Лекция 1 ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. СИСТЕМНЫЙ И ОБЪЕКТНООРИЕНТИРОВАННЫЙ ПОДХОДЫ К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Основные определения 2 В соответствии с Доктриной информационной безопасности РФ: Информационная безопасность (далее ИБ) – это состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. Под ИБ мы будем понимать: Состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Основные определения 3 Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности. Средства обеспечения информационной безопасности это средства, с помощью которых осуществляются меры по защите информации, систем управления, связи, компьютерных сетей, недопущению подслушивания, маскировке, предотвращению хищения информации и т. д.
Системный подход к ИБ 4 Объекты системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации; Объектами опасного информационного воздействия и, следовательно, ин формационной безопасности могут быть: сознание, психика людей, информа ционно технические системы различного масштаба и назначения, файлы, данные. Субъекты системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы. Субъектами информационной безопасности следует считать те органы и структуры, которые занимаются ее обеспечением. С точки зрения системного подхода субъекты осуществляют действия над объектами.
Основные определения 5 Целесообразность проведения тех или иных мероприятий зависит от субъектов информационных отношений и интересов этих субъектов. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало". Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Для многих организаций (например, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Основные определения 6 ИБ объекта зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро , водо и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. ИБ объекта определяется самым слабым звеном. Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход.
Основные определения 7 Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Отдельно можно выделить задачу обеспечения аутентичности информации и задачу защиты от несанкционированного копирования, которые также находится в области интересов субъектов.
Основные определения 8 Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации. Аутентичность информации – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Документ аутентичен, если его авторство не вызывает сомнения.
Основные определения 9 Информационная безопасность есть составная часть интегральной безопасности и информационных технологий – области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
Борьба со сложностью систем 10 Сложная система информационной безопасности на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость здесь и далее понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на первом этапе компоненты, и так далее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции.
Основные понятия объектноориентированного подхода 11 Объектно ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.
Объектно-ориентированный подход в программировании 12 Объектно ориентированное программирование (ООП) — парадигма программирования, в которой основными концепциями являются понятия объектов и классов. Структурное программирование – методология разработки программного обеспечения, в основе которой лежит представление программы в виде иерархической структуры блоков. Процедурное программирование — программирование на императивном языке, при котором последовательно выполняемые операторы можно собрать в подпрограммы, то есть более крупные целостные единицы кода, с помощью механизмов самого языка. Императивное программирование — это парадигма программирования, которая, в отличие от декларативного программирования, описывает процесс вычисления в виде инструкций, изменяющих состояние данных.
Объектно-ориентированный подход в программировании 13 Объект в программировании — некоторая сущность в виртуальном пространстве, обладающая определённым состоянием и поведением, имеющая заданные значения свойств (переменных, принадлежащих классу) и операций над ними (методов – функций, осуществляющих различные действия, в том числе над переменными класса). Как правило, при рассмотрении объектов выделяется то, что объекты принадлежат одному или нескольким классам, которые определяют поведение (являются моделью) объекта. Свойством объекта может быть другой объект.
Объектно-ориентированный подход в программировании 14 Термины «экземпляр класса» и «объект» взаимозаменяемы. Класс в программировании — разновидность абстрактного типа данных в объектно ориентированном программировании (ООП). Класс – это тип объектов. Классом условно можно назвать шаблон будущего объекта, который определяет его свойства и методы. При создании объекта (экземпляра класса) для него выделяется память. С объектом можно работать как с переменной. Программа осуществляет действия при выполнении инструкций только с объектами, классы определяют ту часть этих действий, которая происходит «внутри» объекта.
Основные понятия объектноориентированного подхода 15 Класс это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения. Объект это элемент класса, то есть абстракция определенной сущности. Объекты активны, у них есть не только внутренняя структура, но и поведение, которое описывается так называемыми методами объекта. Например, может быть определен класс "пользователь", характеризующий "пользователя вообще", то есть ассоциированные с пользователями данные и их поведение ( методы ). После этого может быть создан объект "пользователь Иванов" с соответствующей конкретизацией данных и, возможно, методов.
Основные понятия объектноориентированного подхода 16 Инкапсуляция сокрытие реализации объектов (их внутренней структуры и деталей реализации методов) с предоставлением во вне только строго определенных интерфейсов. Полиморфизм может трактоваться как способность объекта принадлежать более чем одному классу. Наследование означает построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов. Общая информация не дублируется, указывается только то, что меняется. При этом класс потомок помнит о своих "корнях".
Основные понятия объектноориентированного подхода 17 Наследование и полиморфизм наделяют объектно ориентированную систему способностью к эволюции. Объекты реального мира обладают, как правило, несколькими относительно независимыми характеристиками. Применительно к объектной модели будем называть такие характеристики гранями. При объектно ориентированном подходе к проектированию систем, объекты представлены в иерархическом виде, если очередной уровень иерархии рассматривается с уровнем детализации n > 0, то следующий с уровнем (n 1). Объект с нулевым уровнем детализации считается атомарным.
Кратко о средах разработки (компонентные объектные среды) 18 Компонент условно можно определить как многократно используемый объект, допускающий сохранение в долговременной памяти. Контейнеры могут включать в себя множество компонентов, образуя общий контекст взаимодействия с окружением. Контейнеры могут выступать в роли компонентов других контейнеров. Компонентные объектные среды обладают всеми достоинствами ООП: • инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый интерфейс; • наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки; • полиморфизм дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными.
Понятие интерфейса 19 В широком смысле – это совокупность возможностей, способов и методов взаимодействия двух систем (любых, а не обязательно являющиеся вычислительными или информационными), устройств или программ для обмена информацией между ними, определённая их характеристиками, характеристиками соединения, сигналов обмена и т. п. В программировании – это конструкция в коде программы, используемая для специфицирования услуг, предоставляемых классом или компонентом, это абстрактный класс, у которого все методы абстрактные (не имеют реализации, тела). Интерфейс можно назвать шаблоном классов. Пользовательский интерфейс (UI — англ. user interface) — разновидность интерфейсов, в котором одна сторона представлена человеком (пользователем), другая — машиной/устройством. Представляет собой совокупность средств и методов, при помощи которых пользователь взаимодействует с различными, чаще всего сложными, машинами, устройствами и аппаратурой. Чаще всего (но не всегда) термин применяется по отношению к компьютерным программам.
Заголовок класса в языке C++ 20 class My. Class: public Parent. Class // Parent. Class — класс-предок, // если таковой имеется { public: // элементы в этой секции доступны из любой части программы My. Class(); // конструктор ~My. Class(); // деструктор int a; protected: // элементы в этой секции доступны из класса и его потомков private: // элементы в этой секции доступны только из класса; // это область доступа по умолчанию int do. Sjmething(int x, int y); };
Заголовок класса в языке Delphi 21 TForm 1 = class(TForm) Edit 1: TEdit; Button 1: TButton; procedure Button 1 Click(Sender: TObject); private { Private declarations } public { Public declarations } end; type TMy. Class = class(TCustom. Control) private { Private declarations } protected { Protected declarations } public { Public declarations } published { Published declarations } end; type TExpression. Class = class (TObject) //класс вычислений private { Private declarations } public function F_Expression(str_in, str_out: String): String; //функция end;
Объектно-ориентированный подход применительно к ИБ 22 Введем следующие грани: законодательные меры обеспечения информационной безопасности; административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами); процедурные меры (меры безопасности, ориентированные на людей); программно технические меры.
Объектно-ориентированный подход применительно к ИБ 23 ЛВС Соединение с Интернетом Интернет Сервер ПК Пользователь
Объектно-ориентированный подход применительно к ИБ 24 С нулевым уровнем детализации: Уже здесь необходимо учесть законы, применимые к организациям, располагающим информационными системами. Возможно, какую либо информацию нельзя хранить и обрабатывать на компьютерах, если ИС не была аттестована на соответствие определенным требованиям. На административном уровне могут быть декларированы цели, ради которых создавалась ИС, общие правила закупок, внедрения новых компонентов, эксплуатации и т. п. На процедурном уровне нужно определить требования к физической безопасности ИС и пути их выполнения, правила противопожарной безопасности и т. п. На программно техническом уровне могут быть определены предпочтительные аппаратно программные платформы и т. п.
Объектно-ориентированный подход применительно к ИБ 25 На первом уровне детализации делаются видимыми сервисы и пользователи, точнее, разделение на клиентскую и серверную часть: На этом уровне следует сформулировать требования к сервисам (к самому их наличию, к доступности, целостности и конфиденциальности предоставляемых информационных услуг), изложить способы выполнения этих требований, определить общие правила поведения пользователей, необходимый уровень их предварительной подготовки, методы контроля их поведения, порядок поощрения и наказания и т. п. Могут быть сформулированы требования и предпочтения по отношению к серверным и клиентским платформам.
Объектно-ориентированный подход применительно к ИБ 26 На втором уровне детализации можно видеть следующее: На этом уровне нас все еще не интересует внутренняя структура ИС организации, равно как и детали Internet. Констатируется только существование связи между этими сетями, наличие в них пользователей, а также предоставляемых и внутренних сервисов. И Т. Д.
Объектно-ориентированный подход применительно к ИБ 27 Исходя из основных положений объектно ориентированного подхода, следует признать устаревшим традиционное деление на активные и пассивные сущности (субъекты и объекты) по двум причинам: В объектном подходе пассивных объектов нет. Можно считать, что все объекты активны одновременно и при необходимости вызывают методы друга. Как реализованы эти методы (и, в частности, как организован доступ к переменным и их значениям) внутреннее дело вызываемого объекта ; детали реализации скрыты, инкапсулированы. Вызывающему объекту доступен только предоставляемый интерфейс. Во вторых, нельзя сказать, что какие то программы ( методы ) выполняются от имени пользователя. Реализации объектов сложны, так что последние нельзя рассматривать всего лишь как инструменты выполнения воли пользователей. Когда активизируется вызываемый метод, объект действует скорее от имени своего создателя, чем от имени вызвавшего пользователя.
Скачать презентацию Лекция 1 ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМНЫЙ И ОБЪЕКТНООРИЕНТИРОВАННЫЙ
Лекция 1[pptx]