- •1. Лекция: Понятие информационной безопасности. Основные составляющие. Важность проблемы
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •2. Лекция: Распространение объектно-ориентированного подхода на информационную безопасность
- •О необходимости объектно-ориентированного подхода к информационной безопасности
- •Основные понятия объектно-ориентированного подхода
- •Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
- •Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
- •3. Лекция: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •4. Лекция: Законодательный уровень информационной безопасности(Лекция 29 октября
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности
- •Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информационных технологиях и о защите информации"
- •Другие законы и нормативные акты
- •Обзор зарубежного законодательства в области информационной безопасности
- •О текущем состоянии российского законодательства в области информационной безопасности
- •5. Лекция: Стандарты и спецификации в области информационной безопасности
- •Оценочные стандарты и технические спецификации. "Оранжевая книга" как оценочный стандарт
- •Основные понятия
- •Механизмы безопасности
- •Классы безопасности
- •Информационная безопасность распределенных систем. Рекомендации X.800
- •Сетевые сервисы безопасности
- •Сетевые механизмы безопасности
- •Администрирование средств безопасности
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Основные понятия
- •Функциональные требования
- •Требования доверия безопасности
- •Гармонизированные критерии Европейских стран
- •Интерпретация "Оранжевой книги" для сетевых конфигураций
- •Руководящие документы Гостехкомиссии России
- •6. Лекция: Административный уровень информационной безопасности
- •Основные понятия
- •Политика безопасности
- •Программа безопасности
- •Синхронизация программы безопасности с жизненным циклом систем
- •7. Лекция: Управление рисками
- •Основные понятия
- •Подготовительные этапы управления рисками
- •Основные этапы управления рисками
- •8. Лекция: Процедурный уровень информационной безопасности
- •Основные классы мер процедурного уровня
- •Управление персоналом
- •Физическая защита
- •Поддержание работоспособности
- •Реагирование на нарушения режима безопасности
- •Планирование восстановительных работ
- •9. Лекция: Основные программно-технические меры
- •Основные понятия программно-технического уровня информационной безопасности
- •Особенности современных информационных систем, существенные с точки зрения безопасности
- •Архитектурная безопасность
- •10. Лекция: Идентификация и аутентификация, управление доступом
- •Идентификация и аутентификация
- •Основные понятия
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация/аутентификация с помощью биометрических данных
- •Управление доступом
- •Основные понятия
- •Ролевое управление доступом
- •Управление доступом в Java-среде
- •Возможный подход к управлению доступом в распределенной объектной среде
- •11. Лекция: Протоколирование и аудит, шифрование, контроль целостности
- •Протоколирование и аудит
- •Основные понятия
- •Активный аудит
- •Основные понятия
- •Функциональные компоненты и архитектура
- •Шифрование
- •Контроль целостности
- •Цифровые сертификаты
- •12. Лекция: Экранирование, анализ защищенности
- •Экранирование
- •Основные понятия
- •Архитектурные аспекты
- •Классификация межсетевых экранов
- •Анализ защищенности
- •13. Лекция: Обеспечение высокой доступности
- •Доступность
- •Основные понятия
- •Основы мер обеспечения высокой доступности
- •Отказоустойчивость и зона риска
- •Обеспечение отказоустойчивости
- •Программное обеспечение промежуточного слоя
- •Обеспечение обслуживаемости
- •14. Лекция: Туннелирование и управление
- •Туннелирование
- •Управление
- •Основные понятия
- •Возможности типичных систем
- •15. Лекция: Заключение
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
Основные понятия объектно-ориентированного подхода
Объектно-ориентированный подходиспользует объектнуюдекомпозицию, то есть поведение системы описывается в терминах взаимодействияобъектов.
Что же понимается под объектоми каковы другие основополагающие понятия данного подхода?
Прежде всего, введем понятие класса.Класс- это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения.
Объект- это элементкласса, то есть абстракция определенной сущности.
Подчеркнем, что объектыактивны, у них есть не только внутренняя структура, но и поведение, которое описывается так называемымиметодами объекта. Например, может быть определенкласс"пользователь", характеризующий "пользователя вообще", то есть ассоциированные с пользователями данные и их поведение (методы). После этого может быть созданобъект"пользователь Иванов" с соответствующей конкретизацией данных и, возможно,методов.
К активности объектовмы еще вернемся.
Следующую группу важнейших понятий объектного подхода составляют инкапсуляция,наследованиеиполиморфизм.
Основным инструментом борьбы со сложностью в объектно-ориентированном подходеявляетсяинкапсуляция- сокрытие реализацииобъектов(их внутренней структуры и деталей реализацииметодов) с предоставлением вовне только строго определенных интерфейсов.
Понятие "полиморфизм" может трактоваться как способностьобъектапринадлежать более чем одномуклассу. Введение этого понятия отражает необходимость смотреть наобъектыпод разными углами зрения, выделять при построении абстракций разные аспекты сущностей моделируемой предметной области, не нарушая при этом целостностиобъекта. (Строго говоря, существуют и другие видыполиморфизма, такие как перегрузка и параметрическийполиморфизм, но нас они сейчас не интересуют.)
Наследованиеозначает построение новыхклассовна основе существующих с возможностью добавления или переопределения данных иметодов.Наследованиеявляется важным инструментом борьбы с размножением сущностей без необходимости. Общая информация не дублируется, указывается только то, что меняется. При этомкласс-потомок помнит о своих "корнях".
Очень важно и то, что наследованиеиполиморфизмв совокупности наделяют объектно-ориентированную систему способностью к относительно безболезненной эволюции. Средства информационной безопасности приходится постоянно модифицировать и обновлять, и если нельзя сделать так, чтобы это было экономически выгодно, ИБ из инструмента защиты превращается в обузу.
Мы еще вернемся к механизму наследованияпри рассмотрении ролевого управления доступом. Пополним рассмотренный выше классический набор понятийобъектно-ориентированного подходаеще двумя понятиями:грани объектаиуровня детализации.
Объектыреального мира обладают, как правило, несколькими относительно независимыми характеристиками. Применительно к объектной модели будем называть такие характеристикигранями. Мы уже сталкивались с тремя основнымигранямиИБ - доступностью, целостностью и конфиденциальностью. Понятиегранипозволяет более естественно, чемполиморфизм, смотреть наобъектыс разных точек зрения и строить разноплановые абстракции.
Понятие уровня детализацииважно не только для визуализацииобъектов, но и для систематического рассмотрениясложных систем, представленных в иерархическом виде. Само по себе оно очень простое: если очередной уровень иерархии рассматривается суровнем детализацииn > 0, то следующий - суровнем(n - 1).Объектсуровнем детализации0 считается атомарным.
Понятие уровня детализациипоказа позволяет рассматривать иерархии с потенциально бесконечной высотой, варьировать детализацию какобъектовв целом, так и ихграней.
Весьма распространенной конкретизацией объектно-ориентированного подходаявляютсякомпонентные объектные среды, к числу которых принадлежит, например, JavaBeans. Здесь появляется два новых важных понятия:компонентиконтейнер.
Неформально компонентможно определить как многократно используемыйобъект, допускающий обработку в графическом инструментальном окружении и сохранение в долговременной памяти.
Контейнерымогут включать в себя множествокомпонентов, образуя общий контекст взаимодействия с другимикомпонентамии с окружением.Контейнерымогут выступать в роликомпонентовдругихконтейнеров.
Компонентные объектные средыобладают всеми достоинствами, присущимиобъектно-ориентированному подходу:
инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый вовне интерфейс;
наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки;
полиморфизм по сути дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными.
Понятия же компонентаиконтейнеранеобходимы нам потому, что с их помощью мы можем естественным образом представить защищаемую ИС и сами защитные средства. В частности,контейнерможет определять границы контролируемой зоны (задавать так называемый "периметр безопасности").
На этом мы завершаем описание основных понятий объектно-ориентированного подхода.