- •1. Понятие системы. Свойства сложных систем. Примеры систем.
- •2. Системный анализ. Определение и этапы.
- •3. Понятие информационное пространство и информационное общество.
- •4. Информатизация. Субъекты информатизации.
- •5. Правовое регулирование создания и использования асоиу
- •6. Понятие об асоиу и автоматизированного комплекса.
- •7. "Принципы создания асоиу".
- •8. "Классификация асоиу".
- •9. Критерии эффективности асоиу.
- •10. Обеспечивающие подсистемы асоиу
- •11. Программное обеспечение асоиу
- •12 "Состав информационного обеспечения и требования к нему".
- •13. Организационное обеспечение асоиу
- •14. Техническое обеспечение асоиу
- •15. Маркетинг асоиу
- •16. " Стадии и этапы создания асоиу.
- •17"Организация работ по разработке асоиу.
- •18. Содержание технического задания на асоиу
- •19 " Проектирование технического обеспечения асоиу ".
- •20 " Проектирование программного обеспечения асоиу ".
- •21 "Особенности человека – оператора как элемента асоиу"
- •22 Оценка технического и экономического эффекта асоиу
- •23 Дерево целей создания асоиу.
- •24 Комплекс стандартов создания асоиу.
- •25 Логические элементы и синтез комбинационных логических схем.
- •27 Принцип микропрограммного управления процессора.
- •28 Основная память эвм. Методы доступа. Способы организации памяти.
- •29 Интерфейс программного обмена данными. Структура системной шины
- •30. Количественная мера информации. Энтропия дискретных и непрерывных сообщений.
- •31. Методы эффективного помехоустойчивого кодирования. Общий принцип использования избыточности
- •32 “ Общие принципы организации и математические модели систем управления техническими системами ”
- •33 “Понятие модели. Виды моделей”
- •34 Основные свойства надежности асоиу
- •35 Основные показатели безотказности, ремонтопригодности и долговечности асоиу.
- •36 Расчет надежности асоиу методом марковских процессов.
- •37 Расчет надежности асоиу λ –методом.
- •38 Имитационное моделирование. Методы построения программных датчиков стандартной (базовой) случайной величины.
- •39 Системы массового обслуживания и их моделирование.
- •40 Системы имитационного моделирования. Язык gpss.
- •41 Оценка точности и достоверности результатов статистического моделирования.
- •42 Определение базы данных.
- •43 Принцип независимости данных и приложений.
- •44 Элементы данных и связи.
- •45 Классификация моделей данных. Реляционная модель хранения данных.
- •46 Первая, вторая и третья нормальные формы.
- •47 Покрытие множества функциональных зависимостей.
- •48 Декомпозиция предметной области.
- •49 Этапы построения схемы базы данных.
- •51 Классификация методов доступа в субд.
- •52 Языки программирования высокого уровня. Сравнительная характеристика
- •53 Статические и динамические структуры данных программы, их особенности.
- •54 Управление программным потоком, операторы.
- •55 Структурное программирование. Нисходящая и восходящая концепции. Модульное программирование
- •56 Объектно-ориентированное программирование. Абстрагирование. Инкапсуляция, наследование, полиморфизм.
- •58 Основные принципы тестирования и верификации программного обеспечения
- •59 Принятие решений в условиях неопределенности. Математическая запись задачи
- •60 Процесс передачи данных. Спектральное представление сигналов
- •61. "Способы повышения надежности передачи данных".
- •62. "Основные компоненты информационных сетей".
- •63. "Эталонная модель взаимодействия открыты систем".
- •64 Технология локальных сетей, или проблема доступа к моноканалу.
- •65. "Основные конфигурации локальных и территориальных компьютерных сетей".
- •66.Протоколы маршрутизации и управления трафиком. Протокол ip и система адресации.
- •67 Мировая информационная среда
- •68 Поисковые системы InterNet
- •69. Многопользовательские и многозадачные операционные системы
- •70. Управление процессами. Состояния и переходы процессов. Синхронизация и взаимоблокировка.
- •71. Управления основной памятью. Страничная и сегментная организации виртуальной памяти.
- •72. Управление вторичной памятью. Файловые системы
- •73 Управление вводом-выводом в современных операционных системах.
- •74 Мультипроцессорные вычислительные системы.
- •75.Операционные системы реального времени
- •76 Методы представления знаний. Рассуждения и задачи.
- •77 Экспертные системы: классификация и структура.
- •78 Компьютерные системы поддержки принятия решений. Технологии olap, DataMining
- •79 Задачи компьютерной графики. Графические библиотеки и их возможности
- •80. Классификация перечня классов угроз для защищаемой информации в системе
- •81 Стандарт шифрования данных гост 28147-89
- •82 Понятие политики безопасности: общие положения, аксиомы защищённых систем, понятия доступа и монитора безопасности.
- •83. Case-средства проектирования программного обеспечения.
- •84. Системы жесткого и мягкого реального времени. Особенности их архитектуры.
82 Понятие политики безопасности: общие положения, аксиомы защищённых систем, понятия доступа и монитора безопасности.
Политика безопасности – это ряд мер по предупреждению и предотвращению несанкционированного доступа к данным и оборудованию. Таким образом, политика безопасности- набор механизмов, посредством которых цели информационной безопасности могут быть определены и достигнуты. Для начала, рассмотрим цели информационной безопасности: Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого. Целостность - поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом. Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии. Эти цели характерны для любой системы безопасности. Если говорить про аксиомы защищенных систем, то прежде всего необходимо выделить ряд правил: Четкая и тщательная проверка входной информации на предмет ее корректности и достоверности. Большинство атак на системы производиться при помощи подмены, или намеренной модификации входной информации, с целью получения несанкционированного доступа. Если в системе используются пароли, которые как известно должны где-то хранится, то сохраняют не сами пароли, а их хеш. Если системе необходимо передать конфиденциальные или секретные данные по открытому каналу связи то эти данные должны обязательно шифроваться. Если необходима уверенность в правильности данных, и невозможности подмены, то блоки данных должны подписываться цифровой подписью. Все критичные действия пользователя должны логироваться. Стоит упомянуть, об очень эффективном механизме разграничения пользователей по уровням доступа к информации. Т.е первой группе пользователей можно модифицировать, и делать все что угодно с некоторыми данными, второй группе пользователей можно только просматривать данную информацию, и наконец третьей группе пользователей запрещен любой доступ к этой информации. Права доступа назначаются в зависимости от профессионального или социального состояния пользователя, и его отношения к данной информации. Введем и определим основные понятия информационной безопасности компьютерных систем. Под безопасностью АСОИ понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов. Природа воздействия на АСОИ может быть самой разнообразной. Это и стихийные бедствия (землетрясение, ураган, пожар) и выход из строя составных элементов АСОИ, и ошибки персонала, и попытка проникновения злоумышленника. Безопасность АСОИ достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы. Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации. Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации – это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа. Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений. Конфиденциальность данных – это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной. Субъект – это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы. Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации. Целостность информации обеспечивается в том случае, если данные в системы не отличаются в семантическом отношении о данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения. Целостность компонента или ресурса системы – это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий. Доступность компонента или ресурса системы – это свойство компонента или ресурса быть доступным для авторизированных законных субъектов системы. Под угрозой безопасности АСОИ понимаются возможные воздействия н АСОИ, которые прямо ил косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в АСОИ. С понятием угрозы безопасности тесно связано понятие уязвимости АСОИ. Уязвимость АСОИ – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы. Атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности. Противодействие угрозам безопасности является целью защиты систем обработки информации. Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. Комплекс средств защиты представляет собой совокупность программных и технических средства, создаваемых и поддерживаемых для обеспечения информационной безопасности АСОИ. Комплекс создается и поддерживается в соответствии с принятой данной организацией политикой безопасности. Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АСОИ от заданного множества угроз безопасности. Существует два подхода к проблеме обеспечения безопасности АСОИ: фрагментарный и комплексный. Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п. Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов АСОИ только о конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потери эффективности защиты. Комплексный подход ориентирован на создание защищенной среды обработки информации в АСОИ, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности АСОИ, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей АСОИ, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления. Комплексный подход применяют для защиты АСОИ крупных организаций или небольших АСОИ, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в АСОИ крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах. Комплексный подход к проблеме безопасности основан на разработанной для конкретной АСОИ политике безопасности. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в АСОИ. Политика безопасности регламентирует эффективную работу средств защиты АСОИ. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств. Политики безопасности определяется способом управления доступом, определяющим порядок доступа к объектам системы. Различают два основных вида политики безопасности: избирательная и полномочная. Избирательная политика безопасности основана на избирательном способе управления доступом. Избирательное (или дискреционное) управление доступом характеризуется заданным администратором множеством разрешенных отношений доступа (например, в виде троек <объект, субъект, тип доступа>). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа. Матрица доступа представляет собой матрицу, в которой столбец соответствует объекту системы, а строка – субъекту. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т.п. матрица доступа является самым простым подходом к моделированию систем управления доступом. Однако она является основой для более сложных моделей более адекватно описывающих реальные АСОИ. Избирательная политика безопасности широко применяется АСОИ коммерческого сектора, так как ее реализация соответствует требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость. Полномочная политики безопасности основана на полномочном (мандатном) способе управления доступом. Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня доступа пользователя. Полномочное управление доступом подразумевает, что: все субъекты и объекты системы однозначно идентифицированы; каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в нем информации; каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ. Чем важнее объект, тем выше его метка конфиденциальности. Поэтому более защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности. Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект. Для получения информации о каком-либо объекте системы совсем не обязательно искать пути несанкционированного доступа к нему. Необходимую информацию можно получить, наблюдая за обработкой требуемого объекта, т.е. используя каналы утечки информации. В системы всегда существуют информационные потоки. Поэтому администратору необходимо определит, какие информационные потоки в системе являются «легальные», т.е. не ведут к утечке информации, а какие – ведут к утечке. Поэтому возникает необходимость разработки правил, регламентирующих управление информационными потоками в системе. Обычно управление информационными потоками применяется в рамках избирательной или полномочной политики, дополняя их и способствуя повышению надежности системы защиты. Избирательное или полномочное управление доступом, а также управление информационными потоками являются тем фундаментом, на котором строится вся система защиты. Под системой защиты АСОИ принимают единую совокупность правовых и морально-этических норм, административно-организационных мер, физических и программно-технических средств, направленных на противодействие угрозам АСОИ с целью сведения к минимуму возможности ущерба. При проектировании эффективной системы защиты следует учитывать ряд принципов, отображающих основные положения по безопасности информации. К числу этих принципов относятся следующие: экономическая эффективность. Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба. минимум привилегий. Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы. Простота. Защиты тем более эффективна. Чем легче пользователю с ней работать. Отключаемость защиты. При нормальном функционировании защита не должна отключаться. Только в особых случаях сотрудник со специальными полномочиями может отключить систему защиты. Открытость проектирования и функционирования механизма защиты. Специалисты, имеющие отношение к системе защиты, должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно реагировать на них. Всеобщий контроль. Любые исключения из множества контролируемых субъектов и объектов защиты снижают защищенность автоматизированного комплекса обработки информации. Независимость системы защиты от субъектов защиты. Лица, занимающиеся разработкой системы защиты, не должны быть в числе тех, кого эта системы будет контролировать. Отчетность и подконтрольность. Системы защиты должна предоставлять доказательства корректности своей работы. Ответственность. Подразумевается личная ответственность лиц, занимающихся обеспечением безопасности информации. Изоляция и разделение. Объекты защиты целесообразно разделять на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других групп. Полнота и согласованность. Надежная система защиты должна быть полностью специфична, протестирована и согласована. Параметризация. Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора. Принцип враждебного окружения. Системы защиты должна проектироваться в расчете на враждебное окружение. Разработчики должны исходить из предположения, что пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты. Привлечение человека. Наиболее важные и критические решения должны приниматься человеком. Отсутствие лишней информации о существовании механизмов защиты. Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых должна контролироваться. Мониторинг безопасности – регистрация и анализ событий, происходящих в АСОИУ.