Дина Погонышева - Безопасность информационных систем. Учебное пособие
- Название:Безопасность информационных систем. Учебное пособие
- Автор:
- Жанр:
- Издательство:Литагент «Флинта»ec6fb446-1cea-102e-b479-a360f6b39df7
- Год:2015
- Город:Москва
- ISBN:978-5-9765-1904-6
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Дина Погонышева - Безопасность информационных систем. Учебное пособие краткое содержание
В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем.
Для студентов по направлению подготовки 230400 – Информационные системы и технологии (квалификация «бакалавр»).
Безопасность информационных систем. Учебное пособие - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
В основном ошибки возникают из-за необходимости одновременного выполнения как требований по защите, так и общих функциональных требований к системе. Конкуренция этих требований и неизбежно возникающие противоречия между этими требованиями требуют от разработчиков принятия компромиссных решений, в которых предпочтение может быть отдано функциональности системы в ущерб ее безопасности.
Создание исходных текстов программ.Большинство ошибок в исходных текстах, как случайных, так и внесенных преднамеренно, может быть обнаружено при тщательном их изучении. Наиболее распространены случайные ошибки в исходных текстах программ. Они возникают в результате неадекватной реализации определенных в требованиях интерфейсов модулей, либо просто из-за ошибок программистов.
Преднамеренные ошибки могут быть внесены программистом. Программист может внедрить в систему код, не предусмотренный ее спецификациями, но нужный ему для отладки и тестирования разрабатываемой программы. Если по завершению разработки программы этот код не будет удален из нее, он превратится в канал утечки информации и может быть использован злоумышленником.
Генерация исполняемого кода.Исполняемый код генерируется компиляторами из исходных текстов программ и представляет собой инструкции, предназначенные для выполнения процессором. Поскольку компиляторы предназначены только для формального преобразования исходных текстов в исполняемый код, они автоматически переносят ошибки из первых во второй. Если ошибки содержатся в самом компиляторе, тогда они могут использоваться злоумышленниками для получения в компилируемых программах нужных им фрагментов кода.
Возникновение нарушений информационной безопасности на этапе сопровождения и развития системы.
Случайные ошибки, внесенные в систему во время ее сопровождения, чаще всего обусловлены неправильным представлением программистами всех аспектов функционирования системы в целом. Любые изменения, вносимые ими в систему, потенциально могут превратиться в каналы утечки информации. Для предотвращения такой ситуации каждое вносимое изменение должно сопровождаться тщательной проверкой всей системы.
Возникновение нарушений информационной безопасности на этапе эксплуатации системы.
Возникновение ошибок и сбоев, утечка информации и другие подобные явления в процессе функционирования системы в большинстве случаев происходят по причине воздействия на нее специально написанных вредоносных программ.
Классификация нарушений информационной безопасности по размещению в системе
Нарушения информационной безопасности классифицируют по их размещению в вычислительных сетях в зависимости от того, в каких компонентах системы они находятся (табл. 6).
Ошибки и каналы утечки в программном обеспечении
Компоненты программного обеспечения, вне зависимости от их конкретного предназначения, чрезвычайно сильно связаны и взаимозависимы.
Среди всего комплекса программного обеспечения в отдельную категорию выделяют операционную систему. В ней определена и реализована архитектура всей вычислительной системы. Наличие в ней ошибок, связанных с обеспечением безопасности, автоматически влечет серьезные последствия для всей вычислительной сети.
Таблица 6
Таксономия нарушений информационной безопасности по размещению в вычислительных сетях
Непосредственно с операционной системой связано сервисное программное обеспечение, обеспечивающее поддержку различных аспектов функционирования системы. Кроме того, существует прикладное программное обеспечение, с которым непосредственно работают пользователи.
Системное программное обеспечение
Операционная система включают в себя функции управления процессами, устройствами, распределением памяти, файловой системой и т. д. Она обеспечивает инициализацию вычислительной системы при опасности.
Ошибки на этапе инициализации могут возникнуть в результате неправильного взаимодействия с аппаратурой. Например, если произошли изменения в составе аппаратных средств, или при наличии неправильных конфигурационных параметров. Такие ошибки приводят к неправильному назначению полномочий доступа процессов и пользователей к ресурсам системы.
Управление процессами и управление распределением памяти – это основные задачи операционной системы, и такие ошибки приводят к получению злоумышленником контроля над всей системой и свободному доступу к любой информации.
Управление устройствами определяет наличие комплекса программ ввода/вывода, обеспечивающих функционирование этих устройств параллельно и независимо от центрального процессора. Ошибки в таких программах приводят либо к отказам и сбоям в работе устройств, либо позволяют получить информацию, доступ к которой запрещен.
Файловая система использует значительное число функций операционной системы – управление процессами, устройствами, распределением памяти и т. д. Такие ошибки автоматически распространяются и на файловую систему. Кроме того, файловой системе присущи и собственные ошибки, касающиеся хранения данных и ограничения доступа к ним. Из-за неправильного представления данных следует неправильное функционирование механизмов контроля. Наличие ошибок в механизмах управления файловой системой способно привести к нарушению функционирования и безопасности всей вычислительной системы.
Идентификация и аутентификация являются основой функционирования любой системы защиты. Операционная система содержит специальные файлы, в которых хранятся имена и пароли, на основании которых и выполняются указанные процедуры. Чрезвычайно важно обеспечить не только адекватную реализацию процедур идентификации и аутентификации, но и всестороннюю защиту этих файлов от несанкционированного доступа и изменения. Иначе злоумышленник сможет выдать себя за легального пользователя и получить соответствующие полномочия.
Сервисное программное обеспечение
Сервисное программное обеспечение включает компиляторы, отладчики, редакторы, библиотеки функций, системы управления базами данных и т. п. Операционная система при запуске таких программ предоставляет им специальные привилегии, превышающие привилегии работающего с ними пользователя.
Привилегированные утилиты, как правило, являются сложными программами и часто обеспечивают выполнение функций, не предусмотренных операционной системой. Они разрабатываются отдельно от операционной системы и могут не поддерживать принятые в ней требования и ограничения безопасности, даже при наличии собственной системы защиты. Это означает, что привилегированные утилиты являются потенциально опасными для защиты вычислительных систем.
Читать дальшеИнтервал:
Закладка:
