Тип работы:
 Предмет:
 Язык работы:


ПРОГРАММНОЕ СРЕДСТВО ДЛЯ ИЗУЧЕНИЯ МЕТОДОВ ПОИСКА ДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ ПРИ ФУНКЦИОНАЛЬНОМ ТЕСТИРОВАНИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Работа №160625

Тип работы

Дипломные работы, ВКР

Предмет

информационная безопасность

Объем работы111
Год сдачи2020
Стоимость4600 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
15
Не подходит работа?

Узнай цену на написание


Термины и определения 4
Перечень сокращений и определений 7
Введение 8
1 Анализ основных разновидностей недекларированных
возможностей 12
2 Анализ угроз ИБ, возникающих от недекларированных
возможностей 14
3 Анализ основных методов поиска недекларированных возможностей: при функциональном тестировании программных средств; при
анализе исходного кода программных средств 16
4 Разработка алгоритма создаваемой программы 22
5 Описание разработки программы шифрования с введёнными в неё
недекларированными возможностями 30
6 Руководство пользователя программы 48
6.1 Назначение программы 48
6.2 Условия выполнения программы 48
6.3 Выполнение программы 49
6.4 Сообщения оператору 49
7 Руководство по поиску недекларированных возможностей в
разработанной программе шифрования 51
7.1 НДВ № 1: программа добавляет ключ к файлу после
процедуры шифрования, если изображение черно-белое 51
7.2 НДВ № 2: программа производит инверсию бит файла вместо
его шифрования, если размер изображения не превышает 20 килобайт 53
7.3 НДВ № 3: программа вырабатывает периодическую гамму
шифра для файлов формата BMP 56
8 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 61
Заключение 67
Список используемых источников 70
Приложение А Алгоритм шифрования файлов 74
Приложение Б Алгоритм выработки гаммы шифра 82
Приложение В Код программы шифрования изображений 91

На современном этапе столь динамичного развития и применения информационных технологий неизбежно возникает вопрос защиты информации. Основная особенность информационных технологий состоит в том, что их определяющим компонентом является ПО. В большинстве случаев именно ПО и выступает источником угроз информационной безопасности. Одним из видов опасности для ПО является наличие НДВ.
НДВ - достаточно распространенное среди разработчиков явление.
НДВ программы наделяются не только из злых побуждений, чаще наоборот. Возможность удаленного управления системой, получения отладочных данных, установки патчей позволяет разработчикам сэкономить немало времени, сил и средств на этапе опытного внедрения. Даже известные и уважаемые разработчики нередко грешат преднамеренным внесением соответствующих программных закладок.
Собственно, и большинство заказчиков осведомлено об этой «серой» части технологического процесса. Другое дело, что по завершении опытной эксплуатации и сдаче продукта в эксплуатацию промышленную все эти лазейки должны быть перекрыты. Всегда ли это происходит на практике - вопрос, скорее, риторический.
Итак, можно прийти к выводу, что НДВ являются практически неизбежным компаньоном программных продуктов. Несмотря на то, что в принципе закладки могут и не быть направлены на реализацию угроз информационной безопасности, проблема заключается в том, что имеющиеся лазейки могут использовать злоумышленники. При этом следует учитывать, что в отдельных случаях программные закладки вносятся действительно со злым умыслом или «на всякий случай», для того, чтобы иметь средство воздействия на заказчика или пользователя программы. Известно немало случаев шантажа и диверсий, которые устраивали недовольные своим работодателем программисты. В отсутствие контроля над результатами работы сотрудников установить «логическую бомбу» не составляет особого труда.
Именно поэтому необходимо осознавать проблему доверия к используемому ПО и исключать возможности появления угроз безопасности информации.
В современных условиях развития информационных технологий для организаций актуально знать и правильно применять существующие способы выявления НДВ. Ведь в целях снижения риска потери производительности бизнес-операций необходимо качественно и оперативно выявлять потенциально опасные и уязвимые участки кода.
Целью выпускной квалификационной работы является разработка программы шифрования файлов, содержащих изображения формата BMP и JPG, с внесёнными в неё недекларированными возможностями.
Данная программа предназначена для выполнения обучаемыми курсового проекта по дисциплине «Разработка и эксплуатация защищённых автоматизированных систем»...

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

Контроль программного кода и выявление НДВ - это та область, где особенно важно превентивное воздействие. Не расследование инцидента после его реализации и выявление «сработавших» программных закладок, а предотвращение самого инцидента, так как последствия нарушения работы программ, кражи или искажения данных могут оказаться фатальными.
В рамках выполнения выпускной квалификационной работы было разработано программное средство для изучения методов поиска недекларированных возможностей при функциональном тестировании программного обеспечения. Данная программа предназначена для выполнения обучаемыми курсового проекта по дисциплине «Разработка и эксплуатация защищённых автоматизированных систем».
На первом этапе выполнения работы были проанализированы основные разновидности недекларированных возможностей. Было выявлено, что НДВ могут применяться не только для шпионажа, нарушения работоспособности компьютеров и оборудования коммерческих и общественных организаций, но и для вывода из строя АСУ ТП критически важных объектов, управления техникой военного или двойного назначения.
На втором этапе выполнения работы были выявлены угрозы ИБ, возникающие в случае реализации НДВ. Было определено, что при наличии НДВ в информационной системе для неё могут быть актуальны угрозы 1 -го и 2¬го типа, что приводит к необходимости обеспечения, в зависимости от деятельности организации, 1, 2 или 3 уровня защищённости данных при их обработке в информационной системе.
На третьем этапе выполнения работы были сформулированы основные методы поиска НДВ при функциональном тестировании программных средств и при анализе исходного кода программных средств. Было определено, что методы статического и динамического анализа ПО основываются на формальном подходе и приближают перспективное решение проблемы, связанное с доказательством разрешимости множества НДВ. Кроме того, они позволяют создать легко применяемые средства анализа, независящие от анализируемых программ.
На четвёртом этапе выполнения работы был разработан алгоритм разработанной программы шифрования изображений. По алгоритму производится шифрование пиксельного кода BMP и JPG файлов методом гаммирования с использованием внешних ключа шифрования и таблиц подстановки.
На пятом этапе выполнения работы была реализована по разработанному алгоритму программа шифрования изображений на языке программирования Си++. Программа осуществляет проверку на ввод ключа шифрования и выдаёт сообщение об ошибке, если ключ шифрования введён не правильно. Также в программе были реализованы НДВ с целью последующего описания методов поиска НДВ в программном средстве.
На шестом этапе выполнения работы было разработано руководство пользователя программы. Были описаны способы и условия работы с программой для осуществления процедуры шифрования изображений.
На седьмом этапе выполнения работы было разработано руководство по поиску НДВ в разработанной программе шифрования. Были описаны методы статического и динамического анализа в целях поиска реализованных НДВ в программном средстве. Были промоделированы действия обучаемых при выполнении курсового проекта по дисциплине «Разработка и эксплуатация защищённых автоматизированных систем».
На восьмом этапе выполнения работы были выявлены вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Были определены методы и средства физической культуры, снижающие их воздействие, как рекомендации к применению в организации мер по регулированию психофизиологического состояния специалиста.
Таким образом, все пункты технического задания выполнены полностью.



1 ГОСТ Р 50922-2006. Защита информации. Основные термины и определения [Электронный ресурс] - URL: http://docs.cntd.ru/document/gost-r- 50922-2006 (дата обращения — 04.06.20);
2 Академик. Словарь бизнес-терминов. [Электронный ресурс] - URL: https://dic.academic.ru/dic.nsf/business/17665 (дата обращения — 10.02.20);
3 ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения [Электронный ресурс]: - URL: http://docs.cntd.ru/document/gost-r-51275-2006 , (дата обращения — 10.02.20);
4 ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности [Электронный ресурс] - URL: http://docs.cntd.ru/document/1200081733 (дата обращения — 04.06.20);
5 ГОСТ Р 52863-2007 Защита информации. Автоматизированные
системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования [Электронный ресурс] - URL:
http://docs.cntd.ru/document/1200065692 (дата обращения — 04.06.20);
6 ГОСТ 28806-90. Качество программных средств. Термины и определения [Электронный ресурс] - URL: http://docs.cntd.ru/document/gost- 28806-90 (дата обращения — 01.06.20);
7 ГОСТ Р 53114-2008. Обеспечение информационной безопасности в организации. Основные термины и определения [Электронный ресурс] - URL: http://docs.cntd.ru/document/gost-r-53114-2008 (дата обращения — 01.06.20);
8 АО «Лаборатория Касперского». Backdoor [Электронный ресурс] - URL: https://encyclopedia.kaspersky.ru/knowledge/backdoor/, (дата обращения — 10.02.20);
9 TADVISER. Государство. Бизнес. ИТ. Руткит (Rootkit)
[Электронный ресурс] - URL:
http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C% D1 %8F: %D0%A0%D 1 %83%D 1 %82%D0%BA%D0%B8%D 1 %82_(Rootkit), (дата обращения — 11.02.20);
10 АО «Лаборатория Касперского». Что такое Кейлоггер? [Электронный ресурс] - URL: https://www.kaspersky.ru/blog/chto-takoe- keylogger/700/, (дата обращения — 11.02.20);
11 Руководящий документ «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации" [Электронный ресурс]: - URL: https://fstec.ru/tekhnicheskaya- zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/3 82- rukovodyashchij-dokument-prikaz-predsedatelya-gostekhkomissii-rossii-ot-4-iyunya- 1999-g-n-114 (дата обращения — 12.02.20);
12 Постановление Правительства Российской Федерации от 1 ноября 2012 г N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [Электронный ресурс] - URL: https://rg.ru/2012/11/07/pers-dannye-dok.html, (дата обращения — 14.02.20);
13 ООО «АМ Медиа». Недекларированные возможности [Электронный ресурс]: - URL: https://www.anti-malware.ru/threats/undeclared- capabilities, (дата обращения — 12.02.20);
14 Мстандарт. Контроль отсутствия недекларированных возможностей
программного обеспечения [Электронный ресурс] - URL:
https://www.mstandard.ru/certification/04/, (дата обращения — 14.02.20);
15 А. Марков, С. Миронов, В. Цирлов. Выявление уязвимостей в
программном коде [Электронный ресурс] - URL:
https://www.osp.ru/os/2005/12/380655/, (дата обращения - 16.02.20);...28
МЕТОДЫ ПОИСКА ДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ
МЕТОДЫ ПОИСКА ДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ
МЕТОДЫ ПОИСКА ДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

Работу высылаем на протяжении 30 минут после оплаты.




©2025 Cервис помощи студентам в выполнении работ
.