Контрольная ОИБ. контрольная. Сибгути) Кафедра Безопасность и управление в телекоммуникациях (БиУТ) 10. 05. 02 Информационная безопасность телекоммуникационных систем (очная форма обучения)
 Скачать 28.76 Kb.
|
 Федеральное агентство связи федеральное государственное бюджетное образовательное учреждение высшего образования «Сибирский государственный университет телекоммуникаций и информатики» (СибГУТИ) Кафедра Безопасность и управление в телекоммуникациях (БиУТ) 10.05.02 Информационная безопасность телекоммуникационных систем (очная форма обучения) Контрольная работа Выполнил: студент ФАЭС, гр. АБ-85 /Д.Д.Кузнецов/ «__» _________ 2019 г. (подпись) Проверил: Ст. преподаватель каф. БиУТ /А.А. Киселев/ «__» _________ 2019 г. (подпись) Новосибирск 2019 6.Веб-сервер коммерческой компании (электронная коммерция); 1. Выполнить описание и анализ объекта защиты (описание с точки зрения инженерного устройства, его особенности, возможное использование), категории обрабатываемой информации. Веб-сервер — сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, как правило, вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными. Веб-браузер, передаёт веб-серверу запросы на получение ресурсов, обозначенных URL-адресами. Ресурсы — это HTML-страницы, изображения, файлы, медиа-потоки или другие данные, которые необходимы клиенту. В ответ веб-сервер передаёт клиенту запрошенные данные. Этот обмен происходит по протоколу HTTP. С точки зрения железа Веб-сервер — это компьютер, который хранит ресурсы сайта (HTML документы, CSS стили, JavaScript файлы и другое) и доставляет их на устройство конечного пользователя (веб-браузер и т.д.). Обычно он подключен к сети Интернет и может быть доступен через доменное имя. С точки зрения ПО, Веб-сервер включает в себя некоторые вещи, которые контролируют доступ Веб-пользователей к размещенным на сервере файлам, это минимум HTTP сервера. HTTP сервер это часть ПО, которая понимает URL’ы (веб-адреса) и HTTP (протокол который использует ваш браузер для просмотра веб-станиц). Веб-сервер может использоваться различными программами и устройствами: веб-браузер, работающий на настольном компьютере или переносном устройстве (например, карманном ПК); разнообразные программы, самостоятельно обращающиеся к веб-серверам для получения обновлений или другой информации (например, антивирус может периодически запрашивать у определённого веб-сервера обновления своих баз данных); мобильный телефон, получающий доступ к ресурсам веб-сервера при помощи протокола WAP; другие цифровые устройства или бытовая техника. 2. Разработать модель угроз (описание возможных уязвимостей, источников угроз, их видов, способы нарушения целостности, конфиденциальности, доступности, возможные угрозы и атаки), возможно также сценариев атак. Уязвимости программного обеспечения (какие-либо баги в ПО, которое встраивается в веб-сервер). Уязвимости конфигурации (неправильная настройка ПО). Уязвимости собственного программного обеспечения (баги в скриптах веб-сайтов, использующий веб-сервер). Самую серьезную угрозу для веб-сервера представляют хакеры и вирусы, а также администраторы, вовремя не исправляющие свои системы. Программные угрозы (использование ошибок и «дыр» в ПО, компьютерные вирусы и вредоносные программы, установка «закладных» устройств.) Информационные (Несанкционированный доступ к информационным ресурсам, незаконное копирование данных в информационных системах, хищение информации из библиотек, архивов, банков и баз данных, нарушение технологии обработки информации, противозаконный сбор и использование информации, использование информационного оружия.) Радиоэлектронные (Внедрение электронных устройств перехвата информации в технические средства и помещения, перехват, расшифровка, подмена и уничтожение информации в каналах связи.) Физические (Уничтожение или разрушение средств обработки информации и связи, хищение носителей информации, программных или аппаратных ключей и средств криптографической защиты данных, воздействие на персонал.) Организационно-правовые (Закупки несовершенных или устаревших информационных технологий и средств информатизации, нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.) 3. Разработать модель нарушителя (дать портрет злоумышленника, возможные категории, его мотивация, компетенции) Технический специалист компании (внутренний тип). Хорошо знаком со структурой и основными функциями и принципами работы программно – аппаратных средств защиты информации. Его понижение в должности, в следствии уменьшение заработной платы, что и является мотивацией отомстить работодателю. 4. Сделать вывод о том насколько хорошо защита вашего объекта осуществляется (с вашей точки зрения). Я считаю, что защита веб-серверов не осуществляется на должном уровне, так как сегодня на сайтах, посвященных информационной безопасности, постоянно появляются сообщения об обнаружении новых уязвимостей в программном обеспечении веб-серверов. Некоторые уязвимости обнаруживают специалисты по ИБ и устраняют их, а некоторые «дыры» находят хакеры и используют в своих корыстных целях. 5. Сформулировать возможные рекомендации по повышению уровня защищенности данного объекта (на ваш взгляд). Защититься можно своевременной установкой всех выпускаемых производителями обновлений, использование специальных сканеров безопасности. |