Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРТСВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ И СООБЩЕНИЯ»

(ДВГУПС)

Кафедра ”Информационные технологии и системы”

К ЗАЩИТЕ ДОПУСТИТЬ

Зав. Кафедрой

___________________ М.А. Попов,

«___» ___________ 2017 г.

РАЗРАБОТКА АВМАТИЗИРОВАННОГО КОМПЛЕКСА УПРАВЛЕНИЯ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Пояснительная записка к выпускной квалификационной работе бакалавра

ВКР 10.03.01 24Б ПЗ

Студент гр. 24Б А.А. Баранов

Руководитель Е.В. Рак

старший преподаватель

Нормоконтроль В.И. Шестухина

доцент, к.п.н., доцент

Хабаровск  2017

Abstract

In this degree work considered with the problem of automation access control subject access to the object access in the information system based on the use of the method of discretionary accessor.

For solving the problem in the degree work is developed a software product, which enables automatic configuration of discretionary access method. In the design phase of a software product used object-oriented approach, with the help of case-tools were created in the following diagrams: use case, analysis class, sequence, class, component.

To implement the program functions using technology provided by the Windows operating system-based protection mechanism of the NTFS file system. In the implementation phase of a software product has been used a language object-oriented C# programming, which has allowed us to implement functionality for the task.

Degree work consists of five chapters. The first Chapter is an analytical study and problem statement. The second chapter describes the theoretical part of the technology used. The third part describes the design of a software product. Part four describes the choice of software. And in the fifth part contains the user manual.

At the end of the execution of the works were created and tested software product that allows you to perform automatic setting of access of accessor to objects access to the information system.

Содержание

Введение 4

1 Аналитическое обоснование 6

1.1 Исследование предметной области 6

1.2 Цели и задачи 7

2 Теоретические аспекты реализуемых функций 17

3 Проектирование системы 27

3.1 Модель вариантов использования 28

3.1.1 Диаграммы вариантов использования 29

3.2 Модель анализа 33

3.2.1 Диаграмма классов анализа 33

3.2.2 Диаграмма последовательности 35

3.4 Модель проектирования 40

3.4.1 Диаграмма классов 40

3.5 Модель реализации 42

3.5.1 Диаграмма компонентов 42

4 Выбор программных средств 43

5 Руководство по эксплуатации 45

Заключение 53

Список использованных источников 54

Введение

XXI век ознаменовал себя веком высоких технологий и формированием информационного общества. Развитие информационных технологий изменило жизнь человека почти во всех аспектах его деятельности. Высокие технологии открыли новые способы коммуникации среди людей, новые способы обработки, хранения и передачи информации. С повсеместной автоматизацией процессов увеличилось эффективность работы людей и сократилось время выполнения некоторых задач. Трудно представить современную организацию без информационной системы, которая в автоматическом режиме помогает обрабатывать, хранить и передавать информацию.

С каждым годом проблема информационной безопасности становиться всё актуальнее и актуальнее, совершенствуются и появляются новые методы и способы с помощью которых злоумышленники пытаются воздействовать на основные свойства информации: конфиденциальность, целостность, доступность. Одним из самых актуальных и эффективных способов воздействия на информацию является несанкционированный доступ. Несанкционированный доступ представляет собой доступ к информации, нарушающий правила разграничения доступа реализуемых с помощью средств защиты информации и средств предоставляемыми информационной системой. Существует множество способов реализации несанкционированного доступа, но один из самых простых способов его реализации – это использование некорректного разграничения доступа внутри системы. Данный способ подразумевает то что внутри информационной системы неправильно назначены прав доступа субъектам доступа к объектам доступа и произведена не полная или некорректная настройка прав доступа на вычислительной технике.

Мощным и гибким механизмом, позволяющим защититься от этой проблемы является дискреционный метод управления доступом. Дискреционный метод управления доступом позволяет детально настроить правила разграничения доступа субъектом доступа к объекту доступа, но из-за того, что данный метод требует больших временных затрат на настройку прав доступа на вычислительной технике многие организации его, реализуют в не полном объеме.

В связи с этим актуален вопрос о необходимости проектирования программного решения которое бы помогало автоматизировать процесс управления доступом на основе метода дискреционного управления доступа. Программное решение, которое предлагается разработать и внедрить на предприятие ООО “Гефест–Хабаровск” называется “ПБИ-2”.

“ПБИ-2” – представляет собой программный продукт, выполняющий автоматизацию управления доступом субъектов доступа к объектам доступа (папкам и файлам) на основе использования дискреционного метода управления доступа предоставляемого файловой системой NTFS (new technology file system).

Так же актуальность разрабатываемого программного продукта помимо автоматической настройки дискреционного доступа заключается в том что программа позволит в полной мере использовать механизм дискреционного доступа реализуемого в операционных системах Windows, который основывается на разграничение доступа файловой системы NTFS тем самым будет устранена проблема разграничения доступа если на предприятии ещё не внедрена система защиты информации информационной системы, а так же будут устранены конфликты возникающие при предоставлении доступа которые могут возникнуть после установки и настройки дискреционного доступа в сертифицированных средствах защиты информации информационной системы. Так же правильно наcтроенный дискреционный доступ NTFS усилит настроенный дискреционной или мандатный доступ в сертифицированных средствах защиты информации.

1. Аналитическое обоснование

1.1 Исследование предметной области

Предметная область будет рассмотрена на примере анализа деятельности предприятия ООО “Гефест-Хабаровск” – представляет собой предприятие занимающиеся импортом и экспортом природных ископаемых.

В штат сотрудников предприятия входит: директор, зам. директор, администратор информационной системы, бухгалтеры, юрист, персонал по приему природных ископаемых и менеджеры.

Внутри предприятия циркулирует множество информационных потоков, содержащих информацию различных категорий: персональные данные сотрудников, персональные данные клиентов, информация об импорте, экспорте, запасе природных ископаемых, различная информация для служебного пользования, а также конфиденциальная информация экономического и стратегического рода. Так же предприятие имеет внешний информационный оборот, для взаимодействия с другими предприятиями отрасли.

Для хранения и обмена данными на предприятии используются обменные и обычные паки содержащие файлы. C папками и файлами работают: внутренние пользователи, внешние пользователи, временные (гостевые) пользователи.

Потенциальными нарушителями безопасности информации могут быть как внешние, так и внутренние нарушители с различным потенциалом, к которым можно отнести: бывших работников компании, администраторов безопасности и информационной системы, пользователей информационной системы, обслуживающий персонал, конкурирующий компании, преступные группировки. Выше описанные нарушители могут нанести ущерб свойствам информации (целостность, доступность, конфиденциальность) предприятия в следующих видах: экономическом, репутационном, ущерб субъекту ПДн.

Информационная система предприятия представляет собой совокупность автоматизированных рабочих мест с установленными на них системным и прикладным программным обеспечением.

В информационную систему предприятия входят следующе технические средства:

• автоматическое место работы сотрудников (операторов) системы;

• принтеры;

• сканеры;

• съемные машинные носители;

• каналы передачи информации по локальной сети предприятия;

• каналы передачи информации в интернет.

На автоматизированных рабочих местах установлено следующие системное и прикладное программное обеспечение:

• операционная система Microsoft Windows 7;

• прикладной пакет программ Microsoft Office 365;

• антивирус Kaspersky Anti-Virus 2017;

• браузеры: Microsoft Internet Explorer, Google Chrome.

Режим обработки информации в информационной системе многопользовательский.

Субъектами доступа в информационной системе являются сотрудники, работающие с файлами, общими и обычными папками.

Объектами доступа в информационной системе являются: файлы, общие папки, обычные папки.

1.2 Цели и задачи

Согласно ежегодному отчёту аналитического центра компании InfoWatch об исследование утечек конфиденциальной информации за 2016 год, количество зарегистрированных аналитическим центром InfoWatch утечек информации в России увеличилось на 3,4% по сравнению с 2015 годом и составило 1556 случаев, в 2015 году количество утечек составляло 1505.

Было зарегистрировано 873 утечки информации, произошедшие по неосторожности или вине внутреннего нарушителя, а в 540 случаях причиной был внешний нарушитель. С точки зрения типов информации, которые были подвержены утечки, статистика показывает следующие отношение типов информации: 85,6% утечек составили персональные данные, 7,3% платёжная информация, 5,4% коммерческая тайна, 1,7% государственная тайна.

Выше приведенная статистика даёт не полную картину происходящего, но в целом описывает тенденцию развития утечек информации, анализируя данную статистику нужно отметить возрастание количество утечек конфиденциальной информации в России, то что большая часть утечек информации происходит по вине внутреннего нарушителя и основным объектом утечки информации являются персональные данные. Из чего следует актуальность применения механизмов защиты информации на предприятиях, а также применения мер для защиты информации от внутреннего нарушителя будто это случайные действия или умышленные.

Так как на рассматриваемом предприятии информационный обмен осуществляется при помощи общих и обычных папок, чтобы исключить утечку информации возникающую при разглашении сотрудниками обрабатываемой информации, возникает актуальный вопрос о разграничение доступа субъектам доступа к объектам доступа, т.е. следует разграничить доступ к информации среди сотрудников, назначить им доступ лишь к той информации с который согласно своих полномочий они могут работать и установить ответственность за разглашения конфиденциальной информации.

Доступ к информации – это ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации. Под субъектом доступа в информационной системе мы будем понимать – лицо или процесс, действия которого регламентируются правилами разграничения доступа, а под объектом доступа – единицу информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Правила разграничения доступа представляют собой - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Учитывая то, в информационной системе предприятия обрабатывается информация, представляющая собой персональные данные и коммерческую тайну, для её защиты требуется обратится к Российскому законодательству в области защиты информации. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» устанавливает правила и ограничения при обработке персональных данных, рассказывает об ответственности оператора обрабатывающего персональные данные. В нём объявляются категории персональных данных. Указ президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера» относит коммерческую тайну к сведениям конфиденциального характера. В свою очередь для работы с коммерческой тайной нужно рассмотреть закон Федеральный закон от 29.07.2004 №98-ФЗ «О коммерческой тайне». Ряд выше описанных федеральных законов и указа президента РФ описывают то какие мероприятия должны проводиться при обработке конфиденциальности информации и персональных данных, но они не конкретизирует то как именно этим мероприятия должны осуществляется поэтому чтобы реализовать разграничения, управление доступа в информационной системе требуется обратиться к нормативным и методическим документам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Таковыми являются приказы ФСТЭК России № 17 и № 21 в которых предъявляются требования к реализации разграничению доступа. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 содержит: состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. В своё очередь Приказ ФСТЭК России от 11 февраля 2013 г. N 17 содержит: требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.

Не смотря на то что информационная система на предприятие не является государственной было принято решение использовать требования, содержащиеся в 17 приказе ФСТЭК т.к. оператор обрабатывающий информацию в праве сам выбрать требования, которым будут соответствовать меры защиты, реализуемые в информационной системе. Выбор 17 приказа обосновывается тем что в нём содержаться более строгие меры защиты обрабатываемой информации, а также для данного нормативного документа существует методический документ “ Меры защиты информации в государственных информационных системах” в котором подробно расписываются требования к мерам защиты информации, а также содержание этих мер защиты.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР