Разработка системы мониторинга безопасности предприятия ООО «Неоматика» на основе модели векторов кибератак. Пояснительная записка на 92 страницах. Графическая часть на 4 листах. Допускается к защите Протокол заседания кафедры ат от 2020 г
 Скачать 2.26 Mb.
|
|
Министерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования «Пермский национальный исследовательский политехнический университет» Электротехнический факультет Кафедра автоматики и телемеханики Направление подготовки: 10.03.01 Информационная безопасность Уровень высшего образования: Бакалавриат Направленность (профиль) образовательной программы: Комплексная защита объектов информатизации ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА дипломный проект Тема Разработка системы мониторинга безопасности предприятия ООО «Неоматика» на основе модели векторов кибератак Студент группы КЗИ-16-1Б Болгов А.О. (шифр учебной группы) (подпись) (Ф.И.О.) Состав ВКР: 1. Пояснительная записка на 92__ страницах. 2. Графическая часть на 4 листах. Допускается к защите Протокол заседания кафедры АТ № от 2020 г. Заведующий кафедрой АТ д-р техн. наук, профессор / А.А. Южаков / « » 2020г. Регистрационный номер Руководитель ВКР Каменских А.Н. (подпись) (Ф.И.О.) Консультант Каменских А.Н. (подпись) (Ф.И.О.) Пермь 2020 2 Индивидуальное задание на выполнение ВКР Фонд оценочных средств защиты выпускной квалификационной работы Направление подготовки: 10.03.01 «Информационная безопасность» Направленность образовательной программы «Комплексная защита объектов информатизации» УТВЕРЖДАЮ Заведующий кафедрой АТ д-р техн. наук, профессор ______________ А.А. Южаков «___» _______________ 2020 г. Индивидуальное задание на выполнение выпускной квалификационной работы студента группы____КЗИ-16-1Б__________________ (шифр учебной группы) ___________________Болгова Александра Олеговича______________________ (Ф.И.О.) 1. Тема индивидуального задания: «Разработка системы мониторинга безопас- ности предприятия ООО «Неоматика» на основе модели векторов кибератак. 2. Цель выполнения ВКР состоит в демонстрации выпускником достигнутого уровня подготовленности к профессиональной деятельности. 3. Задачи ВКР: выполнение этапов работы, определенных индивидуальным заданием, ка- лендарным планом, формой представления отчетных материалов, обеспечи- вающих достижение заданных в компетентностном формате результатов; оформление отчетных материалов, раскрывающих уровни освоения задан- ного перечня компетенций; подготовка и проведение защиты полученных результатов. 4. Срок представления завершенной и оформленной ВКР «18» июня 2020 г. 5. Содержание ВКР включает: анализ и обобщение научно-технических материалов по теме работы, анализ объекта информатизации, особенностей факторов, существенных для защиты информации; разработку (изучение) перечня сведений, отнесенных к информации ограни- ченного доступа, определение объектов защиты; исследование каналов утечки информации и несанкционированного доступа, разработка модели нарушителя и оценка угроз безопасности информации; определение и исследование требований по безопасности информации для объекта информатизации; разработку структуры системы защиты информации распределенной инфор- мационной системы; разработку и исследование подсистем защиты информации, моделирование процессов защиты информации на объекте информатизации; 3 разработку технической и программной реализации системы защиты инфор- мации, ее подсистем и отдельных средств защиты информации; оценку эффективности предлагаемых решений по обеспечению информаци- онной безопасности, применяемых способов и средств защиты информации; формирование выводов. 6. Задание в компетентностном формате результатов выполнения ВКР Заданные результаты освоения ОП представлены агрегированными компетен- циями: АОК-1, АОК-2, АПК-1 АПК-2 (Табл.1)*. 7 Основные требования к выполнению индивидуального задания 7.1 Исходными данными для выполнения задания являются: - сведения об объекте информатизации, факторы, существенные для реали- зации системы защиты информации на данном объекте; - требования по безопасности информации для объекта информатизации; - содержание методик по определению и оценке угроз безопасности инфор- мации; - перечень способов и средств защиты информации, порядок и правила внед- рения и эксплуатации техники защиты информации; - порядок создания автоматизированных систем в защищенном исполнении; - система защиты информации должна выполнять основные требования по обеспечению безопасности объекта информатизации от актуальных угроз безопасности информации. 7.2. Требования к структуре и оформлению выпускной квалификационной работы ВКР должна включать пояснительную записку и графические материалы, раскры- вающие решения профессиональных задач избранной тематики – графическую часть. Пояснительная записка должна содержать: - титульный лист; - задание на выполнение ВКР; - аннотация ВКР; - содержание; - введение; - основная часть; - заключение; - список используемой литературы; - приложения. Основная часть должна включать 3 раздела с разбивкой на пункты и подпункты. Первый раздел должен содержать аналитический обзор состояния рассматриваемой темы. Обосновывается цель выполнения работы, формулируются вытекающие из цели зада- чи, решаемые в последующих разделах и их актуальность. Обосновывается практическая це- лесообразность выполнения работы на избранную тему. Должен быть сформулирован объект исследований (проектирования) и указаны методы, обеспечивающие решение задач. Обзор литературных источников должен демонстрировать умения выпускника рассматривать, оце- 4 нивать, систематизировать информацию. Количество источников информации должно со- ставлять не менее 20 наименований. Второй раздел должен быть посвящен изложению теоретических аспектов решаемых задач (определению объекта защиты, разработке модели нарушителя и частной модели угроз безопасности информации, требований по безопасности информации, разработке способов решения задач защиты информации, разработке структуры (топологии) информационной си- стемы и т.д.). Раздел должен содержать примеры моделирования, экспериментального ис- следования, в том числе исследований на математических моделях, расчеты характеристик подсистем и средств защиты информации, синтез алгоритмов, разработку технического или программного обеспечения. Третий раздел должен содержать техническую реализацию (описание принципиаль- ных схем, элементов конструкций физической защиты объекта, средств защиты информации и пр.), разработанную политику (частные политики) информационной безопасности Должны быть сформулированы обобщения и оценки результатов с позиции их практической значи- мости и эффективности защиты информации. Заключение должно содержать обобщенные выводы, научно-технические ре- зультаты, предложения по их применению, рекомендации по развитию работ в рас- сматриваемой области науки и техники. Приложения должны включать вспомогательный материал, необходимый для полноты работы: таблицы исходных и вспомогательных данных; промежуточные расчеты, описания методик, приборов, инструментария; описание алгоритмов и про- грамм, разработанных в процессе выполнения работы, разработанные документы для обеспечения защиты информации и пр. Графическая часть должна включать следующие материалы: плакат, содержащий формулировки целей и задач работы, описание объекта информатизации, модель нарушителя и т.п.; структурные, функциональные и др. схемы; топологию распределенной информационной системы с отображенными ре- шениями в области защиты информации; алгоритмы решения общей и частных задач; структуру программного обеспечения устройств, систем; математические модели, теоретические и/или экспериментальные результаты (в виде графиков, таблиц и пр.); разработанные технические решения устройств, средств и пр. Объем графической части должен содержать 4 листа формата А1. Текст пояснительной записки должен быть отпечатан на формате А4 и подшит в папку. Объем основной части пояснительной записки должен составлять около 40 страниц машинописного текста (шрифт 14 пт, Times New Roman, через 1,5 интервала). 7.3. Требования к предметам оценивания (индикаторам уровня освоения компонентов контролируемых агрегированных компетенций) В качестве индикаторов объектов контроля для оценивания уровней освоения 5 контролируемых компонентов агрегируемых компетенций должны быть приняты описания объектов компонентов компетенций или действия над этими объектами. В текст основной части пояснительной записки исполнителем должны быть включены индикаторы уровня освоения контролируемых компонентов компетенций. Индикатор представляет собой описание объекта контролируемой компетенции или действий над объектами контролируемых компетенций. Индикаторы контролируемых компетенций используются для оценивания уровня освоения контролируемых компетенций. Качество представления индикаторов в тексте пояснительной записки и в ответах на вопросы определяет оценку защиты ВКР. Индикаторы объекта компетенций должны представлять его полное и безошибочное описание (метода, модели, алгоритма и пр.), включающее: название объекта, его статические характеристики, сферы применения, особенности, сравнение с аналогичными объектами и пр. Эти индикаторы раскрывают уровень знаний об объекте. Индикаторы действия над объектом должны содержать полное и безошибочное описание механизма действий объекта (над объектом), включающее: обоснование применения объекта (метода, модели и пр.); динамические, точностные, надежност- ные и т.д. характеристики; возможности адаптации к условиям задачи; потребности в обеспечивающих ресурсах и пр. Индикаторы объекта компетенций должны обозначаются в тексте пояснительной записки, например, [ АПК-1-01у] и перечисляются в конце работы после списка использованной литературы. 8. Календарный план выполнения ВКР Наименование этапа Наименование работ Сроки* начало окончание Результат 1 Аналитический обзор. Выбор и пути решения проектной задачи Анализ научно-технических материалов сведений об объекте информатизации, факторов, существенных для реализации системы защиты информации в информационной системе 18.05.201 22.05.2017 Раздел 1 пояснительной записки. Необходимый объем графической части. 2 Разработка теоретических аспектов задания и выполнение проектирования технического обеспечения системы Определение объекта защиты, разработка требований по безопасности информации и для объекта информатизации, исследование каналов утечки информации и несанкционированного доступа, разработка модели нарушителя и оценка угроз безопасности информации. Разработка концепции защиты информации в информационной системе. Разработка структурных, функциональных и аналитических моделей способов и средств защиты информации 23.05.2017 12.06.2017 Раздел 2 пояснительной записки. Необходимый объем графической части 3 Практическая реализация системы Моделирование системы защиты информации и 13.06.2017 18.06.2017 Раздел 3 пояснительной 6 в заданном техническом базисе. Оценка системных характеристик. Оформление пояснительной записки и графической части исследование процессов способов и средств защиты информации. Оценка эффективности способов и средств защиты информации. Формулировка выводов записки. Пояснительная записка. Необходимый объем графической части *Указаны сроки выполнения соответствующих разделов ВКР. 9. Порядок выполнения ВКР Рубежный контроль хода выполнения ВКР осуществляется согласно графику выполнения. Рекомендуемая базовая литература 1. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14.02.2008. 2. Методика определения угроз безопасности информации в информационных системах, проект 2015 г 3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008. 4. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности от 01.07.2008. 5. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения Руководитель ВКР _Доцент, Кандидат технических наук__ _____ 18.05.2020 Каменских А.Н._ (должность, ученая степень) (подпись дата) (Ф.И.О.) Задание принял (а) к исполнению «18» ______Мая_____2020 _____Болгов А.О._____ (подпись) (Ф.И.О.) Итоговая оценка оригинальности: _83,43%_ А.С.Шабуров Предзащита проведена «18» __Июня__ 2020 г. Оценка: 7 Аннотация Выпускной квалификационной работы студента Болгова А.О. по теме: Разработка системы мониторинга безопасности предприятия ООО «Неоматика» на основе модели векторов кибератак. Объем работы: 92 страницы, на которых размещены 29 рисунков и 4 таб- лицы. При написании работы использовались 30 источников. Ключевые слова: системы мониторинга безопасности, SIEM, APT-атаки, корреляция событий ИБ, модель нарушителя, частная модель угроз, имитаци- онное моделирование. Целью проекта являлось: Разработка системы мониторинга и управления событиями информационной безопасности для предприятия ООО «Неоматика» на основе векторов атак кибергруппировок. Решаемые задачи: Проведение обзора и анализа объекта информатизации, проведение анализа векторов атаки кибергруппировок, выявление требований к разрабатываемой системе мониторинга безопасности, проектирование систе- мы мониторинга с учетом требований. Основные результаты: по результатам анализа объекта защиты и выявле- ния требований к проектируемой системе мониторинга безопасности, была раз- работана система мониторинга и управления событиями безопасности на осно- ве модели векторов кибератак для предприятия ООО «Неоматика». 8 Содержание Введение .............................................................................................................. 10 1. Информация о предприятии ........................................................................... 12 1.2. Информация об объекте защиты ............................................................... 13 1.3.1. Общие положения ................................................................................... 13 1.3.2. Описание ИС ........................................................................................... 14 1.3.3. Модель нарушителя ................................................................................ 14 1.3.4. Определение базового уровня защищенности ...................................... 18 1.3.5. Определение актуальных угроз безопасности ...................................... 19 1.4. Выводы по разделу .................................................................................... 21 2.Анализ требований по мониторингу событий безопасности ......................... 22 2.1. Этапы атаки на информационную систему и меры защиты ................... 23 2.2 Анализ векторов кибератак APT группировок ......................................... 27 2.2.1. Категорирование событий информационной безопасности................. 29 2.3. Выводы по разделу .................................................................................... 34 3. Разработка системы мониторинга безопасности предприятия ..................... 36 3.1 Архитектура системы мониторинга и управления событиями ИБ .......... 36 3.2. Разработка модуля агрегации .................................................................... 37 3.3. Разработка модуля корреляции ................................................................. 42 3.4. Разработка модуля прогнозирования........................................................ 51 3.5. Разработка вспомогательных модулей .................................................... 53 3.5.1. Разработка модуля для работы с JSON файлами .................................. 54 3.5.2. Разработка модуля для работы с представлением времени ................. 55 3.6. Выводы по разделу .................................................................................... 57 4. Алгоритм работы программы ......................................................................... 58 4.1. Алгоритм корреляция событий ИБ ........................................................... 58 4.2. Алгоритм прогнозирования событий ИБ ................................................. 59 4.3. Вывод по разделу ....................................................................................... 60 5. Имитационное моделирование ....................................................................... 61 5.1. Признаки APT41 и их описание ................................................................ 61 5.2. Формирование log-файлов и моделирование атаки ................................. 63 5.3 Оценка эффективности ............................................................................... 70 9 Заключение .......................................................................................................... 75 Список литературы ............................................................................................. 76 Перечень компетенций ....................................................................................... 79 Приложение А ..................................................................................................... 80 Приложение Б ...................................................................................................... 82 Приложение В ..................................................................................................... 85 Приложение Г ...................................................................................................... 92 10 |