вектор доступа, сложность доступа, аутентификации и показатели захвата, как уязвимость доступна или нет дополнительные условия необходимы, чтобы использовать его. Три метрики мера воздействия, как уязвимость, при эксплуатации, будет непосредственно влиять на IT-активами, где воздействие самостоятельно определить, как степень утраты конфиденциальности, целостности и доступности. Например, уязвимость может привести к частичной потере целостности и доступности, но без потери конфиденциальности. Структурная схема главных составляющих базовой оценки представлен на рис. 1.2. Рисунок 1.2 – Структурная схема главных составляющих базовой оценки 1.5 Временные показатели Угроза уязвимости может меняться с течением времени. Поскольку временные показатели являются обязательными, в каждом из них есть метрическое значение, что не влияет на результат. Структура временной оценки представлена на рис. 1.3. Рисунок 1.3 – Структура временной оценки 1.6 Контекстные показатели Эти показатели позволяют аналитику настраивать оценку CVSS в зависимости от важности соответствующего ИТ-ресурса для организации пользователя, измеряемой с точки зрения наличия дополнительных/альтернативных средств контроля безопасности, конфиденциальности, целостности и доступности. Метрики являются измененным эквивалентом базовых метрик и назначаются на основе размещения компонентов в инфраструктуре организации [3]. 1.7 Векторная строка Векторная строка - это текстовое представление набора метрик CVSS. Она обычно используется для записи или передачи метрической информации CVSS в сжатой форме. Итоговые формулы оценок представлены на рис. 1.4. Рисунок 1.4 – Итоговые формулы оценок Векторная строка начинается с метки "CVSS:" и числового представления текущей версии "3.0." Информация о метрике следует в виде набора метрик, каждой из которых предшествует косая черта, "/", выступающая в качестве разделителя. Каждая метрика - это имя метрики в сокращенной форме, двоеточие, ":" и связанное с ним значение метрики в сокращенной форме. Сокращенные формы определены ранее в этой спецификации (в скобках после каждого имени метрики и значения метрики) и суммируются в таблице ниже. Метрики могут быть указаны в любом порядке в векторной строке, хотя таблица 1.1 показывает предпочтительный порядок. Все базовые метрики должны быть включены в векторную строку. Временные и контекстные показатели не являются обязательными, и опустить показатели, как считается, имеют значение «не определено» (х). Показатели значения «не определено» может быть, включена в вектор-строку, если это необходимо. Программы чтения v3.0 векторные строки должны принимать метрики в любом порядке и рассматривать неопределенное время и контекстную оценку, как не определенные. Векторная строка не должна включать одну и ту же метрику более одного раза [3]. Характеристики базовых, временных и контекстных показателей представлена в табл. 1.1. Таблица 1.1 – Базовые, временные и контекстные показатели Группа показателей Имя показателя Возможные значения Необходимость Базовые вектор атаки [N, A,L, P] да сложность атаки AV [L, H] да требуемые привилегии AC [N,L, H] да взаимодействие с пользователем PR [N, R] да область пользовательского интерфейса [U, C] да конфиденциальность S [H, L, N] да целостность C, [H,L,N] да доступность I, A [H, L, N] да Временные Зрелость кода эксплойта [X, H,F,P,U] нет уровень исправления E [X,U,W,T, O] нет достоверность отчета RL, RC [X, C, R, U] нет, нет Контекстные запрос конфиденциальности, CR [X,H,M,L] нет требования к целостности, IR [X,H,M,L] нет требования к доступность, AR [X,H,M,L] нет измененный вектор атаки, MAV [X,N,A,L,P] нет измененная сложность атаки, MAC [X,L,H] нет измененные привилегии требуется, MPR [X,N,L,H] нет измененное взаимодействие с пользователем, MUI [X,N,R] нет измененная область, MS [X,U,C] нет измененная конфиденциальность, MC [X,N,L,H] нет измененная целостность, MI [X,N,L,H] нет Например, уязвимость со значениями базовой метрики, "вектор атаки: сеть, сложность атаки: низкая, требуемые привилегии: высокая, взаимодействие с пользователем: нет, Область действия: без изменений, конфиденциальность: низкая, целостность: низкая, доступность: нет" и без указанных временных или экологических метрик приведет к следующему вектору: CVSS: 3.0 / AV: N / AC:L / PR:H / UI:N / S: U/C:L / I:L / A:N. 1.8 Уровни показателей Значения метрик определены в табл. 1.2. Таблица 1.2 – Значения показателей Показатели Значения показателей Числовое значение Вектор Атаки Модифицированный Вектор Атаки Локальный 0.85 0.62 0.55 0.2 Сложность Атаки Измененная Сложность Атаки Низкий 0.77 Высокий 0.44 Требуется Привилегия Требуется Измененная Привилегия Не определенно 0.85 Низкий 0.62 Высокий 0.27 Взаимодействие с пользователем Измененное взаимодействие с пользователем Не определенно 0.85 Требуемый 0.62 C, I, Влияние Модифицированный C,I, Влияние Высоки 0.56 Низкий 0.22 Не определенно 0 Наличие или отсутствие кода или техники эксплуатации Не определено 1 Высокий 1 Функциональная 0.97 Доказательство концепции 0.94 Недоказанный 0.91 продолжение таблицы 1.2 Уровень исправления Не определен 1 Недоступен 1 Временное решение 0.97 Временное исправление 0.96 Официальное исправление 0.95 Степень достоверности отчета Не определено 1 Подтвержденный 1 Обоснованный 0,96 Неизвестно 0,92 Требования безопасности - C, I, A Требования Не определено 1 Высокий 1,5 Средний 1 Низкий 0,5 Учитывая, что существует ограниченное число числовых результатов (101 результат в диапазоне от 0.0 до 10.0), несколько комбинаций числовой оценки могут давать один и тот же числовой балл. Кроме того, некоторые числовые оценки могут быть опущены, поскольку веса и вычисления получены из ранжирования серьезности комбинаций метрик. Кроме того, в некоторых случаях метрические комбинации могут отклоняться от желаемого порога серьезности. Это неизбежно, и простая коррекция не всегда доступна, поскольку корректировки одного значения метрики или параметра уравнения для исправления отклонения приводят к другим, потенциально более серьезным отклонениям [3]. Допустимым отклонением является значение 0,5. Таким образом, все комбинации значений метрики, используемые для получения весов и вычисления, дадут числовую оценку в пределах назначенного уровня серьезности или в пределах 0,5 от назначенного уровня. Например, комбинация, которая, как ожидается, будет оценена как "высокая", может иметь числовую оценку от 6.6 до 9.3. 1.9 Уровень критичности оценки Базовая оценка зависит от оценки возможности эксплуатации и элементов оценок воздействия на систему и выставляется от 0 до 10, где 10 соответствует высочайшему уровню опасности уязвимости. В соответствии с ГОСТ Р 56545 – 2015 степень опасности уязвимости может принимать одно из четырех значений; критический (оценка по CVSS – 9-10), высокий (оценка по CVSS – 7-8,9), средний (оценка по CVSS – 4-6,9), низкий (оценка по CVSS – 0-3,9) [4]. Шкала опасности уязвимости представлена в табл. 1.3. Таблица 1.3 – Шкала критичности уязвимости Уровень безопасности Оценка Критический 9-10 Высокий 7-8,9 Средний 4-6,9 Низкий 0-3,9 ГЛАВА 2. НЕЙРОННЫЕ СЕТИ И ИХ ПРЕИМУЩЕСТВА ДЛЯ РЕШЕНИЯ ЗАДАЧИ ОЦЕНКИ РИСКОВ 1 Нейронные сети Суть машинного обучения —? находить определенные паттерны, закономерности в данных и предсказывать результаты для новых данных на основе эти паттернов. Имеет смысл — это применять тогда, когда данных так много, что человеку заметить эти закономерности не под силу [5]. Возникающее противоречие между ростом сложности и разнородности современных информационных систем и традиционными мерами защиты информации заставляет произвести исследования новых соответствующих технологий, методов и механизмов информационной безопасности. На сегодня, таким перспективным направлением является исследование возможности применения аппарата технологий искусственных нейронных сетей для решения практических задач информационной безопасности.
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Разное, 39 страниц
4000 руб.
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg