Файл: Федеральное государственное образовательное бюджетное учреждение.docx

Основы информационной безопасности
УЧЕБНОЕ ПОСОБИЕ ПО ОП.01
для специальности:

– 10.05.02 – Обеспечение информационной безопасности автоматизированных систем

Самара

2021

Рассмотрено на заседании П(Ц)К

«Телекоммуникационные системы и сети связи»

Протокол №___ от ____________2021г.

Председатель П(Ц)К __________Сироткина О.В.

Утверждаю

Зам. директора по УВР

_________Логвинов А.В.

«____»___________2021г.

Матулина Т.С. Основы информационной безопасности., Учебное пособие., Самара КС ПГУТИ, 2021г. – 3,6 п. л.
СОДЕРЖАНИЕ

Часть 1 Основные методы обеспечения качества функционирования……………………4

Тема 1.1 Многоуровневая модель качества ПО..............................................................................4

Тема 1.2 Объекты уязвимости...........................................................................................................7

Тема 1.3 Дестабилизирующие факторы и угрозы надежности....................................................11

Тема 1.4 Методы предотвращения угроз надежности..................................................................13

Тема 1.5 Оперативные методы повышения надежности ............................................................ 14

Тема 1.6 Первичные ошибки, вторичные ошибки и их проявление...........................................15

Тема 1.7 Математические модели описания статистических характеристик ошибок..............16

Тема 1.8 Анализ рисков и характеристик качества программного обеспечения ….…………19

Тема 1.9 Целесообразность разработки модулей адаптации ......................................................23

Часть 2. Методы и средства защиты компьютерных систем……………………………...28

Тема 2.1 Вредоносные программы: классификация, методы обнаружения…………………..28

Тема 2.2 Антивирусные программы: классификация, сравнительный анализ .........................31

Тема 2.3 Файрвол: задачи, сравнительный анализ, настройка....................................................34

Тема 2.4 Групповые политики. Аутентификация. Учетные записи...........................................39

Тема 2.5 Тестирование защиты программного обеспечения......................................................43

Тема 2.6 Средства и протоколы шифрования сообщений..........................................................45

Тема 2.7 Криптографические механизмы конфиденциальности, целостности и

аутентичности информации....................................................................................................... 52

Тема 2.8 Криптографические алгоритмы DES и ГОСТ 28147-89..............................................54

Перечень используемых источников……………………………………………………………58

Часть 1. Основные методы обеспечения качества функционирования

Тема 1.1 Многоуровневая модель качества ПО

Технология программирования – совокупность принципов разработки, обеспечивающих массовое производство ПО требуемого качества в установленные сроки.

Методами технологии программирования называются способы и приемы организации производственных процессов при разработке программных средств.

Методы ТП определяют организационную структуру коллектива разработчиков, способы разбиения процесса разработки на отдельные этапы, последовательность этих этапов и т.д.

Средствами технологии программирования называются утилиты, обеспечивающие автоматизированную или автоматическую поддержку методов.

Совместно используемые утилиты объединяются в системы автоматизированной разработки ПО. Такие системы принято называть CASE-средствами (Computer Aided Software Engineering)

Свойство программы, характеризующееся отсутствием в ней ошибок по отношению к целям разработки, называется правильностью программы. Даже для «малых» программ обеспечение их правильности является чрезвычайно сложной задачей, а для «больших» программ оно становится практически бессмысленным.

Качество ПО – это вся совокупность его характеристик, относящихся к возможности удовлетворять высказанные или подразумеваемые потребности всех заинтересованных лиц (стандарт ISO 9126).

Основными критериями качества ПО (criteria of software quality) являются:

функциональность (Способность ПО выполнять набор функций (действий), удовлетворяющих заданным или подразумеваемым потребностям пользователей. Набор указанных функций определяется во внешнем описании ПО);
надежность (это его способность с достаточно большой вероятностью безотказно выполнять определенные функции при заданных условиях и в течение заданного периода времени);
эффективность (Соотношение уровня услуг, предоставляемых ПО пользователю при заданных условиях, и объема используемых для этого ресурсов. К числу таких ресурсов могут относиться требуемые аппаратные средства, время выполнения программ, затраты на подготовку данных и интерпретацию результатов);
эргономичность (Характеристики ПО, которые позволяют минимизировать усилия пользователя по подготовке исходных данных, применению ПО и оценке полученных результатов, а также вызывать положительные эмоции определенного или подразумеваемого пользователя);
модифицируемость (Характеристики ПО, которые позволяют минимизировать усилия по внесению изменений для устранения ошибок и по его модификации в соответствии с изменяющимися потребностями пользователей. Модифицируемость ПО существенно зависит от степени и качества его документированности);
мобильность (Способность ПО быть перенесенным из одной среды (окружения) в другую, в частности, с одной аппаратной платформы на другую).

Стандарт ISO 9126 - Международный стандарт, определяющий оценочные характеристики качества программного обеспечения. Разделяется на 4 части, описывающие следующие вопросы:

модель качества;
внешние метрики качества;
внутренние метрики качества;
метрики качества в использовании.

внутреннего качества,
внешнего качества,
качества ПО при использовании.

Рисунок 1. Многоуровневая модель качества ПО в стандарте ISO 9126

Три аспекта качества ПО

Внутреннее качество связано с характеристиками ПО самого по себе, без учета его поведения;
Внешнее качество характеризующего ПО с точки зрения его поведения;
Качества ПО при использовании – это то качество, которое ощущается пользователями при конкретных сценариях работы ПО.

Качество определяется в стандарте ISO 9126 как вся совокупность его характеристик, относящихся к возможности удовлетворять высказанные или подразумеваемые потребности всех заинтересованных лиц.

Стандарт ISO 9126 предлагает использовать для описания внутреннего и внешнего качества ПО многоуровневую модель.

На верхнем уровне выделено 6 основных характеристик качества ПО. Каждая характеристика описывается при помощи нескольких входящих в нее атрибутов. Для каждого атрибута определяется набор метрик, позволяющих его оценить.

Рисунок 2. Характеристики и атрибуты качества ПО по ISO 9126

Стратегии и модели процесса разработки программных средств? Модель жизненного цикла программных средств. Фазы жизненного цикла.

Стратегии разработки ПО: Модель процесса разработки ПО выделяет конкретные наборы видов деятельности, артефактов, ролей и их взаимосвязи, а также дает рекомендации по организации процесса в целом.

Отдельные модели соответствуют одной из стратегий разработки – линейной, инкрементной или эволюционной.

Линейная стратегия предполагает однократное прохождение всех этапов разработки ПО.

Инкрементная стратегия предполагает, что в начале процесса определяются все пользовательские и системные требования. Разработка выполняется в виде последовательности версий с нарастающей функциональностью.

Эволюционная стратегия также основана на выпуске последовательности версий ПО, но допускает возможность постепенного уточнения требований к нему в процессе разработки на основе анализа предыдущих версий. Основные проблемы создания сложных программных систем связаны с нахождением разумного компромисса между затратами на разработку и качеством ее результата.

Тема 1.2 Объекты уязвимости

Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности, обрабатываемой в ней информации.

Уязвимость информации —это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.

Атакой на КС называют действие,предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.

Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.

Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные)и преднамеренные (умышленные).

К непреднамеренным угрозам относятся:

ошибки в проектировании КС;
ошибки в разработке программных средств КС;
случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;
ошибки пользователей КС;
воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

К умышленным угрозам относятся:

несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);
несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.

В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:

угроза нарушения конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной КС к другой;
угроза нарушения целостности, т. е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС (заметим, что целостность информации может быть также нарушена, если к несанкционированному изменению или уничтожению информации приводит случайная ошибка в работе программных или аппаратных средств КС; санкционированным является изменение или уничтожение информации, сделанное уполномоченным лицом с обоснованной целью);
угроза нарушения доступности информации, т. е. отказа в обслуживании, вызванного преднамеренными действиями одного из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на большой период времени).

Опосредованной угрозой безопасности информации в КС является угроза раскрытия параметров подсистемы защиты информации, входящей в состав КС. Реализация этой угрозы дает возможность реализации перечисленных ранее непосредственных угроз безопасности информации.

Результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации. Поскольку сложно заранее определить возможную совокупность угроз безопасности информации и результатов их реализации, модель потенциальных угроз безопасности информации в КС должна создаваться совместно собственником (владельцем) КС и специалистами по защите информации на этапе проектирования КС. Созданная модель должна затем уточняться в ходе эксплуатации КС.

Рассмотрим возможные каналы утечки информации в КС.

Косвенными каналами утечки называют каналы, не связанные с физическим доступом к элементам КС:

использование подслушивающих (радиозакладных) устройств;
дистанционное видеонаблюдение;
перехват побочных электромагнитных излучений и наводок (ПЭМИН). Побочные электромагнитные излучения создаются техническими средствами КС при обработке информации, существуют в диапазоне от единиц герц до 1,5 ГГц и могут распространять обрабатываемую информацию с дальностью до 1 км. Наиболее опасными с точки зрения ПЭМИН являются дисплеи, кабельные линии связи, накопители на магнитных дисках, матричные принтеры. Для перехвата ПЭМИН используется специальная портативная аппаратура, включающая в себя широкополосный автоматизированный супергетеродинный приемник с устройством регистрации информации на магнитном носителе и (или) дисплеем.

Смотрите также файлы

Отчет по лабораторной работе (наименование работы прописными буквами).docx

Какую организационную структуру можно предложить и почему, для следующих предприятий и организаций и объясните почему.docx

Экзаменационные темы History of science История науки.docx

Лабораторная работа 1 (4 часа, всего 16 часов, 4 занятия) устройство и эксплуатация.doc

Отчет по производственной практике (по профилю специальности) пп. 01. 01 по профессиональному модулю.docx

Файл: Федеральное государственное образовательное бюджетное учреждение.docx

Федеральное государственное образовательное бюджетное учреждение

высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

КОЛЛЕДЖ СВЯЗИ