- •Вычислительная техника и информационные технологии Рекомендуемая литература
- •Логические основы вычислительной техники .1. Понятие функции алгебры логики
- •1.2. Основные законы и тождества алгебры логики
- •Формы задания бф:
- •Пример №1
- •2. Комбинационные цифровые устройства
- •2.1. Понятие и последовательность синтеза
- •2.2. Способы задания кцу
- •2.3. Вывод минимальной фал
- •2.4. Базисы и минимальные базисы
- •2.6. Типовые кцу
- •4. Последовательностные цифровые устройства
- •4.1. Понятие и способ задания пцу
- •4.2. Понятие и классификация триггеров
- •4.3. Типовые триггеры
- •Встроенная память/кэш
- •5. Преобразователи сигналов
- •7. Принципы управления микропроцессора.
- •7.1. Классификация микропроцессоров.
- •7.2. Декомпозиция мп.
- •7.3. Принцип аппаратного управления ("жёсткой" логики).
- •7.4. Принцип микропрограммного управления (гибкой логики).
- •7.5. Способы формирования сигналов управления
- •Код номера
- •7.6. Операционное устройство мп.
- •7.7. Обобщённая структурная схема мп.
- •8. Элементы архитектуры мп.
- •8.1. Структура команд.
- •8.2. Способы адресации, основанные на прямом использовании
- •Номера реги- стров
- •Число 4527
- •Адрес 1765
- •8.3. Способы адресации, основанные на преобразовании кода команды.
- •8.4. Понятие вектора состояния мп.
- •8.5. Понятие системы прерывания программ.
- •8.6. Характеристики системы прерывания.
- •8.7. Способы организации приоритетного обслуживания
- •Счётчик
- •Счётчик
- •Компаратор
- •Код маски
- •8.8. Процесс выполнения команд. Рабочий цикл мп.
- •8.9. Конвейерная обработка команд и данных.
- •8.10. Особенности risc-архитектуры.
- •Регистры глобальных переменных
- •9.1. Способы обмена данными между устройствами
- •9.2. Методы передачи информации между устройствами
- •Общая шина
- •Регистр адреса
- •Цепи данных
- •Интерфейс пу
- •Канал ввода-вывода
- •Канал ввода-вывода
- •Данные от процессора
- •Данные в процессор
- •Регистр передатчика очищен
- •Регистр приёмника заполнен
- •10. Программное обеспечение мпс.
- •10.2. Алгоритмизация задач и язык sdl.
- •10.3. Уровни языков программирования.
- •10.4. Средства разработки прикладных программ.
- •10.5. Средства отладки прикладных программ.
- •10.6. Понятие надёжности мпс.
- •10.7. Контроль передачи информации.
- •10.10. Взаимодействие систем технического обслуживания.
- •Ш. Цифровые сигнальные процессоры
- •3.1. Структура цсп tms320c6x
- •3.2. Структура командной строки ассемблера tms320c6x
- •3.3. Особенности команд для чисел с фиксированной запятой
- •3.4. Ограничения целостности ресурса
- •Сетевые информационные технологии
- •11.1. Локальные вычислительные сети
- •11.2. Аппаратная база компьютерной телефонии
- •11.3. Глобальные сети
- •11.4. Основы защиты информации
- •Приложение. Система команд tms320с6х для чисел с фиксированной запятой
- •Команды пересылки данных
11.4. Основы защиты информации
Защита информации необходима для уменьшения вероятности утечки (разглашения), модификации (умышленного искажения) или утраты (уничтожения) информации, представляющей определенную ценность для ее владельца.
Методы защиты информации. Методом защиты информации называют порядок и правила применения определенных принципов и средств защиты информации. При обеспечении информационной безопасности на автономных ЭВМ и в сетях ключевую роль играют программно-аппаратные методы защиты информации: метод эталонных характеристик (получил применение в последние десятилетия), криптографические методы и стеганографические методы.
1. Метод эталонных характеристик применяется для решения задач защиты от несанкционированного доступа и поддержания целостности информации. Он заключается в анализе аппаратно-программной среды и формировании уникального идентификатора (пароль, секретные и открытые ключи и т.д.) аппаратно-программной среды. Только субъект, обладающий этим уникальным идентификатором, имеет право доступа к информации.
2. Суть криптографического метода защиты информации заключается в преобразовании при помощи ключа открытых данных в зашифрованные данные. Ключ – информация, необходимая для беспрепятственного шифрования и расшифровывания текстов.
Способы шифрования можно разделить на 4 группы: перестановки, замены, аддитивные и комбинированные. При перестановке все буквы исходного текста остаются без изменения, но перемещаются на другие позиции. Перестановки получаются в результате записи исходного текста по разным путям некоторой геометрической фигуры. При замене позиции букв не меняются, но буквы заменяются символами другого алфавита, в частности числами. В аддитивном методе к числам, заменяющим буквы, добавляются числа секретной псевдослучайной числовой последовательности. Комбинированные методы предполагают использование нескольких методов в определенной последовательности.
Современная криптография включает в себя симметричные криптосистемы, криптосистемы с открытым ключом и системы электронной подписи.
В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Поэтому ключ должен быть секретным и доступен только тем, кому предназначено сообщение.
В системах с открытым ключом используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого (секретного) ключа, известного только получателю сообщения.
Электронной (цифровой) подписью (ЭЦП) называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. ЭЦП обеспечивает целостность сообщений, передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, с гарантированной идентификацией ее автора.
3. Суть стеганографического метода защиты информации заключается в том, что скрываемое сообщение встраивается в некоторый обычный, не привлекающий внимания объект, который открыто транспортируется адресату. При этом скрывается сам факт существования тайного сообщения.
Цифровая стеганография – наука о незаметном и надежном скрытии одних битовых последовательностей в других, имеющих аналоговую природу. Цифровая стеганография использует встраивание информации с целью ее скрытой передачи, встраивание цифровых водяных знаков, встраивание идентификационных номеров, встраивание заголовков.
При скрытой передаче данные маскируются в сигнале (контейнере), в качестве которого могут выступать ауди-, видеосигнал или графическое изображение.
Цифровой водяной знак (ЦВЗ) – специальная метка, незаметно внедряемая в изображение или другой сигнал с целью контроля его использования. Они могут применяться для защиты от копирования и несанкционированного использования, защиты авторских прав и интеллектуальной собственности, представленной в цифровом виде.
Метод встраивания идентификационных номеров производителей имеет много общего с технологией ЦВЗ. Отличие заключается в том, что каждая защищенная копия имеет свой уникальный встраиваемый номер. Этот идентификационный номер позволяет производителю отследить, не занялся ли кто-нибудь из покупателей незаконным тиражированием. Если да, то наличие номера быстро укажет виновного.
Метод встраивания заголовков может применяться для подписи медицинских снимков, нанесения легенды на карту и в других случаях. Целью является хранение разнородно представленной информации в едином целом.
Средства защиты информации. Под средством защиты информации понимают техническое, программное средство, вещество и/или материал, предназначенное или используемое для защиты информации.
К основным программно-аппаратным средствам защиты информации можно отнести системы разграничения доступа, межсетевые экраны, системы обнаружения атак, средства анализа защищенности и системы построения VPN.
1. При разграничении доступа к ресурсам компьютерной системы пользователь должен пройти процесс первичного взаимодействия с ней – идентификацию и аутентификацию.
Идентификация – процедура распознавания пользователя по его идентификатору (имени).
Аутентификация – процедура проверки подлинности, позволяющая убедиться, что пользователь является именно тем, кем он себя объявляет. При этом субъект может предъявлять системе пароли, персональные идентификационные номера (PIN) и т.п.
После идентификации и аутентификации пользователя система защиты должна определить его полномочия для последующего контроля санкционированности доступа к компьютерным ресурсам.
2. Межсетевой экран (Fire Wall – огненная стена) – это программное или программно-аппаратное средство, реализующее контроль информации, поступающей в компьютерную систему и/или выходящей из нее.
Различают три основных типа межсетевого экрана (МЭ): сегментные, персональные и встраиваемые.
Под сегментными понимают МЭ, установленные на границе двух или более сетей. Таки образом, сегментные МЭ выполняют защиту сетей. Сегментный МЭ можно представить как сетевой маршрутизатор, который помимо основной задачи выполняет и анализ информационных потоков на соответствие требованиям политики безопасности. Информационные потоки, не удовлетворяющие этим требованиям, блокируются.
Персональные МЭ защищают рабочие станции от внешних сетевых угроз и сетевых троянских программ. Среди таких МЭ выделяют пакетные фильтры, прокси-серверы и гибридные МЭ. Пакетные фильтры отслеживают только сетевые пакеты на сетевом и транспортном уровне и не могут отслеживать соответствие пакетов и сетевых приложений. Прокси-серверы отслеживают активность сетевых приложений. Гибридные МЭ поддерживают функциональность и пакетных фильтров, и мониторов приложений, что позволяет реализовывать политику безопасности на уровне сетевых приложений и на пакетном уровне.
Встраиваемые МЭ устанавливаются на прикладных серверах и предназначены для их защиты. Встраиваемые МЭ обеспечивают защиту по принципу персональных фильтрующих МЭ, однако не обеспечивают интерактивности взаимодействия с администратором прикладного сервера.
3. Средства защиты информации на основе методов построения систем обнаружения атак (СОА) условно разделяют на 2 класса:
СОА на уровне сети анализируют сетевой трафик, вследствие чего они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Анализ заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании, как правило, механизма поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность;
СОА на уровне компьютера пользователя анализирует регистрационные журналы (log, audit trail), создаваемые операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д.
4. Для проведения активного аудита безопасности используются специальные программные средства, выполняющие обследование компьютерной системы с целью выявления уязвимых мест (наличия «дыр») для электронного вторжения, а также, обеспечивающие комплексную оценку степени защищенности от атак нарушителей.
Существуют два метода автоматизации процессов анализа защищенности: использование технологии интеллектуальных программных агентов и активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в компьютерную систему.
В первом случае система защиты строится на архитектуре консоль/ менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет настройки программного обеспечения и проверяет их правильность, контролирует целостность файлов и своевременность установки пакетов программных коррекций. Менеджеры посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов, в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью производятся по защищенному клиент-серверному протоколу. Примерами развитых продуктов этого класса является система ESM компании Symantec и System Scanner компании ISS.
Во втором случае применяются сетевые сканеры. Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит. При этом используются известные уязвимости сетевых служб, сетевых протоколов и операционных систем для осуществления удаленных атак на системные ресурсы и производится документирование удачных попыток. Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер Net Recon компании Symantec, база данных которого содержит около 800 уязвимостей Unix, Windows и NetWare систем и постоянно обновляется через Web.
5. Технология VPN (Virtual Private Network) – виртуальная частная сеть, позволяет использовать сети общего пользования для построения защищенных сетевых соединений. Термин «виртуальная» указывает на то, что соединение между двумя узлами сети не является постоянным и существует только во время прохождения трафика по сети. В основе построения лежит следующая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации необходимо построить виртуальный туннель, доступ к которому должен быть затруднен всем возможным внешним наблюдателям.
Технология VPN выполняет две основные функции: шифрование данных для обеспечения безопасности сетевых соединений и туннелирование высокая скорость обработки запросов. Недостаток – низкое качество обработки информации;
создание Web-каталогов. Этот подход предполагает организацию предметно-ориентированной информационной системы с каталогами. Анализ и классификация поступающих данных выполняются квалифицированными специалистами. Популярными зарубежными представителями поисковых систем такого типа являются Yahoo! (http://www.yahoo.com) и Magellan (http://www.magellan.com), а отечественным – Атрус (@Rus) (http://www.atrus.ru/). Достоинством их является высокое качество сортировки информации, недостатком – высокая трудоемкость создания и обновления информации;
гибридные системы поиска. В таких системах можно пользоваться и индексами и тематическими каталогами. Представителями гибридных систем поиска являются Lycos (http://www.lycos.com), Excite (http://www.excite.com) и WebCrawler (http://www.webcrawler.com). Достоинства и недостатки гибридных систем поиска определяются степенью реализации первого и второго принципов хранения и поиска информации;
онлайновые справочники. Они составляются вручную, но, в отличие от Web-каталогов, не содержат внутренний поисковый механизм, поэтому информацию в них нужно искать самостоятельно. К числу широко известных онлайновых справочников относятся: Whole Internet Catalog (http://nearnet.gnn.com/gnn/wic/index.html), Web Server Directory (http://www.w3.org/hypertext/DataSource/WWW/Servers.html), тематический справочник BigBook (http://www.bigbook.com), алфавитный классификатор Hoovers (http://www.hoovers.com).