Введение 4
1 Классификация программного обеспечения 6
2 Классификация уязвимостей программного обеспечения 12
3 Обзор существующих баз уязвимостей 20
3.1 Реестр уязвимостей банка данных угроз безопасности
информации ФСТЭК России 20
3.2 MITRE CVE и база данных National Vulnerability Database 23
3.3 Secunia Advisory and Vulnerability Database 27
3.4 VND от CERT/CC 28
3.5 Exploit Database 29
4 Обзор существующих систем оценки уязвимостей 31
4.1 Система оценки CVSS 2.0 31
4.2 Система оценки уязвимостей CVSS 3.0 39
5 Обзор существующих сканеров уязвимостей, работающих под
управлением операционной системы Android 41
5.1 Сканер уязвимостей «Сканер безопасности» 41
5.2 Сканер уязвимостей Vulners Scanner 42
5.3 Антивирус «Kaspersky Internet Security: Антивирус и
защита» 42
6 Разработка алгоритмов программного средства 44
7 Разработка архитектуры программного средства 58
8 Разработка руководства пользователя программного средства 63
9 Тестирование программного средства 64
10 Вредные психофизиологические факторы, влияющие на
опорно-двигательный аппарат специалиста по защите информации. Методы и
средства физической культуры, снижающие их воздействие 83
Заключение 86
Список используемых источников 88
Приложение А 90
Приложение Б 151
Любому программному обеспечению присущи определенные уязвимости,
перечень которых является достаточно объемным и постоянно подлежит
обновлению (расширению). Данные уязвимости обусловлены недостатками
(ошибками), возникающими в процессе жизненного цикла программного
обеспечения.
В современных условиях, когда практически у каждого человека есть в
личном пользовании программно-технические средства (электронные гаджеты,
ПЭВМ и другие устройства), используемые для обработки информации в том
числе персональных данных и иной информации ограниченного доступа,
актуальным остается вопрос защиты данной информации, ведь уязвимости в
программной и аппаратной части программно-технических средств могут стать
потенциальной причиной для реализации различного рода угроз
информационной безопасности, приводящей к нарушению свойств
безопасности информации (конфиденциальность, целостность, доступность) и
к негативным последствиям для её обладателя. Для того, чтобы обеспечить
эффективную защиту информации, необходимо в том числе оперативно
выявлять имеющиеся уязвимости в программно-технических средствах, а также
проводить их оценку для грамотной приоритезации обработки данных
уязвимостей. Данные процессы могут быть автоматизированы. Существуют
множество антивирусных программ, сканеров безопасности и в том числе
сканеров уязвимостей, которые позволяют осуществлять автоматизированный
поиск и оценку уязвимостей программного обеспечения, выпускаемого его
разработчиками под различные типы аппаратных платформ и операционных
систем.
Практически все известные сканеры уязвимостей работают под
управлением операционных систем Linux, Windows, MacOS, и направлены на
поиск и оценку уязвимостей программного обеспечения, работающего под
4управлением данных операционных систем, а также направлены на поиск
сетевых уязвимостей и уязвимостей web-приложений, и лишь незначительная
часть сканеров уязвимостей работает под управлением операционной системы
Android. Существующие сканеры уязвимости для Android в основном
подразделяются на следующие типы:
― сетевые сканеры, осуществляющие поиск и оценку сетевых
уязвимостей и уязвимостей web-приложений;
― сканеры осуществляющие поиск, оценку и подтверждение (с
эмуляцией выполнения соответствующих эксплойтов) только конкретных
уязвимостей (порядка от 1 до 10 уязвимостей), в основном входящих в список
самых опасных уязвимостей Android (BlueBorne, Extra Field, Fake ID, Janus,
ObjectInputStream Serialization, OpenSSLX509Certificate, Pendinglntent и т.д.);
― сканеры только APK файлов инсталляции приложений Android,
осуществляющих поиск и оценку уязвимостей в коде данных файлов;
― сканеры уязвимостей более не поддерживающиеся их
разработчиками;
― антивирусные приложения, включающие в себя реализацию
функций сканера уязвимостей, которые являются коммерческими и имеют
платную лицензию на использование.
Таким образом разработка программного средства автоматизированного
поиска и оценки уязвимостей программного обеспечения в конфигурации
программного обеспечения, установленного на электронных гаджетах, а также
уязвимостей программного обеспечения, работающего под управлением
операционной системы Android и зарегистрированного в базе уязвимостей CVE, является актуальной.
В ходе выполнения выпускной квалификационной работы были
выполнены следующие задачи:
― рассмотрена классификация программного обеспечения и
классификация уязвимостей программного обеспечения в соответствии с ГОСТ
Р 56546-2015;
― проведен обзор существующих на настоящий момент баз
уязвимостей и систем оценки уязвимостей;
― проведен обзор существующих на настоящий момент сканеров
уязвимостей, работающих под управлением операционной системы Android;
― разработаны следующие алгоритмы разрабатываемого
программного средства:
― поиск уязвимостей установленного на электронных гаджетах
ПО, работающего под управлением ОС Android, с использованием
базы уязвимостей CVE, а также оценка уровня их опасности в
соответствии с системой оценки уязвимостей CVSS;
― поиск уязвимостей в конфигурации (настройках разрешений)
установленного на электронных гаджетах ПО, работающего под
управлением ОС Android;
― оценка уровней опасности выявленных уязвимостей
конфигурации установленного на электронных гаджетах ПО, в
соответствии с системой оценки уязвимостей CVSS 3.0;
― построение отчета по результатам, полученным в процессе
реализации вышеописанных алгоритмов поиска и оценки
уязвимостей;
― подсчет статистики и формирование общей оценки состояния
безопасности электронного гаджета по результатам, полученным в
86процессе реализации вышеописанных алгоритмов поиска и оценки
уязвимостей;
― разработана архитектура разрабатываемого программного средства,
состоящая из:
― файлов с исходным кодом, реализующим основные задачи
программного обеспечения;
― файлов ресурсов, в том числе локальной русифицированной
базы уязвимостей CVE;
― макетов окон разрабатываемого программного средства;
― файла конфигурации;
― разработан документ «Руководство пользователя» к
разрабатываемому программному средству в соответствии с ГОСТ РД
50-34.698-90;
― проведено функциональное тестирование разрабатываемого
программного средства с использованием электронных гаджетов с различными
техническими характеристиками.
Таким образом, техническое задание на выпускную квалификационную
работу выполнено в полном объеме.
