- •1 Введение в дисциплину
- •1.1 Проблема защиты информации, эволюция подходов к обеспечению защиты информации. Основные понятия и определения курса
- •1.2 Информационная безопасность в условиях функционирования в России глобальных сетей
- •2. Угрозы и нарушения информационной безопасности, основные способы защиты
- •2.1 Угрозы и нарушения информационной системы
- •2.1.1 Понятие угрозы информационной безопасности. Классификация угроз
- •2.1.2 Три вида возможных нарушений информационной системы
- •2.1.3 Виды противников или «нарушителей»
- •2.2 Защита от несанкционированного доступа к информационной системе
- •2.2.1 Инженерно-технические методы и средства защиты информации
- •2.2.2 Аппаратные средства защиты информации
- •2.2.3 Программные средства защиты информации
- •2.2.4 «Аутентификация пользователей»
- •2.2.5 Программно-аппаратная защита информации от локального несанкционированного доступа
- •2.2.6 Комплексные системы защиты информации
- •3 Организационно-правовое обеспечение информационной безопасности
- •3.1 Основные методы и средства организации защиты информации от несанкционированного доступа
- •3.1.1 Организационно-правовая защита информации
- •3.1.2 Основные виды мероприятий по защите информации
- •3.1.3 Уровни правового обеспечения информационной безопасности
- •3.1.4 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
- •3.1.5 Назначение и задачи в сфере обеспечения информационный безопасности на уровне государства
- •3.2 Международные стандарты информационного обмена
- •3.2.1 Стандартизация в мире
- •3.2.2 Критерии оценки безопасности компьютерных систем или «Оранжевая книга»
- •3.2.3 Информационная безопасность распределенных систем. Рекомендации X.800
- •3.2.4 Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •3.2.5 Гармонизированные критерии Европейских стран
- •3.2.6 Интерпретация "Оранжевой книги" для сетевых конфигураций
- •3.2.7 Руководящие документы Гостехкомиссии России
- •4 Основные положения теории безопасности информационных систем
- •4.1 Модели безопасности и их применение
- •4.1.1 Модель систем дискреционного разграничения доступа
- •4.1.2 Мандатное управление доступом
- •4.1.3 Ролевое разграничение
- •4.2 Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование
- •4.2.1 Таксономия изъянов защиты (из)
- •4.2.2 Таксономия причин возникновения изъянов защиты
- •4.2.3 Анализ способов нарушений информационной безопасности
- •4.3 Использование защищённых компьютерных систем
- •4.3.1 Понятие «защищенность». Концепция «Защищенные информационные системы»
- •История
- •4.3.2 Защищенные технологии в целом
- •4.3.3 Модель защищенных информационных систем
- •Средства
- •4.3.4 Проблемы использования защищенных компьютерных систем
- •Сложность обработки данных
- •Избыточность аппаратных средств
- •Межмашинные процессы
- •Идентификация личности пользователя
- •Средства программирования
- •Функциональная совместимость16
- •Концептуальные модели
- •4.4 Методы антивирусной защиты информационных систем
- •4.4.1 Понятие о видах вирусов
- •4.4.2 Программные закладки
- •4.4.3 Проблема выбора антивирусной программы
- •4.4.5 Методика использования антивирусных программ
- •4.4.6 Перспективные методы антивирусной защиты информационных систем
- •4.5 Экономические информационные системы и их безопасность
- •4.5.1 Понятие Экономической информационной системы
- •4.5.2 Основные технологии построения защищенных эис
- •5 Криптология
- •5.1 Введение в криптологию. Методы криптографии
- •5.1.1 Криптография и криптоанализ. История криптографии
- •5.1.2 Методы криптографии
- •5.1.3 Криптографические стандарты des и гост 28147—89
- •5.2 Криптографический интерфейс приложений ос «Windows»
- •5.2.1 Понятие защищенной и незащищенной ос
- •5.2.2 Защита документов Microsoft Office от несанкционированного доступа
Средства программирования
При каждом из этих подходов требуются новые виды программного обеспечения. По мере того, как абсолютное число машин и их сложность растет, процесс администрирования начинает сталкиваться с проблемой нехватки обученных людей и их возможностей.
Поэтому сообществу разработчиков средств программирования необходимо задуматься о создании более подходящих способов написания программ. Людям, традиционно размышляющим над тем, как управлять компьютерами, предстоит подумать о том, как расширить возможности компьютеров по самоорганизации и самоуправлению.
Нам нужно продолжать совершенствование средств программирования, потому что сегодня программирование слишком подвержено ошибкам. Однако существующие средства не обеспечивают адекватной поддержки, поскольку остается ряд уровней абстракции, требующих непосредственного управления. Другими словами, проектировщику приходится не только учитывать архитектуру системы и вопросы платформ и библиотек, но также и все остальное – от производительности, локализации и удобства сопровождения до структур данных, многопоточности и управления памятью. Слабо поддерживается параллельное программирование: большинство управляющих конструкций строятся последовательно, и весь процесс также носит последовательный характер. И это только на стадии разработки; на этапе развертывания становится все труднее проверять сложные взаимодействия систем, версий и широкого спектра операционных сред. Кроме того, все большее распространение получают инструменты, предлагающие усовершенствованные функции разработки более широким слоям пользователей, но не помогающие новичкам и неопытным пользователям писать хороший код. Есть также вопросы из области долгосрочного функционирования: например, инструменты не поддерживают выход технологий из употребления или изменение тенденций, касающихся возможностей устройств, объемов хранения, скорости и т.п. Подумайте о колоссальных усилиях, затраченных на Проблему-2000 из-за того, что программисты 60-х и 70-х годов не ожидали, что их код все еще будет использоваться на машинах, намного превосходящих возможности машин того времени.
Функциональная совместимость16
Рост Интернета продемонстрировал, что стандартные технологии – от TCP/IP до HTTP – необходимый элемент для создания крупномасштабных, многоцелевых компьютерных систем, способных приносить людям пользу и завоевывать их внимание. (Подобные же стандарты, введенные техническими средствами или посредством регулирования, или тем и другим способом одновременно, принесли успех и многим другим технологиям – от железных дорог до телевидения.) Очевидно и неизбежно, что функционально совместимые системы еще долгое время будут направлять развитие индустрии высоких технологий.
Однако функциональная совместимость ставит перед ИТ-индустрией уникальный ряд проблем с точки зрения технологий, регулирующих норм и практики бизнеса. Существующие «защищенные» информационные системы, например, сеть управления воздушным движением, очень сложны и в большой степени зависят друг от друга, но в то же время они разработаны для специальных задач, редко модифицируются и строго контролируются из единого центра. Остается открытым вопрос, может ли распределенная, гибкая и динамическая компьютерная система с нефиксированной организацией – построенная на функционально совместимых технологиях – когда-либо достичь такого же уровня безотказности и защищенности.
Функциональная совместимость также ставит определенную проблему с точки зрения ответственности и доверия, поскольку все труднее найти того, кто отвечает за недостатки. Если в сегодняшнем Интернете – построенном на принципах децентрализации и коллективного управления – произойдет какой-то массированный сбой, кто будет нести ответственность за это? Одна из важных причин, по которым люди не склонны доверять Интернету, состоит в том, что они не могут с легкостью определить, кто отвечает за его недостатки: кого вы будете винить за катастрофическое нарушение работы сети или за крах системы доменных имен? Если мы хотим создать и использовать полностью функционально совместимую (и взаимозависимую) систему, которой люди смогут доверять, мы должны ясно определиться, кто за что отвечает.