- •Билет № 33
- •1.Виды информационного обеспечения
- •2. Функции и архитектура распределённых субд.
- •3. Процесс отладки программного обеспечения. Сложность отладки по. Методы поиска и устранения ошибок. Связь отладки с тестированием.
- •4 Методы и способы защиты информации от утечки по техническим каналам
- •5. Мосты.
- •Билет № 34
- •Экспресс-опрос.
- •1. Проектирование информационных систем: методика постепенной формализации. Алгоритм реализации метода постепенной формализации для разработки асу.
- •2. Составные части языка sql.
- •4. Классификация автоматизированных систем по уровню защищенности от нсд.
- •5. Маршрутизация
- •Билет № 35
- •Экспресс-опрос.
- •Компоненты информационно-поисковых языков. Оценка эффективности информационно-поисковых языков. Меры оценки
- •2. Виды декомпозиций. Декомпозиция без потерь.
- •3. Жизненный цикл программного обеспечения. Фазы жц, их характеристики артефакты.
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •1. По характеру воздействия
- •2. По причине появления используемой ошибки защиты
- •5. Обеспечение надежной доставки данных. Метод квитирования.
3. Жизненный цикл программного обеспечения. Фазы жц, их характеристики артефакты.
ЖЦ ПО определяется как период времени, который начинается с момента принятия решения о необходимости создания ПО и заканчивается в момент его полного изъятия из эксплуатации. ЖЦ включает в себя последовательность процессов, действия и задач, которые должны быть выполнены. Сегодня существует большое количество подходов, методов и технологий создания ПО, однако базовым наборов таких процессов являются:
процесс приобретения ПО, средств разработки и общесистемного ПО;
процесс поставки (инициирование поставки, подготовка договора, планирование, выполнение и контроль, проверка и оценка);
процесс разработки (подготовительные работы, анализ требований, проектирование архитектуры системы, кодирование и тестирование, интеграция, установка и приемка);
процесс эксплуатации (обучение персонала, эксплуатационное тестирование, эксплуатация, поддержка пользователей);
процесс сопровождения (анализ проблем и запросов на модификацию ПО, модификация ПО, проверка и приемка, перенос ПО в другую среду, снятие ПО с эксплуатации);
Выделяют еще вспомогательные процессы, такие как:
документирование процессов проектирования и разработки;
обеспечения качества продукта (системы) и процесса (работ);
верификации (формальное доказательство соответствия системы требованиям Заказчика) и аттестации (подтверждение и оценка проведенного тестирования);
аудит (определение соответствия требованиям, планами условиям договора);
разрешение проблем (анализ и решение проблем, независимо от их происхождения или источника, которые обнаружены в ходе разработки, эксплуатации, сопровождения или других процессов).
16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
1. По характеру воздействия
Пассивные угрозы. Это угрозы, связанные с ошибками:
Процесса проектирования, разработки и изготовления систем и их компонентов (здания, сооружения, помещения, компьютеры, средства связи, ОС, прикладные программы и др.).
В работе аппаратуры из-за некачественного ее изготовления.
Процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации).
Механизмы защиты: Периодически повышать квалификацию программистов, проводить обучение пользователей, вести дополнительное тестирование ПО. Для данных, вводимых в программу четко определять и устанавливать область допустимых значений. В программе предусматривать обработку всех возможных исключений. Вести контроль качества поступающей от поставщиков аппаратуры и разрабатывать регламенты ее эксплуатации.
Активные угрозы. Это угрозы:
Связанные с НСД к ресурсам АИС (внесение технических изменений в СВТ и средства связи, подключение к СВТ и каналам связи, хищение различных видов носителей информации: дискет, описаний, распечаток и других материалов, просмотр вводимых данных, распечаток, просмотр «мусора»).
Реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях (токопроводящие коммуникации), визуально-оптические способы добычи информации, подслушивание служебных и научно-технических разговоров и т. п.).
Механизмы защиты: Организовать политику безопасности на предприятии, в т.ч. организовать охрану помещений предприятия и охрану внешней территории. Выделить отдельное помещение для пользователей, сгруппировав пользователей, работающих с одинаковой конфиденциальной информацией (туда же поставить принтер). Организовать регламент доступа сотрудников в помещения (кто, куда имеет право входить, где хранятся ключи от помещения и как их получить), регламент для хранителя экрана. Для управления доступом организовать дискретный метод доступа (идентификация и аутентификация). Если не требуется частый выход в Интернет, то целесообразно иметь отдельный компьютер, не подключенный к сети предприятия. Для сохранности данных использовать резервное копирование и архивирование. Для избежания проблемы прослушивания сетевого трафика необходимо вместо hub’ов использовать коммутаторы. В этом случае информация от отправителя будет направляться только получателю. Для избежания маскировки (подмены) привязать MAC-адреса сетевых устройств к портам коммутатора, т.е. каким MAC-адресам разрешено отправлять и получать пакеты. Для надежности каналов связи между ЛВС можно организовать VPN. Во избежание наводок использовать экранированный кабель и прокладывать так, чтобы к нему не было физического доступа (лучше всего по коридору), упаковывать в короба, для каждого пользователя выделять Ethernet розетку. Во избежание прослушивания не прокладывать кабель вблизи окон и батарей. Можно сделать экранированными стены, пол, потолок. Использовать межсетевые экраны для фильтрации трафика. Производить очистку памяти после использования. И т.д.