Моей дипломной работы посвящена разработке прототипа защищенного съемного носителя информации - polpoz.ru o_O
Главная
Поиск по ключевым словам:
страница 1страница 2
Похожие работы
Название работы Кол-во страниц Размер
Пояснительная записка к дипломной работе На тему: «Организация конференц-связи... 5 526.56kb.
Дипломной работы особенности бухучета в бюджетных организациях утверждена... 1 42.58kb.
План дипломной работы 3 953.04kb.
На космодроме Байконур продолжаются работы по сборке головной части... 1 6.57kb.
Тема: Мороженое вред и польза. Цель моей работы 1 37kb.
В. И. Бажанов Руководство по выполнению дипломной работы 2 583.24kb.
Разработка системы дистанционного обучения (сдо) сгпа им. З 1 46.37kb.
Новые возможности в предоставлении информации международных организаций... 1 133.93kb.
Диссертационная работа посвящена проблеме повышения эффективности... 1 139.89kb.
Объединяющем ведущие британские частные школы, заявил о разработке... 1 11.71kb.
1. 3aгaдaнo число из промежутка от 1 до 64. Какое количество информации... 1 333.11kb.
Руководство сша, учитывая сложившуюся в последние годы военно-стратегическую... 1 193.92kb.
1. На доске выписаны n последовательных натуральных чисел 1 46.11kb.

Моей дипломной работы посвящена разработке прототипа защищенного съемного носителя - страница №1/2

Оглавление




Введение


Наше время — время информации, которая давно уже стала самым ценным ресурсом. Информация всегда связана с материальным носителем. Носитель информации — это среда для записи и хранения информации. В век информационных технологий, электронные носители информации стали одними из ключевых. Электронные носители информации могу классифицироваться: по энергозависимости, по физическому принципу, по форме записанной информации, по устойчивости записи и возможности перезаписи, по типу доступа, по устойчивости записи и возможности перезаписи, по геометрическому исполнению, и по количеству устойчивых (распознаваемых) состояний одного элемента памяти. [1] Наиболее широкое распространение получили съемные носители информации с энергонезависимой памятью, этому способствовало: возможность автономного хранения информации независимого от места записи использования, что определенно сделало эти носители удобными для конечного пользователя; а также низкая стоимость таких носителей информации. Когда съемный носитель информации используется для хранения конфиденциальной информации, то возникает вопрос: как защитить ту информацию, которая хранится на таком носителе от угрозы несанкционированного доступа (НСД) третьих лиц?

Тема моей дипломной работы посвящена разработке прототипа защищенного съемного носителя информации (далее Устройство).



Актуальность данной темы обусловлена проблемой возникновения угрозы несанкционированного доступа к данным, которые хранятся на съемном носителе информации.

Степень разработанности проблемы. На рынке устройств, предназначенных для хранения информации есть и решения, представляющие собой защищенные съемные носители информации. Такими решениями можно назвать следующие продукты: Samurai Flash Drive, Data Locker DL3, IStorage datAshur, Aegis Secure Key, diskAshur SSD, Kingston Digital DataTraveler Vault Privacy 3.0. Однако, на мой взгляд, устройства, позиционируемые производителями как защищенные съемные носители информации, рассматриваемые мной в рамках данной дипломной работы не предлагают оптимального решения по полному предотвращению возникновения угрозы несанкционированного доступа к той информации, которая хранится на данных устройствах.

Цель дипломной работы состоит в разработке прототипа защищенного съемного носителя информации, способного предотвратить угрозу несанкционированного доступа третьих лиц к информации, которая хранится на этом носителе.

Поставленная цель обусловила следующие задачи дипломной работы:



  • выявить условия возникновения угрозы НСД к информации, которая хранится на съемном носителе информации;

  • учитывая выявленные условия возникновения угрозы НСД, определить качественные требования, предъявляемые к Устройству, которые позволят исключить возможность возникновения угрозы НСД;

  • разработать алгоритм работы Устройства с учетом предъявляемых к нему требований в рамках данной дипломной работы;

  • подобрать оптимальный с точки зрения алгоритма работы Устройства и экономических затрат набор электронных компонентов необходимых для сборки Устройства;

  • в соответствие с алгоритмом работы Устройства и с подобранным набором компонентов, разработать программную составляющую Устройства;

  • произвести сборку прототипа Устройства.

Объектом исследования выступает совершенствование аппаратно-программных средств хранения информации, где в качестве аппаратно-программных средств хранения информации выступает защищенный съемный носитель информации.

Предметом исследования в дипломной работе является угроза возникновения несанкционированного доступа к информации хранимой на съемном носителе данных.

Теоретическая значимость дипломного исследования состоит в развитии и совершенствовании с точки зрения информационной безопасности аппаратно-программных средств хранения информации.

Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации, которая хранится на съемном носителе, путем использования предложенных методов, алгоритмов и практических процедур при разработке устройства подобного класса.

Новизна дипломной работы заключается в разработке комплекса методов и средств позволяющих полностью предотвратить возникновение угрозы несанкционированного доступа к информации, которая хранится на съемном носителе информации.

Наиболее существенные результаты, полученные в процессе разработки, состоят в следующем:

  • выявлены условия возникновения угрозы НСД к информации, которая хранится в Устройстве;

  • определены качественные требования, предъявляемые к Устройству, которые позволяют исключить возможность возникновения угрозы НСД к информации, которую он содержит;

  • разработан алгоритм работы Устройства с учетом предъявляемых к нему требований в рамках данной дипломной работы;

  • подобран оптимальный с точки зрения алгоритма работы Устройства и экономических затрат набор электронных компонентов необходимых для сборки Устройства;

  • разработана программная составляющая Устройства;

  • произведена сборка прототипа Устройства.


Глава 1. Основы обеспечения защиты критически важной информации, хранимой на съемном носителе информации


    1. Понятие конфиденциальной информации

С точки зрения законодательства РФ понятию критически важная информации наиболее близко конфиденциальная информация. Согласно Федеральным законом от 28.12.2013 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация подразделяется на общедоступную информацию и информацию, доступ к которой ограничивается. Ограничение доступа к информации устанавливается федеральными законами.

Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию составляющею государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).

Понятие конфиденциальности информации раскрывает Федеральный закон «Об информации, информационных технологиях и о защите информации»: «конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».

Организация работы с конфиденциальной информацией регулируется рядом законов. В понятие конфиденциальной информации входят различные виды информации, перечень которых установлен Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» (в ред. от 23.09.2005):

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. [2]



    1. Нарушитель информационной безопасности

Для обеспечения информационной безопасности в автоматизированных системах и в их компонентах, построения эффективной системы защиты информации, не достаточно выявить каналы утечки информации, проанализировать возможные угрозы, последствия их реализации и оценить потери. Нужно еще хорошо представлять облик нарушителя.

Нарушитель информационной безопасности - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства.

Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, обладающих соответствующим потенциалом. Только совокупность знаний обо всех элементах облика нарушителя позволит адекватно отреагировать на возможные угрозы, и в конце концов выбрать соответствующие средства защиты.

Классификация нарушителей ИБ

Всех нарушителей принято классифицировать следующим образом:

По уровню знаний об информационном ресурсе:


  • нарушитель знает функциональные особенности информационного ресурса;

  • обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживанием;

  • обладает высокими умениями в области программирования и вычислительной техники;

  • знает структуру, функции и механизм действия средств защиты, а также их сильные и слабые стороны.

По уровню возможностей (по использованным методам и средствам):

  • использует только агентурные методы получения сведений;

  • применяет пассивные средства, т.е. технические средства перехвата без модификации компонентов системы;

  • использует только штатные средства самой системы и недостатки систем защиты для её преодоления. Т.е. совершает НСД с использованием разрешенных средств, а также использует компактные оптические или магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

  • применяет методы и средства активного воздействия. Возможна модификация существующих или подключенных доп. технических средств, подключение к каналам передачи данных. Внедрение программы закладок или использование специальных инструментальных и технологических программ.

По времени действия:

  • в процессе функционирования системы;

  • в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов, во время перерывов для технического обслуживания);

  • как в процессе функционирования системы, так и в период неактивности компонентов системы.

По месту действия:

  • без доступа на контролируемую территорию организации;

  • с контролируемой территории, но без доступа в здание к технологическим средствам;

  • внутри помещений, но без доступа к техническим средствам;

  • с рабочих мест конечных пользователей;

  • с доступом в зону данных;

  • с доступом в зону управления средствами обеспечения безопасности.



    1. Угроза информационной безопасности

Под угрозой в информационной безопасности понимается потенциально существующая возможность случайного или преднамеренного действия (бездействия), в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. Если говорить простым языком, то угроза информационной безопасности — это потенциально возможное событие, действие, процесс или явление, которое может привести к ущербу чьим-либо интересам.

Естественные угрозы— это угрозы, вызванные воздействием на автоматизированную систему или ее компоненты, стихийных природных явлений, не зависящих от человека.

Естественные делятся на:


  • природные, к ним можно отнести: магнитные бури, стихийные бедствия, радиоактивное излучение, осадки;

  • технические, они связаны с надежностью технических средств, обработки информации и систем обеспечения.

Искусственные бывают:

  • непреднамеренные (случайные), это те угрозы, что совершенны по незнанию и без злого умысла, например, из любопытности или халатности;

  • преднамеренные.

Каналы проникновения в систему и их классификация:

По способу:



  • прямые;

  • косвенные.

По типу основного средства для реализации угрозы:

  • человек;

  • аппаратура;

  • программа.

По способу получения информации:

  • физический;

  • электромагнитный;

  • информационный.

При разработке модели нарушителя определяют:

  • предположение о категории лиц, к которым может принадлежать нарушитель;

  • предположение о мотивах действий нарушителя;

  • предположение о квалификации нарушителя и его технической оснащённости;

  • ограничения и предположения о характере возможных действий нарушителя;

  • по отношению к АС все нарушители могут быть либо внутренними, либо внешними.

Внутренние:

  • пользователи;

  • персонал обслуживающий технические средства и сотрудники отделов разработки и сопровождения ПО;

  • технический персонал, обслуживающий здания;

  • сотрудники службы безопасности АС;

  • руководители различных уровней должностной иерархии.

Внешние:

  • клиенты;

  • посетители;

  • представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности предприятия (энерго-, водо- и теплоснабжение);

  • представители конкурирующих организаций или лица, действующие по их заданию;

  • лица, случайно или намеренно нарушившие пропускной режим;

  • любые лица за пределами контролируемой территории.

С точки зрения выделения мотивов нарушений принято выделять 3 мотива:

  • безответственность (некомпетентность, небрежность);

  • самоутверждение;

  • корыстный интерес.

Знание спектра потенциальных угроз защищаемой информации, умение квалифицированно и объективно оценить возможность их реализации и степень опасности каждой из них, является важным этапом сложного процесса организации и обеспечения защиты информации. Определение полного множества угроз информационной безопасности практически невозможно, но относительно полное описание их, применительно к рассматриваемому объекту, может быть достигнуто при детальном составлении модели угроз. Классификационные признаки объектов защиты и угроз безопасности автоматизированным системам:

Основная угроза информационной безопасности, которая применима к разрабатываемому в данной дипломной работе прототипу Устройства, эта угроза несанкционированного доступа к информации (НСД).

Угроза несанкционированного доступа к информации подразумевает под собой доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированными системами (АС).

Анализ модели вычислительной системы с безопасной обработкой информации позволяет рассматривать вычислительную систему как объект, в котором имеется некоторое множество возможных каналов несанкционированного доступа к предмету защиты информации. Для построения защиты информации в системе на каждом возможном канале несанкционированного доступа (ВКНСД), а если возможно, сразу на нескольких установить соответствующую преграду. Чем большее количество ВКНСД перекрыто средствами защиты и выше вероятность их преодоления нарушителем, тем выше безопасность информации. Структура защиты будет носить многозвенный и многоуровневый характер. Количество перекрываемых ВКНСД при этом будет зависеть от заданной квалификации нарушителя.

На основании вышеописанного для Устройства была составлена частная модель угроз, представленная в Таблице 1.

Таблица . Частная модель угроз разрабатываемого прототипа Устройства

Наименование угрозы

Объект воздействия

Меры по противодействию угрозе

Угрозы несанкционированного доступа к информации




Хищения носителя информации

Носитель информации

Ограничение доступа к памяти с помощью Pin-кода;

Отсутствие демаскирующих признаков во внешнем виде Устройства.



Физическое воздействие на пользователя обладающего знанием Pin-кода

Пользователь

Уничтожение данных путем ввода Pin-кода, предназначенного для уничтожения данных.

Считывание информации непосредственно с внутренней памяти Устройства с использованием специальных Устройств (считыватели памяти).

Информация

Аппаратное шифрование данных;

Заливка платы эпоксидной смолой.



Полный перебор Pin-кода

Носитель информации

Ограничение количества попыток неправильного ввода Pin-кода.


следующая страница >>



izumzum.ru