3 Название очередного раздела 1 уровня. 11

Дата: 2025-06-14; Просмотры: 8

Оценка:

0.00 из 5.00 — оценок

Скачиваний: 0

Скачать

ВСТАВИТЬ АКТУАЛЬНЫЙ ТИТУЛЬНЫЙ ЛИСТ ОТЧЕТА

с оборотной стороной

реферат

Отчет по (указать название практики полностью) 18с., 3 рис., 1 табл., 15 источн., 2 прил.

ОТЧЁТ, ШАБЛОН ОТЧЕТА, ПРАВИЛА ОФОРМЛЕНИЯ, ГОСТ, ИНЫЕ КЛЮЧЕВЫЕ СЛОВА И СЛОВОСОЧЕТАНИЯ[ИЗ1]

Объектом исследования в рамках практики является научная, исследовательская и практическая деятельность[ИЗ2] . Предметом исследования является формализация и оформление в виде отчетов результатов научной и практической деятельности студентов в рамках практик[ИЗ3] .

Цель работы – разработка шаблона-инструкции отчета по практике[ИЗ4] .

В ходе выполнения (указать название практики полностью) получены следующие результаты[ИЗ5] :

1. Разработаны 2 майндкарты по структуре и оформлению отчета.

2. Разработаны 3 шаблона основных отчетных документов практики с поясняющими комментариями.

3. Проведена апробация разработанных материалах на студентах кафедры информационной безопасности ТюмГУ.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ. 4

1 Краткая характеристика ООО «Новый софт». 5

1.1 Сфера деятельности компании. 5

1.2 Информационная инфраструктура предприятия. 5

1.3 Выводы по главе 1. 5

2 Протокол WebSocket, спецификация RFC 6455. 7

2.1 Краткое описание протокола. 7

2.2 Проблемы безопасности. 8

2.3 Выводы по главе 2. 9

3 Название очередного раздела 1 уровня. 11

3.1 Название очередного раздела 2 уровня. 11

3.2 Выводы по главе 3. 12

4 Название очередного раздела 1 уровня. 13

4.1 Название очередного раздела 2 уровня. 13

4.2 Название очередного раздела 2 уровня. 13

4.3 Выводы по главе 4. 13

ЗАКЛЮЧЕНИЕ. 14

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.. 15

ПРИЛОЖЕНИЕ А. Название приложения. 16

ПРИЛОЖЕНИЕ Б. Название приложения. 17

ВВЕДЕНИЕ

Базой учебной/производственной/преддипломной практики / научно-исследовательской работы[ИЗ6] была выбрана кафедра информационной безопасности ТюмГУ/ООО «Новый Софт»(название организации с правовой формой). В рамках учебного плана _ курса специальности/направления «_________»[ИЗ7] была пройдена практика в период с ЧЧ.ММ.ГГГГ по ЧЧ.ММ.ГГГГ.

Целью прохождения практики/НИР [ИЗ8] являлась разработка защищенного высокостабильного WebSocket сервера с эффективным механизмом аутентификации пользовательских подключений[ИЗ9] .

Для достижения поставленной цели потребовалось решение следующих задач[ИЗ10] :

1. изучить техническую документацию, описывающую данную предметную область;

2. разработать эффективный механизм аутентификации, исключающий необходимость подключения к базе данных или к другому источнику данных с ограниченным быстродействием;

3. разработать программное обеспечение, реализующее WebSocket сервер в соответствии со спецификацией RFC 6455 [1];

4. используя результаты решения перечисленных выше задач, создать единый поддерживаемый продукт, предназначенный для использования, модернизации, распространения и изменения в соответствии с концепцией свободного программного обеспечения.

В рамках групповой работы задачи 1 и 2 были выполнены студентами совместно. Задача по разработке программного обеспечения была выполнена Ивановым И.И. Задача по созданию продукта была выполнена Сидоровым С.С[ИЗ11] .

Отчёт проверил старший преподаватель кафедры информационной безопасности ТюмГУ Козлов А.Е[ИЗ12] .

1 Краткая характеристика ООО «Новый софт»[ИЗ13]

1.1 Сфера деятельности компании[ЗИР14]

ООО «Новый софт» – это динамически развивающаяся компания г. Тюмени, созданная в 2010 году по модели предприятий, использующих в качестве модели ведения бизнеса модель start-up. Таким образом, компания ставит перед собой цель – стать драйвером ИТ сферы на региональном уровне.

Основными направлениями деятельности компании являются брокеридж жилой и коммерческой недвижимости, аренда, юридические и ипотечные услуги.[ЗИР15]

1.1.1 Задачи подразделения[ЗИР16]

Практика проходила в Отделе информационной безопасности ООО «Новый софт», в обязанности которого входят:

И далее описываем, что входит в задачи подразделения компании, в которой вы проходите практику. Можно прямо немаркированным списком.

1.2 Информационная инфраструктура предприятия[ИЗ17]

Тут необходимо общими словами описать инфраструктуру предприятия, на которой вы проходите практику/НИР или защищаете, или разрабатываете, или совершенствуете, чтобы было понятно в какой области ИТ и ИБ вы проходили практику / совершенствовали свои навыки, какой стек технологий использовали. Например, назначение и топологию (кратко) администрируемой сети, описание разрабатываемого или администрируемого сайта/приложения/средства защиты информации/устройства, используемые инструменты и приложения, в том числе языки программирования.

В случае прохождения практики/НИР на кафедре, то описать предметную область, в рамках которой вы работали с преподавателем на кафедре, если описанное выше не подходит (например, для работ, носящих аналитический, теоретический, математический, криптографический и т.д.).

1.3 Выводы по главе 1

В выводах по главам кратко описываем, что мы сделали в этой главе и каких результатов достигли или что нового узнали (строк 5-10, но можно и больше).

2 Протокол WebSocket, спецификация RFC 6455[ЗИР18]

WebSocket – это протокол полнодуплексной связи поверх TCP-соединения, предназначенный для обмена сообщениями между браузером и web-сервером в режиме реального времени [3], [4]. Необходимость в его разработке и внедрении объясняется принципиальной невозможностью установления соединения с клиентом по инициативе сервера в рамках протокола HTTP. Протокол WebSocket, описанный в спецификации RFC 6455, решает данную проблему посредством организации постоянного соединения для асинхронного обмена данными, допускающего длительное время существования.

2.1 Краткое описание протокола

WebSocket, являясь надстройкой над HTTP, определяет специальную процедуру для установления связи и соответствующего переключения протоколов [5]-[7]. Браузер клиента, инициирующий WebSocket соединение, формирует специальный HTTP GET запрос к ресурсу сервера по некоторому заранее обозначенному URI со схемой ws://. Этот запрос содержит особые HTTP заголовки, необходимые для процедуры переключения протокола соединения (HTTP→WebSocket). Сервером производится соответствующая стандарту обработка запроса, при этом акцепт перехода на WebSocket отмечается специальным кодом статуса HTTP соединения (101) и набором ответных заголовков. Эта процедура смены протокола обозначена в RFC 6455 как "рукопожатие" (англ. handshake) и схематично показана на рисунке 2.1 (обращаем внимание на различие в возможных используемых форматах нумерации рисунков и таблиц. см. ГОСТ или майндкарту). Дальнейший обмен данными по установленному TCP-соединению, следующий за получением клиентом корректного ответа, производится по протоколу обмена двоичными сообщениями, описанному в разделе 5 "Data Framing" RFC 6455 [1]. Немного маркированного списка:

- текст маркированного списка;

- еще текст списка;

- и последняя строка списка.

Рисунок 1 – Упрощенное представление установления соединения

2.2 Проблемы безопасности

Начальные редакции протокола WebSocket не учитывали важных аспектов информационной безопасности, связанных как непосредственно с протоколом, так и с общеизвестными на то время проблемами web.

В числе первых можно упомянуть сценарий атаки "отравление кэша": кэш некоторых web-прокси серверов мог быть отравлен из-за непонимания ими процедуры рукопожатия [8]. Отравление кэша давало возможность злоумышленнику подменять контент в кэше прокси-сервера произвольными файлами согласно схеме, демонстрируемой рисунком 2

Рисунок 2 – Атака «отравление кэша»

Среди ранних проблем протокола, связанных с уязвимостями "классического" web, можно упомянуть отсутствие механизмов совместного использования ресурсов между разными источниками (CORS). Еще немного маркированного списка, но уже с точками, а не с точкой с запятой:

- Текст маркированного списка, в котором много букафф и в конце стоит точка.

- Аналогично.

- И последняя строка списка.

2.3 Выводы по главе 2

Рассмотренные во второй главе протокол WebSocket и связанные с ним проблемы безопасности позволили определить общую стратегию, выбранную для разработки по принципу "безопасность по умолчанию". Очевидное преимущество такого подхода заключается в том, что задействованные механизмы безопасности являются неотъемлемой составляющей реализации сервера, что позволяет значительно сократить количество дополнительных средств защиты информации. К недостаткам такой стратегии можно отнести повышение порога вхождения, связанного с администрированием и настройкой продукта. Тем не менее, "безопасность из коробки" намного лучше, нежели отсутствие защитных механизмов. Обозначенная проблема сложности администрирования и настройки решаема путем предоставления подробной документации с примерами конфигурации.

3 Название очередного раздела 1 уровня

3.1 Название очередного раздела 2 уровня

Очень много текста всякого. Очень много текста всякого. Очень много текста всякого. Очень много текста всякого. Очень много текста всякого. Очень много текста всякого. [9]. И текст со ссылкой на таблицу 3.1.

Таблица 3.1 – Пример таблицы, размещенной на двух страницах

И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И еще продолжение всякого текста. И даже с нумерованным списком в конце:

1. Номер раз.

2. Номер два.

3. Номер три.

А теперь давайте посмотрим на таблицу 3.2, если она у нас не помещается на одной странице и её надо переносить.

Таблица 3.2 – Пример таблицы, размещенной на двух страницах

Продолжение таблицы 3.1

3.2 Выводы по главе 3

И снова выводы…

4 Название очередного раздела 1 уровня

Перед первым разделом второго уровня в главе тоже может быть какой-то текст. Например, обобщающего или иного общего характера. А может и не быть – на усмотрение автора.