Разработка методики тестирования стека программного обеспечения вычислительных комплексов

Оглавление

ВВЕДЕНИЕ        2

1. ИЗУЧЕНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ        3

1.1        ИЗУЧЕНИЕ ДОКУМЕНТОВ И СТАНДАРТОВ, ОТНОСЯЩИХСЯ К ПРЕДМЕТНОЙ ОБЛАСТИ        3

1.2        ОБЗОР ВИДОВ, МЕТОДОВ И СРЕДСТВ ТЕСТИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ        5

1.3        ИЗУЧЕНИЕ СУЩЕСТВУЮЩИХ ИНСТРУМЕНТОВ ТЕСТИРОВАНИЯ ОС СЕМЕЙСТВА LINUX        9

ВЫВОД        10

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ        11

ВВЕДЕНИЕ

Защита информации в наше время во многом основывается на безопасности используемых при обработке информации информационных систем, в частности – программного обеспечения и программно-аппаратных комплексов. Обеспечение безопасности ПО связано с контролем качества – тестированием. Ввиду повсеместного перехода государственных предприятий на преимущественное использование отечественного ПО, в том числе, ОС на основе Linux, актуализируется необходимость тестирования безопасности программного обеспечения вычислительных комплексов, функционирующих под управлением операционных систем семейства Linux.

Объектом работы является информационная безопасность предприятия, использующего вычислительные комплексы, функционирующие под управлением ОС семейства Linux.

Предметом является тестирование стека программного обеспечения ВК под управлением ОС Linux.

Целью работы является повышения уровня информационной безопасности предприятия путём разработки методики тестирования стека программного обеспечения вычислительных комплексов.

Для достижения цели необходимо выполнить следующие задачи:

• исследовать подходы к тестированию дистрибутивов операционных систем семейства Linux, классифицировать уязвимости в дистрибутиве ОС, проанализировать возможности существующих средств тестирования дистрибутивов ОС семейства Linux,
• определить стек ПО ВК, функционирующего под управлением ОС семейства Linux, описать исходные данные для поиска уязвимостей в стеке ПО ВК,
• обосновать методические подходы к тестированию стека ПО ВК,
• разработать макет программного средства тестирования стека ПО ВК, дать практические рекомендации по применению.

1. ИЗУЧЕНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ

1. ИЗУЧЕНИЕ ДОКУМЕНТОВ И СТАНДАРТОВ, ОТНОСЯЩИХСЯ К ПРЕДМЕТНОЙ ОБЛАСТИ

Понятийный аппарат, используемый в данной работе, основывается на российских законодательных актах и государственных стандартах в области информационных технологий и защиты информации. Они же являются базой при целеполагании, формировании требований по защите информации в исследуемой системе и формировании критериев оценки защищённости информации в системе. В том числе:

• ФЗ-149 «Об информации, информационных технологиях и о защите информации» [1],
• ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» [2].
• ГОСТ Р 53113.1-2008 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов» [3].
• ГОСТ Р 56939-2016 «Разработка безопасного программного обеспечения. Общие требования» [4].

Рассмотрим содержание некоторых наиболее значимых с учётом темы работы документов.

ГОСТ Р 53113.1-2008 описывает скрытые каналы (далее - СК) – непредусмотренные разработчиком системы коммуникационные каналы, которые могут быть применены для нарушения политики безопасности. Скрытые каналы делятся на:

• СК по памяти (скрытое, не предусмотренное использование памяти; на структурированных данных и на неструктурированных данных),
• СК по времени (модуляция процесса, изменяющегося во времени, например, загрузки ЦП вычислительного комплекса),
• скрытые статистические каналы (распределения вероятностей значений параметров).

Также в стандарте классифицированы угрозы, реализуемые с помощью СК,         по реализуемым атакам и вреду; классифицированы активы по опасности атак с применением СК.

ГОСТ Р 56939-2016 описывает элементы, которые необходимо включить в процесс разработки программы для обеспечения соответствия установленным требованиям по защите информации. В частности: меры по разработке безопасного ПО на различных этапах разработки и жизненного цикла программы, цели и результаты их реализации и требования к их реализации.