- •Ответы к экзамену
- •1 Часть – по лекциям
- •1. Понятие сложной системы: элементы и подсистемы, управление и информация, самоорганизация.
- •2. Основные принципы системного подхода при создании сложных систем.
- •3. Понятие качества и эффективности.
- •4. Цели и задачи проектирования. Структуризация предметной области. Классификация объектов проектирования.
- •5. Жизненный цикл автоматизированной системы. Этапы проектирования системы. Организация работ, функции заказчиков и разработчиков.
- •6. Практические методы реализации моделей безопасности.
- •7. Ядра безопасности. Мониторинг взаимодействий в системе.
- •8. Архитектура защищенных систем. Принципы построения защищенных информационных систем.
- •9. Технологический цикл реализации защищенной системы обработки и хранения информации.
- •10. Реализация систем контроля доступа.
- •11. Защита программного обеспечения.
- •2 Часть – по ок
- •12. Профиль защиты изделия ит.
- •13. Задание по безопасности для изделия ит.
- •14. Структура и содержания типичного профиля защиты.
- •15. Структуры и содержания типичного задания по безопасности.
- •24. Класс функциональных требований: доступ к объекту оценки. (стр. 167)
11. Защита программного обеспечения.
Под защитой ПО понимается противодействие атакам.
Атаки на ПО
- злонамеренного клиента;
- злонамеренного хоста.
Атаки злонамеренного клиента
ПО выполняется на гарантированно доверенном хосте и подвергается атакам множества клиентов, пытающихся воздействовать на него извне через предоставляемый им интерфейс;
Атаки злонамеренного хоста
Окружение, в котором будет выполняться ПО, на этапе его разработки неизвестно, а значит, последнее потенциально может подвергаться любому воздействию со стороны хоста.
Виды атак на клиентское ПО
- несанкционированное использование либо распространение ПО;
- кража интеллектуальной собственности;
- незаконная модификация кода программы.
Методы противодействия атакам
запутывание кода (обфускация);
вынесение критического программного кода в отдельный защищенный модуль;
использование лицензионной метки;
проверка целостности программного кода;
создание защищенной среды выполнения.
Вынесение критического программного кода
Эта группа методов основывается на переносе критических участков программного кода (например, конфиденциальных данных или данных, представляющих собой интеллектуальную собственность) на отдельный носитель, имеющий существенно большую степень защиты, чем исходная программа.
Виды модулей
Защитные заглушки;
Смарт-карты;
Доверенный сервер.
Защита от модификации кода программы
- исследовать исполняемый код программы и проверить, совпадает ли он с оригинальным. Для этого можно использовать некоторую одностороннюю хэш-функцию.
- исследовать правильность промежуточных результатов, получаемых в программе.
2 Часть – по ок
12. Профиль защиты изделия ит.
Профиль защиты — независимая от реализации совокупность требований безопасности для некоторой категории ОО, отвечающая специфическим запросам потребителя.
ПЗ содержит совокупность требований безопасности и обоснование требований и целей безопасности.
ПЗ позволяет выразить независимые от конкретной реализации требования безопасности для некоторой совокупности ОО, полностью согласованные с набором целей безопасности.
ПЗ предназначен для многократного использования и определения функциональных требований и требований доверия к ОО, которые полезны и эффективны для достижения установленных в ПЗ целей безопасности.
ПЗ предоставляет потребителям средство ссылки на определенную совокупность потребностей в безопасности и облегчает будущую оценку в соответствии с этими потребностями.
Оценка ПЗ
Оценку ПЗ проводят по критериям оценки ПЗ, содержащимся в ИСО/МЭК 15408-3. Целью такой оценки является продемонстрировать, что профиль защиты является полным, непротиворечивым, технически правильным и пригодным для использования при изложении требований к ОО.
Условия для требований, включаемых в ПЗ и ЗБ:
a) любые расширенные функциональные требования или требования доверия, должны быть четко и недвусмысленно сформулированы и выражены так, чтобы была возможна оценка и демонстрация соответствия ОО этим требованиям.;
b) результаты оценки, полученные с использованием расширенных функциональных требований и требований доверия, должны содержать соответствующие пояснения;
c) включение, при необходимости, в состав ПЗ или ЗБ расширенных функциональных требований или требований доверия должно соответствовать требованиям классов APE или ASE из ИСО/МЭК 15408-3.