Антиплагиат (1209242), страница 9
Текст из файла (страница 9)
Анализ граничных значений.Под граничными значениями понимается некоторые ситуации, которыевозникают на границах классов эквивалентности определенных входныхзначений или около них. Это позволяет увидеть, в каких местах резкоувеличилась вероятность обнаружения ошибки (уязвимости).1) Выбирается случайный элемент в классе эквивалентности, дляопределения тестом каждую границу класса.2) Разрабатывается тест, при котором выделяются входные и выходныезначения, для обнаружения ошибки.Пример анализа граничных значений:Даны классы эквивалентности:1) Возраст>162) Возраст<99Определяем границы эквивалентности:1) 162) 99Проверка осуществляется со значениями 15,16,99,100.C.
Анализ причинно-следственных связей. 97Анализ причинно-следственных связей 97 дает возможность выбирать тесты,дающие высокий результат. Используется при этом алгебра логики с50причиной (отдельное входное условие или класс эквивалентности) иследствием (выходное условие или преобразование системы).Построение теста выполняется при выполнении:1) Происходит разбиение спецификации на рабочие участки;2) Определение множества причин и следствий в этой спецификации.3) Построение таблицы истинности на основе анализа смысловогосодержания спецификации.
Произведение перебора комбинацийпричин и определение следствий для каждой комбинации причин.Пример причинно-следственных связей:Причины Действие 1 Действие 2 ... Действие NКорректныйввод: Имя0 0 ... 1Корректныйввод:Фамилия0 0 ... 1Корректныйввод:телефонХ Х ... ХКорректныйввод: e-mail0 0 ... 1Корректныйввод: login0 0 ... 1Корректныйввод:password0 1 ... 1СледствияРегистрацияв системе0 0 ...
11 – выполняется условие;510 – не выполняется условие;Х – условие не считается важным;Регистрация пройдена в случае, когда выполнены все условия.3. Метод белого ящикаПри выполнении этого метода, тестировщик получает тестовые данныепосредством анализа логики работы программы. При этом выполняютсядействия: представление программы в виде графа и выполнить структурныекритерии (производится тестирование команд, ветвей, путей, условий).1) Представление программы в виде блок-схемыНапример:1 public void Method (ref int x) {2 if (x>17)3 x = 17-x;4 if (x==-13)5 x = 0;6}52Рис.3.5. Графическое представление работы программы2) Выполнение структурных критериевТестирование команд (критерий С0) - набор тестов всовокупности должен обеспечить прохождение каждой командыне менее одного раза.
Это слабый критерий, он, как правило,используется в больших программных системах, где другиекритерии применить невозможно. 30Тестирование ветвей (критерий С1) - набор тестов в совокупностидолжен обеспечить прохождение каждой ветви не менее одногораза.Это достаточно сильный и при этом экономичный критерий,поскольку множество ветвей в тестируемом приложении конечнои не так уж велико. Данный критерий часто используется всистемах автоматизации тестирования. 65Тестирование путей (критерий С2) - набор тестов в совокупности 3053должен обеспечить прохождение каждого пути не менее 1 раз.Если программа содержит цикл (в особенности с неявнозаданным числом итераций), то число итераций ограничиваетсяконстантой. 30 Число итераций ограничивается константой, 65 этаконстанта часто равна 2, или числу классов выходных путей.Тестирование условий - покрытие всех булевских условий впрограмме.
Критерии покрытия решений (ветвей - С1) и условийне заменяют друг друга, поэтому на практике используетсякомбинированный критерий покрытия условий/решений,совмещающий требования по покрытию и решений, и условий. 30Например:критерий команд (C0):(вх, вых) = {(30, 0)} - все операторы пути 1-2-3-4-56критерий ветвей (C1): (вх, вых) = {(30, 0),(17, 17)}критерий путей (C2): (вх, вых) = {(30,0), (17,17),(-13,0), (21,-4)}Условия операторов if(30,0) (17,17) (-13,0) (21,-4)2 if (x>17) > <= <= >4 if 30 (x==-13) = != = !=В С1 добавляется 1 тест к множеству тестов для С0 30 пути 1-2-4-6. Путь 12-3-4-5-6 проходит через все ветви достижимые в операторах if при условииtrue, а 30 путь 1-2-4-6 через все ветви, достижимые в операторах if при условииfalse. 30Критерий ветвей С2 проверяет программу более тщательно, чем критерииС0 и C1, однако даже если он удовлетворен, нет оснований утверждать, чтопрограмма реализована в соответствии со спецификацией.
30Примечание:54Структурные критерии не проверяют соответствие спецификации, еслионо не отражено в структуре программы. Поэтому при успешномтестировании программы по критерию C2 30 есть вероятность не заметитьошибку, связанную с невыполнением некоторых условий спецификациитребований4.2. 30 Поиск уязвимостей в ИС при помощи инструментальных средствРекомендуется использовать для анализа защищенности информации вИС сетевые сканеры безопасности отечественного производства, например"Ревизор сети" версия 3.0 или “Сканер-ВС”. Эти программы имеютсертификаты ФСТЭК и достаточно просты в использовании выполнениянужных задач.Например, “Сканер-ВС” выполняет следующие задачи:Определение топологии и инвентаризация ресурсов сетиПоиск уязвимостей — «Сканер-ВС» позволяет сканировать узлывычислительной сети на предмет наличия известных уязвимостей,сканирование с применением SSH/SMB полномочий, информативныеотчеты в форматах HTML, PDF, XML.
Интегрирован с SIEM-системой«КОМРАД».Локальный аудит стойкости паролейСетевой аудит стойкости паролейПоиск остаточной информацииГарантированная очистка информацииПерехват и анализ сетевого трафикаПрограммный и аппаратный аудит конфигурацииКонтроль целостностиАудит WI-FI сетей Аудит обновлений ОС WindowsПроведение тестирования на проникновениеАудит ОС AstraLinux .55Рис. 3.6. Фрагмент работы программы “Сканер-ВС” с информацией о ПОРис. 3.7. Фрагмент работы программы “Сканер-ВС” с возможностьюосуществления проверочной атаки5.
Подведение итогов проведения анализа защищённости в ИСПосле проведения всех прошлых этапов собирается полная информация опроделанной работе и выдвигаются рекомендации по настройке оборудованияи закрытию оставшихся уязвимостей, если такие имеются.Рекомендации пишутся в следующем порядке:5.1.Рекомендации по настройке программных и программно-техническихсредств защиты информации в ИС;5.2.Рекомендации по закрытию найденных уязвимостей в ИС;565.3.Рекомендации по доработке и модернизации системы защитыинформации;Рекомендации по доработке и модернизации системы защитыинформации могут отсутствовать, если отсутствуют рекомендации,описанные в пунктах выше, либо найденных уязвимости были закрыты наэтапе проведения анализа защищённости ИС.6. Составление отчётности по проведению анализа защищённости в ИС.Последний этап представляет собой составление единого документа,который содержит: информацию исследований из раннее описанных этапов,сгенерированные отчёты используемых инструментальных средств,рекомендации из п.
6. Структура отчёта по анализу защищённостиинформации на этапе внедрения системы защиты в ИС включает:1. Термины, определения и сокращения2. Выполняемые функции ИС3. Структурно-функциональные характеристики4. Степень конфиденциальности обрабатываемой в ИС5.
Состав ИС5.1.Взаимодействие с иными ИС5.2.Схема размещения компонентов ИС5.3.Перечень прикладного ПО6. Результаты проверки настройки программных, технически и программнотехнических средств6.1. Результаты проверки настройки технических и программнотехнических средств ИС6.2. Результаты проверки настройки технических, программных ипрограммно-технических средств защиты информации внедряемойсистемы защиты;7.
Результаты анализа защищённости внутреннего и внешнего периметрасети ИС578. Результаты поиска уязвимостей8.1.Результаты проверки персонала на знание и умение работать ссредствами защиты информации;8.2. Результаты проверки организационных мер защиты информации в ИС;8.3.Результаты поиска уязвимостей в прикладном ПО ИС;8.4.Результаты поиска уязвимостей инструментальными средствами;9. Рекомендации по устранению уязвимостей и настройки оборудования ИС10. Рекомендации по доработке и модернизации системы защиты11.
Заключение12. Приложения12.1. Отчёты экспертной группы по найденным уязвимостям12.2. Отчёты инструментальных средствВывод58Список использованных источников1. Википедия. Свободная энциклопедия [ Электронный ресурс]. – Режимдоступа: https://ru.wikipedia.org/2. 11 Хабрахабр [Электронный ресурс] / Сайт статей с информацией отспециалистов IT-индустрии.
- https://habrahabr.ru/3. ГОСТ Р 51583-2014 Защита информации. Порядок созданияавтоматизированных систем в защищенном исполнении. Общиеположения[ 79 Текст]; введ.01.09.2014 .4. ГОСТ Р 50922-2006 Защита информации. Основные термины иопределения[Текст]; 6 Взамен ГОСТ Р5 50922 – 96; введ.01.02.2008.5. Приказ ФСТЭК России от 11 февраля 2013 г. N 17 ОБ УТВЕРЖДЕНИИТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ ВГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ [ 6 Текст];6. Приказ ФСТЭК России от 11 февраля 2013 г.
N 21 ОБ УТВЕРЖДЕНИИСОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ ИТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ ВИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ[ 34 Текст];7. Методический документ 49 ФСТЭК России от 11 февраля 2014 34 года« Меры защиты информации в государственных информационныхсистемах» [ 34 Текст]59Терминологический словарьИнформация - сведения (сообщения, данные) независимо от формы ихпредставления; 15Информационная система (автоматизированная система) - Совокупностьсодержащейся в базах данных информации и обеспечивающих ее 70 обработкуинформационных технологий и технических средств.Информационные технологии - процессы, методы поиска, сбора,хранения, обработки, предоставления, распространения информации испособы осуществления 14 этих процессов и методов.Защищаемая информация - информация, являющаяся предметомсобственности и подлежащая защите в соответствии с требованиямиправовых документов или требованиями, устанавливаемыми собственникоминформации.Защита информации - деятельность по предотвращению утечкизащищаемой информации, несанкционированных и непреднамеренныхвоздействий на защищаемую информацию.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
