Исследование компьютерной фирмы Sunshine studio
Анализ объекта защиты. Расчет контролируемой зоны объекта. Выявление каналов утечки и несанкционированного доступа к ресурсам. Возможные каналы утечки информации, ранжирование угроз. План защитных мероприятий по видам дестабилизирующего воздействия.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 22.07.2012 |
| Размер файла | 27,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Реферат
В данном курсовом проекте проводиться исследование компьютерной фирмы Sunshine studio, VVC. В качестве выделенного помещения рассматривается офис фирмы, который расположен на втором этаже двухэтажного здания и занимает 3 комнаты. Одна из комнат - кабинет директора, вторая - бухгалтерия, последняя - кабинет программистов.
В ходе выполнения задания были рассмотрены ряд принципиально важных моделей таких, как:
· Топологическая модель объекта;
· Модель объекта защиты;
· Модель технических каналов.
На основе этих моделей будут выявлены возможные технические каналы утечки информации, а также установлена их реальность осуществления и ранжирование угроз.
Содержание
Введение
1. Моделирование объекта защиты
1.1 Структурная модель объекта защиты
1.2 Пространственная модель объекта защиты
2. Моделирование угроз безопасности
2.1 Моделирование технических каналов утечки
Приложение 1 - Общий план объекта защиты
Приложение 2 -План прилегающей территории
Приложение 3 - Условно-графическое обозначение
Заключение
Список используемой литературы
Введение
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной структуры, субъектов, осуществляющих сбор, формирование, распространение и использования информации, а также системы регулирования возникающих при этом общественных отношений. Поэтому важную роль играет защита информации и объектов информатизации. утечка информация канал защита
Первым шагом на пути построения системы защиты информации является разработка документа "Перечень сведений, составляющих коммерческую тайну предприятия". Работу по созданию перечня можно разбить на два этапа: 1) составление предварительного перечня; 2) анализ предварительного перечня, разработка окончательного перечня и его утверждение. Второй этап включает в себя описание пространственного расположения мест размещения источников защищаемой информации. Далее создаются поэтажные планировки зданий с указанием мест размещения источников информации и необходимыми комментариями. Третий этап создания системы защиты информации - моделирование угроз безопасности с целью оценки уязвимости объектов защиты и степени риска, при этом создаются модели технических и физических каналов утечки информации.
Рассмотренный в данной курсовой работе объект защиты представляет компанию, предоставляющую Интернет услуги. В ней существует несколько принципиально разных производств. Первое - это разработка web-сайтов и программного обеспечения. Второе- разработка концепта и продвижение фирм-заказчиков. Для реализации этой деятельности отведено специальное помещение - кабинет программистов. Также в компании имеются комнаты директора и бухгалтерия. На плане помещения все отделы и комнаты подписаны или обозначены соответствующими цифрами. Расшифровка цифр приведена в условных обозначениях.
1. Моделирование объекта защиты
1.1 Структурирование защищаемой информации
Для структурирования информации в качестве исходных данных используются: перечень сведений составляющих государственную, ведомственную и коммерческую тайны; перечень источников информации в организации. Структурирование информации производится путем классификации информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам.
К конфиденциальной информации относятся:
· сведения о клиентах фирмы
· сведения о деятельности фирмы
· сведения о системе безопасности фирмы
· служебная информация о финансовом положении фирмы
· переговоры с клиентами
В зависимости от степени важности и ценности информации определены три грифа конфиденциальности: базовый, расширенный и усиленный.
Каждому грифу конфиденциальности соответствует своя условная цена единицы информации (Мбайт):
· базовый - 1 у.е.
· расширенный - 10 у.е.
· усиленный - 100 у.е.
Стоимость элемента информации определена в соответствии с формулой:
Ц = V * Z , где
Ц - цена защищаемой информации в условных единицах;
V - объём защищаемой информации в мегабайтах;
Z - цена за 1 Мбайт информации.
Если объем информации в электронном и бумажном виде дополняют друг друга, то мы учитываем наибольший объем. При этом одна бумажная страница равна 3 Кбайтам.
Стоимости и объем элементов информации представлены в следующей таблице.
Таблица 1. Объем и стоимость элементов информации.
|
№ |
Наименование элемента информации (объем, Мбайт) |
Гриф конфиденциальнос-ти |
Цена информа-ции, у.е. |
Наименование источника информации |
Место нахождения источника информации |
|
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
1 |
Сведения об экономическом состоянии фирмы (110) |
У |
11 000 |
бухгалтер, директор, электронные документы, бумажные документы |
бухгалтерия кабинет директора компьютеры К1 и К2 сейф в кабинете директора |
|
|
2 |
База данных заказчиков, партнеров фирмы (20) |
Р |
200 |
бухгалтер, директор, электронные документы |
бухгалтерия кабинет директора компьютеры К1, К2, К3 |
|
|
3 |
Архив заключенных, выполненных контрактов (15) |
У |
1 500 |
бумажные документы |
Шкаф1 в кабинете директора, шкаф2 в бухгалтерии |
|
|
4 |
Сведения о конкурентах (70) |
Р |
700 |
бумажные документы, электронные документы |
Шкаф1 компьютер К1 |
|
|
5 |
База данных сотрудников фирмы (10) |
Р |
100 |
бумажные документы, электронные документы |
Шкаф1, шкаф2 компьютеры К1 и К2 |
|
|
6 |
Список правил и внутренний распорядок дня сотрудников (0.5) |
Б |
0.5 |
Бумажные документы |
Шкаф2, шкаф3, письменные столы Ст1, Ст2,Ст3, т4,Ст5,Ст6,Ст7 |
|
|
7 |
Переговоры с клиентами и сотрудниками |
У |
400 |
Директор, клиенты, сотрудники |
Кабинет директора |
|
|
8 |
Сведения о распределении прибыли между сотрудниками (5) |
Р |
50 |
бумажные документы, электронные документы |
Компьютеры К1 и К2 шкаф1 и шкаф2 |
|
|
9 |
Пароли к разрабатываемым ПО и web-сайтам (2) |
У |
200 |
Электронные документы |
Компьютеры К4,К5,К6,К7, |
|
|
10 |
Архив различных версий разрабатываемых ПО, web-сайтов (500) |
Р |
5 000 |
Электронные документы |
Компьютеры К4, К5, К6, К7, CD и DVD-ROM в шкафу4 |
|
|
11 |
Архив названий, логотипов, рекламных буклетов и роликов фирм-заказчиков (75) |
У |
7 500 |
электронные файлы, бумажные документы, образцы продукции |
Компьютеры К4, К5, К6, К7, CD и DVD-ROM в шкафу3, шкаф3 полки П1, П2 П3 |
|
|
12 |
Сведения о концепте и продвижении фирм-заказчиков (60) |
У |
6 000 |
бумажные документы, электронные документы, образцы продукции |
Компьютеры К4, К5, К6, К7, CD и DVD-ROM в шкафу3, шкаф3, полки П1, П2 П3 |
|
|
13 |
Сведения о системе безопасности офиса (5) |
У |
500 |
бумажные документы, электронные документы |
Сейф в кабинете директора, компьютер К1 |
|
|
14 |
Пожарная безопасность (1) |
Р |
10 |
бумажные документы, электронные документы |
Шкаф1, компьютеры К1, К2,К3, К4, К5, К6, К7 |
|
|
15 |
Структура организации (2) |
У |
200 |
бумажные документы, электронные документы |
Шкаф1, компьютер К1 |
|
|
16 |
телефонные переговоры |
Р |
40 |
секретарь, бухгалтер |
бухгалтерия |
1.2 Пространственная модель объекта защиты
Пространственная модель объекта защиты включает в себя план выделенного помещения с указанием комнат, окон, дверей, мест расположения источников информации, батарей и труб отопления, силовых и телефонных кабелей (Приложение 1), а также общий план территории с указанием объекта защиты, окружающих зданий, мест выхода коммуникаций, по которым могут передаваться опасные сигналы с защищаемой информацией (Приложение 2).
Условные обозначения представлены в Приложении 3.
Информация, содержащая описание объекта защиты, собрана в таблице.
Таблица 2. Модель объекта защиты.
|
1 |
Название помещения |
Офис фирмы |
|
|
2 |
Этаж |
Второй. Здание двухэтажное. Sкабинета директора=28 кв.м., Sбухгалтерии=28 кв.м., Sкабинета работников=44 кв.м. |
|
|
3 |
Количество окон, тип сигнализации, наличие штор на окнах |
4 окна, все пластиковые, выходят на проезжую часть, за которой расположен жилой дом. На всех окнах жалюзи. Размеры: 3 окна 1500ммX1500мм, 1 окно 1000ммX1500мм |
|
|
4 |
Двери, кол-во, одинарные, двойные |
3 железные - вход в кабинеты, одинарные, выходят в коридор. |
|
|
5 |
Соседние помещения, толщина стен |
Нет. Стены кирпичные, толщина наружных стен 500 мм; между Каб1 и лестницей, Каб2 и Каб1, Каб3 и Каб2 = 300 мм; между кабинетами и коридором = 200 мм |
|
|
6 |
Помещение над потолком, толщина перекрытий |
Чердак. Толщина перекрытия 250 мм |
|
|
7 |
Помещение под полом, толщина перекрытий |
Офис фирмы. Толщина перекрытия 250 мм |
|
|
8 |
Вентиляционные отверстия, места размещения, размеры |
Нет |
|
|
9 |
Батареи отопления, типы, куда выходят трубы |
3 радиаторных батареи. Размещены вдоль окон, трубы выходят на 1 этаж и подвал в общий стояк |
|
|
10 |
Цепи электропитания |
Цепь электропитания организации через трансформаторный блок подключена к городской сети. Напряжение в помещении 220 В. Имеется распределительный щит на первом этаже. На данном объекте защиты расположено 8 розеток. 7 источников бесперебойного питания |
|
|
11 |
Телефон |
Внутренняя АТС с выходом на ГТС. Имеется 1 телефон Panasonic P-37 в бухгалтерии на столе секретаря. Провода - 2-х жильные медные кабели, идущие к миниАТС. |
|
|
12 |
Радиотрансляция |
Отсутствует |
|
|
13 |
Электронные часы |
Отсутствуют |
|
|
14 |
Бытовые радиосредства |
Отсутствуют |
|
|
15 |
Бытовые электроприборы |
Вентилятор в кабинете работников, принтер HP-Laser Jet 1200 в кабинете директора |
|
|
16 |
ПЭВМ |
7 ПК типа IBM на базе Intel Pentium IV , 1 - в кабинете директора, 2 - в бухгалтерии, 4- в кабинете работников. 4 компьютер в кабинете работников объединены в локально-вычислительную сеть, которая не выходит за пределы рассматриваемого объекта защиты. Мониторы ЖК Все компьютеры имеют доступ к сети Internet, связь Ufanet. |
|
|
17 |
Технические средства охраны |
электронный замок на входной двери на 1 этаже |
|
|
18 |
Телевизионные средства наблюдения |
нет |
|
|
19 |
Пожарная сигнализация |
3 датчика дыма и температуры system sensor 2151, расположенные в середине потолка, в каждой комнате по одному. |
|
|
20 |
Другие средства |
Ограждение в виде забора; шлагбаум, у которого будка с двумя охранниками |
2. Моделирование угроз безопасности
Моделирование угроз безопасности предусматривает анализ способов хищения, изменения и уничтожения с целью оценки наносимого этим ущерба. Действия злоумышленника по добыванию информации и материальных ценностей определяется поставленными целями и задачами, мотивацией, квалификацией, технической оснащенностью.
В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, чем ее недооценить.
Модель злоумышленника выглядит следующим образом: противник, тщательно готовящийся к операции проникновения, который изучает, обстановку вокруг территории, изучает механические преграды, средства охраны, ТВ-наблюдения и освещения, может использовать сотрудников с целью добывания от них информации о способах и средствах защиты. Злоумышленник имеет в своем распоряжении современные технические средства, хорошо осведомлен о существующих средствах защиты информации в организации, знает типовые варианты их применения, слабые места и “мертвые зоны” диаграмм направленности активных средств охраны.
Моделирование угроз безопасности информации включает в себя два этапа:
моделирование способов физического проникновения злоумышленника к источникам информации и моделирование технических каналов утечки информации. В данной курсовой работе рассматривается только моделирование технических каналов утечки информации.
2.1 Моделирование технических каналов утечки
Создание модели технических каналов утечки предполагает выявление и структурирование всех угроз безопасности защищаемой информации, возникающих при применении злоумышленником различных технических средств съема информации, с целью определения наиболее вероятных путей утечки и прогнозирования значений ущерба при различных сценариях развития информационных угроз.
Необходимо рассмотреть как можно более полный спектр технических каналов утечки защищаемой информации. Для этого нужно рассмотреть функционирование всех технических средств обработки информации, оконечные устройства, являющиеся источниками защищаемой информации, линии передачи конфиденциальной информации. Также необходимо проанализировать и работу вспомогательных технических систем - распределительных и коммутационных устройств, систем электропитания, заземления, технических средств открытой телефонной связи, систем охранной и пожарной сигнализации и т. д. Особое внимание необходимо уделять линиям коммуникаций, выходящим за пределы охраняемой территории.
Также необходимо изучить возможности получения злоумышленником конфиденциальной информации из разговоров сотрудников, служебных документов.
При моделировании технических каналов утечки, для каждого канала указывается источник (передатчик) сигнала, путь утечки, приемник, а также производится оценка реальности канала, величины и ранга информационной угрозы, возникающей при использовании данного канала.
Оценка реальности канала утечки выполняется с помощью следующей формулы:
= Си / Cку
где Си - стоимость информации, которая может быть получена по данному каналу;
Ску - стоимость реализации данного канала утечки информации.
Для простоты подразумевается, что злоумышленник неограниченно долго может использовать специальные технические средства съема информации. То есть вероятность того, что за определенный период времени он получит нужную информацию близка к единице.
В таблице ниже приведены данные об ориентировочной стоимости основных устройств, которые могут быть применены для реализации технических каналов утечки на рассматриваемом объекте защиты. Цена каждого из этих устройств и будет составлять стоимость реализации соответствующего канала утечки информации Ску. Цены устройств съема информации представлены в рублях:
Таблица 3 - Ориентировочные цены специальных технических средств
|
Техническое средство съема |
Цена реализации ТКУИ (СКУ) |
|
|
Телефонное закладное устройство |
300 |
|
|
Цифровой диктофон |
400 |
|
|
Стетоскоп |
1500 |
|
|
Селективный вольтметр |
1900 |
|
|
Миниатюрная видеокамера |
600 |
|
|
Широкополосный сканирующий приемник |
4000 |
|
|
Акустическая радиозакладка |
200 |
|
|
Фотокамера |
150 |
В таблице 4 производится ранжирование угроз информации относительно оценки реальности пути угрозы:
Таблица 4 - Ранжирование угроз информации
|
Величина угрозы |
Ранг угрозы |
|
|
50-55 |
1 |
|
|
27,5-40 |
2 |
|
|
12,5-18,3333 |
3 |
|
|
8,3333-10 |
4 |
|
|
3,1579-7,3333 |
5 |
|
|
1,25-2 |
6 |
|
|
0,6667-1,1667 |
7 |
|
|
0,2-0,5 |
8 |
|
|
0,1-0,175 |
9 |
|
|
0,025-0,083 |
10 |
|
|
0,005-0,0167 |
11 |
|
|
0,0003-0,0033 |
12 |
Таким образом, наиболее важными каналами утечки защищаемой информации являются оптический и акусторадиоэлектронный каналы. Вести акустический контроль помещения в организации с помощью лазерного и направленного микрофона не представляется возможным, в виду особенностей расположения здания, наличия тройного стеклопакета и жалюзей, но опасность реализации составных акустических каналов утечки существует. Самые важные и наиболее вероятные угрозы - визуальный контроль документов с помощью беспроводной мини видеокамеры, фотографирование бумажных документов и материальных тел, запись разговоров на цифровой диктофон, акустическая радиозакладка. Остальные типы угроз имеют низкую вероятность.
В качестве организационных мероприятий по защите информации можно предложить следующие меры:
· специальная проверка радиоэлектронной аппаратуры, устанавливаемой в выделенном помещении;
· периодический радиоконтроль (радиомониторинг) выделенного помещения;
· специальные проверки проводных линий;
· проведение тестового “прозвона” всех телефонных аппаратов, установленных в проверяемом помещении, с контролем (на слух) прохождения всех вызывных сигналов АТС.
Заключение
В курсовой работе было произведено моделирование объекта защиты, представляющего собой Интернет компанию. В ходе моделирования было выполнено структурирование защищаемой информации и разработана модель объекта защиты. Затем было выполнено моделирование угроз безопасности, включающее в себя модель технических каналов утечки информации.
Список используемой литературы
1) Машкина И.В, курс лекций по ИТЗИ, УГАТУ, 2007 г.
2) Корнеев И.К, Степанов Е.А. Информационная безопасность и защита информации: Учебное пособие. -М.: ИНФРА - М, 2001. - 304с..
3) Торокин А.А Основы инженерно-технической защиты информации, 1997г.
4) Хорев А.А. Технические каналы утечки акустической (речевой) информации. - “Специальная Техника” № 1, 1998.
5) Хорев А.А. Классификация и характеристика технических каналов утечки информации, обрабатываемой ТСПИ и передаваемой по каналам связи.
6) Сайт www.razvedka.ru
Размещено на Allbest.ru
Подобные документы
Возможные каналы утечки информации. Расчет контролируемой зоны объекта. Защита по виброакустическому каналу утечки информации. Выявление несанкционированного доступа к ресурсам. Система постановки виброакустических и акустических помех "Шорох-1М".
курсовая работа [857,2 K], добавлен 31.05.2013Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Наиболее распространённые пути несанкционированного доступа к информации, каналы ее утечки. Методы защиты информации от угроз природного (аварийного) характера, от случайных угроз. Криптография как средство защиты информации. Промышленный шпионаж.
реферат [111,7 K], добавлен 04.06.2013Обработка информации, анализ каналов ее возможной утечки. Построение системы технической защиты информации: блокирование каналов несанкционированного доступа, нормативное регулирование. Защита конфиденциальной информации на АРМ на базе автономных ПЭВМ.
дипломная работа [398,5 K], добавлен 05.06.2011Основные принципы работы измерительного комплекса "Навигатор", возможность перехвата побочных электромагнитных излучений и наводок с защищаемого объекта. Определение требуемого радиуса контролируемой зоны для защиты конфиденциальной информации от утечки.
курсовая работа [1,4 M], добавлен 02.10.2013Анализ источников опасных сигналов и определение потенциальных технических каналов утечки информации и несанкционированного доступа. Организационные и технические методы защиты информации в выделенном помещении, применяемое инженерное оборудование.
курсовая работа [519,4 K], добавлен 18.11.2015Понятие и типы мобильной системы связи. Особенности построения и функционирования. Система обеспечения защиты информации. Понятие и классификация угроз. Виды представления информации и возможные каналы ее утечки. Сценарии несанкционированного доступа.
курсовая работа [278,1 K], добавлен 23.11.2013Варианты управления компьютером при автономном режиме. Классификация угроз безопасности, каналов утечки информации. Программно-аппаратные комплексы и криптографические методы защиты информации на ПЭВМ. Программная система "Кобра", утилиты наблюдения.
контрольная работа [23,8 K], добавлен 20.11.2011Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа [839,2 K], добавлен 19.02.2017Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".
курсовая работа [198,0 K], добавлен 15.03.2016
