Академический Документы
Профессиональный Документы
Культура Документы
Отчет
По учебной практике
Бишкек 2023
Содержание
Содержание................................................................................................................................................2
Введение....................................................................................................................................................3
Актуальность и новизна темы..............................................................................................................3
Цели и задачи.........................................................................................................................................3
Информационная безопасность вычислительной сети...........................................................................5
Обследование существующей инфраструктуры и определение исходных данных для
проектирования системы ИБ..................................................................................................................17
Конфигурация сети РПО РМТР.............................................................................................................19
Создание системы информационной безопасности..............................................................................21
Защита БД........................................................................................................................................22
Подсистема защиты от вредоносного ПО.....................................................................................23
Межсетевой экран...........................................................................................................................24
Заключение..............................................................................................................................................26
Список используемой литературы.........................................................................................................27
2
Введение
Актуальность и новизна темы
На сегодняшний день состояние безопасности вычислительных сетей остается
одной из наиболее актуальных и серьезных проблем информационной безопасности.
Хакеры и киберпреступники продолжают разрабатывать новые методы атак на сети,
выдумывать новые уязвимости и эксплуатировать уже известные уязвимости, чтобы
получить доступ к чувствительной информации, взять под контроль компьютерные
системы, или нанести ущерб бизнесу и организациям.
Существует множество видов кибератак, которые могут нарушить безопасность
вычислительных сетей, такие как DDoS-атаки, фишинг, мальвары, вирусы, троянские
программы и многие другие. Кроме того, существуют новые угрозы, связанные с
развитием технологий Интернета вещей (IoT) и искусственного интеллекта (AI), которые
могут быть использованы для атак на сети.
Например, число кибератак в РФ в первом квартале 2023 года выросло в полтора
раза в сравнении с аналогичным периодом 2022 года, до 290 тыс. При этом хакеры чаще
стали прибегать к киберразведке, а атаки становятся все более сложными. Об этом
сообщается в отчете о кибератаках работающей в сфере информационной безопасности
компании "РТК-Солар". первом квартале 56% высококритичных инцидентов связано с
применением вредоносного софта, еще 9% - с использованием нелегитимного ПО. Долю в
8% составили сетевые атаки, 7% инцидентов связано с эксплуатацией уязвимостей, еще
6% - с несанкционированным доступом, 4% - с компрометацией учетных записей, следует
из отчета.
В связи с этим, безопасность вычислительных сетей становится все более важной и
необходимой задачей для организаций и индивидуальных пользователей. Для защиты
сетей и предотвращения атак необходимо применять комплексный подход, включающий в
себя использование современных технологий безопасности, обучение пользователей
основам информационной безопасности, а также регулярное обновление программного
обеспечения и аппаратных средств.
Цели и задачи
Цель:
Целью учебной практики является формирование набора профессиональных
компетенций будущего специалиста по направлению подготовки «Информационная
безопасность» для решения прикладных задач управления проектами. Также закрепление
освоенных навыков и знаний в процессе учебы, и раскрытие основных понятий и
формальных моделей обеспечения безопасности компьютерных сетей.
Задачи:
- Исследование архитектуры сети организации.
- Определение потенциальных угроз.
- Построение системы информационной безопасности для организации на Cisco
Packet Tracer.
3
Планируемые результаты:
1. Парольная аутентификация в операционных системах семейства
Windows и UNIX.
2. Управление доступом в операционных системах семейства Windows и
UNIX.
3. Технические меры защиты от сетевых атак.
4. Механизмы реализации атак в сетях TCP/IP.
5. Средства защиты локальных сетей при подключении к Интернет.
6. Межсетевые экраны (МЭ) – основные возможности, схемы развертывания
МЭ и построение правил фильтрации.
7. Системы обнаружения вторжений (СОВ).
8. Угрозы безопасности и многоуровневая защита БД.
9. Политика и модели безопасности в СУБД.
10. Механизмы обеспечения конфиденциальности, целостности и
высокой готовности СУБД.
4
Информационная безопасность вычислительной сети
Информационная безопасность вычислительной сети — это комплекс мер, практик и
технологий, применяемых для обеспечения защиты сетевой инфраструктуры, данных и
коммуникаций от различных угроз и атак. Она направлена на обеспечение
конфиденциальности, целостности и доступности информации, а также защиту от
несанкционированного доступа, вмешательства и уничтожения данных. Информационная
безопасность вычислительной сети имеет огромное значение и является актуальной
проблемой в наше время. Вот некоторые основные причины, почему информационная
безопасность вычислительной сети является важной и актуальной:
6
10. Политики и процедуры безопасности: Разработка и реализация политик безопасности,
которые описывают правила и процедуры для обеспечения безопасности сети, а также
регулярное обновление и проверка их соответствия с целью поддержания высокого
уровня безопасности.
Каждая организация может дополнить эти основные аспекты информационной
безопасности сети в зависимости от своих потребностей, типа сети и рисков, с которыми
она сталкивается.
Классификация угроз безопасности информации
Угрозы безопасности информации могут быть классифицированы по различным
критериям. Вот некоторые общие классификации угроз:
• Классификация атак:
- По характеру воздействия
- По цели воздействия
- По наличию обратной связи с атакуемым объектом
- По условию начала осуществления воздействия
- По расположению субъекта атаки относительно атакуемого объекта
- По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
- Классификация уязвимостей сканера Nessus
- Классификация Питера Мелла в работе "Компьютерные атаки: что это и как им
противостоять"
1. По характеру воздействия
• пассивное
• активное
Пассивное воздействие на распределенную вычислительную систему - воздействие,
которое не оказывает непосредственного влияния на работу системы, но может нарушать
ее политику безопасности.
Пассивное удаленное воздействие практически невозможно обнаружить.
Пример: прослушивание канала связи в сети.
Активное воздействие на распределенную вычислительную систему - воздействие,
оказывающее непосредственное влияние на работу системы (изменение конфигурации
РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику
безопасности.
Практически все типы удаленных атак являются активными воздействиями.
Особенностью активного воздействия по сравнению с пассивным является
принципиальная возможность его обнаружения, так как в результате его осуществления в
7
системе происходят определенные изменения. В отличие от активного, при пассивном
воздействии не остается никаких следов.
2. По цели воздействия
• нарушение конфиденциальности информации
• нарушение целостности информации
• нарушение работоспособности (доступности) системы
При перехвате информации нарушается её конфиденциальность.
Пример: прослушивание канала в сети.
При искажении информации нарушается её целостность.
Пример: внедрение ложного объекта в РВС.
При нарушении работоспособности не происходит несанкционированного доступа, т.е.
сохраняется целостность и конфиденциальность информации, однако доступ к ней
легальных пользователей также невозможен.
Пример: отказ в обслуживании (DoS).
3. По условию начала осуществления воздействия
• Атака по запросу от атакуемого объекта
• Атака по наступлению ожидаемого события на атакуемом объекте
• Безусловная атака
В случае запроса атакующий ожидает передачи от потенциальной цели атаки запроса
определенного типа, который и будет условием начала осуществления воздействия.
Инициатором осуществления начала атаки является атакуемый объект.
Пример: DNS- и ARP-запросы в стеке TCP/IP.
В случае наступления события, атакующий осуществляет постоянное наблюдение за
состоянием операционной системы удаленной цели атаки и при возникновении
определенного события в этой системе начинает воздействие.
Инициатором осуществления начала атаки является атакуемый объект.
Пример: прерывание сеанса работы пользователя с сервером в сетевых ОС без выдачи
команды LOGOUT.
В случае безусловной атаки начало её осуществления безусловно по отношению к цели
атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы
и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором
начала осуществления атаки.
4. По наличию обратной связи с атакуемым объектом
• с обратной связью
• без обратной связи (однонаправленная атака)
8
Атака с обратной связью - атака, во время которой атакующий получает ответ от
атакуемого объекта на часть своих действий. Эти ответы нужны, чтобы иметь
возможность продолжить атаку и/или осуществлять её более эффективно, реагируя на
изменения, происходящие на атакуемой системе.
Атака без обратной связи - атака, происходящая без реакции на поведение атакуемой
системы.
Пример: отказ в обслуживании (DoS).
5. По расположению атакующего относительно атакуемого объекта
• внутрисегментное
• межсегментное
Внутрисегментная атака - атака, при которой субъект и объект атаки находятся внутри
одного сегмента сети, где сегмент - есть физическое объединение станций с помощью
коммуникационных устройств не выше канального уровня.
Межсегментная атака - атака, при которой субъект и объект атаки находятся в разных
сегментах сети.
6. По количеству атакующих
• распределённая
• нераспределённая
Распределённая атака - атака, производимая двумя или более атакующими на одну и ту же
вычислительную систему, объединёнными единым замыслом и во времени.
Нераспределённая атака проводится одним атакующим.
7. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
• физический
• канальный
• сетевой
• транспортный
• сеансовый
• представительный
• прикладной
8. Классификация сетевых атак по работе Питера Мелла
«Компьютерные атаки: что это и как им противостоять»
• удаленное проникновение (remote penetration)
• локальное проникновение (local penetration)
• удаленный отказ в обслуживании (remote denial of service)
9
• локальный отказ в обслуживании (local denial of service)
• атаки с использованием сетевых сканеров (network scanners)
• атаки с использованием сканеров уязвимостей (vulnerability scanners)
• атаки с использованием взломщиков паролей (password crackers)
• атаки с использованием анализаторов протоколов (sniffers)
9. Классификация по Nessus
• "черные ходы" (Backdoors);
• ошибки в CGI скриптах (CGI abuses);
• атаки типа "отказ в обслуживании" (Denial of Service);
• ошибки в программах — FTP-серверах (FTP);
• наличие на компьютере сервиса Finger или ошибки в программах, реализующих
этот сервис (Finger abuses);
• ошибки в реализации межсетевых экранов (Firewalls);
• ошибки, позволяющие пользователю, имеющему терминальный вход на
• ошибки, позволяющие атакующему удаленно получить права администратора
(Gain root remotely);
• прочие ошибки, не вошедшие в другие категории (Misc);
• ошибки в программах — NIS-серверах (NIS);
• ошибки в программах — RPC-серверах (RPC);
• уязвимости, позволяющие атакующему удаленно получить любой файл с сервера
(Remote file access);
• ошибки в программах — SMTP-серверах (SMTP problems);
• неиспользуемые сервисы (Useless services).
Стандарты
1. Семейство стандартов ISO/IEC 2700x - это международно признанная серия
стандартов для внедрения целостной системы управления информационной
безопасностью. В ее основе лежит стандарт ISO/IEC 27001, который содержит
сертифицируемые требования по выявлению, оценке и управлению рисками для операций
по обработке информации.
2. ГОСТ Р ИСО/МЭК 27002:2015 "Информационная технология. Технические
средства защиты информации. Общие требования". В этом ГОСТе приведены принципы
классификации информации, включая требования к оценке уровня защиты информации и
категоризации информационных активов.
10
3. ГОСТ Р ИСО/МЭК 13335-1:2006 "Информационная технология. Методы
управления безопасностью информации. Часть 1. Общие принципы и цели управления
безопасностью информации". В этом ГОСТе описываются принципы классификации
информации, оценки рисков и разработки политики безопасности информации.
4. ГОСТ Р ИСО/МЭК 27005:2016 "Информационная технология. Методы управления
рисками безопасности информации". В этом ГОСТе приводятся рекомендации по
классификации рисков безопасности информации и проведению анализа рисков.
5. ГОСТ Р ИСО/МЭК 17799:2005 "Информационная технология. Методы
обеспечения безопасности информации. Методическое руководство". В этом ГОСТе
содержится классификация информационных активов, угроз и мер безопасности.
Наиболее распространенные угрозы
Наиболее распространенные угрозы безопасности информации в вычислительных сетях
включают:
1. Вирусы и вредоносное ПО: Вирусы, черви, троянские программы и другие виды
вредоносного программного обеспечения могут заражать компьютеры и сети, причиняя
различные виды вреда, включая потерю данных, недоступность системы и
несанкционированный доступ к конфиденциальной информации.
2. Фишинг и социальная инженерия: Атаки фишинга направлены на обман
пользователей, заставляя их раскрыть личные данные или предоставить доступ к своим
учетным записям. Социальная инженерия включает манипуляцию людьми с целью
получения доступа к системе или информации.
3. Атаки отказа в обслуживании (DoS) и распределенного отказа в обслуживании
(DDoS): Атаки DoS и DDoS направлены на перегрузку ресурсов сети или серверов, делая
их недоступными для легитимных пользователей. Это может привести к потере дохода,
снижению производительности и ухудшению репутации.
4. Несанкционированный доступ: Это включает попытки несанкционированного
доступа к системам, базам данных или ресурсам сети. Может быть вызван недостаточной
аутентификацией, слабыми паролями, уязвимостями в системах или взломом.
5. Утечка конфиденциальной информации: Утечка конфиденциальной информации
может происходить через несанкционированный доступ, внутреннего сотрудника,
небезопасные методы передачи данных или уязвимости в системах. Это может привести к
финансовым потерям, нарушению законодательства и ухудшению репутации.
6. Нарушение целостности данных: Атаки на целостность данных направлены на
изменение или подделку данных, включая внесение неправомерных изменений в базы
данных, файлы или передаваемую информацию.
7. Спам и фильтрация: Несанкционированная рассылка спама может засорять
почтовые ящики и сети, создавая нагрузку и отнимая ресурсы. Фильтрация позволяет
бороться с такими угрозами.
15
- Резервное копирование и восстановление: Регулярное создание резервных копий
данных и возможность восстановления системы в случае инцидента.
- Обучение и осведомление: Обучение пользователей о мероприятиях безопасности,
угрозах и правилах использования системы.
- Мониторинг и обнаружение инцидентов: Показатель оценивает наличие систем
мониторинга и обнаружения инцидентов, которые способны обнаружить
несанкционированные попытки доступа и другие аномальные действия в системе.
Включает также анализ журналов событий, мониторинг сетевого трафика и использование
системы оповещения об инцидентах
- Обновления и патчи: Показатель отражает степень обновления и патчей,
установленных на системе. Регулярное обновление программного обеспечения и
применение исправлений безопасности помогает предотвратить известные уязвимости,
которые могут использоваться для несанкционированного доступа.
Важно отметить, что конкретные показатели защищенности и их весомость могут
различаться в зависимости от конкретной системы и бизнес-потребностей организации.
Определение класса защищенности и выбор показателей защищенности требует анализа
рисков, потенциальных угроз и требований безопасности, а также соблюдения
соответствующих стандартов и законодательства.
16
Обследование существующей инфраструктуры и определение исходных данных для
проектирования системы ИБ.
Республиканское производственное объединение радиорелейных магистралей,
телевидения и радиовещания (РПО РМТР) занимает особое место в истории развития
связи в Кыргызской Республике.
18
Конфигурация сети РПО РМТР
Конфигурация сети - это способ описания параметров и настроек сети, которые
определяют ее структуру, связи между узлами и функциональные характеристики.
Конфигурация сети определяет, какие компоненты присутствуют в сети, и как они
взаимодействуют друг с другом.
В случае компьютерных сетей, конфигурация может включать в себя следующие
элементы:
1. Топология сети: это физическая или логическая структура сети, которая
определяет, как узлы сети соединены и каким образом происходит передача данных
между ними. Некоторые примеры топологий включают звездообразную, шинную,
кольцевую и древовидную.
2. Аппаратное оборудование: это физические компоненты, такие как
маршрутизаторы, коммутаторы, медиаконвертеры, сетевые карты и кабели, которые
используются для создания сети.
3. Протоколы связи: это набор правил и процедур, которые определяют, как узлы в
сети обмениваются информацией. Некоторые известные протоколы включают IP (Internet
Protocol), TCP (Transmission Control Protocol), UDP (User Datagram Protocol), HTTP
(Hypertext Transfer Protocol) и многие другие.
4. IP-адресация: это система присвоения уникальных идентификаторов узлам сети
для обмена данными в Интернете. IP-адреса используются для маршрутизации пакетов
данных от отправителя к получателю.
5. Безопасность: это аспекты, связанные с защитой сети от несанкционированного
доступа и вредоносной активности. Конфигурация сети может включать настройку
брандмауэров, виртуальных частных сетей (VPN), аутентификации и других мер
безопасности.
6. Сервисы и службы: это приложения и сервисы, доступные в сети, такие как
электронная почта, веб-серверы, файловые серверы и др. Конфигурация определяет
настройки и параметры для этих сервисов.
В целом, конфигурация сети включает в себя все настройки, параметры и
компоненты, которые определяют работу сети и ее возможности.
Конфигурация исследуемой сети РПО РМТР выглядит следующим образом (рис.2):
19
Рис.2. Топология сети РПО РМТР до проектирования системы ИБ.
Система информационной безопасности в целом отсутствует. Из всех возможных
методов защиты есть только парольная аутентификации на персональных компьютерах
сотрудников.
20
Создание системы информационной безопасности
Система информационной безопасности проектировалась на симуляторе сети Cisco
Packet Tracer.
Сеть в офисе была поделена на виртуальные локальные компьютерные сети.
Устройства в сети офиса имеют следующие конфигурации:
21
• Бухгалтер – 192.168.1.9/24; основной шлюз – 192.168.1.1
Vlan Admin:
• Сетевой админ – 192.168.1.10/24; основной шлюз – 192.168.1.1
Vlan Server:
• Сервер – 192.168.1.11/24; основной шлюз – 192.168.1.1. . Включены NTP,
Syslog, FTP, AAA для повышения безопасности сети.
Для создания системы информационной безопасности для исследуемой
организации были применены следующие методы обеспечения безопасности
информации:
Защита БД.
Защита базы данных - это комплекс мер и методов, применяемых для обеспечения
конфиденциальности, целостности и доступности данных в базе данных. Защита базы
данных играет важную роль в обеспечении безопасности информации, хранящейся в базе
данных, и предотвращении несанкционированного доступа, изменения или уничтожения
данных.
Существует несколько методов защиты базы данных, которые могут быть
использованы для обеспечения безопасности данных. Некоторые из основных методов
защиты базы данных включают:
22
- Физическая защита: Важно обеспечить физическую безопасность серверов и
хранилищ данных, где хранятся базы данных. Это включает контроль доступа к
серверным помещениям, защиту от пожара и повреждений, резервирование питания и
другие меры.
23
Обновления и облачная защита: Norton AntiVirus регулярно обновляется для
обеспечения актуальной защиты от новых и эволюционирующих угроз. Он также
использует облачные технологии для обнаружения и анализа потенциальных угроз
в реальном времени, что позволяет быстро реагировать на новые вирусы и
вредоносное ПО.
Межсетевой экран.
Межсетевой экран (англ. firewall) – это сетевое устройство или программное
обеспечение, которое используется для контроля и фильтрации трафика между
различными сегментами сети или между внутренней сетью и внешней сетью (например,
Интернетом). Он предназначен для обеспечения безопасности сети, защиты от
несанкционированного доступа и предотвращения возможных атак или утечек данных.
Межсетевой экран работает на основе набора правил и политик безопасности,
которые определяют, какой сетевой трафик разрешен или блокируется. Он анализирует
пакеты данных, проходящие через него, и принимает решение о допуске или блокировке
на основе заданных правил. Возможности межсетевого экрана могут варьироваться в
зависимости от конкретной реализации и настроек, но основные функции включают:
- Фильтрация трафика: Межсетевой экран осуществляет контроль и фильтрацию
сетевого трафика на основе заданных правил. Он может блокировать определенные
порты, протоколы или IP-адреса, а также осуществлять инспекцию содержимого пакетов
для обнаружения и блокировки вредоносных или нежелательных данных.
- NAT (Network Address Translation): Межсетевой экран может выполнять функцию
перевода сетевых адресов (NAT), позволяющую скрыть внутренние IP-адреса от внешней
сети и предотвратить прямое соединение между внутренними и внешними устройствами.
Это повышает безопасность и конфиденциальность внутренней сети.
- VPN (Virtual Private Network): Многие межсетевые экраны поддерживают
возможность создания виртуальных частных сетей (VPN), которые обеспечивают
защищенное соединение между удаленными местами или пользователями через
общедоступную сеть, такую как Интернет. VPN обеспечивает шифрование данных и
защиту от несанкционированного доступа.
- Инспекция состояния (Stateful Inspection): Некоторые межсетевые экраны
поддерживают технологию инспекции состояния, которая анализирует состояние сетевых
соединений и позволяет разрешить только те пакеты, которые являются ответом на
24
предварительно установленное соединение. Это помогает предотвратить определенные
виды атак, такие как атаки переполнения буфера.
- Журналирование и мониторинг: Межсетевые экраны могут вести журнал событий
и предоставлять информацию о сетевой активности, попытках доступа, блокировках и
других событиях безопасности. Это позволяет анализировать и отслеживать сетевой
трафик, выявлять потенциальные угрозы и реагировать на них.
Обеспечение безопасности с помощью межсетевого экрана является важным
аспектом защиты сети от различных угроз и атак. Он помогает ограничить доступ к
ресурсам сети, обнаружить и блокировать вредоносные пакеты данных и предотвратить
несанкционированное использование ресурсов сети.
25
Заключение
На сегодняшний день состояние безопасности вычислительных сетей остается
одной из наиболее актуальных и серьезных проблем информационной безопасности.
Хакеры и киберпреступники продолжают разрабатывать новые методы атак на сети,
выдумывать новые уязвимости и эксплуатировать уже известные уязвимости, чтобы
получить доступ к чувствительной информации, взять под контроль компьютерные
системы, или нанести ущерб бизнесу и организациям.
В связи с этим, безопасность вычислительных сетей становится все более важной и
необходимой задачей для организаций и индивидуальных пользователей. Для защиты
сетей и предотвращения атак необходимо применять комплексный подход, включающий в
себя использование современных технологий безопасности, обучение пользователей
основам информационной безопасности, а также регулярное обновление программного
обеспечения и аппаратных средств.
На учебной практике были освоены навыки по созданию системы безопасности
информационной безопасности сети с применением таких инструментов как NetFlow, Port
security, ACL, Syslog, VLAN и др.
26
Список используемой литературы
1. Методические указания по выполнению лабораторных работ по дисциплине
«Защищенные информационные системы».
2. Методические рекомендации для студентов по организации самостоятельной
работы по дисциплине «Защищенные информационные системы».
3. Башлы П.Н. Информационная безопасность и защита информации
[Pk, Lk] < 1), (0 ≤ Rk < 1).Электронный ресурс]: учебное пособие/ Башлы П.Н.,
Бабаш А.В., Баранова Е.К.— Электрон. текстовые данные.— М.: Евразийский
открытый институт, 2012.— 311 c.— Режим доступа:
http://www.iprbookshop.ru/10677.html.
4. Горев А.И. Обработка и защита информации в компьютерных системах
[Pk, Lk] < 1), (0 ≤ Rk < 1).Электронный ресурс]: учебно-практическое пособие/
Горев А.И., Симаков А.А.— Электрон. текстовые данные.— Омск: Омская
академия МВД России, 2016.— 88 c.— Режим доступа:
http://www.iprbookshop.ru/72856.html
5. https://selectel.ru/blog/nastrojka-ntp-na-servere/
6. http://xgu.ru/wiki/Port_security
7. https://youtu.be/aB1KJi7IkXw
8. https://youtu.be/3lxH2nwLi-4
9. https://youtu.be/S9RBZTDIfIo
10. Видео уроки Cisco Packet Tracer. Курс молодого бойца.
11. https://youtu.be/Y4PT5hn-P08
12. https://searchinform.ru/products/kib/politiki-informatsionnoj-bezopasnosti/
13. https://lib.itsec.ru/articles2/concept/politika_bezopasn_razrab_i_realiz
14. https://intuit.ru/studies/courses/10/10/lecture/306
15. https://tass.ru/ekonomika/17610537
16. https://www.dqsglobal.com/ru-by/uznat%27/informacionnaya-bezopasnost%27/
standarty-informacionnoj-bezopasnosti
27