- •Отчет о выполнении курсового проекта
- •Введение
- •Описание бизнес-процесса. Постановка задачи
- •Региональная специфика
- •Описание технологического процесса
- •Модули и компоненты, составляющие технологический процесс
- •Карта информационных потоков
- •Модель нарушителя информационной безопасности
- •Угрозы и уязвимости для функционирования технологического и бизнес-процесса
- •Возможные атаки на рассматриваемую систему
- •Сравнительная характеристика элементов технологического решения и их аналогов
- •Внутренняя сеть компании
- •Подсистема обеспечения информационной безопасности
- •Умная атс с фильтрацией
- •Банк-эквайер
- •База данных
- •Шлюз сотового оператора и атс телефонной линии общего пользования.
- •Внутренняя вычислительная сеть филиалов магазина
- •Оплата налогов, пошлин и услуг через банк
- •Разграничение доступа
- •Требования закона «о персональных данных»
- •Сценарии тестирования системы
- •Нагрузочное тестирование
- •Тестирование подсистемы обеспечения иб
- •Организационно-технические меры, направленные на повышение уровня защищенности и увеличение эффективности
- •Заключение
- •Заключение о работе группы
Возможные атаки на рассматриваемую систему
Для рассматриваемой нами системы характерны следующие атаки:
отказ в обслуживании (DoS);
распределенный отказ в обслуживании (DDoS);
разглашение информации;
атаки на механизмы аутентификации;
прослушивание трафика;
выполнение кода;
социальная инженерия;
внедрение вредоносного ПО;
атаки на криптографические протоколы.
В таблице 6 представлен перечень угроз и уязвимостей.
Таблица 6 – Перечень угроз и уязвимостей
Атака |
Описание |
Объект атаки |
DoS/DDoS |
Злоумышленник вызывает отказ в обслуживании либо с помощью уязвимостей в логике работы ПО, либо с помощью большого количества сетевых запросов (например, SYN-Flood) |
Рабочие станции операторов и пользователей; сервера; сетевое оборудование , доступное через Internet |
Разглашение информации |
Злоумышленник получает доступ к конфиденциальной информации или способствует утечке информации |
Рабочие станции операторов и пользователей; сервера |
Атаки на механизмы аутентификации |
Злоумышленник использует несовершенство механизмов аутентификации – перебор пароля грубой силой, перехват нажатий клавиш . |
Рабочие станции операторов и пользователей |
Прослушивание трафика |
Злоумышленник прослушивает трафик на различных участках сети, пытаясь получить полезную информацию |
Рабочие станции операторов и пользователей, сеть |
Выполнение кода |
Злоумышленник использует уязвимости в ОС и ПО для запуска вредоносного кода (например переполнение буфера в сервисах) |
Рабочие станции операторов и пользователей; сервера |
Социальная инженерия |
Злоумышленник обманом пытается выведать у законных пользователей системы некоторую конфиденциальную информацию, например, составляющую аутентификационных данных, которую пользователь "знает" |
Законные пользователи системы, администратор |
Атаки на криптографические протоколы.
|
Злоумышленник использует несовершенства криптографических протоколов, используемых в системе. Пример: атака повтора сообщений |
Криптографические протоколы |
Сравнительная характеристика элементов технологического решения и их аналогов
Система, применяемая для реализации функционала сети розничных магазинов в Курске, является многокомпонентной. Это позволяет комбинировать различные варианты используемого программного обеспечения и оборудования для достижения оптимальных показателей и соотношения цена/качество. С целью выбора используемого в технологической схеме оборудования и программного обеспечения был проведен сравнительный анализ аналогичных продуктов. Результаты представлены в таблице 7.
В качестве сервера БД был использован Oracle, в связи с множеством предоставляемых функциональных возможностей и тем, что он сертифицирован для использованиия в России.
В качестве браузера на рабочей станции оператора магазина используется Google Chrome в связи с его высокой скоростью работы и хорошими показателями обеспечения безопасности.
В качестве веб-сервера выбран Apache 2.2, так как в отличие от аналогов, он поддерживает множество механизмов обеспечения безопасности: ограничение доступа к определённым директориям или файлам, механизм авторизации пользователей для доступа к директории по методу HTTP-Авторизации и digest-авторизации, ограничение доступа к определённым директориям или всему серверу, основанное на IP-адресах пользователей, а также запрет доступа к определённым типам файлов для всех или части пользователей, например запрет доступа к конфигурационным файлам и файлам баз данных.
В качестве операционной системы на рабочей станции оператора принято решение использовать Windows 7 в связи с тем, что данная платформа поддерживает широкий спектр программного обеспечения, а также подходит для IBM-совместимых компьютеров.
В качестве POS-терминала выбран VeriFone Vx 510, т.к. в отличие от рассмотренных аналогов у него есть дополнительные разъемы (для подключения принтера и ПИН-падов), которые могут быть полезны при работе магазина.
В качестве программного обеспечения, используемого на корпоративном мейл-сервере для связи операторов магазина с клиентами, был выбран почтовый сервис Gmail (Google). Данный сервис обладает высоким уровнем обеспечения безопасной передачи сообщений (использование протокола SSL), двухфакторной аутентификацией, большим объемом для хранения почты, а также современный и удобным интерфейсом.
В филиалах магазина установлены маршрутизаторы Cisco 2621, так как их ключевым преимуществом перед аналогами является наличие встроенной системы IPS.
Таблица 7 – Сравнительная таблица технологических решений для реализации сети розничных магазинов в Курске
Элемент технологической схемы |
Решение, используемое в проекте |
Аналог №1 |
Аналог №2 |
Сервер БД |
Oracle Server |
MySQL5.0.x |
IBM DB2 |
|
Наличие объекта Schema, наличие технологии Materialized view, начилие Expression Index, Partial Index, Bitmap Index, определяемых пользователем функций, триггеров, хранимых процедур. Сертифицирован в России. |
Отсутствие объекта Schema, отсутствие технологии Materialized view, отсутствие Expression Index, Partial Index, Bitmap Index, определяемых пользователем функций, триггеров, хранимых процедур. |
Отсутствие Expression Index, Partial Index, Inverted Index. |
Рабочая станция клиента |
Средства просмотра веб-сайтов (браузер Google Chrome) |
Mozilla Firefox |
Internet Explorer |
|
Время запуска SunSpider JavaScript 762 мс, Время горячего запуска 0,7 мс, время холодного запуска 1 мс, Используемая память при загрузке 10 тяжелых страниц 256 Mb |
Время запуска SunSpider JavaScript 1400 мс, Время горячего запуска 1,2 мс, время холодного запуска 4,5 мс, Используемая память при загрузке 10 тяжелых страниц 152 Mb |
Время запуска SunSpider JavaScript 9015 мс, Время горячего запуска 1,3 мс, время холодного запуска 1,8 мс |
Веб-сервер |
Apache 2.2+PHP 5.2.x |
Nginx |
Microsoft IIS |
|
Интеграция с другим ПО и языками программирования, множество механизмов обеспечения безопасности, обработка событий, механизм Server Site Includes |
Российская разработка, обслуживание статических запросов, акселированная поддержка FastCGI, наличие механизмов обеспечения безопасности, поддержка IMAP/POP3 сервисов |
Поддержка ASP.NET, FatCGI, SSI, SMTP/POP3 сервисов |
Рабочая станция оператора |
Windows 7+Веб-приложение для обработки заказов+Средство просмотра веб-сайтов |
Ubuntu |
Mac OS |
|
Высокие системные требования, Поддержка множества различных дистрибутивов |
Бесплатное распространение, Поддержка нового оборудования и ПО зачастую отстает, потому что производители в первую очередь ориентируются на Windows и Mac OS X |
Высокая производительность, т.к. программное обеспечение оптимизировано под конкретную платформу, Высокая стоимость |
POS-терминал |
VeriFone Vx510 |
Ingenico 7910+ |
NURIT-8400 |
|
32-битный микропроцессор, память 6 MB (4 MB на Flash, 2 MB на SRAM), Графический 128х64 пикселя LCD дисплей с подсветкой, Считыватель магнитной полосы 1,2,3, Считыватель микропроцессорных карт EMV, 3 модуля безопасного доступа (карта SAM), разъемы один RS-232 и 1 telko-порт для ПИН-ПАДов, Стандартный модем 14.4kbps |
Процессор ARM 32 bit с поддержкой криптофункций, 60 MHz, память SRAM - 2Мb; Flash - до 8 Mb, Считыватель магнитной полосы соответствует стандарту ISO 1/2/3, Считыватель чиповых карт сертифицирован EMV level 1 и соответствует стандарту ISO, Встроенный модем с поддержкой синхронного и асинхронного режимов |
Процессор 32-битный ARM 7, память 6 MB (4 MB на Flash, 2 MB на SRAM), считыватель магнитных карт – 3 дорожки, в любом направлении, считыватель смарт-карт - ISO 7816, 3V, 5V, 1.8V, синхронные или асинхронные карты, Сертифицирован в EMV, Стандартный модем 14.4kbps |
Программное обеспечение мейл-сервера |
Google Gmail |
Яндекс |
Yahoo |
|
Безопасность за счет двухфакторной аутентификации. Удобный интерфейс. Объем виртуального почтового ящика – 7,6 Гб |
Неэффективная защита от спама. Проверка орфографии письма. |
Неограниченное хранилище сообщений (так утверждает информация на сайте). |
Маршрутизаторы |
Cisco 2621 |
D-link DFL-860E |
3COM 3CR858-91 |
|
Поддержка технологий Fast Ethernet и VLAN. Наличие встроенной системы IPS, наличие внутреннего слота AIM (Advanced Interface Module) |
Отсутствие встроенного механизма IPS |
Отсутствие поддержки VLAN |