- •Информатика
- •Оглавление
- •1 История информатики.
- •1.1 Память машины и человека
- •1.2 «Усилители» умственных способностей
- •1.3 Истоки создания автоматических машин
- •1.4 Первые промышленные автоматы
- •1.5 История развития вычислительной техники
- •1.6 Классификация эвм
- •Большие эвм
- •Малые эвм
- •Персональные компьютеры
- •Суперэвм
- •Серверы
- •Переносные компьютеры
- •2 Предмет информатики
- •2.1 Предмет информатики. Структура информатики. Связь информатики с другими дисциплинами.
- •2.2 Структура информатики
- •2.3 Актуальные проблемы информатики. Основные проблемы и направления исследования в информатике
- •3 Информационное общество. Информатика. Информация.
- •3.1 Информационное общество
- •3.2 Информация.
- •3.2.1 Виды информации
- •3.2.2 Свойства информации и законы ее преобразования
- •3.2.3 Мера и основные свойства информации
- •4 Кодирование информации в компьютере
- •4.1 Кодирование текстовой информации
- •Кодирование текста
- •Фрагмент одноствольного алфавита
- •Примеры решения задач.
- •4.2 Кодирование графической информации
- •4.2.1 Растровое изображение
- •4.2.2 Цветовые модели
- •Кодирование графической информации
- •Двоичный код восьмицветной палитры
- •Двоичный код шестнадцатицветной палитры
- •Двоичный код 256-цветной палитры
- •4.2.3 Векторное и фрактальное изображения
- •Примеры решения задач
- •4.2.4 Кодирование звуковой информации
- •Кодирование звуковой информации
- •4.2.5 Форматы звуковых файлов
- •Примеры решения задач
- •5 Математические основы информатики. Формы представления данных в компьютере
- •5.1Системы счисления.
- •5.2 Двоичная система счисления
- •5.2.1 Двоичная арифметика
- •5.3 Шестнадцатеричная система счисления
- •5.4 Восьмеричная система счисления
- •5.5 Перевод чисел из одной системы счисления в другую
- •5.6 Отрицательные числа
- •6 Логические основы эвм
- •6.1 Высказывания и предикаты
- •6.2 Логические вентили, схемы, структуры
- •7.1 Общие сведения
- •7.2 Структурный подход к разработке алгоритмов
- •7.3 Методы разработки и анализа алгоритмов
- •8 Моделирование объектов, процессов и явлений
- •9 О компьютерной сети
- •9.1 Понятие компьютерной сети
- •9.2 Типы сетей
- •9.3 Топология сети
- •9.3.1 Шина
- •9.3.2 Звезда
- •9.3.3 Кольцо
- •9.4 Классификация сетей
- •9.4.1 Локальные сети
- •9.4.2 Глобальные сети
- •9.5 Глобальная сеть Internet
- •9.5.1 Глобальная компьютерная сеть
- •9.5.2 История сети Internet
- •9.5.3 Возможности сети Internet
- •9.5.5 Задание местоположения документов в www.
- •9.5.6 Программы просмотра.
- •10 Структура электронной почты в сети Internet
- •10.1 Структура и адрес электронного сообщения
- •10.2 Пользовательский почтовый клиент mua
- •10.3 Транспортный агент mta
- •10.4 Агент обработки сообщения msa
- •10.5 Агент локальной доставки lda
- •10.6 Хранилище сообщений
- •10.7 Доставка почтового сообщения
- •10.8 Основы работы с почтовым клиентом Outlook Express
- •10.8.1 Регистрация в системе электронной почты Internet
- •10.8.2 Интерфейс программы Microsoft Outlook Express
- •10.8.3 Настройка почтовой системы Microsoft Outlook Express
- •10.8.4 Создание и отправка простейшего сообщения
- •10.8.5 Ответ на сообщение
- •10.8.6 Присоединенные файлы
- •10.9 Хранение почтовых сообщений
- •10.10 Управление сообщениями
- •10.10.1 Определение правил обработки сообщений
- •10.10.2 Список блокированных адресов
- •10.11 Адресная книга
- •10.11.1 Добавление адреса
- •10.11.2 Создание новой папки
- •10.11.3 Поиск адреса корреспондента
- •10.11.4 Создание списка рассылки
- •11 Основные инструменты работы в базах данных
- •11.1 Краткая история баз данных
- •11.2 Данные и управление базами данных
- •11.2.1 Недостатки файловой организации данных
- •11.2.2 База данных
- •11.2.3 Системы управления базами данных (субд)
- •11.2.4 Функции администратора базы данных (абд)
- •11.2.5 Недостатки интеграции данных
- •11.2.6 Независимость данных
- •11. 3 Проектирование баз данных
- •11.4 Жизненный цикл системы баз данных
- •11.5 База данных – основа информационного обеспечения управленческой деятельности
- •11.6 Представление системы в форме erm
- •11.7 Распределенная обработка информации
- •11.8 Общие вопросы разработки баз данных субд Access
- •Пример выполнения задания
- •Поставщики
- •11.9 Создание и корректировка базы данных в субд
- •Типы данных, обрабатываемых в Access
- •Пример выполнения работы
- •Создание структуры таблицы Поставщики
- •Создание структуры таблицы Товары
- •Сортировка
- •Поиск записи
- •Фильтрация записей
- •Расширенный фильтр
- •11.10 Запросы на выборку
- •Примеры часто используемых операторов и функций
- •Пример выполнения задания
- •11.11 Вычисления в запросах: простые, групповые и сводные
- •Типы операций
- •Сведения о стипендиатах
- •Перекрестная таблица
- •Изменение структуры сводной таблицы
- •Фильтрация
- •Детализация
- •11.12 Формы
- •Пример выполнения задания
- •11.13 Отчеты
- •Пример выполнения задания
- •Пример выполнения задания
- •11.15 Настройка пользовательского интерфейса
- •Пример выполнения задания
- •12 Информационная безопасность
- •12.1 Основные составляющие информационной безопасности
- •12.2 Проблемы информационной безопасности
- •12.3 Основные определения и критерии классификации угроз
- •12.4 Наиболее распространенные угрозы доступности
- •12.5 Вредоносное программное обеспечение
- •12.6 Антивирусы
- •12.6.1 Технологии обнаружения вирусов
- •12.6.2 Режимы работы антивирусов
- •12.6.3 Антивирусный комплекс
- •12.7 Основные угрозы целостности
- •12.8 Основные угрозы конфиденциальности
- •12.9 Основные мероприятия в области информационной безопасности
- •12.9.1 Законодательный, административный и процедурный уровни
- •12.9.2 Программно-технические меры
- •12.10 Законодательный уровень информационной безопасности
- •12.10.1 Российское законодательство в области информационной безопасности
- •12.10.2 Текущее состояние российского законодательства в области информационной безопасности
- •12.11 Криптография и шифрование
- •12.11.1 Контроль целостности
- •12.11.2 Цифровые сертификаты
- •Библиографический список.
12.7 Основные угрозы целостности
На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи и подлоги. В большинстве случаев виновниками оказываются штатные сотрудники организаций, отлично знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.
Ранее мы проводили различие между статической и динамической целостностью. С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может ввести неверные или изменить данные.
Иногда изменяются содержательные данные, иногда – служебная информация. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя. Последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.
Еще один урок: угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства.
Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение рассмотренного выше вредоносного ПО – пример подобного нарушения.
Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.
12.8 Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности – частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.
Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (зачастую – и не может быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна – осуществить доступ к данным в тот момент, когда они наименее защищены.
Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки – это слишком суровое испытание честности всех участников.
Еще один пример изменения, о котором часто забывают, – хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.
Перехват данных – очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например, на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.
Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.
Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад – выполнение действий под видом лица, обладающего полномочиями для доступа к данным.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример – нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Таковы основные угрозы, которые наносят наибольший ущерб субъектам информационных отношений.