Автор работы: Пользователь скрыл имя, 17 Июня 2012 в 14:44, курсовая работа
Мировые исследования последних лет показали, что функциональные и надежностные характеристики КС определяются качеством и надежно¬стью программного обеспечения, входящего в их состав. Кроме проблем качества и надежности программного обеспечения при создании КС фун¬даментальная проблема его безопасности приобретает все большую акту¬альность. При этом в рамках данной проблемы на первый план выдвигает¬ся безопасность технологий создания программного обеспечения компью¬терных систем. Данный аспект проблемы безопасности программных ком¬плексов является сравнительно новым и связан с возможностью внедрения в тело программных средств на этапе их разработки (или модификации в ходе авторского сопровождения) так называемых «программных закла¬док».
ВВЕДЕНИЕ 3
1. Обеспечение безопасности программного обеспечения. 5
1.1. Основы защиты программного обеспечения компьютерных систем. 5
1.2. Угрозы безопасности информационно-программного обеспечения и примеры их реализации в современном компьютерном мире. 8
1.3. Основные предположения и ограничения. 14
2.Жизненный цикл информационного-программного обеспечения компьютерных систем. Технологическая и эксплуатационная безопасность программ. 16
2.1. Подход к созданию модели угроз технологической безопасности ПО. 19
2.2. Проектирование 22
2.3. Кодирование 23
2.4. Отладка и испытания 24
2.5. Контроль 24
3. Основные принципы обеспечения безопасности ПО. 26
4. Классификация угроз информационно-программному обеспечению. 30
Заключение 38
Список литературы 39
Достаточности безопасности программ, отражающей необходимость поиска наиболее эффективных и надежных мер безопасности при одновременной минимизации их стоимости.Гибкости управления защитой программ, требующей от системы контроля и управления обеспечением информационной безопасности ПО способности к диагностированию, опережающей нейтрализации, оперативному и эффективному устранению возникающих угроз в условиях резких изменений обстановки информационной борьбы.
Заблаговременности разработки средств обеспечения безопасности и контроля производства ПО, заключающейся в предупредительном характере мер обеспечения технологической безопасности работ в интересах недопущения снижения эффективности системы безопасности процесса создания ПО.
Документируемости технологии создания программ, подразумевающей разработку пакета нормативно-технических документов по контролю программных средств на наличие преднамеренных дефектов.
Принципы достижения технологической безопасности ПО в процессе его разработки
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Регламентации технологических этапов разработки ПО, включающей упорядоченные фазы промежуточного контроля, спецификацию программных модулей и стандартизацию функций и формата представления данных.
Автоматизации средств контроля управляющих и вычислительных программ на наличие дефектов, создания типовой общей информационной базы алгоритмов, исходных текстов и программных средств, позволяющих выявлять преднамеренные программные дефекты.
Последовательной многоуровневой фильтрации программных модулей в процессе их создания с применением функционального дублирования разработок и поэтапного контроля.
Типизации алгоритмов, программ и средств информационной безопасности, обеспечивающей информационную, технологическую и программную совместимость, на основе максимальной их унификации по всем компонентам и интерфейсам.
Централизованного управления базами данных проектов ПО и администрирование технологии их разработки с жестким разграничением функций, ограничением доступа в соответствии со средствами диагностики, контроля и защиты.
Блокирования несанкционированного доступа соисполнителей и абонентов государственных сетей связи, подключенных к стендам для разработки программ.
Статистического учета и ведения системных журналов о всех процессах разработки ПО с целью контроля технологической безопасности.
Использования только сертифицированных и выбранных в качестве единых инструментальных средств разработки программ для новых технологий обработки информации и перспективных архитектур вычислительных систем.
Принципы обеспечения технологической безопасности на этапах стендовых и приемо-сдаточных испытаний
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Тестирования ПО на основе разработки комплексов тестов, параметризуемых на конкретные классы программ с возможностью функционального и статистического контроля в широком диапазоне изменения входных и выходных данных.
Проведения натурных испытаний программ при экстремальных нагрузках с имитацией воздействия активных дефектов.
Осуществления «фильтрации» программных комплексов с целью выявления возможных преднамеренных дефектов определенного назначения на базе создания моделей угроз и соответствующих сканирующих программных средств.
Разработки и экспериментальной отработки средств верификации программных изделий.
Проведения стендовых испытаний ПО для определения непреднамеренных программных ошибок проектирования и ошибок разработчика, приводящих к невыполнению целевых функций программ, а также выявление потенциально "узких" мест в программных средствах для разрушительного воздействия.
Отработки средств защиты от несанкционированного воздействия нарушителей на ПО.
Сертификации программных изделий АСУ по требованиям безопасности с выпуском сертификата соответствия этого изделия требованиям технического задания.
Принципы обеспечения безопасности при эксплуатации программного обеспечения
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Сохранения и ограничения доступа к эталонам программных средств, недопущение внесения изменений в них.
Профилактического выборочного тестирования и полного сканирования программных средств на наличие преднамеренных дефектов.
Идентификации ПО на момент ввода его в эксплуатацию в соответствии с предполагаемыми угрозами безопасности ПО и его контроль.
Обеспечения модификации программных изделий во время их эксплуатации путем замены отдельных модулей без изменения общей структуры и связей с другими модулями.
Строгого учета и каталогизации всех сопровождаемых программных средств, а также собираемой, обрабатываемой и хранимой информации.
Статистического анализа информации обо всех процессах, рабочих операциях, отступлениях от режимов штатного функционирования ПО.
Гибкого применения дополнительных средств защиты ПО в случае выявления новых, непрогнозируемых угроз информационной безопасности.
Угрозы информационной безопасности классифицируются по нескольким признакам:
· по составляющим информационной безопасности (доступность, целостность, конфиденциальность), против которых, в первую очередь, направлены угрозы;
· по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, персонал);
· по характеру воздействия (случайные или преднамеренные, действия природного или техногенного характера);
· по расположению источника угроз (внутри или вне рассматриваемой информационной системы).
Отправной
точкой при анализе угроз
Все виды угроз классифицируемые по другим признакам, могут воздействовать на все составляющие информационной безопасности.
Рассмотрим угрозы по характеру воздействия.
Опыт проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы.
Причинами
случайных воздействий при
· аварийные ситуации из-за стихийных бедствий и отключений электропитания (природные и техногенные воздействия);
· отказы и сбои аппаратуры;
· ошибки в программном обеспечении;
· ошибки в работе персонала;
· помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия - это целенаправленные действия злоумышленника. В качестве злоумышленника могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами, например:
· любопытством;
· хакерская атака;
· уязвленным самолюбием работника и т. д.
Угрозы, классифицируемые по расположению источника угроз, бывают внутренние и внешние.
Внешние
угрозы обусловлены применением
вычислительных сетей и создание
на их основе информационных систем.
Основная особенность любой вычислительной
сети состоит в том, что ее компоненты
распределены в пространстве. Связь между
узлами сети осуществляется физически
с помощью сетевых линий и программно
с помощью механизма сообщений. При этом
управляющие сообщения и данные, пересылаемые
между узлами сети, передаются в виде пакетов
обмена. Особенность данного вида угроз
заключается в том, что местоположение
злоумышленника изначально неизвестно.
Каналы несанкционированного доступа к информации
Одним из наиболее распространенных и многообразных способов воздействия на информационную систему, позволяющим нанести ущерб любой из составляющих информационной безопасности является несанкционированный доступ. Несанкционированный доступ возможен из-за ошибок в системе защиты, нерационального выбора средств защиты, их некорректной установки и настройки.
Каналы несанкционированного доступа к информации классифицируются по компонентам автоматизированных информационных систем:
1. Через человека:
1.1.хищение
носителей информации;
1.2.чтение информации с экрана или клавиатуры;
1.3. чтение информации из распечатки.
2. Через программу:
2.1.перехват
паролей;
2.2.расшифровка зашифрованной информации;
2.3. копирование информации с носителя.
3. Через аппаратуру:
3.1.подключение
специально разработанных
3.2. перехват
побочных электромагнитных
Основные источники проникновения угроз
В
настоящее время основными
Не стоит забывать и о еще одном важном источнике "неприятностей" - спаме. Нежелательная почтовая корреспонденция может нанести гораздо больший вред, чем некоторые вредоносные программы. Не являясь источником прямой угрозы, спам приводит к потерям рабочего времени и наносит значительные финансовые потери, которые увеличиваются в сотни, тысячи раз, если это касается корпоративной компьютерной сети.
Каждый пользователь, широко использующий современные информационные ресурсы, должен знать, что ему угрожает и какие последствия может за собой повлечь то или иное вредоносное воздействие.
Среди источников проникновения вредоносных программ наиболее опасными являются:
Интернет: глобальная информационная сеть является основным источником распространения любого рода вредоносных программ. Как правило, вирусы и другие вредоносные программы размещаются на популярных веб-сайтах интернета, "маскируются" под полезное и бесплатное программное обеспечение. Множество скриптов, запускаемых автоматически при открытии веб-сайтов, могут также содержать в себе вредоносные программы.
Электронная почтовая корреспонденция: почтовые сообщения, поступающие в почтовый ящик пользователя и хранящиеся в почтовых базах, могут содержать в себе вирусы. Вредоносные программы могут находиться как во вложении письма, так и в его теле. Как правило, электронные письма содержат вирусы и почтовые черви. При открытии письма, при сохранении на диск вложенного в письмо файла Вы можете заразить данные на вашем компьютере. Также почтовая корреспонденция может стать источником еще двух угроз: спама и фишинга. Если спам влечет за собой в основном потерю времени, то целью фишинг-писем является Ваша конфиденциальная информация (например, номер кредитной карты).