Производственная практика Информационная безопасность и программная инженерия, Информационные технологии
Отчет по практике по предмету: Информационные технологии (Пример)
Содержание
Введение 3
Раздел
1. Организационно-штатная структура и область деятельности организации 4
Раздел
2. Изучение бизнес-процессов, информационных процессов предприятия 8
Раздел
3. Выполнение порученных работ 14
3.1 Тестирование и устранение неполадок в работе жестких дисков 14
3.2 Сборка компьютерной техники 15
3.3 Установка локального подключения ПК к ЛВС 16
Раздел
4. Описание внутренней нормативной и технической документации 18
Раздел
5. Планировка организации 20
Раздел
6. Программное обеспечение информационной системы и методы защиты информации 23
Раздел
7. Участие в проектах 28
Раздел
8. Выявленные недостатки в информационной системе организации и предложения по совершенствованию 30
Выводы и заключение 32
Список литературы 33
Приложение, А 34
Выдержка из текста
Производственная практика является этапом практического обучения и подготовки к профессиональной деятельности и проводится в различных предприятиях и организациях соответствующего профиля.
Цель прохождения практики — закрепление и углубление знаний, полученных в процессе теоретического обучения, приобретение необходимых умений, навыков и опыта практической работы по специальности, сбор информации и документации с реального действующего предприятия для её изучения и использования в дальнейшем учебном процессе, а также отражение полученных знаний, навыков и собранной информации в отчете о прохождении практики.
Список использованной литературы
1) Гайсина Л.Ф.
Сети ЭВМ и телекоммуникации: Учебное пособие. — Оренбург: ГОУ ОГУ, 2004. — 160 с.
2) Елиферов В.Г., Репин В.В. «Бизнес-процессы: Регламентация и управление: Учебник». — М.:ИНФРА-М, 2007. — 319с. — (учебники программы МВА)
3) Кузнецов А.И. «Методика проведения обследования бизнес-процессов компании», источник: www.iteam.ru.
4) Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. — СПб.: Интуит, 2005. — 360с.
5) Ойхмана Е. Г., Попов Э.В. «Реинжиниринг бизнеса: реинжиниринг организаций и информационные технологии». Финансы и статистика, Москва, 1997 г.
6) Рагулин П.Г. Информационные технологии: учебное пособие. — Владивосток: ТИДОТ Дальневост. ун-та, 2004. — 208 с.
7) Хорев П.Б. Методы и средства защиты информации в компьютерных системах: Учебное пособие для студентов вузов. — М.: Издательский центр «Академия», 2005. — 256 с.
referatbooks.ru
Отчет по практике: Аудит информационной безопасности
Введение
Тема данной контрольной работы обозначена, как: Аудит информационной безопасности.
Для реализации поставленных задач, следует изучить основные положения, цели, задачи, применяемые методики аудита информационной безопасности. Для закрепления полученных знаний, будет необходимо выполнить письменный отчёт, в котором должны быть отражены основные аспекты данный темы. В заключение работы следует проанализировать проделанную работу и полученные результаты.
Производственная практика проходит в главном здании АлтГТУ, на кафедре вычислительных систем и информационной безопасности.
Основные положения
аудит информационный безопасность экспертный
Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.
Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Задачи, которые решаются в ходе аудита защищенности информационной системы:
анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации;
выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;
составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;
проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;
анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;
оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27001-2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;
разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.
Аудит информационной безопасности состоит из следующих этапов:
инициирование работ и планирование;
обследование и сбор информации;
поиск уязвимостей и несоответствий;
выработка рекомендаций и подготовка отчетных документов.
Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию о:
всех выявленных уязвимостях объекта аудита;
критичности найденных уязвимостях;
последствие в случае реализации угроз;
рекомендации по устранению уязвимостей.
На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.
Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.
Методики аудита
Экспертный аудит
Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.
Основные этапы экспертного аудита включают в себя:
анализ информационной системы;
анализ наиболее значимых активов;
формирование модели угроз, модели нарушителя;
анализ требований к безопасности информационной среды;
оценка текущего состояния;
разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;
создание отчетной рекомендации.
При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями организации проводят следующие виды работ:
сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;
сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;
определение точек ответственности систем, устройств и серверов информационной системы;
формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.
Один из самых объемных видов работ, которые проводятся при экспертном аудите, – сбор данных об информационной системе путем интервьюирования представителей организации и заполнения ими специальных анкет. Основная цель интервьюирования технических специалистов – сбор информации о функционировании сети, а руководящего состава компании – выяснение требований, которые предъявляются к системе информационной безопасности.
Ключевой этап экспертного аудита – анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы. По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.
Следующий этап – анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.
Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.
В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков информационной системы. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.
Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности:
изменения в существующей топологии сети и технологии обработки информации;
рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;
предложения по совершенствованию пакета организационно-распорядительных документов;
предложения по этапам создания системы информационной безопасности;
ориентировочные затраты на создание или совершенствование СОИБ.
Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а так же сосредоточиться на анализе наиболее значимых объектов информационной среды.
Активный аудит
Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.
Основные цели проведения тестов на проникновение:
поиск уязвимостей, позволяющих произвести атаку на информационную систему;
определение защищенности информационной системы;
актуальность применяемых методов защиты информации от несанкционированного воздействия;
регулярный контроль изменений в информационной системе;
требования международных стандартов и нормативных документов в сфере информационной безопасности требующие проведение регулярных тестов на проникновение.
Основные задачи проведения тестов на проникновение:
оценка текущего состояния информационной безопасности;
выявление уязвимостей информационной системы с их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;
требования международных стандартов и законодательства;
разработка рекомендаций по повышению эффективности защиты информации в информационной системе;
предоставление организации независимой оценки выбранных мер и методик информационной защиты;
подготовка данных для проведения комплексного аудита информационной безопасности.
Объектами тестирования являются: внешние серверы, внешнее сетевое оборудование, отдельные сервисы.
Виды тестов на проникновение:
) тестирование методом черного ящика – тестирование без предварительных знаний о тестируемом объекте. При выборе данного метода тестирования организация предоставляет лишь диапазон внешних IP-адресов или адреса серверов. Данный подход максимально приближен к действиям злоумышленника не знакомого с целевой системой. Данные о тестируемом объекте будут собираться при помощи общедоступных источников;
) тестирование методом белого ящика – более детальное исследование, основанное на дополнительной информации о тестируемом объекте. При выборе данного метода тестирования может запрашиваться дополнительная документация, исходные коды, структура сети, полный доступ к тестируемому объекту. Тест моделирует ситуацию, возможную в случае утечки информации, когда атакующий знает архитектуру информационной системы, знаком с исходными кодами или схемами, возможно, даже некоторыми паролями;
) тестирование методом серого ящика – при использовании данного метода сознательно игнорируется часть известной информации и применяется сочетание вышеперечисленных методов.
Работы по тесту на проникновение включают в себя ряд последовательных этапов:
поиск и анализ всей доступной информации;
инструментальное сканирование, предполагающее использование как специализированных средств;
детальный анализ вручную;
анализ и оценка выявленных уязвимостей и выработка рекомендаций;
подготовка отчета.
Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.
Тест на проникновение может быть начальным этапом комплексного аудита информационной безопасности, на основании которого возможны разработка политики информационной безопасности и внедрение систем защиты.
Аудит web-приложений
Аудит Web-приложений необходим для обнаружения и идентификации уязвимостей, позволяющих несанкционированно получить доступ, модифицировать информацию или выполнить произвольный программный код на целевой системе.
Основные цели проведения аудита Web-приложений:
выявление уязвимостей компрометирующих целевую систему, допущенных в процессе разработки и эксплуатации Web-приложений;
определение надежности и достаточности применяемых систем защиты Web-ресурсов;
отслеживание изменений в Web-приложениях;
соблюдение требований стандартов и нормативных документов в сфере информационной безопасности, требующие проведения аудита защищенности Web-приложений.
Основные задачи проведения аудита Web-приложений:
оценка текущего состояния Web-ресурса организации;
выявление уязвимостей в Web-приложениях с их ранжированием по степени критичности, идентификация по международным и собственным классификаторам;
требования международных стандартов и нормативных документов в сфере информационной безопасности;
предоставление организации независимой оценки защищенности ресурсов;
предоставление рекомендаций по устранению выявленных уязвимостей Web-приложений;
подготовка данных при проведении комплексного аудита информационной безопасности.
Проведение аудита безопасности web-приложения предполагает несколько этапов работ:
) автоматическое сканирование – на данном этапе проводится автоматическое сканирование web-узла при помощи программных средств обнаружения уязвимостей. Проводится анализ наличия типичных решений, применяемых для web-ресурса, таких форумы и гостевые книги. Большинство подобных решений имеют открытый исходный код и хорошо изучены на предмет наличия уязвимостей. Автоматическое сканирование позволяет выявить не только ошибки на уровне исходного кода web-сценария, но также и типичные ошибки администрирования сервера;
) метод «черного ящика» – используя информацию, полученную на первом этапе, специалист проводит анализ выявленных уязвимостей, а также поиск новых уязвимостей неавтоматизированными средствами. Оценивается возможность скомпрометировать систему без каких-либо дополнительных знаний об её внутренней структуре;
) метод «белого ящика» – данный этап предполагает всесторонний анализ структуры и исходного кода web-приложения, а также условий функционирования web-приложения на физическом сервере, таких как:
используемая операционная система и применяемая политика безопасности;
используемое серверное программное обеспечение и его настройка.
Основная задача – выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости – она проверяется на предмет возможности её эксплуатации.
В случае размещения web-приложения в условиях аренды места на сервере хостинга – дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере;
) оценка рисков – на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы;
) выработка рекомендаций – на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;
) внедрение мер по обеспечению информационной безопасности – на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.
По окончании работ производится оценка остаточного риска.
Отчет, предоставляемый по результатам проведения аудита Web-приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.
Комплексный аудит
Комплексный аудит информационной безопасности – независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.
Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.
Основные цели проведения комплексного аудита информационной безопасности:
поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;
комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;
регулярное отслеживание изменений в информационной системе;
получение независимой оценки;
соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.
Основные задачи комплексного аудита информационной безопасности:
анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;
выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;
составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;
требования международных стандартов и нормативных документов в сфере информационной безопасности;
выработка рекомендаций по повышению эффективности защиты информации в информационной системе.
В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:
) Внешний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внешние тесты на проникновение;
в) аудит защищенности Web-приложений.
) Внутренний аудит информационной безопасности, который включает в себя:
а) технический аудит сети;
б) внутренние тесты на проникновение;
в) аудит защищенности от утечки информации;
г) аудит корпоративных беспроводных сетей.
Отчет, предоставляемый организации по результатам проведения аудита, содержит детальное описание проведенных работ, все выявленные уязвимости, способы их применения и рекомендации по устранению данных уязвимостей.
Аудит на соответствие стандартам
Стандарт ГОСТ Р ИСО/МЭК 27001-2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27001-2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.
Построение системы управления информационной безопасности в соответствии с требованиями стандарта позволяет повысить «прозрачность» компании для инвесторов, партнеров и клиентов, благодаря управлению рисками, а также увеличить защищенность компании от угроз информационной безопасности.
Проведение аудита заключается в анализе и оценке:
системы управления рисками информационной безопасности;
политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;
принципов управления активами и персоналом;
технических средств обеспечения информационной безопасности;
существующей системы управления инцидентами;
процессов управления непрерывностью бизнеса и восстановления после сбоев.
Результатом проведенных работ является:
возможность прохождения сертификации;
повышение конкурентоспособности на рынке;
повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;
снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;
наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;
прозрачная система управления информационной безопасностью предприятия.
Заключение
В результате выполнения данной производственной практики, была изучена обозначенная тема и приобретены полезные навыки в сфере аудита информационной безопасности.
Выше представлен отчёт о проделанной работе и продемонстрированы навыки, которые были приобретены за время прохождения практики. Задание было полностью выполнено, но следует заметить, что при более детальном анализе предложенной темы, будет возможно использовать данный материал в практической деятельности.
Источники
1.ГОСТ Р ИСО 19011-2003. Руководящие указания по аудиту систем менеджмента качества и систем экологического менеджмента [Текст]. – Введ. 2003-12-29. – М.: Стандартинформ, 2003.- 23 c.
2.СТО БР ИББС-1.1-2007. Обеспечение информационной безопасности организаций банковской системы российской федерации [Текст]. – Введ. 2007-05-01. – М.: Стандартинформ, 2007.- 14 c.
.Курило А.П. Аудит информационной безопасности [Текст] / А.П. Курило. – М.: Издательская группа «БДЦ-пресс », 2006.- 305 с.
Теги: Аудит информационной безопасности Отчет по практике Бухучет, управленческий учет
dodiplom.ru
отчет по преддипломной практики в организации, Информационная безопасность
Отчет по практике по предмету: Информационная безопасность (Пример)
Содержание
Техническое задание на ВКР состоит в проектировании системы защиты информации, связанной с защитой и обработкой конфиденциальных документов криптографическими средствами на основе электронной подписи.
Исходные данные:
1. Политика информационной безопасности ________________
2. План расположения коммутационного оборудования ___________
3. Реализация взаимодействия элементов локально-вычислительной сети по средствам протокола IPSec
4. Проведение тестирования и верификации
5. Проведение анализа уязвимости локальной сети __________________
дипломного проекта
Введение
1. Аналитическая часть
1.1. Проблема информационной безопасности в сети интернет
1.2. Актуальность проблемы обеспечения информационной безопасности
2. Теоретическая часть
2.2. Структура и принцип работы протоколов IPSec
2.3. Преимущества и недостатки использования IPSec.
3. Проектная часть
3.1. Этапы настройки и установки соединения IPSec
3.2. Тестирование производительности протокола IPSec
3.3. Настройка политики безопасности IPSec для работы в качестве межсетевого экрана.
4. Экономическая часть
4.1. Исходные данные для расчета затрат
4.2. Расчет затрат на проектирование системы
4.3. Расчет затрат на внедрение
4.4.
Расчет эксплуатационных расходов
4.5. Расчет и построение диаграммы общей стоимости системы
4.6. Расчет прибыли разработчика системы
Заключение
Список использованных источников
Приложение А. План расположения коммутационного оборудования ______________
Приложение Б. Схема локальной сети _________________________
Выдержка из текста
Практика производственная (преддипломная) пройдена в организации «____________________________________», специализирующемся на защите компьютерной информации организации.
Целями практики являются закрепление и углубление знаний, полученных в рамках обучения по специальности 10.02.03 «Информационная безопасность автоматизированных систем» в Профессионально-педагогическом колледже СГТУ имени Гагарина Ю.А.
Производственная (преддипломная) практика является завершающим этапом формирования компетенций, обеспечивая получение и анализ опыта, как по выполнению профессиональных функций, так и по вступлению в трудовые отношения.
Практика направлена на:
подготовку выпускника к выполнению основных профессиональных функций в соответствии с квалификационными требованиями;
ознакомление студентов непосредственно на предприятиях, в учреждениях и организациях с передовой техникой и технологией, с организацией труда и экономикой производственной деятельности;
изучение принципов проектирования автоматизированных информационных систем;
изучение технической и эксплуатационной документации;
приобретение практических навыков по использованию основных организационных, программно-аппаратных и инженерно-технических мер обеспечения защиты информации в конкретной сфере деятельности;
сбор необходимого материала для выполнения дипломного проекта в соответствии с полученными индивидуальными заданиями;
изучение использования правовых норм и стандартов по лицензированию в области обеспечения защиты государственной тайны, персональных данных и сертификации средств защиты информации;
освоение опыта эксплуатации компонентов подсистем безопасности автоматизированных систем;
закрепление и совершенствование знаний и практических навыков, полученных студентами в процессе обучения;
В процессе прохождения практики проведены следующие виды работ:
решены организационные вопросы по прохождению практик;
проведено знакомство со структурой, характером деятельности организации;
проведен сбор материалов для составления технического задания по теме дипломного проекта;
разработана система защиты на основе технического задания дипломного проекта;
проведены испытания, отладка и тестирование системы;
рассчитаны показатели экономической эффективности системы;
оформлен отчёт по практике.
Список использованной литературы
1. Зайцев Н.Л. Экономика организации / [Текст]: учеб. пособие / М.: Экзамен, 2012.
2. Чечевицына Л.Н., Хачадурова Е.В. Экономика организации. / [Текст]: учебник / Ростов н/Д.: Феникс, 2016 — 382 с.
3. Шухгальтер М.Л., Экономика предприятия / [Текст]: учеб. пособие / М.: Академия, 2013. 200 с.
4. Протокол IPSec [Электронный ресурс]
// www.intuit.ru/studies/courses/531/387/lecture/8998?page=4
5. IPSec — протокол защиты сетевого трафика на IP-уровне [Электронный ресурс]
//http://www.ixbt.com/comm/ipsecure.shtm
6. IPSEC как протокол защиты сетевого трафика [Электронный ресурс]
// www.ciscolab.ru/index.php?newsid=15
7. Изучаем и выявляем уязвимости протокола IPSec [Электронный ресурс]
// xakep.ru/2015/05/13/ipsec-security-flaws/
8. IPsec VPN. Основы. [Электронный ресурс]
// gamelton.com/2013/11/25/ipsec-vpn-basics/
referatbooks.ru
Отчет о прохождении производственной практики (Разработка системы криптографической защиты почтовых сообщений. Построение математической модели системы защиты информации)
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
КЕМЕРОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Математический факультет
Кафедра ЮНЕСКО по Новым информационным технологиям
Отчет о прохождении производственной практики
студента 5 курса
Окулова Николая Николаевича
Специальность 351500 – «Математическое обеспечение
и администрирование информационных систем»
Научный руководитель:
Д. ф-м. н., профессор
К.Е. Афанасьев
_____________________
Работа защищена с оценкой
«___» (_________________)
“____” _____________2007г.
Зав. кафедрой ЮНЕСКО по НИТ,
Д.ф.-м.н., профессор
________________ К.Е Афанасьев
Кемерово 2007
СОДЕРЖАНИЕ
ПОСТАНОВКА ЗАДАЧИ …………………………………………….. 3
ОПИСАНИЕ ВЫПОЛНЕННЫХ ВО ВРЕМЯ ПРОХОЖДЕНИЯ ПРОИЗВОДСТВЕННОЙ ПРАКТИКИ ЗАДАНИЙ …………………… 4
ЗАКЛЮЧЕНИЕ …………………………………………………………. 6
СПИСОК ЛИТЕРАТУРЫ ………………………………………………. 7
ПОСТАНОВКА ЗАДАЧИ
Цели работы:
1. Разработка системы криптографической защиты почтовых сообщений.
2. Построение математической модели системы защиты информации.
Цели практики:
1. Сбор информации по теме дипломной работы.
2. Изучение предметной области.
В соответствии с целью практики были выделены следующие задачи:
1. Изучить основные понятия криптографии и криптографические алгоритмы
2. Изучить возможности современных криптографических средств защиты информации
3. Изучить основные почтовые протоколы и принципы функционирования современных систем электронной почты
4. Изучить способы перехвата и средства криптографической защиты почтовых сообщений
5. Ознакомиться с основами построения математических моделей средств защиты информации
ОПИСАНИЕ ВЫПОЛНЕННЫХ ВО ВРЕМЯ ПРОХОЖДЕНИЯ ПРОИЗВОДСТВЕННОЙ ПРАКТИКИ ЗАДАНИЙ
9.07 – Организация рабочего места. Поиск информации по основам криптографии. Изучение основных криптографических понятий, примитивов, моделей криптоаналитических атак. Также была рассмотрена классификация криптографических алгоритмов.
10.07 – 12.07 – Изучение основных криптографических алгоритмов, а также анализ их преимуществ и недостатков. Были рассмотрены такие алгоритмы, как RSA, AES (Rijndael), Blowfish, DES, ElGamal, Diffie-Hellman и др.
13.07 – Изучение особенностей программной реализации криптографических алгоритмов. Анализ исходного кода программных реализаций некоторых алгоритмов.
16.07 – 19.07 – Изучение существующих почтовых протоколов и принципов функционирования электронной почты. Были рассмотрены такие протоколы, как SMTP, POP3, IMAP4 и др. Изучение способов перехвата и средств криптографической защиты почтовых сообщений.
20.07, 21.07 – Знакомство с программными средствами, реализующими криптографическую защиту почтовых сообщений. Были рассмотрены служба электронной web-почты S-Mail, использующая методы криптографической защиты сообщений (применяется алгоритм RSA с ключом 2048 байт), система электронной почты PGP, протокол безопасной передачи почтовых сообщений SSL и др. Поиск информации по почтовым протоколам и принципам функционирования электронной почты.
24.07 – 25.07 – Поиск информации по математическим моделям средств защиты информации. Изучение принципов построения математических моделей средств защиты информации.
26.07 – 27.07 – Подведение итогов проделанной работы. Составление отчета о прохождении практики.
ЗАКЛЮЧЕНИЕ
За время прохождения практики мной были изучены основные криптографические понятия и алгоритмы, рассмотрены некоторые современные средства криптографической защиты информации (в том числе, почтовых сообщений), изучены основные почтовые протоколы и способы защиты и перехвата сообщений электронной почты, а также рассмотрены основы построения математических моделей средств защиты информации. Был осуществлен поиск источников информации по данным темам и их изучение. За время прохождения практики мной была изучена предметная область, а также был проработан большой объем информации по теме дипломной работы.
СПИСОК ЛИТЕРАТУРЫ
1. Домарев В.В. Защита информации и безопасность компьютерных систем. – Киев, Издательство «ДиаСофт», 1999.
2. Зиммерманн Ф. PGP – концепция безопасности и уязвимые места library.tstu.edu.ua
3. Саломаа А. Криптография с открытым ключом: Пер. с англ. – М.: Мир, 1995 library.tstu.edu.ua
4. Скляров Д.В. Искусство защиты и взлома информации. – Спб.: БХВ-Петербург, 2004.
5. Шнайер Б. Прикладная криптография, 2-е изд. library.tstu.edu.ua
6. Menezes A., van Oorschot P., Vanstone S. Handbook of applied cryptography. – CRC Press, 1997 library.tstu.edu.ua
7. Материалы сайта www.cryptography.ru
8. Материалы сайта www.compress.ru
9. Материалы сайта www.bezpeka.com
10. Материалы сайта www.ssl.stu.neva.ru
11. Материалы сайта library.tstu.edu.ua
12. Материалы сайта book.itep.ru
13. Материалы сайта www.morepc.ru
14. Материалы сайта www.askit.ru
15. Материалы других сайтов
vunivere.ru
Пермский национальный исследовательский политехнический университет
Факультет Электротехнический Кафедра АТ
О Т Ч Е Т
по производственной практике
Выполнил студент гр. КЗИ-09
Попков Ю.А.
_______________________
(подпись)
Проверили:
______________________________________
(должность, ф.и.о. руководителя от предприятия)
___________ _________________________
(оценка) (подпись)
_____________
МП (дата)
______________________________________________________
(должность, ф.и.о. руководителя от кафедры)
___________ _________________________
(оценка) (подпись)
_____________
(дата)
Пермь 2013
Содержание
Введение
С 01.07.13 по 28.07.13 я был принят на предприятие ЗАО «Эр-Телеком Холдинг» для прохождения производственной практики. Данная организация ведет деятельность близко контактирующую со специальностью “Комплексная защита объектов информатизации”. ЗАО «Эр-Телеком Холдинг» выполняя свою работу, руководствуется различными нормативно-правовыми документами в сфере защиты информации (Закон №149 “Об информации, информационных технологиях и о защите информации”, закон №258 “Об электронной цифровой подписи” и т.п.), а также использует технические средства защиты информации (программное обеспечение, ЭВМ, видеокамеры).
1. Структура предприятия
ЗАО «Эр-Телеком Холдинг» располагается в многоэтажном здании, где каждый этаж разделен на отделы, которые тесно связаны со своим профилем работы. Большинство сотрудников фирмы хорошо оснащены различными техническими средствами (компьютеры с выходом в интернет, телефоны и т.п.). Персонал предприятия состоит из:
Генерального директора
Исполнительного директора
Главного бухгалтера, в подчинении которого бухгалтерский отдел организации
Ведущего специалиста в сфере информационной безопасности
Юрисконсульта
Менеджеры предприятия, консультанты
Предметом деятельности предприятия является:
Услуги для частных лиц
Постоянный доступ в Интернет для частных лиц (ТМ «ДОМ.RU»)
Услуги кабельного телевидения Дом.ru
Услуги кабельного цифрового телевидения Дом.ru TV
Телефония для частных лиц (ТМ «Домашний телефон ДОМ.RU»):
Услуги для корпоративных клиентов
Высокоскоростной доступ в Интернет с пропускной способностью до 1 Гбит/сек
Телефонная связь
Объединение территориально распределенных компьютерных и телефонных сетей офисов, дочерних обществ и филиалов корпоративных клиентов в единую скоростную мультисервисную корпоративную сеть:
Внутренняя телефонная сеть с единой корпоративной нумерацией, организация необходимого количества новых телефонных линий и номеров, дешевые междугородние и международные звонки.
Аудио- и видеоконференцсвязь.
Централизованное видеонаблюдение за всеми объектами.
Организация «домашних офисов».
studfiles.net