- •Навчальний посібник Київ 2005
- •Анотація
- •Тематичний план дисципліни ”Сучасні інформаційні системи і технології”
- •Розділ 1 Сучасні іст: основні визначення та проблеми
- •1.1 Інформаційні технології та процеси обробки інформації
- •1.2 Поняття інформації. Дані та знання
- •1.3 Інформація як властивість матерії
- •1.4 Логіко-семантичний підхід до інформації
- •1.5 Оцінка кількості інформації
- •1.6 Форми адекватності інформації
- •1.7 Семантична та прагматична міри інформації
- •Якість інформації
- •Висновки
- •Список літератури
- •Контрольні питання
- •Розділ 2. Інформаційні ресурси – об’єкт інформаційних систем та технологій. Інформація - один з найцінніших ресурсів суспільства
- •Кодування інформації
- •Штрихове кодування інформації
- •Інформаційні революції
- •Інформаційне суспільство
- •Інформатизація та комп’ютеризація
- •Основні етапи інформатизації суспільства:
- •Економічна інформація
- •Висновки
- •Список літератури
- •Контрольні питання
- •Розділ 3 Складові інформаційної технології
- •Математичне забезпечення
- •Апаратне забезпечення
- •Програмне забезпечення
- •Правове забезпечення
- •Висновки
- •Список літератури
- •Контрольні питання
- •Розділ 4. Програмна інженерія як сукупність технологій розробки інформаційних систем.
- •Базовi поняття програмної інженерії
- •Життєвий цикл пз
- •Інженерiя вимог
- •Тестування програм та систем
- •Аналіз якості програмного забезпечення
- •Висновки
- •Список літератури
- •Контрольні питання:
- •Розділ 5. Проблеми безпеки у відкритих інформаційних системах Інформація як об’єкт захисту
- •Основні аспекти інформаційної безпеки
- •Стандарти захисту інформації
- •Загальні рекомендації щодо інформаційної безпеки
- •Шифрування
- •Комп’ютерні злочини
- •Висновки
- •Список літератури
- •Контрольні питання
- •Розділ 6. Засоби інтелектуалізації сучасних іс Основні напрямки розвитку штучного інтелекту
- •Нейронні мережі
- •Формальні методи в системах штучного інтелекту
- •Дедуктивні міркування
- •Індуктивні міркування
- •Міркування за аналогією
- •Предикати
- •Формальні теорії
- •Нечіткі множини та нечітка логіка
- •Експертні системи
- •Класифікація ес за призначенням
- •Системи підтримки прийняття рішень
- •Основні властивості сппр
- •Список літератури
- •Контрольні питання
- •Розділ 7. Відкриті системи. Комп’ютерні мережі.
- •Компоненти комп'ютерної мережі
- •Основні вимоги до сучасних обчислювальних мереж
- •Відкриті системи
- •Рівні еталонної моделі osi
- •Список літератури
- •Контрольні питання
- •Розділ 8. Інформаційні ресурси глобальної мережі Інтернет. Подання знань про предметну область на основі онтологій. Інформаційні ресурси глобальної мережі Інтернет
- •Засоби подання текстової інформації
- •Мультимедійна інформація
- •Графічні формати Інтернет
- •Метаінформація про ресурси Інтернет
- •Онтології
- •Висновки
- •Список літератури
- •Контрольні питання
- •Розділ 9. Інтелектуальні програмні агенти. Мультиагентні системи.
- •Основні властивості програмного агента
- •Властивості інтелектуальних агентів
- •Переконання, бажання і наміри агентів
- •Мультиагентні системи
- •Список літератури
- •Контрольні питання
- •Розділ 10. Пошук інформації в Інтернет. Засоби інтелектуалізації пошуку інформації
- •Визначення контексту пошукових запитів
- •Інформаційно-пошукові агенти
- •Мультиагентні інформаційно-пошукові системи
- •Висновки
- •Список літератури
- •Контрольні питання
- •Додаток 1. Перелік скорочень
- •Додаток 2. Тести для перевірки знань з курсу «Сучасні інформаційні системи і технології»
- •Додаток 3. Глосарій
- •Алфавітно ─предметний покажчик
Стандарти захисту інформації
Для узгодження всіх підходів до проблеми створення захищених систем розроблені стандарти інформаційної безпеки - документи, які регламентують основні поняття та концепції інформаційної безпеки на державному та міждержавному рівнях, визначають поняття “захищена система” шляхом стандартизації вимог та критеріїв безпеки, які формують шкалу оцінки ступеня захищеності ІС. Саме наявність таких стандартів дозволяє узгоджувати потреби користувачів та замовників ІС з якісними характеристиками ПЗ, що створюють розробники ІС.
Захищена система - це система, яка відповідає конкретному стандарту інформаційної безпеки.
Будь-який захист починається з визначення того, що потрібно захищати, від яких загроз і якими засобами. Тому захист інформації починається із встановлення співвідношень між трьома фундаментальними властивостями інформації - конфіденційність (запобігання несанкціонованому читанню або отриманню деяких відомостей про інформацію); цілісністю (запобігання несанкціонованій модифікації або руйнуванню інформації) й доступністю (забезпечення доступності даних для авторизованих користувачів) - для конкретної ПрО. Саме ці співвідношення і є змістом політики безпеки інформації.
Дотримання ПБ має забезпечити той компроміс, що обрали власники цінної інформації для її захисту. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації задовільна, якщо вона надійно підтримує виконання правил ПБ.
Таке визначення проблеми захищеності інформації дозволяє залучити точні математичні методи для доведення того, що дана система у заданих умовах підтримує ПБ. Це дозволяє говорити про “гарантовано захищену систему”, в якій при дотримуванні початкових умов виконуються усі правила ПБ. Термін “гарантований захист” вперше зустрічається у стандарті міністерства оборони США на вимоги до захищених систем - "Оранжевій книзі" (OK). ОК була розроблена у 1983 р. і прийнята стандартом у 1985 р. Міністерством оборони США для визначення вимог безпеки до апаратного, програмного і спеціального забезпечення комп’ютерних систем та створення відповідних методологій аналізу ПБ, що реалізувалася в комп’ютерних системах військового призначення. OK надає виробникам стандарт, що встановлює, якими засобами безпеки варто оснащувати свої продукти, щоб вони задовольняли вимоги гарантованої захищеності (мається на увазі, насамперед, захист від розкриття даних) для використання при обробці цінної інформації.
Країни Європи (Франція, Німеччина, Нідерланди, Великобританія) у 1991 р. розробили спільні “Критерії безпеки інформаційних технологій” (“Information Technology Security Evaluation Criteria”), в яких розглянуті такі цілі засобів інформаційної безпеки:
захист інформації від несанкціонованого доступу з ціллю забезпечення конфіденційності,
забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації та знищення,
забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.
У 1992 році Державна технічна комісія Росії видала від свого імені документи, аналогічні за цілями і змістом ОК.
У всіх документах, пов'язаних з ОК, безпеку інформації розуміють як контроль за доступом до інформації.
Окрім передумов для протидії всім основним видам загроз, ОК містить вимоги, в основному спрямовані на протидію загрозам конфіденційності. Це пояснюється її орієнтованістю на системи військового призначення. Європейські критерії безпеки ІТ перебувають приблизно на тому ж рівні, хоч і приділяють загрозам цілісності набагато більшу увагу. Документи Державної технічної комісії Росії виглядають більш відсталими, тому що навіть у самій їхній назві визначена єдина аналізована в них загроза - несанкціонований доступ.
Федеральні критерії безпеки інформаційних технологій, що були розроблені в складі американського федерального стандарту з обробки інформації як альтернатива ОК, докладно розглядають усі види загроз і пропонують механізм профілів захисту для опису загроз безпеки, що властиві середовищу експлуатації конкретного продукту ІТ. Це дозволяє враховувати специфічні види загроз. Канадські критерії безпеки комп'ютерних систем, що були розроблені в Центрі безпеки відомства безпеки зв'язку Канади на основі ОК і під впливом Федеральних критеріїв безпеки інформаційних технологій США, обмежуються типовим набором загроз безпеки. Єдині критерії безпеки інформаційних технологій ставлять на перше місце задоволення потреб користувачів, пропонуючи для цього відповідні механізми, що дозволяє говорити про якісно новий підхід до проблеми безпеки інформаційних технологій. Прийняті в Україні критерії, що складаються з чотирьох документів, найбільш близькі до Канадських критерії безпеки.
Комп’ютерна система безпечна, якщо вона забезпечує контроль за доступом до інформації так, що тільки уповноважені особи або процеси, що функціонують від їхнього імені, мають право читати, писати, створювати або знищувати інформацію.
Політика безпеки містить норми, правила і практичні прийоми, що регулюють управління, захист і розподіл цінної інформації. ПБ надає комплекс поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу комплексної системи захисту інформації.
Рівні ПБ:
політичний (розроблення офіційної політики захисту інформації);
аналітичний (створення процедур для попередження порушень);
профілактичний (типи процедур, послуги і функції інформаційної безпеки);
управлінський (реакція на порушення інформаційної безпеки);
технологічний (розроблення заходів, що застосовуються після порушень).
Створення політики захисту означає розроблення плану вирішення питань, що пов’язані з комп’ютерним захистом. Один з найбільш загальних підходів до рішення цієї проблеми полягає в формулюванні відповідей на питання:
Від кого і від чого потрібно захищати інформацію?
Які ймовірні загрози захищеній інформації?
Які рішення щодо забезпечення захисту існують?
Чи можуть ці рішення забезпечити достатній захист?
Які заходи для реалізації обраних рішень найбільш економічні?
Як постійно стежити за процесом захисту і покращувати його, якщо знайдене слабке місце?
Ідентифікація - розпізнавання імені об'єкта. Об'єкт, що ідентифікується, має бути однозначно розпізнаваним.
Аутентифікація - це підтвердження того, що пред'явлене ім'я відповідає об'єкту.
Аудит - реєстрація подій, що дозволяє відновити і довести факт здійснення цих подій. Крім того, аудит передбачає аналіз тієї інформації, що реєструється.
Гарантованість – міра довіри, яка має бути надана архітектурі та реалізації ІС.