Программное средство автоматизированного поиска и оценки уязвимостей
|
Введение 4
1 Классификация программного обеспечения 6
2 Классификация уязвимостей программного обеспечения 12
3 Обзор существующих баз уязвимостей 20
3.1 Реестр уязвимостей банка данных угроз безопасности
информации ФСТЭК России 20
3.2 MITRE CVE и база данных National Vulnerability Database 23
3.3 Secunia Advisory and Vulnerability Database 27
3.4 VND от CERT/CC 28
3.5 Exploit Database 29
4 Обзор существующих систем оценки уязвимостей 31
4.1 Система оценки CVSS 2.0 31
4.2 Система оценки уязвимостей CVSS 3.0 39
5 Обзор существующих сканеров уязвимостей, работающих под
управлением операционной системы Android 41
5.1 Сканер уязвимостей «Сканер безопасности» 41
5.2 Сканер уязвимостей Vulners Scanner 42
5.3 Антивирус «Kaspersky Internet Security: Антивирус и
защита» 42
6 Разработка алгоритмов программного средства 44
7 Разработка архитектуры программного средства 58
8 Разработка руководства пользователя программного средства 63
9 Тестирование программного средства 64
10 Вредные психофизиологические факторы, влияющие на
опорно-двигательный аппарат специалиста по защите информации. Методы и
средства физической культуры, снижающие их воздействие 83
Заключение 86
Список используемых источников 88
Приложение А 90
Приложение Б 151
1 Классификация программного обеспечения 6
2 Классификация уязвимостей программного обеспечения 12
3 Обзор существующих баз уязвимостей 20
3.1 Реестр уязвимостей банка данных угроз безопасности
информации ФСТЭК России 20
3.2 MITRE CVE и база данных National Vulnerability Database 23
3.3 Secunia Advisory and Vulnerability Database 27
3.4 VND от CERT/CC 28
3.5 Exploit Database 29
4 Обзор существующих систем оценки уязвимостей 31
4.1 Система оценки CVSS 2.0 31
4.2 Система оценки уязвимостей CVSS 3.0 39
5 Обзор существующих сканеров уязвимостей, работающих под
управлением операционной системы Android 41
5.1 Сканер уязвимостей «Сканер безопасности» 41
5.2 Сканер уязвимостей Vulners Scanner 42
5.3 Антивирус «Kaspersky Internet Security: Антивирус и
защита» 42
6 Разработка алгоритмов программного средства 44
7 Разработка архитектуры программного средства 58
8 Разработка руководства пользователя программного средства 63
9 Тестирование программного средства 64
10 Вредные психофизиологические факторы, влияющие на
опорно-двигательный аппарат специалиста по защите информации. Методы и
средства физической культуры, снижающие их воздействие 83
Заключение 86
Список используемых источников 88
Приложение А 90
Приложение Б 151
Любому программному обеспечению присущи определенные уязвимости,
перечень которых является достаточно объемным и постоянно подлежит
обновлению (расширению). Данные уязвимости обусловлены недостатками
(ошибками), возникающими в процессе жизненного цикла программного
обеспечения.
В современных условиях, когда практически у каждого человека есть в
личном пользовании программно-технические средства (электронные гаджеты,
ПЭВМ и другие устройства), используемые для обработки информации в том
числе персональных данных и иной информации ограниченного доступа,
актуальным остается вопрос защиты данной информации, ведь уязвимости в
программной и аппаратной части программно-технических средств могут стать
потенциальной причиной для реализации различного рода угроз
информационной безопасности, приводящей к нарушению свойств
безопасности информации (конфиденциальность, целостность, доступность) и
к негативным последствиям для её обладателя. Для того, чтобы обеспечить
эффективную защиту информации, необходимо в том числе оперативно
выявлять имеющиеся уязвимости в программно-технических средствах, а также
проводить их оценку для грамотной приоритезации обработки данных
уязвимостей. Данные процессы могут быть автоматизированы. Существуют
множество антивирусных программ, сканеров безопасности и в том числе
сканеров уязвимостей, которые позволяют осуществлять автоматизированный
поиск и оценку уязвимостей программного обеспечения, выпускаемого его
разработчиками под различные типы аппаратных платформ и операционных
систем.
Практически все известные сканеры уязвимостей работают под
управлением операционных систем Linux, Windows, MacOS, и направлены на
поиск и оценку уязвимостей программного обеспечения, работающего под
4управлением данных операционных систем, а также направлены на поиск
сетевых уязвимостей и уязвимостей web-приложений, и лишь незначительная
часть сканеров уязвимостей работает под управлением операционной системы
Android. Существующие сканеры уязвимости для Android в основном
подразделяются на следующие типы:
― сетевые сканеры, осуществляющие поиск и оценку сетевых
уязвимостей и уязвимостей web-приложений;
― сканеры осуществляющие поиск, оценку и подтверждение (с
эмуляцией выполнения соответствующих эксплойтов) только конкретных
уязвимостей (порядка от 1 до 10 уязвимостей), в основном входящих в список
самых опасных уязвимостей Android (BlueBorne, Extra Field, Fake ID, Janus,
ObjectInputStream Serialization, OpenSSLX509Certificate, Pendinglntent и т.д.);
― сканеры только APK файлов инсталляции приложений Android,
осуществляющих поиск и оценку уязвимостей в коде данных файлов;
― сканеры уязвимостей более не поддерживающиеся их
разработчиками;
― антивирусные приложения, включающие в себя реализацию
функций сканера уязвимостей, которые являются коммерческими и имеют
платную лицензию на использование.
Таким образом разработка программного средства автоматизированного
поиска и оценки уязвимостей программного обеспечения в конфигурации
программного обеспечения, установленного на электронных гаджетах, а также
уязвимостей программного обеспечения, работающего под управлением
операционной системы Android и зарегистрированного в базе уязвимостей CVE, является актуальной.
перечень которых является достаточно объемным и постоянно подлежит
обновлению (расширению). Данные уязвимости обусловлены недостатками
(ошибками), возникающими в процессе жизненного цикла программного
обеспечения.
В современных условиях, когда практически у каждого человека есть в
личном пользовании программно-технические средства (электронные гаджеты,
ПЭВМ и другие устройства), используемые для обработки информации в том
числе персональных данных и иной информации ограниченного доступа,
актуальным остается вопрос защиты данной информации, ведь уязвимости в
программной и аппаратной части программно-технических средств могут стать
потенциальной причиной для реализации различного рода угроз
информационной безопасности, приводящей к нарушению свойств
безопасности информации (конфиденциальность, целостность, доступность) и
к негативным последствиям для её обладателя. Для того, чтобы обеспечить
эффективную защиту информации, необходимо в том числе оперативно
выявлять имеющиеся уязвимости в программно-технических средствах, а также
проводить их оценку для грамотной приоритезации обработки данных
уязвимостей. Данные процессы могут быть автоматизированы. Существуют
множество антивирусных программ, сканеров безопасности и в том числе
сканеров уязвимостей, которые позволяют осуществлять автоматизированный
поиск и оценку уязвимостей программного обеспечения, выпускаемого его
разработчиками под различные типы аппаратных платформ и операционных
систем.
Практически все известные сканеры уязвимостей работают под
управлением операционных систем Linux, Windows, MacOS, и направлены на
поиск и оценку уязвимостей программного обеспечения, работающего под
4управлением данных операционных систем, а также направлены на поиск
сетевых уязвимостей и уязвимостей web-приложений, и лишь незначительная
часть сканеров уязвимостей работает под управлением операционной системы
Android. Существующие сканеры уязвимости для Android в основном
подразделяются на следующие типы:
― сетевые сканеры, осуществляющие поиск и оценку сетевых
уязвимостей и уязвимостей web-приложений;
― сканеры осуществляющие поиск, оценку и подтверждение (с
эмуляцией выполнения соответствующих эксплойтов) только конкретных
уязвимостей (порядка от 1 до 10 уязвимостей), в основном входящих в список
самых опасных уязвимостей Android (BlueBorne, Extra Field, Fake ID, Janus,
ObjectInputStream Serialization, OpenSSLX509Certificate, Pendinglntent и т.д.);
― сканеры только APK файлов инсталляции приложений Android,
осуществляющих поиск и оценку уязвимостей в коде данных файлов;
― сканеры уязвимостей более не поддерживающиеся их
разработчиками;
― антивирусные приложения, включающие в себя реализацию
функций сканера уязвимостей, которые являются коммерческими и имеют
платную лицензию на использование.
Таким образом разработка программного средства автоматизированного
поиска и оценки уязвимостей программного обеспечения в конфигурации
программного обеспечения, установленного на электронных гаджетах, а также
уязвимостей программного обеспечения, работающего под управлением
операционной системы Android и зарегистрированного в базе уязвимостей CVE, является актуальной.
В ходе выполнения выпускной квалификационной работы были
выполнены следующие задачи:
― рассмотрена классификация программного обеспечения и
классификация уязвимостей программного обеспечения в соответствии с ГОСТ
Р 56546-2015;
― проведен обзор существующих на настоящий момент баз
уязвимостей и систем оценки уязвимостей;
― проведен обзор существующих на настоящий момент сканеров
уязвимостей, работающих под управлением операционной системы Android;
― разработаны следующие алгоритмы разрабатываемого
программного средства:
― поиск уязвимостей установленного на электронных гаджетах
ПО, работающего под управлением ОС Android, с использованием
базы уязвимостей CVE, а также оценка уровня их опасности в
соответствии с системой оценки уязвимостей CVSS;
― поиск уязвимостей в конфигурации (настройках разрешений)
установленного на электронных гаджетах ПО, работающего под
управлением ОС Android;
― оценка уровней опасности выявленных уязвимостей
конфигурации установленного на электронных гаджетах ПО, в
соответствии с системой оценки уязвимостей CVSS 3.0;
― построение отчета по результатам, полученным в процессе
реализации вышеописанных алгоритмов поиска и оценки
уязвимостей;
― подсчет статистики и формирование общей оценки состояния
безопасности электронного гаджета по результатам, полученным в
86процессе реализации вышеописанных алгоритмов поиска и оценки
уязвимостей;
― разработана архитектура разрабатываемого программного средства,
состоящая из:
― файлов с исходным кодом, реализующим основные задачи
программного обеспечения;
― файлов ресурсов, в том числе локальной русифицированной
базы уязвимостей CVE;
― макетов окон разрабатываемого программного средства;
― файла конфигурации;
― разработан документ «Руководство пользователя» к
разрабатываемому программному средству в соответствии с ГОСТ РД
50-34.698-90;
― проведено функциональное тестирование разрабатываемого
программного средства с использованием электронных гаджетов с различными
техническими характеристиками.
Таким образом, техническое задание на выпускную квалификационную
работу выполнено в полном объеме.
выполнены следующие задачи:
― рассмотрена классификация программного обеспечения и
классификация уязвимостей программного обеспечения в соответствии с ГОСТ
Р 56546-2015;
― проведен обзор существующих на настоящий момент баз
уязвимостей и систем оценки уязвимостей;
― проведен обзор существующих на настоящий момент сканеров
уязвимостей, работающих под управлением операционной системы Android;
― разработаны следующие алгоритмы разрабатываемого
программного средства:
― поиск уязвимостей установленного на электронных гаджетах
ПО, работающего под управлением ОС Android, с использованием
базы уязвимостей CVE, а также оценка уровня их опасности в
соответствии с системой оценки уязвимостей CVSS;
― поиск уязвимостей в конфигурации (настройках разрешений)
установленного на электронных гаджетах ПО, работающего под
управлением ОС Android;
― оценка уровней опасности выявленных уязвимостей
конфигурации установленного на электронных гаджетах ПО, в
соответствии с системой оценки уязвимостей CVSS 3.0;
― построение отчета по результатам, полученным в процессе
реализации вышеописанных алгоритмов поиска и оценки
уязвимостей;
― подсчет статистики и формирование общей оценки состояния
безопасности электронного гаджета по результатам, полученным в
86процессе реализации вышеописанных алгоритмов поиска и оценки
уязвимостей;
― разработана архитектура разрабатываемого программного средства,
состоящая из:
― файлов с исходным кодом, реализующим основные задачи
программного обеспечения;
― файлов ресурсов, в том числе локальной русифицированной
базы уязвимостей CVE;
― макетов окон разрабатываемого программного средства;
― файла конфигурации;
― разработан документ «Руководство пользователя» к
разрабатываемому программному средству в соответствии с ГОСТ РД
50-34.698-90;
― проведено функциональное тестирование разрабатываемого
программного средства с использованием электронных гаджетов с различными
техническими характеристиками.
Таким образом, техническое задание на выпускную квалификационную
работу выполнено в полном объеме.
Подобные работы
- ПОСТРОЕНИЕ И ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МОДЕЛИ
ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ КОМПЬЮТЕРНОЙ СЕТИ ДЛЯ
ПРОВЕРКИ УМЕНИЯ ПОИСКА И ЭКСПЛУАТАЦИИ УЯЗВИМОСТИ
Магистерская диссертация, информационные системы. Язык работы: Русский. Цена: 4000 р. Год сдачи: 2020 - Организация режима защиты конфиденциальной информации в образовательной организации СПО
Магистерская диссертация, педагогика. Язык работы: Русский. Цена: 4820 р. Год сдачи: 2019 - Программное средство для комплексного анализа политик безопасности ОС Windows
Дипломные работы, ВКР, информатика. Язык работы: Русский. Цена: 4700 р. Год сдачи: 2018 - Программное средство для комплексного анализа политик безопасности ОС Windows
Магистерская диссертация, информатика. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - ОБЕСПЕЧЕНИЕ ДИАГНОСТИЧЕСКОЙ РАБОТЫ ПСИХОЛОГА
СРЕДСТВАМИ ИНТЕРНЕТ ТЕХНОЛОГИЙ
Магистерская диссертация, психология. Язык работы: Русский. Цена: 5720 р. Год сдачи: 2018 - Разработка мероприятий по совершенствованию деятельности транспортно-технологического участка в нефтегазовой отрасли на примере АО "Самаранефтегаз"
Магистерская диссертация, машиностроение. Язык работы: Русский. Цена: 4800 р. Год сдачи: 2019 - РАЗРАБОТКА МЕТОДИКИ ИСПЫТАНИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ КОМБИНАЦИИ ПРИБОРОВ ГРУЗОВЫХ АВТОМОБИЛЕЙ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ МАШИННОГО ЗРЕНИЯ
Магистерская диссертация, информационные системы. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2019 - Разработка информационной системы управления техническим контролем продукции государственного оборонного заказа ПАО «КАМАЗ»
Дипломные работы, ВКР, информационные системы. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - Разработка информационной системы для быстрого поиска эскиза теплообменника»
Дипломные работы, ВКР, информационные системы. Язык работы: Русский. Цена: 6500 р. Год сдачи: 2019