Дипломная работа на тему "ТЮМГУ | Проектирование системы автоматизированного тестирования средств защиты информации"

Работа на тему: Проектирование системы автоматизированного тестирования средств защиты информации
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/Anastasiya1---1326

Описание работы

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное автономное образовательное учреждение высшего образования
«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК
Кафедра информационной безопасности

РЕКОМЕНДОВАНО К ЗАЩИТЕ В ГЭК

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
дипломная работа
ПРОЕКТИРОВАНИЕ СИСТЕМЫ АВТОМАТИЗИРОВАННОГО ТЕСТИРОВАНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

10.05.03 «Информационная безопасность автоматизированных систем»

Тюмень 2022

РЕФЕРАТ
Объем выпускной квалификационной работы составляет 134 страницы и включает в себя 4 главы, 18 иллюстраций, 13 таблиц, 39 использованных
источника, 4 приложения.
СРЗИ, ТЕСТИРОВАНИЕ СРЗИ, АВТОМАТИЗАЦИЯ, TERRAFORM, ANSIBLE, PYTHON, PROXMOX.
Целью выпускной квалификационной работы являлась разработка методологии автоматизированной оценки заявленного функционала и соответствие требованиям, предъявляемым к СрЗИ.
Объектом данной работы является методики автоматизированного тестирования средств защиты информации, предметом – система автоматизации тестирования.
Результатом выпускной квалификационной работы является методика и программная реализация системы автоматизации тестирования средств антивирусной защиты и WAF, включающая в себя скрипты развертки и конфигурации ландшафта, проведения тестирования и генерации отчетов.
Совместно выполнено: Проверен анализ российских и мировых стандартов, НПА и требований в области тестирования средств защиты информации, таких как: Средства антивирусной защиты и Web Application Firewall (WAF). Проанализирован и классифицирован функционал этих СрЗИ. Определена область тестирования и разработаны методики тестирования. Проведена оценка возможности автоматизации тестирования и разработана архитектура автоматизированного тестирования. Проведена апробация.
Баевым Д.С. выполнено: Внедрение системы управления конфигурации на основе OpenSource решения Ansible, формирование базы вирусного ПО, разработка скриптов генерации отчетов.
Низовских Д.Е. выполнено: Развертывание системы виртуализации и облачного хранилища подготовка шаблонов виртуальных машин.
Рычковым А.О. выполнено: Внедрение системы управления ландшафтом на основе OpenSource решения Terraform и настройка сетевого взаимодействия внутри инфраструктуры.

СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
1 Общее положение в сфере тестирования СрЗИ 8
1.1 Понятия тестировании и сертификации СрЗИ 8
1.2 Классификация средств защиты информации 9
1.3 Проблематика тестирования СрЗИ и актуальность автоматизации этого процесса 12
1.4 Вывод по главе 14
2 Анализ стандартов, нормативно-правовых документов и опыт специалистов в области тестирования СрЗИ 15
2.1 Антивирусное ПО 15
2.1.1 Анализ российских стандартов, НПА и опыта специалистов по тестированию антивирусного ПО 15
2.1.2 Анализ международных стандартов и нормативно-правовых документов 37
2.1.3 Выводы по тестированию антивирусного ПО 56
2.2 Анализ российских стандартов, нормативно-правовых документов и опыта специалистов по тестированию WAF. 57
2.2.1 Анализ российских стандартов, нормативно-правовых документов и опыта лабораторий по тестированию межсетевой экран для веб- приложений (WAF). 57
2.2.2 Анализ международных стандартов и нормативно-правовых документов 74
3 Разработка методик автоматизированного тестирования СрЗИ 105
3.1 Требования к инфраструктуре 105
4.2 Подбор, используемых инструментов и сервисов 105
4.3 Итоговая схема инфраструктуры 110
3.2 Методика тестирования Антивирусного ПО 112
3.3 Методика тестирования WAF 117
4 Реализация автоматизированного тестирования 119
4.1 Подготовка гипервизора 119
4.2 Подготовка шаблона виртуальной машины под управлением Windows 120
4.3 Подготовка шаблона виртуальной машины под управлением Linux 122
4.4 Подготовка виртуальной машины, отвечающей за работу виртуальной сети 123
4.5 Подготовка виртуальной машины отвечающее за сетевой хранилище. 123
4.6 Подготовка скриптов взаимодействия Terraform 124
4.7 Подготовка скриптов управления Ansible 127
4.8 Подготовка Python скриптов парсинга логов 129
ЗАКЛЮЧЕНИЕ 134
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 136
ПРИЛОЖЕНИЕ А 140
ПРИЛОЖЕНИЕ Б 143
ПРИЛОЖЕНИЕ В 145
ПРИЛОЖЕНИЕ Г 152

ВВЕДЕНИЕ
Одним из самых актуальных вопросов в современной IT-индустрии является вопрос обеспечения информационной безопасности. На рынке представлено большое количество аппаратных и программных средств защиты информации. Эти решения должны подвергаться качественному тестированию своих возможностей перед выходом на рынок. Однако, по ряду причин такое тестирование не всегда возможно.
Главным фактором риска и проблемой на протяжении нескольких лет является дефицит квалифицированных кадров – это отмечают и производители, и заказчики, которые также регулярно ищут специалистов по тестированию к себе в штат. Численность штата тестировщиков у основных производителей увеличивается от года к году на десятки и сотни единиц, но их все равно не хватает. При этом зачастую набирать в штат приходится достаточно неопытных кандидатов и проводить ускоренное обучение с последующим быстрым вводом в «боевые» проекты. Либо затрачивать огромные ресурсы на привлечение аутсорс-компаний.
К другим проблемам тестирования можно отнести такие факторы, как нехватка ресурсов (временных, финансовых и т.д.), ускорение вывода продукта на рынок, конкуренция.
Когда речь заходит о средствах защиты информации, то вопрос тщательного тестирования функциональности становится особенно важным, так как недостаточное тестирование в итоге может повлечь огромные финансовые и репутационные риски как для конечного заказчика, так и для производителя продукта. В лучшем случае производитель должен приложить методику и инструменты тестирования своего продукта, сформировать PoC (proof of concept).
Однако, в большинстве случаев, производитель не заинтересован в обеспечении должного тестирования. Проведение тестирования либо не выполняется, либо делается поверхностно. В лучшем случае, обязанности по
тестированию ложатся на плечи специалистов, которые занимаются 5 внедрением данного продукта. Данные тестирования проводятся вручную и занимают большое количество времени, что требует значительных вложений и ресурсов. Существует множество решений позволяющие проводить тестирование того или иного продукта. Данные решения как правило не универсальны и не способны в должной мере произвести тестирование всех возможностей.
Целью выпускной квалификационной работы являлась разработка методологии автоматизированной оценки заявленного функционала и соответствие требованиям, предъявляемым к СрЗИ.
Для достижения поставленной цели потребовалось решение следующих задач:
1. изучить российские стандарты и методики тестирования СрЗИ;
2. изучить зарубежные стандарты и методики тестирования СрЗИ;
3. изучить принципы работы Terraform, Ansible, Proxmox;
4. спроектировать систему автоматизации с использование ранее изученных средств;
5. подготовить тестовые стенды;
6. апробировать методики тестирования антивирусного ПО без автоматизации;
7. апробировать методики тестирования антивирусного ПО с автоматизацией;
8. апробировать методики тестирования WAF без автоматизации;
9. апробировать методики тестирования WAF с автоматизацией;
10. разработать скрипты генерации отчетов.
Совместно выполнено: Проверен анализ российских и мировых стандартов, НПА и требований в области тестирования средств защиты информации, таких как: Средства антивирусной защиты и Web Application Firewall (WAF). Проанализирован и классифицирован функционал этих СрЗИ. Определена область тестирования и разработаны методики тестирования.

Проведена оценка возможности автоматизации тестирования и разработана архитектура автоматизированного тестирования. Проведена апробация.
Баевым Д.С. выполнено: Внедрение системы управления конфигурации на основе OpenSource решения Ansible, формирование базы вирусного ПО.
Низовских Д.Е. выполнено: Развертывание системы виртуализации и облачного хранилища подготовка шаблонов виртуальных машин.
Рычковым А.О. выполнено: Внедрение системы управления ландшафтом на основе OpenSource решения Terraform и настройка сетевого взаимодействия внутри инфраструктуры.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76 [Электронный ресурс] – 2020.
2. Добрышин М. М., Шугуров Д. Е., Беляев Д. Л. Модель сетевых атак типа xss- и sql-инъекций на веб-ресурсы, учитывающая различные уровни сложности их реализации // Известия ТулГУ. Технические науки. – 2021. – N 2. – С. 196-204.
3. Испытания программных средств на наличие компьютерных вирусов [Электронный ресурс] – 2003.
4. Ляпустин А. Е., Ляпустин М. Е. Способы испытания средств защиты информации // Евразийский научный журнал. - 2015. – N 6. – C. 193- 196.
5. Мельников В. Г., Гребень А. Е., Макарова Д. Г. Исследование межсетевых экранов для веб-приложений с открытым исходным кодом // Интерэкспо Гео-Сибирь. – 2018. – N 7. – С. 233-236.
6. Методология теста антивирусов на лечение активного заражения [Электронный ресурс] – 2015.
7. Методология теста проактивной антивирусной защиты [Электронный ресурс] – 2010.
8. Методология теста самозащиты антивирусов на платформе x64[Электронный ресурс] – 2011.
9. Полезные ресурсы для тестирования защиты [Электронный ресурс] – 2018.
10. Порядок проведения сертификации [Электронный ресурс] – 2019
11. Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" [Электронный ресурс] – 1995
12. Профиль защиты средств антивирусной защиты типа «А» пятого класса защиты [Электронный ресурс] – 2012
13. Профиль защиты средств антивирусной защиты типа «А» четвертого класса защиты [Электронный ресурс] – 2012.
14. Профиль защиты средств антивирусной защиты типа «А» шестого класса защиты [Электронный ресурс] – 2012.
15. Профиль защиты средств антивирусной защиты типа «Б» пятого класса защиты [Электронный ресурс] – 2012.
16. Профиль защиты средств антивирусной защиты типа «Б» четвертого класса защиты [Электронный ресурс] – 2012.
17. Профиль защиты средств антивирусной защиты типа «Б» шестого класса защиты [Электронный ресурс] – 2012.
18. Профиль защиты средств антивирусной защиты типа «В» пятого класса защиты [Электронный ресурс] – 2012.
19. Профиль защиты средств антивирусной защиты типа «В» четвертого класса защиты [Электронный ресурс] – 2012.
20. Профиль защиты средств антивирусной защиты типа «В» шестого класса защиты [Электронный ресурс] – 2012.
21. Профиль защиты средств антивирусной защиты типа «Г» пятого класса защиты [Электронный ресурс] – 2012.
22. Профиль защиты средств антивирусной защиты типа «Г» четвертого класса защиты [Электронный ресурс] – 2012.
23. Профиль защиты средств антивирусной защиты типа «Г» шестого класса защиты [Электронный ресурс] – 2012.
24. Самозащита антивирусов [Электронный ресурс] – 2018
25. Тест антивирусов и антируткитов на обнаружение и удаление современных руткитов [Электронный ресурс] – 2008.
26. Тест антивирусов на обнаружение полиморфных вирусов [Электронный ресурс] – 2008.
27. Тест и сравнение эффективности WAF (Web Application Firewall) сертификации [Электронный ресурс] – 2017
28. Тесты антивирусов [Электронный ресурс] – 2020.
29. Что такое Топ-10 OWASP и какие уязвимости веб-приложений наиболее опасны? [Электронный ресурс] – 2021.
30. Крылов И.Д. Эффективные способы обнаружения и предотвращения xss-уязвимостей сайтов // StudNet. – 2021. – N 2.
31. Зачем нужны антивирусы? Виды вирусных угроз [Электронный ресурс] – 2019
32. VMware vSphere. Лучшая в отрасли платформа виртуализации [Электронный ресурс]. – 2016.
33. Terraform: новый подход к Infrastructure as code [Электронный ресурс] – 2018
34. AV-Test 2017: Тестирование самозащиты антивирусов [Электронный ресурс] – 2017.
35. Best Practices for Dynamic Testing [Электронный ресурс] – 2018.
36. Fundamental Principles of Testing [Электронный ресурс] – 2018.
37. How to Test Antivirus? [Электронный ресурс] – 2017.
38. OWASP Top Ten [Электронный ресурс] – 2021.
39. Sample Selection for Testing [Электронный ресурс] – 2018.