Отчёт о преддипломной практике Отчёт представлен icon

Отчёт о преддипломной практике Отчёт представлен


Смотрите также:
Отчёт о преддипломной практике Вотделе опеки и попечительства администрации Кимовского...
Обязан сдать отчёт по преддипломной практике с пометкой о зачёте, датой сдачи зачёта...
Отчет по преддипломной практике Анализ финансово-хозяйственной деятельности Отчет по практике...
Отчет о прохождении практике 5 Выводы 11...
Отчёт по преддипломной практике На тему: Механизмы обеспечения качества обслуживания в...
Отчёт по преддипломной практике На тему: Проектирование высокоскоростной корпоративной сети на...
Отчет по производственной практике, выполненный студ гр. 147-1 Ворониной Ю. А...
Отчет о практике Тема работы...
Отчёт по преддипломной практике Роль и перспективы развития малой энергетики...
Отчёт по преддипломной практике...
Отчёт по преддипломной практике в средней общеобразовательной школе №542 г. Санкт-Петербурга...
Отчет по преддипломной практике гуп ппп «Типография «Наука»...



Загрузка...
скачать


Санкт-Петербургский государственный университет


Экономический факультет


Кафедра информационных систем в экономике


Учебная группа студентов ПИЭ-5


Ледков Егор Андреевич


Администрирование и обеспечение информационной безопасности в системе электронного экзамена


ОТЧЁТ


о преддипломной практике


Отчёт представлен _________ ______________

Дата Подпись студента


Руководитель

кандидат технических наук,

доцент А.А. Бабаев


Отчёт защищён ________ _________________

Оценка Подпись руководителя


Санкт-Петербург

2010

Содержание


Введение 3

Создание собственного сервера 4

Аппаратное обеспечение 4

Программное обеспечение 6

Защита информации 10

Защита протокола передачи файлов 14

Защита программы от декомпилирования 16

Защита паролей пользователей программы 18

Заключение 20

Список литературы 21



Введение


На протяжении обучения в университете автор настоящего отчёта занимался вопросами проверки знаний обучающихся [1-4]. В течение последних двух лет выполнял разработку и реализацию отдельных блоков информационной системы электронного экзамена:

  • на 3 курсе разработал информационную систему для проведения электронного экзамена [3];

  • на 4 курсе разработал программу проведения электронного экзамена и программу электронного тестирования [4].

При создании любой информационной системы непременно встаёт вопрос об организации безопасности информации. Безопасность информации – состояние защищенности информации, при котором обеспечены её конфиденциальность, доступность и целостность.

  1. Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям.

  2. Целостность – обеспечение достоверности и полноты информации и методов её обработки.

  3. Доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

В системе электронного сопровождения учебного процесса [5] вопрос информационной безопасности стоит наиболее остро. Любое нарушение или искажение данных может существенно повлиять на учебный процесс и снизить качество выпускаемых специалистов[8].

Целью преддипломной практики являлось создание защиты от несанкционированного доступа ко всем важным аспектам информационной системы электронного экзамена «EcExam» [6,7,10].

Для осуществления поставленной цели в ходе практики были сформированы и решены следующие задачи:

  1. Создание собственного сервера;

  2. Защита передаваемой информации от клиента к серверу и от сервера к клиенту;

  3. Защита программы клиента от декомпилирования;

  4. Защита паролей пользователей системы.
^

Создание собственного сервера


Решение функциональных задач в системе электронного экзамена требует сопровождения баз данных и файлов учебных материалов по различным дисциплинам на серверах платных хостинг-провайдеров. Однако, размещение такой информации на серверах платных хостинг-провайдеров стало труднодоступным. Для обеспечения безопасности работы программного комплекса «EcExam» необходимо наличие SSH-доступа к серверу. Некоторые хостинг-провайдеры, представленные на Российском рынке, предоставляют данную услугу, но только на дорогих «Premium»-тарифах. Для размещения разнообразных файлов по учебным дисциплинам (презентации лекций, обучающие аудио-видео записи и т.д.) требуется большее количество дискового пространства, чем могут предоставить провайдеры на недорогих тарифах. В связи с этим было принято решение о развёртке собственного сервера.
^

Аппаратное обеспечение


Системный блок:

  • Корпус: Codegen ATX Miditower 250W

  • Материнская плата: ASUS P4PE – X/SE

  • Процессор: Intel Celeron CPU 1.70GHz

  • Вентилятор для процессора: GlacialTech (Silent-модель 1800об/с)

  • Дополнительные вентиляторы: отсутствуют.

  • ОЗУ: 2 x PATRIOT Extreme Performance 256Mb

  • HDD: IBM DeskStar 20,5Gb ATA/IDE

  • Сетевая плата: Genius GF100TXRIII Series

  • Оптический привод (использовался для первичной настройки): LG DVDROM 16x

  • Видеокарта (использовалась для первичной настройки): GeForce4 MX440SE

Маршрутизатор:

  • D-link DIR-300 (Беспроводной 2,4 ГГц (802.11g) 4-х портовый маршрутизатор, до 54 Мбит/с)

Интернет доступ:

  • Интернет провайдер ELTEL: Домашний Интернет (тарифный план: «Солнечный» (10000 Кбит/с) + фиксированный IP адрес)

Источник бесперебойного питания:

  • UPS CyberPower Value 400E
^

Программное обеспечение


I. Операционная система: FreeBSD 6.4

FreeBSD [14, 15] – свободная UNIX-подобная операционная система, потомок AT&T Unix по линии BSD, созданной в университете Беркли. FreeBSD разрабатывается как целостная операционная система. Исходный код ядра, драйверов устройств и базовых пользовательских программ (т. н. userland), таких как командные оболочки и т. п., содержится в одном дереве системы управления версиями (до 31 мая 2008 – CVS, сейчас – SVN). Это отличает FreeBSD от GNU/Linux – другой свободной UNIX-подобной операционной системы – в которой ядро разрабатывается одной группой разработчиков, а набор пользовательских программ – другими (например, проект GNU), а многочисленные группы собирают это всё в единое целое и выпускают в виде различных дистрибутивов GNU/Linux.

FreeBSD хорошо зарекомендовала себя как система для построения интранет- и интернет-серверов. Она предоставляет достаточно надёжные сетевые службы и эффективное управление памятью. Помимо своей стабильности, FreeBSD популярна и благодаря своей лицензии, которая существенно отличается от широко известной лицензий GNU GPL – она позволяет использовать код не только в свободном ПО, но и в проприетарном. В отличие от GNU LGPL, которая тоже позволяет использовать свободный код в закрытой программе, лицензия BSD более простая и короткая.

Проприетарное программное обеспечение – программное обеспечение, являющееся частной собственностью авторов или правообладателей и не удовлетворяющее критериям свободного (не просто с открытым кодом). С позиции Фонда свободного ПО оно, к тому же не является полусвободным. Правообладатель сохраняет за собой монополию на его использование, копирование и модификацию, полностью или в существенных моментах. Часто проприетарным называют любое несвободное ПО, включая полусвободное.


II. Удалённое администрирование сервера: Webmin 1.500

Webmin [16] – это программный комплекс, позволяющий администрировать операционную систему через веб-интерфейс (Рис. 1), в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров. Используя любой браузер, администратор сервера может создавать новые учётные записи пользователей, почтовые ящики, изменять настройки служб и сервисов, например: веб-сервера Apache, DNS. Однако, в некоторых случаях необходимо знание операционной системы и редактирование конфигурационных файлов вручную. Webmin состоит из простого веб-сервера и большого количества скриптов (>500-т), которые собственно и осуществляют связь между командами администратора через веб-интерфейс и их исполнением на уровне операционной системы и прикладных программ. Webmin написан полностью на языке Perl и не использует никаких дополнительных нестандартных модулей. Простота, лёгкость и быстрота выполнения команд - одно из самых больших преимуществ данной панели управления.



Рис. 1. Окно приветствия Web-интерфейса Webmin/


III. Удалённое администрирование сервера: OpenSSH 4.5 + PuTTY 0.60

Для доступа к командной строке и интерфейса непосредственно самого сервера используется программа PuTTY 0.60 по средствам протокола SSH.

SSH – сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства сетевых операционных систем.

PuTTY – свободно распространяемый клиент для различных протоколов удалённого доступа, включая SSH, Telnet, rlogin. Также имеется возможность работы через последовательный порт. PuTTY позволяет подключаться и управлять удаленным узлом. В PuTTY реализована только клиентская сторона соединения – сторона отображения, в то время как сама работа выполняется на другой стороне.


IV. Web-сервер: Apache version 1.3.41

Apache [17] HTTP-сервер – свободный веб-сервер. Веб-сервер – это сервер, обслуживающий запросы к одному или нескольким сайтам Всемирной паутины (веб-сайтам).

Apache используется для организации большинства веб-серверов в мире и является самым массовым продуктом своего класса. Этот сервер обладает обширными возможностями конфигурации, является очень производительным и поддерживает все известные протоколы для работы веб-серверов. Специально для Apache созданы версии таких популярных языков программирования как Perl и PHP, а также этот сервер легко интегрируется с широко применяемыми СУБД (например, MySQL).


V. Сервер баз данных: MySQL 5.0.89

MySQL [18] – свободная система управления базами данных (СУБД). MySQL является собственностью компании Sun Microsystems, осуществляющей разработку и поддержку приложения. Распространяется под GNU General Public License и под собственной коммерческой лицензией, на выбор. Помимо этого разработчики создают функциональность по заказу лицензионных пользователей, именно благодаря такому заказу почти в самых ранних версиях появился механизм репликации. MySQL является решением для малых и средних приложений. MySQL используется в качестве сервера, к которому обращаются локальные или удалённые клиенты, однако в дистрибутив входит библиотека внутреннего сервера, позволяющая включать MySQL в автономные программы.

Гибкость СУБД MySQL обеспечивается поддержкой большого количества типов таблиц: пользователи могут выбрать как таблицы типа MyISAM, поддерживающие полнотекстовый поиск, так и таблицы InnoDB, поддерживающие транзакции на уровне отдельных записей.

В версии MySQL 5.0 значительно расширена функциональность, которая ставит MySQL в один ряд с коммерческими СУБД. Если раньше СУБД MySQL обвиняли в недостаточной поддержке стандарта SQL, то с появлением пятой версии этой популярной базы данных, появилась практически полная поддержка стандарта SQL. MySQL 5.0.


VI. Сервер передачи файлов: ProFTPd 1.32

FTP – протокол, предназначенный для передачи файлов в компьютерных сетях. FTP позволяет подключаться к серверам FTP, просматривать содержимое каталогов и загружать файлы с сервера или на сервер; кроме того, возможен режим передачи файлов между серверами. FTP является одним из старейших прикладных протоколов, появившимся задолго до HTTP, в 1971 году. Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов передаются по разным портам. Порт 20 используется для передачи данных, порт 21 для передачи команд. В случае, если передача файла была прервана по каким-либо причинам, протокол предусматривает средства для докачки файла, что бывает очень удобно при передаче больших файлов.

Для работы был выбран FTP-сервер: ProFTPd.

ProFTPd [19] разрабатывался группой энтузиастов, недовольных уровнем безопасности и сложностью настройки "классического" FTP-сервера. Бесплатен (GPL). Один из самых популярных ftp-серверов – надежный, безопасный, гибко конфигурируемый и при этом не слишком сложный в настройке.
^

Защита информации


Информационная система электронного экзамена «EcExam» базируется на классической двухуровневой клиент-серверной архитектуре (Two-tier architecture) с «толстым» клиентом, рис. 2. Данная архитектура характеризуется наличием двух взаимодействующих самостоятельных модулей – программой-клиентом и сервера базы данных, в качестве которого может выступать Microsoft SQL Server, Oracle, Sybase, MySQL и другие. Сервер БД отвечает за хранение, управление и целостность данных, а также обеспечивает возможность одновременного доступа нескольких пользователей. Клиентская часть представлена так называемым “толстым” клиентом, то есть приложением на котором сконцентрированы основные правила работы системы и расположен пользовательский интерфейс программы.



Рис. 2. Архитектура информационной системы.


В качестве сервера управления базами данных используется MySQL 5.0.89. Он находится на удалённом компьютере-сервере. Связь между клиентами и сервером осуществляется по незащищённому каналу. Все запросы от клиентов к серверу могут быть легко перехвачены злоумышленниками, см. рис. 3.



Рис. 3. Несанкционированный доступ к данным.


Решением данной проблемы является развёртывание SSH-Туннеля [20] – это туннель, создаваемый посредством SSH-соединения и используемый для шифрования туннелированных данных. Используется для того, чтобы обезопасить передачу данных в Интернете. Особенность состоит в том, что незашифрованный трафик какого-либо протокола шифруется на одном конце SSH-соединения и расшифровывается на другом, рис. 4.



Рис. 4. SSH-туннелирование.


Установили SSH-туннель на порт 3306(стандартный порт СУБД MySQL) и теперь все данные, исходящие от клиента к серверу (SQL-запросы), а также ответы (результаты запросов) передаются в зашифрованном виде.

Под SSH понимают как собственно программу, так и задействованный в ней протокол. Что касается программы, то для ее краткой характеристики следует сказать, что SSH представляет собой средство организации безопасного доступа к компьютерам при работе по небезопасным каналам связи. Для организации безопасного доступа применяется процедура аутентификации с использованием асимметричного шифрования с открытым ключом. Это обеспечивает более высокую безопасность, чем при использовании симметричного шифрования, хотя и порождает дополнительную вычислительную нагрузку. При последующем обмене данными применяется уже симметричное шифрование, более экономичное в смысле затрат процессорного времени.

Проект стандарта SSH описывает протоколы SSH и состоит из нескольких документов, которые описывают общую архитектуру протокола, а также протоколы трех уровней: протокол транспортного уровня, протокол аутентификации и протокол соединения. Их задача – обеспечивать безопасную сетевую службу наподобие удаленного login поверх небезопасной сети.

Протокол транспортного уровня обеспечивает аутентификацию сервера, конфиденциальность и целостность. Протокол аутентификации обеспечивает аутентификацию клиента для сервера. Наконец, протокол соединения SSH мультиплексирует безопасный (шифруемый) канал, представляя его в виде нескольких логических каналов, которые используются для различных целей (различных видов служб).

Протокол транспортного уровня предусматривает возможность сжатия данных. Этот протокол работает поверх соединения TCP/IP. Протокол аутентификации работает поверх протокола транспортного уровня, а протокол соединения поверх протокола аутентификации.

С целью повышения безопасности осуществляется не только аутентификация клиента для сервера, к которому обращается клиент, но и аутентификация сервера клиентом другими словами, происходит аутентификация обеих сторон.

Клиент шлет запрос на обслуживание в первый раз, когда устанавливается безопасное соединение транспортного уровня SSH. Второй запрос направляется уже после завершения аутентификации пользователя (клиента).

Каждый работающий с SSH хост, на котором может выполняться как клиент, так и сервер, может иметь не менее одного ключа, причем для шифрования допускаются различные криптографические алгоритмы. Несколько хостов могут иметь общий ключ хоста. Однако каждый хост должен иметь хотя бы один ключ, с которым работает каждый из требуемых алгоритмов работы с открытыми ключами.

Ключ хоста-сервера используется при обмене открытыми ключами с целью проверки того, что клиент действительно общается с настоящим (а не подмененным) сервером. Для этого клиент должен знать открытый ключ хоста-сервера. Это знание реализуется в рамках одной из двух моделей.

В первой клиент просто имеет некий локальный файл, в котором каждому имени хоста ставится в соответствие его открытый ключ. Во второй модели вводится понятие сертификационного агента, который и отвечает за проверку соответствия имени хоста его открытому ключу. При этом клиент знает только открытый ключ самого сертификационного агента. В последнем случае упрощается поддержка клиента (ему нужно знать всего один открытый ключ), но появляются высокие требования к сертификационному агенту, который должен иметь открытые ключи всех хостов, к которым обращаются клиенты.

Протоколом предусмотрена возможность отказа от проверки ключа хоста-сервера при самом первом обращении клиента к этому серверу. При этом соединение клиент-сервер будет защищено от пассивного прослушивания сети, но возникает опасность атаки типа человек в середине (man-in-the-middle), т. е. попытки временной подмены сервера. Если эта возможность используется, ключ хоста-сервера будет автоматически передан клиенту и сохранен в его локальном файле.
^

Защита протокола передачи файлов


Ранее был рассмотрена процедура связи непосредственно с базой данной и передачи информации (в частности SQL-запросов на СУБД). В программе так же предусмотрено наличие изображений у тестовых вопросов и учебных материалов по различным дисциплинам. Графические файлы могут загружать на сервер преподаватели и ассистенты (только те, которым включена эта функция), учебные материалы могут загружать только преподаватели.

В качестве протокола передачи файлов на сервер будем использовать протокол FTP, как самый распространённый в этой области. Протокол не шифруется, при аутентификации передаёт логин и пароль открытым текстом. Если злоумышленник находится в одном сегменте сети с пользователем FTP, используя пассивный сниффер (анализатор трафика, или сниффер – сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.), он может перехватить логин и пароль пользователя, или, при наличии специального ПО, получать передаваемые по FTP файлы без авторизации.

Чтобы предотвратить перехват трафика, существует несколько решений: можно использовать протокол шифрования данных SSL, который поддерживается многими современными FTP-серверами и некоторыми FTP-клиентами; так же можно использовать протокол SFTP – протокол прикладного уровня, предназначенный для копирования и выполнения других операций с файлами поверх надёжного и безопасного соединения. Как правило, в качестве базового протокола, обеспечивающего соединение, используется протокол SSH, но это не обязательно.

На предыдущем этапе мы использовали процедуру SSH-туннелирования, в данном случае тоже будем использовать эти технологии. Рассмотрим такой подход, относительно FTP-соединения. Протокол FTP относится к протоколам прикладного уровня и для передачи данных использует транспортный протокол TCP. Команды и данные, в отличие от большинства других протоколов передаются по разным портам. Порт 20 используется для передачи данных, порт 21 для передачи команд. В данном случае необходимо создавать два туннеля – по одному на каждый порт [21]. Мы будем шифровать только 21 порт, по которому производится передача команд, в том числе логина и пароля к FTP-серверу, поскольку перехват данных не страшен, ведь эти данные в любом случае доступны всем пользователям из программы, рис. 5.



Рис. 5. Защита от перехвата команд FTP клиента.


FTP-клиент, в нашем случае программа-клиент информационной системы электронного экзамена «EcExam», устанавливает соединение с FTP-сервером через зашифрованное соединение. Происходит передача логина и пароля, аутентификация клиента, далее сервер переходит в пассивный режим, передаёт свой IP адрес и номер порта, рис. 5: номер порта: 20507 получается из: 80*256+27. По новому порту происходит передача файла в открытом, не зашифрованном виде. Таким образом, поставленная задача выполнена: данные для подключения к серверу (логин и пароль) скрыты от злоумышленников.
^

Защита программы от декомпилирования


Декомпилирование программы - по законодательству РФ - технический прием, включающий преобразование объектного кода в исходный текст в целях изучения структуры и кодирования программы для ЭВМ.

После декомпилирования программы злоумышленник может разобрать полученный код и узнать конфиденциальные данные – параметры подключении клиента к СУБД MySQL, исказить существующие результаты и задания. Для предотвращения такой ситуации необходимо использовать программу - протектор.

Протекторами называются программы, предназначенные для защиты программ от взлома. В настоящее время на рынке представлено множество протекторов, но практически у всех есть один существенный недостаток - они не модифицируют исходный код (защита программ представляет собой обычную упаковку всего файла, при этом "защищается" сам распаковщик, который в итоге распаковывает файл). После окончания работы распаковщика программу можно просто "сдампить" и в итоге без особых трудностей получить исходный (неупакованный) файл. Хакерами разработано множество инструментов по автоматическому снятию самых популярных протекторов.

Для защиты программы электронного экзамена «EcExam» используется программа – протектор VMProtect [22].

VMProtect позволяет защитить программное обеспечение от анализа и взлома. В основе защиты лежит исполнение участков кода программы на виртуальной машине. Архитектура виртуальной машины кардинально отличается от обычных процессоров, что делает бессмысленным большинство инструментов, используемых хакерами. Существенным плюсом является то, что файлы, защищенные VMProtect, могут запускаться на всех версиях Windows, начиная с Windows 95. Так же поддерживаются 32 и 64-битные операционные системы.

VMProtect представляет собой совершенно новый инструмент по защите программного обеспечения. В отличие от большинства существующих протекторов VMProtect модифицирует исходный код программы. В процессе работы VMProtect-а участки кода защищаемого файла переводятся в программу, выполняемую на виртуальной машине (далее ВМ). ВМ также можно назвать виртуальным процессором с системой команд очень сильно отличающейся от той, которая представлена в процессорах Intel 8086. Например: в ВМ нет команд, отвечающих за сравнение двух операндов, нет условных и безусловных переходов и т.д.

Для того чтобы защитить только часть (или несколько частей) процедуры, в которой указаны параметры подключения SSH-клиента, базы данных и FTP-клиента используются маркеры. Для маркировки участков необходимо использовать вставки на ассемблере:



Рис. 6. Пример защищенного участка кода процедуры установки соединения.


Виртуализация кода – это следующий шаг в области защиты программного обеспечения от анализа. Большинство систем защит шифруют исполняемый код и расшифровывают его при запуске программы. VMProtect никогда не расшифровывает код. В процессе защиты VMProtect переводит код программы в код, работающий на виртуальном процессоре. Набор команд этого процессора не похож на команды процессоров x86 или x64 и меняется при каждой защите программы.

^

Защита паролей пользователей программы


В программе электронного экзамена «EcExam» реализовано разграничение прав пользователей: Администратор, Преподаватели, Ассистенты, Студенты. В соответствии с этим разграничением у каждого типа пользователей свой набор функций.

Администраторы, преподаватели, а также их ассистенты имеют расширенный набор возможностей по сравнению со студентами, поэтому аутентификация этих пользователей наиболее защищена от взлома злоумышленников.

Рассмотрим два наиболее распространённых способа получения пароля пользователя:

  • подбор пароля с помощь специальных программ;

  • извлечение пароля во время исполнения процедуры аутентификации.


I. Подбор пароля с помощью перебора всевозможных вариантов.

Полный перебор (или метод «грубой силы» от англ. brute force) – метод подбора паролей путем перебора всех возможных вариантов. Сложность полного перебора зависит от количества всех возможных решений задачи. Если пространство решений очень велико, то полный перебор может не дать результатов в течение нескольких лет или даже столетий. «Brute Force» - подбор по одному символу, то есть: 1,2,3,4,5,.....a,b,c,d....abc,abcd и т.д. Но на практике злоумышленники пользуются так называемыми «словарями». Словарь - это текстовый файл (обычно txt) в котором в строчку содержаться слова, одно из которых при удачной попытке подбора, должно совпасть с паролем. Словари различаются по количеству записанных в них слов, больше количество - больше займёт процедура подбора пароля.



Рис. 7. Авторизация пользователей системы.


Для защиты от взлома такого вида в программе электронного экзамена «EcExam» используется ограничение попыток ввода, см. рис. 7. Если неправильно ввести пароль 4 раза подряд, то программа автоматически завершит свою работу, для продолжения необходимо открывать её снова. Таким образом, существенно осложняется работа для программ подбора паролей. Если пароль не является тривиальным (например «12345»), то взлом таким методом практически невозможен.

В случае утери пароля всегда можно обратиться за получением нового, либо к администратору проекта в вузе, либо к разработчикам системы.


II. Извлечение пароля во время исполнения процедуры аутентификации.

В период исполнения программы-клиента с помощью специальных инструментов можно перехватить правильный пароль, который выбирается из базы для конкретного пользователя, и сравнивается с введённым паролем во время процедуры аутентификации. Чтобы злоумышленник не смог воспользоваться перехваченным паролем используется алгоритмы хеширования паролей.

Существует несколько способов:

  • Хранятся только хеши паролей (с помощью MD5 [23], SHA). Найти пароли можно только полным перебором. Но сейчас такая задача решается за некоторое время (зависит от сложности пароля).

  • Хранятся хеши паролей и несколько случайных символов. К каждому паролю добавляется несколько случайных символов (их ещё называют «salt» или «соль») и результат ещё раз хешируется. Например, md5(md5(pass)+word). Найти пароль с помощью таблиц таким методом не получится.

В программе электронного экзамена «EcExam» применяется второй способ хранения паролей для пользователей, с расширенным набором функций (администратор, преподаватели и ассистенты). Пароли студентов хранятся в незашифрованном виде.

Заключение


Поставленные на преддипломную практику цели выполнены в полном объёме и реализованы в системе электронного экзамена.

В ходе преддипломной практики решены следующие задачи:

  • собран и настроен сервер для сайта и программы электронного экзамена, который в полной мере справляется с нагрузками, не требует больших материальных и трудовых затрат;

  • рассмотрены всевозможные пути взлома системы электронного экзамена;

  • приняты необходимые меры по обеспечению информационной безопасности и защите от несанкционированного доступа в систему электронного экзамена.

К сожалению можно констатировать, что не ломаемых защит не бывает, поэтому нужно добиться такого уровня защиты, что бы затраты на её взлом были сопоставимы (или даже превосходили) затраты на легальное использование защищённой программы.

На следующем этапе, разработанной системе электронного экзамена требуется экспериментальная проверка на реальном учебном процессе в конкретном вузе, в частности, на экономическом факультете СПбГУ.
^

Список литературы


  1. Ледков Е.А. Тестирование «Оперативной» памяти человека. Курсовая работа по дисциплине «Информатика и программирование». Руководитель КР - Бабаев А.А. СПб., ЭФ СПБГУ, 2006. 16 с.

  2. Ледков Е.А. База данных магистров. Курсовая работа по дисциплине «Базы данных». Руководитель КР - Бабаев А.А. СПб., ЭФ СПБГУ, 2007. 17 с.

  3. Ледков Е.А. Проектирование информационной системы, обеспечивающей проведение электронного экзамена по дисциплине ИТиМПР. Курсовая работа по дисциплине «Проектирование информационных систем». Руководитель КР - Ботвин Г.А., консультант - Бабаев А.А. СПб., ЭФ СПБГУ, 2008. 18 с.

  4. Ледков Е.А. Программный комплекс электронного тестирования “EcTest”. Курсовая работа по специализации. Руководитель КР - Бабаев А.А. СПб., ЭФ СПБГУ, 2009. 19 с.

  5. Бабаев А.А., Ледков Е.А. Моделирование содержания и процедуры поддержки электронного экзамена //Материалы IV Всероссийской научно-практической конференции «Актуальные задачи математического моделирования и информационных технологий». – Сочи: СГУТиКД, 2008. С. 13-15.

  6. Ледков Е.А. Программное обеспечение электронного экзамена на экономическом факультете СПбГУ //VII Санкт-Петербургский открытый конкурс им. проф. В.Н. Вениаминова на лучшую студенческую научную работу по экономике. Научный руководитель – Бабаев А.А. Студент Ледков Е.А. награжден грамотой.

  7. Бабаев А.А., Ледков Е.А. Программный комплекс для проведения электронного экзамена //Математика, информатика, естествознание и проблемы устойчивого развития: сборник научных трудов 28-й Международной конференции. – СПб.: ЦНИОТ «Система», 2009. С. 44-48. Студент Ледков Е.А. награжден призом и грамотой оргкомитета конференции.

  8. Бабаев А.А., Гора А.А., Кравцова Ю.М., Ледков Е.А. Информационные технологии – средство активизации учебной, научной и внеаудиторной работы студентов //Информатизация образования – 2009: материалы Международной научно-методической конференции. – Волгоград: ВГПУ «Перемена», 2009. С. 199-205.

  9. Ледков Е.А., Бабаев А.А. Опыт разработки и сопровождения сайта учебного назначения //XXXVIII Неделя науки СПбГПУ: материалы Международной научно-практической конференции. Ч. VII. – СПб: СПбГПУ, 2009. С. 396-398. Студент Ледков Е.А. награжден призом и дипломом оргкомитета конференции.

  10. Бабаев А.А., Ледков Е.А. Электронное сопровождение обучения и контроля знаний студентов //Современные информационные технологии и IT-образования: материалы IV Международной научно-практической конференции. – Москва: МГУ «Москва», 2009. С. 252 259.

  11. ГОСТ 2.105-95 Общие требования к текстовым документам. http://www.rugost.com/index.php?option=com_content&task=view&id=166&Itemid=48 Время обращения 10.03.2010.

  12. ГОСТ 19.401-78 Текст программы. Требования к содержанию и оформлению. http://www.rugost.com/index.php?option=com_content&task=view&id=57&Itemid=50 Время обращения 10.03.2010.

  13. ГОСТ 19.504-79 Руководство программиста. Требования к содержанию и оформлению: http://www.rugost.com/index.php?option=com_content&task=view&id=64&Itemid=50 Время обращения 10.03.2010.

  14. The FreeBSD Project. http://www.freebsd.org/ Время обращения 10.03.2010.

  15. Гаспар Чилингаров. Установка Веб-сервера на FreeBSD. – eBook, 2009: 123с.

  16. Webmin Documentation http://www.webmin.com/docs.html Время обращения 10.03.2010.

  17. The Apache HTTP Server Project http://httpd.apache.org/ Время обращения 10.03.2010.

  18. MySQL :: The world's most popular open source database http://www.mysql.com/ Время обращения 10.03.2010.

  19. The ProFTPD Project: Home http://www.proftpd.org/ Время обращения 10.03.2010.

  20. SSH tunneling in your application http://smartico.co.za/Article/Computers/Programming/ssh_tunneling_in_your_application.php Время обращения 10.03.2010.

  21. FTP Forwarding (SSH, The Secure Shell: The Definitive Guide) http://docs.netive.ru/Oreilly/ror/ssh/ch11_02.htm -.

  22. VMProtect - Защита программного обеспечения нового поколения! http://www.vmprotect.ru/vmprotect.php Время обращения 10.03.2010.

  23. MD5 – Википедия http://ru.wikipedia.org/wiki/MD5 Время обращения 10.03.2010.





Скачать 205,98 Kb.
оставить комментарий
Дата01.10.2011
Размер205,98 Kb.
ТипДиплом, Образовательные материалы
Добавить документ в свой блог или на сайт

отлично
  1
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх