Укажите наиболее существенные с точки зрения безопасности

“ Основные программно-технические меры ”

Цель работы:

1.1. Основные понятия программно-технического уровня информационной безопасности

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что основную часть ущерба наносят действия легальных пользователей, по отношению к которым процедурные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству организации, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

Следует, однако, учитывать, что быстрое развитие информационных технологий не только дает новые возможности обороняющимся, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:

• 
  повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;
• 
  развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют число злоумышленников, имеющих техническую возможность организовывать атаки;
• 
  появление новых информационных сервисов ведет и к появлению новых уязвимостей как «внутри» сервисов, так и на их стыках;
• 
  конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что ведет к снижению качества тестирования и выпуску продуктов с дефектами защиты;
• 
  навязываемая потребителям парадигма постоянного наращивания аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.
• 
  Перечисленные соображения лишний раз подчеркивают важность комплексного подхода к информационной безопасности, а также необходимость динамичной позиции при выборе и сопровождении программно-технических регуляторов.

Центральным для программно-технического уровня является понятие сервиса безопасности.

Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Назовем их основными. Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов — от СУБД и мониторов транзакций до ядра операционной системы и оборудования.

В число вспомогательных входят сервисы безопасности (мы уже сталкивались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересовать универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Далее будут изучены:

• 
  идентификация и аутентификация;
• 
  управление доступом;
• 
  протоколирование и аудит;
• 
  шифрование;
• 
  контроль целостности;
• 
  экранирование;
• 
  анализ защищенности;
• 
  обеспечение отказоустойчивости;
• 
  обеспечение безопасного восстановления;
• 
  туннелирование;
• 
  управление.

Будут описаны требования к сервисам безопасности, их функциональность, возможные методы реализации, место в общей архитектуре.

Если сопоставить приведенный перечень сервисов с классами функциональных требований «Общих критериев», то бросается в глаза их существенное несовпадение. Мы отказались от рассмотрения вопросов, связанных с приватностью, по следующей причине. На наш взгляд, сервис безопасности, хотя бы частично, должен находиться в распоряжении того, кого он защищает. В ситуации с приватностью это не так: критически важные компоненты сосредоточены не на клиентской, а на серверной стороне, так что приватность по существу оказывается свойством предлагаемой информационной услуги (в простейшем случае приватность достигается сохранением конфиденциальности серверной регистрационной информации и защитой от перехвата данных, для чего достаточно перечисленных нами сервисов безопасности).

С другой стороны, наш перечень шире, чем в «Общих критериях», поскольку в него входят экранирование, анализ защищенности и туннелирование. Мы покажем, что эти сервисы имеют важное самостоятельное значение и, кроме того, могут комбинироваться с другими сервисами для получения таких необходимых защитных средств, как, например, виртуальные собственные сети.

Совокупность перечисленных выше сервисов безопасности мы будем называть полным набором. Согласно современным воззрениям, он в принципе достаточен для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимостей, безопасное администрирование и т.д., и т.п.).

Для проведения классификации сервисов безопасности и определения их места в общей архитектуре целесообразно подразделить меры безопасности на следующие виды:

• 
  превентивные, препятствующие нарушениям ИБ;
• 
  меры обнаружения нарушений;
• 
  локализующие, сужающие зону воздействия нарушений;
• 
  меры по прослеживанию нарушителя;
• 
  меры восстановления режима безопасности.

Большинство сервисов безопасности попадает в число превентивных, и это, безусловно, правильно. Аудит и контроль целостности способны помочь в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

1.2. Особенности современных информационных систем, существенные с точки зрения безопасности

Информационная система типичной современной организации является весьма сложным образованием, построенным в многоуровневой архитектуре клиент/сервер, пользующимся многочисленными внешними сервисами и, в свою очередь, предоставляющим собственные сервисы вовне. Даже сравнительно небольшие магазины, обеспечивающие расчет с покупателями по пластиковым картам (и, конечно, имеющие внешний Web-сервер), критическим образом зависят от своих информационных систем и, в частности (и вместе с покупателями), — от защищенности всех компонентов систем и коммуникаций между ними.

С точки зрения безопасности наиболее существенными представляются следующие аспекты современных ИС:

• 
  корпоративная сеть имеет несколько территориально разнесенных частей (поскольку организация располагается на нескольких производственных площадках), связи между которыми находятся в ведении внешнего поставщика сетевых услуг, выходя за пределы зоны, контролируемой организацией;
• 
  корпоративная сеть имеет одно или несколько подключений к Интернет;
• 
  на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, мобильные работники и, возможно, сотрудники сторонних организаций и другие внешние пользователи;
• 
  для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь;
• 
  в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;
• 
  к доступности информационных сервисов предъявляются жесткие требования, обычно выражающиеся в необходимости круглосуточного функционирования с максимальным временем простоя порядка минут или десятков минут;
• 
  информационная система представляет собой сеть с активными агентами, то есть в процессе работы программные компоненты, такие как аплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;
• 
  не все пользовательские системы контролируются сетевыми и/или системными администраторами организации;
• 
  программное обеспечение, особенно полученное по сети, не может считаться доверенным, в нем могут присутствовать зловредные элементы или ошибки, создающие уязвимости в защите;
• 
  конфигурация информационной системы постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии, версии программ, появляются новые сервисы, новая аппаратура и т.п.).

Следует учитывать еще по крайней мере два момента. Во-первых, для каждого сервиса основные грани ИБ (доступность, целостность, конфиденциальность) трактуются по-своему. Целостность с точки зрения системы управления базами данных и с точки зрения почтового сервера — вещи принципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Следует анализировать защищенность сервисов, функционирующих в сети. Для разных сервисов и защиту строят по-разному. Во-вторых, основная угроза информационной безопасности организаций по-прежнему исходит не от внешних злоумышленников, а от собственных сотрудников, по той или иной причине не являющихся лояльными.

В силу изложенных причин далее будут рассматриваться распределенные, разнородные, многосервисные, эволюционирующие системы. Соответственно, нас будут интересовать решения, ориентированные на подобные конфигурации.

1.3. Архитектурная безопасность

Сервисы безопасности, какими бы мощными и стойкими они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только разумная, проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.

Теоретической основой решения проблемы архитектурной безопасности является следующее фундаментальное утверждение, которое мы уже приводили при рассмотрении Интерпретации «Оранжевой книги» для сетевых конфигураций:

Утверждение. Пусть каждый субъект (то есть процесс, действующий от имени какого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Пусть, далее, каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации.

Обратим внимание на три принципа, содержащиеся в приведенном утверждении:

• 
  необходимость выработки и проведения в жизнь единой политики безопасности;
• 
  необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях;
• 
  необходимость формирования составных сервисов по содержательному принципу, чтобы каждый полученный таким образом компонент обладал полным набором защитных средств и с внешней точки зрения представлял собой единое целое (не должно быть информационных потоков, идущих к незащищенным сервисам).

Если какой-либо (составной) сервис не обладает полным набором защитных средств (состав полного набора описан выше), необходимо привлечение дополнительных сервисов, которые мы будем называть экранирующими. Экранирующие сервисы устанавливаются на путях доступа к недостаточно защищенным элементам; в принципе, один такой сервис может экранировать (защищать) сколь угодно большое число элементов.

С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности:

• 
  непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
• 
  следование признанным стандартам, использование апробированных решений;
• 
  иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
• 
  усиление самого слабого звена;
• 
  невозможность перехода в небезопасное состояние;
• 
  минимизация привилегий;
• 
  разделение обязанностей;
• 
  эшелонированность обороны;
• 
  разнообразие защитных средств;
• 
  простота и управляемость информационной системы.
• 
  Поясним смысл перечисленных принципов.

Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. Определенные выше экранирующие сервисы должны исключить подобную возможность.

Следование признанным стандартам, использование апробированных решений повышает надежность ИС, уменьшает вероятность попадания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и принципиальных модификаций.

Иерархическая организация ИС с небольшим числом сущностей на каждом уровне необходима по технологическим соображениям. При нарушении данного принципа система станет необозримой и, следовательно, обеспечить ее безопасность будет невозможно.

Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. (Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.)

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.

Применительно к программно-техническому уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа — уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников. Соблюдение данного принципа особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и, как последний рубеж, — протоколирование и аудит. Эшелонированная оборона способна по крайней мере задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществить централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и плохо управляемой.

Для обеспечения высокой доступности (непрерывности функционирования) необходимо соблюдать следующие принципы архитектурной безопасности:

• 
  Внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.).
• 
  Наличие средств обнаружения нештатных ситуаций.
• 
  Наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность.
• 
  Рассредоточенность сетевого управления, отсутствие единой точки отказа.
• 
  Выделение подсетей и изоляция групп пользователей друг от друга. Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности.

Еще одним важным архитектурным принципом следует признать минимизацию объема защитных средств, выносимых на клиентские системы. Причин тому несколько:

• 
  для доступа в корпоративную сеть могут использовать потребительские устройства с ограниченной функциональностью;
• 
  конфигурацию клиентских систем трудно или невозможно контролировать.

К необходимому минимуму следует отнести реализацию сервисов безопасности на сетевом и транспортном уровнях и поддержку механизмов аутентификации, устойчивых к сетевым угрозам.

2. Порядок выполнения работы
1.Ознакомиться с основными программно-техническими мерами.

2.Выполнить практическое задание.

3.Ответить на контрольные вопросы.
3. Практические задания

1. Разработать интерфейс пользователя «Основные программно-технические меры».
4. Контрольные вопросы
Вариант 1

1. Протоколирование и аудит могут использоваться для:

• 
  предупреждения нарушений ИБ
• 
  обнаружения нарушений
• 
  восстановления режима ИБ

2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

• 
  доминирование платформы Wintel
• 
  наличие подключения к Internet
• 
  наличие разнородных сервисов

3. В число основных принципов архитектурной безопасности входят:

• 
  применение наиболее передовых технических решений
• 
  применение простых апробированных решений
• 
  сочетание простых и сложных защитных средств

Вариант 2

1. Экранирование может использоваться для:

• 
  предупреждения нарушений ИБ
• 
  обнаружения нарушений
• 
  локализации последствий нарушений

2. Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

• 
  низкая пропускная способность большинства коммуникационных каналов
• 
  сложность администрирования пользовательских компьютеров
• 
  отсутствие достаточного набора криптографических аппаратно-программных продуктов

3. В число основных принципов архитектурной безопасности входят:

• 
  следование признанным стандартам
• 
  применение нестандартных решений, не известных злоумышленникам
• 
  разнообразие защитных средств

Вариант 3

Ответы на тесты Интуит

Активные пользователи

• Windik (4)
• Westler (462)
• Wertyoz (6)
• Rostelecom (60)
• pupil (1)
• pred (1)
• Nikitoki (3)
• MOTOMOTO3 (35)
• Maniac-Party (14)
• Malek (5)
• laterra (20)
• LASDORF (1)
• Getmanin (3)
• fyz734 (38)
• fedjovlaa (11)
• faworesandra (31)
• emz (989)
• akira (1)

Спасибо за помощь в наполнении сайта

Вход в систему

Объявление

Ищу партнеров в бизнес (не связано с интуитом)
Подробнее тут.

Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

доминирование платформы Wintel
√ наличие подключения к Internet
√ наличие разнородных сервисов

Особенности современных информационных систем, существенные с точки зрения безопасности

Глава 3. Меры ИБ

Лекция #9: Основные программно-технические меры

Основные понятия программно-технического уровня информационной безопасности

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что основную часть ущерба наносят действия легальных пользователей, по отношению к которым процедурные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству организации, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

Следует, однако, учитывать, что быстрое развитие информационных технологий не только дает новые возможности обороняющимся, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:

· повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;

· развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют число злоумышленников, имеющих техническую возможность организовывать атаки;

· появление новых информационных сервисов ведет и к появлению новых уязвимостей как «внутри» сервисов, так и на их стыках;

· конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что ведет к снижению качества тестирования и выпуску продуктов с дефектами защиты;

· навязываемая потребителям парадигма постоянного наращивания аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.

Перечисленные соображения лишний раз подчеркивают важность комплексного подхода к информационной безопасности, а также необходимость динамичной позиции при выборе и сопровождении программно-технических регуляторов.

Центральным для программно-технического уровня является понятие сервиса безопасности.

Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Назовем их основными. Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов — от СУБД и мониторов транзакций до ядра операционной системы и оборудования.

В число вспомогательных входят сервисы безопасности (мы уже сталкивались с ними при рассмотрении стандартов и спецификаций в области ИБ); среди них нас в первую очередь будут интересовать универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Далее будут изучены:

· идентификация и аутентификация;

· управление доступом;

· протоколирование и аудит;

· шифрование;

· контроль целостности;

· экранирование;

· анализ защищенности;

· обеспечение отказоустойчивости;

· обеспечение безопасного восстановления;

· туннелирование;

· управление.

Будут описаны требования к сервисам безопасности, их функциональность, возможные методы реализации, место в общей архитектуре.

Если сопоставить приведенный перечень сервисов с классами функциональных требований «Общих критериев», то бросается в глаза их существенное несовпадение. Мы отказались от рассмотрения вопросов, связанных с приватностью, по следующей причине. На наш взгляд, сервис безопасности, хотя бы частично, должен находиться в распоряжении того, кого он защищает. В ситуации с приватностью это не так: критически важные компоненты сосредоточены не на клиентской, а на серверной стороне, так что приватность по существу оказывается свойством предлагаемой информационной услуги (в простейшем случае приватность достигается сохранением конфиденциальности серверной регистрационной информации и защитой от перехвата данных, для чего достаточно перечисленных нами сервисов безопасности).

С другой стороны, наш перечень шире, чем в «Общих критериях», поскольку в него входят экранирование, анализ защищенности и туннелирование. Мы покажем, что эти сервисы имеют важное самостоятельное значение и, кроме того, могут комбинироваться с другими сервисами для получения таких необходимых защитных средств, как, например, виртуальные собственные сети.

Совокупность перечисленных выше сервисов безопасности мы будем называть полным набором. Согласно современным воззрениям, он в принципе достаточен для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимостей, безопасное администрирование и т.д., и т.п.).

Для проведения классификации сервисов безопасности и определения их места в общей архитектуре целесообразно подразделить меры безопасности на следующие виды:

· превентивные, препятствующие нарушениям ИБ;

· меры обнаружения нарушений;

· локализующие, сужающие зону воздействия нарушений;

· меры по прослеживанию нарушителя;

· меры восстановления режима безопасности.

Большинство сервисов безопасности попадает в число превентивных, и это, безусловно, правильно. Аудит и контроль целостности способны помочь в обнаружении нарушений; активный аудит, кроме того, позволяет запрограммировать реакцию на нарушение с целью локализации и/или прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Наконец, управление играет инфраструктурную роль, обслуживая все аспекты ИС.

Информационная система типичной современной организации является весьма сложным образованием, построенным в многоуровневой архитектуре клиент/сервер, пользующимся многочисленными внешними сервисами и, в свою очередь, предоставляющим собственные сервисы вовне. Даже сравнительно небольшие магазины, обеспечивающие расчет с покупателями по пластиковым картам (и, конечно, имеющие внешний Web-сервер), критическим образом зависят от своих информационных систем и, в частности (и вместе с покупателями), — от защищенности всех компонентов систем и коммуникаций между ними.

С точки зрения безопасности наиболее существенными представляются следующие аспекты современных ИС:

· корпоративная сеть имеет несколько территориально разнесенных частей (поскольку организация располагается на нескольких производственных площадках), связи между которыми находятся в ведении внешнего поставщика сетевых услуг, выходя за пределы зоны, контролируемой организацией;

· корпоративная сеть имеет одно или несколько подключений к Интернет;

· на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, мобильные работники и, возможно, сотрудники сторонних организаций и другие внешние пользователи;

· для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь;

· в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;

· к доступности информационных сервисов предъявляются жесткие требования, обычно выражающиеся в необходимости круглосуточного функционирования с максимальным временем простоя порядка минут или десятков минут;

· информационная система представляет собой сеть с активными агентами, то есть в процессе работы программные компоненты, такие как аплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;

· не все пользовательские системы контролируются сетевыми и/или системными администраторами организации;

· программное обеспечение, особенно полученное по сети, не может считаться доверенным, в нем могут присутствовать зловредные элементы или ошибки, создающие уязвимости в защите;

· конфигурация информационной системы постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии, версии программ, появляются новые сервисы, новая аппаратура и т.п.).

Следует учитывать еще по крайней мере два момента. Во-первых, для каждого сервиса основные грани ИБ (доступность, целостность, конфиденциальность) трактуются по-своему. Целостность с точки зрения системы управления базами данных и с точки зрения почтового сервера — вещи принципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Следует анализировать защищенность сервисов, функционирующих в сети. Для разных сервисов и защиту строят по-разному. Во-вторых, основная угроза информационной безопасности организаций по-прежнему исходит не от внешних злоумышленников, а от собственных сотрудников, по той или иной причине не являющихся лояльными.

В силу изложенных причин далее будут рассматриваться распределенные, разнородные, многосервисные, эволюционирующие системы. Соответственно, нас будут интересовать решения, ориентированные на подобные конфигурации.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: При сдаче лабораторной работы, студент делает вид, что все знает; преподаватель делает вид, что верит ему. 8438 — | 6698 — или читать все.

193.124.117.139 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)
очень нужно

Укажите наиболее существенные с точки зрения безопасности

Please note that GitHub no longer supports your web browser.

We recommend upgrading to the latest Google Chrome or Firefox.

Join GitHub today

GitHub is home to over 36 million developers working together to host and review code, manage projects, and build software together.

qa / intuitu.net / parsed / Osnovy-informatsionnoj-bezopasnosti.md

Сложность обеспечения информационной безопасности является следствием:

• злого умысла разработчиков информационных систем
• объективных проблем современной технологии программирования
• происков западных спецслужб, встраивающих «закладки» в аппаратуру и программы

В число универсальных сервисов безопасности входят:

• шифрование
• средства построения виртуальных частных сетей
• туннелирование

В число принципов управления персоналом входят:

• «разделяй и властвуй»
• разделение обязанностей
• инкапсуляция наследования

Комплексное экранирование может обеспечить:

• разграничение доступа по сетевым адресам
• выборочное выполнение команд прикладного протокола
• контроль объема данных, переданных по TCP-соединению

Уровень безопасности C, согласно «Оранжевой книге», характеризуется:

• произвольным управлением доступом
• принудительным управлением доступом
• верифицируемой безопасностью

Перехват данных является угрозой:

• доступности
• конфиденциальности
• целостности

Что из перечисленного не относится к числу основных аспектов информационной безопасности:

• доступность
• целостность
• защита от копирования
• конфиденциальность

В число целей политики безопасности верхнего уровня входят:

• формулировка административных решений по важнейшим аспектам реализации программы безопасности
• выбор методов аутентификации пользователей
• обеспечение базы для соблюдения законов и правил

В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

• законодательные меры
• меры обеспечения доступности
• профилактические меры

Оценка рисков позволяет ответить на следующие вопросы:

• существующие риски приемлемы?
• кто виноват в том, что риски неприемлемы?
• что делать, чтобы риски стали приемлемыми?

В число этапов управления рисками входят:

• анализ угроз
• угрозы проведения анализа
• выявление уязвимых мест

Агрессивное потребление ресурсов является угрозой:

• доступности
• конфиденциальности
• целостности

В рамках программы безопасности нижнего уровня определяются:

• совокупность целей безопасности
• набор используемых механизмов безопасности
• наиболее вероятные угрозы безопасности

«Общие критерии» содержат следующие виды требований:

• функциональные
• доверия безопасности
• экономической целесообразности

В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:

• системы электронной коммерции
• инфраструктуру для электронных цифровых подписей
• средства электронной аутентификации

Что из перечисленного относится к числу основных аспектов информационной безопасности:

• подотчетность — полнота регистрационной информации о действиях субъектов
• приватность — сокрытие информации о личности пользователя
• конфиденциальность — защита от несанкционированного ознакомления

Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:

• аутентификация
• идентификация
• туннелирование

На современном этапе развития законодательного уровня информационной безопасности в России важнейшее значение имеют:

• меры ограничительной направленности
• направляющие и координирующие меры
• меры по обеспечению информационной независимости

Меры информационной безопасности направлены на защиту от:

• нанесения неприемлемого ущерба
• нанесения любого ущерба
• подглядывания в замочную скважину

Совместно с криптографическими сервисами туннелирование может применяться для достижения следующих целей:

• обеспечение гарантированной полосы пропускания
• обеспечение высокой доступности сетевых сервисов
• обеспечение конфиденциальности и целостности передаваемых данных

В число возможных стратегий нейтрализации рисков входят:

• ликвидация риска
• игнорирование риска
• принятие риска

Что из перечисленного не относится к числу основных аспектов информационной безопасности:

• доступность
• масштабируемость
• целостность
• конфиденциальность

Согласно стандарту X.700, в число функций управления безопасностью входят:

• создание инцидентов
• реагирование на инциденты
• устранение инцидентов

Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

• доминирование платформы Wintel
• наличие подключения к Internet
• наличие разнородных сервисов

Риск является функцией:

• вероятности реализации угрозы
• стоимости защитных средств
• числа уязвимостей в системе

В число этапов жизненного цикла информационного сервиса входят:

• эксплуатация
• спецификация прав человека
• выведение из эксплуатации

В число классов функциональных требований «Общих критериев» входят:

• анонимность
• приватность
• связь

Доступность достигается за счет применения мер, направленных на повышение:

• безотказности
• лояльности
• дисциплинированности

Уголовный кодекс РФ не предусматривает наказания за:

• увлечение компьютерными играми в рабочее время
• неправомерный доступ к компьютерной информации
• нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Сложность обеспечения информационной безопасности является следствием:

• невнимания широкой общественности к данной проблематике
• все большей зависимости общества от информационных систем
• быстрого прогресса информационных технологий, ведущего к постоянному изменению информационных систем и требований к ним

Что из перечисленного не относится к числу основных аспектов информационной безопасности:

• доступность
• целостность
• конфиденциальность
• правдивое отражение действительности

В число принципов физической защиты входят:

• беспощадный отпор
• непрерывность защиты в пространстве и времени
• минимизация защитных средств

Туннелирование может применяться для достижения следующих целей:

• защита паролей от перехвата
• обеспечение конфиденциальности трафика
• защита от воспроизведения трафика

Самыми опасными угрозами являются:

• непреднамеренные ошибки штатных сотрудников
• вирусные инфекции
• атаки хакеров

Достоинствами асинхронного тиражирования являются:

• идейная простота
• простота реализации
• устойчивость к отказам сети

Компьютерная преступность в мире:

• остается на одном уровне
• снижается
• растет

В число классов мер процедурного уровня входят:

• управление персоналом
• управление персоналками
• реагирование на нарушения режима безопасности

Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:

• сетевом
• транспортном
• сеансовом

В число возможных стратегий нейтрализации рисков входят:

• уменьшение риска
• сокрытие риска
• афиширование риска

Уголовный кодекс РФ не предусматривает наказания за:

• неправомерный доступ к компьютерной информации
• создание, использование и распространение вредоносных программ
• массовую рассылку незапрошенной рекламной информации

Что понимается под информационной безопасностью:

• защита душевного здоровья телезрителей
• защита от нанесения неприемлемого ущерба субъектам информационных отношений
• обеспечение информационной независимости России

В число направлений повседневной деятельности на процедурном уровне входят:

• резервное копирование
• управление носителями
• изготовление резервных носителей

В число направлений физической защиты входят:

• противопожарные меры
• межсетевое экранирование
• контроль защищенности

Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:

• с программно-технической точки зрения, информационная безопасность — ветвь информационных технологий и должна развиваться по тем же законам
• объектно-ориентированный подход популярен в академических кругах
• объектно-ориентированный подход поддержан обширным инструментарием

Управление рисками включает в себя следующие виды деятельности:

• переоценка рисков
• нейтрализация источников угроз
• нейтрализация рисков

После идентификации угрозы необходимо оценить:

• вероятность ее осуществления
• ущерб от ее осуществления
• частоту ее осуществления

Окно опасности — это:

• промежуток времени
• часть пространства
• плохо закрепленная деталь строительной конструкции

В число этапов жизненного цикла информационного сервиса входят:

• инициация
• терминация
• установка

Аутентификация на основе пароля, переданного по сети в зашифрованном виде и снабженного открытой временной меткой, плоха, потому что не обеспечивает защиты от:

• перехвата
• воспроизведения
• атак на доступность

Большинство людей не совершают противоправных действий потому, что это:

• осуждается и/или наказывается обществом
• технически невозможно
• сулит одни убытки

Сложность обеспечения информационной безопасности является следствием:

• комплексного характера данной проблемы, требующей для своего решения привлечения специалистов разного профиля
• наличия многочисленных высококвалифицированных злоумышленников
• развития глобальных сетей

Средний ущерб от компьютерного преступления в США составляет примерно:

• сотни тысяч долларов
• десятки долларов
• копейки

В число уровней, на которых группируются меры обеспечения информационной безопасности, входят:

• законодательный
• исполнительный
• судебный

Каркас необходим системе управления для придания:

• гибкости
• жесткости
• устойчивости

Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:

• да, поскольку обеспечение информационной безопасности — проблема комплексная
• нет, поскольку информационная безопасность — техническая дисциплина
• не имеет значения, поскольку если что-то понадобится, это легко найти

Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:

• систем анализа защищенности
• систем активного аудита
• систем идентификации

В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:

• разделение обязанностей
• модульность архитектуры
• ориентация на простоту решений

Интенсивности отказов независимых компонентов:

• складываются
• умножаются
• возводятся в квадрат и складываются

Эффективность информационного сервиса может измеряться как:

• рентабельность работы сервиса
• максимальное время обслуживания запроса
• количество одновременно обслуживаемых пользователей

Доступность достигается за счет применения мер, направленных на повышение:

• морозоустойчивости
• отказоустойчивости
• неотказуемости

Информационный сервис считается недоступным, если:

• его эффективность не удовлетворяет наложенным ограничениям
• подписка на него стоит слишком дорого
• не удается найти подходящий сервис

Системы анализа защищенности помогают:

• оперативно пресечь известные атаки
• предотвратить известные атаки
• восстановить ход известных атак

На межсетевые экраны целесообразно возложить следующие функции:

• антивирусный контроль «на лету»
• антивирусный контроль компьютеров внутренней сети
• антивирусный контроль компьютеров внешней сети

Экранирование на сетевом уровне может обеспечить:

• разграничение доступа по сетевым адресам
• выборочное выполнение команд прикладного протокола
• контроль объема данных, переданных по TCP-соединению

Сигнатурный метод выявления атак хорош тем, что он:

• поднимает мало ложных тревог
• способен обнаруживать неизвестные атаки
• прост в настройке и эксплуатации

Протоколирование само по себе не может обеспечить неотказуемость, потому что:

• регистрационная информация может быть рассредоточена по разным сервисам и разным компонентам распределенной ИС
• целостность регистрационной информации может быть нарушена
• должна соблюдаться конфиденциальность регистрационной информации, а проверка неотказуемости нарушит конфиденциальность

Криптография необходима для реализации следующих сервисов безопасности:

• шифрование
• туннелирование
• разграничение доступа

Цифровой сертификат содержит:

• ЭЦП пользователя
• ЭЦП доверенного центра
• ЭЦП генератора криптографических ключей

При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде:

• матрицы субъекты/объекты
• предикатов над объектами
• списков доступа к методам объектов

Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:

• перехвата
• воспроизведения
• атак на доступность

При использовании версии сервера аутентификации Kerberos, описанной в курсе:

• шифрование не применяется
• применяется симметричное шифрование
• применяется асимметричное шифрование

При использовании сервера аутентификации Kerberos пароли по сети: