shkolageo.ru 1


Обеспечение защиты информационно-вычислительных ресурсов информационных систем управления

  • принцип системного подхода:

  • начиная с ограничения доступа на объект (ограждение, охрана, видеонаблюдение, сенсорные датчики и т.п., т.е. защиты непосредственно самого объекта от проникновения посторонних лиц ).

  • кончая применением специальных программных средств контроля и мониторинга защищенности информационной системы, контроля и обнаружения несанкционированных действий со стороны внешних злоумышленников и собственных сотрудников, т.е. непосредственно защиты самой информационной системы объекта.

Вопрос информационной безопасности рассматривается американским руководством как один из ключевых элементов в системе защиты национальных интересов. В связи с этим в настоящее время в США ассигнования только на обеспечение безопасности телекоммуникаций достигают 10 млрд. долл. в год. В то же время директива президента США под названием “Об управлении информированием в обществе” однозначно устанавливает, что любые, вывозимые на продажу технические средства, даже специальные криптографические, должны служить в первую очередь электронной разведке США при сборе необходимой стратегической информации.

  • Вопрос информационной безопасности рассматривается американским руководством как один из ключевых элементов в системе защиты национальных интересов. В связи с этим в настоящее время в США ассигнования только на обеспечение безопасности телекоммуникаций достигают 10 млрд. долл. в год. В то же время директива президента США под названием “Об управлении информированием в обществе” однозначно устанавливает, что любые, вывозимые на продажу технические средства, даже специальные криптографические, должны служить в первую очередь электронной разведке США при сборе необходимой стратегической информации.

  • Продвижение нашей страны по пути развития рыночной экономики обусловило необходимость принятия законодательных актов, регулирующих отношения, которые возникают при формировании и использовании информационных ресурсов, в частности, при создании и использовании информационных технологий и средств их обеспечения, при защите граждан и прав субъектов, участвующих в информационных процессах и информатизации.

  • Эти акты предусматривают меры, направленные на создание и охрану национальных информационных ресурсов как общероссийского национального достояния, что нашло свое отражение в законе РФ “Об информации, информатизации и защите информации” №24-ФЗ, принятом 20 февраля 1995 г.


Тестирование программных средств

  • Основные виды тестирования:

  • Функциональное – тестирование возможностей системы, ее реакции на те или иные ситуации. Обычно результат функционального тестирования (реакция системы)сравнивается с постановкой задачи, а при несоответствии фиксируется ошибка.

  • Нагрузочное – тестирование работы системы при пиковой нагрузке, позволяющее сделать вывод о производительности системы.

  • Регрессионное тестирование – проверка полноты реализуемых функций по сравнению с предыдущей версией программного продукта. Его осуществляют либо после функционального усовершенствования, либо после исправления программы. Применяется по двум причинам, чтобы убедиться в том, что обнаруженные ошибки исправлены и чтобы гарантировать совместимость новой версии приложения с предыдущей.

  • Стрессовое тестирование – проверка реакции системы на внештатные ситуации. Примером может служить проверка системы на восстановление работоспособности системы после отключения питания на сервере базы данных, другим элементом такого тестирования служит выявление факта адекватного реагирования системы на ошибочные и злонамеренные действия пользователей (при обязательном фиксирование ошибочных действий)

  • Блочное тестирование – процесс, охватывающий небольшой фрагмент программного кода вне его связи с другими подобными фрагментами. Осуществляется до интеграции в основное приложение.

  • Комплексное (интеграционное) тестирование – процесс выявления ошибок, возникающих в процессе интеграции программных компонентов или модулей, в том числе и те, что нарушают их взаимодействие.


Rational Software (~27%), Intersolv (~11%) и Mercury Interactive (~11%), тогда как на долю компании Microsoft приходится только 5% мирового рынка .


Введение пользовательских паролей

  • Угроза крупных компьютерных преступлений реальна как никогда, причем самым легким способом атаки на ваш компьютер является кража пароля.

  • … “Избегайте очевидного”, - Пароль, состоящий из имени, дня рождения или слова из словаря, легко не только запомнить, но и взломать.

  • … пароль должен сочетать в себе буквы в нижнем и верхнем регистрах, а также цифры. Он должен быть как минимум шестизначным, хотя надежными считаются пароли от тринадцать знаков и выше.

  • Еще одна распространенная ошибка – использование везде одного и того же пароля.

  • Целесообразно использовать систем паролей: особый пароль для входа в систему, другой пароль для выхода из системы, и периодически повторяемое требование ввода пароля для работы с самой системой).

  • … начиная с третьей версии Netscape, пароль можно легко спрятать в поле описания закладки. Делается это так: выберите команду Edit Bookmarks и щелкните правой кнопкой мыши по той закладке, где вы хотите спрятать пароль. Затем выберите команду Bookmark Properties. Внесите в окне Description имя пользователя, пароль или подсказку. Шу предлагает использовать следующий мнемонический прием: составлять пароль из первых букв в словах из строчки какой-нибудь песенки или стихотворения. К примеру, «Я помню чудное мгновенье // Передо мной явилась ты», а сокращенно – «ЯпчмПмят». Если нельзя использовать русский шрифт, записываем латиницей: «Робин Бобин Барабек скушал сорок человек» – RBBssc. А если писать по-русски, не переключая шрифт, получим и вовсе нечто загадочное: ZgxvGvzn, H<



Время подбора пароля на ЭВМ Pentium/200 МГц


Важность проблемы обеспечения информационной безопасности обусловила создание Международной ассоциации компьютерной безопасности (International Computer Security Association, ICSA).

  • Важность проблемы обеспечения информационной безопасности обусловила создание Международной ассоциации компьютерной безопасности (International Computer Security Association, ICSA).

  • Так, например, занимающаяся вопросами защиты информации в рамках организованной ICSA служба сертификации TruSecure предлагает услугу Hacker Insurance - страхование от вторжения хакеров. Клиент должен внести плату за год вперед, а ICSA, в свою очередь, обязуется регулярно проверять защищенность его систем и сетей от различных атак. Пользователям, информационные ресурсы которых хотя и были защищены службой сертификации, но, тем не менее «пали жертвой» внешней атаки, в соответствии с условиями новой услуги TruSecure выплачивается компенсация. … Никаких дополнительных расходов в связи с этим он не понесет. Ассоциация обязуется возместить ущерб в размере 20 тыс. долл. за каждую зарегистрированную атаку на систему клиента.» (Страховка от вторжения хакеров. Мэтью Нельсон (InfoWorld Electric) ComputerWorld Россия, 21 июля 1998, стр. 30. Адрес International Computer Security Association в Internet – http://www.icsa.net


Оборот Utimaco Software вырос в течение года с 38 млн. марок до 46 млн. Он распределяется по разным сегментам рынка следующим образом:



Литература:

  • Маргрет Джонстон. Передовые силы науки - на укрепление обороны США. COMPUTERWORLD Россия, 16 февраля 1999, стр.31.

  • Евгений Патий, "Средства для внутреннего употребления", "IT news", №21, 13 ноября 2007, стр. 27.

  • Новости. Военные известия, PC WEER/RE №34, 1 сентября 1998, стр.6.

  • Александр Латкин, Страх навсегда, Известия, №51, 23 марта 2001, стр. 4.

  • Шпионству - бой! Защити свое право на частную жизнь, Домашний компьютер, № 9,1999, стр.40.

  • Том Спринг, Не забудьте пароль! COMPUTERWORLD Россия, 28 сентября 1999 г., стр.46

  • Наталья Басина, Алексей Доля. Перспективы рынка средств внутренней ИТ-безопасности глазами его участника. CIO/информационная безопасность, №3, март, 2007. стр.116.

  • Б.В. Уткин, К.В. Балдин. Информационные системы в экономике. М.: Академия, 2004 .Стр.68

  • Д. Борушевский, Ю. Сакун. Бойся, хакер. Компьютерра №34, 24 августа 1999, с.9.

  • Мэтью Нельсон (InfoWorld Electric) Страховка от вторжения хакеров. ComputerWorld Россия, 21 июля 1998, стр. 30.

  • SS Системы и сети, август-сентябрь 1996. Система безопасности. Методология решения проблемы. стр.44.

  • Новости, PC WEER/RE №34, 1 сентября 1998 стр.6.

  • Наталья Дубова, Проверь свою безопасность. Бесплатно. ComputerWorld Россия, 21 июля 1998, стр. 30.