Файл: Федеральное государственное образовательное бюджетное учреждение.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 616
Скачиваний: 11
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Федеральное государственное образовательное бюджетное учреждение
«Поволжский государственный университет телекоммуникаций и информатики»
Часть 1 Основные методы обеспечения качества функционирования……………………4
Тема 1.7 Математические модели описания статистических характеристик ошибок..............16
Тема 1.8 Анализ рисков и характеристик качества программного обеспечения ….…………19
Часть 1. Основные методы обеспечения качества функционирования
Kaspersky Internet Security — пакет программ для комплексной защиты персональных компьютеров. Программа обеспечивает: антивирусную защиту, защиту от сетевых атак, спама, неизвестных угроз, интернет-мошенничества и позволяет контролировать доступ пользователей компьютера к интернету.
Защита компьютера в реальном времени обеспечивается следующими компонентами защиты:
Тема 2.4 Групповые политики. Аутентификация. Учетные записи
Управление групповыми политиками позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Редактор объектов групповой политики».
Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units).
Групповые политики и Active Directory позволяют:
Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил:
При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:
Для общего контроля применения групповой политики используются механизм WMI – фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI – фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера.
Идентификация пользователя – распознавание пользователя компьютерной системы на основании ранее заданного описания. Идентификация имеет целью определение полномочий пользователя (права доступа к данным и выбора режима их использования).
Аутентификация пользователя –процедура проверки прав пользователя на доступ к информации или на выполнение определенных действий.
Идентификация позволяет пользователю назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает ("проверка подлинности").
Аутентификация бывает одностороннейидвусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
3 группы способов аутентификации:
1) основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию. Это парольнаяаутентификация и аутентификация на основе модели «рукопожатия».
2) основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (пластиковая карта с идентифицирующей пользователя информацией и т п) – программно-аппаратные методы
3) основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мыши и т п)
Парольная аутентификация
При выборе пароля необходимо руководствоваться двумя взаимоисключающими правилами: пароль должен трудно подбираться и легко запоминаться. Сложность подбора пароля определяется мощностью множества символов (N) и минимально возможной длиной пароля (k). Число всех возможных вариантов паролей С=N^k.
Другие параметры политики учетных записей пользователей:
1) max срок действия пароля;
2) несовпадение пароля с логическим именем пользователя;
3) неповторяемость паролей одного пользователя.
Еще один аспект политики учетных записей пользователей –
определение противодействия системы попыткам подбора паролей. Правила:
1) ограничение числа попыток входа в систему;
2) скрытие логического имени последнего работавшего пользователя;
3) учет всех попыток входа в систему.
Реакция системы на неудачную попытку входа:
1) блокировка учетной записи за превышение max возможных попыток
2) нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа (постоянная блокировка учетной записи нецелесообразна, так как позволит нарушителю заблокировать работу легального пользователя)
Для первоначального ввода или для смены паролей используются два правила:
1) символы не отображаются на экране;
2) ввод пароля повторяется дважды.
Хранение пароля в базе данных осуществляется, как правило, в зашифрованном виде. Минусы:
Виды парольной аутентификации:
1) с использованием многоразовых паролей;
2) с использованием одноразовых паролей. Пользователь получает список паролей Р1, Р2, … РN. Каждый из паролей действует только на один сеанс входа. В этом случае знание уже использовавшегося пароля ничего не даст злоумышленнику.
Недостатки: организация защищенного хранения длинного списка паролей, неясность с номером следующего пароля, если при вводе предыдущего вход в систему был не осуществлен из-за сбоя в работе системы. Эти недостатки могут быть устранены, если список паролей генерировать на основе необратимой функции, например, хеширования. Пусть Р – начальный пароль пользователя, а F – необратимая функция. Функция F применяется последовательно i раз для получения Pi : F^i(P) = F(F(…F(P)…)). Тогда список одноразовых паролей создается следующим образом: P1 = F^n (P), P2 = F^(n-1)(P), … , Pn = F(P). При сбое в процессе входа пользователя в систему всегда осуществляется выбор последующего пароля из списка, а система последовательно применяется функцию F к введенному паролю до совпадения с последним принятым от него паролем или до превышения длины списка.
В любом варианте парольной аутентификации подтверждение подлинности осуществляется на основе ввода некоторой конфиденциальной информации, которую можно выманить, подобрать и т п. Аутентификация на основе
Защита компьютера в реальном времени обеспечивается следующими компонентами защиты:
-
Файловый Антивирус: Контролирует файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и на всех присоединенных дисках. Каждое обращение к файлу перехватывается Kaspersky Internet Security, и файл проверяется на присутствие известных вирусов. Дальнейшая работа с файлом возможна только в том случае, если файл не заражен или был успешно вылечен программой. Если файл по каким-либо причинам невозможно вылечить, он будет удален; при этом его копия будет сохранена в резервном хранилище, или помещён на карантин. -
Почтовый Антивирус: Проверяет все входящие и исходящие почтовые сообщения вашего компьютера. Он анализирует электронные письма на присутствие вредоносных программ. Письмо будет доступно адресату только в том случае, если оно не содержит опасных объектов. Кроме того, компонент анализирует почтовые сообщения на предмет фишинг-мошенничества. -
Веб-антивирус: Перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу. Строгому контролю также подвергается весь HTTP-трафик. Кроме того, компонент анализирует веб-страницы на предмет фишинг-мошенничества. -
IM-антивирус: Обеспечивает безопасность работы с интернет-пейджерами. Компонент защищает информацию, поступающую на ваш компьютер по протоколам интернет-пейджеров. IM-антивирус обеспечивает безопасную работу со многими программами, предназначенными для быстрого обмена сообщениями. -
Контроль программ: Регистрирует действия, совершаемые программами в системе, и регулирует деятельность программ, исходя из того, к какой группе компонент относит данную программу. Для каждой группы программ задан набор правил. Эти правила регламентируют доступ программ к различным ресурсам. -
Сетевой экран: Обеспечивает безопасность вашей работы в локальных сетях и интернете. Компонент производит фильтрацию всей сетевой активности согласно правилам двух типов: правилам для программ и пакетным правилам.
-
Проактивная защита: Позволяет обнаружить новую вредоносную программу ещё до того, как она успеет нанести вред. Компонент основан на контроле и анализе поведения всех программ, установленных на вашем компьютере. На основании выполняемых действий Kaspersky Internet Security принимает решение о том, является программа потенциально опасной или нет. Таким образом, ваш компьютер защищен не только от уже известных вирусов, но и от новых, ещё не исследованных. -
Защита от сетевых атак: Запускается при старте операционной системы и отслеживает во входящем трафике активность, характерную для сетевых атак. Обнаружив попытку атаки на компьютер, Kaspersky Internet Security блокирует любую сетевую активность атакующего компьютера в отношении вашего компьютера. -
Анти-спам: Встраивается в установленный на вашем компьютере почтовый клиент и контролирует все поступающие почтовые сообщения на предмет спама. Все письма, содержащие спам, помечаются специальным заголовком. Предусмотрена также возможность настройки Анти-спама на обработку спама (автоматическое удаление, помещение в специальную папку и т. д.). Также компонент анализирует почтовые сообщения на предмет фишинг-мошенничества. -
Мониторинг сети: Компонент, предназначенный для просмотра информации о сетевой активности в реальном времени. -
Анти-фишинг: Компонент, встроенный в веб-антивирус, анти-спам и IM-антивирус, который позволяет проверять веб-адреса на принадлежность к спискам фишинговых и подозрительных веб-адресов. -
Анти-баннер: Блокирует рекламную информацию, размещенную на специальных баннерах, встроенных в интерфейс различных программ, установленных на вашем компьютере, и находящихся в интернете. -
Родительский контроль: Компонент программы, выполняющий функции контроля доступа пользователей компьютера к веб-ресурсам. Основной задачей Родительского контроля является ограничение доступа, в первую очередь, к веб-сайтам, предназначенным для взрослой аудитории, затрагивающим темы порнографии, оружия, наркотиков, провоцирующим жестокость, насилие и т. д., а также к веб-сайтам, которые являются потенциальной причиной потери времени (чаты, игровые ресурсы) или денег (интернет-магазины, аукционы). -
Безопасная среда: Позволяет запускать приложения в безопасном для системы окружении (т. н. песочница). Это может быть использовано для запуска потенциально опасного ПО или для анонимного веб-серфинга. -
Проверка ссылок: Дополнение для браузеров Internet Explorer и Mozilla Firefox, проверяющее ссылки на просматриваемой веб-странице на предмет заражения веб-страниц, на которые они ссылаются
-
Мониторинг активности: Компонент защиты «Мониторинг активности» отслеживает активность программ в системе и предоставляет расширенную информацию другим компонентам защиты. Кроме того, благодаря сохраняемой истории активности программ, компонент может выполнять откат действий вредоносной программы при обнаружении вредоносной активности различными компонентами защиты. -
Усовершенствованная функциональность Безопасной среды: Безопасный запуск программ представляет собой изолированный рабочий стол, на котором вы можете запускать подозрительные программы без вреда для основной операционной системы. -
Веб-фильтр: Для усиления защиты при работе в интернете добавлены новые модули: Веб-фильтр — включает в себя модуль проверки ссылок, уже известный с предыдущей версии программы, а также предоставляет возможность блокировать доступ к небезопасным веб-сайтам, что позволяет вам оставаться в пределах безопасной зоны интернета. -
Гео-фильтр: Позволяет вам разрешить или запретить доступ к веб-сайтам на основе их принадлежности к доменам. Это помогает, например, запретить доступ к веб-сайтам, принадлежащим к региональным доменам с высокой степенью зараженности. -
Контроль программ и Kaspersky Security Network: Позволяет эффективнее определять статусы программ и настраивать правила для программ, используя данные Kaspersky Security Network, основанные на статистике работы Контроля программ на компьютерах множества пользователей. -
Проверка во время простоя компьютера: С помощью проверки во время простоя компьютера проверка компьютера на вирусы теперь может выполняться в те промежутки времени, когда вы не работаете за компьютером, и останавливаться, когда вы возвращаетесь к работе за компьютером. Это позволяет регулярно выполнять проверку и в то же время не снижать быстродействие компьютера тогда, когда он вам нужен. -
Расширена функциональность Родительского контроля: Теперь можно контролировать доступ пользователя к компьютеру и интернету, запуск пользователем компьютерных программ, ограничивать просмотр веб-страниц с нежелательным содержимым и загрузку файлов из интернета, контролировать общение пользователя в социальных сетях и через интернет-пейджеры, а также просматривать отчеты о действиях контролируемого пользователя. Для оптимизации настройки Родительского контроля предусмотрены экспорт и импорт параметров работы компонента для учетной записи.
Тема 2.4 Групповые политики. Аутентификация. Учетные записи
Управление групповыми политиками позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Редактор объектов групповой политики».
Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units).
Групповые политики и Active Directory позволяют:
-
централизованно управлять пользователями и компьютерами в масштабах предприятия; -
автоматически применять политики информационной безопасности; -
понижать сложность административных задач (например, обновление операционных систем, установка приложений, управление любыми службами и компонентами на платформе Windows); -
унифицировать параметры безопасности в масштабах предприятия; -
обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей (позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированные в строгом соответствии с их должностными обязанностями и уровнем квалификации).
Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил:
-
объекты групповой политики (GPO) хранятся в каждом домене индивидуально; -
с одним сайтом, доменом или организационной единицей может быть сопоставлено несколько GPO; -
несколько сайтов, доменов или организационных единиц могут использовать единственную GPO; -
любому сайту, домену или организационной единице можно сопоставить любую GPO; -
параметры, определяемые GPO, можно фильтровать для конкретных групп пользователей или компьютеров на основе их членства в группах безопасности или с помощью WMI-фильтров.
При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:
-
политика на основе реестра. С помощью редактора объектов групповой политики можно задать параметры в реестре для приложений, операционной системы и еѐ компонентов; -
параметры безопасности. Администраторы могут указывать параметры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безопасности; -
ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры; -
распространение и установка программ. Обеспечивается возможность централизованного управления установкой, обновлением и удалением приложений; -
сценарии для компьютеров и пользователей. Данные средства позволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя; -
мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот компьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере; -
автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети; -
поддержка Internet Explorer. Эта возможность позволяет администраторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики.
Для общего контроля применения групповой политики используются механизм WMI – фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI – фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера.
Идентификация пользователя – распознавание пользователя компьютерной системы на основании ранее заданного описания. Идентификация имеет целью определение полномочий пользователя (права доступа к данным и выбора режима их использования).
Аутентификация пользователя –процедура проверки прав пользователя на доступ к информации или на выполнение определенных действий.
Идентификация позволяет пользователю назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает ("проверка подлинности").
Аутентификация бывает одностороннейидвусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
3 группы способов аутентификации:
1) основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию. Это парольнаяаутентификация и аутентификация на основе модели «рукопожатия».
2) основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (пластиковая карта с идентифицирующей пользователя информацией и т п) – программно-аппаратные методы
3) основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мыши и т п)
Парольная аутентификация
При выборе пароля необходимо руководствоваться двумя взаимоисключающими правилами: пароль должен трудно подбираться и легко запоминаться. Сложность подбора пароля определяется мощностью множества символов (N) и минимально возможной длиной пароля (k). Число всех возможных вариантов паролей С=N^k.
Другие параметры политики учетных записей пользователей:
1) max срок действия пароля;
2) несовпадение пароля с логическим именем пользователя;
3) неповторяемость паролей одного пользователя.
Еще один аспект политики учетных записей пользователей –
определение противодействия системы попыткам подбора паролей. Правила:
1) ограничение числа попыток входа в систему;
2) скрытие логического имени последнего работавшего пользователя;
3) учет всех попыток входа в систему.
Реакция системы на неудачную попытку входа:
1) блокировка учетной записи за превышение max возможных попыток
2) нарастающее увеличение временной задержки перед предоставлением пользователю следующей попытки входа (постоянная блокировка учетной записи нецелесообразна, так как позволит нарушителю заблокировать работу легального пользователя)
Для первоначального ввода или для смены паролей используются два правила:
1) символы не отображаются на экране;
2) ввод пароля повторяется дважды.
Хранение пароля в базе данных осуществляется, как правило, в зашифрованном виде. Минусы:
-
поскольку при шифровании необходимо использовать ключ, необходимо обеспечить его защищенное хранение -
опасность расшифрования любого пароля и получения его в открытом виде.
Виды парольной аутентификации:
1) с использованием многоразовых паролей;
2) с использованием одноразовых паролей. Пользователь получает список паролей Р1, Р2, … РN. Каждый из паролей действует только на один сеанс входа. В этом случае знание уже использовавшегося пароля ничего не даст злоумышленнику.
Недостатки: организация защищенного хранения длинного списка паролей, неясность с номером следующего пароля, если при вводе предыдущего вход в систему был не осуществлен из-за сбоя в работе системы. Эти недостатки могут быть устранены, если список паролей генерировать на основе необратимой функции, например, хеширования. Пусть Р – начальный пароль пользователя, а F – необратимая функция. Функция F применяется последовательно i раз для получения Pi : F^i(P) = F(F(…F(P)…)). Тогда список одноразовых паролей создается следующим образом: P1 = F^n (P), P2 = F^(n-1)(P), … , Pn = F(P). При сбое в процессе входа пользователя в систему всегда осуществляется выбор последующего пароля из списка, а система последовательно применяется функцию F к введенному паролю до совпадения с последним принятым от него паролем или до превышения длины списка.
В любом варианте парольной аутентификации подтверждение подлинности осуществляется на основе ввода некоторой конфиденциальной информации, которую можно выманить, подобрать и т п. Аутентификация на основе