📄Работа №77797
Тема: Разработка методологии по обеспечению информационной безопасности корпоративных сетей
Тип работы
Дипломные работы, ВКР
Предмет
информационные системы
Объем:
33 листов
Год:
2017
Просмотров:
131
4245
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Оглавление
1.1 Описание корпоративной сети... 6
1.2 Модель угроз 7
1.2.1 Базовые виды угроз информации 7
1.2.2 Угрозы нарушения конфиденциальности 8
1.2.3 Угрозы нарушения целостности 8
1.2.4 Угрозы нарушения доступности 8
1.2.5 Угрозы нарушения аутентичности 9
1.2.6 Угрозы нарушения наблюдаемости 9
1.4 Постановка задачи по оценке защищенности 9
2. ОПИСАНИЕ СРЕДСТ ЗАЩИТЫ КИС 11
2.1 Межсетевые экраны 11
2.1.1 Технология экранирования сети.....
Рисунок. 2.1 Схема Firewall 11
2.3 Антивирусная защита 12
2.3.1 Актуальность проблемы вирусной защиты 12
2.4 VPN решения 14
2.4.1 Варианты реализации VPN 14
3.1 Проблема выбора эффективного решения 15
3.1 Критерии оценивания системы СЗИ 16
Рисунок. 3.1. Критерии оценки защищенности 17
3.2 Оценка защищенности при помощи рисков 17
3.3 Задание входных параметров системы для методики 21
3.3.1 Способы задания интенсивностей и вероятностей угроз 21
Второй способ — это способ пропорциональности потерям 22
3.3.2 Способы задания стоимости информационных ресурсов.... 23
Рисунок 3.2. Взаимозависимость параметров защиты 24
3.4 Метод уступок при выборе оптимального варианта защиты 25
Рисунок 3.3. Пример применения метода последовательного выбора уступок 26
3.5 Описание пошаговой методики 26
4. Применение методики определения уровня защищенности и обоснования эффективности средств защиты КИС 28
4.1 Описание защищаемой корпоративной системы 28
4.2 Определение списка угроз для данной КИС 29
4.3 Оценка стоимости информационных ресурсов 29
4.4 Оценка уровня защищенности КИС и обоснование эффективности
выбранных средств защиты 30
Заключение 32
Список литературы 33
1.1 Описание корпоративной сети... 6
1.2 Модель угроз 7
1.2.1 Базовые виды угроз информации 7
1.2.2 Угрозы нарушения конфиденциальности 8
1.2.3 Угрозы нарушения целостности 8
1.2.4 Угрозы нарушения доступности 8
1.2.5 Угрозы нарушения аутентичности 9
1.2.6 Угрозы нарушения наблюдаемости 9
1.4 Постановка задачи по оценке защищенности 9
2. ОПИСАНИЕ СРЕДСТ ЗАЩИТЫ КИС 11
2.1 Межсетевые экраны 11
2.1.1 Технология экранирования сети.....
Рисунок. 2.1 Схема Firewall 11
2.3 Антивирусная защита 12
2.3.1 Актуальность проблемы вирусной защиты 12
2.4 VPN решения 14
2.4.1 Варианты реализации VPN 14
3.1 Проблема выбора эффективного решения 15
3.1 Критерии оценивания системы СЗИ 16
Рисунок. 3.1. Критерии оценки защищенности 17
3.2 Оценка защищенности при помощи рисков 17
3.3 Задание входных параметров системы для методики 21
3.3.1 Способы задания интенсивностей и вероятностей угроз 21
Второй способ — это способ пропорциональности потерям 22
3.3.2 Способы задания стоимости информационных ресурсов.... 23
Рисунок 3.2. Взаимозависимость параметров защиты 24
3.4 Метод уступок при выборе оптимального варианта защиты 25
Рисунок 3.3. Пример применения метода последовательного выбора уступок 26
3.5 Описание пошаговой методики 26
4. Применение методики определения уровня защищенности и обоснования эффективности средств защиты КИС 28
4.1 Описание защищаемой корпоративной системы 28
4.2 Определение списка угроз для данной КИС 29
4.3 Оценка стоимости информационных ресурсов 29
4.4 Оценка уровня защищенности КИС и обоснование эффективности
выбранных средств защиты 30
Заключение 32
Список литературы 33
📖 Введение
В современном обществе предоставление информационной безопасности - это значимое условие развития компании. Огромное внимание уделяется советам нормативно-методической базы в сфере защиты информации. Совместно с этим большинство ведущих российских компаний применяют определенные вспомогательные средства, нацеленные на предоставление стабильного и устойчивого функционирования корпоративных сетей и информационных систем для того чтобы поддержать успешное ведение бизнеса.
Сейчас все чаще компании сталкиваются с системным подходом при создании СЗИ. Представление системности заключается не только в использовании определенных элементов защиты информации, но и в поддержании этого процесса на всех стадиях жизненного цикла ИС. Все без исключения ресурсы, способы и события объединяются в общую систему - систему защиты. Однако потребность предоставление абсолютной безопасности информации и технологий никак не стоит в 1 ряду с получением выгоды с определенной ИС у конечных пользователей.
На сегодняшний день эксперты все чаще сталкиваются с задачей охраны данных. Это обуславливается тем, что влияние информационных технологий на повседневную жизнь увеличивается с невероятной скоростью. Сегодня специалисты все чаще сталкиваются с проблемой защиты информации. Это обусловлено тем, что влияние информационных технологий в повседневной жизни растет с невообразимой скоростью. И не трудно догадаться, что в скором времени они заменят множество ролей человека в решении тех или иных задач.
Любой из экспертов сам решает проблему предоставления информационной безопасности. Он использует собственные методы и способы с целью достижения намеченных целей. Интересно то, что каждый в своем случае добивается верных решений. Но, как демонстрирует практика,
комплекс подобных верных заключений никак не приносит в сумме позитивного итога - созданная система может функционировать малоэффективно.
В случае если несколько экспертов работают вместе, то создать высококачественную концепцию защиты информации и технологий может не получится. Так как у любого специалиста собственные взгляды и представления об эффективности отдельной системы. Подобное положение дел обуславливается отсутствием системного подхода, который установил бы взаимосвязи между имеющимися представлениями, определениями и методами защиты информации.
Таким образом, интенсивное развитие информационных систем порождает необходимость развития систем защиты, которые бы учитывали особенности каждой из таких систем. В то же время большой объем публикация, посвященных это теме, не поможет создать качественную систему защиты. Это обусловлено тем, что прочитав одну, а затем вторую, у пользователь задается вопросом - а какая из них качественнее? Опираться лишь на свое чутье или отзывы будет не рационально, ведь конечный пользователь не всегда разбирается в области защиты информационных технологий. Что касается отзывов, то люди производят что-то новое каждый день, но новые технологии еще не обладают тем количеством положительных отзывов, чтобы обеспечить необходимую долю уверенности, что ваша ИС будет в безопасности. Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые требования информационной безопасности.
Фактическая цель предоставления информационной безопасности заключается в исследовании и создании системы ИБ, которая на основе научно-методического аппарата, позволила бы создавать, использовать и оценивать эффективность СЗИ для разрабатываемых и уже существующих ИС. Основной задачей модели является научный подход к созданию системы информационной безопасности за счет правильной оценки принимаемых решений и подбора оптимального варианта технической реализации СЗ.
Специфическими особенностями решения задачи по созданию системы защиты являются:
• неполнота и неясность начальных данных о составе ИС и свойственных ей угрозах;
• многокритериальность проблемы, сопряженная с потребностью учета значительного количества индивидуальных характеристик СЗИ;
• наличие равно как численных, так и высококачественных характеристик, которые следует принимать во внимание при постановлении вопросов о разработке и внедрении СЗИ;
В дипломной работе отражена методика, позволяющая получать количественную оценку состояния защищенности ИС, учитывая представления специалистов, их навыки при оценке системы защиты на основании оценки вероятности угроз. Данная методика использует наработки из области рисков, позволяя строить СЗИ согласно собственным данным пропорционально масштабу угроз. Таким образом, методика обязана позволить выбирать оптимальные средства защиты для каждой конкретной информационной системы, которая характеризуется индивидуальным набором угроз, требованиям и моделью нарушителя. Использование данной методики для оценки существующих систем позволит принять решение о целесообразности их усовершенствования, и даст возможность исключить малоэффективное применение средств защиты информации при проектировании.
Сейчас все чаще компании сталкиваются с системным подходом при создании СЗИ. Представление системности заключается не только в использовании определенных элементов защиты информации, но и в поддержании этого процесса на всех стадиях жизненного цикла ИС. Все без исключения ресурсы, способы и события объединяются в общую систему - систему защиты. Однако потребность предоставление абсолютной безопасности информации и технологий никак не стоит в 1 ряду с получением выгоды с определенной ИС у конечных пользователей.
На сегодняшний день эксперты все чаще сталкиваются с задачей охраны данных. Это обуславливается тем, что влияние информационных технологий на повседневную жизнь увеличивается с невероятной скоростью. Сегодня специалисты все чаще сталкиваются с проблемой защиты информации. Это обусловлено тем, что влияние информационных технологий в повседневной жизни растет с невообразимой скоростью. И не трудно догадаться, что в скором времени они заменят множество ролей человека в решении тех или иных задач.
Любой из экспертов сам решает проблему предоставления информационной безопасности. Он использует собственные методы и способы с целью достижения намеченных целей. Интересно то, что каждый в своем случае добивается верных решений. Но, как демонстрирует практика,
комплекс подобных верных заключений никак не приносит в сумме позитивного итога - созданная система может функционировать малоэффективно.
В случае если несколько экспертов работают вместе, то создать высококачественную концепцию защиты информации и технологий может не получится. Так как у любого специалиста собственные взгляды и представления об эффективности отдельной системы. Подобное положение дел обуславливается отсутствием системного подхода, который установил бы взаимосвязи между имеющимися представлениями, определениями и методами защиты информации.
Таким образом, интенсивное развитие информационных систем порождает необходимость развития систем защиты, которые бы учитывали особенности каждой из таких систем. В то же время большой объем публикация, посвященных это теме, не поможет создать качественную систему защиты. Это обусловлено тем, что прочитав одну, а затем вторую, у пользователь задается вопросом - а какая из них качественнее? Опираться лишь на свое чутье или отзывы будет не рационально, ведь конечный пользователь не всегда разбирается в области защиты информационных технологий. Что касается отзывов, то люди производят что-то новое каждый день, но новые технологии еще не обладают тем количеством положительных отзывов, чтобы обеспечить необходимую долю уверенности, что ваша ИС будет в безопасности. Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые требования информационной безопасности.
Фактическая цель предоставления информационной безопасности заключается в исследовании и создании системы ИБ, которая на основе научно-методического аппарата, позволила бы создавать, использовать и оценивать эффективность СЗИ для разрабатываемых и уже существующих ИС. Основной задачей модели является научный подход к созданию системы информационной безопасности за счет правильной оценки принимаемых решений и подбора оптимального варианта технической реализации СЗ.
Специфическими особенностями решения задачи по созданию системы защиты являются:
• неполнота и неясность начальных данных о составе ИС и свойственных ей угрозах;
• многокритериальность проблемы, сопряженная с потребностью учета значительного количества индивидуальных характеристик СЗИ;
• наличие равно как численных, так и высококачественных характеристик, которые следует принимать во внимание при постановлении вопросов о разработке и внедрении СЗИ;
В дипломной работе отражена методика, позволяющая получать количественную оценку состояния защищенности ИС, учитывая представления специалистов, их навыки при оценке системы защиты на основании оценки вероятности угроз. Данная методика использует наработки из области рисков, позволяя строить СЗИ согласно собственным данным пропорционально масштабу угроз. Таким образом, методика обязана позволить выбирать оптимальные средства защиты для каждой конкретной информационной системы, которая характеризуется индивидуальным набором угроз, требованиям и моделью нарушителя. Использование данной методики для оценки существующих систем позволит принять решение о целесообразности их усовершенствования, и даст возможность исключить малоэффективное применение средств защиты информации при проектировании.
✅ Заключение
В данной дипломной работе я показал необходимость осознания значимости безопасности информации, технологий корпоративных сетей и информационных систем, малую часть существующих угроз для жизненного цикла информационных систем, а так же разработал методику выбора оптимальных средств по защите информации для конкретной сети или информационной системы. В основе данной методики лежит подход оценки защищенности, эффективности существующих средств защиты информации с точки зрения рисков. В настоящее время данных подход является оптимальным при обеспечении безопасности информационных технологий. Он позволяет описать уязвимости, которые наиболее характерны для разрабатываемой или существующей информационной системы или сети, спланировать стоимость всей системы защиты в целом, а так же ранжировать риски по степени причинения ущерба для успешной деятельности предприятия.
Что касается преимуществ использования данной методики, то к ним, несомненно, можно отнести простоту применения, математический аппарат, который является, несомненно, более точным при оценке, чем отдельное мнение экспертов, а так же простота в понимании. Так же большим плюсом данной методики является ее эффективность в любой сфере деятельности, ведь она рассматривает информационную систему с точки зрения рисков и может быть адаптирована под любую организацию.
Из небольшого количества недостатков хотелось бы выделить то, что методика не учитывает функциональное взаимодействие средств защиты. То есть мы рассматриваем каждый механизм отдельно. В качестве примера можно привести такую ситуацию: на предприятия имеется VPN и антивирусный шлюз. Первый находится за вторым, а антивирусный шлюз не может проверить зашифрованный трафик. Для решения подобных проблем необходимо более детально прорабатывать совместимость проектируемых средств защиты информации. Сомнительным недостатком является тот факт, что точность оценки зависит от полноты списка существующих угроз. Ведь первоначальной целью было создание точного систематического подхода, который смог бы эффективно оценивать, планировать систему защиты. Но данная методика работает правильно, при полном осознании важности обеспечения информационной безопасности и серьезном отношении к данной проблеме.
Просуммировав все вышесказанное, сделаем вывод, что методика может использоваться оценки уровня защищенности информационной системы или корпоративной сети на протяжении всего жизненного цикла.
Что касается преимуществ использования данной методики, то к ним, несомненно, можно отнести простоту применения, математический аппарат, который является, несомненно, более точным при оценке, чем отдельное мнение экспертов, а так же простота в понимании. Так же большим плюсом данной методики является ее эффективность в любой сфере деятельности, ведь она рассматривает информационную систему с точки зрения рисков и может быть адаптирована под любую организацию.
Из небольшого количества недостатков хотелось бы выделить то, что методика не учитывает функциональное взаимодействие средств защиты. То есть мы рассматриваем каждый механизм отдельно. В качестве примера можно привести такую ситуацию: на предприятия имеется VPN и антивирусный шлюз. Первый находится за вторым, а антивирусный шлюз не может проверить зашифрованный трафик. Для решения подобных проблем необходимо более детально прорабатывать совместимость проектируемых средств защиты информации. Сомнительным недостатком является тот факт, что точность оценки зависит от полноты списка существующих угроз. Ведь первоначальной целью было создание точного систематического подхода, который смог бы эффективно оценивать, планировать систему защиты. Но данная методика работает правильно, при полном осознании важности обеспечения информационной безопасности и серьезном отношении к данной проблеме.
Просуммировав все вышесказанное, сделаем вывод, что методика может использоваться оценки уровня защищенности информационной системы или корпоративной сети на протяжении всего жизненного цикла.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.