40100

Обеспечение стабильной работы ftp и http сервера

Курсовая

Информатика, кибернетика и программирование

Спецификация защищаемого объекта В сети Internet имеется закрытый ftpсервер доступ к которому предоставляется через открытую http страницу в глобальной сети Интернет. ftpсервер предоставляет доступ к файлам различных музыкальных форматов. Сервер функционирует на базе операционной системы Windows Xp. Сервер территориально располагается в пределах одной комнаты имеет выход в глобальную сеть Интернет через сторонний сервер компании предоставляющей услуги доступа.

Русский

2013-10-15

4.11 MB

2 чел.

Санкт-Петербургский Государственный Электротехнический Университет “ЛЭТИ”

Кафедра АСОИУ

Пояснительная записка к курсовому расчету

по дисциплине

Основы информационной безопасности

      Выполнил: Боровой А.Г., 3361

Преподаватель: Шишкин В. М.

СПб, 2006г.

СОДЕРЖАНИЕ

[0.1]
Спецификация защищаемого объекта

[0.2] Проблема

[0.3] Цель защиты:

[0.4] Спецификация среды

[0.5] Компоненты объекта

[0.6] Источники угроз

[0.7] События риска

[0.8] Угрозы

[0.9] Граф взаимодействия источников угроз, событий риска и компонентов объекта.

[0.10] Выбор средств защиты и оценивание.

[0.11] Вывод:


Спецификация защищаемого объекта

В сети Internet имеется закрытый ftp-сервер, доступ к которому предоставляется через открытую http страницу в глобальной сети Интернет. ftp-сервер предоставляет доступ к файлам различных музыкальных форматов. Сервер функционирует на базе операционной системы Windows Xp. Сервер территориально располагается в пределах одной комнаты, имеет выход в глобальную сеть Интернет через сторонний сервер компании, предоставляющей услуги доступа.

На сервера расположена относительно однородная информация (музыка). Подразумевается, что доступ к http серверу осуществляется любым пользователем сети Интернет. Клиентским ПО выступает любой современный Интернет браузер. Доступ к ftp-серверу осуществляется через http-страницу по логину и паролю. По этому логину и паролю пользователь может скачать файлы, находящиеся на ftp-сервере. Операции добавления, записи, удаления, изменения данных закрепляются только за администратором сервера. Компания, предоставляющая доступ к данной информации, заинтересована в том, чтобы конкурирующие организации не смогли никаким образом стереть, удалить или изменить существующую информацию. Необходимо чтобы доступ к данной информации был постоянным. Также необходимо защитить пользователей данной системы от утери их персональных логина и пароля и передачи их лицам, которые не имеют прав доступа.

Компании приносит основной доход продажа доступа к ftp-серверу в виде персональных логина и пароля. Следовательно, любой сбой приведет к падению рейтинга и доверия пользователей, что в конечном итоге приведет к убыткам.

Обобщая вышесказанное, сформулируем объект защиты: объектом зашиты, являются непосредственно файлы в музыкальных форматах данных и реляционная база данных, в которой хранится информация о пользователях системы и обо всех файлах находящихся на сервере.

Проблема

 Передо мной стоит ряд проблем: мне необходимо обеспечить  стабильность работы серверов, доступность для пользователей оплативших доступ и оградить от несанкционированного доступа к музыкальным файлам ftp-сервера и содержанию базы данных.

Цель защиты:

  •  Обеспечение стабильной работы ftp и http сервера.
  •  Обеспечение постоянного доступа к данным, предоставляемым на ftp-сервере.
  •  Сохранение целостности данных хранящихся на выделенном ftp-сервере.

Спецификация среды

К среде относятся:

  1.  компьютер, с которого осуществляется доступ администратора базы данных;
  2.  сеть Интернет;
  3.  электрическая сеть переменного тока в здании;
  4.  помещение, в котором располагается сервер.

Компоненты объекта

  •  1. Операционная система, обслуживающая сервер.
  •  2. База данных содержащая информацию обо всех объектах
  •  3. Информация, хранимая на сервере (музыка)

Источники угроз

  •  1. Входящий трафик
  •  2. Администратор базы данных
  •  3. Конкуренты, предоставляющие аналогичные сервисы
  •  4. Любой человек желающий получить полный доступ к данному ftp-серверу.
  •  5. Ошибки, допущенные разработчиками системы
  •  6. Электропроводка

События риска

  •  1. Запись (перезапись) файлов
  •  2. Удаление файлов
  •  3. Добавление файлов

Угрозы

  •  1.Получение login и password (как администратора базы данных, так и пользователей) посторонними лицами.
  •  2. Запись (перезапись) файлов
  •  3. Удаление файлов
  •  4. Добавление файлов
  •  5. Перегрузка сервера
  •  6. Атака Трояна
  •  7. Переполнение буфера
  •  8. SQL-инъекция
  •  9. Перезаписывающие вирусы
  •  10. Вирусы-компаньоны
  •  11. Файловые черви
  •  12. Вирусы-звенья
  •  13. Паразитические вирусы
  •  14. Вирусы поражающие исходный код программ
  •  15. Использование чересчур простых login  и password
  •  16.Взлом двери комнаты с сервером злоумышленником;
  •  17.Возгорание комнаты, в которой находится сервер;
  •  18.Перепады в напряжении.

Граф взаимодействия источников угроз, событий риска и компонентов объекта.

Рассчитаем матрицу W:

 

Теперь рассчитаем матрицу защищенности V:

Построим диаграмму последнего столбца.

 

Из данной диаграммы видно, что самым уязвимым местом в нашей системе являются конкуренты, предоставляющие аналогичные сервисы(3), чего и следовало ожидать, поскольку они являются источниками многих возможных противодействий направленных на системы. На втором месте(4) – любой человек желающий получить полный доступ к данному ftp-серверу, этот человек не обязательно должен быть конкурентом, но он обладает практически теми же средствами, что и конкуренты для совершения противодействий направленных на сервер. Далее с одинаковой вероятностью идут: взлом двери комнаты с сервером злоумышленником(22) и возгорание комнаты, в которой находится сервер(23). Их равновероятность обусловлена тем, что из первого, может последовать и второй пункт, что, конечно, совсем не обязательно, но возможно. Для системы возникновение любого из 2-х событий равносильно потере информации и оборудования. Далее идёт электропроводка(6), так как она часто служит причиной пожаров и скачков напряжения, что в конечном итоге может сказаться на работе сервера и полного выхода его из строя. Событие риска удаление файлов(9) тоже является весьма серьёзной проблемой, которое может вывести из рабочего состояния весь сервис предоставляемый компанией. Входящий трафик(1) так же является серьёзной угрозой, так как это и есть прямое воздействие на систему, часто пользователь нашей системы и не подозревает о наличии у него на компьютере какой-либо вредоносной программы, но она проявится при подключении к серверу и работе с ним. Особого внимания заслуживают угрозы 15-20. На диаграмме они представлены практически равновероятными, этого в реальности не может быть. Но в данной модели это сделано целенаправленно, чтобы показать, что неизвестно каких типов вирусных атак следует ожидать. Постоянно разрабатываются новые вирусы и новые методы взлома. И, конечно же, это всего лишь самые распространенные вирусные атаки.

Выбор средств защиты и оценивание.

Предлагаются следующие средства защиты:

(3,4,14,15,16,17,18,19,20) Замена ПО на серверах. Вместо ОС Windows устанавливается ОС на базе unixFreeBSD, что, при грамотной настройке ОС, значительно повысит уровень безопасности и отказоустойчивости сервера от различного рода угроз.

(3,4,7,21) Максимально усложнить пароли.

(2,4,8,10,11) Установить всевозможные обновления системы(любой которая стоит или будет стоять на сервере). При наличии приобрести и установить новую версию систем.

(1,14) Использовать криптографические алгоритмы для хранения базы данных (шифрование).

(7,8,9) Создать и регулярно обновлять копию всей информации. Рекомендовано проводить копирование на независимых от системы БД устройствах.

(24)Покупка и установка UPS на сервер, что позволит защитить сервер от неожиданных перебоев в электросети;

(8,22,23)Покупка и установка вместо обычной двери более надежную стальную дверь в помещение, где находится сервер, что поможет, в частности, предотвратить попытки кражи носителей информации сервера, попыток полного уничтожения сервера путём поджога, и изменению БД;

Устройства противопожарной безопасности рассматривать не будем, так как это не спасёт ни информацию, ни оборудование.

Из предложенных средств защиты сформируем комплексы защиты.

Комплекс I

1. Установить в качестве ОС на сервер FreeBSD.

2. Установка железной двери.

3. Установка UPS.

Сформируем вектор R:

После произведенных вычислений, вектор R имеет следующий вид:

Комплекс II

1. Максимально усложнить пароли.

2. Установить всевозможные обновления системы(любой которая стоит или будет стоять на сервере). При наличии приобрести и установить новую версию систем.

3.Использовать криптографические алгоритмы для хранения базы данных. Контролировать удаление временных файлов.

4.Создать и регулярно обновлять копию всей информации. Рекомендовано проводить копирование на независимых от системы БД устройствах.

Сформируем вектор R:

После произведенных вычислений, вектор R имеет следующий вид:

Комплекс III

1. Установить в качестве ОС на сервер FreeBSD.

2. Установка железной двери.

3. Установка UPS.

4.Использовать криптографические алгоритмы для хранения базы данных. Контролировать удаление временных файлов.

5.Создать и регулярно обновлять копию всей информации. Рекомендовано проводить копирование на независимых от системы БД устройствах.

Сформируем вектор R:


После произведенных вычислений, вектор
R имеет следующий вид:

По полученным результатам видно, что самым результативным является комплекс №3.

Вывод:

В ходе исследования были выяснены особенности работы и функционирования исследуемого сервера, были выявлены источники угроз, угрозы и события риска. Рассчитав матрицу защищённости, мы смогли оценить самые опасные факторы, а также предложить методы борьбы и защиты. Из перечисленных средств защиты сформированы комплексы защиты. Из 3-х рассмотренных вариантов мы получили следующий результат - наиболее эффективным из соотношения цены – качество является проект:

1. Установить в качестве ОС на сервер FreeBSD.

2. Установка железной двери.

3. Установка UPS.

4.Использовать криптографические алгоритмы для хранения базы данных. Контролировать удаление временных файлов.

5.Создать и регулярно обновлять копию всей информации. Рекомендовано проводить копирование на независимых от системы БД устройствах.

Решение о ввод того или иного комплекса принимается исходя из потребностей и возможностей. Так могли быть представлены немного иные комплексы. Наличие той или иной защиты диктуется ценностью информации хранимой на сервере. Так вполне возможно, что предложенный мной комплекс может не устраивать определенных клиентов. Из-за возможной дороговизны или по другим причинам, например отсутствие необходимости ставить определённую защиту. Вполне возможно, что средства, вложенные в систему безопасности, впоследствии предотвратят взлом сервера, что может повлечь к потере объема денег на порядки превышающий вкладываемые средства. В любом случае, моя задача состояла лишь в анализе системы и предложении возможных решений.


 

А также другие работы, которые могут Вас заинтересовать

24896. Защита гражданских прав: содержание права на защиту, способы защиты 54 KB
  Защита гражданских прав: содержание права на защиту способы защиты Как указывал В. Грибанов в своей работе Пределы осуществления и защиты гражданских прав признавая за тем или иным лицом определенные субъективные права и обязанности гражданское законодательство предоставляет управомоченному лицу и право на их защиту. Выводы сделанные в указанной работе были положены в основу дальнейшей разработки проблемы защиты гражданских прав [и использованы при написании соответствующей главы 15й кафедрального учебника]. Способ защиты...
24897. Виды гражданско-правовой ответственности 49 KB
  Виды гражданскоправовой ответственности Юридическая ответственность это одна из форм государственнопринудительного воздействия на нарушителей норм права которая заключается в применении к ним предусмотренных законом санкций мер ответственности влекущих для них дополнительные неблагоприятные последствия. Гражданскоправовая ответственность это одна из форм государственного принуждения которая состоит во взыскании судом с правонарушителя в пользу потерпевшего имущественных санкций перелагающих на правонарушителя невыгодные...
24898. Условия гражданско-правовой ответственности 48 KB
  Условия гражданскоправовой ответственности Основания гражданскоправовой ответственности обстоятельства при которых наступает гражданскоправовая ответственность. В гражданском праве ответственность в некоторых случаях может наступать и при отсутствии правонарушения со стороны лица на которое она возлагается в частности за действия третьих лиц ответственность поручителя в качестве оснований ответственности не только правонарушения но и иные обстоятельства прямо предусмотренные законом или договором. Состав гражданского...
24899. Вина как условие гражданско-правовой ответственности 45 KB
  Вина как условие гражданскоправовой ответственности Вина является субъективным условием юридической ответственности выражающим отношение правонарушителя к собственному неправомерному поведению и его последствиям. Однако в гражданском праве вина как условие ответственности имеет весьма значительную специфику. Она вызвана особенностями регулируемых гражданским правом отношений в большинстве случаев имеющих товарноденежный характер и обусловленным этим главенством компенсаторновосстановительной функции гражданскоправовой ответственности....
24900. Ответственность при совместном причинении вреда. Учет вины потерпевшего 39.5 KB
  Ответственность при совместном причинении вреда. 1081 ГК а именно: причинитель вреда возместивший совместно причиненный вред вправе требовать с каждого из других причинителей вреда долю выплаченного потерпевшему возмещения в размере соответствующем степени вины этого причинителя вреда. Если грубая неосторожность самого потерпевшего содействовала возникновению или увеличению вреда в зависимости от степени вины потерпевшего и причинителя вреда размер возмещения должен быть уменьшен. При грубой неосторожности потерпевшего и отсутствии вины...
24901. Имущественная ответственность за вред, причиненный незаконными действиями государственных органов, органов местного самоуправления или должностных лиц этих органов 62 KB
  Имущественная ответственность за вред причиненный незаконными действиями государственных органов органов местного самоуправления или должностных лиц этих органов. Указанные должностные лица действуют от имени РФ поэтому имущественную ответственность также несет казна причем в лице именно финансовых органов. Не противоречащей новому российскому законодательству Инструкция по применению Положения о порядке возмещения ущерба причиненного гражданину незаконными действиями органов дознания предварительного следствия прокуратуры и суда...
24902. Ответственность за вред, причиненный источником повышенной опасности 35 KB
  Три позиции по поводу толкования ИПО: Под ИПО понимается деятельность которая не поддается непрерывному и всеобъемлющему контролю человека. Под ИПО понимаются свойства людей или силы природы которые не поддаются полностью контролю человека и не подчиняясь полностью контролю создают высокую степень вероятности причинения вреда жизни здоровью ценностям. Под ИПО понимаются вещи оборудование находящееся в процессе эксплуатации и создающее при этом повышенную опасность для окружающих. Субъекты ответственности титульные владельцы ИПО.
24903. Сроки защиты гражданских прав: понятие, значение, виды, поря. Сроки осуществления гражданских прав и сроки исполнения обязанностей и их назначение 73 KB
  Сроки осуществления гражданских прав и сроки исполнения обязанностей и их назначение Вопрос № 34. Сроки защиты гражданских прав: понятие значение виды порядок исчисления Общие положения о сроках в гражданском праве. Сроки являются особым видом юридических фактов. Суханова сроки следует выделять в отдельный вид юридических фактов наряду с событиями и действиями с ним не согласен В.
24904. Собственность и право собственности (общие положения) 33.5 KB
  В одних случаях его используют как синоним понятие имущество в других случаях считают что речь идет о сугубо экономическом отношении присвоения а иногда отождествляют с чисто юридической конструкциейправом собственности. Таким образом экономические отношения собственности представляют собой отношения присвоения конкретными лицами определенных благ влекущие его отчуждение от всех иных лиц и предоставляющие возможность хозяйственного господства соединенную с необходимостью несения бремени его содержания. Собственность как экономическая...