- •Опорний конспект лекцій
- •Тематичний план курсу модуль I
- •Лекція № 1
- •Тема I: Предмет, методи і завдання дисципліни.
- •1. Предмет і задачі інформатики
- •2. Уявлення про інформаційне суспільство
- •Лекція № 2
- •Тема I: Предмет, методи і завдання дисципліни.
- •1. Історія розвитку обчислювальної техніки
- •1.1. Еволюція засобів обчислювальної техніки
- •1.2. Покоління сучасних комп’ютерів
- •1.2.2. Друге покоління комп’ютерів (1958–1960 роки)
- •2. Загальні відомості про персональний комп’ютер
- •2.1. Склад
- •2.2. Загальні відомості про пристрої, що входять до складу персонального комп’ютера
- •Лекція № 3
- •Тема 2: Теоретичні основи економічної інформатики.
- •Поняття економічної інформації, її особливості.
- •2. Класифікація й кодування економічної інформації
- •2.1. Система класифікації
- •2.2. Система кодування
- •3. Класифікація економічної інформації за різними ознаками
- •Лекція № 4
- •Тема 2: Теоретичні основи економічної інформатики.
- •1. Загальні відомості про системи числення
- •2. Системи кодування інформації в еом.
- •Кодування текстових даних
- •Базова таблиця кодування ascii
- •Кодування Windows 1251
- •Кодування кои-8
- •Кодування iso
- •Універсальна система кодування текстових даних
- •Кодова таблиця 0400 стандарту Unicode
- •Кодування графічних даних
- •Кодування звукової інформації
- •Одиниці виміру даних
- •3. Форми подання чисел в еом.
- •Лекція № 5
- •Тема 2: Теоретичні основи економічної інформатики.
- •1. Поняття інформаційної технології
- •Співставлення основних компонентів технологій
- •2. Класифікація інформаційних технологій
- •Інфор- матика
- •Основні характеристики нової інформаційної технології
- •3. Складові частини інформаційних технологій
- •Лекція № 6
- •Тема III: Системне забезпечення інформаційних процесів.
- •Поняття та призначення програмного забезпечення, класифікація
- •Загальні основи операційних систем
- •Призначення і функції ос
- •Класифікація ос
- •3. Мережні операційні системи
- •Мережні й розподілені ос
- •Функціональні компоненти мережної ос
- •Мережні служби й мережні сервіси
- •Вбудовані мережні служби й мережні оболонки
- •Однорангові й серверні мережні операційні системи
- •Вимоги до ос
- •Лекція № 7
- •Тема III: Системне забезпечення інформаційних процесів.
- •1. Логічна організація файлової системи
- •Мета і завдання файлової системи
- •Типи файлів
- •Ієрархічна структура файлової системи
- •Імена файлів
- •Монтування
- •Атрибути файлів
- •Логічна організація файлу
- •Фізична організація файлової системи
- •Диски, розділи, сектори, кластери
- •Фізична організація й адресація файлу
- •Фізична організація fat
- •Фізична організація s5 і ufs
- •Фізична організація ntfs
- •Захист від збоїв і несанкціонованого доступу
- •Основні поняття безпеки
- •Базові технології безпеки ос
- •Основні засоби захисту, убудовані в ос
- •Ядро безпеки ос
- •Механізм ідентифікації й аутентифікації в ос Windows nt
- •Механізми захисту в ос unix
Захист від збоїв і несанкціонованого доступу
Основні поняття безпеки
Безпечна інформаційна система – це система, яка, по-перше, захищає дані від несанкціонованого доступу, по-друге, завжди готова надати їх своїм користувачам, а по-третє, надійно зберігає інформацію і гарантує незмінність даних. Таким чином, безпечна система за визначенням має властивості конфіденційності, доступності і цілісності.
Конфіденційність – гарантія того, що секретні дані будуть доступні тільки тим користувачам, яким цей доступ дозволений (такі користувачі називаються авторизованими).
Доступність – гарантія того, що авторизовані користувачі завжди одержать доступ до даних.
Цілісність – гарантія схоронності даними вірних значень, що забезпечується забороною для неавторизованих користувачів яким-небудь образом змінювати, модифікувати, руйнувати або створювати дані.
Поняття конфіденційності, доступності й цілісності можуть бути визначені не тільки стосовно інформації, але й до інших ресурсів обчислювальної мережі, наприклад, зовнішнім пристроям або додаткам. Існує безліч системних ресурсів, можливість “незаконного” використання яких може привести до порушення безпеки системи. Наприклад, необмежений доступ до пристрою друкування дозволяє зловмисникові одержувати копії документів, що роздруковуються, змінювати параметри настроювання, що може привести до зміни черговості робіт і навіть до виводу пристрою з ладу. Властивість конфіденційності, застосована до пристрою друкування, можна інтерпретувати так, що доступ до пристрою мають ті й тільки ті користувачі, яким цей доступ дозволений, причому вони можуть виконувати тільки ті операції із пристроєм, які для них визначені. Властивість доступності пристрою означає його готовність до використання щораз, коли в цьому виникає необхідність. А властивість цілісності може бути визначена як властивість незмінності параметрів настроювання даного пристрою.
Будь-яка дія, що спрямована на порушення конфіденційності, цілісності й/або доступності інформації, а також на нелегальне використання інших ресурсів мережі, називається загрозою. Реалізована загроза називається атакою. Ризик – це імовірнісна оцінка величини можливого збитку, що може понести власник інформаційного ресурсу в результаті успішно проведеної атаки. Значення ризику тим вище, чим більш уразливою є існуюча система безпеки і чим вище ймовірність реалізації атаки.
Загрози можуть бути розділені на навмисні й ненавмисні.
Ненавмисні загрози викликаються помилковими діями лояльних співробітників, стають наслідком їхньої низької кваліфікації або безвідповідальності. Крім того, до такого роду загроз відносяться наслідки ненадійної роботи програмних і апаратних засобів системи. Так, наприклад, через відмову диску, контролера диску або всього файлового серверу можуть виявитися недоступними дані, критично важливі для роботи підприємства. Тому питання безпеки так тісно переплітаються з питаннями надійності, відмовостійкості технічних засобів. Загрози безпеки, які випливають із ненадійності роботи програмно-апаратних засобів, запобігають шляхом їхнього вдосконалювання, використання резервування на рівні апаратури (RAID-масиви, багатопроцесорні комп’ютери, джерела безперебійного живлення, кластерні архітектури) або на рівні масивів даних (тиражування файлів, резервне копіювання).
Навмисні загрози можуть обмежуватися або пасивним читанням даних чи моніторингом системи, або містити в собі активні дії, наприклад, порушення цілісності й доступності інформації, приведення в неробочий стан додатків і пристроїв. Так, навмисні загрози виникають у результаті діяльності хакерів і явно спрямовані на завдання збитків.
В обчислювальних мережах можна виділити наступні типи навмисних загроз:
незаконне проникнення в один з комп’ютерів мережі під видом легального користувача;
руйнування системи за допомогою програм-вірусів;
нелегальні дії легального користувача;
“підслуховування” внутрімережевого трафіку.
Незаконне проникнення може бути реалізоване через уразливі місця в системі безпеки з використанням недокументованих можливостей операційної системи. Ці можливості можуть дозволити зловмисникові “обійти” стандартну процедуру, що контролює вхід у мережу.
Іншим способом незаконного проникнення в мережу є використання “чужих” паролів, отриманих шляхом підглядання, розшифровки файлу паролів, підбору паролів або одержання пароля шляхом аналізу мережного трафіку. Особливо небезпечне проникнення зловмисника під ім’ям користувача, наділеного великими повноваженнями, наприклад адміністратора мережі. Для того щоб заволодіти паролем адміністратора, зловмисник може спробувати ввійти в мережу під ім’ям простого користувача. Тому дуже важливо, щоб всі користувачі мережі зберігали свої паролі в таємниці, а також вибирали їх так, щоб максимально утруднити вгадування.
Ще один спосіб одержання пароля – це впровадження в чужий комп’ютер “троянського коня”. Так називають резидентну програму, що працює без відома хазяїна даного комп’ютера і виконує дії, задані зловмисником. Зокрема, такого роду програма може зчитувати коди пароля, який вводиться користувачем під час логічного входу в систему.
Програма “троянський кінь” завжди маскується під яку-небудь корисну утиліту або гру, а робить дії, які руйнують систему. За таким принципом діють і програми-віруси, відмінною рисою яких є здатність “заражати” інші файли, впроваджуючи в них свої власні копії. Найчастіше віруси вражають файли, які виконуються. Коли такий виконуваний код завантажується в оперативну пам’ять для виконання, разом з ним одержує можливість виконати свої шкідницькі дії вірус. Віруси можуть привести до ушкодження або навіть повної втрати інформації.
Нелегальні дії легального користувача – цей тип загроз виходить від легальних користувачів мережі, які, використовуючи свої повноваження, намагаються виконувати дії, що виходять за рамки їхніх посадових обов’язків. Наприклад, адміністратор мережі має практично необмежені права на доступ до всіх мережевих ресурсів. Однак на підприємстві може бути інформація, доступ до якої адміністраторові мережі заборонений. Для реалізації цих обмежень можуть бути вжиті спеціальні заходи, такі, наприклад, як шифрування даних, але й у цьому випадку адміністратор може спробувати одержати доступ до ключа. Нелегальні дії може спробувати почати й звичайний користувач мережі. Існуюча статистика говорить про те, що чи не половина всіх спроб порушення безпеки системи виходить від співробітників підприємства, які саме і є легальними користувачами мережі.
«Підслуховування» внутрімережевого трафіку – це незаконний моніторинг мережі, захват і аналіз мережевих повідомлень. Існує багато доступних програмних і апаратних аналізаторів трафіку, які роблять це завдання досить тривіальним.
Для забезпечення безпеки інформації в комп’ютерах, особливо в офісних системах і комп’ютерних мережах, проводяться різні заходи, об’єднувані поняттям “система захисту інформації”.
Система захисту інформації – це сукупність організаційних (адміністративних) і технологічних заходів, програмно-технічних засобів, правових і морально-етичних норм, спрямованих на протидію загрозам порушників з метою звести до мінімуму можливий збиток користувачам і власникам системи.
На практиці при побудові системи захисту інформації склалися два підходи: фрагментарний і комплексний. У першому випадку заходи щодо захисту спрямовані на протидію певним погрозам при строго певних умовах, наприклад обов’язкова перевірка носіїв антивірусними програмами, застосування криптографічних систем шифрування тощо. При комплексному підході різні заходи протидії загрозам поєднуються, формуючи так звану архітектуру безпеки систем.
Архітектура безпеки – комплексне вирішення питань безпеки обчислювальної системи, де виділяються загрози безпеки, служби безпеки і механізми забезпечення безпеки.
З огляду на важливість, масштабність і складність рішення проблеми схоронності й безпеки інформації, рекомендується розробляти архітектуру безпеки за кілька етапів:
аналіз можливих загроз;
розробка системи захисту;
реалізація системи захисту;
супровід системи захисту.
Етап розробки системи захисту інформації передбачає використання комплексів заходів організаційно-адміністративного, організаційно-технічного, програмно-апаратного, технологічного, правового, морально-етичного характеру та ін.
Організаційно-адміністративні засоби захисту зводяться до регламентації доступу до інформаційних і обчислювальних ресурсів, функціональним процесам систем обробки даних, до регламентації діяльності персоналу та ін. Їхня мета – найбільшою мірою утруднити або виключити можливість реалізації загроз безпеки. Найбільш типові організаційно-адміністративні заходи – це:
створення контрольно-пропускного режиму на території, де розташовуються ЕОМ та інші засоби обробки інформації;
допуск до обробки й передачі конфіденційної інформації тільки перевірених посадових осіб; зберігання магнітних та інших носіїв інформації, що представляють певну таємницю, а також реєстраційних журналів у сейфах, недоступних для сторонніх осіб;
організація захисту від установки прослуховуючої апаратури у приміщеннях, пов’язаних з обробкою інформації тощо.
Технічні засоби захисту – системи охорони територій і приміщень за допомогою екранування машинних залів і організації контрольно-пропускних систем.
Технічні засоби покликані створити деяке фізично замкнуте середовище навколо об’єкта і елементів захисту. У цьому випадку використовуються такі заходи, як:
установка засобів фізичної перешкоди захисного контуру приміщень, де ведеться обробка інформації (кодові замки; охоронна сигналізація – звукова, світлова, візуальна без запису та із записом на відеоплівку);
обмеження електромагнітного випромінювання шляхом екранування приміщень, де відбувається обробка інформації, аркушами з металу або спеціальної пластмаси тощо.
Програмні засоби й методи захисту активніше й ширше інших застосовуються для захисту інформації в персональних комп’ютерах і комп’ютерних мережах, реалізуючи такі функції захисту, як розмежування і контроль доступу до ресурсів; реєстрацію і аналіз процесів, що протікають, подій, користувачів; запобігання можливих руйнівних впливів на ресурси; криптографічний захист інформації, тобто шифровку даних; ідентифікацію і аутентифікацію користувачів і процесів та ін.
Для надійного захисту інформації і виявлення випадків неправомірних дій проводиться реєстрація роботи системи: створюються спеціальні щоденники й протоколи, у яких фіксуються всі дії, що мають відношення до захисту інформації в системі. Фіксуються час надходження заявки, її тип, ім’я користувача і терміналу, з якого иніціюється заявка.
Використовуються також спеціальні програми для тестування системи захисту. Періодично або у випадково обрані моменти часу вони перевіряють працездатність апаратних і програмних засобів захисту.
Технологічні засоби захисту інформації – це комплекс заходів,, що вбудовуються органічно в технологічні процеси перетворення даних. Серед них:
створення архівних копій носіїв;
ручне або автоматичне збереження оброблюваних файлів у зовнішній пам’яті комп’ютера;
реєстрація користувачів комп’ютерних засобів у журналах;
автоматична реєстрація доступу користувачів до тих або інших ресурсів та ін.
До правових і морально-етичних заходів і засобів захисту відносяться чинні в країні закони, нормативні акти, що регламентують правила обігу інформації і відповідальність за їхнє порушення; норми поводження (що склалися у вигляді статуту або неписані), дотримання яких сприяє захисту інформації.