***** 1 - Кафедра Информатики и защиты информации

реклама
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
ФГБОУ ВПО “Владимирский государственный университет
имени Александра Григорьевича и Николая Григорьевича Столетовых”
Конкурс инновационных проектов по программе
«Участник молодежного научно-инновационного конкурса»
«УМНИК»
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА
ЗАЩИЩЕННОСТИ ОБЪЕКТА
ИНФОРМАТИЗАЦИИ
Автор:
магистрант каф. ИЗИ
Богомазова И.Ю.
Научный руководитель:
ст. преп. каф. ИЗИ
Мишин Д.В.
Владимир 2013
«Участник молодежного научно-инновационного конкурса» «УМНИК»
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Объект, предмет и цель НИР
Объект
исследования:
информатизации.
информационная
система
объекта
Предмет исследования: методики анализа защищенности объекта
информатизации.
Цель НИР: решение научно-практической задачи разработки новых
методик, направленных на снижение временных и интеллектуальных затрат
на процесс оценки защищенности объекта информатизации.
Богомазова Ирина Юрьевна
«УМНИК»
2
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Цель проекта
Цель: разработать и реализовать автоматизированную систему (АС)
анализа защищенности объекта информатизации (ОИ).
Богомазова Ирина Юрьевна
«УМНИК»
3
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Научная новизна
• Предложена расширенная модель защищенной системы.
• Разработана графовая модель сети передачи данных.
• Разработана методика категорирования нарушителей.
• Предложена вероятностная методика оценки защищенности.
• Предложена универсальная экспертная методика идентификации
защитных механизмов и организационно-технических уязвимостей.
• Предложена методика выработки рекомендаций.
• Разработаны опросные листы и матрицы коэффициентов.
• Предложена модель распределенной АС анализа защищенности ОИ.
Практическая значимость
• Программная реализация модулей АС.
• Разработка базы знаний, содержащей данные необходимые для
проведения расчетов.
• Быстрота и качество анализа за счет автоматизации.
Богомазова Ирина Юрьевна
«УМНИК»
4
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Основные характеристики программного обеспечения
• предоставление максимально полной картины защищенности объекта;
• возможность обновления базы знаний системы и расширения
функционала программы;
• эргономичный интерфейс для пользователя программного обеспечения
(аудитора) и администратора автоматизированной системы;
• реализация через клиент-серверную технологию (толстый клиент);
• модульная структура;
• кроссплатформенность;
• защита межкомпонентного взаимодействия.
Богомазова Ирина Юрьевна
«УМНИК»
5
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Исходные данные и результаты
Вход:
 данные
о
структурных
компонентах ИС (оборудовании,
помещениях) и связях между
ними;
 об информационных ресурсах;
 о сотрудниках;
 о состоянии ИБ на объекте;
 о применяемых защитных
механизмах.
Богомазова Ирина Юрьевна
Выход:
представление
 визуальное
исходных данных;
 список
уязвимостей
и
защитных
механизмов
с
оценками;
 числовая
оценка
защищенности объекта;
 список рекомендаций;
 отчеты.
«УМНИК»
6
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Возможности аудитора
Богомазова Ирина Юрьевна
«УМНИК»
7
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Возможности администратора АС
Богомазова Ирина Юрьевна
«УМНИК»
8
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Архитектура АС
Богомазова Ирина Юрьевна
«УМНИК»
9
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Модульная структура АС
Богомазова Ирина Юрьевна
«УМНИК»
10
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Разработки и их применение в АС
Разработка
Применение
Расширенная модель защищенной
системы
Общая концепция АС, построение
интерфейса клиентской части
Графовая модель сети передачи данных
Визуализация ИС (клиентская часть)
Модель нарушителя
Категорирование нарушителей (клиентская
часть)
Вероятностная методика оценки
защищенности
Расчет показателя защищенности, проверка
эффективности защитных мер
Экспертная методика идентификации
уязвимостей и защитных механизмов
Составление опросных листов (серверная
часть), расчет защищенности и организация
интерфейса (клиентская часть)
Методика выработки рекомендаций
Осуществление выдачи обоснованных
рекомендаций (клиентская часть)
Опросные листы и матрицы
коэффициентов
Основное наполнение базы знаний
(серверная часть), для расчета показателей
Богомазова Ирина Юрьевна
«УМНИК»
11
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Локальный прототип АС
Богомазова Ирина Юрьевна
«УМНИК»
12
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Потенциальные покупатели
• частные коммерческие организации различного профиля (с развитой
информационно-технической инфраструктурой), имеющие подлежащие
защите информационные ресурсы в электронной форме.
Предоставление лицензии
Богомазова Ирина Юрьевна
«УМНИК»
13
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Версии АС
Заполнение и хранение информации об
объекте
Категорирование нарушителей
Идентификация
уязвимостей
защитных механизмов
Расчет защищенности предприятия
и
Указание слабых мест в системе ИБ
объекта
Формирование отчетов
Выработка рекомендаций
Виртуальное применение рекомендаций
Составление карты сети
Богомазова Ирина Юрьевна
Базовая
Расширенная
Полная
600 р.
800 р.
1000 р.
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
«УМНИК»
14
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Преимущества перед аналогами
Estimate Tool Pro 3.0, ISM Revision, BSAT 1.3, СТО БР Аудитор, DS Audit
2.0, CRAMM 5.2.5, COBRA, КОНДОР 2006, ГРИФ 2006, RiskOptix и др.
 Сравнительно низкая стоимость.
 Широкий круг потенциальных пользователей.
 Использование собственных методик и моделей – залог прозрачности.
 Сочетание функций для эффективного и адекватного анализа
защищенности.
 Возможность оценки эффективности предложенных мер по повышению
защищенности.
 Разнообразие отчетов.
 Совершенствование и пополнение базы знаний.
 Квалифицированная поддержка и сопровождение.
Богомазова Ирина Юрьевна
«УМНИК»
15
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Общая стоимость проекта
1. Расчет заработной платы сотрудникам
Должность
Число
Итого з.п., руб. Расчетный
Итого з.п., руб.
должностей мес.
период, мес год
Менеджер по продажам
1
18000
11
198000
Программист
3
25000
1
75000
Системный администратор
1
20000
12
240000
Специалист службы технической
1
15000
11
165000
поддержки
Итого по персоналу
678000
2. Расчет затрат на оборудование
Наименование
Количество
Цена за ед., руб.
Сумма
Ноутбук
2
25000
50000
Итого по оборудованию
50000
3. Расчет затрат на услуги
Наименование
Количество, мес
Цена за мес.,руб
Сумма
Аренда физического сервера
11
4000
44000
Мобильная связь
12
400
4800
Итого по услугам
48800
4. Прочие расходы - 50000 руб
Итого по проекту
826 800 руб.
16
/18
Богомазова Ирина Юрьевна
«УМНИК»
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Реализация проекта
№
Задача
Длительность
1 Реализация
АС
1 мес.
2 Продажи
11 мес.
~ 154 потенциальных
клиента во Владимире
Богомазова Ирина Юрьевна
1 год
1
2
3
4
~ 965 580 руб. выручки
5
6
7
8
9
10
11
12
~ 138 780 руб. чистой
прибыли
«УМНИК»
17
/18
АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Апробация
• IV международная научная конференция «Актуальные вопросы современной
науки». г. Санкт-Петербург, 2012 г.
• V всероссийская научно-практическая конференция студентов, аспирантов,
работников образования и промышленности «Информационные технологии и
автоматизация управления». г. Омск, 2013 г.
• Всероссийский конкурс «Лучшая научная статья - 2013». Научнометодический электронный журнал «Концепт», Современные научные
исследования. Выпуск 1. 2013 г.
• XXXII Всероссийская научно-техническая конференция «Проблемы
эффективности и безопасности функционирования сложных технических и
информационных систем». Часть 3, секция №7. г. Серпухов, 2013 г.
• I Международная научно-практическая конференция «Информационная
безопасность в свете Стратегии Казахстан-2050». Казахстан, г. Астана, 2013 г.
• Доклады в рамках научно-технических семинаров кафедры ИЗИ ВлГУ. г.
Владимир, 2012 – 2013 г.г.
• Доклады в рамках Дней науки студентов ВлГУ. г. Владимир, 2012-2013 г.г. 18
Богомазова Ирина Юрьевна
«УМНИК»
/18
Скачать