Компьютерная наука

Виды противников или «нарушителей»

Рейтинг пользователей: / 2
ХудшийЛучший 

Нарушитель - лицо, предпринявшее попытки выполнения запрещенных операций по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и тд) и использующее для этого различные возможности, методы и средства. Злоумышленник - нарушитель намеренно идущий на нарушение из корыстных побуждений.

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.

При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру "пользователь — против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности ИС может быть вызвано и корыстным интересам пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему зашиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, чрезвычайно усложняющие проникновение, полностью защитить ее от этого практически невозможно.

Всех нарушителей можно классифицировать следующим образом.

По уровню знаний об ИС:

  •  знает функциональные особенности ИС, основные закономерности формировании в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами:
  • обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
  • обладает высоким уровнем знаний в области программировании и вычислительной техники, проектировании и эксплуатации автоматизированных информационных систем;
  • знает структуру, функции и механизм действии средств зашиты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
  • применяющий чисто агентурные методы получения сведений:
  • применяющий пассивные средства (технические средства перехвата без модификации компоненгов системы);
  • использующий только штатные средства и недостатки систем зашиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные машинные носители информации, которые могут быть скрытно пронесены через посты охраны;
  • применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

•             в процессе функционирования ИС (во время работы компонентов системы):

•             в период пассивности компонентов системы (нерабочее время, плановые перерывы в работе, перерывы дли обслуживании и ремонта и т.п.);

•             как в процессе функционировании ИС, гак и в период пассивности компонентов системы.

По месту действия:

•             без доступа на контролируемую территорию организации;

•             с контролируемой территории без доступа в здании и сооружении:

•             внутри помещений, но без доступа к техническим средствам ИС;

•             с рабочих мест конечных пользователей (операторов) ИС;

•             с доступом в зону данных (баз данных, архивов и тд);

•             с доступом в зону управлении средствами обеспечении безопасности ИС.

Необходимо учитывать следующие ограничения и предположения о характере действий возможных нарушителей:

•             работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы зашиты двух и более нарушителей;

•             нарушитель, планируй попытки НСД, скрывает свои несанкционированные действия от других сотрудников;

НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.

Модель нарушителя — (в информатике) абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа. Модель нарушителя определяет:

•             категории (типы) нарушителей, которые могут воздействовать на объект;

•             цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и проч.;

•             типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.

 

Информационная безопасность в условиях функционирования в России глобальных сетей

Рейтинг пользователей: / 2
ХудшийЛучший 

По оценке экспертов самым привлекательным сектором российской экономики для преступников является кредитно-финансовая система. При совершении преступных деяний наметились определённые тенденции:

1. Большинство компьютерных преступлений в России и за рубежом совершаются путём несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей, чаще всего с использованием возможностей, которые предоставляет сеть Internet.

2. Абсолютное большинство преступлений совершается преступными группировками, состоящими из "хакерской бригады" и охранной команды, со специально подготовленного плацдарма (отдельной квартиры, офиса и т.п.). Для успешной атаки очень часто привлекаются служащие атакуемого учреждения (подкуп, шантаж и т.д.)

Уникальное положение сети Internet, которая не принадлежит одному владельцу, позволяет использовать её возможности в различных криминальных направлениях:

1. Сеть Internet используется в качестве среды для преступной деятельности, в основном для обмена информацией и налаживания контактов.

2. Служит информационной средой, в которой осуществляется глобальное информационно-психологическое воздействие.

3. Является инструментом для совершения преступлений. Наиболее распространённые правонарушения:

a. Проникновение в кредитно-финансовую систему, с целью доступа к конфиденциальной информации (получение данных, их изменение или уничтожение).

b. Хищения электронной наличности.

c. Нарушение авторских прав.

d. Нелегальное получение товаров и услуг (например, бесплатные телефонные разговоры).

e. Мошенническая деятельность (финансовые пирамиды, фиктивные фирмы и т.п.).

f. Нарушение законов, связанных с ограничением азартных игр.

Для России особенно характерен "синдром Робин Гуда" – хакеры представляются благородными борцами с душегубами-банкирами. Так как в России пока ещё очень слабо развито законодательство, регулирующее отношения в информационной среде, то часто целью очередной атаки банковской системы является не непосредственная перекачка денег, а просто громкая рекламная компания своих способностей с целью получения высокооплачиваемой работы после небольшого или даже условного срока.

Если проследить эволюцию локальной компьютерной сети практически любой организации, то можно увидеть, что изначально она строилась как средство обмена файлами и доступа к Интернету. Затем, с ростом организации, ее сеть начинала обзаводиться новыми сервисами:

  • для упорядочения процессов обмена информацией появилась электронная почта; затем - система делопроизводства;
  • потом возникла необходимость ведения архива документов и т.д.
  • Со временем сеть становится все сложнее, в ней хранится все больше информации. На определенной ступени этой эволюции организация сталкивается с проблемами:
  • защиты самой информационной системы (поскольку ущерб организации наносится в результате воздействия вирусов или атак при наличиии самой простой информационной системы);
  • разграничениями и ограничениями доступа пользователей к ресурсам Интернета;
  • контролем за действиями пользователей в Интернет.

В качестве модулей защищенного доступа в Интернет используются:

  • Межсетевые экраны:
  1. для пресечения возможности обхода средств контроля
  2. для регламентирования объемов загружаемой информации
  • Средства контроля содержимого:
  1. для проверки входящих и исходящих почтовых сообщений;
  2. для проверки данных Web-сайтов и их содержимого.
  • Антивирусные средства - для проверки mail и web-трафика на наличие вредоносного программного обеспечения.

Предлагаемое решение позволяет:

  • защититься от утечки секретной и конфиденциальной информации;
  • пресечь рассылки рекламных сообщений нецелевого характера;
  • бороться с непроизводительным использованием сервисов Интернета;
  • пресечь распространения клеветнических сообщений;
  • контролировать лояльность персонала;
  • повысить эффективности использования информационных технологий;
  • обнаруживать в электронных письмах конфиденциальную информацию, вирусы и другие нежелательные объекты, а также реагировать на это заданным образом.

Следует помнить о таких вещах, как аутентификация (проверка доступа) человека. Стоит использовать цифровые сертификаты - документ, удостоверяющий, что человеку принадлежит цифровой ключ или прочие атрибуты. Стоит использовать кодирование информации, чтобы при перехвате третьим лицом, он не смог его расшифровать.

 

Понятие угрозы

Рейтинг пользователей: / 3
ХудшийЛучший 

Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath):

  1. Кража информации – 64%
  2. Вредоносное ПО – 60%
  3. Хакерские атаки – 48%
  4. Спам – 45%
  5. Халатность сотрудников – 43%
  6. Аппаратные и программные сбои – 21%
  7. Кража оборудования – 6%
  8. Финансовое мошенничество – 5%

В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником.

Так или иначе, утечка информации происходит по каналам утечки. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией.

Внешние источники:

  • Деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере.
  • Стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков.
  • Обострение международной конкуренции за обладание информационными технологиями и ресурсами.
  • Деятельность международных террористических организаций.
  • Увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий.
  • Деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств.
  • Разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов ресурсов, получение несанкционированного доступа к ним.

Внутренние источники:

  • Закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам.
  • Противоправные сбор и использование информации.
  • Нарушения технологии обработки информации.
  • Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не
  • предусмотренные документацией на эти изделия.
  • Разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации.
  • Уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем
  • обработки информации, телекоммуникации и связи.
  • Воздействие на ключевые системы защиты автоматизированных систем обработки и передачи информации.
  • Компрометация ключей и средств криптографической защиты информации.
  • Утечка информации по техническим каналам.
  • Внедрение электронных устройств для перехвата информации в ТСОИ по каналам связи, а также в служебные помещения;
  • Уничтожение, повреждение, разрушение или хищение машинных и других носителей информации.
  • Перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации.
  • Использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.
  • Несанкционированный доступ к информации, находящейся в банках и базах данных.
  • Нарушение законных ограничений на распространение информации.
 

Международные стандарты информационного обмена

Рейтинг пользователей: / 3
ХудшийЛучший 

Понятие информационный обмен - очень старое, возможно, одно из самых старых. Ведь, по сути, информационный обмен, если понимать его буквально, и, наверное, однозначно точно, является такой формой отношений между сторонами, при которой за какую-то информацию одна сторона получает какую-то информацию от другой стороны. Можно утверждать, что информационный обмен является частным случаем продажи информации, когда вместо денег или иной материальной субстанции за информацию, как товар, рассчитываются другой информацией. В общем случае мы понимаем информацию как отражение окружающего нас предметного мира в виде сигналов и знаков, причем физические, материальные характеристики различных субъектов, объектов и процессов передаются нам в виде сигналов, а через знаки мы воспринимаем этот окружающий нас предметный мир. Получение же информации как раз и состоит в извлечении из поступивших сигналов и знаков требуемых фактов, сведений, данных, т.е. человек, владея информацией, предварительно должен совершить определенную работу для ее получения.

Международный стандарт — стандарт, принятый международной организацией. Стандартом называется документ, в котором устанавливаются характеристики продукции, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения. На практике под международными стандартами часто подразумевают также региональные стандарты и стандарты, разработанные научно-техническими обществами и принятые в качестве норм различными странами мира.

Основное назначение международных стандартов — это создание на международном уровне единой методической основы для разработки новых и совершенствование действующих систем качества и их сертификации.

Международная организация по стандартизаци, ИСО (International Organization for Standardization, ISO) — международная организация, занимающаяся выпуском стандартов.

Международная организация по стандартизации создана в 1946 двадцатью пятью национальными организациями по стандартизации. Фактически её работа началась с 1947. СССР был одним из основателей организации, постоянным членом руководящих органов, дважды представитель Госстандарта избирался председателем организации. Россия стала членом ИСО как правопреемник СССР. 23 сентября 2005 года Россия вошла в Совет ИСО.

Международные стандарты разрабатываются техническими комитетами ИСО и подкомитетами в ходе шестистадийного процесса

Стадия 1:

Стадия предложения

Стадия 2:

Подготовительная стадия

Стадия 3:

Стадия комитета

Стадия 4:

Стадия вопросов

Стадия 5:

Стадия одобрения

Стадия 6:

Стадия публикации

Одним из решений является язык XML (eXtensible Markup Language — расширяемый язык разметки), который создан на основе языка SGML (Standardized General Markup Language — стандартизованный язык общей разметки), разработанного компанией IBM в конце 60-х годов прошлого столетия. Широкораспространенный язык HTML (HyperText Markup Language — язык разметки гипертекста) является ни чем иным, как одной из ранних SGML-версий. Языки HTML и XML были приняты консорциумом W3C (World Wide Web Consortium, www.w3.org) в качестве открытых международных стандартов.

Язык XML — это символический язык, в котором, как и в HTML, используются теги. Разница состоит в том, что HTML-теги определяют внешний вид загруженной в браузер страницы, в то время как теги XML описывают тип содержащейся в элементе данных информации (название продукта, серийный номер, какой-либо выходной параметр, количество продукта на складе и т.п.).

 

Виртуальные машины

Рейтинг пользователей: / 28
ХудшийЛучший 

1. Виртуальные машины в целом

1.1. Определение и понятие

Чтобы построить полный взгляд на виртуальные машины, разберем для начала, а что такое виртуальная машина?

Виртуальная машина — программная или аппаратная среда, исполняющая некоторый код (например, байт-код, шитый код, p-код  или машинный код реального процессора), или спецификация такой системы (например: «виртуальная машина языка программирования Си»). [Википедия]

Для сравнения приведем несколько других определенней, а именно: Виртуальная машина - это полностью изолированный программный контейнер, способный выполнять собственную операционную систему и приложения, как физический компьютер. Виртуальная машина работает абсолютно так же, как физический компьютер, и содержит собственные виртуальные (т.е. программные) ЦП, ОЗУ, жесткий диск и сетевую интерфейсную карту (NIC).

Проще говоря, виртуальная машина – это программа, которую вы запускаете из своей операционной системы. Программа эмулирует реальную машину. На виртуальные машины, как и на реальные, можно ставить операционные системы. У неё есть BIOS, отведенное место на вашем жестком диске, сетевые адаптеры для соединения с реальной машиной, сетевыми ресурсами или другими виртуальными машинами.

 

Подробнее...
 

Государственная аккредитация организаций в области ИТ

Государственная аккредитация организаций в области ИТ

Для получения государственной аккредитации организация представляет в Минкомсвязь(Министерство связи и массовых коммуникаций Российской Федерации) России непосредственно или по почте заказным письмом (с описью вложения) следующие документы:

Документы необходимые для предоставления государственной услуги:

1. Заявление о предоставлении государственной аккредитации;

2. Справка за подписью руководителя организации, подтверждающая, что организация осуществляет деятельность в области информационных технологий;

Документы, которые Заявитель вправе представить для предоставления государственной услуги:

1. выписка из Единого государственного реестра юридических лиц;

2. копии учредительных документов.

Стоимость услуги и порядок оплаты:

Бесплатно.

Срок оказания услуги:

Срок рассмотрения заявления об аккредитации организации, осуществляющей деятельность в области информационных технологий и принятия по нему решения не должен превышать 30 рабочих дней с даты регистрации заявления.

Результат оказания услуги.

Выдается:

1. Сопроводительное письмо о направлении выписки из реестра аккредитованных организаций, осуществляющих деятельность в области информационных технологий (оригинал, 1 шт.)

2. Выписка из реестра аккредитованных организаций, осуществляющих деятельность в области информационных технологий (оригинал, 1 шт.)

Аннулирование аккредитации

Необходимые документы:

Заявление о добровольном отказе от аккредитации (оригинал, 1 шт.)

Стоимость:

Бесплатно.

Срок оказания услуги:

Рассмотрение заявления о добровольном отказе организации от аккредитации и принятие решения об аннулировании аккредитации организации, осуществляющей деятельность в области информационных технологий осуществляется в течение 5 рабочих дней с момента поступления такого заявления в Минкомсвязь России.

Результат оказания услуги

Выдается:

Сопроводительное письмо об аннулировании аккредитации (оригинал, 1 шт.)

Контактные лица, оказывающие государственную услугу по Аккредитации:

Рядчикова Ольга Сергеевна, тел.: 771-88-48 Трубникова Татьяна Николаевна, тел.: 771-83-51

 

Функции ИС

Для решения поставленных задач ИС должна выполнять следующие функции:
- отбора из внутренней и внешней среды сообщений, необходимых для реализации основной деятельности;
- ввода информации в ИС;
- хранения информации в памяти ИС, ее актуализации и поддержания целостности;
- обработки, поиска и выдачи информации в соответствии с заданными СОД требованиями. Обработка может включать и подготовку вариантов решения пользовательских прикладных задач по соответствующим алгоритмам/программам.
 

Обобщенная классификация ИС

 

Свойства информации

Рейтинг пользователей: / 94
ХудшийЛучший 

Как и всякий объект, информация обладает некоторыми свойстами, только эти свойства отличаются от свойств физических объектов. Как сказал Б. шоу: Если у тебя и меня имеется по одному яблоку, и мы ими обменялись, то у каждого из нас осталось по одному яблоку; если у тебя и меня имеется идея по одной идее и мы ими обменялись, то у каждого из нас будет по две идеи. 

Свойства информации делятся на две группы. Прагматические свойствами информации - это те свойства, которые характеризуют степень полезности информации для пользователя в его практике. Это такие свойства как новизна, полезность, полнота, достоверность, адекватность, доступность, объективность, актуальность. Эти свойства очевидны для любого человека, и каждый сам знает как их понимать.

Атрибутивные свойства - это те свойства, которые отображают внутреннюю природу информации и особенности использования. Это такие свойства как:

Подробнее...
 
<< Первая < Предыдущая 1 2 3 4 5 6 Следующая > Последняя >>

Страница 5 из 6
Программируем на C#, интересные статьи, книги, музыка; Костя Карпов.