Лабораторная работа №1
.pdf
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
IV. Контрольные вопросы.
1.Текстовый процессор
2.Описание пользовательского интерфейса текстового редактора MS Word 2007.
3.Строка названия
4.Кнопка «Office»
5.Как настроить список последних документов?
6.Лента
7.Как перейти в ленте от вкладки к вкладке?
8.Как добавить на ленту вкладку «Разработчик»?
9.Как свернуть и развернуть ленту?
10.Как настроить всплывающие подсказки кнопок команд на ленте?
11.Как настроить предварительный просмотр быстрый стиль?
12.Панель быстрого доступа
13.Текстовое поле
14.Как убрать или добавить отображение верхнего и нижнего поля?
15.Непечатаемые символы.
16.Понятие списка, виды списков в MS Word 2007
17.Межстрочные интервалы
18.Автозамена, назначение и функциональные возможности
19.Строка состояния
20.Способы отображения окна документа
21.Черновик
22.Способы выделения текста
23.Методы копирования
24.Формат шрифта
25.Буквица
V. Правила выполнения.
Отчет по выполненной лабораторной работе оформляется письменно в тетради и должен содержать:
41
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
1.Номер лабораторной работы.
2.Тему.
3.Цель.
4.Полные ответы на контрольные вопросы.
5.Файл-отчет с результатами выполненных практических заданий.
42
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
Приложение1
Титульный лист файлаотчетапо лабораторным работам
Волгоградский государственный университет Институт физико-технический институт Кафедра информационной безопасности
ОТЧЕТ
о результатах выполнения
лабораторного практикума по дисциплине «Информатика»
Выполнил:
студент 1 курса,
группы № группы
Иванов А.А.____________________
01.09.2011
Проверила:
ассистент кафедры ИБ Аткина В.С._____________________
01.09.2011
Волгоград 2011
43
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
Приложение 2
Тексты
ТЕКСТ №1
Защита банковских транзакций
В наши дни в связи со всеобщей информатизацией и компьютеризацией банковской деятельности значение информационной безопасности удаленных транзакций многократно возросло. В результате повсеместного распространения электронных платежей, пластиковых карт, компьютерных сетей объектом информационных атак стали непосредственно денежные средства как банков, так и их клиентов. Совершить попытку хищения может любой — необходимо лишь наличие компьютера, подключенного к сети Интернет.
Удаленная банковская транзакция – это совокупность операций, которые сопровождают удаленное взаимодействие покупателя и платежной системы. В качестве примеров удаленных транзакций можно привести оплату товаров через Интернет, использование банкоматов, расчеты в точках продаж. Обычно транзакция включает в себя запрос, выполнение задания и ответ. Однако в случает банковских транзакций эти три составляющие представляют собой денежные средства передаваемые по линиям связи. Поэтому вопрос защиты удаленных банковских транзакций является актуальным и существует большое количество механизмов и средств их защиты. В этом направлении прилагаются серьезные усилия, как в практическом, так и в теоретическом плане, используются самые последние достижения науки, привлекаются передовые технологии. Интернет коммерция
Интернет коммерция
Бурное развитие Интернет во всем мире открыло ряд направлений бизнеса: предоставление услуг Интернет, электронная почта, IP-телефония и т.д. На подходе сфера сетевых развлечений и виртуальной реальности, этому способствует впечатляющий прогресс в разработке мультимедиа стандартов и протоколов MPEG-4 и MPEG-7. Банки давно использовали специализированные сети для расчетов, в последнее время они стали осваивать возможности общедоступных сетей. Реклама через Интернет стала высокодоходной деятельностью даже в России. Особое положение в этом ряду занимает электронная коммерция через Интернет. Был разработан торговый протокол IOTP, который перекрывает почти неограниченный спектр услуг, начиная от торговых сделок и оплаты, вплоть до доставки и послепродажного обслуживания, разработан целый спектр платежных протоколов, что сняло последние технические проблемы на пути внедрения торговли через сети Интернет. Одной из проблем была слабая защищенность транспортировки данных по каналам Интернет. Нельзя сказать, что в этой сфере решены все проблемы, но, тем не менее, за последние годы достигнуты впечатляющие успехи. В основном это связано с разработкой эффективных алгоритмов и программ шифрования (симметричных и асимметричных), аутентификации, электронной подписи, сертификации и безопасных каналов.
Открытый торговый протокол Интернет IOTP (Internet Open Trading Protocol)
создает базу коммерции через Интернет. Протокол не зависит от используемой платежной системы и т.д.. IOTP способен обрабатывать ситуации, когда продавец выступает в качестве покупателя, обеспечивает оформление и отслеживание доставки товаров и прохождения платежей, или совмещает некоторые или все перечисленные функции.
44
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
Рост Интернет и прогресс в электронной коммерции привносят огромные изменения в сферу бизнеса, политики, управления и в само общество. Методы, которые используются партнерами в торговле, обогатились и необратимо изменились. Наиболее заметные изменения характера торговли включают в себя:
присутствие - операции, требующие личного контакта, становятся исключением, а не правилом. Этот процесс начался при внедрении торговли по почте и по телефону. Электронная коммерция через Интернет еще шире раздвигает область и объем операций, проводимых без личного контакта участников сделок;
аутентификация. Важной частью личного присутствия является возможность партнеров использование знакомых объектов и диалога для подтверждения того, кем они являются. Продавец демонстрирует различными способами свою способность производить кредитные и платежные операции. Покупатель предъявляет физические свидетельства своей платежеспособности, полученные от государства или финансовой организации. При этом учитывается разнообразная объективная информация: местоположение магазина, внешность, знакомство и поведение участников, знакомство с данной фирмой и ее торговым знаком;
инструменты платежа. Несмотря на широкое развитие безналичных платежей, заметная часть торговых операций обеспечивается наличными деньгами или даже бартером. Существующая инфраструктура платежной системы по экономическим соображениям не может поддерживать операции с низкими суммами платежей, но и не может от них отказаться;
стоимость операций. Новое значение низкой стоимости операции в Интернет связано с возможностью того, что продавец может предложить, например, объекты с ценой, составляющей долю денежной единицы, которой не существует в реальности;
доставка. Внедряются новые методы доставки, включая доставку по сети, например, информации или программных продуктов. Возможна доставка по частям при играх, просмотре, прослушивании и некоторых других виртуальных услугах, при этом она должна быть подтверждена до осуществления платежа. Деньги в этом случае не могут быть возвращены.
ТЕКСТ №2
Аудит персональных данных
Впоследнюю четверть века в России особенно остро стоит проблема защиты ключевых объектов информационно-телекоммуникационной инфраструктуры и персональных данных граждан Российской Федерации, что является одной из задач обеспечения национальной безопасности.
Внастоящее время в Российской Федерации существует целый ряд ведомств, ответственных за безопасность граждан, в том числе за информационную. Они действуют на основании нормативных документов и руководств, согласованных межведомственной комиссией.
Необходимость в формировании объективных сведений об уровне информационной безопасности объекта информатизации инициировала разработку системы моделей, методов, средств, позволяющих оценить уровень обеспечения
информационной |
безопасности |
(ИБ). Одним из таких средств |
является аудит |
информационной |
безопасности. |
На национальном рынке услуг, отвечая потребностям |
|
участников информационных виртуальных отношений в рамках федеральных программ «Электронная Россия» и «Электронное правительство», различными фирмами
45
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
предлагаются услуги по проведению аудита информационной безопасности объектов информатизации и программное обеспечение (software) поддержки этого процесса.
В соответствии с положениями Федеральных законов РФ «О порядке рассмотрения обращений граждан РФ» от 02 мая 2006 № 59-ФЗ, «О персональных данных» от 27 июля 2006 года № 152-ФЗ, «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ, «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» от 9 февраля 2009 года № 8-ФЗ с 1 января 2010 года качественно меняются требования к защите персональных данных, что делает актуальной разработку автоматизированных систем поддержки аудита информационной безопасности Операторов информационных систем персональных данных (ИСПДн),
Требования к организации аудита в области информационной безопасности
Проведение аудита в области ИБ является высокоинтеллектуальным видом деятельности, имеющим прямое отношение к национальной безопасности, в силу чего аудиторская деятельность в области ИБ является особым видом лицензируемых услуг.
Федеральные законы РФ «Об аудиторской деятельности» от 30.12.2008 № 307-ФЗ и «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ Федеральные правила (стандарты) аудиторской деятельности (утв. Постановлением Правительства РФ от 23.09.2002 № 696), определяют положения процедурного плана, профессиональной этики и принципов деятельности в области аудита. В данных документах содержатся положения и требования, которые регламентируют следующие области, относящиеся к аудиту:
1.основные принципы аудита;
2.этапы проведения аудита;
3.взаимоотношения аудиторов с представителями проверяемой организации;
4.формы представления результатов аудита.
Данные документы ориентированы на оценку финансовой отчетности и не содержат критериев для аудита ИБ, в то же время их положения процедурного характера могут быть взяты в качестве основы для формирования подходов по аудиту ИБ, но требуется разработка (принятие) критериев (требований), используемых в аудиторской деятельности по оценке соответствия в области ИБ. Руководящие указания по проведению внутренних и внешних аудитов систем менеджмента качества и/или экологического менеджмента, определяемые ГОСТ Р ИСО 19011, так же могут быть использованы при разработке процедурных положений по проведению аудита ИБ. В то же время определенная стандартом модель проведения аудита должна быть адаптирована для области аудита ИБ.
ТЕКСТ №3
Система защиты информации на предприятии
Одной из главных забот любого руководителя является стабильная и бесперебойная работа своего предприятия. Любое отклонение функционирования фирмы от нормального приводит к нанесению различных форм ущерба, например, финансовые и временные потери, потеря имиджа и т.п. В последние годы эти убытки зачастую
46
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
возникают из-за нарушения политики безопасности в том или ином виде имеющейся в организации.
Когда речь заходит об обеспечении безопасности любого предприятия первое, с чего начинается решение этого вопроса, - это физическая защита. Системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве. Однако когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками, и целесообразность их применения видна невооруженным взглядом, то применение различных систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо очень тщательно обосновывать.
По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения.
Физическая защита - относительно статическая область, состоящая из систем разграничения доступа, систем сигнализации и, возможно, оборудования для наблюдения, позволяющих идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где преступники должны быть определены только при помощи серии нулей и единиц.
Все это приводит к непониманию со стороны руководства в необходимости приобретения различных средств защиты. И это несмотря на то, что за последний год число компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллионами долларов. При этом злоумышленник может находиться за сотни километров от своей жертвы, а может находиться и в другой стране.
Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например, для связи с удаленными офисами из головной штаб квартиры организации или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.
Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия. Развитие глобальных сетей привело к многократному увеличению количества пользователей и увеличению количества атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или
47
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии, Internet предоставляет для злоумышленников значительно большие возможности по сравнению с традиционными информационными системами.
Через Internet нарушитель может:
вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;
незаконно скопировать важную и ценную для предприятия информацию;
получить пароли, адреса серверов, а подчас и их содержимое;
входить в информационную систему предприятия под именем
зарегистрированного пользователя и т.д.
Поэтому вопрос о проблеме защиты сетей и её компонентов становится достаточно важным и актуальным и это время, время прогресса и компьютерных технологий. Многие страны наконец-то поняли важность этой проблемы. Происходит увеличение затрат и усилий направленных на производство и улучшение различных средств защиты.
ТЕКСТ №4
Виды атак
Атака – это НСД на чужую компьютерную систему с целью копирования, искажения и уничтожения информации. Из всевозможных видов атак можно выделить следующие группы:
1.Классические атаки на парольную систему идентификации пользователя в системе.
2.Современные методы преодоления системы безопасности.
3.Использование уязвимости протоколов.
Классические атаки на парольную систему идентификации пользователя в системе.
Перебор паролей – использование ПЭВМ в качестве терминалов для доступа в сеть позволяет производить перебор паролей при помощи специальных программ. Такие программы часто имеют словари часто используемых паролей и, несмотря на простоту метода весьма эффективны. Правильно выбранный пароль должен состоять из букв, цифр, символов и знаков пунктуации, и не должен быть связан со словами, которые могут быть найдены в словаре. Эффективность атак повышается в системах, где имеются заранее известные регистрационные имена, например, ROOT или SUPERVISOR. Попытки ввода неправильного пароля обычно фиксируются в журналах регистрации, но если нарушителю удастся подобрать пароль, он сможет отредактировать журналы для удаления следов подбора пароля.
Шифрация и сравнение – в системе UNIX (Windows) файл с паролями часто доступен всем пользователям системы. Пароли в файле хранятся в зашифрованной форме. Программа подбора пароля шифрует предполагаемый пароль по тому же алгоритму и сравнивает с хранимым в файле шифрованным паролем, пока не будет соответствия. Метод особенно опасен тем, что попытки подбора не фиксируются в системных журналах.
48
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
Социальная инженерия – нарушитель связывается с легальным пользователем системы и представляется системным администратором, представителем провайдера сетевых услуг и т.п. и интересуется работой системы, сбоями программ, и под благовидным предлогом узнает пароль пользователя или предлагает пользователю изменить пароль на новый. Метод особенно опасен для больших организаций со множеством филиалов.
Современные методы преодоления системы безопасности.
Перехват данных в Ethernet – в сети передачи данных Ethernet любой компьютер может перехватывать пакеты данных, передаваемые по сети. Метод особенно опасен в сетях на базе ПЭВМ, т.к. для перехвата достаточно иметь работоспособный сетевой адаптер, подключенный к сети, и такой перехват невозможно обнаружить с других станций сети.
Регистрация нажатий клавиш – существует множество программ для перехвата клавиатурного ввода, как для хост-ЭВМ, так и для ПЭВМ. Такие программы применяются для отслеживания информации, передаваемой с хост-ЭВМ по FTP и Telnet, и могут использоваться нарушителями для получения доступа к системе.
Отслеживание X-Windows – во многих UNIX (во всех Windows)-системах используется интерфейс X-Windows, позволяющий пользователю легко переключаться между несколькими программами. В силу своей природы, сервер X-Windows уязвим для перехвата информации, блокирования, выполнения нежелательных команд.
Модифицированные утилиты – нарушитель может подменить системную утилиту, например, программу ввода пароля, на модифицированную, которая предоставляла бы ему неограниченный доступ к системе. Такие утилиты могут также скрывать наличие постороннего пользователя в системе.
Ктиповым атакам еще можно отнести:
атаки на аутентификацию сервера;
атаки на протокол finger (с внешней и внутренней стороны);
определение номера начального пакета соединения TCP;
незаконная переадресация;
атаки на DNS-доступ;
атаки на FTR-аутентификацию;
атаки на несанкционированную пересылку файлов;
атаки на удаленную перезагрузку;
подмена IP-адресов;
спуфинг МАС-адреса;
атаки на доступность (шторм запросов);
атаки на резервный порт сервера;
атаки с помощью серверов удаленного доступа;
атаки на анонимный FTR-доступ.
49
Лабораторный практикумпо«Информатике». Разработчик:АткинаВ.С.
ТЕКСТ №5
Безопасность в автоматизированных системах
Проблема обеспечения информационной безопасности (ИБ) современных автоматизированных систем (АС) компаний стоит в ряду первых и самых важных. Под информационной безопасностью в АС понимается состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Сложность АС, разветвленность составляющих их основу компьютерных сетей делают обеспечение ИБ трудновыполнимой задачей, для решения которой необходимо регулярно отслеживать и корректировать уровень ИБ.
Актуальность и важность проблемы обеспечения ИБ обусловлена следующими факторами:
современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий;
высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности;
резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных. Доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса»;
значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации.
многочисленные уязвимости в программных и сетевых платформах;
бурное развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире;
овременные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным
пользователям.
Одним из актуальных направлений в области обеспечения ИБ является разработка методик оценки ИБ на этапах проектирования, разработки и эксплуатации АС.
Важность этого направления заключается, прежде всего, в обосновании необходимости применения тех или иных средств обеспечения ИБ и способов их использования, а также в определении их достаточности или недостаточности для конкретной АС. ИБ, как любая характеристика, имеет единицы измерения. По своей сути оценка ИБ является комплексной. Комплексность проявляется в том, что она характеризует защищенность информации и поддерживающей инфраструктуры от всей совокупности угроз .
50