Антиплагиат Самойлов Д.С. 24Б (1209226), страница 5
Текст из файла (страница 5)
Это не альтернатива тестированиюпо методу белого ящика. 13 Этот тип тестирования нацелен на поиск ошибок,относящихся к целому ряду категорий, среди них:– неверная или пропущенная функциональность;– ошибки интерфейса;– проблемы удобства использования;– методы тестирования на основе автоматизированных инструментов;– ошибки в структурах данных или ошибки доступа к внешним базамданных;– проблемы снижения производительности и другие ошибкипроизводительности;– ошибки загрузки;– ошибки многопользовательского доступа;– ошибки инициализации и завершения;– проблемы сохранения резервных копий и способности квосстановлению работы; 3023– проблемы безопасности.1.5.2 Метод « 30 белого ящика»Под понятием «белый ящик» обычно понимают, что при разработкетестовых случаев группа тестирования использует любые доступныесведения о внутренней структуре ИС или коде программы.
Технологии,которые применяются во время использования метода « белого ящика»,обычно называют технологиями статического тестирования. 13Так как выявление синтаксических ошибок определяет компилятор, тоданный метод ставит иные цели, которые направлены на локализациюошибок, особенно сложно выявляемые, а в дальнейшем найти изафиксировать данные ошибки. С их помощью можно обнаружитьлогические ошибки и проверить степень покрытия тестами.Тестовые процедуры, 13 которые связаны с использованием стратегии«белого ящика», используют управляющую логику процедур.
Онипредоставляют ряд услуг, в том числе:– дают гарантию того, что все независимые пути в модуле проверены покрайней мере один раз;– проверяют все логические решения на предмет того, истины они илиложны;– выполняют все циклы внутри операционных границ и с использованиемграничных значений;– исследуют структуры внутренних данных с 13 целью 30 проверки ихдостоверности.Тестирование посредством белого ящика, как правило, включает в себястратегию модульного тестирования, при котором тестирование ведется намодульном или функциональном уровне и работы по тестированиюнаправлены на исследование внутреннего устройства модуля.
Данный типтестирования называют также модульным тестированием, тестированием 1324прозрачного ящика (clear box) или прозрачным (translucent) тестированием,поскольку сотрудники, проводящие тестирование, имеют доступ кпрограммному коду и могут видеть работу программы изнутри. Данныйподход к тестированию известен также как структурный подход.На этом уровне тестирования проверяется управляющая логика,проявляющаяся на модульном уровне.
Тестовые драйверы используются длятого, чтобы все пути в данном модуле были проверены хотя бы один раз, вселогические решения рассмотрены во всевозможных условиях, циклы быливыполнены с использованием верхних и нижних границ и 13проконтролированы структуры внутренних данных.1.6 13 Анализ защищенности внешнего периметра ИСЗащита внешнего периметра ИС является обязательной точкой в сфереобеспечения ИБ и включает в себя шлюзы безопасности, средствамежсетевого экранирования, организацию виртуальных частных сетей,системы обнаружения и предотвращения вторжений (рисунок 1.4). Цельюданного мероприятия является оценка уровня защищенности инфраструктурыинформационных технологий ИС от атак со стороны сети Интернет, оценкавозможной опасности уязвимостей, которые были выявлены, а такжевозможности по осуществлению атак.
По итогу производится выработкарекомендаций по устранению и ликвидации уязвимостей, которые былиобнаружены. То есть реализация этих действий является одной из основныхзадач ИБ и поддержкой основы надежного функционирования ИС.25Рисунок 1.4 – Схема сети организацииСам же анализ производится рядом действий потенциально возможногонарушителя, проникающего в корпоративную сеть с целью внедрениявредоносного ПО, деструктивности сети, кражи информацииконфиденциального характера. Также производится анализ настройкисредств, составляющих защиту периметра сети.Во время выполнения анализа в действие может быть введено множествоинструментальных средств сетевого сканирования, подбора паролей,специализированные средства разбора сетевых приложений и веб-сайтов,кроме этого не исключены ручные проверки.При анализе настройки средств защиты внешнего периметра ЛВС икоординации межсетевыми взаимодействиями, должное вниманиенеобходимо уделять на моменты, которые определены их конфигурацией:– настройка правил разграничения доступа (правил фильтрации сетевыхпакетов) на МЭ и маршрутизаторах;– 19 настройка параметров системы регистрации событий;– 19 настройка механизмов оповещения об атаках и реагирования; 1926– наличие и работоспособность средств контроля целостности;– 19 используемые схемы и настройка параметров аутентификации;– 19 использование механизмов, обеспечивающих сокрытие топологиизащищаемой сети;– 19 версии используемого ПО и наличие установленных пакетовпрограммных коррекций.
19Пример проверочных мероприятий:– проверка межсетевых экранов на наличие уязвимостей;– проверка на степень устойчивости и возможности проникновения влокальную сеть компании из внешних ресурсов, включающих похищение ипорчу данных;– обследование Web и почтового серверов.По итогам обнаружения уязвимостей, составляются и предоставляютсядокументальные свидетельства потенциально возможных нарушенийконфиденциальности, целостности или доступности информации впредоставленных для исследования объектах.Отчет по результатам работы должен содержать:– общую оценку уровня защищенности корпоративной сети от внешнихатак;– подробное описание обнаруженных уязвимостей;– рекомендации по устранению, ликвидации уязвимостей;– рекомендации по совершенствованию защиты.1.7 Анализ защищенности внутреннего периметра ИСОсновной задачей анализа защищенности внутренней инфраструктурыинформационных технологий сети – это определение уязвимостей ИС,которые дают возможность выполнения реализации атак на уровне сети наинформационные ресурсы со стороны внутренних нарушителей (рисунок1.5).
Производится оценка степени критичности по выявленным уязвимостям27и возможности реализации атак, следствием чего идет выработкарекомендаций по ликвидации этих уязвимостей.В отличие от анализа защищенности внешнего периметра, анализвнутреннего периметра сети включает в себя как внешние, так и внутренниепроверки хостов и установленные на них приложения.Рисунок 1.5 – Схема сети организацииК внутренним проверкам относят изучение настроек ОС и приложений поспискам проверки на соответствие техническим стандартам и рекомендациямпроизводителей, аудит паролей, а также проверки, которые определяютсяспецификой определенных систем.Анализ защищенности внутреннего периметра ИС основывается напроведении полного комплекса мероприятий по техническому аудиту ивключает в себя:– анализ конфигурационных файлов маршрутизаторов, МЭ, почтовыхсерверов, DNS серверов и других элементов сетевой инфраструктуры;– анализ конфигурации рабочих станций ЛВС и серверов за счетспециализированного ПО и списков проверки;– сканирование узлов сети, которые входят в состав ЛВС.28Также как и в случае анализа внешнего периметра корпоративной сети, поитогам внутреннего обнаруживаются уязвимости, составляются ипредоставляются документальные свидетельства потенциально возможныхнарушений конфиденциальности, целостности или доступности информациив предоставленных для исследования объектах.Также должен быть составлен отчет по результатам работы анализавнутреннего периметра сети, включающий в себя:– общую оценку уровня защищенности корпоративной сети отвнутренних атак;– подробное описание обнаруженных уязвимостей;– рекомендации по устранению, ликвидации уязвимостей;– рекомендации по совершенствованию защиты.1.8 Инструментальные средства анализа защищенностиАнализ защищенности ИС включает в себя немало действий, при которыхиспользуются разные методики по поиску уязвимостей.
Существуютинструментальные средства, которые включают в себя эти методики поискауязвимостей и позволяют автоматически сканировать ПО и ИС в целом.Ввиду того, что в любом ПО, присутствуют какие-либо уязвимости,возникающие на различных этапах «жизненного цикла» (проектировании,реализации, внедрении), то нарушители создают программы, позволяющиенайти и использовать эти недостатки программы в автоматическом илиручном режиме.В наше время большое количество атак на ресурсы ИС, в которыхприсутствуют уязвимости, ведется в автоматическом режиме и это ведет кразличным ущербам предприятий.
Для того чтобы определить данныеуязвимости, степень их опасности, используют инструментальные средстваанализа защищенности.Инструментальный анализ защищённости представляет собой29автоматизированное тестирование на проникновение согласно той или иноймодели нарушителя.При анализе защищенности информации могут быть задействованы:1.8.1 Средства анализа защищенности ОС и сетевых сервисовСредствами анализа защищенности ОС проводится контрольнеизменности и целостности программных средств и системных установок, атакже проверка присутствия уязвимостей системных и прикладных служб.Для анализа защищенности ОС можно использовать программу SystemSecurity Scanner (S3).
Данная программа предназначается для проведенияпроверки состояния безопасности на отдельных UNIX-компьютерах и поискауязвимости ОС как снаружи (по сети с использованием Internet Scanner), так иизнутри (из самой ОС компьютера). 79 Помимо этого, в возможности входитпроверка прав доступа и прав собственности файлов, установки ресурсовпользователей, настройки сетевых сервисов, программ аутентификации.Для анализа защищенности сетевых сервисов используется пакетпрограмм Internet Scanner SAFEsuite, 79 предназначенный для проведениякомплексной оценки эффективности политики безопасности на уровнесетевых сервисов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
