Всего материалов в каталоге: 51
Показано материалов: 1-10 |
Страницы: 1 2 3 4 5 6 » |
1. Какими свойствами должна обладать информация?
2. Что такое утечка информации?
3. Расскажите о промышленном шпионаже и его видах.
4. Дайте определение информационной безопасности.
5. Перечислите основные виды защиты информации и дайте их краткое описание.
6. Что входит в понятие угроза защищаемой информации?
7. Каковы основные виды угроз?
8. Перечислите основные способы НСД.
9. Дайте определение политики безопасности.
10. Перечислите основные механизмы поддержки политики безопасности.
11. Значение контроля эффективности системы защиты информации. |
|
1. Перечислите основные виды телекоммуникационных систем.
2. Каковы основные возможности телефонной связи?
3. Каковы основные возможности радио - и спутниковой связи?
4. Расскажите об основных видах компьютерных сетей.
5. Сформулируйте определение локальной вычислительной сети. Какие задачи
решаются с ее помощью?
6. Расскажите об основных видах коммуникационного оборудования ЛВС.
7. Опишите звездообразную топологию сети, перечислите ее преимущества и
недостатки.
8. Опишите кольцевую топологию сети, перечислите ее преимущества и
недостатки.
9. Опишите шинную топологию сети, перечислите ее преимущества и недостатки.
10. Опишите древовидную топологию сети, перечислите ее преимущества и
недостатки. |
|
1. Дайте определение АРМ, перечислите его основные элементы.
2. Что входит в состав общесистемного программного обеспечения?
3. Каково назначение операционных систем?
4. Каково назначение антивирусных программ?
5. Почему для поддержки АРМ необходимо информационное обеспечение и
методическая документация?
6. Каков состав функционального программного обеспечения управленческой
деятельности?
7. Расскажите о системах подготовки текстовых документов.
8. Расскажите о системах обработки финансово-экономической информации.
9. Дайте определение базы данных, СУБД, расскажите об их назначении.
10. Какие программы необходимы для работы в компьютерных сетях?
11. Какие программы входят в состав интегрированного пакета
12. Microsoft Office ? |
- Дайте определение понятию управления.
- Расскажите об информационном обеспечении планирования.
- Расскажите об информационном обеспечении календарно-планового руководства.
- Расскажите об информационном обеспечении оперативного управления.
- Расскажите об информационном обеспечении контроля.
- Перечислите основные стадии процесса принятия управленческих решений.
- Что такое автоматизированная система управления.
- Каков состав программно-математического обеспечения АСУ?
- Каков состав информационного обеспечения АСУ?
- Каков состав технического обеспечения АСУ?
|
|
Для оценки защищенности системы проводят анализ ее уязвимостей. Под
уязвимостями понимаются «слабые места» системы, которыми может воспользоваться
злоумышленник как собственно для атаки, так и для сбора необходимой информации о
системе для будущих атак.
Анализ уязвимостей может быть двух видов: пассивный и активный.
При пассивном анализе производится только сканирование системы —
определяются элементы и механизмы системы, защита которых недостаточна, чем
может воспользоваться злоумышленник. При этом также делаются предположения о
возможности проведения вторжения.
Активный анализ предполагает попытки проведения различного рода атак и, в
большинстве случаев, является более достоверным и эффективным методом. Однако
при его использовании есть вероятность выхода системы из строя.
Практические исследования показали, что уязвимости можно разделить на два
класса:
— операционные дефекты (ошибки реализации);
— ошибки администрирования.
Операционные дефекты характеризуют технологическую безопасность
информационного ресурса и являются результатом ошибок проектирования и
реализации программного обеспечения АС. Для удобства создания систем защиты и
моделирования проникновения в АС целесообразно классифицировать ошибки
проектирования по механизмам (подсистемам) безопасности системы. При этом
основными типами операционных дефектов являются недостатки механизмов
аутентификации, разграничения доступа, целостности данных, криптографии, а также
сетевых протоколов и ошибки программной peaлизации. |
|
также ее
соответствующие подсистемы.
К механизмам поддержки ПБ относятся:
— средства идентификации и аутентификации пользователей;
— средства контроля доступа;
— криптографические средства (т. е. средства шифрования информации);
— средства электронно-цифровой подписи;
— средства контроля целостности;
— средства аудита, т. е. фиксации действий пользователей системы;
— механизмы защиты трафика;
— механизмы управления маршрутизацией.
Средства идентификации и аутентификации пользователей системы
Идентификация пользователя — процесс распознавания пользователя системы по
некоторому признаку. Обычно в компьютерных системах для идентификации
используется некоторое кодовое имя пользователя.
Аутентификация — подтверждение того факта, что пользователь, предъявляющий
системе некоторый идентификатор, действительно является тем, за кого себя
выдает. |
|
В широком смысле политика безопасности (ПБ) представляет собой правила
обращения с информацией, принятые в данной организации. Применительно к защите
информации в вычислительных системах можно сформулировать следующее определение.
Политикой безопасности называется совокупность правил, законов и
практических рекомендаций, на основе которых строится управление, защита,
распределение конфиденциальной информации в системе.
ПБ должна охватывать все особенности процесса обработки информации и
определять поведение системы в различных ситуациях. Политика безопасности
представляет собой набор требований, реализуемых с помощью организационных мер и
программно-аппаратных средств. Эти требования определяют архитектуру системы
защиты информации.
Реализация политики безопасности для конкретной автоматизированной системы
осуществляется с помощью соответствующих механизмов защиты и средств управления
ими. Для конкретной организации ПБ должна быть индивидуальной, зависящей от
применяемых технологий обработки информации, используемых программных и
технических средств, существующих угроз защищаемой информации и прочих условий. |
|
Наиболее распространенным видом компьютерных нарушений считается
несанкционированный доступ (НСД) к информации. Нормативные документы
Гостехкомиссии РФ определяют НСД как «доступ к информации, нарушающий
установленные правила разграничения доступам с использованием штатных средств,
предоставляемых средствами вычислительной техники (СВТ) и автоматизированными
системами (АС). Под штатными средствами понимается совокупность программного,
микропрограммного и технического обеспечения СВТ и АС».
Реализация НСД может проходить по двум направлениям.
Активные способы воздействия. Это означает, что можно преодолеть
систему защиты, т. е. путем различных воздействий на нее прекратит ее работу в
отношении пользователя (злоумышленника) или других программ. Этот путь сложный,
но достаточно эффективный.
Пассивные способы воздействия. Позволяют определить, какие наборы
данных, представляющие интерес для злоумышленника, открыты для доступа по
недосмотру или умыслу администратора системы, из-за ошибок в программном
обеспечении или сбоев оборудования, противоречивости правил разграничения
доступа и т. п. Такой НСД легко осуществить. Но, хотя обнаружить подобные
воздействия не очень просто, защита от пассивных способов реализации угроз
несложна.
Для осуществления НСД необходимо выполнение следующих условий:
— вычислительные ресурсы злоумышленника и санкционированного пользователя
должны находиться в единой программной среде, (в некоторых случаях необходимо и
совпадение моментов времени работы санкционированного пользователя и действий
злоумышленника);
— злоумышленник должен с помощью некоторого набора программ (команд)
организовать путь в данной среде от своего вычислительного ресурса к ресурсу
санкционированного пользователя;
— злоумышленник должен иметь возможность с помощью данных программ выполнить
несанкционированное чтение (запись) из (в) ресурса санкционированного
пользователя. |
|
построения
системы защиты.
Под угрозой защищаемой информации будем понимать некоторую ситуацию (или
потенциально существующую возможность ее осуществления), которая может привести
к нарушению установленного статуса информации.
Вообще говоря, понятие угрозы является комплексным и включает в себя
несколько составляющих: источники угроз, виды угроз и способы их реализации.
В качестве источников угроз защищаемой информации могут выступать
люди, средства обработки, передачи и хранения информации, другие технические
средства и системы, не связанные непосредственно с обработкой защищаемой
информации, стихийные бедствия и природные явления.
Наиболее опасным источником угроз является человек. Он может
производить широкий спектр различных негативных воздействий на информацию как
преднамеренных, так и непреднамеренных (случайных). Воздействие со стороны всех
остальных источников угроз всегда носит случайный характер.
Средства обработки, передачи и хранения информации могут представлять
для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме
того, при обработке информации с помощью ЭВМ необходимо организовать защиту от
возникающих в процессе Работы побочных электромагнитных излучений и наводок. |
|
Развитие компьютерных средств телекоммуникации и переход к распределенной
обработке информации в современных автоматизированных системах способствовали
выделению информационной безопасности компьютерных сетей в отдельную задачу.
Главной целью автоматизированных информационных сетей является
предоставление необходимой информации определенным лицам, т. е. обеспечение ее
постоянной доступности. Вместе с тем с развитием преступности в сфере высоких
технологий возникла проблема противодействия различного рода негативным
влияниям.
Таким образом, возникает необходимость выполнить два противоречивых
требования. С одной стороны, должен быть обеспечен постоянный доступ к
информационным ресурсам тех сотрудников, которым это разрешено и необходимо. С
другой стороны, информация не должна быть открыта для посторонних, причем
посторонними в данном случае считаются также и сотрудники, в компетенцию
кото¬рых данные сведения не входят.
Реализовать такой набор требований можно только при создании единой и
целостной системы обеспечения информационной безопасности. В настоящее время
организациям-владельцам автоматизированных систем уже не нужно самостоятельно
заниматься построением системы защиты из отдельных элементов: на рынке появился
ряд готовых продуктов — комплексных систем обеспечения информационной
безопасности автоматизированных систем, в том числе защищенных АСУ.
Развитие информационных технологий привело к возникновению дополнительных
трудностей при обеспечении информационной безопасности АСУ. Повсеместный переход
к распределенным информационным системам позволяет оперативно осуществлять
управление отдаленными друг от друга объектами, но при прохождении по сетям
связи информация может быть изменена. Кроме того, из открытых внешних сетей
доступ к АСУ может получить постороннее лицо, в том числе воспользовавшись
именем реального сотрудника — пользователя АСУ. Более того, значительно
усложнившееся программное обеспечение стало практически невозможно
контролировать. Поэтому построение системы защиты информации в
автоматизированных информационных системах должно быть комплексным и
всесторонним.
Процесс создания системы защиты информации в автоматизированных системах
(АС) подразумевает прохождение следующих этапов:
— выявление угроз защищаемой информации;
— определение политики безопасности;
— создание механизмов поддержки политики безопасности;
— оценка защищенности системы. |
|