Дипломная работа на тему "Синергия | Разработка мер обеспечения безопасности баз данных программного комплекса «Системы сопровождения ремонта для мастерских Росполёт»"

Работа на тему: Разработка мер обеспечения безопасности баз данных программного комплекса «Системы сопровождения ремонта для мастерских Росполёт»
Оценка: Хорошо.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326

Описание работы

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ ФИНАНСОВО-
ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»

Факультет электронного обучения_
Направление 09.03.02 Кафедра ЭО


ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
Разработка мер обеспечения безопасности баз данных про- граммного комплекса «Системы сопровождения ремонта для мастерских «Росполёт»»

МОСКВА 2017 г.

ЗАДАНИЕ НА ДИПЛОМНЫЙ ПРОЕКТ
1. Тема дипломного проекта: Разработка мер обеспечения безопасности баз данных программного комплекса «Системы сопровождения ремонта для мастерских Росполёт»
2. Срок сдачи студентом законченного проекта «25 » декабря 2017 г.
3. Исходные данные по дипломному проекту
1. Материалы предпроектного анализа предприятия.
2. Законодательная и нормативная документация по теме исследования.
3. Научная, техническая и учебная литература по теме ВКР.
4. Содержание разделов дипломного проекта

Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприя- тия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер. II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание. III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта

Заключение Приложения
5. Основные вопросы, подлежащие разработке
В главе 1 необходимо представить обоснование актуальности выбора зада- чи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание
В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:
• идентифицировать информационные активы;
• ранжировать их по степени важности;
• определить активы, которые относятся к конфиденциальным;
• оценить уязвимость активов;
• оценить степень угроз выбранным информационным активам;
• дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.
• провести обоснование выбора методики оценки рисков с последующим проведением оценки.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.
В разделе 1.4 необходимо провести анализ и обоснование выбора:
• стратегии обеспечения информационной безопасности
• организационных и инженерно-технических мер обеспечения информационной безопасности;
• необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности

В главе 2 необходимо представить проектные решения в соответствии с выбранным направлением обеспечения информационной безопасности.
В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.
Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной без- опасности.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Рас- четные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
Приложение обязательно должно содержать формы внутренних норма- тивных документов. Кроме того также могут быть приведены:
• схемы или таблицы из основной части дипломной работы;
• результаты выполнения контрольного примера;
• схемы документооборота;
• примеры классификаторов;
• формы первичных и результатных документов;
• распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;
• а также другие материалы дипломного проекта, кроме копий документов, не имеющих отношения к дипломному проектированию, рекламных со- общений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по диплом- ному проектированию для направления «Информационные системы», специальности «Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе
«Материалы». При подготовке дипломного проекта вы можете пользоваться до- полнительными литературными источниками, а также основной литературой, список которой приведен ниже.

6. Список литературы
1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасно- сти. Критерии оценки безопасности информационных технологий. Части 1-3
4. Безопасность и управление доступом в информационных системах. А.В. Ва- сильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.
5. Защита конфиденциальной информации. В.Я. Ищейнов, М.В. Мецатунян. Учебное пособие. М. : ФОРУМ, 2012. 256 с.
6. Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.
7. Информационная безопасность и защита информации, Мельников В. П., М.: Академия, 2012, - 336 стр.
8. Программно-аппаратная защита информации. П.Б. Хореев. Учебное пособие. М. : ФОРУМ, 2012. 352 с.

ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ 10
ГЛАВА 1. АНАЛИТИЧЕСКАЯ ЧАСТЬ 13
1.1. Общая характеристика деятельности «Росполет» 13
1.1.2. Организационно-функциональная структура «Росполёт» 14
1.1.3. Программная и техническая архитектура предприятия 18
1.2. Характеристика комплекса задач 20
1.2.1. Выбор комплекса задач автоматизации 21
1.2.2. Оценка уязвимости активов 23
1.2.3. Обоснование необходимости использования вычислительной техники для решения задачи 25
1.2.4. Анализ системы обеспечения информационной безопасности и защиты информации 26
1.3. Анализ существующих разработок и выбор стратегии автоматизации
«КАК ДОЛЖНО БЫТЬ» 28
1.3.1 Анализ существующих разработок для обеспечения 36
безопасности задачи 36
1.3.2 Выбор и обоснование стратегии автоматизации задачи 39
1.3.3 Выбор и способ приобретения ИС для автоматизации 39
2. ПРОЕКТНАЯ ЧАСТЬ 41
2.1 Обоснование проектных решений 41
2.1.1 Обоснование проектных решений по информационному обеспечению .41
2.1.2. Обоснование проектных решений по программному обеспечению 42
2.1.3 Обоснование проектных решений по техническому обеспечению 43
2. 2 Разработка проекта автоматизации 45
2.2.1 Этапы жизненного цикла проекта автоматизации 45
2.2.2 Характеристика нормативно- справочной, входной и оперативной информации 50
2.2.3 Характеристика результатной информации 53
2.3 Программное обеспечение задачи 55
2.3.1. Общие положения (дерево функций и сценарий диалога) 55
2.3.2 Характеристика базы данных 58
2.3.3 Программно-аппаратный комплекс безопасности 61
2.3.4 Контрольный пример реализации модуля безопасности 63
ГЛАВА 3. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА 66
3.1 Выбор и обоснование методики расчёта экономической эффективности .66
3.2 Расчёт показателей экономической эффективности проекта 68
ЗАКЛЮЧЕНИЕ 72
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 74
ПРИЛОЖЕНИЕ 1 76
ПРИЛОЖЕНИЕ 2 78
ПРИЛОЖЕНИЕ 3 79
ПРИЛОЖЕНИЕ 4 80
ПРИЛОЖЕНИЕ 5 81
ПРИЛОЖЕНИЕ 6 88
ПРИЛОЖЕНИЕ 7 95
ПОСЛЕДНИЙ ЛИСТ ПРОЕКТА 96

ВВЕДЕНИЕ
Данная работа посвящена теме «Разработка мер обеспечения безопасности баз данных программного комплекса Системы сопровождения ремонта для ма- стерских «Росполёт».
Актуальность темы заключается в том, что с развитием компьютеризации создание баз данных получает все большее распространение в различных областях народного хозяйства.
При проектировании БД безопасность их имеет ключевое значение, так как чем меньше её уязвимость, тем надежнее работа системы управления базы данных (СУБД) и деятельность предприятия в целом.
Список возможностей разрушений СУБД за последние годы особенно не изменился. Причинами разного рода разрушений в основном являются следую- щие факторы:
1. Финансовый. Решение проблемы безопасности под силу только крупным компаниям. Применение различных средств обеспечения информационной безопасности является для многих организаций компромиссом в финансовом плане. Существует прямая зависимость, чем выше уровень защищенности ин- формации, тем выше должна быть квалификация разработчиков, соответственно выше затраты. Особо актуален такой компромисс для малых предприятий с не- большим доходом.
2. Степень ответственности разработчиков. Зачастую разработчики БД легкомысленно относятся к вопросам защиты информации. Не учитывают со- временный уровень знаний злоумышленников. К примеру, используя при разработке баз данных новые языки запросов, проектируют их на старых «проколотых» моделях, чем играют на руку преступникам электронного мира. Также, при разработке не принимается во внимание, что каждый вид и объем данных требует индивидуального подхода к защите информации.
3. Языки запросов. Компоненты безопасности зачастую понижают производительность СУБД. Большинство аспектов безопасности СУБД зависит напрямую от самих данных. Однако существуют и такие аспекты, которые зависят от данных косвенно.

Например, большинство СУБД поддерживают запросы к данным операторами языка запросов, содержащего наборы доступных пользователю функций или произвольные функции на языке программирования. В таких случаях безопасность СУБД становится проблемой используемого языка запросов.
Архитектура применяемых языков напрямую связана с моделью данных, применяемой для хранения информации. Модель сама определяет особенности языка, и наличие в нем тех или иных слабых сторон.
За последние пять лет появилась ещё одна проблема – защита информации от хакеров. Внутренняя информация компаний, персональные данные сотрудников и клиентов, финансовая и платежная информации, интеллектуальная собственность, исследования рынка, анализ деятельности конкурентов и прочее всё чаще стали интересовать киберпреступников. Особенно их интересуют крупные компании и банки.
Объектом исследования ВКР является «Программный комплекс системы сопровождения ремонта мастерских «Росполёт»», а предметом исследования –
«Безопасность БД системы».
Цель ВКР: разработка мер повышения уровня безопасности СУБД про- граммного комплекса «Системы сопровождения ремонта для мастерских «Росполёт»».
Для достижения поставленной цели необходимо решить задачи:
1. Раскрыть сущность понятий база данных, система управления базами данных путем изучения классификации баз данных и СУБД по степени распре- деленности, по технологии хранения данных, по содержимому, по моделям построения.
2. Раскрыть сущность моделей построения, технологии хранения данных и доступ к ним.
3. Изучить способы обеспечения безопасного доступа к БД и использования данных, хранившихся в базах.
4. Провести анализ существующих разработок и выбор стратегии автоматизации документооборота.
5. Рассмотреть функции администрирования баз данных, ответственность администраторов.

В Аналитической части работы показаны недостатки обработки информации, которые определяют необходимость разработки данного проекта. Дано обоснование необходимости использования вычислительной техники для решения задачи. Проведены выбор комплекса задач автоматизации и оценка уяз- вимости. В частности, проанализированы существующие системы обеспечения информационной безопасности и защиты информации. а также новые разработки для обеспечения безопасности задач.
Практическая часть посвящена вопросам: безопасности существующей системы и её администрирования; обоснованию информационного, техническо- го и программного обеспечения мастерских «Росполёт».
Представлена разработка проектной автоматизации и дана характеристика нормативно-справочной, входной и оперативной информации Системы сопровождения ремонта для мастерских «Росполёт.
Также в Практической части представлена разработка программно- аппаратного комплекса безопасности и контрольный пример реализации модуля безопасности.
В Третьей главе дано обоснование экономической эффективности проекта. Сделаны выбор и обоснование методики расчёта экономической эффективности.
Проведен расчёт показателей экономической выгоды проекта для пред- приятия и срока окупаемости.
В работе располагаются 29 рисунка, 16 таблиц и 2 диаграммы.
При написании ВКР использовались научные труды следующих авторов: Грабер М. [8]. Дэйт К. Дж. [9], Кириллов В.В., Громов Г.Ю[10]. Кренке Д. [11], Нестеров С. А., Петраков А. Н. и другие.
Также были использованы материалы информационных сайтов по вычислительной технике и другие ресурсы INTERNET.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. ГОСТ Р ИСО МЭК ТО 10032-2007. Эталонная модель управления дан- ными // Общероссийский классификатор стандартов. 27.04.2017.
2. Приказ от 17.09.2014 № 647н об утверждении профессионального стан- дарта «Администратор баз данных» с изменениями от 12.12.16 //Собрание зако- нодательства Российской Федерации, 2013, № 4, ст. 293.
3. ГОСТ 34.601-90. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. // Общероссийский классификатор стандартов. 27.04.2017
4. ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Систем- ная и программная инженерия. Процессы жизненного цикла программных средств. // Общероссийский классификатор стандартов. (35) информационные технологии.
5. ГОСТ Р ИСО/МЭК 15288-2005. Информационная технология. Систем- ная инженерия. Процессы жизненного цикла систем. // Общероссийский классификатор стандартов. (35) информационные технологии.
6. Стандарт министерства обороны США – Критерии оценки доверен- ных компьютерных систем. (Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985). Перевод.// «Оранжевая книга», 1985.
7. Международный стандарт isо/iес 15408 «Критерии оценки безопасности информационных технологий» «Общие критерии» // Сборник международных стандартов «Common Criteria (CC)», ISO/IEC 27000, 2014.
8. Грабер М. Введение в SQL, перевод Ястребов В. – «Лори», 2017 – 393 с.
9. Дэйт К. Дж. Введение в системы баз данных. Перевод Птицына К. /под ред. Птицына К. – из-е 8, из-во Вильямс, 2016. 1327 с.
10. Кириллов В.В., Громов Г.Ю. Введение в реляционные базы данных.- Спб.: БХВ-Петербург, 2015. – 464 с.
11. Кренке Д. Теория и практика построения баз данных. – Питер, 2015.
12. Мак-Кейб Дж.: Введение в Windows Server 2016 (перевод). – из-во Microsoft Press, 2016. - 176 с
13. Нестеров С.А. Базы данных, М: ЭКСМО, 2013.
14. Носков С. Опыт оптимизации и контроля производительности в БД с 3000 пользователей – доклад на Конференции Инфостарта IE 2014. Материалы конференции. Из-во «Наука», 2014.
15. Петраков А. Основы практической защиты информации. Учебное пособие. – М.: Akademia, 2013. – 492 с.
16. Смирнов С. Киселев А. Практикум по работе с базами данных. – М.: Гелиос АРВ, 2012. - 160 с.
17. Администрирование баз данных и приложений. - лекции Кафедры ВТ.– СПб: изд-во Института Точной Механики и Оптики СПб, 2016.
18. Безопасность баз данных - Уч. пос. (Качка А.В., Попов М.В., Кумов С.В.) Изд. 5 (переработанное) – Наука, 2014.
19. Алексеев В.Е. Графы и алгоритмы. Структуры данных. Модели вы- числений. М,: ИНТУИТ, 2016. - 153 c. [Электронный ресурс]
20. Введение в MySQL – статьи, лекции // сайт bourabai.ru [Электронный ресурс]
21. Программирование баз данных в Delphi. Многоуровневая архитектура. Лекция 28. // Национальный открытый университет ИНТУИТ.
22. Олонцев С. SQL Server 2016: STRING_SPLIT, описание и сравнение производительности – статья // сайт Олонцев [Электронный ресурс]
23. Модели базы данных – статьи // сайт studopedia [Электронный ресурс]
24. Проектирование баз данных // Научная библиотека [Электронный ре- сурс]
25. Рейтинги сервисов и технологий // TAGLINE