Криптографические методы защиты информации.
Под криптографической защитой информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий.
Методы криптографического преобразования информации:
Шифрование – проведение обратимых математических, логических, комбинаторных и других преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв, цифр, других символов и двоичных кодов.
Методы стеганографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации (в КС этот метод только начинает реализовываться). В основе всех методов стеганографии лежит маскирование закрытой информации среди открытых файлов.
Кодирование – замена смысловых конструкций исходной информации (слов, предложений) кодами. В качестве кодов могут использоваться сочетания букв, цифр, букв и цифр. При кодировании и обратном преобразовании используются специальные таблицы или словари.
Сжатие – представляет сокращение объема информации (с определенными оговорками может быть отнесено к криптографическим методам). Сжатая информация не может быть прочитана или использована без обратного преобразования (учитывая доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации).
Классификация угроз информационной безопасности, методы защиты
Угрозы можно классифицировать по нескольким критериям:
- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
- по расположению источника угроз (внутри/вне рассматриваемой ИС).
Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:
Препятствие - способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.
Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.
Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.
Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.
Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила.
Основные задачи, решаемые протоколами сетевого уровня модели OSI
Языки описания (ЯОД), манипулирования (ЯМД) и управления доступом к данным (ЯУД).
Язык описания данных на внешнем уровне используется для описания требований пользователей и прикладных программ и создания инфологической модели БД. Этот язык не имеет ничего общего с языками программирования.
Язык манипулирования данными (DML - Data Manipulation Language) используется дли обработки данных, их преобразований и написания программ. DML может быть базовым или автономным.
Язык управления данными DCL (Data Control Language) — это та часть языка SQL, которая позволяет работать с правами пользователей на объекты в базе данных. Присвоение прав Язык SQL позволяет присвоить группе пользователей определенные права на некоторый объект. Язык управления данными используется для управления правами доступа к данным и выполнением процедур в многопользовательской среде. Более точно его можно назвать "язык управления доступом". Он состоит из двух основных команд:
GRANT -дать права;
REVOKE -забрать права.
Содержание работ предпроектного обследования предметной области
На предпроектной стадии проводится изучение и анализ объекта проектирования. В частности, анализируется информационная база, все входные документы, их объем, периодичность, алгоритмы, выходные документы и все информационные связи задач. Эти данные обрабатываются, и строится информационная модель объектов в виде таблиц и графиков.
К методам изучения и анализа состояния экономического объекта и его системы управления относятся:
· Устный и письменный опрос;
· Письменное анкетирование;
· Наблюдение, измерение, оценка;
· Групповое обсуждение;
· Анализ задач;
· Анализ производственных, управленческих и информационных процессов.
В результате обследования вырабатываются рекомендации по изменению организационной структуры, рассматриваются новые должностные инструкции, целесообразность тех или иных документов, определяется состав баз данных, предложения по изменению технологии обработки, определяется конфигурация вычислительной сети, количество машин, состав экономических задач, очередность их компьютеризации, вырабатываются предложения по реализации экономических задач средствами пакетов прикладных программ.
Содержание работ проектной стадии.
На этапе проектирования выполняются работы по логической разработке и выбору наилучших вариантов проектных решений, в результате чего создается «Технический проект».
На этом этапе составляются технические и рабочие проекты для каждого уровня АРМ. В рабочем проекте отражаются общие положения, состав технических средств, архитектура, организационная структура в новых условиях, делается постановка задач, проектируется информационное обеспечение, информационный обмен с другими АРМами, рассчитывается экономическая эффективность, инструкции исполнителям.
Проектирование технологических процессов включает проектирование паролей, программ, сценариев диалога пользователя с ПВМ, включая проектирование иерархических организованных меню и "окон”. Меню содержит перечень блоков, модулей и программы. Каждый модуль выполняет определенную функцию. Разрабатывается структура меню и сцена диалога человека с машиной. Если привлекаются готовые пакеты прикладных программ, то в них обязательно должно быть руководство пользователю к эксплуатации и комплект машинных программ на дисках.
Содержание и особенности методологии Rational Unnified Process, используемые программные средства.
Rational Unified Process (RUP) — методология разработки программного обеспечения, созданная компанией Rational Software.
В основе RUP лежат следующие принципы:
· Ранняя идентификация и непрерывное (до окончания проекта) устранение основных рисков.
· Концентрация на выполнении требований заказчиков к исполняемой программе (анализ и построение модели прецедентов (вариантов использования)).
· Ожидание изменений в требованиях, проектных решениях и реализации в процессе разработки.
· Компонентная архитектура, реализуемая и тестируемая на ранних стадиях проекта.
· Постоянное обеспечение качества на всех этапах разработки проекта (продукта).
· Работа над проектом в сплочённой команде, ключевая роль в которой принадлежит архитекторам.
RUP использует итеративную модель разработки. В конце каждой итерации (в идеале продолжающейся от 2 до 6 недель) проектная команда должна достичь запланированных на данную итерацию целей, создать или доработать проектные артефакты и получить промежуточную, но функциональную версию конечного продукта. Итеративная разработка позволяет быстро реагировать на меняющиеся требования, обнаруживать и устранять риски на ранних стадиях проекта, а также эффективно контролировать качество создаваемого продукта. Первые идеи итеративной модели разработки были заложены в "спиральной модели"
Полный жизненный цикл разработки продукта состоит из четырёх фаз, каждая из которых включает в себя одну или несколько итераций:
1. Начальная стадия (Inception)
Уточнение (Elaboration)
Построение (Construction)
Внедрение (Transition)
RUP представлен в виде “on-line” документации, оформленной как web-страницы, что позволяет размещать его описание на сервере внутренней сети предприятия с целью приобщения всех сотрудников к объектно-ориентированной методологии.
Содержание функционально-ориентированного проектирования ИС
Основными идеями функционально-ориентированной CASE-технологии являются идеи структурного анализа и проектирования информационных систем. Они заключаются в следующем:
1) декомпозиция всей системы на некоторое множество иерархически подчиненных функций;
2) представление всей информации в виде графической нотации. Систему всегда легче понять, если она изображена графически.
В качестве инструментальных средств структурного анализа и проектирования выступают следующие диаграммы:
• BFD (Bussiness Function Diagram) - диаграмма бизнес-функций (функциональные спецификации);
• DFD (Data Flow Diagram) - диаграмма потоков данных;
• STD (State Transition Diagram) - диаграмма переходов состояний (матрицы перекрестных ссылок);
• ERD (Entity Relationship Diagram) - ER-модель данных предметной области (информационно-логические модели «сущность-связь»);
• SSD (System Structure Diagram) - диаграмма структуры программного приложения.
Методологии структурного анализа и проектирования стремятся преодолеть сложность больших систем путем их расчленения (декомпозиции) на части («черные ящики») и иерархической организации этих черных ящиков.
Эти методологии позволяют создавать практически единый интегрированный структурный проект ИС.
Основной принцип таких систем – получение возможного оптимального решения задачи по структурному изменению системы на основе тщательного анализа ее элементов. Сами модели ИС разрабатываются системными аналитиками посредством формализованного опроса экспертов предметной области – людей, владеющих информацией о механизме функционирования системы в целом или ее частей.
Методология структурного анализа и моделирования подразумевает сначала создание модели AS IS, ее анализ, выявление альтернатив, улучшение бизнес-процессов, дающее в результате модель TO BE.
Содержание объектно-ориентированного проектирования ИС.
Объектно- ориентированный подход использует объектную декомпозицию, при этом статическая структура системы описывается в терминах объектов и связей между ними, а поведение системы описывается в терминах обмена сообщениями между объектами. Каждый объект системы обладает своим собственным поведением, моделирующим поведение объекта реального мира. Понятие "объект" впервые было использовано около 30 лет назад в технических средствах при попытках отойти от традиционной архитектуры фон Неймана и преодолеть барьер между высоким уровнем программных абстракций и низким уровнем абстрагирования на уровне компьютеров. С объектно-ориентированной архитектурой также тесно связаны объектно-ориентированные операционные системы.
Концептуальной основой объектно-ориентированного подхода является объектная модель. Основными се элементами являются:
• абстрагирование (abstraction);
• инкапсуляция (encapsulation);
• модульность (modularity);
• иерархия (hierarchy).
Основные понятия объектно-ориентированного подхода - объект и класс.
Объект определяется как осязаемая реальность (tangible entity) — предмет или явление, имеющие четко определяемое поведение. Объект обладает состоянием, поведением и индивидуальностью
Класс — это множество объектов, связанных общностью структуры и поведения. Любой объект является экземпляром класса. Определение классов и объектов — одна из самых сложных задач объектно-ориентированного проектирования.
Следующую группу важных понятий объектного подхода составляют наследование и полиморфизм. Понятие полиморфизма может быть интерпретировано как способность класса принадлежать более чем одному типу.
Классификация КИС
КИС, как и обычные ИС, можно классифицировать по разным признакам (по классам, по виду, по группам, по назначению).
1. В самом общем случае КИС можно разделить на два класса: финансово-управленческие и производственные.
2. Следующая классификация КИС – по виду: заказные (уникальные) КИС и тиражируемые КИС.
3. Можно классифицировать КИС по группам: различают три (иногда четыре) группы КИС: простые («коробочные»), среднего класса, высшего класса.
4. Наиболее современной является классификация КИС по их назначению: ERP-системы, CRM-системы, MES-системы, VMS-системы, EAM-системы,HRM-системы и СЭД.
47. Основные уровни обеспечения информационной безопасности
Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней.
Процедурный уровень.
К нему относятся меры, реализуемые людьми. Опыт, накопленный в отечественных организациях, по реализации процедурных мер пришел из докомпьютерного прошлого и нуждается в существенном пересмотре.
Существуют следующие группы организационных (процедурных) мер:
· управление персоналом,
· поддержание работоспособности,
· планирование восстановительных работ,
· физическая защита,
· реагирование на нарушение безопасного режима.
Для каждой группы должны существовать правила, определяющие действия персонала. Они должны быть учреждены в каждой конкретной организации и отработаны на практике.
Административный уровень.
Политика безопасности, предпринимаемая руководством организации, является основой мер административного уровня. Это совокупность документированных решений руководства, которые направлены на защиту информации, а также ресурсов, ассоциированных с ней. Политика безопасности основывается на анализе реальных рисков, угрожающих информационной системе той или иной организации. После анализа разрабатывается стратегия защиты. Это программа, под которую выделяются деньги, назначаются ответственные, устанавливается порядок контроля ее выполнения и т.д.
Поскольку каждая организация имеет свою специфику, бессмысленно переносить практику государственных режимных предприятий на коммерческие структуры, персональные компьютерные системы или учебные заведения. Целесообразнее использовать основные принципы разработки политики безопасности или готовые шаблоны для основных разновидностей организаций.
Законодательный уровень.
Это важнейший уровень обеспечения информационной безопасности. В него входит комплекс мер, направленных на создание и поддержание в обществе негативного отношения к нарушителям и нарушениям в этой области. Необходимо создать механизм, который позволил бы согласовывать разработку законов с постоянным совершенствованием информационных технологий. Государство должно выполнять координирующую и направляющую роль в этом вопросе.Российские стандарты информационных технологий и информационной безопасности должны соответствовать международному уровню. Это облегчит взаимодействие с зарубежными компаниями и зарубежными филиалами отечественных компаний. Сейчас эта проблема решается путем разовых разрешений, зачастую в обход действующего законодательства.
Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.
Особенности системы CSRP
C S R P ( Customer Synchronized Resour с e Planning ) – это парадигма планирования, т.е. планирование ресурсов, синхронизированное с покупателем.
Базируется на новом подходе к планированию производства.
Система планирования производства этого десятилетия имеет два фокуса - на производственной эффективности и на создании покупательской ценности.
C S R P ( Customer Synchronized Resour с e Planning ) – это бизнес методология, которая интегрирует деятельность предприятия, ориентированную на покупателе, в центр системы управления бизнесом.
C S R P :
— использует проверенную, интегрированную функциональность ERP и перенаправляет производственное планирование от производства далее, к покупателю;
— предоставляет действенные методы и приложения для создания продуктов с повышенной ценностью для покупателя.
Для внедрения CSRP необходимо:
-оптимизировать производственную деятельность (операции), построив эффективную производственную инфраструктуру на основе методологии и инструментария ERP;
-интегрировать покупателя и сфокусированные на покупателе подразделения организации с основными планирующими и производственными подразделениями;
-внедрить открытые технологии, чтобы создать технологическую инфраструктуру, которая может поддерживать интеграцию покупателей, поставщиков и приложений управления производством.
Система CSRP начинается с эффективности элементов и, в первую очередь, с использования проверенной практики планирования ресурсов предприятия. Первый шаг в системе CSRP - достичь производственной эффективности путем внедрения технологии изготовления на заказ, принятой в ERP.
Классы
Функции межсетевых экранов
Межсетевой экран, защищающий сразу множество узлов внутренней сети, призван решить две основные задачи:
– ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети;
– разграничение доступа пользователей защищаемой сети к внешним ресурсам.
Фильтрация трафика. Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований. Фильтрация осуществляется на основе набора предварительно загруженных в МЭ правил, соответствующих принятой политике безопасности.
Выполнение функций посредничества. Функции посредничества МЭ выполняет с помощью специальных программ, называемых экранирующими агентами или программами-посредниками. Эти программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.
Идентификация и аутентификация пользователей. Кроме разрешения или запрещения допуска различных приложений в сеть, МЭ могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым МЭ.
Процесс разработки.
Он предусматривает действия и задачи, выполняемые разработчиком, и охватывает работы по созданию ПО и его компонентов в соответствии с заданными требованиями, включая оформление проектной и эксплуатационной документации, подготовку материалов, необходимых для проверки работоспособности и соответствующего качества программных продуктов, материалов, необходимых для организации обучения персонала, и т. д.
Процесс разработки включает следующие действия:
1. подготовительную работу;
2. анализ требований к системе;
3. проектирование архитектуры системы;
4. анализ требований к ПО;
5. проектирование архитектуры ПО;
6. детальное проектирование ПО;
7. кодирование и тестирование ПО;
8. интеграцию ПО;
9. квалификационное тестирование ПО;
10. интеграцию системы;
11. квалификационное тестирование системы;
12. установку ПО;
13. приемку ПО.
Процесс управления.
Он состоит из действий и задач, которые могут выполняться любой стороной, управляющей своими процессами. Данная сторона (менеджер) отвечает за управление выпуском продукта, управление проектом и управление задачами соответствующих процессов, таких, как приобретение, поставка, разработка, эксплуатация, сопровождение и др.
Процесс усовершенствования.
Он предусматривает оценку, измерение, контроль и усовершенствование процессов ЖЦ ПО.
Процесс обучения.
Он охватывает первоначальное обучение и последующее постоянное повышение квалификации персонала. Приобретение, поставка, разработка, эксплуатация и сопровождение ПО в значительной степени зависят от уровня знаний и квалификации персонала. Например, разработчики ПО должны пройти необходимое обучение методам и средствам программной инженерии. Содержание процесса обучения определяется требованиями к проекту. Оно должно учитывать необходимые ресурсы и технические средства обучения. Должны быть разработаны и представлены методические материалы, необходимые для обучения пользователей в соответствии с учебным планом.
По скорости передачи
По скорости передачи информации компьютерные сети делятся на низко-, средне- и высокоскоростные.
низкоскоростные (до 10 Мбит/с),
среднескоростные (до 100 Мбит/с),
высокоскоростные (свыше 100 Мбит/с);
По типу среды передачи
По типу среды передачи сети разделяются на:
проводные –коаксиальные, на витой паре, оптоволоконные
беспроводные - с передачей информации по радиоканалам, в инфракрасном диапазоне.
Сегментные регистры.
В программной модели микропроцессора имеется шесть сегментных регистров: CS, SS, DS, ES, GS, FS. Сегментные регистры предназначены для обеспечения доступа к оперативной памяти.
В реальном режиме работы микропроцессора в этих регистрах содержатся адреса памяти, с которых начинаются соответствующие сегменты.
Организация стека
ВЭВМ для организации стека выделяется область оперативной памяти, а для ее адресации и доступа к стеку используется регистр— указатель стека.
Регистр - указатель стека хранит адрес ячейки памяти, содержащей последнее помещённое в стек значение.
При записи числа в стек указатель стека модифицируется так, чтобы он указывал на следующую свободную ячейку, и в нее записываются данные.
При извлечении из стека данные считываются из той ячейки ОП, на которую показывает указатель, затем указатель стека модифицируется так, чтобы указывать на предпоследнее сохранённое в стеке значение.
Обычно стеки растут в сторону уменьшения адресов, т.е. при записи числа указатель стека уменьшается, при извлечении числа из стека — увеличивается.
Применение стека упрощает и ускоряет работу программы, так как идет обращение к нескольким данным по одному адресу.
При вызове подпрограммы (процедуры) процессор помещает в стек адрес команды, следующей за командой вызова подпрограммы «адрес возврата» из подпрограммы. По команде возврата из подпрограммы из стека извлекается адрес возврата в вызвавшую подпрограмму программу и осуществляется переход по этому адресу.
Аналогичные процессы происходят при аппаратном прерывании (процессор X86 при аппаратном прерывании сохраняет автоматически в стеке ещё и регистр флагов). Кроме того, компиляторы размещают локальные переменные процедур в стеке (если в процессоре предусмотрен доступ к произвольному месту стека).
Криптографические методы защиты информации.
Под криптографической защитой информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий.
Методы криптографического преобразования информации:
Шифрование – проведение обратимых математических, логических, комбинаторных и других преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв, цифр, других символов и двоичных кодов.
Методы стеганографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации (в КС этот метод только начинает реализовываться). В основе всех методов стеганографии лежит маскирование закрытой информации среди открытых файлов.
Кодирование – замена смысловых конструкций исходной информации (слов, предложений) кодами. В качестве кодов могут использоваться сочетания букв, цифр, букв и цифр. При кодировании и обратном преобразовании используются специальные таблицы или словари.
Сжатие – представляет сокращение объема информации (с определенными оговорками может быть отнесено к криптографическим методам). Сжатая информация не может быть прочитана или использована без обратного преобразования (учитывая доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации).
Дата: 2019-02-02, просмотров: 443.