- •1. Лекция: Понятие информационной безопасности. Основные составляющие. Важность проблемы
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •2. Лекция: Распространение объектно-ориентированного подхода на информационную безопасность
- •О необходимости объектно-ориентированного подхода к информационной безопасности
- •Основные понятия объектно-ориентированного подхода
- •Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
- •3. Лекция: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •4. Лекция: Законодательный уровень информационной безопасности(Лекция 29 октября
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности
- •Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информационных технологиях и о защите информации"
- •Другие законы и нормативные акты
- •Обзор зарубежного законодательства в области информационной безопасности
- •О текущем состоянии российского законодательства в области информационной безопасности
- •5. Лекция: Стандарты и спецификации в области информационной безопасности
- •Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
- •Основные понятия
- •Механизмы безопасности
- •Классы безопасности
- •Информационная безопасность распределенных систем. Рекомендации X.800
- •Сетевые сервисы безопасности
- •Сетевые механизмы безопасности
- •Администрирование средств безопасности
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Основные понятия
- •Функциональные требования
- •Требования доверия безопасности
- •Гармонизированные критерии Европейских стран
- •Интерпретация "Оранжевой книги" для сетевых конфигураций
- •Руководящие документы Гостехкомиссии России
- •6. Лекция: Административный уровень информационной безопасности
- •Основные понятия
- •Политика безопасности
- •Программа безопасности
- •Синхронизация программы безопасности с жизненным циклом систем
- •7. Лекция: Управление рисками
- •Основные понятия
- •Подготовительные этапы управления рисками
- •Основные этапы управления рисками
- •8. Лекция: Процедурный уровень информационной безопасности
- •Основные классы мер процедурного уровня
- •Управление персоналом
- •Физическая защита
- •Поддержание работоспособности
- •Реагирование на нарушения режима безопасности
- •Планирование восстановительных работ
- •9. Лекция: Основные программно-технические меры
- •Основные понятия программно-технического уровня информационной безопасности
- •Особенности современных информационных систем, существенные с точки зрения безопасности
- •Архитектурная безопасность
- •10. Лекция: Идентификация и аутентификация, управление доступом
- •Идентификация и аутентификация
- •Основные понятия
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация/аутентификация с помощью биометрических данных
- •Управление доступом
- •Основные понятия
- •Ролевое управление доступом
- •Управление доступом в Java-среде
- •Возможный подход к управлению доступом в распределенной объектной среде
- •11. Лекция: Протоколирование и аудит, шифрование, контроль целостности
- •Протоколирование и аудит
- •Основные понятия
- •Активный аудит
- •Основные понятия
- •Функциональные компоненты и архитектура
- •Шифрование
- •Контроль целостности
- •Цифровые сертификаты
- •12. Лекция: Экранирование, анализ защищенности
- •Экранирование
- •Основные понятия
- •Архитектурные аспекты
- •Классификация межсетевых экранов
- •Анализ защищенности
- •13. Лекция: Обеспечение высокой доступности
- •Доступность
- •Основные понятия
- •Основы мер обеспечения высокой доступности
- •Отказоустойчивость и зона риска
- •Обеспечение отказоустойчивости
- •Программное обеспечение промежуточного слоя
- •Обеспечение обслуживаемости
- •14. Лекция: Туннелирование и управление
- •Туннелирование
- •Управление
- •Основные понятия
- •Возможности типичных систем
- •15. Лекция: Заключение
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
2. Лекция: Распространение объектно-ориентированного подхода на информационную безопасность
О необходимости объектно-ориентированного подхода к информационной безопасности
В настоящее время информационная безопасность является относительно замкнутой дисциплиной, развитие которой не всегда синхронизировано с изменениями в других областях информационных технологий. В частности, в ИБ пока не нашли отражения основные положения объектно-ориентированного подхода, ставшего основой при построении современных информационных систем. Не учитываются в ИБ и достижения в технологии программирования, основанные на накоплении и многократном использовании программистских знаний. На наш взгляд, это очень серьезная проблема, затрудняющая прогресс в области ИБ.
Попытки создания больших систем еще в 60-х годах вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследований в области технологии программирования стали сначала структурированное программирование, затем объектно-ориентированный подход.
Объектно-ориентированный подходявляется основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.
Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты на основе "Общих критериев", речь о которых впереди. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.
Любой разумный метод борьбы со сложностью опирается на принцип "divide et impera" - "разделяй и властвуй". В данном контексте этотпринципозначает, чтосложная система(информационной безопасности) на верхнем уровне должна состоять из небольшого числа относительно независимыхкомпонентов. Относительная независимость здесь и далее понимается как минимизация числа связей междукомпонентами. Затемдекомпозицииподвергаются выделенные на первом этапекомпоненты, и так далее до заданногоуровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.
Важнейший вопрос, возникающий при реализации принципа "разделяй и властвуй", - как, собственно говоря, разделять? Упоминавшийся вышеструктурный подходопирается на алгоритмическуюдекомпозицию, когда выделяются функциональные элементы системы. Основная проблемаструктурного подходасостоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло. Нужен подход "широкого спектра", не имеющий такого концептуального разрыва с анализируемыми системами и применимый на всех этапах разработки и реализациисложных систем. Мы постараемся показать, чтообъектно-ориентированный подходудовлетворяет таким требованиям.