08_lk_ei
.pdf
101
системи керування файлами.
Джерело |
Адресат |
інформації |
інформації |
|
|
Рисунок 9.1 – Нормальний потік інформації.
Роз'єднання 
Перехоплення
Модифікація |
|
Фальсифікація |
|
|
|
Рисунок 9.2 – Погрози безпеки.
Перехоплення. До ресурсу відкривається несанкціонований доступ. При цьому порушується конфіденційність інформації. Що одержали несанкціонований доступ порушником може бути фізична особа, програма або комп'ютер. Прикладами такого типу порушень можуть служити підключення до кабелю зв'язку з метою перехоплення даних і незаконне копіювання файлів або програм.
Модифікація. До ресурсу не тільки відкривається несанкціонований доступ, а порушник ще й змінює цей ресурс. При цьому порушується цілісність інформації. Прикладами такого типу порушень можуть служити зміна значень у файлі даних, модифікація програми з метою зміни її функцій або характеристик, зміна вмісту переданого по мережі повідомлення та інш.
Фальсифікація. У систему зловмисником вноситься підроблений об'єкт. При цьому порушується автентичність інформації. Прикладами такого
102
типу порушень можуть служити відправлення підроблених повідомлень по мережі або додавання записів у файл.
9.3 Організація комп’ютерної безпеки
Виходячи з того, що комп'ютерна інформація може піддаватися фізичному знищенню, несанкціонованій модифікації, копіюванню,
блокуванню, а також може бути отримана особами, для яких вона не призначалася, чільне місце займає проблема її захисту. Система захисту інформації має бути адекватною потенційним загрозам. Тому, при плануванні захисту слід мати уяву про те, кого і яка саме інформація може цікавити, яка її цінність для вас і на які фінансові жертви заради неї здатен піти зловмисник. Важливу роль у цьому відіграють адміністративні (або організаційні) заходи, такі, наприклад, як: регулярна зміна паролів і ключів, суворий порядок їх зберігання, аналіз журналів реєстрації подій у системі, правильний розподіл повноважень користувачів та багато іншого.
Людина, яка відповідає за всі ці дії, має бути не лише відданим співробітником, але й висококваліфікованим фахівцем, як в області технічних засобів захисту, так і в області обчислювальних засобів взагалі.
Одним з найважливіших питань є наявність правової бази для захисту комп’ютерної інформації. Правові засоби захисту інформації є комплексом цивільно-правових і кримінально-правових норм, які регулюють суспільні відносини у сфері використання комп'ютерної інформації і встановлюють відповідальність за несанкціоноване використання даних програмних засобів.
До правових заходів слід віднести:
–розробку норм, що встановлюють відповідальність за комп'ютерні злочини;
–захист авторських прав програмістів;
–вдосконалення кримінального і цивільного законодавства, а також судочинства.
Останнім часом обговорюються питання про виділення самостійної галузі права – комп'ютерного, яке б регулювало й охороняло суспільні відносини в сфері обігу комп'ютерної інформації.
Організаційні заходи захисту інформації та засобів комп'ютерної техніки включають у себе сукупність організаційних заходів з питань підбору, перевірки й інструктажу персоналу, який бере участь у всіх стадіях інформаційного процесу, дотримання режиму секретності при функціонуванні комп'ютерних систем забезпечення режиму фізичної охорони об'єктів. Багатьма спеціалістами, котрі займаються питаннями безпеки комп'ютерних систем, організаційні заходи розглядаються як найбільш важливі й ефективні з усіх видів захисту. Це пов'язане з тим, що вони є
103
фундаментом, на якому будується вся система захисту. Організаційне забезпечення – це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі таким чином, що розголошення, витік і несанкціонований доступ до конфіденційної інформації стають неможливими або істотно утруднюються за рахунок проведення організаційних заходів До організаційних заходів відносять:
–охорону обчислювального центру;
–ретельний підбір персоналу, виключення випадків ведення особливо важливих робіт лише одним виконавцем;
–наявність плану відновлення працездатності центру після виходу його
зладу;
–організацію обслуговування обчислювального центру сторонньою структурою або особами, не зацікавленими в приховуванні фактів порушення роботи центру;
–універсальність засобів захисту від усіх користувачів (до вищого керівництва включно);
–покладення відповідальності на осіб, які мають гарантувати безпеку центру, вибір місця розташування центру і т.д.
Організаційно-адміністративні заходи передбачають:
–зведення до мінімуму можливого витоку інформації через персонал (організація заходів щодо підбору і розстановки кадрів, створення сприятливого клімату в колективі і т.д.);
–організацію спеціального діловодства і документообігу для конфіденційної інформації, що встановлюють порядок підготовки,
–використання, зберігання, знищення і облік документованоїінформації на будь-яких видах носіїв;
–виділення спеціальних захищених приміщень для розміщення засобів обчислювальної техніки і зв'язку, а також зберігання носіїв інформації;
–виділення спеціальних засобів комп'ютерної техніки для обробки конфіденційної інформації;
–організацію зберігання конфіденційної інформації на промаркованих відчужуваних носіях у спеціально відведених для цієї мети місцях;
–використання в роботі сертифікованих технічних і програмних засобів, встановлених в атестованих приміщеннях;
–організацію регламентованого доступу користувачів до роботи з засобами комп'ютерної техніки, зв'язку і до сховища (архіву) носіїв конфіденційної інформації;
–установлення заборони на використання відкритих каналів зв'язку для передачі конфіденційної інформації;
–контроль за дотриманням вимог щодо захисту конфіденційної інформації.
Для будь-якого підприємства, організації, закладу, фірми, компанії існують два напрямки, якими може здійснюватися доступ до засобів
104
комп'ютерної техніки.
Упершому випадку організація, підприємство, заклад, фірма, компанія купує власний комп'ютер, який використовує для вирішення своїх завдань. При цьому всі питання комп'ютерної безпеки певною мірою контролюються.
Удругому – підприємство, організація, заклад стає користувачем якоїнебудь розгалуженої колективної комп'ютерної мережі, в результаті чого відбувається об'єднання їх інформаційних ресурсів, і, як наслідок, у багато разів збільшується і ризик неправомірного доступу до комп'ютерної інформації. Аби цього не сталося, необхідно реалізувати комплекс організаційних заходів, які мають бути складовими плану захисту комп'ютерної інформації. В ньому зарані визначаються:
1) коло службових інтересів осіб, які мають доступ до засобів комп'ютерної техніки, перелік інформації, до якої вони допущені, а також вид дозволу на доступ залежно від безпосередніх функціональних обов'язків;
2) особи, відповідальні за збереження і санкціонування доступу до інформаційних ресурсів;
3) контроль за якістю захисту інформації (шляхом проведення регламентних, робіт як особою, відповідальною за безпеку, так і з залученням компетентних спеціалістів з, інших організацій);
4) перелік інформації, диференційованої відповідно до її важливості і системи заходів захисту;
5) порядок доступу до комп'ютерної інформації, а також порядок її охорони та знищення;
6) охорона (фізична) комп'ютерної техніки, приміщень і комунікацій від проникнення осіб, які не мають доступу до інформації тощо.
Крім правових та організаційних засобів, для захисту комп'ютерної інформації мають використовуватися заходи технічного характеру. Технічні методи захисту комп'ютерних засобів, залежно від характеру і специфіки об'єкта, що знаходиться під охороною, розподіляють на три основні групи, а саме: апаратні, програмні, комплексні.
Апаратні методи призначені для захисту апаратних засобів і засобів зв'язку комп'ютерної техніки від незаконного доступу.
Апаратні засоби і методи захисту реалізуються шляхом застосування різних технічних пристроїв спеціального призначення. До їх числа належать:
1) джерела безперебійного живлення апаратури, а також різноманітні пристрої стабілізації, котрі захищають від різких стрибкоподібних перепадів напруги і пікових навантажень у мережі електроживлення (наприклад, мережний фільтр PILOT);
2) пристрої екранування апаратури, ліній провідного зв'язку і приміщень, в яких знаходиться комп'ютерна техніка (наприклад, використання різноманітних широкополосних електромагнітних генераторів - електричних і радіоелектронних генераторів шуму, що створюють електромагнітний шумовий бар'єр, кодуючих пристроїв (скремблерів), котрі
105
використовуються в цифровому каналі передачі даних);
3)пристрої з'ясування і фіксації номера викликаючого абонента;
4)пристрої, що забезпечують лише санкціонований фізичний доступ користувача до об'єктів засобів комп'ютерної техніки, які перебувають під охороною (шифрозамки, пристрої ідентифікації особистості і т. д., і т. п.);
5)пристрої ідентифікації і фіксації терміналів і користувачів при спробах несанкціонованого доступу до комп'ютерної мережі;
6)засоби охоронно-пожежної сигналізації;
7)засоби захисту портів комп'ютерної техніки.
Останні найефективніші для захисту комп'ютерних мереж від несанкціонованого доступу до них. Ці засоби на сьогодні широко розповсюджені і користуються достатньою популярністю. Вони являють собою комп'ютери, які "вартують" вхід у головний комп'ютер. Даний пристрій складається з мікропроцесора, який ідентифікує користувача і приймає рішення про допуск до комп'ютерної системи, а також пристрою пам'яті, що містить зареєстровані коди користувачів, які мають право на допуск.
Кажучи про засоби захисту персональних комп'ютерів, необхідно назвати ключі блокування, засоби впізнавання користувачів. Зазначимо, що ефективність захисту зростає в разі використання сукупності технічних методів впізнання користувачів і паролів доступу. Своєрідним ключем блокування може бути спеціальний зовнішній пристрій, що знаходиться у користувача, приймальна частина якого монтується безпосередньо в персональний комп'ютер і за рахунок блокування забезпечує доступ до ресурсів персонального комп'ютера. Ключовим блокуючим пристроєм має бути як засіб ідентифікації особи за фізичними параметрами, так і засіб аутентифікації.
9.4 Електронний підпис
Електронний цифровий підпис (ЕЦП) (Digital signature) – вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа
Надійний засіб електронного цифрового підпису — засіб електронного цифрового підпису, що має сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації.
106
Одним із елементів обов'язкового реквізиту є електронний підпис, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб'єктами електронного документообігу.
Оригіналом електронного документа вважається електронний примірник з електронним цифровим підписом автора.
Електронний цифровий підпис призначений для використання фізичними та юридичними особами - суб'єктами електронного документообігу:
–для ідентифікації підписувача;
–для підтвердження цілісності даних в електронній формі.
ЕЦП як спосіб ідентифікації підписувача електронного документу, дозволяє однозначно визначати походження інформації (джерело інформації), що міститься у документі. Завдяки цьому ЕЦП є також надійним засобом розмежування відповідальності за інформаційну діяльність у суспільстві, зокрема, відповідальності за дезінформування.
Електронний цифровий підпис накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. За правовим статусом він прирівнюється до власноручного підпису (печатки). Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа. За умови правильного зберігання власником секретного (особистого) ключа його підробка неможлива. Електронний документ також не можливо підробити: будь-які зміни, не санкціоновано внесені в текст документу, будуть миттєво виявлені.
107
10ОСНОВИ WEB-ДИЗАЙНУ
10.1Загальні поняття мови HTML
HTML (HyperText Markup Language, Мова розмітки гіпертексту) – стандартна мова розмітки документів у Всесвітній павутині. Більшість вебсторінок створюються за допомогою мови HTML (або XHTML). Документ HTML оброблюється браузером та відтворюється на екрані у звичному для людини вигляді.
HTML є похідною мовою від SGML, успадкувавши від неї визначення типу документу та ідеологію структурної розмітки тексту.
HTML разом із CSS та cкриптингом – це три основні технології побудови веб-сторінок.
HTML впроваджує засоби для:
–створення структурованого документу шляхом позначення структурного складу тексту: заголовки, абзаци, списки, таблиці, цитати та інше;
–отримання інформації із Всесвітньої мережі через гіперпосилання;
–створення інтерактивних форм;
–включення зображень, звуку, відео, та інших об'єктів до тексту. Можна працювати на Web без знання мови HTML, оскільки тексти
HTML можуть створюватися різними спеціальними редакторами і конвертерами. Але писати безпосередньо на HTML неважко. Можливо, це навіть легше, ніж вивчати HTML-редактор або конвертер, які часто обмежені в своїх можливостях, містять помилки або проводять поганий HTML код, який не працює на різних платформах.
Мова HTML існує в декількох варіантах і продовжує розвиватися, але конструкції HTML ймовірніше усього будуть використовуватися і надалі. Вивчаючи HTML і пізнаючи його глибше, створюючи документ на початку вивчення HTML і розширюючи його наскільки це можливо, ми маємо можливість створювати документи, які можуть бути переглянені багатьма браузерами Web, як зараз, так і в майбутньому. Але робота з HTML - це спосіб засвоїти особливості створення документів в стандартизованій мові, використовуючи розширення, тільки коли це дійсно необхідно.
HTML був ратифікований World Wide Web Consortium. Він підтримується широко поширеними браузерами.
Елементи являють собою базові компоненти розмітки HTML. Кожен елемент має дві основні властивості: атрибути та зміст (контент). Існують певні настанови щодо кожного атрибута та контента елемента, які треба виконувати задля того, щоб HTML-документ був визнаний валідним.
108
У елемента є початковий тег, який має вигляд <element-name>, та кінцевий тег, який має вигляд </element-name>. Атрибути елемента записуються в початковому тегу одразу після назви елемента, контент елемента записується між його двома тегами. Наприклад: <element-name element-attribute="attribute-value">контент елемента</element-name>.
Деякі елементи, наприклад br, не містять контенту, тож і не мають кінцевого тега.
10.2 Структура HTML документу
Документ загалом повинен бути відмічений як документ в форматі HTML. Для цього він повинен починатися командою <HTML> і закінчуватися командою </HTML>.
Документ HTML 4.01 складається з трьох частин:
–Декларація типу документа (англ. Document type declaration, Doctype), на самому початку документа, в якій визначається тип документа (DTD).
–Шапка документа (знаходиться в межах елементу head), в якій записано загальні технічні відомості або додаткова інформація про документ, яка не відтворюється безпосередньо в браузері;
–Тіло документа (може знаходитися в елементах body або frameset), в якому міститься основна інформація документа.
Нижче наведено приклад загальної структури HTML документа:
<!doctype HTML public "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<HTML>
<HEAD>
<TITLE>Мій перший HTML-документ</TITLE> </HEAD>
<BODY>
Hello world! </BODY>
</HTML>
При написанні команд HTML не має значення, якими буквами - рядковими або прописними пишуться елементи мови.
109
10.3 Форматування тексту
При виведенні тексту на екран монітора браузери ігнорують форматування, яке виконується при створенні тексту текстовим редактором, тобто ігноруються невідтворювані символи переведення рядка, абзацу, іноді навіть ігноруються порожні (без тексту) рядки.
Форматування тексту мовою HTML виконується з використанням спеціальних тегів і передбачає створення заголовків, абзаців, вирівнювання тексту, виділення тексту напівжирним шрифтом, курсивом, підкресленням, зміну розміру шрифту. Для того, щоб відобразити текст у повній відповідності до форматування, здійсненого за допомогою текстового редактора (пробіли, недруковані символи переведення рядка), використовуйте контейнер <PRE>... </PRE>.
10.3.1 Заголовки
В HTML існує шість рівнів заголовків і кожному з них відповідає свій розмір шрифту. З допомогою заголовків різних рівнів можна створювати чітку ієрархічну структуру документа. Заголовку 1 рівня відповідає найбільший розмір шрифта. Синтаксис HTML, що створює заголовки різного рівня має вигляд:
Заголовок першого рівня </Н1>
Заголовок другого рівня </Н2>
...
Заголовок шостого рівня </Н6>
Для кращого сприйняття сторінки користувачем, не треба пропускати рівні заголовків.
10.3.2 Абзац і рядок
Відображуваний текст в HTML вводиться в будь-якому місці між тегами <BODY> </BODY>. Текст автоматично розміщується за шириною вікна браузера. Якщо ж необхідно на Web-сторінці помістити порожній рядок або забезпечити в потрібному місці перехід до наступного рядка, треба використовувати спеціальні теги:
</Р> – розриву абзацу;
<DIV> <//DIV> – виділення блоку; <BR> </BR> – розриву рядка
<HR> </HR> – вставлення горизонтальної лінії; <BLOCKQUOTE> </BLOCKQUOTE> – відступу праворуч.
110
Тег розриву абзацу дає команду браузеру закінчити поточний абзац і помістити порожній рядок перед наступним абзацом. Тег розриву рядка вказує про закінчення поточного рядка і переходу до наступного. Для тегу розриву абзацу використання закриваючого тегу </Р> не є необхідним.
10.3.3 Вирівнювання
Текст абзацу, чи заголовка можна вирівняти за лівим чи правим краєм або центрувати у вікні браузера. Для вирівнювання тексту використовується параметр ALIGN = вирівнювання, де атрибут вирівнювання може набувати значення:
LEFT – для вирівнювання за лівим краєм;
RIGHT – для вирівнювання за правим краєм
CENTER – для вирівнювання за центром.
Найчастіше параметр ALIGN використовується у тегах розриву абзацу та задання заголовку.
10.3.4 Форматування символів
Мова HTML надає можливість виділяти фрагменти тексту напівжирним шрифтом, курсивом, підкресленням тощо. Для цього в HTML існують спеціальні дескриптори, які називають дескрипторами стилів. Дескриптори
стилів є контейнерами фізичними: <BR>, <HR>, <В> – напівжирний шрифт;
<BR>– розриву рядка
<HR> – вставлення горизонтальної лінії; <І>– курсив;
<NOBR> – заборона переносу, в яку можна вставити м'який перенос тегом <WBR>;
<PRE> – попередньо форматований текст; <SUB> – підрядковий текст (індекси знизу); <SUP>– надрядковий текст (індекси згори); <STRIKE> – перекреслений;
<ТТ> – моноширинний; <U> –підкреслення;
або логічними:
<BIG> – збільшення розміру шрифту на 1; <СІТЕ> – текст-цитата (переважно курсив);
<CODE> – текст коду програми (переважно моноширинний); <DFN> – текст-означення (залежить від браузера);
<ЕМ> – виділення (переважно курсивом);
<KBD> – назва клавіші (переважно моноширинний);
<SAMP> – тест фрагменту результатів виконання програми (переважно