Регистрация / Вход
Прислать материал

Создание учебно-исследовательского стенда для изучения типовых уязвимостей корпоративных информационных систем

Сведения об участнике
ФИО
Ткач Роман Владимирович
Вуз
федеральное государственное бюджетное образовательное учреждение высшего образования "Новосибирский государственный университет экономики и управления "НИНХ"
Тезисы (информация о проекте)
Область наук
Информационные технологии и вычислительные системы
Раздел области наук
Информационные технологии
Тема
Создание учебно-исследовательского стенда для изучения типовых уязвимостей корпоративных информационных систем
Резюме
С целью изучения типовых уязвимостей корпоративных информационных систем был спроектирован и внедрен учебно-исследовательский стенд. В рамках работы проведен обзор аналогичных существующих образовательных продуктов, проведен подбор типовых корпоративных сервисов, типовых уязвимостей корпоративных сервисов; рекомендована программно-аппаратная платформа стенда. Результатом исследований является разработка проекта учебно-исследовательского стенда, его компонентов и реализация проекта в рамках создания учебного стенда в лаборатории компьютерной и сетевой безопасности кафедры ИБ Новосибирского государственного университета экономики и управления «НИНХ».
Ключевые слова
Виртуальная инфраструктура, корпоративная информационная система, уязвимость, информационная безопасность, учебно-исследовательский стенд, образовательная программа.
Цели и задачи
Цель работы:
создание сетевой инфраструктуры, позволяющей изучить типовые уязвимости в корпоративных информационных системах.
Задачи работы:
­ анализ распространённых (типовых) корпоративных сервисов;
­ анализ распространенных уязвимостей в типовых корпоративных сервисах;
­­ проектирование и реализация учебно-исследовательского стенда;
­
Введение

Сейчас информатизация является одним из приоритетных направлений развития всех отраслей. Почти любая организация имеет свой интернет-сайт, вводит онлайн-услуги. В электронном виде обрабатывается различная конфиденциальная информация. Разработчики корпоративных информационных систем (КИС) не всегда следуют требованиям безопасности — из-за отсутствия нужных навыков или сосредотачиваясь на иных целях. Учебная программа не успевает подстраиваться под новые «тренды» в сфере ИБ - студенты не знакомы с современными типовыми угрозами в сфере ИБ. Для формирования практических навыков у студентов, обучающихся по направлению "Информационная безопасность", создается учебно-исследовательского стенд для изучения уязвимостей в типовых КИС.

Методы и материалы

Общелогический метод научного исследования. В частности, в ходе анализа существующих аналогичных образовательных продуктов для повышения компетенции, распространенных корпоративных сервисов, инструментария для реализации уязвимостей был применен метод динамического сравнения. Также, в ходе подбора программно-аппаратных решений для компонентов стенда и анализа распространенных уязвимостей в корпоративные сервисах были использованы статистические методы исследования. В свою очередь, проектирование стенда и его компонентов было произведено посредством моделирования.

Описание и обсуждение результатов

В ходе работы проанализирован ряд аналогичных образвательных продуктов по следующим  критериям: содержащиеся уязвимости, кроссплатформенность, многопользовательность, ресурсоемкость, стоимость, наличие, полнота, четкость, доступность, требование к компетенции, требование к инструментарию. Сделан вывод, что на данный момент в свободном доступе отсутствуют учебно-тренировочные среды для изучения типовых уязвимостей КИС, к которым прилагаются русскоязычные обучающие пособия, рассчитанные на низкую компетенцию обучающихся и затрагивающие широкий комплекс уязвимостей.

В ходе работы были выделены такие сущности и технологии в типовой корпоративной информационной системе, как веб-сервер, прокси-сервер, файловый сервер, почтовый сервер, шлюз, сервер AD, клиент AD, беспроводные сети, клиенты беспроводных сетей.

Было выделено такое аппаратное и программное обеспечение сущностей и технологий типовой корпоративной информационной системы, как Apache, PHP, MySql, Squid, Windows Server 2012, Ubuntu Server, OS Windows, Wi-Fi-маршрутизатор и т.д.

Были выделены такие уязвимости как: уязвимости, обусловленные ошибками администрирования, уязвимости ПО и технологий.

В рамках работы на основании проделанной аналитической работы было произведено проектирование учебно-исследовательского стенда с учетом требований и критериев, которые заданы и отражены в Техническом задании, которое приведено в Приложении А. Было произведено проектирование стенда, компонентов стенда, топологии стенда, взаимодействие компонентов стендов. Также проект был реализован и внедрен в лаборатории компьютерной и сетевой безопасности кафедры информационной безопасности Новосибирского государственного университета экономики и управления «НИНХ».

В свою очередь стоит обратить внимание на то, что разработанный и внедренный учебно-исследовательский стенд имеет большую гибкость в конфигурировании как компонентов, так и топологии в целом, а также независимость и автономность компонентов, что, в свою очередь, позволяет оперативно производить конфигурирование стенда, обновление/смену программного обеспечения по мере необходимости, изменение качественного и количественного состава компонентов стенда, обновление добавленных уязвимостей (сигнатур).

Следует отметить, что данные стенд практически применим в целях повышении компетенции, как обучающихся с низким уровнем подготовки, так и квалифицированных обучающихся, т.к. были реализованы уязвимости различной сложности эксплуатации. Созданная сетевая инфраструктура позволит в ходе учебного процесса проводить обучение с новым программным обеспечением, проводить исследования нового программного обеспечения. Разработанный учебно-исследовательский стенд способствует повышению следующих профессиональных компетенций: ПК-8, ПК-9, ПК-10, ПК-15, в соответствии с ФГОС ВПО

Используемые источники
1. Позитив Технолоджиз. Статисика уязвимостей корпоративных информационных систем (2013 год) // Веб-сайт компании Positive Technologies. 2014. URL: http://www.ptsecurity.ru/download/PT_Corporate_vulnerability_2014_rus.pdf (дата обращения: 25.Март.2015).
2. Низамутдинов М.Ф. «Тактика защиты и нападения на Web-приложения» 1st ed. Санкт-Петербург: "БХВ-Петербург", 2005.
3. «Федеральный государственный образовательный стандарт высшего профессионального образования по направлению подготовки 090900 информационная безопасность (квалификация (степень) "Бакалавр")» 2009. Министерство науки и образования Российской Федерации.
Information about the project
Surname Name
Tkach Roman
Project title
Development of the training and research stand to explore typical vulnerabilities of corporate information systems
Summary of the project
The training and research stand has been designed and implemented to study typical vulnerabilities of corporate information systems. As part of the project the following steps were made: review of similar existing educational products, selection of typical corporate services and typical vulnerabilities of corporate services; hardware and software platform of the stand was recommended. The result of the research is the development of the training and research stand, its elements and implementation of the project within the creation of educational stand in the laboratory of computer and network security of Information Security Department of Novosibirsk State University of Economics and Management NSUEM.
Keywords
Virtual Infrastructure, corporate information system, vulnerability, information security, training and research stand, educational program.