Моделирование объектов защиты и угроз безопасности

Автор работы: Пользователь скрыл имя, 15 Февраля 2011 в 14:14, курсовая работа

Описание работы

В качестве объекта информационной защиты рассмотрим некоторую небольшую организацию, оказывающую услуги населению в области ЖКХ, управляющую компанию по обслуживанию многоквартирных жилых домов. Структурная организация фирмы представлена следующими основными подразделениями, размещенными в отдельных комнатах в собственном двухэтажном здании на втором этаже:


R1. Генеральный директор

R2. Приемная

R3. Главный инженер

R4. Отдел кадров, юридический отдел

R5. Бухгалтерия

R6. Отдел проектирования и строительства

R7. Производственный отдел

Содержание работы

•Титульный лист.
•Содержание, включающее следующие разделы.
1. Описание объекта защиты Стр.3

1.1. Исходные данные варианта; Стр.4

2. Моделирование объекта защиты: Стр.6

2.1. Структурная модель;

2.2. Пространственная модель; Стр.9

3. Моделирование угроз безопасности Стр.10

3.1. Моделирование способов физического проникновения; Стр.11

3.2. Моделирование технических каналов утечки информации; Стр.15

4.Выводы по работе Стр.21

5. Список использованных источников Стр.23

Файлы: 1 файл

Курсовик ИТЗИ sajt.docx

— 201.59 Кб (Скачать файл)
 
 
 
 
 
 
 
 
 
 
 
 
 

     2.2. Пространственная модель объекта информационной защиты. 

элемента

Наименование  элемента

пространственной  зоны

Характеристики  пространственной зоны
1 Этаж 2. Здание двухэтажное
2 Количество  окон, наличие  штор, решеток 11, на всех  окнах жалюзи, на 1 окне решетка.
3 Двери: количество и какие  12, 3-стальные, обшитые деревом, выходящие на улицу, 7-деревянные в помещениях, 2 – металлические усиленные с кодовым замком в R4 и R5
4 Соседние помещения: название, толщина стен Нет;  кирпичная  кладка 65 см, облицовка.
5 Помещение над  потолком: название, толщина перекрытий Нет, железобетонные плиты, 30 см.
6 Помещение под  потолком:

название, толщина  перекрытий

Офисные помещения, железобетонные плиты, 30 см.
7 Вентиляционные  отверстия: места размещения, размеры Туалет, 15х20
8 Батарея отопления  15 батарей расположенных вдоль окон и 2 стояка уходящих на 1-й этаж. Все трубы выведены через подвал в теплоцентрали.
9 Цепи электропитания Цепь электропитания фирмы подключена к  городской  сети напряжением 220 В частотой 50 Гц. У центрального входа в помещении  находится электрический щиток. К цепи электропитания подключены все  кабинеты и помещения. В помещениях находится 29 розеток. Источник бесперебойного питания.
10 Телефон Мини АТС Samsung подключено 10 телефонов кабелем UTP, один из них системный –Т2
11 Радиотрансляция Отсутствует
12 Электрические часы Отсутствуют
13 Бытовые радиосредства, телевизоры, аудио- и видео магнитофоны, их типы Отсутствуют
14 Бытовые электроприборы Кондиционеры(Samsung S418 ZAOD), 4 шт.
15 ПЭВМ 11 шт.Офисные ПК 2,4ГГц ,1Гб ОЗУ, 200Гб HDD Все компьютеры имеют доступ к сети Internet , 2шт. Коммутатора LAN D-Link 8 портов, 1шт ADSL модем Zyxel HT 660. Все входит в состав локальной сети, все компьютеры имеют выход в интернет.
16 Технические средства охраны Датчики движения – 4 шт., датчики вскрытия – на входных дверях + 11 на окнах, вывод на телефонную линию и звуковые извещатели. 
17 Телевизионные средства наблюдения Отсутствуют
18 Пожарная сигнализация Помещение оборудовано  пожарным дымовым линейным извещателем  ИП 212-7 (ИДПЛ). Температурные и дымовые детекторы, расположенные во всех помещениях, кроме санузла и коридора. Они подключены к телефонной линии.
 
     
  1. Моделирование угроз безопасности
 

     Моделирование угроз безопасности информации позволяет оценить ущерб, который может быть нанесен фирме в результате хищения элементов конфиденциальной информации, представленной с помощью разработанной ранее структурной модели.

     Моделирование угроз включает:

  1. моделирование способов физического проникновения злоумышленника к источникам информации;
  2. моделирование технических каналов утечки информации;

     Действие  злоумышленника по добыванию информации и материальных ценностей определяется поставленными целями и задачами, мотивацией, квалификацией и технической  оснащенностью. Прогноз способов физического  проникновения следует начать с  выяснения, кому нужна защищаемая информация. Для создания модели злоумышленника необходимо мысленно проиграть с  позиции злоумышленника варианты проникновения  к источникам информации. Чем больше при этом будет учтено факторов, влияющих на эффективность проникновения, тем выше будет вероятность соответствия модели реальной практике. В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, хотя это  может привести в увеличению затрат. 
 
 
 
 
 

     
    1. Моделирование способов физического  проникновения
 

     Важным  фактором при выборе пути злоумышленником  является оценка реальности этого пути. Реальность пути связана с вероятностью выбора злоумышленником этого пути. Она определялась методом экспертных оценок. Вероятность зависит от простоты реализации именного этого пути проникновения. Очевидно, что через некоторые окна и двери легче проникнуть, поэтому следующие соображения:

    1. Проникнуть легче через дверь, чем через окно;
    2. Легче проникнуть в окно, не содержащее дополнительных средств защиты, чем в окно с решетками;
    3. Проникнуть легче через обычную дверь, чем через железную;
    4. Чем больше нужно миновать препятствий, тем путь менее вероятен;

         Определим следующие оценки Or   реальности пути:

         1. Or=0,1  - для маловероятных путей;

         2. Or=0,5 - для вероятных путей ;

         3. Or=0,9 - для наиболее вероятных путей.

     Величина  угрозы находится по формуле:

     D=Or ∙ Si ,

     где:  D – величина угрозы, выраженная в условных единицах;

             Or – оценка реальности пути;

             Si – цена элемента информации i .

     Для формализации оценки угрозы введем ранжирование величины угрозы по ее интервалам, сопоставляемым с рангами.

  • Определим диапазон значений величин угроз от 1 до Dmax=800;
  • вводится в рассмотрение, например, 6 ранга;
  • устанавливается наивысший по значимости ранг R1=1 для угроз, имеющих значительные величины;
  • определяется линейный интервал ранга d=Dmax/6, d=133
  • соответствие рангов угроз и интервалов величин угроз определяется следующими формулами:
 

     R6=6 : [1÷ R6max], R6max = d-1;

     Ri=i : [(R(i+1)max +1)  ÷ Rimax] ,  Rimax = R (i-1)max + d; i = (2,3,4,5);

     R1=1 : [ >R2max +1]. 

     Пусть максимальная величина угрозы Dmax = 800,  тогда d=200.

     Определяем  ранги и интервалы значений угроз:

     R6=6 для интервала [ 1÷ 132];

     R5=5 для интервала [133 ÷ 265];

     R4=4 для интервала [266 ÷ 398];

     R3=3 для интервала [399 ÷ 531];

     R2=2 для интервала [532 ÷ 664];

     R1=1 для интервала [ > 665]; 
 
 
 
 
 

     Полученная  система рангов представлена в таблице 

     Интервал  величины угрозы      Ранг  угрозы Ri
     665 -
     1
     532 – 664      2
     399 – 531      3
     266 – 398      4
     133 – 265      5
     1 – 132      6
 

     Из  таблицы рангов видно, что наиболее уязвимой является информация от R3 и выше, то есть величиной от 399 и выше.

Наименование элемента информации Цена информации Цель (комната) Путь проникновения  злоумышленника Оценка реальности пути Величина угрозы в  условных единицах Ранг угрозы
1 2 3 4 5 6 7 8
1 Технологии 800 R6 w10

d2-d10

0.5

0.5

400 3
2 Характеристики  разрабатываемой продукции 750 R6 w10

d2-d10

0.5

0.5

375 4
3 Безопасность 650 R1, R3 d1-d3

w1-d3

d2-d5-d4

d2-d6

0.5

0.5

0.5

0,5

325 4
4 Принципы,

концепция и стратегия маркетинга

650 R1, R2, R4 d1-d3

w1-d3

d2-d5-d4

d2-d5

d2-d7

0.5

0.5

0.5

0.5

0.1

325 4
5 Участие в международном  сотрудничестве 650 R1, R3, R4, R5 d1-d3

w1-d3

d2-d5-d4

d2-d6

d2-d7

w11

d12

d2-d11

0.5

0.5

0.5

0.5

0.1

0.5

0.5

0.1

325 4
6 Планы и программы 600 R1, R4, R6 w10

d2-d10

d1-d3

w1-d3

d2-d7

0.5

0.5

0.5

0.5

0.1

300 4
7 Переговоры  и соглашения 600 R1, R3, R4 d1-d3

w1-d3

d2-d5-d4

d2-d6

d2-d7

0.5

0.5

0.5

0.5

0.1

300 4
 

     Следуя  из результатов таблицы предлагаются следующие меры для улучшения  защиты информации. Самым уязвимым является элемент Технологии с рангом 3 и комната R6.

    1. Поставить решетки на окна w9, W10
    2. Дверь d10 заменить на металлическую.

     Все остальные элементы получили ранг ниже третьего, их рассматривать мы не будем. 
 
 
 
 
 
 
 
 
 

     3.2. Моделирование технических  каналов утечки  информации

     При выявлении технических каналов  утечки информации необходимо рассматривать  всю совокупность элементов защиты, включающую основное оборудование технических  средств обработки информации, оконечные  устройства, соединительные линии, распределительные  и коммутационные устройства, системы  электропитания, системы заземления и т.п.

     Наряду  с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные  технические средства и системы, такие, как технические средства открытой телефонной, факсимильной, громкоговорящей  связи, системы охранной и пожарной сигнализации, электрификации, радиофикации, электробытовые приборы и др. В  качестве каналов утечки интерес  представляют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода  и кабели, к ним не относящиеся, но проходящие через помещения, где  установлены основные и вспомогательные  технические средства, металлические  трубы систем отопления, водоснабжения  и другие токопроводящие металлоконструкции.

     При моделировании технических каналов  утечки, помимо выявления самих каналов, т.е. источника сигнала, пути утечки, определяется оценка реальности канала, величина и ранг угрозы.

     Оценка  реальности канала определяется как отношение стоимости информации к стоимости реализации канала утечки, а величина угрозы  - как произведение стоимости информации на оценку реальности канала. 
 
 
 

     Интервал  величины угрозы      Ранг  угрозы Ri
     665 -
     1
     532 – 664      2
     399 – 531      3
     266 – 398      4
     133 – 265      5
     1 – 132      6

Информация о работе Моделирование объектов защиты и угроз безопасности