Быть довольным в жизни - это приобретение большее, чем BugattiVeyron. Потому что, кто приобрел BugattiVeyron, все равно остался недоволен. © Александр Дьяков 1061 - | 843 - или читать все...
Обратная связь Пожаловаться на материал

Тестирование автоматизированной информационной системы на проникновение


Стр 1 из 3Следующая ⇒

 

Тест на проникновение в информационную систему из глобальной сети Интернет является эффективным способом, который позволяет оценить защищенность информационной системы и обнаружить не только отдельные уязвимости, но и проверить надежность существующих механизмов защиты в целом. Тест на проникновение максимально приближен к реальности и позволяет аудиторам смоделировать большую часть угроз информационной безопасности, воздействующих на информационную систему.

Входными данными для тестирования являются:

1. Перечень IP-адресов хостов, образующих внешний периметр информационной системы Заказчика (подсеть 168.192.200.0/28).

2. Перечень адресов корпоративной электронной почты в домене alemneftegaz.ru, представляющий собой репрезентативную выборку по сотрудникам из различных структурных подразделений. Применялась следующая методика, позволяющая наиболее полно смоделировать действия потенциального нарушителя: 1. Пассивный сбор сведений об информационной системе Заказчика из открытых источников.

2. Активный сбор сведений об информационной системе Заказчика (подключение к хостам внешнего периметра).

3. Проверка возможности проникновения в информационную систему Заказчика при помощи использования уязвимостей сетевых служб, запущенных на хостах внешнего периметра.

4. Проверка возможности проникновения в информационную систему Заказчика

при помощи реверсивной троянской программы. о ходе выполнения работ по тесту на проникновение в информационную систему Заказчика регулярно сообщалось представителям отдела информационной безопасности Заказчика. Сотрудникам отдела информационных технологий, ответственным за администрирование информационной системы, не было сообщено о факте выполнения таких работ.

Модель нарушителя

В качестве потенциального нарушителя информационной безопасности ЛВС рассматривается лицо или группа лиц, состоящих или не состоящих в сговоре, которые в результате умышленных или неумышленных действий могут реализовать разнообразные угрозы информационной безопасности, направленные на информационные ресурсы и нанести моральный и/или материальный ущерб интересам КрайИнвестБанка.

Сводная характеристика вероятного нарушителя приведена в таблице 1.


Таблица 1 – Модель нарушителя

Дата добавления: 2015-12-18; просмотров: 42; Мы поможем в написании вашей работы!

Поделиться с друзьями:


123Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.009)