Файловый архив студентов. Файловый архив студентов.
1300 вузов, 5069 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Кременчугский национальный университет им. М. Остроградского
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Lektsiyi.docx
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
38.59 Кб
Скачать
►Содержание►

Лекція 1 12.02.2013

Тема: Проблеми захисту інформації в комп'ютерних системах.

Основні властивості інформації як предмету захисту.

Інформація передається у часі і просторі за допомогою матеріальних носіїв (за допомогою знаків та сигналів), які і є предметом захисту, оскільки сама інформація матеріальною не є і захищеною бути не може. Цінність інформації визначається її корисністю для користувача. Інформація може бути корисною (збільшує прибуток, зменшує ризик тощо), нейтральною (не впливає на стан справ користувача) та шкідливою (в результаті використання інформації користувачеві завдається матеріальна чи моральна шкода). Якщо така інформація створюється навмисно, то це називається дезінформацією.

Корисність інформації можна оцінити лише для конкретного користувача і лише в конкретній ситуації, тому при державному захисті інформації:

  1. Визначається коло осіб, зацікавлених в даній інформації

  2. Встановлюється ступінь цінності інформації, після чого їй надається відповідний ранг секретності.

В Україні встановлені наступні ранги секретності.

Ранг (гриф) секретності

Термін дії грифу

Знак інтелектуальної власності

Не визначений

Не для друку

Не визначений

Для службового користування; конфіденційно

Не визначений

Секретна

5 років

Цілком секретно

10 років

Особливої важливості

30 років

Гриф «не для друку» присвоюється документам, які містять інформацію, вартість якої еквівалентна одному дню роботи кваліфікованого співробітника.

Далі від грифу до грифу вартість інформації збільшується на порядок.

Інформацію можна розглядати як товар. Її ціна складається з її ж собівартості (наприклад, витрати на дослідження) та прибутку (нові властивості, технології, ефективність прийняття рішення тощо).

Слід розрізняти ціну і цінність інформації.

Розповсюдження і використання інформації змінюють її цінність і ціну. Залежність цінності і ціни інформації і часу може бути різноманітною (спадаючою для повсякденної інформації, хвилеподібна для наукової тощо).

При копіюванні, якщо інформаційні параметри носія не змінюються, то цінність інформації також не змінюється, а ціна знижується (збільшується кількість власників). Якщо ж при копіюванні змінюються і параметри носія, то зменшується і цінність.

Проблеми захисту інформації.

  1. Забезпечення цілісності інформації (захист від спотворення та знищення при збереженні та передачі).

  2. Захист користувачів та їхніх ключів від компрометації.

  3. Виключення відмов від прийнятих зобов’язань.

  4. Захист від несанкціонованого доступу (НСД).

Ключовою є проблема захисту від НСД, оскільки саме через несанкціонований доступ реалізуються всі спроби знищення, спотворення та зловмисного використання інформації.

Лекція 2 19.02.2013

Тема:

Напрями загроз НСД.

  1. Радіотехнічний. Електромагнітне випромінювання засобів обчислювальної техніки може бути прийняте і підсилене, крім того, в обчислювальну техніку її розробниками можуть бути навмисно вмонтовані так звані апаратні закладки, здатні передавати інформацію назовні під дією зовнішніх керувальних приладів.

  2. Організаційні. Створення груп людей для підслуховування, підглядування, викрадення носіїв інформації тощо.

  3. Комунікаційний. Під’єднання до системи жучків, несанкціонованих терміналів тощо.

  4. Програмний (віруси, троянські коні, черви та інше шкідливе програмне забезпечення).

Основні напрями та засоби захисту.

  1. Нормативно-правовий (закони, стандарти, сертифікація засобів захисту тощо). В Україні в галузі захисту інформації прийнято кілька законів, зокрема «Закон про інформацію» 1992 рік і «Закон про захист інформації в автоматизованих системах».

Організована служба контролю за виконання цих законів у вигляді департаменту спеціальних телекомунікаційних систем та захисту інформації СБУ.

  1. Системно-технічний – множина апаратних засобів для вирішення задач захисту інформації.

  2. Програмний напрям – множина програмних засобів для вирішення задач захисту інформації.

Узгоджена сукупність всіх вказаних методів та засобів називається системою захисту інформації. Принципи проектування систем захисту інформації.

Розробка системи захисту повинна проводитися паралельно із системою, що захищається, при цьому рекомендується дотримуватися наступних принципів:

  1. Не секретність проектування. Якщо опис системи захисту не можна опублікувати у відкритій пресі, то на таку систему не можна і покластися. Секретними в системі мають бути лише кілька ключових параметрів. Ознайомлення кваліфікованих спеціалістів із системою захисту на етапі проектування сприяє виявленню і усуненню її недоліків.

  2. При порушенні користувачем правил роботи із системою до нього неминуче мають бути застосовані штрафні санкції.

  3. Повне посередництво – система повинна перевіряти повноваження кожного суб’єкта при кожному зверненні до кожного об’єкта. При наступних зверненнях не повинно бути можливості використати результати попередніх.

  4. Зручність користувача. Взаємодія користувача з системою повинна бути простою, природньою і легкою, інакше користувач не буде використовувати систему, або буде намагатись її обдурити.

  5. Мінімальні повноваження. Кожному користувачу, програмі чи терміналу потрібно надавати лише ті повноваження, які йому дійсно необхідні для вирішення його задач.

  6. Наявність кількох ключів для відкриття системи захисту, які фізично рознесені і за які відповідають різні особи, збільшує надійність системи захисту.

  7. Мінімум спільного механізму – необхідно зводити до мінімуму число спільної для кількох користувачів параметрів системи захисту.

  8. Економічність – система має бути простою і дешевою в експлуатації.

Тема: Ідентифікація, аутентифікація та авторизація користувача.

Основні поняття та визначення.

  1. Ідентифікація – присвоєння суб’єкту чи об’єкту унікального імені (ідентифікатора), яке дозволяє відрізнити його від інших і під яким він зареєстрований в системі. Ідентифікація – одна із функцій системи захисту, виконується першою.

  2. Аутентифікація – встановлення справжньості – перевірка того, чи дійсно суб’єкт чи об’єкт, який надав ідентифікатор, є тим, за кого себе видає. Будь-який засів чи метод аутентифікації базується на використанні одного з трьох факторів: суб’єкт, який пред’явив ідентифікатор, повинен:

  • Щось мати (фізичний або електронний ключ)

  • Щось знати (володіти унікальною інформацією: пароль, алгоритм тощо)

  • Кимось бути (відбитки пальців, спектр голосу, рисунок радужної оболонки ока, форма долоні, манера роботи з мишею тощо)

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности