Курсовая с практикой на тему Разработка модели обеспечения информационной безопасности при работе с информацией ограниченного доступа (Любой язык программирования)

Содержание:

Введение 3

1 Теоретические аспекты обеспечения информационной безопасности при работе с информацией ограниченного доступа 5

1.1 Анализ предметной области 5

1.2 Выбор критериев с обоснованием 7

1.3 Анализ методов 24

2 Разработка формализованной модели 28

2.1 Разработка математической модели 28

2.2 Разработка архитектуры программного средства 31

— модуль ввода 31

— модуль обработки данных 32

— модуль вывода 32

2.3 Разработка алгоритма реализации программного средства 33

3 Проведение экспериментального исследования 35

— Разработка программного средства 35

— Реализация программного средства 35

— Обработка результатов 42

Заключение 43

Список использованных источников 45

Введение:

Реалии современного мира и стремительно растущий уровень информатизации всех сфер человеческой деятельности, при котором информация всё чаще становится самым главным товаром на экономической и политической арене мирового сообщества, предъявляют высокие требования по обеспечению информационной безопасности и защиты информации ко всем субъектам, участвующим в информационных процессах. Несерьезное, либо некомпетентное отношение к вопросам информационной безопасности и обеспечению защиты информационных потоков, обеспечивающих деятельность организации любого типа и уровня, стремительно повышает ее финансовые, репутационные и правовые риски и может привести не только к серьезным проблемам в устойчивости предприятия на поле экономической деятельности, но и повлечь полное его уничтожение, как юридической единицы в условиях конкурентной борьбы за сферы влияния на мировом рынке.

Вопросы информационной безопасности требуют от руководителей предприятий серьезного подхода, поэтому многие компании стараются решать задачи защиты информации глобально – путем создания системы информационной безопасности, отвечающей современным стандартам и требованиям целости, доступности и конфиденциальности. Если для новых предприятий подобные системы можно выстраивать «с нуля», то давно работающим на рынке компаниям, необходимо постоянно осуществлять модернизацию имеющейся системы, используя новейшие технологии и методы защиты информации, в связи с постоянно растущей угрозой несанкционированного доступа к информации и перспективе приостановки операционной деятельности, с сопутствующими убытками многократно превышающими стоимость обслуживания самой системы защиты информации, кроме того не стоит исключать и репутационные потери в следствие обнародования случаев и последствий успешных атак на организацию. Исходя из вышеизложенного, можно сделать вывод об актуальности проектирования и модернизации эффективных систем защиты информации.

Объектом исследования в данном курсовом проекте являются системы информационной безопасности.

Предметом исследования являются модели обеспечения информационной безопасности при работе с информацией ограниченного доступа.

Целью исследования разработка модели обеспечения информационной безопасности при работе с информацией ограниченного доступа.

Исходя из поставленной цели, вытекают следующие задачи исследования:

— анализ предметной области предприятия,

— изучение современных подходов к анализу существующих систем информационной безопасности предприятий;

— изучение способов воспрепятствовать возможным атакам на защищаемый целевой контур или минимизировать возможный полученный ущерб.

— анализ основных угроз информационной безопасности малых, средних и крупных предприятий;

— анализ типовых проблем существующих систем информационной безопасности и разработка методов их решения;

— определение возможных угроз, способных повлиять на актуальность, доступность, целостность, конфиденциальность информационных активов и ресурсов предприятия, используемых при реализации рассматриваемого бизнес-процесса, а также

— подбор необходимого программного обеспечения системы защиты информации.

Заключение:

В эпоху развития цифровых технологий пользователи, не задумываясь, оставляют в сети интернет огромное количество личных .данных, которые хранятся в интернете и по сути могут стать доступны каждому, но их можно взять под контроль.

Данный вопрос регулируется на законодательном уровне и предписывает операторам (организациям, которые собирают тем или иным образом персональные данные пользователей) соблюдать требования законодательства, такие как в первую очередь федеральный закон 152-ФЗ. При разработке ресурсов компании должны обеспечивать пользователю возможности по обеспечению защиты своих данных. Однако и пользователи в свою очередь должны серьезно относится к вопросам сохранности своих конфиденциальных данных и использовать тот функционал, который им предлагается при взаимодействии с информационными системами различных компаний.

В процессе работы над проектом решены следующие задачи:

В ходе анализа были изучены основные нормативные документы, регулирующие деятельность организаций в сфере информационной безопасности, были изучены основные модели безопасности и методы, которые применяются для обеспечения защиты конфиденциальной информации.

На основании изученных материалов были определены основные методы, которые будут применяться в разрабатываемой модели для обеспечения защиты данных пользователя.

А также спроектирован программный модуль для реализации схемы взаимодействия пользователя с базой данных информационной системы при регистрации на сайте, и последующего входа в созданный аккаунт.

Используемые методы защиты пользовательских данных от хищения злоумышленниками предусматривают шифрование данных, использование для хранения в куках хеша случайно сгенерированной строки, а не хеша пользовательского пароля, а также предоставление пользователю возможности обеспечения дополнительной защиты данных в виде привязке по ip.

На основе анализа специфики требований к поставленной задаче и разработанного алгоритма работы программы, а также варианта взаимодействия пользователя с информационной системой в качестве программных средств реализации были выбраны языки программирования PHP и SQL.

Представленный прототип обеспечивает пользователю необходимый функционал для защиты своих данных при регистрации и последующем взаимодействии с информационной системой компании.

Подводя итоги, можно сказать, что цели и задачи курсового проекта достигнуты

Фрагмент текста работы:

1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ИНФОРМАЦИЕЙ ОГРАНИЧЕННОГО ДОСТУПА

1.1 Анализ предметной области

В представленной работе, используются такие основные понятия в области обеспечения информационной безопасности при работе с информацией ограниченного доступа, как:

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.

Объект — это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект — это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации — ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.

Доступ к ресурсу — получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.).

Разграничение (контроль) доступа к ресурсам ИС — это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Несанкционированное действие — действие субъекта в нарушение установленных в системе правил обработки информации.

Авторизация — предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.

Идентификация — это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, — это их распознавание (опознавание) по присвоенным им уникальным идентификаторам.

Аутентификация — это проверка (подтверждение) подлинности идентификации субъекта или объекта системы.

Авторизованный субъект доступа — субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Матрица доступа – это таблица, в которой строки соответствуют субъектам, столбцы – объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту.

Для целей курсового проектирования выбрано предприятие ООО «ЕДИНСТВО» — одним из видов деятельности которого является «Деятельность в области спорта». Фактически «Единство» представляет собой фитнес-клуб, в котором посетителям предлагается большой выбор спортивных снарядов и тренажеров. Предприятие имеет несколько тренажерных и спортивных залов и пользуется большой популярностью у населения, как профессионально занимающегося спортом, так и заботящегося о поддержании спортивной формы.

Посещение фитнес-клуба является платным. Посетителям предлагается на выбор: разовая оплата посещения или покупка абонемента сроком на месяц, три, полгода или год. Посещение зала регламентировано только продолжительностью оплаченного времени занятия – минимально один час, время посещения клиент зала определяет для себя сам, исходя из своих возможностей.

Клиенты, купившие годовой абонемент, не имеют ограничений по продолжительности занятий и времени посещения

За организацию работы спортивного зала отвечает администратор, который ведет учет клиентов зала, продажи абонементов, а также посещаемости и продолжительности занятий посетителей тренажерного зала.

В связи c расширением сфер услуг в фитнес-центрах и спортивных клубах и увеличения их количества растет конкуренция между ними. Чтобы сохранять свои позиции на рынке услуг фитнес-клубу нужен сайт для информирования клиентов о предоставляемых услугах и предоставление возможности зарегистрироваться на сайте, ознакомиться с услугами фитнес-клуба и их стоимостью, а также выбрать желаемый тариф абонемента и оплатить его посредством онлайн-оплаты.

Естественно, при таком подходе в базе данных сайта будет хранится информация о клиентах, представляющая собой персональные данные клиентов

И, следовательно, в этом случае фитнес-клубу необходимо обеспечить безопасность хранения этих данных для соблюдения законодательства РФ в области защиты конфиденциальной информации своих клиентов.