Базовая система автоматизации поиска потенциальных уязвимостей программного обеспечения при проведении сертификационных испытаний средств защиты по системе сертификации ФСТЭК России
Введение 4
1 Анализ общедоступных баз данных уязвимостей 5
1.1 Анализ нормативно-методической базы ФСТЭК России в части
сертификационных испытаний СЗИ 5
1.2 Изучение формата и практики использования общедоступных баз данных уязвимостей при проведении сертификационных испытаний СЗИ ... 8
1.3 Результаты анализа нормативно-методической базы ФСТЭК России .. 9
1.4 Анализ БДУ ФСТЭК России 11
1.5 Анализ БДУ CVE 13
1.6 Анализ БДУ NVD 17
1.7 Общие сведения о базе «Security Focus» 18
1.8 Выявленные проблемы общедоступных БДУ 19
2 Разработка архитектуры ПК САПУ 20
2.1 Общие сведения 20
2.2 Состав системы 21
2.3 Выбранные технологии 21
3 Разработка серверной части ПК САПУ 25
3.1 Получение данных из NVD 25
3.2 Получение данных из CNVD 27
3.3 Получение данных из ФСТЭК 28
3.4 Проектирование API 29
3.5 Модуль работы с авторизацией 31
3.6 Модуль работы с уязвимостями 35
4 Проектирование пользовательского интерфейса ПК САПУ 44
5 Разработка клиентской части ПК САПУ 47
6 Вредные психофизиологические факторы, влияющие на органы зрения
специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 55
Заключение 60
Список используемых источников 61
Приложение А Код алгоритма обработки БДУ NVD 62
Приложение Б Код алгоритма обработки БДУ CNVD 69
Приложение В Код алгоритма обработки БДУ ФСТЭК 72
Приложение Г Контроллер для автоматизированного обновления БДУ CNVD и
ФСТЭК 76
Приложение Д Протокол проверки на оригинальность в системе
«Антиплагиат.ВУЗ» 78
В настоящее время при проведении сертификационных испытаний и тематических исследований автоматизированных систем в защищенном исполнении в системах сертификации ФСТЭК, ФСБ и МО России со стороны экспертных организаций (далее - ЭО) выдвигается требование анализа на защищенность от потенциальных уязвимостей программного обеспечения (далее - ПО). Данное требование следует как непосредственно из руководящих документов, так и из замечаний ЭО к разрабатываемым программам, методикам исследований и отчетным материалам.
Проведение анализа уязвимостей ПО в настоящее время является обязательной активностью экспертов испытательных лабораторий в ходе сертификационных испытаний, выполняемых по линии системы сертификации ФСТЭК России. Данный вид работ выполняется как при сертификации на соответствие требованиям утвержденных ФСТЭК России профилей защиты (ПЗ), так и при испытаниях на соответствие требованиям Технических условий.
Задачи дипломной работы:
- провести анализ нормативно-методической базы ФСТЭК России в части сертификационных испытаний СЗИ;
- изучить формат и практики использования общедоступных баз данных уязвимостей при проведении сертификационных испытаний СЗИ;
- выявить основные проблемы общедоступных баз данных уязвимостей;
- разработать серверную часть программного комплекса системы автоматизации поиска потенциальных уязвимостей (далее - ПК САПУ);
- спроектировать пользовательский интерфейс ПК САПУ;
- разработать клиентскую часть ПК САПУ;
- рассмотреть вредные психофизиологические факторы, влияющие на органы зрения специалиста по защите информации и привести методы и средства физической культуры, снижающие их воздействие.
В результате выполнения дипломной работы был проведен анализ нормативно-методической базы ФСТЭК России в части сертификационных испытаний СЗИ; изучен формат и практики использования общедоступных баз данных уязвимостей при проведении сертификационных испытаний СЗИ; выявлены основные проблемы общедоступных баз данных уязвимостей; разработана серверная часть ПК САПУ на языке Python, используя фреймворк falcon; спроектирован пользовательский интерфейс ПК САПУ; разработана клиентская часть ПК САПУ на языке JavaScript, используя фреймворк VueJS; рассмотрены вредные психофизиологические факторы, влияющие на органы зрения специалиста по защите информации и приведены методы и средства физической культуры, снижающие их воздействие.
Таким образом, задание на дипломную работу выполнено в полном объёме.
В процессе выполнения выпускной квалификационной работы была подготовлена и опубликована статья в сборнике статей VIII Всероссийской межвузовской научно-практической конференции «Информационные технологии в науке и образовании. Проблемы и перспективы 2021» на тему «Вопросы автоматизации идентификации уязвимостей средств защиты информации при проведении сертификационных испытаний».
