Файл: Федеральное государственное образовательное бюджетное учреждение.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 605
Скачиваний: 11
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Федеральное государственное образовательное бюджетное учреждение
«Поволжский государственный университет телекоммуникаций и информатики»
Часть 1 Основные методы обеспечения качества функционирования……………………4
Тема 1.7 Математические модели описания статистических характеристик ошибок..............16
Тема 1.8 Анализ рисков и характеристик качества программного обеспечения ….…………19
Часть 1. Основные методы обеспечения качества функционирования
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ
КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное образовательное бюджетное учреждение
высшего образования
«Поволжский государственный университет телекоммуникаций и информатики»
КОЛЛЕДЖ СВЯЗИ
| |
Основы информационной безопасности
УЧЕБНОЕ ПОСОБИЕ ПО ОП.01
для специальности:
– 10.05.02 – Обеспечение информационной безопасности автоматизированных систем
Самара
2021
Рассмотрено на заседании П(Ц)К «Телекоммуникационные системы и сети связи» Протокол №___ от ____________2021г. Председатель П(Ц)К __________Сироткина О.В. | Утверждаю Зам. директора по УВР _________Логвинов А.В. «____»___________2021г. |
Матулина Т.С. Основы информационной безопасности., Учебное пособие., Самара КС ПГУТИ, 2021г. – 3,6 п. л.
СОДЕРЖАНИЕ
Часть 1 Основные методы обеспечения качества функционирования……………………4
Тема 1.1 Многоуровневая модель качества ПО..............................................................................4
Тема 1.2 Объекты уязвимости...........................................................................................................7
Тема 1.3 Дестабилизирующие факторы и угрозы надежности....................................................11
Тема 1.4 Методы предотвращения угроз надежности..................................................................13
Тема 1.5 Оперативные методы повышения надежности ............................................................ 14
Тема 1.6 Первичные ошибки, вторичные ошибки и их проявление...........................................15
Тема 1.7 Математические модели описания статистических характеристик ошибок..............16
Тема 1.8 Анализ рисков и характеристик качества программного обеспечения ….…………19
Тема 1.9 Целесообразность разработки модулей адаптации ......................................................23
Часть 2. Методы и средства защиты компьютерных систем……………………………...28
Тема 2.1 Вредоносные программы: классификация, методы обнаружения…………………..28
Тема 2.2 Антивирусные программы: классификация, сравнительный анализ .........................31
Тема 2.3 Файрвол: задачи, сравнительный анализ, настройка....................................................34
Тема 2.4 Групповые политики. Аутентификация. Учетные записи...........................................39
Тема 2.5 Тестирование защиты программного обеспечения......................................................43
Тема 2.6 Средства и протоколы шифрования сообщений..........................................................45
Тема 2.7 Криптографические механизмы конфиденциальности, целостности и
аутентичности информации....................................................................................................... 52
Тема 2.8 Криптографические алгоритмы DES и ГОСТ 28147-89..............................................54
Перечень используемых источников……………………………………………………………58
Часть 1. Основные методы обеспечения качества функционирования
Тема 1.1 Многоуровневая модель качества ПО
Технология программирования – совокупность принципов разработки, обеспечивающих массовое производство ПО требуемого качества в установленные сроки.
Методами технологии программирования называются способы и приемы организации производственных процессов при разработке программных средств.
Методы ТП определяют организационную структуру коллектива разработчиков, способы разбиения процесса разработки на отдельные этапы, последовательность этих этапов и т.д.
Средствами технологии программирования называются утилиты, обеспечивающие автоматизированную или автоматическую поддержку методов.
Совместно используемые утилиты объединяются в системы автоматизированной разработки ПО. Такие системы принято называть CASE-средствами (Computer Aided Software Engineering)
Свойство программы, характеризующееся отсутствием в ней ошибок по отношению к целям разработки, называется правильностью программы. Даже для «малых» программ обеспечение их правильности является чрезвычайно сложной задачей, а для «больших» программ оно становится практически бессмысленным.
Качество ПО – это вся совокупность его характеристик, относящихся к возможности удовлетворять высказанные или подразумеваемые потребности всех заинтересованных лиц (стандарт ISO 9126).
Основными критериями качества ПО (criteria of software quality) являются:
-
функциональность (Способность ПО выполнять набор функций (действий), удовлетворяющих заданным или подразумеваемым потребностям пользователей. Набор указанных функций определяется во внешнем описании ПО); -
надежность (это его способность с достаточно большой вероятностью безотказно выполнять определенные функции при заданных условиях и в течение заданного периода времени); -
эффективность (Соотношение уровня услуг, предоставляемых ПО пользователю при заданных условиях, и объема используемых для этого ресурсов. К числу таких ресурсов могут относиться требуемые аппаратные средства, время выполнения программ, затраты на подготовку данных и интерпретацию результатов); -
эргономичность (Характеристики ПО, которые позволяют минимизировать усилия пользователя по подготовке исходных данных, применению ПО и оценке полученных результатов, а также вызывать положительные эмоции определенного или подразумеваемого пользователя); -
модифицируемость (Характеристики ПО, которые позволяют минимизировать усилия по внесению изменений для устранения ошибок и по его модификации в соответствии с изменяющимися потребностями пользователей. Модифицируемость ПО существенно зависит от степени и качества его документированности); -
мобильность (Способность ПО быть перенесенным из одной среды (окружения) в другую, в частности, с одной аппаратной платформы на другую).
Стандарт ISO 9126 - Международный стандарт, определяющий оценочные характеристики качества программного обеспечения. Разделяется на 4 части, описывающие следующие вопросы:
-
модель качества; -
внешние метрики качества; -
внутренние метрики качества; -
метрики качества в использовании.
Качество определяется в стандарте ISO 9126 как вся совокупность его характеристик, относящихся к возможности удовлетворять высказанные или подразумеваемые потребности всех заинтересованных лиц.
Различаются понятия:
-
внутреннего качества, -
внешнего качества, -
качества ПО при использовании.
Рисунок 1. Многоуровневая модель качества ПО в стандарте ISO 9126
Три аспекта качества ПО
-
Внутреннее качество связано с характеристиками ПО самого по себе, без учета его поведения; -
Внешнее качество характеризующего ПО с точки зрения его поведения; -
Качества ПО при использовании – это то качество, которое ощущается пользователями при конкретных сценариях работы ПО.
Качество определяется в стандарте ISO 9126 как вся совокупность его характеристик, относящихся к возможности удовлетворять высказанные или подразумеваемые потребности всех заинтересованных лиц.
Стандарт ISO 9126 предлагает использовать для описания внутреннего и внешнего качества ПО многоуровневую модель.
На верхнем уровне выделено 6 основных характеристик качества ПО. Каждая характеристика описывается при помощи нескольких входящих в нее атрибутов. Для каждого атрибута определяется набор метрик, позволяющих его оценить.
Рисунок 2. Характеристики и атрибуты качества ПО по ISO 9126
Стратегии и модели процесса разработки программных средств? Модель жизненного цикла программных средств. Фазы жизненного цикла.
Стратегии разработки ПО: Модель процесса разработки ПО выделяет конкретные наборы видов деятельности, артефактов, ролей и их взаимосвязи, а также дает рекомендации по организации процесса в целом.
Отдельные модели соответствуют одной из стратегий разработки – линейной, инкрементной или эволюционной.
Линейная стратегия предполагает однократное прохождение всех этапов разработки ПО.
Инкрементная стратегия предполагает, что в начале процесса определяются все пользовательские и системные требования. Разработка выполняется в виде последовательности версий с нарастающей функциональностью.
Эволюционная стратегия также основана на выпуске последовательности версий ПО, но допускает возможность постепенного уточнения требований к нему в процессе разработки на основе анализа предыдущих версий. Основные проблемы создания сложных программных систем связаны с нахождением разумного компромисса между затратами на разработку и качеством ее результата.
Тема 1.2 Объекты уязвимости
Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности, обрабатываемой в ней информации.
Уязвимость информации —это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации.
Атакой на КС называют действие,предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.
Угрозы информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.
Искусственные угрозы исходя из их мотивов разделяются на непреднамеренные (случайные)и преднамеренные (умышленные).
К непреднамеренным угрозам относятся:
-
ошибки в проектировании КС; -
ошибки в разработке программных средств КС; -
случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения; -
ошибки пользователей КС; -
воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.
К умышленным угрозам относятся:
-
несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС); -
несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.
В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:
-
угроза нарушения конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной КС к другой; -
угроза нарушения целостности, т. е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС (заметим, что целостность информации может быть также нарушена, если к несанкционированному изменению или уничтожению информации приводит случайная ошибка в работе программных или аппаратных средств КС; санкционированным является изменение или уничтожение информации, сделанное уполномоченным лицом с обоснованной целью); -
угроза нарушения доступности информации, т. е. отказа в обслуживании, вызванного преднамеренными действиями одного из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на большой период времени).
Опосредованной угрозой безопасности информации в КС является угроза раскрытия параметров подсистемы защиты информации, входящей в состав КС. Реализация этой угрозы дает возможность реализации перечисленных ранее непосредственных угроз безопасности информации.
Результатом реализации угроз безопасности информации в КС может быть утечка (копирование) информации, ее утрата (разрушение) или искажение (подделка), блокирование информации. Поскольку сложно заранее определить возможную совокупность угроз безопасности информации и результатов их реализации, модель потенциальных угроз безопасности информации в КС должна создаваться совместно собственником (владельцем) КС и специалистами по защите информации на этапе проектирования КС. Созданная модель должна затем уточняться в ходе эксплуатации КС.
Рассмотрим возможные каналы утечки информации в КС.
Косвенными каналами утечки называют каналы, не связанные с физическим доступом к элементам КС:
-
использование подслушивающих (радиозакладных) устройств; -
дистанционное видеонаблюдение; -
перехват побочных электромагнитных излучений и наводок (ПЭМИН). Побочные электромагнитные излучения создаются техническими средствами КС при обработке информации, существуют в диапазоне от единиц герц до 1,5 ГГц и могут распространять обрабатываемую информацию с дальностью до 1 км. Наиболее опасными с точки зрения ПЭМИН являются дисплеи, кабельные линии связи, накопители на магнитных дисках, матричные принтеры. Для перехвата ПЭМИН используется специальная портативная аппаратура, включающая в себя широкополосный автоматизированный супергетеродинный приемник с устройством регистрации информации на магнитном носителе и (или) дисплеем.