Компьютерная безопасность

Информационная безопасность Скачать презентацию
<< Безопасность информации		Компьютерные преступления >>

Теоретические основы компьютерной безопасности	Содержание	Содержание	4	5
Программа курса				Программа курса
Литература по курсу	Лекция 1.1. Содержание и основные понятия компьютерной безопасности	1.История развития теории и практики обеспечения компьютерной	11	12
13	14	15	16	17
18	19	20	Лекция 1.2. Угрозы безопасности в компьютерных системах	1. Понятие и классификация угроз 2. Идентификация и таксонометрия
23	24	25	26	27
27	28	29	29	29
30	30	…	32	33
34	35	35	36	37
38	39	40	41	42
43	44	45	46	46
46	46	46	46	47
48	Мотивы действий, поступков по осуществлению угроз	Модель нарушителя -совокупность представлений по человечес- кому	51	Лекция 1.3. Политика и модели безопасности в компьютерных системах
1.Понятие политики и моделей безопасности информации в компьютерных	54	55	56	57
58	59	60	61	62
63	64	65	66	67
68	69	70	71	Лекция 2.1. Модели безопасности на основе дискреционной политики
1.Общая характеристика политики дискреционного доступа 2.Пятимерное	74	75	76	77
78	79	80	81	82
83	84	85	86	87
88	89	90	91	92
93	94	95	96	97
98	98	98	98	99
100	101	102	103	104
105	106	107	Лекция 2.2. Модели безопасности на основе мандатной политики	1.Общая характеристика моделей полномочного (мандатного) доступа 2
110	111	111	111	111
112	113	113	114	115
116	117	118	119	120
121	122	123	Лекция 2.3. Модели безопасности на основе тематической политики	1.Общая характеристика тематического разграничения доступа 2
126	126	127	128	129
130	131	132	133	134
135	136	137	138	139
Лекция 2.4. Модели безопасности на основе ролевой политики	1.Модели ролевого доступа 2.Модели индивидуально-группового доступа 3	142	143	144
145	146	147	148	149
150	151	152	153	154
155	156	157	158	159
160	Лекция 2.5. Автоматные и теоретико-вероятностные модели невлияния и	1. Понятие и общая характеристика скрытых каналов утечки информации 2	163	164
165	166	167	168	169
170	171	172	173	174
175	Лекция 2.6. Модели и технологии обеспечения целостности данных	1. Общая характеристика моделей и технологий обеспечения целостности	178	179
180	181	182	183	184
185	186	187	188	189
190	191	192	192	193
194	195	196	Лекция 2.7. Методы и технологии обеспечения доступности (сохранности)	1. Резервирование архивирование и журнализация данных 2. Технологии и
199	200	201	202	203
204	205	206	207	Лекция 2.8. Политика и модели безопасности в распределенных КС
209	210	211	212	213
214	215	216	217	218
219	220	Лекция 3.1. Методы, критерии и шкалы оценки защищенности	Учебные вопросы:	223
224	225	226	227	228
229	230	231	232	233
234	234	234	235	236
237	238	238	239	240
241	242	243	244	245
246	247	248	249	250
251	252	253	253	254
254	255	255	256	257
258	259	260	261	262
263	263	264	264	265
265	266	266	267	267
268	268	269	269	Лекция 3.2. Теоретико-графовые модели комплексной оценки защищенности
271	272	273	273	274
275	276	277	278	279
280	Лекция 3.3. Методы анализа и оптимизации индивидуально-групповых	282	283	284
285	286	287	288	288
289	290	291	292	293
294	295	296	297

Картинки из презентации «Компьютерная безопасность» к уроку информатики на тему «Информационная безопасность»

Автор: Гайдамакин Н.А.. Чтобы познакомиться с картинкой полного размера, нажмите на её эскиз. Чтобы можно было использовать все картинки для урока информатики, скачайте бесплатно презентацию «Компьютерная безопасность.ppt» со всеми картинками в zip-архиве размером 7883 КБ.

Скачать презентацию

Компьютерная безопасность

содержание презентации «Компьютерная безопасность.ppt»

Сл	Текст	Сл	Текст
1	Теоретические основы компьютерной безопасности. ФЕДЕРАЛЬНОЕ	150	множество несовместимых с ней ролей. Другие разновидности
	АГЕНТСТВО ПО ОБРАЗОВАНИЮ ГОУ ВПО «Уральский государственный		организации ролей. Т.Н.Статическое разделение обязанностей.
	университет им. А.М.Горького» ИОНЦ «Информационная безопасность»		Ограничения на одновременное использование ролей в одном сеансе
	Курс общепрофессиональных дисциплин Учебная дисциплина:		- множество ролей разбивается на подмножества, несовместимых
	Специальность обучения: «Компьютерная безопасность», 5 курс. ?		ролей(z.b. "администратор"-"аудитор"). В
	Гайдамакин Н.А., 2008 г. Презентация предназначена для отработки		ходе одного сеанса пользователь может активизировать из каждого
	и закрепления лекционного материала студентами группы КБ МатМех		подмножества не более одной роли. Т.Н.Динамическое разделение
	УрГУ. Распространение и передача презентации третьим лицам		обязанностей. Количественные ограничения по назначению ролей
	запрещается.		одному пользователю. Групповое назначение ролей одному
2	Содержание. Лекция 1.1 Содержание и основные понятия		пользователю - роль м.б. назначена тогда, когда одновременно
	компьютерной безопасности. Лекция 1.2 Угрозы безопасности в		назначена еще группа обязательных для данной роли других ролей.
	компьютерных системах. Лекция 1.3 Политика и модели безопасности		1. Модели ролевого доступа.
	в компьютерных системах. Лекция 2.1 Модели безопасности на	151	151. Рабочая группа в отличие от роли не является
	основе дискреционной политики Лекция 2.2 Модели безопасности на		самостоятельным субъектом доступа. 2. Модели
	основе мандатной политики Лекция 2.3 Модели безопасности на		индивидуально-группового доступа. 1. КС представляется
	основе тематической политики Лекция 2.4 Модели безопасности на		совокупностью следующих наборов сущностей: множества объектов
	основе ролевой политики Лекция 2.5 Автоматные и		доступа O (o1, o2,…, oM ) ; множества пользователей U (u1, u2,…,
	теоретико-вероятностные модели невлияния и невыводимости Лекция		uN ); множества рабочих групп пользователей G (g1, g2,…, gK );
	2.6 Модели и технологии обеспечения целостности данных Лекция		множества прав доступа и привилегий R (r1, r2,…, rJ ) ; матрицей
	2.7 Методы и технологии обеспечения доступности (сохранности)		доступа A размерностью ((N +K) x M), каждая ячейка которой
	данных.		специфицирует права доступа и привилегии пользователей или их
3	Содержание. Лекция 2.8 Политика и модели безопасности в		рабочих групп к объектам из конечного набора прав доступа и
	распределенных КС Лекция 3.1 Методы, критерии и шкалы оценки		привилегий R (r1, r2,…, rJ ), т. е. A[u, o] ? R , A[g, o] ? R.
	защищенности (безопасности) Лекция 3.2 Теоретико-графовые модели		Определение. Рабочей группой называется совокупность
	комплексной оценки защищенности КС Лекция 3.3 Методы анализа и		пользователей, объединенных едиными правами доступа к объектам и
	оптимизации индивидуально-групповых систем разграничения		(или) едиными привилегиями (полномочиями) выполнения
	доступа.		определенных процедур обработки данных.
4	4. Общая характеристика специальности 075200 «Компьютерная	152	152. 2. Групповые отношения в системе устанавливаются
	безопасность». Квалификация – математик Квалификационная хар-ка		отображением множества пользователей на множество рабочих групп:
	выпускника: Область науки и техники, охватывающая совокупность		FUG : U x G – такое, что одна рабочая группа объединяет
	проблем, связанных с построением и доказательным анализом		нескольких пользователей, а один пользователь может входить в
	качества защищенных компьютерных систем Объекты проф. деят-ти –		несколько рабочих групп. fgroups: U? G – значением функции
	защищенные компьютерные системы и средства обработки, хранения и		fgroups(u) = G является набор рабочих групп G = {gu1, gu2,…} ? G
	передачи информации; службы защиты информации; математические		, в которые пользователь u включен по отображению FUG ; fusers:
	модели процессов, возникающих при защите информации Виды		G ? U – значением функции U = fusers(g) является набор
	профессиональной деятельности: производственно-технологическая;		пользователей U = {ug1, ug2,…} ? U, которые рабочая группа g
	организационно-управленческая;		включает по отношению FUG . Отношение «Пользователи-группы» -
	экспериментально-исследовательская: разработка и исследование		«многие-ко-многим». 2. Модели индивидуально-группового доступа.
	специальных технических и программно- аппаратных средств защиты	153	153. 3. Управление индивидуально-групповым доступом в
	информации в КС; разработка математических моделей безопасности		системе осуществляется на основе следующего правила (критерия
	КС; подбор, изучение и обобщение н/т литературы, нормативных и		безопасности) индивидуально-группового доступа. Критерий
	методических документов по программно-аппаратным средствам и		безопасности индивидуально-группового доступа: Система
	способам обеспечения ИБ КС составление информационных обзоров по		функционирует безопасно, если и только если любой пользователь
	вопросам компьютерной безопасности изучение и анализ		u?U по отношению к любому объекту o?O может осуществлять доступ
	информационной безопасности современных информационных		с правами R , не выходящими за пределы совокупности
	технологий.		индивидуальных прав A[u,o] и прав рабочих групп A[gui,o], в
5	5. ОПД ГОС 075200 «Компьютерная безопасность». ОПД.Ф.01		которые пользователь входит по отношению FUG : R ? {A[u,o] ?
	«Аппаратные средства вычислительной техники» ОПД.Ф.02 «Методы		A[gu1, o] ? A[gu2, o] ?…}, где { gu1, gu2,…} = fgroups(u).
	программирования» ОПД.Ф.03 «Языки программирования» ОПД.Ф.04		Разделение процесса функционирования на КС не является
	«Операционные системы» ОПД.Ф.05 «Вычислительные сети» ОПД.Ф.06		существенным, поскольку пользователь всегда получает полномочия
	«Системы управления базами данных» ОПД.Ф.07 «Электроника и		всех групп, в которые входит. 2. Модели индивидуально-группового
	системотехника» ОПД.Ф.08 «Системы и сети передачи информации»		доступа.
	ОПД.Ф.09 «Основы информационной безопасности» ОПД.Ф.10	154	154. 4. Членами рабочих групп могут быть коллективные члены,
	«Теоретические основы компьютерной безопасности» ОПД.Ф.11		т.е. другие рабочие группы. Вхождение одних групп в другие д.б.
	«Организационно-правовое обеспечение информационной		транзитивно, антисимметрично и рефлексивно: FGG : G x G -
	безопасности» ОПД.Ф.12 «Технические средства и методы защиты		отношение частичного порядка, определяющее иерархию
	информации» ОПД.Ф.13 «Криптографические методы защиты		(вложенность) рабочих групп и задающее оператор доминирования ?
	информации» ОПД.Ф.14 «Программно-аппаратные средства обеспечения		такое, что если для g1, g2 ? G, g1 ? g2, то g1 включает g2 . f
	информационной безопасности» Защита программ и данных Защита в		hgroups: G ? G – значением функции fgroups(g) является набор
	операционных системах Защита в сетях Защита в СУБД ОПД.Ф.15		рабочих групп {gg1, gg2,…} ? G , в которые рабочая группа g
	«Основы управленческой деятельности» ОПД.Ф.16 «Безопасность		включена по отношению FGG . Rg = a[g,o] +a[gg1,o] + a[gg2,o] + …
	жизнедеятельности».		, где {gg1, gg2,…}= fgroups(g). 2. Модели
6	Программа курса. 6. 1. Исходные положения теории		индивидуально-группового доступа. Наследование прав по групповой
	компьютерной безопасности. 1.1. Содержание и основные понятия		иерархии происходит «сверху-вниз».
	компьютерной безопасности (история ТКБ, основные направления	155	155. 5. На графе вхождения одних групп в другие не должно
	обеспечения КБ, информация как объект защиты,	155	быть циклов. 2. Модели индивидуально-группового доступа.
	конфиденциальность, целостность и доступность информации) 1.2.	156	156. Определения MMS-модели (формализация системы защиты).
	Угрозы безопасности в КС (классификация и аксонометрия угроз		Классификация- обозначение, накладываемое на информацию,
	безопасности информации в КС, оценивание угроз) 1.3. Политика и		отражающее ущерб, который м.б. причинен неавторизованным
	модели безопасности в КС (монитор безопасности и основ-ные типы		доступом (TOP SECRET, SECRET, + возможно дополн. функц. разгр. -
	политик безопасности в КС, изолированная программная среда). 2.		CRYPTO, NUCLEAR и т.п.). Степень доверия пользователю- уровень
	Модели безопасности компьютерных систем. 2.1. Модели		благонадежности персоны (иначе допуск пользователя) - априорно
	разграничения доступа (дискреционные модели - модели на основе		заданная характеристика. Пользовательский идентификатор- строка
	матрицы доступа; модели распространения прав доступа - модель		символов, используемая для того, чтобы отметить пользователя в
	Харрисона-Руззо-Ульмана, теоретико-графовая модель TAKE-GRANT;		системе. Для использова- ния системы пользователь д. предъявить
	мандатные модели – модель Белла-ЛаПадуллы и ее расширения,		ей идентификатор, система должна провести аутентификацию
	модель тематического разграничения доступа на основе		пользователя (login). Пользователь- персона, уполномоченная для
	иерархических рубрикаторов; теоретико-информационные модели –		использования системы. Роль - работа, исполняемая пользователем.
	модель информационного невмешательства, модель информационной		Пользователь в любой момент времени (после login до logon)
	невыводимости, модели ролевого доступа) 2.2. Модели и технологии		всегда ассоциирован как минимум с одной ролью из нескольких. Для
	обеспечения целостности компьютерной информации		действий в данной роли пользователь д.б. уполномочен. Некоторые
	(субъектно-объектные модели – дискреционная модель Биба,		роли в конкр. момент времени м.б. связаны только с одним
	мандатная модель Кларка-Вильсона; технологии ЭЦП, технологии		пользователем. С любой ролью связана способность выполнения
	обеспе-чения целостности мониторами транзакций в		определенных операций. Объект- одноуровневый блок информации.
	клиент-серверных СУБД) 2.3. Модели и механизмы обеспечения		Это минимальный блок информации в системе, который м. иметь
	правомерной доступности (сохранности) компьютерной информации		классификацию, т.е. м.б. раздельно от других поименован. Объект
	(резервирование и журнализация данных, модели и технологии		не содержит других объектов (т.е. он не многоуровневый). 3. MMS
	репликации данных) 2.4. Модели безопасности распределенных КС		(military message system)-модель. Лендвер, МакЛин, 1984г.
	(модель Варахараджана, зональная модель безопасности).	157	157. Определения MMS-модели (продолжение). Контейнер-
7	Программа курса. 7. 3. Методы, анализа и оценки защищенности		многоуровневая информационная структура. Имеет класси- фикацию и
	компьютерных систем. 3.1. Методы, критерии и шкалы оценки		м. содержать объекты (со своей классификацией) и др. контейнеры
	защищенности КС (порядковые, ранговые, интервальные шкалы		(также со своей классификацией). Сущность- объект или контейнер.
	измерений; содержание объекта оценки и способы оценки) 3.3.		Требование степени доверия объектов- атрибут некоторых контей-
	Теоретико-графовые модели комплексной оценки защищенности КС		неров. Для некоторых контейнеров важно требовать минимум сте-
	(модель системы с полным перекрытием, модель Клементса,		пени доверия, т.е. пользователь, не имеющий соответствующего
	гиперграфовая модель) 3.3. Теоретико-графовая модель анализа		уровня благонадежности, не может просматривать содержимое
	системы индивидуально-группового доступа к иерархически		контейнера. Такие контейнеры помечаются соотв. атрибутом.
	организованным информационным ресурсам.		Идентификатор (ID)- имя сущности без ссылки на другие сущности.
8	Литература по курсу. 8. 1. Хоффман Л. Современные методы		Ссылка на сущность прямая- если это идентификатор сущности.
	защиты информации. М.:Сов.радио, 1980. – 264с. 2. Грушо		Ссылка на сущность косвенная- если это последовательность двух и
	А.А.,Тимонина Е.Е. Теоретические основы защиты информации.		более идентификаторов (имен) сущностей, первая из которых -
	М.:Яхтсмен, 1996. - 192с. 3. Теория и практика обеспечения		контейнер. Операция- функция, которая м.б. применена к сущности
	информационной безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен,		(читать, модифицировать и т.д.). Некоторые операции м.
	1996. - 302с 4. Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю.		использовать более одной сущности (z.b. Copy). Множество
	Введение в теоретические основы компьютерной безопасности : Уч.		доступа- множество троек (Пользовательский идентификатор или
	пособие. М., 1998.- 184с. 5. Зегжда Д.П.,Ивашко А.М. Основы		роль - Операция - Индекс операнда), которое связано с сущностью
	безопасности информационных систем. - М.:Горячая линия -		(т.е. дескрипторы доступа объекта). 3. MMS (military message
	Телеком, 2000. - 452с. 6. Теоретические основы компьютерной		system)-модель.
	безопасности: Учеб. пособие для вузов / П.Н. Девянин,	158	158. Основная схема функционирования системы -пользователи
	О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. -		после идентификации запрашивают у системы операции над
	192с. 8. Щербаков А.Ю. Введение в теорию и практику компьютерной		сущностями от своего ID или от имени Роли, с которой в данный
	безопасности. М.: издатель Молгачев С.В.- 2001- 352 с.		момент авторизованы. Система функционирует безопасно, если
	9.Гайдамакин Н.А. Разграничение доступа к информации в		-пользователи ведут себя корректно (не компрометируют систему)
	компью-терных системах. - Екатеринбург: изд-во Урал. Ун-та,		на основе некоторых предположений - система защиты (монитор
	2003. – 328 с. 10. Корт С.С. Теоретические основы защиты		безопасности) реализует определенные ограничения политики
	информации: Учебное пособие. – М.: Гелиос АРВ, 2004. – 240 с.		безопасности). Предположения MMS-модели,которым д. следовать
	11.Девянин П.Н. Модели безопасности компьютерных систем: Учеб.		пользователи системы. А1. Администратор безопасности корректно
	пособие. – М.: Изд.центр «Академия», 2005. – 144 с.		присваивает уровни доверия, классификацию устройств и правильные
9	Лекция 1.1. Содержание и основные понятия компьютерной		множества ролей. А2. Пользователь определяет корректную
	безопасности. 9. Тема 1. Основы теории компьютерной		классификацию, когда вводит, изменяет, объединяет или
	безопасности. ГОС 075200 «Компьютерная безопасность». ?		переклассифицирует информацию. А3. В пределах установленной
	Гайдамакин Н.А., 2008г. ОПД.Ф.10 «Теоретические основы		классификации пользователь классифицирует сообщения (информацию)
	компьютерной безопасности».		и определяет набор (множество) доступа (роли,операции,требуемые
10	1.История развития теории и практики обеспечения		степени доверия) для сущностей, которые он создает. А4.
	компьютерной безопасности 2.Содержание и структура понятия		Пользователь должным образом контролирует информацию объектов,
	компьютерной безопасности 3.Общая характеристика принципов,		требующих благонадежности. 3. MMS (military message
	методов и механизмов обеспечения компьютерной безопасности.		system)-модель.
	Учебные вопросы: 10.	159	159. Ограничения безопасности в MMS-модели. В1. Авторизация
11	11. Защита информации – проблема с древнейших времен.		- пользователь м. запрашивать операции над сущнос- тями, если
	Специфика компьютерной формы информации: в результате – КС и ИБ		только пользовательский идентификатор или его теку- щая роль
	– неотделимые понятия. Защита (обеспечение) безопасности		присутствуют в множестве доступа сущностей вместе с этой
	информации – не просто вспомогательная, но одна из главных		операцией и с этим значением индекса, соответствующим по- зиции
	(основных) функций КС при их создании и эксплуатации. 1. История		операнда,в которой сущность относят в требуемой операции. В2.
	развития теории и практики обеспечения компьютерной		Классификационная иерархия - классификация контейнера всегда
	безопасности. Возможность получения доступа к большим объемам		больше или равна классификации сущностей, которые он содержит.
	информации в локальном физическом сосредоточении возможность		В3. Изменения в объектах - информация, переносимая из объекта
	быстрого или мгновенного копирование огромных объемов информации		всегда содержит классификацию объекта. Информация, вставляемая в
	и, как правило, без следов возможность быстрого или мгновенного		объект, должна иметь классификацию ниже классификации этого
	разрушения или искажения огромных объемов информации.		объекта (аналог NWD). В4. Просмотр - пользователь может
	Провоцирует на посягательство.		просматривать (на некотором устройстве вывода) только сущности с
12	12. Основные этапы развития теории и практики КБ: 1. История		классификацией меньше, чем классификация устройства вывода и
	развития теории и практики обеспечения компьютерной		степень доверия контей- нера-устройства к пользователям (аналог
	безопасности.		NRU + NRUустроств). В5. Доступ к объектам, требующим степени
13	13. Основные этапы развития теории и практики КБ: 1. История		доверия - пользователь может получить доступ к косвенно
	развития теории и практики обеспечения компьютерной		адресованной сущности внутри контейнера, требующего степени
	безопасности.		доверия, если только его степень доверия не ниже классификации
14	14. Основные этапы развития теории и практики КБ: 1. История		контейнера. В6. Преобразование косвенных ссылок -
	развития теории и практики обеспечения компьютерной		пользовательский индикатор признается законным для сущности, к
	безопасности. В.А.Герасименко - 1991г., модель		которой он обратился косвенно, если только он авторизован для
	системно-концептуального подхода к безопасности Грушо А.А.,		просмотра этой сущности через ссылку. 3. MMS (military message
	Тимонина Е.Е. – 1996г., гарантированность защи-щенности АС как		system)-модель.
	математическое доказательство гаранти-рованного выполнения	160	160. Модель Лендвера-Маклина (MMS) сочетает принципы:
	априорно заданной политики без-ти Расторгуев С.П., начало 90-х		ролевого, дискреционного и мандатного принципов и оказывает
	г.г. - теория разрушающих программных воздействий, середина 90-х		сильное влияние на модели и технологии современных защищенных
	г.г. - теория информационного противоборства Щербаков А.Ю. –		КС. Ограничения безопасности в MMS-модели (продолжение). В7.
	90-е г.г., субъектно-объектная модель изолированной программной		Требование меток - сущности, просмотренные пользователем, д.б.
	среды СПб школа Зегжды П.Д. – середина 90-х г.г., таксонометрия		помечены его степенью доверия (т.е. впоследствии они ему
	изъянов безопасности КС Школа ИКСИ (Б.А.Погорелов,		доверяют). В8. Установка степеней доверия, ролей, классификация
	А.П.Коваленко) – конец 90-х г.г., государственные		устройств - только пользователь с ролью администратора
	образовательные стандарты подготов-ки специалистов в сфере		безопасности системы м. устанавливать данные значения. Текущее
	компьютерной безопасности. Отечественная школа КБ.		множество ролей пользователя м.б. изменено только
15	15. Методологическая база - понятие безопасности (з-н		администратором безопасности системы или самим же этим
	"О безопасности", 1993г.). Иерархия понятий:		пользователем. В9. Понижение классификации информации - никакая
	Информационная безопасность РФ - состояние защищенности ее (РФ)		классифици-рованная информация не м.б. понижена в уровне своей
	национальных интересов в информационной сфере, определяющихся		классификации, за исключением случая, когда эту операцию
	совокупностью сбалансированных интересов личности, общества и		выполняет пользователь с ролью "Пользователь, уменьшающий
	государства (Доктрина ИБ РФ). 2. Содержание и структура понятия		классификацию информации" В10. Уничтожение - операция
	компьютерной безопасности. Безопасность. Информационная		уничтожения информации проводится только пользователем с ролью
	Безопасность. Компьютерная Безопасность. Безопасность		"Пользователь, уничтожающий информацию" 3. MMS
	компьютерной информации. - Состояние защищенности жизненно		(military message system)-модель.
	важных интересов личности, общества и государства от внутренних	161	Лекция 2.5. Автоматные и теоретико-вероятностные модели
	и внешних угроз. Компьютерная безопасность – состояние		невлияния и невыводимости. Тема 2. Модели безопасности
	защищенности (безопасность) информации в компьютерных системах и		компьютерных систем. ? Гайдамакин Н.А., 2008г. ГОС 075200
	безотказность (надежность) функционирования компьютерных систем.		«Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы
16	16. Безотказность (надежность) функционирования КС.		компьютерной безопасности" Презентация предназначена для
	Безопасность информации в КС. Компьютерная безопасность. 2.		отработки и закрепления лекционного материала студентами группы
	Содержание и структура понятия компьютерной безопасности.		КБ МатМех УрГУ. Распространение и передача презентации третьим
	Обеспечение аутентично-сти реализации функций. Обеспечение		лицам запрещается.
	безотказно-сти реализации функций. Обеспече-ние	162	1. Понятие и общая характеристика скрытых каналов утечки
	конфи-денци-ально-сти информа-ции. Обеспече-ние целост-ности		информации 2. Автоматная модель невлияния Гогена-Месигера
	информа-ции. Обеспече-ние доступ-ности информа-ции. Обеспе-чение		(GM-модель) 3. Теоретико-информационные модели невыводимости и
	цело-стно-сти параметров ПО. Обеспе-чение цело-стно-сти ПО.		невлияния (невмешательства). Учебные вопросы: 162. Литература:
	Обеспе-чение безотказно сти ПО. Обеспе-чение безотказности		1.Теория и практика обеспечения информационной безопасности /
	оборудования. - Свойство информации, субъективно устанавливаемое		Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2. Грушо
	ее собственником, когда ему может быть причинен ущерб от		А.А.,Тимонина Е.Е.Теоретические основы защиты информации.
	ознакомления с информацией неуполномоченных на то лиц, при		М.:Яхтсмен, 1996. - 192с 3. Теоретические основы компьютерной
	условии того, что собственник принимает меры по организации		безопасности: Учеб. пособие для вузов / П.Н.Девянин,
	доступа к информации только уполномоченных лиц. -		О.О.Михальский, Д.И.Правиков и др.- М.: Радио и Связь, 2000. -
	Неискаженность, достоверность, полнота, адекватность и т.Д.,		192с. 4. Корт СС. Теоретические основы защиты информации:
	Т.Е. Такое свойство информации, при котором ее содержание и		Учебное пособие. - М.: Гелиос АРВ, 2004. – 240с. 5. Девянин П.Н.
	структура (данных) определены уполномоченными лицами и		Модели безопасности компьютерных систем: Учеб. пособие. – М.:
	процессами. - Такое свойство информации, при котором отсутствуют		Изд.центр «Академия», 2005. – 144 с.
	препятствия доступа к информации и закономерному ее	163	163. Три вида: Одна из самых сложных проблем безопасности
	использованию собственником или уполномоченными лицами.		КС: скрытые каналы утечки информации. Определение 1.- механизм,
17	17. Безопасность информации - состояние информации,		посредством которого в КС может осуществляться информационный
	информационных ресурсов и информационных систем, при котором с		поток (передача информации) между сущностями в обход политики
	требуемой вероятностью обеспечивается защита информации от		(правил) разграничения доступа. В моделях дискреционного доступа
	утечки, хищения, утраты, несанкционированного уничтожения,		- возможность осуществления доступа субъектов к объектам вне
	модификации (подделки), несанкционированного копирования,		области безопасного доступа, к примеру, вне явных разрешений,
	блокирования информации и т.п. Методы и средства нейтрализации,		"прописанных" в матрице доступа (потоки за счет
	предотвращения угроз или снижения ущерба. Субъект защиты. Угрозы		"троянских программ" и неявные информационные потоки –
	(формы, методы осуществления). Субъект (источник) угроз. 2.		за счет доступа к общим объектам). В моделях мандатного доступа
	Содержание и структура понятия компьютерной безопасности.		- потоки "сверху вниз" – от сущностей с высоким
	Нарушение конфиден- денциальности, целост- ности, доступности,		уровнем безопасности к сущностям более низких уровней
	безотказности функций. Объект защиты- компьютерная информация,		безопасности вне явного нарушения правил NRU и NWD (т.е. без
	функции КС.		непосредственного доступа к объектам на чтение или запись). 1.
18	18. Общие принципы обеспечения компьютерной безопасности. 3.		Понятие и общая характеристика скрытых каналов утечки
	Общая характеристика принципов, методов и механизмов обеспечения		информации. - Скрытые каналы по памяти (на основе анализа
	компьютерной безопасности. Разумной достаточности.		объема и других статических параметров объектов системы); -
	Целенаправленности. Системности. Комплексности. -внедрение в		скрытые каналы по времени (на основе анализа временных
	архитектуру, в алгоритмы и технологии функционирования КС		параметров протекания процессов системы); - скрытые
	защитных механизмов, функций и процедур объективно вызывает		статистические каналы (на основе анализа статистических
	дополнительные затраты, издержки при создании и эксплуатации КС,		параметров процессов системы.
	ограничивает, снижает функциональные возможности КС и параметры	164	164. Пример скрытого канала по памяти. Пусть имеется
	ее эффективности (быстродействие, задействуемые ресурсы),		система, в которой работают доверенный и недоверенный
	вызывает неудобства в работе пользователям КС, налагает на них		пользователь, разделяющие общий ресурс памяти. Состояние
	дополнительные нагрузки и требования — поэтому защита должна		системы. Информация, полученная по скрытому каналу. 1.
	быть разумно достаточной (на минимально необходимом уровне).		Соотношение памяти 50Х50. 1 бит. 2. Соотношение памяти 70Х30. 3.
	-устранение, нейтрализация (либо обеспечение снижения		Соотношение памяти 50Х50. 1 бит. 4. Соотношение памяти 70Х30. 1
	потенциального ущерба) конкретного перечня угроз (опасностей),		бит. Подходы к перекрытияю скрытых каналов информационное
	характерных для конкретной КС в конкретных условиях ее создания		нвлияние и невыводимость. 1. Понятие и общая характеристика
	и эксплуатации. -выбор защитных механизмов с учетом системной		скрытых каналов утечки информации.
	сути КС, как органи-зационно-технологической человеко-машинной	165	165. Два уровня безопасности (решетка из 2-х элементов) –
	системы, состоящей из взаимосвязанных, составляющих единое целое		высокий (high) и низкий (low) соответственно в системе работает
	функциональных, программных, технических,		две группы пользователей – высокоуровневые и низкоуровневые.
	организационно-технологических подсистем. -Выбор защитных		Критерий безопасности в GM-модели - ввод высокоуровневого
	механизмов различной и наиболее целесообразной в конкретных		пользователя не может смешиваться с выводом низкоуровневого
	условиях природы – программно-алгоритмических,		пользователя. Особая (автоматная) разновидность класса моделей
	процедурно-технологических, нормативно-организационных, и на		конечных состояний КС можно представить детерминированным
	всех стадиях жизненного цикла – на этапах создания, эксплуатации		автоматом, на вход которого поступает последовательность команд
	и вывода из строя.		пользователей для каждой команды каждого пользователя задана
19	19. Общие принципы обеспечения компьютерной безопасности. 3.		функция вывода, определяющая то, что каждый пользователь
	Общая характеристика принципов, методов и механизмов обеспечения		"видит" на выходе (на устройстве вывода). J.Goguen,
	компьютерной безопасности. Непрерывности. Управляемость.		J.Meseguer, 1982г. Идеология невлияния (невмешательства) вводов
	Сочетания унификации и оригинальности. -Защитные механизмы		(команд) одних пользователей на (в) выводы других пользователей
	должны функционировать в любых ситуациях в т.Ч. И внештатных,		(выводы – то, что они «видят» на выходе). 2. Автоматная модель
	обеспечивая как конфиденциальность, целостность, так и		невлияния Гогена-Месигера (GM-модель).
	сохранность (правомерную доступность). -система защиты КС	166	166. Основные тезисы и определения GM-модели. 1.Состояние
	строится как система управления – объект управления (угрозы		системы описывается 4-мя элементами: -высокий ввод (high-in)
	безопасности и процедуры функционирования КС), субъект		-высокий вывод (high-out) -низкий ввод (low-in) -низкий вывод
	управления (средства и механизмы защиты), среда		(low-out). 2.На множестве пользователей u вводится функция
	функционирования, обратная связь в цикле управления, целевая		cl(u), отражающая уровень доверия пользователю (низкий или
	функция управления (снижение риска от угроз безопасности до		высокий). 3.Переходы системы по командам пользователей
	требуемого (приемлемого) уровня), контроль эффективности		описываются функцией: - out(u, hist.соmmand(u)) где
	(результативности) функционирования. -с одной стороны с учетом		hist.соmmand(u) - история вводов системы (traces) от момента,
	опыта создания и применения КС, опыта обеспечения безопасности		когда был осуществлен последний ввод in(u) пользователя u.
	КС должны применяться максимально проверенные,		4.Вводится функция очищения ввода purge - очищает историю ввода
	стандартизированные и унифицированные архитектурные,		traces от наличия в ней команд пользователей, чей уровень
	программно-алгоритмические, организационно-технологические		доверия ниже уровня доверия пользователя u. 2. Автоматная модель
	решения, -с другой стороны, с учетом динамики развития ИТ,		невлияния Гогена-Месигера (GM-модель).
	диалектики средств нападения и защиты должны разрабатываться и	167	167. 4.Формальное определение функции очищения : purge:
	внедряться новые оригинальные архитектурные,		users,traces ? traces (функция, отображающая историю ввода
	программно-алгоритмические, организационно-технологические		системы с момента действий конкретного пользователя u в область
	решения, обеспечивающие безопасность КС в новых условиях угроз,		же историй ввода), такая, что: - purge(u, < >) = <
	с минимизацией затрат и издержек, повышением эффективности и		>, где < > - пустая история ввода purge(u,
	параметров функционирования КС, снижением требований к		hist.command(u)) = hist.command(u)/command(w), если command(w) -
	пользователям.		ввод, исполненный пользователем w с момента in(u) и
20	20. 3. Общая характеристика принципов, методов и механизмов		cl(u)<cl(w) purge(u, hist.command(u))=hist.command(u) ?
	обеспечения компьютерной безопасности. Систематика методов и		hist.command(w), если command(w) - ввод, исполняемый
	механизмов обеспечения КБ. Конфиденциальность. Целостность.		пользователем w с момента in(u), и cl(u)?cl(w). Система
	Доступность.		удовлетворяет требованию невлияния (невмешательства), если и
21	Лекция 1.2. Угрозы безопасности в компьютерных системах.		только если: для всех пользователей u, всех историй hist, и всех
	Тема 1. Исходные положения теории компьютерной безопасности. ГОС		команд вывода command out(u, hist.command(u)) = out(u, purge(u,
	075200 «Компьютерная безопасность». ? Гайдамакин Н.А., 2008г.		hist.command(u))) т.е. когда вывод в системе организован так,
	ОПД.Ф.10 «Теоретические основы компьютерной безопасности».		что система всегда чиста по смешиванию высоких и низких вводов в
	Презентация предназначена для отработки и закрепления		предыстории каждого вывода). Основное правило в GM-модели
	лекционного материала студентами группы КБ МатМех УрГУ.		невлияния. Осн. Достоинство - запрещаются многие скрытые каналы
	Распространение и передача презентации третьим лицам		утечки. 2. Автоматная модель невлияния Гогена-Месигера
	запрещается.		(GM-модель).
22	1. Понятие и классификация угроз 2. Идентификация и	168	168. -КС (многопользовательские ОС и СУБД, глобальные сети)
	таксонометрия (каталогизация) угроз 3. Оценивание угроз 4.		в реальности представляют не детерминированные, а вероятностные
	Человеческий фактор в угрозах безопасности и модель нарушителя.		системы. Подходы к решению проблемы скрытых каналов на основе
	Учебные вопросы: 22. Литература: 1. ГОСТ Р 51275-99. Защита		теоретико-информационной интерпретации моделей КС (идеи
	информации. Объект информа- тизации. Факторы, воздействующие на		Д.Денинга): На этой основе в рамках политики полномочного
	информацию 2. Bundesamt f?r Sicherheit der Informationstechnik		доступа рассматривается следующая система: H и L являются
	(Германский стандарт безопасности IT), http://www.bsi.de 3. РД		случайными величинами. Информационная невыводимость.
	ГосТехКомиссии России. Безопасность ИТ. Руководство по		Информационное невлияние (невмешательство). 3.
	формированию семейств профилей защиты 4. ГОСТ Р ИСО 7498-2-99.		Теоретико-информационные модели невыводимости и невлияния
	Взаимосвязь открытых систем. Базовая эталонная модель. Ч.2.		(невмешательства). Состояния КС, в т.ч. в части конфиденциальных
	Архитектура защиты информации.		объектов имеют вероятностный характер. Понятие информационных
23	23. 1. Понятие и классификация угроз. Угроза безопасности.		потоков расширяется в рамках трактовки информации по К.Шеннону.
24	24. 1. Понятие и классификация угроз. Систематизация –	169	169. Модели информационной невыводимости и информационного
	приведение в систему, т.е. в нечто целое, представляющее собой		невлияния - теоретическая основа недопущения и нейтрализации
	единство закономерно расположенных и находящихся во взаимной		скрытых каналов утечки информации и информационного воздействия.
	связи частей; выстраивание в определенный порядок. Частным		Информационная невыводимость. Определение 2.В системе
	случаем систематизации является классификация. Классификация –		присутствует информационный поток от высокоуровневых объектов H
	последовательное деление понятий, проводимое по характеристикам		к низкоуровневым L, если некое возможное значение переменной в
	и параметрам, существенным с точки зрения исследовательской		некотором состоянии низкоуровневого объекта L невозможно
	задачи. Существенные параметры и характеристики называются		одновременно с возможными значениями переменных состояния
	основаниями, критериями классификации. Выделяется		высокоуровневых объектов H. Определение 3.Система безопасна в
	таксономическая классификация (род-вид) мереологическая		смысле информационной невыводимости, если в ней отсутствуют
	классификация (часть-целое) фасетная классификация		информаци- онные потоки вида, описанного в Определении 1. Иначе
	(аналитико-синтетическая).		- нет информационного потока от H к L тогда и только тогда,
25	25. 1. Понятие и классификация угроз. Угрозы.		когда выполняется следующее условие: если p(h)>0, p(l)>0,
26	26. 1. Понятие и классификация угроз. Угрозы по природе		то p(h\|l)>0. Но – при p(H)>0, p(L)>0 ? p(L\|H) =
	происхождения. Отказы и сбои аппаратуры - определяются качеством		p(H,L)/p(H) = p(H\|L)p(L)/p(H). Отсутствие и обр. Потоков –
	и надежностью аппаратуры - техническими решениями и др.		фактически полная изоляция H и L. Отсюда из p(H\|L)>0 ?
	факторами. Помехи на линиях связи от внешних воздействий -		p(L\|H)>0. 3. Теоретико-информационные модели невыводимости и
	правильность выбора места (маршрута) прокладки - технических		невлияния (невмешательства). Понятие информации по Шеннону -
	решений по помехозащищенности - э/м обстановки. Схемные и		изменение степени неопределенности знания о состоянии объекта
	системотехнические ошибки разработчиков Структурные,		или само изменение степени неопределенности состояния объекта.
	алгоритмические и программные ошибки - специальные методы		Т.Е. Наблюдая L, можно вывести информацию о состоянии H (утечка
	проектирования и разработки - специальные процедуры тестирования		по скры- тому каналу «сверху-вниз»). Т.Е. При каком-либо L м.Б.
	и отладки. Аварийные ситуации - по выходу из строя		Раз-личные H с ненулевой вер-ю.
	электропитания - по стихийным бедствиям - по выходу из строя	170	170. P(l\|h)= p(l), что при p(h)>0, p(l)>0 равносильно
	систем жизнеобеспечения. А.		p(h\|l)= p(h). Вместе с тем: потоки «снизу-вверх» неопасны и
27	27. Преднамеренные (субъективные). 1. Понятие и		допустимы при полной изоляции разноуровневых объектов
	классификация угроз. Угрозы по природе происхождения. -		существенно снижается функциональность КС. Информационное
	Вызванные человеком или связанные с действиями человека,		невлияние (невмешательство). Определение 4.Система безопасна,
	определяются т.Н. Человеческим фактором (мотивы, категории,		если на состояние высокоуровне- вых объектов не влияет состояние
	возможности). Общий ландшафт инцидентов в IT-сфере РФ. А.		низкоуровневых объектов в предшествующие моменты времени, и
28	28. 1. Понятие и классификация угроз. Угрозы по направлению		наоборот. p(Lt\|Ht-1 ) = p(Lt) p(Ht\|Lt-1 ) = p(Ht). С другой
	осуществления. Причины, источники: недружественное (враждебное)		стороны нельзя также требовать - p(Lt\|Ht-1 ) = p(Lt ) (z.b.
	окружение дестабилизирующие факторы внешней среды. Внутренняя		после сбоя значение несекретного файла может определяться на
	зона КС. Зона контролируемой территории. Зона помещений КС. Зона		осно-ве состояния файла аудита до сбоя). 3.
	ресурсов КС. B.		Теоретико-информационные модели невыводимости и невлияния
29	29. 1. Понятие и классификация угроз. Соотношение некоторых		(невмешательства). Т.О. В модели информационной невыводимости
	видов угроз. Соотношение внешних и внутренних (т.н.		требуется, чтобы низкоуровневая информация была независима от
	инсайдерских) угроз.		высокоуровневой: Другой подход.
30	30. 2. Идентификация и таксонометрия (каталогизация) угроз.	171	171. Поэтому требования информационного невлияния смягчаются
	ГОСТ Р ИСО/МЭК 15408-2002,ч.1. Процесс создания КС в аспекте		- низкоуровневые объекты не должны иметь возможности накапливать
	обеспечения безопасности: 1.Идентификация и оценка защищаемых		информацию о значениях высокоуровневых объектах (чтобы знание
	активов (конфиденциальность, целостность, доступность) и функций		Lt-1 и Lt не давало бы новой информации о Ht-1 ): p(Lt\|Ht-1 ,
	КС 2.Идентификация угроз безопасности (выявление и спецификация		Lt-1 ) = p(Lt\|Lt-1 ). Что равносильно - p(ht-1\|lt , lt-1 ) =
	- источники/ природа; активы/функции, подвергаемые воздействию;		p(ht-1\|lt-1 ). Т.Е. Запрещается поток из lt в ht-1 , но !!! не
	методы/способы/ особенности реализации; используемые уязвимости)		запрещается из lt в ht+1. Т.О. Высокоуровневые объекты могут
	и их оценка 3.Выбор и обоснование функциональных требований к КС		принимать информацию о состоянии низкоуровневых объектов в
	(архитектура и лежащие в ее основе модели обеспечения		предыдущие моменты времени (неопасные потоки «снизу-вверх»).
	конфиденциальности/целостности/ доступности; функции обеспечения		Определение 5.Система безопасна в смысле информационного
	безопасности) 4.Реализация функциональных требований в процессе		невмешательства (невлияния), если выполняется равенство: p(Lt\|Hs
	проектирования/создания 5.Оценка степени реализации		, Ls ) = p(Lt\|Ls ) , где s,t = 0,1,2, … и s < t. 3.
	функциональных требований (сертификация по требованиям		Теоретико-информационные модели невыводимости и невлияния
	безопасности), в т.ч. возможных уязвимостей, брешей безопасн-ти.		(невмешательства).
31	… … 31. 2. Идентификация и таксонометрия (каталогизация)	172	172. Реализации моделей информационной невыводимости и
	угроз. Идентификация угроз -установление из всех возможных - тех		информационного невмешательства. - Технологии «представлений»
	угроз, которые имеют место быть (существуют, актуальны,		(views) в СУБД и ОС. - Технологии «разрешенных процедур» в АС.
	воздействуют) для данной КС в процессах ее создания и		3. Теоретико-информационные модели невыводимости и невлияния
	эксплуатации; -основывается на использовании таксономических		(невмешательства).
	классификационных перечней угроз (каталогов угроз), закрепляемых	173	173. Определение 6. "Представлением" информации КС
	в стандартах и др. нормативно-методических документах и анализе		называется процедура формирования и предоставления именованному
	актуальности тех или иных угроз в отношении активов (ресурсов		пользователю после его входа в систему и аутентификации
	КС) и их ценности. Угр.2. Раскрытие данных путем анализа		необходимого ему подмножества информационных объектов КС, в том
	остаточной информации. Перечень угроз для КС. Угроза актуальна?		числе, с возможным их количественным и структурным
	раскрытие данных путем доступа к файлам БД средствами ОС. Угр.1.		видоизменением, исходя из задач разграничения доступа к
	Раскрытие данных путем доступа к файлам БД средствами ОС.		информации. На языке SQL CREATE VIEW ИмяПредставления [(поле1[,
	Раскрытие данных путем анализа остаточной информации. ошибочное		поле2[, ...]])] AS инструкция_SELECT __ ; GRANT SELECT ON
	уничтожение данных пользователями КС.		ИмяПредставления TO ИмяПользователя; - Эффективное средство
32	32. 2. Идентификация и таксонометрия (каталогизация) угроз.		решения проблемы скрытых каналов утечки информации по памяти, но
	Каталоги (таксономические схемы классификации) угроз		не защищает от скрытых каналов второго и третьего вида – т.Е. От
	безопасности. ГОСТ Р 51275-99. Защита информации. Объект		каналов, возникающих на основе анализа временных и
	информа- тизации. Факторы, воздействующие на информацию.		статистических параметров процессов в системах коллективного
	http://linux.nist.fss.ru. Bundesamt f?r Sicherheit der		доступа к общим информационным ресурсам. 3.
	Informationstechnik (Германский стандарт безопасности IT),		Теоретико-информационные модели невыводимости и невлияния
	http://www.bsi.de. РД ГосТехКомиссии России. Безопасность ИТ.		(невмешательства).
	Руководство по формированию семейств профилей защиты.	174	174. - часть из проблем по скрытым каналам по времени
	http://www.fstec.ru.		связаны с интерфейсом АС и, основывается, в частности, на
33	33. 2. Идентификация и таксонометрия (каталогизация) угроз.		технике "разрешенных процедур" Определение 7.
	Факторы, воздействующие на информацию (ГОСТ Р 51275-99). Класс.		"Системой разрешенных процедур" называется
	Подкласс. Группа. Под группа. Вид. Подвид.		разновидность интерфейса АС, когда при входе в систему после
34	34. 2. Идентификация и таксонометрия (каталогизация) угроз.		идентификации и аутентификации пользователям предоставляет
34	Классы, подклассы и группы факторов (ГОСТ Р 51275-99).		только лишь возможность запуска и исполнения конечного набора
35	35. 2. Идентификация и таксонометрия (каталогизация) угроз.		логико-технологических процедур обработки информации без
36	36. 2. Идентификация и таксонометрия (каталогизация) угроз.		возможности применения элементарных методов доступа (read,
	Методология объектов и угроз в продуктах и системах ИТ (РД		write, append, update, create, delete и т.п.) к объектам
	ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г.,		системы. 3. Теоретико-информационные модели невыводимости и
	пример). Аспекты угрозы. Угрозы данным на носителях. Угрозы		невлияния (невмешательства).
	данным в телекоммуникационных линиях. Угрозы прикладным	175	175. Теоретико-вероятностная трактовка GM-автомата. Система
	программам (приложениям). Угрозы прикладным процессам и данным.		– не детерминированный, а вероятностный автомат, состояния
	Угрозы отображаемым данным. Угрозы вводимым данным. Угрозы		которого реализуются с вероятностью {0,1}. Определение
	данным, выводимым на печать. Угрозы данным пользователей. Угрозы		8.Система, функционирование которой представляется совокупностью
	системным службам и данным. Угрозы информационному оборудованию.		четырех событий с вероятностью{0,1} - high-in, high-out, low-in
	- Источник угрозы (люди либо иные факторы). - Предполагаемый		и low-out обладает свойством информационного невмешательства,
	метод (способ, особенности) нападения/реализации. - Уязвимости,		если выполняется равенство: p(low-outt\|high-ins ,low-ins ) =
	которые м.Б. Использованы для нападения/реализации. - Активы,		p(low-outt\|low-ins ) где s,t = 0,1,2, … и s < t. т.о. -
	подверженные нападению/реализации.		модели невыводимости и невмешательства "сильнее" и
37	37. 2. Идентификация и таксонометрия (каталогизация) угроз.		ближе к реальности, чем классическая модель полномочного доступа
	Угрозы защищаемым активам в продуктах и системах ИТ (РД		Белла-ЛаПадулы, т.к. более гибко контролируют потоки информации
	ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г.,		между сущностями с разным уровнем безопасности - дают
	пример). Данные на носителях. Данные раскрыты путем незаконного		методологию борьбы со скрытыми каналами утечки информации,
	перемещения носителя. Обращение к данным, изменение, удаление,		лежащую в основе, в частности технологий
	добавление в приложение или извлечение из приложения данных		"представлений" и "разрешенных процедур" 3.
	неуполномоченным лицом. Данные раскрыты путем их выгрузки с		Теоретико-информационные модели невыводимости и невлияния
	носителя данных неуполномоченным лицом. Использование остаточной		(невмешательства).
	информации на носителе. Незаконное копирование данных. Данные	176	Лекция 2.6. Модели и технологии обеспечения целостности
	незаконно используются, или их использование затруднено из-за		данных. Тема 2. Модели безопасности компьютерных систем. ?
	изменения атрибутов доступа к данным неуполномоченным лицом.		Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность»
	Данные получены незаконно путем фальсификации файла. Данные		ОПД.Ф.10 "Теоретические основы компьютерной
	повреждены из-за разрушения носителя. Данные уничтожены или их		безопасности" Презентация предназначена для отработки и
	использование затруднено из-за неисправности устройства		закрепления лекционного материала студентами группы КБ МатМех
	ввода-вывода. Обращение к данным, изменение, удаление,		УрГУ. Распространение и передача презентации третьим лицам
	добавление в приложение или извлечение из приложения данных		запрещается.
	неуполномоченным лицом путем использования соответствующей	177	1. Общая характеристика моделей и технологий обеспечения
	команды. Зашифрованные данные не могут быть дешифрованы из-за		целостности данных 2. Мандатная модель Кен Биба и дискреционная
	потери секретного ключа. Данные ошибочно удалены уполномоченным		модель Кларка-Вильсона 3. Технологии ЭЦП 4. Мониторы транзакций
	лицом.		в СУБД «Клиент-сервер». Учебные вопросы: 177. 1. Зегжда Д.П.,
38	38. 2. Идентификация и таксонометрия (каталогизация) угроз.		Ивашко А.М. Основы безопасности информационных систем. -
	Угрозы защищаемым активам в продуктах и системах ИТ (РД		М.:Горячая линия - Телеком, 2000. - 452с 2. Грушо А.А.,Тимонина
	ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г.,		Е.Е. Теоретические основы защиты информации. М.:Яхтсмен, 1996. -
	пример). Данные в телекоммуникационных линиях. Прикладные		192с 3.Теоретические основы компьютерной безопасности : Учеб.
	программы (приложения). Данные перехвачены или разрушены в		Пособие для вузов / П.Н.Девянин, О.О.Михальский, Д.И.Правиков и
	телекоммуникационной линии. Данные прослушиваются, незаконно		др. - М.: Радио и связь, 2000.-192с. 4.Гайдамакин Н.А.
	умышленно изменены, искажены, похищены, удалены или дополнены в		Автоматизированные информационные системы, базы и банки данных.
	системе коммутации. Данные незаконно используются в результате		Вводный курс. – М.: Гелиос АРВ, 2003. 368с. Литература:
	подмены их адресата, отправителя или изменения атрибутов доступа	178	178. Понятие ЦЕЛОСТНОСТИ данных. модели обеспечения
	в системе коммутации. Связь заблокирована из-за повреждения		целостности в рамках субъектно-объектной формализации КС (модель
	линии. Связь заблокирована из-за аномалий в канале связи.		Биба, модель Кларка-Вильсона). Криптографические технологии
	Несанкционированная повторная передача данных в неразрешенный		электронной цифровой подписи. технологии параллельного
	адрес. Выполнение приложения неуполномоченным лицом. Обращение к		выполнения транзакций в клиент-серверных СУБД. объектов,
	данным в библиотеке программ, модификация или удаление данных в		содержащих код ПО. Отсутствие подделки при: - передаче данных -
	библиотеке программ неуполномоченным лицом. Незаконное		обработке данных. Отсутствие ошибок в: - структуре данных -
	использование программы или затруднение ее использования путем		содержании данных. 1. Общая характеристика моделей обеспечения
	изменения ее атрибутов доступа неуполномоченным лицом. Аномалии		целостности данных. Свойство, гарантирующее точность и полноту
	в ходе выполнения программы из-за аппаратного отказа компьютера.		информации, а также методов ее обработки такое свойство
39	39. 2. Идентификация и таксонометрия (каталогизация) угроз.		информации, при котором ее содержание и структура (данных)
	Угрозы защищаемым активам в продуктах и системах ИТ (РД		определены уполномоченными лицами и процессами. Неизменность.
	ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г.,		Неискаженность. Правильность.
	пример). Прикладные процессы и данные. Отображаемые данные.	179	179. Система защиты - совокупность - множества субъектов S -
	Вводимые данные. Несанкционированное использование прикладных		множества объектов O - множества операций над объектами доступа
	процессов (например, запросов по telnet и FTP). Блокировка		R (два элемента - read и write) - решетки уровней безопасности ?
	прикладных процессов (атаки, направленные на переполнение		субъектов и объектов (решетка уровней целостности данных) -
	трафика, например, запросы на обработку потока ненужных данных).		функции F, отображающей элементы множеств S и O в ? - множества
	Отрицание факта обмена данными или отрицание их содержания.		состояний системы V, которое определяется множеством
	Отказ от авторства данных. Несанкционированная передача данных.		упорядоченных пар (F,A) - начального состояния v0 - набора
	Несанкционированное использование данных или программ путем		запросов Q - функции переходов T: (VxQ) ? V, которая переводит
	использования оставшихся в программах отладочных функций.		систему из одного состояния в другое при выполнении запросов
	Необоснованный отказ от предоставления услуги. Незаконное		субъектов на доступ к объектам. 2. Мандатная модель Биба
	умышленное изменение, искажение, похищение, удаление или		(сер.70-х годов, Кен Биба), Дискреционная модель Кларка Вильсона
	разрушение данных. Несанкционированное выполнение операций.		(1987г.).
	Нарушение конфиденциальности. Просмотр данных неуполномоченным	180	180. Модель Биба - инверсия модели Белла-ЛаПадулы. - Запись
	лицом. Несанкционированное копирование или печать. Данные		данных субъектом s ? S в объект o ? O с более высоким уровнем
	раскрыты во время ввода. Введенные данные несанкционированно		безопасности – F (s) < F (o) (no write up - NWU) – нельзя
	изъяты (или удалены).		писать вверх, т.К. В результате может произойти нарушение
40	40. 2. Идентификация и таксонометрия (каталогизация) угроз.		целостности («загрязнение») объекта. - Чтение данных субъектом s
	Угрозы защищаемым активам в продуктах и системах ИТ (РД		? S из объекта o ? O с более низким уровнем безопасности – F (o)
	ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г.,		< F (s) (no read down - NRD) – нельзя читать вниз, т.К. В
	пример). Данные, выводимые на печать. Данные пользователей.		результате может произойти нарушение целостности («загрязнение»)
	Ознакомление или изъятие данных неуполномоченным лицом.		субъекта. Критерий безопасности (обеспечения целостности) -
	Несанкционированное копирование. Пользователь (человек, система,		недопустимы потоки «снизу вверх», т.к. могут нарушить
	терминал) не может быть идентифицирован. Маскировка путем		целостность объектов более высокого уровня безопасности: 2.
	использования раскрытой идентификационной информации		Мандатная модель Биба (сер.70-х годов, Кен Биба), Дискреционная
	пользователя (человека, системы, терминала). Пользователь не		модель Кларка-Вильсона (1987г.).
	идентифицирован. Маскировка путем использования незаконно	181	181. Разновидности модели Биба. Но, т.К. В результате они
	раскрытой информации аутентификации. Маскировка путем		могут быть загрязнены, то после завершения операции чтения,
	незаконного (логического) вывода аутентификационной информации.		уровень целостности субъектов должен быть понижен до уровня
	Маскировка путем использования недействительной		целостности прочитанного объекта – F (o) < F (s) – f*(s) ? F
	аутентификационной информации. Использование недействительного		(o). Но, т.К. В результате объект может быть загрязнен, то после
	права из-за сбоя журнала регистрации прав пользователей.		заверше-ния операции записи, уровень целостности измененного
	Действия пользователя несанкционированно раскрыты (нарушение		объекта должен быть понижен до уровня целостности изменяющего
	конфиденциальности). Отрицание факта передачи данных. Отрицание		субъекта – F (s) < F (o) – f*(o) ? F (s). Модель с понижением
	владения данными. Отрицание факта приема данных. Данные посланы		уровня субъекта. Модель с понижением уровня объекта. Субъекты
	несоответствующему получателю вследствие его маскировки под		могут читать любые объекты. Субъекты могут писать в любые
	авторизованного пользователя или ошибки спецификации. Маскировка		объекты. Главный недостаток - «деградация» системы. 2. Мандатная
	путем подделки информации аутентификации.		модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель
41	41. 2. Идентификация и таксонометрия (каталогизация) угроз.		Кларка-Вильсона (1987г.).
	Угрозы защищаемым активам в продуктах и системах ИТ (РД	182	182. - Решетка ?к уровней конфиденциальности и функция
	ГосТехКомиссии «Руководство по разработке ПЗ и ЗБ, 2003г.,		отображения на нее субъектов и объектов доступа fк(x) = lк ? ?к
	пример). Системные службы и данные. Информационное оборудование.		, x ? S ? O. - Решетка ?ц уровней целостности и функция
	Нарушение безопасности системы путем раскрытия секретного ключа		отображения на нее субъектов и объектов доступа fц(x) = lц ? ?ц
	шифрования. Система незаконно используется пользователем,		, x ? S ? O. - Принятие решения на доступ одновременно по
	который выдает себя за оператора во время отсутствия оператора.		правилам NRU и NWD по функции fк(x) и правилам NRD и NWU по
	Нарушение безопасности системы вследствие несанкционированного		функции fц(x). - Операции read и write возможны только в
	действия или ошибки уполномоченного пользователя. Внедрение		пределах одного уровня безопасности f(s) = f(o) - полностью
	вирусов. Несанкционированное проникновение в систему.		изолированная по уровням безопасности система (т.Н. «Равное
	Проникновение в систему, используя известные дефекты протоколов		чтение» и «равная запись»). Возможности объединения мандатной
	(например, протокола IP). Нарушение безопасности системы		модели обеспечения конфиденциальности Белла-ЛаПадулы с мандатной
	вследствие несанкционированной замены системной программы.		моделью обеспечения целостности Биба. 1. На основе двух
	Обслуживание прекращено из-за разрушения системной программы.		различных решеток в одной КС. 2. На основе одной общей решетки.
	Несанкционированная системная операция. Повреждение или изъятие.		3. На основе одной общей решетки, но со спецификой отображения.
	Отключение питания.		Но м.Б. Противоречия и тупики. 2. Мандатная модель Биба.
42	42. 2. Идентификация и таксонометрия (каталогизация) угроз.		субъекты и объекты с высокими требованиями целостности
	Потенциальные бреши безопасности (по Зегжде). Ошибки в системах		располагаются на нижнем уровнем иерархии решетки (сист.ПО и
	защиты, служа-щие источ-ником ПББ. С деструктив-ными функ-ми		прогр-ст) субъекты и объекты с высокими требованиями
	(активные). Предна-мерен-ные. Рпс. Черные ходы, люки. Скрытые		конфиденциальности располагаются на самом высоком уровне
	каналы. Без десруктив-ных функций. Ошибки контроля допустимых		иерархии решетки (секр. данные и доверенные пользователи).
	значений параметров. Ошибки определения областей (доменов).	183	183. Исходные положения. Главная идея «тройки целостности»:
	Ошибки последов-ти действий и использ-я имен. Случай-ные. Ошибки		«субъект- -операция(транзакция), не нарушающая целостность-
	идентификации, аутентификации. Ошибки проверки границ объектов.		-объект». 1. Все множество объектов D разделяется на объекты CDI
	Другие ошибки в логике функционирования. Несамовоспроизводящиеся		, требующие контроля целостности (constrained data items), и
	(Трояны). Самовоспроизводящиеся (Вирусы). По памяти. По времени.		объекты UDI, не требующие контроля целостности (unconstrained
	Другие.		data items) D = CDI ? UDI , CDI ? UDI =? 2. На множестве
43	43. 2. Идентификация и таксонометрия (каталогизация) угроз.		элементарных операций над объектами выделяются совокупности
	Потенциальные бреши безопасности (Зегжда). ППБ по месту		(последовательности), обособляющиеся в логически самостоятельные
	размеще-ния в КС. 8. Инициализация ОС (загрузка). Програм-мное		сущности, называемые процедурами преобразования TP
	обеспе-чение. Опера-ционные системы. 2. Управление выделением		(transformation procedures). 3. Дополнительно вводится особый
	памяти. 10. Управление процессами. 3. Управление устройствами.		класс процедур IVP над данными, которые обеспечивают проверку
	6. Управление файловой системой. 5. Средства идент-ии и		целостности контролируемых данных (integrity verification
	аутентификации. 1. Другие (неизвестные). Сервисные програм-мы и		procedures). 4. Те процедуры преобразования данных TP,
	ути-литы. 10. Привилегированные утилиты. 1. Непривилегированные		применение к результатам которых процедур проверки целостности
	утилиты. 2. Прикладные программы. 3. Аппаратное обеспечение.		IVP дает положительный результат, называются «корректно
44	44. 3. Оценивание угроз. Общая схема оценивания угроз. Ущ =		(правильно, хорошо) сформированными транзакциями». 2. Мандатная
44	Pуг * Сто.		модель Биба (сер.70-х годов, Кен Биба), Дискреционная модель
45	45. 3. Оценивание угроз. Методы оценивания вероятности		Кларка-Вильсона (1987г.).
	угроз. Априорные, на основе моделей и статистических	184	184. Правила функционирования системы. 2. Дискреционная
	характеристик физических процессов, реализующих соотв. угрозы		модель Кларка-Вильсона (1987г.). С1. Множество всех процедур
	(z.b. на основе Пуассоновского распределения вероятности		контроля целостности IVP должно содержать процедуры контроля
	моторных ошибок человека-оператора при вводе информации с		целостности любого элемента данных из множества всех CDI. С2.
	клавиатуры с ?= - 2•10-2... 4•10-3 ). Апостериорные, на основе		Все процедуры преобразования TP должны быть хорошо
	гистограмм распределения событий проявления соотв. угроз по		сформированными транзакциями, т.е. не нарушать целостности
	результатам эксплуатации КС. Экспертные, на основе экспертных		данных, и применяться только по отношению к списку элементов
	оценок специалистов. Методики экспертных оценок. Отбор экспертов		(объектов) CDI, устанавливаемых администратором системы. Е1.
	(формальные и неформальные требования, метод «снежного кома»,		Система должна контролировать допустимость применения TP к
	10-12 экспертов) Выбор параметров, по которым оцениваются		элементам CDI в соответствии со списками, указанными в правиле
	объекты (стоимость, важность, веса параметров) Выбор шкал		С2. Е2. Система должна поддерживать список разрешенных
	оценивания (методов экспертного шкалирования).		конкретным пользователям процедур преобразования TP с указанием
46	46. 3. Оценивание угроз. Методы оценивания вероятности		допустимого для каждой TP и данного пользователя набора
	угроз. Процедуры опроса экспертов (метод «Дельфи») Агрегирование		обрабатываемых элементов CDI (т.е. тройки «субъект-TP-объект
	оценок, анализ их устойчивости и согласованности. Методы		CDI»). С3. Список, определенный правилом С2, должен отвечать
	экспертного шкалирования. Ранжированием.		требованию разграничения функциональных обязанностей (в т.ч.
47	47. Роль человека в угрозах безопасности информации: -		совм. вып-я). Е3. Система должна аутентифицировать всех
	Носитель/источник угроз (как внутренних, так и внешних, как		пользователей, пытающихся выполнить какую-либо процедуру
	случайных, так и преднамеренных). - Средство, орудие		преобразования TP. С4. Каждая TP должна записывать в журнал
	осуществления угроз (всех преднамеренных и определенной части		регистрации информацию, достаточную для восстановления полной
	случайных угроз). - предмет, объект, среда осуществления угроз		картины каждого применения этой TP. Журнал регистрации – это
	(как элемента человеко-машинной КС). 4. Человеческий фактор в		специальный элемент CDI, предназначенный только для добавления в
	угрозах безопасности и модель нарушителя. Человеческий фактор в		него информации. С5. Специальные TP могут корректно обрабатывать
	угрозах.		UDI, превращая их в CDI. Е4. Только специально уполномоченный
48	48. 4. Человеческий фактор в угрозах безопасности и модель		субъект (пользователь) может изменять списки, определенные в
	нарушителя. Структура потенциальных нарушителей		правилах С2 и Е2. Этот субъект не имеет права выполнять
	(злоумышленников). Иные сферы. •Персонал, непосредственно		какие-либо действия, если он уполномочен изменять
	связанный с КС ••обслуживающий персонал •••администраторы		регламентирующие эти действия списки.
	••••системные ••••безопасности •••инженеры-программисты	185	185. Обобщенная структурная схема системы ЭЦП. Против- ник.
	••••системные ••••прикладные •••руководители служб ИТ		3. Криптографические технологии ЭЦП. Система ЭЦП включает два
	••обслуживаемый персонал ••• пользователи ••••индивидуальные		этапа: процедуру постановки подписи процедуру проверки подписи.
	••••члены раб. групп ••••руководители подр-й •Персонал, не		Системы ЭЦП основываются на идеологии асимметричных
	связанный непосредственно с КС ••руководители ••прочие		криптосистем.
	работники. Сторонние эксперты, конс. Родственники, друзья.	186	186. 3. Криптографические технологии ЭЦП. Электронная
	Бывшие работники.		цифровая подпись в стандарте RSA (1977, Массачуссет). T'+S'. При
49	Мотивы действий, поступков по осуществлению угроз. 49.		условии сохранении в тайне секретных ключей ЭЦП удостоверяет : -
	Осознанные - Корысть, нажива - Политика, власть, шпионаж -		подлинность автора (защита от маскарада) - подлинность
	Исследовательский интерес. Неосознанные (не вполне, не до конца		переданных данных (защита от активного перехвата) Для
	осознаваемые) - Хулиганство - Месть - Зависть - Недовольство -		подтверждения факта и подлинности доставки данных получатель В
	Небрежность, недобросовестность. 4. Человеческий фактор в		должен направить отправителю А уведомление (квитанцию) о
	угрозах безопасности и модель нарушителя.		вручении (ЭЦП подтверждающего ответного сообщения).
50	Модель нарушителя -совокупность представлений по человечес-	187	187. Требования к хеш-функциям. Хеш-функции (хеш-свертка).
	кому фактору осуществления угроз безопасности. 50. - Категории		3. Криптографические технологии ЭЦП. - Криптографическое
	лиц, в числе которых может оказаться нарушитель - его		преобразование данных произвольной дли-ны в строку битов
	мотивационные основания и преследуемые цели - его возможности по		фиксированной длины (обычно 160-256 бит). Необратимость –
	осуществлению тех или иных угроз (квалификация, техническая и		вычисление исходных данных по их хеш-свертке невозможно или
	иная инструментальная оснащенность) - наиболее вероятные способы		представляет непреодолимую вычислительную преграду. Это свойство
	его действий. Исходное основание для разработки и синтеза		называют «стойкостью в сильном смысле». Стойкость к коллизиям –
	системы защиты информации!!! 4. Человеческий фактор в угрозах		вероятность того, что для двух различ- ных исходных данных их
	безопасности и модель нарушителя.		хеш-свертки совпадут д.б. = 0, или ничтожной. - Подобрать по
51	51. Модель нарушителя. 4. Человеческий фактор в угрозах		известным исходным данным и их хеш-свертке другие исходные
	безопасности и модель нарушителя. Модель внутреннего нарушителя		данные с той-же хеш-сверткой невозможно или представляет
	по РД ГосТехКомисии. !!! Концепция ориентируется на физически		непреодолимую вычислительную преграду. Чувствительность –
	защищенную среду - - нарушитель безопасности как "субъект,		изменение даже одного бита исходных данных, д. приводить к
	имеющий доступ к работе со штатными средствами АС и СВТ как		существенному изменению хеш-свертки.
	части АС" 4-й (высший) уровень возможностей нарушителя Весь	188	188. Обобщенная схема ключевой хеш-функции. Отк- ры- тые
	объем возможностей лиц, осуществляю- щих проектирование,		дан- ные. mi= Pi?mi-1. PN'. P2. P1. Pi – n-битный блок, PN' –
	реализацию и ремонт технических средств АС, вплоть до включения		доп-ся до n-разр. Обобщенная схема безключевой хеш-функции. Отк-
	в состав СВТ собственных технических средств с новыми функциями		ры- тые дан- ные. mi=f(Pi?mi-1). PN'. P2. P1. Pi – m-битный
	по обработке ин- формации. 3-й уровень Возможность управления		блок, PN' – доп-ся до m-разр. P0 – фиксированный n-битный
	функционирова- нием АС, т.е. воздействием на базовое програм-		начальный вектор. 3. Криптографические технологии ЭЦП. Как
	мное обеспече- ние системы и на состав и конфигурацию		правило, хеш-функции строят путем итерационных процедур на
	оборудования. 2-й уровень Возможность создания и запуска		основе одношаговых сжимающих функций. … N = 160 – 256 бит.
	собственных программ с новыми функциями по обработке информации.		N-разрядов. … Нет. F (x1, x2) – n-битная одношаговая сжи-мающая
	1-й уровень Запуск задач (программ) из фикси- рованного набора,		функция, обладающая свойст-вом однонаправленности, x1 –
	реализующих заранее предусмотренные функции по обработке		m-бит-ный, x2 – n-битный двоичные вектора.
	информации.	189	189. Ключи. Для шифрования данных. Для шифрования ключей.
52	Лекция 1.3. Политика и модели безопасности в компьютерных		Сеансовые ключи. Генерация ключей. Детерминированные методы.
	системах. Тема 1. Исходные положения теории компьютерной		Недетерминированные методы. 3. Криптографические технологии ЭЦП.
	безопасности. ГОС 075200 «Компьютерная безопасность». ?		Подсистемы создания, хранения и распространения ключей –
	Гайдамакин Н.А., 2008г. ОПД.Ф.10 «Теоретические основы		важнейший элемент криптосистем. Стандарт ANSI X9.17. Путем
	компьютерной безопасности». Презентация предназначена для		формирования псевдослучай-ных последовательностей большой длины
	отработки и закрепления лекционного материала студентами группы		на основе ПСП малой длины с заданными (теми же) стат.св-ми. На
	КБ МатМех УрГУ. Распространение и передача презентации третьим		основе случайных физических процессов (генераторы шума и т.п.).
	лицам запрещается.		Сеансовые ключи – на основе паролей пользователей. Сдвиг.
53	1.Понятие политики и моделей безопасности информации в		регистры с лин. обр. связями. На основе процессов физ. природы –
	компьютерных системах 2.Монитор (ядро) безопасности КС		движ. мыши, нажатие клавиш.
	3.Гарантирование выполнения политики безопасности. Изолированная	190	190. Хранение ключей. Криптоустройства, имеющие спец.
	программная среда. Учебные вопросы: 53. 1.Теория и практика		защищенную от НСД память для ключей. Хранение ключей в
	обеспечения информационной безопасности / Под ред. П.Д. Зегжды.		зашифрованном виде на ПЭВМ. Использование внешних устройств для
	М.:Яхтсмен, 1996. - 302с 2. Грушо А.А.,Тимонина		хранения ключей (диски, магн. карты…). Распределение ключей.
	Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. -		Через фельдсвязь. Через спец. территориально-распределенную
	192с 3. Баранов А.П., Борисенко Н.П., Зегжда П.Д, Корт С.С.,		систему. Через передачу (в зашифрованном виде) или спец. режим
	Ростовцев А.Г. Математические основы информационной		формирования по открытым каналам связи на основе асимметричных
	безопасности. - Орел, ВИПС, 1997.- 354с. 4. Прокопьев И.В.,		криптопротоколов. Через инфраструктуру открытых ключей
	Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы		посредством использования идеологии сертификатов ключей. 3.
	компьютерной безопасности : Уч. пособие. М., 1998.- 184с. 5.		Криптографические технологии ЭЦП. Для систем с открытым ключом.
	Щербаков А.Ю. Введение в теорию и практику компьютерной	191	191. Сертификат ключа. Инфраструктура открытых ключей.
	безопасности. М.: издатель Молгачев С.В.- 2001- 352 с.		Сертификационный (удостоверяющий) центр. Иерархическая система
54	54. Политика безопасности КС -интегральная (качественная)		сертификационных центров. 3. Криптографические технологии ЭЦП.
	характеристика, описывающая свойства, принципы и правила		абонент, получивший сообщение, должен быть уверен, что открытый
	защищенности информации в КС в заданном пространстве угроз.		ключ, с помощью которого расшифровывается сообщение или
	Модель безопасности -формальное (математическое,		проверяет-ся ЭЦП, действительно принадлежит объявленному
	алгоритмическое, схемотехническое и т.п.) выражение политики		отправителю. - набор данных, заверенный ЭЦП центра сертификации
	безопасности. Модель безопасности служит для: -выбора и		(удостоверяющего центра) и включающий открытый ключ и список
	обоснования базовых принципов архитектуры, определяющих		атрибутов, относящихся к абоненту ключа (имя абонента, название
	механизмы реализации средств защиты информации -подтверждения		центра сертификации, номер сертификата, время действия
	свойств (защищенности) разрабатываемой системы путем формального		сертификата, предназначение ключа (шифрование, ЭЦП)). - проверив
	доказательства соблюдения политики (требований, условий,		ЭЦП сертификата по известному открытому ключу сертифи-кационного
	критериев) безопасности -составления формальной спецификации		центра, можно убедиться, что находящийся в нем открытый ключ
	политики безопасности разрабатываемой системы. Политика		действительно принадлежит обозначенному пользователю. Доверенная
	безопасности организации -совокупность руководящих принципов,		третья сторона регистрирует абонентов открытых ключей
	правил, процедур, практических приемов или руководящих принципов		изготавливает открытые и закрытые ключи и сертификаты открытых
	в области безопасности, которыми руководствуется организация в		ключей обеспечивает доступ к сертификатам открытых ключей ведет
	своей деятельности (ГОСТ Р ИСО/МЭК 15408). 1.Понятие политики и		справочник действующих и отозванных сертификатов. Сертификат
	моделей безопасности информации в КС.		открытого ключа самого сертификационного центра выдает
55	55. Модель безопасности включает: -модель компьютерной		сертификационный центр более высшей иерархии.
	системы -критерии, принципы или целевые функции защищенности и	192	192. Структура СУБД. 4. Мониторы транзакций в СУБД
	угроз -формализованные правила, алгоритмы, механизмы безопасного	192	«Клиент-сервер».
	функционирования КС. Большинство моделей КС относится к классу	193	193. Клиент-серверные системы. Транзакция - последовательная
	моделей конечных состояний. 1. Компьютерная система – система,		совокупность операций, имеющая отдельное смысловое значение по
	функционирующая в дискретном времени: t0,t1,t2,…,tk,… В каждый		отношению к текущему состоянию базы данных Совокупность функций
	следующий момент времени tk КС переходит в новое состояние. В		СУБД по организации и управлению транзакциями - монитор
	результате функционирование КС представляет собой		транзакций. 4. Мониторы транзакций в СУБД «Клиент-сервер».
	детерминированный или случайный процесс - стационарность		Транзакции играют важную роль в механизме обеспечения СУБД
	(временн?е поведение [количественных] параметров системы) -		ограничений целостности базы данных. Ограничения целостности
	эргодичность (поведение параметров системы по совокупность		непосредственно проверяются по завершению очередной транзакции.
	реализаций) - марковость (память по параметрам системы). 2.		Если условия ограничений целостности данных не выполняются, то
	Модели конечных состояний позволяют описать (спрогнозировать)		происходит "откат" транзакции (выполняется
	состояние КС в момент времени tn,(n?1), если известно состояние		SQL–инструкция ROLLBACK), в противном случае транзакция
	в момент t0 и установлены некоторые правила (алгоритмы,		фиксируется (выполняется SQL–инструкция COMMIT).
	ограничения) на переходы системы из состояния tk в tk+1.	194	194. Виды нарушений целостности (при параллельном выполнении
	1.Понятие политики и моделей безопасности информации в КС.		транзакций). Потерянные изменения - когда две транзакции
56	56. Большинство моделей конечных состояний представляет КС		одновременно изменяют один и тот же объект базы данных. В том
	системой взаимодействующих сущностей двух типов субъектов и		случае, если в силу каких-либо причин, например, из–за нарушений
	субъектов (т.н. субъектно-объектные модели КС). 3. В каждый		целостности данных, происходит откат, скажем, второй транзакции,
	момент времени tk КС представляется конечным множеством		то вместе с этим отменяются и все изменения, внесенные в
	элементов, разделяемых на два подмножества: -множество субъектов		соответствующий период времени первой транзакцией. В результате
	- S -множество объектов – O. 4. В каждый момент времени tk		первая еще не завершившаяся транзакция при повторном чтении
	субъекты могут порождать процессы над объектами, называемыми		объекта не "видит" своих ранее сделанных изменений
	доступами Доступы субъектов к объектам порождают информационные		данных. "Грязные" данные - когда одна транзакция
	потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч.		изменяет какой-либо объект данных, а другая транзакция в этот
	м. измениться декомпозиция КС на множество субъектов и множество		момент читает данные из того же объекта. Так как первая
	объектов. Т.о. процесс функ-я КС нестационарный. 1.Понятие		транзакция еще не завершена, и, следовательно, не проверена
	политики и моделей безопасности информации в КС.		согласованность данных после проведенных, или вовсе еще только
57	57. Отличия пользователя от субъекта Пользователь - лицо,		частично проведенных изменений, то вторая транзакция может
	внешний фактор, управляющий одним или несколькими субъектами,		"видеть" соответственно несогласованные, т.е.
	воспринимающий объекты и получающий информацию о состоянии КС		"грязные" данные. Неповторяющиеся чтения - когда одна
	через субъекты, которыми он управляет. Свойства субъектов:		транзакция читает какой-либо объект базы данных, а другая до
	-угрозы информации исходят от субъектов, изменяющих состояние		завершения первой его изменяет и успешно фиксируется. Если при
	объектов в КС -субъекты-инициаторы могут порождать через		этом первой, еще не завершенной, транзакции требуется повторно
	объекты-источники новые объекты -субъекты могут порождать потоки		прочитать данный объект, то она "видит" его в другом
	(передачу) информации от одних объектов к другим. 1.Понятие		состоянии, т.е. чтение не повторяется. 4. Мониторы транзакций в
	политики и моделей безопасности информации в КС.		СУБД «Клиент-сервер».
58	58. - Объекты-источники; - объекты-данные. Множество	195	195. Механизмы изоляции транзакций и преодоления ситуаций
	объектов можно разделить на два непересекающихся подмножества.		несогласованной обработки данных. Синхронизационные захваты
	Определение 1.Объект Oi называется источником для субъекта Sm		(блокировки) объектов базы данных. Два основных режима захватов.
	если существует субъект Sj , в результате воздейст- вия которого		Совместный режим (shared) - захват по чтению. Монопольный режим
	на объект Oi возникает субъект Sm Sj – активизирующий субъект		(exclusive) - захват по записи. Двухфазный протокол
	для субъекта Sm Sm – порожденный субъект. Create(Sj , Oi)? Sm.		синхронизационных захватов (блокировок) объектов базы данных –
	Определение 2.Объект в момент времени tk ассоциирован с		2PL (Two–Phase Locks). 1-я фаза - транзакция запрашивает и
	субъектом , если состояние объекта Oi повлияло на состояние		накапливает захваты необходимых объектов в соответствующем
	субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm		режиме. "Гранулирование" объектов захвата. 2-я фаза –
	использует информацию, содержащуюся в объекте Oi). Можно		выполнение операций над захваченными объектами, фиксация
	выделить: - множество функционально-ассоциированных объектов -		изменений (или откат по соображениям целостности данных),
	множество ассоциированных объектов-данных с субъектом Sm в		освобождение захватов. Автоматическое обнаружение
	момент времени tk. 1.Понятие политики и моделей безопасности		(распознавание) тупиковых ситуаций на построении и анализе графа
	информации в КС. Субъектно-объектная модель Щербакова.		ожидания транзакций. Временные метки объектов базы данных. 4.
	Функционирование КС – нестационарный процесс, но в		Мониторы транзакций в СУБД «Клиент-сервер». Возможность
	субъектно-объектной модели КС действует дискретное время ti. В		возникновения тупиковых ситуаций (Deadlock).
	любой момент времени ti множество субъектов,	196	196. Механизмы изоляции транзакций и преодоления ситуаций
	объектов-источников, объектов-данных фиксировано!!! Следствие		несогласованной обработки данных. Временные метки объектов базы
	2.1. В момент порождения объект-источник является		данных. Каждой транзакции приписывается временная метка,
	ассоциированным с порожденным субъектом.		соответствующая моменту начала выполнения транзакции. При
59	59. Определение 3.Потоком информации между объектом Oi и		выполнении операции над объектом транзакция
	объектом Oj называется называется произвольная операция над		"помечает"его своей меткой и типом операции (чтение
	объектом Oj, осуществляемая субъектом Sm , и зависящая от		или изменение). Если другой транзакции требуется операция над
	объекта Oi. Stream(Sm ,Oi)? Oj. – Потоки информации м.Б. Только		уже "помеченным" объектом, то выполняются действия по
	между объектами (а не между субъектом и объектом) – объекты м.Б.		следующему алгоритму: Более частые откаты транзакций, но
	Как ассоциированы, так и не ассоциированы с субъектом sm –		отсутствие тупиков. 4. Мониторы транзакций в СУБД
	операция порождения потока локализована в субъекте и		«Клиент-сервер». Проверяется, не закончилась ли транзакция,
	сопровождается изменением состояния ассоциированных		первой "пометившая" объект; если первая транзакция
	(отображающих субъект) объектов – операция stream может		закончилась, то вторая транзакция помечает его своей меткой и
	осуществляться в виде "чтения", "записи",		выполняет необходимые операции; если первая транзакция не
	"уничтожения", "создания" объекта.		закончилась, то проверяется конфликтность операций (конфликтно
	Определение 4.Доступом субъекта к объекту Oj называется		любое сочетание, кроме "чтение–чтение"); если операции
	порождение субъектом Sm потока информации между объектом Oj и		неконфликтны, то они выполняются для обеих транзакций, а объект
	некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi		до завершения операций помечается меткой более поздней, т.Е.
	ассоциирован с субъектом Sm). Определение 5.Правила		Более молодой транзакции; если операции конфликтны, то далее
	разграничения доступа, задаваемые политикой безопасности, есть		происходит откат более поздней транзакции и выполняется операция
	формально описанные потоки, принадлежащие множеству PL .		более ранней (старшей) транзакции, а после ее завершения, объект
	1.Понятие политики и моделей безопасности информации в КС. Будем		помечается меткой более молодой транзакции и цикл действий
	считать, что все множество потоков информации P (объединение		повторяется.
	всех потоков во все tk) разбито на два подмножества - множество	197	Лекция 2.7. Методы и технологии обеспечения доступности
	потоков PL , характеризующих легальный доступ - множество		(сохранности) данных. Тема 2. Модели безопасности компьютерных
	потоков PN, характеризующих несанкционированный доступ.		систем. ? Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная
60	60. Аксиома 4. Все вопросы безопасности информации в КС		безопасность» ОПД.Ф.10 "Теоретические основы компьютерной
	описываются доступами субъектов к объектам. Аксиома 5. Субъекты		безопасности" Презентация предназначена для отработки и
	в КС могут быть порождены только ак- тивной компонентой		закрепления лекционного материала студентами группы КБ МатМех
	(субъектами же) из объектов. Аксиомы защищенности компьютерных		УрГУ. Распространение и передача презентации третьим лицам
	систем. 1.Понятие политики и моделей безопасности информации в		запрещается.
	КС.	198	1. Резервирование архивирование и журнализация данных 2.
61	61. Политики безопасности компьютерных систем. - Множество		Технологии и системы репликации данных. Учебные вопросы: 198.
	PL задается явным образом внешним по отношению к системе		Литература: 1. Гайдамакин Н.А. Разграничение доступа к
	фактором в виде указания дискретного набора троек		информации в компьютерных системах. – Екатеринбург: изд-во Урал.
	"субъект-поток(операция)-объект" - Множество PL		Ун- та, 2003. – 328 с. 2. Смирнов С.Н. Безопасность систем баз
	задается неявным образом через предоставление субъектам неких		данных. – М.: Гелиос-АРВ, 2007. – 352с. 3. Гайдамакин Н.А.
	полномочий (допуска, мандата) порождать определенные потоки над		Автоматизированные информационные системы, базы и банки данных.
	объектами с определенными характеристиками конфиденциальности		Вводный курс: Учебное пособие. – М.: Гелиос-АРВ, 2002. – 308с.
	(метками, грифами секретности). - Множество PL задается через	199	199. Безопасность Информации в КС (составляющие защищенного
	введение в системе дополнительных абстрактных сущностей – ролей,		состояния информации). 1. Резервирование, архивирование и
	с которыми ассоциируются конкретные пользователи, и наделение		журнализации данных. Обеспечение правомерной доступности
	ролевых субъектов доступа на основе дискреционного или		информации. -отсутствие препятствий в правомерном доступе к
	мандатного принципа правами доступа к объектам системы.		данным (обеспечивается политикой и механизмами разграничения
	1.Понятие политики и моделей безопасности информации в КС.		доступа) -обеспечение сохранности файлов данных БД (профилактика
62	62. Структура КС в программно-техническом аспекте. 2.		носителей, организационные меры) -восстановление данных в случае
	Монитор (ядро) безопасности КС. Компонент доступа (система		программно-аппаратных сбоев, ошибочных действий пользователей
	ввода-вывода в ОС). Компонент представления (файловая система в		либо умышленных действий злоумышленников, приводящих у
	ОС). Компьютерная система. Защищенная компьютерная система.		уничтожению (потере, разрушению) файлов данных БД
63	63. Полнота - монитор должен вызываться при каждом обращении		(резервирование/архивирование, журнализация данных, репликация
	субъектов за сервисом к ядру системы и не д.б. никаких способов		БД). Обеспечение конфи-денциально-сти информа-ции. Обеспечение
	его обхода. Изолированность - монитор д.б. защищен от		целостности информации. Обеспечение доступности информации.
	отслеживания и перехвата своей работы. Верифицируемость -	200	200. 1. Резервирование, архивирование и журнализации данных.
	монитор д.б. проверяемым на выполнение своих функций, т.е. быть		Резервирование. «Горячее» резервирование. Архивирование.
	тестируемым (самотестируемым). Непрерывность - монитор должен		-организационно-технологическая система создания и обновления
	функционировать при любых штатных и нештатных (в т.ч. и в		(поддержания актуальности) копий файлов БД -установление и
	аварийных) ситуациях. Монитор безопасности реализует политику		поддержания режима размещения, хранения и использования
	безопасности на основе той или иной модели безопасности.		(доступа) копий БД для восстановления БД в случае сбоев и
	Требования к монитору безопасности. 2. Монитор (ядро)		разрушений -осуществляется либо средствами копирования файлов
	безопасности КС.		ОС, либо самой СУБД (специальными режимами работы СУБД или
64	64. Особенности субъектно-объектной модели КС (определения		специальными утилитами СУБД). -постоянное и непрерывное
	1, 2, 3 и 4) требуют структуризации монитора безопасности на две		функционирование 2-х или более равнозначных («зеркальных») копий
	компоненты: - монитор безопасности объектов (МБО) - монитор		БД в КС, относящихся к т.н. «системам реального времени» -все
	безопасности субъектов (МБС). Определение 6.Монитором		изменения данных одновременно и параллельно фиксируются в
	безопасности объектов (МБО) называется субъект, активизирующийся		зеркальных копиях БД -при сбое одной копии функционирование КС
	при возникновении потока между любыми объектами, порождаемым		обеспечивается другой «зеркальной» копией. -по сути другое
	любым субъектом, и разрешающий только те потоки, которые		название системы резервирования данных, поскольку из-за большого
	принадлежат множеству PL. Определение 7.Монитором безопасности		размера файлов БД, создание резервных копий осуществляется с
	субъектов (МБС) называется субъект, активизирующийся при любом		одновременным «сжатием» файлов данных -сохраненная и «сжатая»
	порождении субъектов, и разрешающий порождение субъектов только		копия БД называется «архивом» БД.
	для фиксированного подмножества пар активизирующих субъектов и	201	201. 1. Резервирование, архивирование и журнализации данных.
	объектов-источников. 2. Монитор (ядро) безопасности КС.		Журнализация данных. Изменения данных. Файлы БД. Архивная копия
65	65. Защищенная компьютерная система. Гарантии выполнения		файлов БД. -система ведения специальных журналов текущих
	политики безопасности обеспечиваются определенными требованиями		изменений данных для – а) аудита действий пользователей КС и б)
	к МБО и МБС, реализующими т.н. изолированную программную среду		для восстановления актуального состояния БД из существующего
	(ИПС). 2. Монитор (ядро) безопасности КС.		архива и произведенных с момента его создания изменений данных.
66	66. Исх. тезис - при изменении объектов, функционально		Основной носитель БД. Отдельный от основного носитель. Отдельный
	ассоциированных с субъектом монитора безопасности могут		от основного носитель. Файл журнала изменений данных.
	измениться свойства самого МБО и МБС, что м. привести к	202	202. 1. Резервирование, архивирование и журнализации данных.
	нарушению ПБ. Определение 8.Объекты Oi и Oj тождественны в		Обновление архивной копии файлов БД. Копирование на осн.носитель
	момент времени tk, если они совпадают как слова, записанные на		архивной копии файлов БД. Режимы журнализация данных.
	одном языке. Определение 9.Субъекты Si и Sj тождественны в		-синхронный (изменения данных синхронно с БД вносятся в журнал
	момент времени tk , если попарно тождественны все		изменений) -асинхронный (изменения данных в журнале фиксируются
	соответствующие ассоциированные с ними объекты. Определение		в по определенному графику или отдельным командам.
	10.Субъекты Si и Sj называются невлияющими друг на друга (или	203	203. 2. Технологии и системы репликации данных. Реплика БД.
	корректными относительно друг друга), если в любой момент		-особая копия БД для размещения на другом компьютере сети с
	времени отсутствует поток (изменяющий состояние объекта) между		целью автономной работы пользователей с одинаковыми
	любыми объектами Oi и Oj , ассоциированными соответственно с		(согласованными) данными общего пользования. Системы репликации
	субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не		данных. -разновидность технологий создания и функционирования
	ассоциирован с Si. 3. Гарантирование выполнения политики		распределенных КС -разновидность технологий обеспечения
	безопасности. ИПС. Следствие 9.1. Порожденные субъекты		сохранности и правомерной доступности информации -пользователи
	тождественны, если тождественны порождающие их субъекты и		КС работают на своих вычислительных установках с одинаковыми
	объекты-источники. (Изменение состояние объекта – не		(общими) данными, растиражированными по локальным БД -снимается
	тождественность в соотв. моменты времени).		проблема быстродействия и ресурсоемкости сервера КС. Основные
67	67. Определение 11.Субъекты Si и Sj называются абсолютно		проблемы систем репликации. -Обеспечение непрерывности
	невлияю- щими друг на друга (или абсолютно корректными		согласованного состояния данных -обеспечение непрерывности
	относительно друг друга), если дополнительно к условию		согласованного состояния структуры данных.
	определения 10 множества ассоциированных объектов указанных	204	204. 2. Технологии и системы репликации данных.
	субъектов не имеют пересечений. Утверждение 1.ПБ гарантированно		Программно-техническая структура систем репликации. Общая БД
	выполняется в КС, если: - МБО разрешает порождение потоков		(Реплика 1). Общая БД (Реплика 2). Вычислительная установка 1.
	только из PL; - все существующие в КС субъекты абсолютно		Ядро СУБД. Прикладной компонент 1. Изменения данных. Табл. 1.
	корректны относительно МБО и друг друга. МБО субъект. 3.		Табл. 1. Драйвер репликации. Файл сетев. конфигурации. SQL. SQL.
	Гарантирование выполнения политики безопасности. ИПС. ? ? ?		Файл сетев. конфигурации. Драйвер репликации. Прикладной
	Док-во: На практике только корректность относительно МБО.		компонент 2. Изменения данных. Ядро СУБД. Табл.2. Табл. 1.
	Достаточное условие гарантированного выполнения ПБ.		Вычислительная установка 2.
68	68. Утверждение 2.Если в абсолютно изолированной КС	205	205. 2. Технологии и системы репликации данных. Обеспечение
	существует МБО и порождаемые субъекты абсолютно корректны		непрерывности согласованного состояния данных. -Системы
	относительно МБО, а также МБС абсолютно коррек- тен относительно		синхронной репликации -системы асинхронной репликации. -любая
	МБО, то в КС реализуется доступ, описанный правилами		транзакция с любой рабочей станции сети осуществляется
	разграничения доступа (ПБ). 3. Гарантирование выполнения		одновременно на всех репликах БД (фиксация транзакции
	политики безопасности. ИПС. ? ? ? Док-во: На практике легче, чем		производится только тогда, когда она успешно завершается
	полная корректность субъектов относительно друг друга.		одновременно на всех репликах системы) -применяются аналогично
	Достаточное условие гарантированного выполнения ПБ. ? ? ?		клиент-серверным системам протоколы осуществления и фиксации
69	69. Определение 12.КС называется замкнутой по порождению		транзакций. -Снижение быстродействия обработки данных вследствие
	субъектов, если в ней действует МБС, разрешающий порождение		большого трафика данных в сети -«тупики» при осуществлении
	только фиксированного конечного подмножества субъектов для любых		транзакций (как в клиент-серверных системах). Режим синхронной
	объектов- источников при фиксированной декомпозиции КС на		репликации изменений данных. Проблемы и недостатки систем
	субъекты и объекты. Определение 13.Множество субъектов КС		синхронной репликации.
	называется изолированным (абсолютно изолированным), если в ней	206	206. 2. Технологии и системы репликации данных. Обеспечение
	действует МБС и субъекты из порождаемого множества корректны		непрерывности согласованного состояния данных. -транзакция на
	(абсолютно корректны) относительно друг друга и МБС. 3.		рабочих станциях осуществляются независимо друг от друга, в
	Гарантирование выполнения политики безопасности. ИПС. Следствие		результате допускается текущая несогласованность состояния
	13.1. Любое подмножество субъектов изолированной (абсолютно		данных -через определенные интервалы (по специальному графику,
	изолированной) КС, включающее МБО и МБС, также составляет		по специальным командам, в определенном, например во внерабочее,
	изолированную (абсолютно изолированную) программную среду.		время и т.д.) осуществляется синхронизация реплик БД -на рабочих
	Следствие 13.2. Дополнение изолированной (абсолютно		станциях КС м. создаваться специальные хранилища данных
	изолированной) КС субъектом, корректным (абсолютно корректным)		репликации «накапливающие» изменения данных, поступающие с
	относительно любого из числа входящих в ИПС субъектов, оставляет		других рабочих станций. -не могут применяться в КС, с высокой
	КС изолированной (абсолютно изолированной). Называют		динамикой изменения данных -в результате синхронизации реплик м.
	"Изолированной программной средой (ИПС)"		наблюдаться «потерянные изменения» при взаимном затирании
70	70. Базовая теорема ИПС. Определение 16.Операция порождения		изменений одних и тех объектов на разных репликах. Режим
	субъекта Create(Sj , Oi)? Sm называется порождением с контролем		асинхронной репликации изменений данных. Проблемы и недостатки
	неизменнос- ти объекта, если для любого момента времени tk>t0		систем асинхронной репликации.
	, в который активизирована операция Create, порождение субъекта	207	207. 2. Технологии и системы репликации данных. Обеспечение
	Sm возможно только при тождественности объектов в		непрерывности согласованного состояния структуры данных.
	соответствующие моменты времени –Oi[tk]= Oi[t0]. Следствие 16.1.		-Системы с «главной» репликой -системы с частичными репликами.
	При порождении с контролем неизменности объектов субъекты,		-Одна из реплик объявляется «главной» и только на ней
	порожденные в различные моменты времени, тождественны Sm[t1]=		допускается изменение структуры данных (добавление/удаление
	Sm[t2]. При t1= t2 порождается один и тот же субъект.		таблиц, изменение схемы таблиц) -по принципу асинхронной
	Утверждение 3.Если в момент времени t0 в изолированной КС		репликации осуществляется тиражирование соответствующих
	действует только порождение субъектов с контролем неизменности		изменений структуры данных по всем репликам системы. -в каждой
	объекта и существуют потоки между объектами через субъекты, не		локальной БД определяются перечень реплицируемых объектов, в
	противоречащие условию корректности (абсолютной корректности)		результате локальные БД «одинаковы» только в определенной части
	субъектов, то в любой момент времени КС также остается		-синхронизация реплик может осуществляется в синхронном и
	изолированной (абсолютно изолированной). 3. Гарантирование		асинхронном (отложенном) режиме -могут создаваться
	выполнения политики безопасности. ИПС. Док-во: 1.Из условия абс.		распределенные КС с функционально обоснованной схемой ввода и
	корр. м.б. только такие потоки, которые изменяют состояние		тиражирования данных, например данные в таблицу «Документы»
	объектов, не ассоциированных в соотв. моменты времени с		вводятся в реплике секретариата и тиражируются по всем репликам,
	каким-либо субъектом. Отсюда не м.б. изменены объекты-источники.		находящихся в др. подразделениях, данные в таблицу «Сотрудники»
	2.Т.к. объекты-источники остаются неизменными, то мощность		- в реплике кадрового подразделения и т.д. Системы с «главной»
	множества порождаемых субъектов нерасширяемо, и тем самым		репликой. Системы с частичными репликами.
	множество субъектов КС остается изолированным.	208	Лекция 2.8. Политика и модели безопасности в распределенных
71	71. Проблемы реализации Изолированной программной среды.		КС. Лекция 2.8. Тема 2. Модели безопасности компьютерных систем.
	повышенные требования к вычислительным ресурсам – проблема		? Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность»
	производительности нестационарность функционирования КС		ОПД.Ф.10 "Теоретические основы компьютерной
	(особенно в нач. момент времени) из-за изменения уровня		безопасности" Презентация предназначена для отработки и
	представления объектов (сектора-файлы) – проблема загрузки		закрепления лекционного материала студентами группы КБ МатМех
	(начального инициирования) ИПС сложность технической реализацией		УрГУ. Распространение и передача презентации третьим лицам
	контроля неизменности объектов - проблема целостности объектов и		запрещается.
	проблема чтения реальных данных. 3. Гарантирование выполнения	209	209. Учебные вопросы: 1. Общие положения о политике
	политики безопасности. ИПС.		безопасности в распределенных КС 2. Зональная модель
72	Лекция 2.1. Модели безопасности на основе дискреционной		безопасности в распределенных КС.
	политики. Тема 2. Модели безопасности компьютерных систем. ?	210	210. Три аспекта распределенности (с т.зр. политики и
	Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность»		субъектов обеспечения безопасности в КС). распределенность
	ОПД.Ф.10 "Теоретические основы компьютерной		защитных механизмов по программным модулям ядра системы (модули,
	безопасности" Презентация предназначена для отработки и		реализующие идентификацию/аутентификацию, управление доступом,
	закрепления лекционного материала студентами группы КБ МатМех		криптозащита) рапределенность информационного объекта,
	УрГУ. Распространение и передача презентации третьим лицам		ассоциированного с МБО, содержащего установки политики
	запрещается.		безопасности в КС распределенность субъектов и объектов доступа
73	1.Общая характеристика политики дискреционного доступа		КС по различным вычислительным установкам (физическая
	2.Пятимерное пространство Хартсона 3.Модели на основе матрицы		распределенность). 1. Общие положения о политике безопасности в
	доступа 4.Модели распространения прав доступа. Учебные вопросы:		распределенных КС.
	73. Литература: 1.Теория и практика обеспечения информационной	211	211. -нейтрализация угроз безопасности в процедурах
	безопасности / Под ред. П.Д. Зегжды. М.:Яхтсмен, 1996. - 302с 2.		идентификации/аутентификации с рабочих станций и при удаленном
	Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации.		доступе пользователей АИС -нейтрализация угроз безопасности в
	М.:Яхтсмен, 1996. - 192с 3.Баранов А.П.,Борисенко Н.П.,Зегжда		линиях связи и телекоммуникациях -реализация политики привязки
	П.Д, Корт С.С.,Ростовцев А.Г. Математические основы		доступа пользователей с определенных рабочих станций, по
	информационной безопасности. - Орел, ВИПС, 1997.- 354с.		определенному временному графику -защита вывода информации из БД
	4.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в		на внешние носители данных, в т.ч. на рабочих станциях АИС
	теоретические основы компьютерной безопасности : Уч. пособие.		-удаление остаточной информации на носителях при обработке
	М., 1998.- 184с.		данных на рабочих станциях -отношения доверия между сегментами
74	74. Исходные понятия. Разграничение доступа к информации		(зонами) сети АИС -активный аудит действий пользователей. 1.
	(данным) КС. Доступ к информации (данным). Методы доступы. Права		Общие положения о политике безопасности в распределенных КС.
	доступа. Политика (правила) разграничения доступа. 1. Общая		Дополнительные аспекты политики безопасности в распределенных
	характеристика политики дискреционного доступа. -разделение		АИС.
	информации АИС на объекты (части, элементы, компоненты и т. д.),	212	212. Распределенные компьютерные системы. КС с
	и организация такой системы работы с информацией, при которой		распределенной архитектурой, разделяемые на два и более
	пользователи имеют доступ только и только к той части информации		обособленных компонента, называемых локальными сегментами. Две
	(к тем данным), которая им необходима для выполнения своих		разновидности. Система взаимодействующих лок. сегментов.
	функциональных обязанностей или необходима исходя из иных		Система- внешняя среда. Два направления. 1. Общие положения о
	соображений -создание такой системы организации данных, а также		политике безопасности в распределенных КС. В основе 7-ми
	правил и механизмов обработки, хранения, циркуляции данных,		уровневая модель взаим-я откр. систем. Создание защитных
	которые обеспечивают функциональность КС и безопасность		механизмов, устойчивых как по отношению к внутренним, так и
	информации (ее конфиденциальность, целостность и доступность).		внешним угрозам. Синтез защитных механизмов от внешних угроз.
	-действия субъектов на объектами КС, вызывающие одно-	213	213. Синтез защитных механизмов от внешних угроз -
	двунаправленные информационные потоки. -виды действий (операций)		технологии межсетевого экранирования (анализ потока информации
	субъектов над объектами КС (чтение/просмотр,		сетевого уровня – пакетов с уникальной информацией отправителя и
	запись/модификация/добавление, удаление, создание, запуск и		получателя, и фильтрация по некоторым априорно-заданным
	т.п.). -методы доступа (действия, операции), которыми обладают		критериям). Создание защитных механизмов, устойчивых как по
	(наделяются, способны выполнять) субъекты над объектами КС.		отношению к внутренним, так внешним угрозам - политика и модель
	-совокупность руководящих принципов и правил наделения субъектов		безопасности системы взаимодействующих локальных сегментов. 1.
	КС правами доступа к объектам, а также правил и механизмов		Общие положения о политике безопасности в распределенных КС.
	осуществления самих доступов и реализации информационных	214	214. Обособление (идентификация) сегмента два подхода – по
	потоков.		критерию локализации (субъектов и объектов) в рамках некоторой
75	75. Виды политик (правил, механизмов) разграничения доступа.		технической компоненты. – по критерию порождения одним общим
	Политика дискреционного разграничения доступа. Политика		процессом (z.b. Монитор транзакций). – на основе единого
	мандатного разграничения доступа. Политика тематического		адресного пространства, в котором любой сущности (субъекту или
	разграничения доступа. Политика ролевого разграничения доступа.		объекту) присваивается уникальный глобальный идентификатор, и
	Политика временн?го разграничения доступа. Политика маршрутного		разделения адресного пространства на области, образующие
	доступа. 1. Общая характеристика политики дискреционного		(выделяющие) локальные сегменты КС. Понятие локального сегмента.
	доступа. -Разграничение доступа на основе непосредственного и		с т.зр. субъектно-объектной модели КС: обособленная совокупность
	явного предоставления субъектам прав доступа к объектам в виде		субъектов и объектов доступа. 1. Общие положения о политике
	троек «субъект-операция-объект». -Предоставление прав доступа		безопасности в распределенных КС.
	субъектов к объектам неявным образом посредством присвоения	215	215. Понятие доступа в субъектно-объектной модели КС – поток
	уровней (меток) безопасности объектам (гриф конфиденциальности,		информации между объектами локализуемый через субъект (его
	уровень целостности), субъектам (уровень допуска/полномочий) и		ассоциированные объекты). Удаленный доступ pout = Stream (sm ,
	организация доступа на основе соотношения «уровень безопасности		oi) ? oj. 1. Общие положения о политике безопасности в
	субъекта-операция-уровень безопасности объекта». -Предоставление		распределенных КС.
	прав доступа субъектам к объектам неявным образом посредством	216	216. Доступ к объектам в две фазы – вхождение в сегмент --
	присвоения тематических категорий объектам (тематические		«в свой» -- в доверяющий сегмент (удаленный доступ) – запрос и
	индексы) и субъектам (тематические полномочия) и организация		получение доступа по внутризональной политике доверяющего
	доступа на основе соотношения «тематическая категория		сегмента. Ядро. 1. Общие положения о политике безопасности в
	субъекта-операция-тематическая категория объекта».		распределенных КС. Ассоциированные объекты. Дополнительная
	-агрегирование прав доступа к объектам в именованные		политика инициализации субъектов удаленных доступов.
	совокупности (роли), имеющие определенный	217	217. Предприятие/объект. Зона инф. ресурсов. Арх. зона.
	функционально-технологический смысл в предметной области КС, и		Публ.зона (работа с клиентами). Распределенная ИС с
	наделение пользователей правом работы в КС в соответствующих		внутризональной и межзональной политикой безопасности. Для
	ролях. -предоставление пользователям прав работы в КС по		каждой зоны своя регламентация доступа/ вхождения сотрудников,
	определенному временному регламенту (по времени и длительность		др. лиц, перемещения документов. Определение 1. Зоной в
	доступа). -предоставление пользователям прав работы в КС при		распределенной ИВС называется совокупность подмножества
	доступе по определенному маршруту (с определенных рабочих		пользователей U (u1, u2,…, uN) , подмножества объектов доступа O
	станций).		(o1, o2,…, oM) и подмножества физических объектов V(v1,v2,…, vL)
76	76. Общая характеристика политики дискреционного доступа.		, обособленных в локальный сегмент zk с отдельной
	Модели и механизмы реализации дискреционного разграничения		(внутризональной) политикой безопасности. 2. Зональная модель
	доступа. 1. Общая характеристика политики дискреционного		безопасности. Произв. зона. Складск. зона.
	доступа. множество легальных (неопасных) доступов PL задается	218	218. Теоретико-множественная формализация зональной
	явным образом внешним по отношению к системе фактором в виде		политики. Fphys : V? Z – значением функции z = fphys(v)
	указания дискретного набора троек		является зона z ? Z, в которой находится (которой принадлежит)
	"субъект-поток(операция)-объект"; -права доступа		физический объект v ? V; fuser : U? Z – значением функции z =
	предоставляются («прописываются» в специальных информационных		fuser(u) является зона z ? Z, в которой уполномочен
	объектах-стуктурах, ассоциированных с монитором безопасности),		(зарегистрирован) для работы пользователь u ? U; ffobject : O? V
	отдельно каждому пользователю к тем объектам, которые ему		– значением функции v = ffobject(o) является физический объект
	необходимы для работы в КС; -при запросе субъекта на доступ к		v? V, в котором находится (физически размещается) объект o ?O.
	объекту монитор безопасности, обращаясь к ассоциированным с ним		Частичный порядок доверия на множестве зон (возможность
	информационным объектам, в которых «прописана» политика		удаленных доступов). Одностороннее доверие: z1> z2 ? P
	разграничения доступа, определяет «легальность» запрашиваемого		outL(z1 ? z2) ? ? ? P outL(z1 ? z2) = ? Двустороннее доверие:
	доступа и разрешает/отвергает доступ. Различаются: -в		z1= z2 ? P outL(z1 ? z2) ? ? ? P outL(z1 ? z2) = ? Отсутствие
	зависимости от принципов и механизмов программно-информационной		доверия: z1 ? z2 ? P outL(z1 ? z2) = ? ? P outL(z1 ? z2) = ? 2.
	структуры объекта(объектов), ассоциированных с монитором		Зональная модель безопасности.
	безопасности, в которых хранятся «прописанные» права доступа	219	219. Примеры реализации общесетевой политики политики
	(тройки доступа) -в зависимости от принципа управления правами		безопасности в распределенных КС (сетях) – модель безопасности
	доступа, т.е. в зависимости от того – кто и как		Варадхараджана (Varadharadjan, 1990) для распределенной сети –
	заполняет/изменяет ячейки матрицы доступа (принудительный и		доменно-групповая политика безопасности в сетях на основе
	добровольный принцип управления доступом) Выделяют:		Windows NT. Политика безопасности в распределенных КС.
	-теоретико-множественные (реляционные) модели разграничения	220	220. Двустороннего доверия – пользователи одного сегмента
	доступа (пятимерное пространство Хартсона, модели на основе		могут получать доступ к объектам другого сегмента и наоборот
	матрицы доступа) -модели распространения прав доступа (модель		Одностороннего доверия – пользователи одного сегмента могут
	Харисона-Рузо-Ульмана, модель типизованной матрицы доступа,		получать доступ к объектам другого сегмента, но наоборот нет.
	теоретико-графовая модель TAKE-GRANT).		-Внутризональная политика безопасности -Межзональная политика
77	77. Система защиты -пятимерное пространство на основе		безопасности (политика взаимодействия). Политика безопасности в
	следующих множеств: U - множество пользователей; R - множество		системе взаимодействующих сегментов. Политика взаимодействия.
	ресурсов; E - множество операций над ресурсами; S - множество		Внутр. пользователи лок. Сегмента 1. Внутр. пользователи лок.
	состояний системы; A - множество установленных полномочий.		Сегмента 2. Политика безопасности в распределенных КС.
	Процесс организации доступа по запросу осуществляется по		Взаимодействие Безопасный канал связи.
	следующему алгоритму: Декартово произведение A?U?E?R?S - область	221	Лекция 3.1. Методы, критерии и шкалы оценки защищенности
	безопасного доступа. Запрос пользователя на доступ представляет		(безопасности). Тема 3. Методы анализа и оценки защищенности
	собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый		компьютерных систем. ? Гайдамакин Н.А., 2008г. ГОС 075200
	набор ресурсов. 1.Вызвать все вспомогательные программы для		«Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы
	предварительного принятия решения. 2.Определить те группы		компьютерной безопасности" Презентация предназначена для
	пользователей, в которые входит u, и выбрать из A те		отработки и закрепления лекционного материала студентами группы
	спецификации полномочий P=F(u), которым соответствуют выделенные		КБ МатМех УрГУ. Распространение и передача презентации третьим
	группы пользователей. Набор полномочий P=F(u) определяет		лицам запрещается.
	т.н.привилегию пользователя. 2. Пятимерное пространство	222	Учебные вопросы: 222. 1. Общая характеристика измерения
	Хартсона. Элементы множества A - aijkl специфицируют: - Ресурсы		(оценки) эмпирических объектов 2. Показатели защищенности
	- вхождение пользователей в группы; разрешенные операции для		СВТ/СУБД и классификация АС/АИС по требованиям защиты от НСД к
	групп по отношению к ресурсам;		информации 3. Критерии оценки безопасности информационных
78	78. 3.Определить из множества A набор полномочий P=F(e),		технологий. Профили защиты СУБД. Литература: 1. Гайдамакин Н.А.
	которые устанавливают e, как основную операцию. Набор полномочий		Разграничение доступа к информации в компьютерных системах. –
	P=F(e) определяет привилегию операции. 2. Пятимерное		Екатеринбург: изд-во Урал. Ун- та, 2003. – 328 с. 2. Смирнов
	пространство Хартсона.		С.Н. Безопасность систем баз данных. – М.: Гелиос-АРВ, 2007. –
79	79. На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен		352с. 3. Гайдамакин Н.А. Автоматизированные информационные
	полномочий запроса: D(q)= F(u)?F(e)?P=F(R'). 4.Определить из		системы, базы и банки данных. Вводный курс: Учебное пособие. –
	множества A набор полномочий P=F(R'), разрешающих доступ к		М.: Гелиос-АРВ, 2002. – 308с.
	набору ресурсов R'. Набор полномочий P=F(R') определяет	223	223. 1. Общая характеристика измерения (оценки) эмпирических
	привилегию ресурсов. 2. Пятимерное пространство Хартсона.		объектов. Физические (приборные) измерения. Внешние воздействия,
80	80. 5.Убедиться, что запрашиваемый набор ресурсов R'		случайная природа физ.процессов измерения. Погрешность
	полностью содержится в домене запроса D(q), т.е. любой r из		измерения. Процесс (испытание, сравнение) по отношению с
	набора R' хотя бы один раз присутствует среди элементов D(q).		эталоном. Результат измерения (образ на шкале измерений).
	6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы		Измерение. Шкала измерения S, R(si,sj). Эмпирическое множество
	в один класс попадали полномочия (элементы D(q)), когда они		объектов с отношениями A, R(ai,aj). Наблюдае-мые (физические).
	специфицируют один и тот же ресурс r из набора R'. В каждом		Свойства/качества/признаки. Выбор шкалы (шкалирование).
	классе произвести операцию логического ИЛИ элементов D(q) с		Погрешность оценки. Модель объекта. Результат оценки (образ на
	учетом типа операции e. В результате формируется новый набор		шкале оценки). Ненаблю- даемые. Эмпири-ческий объект. Оценка.
	полномочий на каж-дую единицу ресурса, указанного в D(q) -		Шкала оценки S, R(si,sj). Исследование, вычисление (оценка).
	F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по		Неполная (частичная) адекватность модели и шкалы. Полный или
	отношению к запросу q. 2. Пятимерное пространство Хартсона.		частичный гоморфизм. ai r aj. si r sj.
	Авторизация.	224	224. 1. Общая характеристика измерения (оценки) эмпирических
81	81. 7.Вычислить условие фактического доступа (EAC),		объектов. Шкалы номинального (назывного) типа. -Только для
	соответствующее запросу q , через операции логического ИЛИ по		различения объектов (z.B. Номера телефонов, автомобилей, коды
	элементам полномочий F(u,q) и запрашиваемым ресурсам r из набора		городов, объектов и т.П.); -Не воспроизводят никаких отношений
	R', и получить тем самым набор R'' - набор фактически доступных		(порядка и т.Д.) Кроме отношений различия/эквивалентности (если
	по запросу ресурсов. 8.Оценить EAC и принять решение о доступе:		ai ? aj , то si ? sj ; если ai ? aj , то si ? sj ); -могут
	- разрешить доступ, если R'' и R' полностью перекрываются; -		применяться для классификации объектов (номера/идентификаторы
	отказать в доступе в противном случае. 9.Произвести запись		классов – результаты классификационного шкалирования объектов).
	необходимых событий. 10.Вызвать все программы, необходимые для		Шкалы порядкового (рангового) типа. -воспроизводят отношения
	организации доступа после "принятия решения".		порядка (строгого) и эквивалентности (если ai ? aj , то si ? sj
	11.Выполнить все вспомогательные программы, вытекающие для		); -обеспечивают упорядочение объектов по измеряемым
	каждого случая по п.8. 12.При положительном решении о доступе		(анализируемым/оцениваемым) свойствам (z.b. шкала твердости
	завершить физическую обработку. Но!!! Безопасность системы в		минералов Ф.Мооса, шкалы силы ветра, шкалы силы землетрясения,
	строгом смысле не доказана. 2. Пятимерное пространство Хартсона.		шкалы сортности товаров, шкалы оценки знаний); -результаты
82	82. Система защиты -совокупность следующих множеств: -		измерений/оценок не являются числами в полном смысле – не могут
	множество исходных объектов O (o1,o2,…,oM) - множество исходных		складываться, умножаться и т.д.); -из одной порядковой шкалы
	субъектов S (s1,s2,…,sN) , при этом S ? O - множество операций		другая эквивалентная м.б. получена в результате
	(действий) над объектами Op (Op1 ,Op2 ,…,OpL) - множество прав,		монотонно-возрастающего преобразования.
	которые м.б. даны субъектам по отношению к объектам R	225	225. 1. Общая характеристика измерения (оценки) эмпирических
	(r1,r2,…,rK) – т.н. "общие права" - NxM матрица		объектов. Шкалы интервалов. Шкалы отношений. -Воспроизводят
	доступа A, в которой каждому субъекту соответствует строка, а		только отношения степени сравнения эмп. Объектов (во сколько
	каждому объекту - столбец. В ячейках матрицы располагаются права		раз); результаты измерений при преобразованиях подобия f(x)=ax,
	r соотв.субъекта над соотв. объектом в виде набора разрешенных		a?0 сохраняют неизменными степени отношений объектов (примеры:
	операций Opi. A[si,oj]= aij - право r из R (т.Е. Не общее, а		шкалы измерения масс и длин предметов); -Воспроизводят кроме
	конкр. Право). Каждый элемент прав rk специфицирует совокупность		отношений эквивалентности и порядка (больше/меньше), еще и
	операций над объектом rk ? (Op1k,Op2k,…,OpJk). 3. Модели на		отношения интервалов (сколько между объектами); результаты
	основе матрицы доступа.		измерений при линейных преобразованиях сохраняют неизменными
83	83. Две разновидности моделей в зависимости от того, каким		интервалы между объектами измерения. -соответственно одна шкала
	образом заполняются ячейки матрицы доступа A. Выделяют: Системы		из другой м.б. получена путем линейного преобразования (z.b.
	с принудительным управлением доступа; системы с добровольным		шкалы температур Цельсия, Фаренгейта). -Эквивалентные шкалы
	управлением доступом. - Вводится т.Н.Доверенный субъект		измерения отношений, получаемые одна из другой преобразованиям
	(администратор доступа), который и определяет доступ субъектов к		подобия имеют общую (нулевую) точку отсчета (примеры: шкалы
	объектам (централизованный принцип управления). - Вводится т.Н.		измерения масс и длин предметов).
	Владение (владельцы) объектами и доступ субъектов к объекту	226	226. 1. Общая характеристика измерения (оценки) эмпирических
	определяется по усмотрению владельца (децентрализованный принцип		объектов. Шкалы разностей. -Как и шкалы интервалов воспроизводят
	управления). Принудительное управление доступом. - В таких		отношения интервалов и (на сколько один объект превосходит по
	системах заполнять и изменять ячейки матрицы доступа может		измеряемому свойству другой объект), но не выражают отношения
	только администратор. Добровольное управление доступом. - В		степеней сравнения; результаты измерений при преобразованиях
	таких системах субъекты посредством запросов могут изменять		сдвига f(x)=x+b сохраняют неизменными разности измеряемых
	состояние матрицы доступа. 3. Модели на основе матрицы доступа.		величин объектов (примеры: шкалы измерения масс и длин
	Жесткость, но и более четкий контроль. Гибкость, но и сложность		предметов); -эквивалентные шкалы измерения отношений получаются
	контроля.		одна из другой преобразованиям сдвига (примеры: шкалы прироста
84	84. Способы организации информационной структуры матрицы		продукции, шкалы увеличения численности чего-либо, шкалы
	доступа. 3. Модели на основе матрицы доступа. Централизованная		летоисчисления). Абсолютные шкалы. -характеризуют единственность
	единая информационная структура. Децентрализованная		отображения измеряемых объектов в определенную (естественную,
	распределенная информационная структура. Субд. Биты защиты		абсолютную шкалу); -воспроизводят любые отношения между
	(UNIX). Владелец. Группа. Остальные польз-ли. Системная таблица		измеряемыми объектами (различия/эквивалентности, порядка,
	с назначениями доступа.		степени, интервалов, разности). Пример: - шкалы измерения
85	85. … Два способа размещения ACL. Структура списков доступа		количества объектов.
	на примере NTFS. C каждым объектом NTFS связан т.Н. Дескриптор	227	227. 1. Общая характеристика измерения (оценки) эмпирических
	защиты, состоящий из: 3. Модели на основе матрицы доступа.	227	объектов. Оценки (измерения) сложных объектов.
	Объект 1. Объект 2. DACL – последовательность произв. кол-ва	228	228. Стандартизация. Стандарт. 1. Стандартизация требований
	элементов контроля доступа – АСЕ, вида: SACL – данные для		к архитектуре, функциям и критериям оценки подсистем
	генерации сообщений аудита. Списки доступа в файловой системе ОС		безопасности в АИС. - Разработка и применение
	Windows (Access Control List – ACL). Объекты д.б.		нормативно-технических и нормативно-методических документов в
	зарегистрированы в системе. Д.б. обеспечен контроль целостности		целях достижения упорядоченности в сферах разработки,
	ACL. ID влад. ID перв. Гр. Влад. DACL. SACL. Список дискр.		производства и обращения изделий, продукции, строений,
	контроля доступа. Системный список контроля доступа. Allowed /		сооружений, систем, процессов, процедур, работ или услуг. -
	Denied. ID субъекта (польз., Группа). Права доступа (отображ-е).		Нормативно-технический документ, содержащий требования и
	Флаги, атрибуты.		характеристики к объекту стандартизации. Цели стандартизации. -
86	86. В модели Харрисона-Руззо-Ульмана помимо элементарных		Повышение уровня безопасности жизни или здоровья граждан,
	опе-раций доступа Read, Write и т.д., вводятся также т.н.		имущества физических или юридических лиц, государственного или
	прими-тивные операции Opk по изменению субъектами матрицы		муниципального имущества, экологической безопасности,
	доступа: Enter r into (s,o) - ввести право r в ячейку (s,o)		безопасности жизни или здоровья животных и растений; - повышение
	Delete r from (s,o) - удалить право r из ячейки (s,o) Create		уровня безопасности объектов с учетом риска возникновения
	subject s - создать субъект s (т.е. новую строку матрицы A)		чрезвычайных ситуаций природного и техногенного характера; -
	Create object o - создать объект o (т.е. новый столбец матрицы		обеспечение научно-технического прогресса; - повышение
	A) Destroy subject s - уничтожить субъект s Destroy object o -		конкурентоспособности продукции, работ, услуг; - рациональное
	уничтожить объект o. Состояние системы Q изменяется при		использование ресурсов; - обеспечение технической и
	выполнении команд C(?1, ?2, …), изменяющих состояние матрицы		информационной совместимости; - обеспечение сопоставимости
	доступа A. Команды инициируются пользователями-субъектами.		результатов исследований (испытаний) и измерений, технических и
	Command ?(x1,…xk) if r1 in A[s1,o1] and r2 in A[s2,o2] … then;		экономико-статистических данных; - обеспечение
	Op2 ; …; end. Xi – идентификаторы задействованных субъектов или		взаимозаменяемости продукции.
	объектов. 4.Модели распространения прав доступа. 4.1.Модель	229	229. Стандарты в сфере безопасности ИТ. 1. Стандартизация
	Харрисона-Руззо-Ульмана (модель HRU). Наиболее типичный		требований к архитектуре, функциям и критериям оценки подсистем
	представитель систем с добровольным управлением доступом -		безопасности в АИС. По типу объекта стандартизации. - система
	модель Харрисона-Руззо-Ульмана. Название. Структура команды.		(информационная, техническая, организационно-технологическая,
	[Условия] (необяз.). Операции. Разработана для исследования		аппаратная, криптографическая и т.д.) - ИТ-продукт -
	дискреционной политики. Команды с одной операцией –		ИТ-технологии (в т.ч. процессы, процедуры). По типу шкалы оценки
	монооперационные, с одним условием - моноусловные.		соответствия требованиям стандарта. - На основе номинальной
87	87. Command "создать файл"(s, f): create object f		шкалы (соответствует/несоответствует) - на основе интервальной
	; enter "own" into (s, f ) ; enter "read"		(количественной) шкалы (z.B. Вероятность обнаружения атаки ?
	into (s, f ) ; enter "write" into (s, f ) ; end.		0,99) - на основе ранговой (качественной) шкалы (реализация
	Command «ввести право чтения"(s,s',f): if own ? (s, f ) ;		требований на «отлично», «хорошо», «удовлетворительно»;
	then enter r "read" into (s', f ) ; end. Основной		защищенность высокая, средняя, низкая, незначительная). В
	критерий безопасности -. Состояние системы с начальной		большинстве Стандартов защищенности используются
	конфигурацией Q0 безопасно по праву r, если не существует (при		номинально-ранговые шкалы (оценки).
	определенном наборе команд и условий их выполнения)	230	230. Определяется шкала уровней (классов) защищенности. Для
	последовательности запросов к системе, которая приводит к записи		каждого уровня (класса) защищенности устанавливается набор
	права r в ранее его не содержащую ячейку матрицы A[s,o].		требований к объекту оценки по соответствующей тематики. 1.
	Формулировка проблемы безопасности для модели		Стандартизация требований к архитектуре, функциям и критериям
	Харрисона-Руззо-Ульмана: Существует ли какое-либо достижимое		оценки подсистем безопасности в АИС. Общая схема стандартов и
	состояние, в котором конкретный субъект обладает конкретным		руководящих документов по функциональным требованиям к
	правом доступа к конкретному объекту? (т.е. всегда ли возможно		защищенным КС на основе номинально-ранговых оценок защищенности
	построить такую последовательность запросов при некоторой		[безопасности]. Защищенность [безопасность].
	исходной конфигурации когда изначально субъект этим правом не	231	231. Единая шкала оценки безопасности для производителей,
	обладает?). 4.Модели распространения прав доступа. 4.1.Модель		потребителей и экспертов. История создания стандартов
	Харрисона-Руззо-Ульмана (модель HRU). Примеры команд -.		информационной (компьютерной) безопасности. 1. Стандартизация
88	88. Теорема 1. Проблема безопасности разрешима для		требований к архитектуре, функциям и критериям оценки подсистем
	моно-операционных систем, т.е. для систем, в которых запросы		безопасности в АИС. 1.Критерии оценки надежных компьютерных
	содержат лишь одну примитивную операцию. Теорема 2. Проблема		систем (Оранжевая книга), NCSC МО США, 1983г. (по сетям - 1987,
	безопасности неразрешима в общем случае. Харрисон, Руззо и		по СУБД - 91) 2.Европейские критерии безопасности информационных
	Ульман показали : Выводы по модели Харрисона-Руззо-Ульмана:		технологий 1986г. (Гармонизированные критерии, 1991г.) (Франция,
	-данная модель в ее полном виде позволяет реализовать множество		Германия, Голландия, Англия) 3.Руководящие документы
	политик безопасности, но при этом проблема безопасности		Гостехкомиссии при России по защите от НСД к информации, 1992г.
	становится неразрешимой -разрешимость проблемы безопасности		4.Федеральные критерии безопасности информационных технологий,
	только для монооперационных систем приводит к слабости такой		ANSI и АНБ США (1992г.) 5. Канадские критерии безопасности
	модели для реализации большинства политик безопасности (т.к. нет		компьютерных систем (1993г.) 6.Единые критерии безопасности
	операции автоматического наделения своими правами дочерних		информационных технологий, NCSC и АНБ США, 1996г.
	объектов, ввиду чего по правам доступа они изначально не	232	232. 1. Стандартизация требований к архитектуре, функциям и
	различимы). Док-во на основе моделирования системы машиной		критериям оценки подсистем безопасности в АИС. Порядок
	Тьюринга. 4.Модели распространения прав доступа. 4.1.Модель		использования и применения стандартов защищенности [стандартов
	Харрисона-Руззо-Ульмана (модель HRU).		ИБ]. 1.Определение (получение) функциональных требований к
89	89. Проблема «троянских» программ. 4.Модели распространения		объекту разработки 2.Определение (получение) требований по
	прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU).		уровню (классу) защищенности 3.Составление на основе ГОСТ
	Command "создать файл“ (s2,f): if write ? [s2, o2] ; then		34.201-89 и соотв. Стандарта защищенности ТЗ на разработку
	create object f ; enter "read" into [s2, f ] ; enter		4.Разработка (создание) объекта и реализация требований к
	"write" into [s2, f ] ; enter "execute" into		объекту 5.Оценка соответствия разработанного объекта
	[s2, f ]; if read ? [s1, o2] ; then enter "read" into		установленным требованиям и получение сертификата защищенности
	[s1, f ] ; if write ? [s1, o2] ; then enter "write"		по соотв. классу (уровню). 1.Потребность в объекте в защищенном
	into [s1, f ] ; if execute ? [s1, o2] ; then enter		исполнении (или в СЗИ) 2.Определение (по нормативным
	"execute" into [s1, f ] ; end. Command “запустить		предписаниям или по решению руководителя) требуемого уровня
	файл"(s1, f ): if execute ? [s1, f ] ; then create subject		(класса) защищенности 3.Заказ на разработку или приобретение
	f ' ; enter "read“ into [f ',o1]; enter "read"		готового объекта (продукта) с сертификатом безопасности по
	into [f ',o3]; if write ? [s1,o2] ; then enter “write“ into		соответствующему классу (уровню) 4.Приемка объекта в
	[f',o2]; end. Command “скопировать файл o3 программой f ' в o2“		эксплуатацию (при соотв. нормативных предписаниях аттестация
	(f ',o3, o2): if read ? [f ', o3] and write ? [f ', o2] then		объекта в защищенном исполнении). 1.Получение заявки на
	create object o'; write (f ', o3 , o'); if read ? [s2, o2] ;		сертификацию по определенному классу защищенности 2.Определение
	then enter "read" into [s2,o']; end.		по стандарту защищенности набора требований к объекту оценки
90	90. Расширения модели HRU. Типизованная матрица доступа		3.Разработка на основе ГОСТ 28195-89 и ГОСТ Р 51188-98 Программы
	(Модель TAM) R. Sandhu,1992г. Вводится фиксированное количество		испытаний (исследований) 4.Испытания (исследования) и вынесение
	типов ?k (например, "user"- пользователь,		решения о соответствии объекта заявленному уровню (классу)
	'so"-офицер безопасности и "file"), которым могут		защищенности.
	соответствовать сущности КС (субъекты и объекты). Накладываются	233	233. Сфера действия стандартов ИБ (защищенности) АИС.
	ограничения на условия и соответствие типов в монотонных		Создание. Эксплуатация. Вывод из эксплуа- тации. 1.
	операциях (порождающие сущности) Смягчаются условия на		Стандартизация требований к архитектуре, функциям и критериям
	разрешимость проблемы безопасности. Command ?(x1:?1, x2:?2,…,		оценки подсистем безопасности в АИС. Проектирование. Исполь-
	xk: ?k). Анализ проблем безопасности в модели ТАМ основывается		зование. Админи стиро- вание, сопро вожде- ние. Реализация
	на понятии родительских и дочерних типов. Определение 1. Тип ?k		проектных решений. Внедрение, ввод в эксплуатацию. Международный
	является дочерним типом в команде созда- ния ?(x1:?1, x2:?2,…,		стандарт ISO/IEC 17799-2000. Информационные технологии. Свод
	xk:?k), если и только если имеет место один из следующих		правил по управлению защитой информации. BSI (Германский). РД
	элементарных операторов: "Create subject xk of type		Гостехкомиссии по защите от НСД ГОСТ Р ИСО/МЭК 15408-2002.
	?k" или "Create object xk of type ?k". В		Информационная технология. Методы и средства обеспечения
	противном случае тип ?k является родительским типом. Вводится		безопасности. Критерии оценки безопасности информационных
	Граф отношений наследственности. 4.Модели распространения прав		технологий.
	доступа. 4.2.Модель типизованной матрицы доступа (модель TAM).	234	234. В основе РД от НСД – методология TCSEC (Оранжевая
91	91. Функционирование системы осуществляется через		книга). 2. Показатели защищенности СВТ/СУБД и классификация
	последовательность следующих команд: v – дочерний тип в команде		АС/АИС по требованиям защиты от НСД к информации. Самый высокий
	?, в теле которой имеются еще типы u, w. Т.о. в Графе отношений		уровень защиты. В полном объеме. Средний уровень защиты. Низкий
	наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v). w –		уровень защиты. Незащищенные системы.
	дочерний тип в команде ?, в теле которой имеются еще типы u, v.	235	235. СВТ - совокупность программных и технических элементов
	Т.о. в Графе отношений наследственности возникают дуги (u,w),		систем обработки данных, способных функционировать
	(v,w) и в т.ч. (w,w). u – дочерний тип в команде ?, в теле		самостоятельно или в составе других систем. 2. Показатели
	которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч.		защищенности СВТ/СУБД и классификация АС/АИС по требованиям
	(u,u). 4.Модели распространения прав доступа. 4.2.Модель		защиты от НСД к информации. Схема РД ГосТехКомиссии России. СВТ.
	типизованной матрицы доступа (модель TAM). 0-й шаг – в системе		Защита от НСД к информации. Показатели защищенности от НСД к
	имеется субъект типа u - (s1:u). 1-й шаг. ?(S1:u, s2:w, o1:v):		информации. "Секретно", или собственность государства
	create object o1 of type v ; inter r into [s1, o1] ; create		- не ниже 4-го класса. в т.ч. общесистемные программные
	subject s2 of type w ; inter r' into [s2, o1] ; end. 2-й шаг.		средства, СУБД и ОС с учетом архитектуры ЭВМ. 7-классов
	?(S3:u, o1:v): create subject s3 of type u ; inter r'' into [s3,		защищенности в 4 группы по принципу разграничения доступа.
	o1] ; end.	236	236. 2. Показатели защищенности СВТ/СУБД и классификация
92	92. Теорема 3. Проблема безопасности разрешима для		АС/АИС по требованиям защиты от НСД к информации. Структура
	ацикличных реализаций МTAM. Также, как и в модели HRU,		функциональных требований по защите от НСД к СВТ. Система защиты
	используется понятие монотонной (МTAM) системы, которая не		от НСД к информации в СВТ (подсистемы и функциональные
	содержит примитивных операторов Delete и Destroy. Определение 2.		требования) ГОСТ Р 50739-95.
	Реализация МTAM является ацикличной тогда и только тогда, когда	237	237. 2. Показатели защищенности СВТ/СУБД и классификация
	ее граф отношений наследственности не содержит циклов. 4.Модели		АС/АИС по требованиям защиты от НСД к информации. Структура
	распространения прав доступа. 4.2.Модель типизованной матрицы		требований по классам защищенности СВТ.
	доступа (модель TAM).	238	238. 2. Показатели защищенности СВТ/СУБД и классификация
93	93. Джонс, Липтон, Шнайдер, 1976г. Теоретико-графовая модель		АС/АИС по требованиям защиты от НСД к информации. Схема групп и
	анализа распространения прав доступа в дискреционных системах на		классов защищенности АС от НСД. «Гостайна", или
	основе матрицы доступа. 1.Также как и в модели HRU система		собственность государства - не ниже 3А, 2А, 1А (для 1А с СВТ не
	защиты представляет совокупность следующих множеств: - множество		ниже 2кл.), 1Б (с СВТ не ниже 3 кл.), 1В (с СВТ не ниже 4-го
	исходных объектов O (o1,o2,…,oM) - множество исходных субъектов		кл.). Многопользовательские АС с информацией различного уровня
	S (s1,s2,…,sN), при этом S ? O - множество прав, которые м.б.		конфиденциальности и различным уровнем полномочий пользователей.
	даны субъектам по отношению к объектам (r1,r2,…,rK) ? {t, g}, в		Однопользовательские АС с информацией одного уровня
	том числе с двумя специфическими правами – правом take (t –		конфиденциальности. Многопользовательские АС с информацией
	право брать права доступа у какого-либо объекта по отношению к		различного уровня конфиденциальности и одинако- вым уровнем
	другому объекту) и правом grant (g – право предоставлять права		полномочий пользователей.
	доступа к определенному объекту другому субъекту) множеством E	239	239. 2. Показатели защищенности СВТ/СУБД и классификация
	установленных прав доступа (x, y, ?) субъекта x к объекту y с		АС/АИС по требованиям защиты от НСД к информации. Система защиты
	правом ? из конеч- ного набора прав. При этом сос- тояние		от НСД к информации в АС (подсистемы и функциональные
	системы представляется Графом доступов Г. 4.Модели		требования) ГОСТ Р 51583-2000, РД ГосТехКомиссии. АС. Защита от
	распространения прав доступа. 4.4.Теоретико-графовая модель		НСД к информации. Классификация АС и требования по защите
	TAKE-GRANT.		информации.
94	94. Команда "Брать" – take(?, x, y, z). Команда	240	240. Третья группа. 2. Показатели защищенности СВТ/СУБД и
	«Давать" – grant(?, x, y, z). 2.Состояние системы (Графа		классификация АС/АИС по требованиям защиты от НСД к информации.
	доступов) изменяется под воздействием элементарных команд 4-х		Общая характеристика классов защищенности АС.
	видов. субъект x берет права доступа ? ? ? на объект z у объекта	241	241. Вторая группа. 2. Показатели защищенности СВТ/СУБД и
	y (обозначения: ?с – переход графа Г в новое состояние Г' по		классификация АС/АИС по требованиям защиты от НСД к информации.
	команде c ; x? S; y, z? O). Субъект x дает объекту y право ? ? ?		Общая характеристика классов защищенности АС.
	на доступ к объекту z. 4.Модели распространения прав доступа.	242	242. Первая группа. 2. Показатели защищенности СВТ/СУБД и
	4.4.Теоретико-графовая модель TAKE-GRANT.		классификация АС/АИС по требованиям защиты от НСД к информации.
95	95. Команда "Создать" – create(?, x, y). Субъект x		Общая характеристика классов защищенности АС.
	создает объект y с правами доступа на него ? ? R (y – новый	243	243. Первая группа. 2. Показатели защищенности СВТ/СУБД и
	объект, O'=O ? {y}), в т. Ч. С правами t, или g, или {t, g}.		классификация АС/АИС по требованиям защиты от НСД к информации.
	Команда «Изъять" – remove(?, x, y). Субъект x удаляет права		Общая характеристика классов защищенности АС.
	доступа ? ? ? на объект y. 4.Модели распространения прав	244	244. История создания «Общих критериев». 3. Критерии оценки
	доступа. 4.4.Теоретико-графовая модель TAKE-GRANT.		безопасности информационных технологий. Профили защиты СУБД.
96	96. 3. Безопасность системы рассматривается с точки зрения		1.1990г. начало разработки Раб.гр. 3 Подкомитета 27 Первого
	возможности получения каким-либо субъектом прав доступа к		технического комитета (JTCI\|SC27\|WG3) Международной организации
	определенному объекту (в начальном состоянии Г0 (O0, S0, E0)		по стандартизации (ISO) «Критериев оценки безопасности
	такие права отсутствуют) при определенной кооперации субъектов		информационных технологий» (Eva-luation Criteria for IT
	путем последовательного изменения состояния системы на основе		Security, ECITS) в качестве международного стандарта 2.1993г.
	выполнения элементарных команд. Рассматриваются две ситуации –		начало совместной разработки правительственными организациями
	условия санкционированного, т.е. законного получения прав		Канады, США, Великобритании, Германии, Нидерландов и Франции
	доступа, и условия «похищения» прав доступа. 3.1.		межгосударственного стандарта «Общие критерии оценки
	Санкционированное получение прав доступа. 4.Модели		безопасности информационных технологий» (Common Criteria for IT
	распространения прав доступа. 4.4.Теоретико-графовая модель		Security Evaluation), т.н. «Общие критерии», иди ОК (Common
	TAKE-GRANT. Определение 3. Для исходного состояния системы Г0		Criteria) 3.1998г. опубликование и широкое открытое обсуждение
	(O0, S0, E0) и прав доступа ? ? R предикат "возможен		версии 2.0 ОК и ее принятие в августе 1999г. 4.Принятие и
	доступ(?, x, y, Г0 )" является истинным тогда и только		введение в действие с 1 декабря 1999г. Международного стандарта
	тогда, когда существуют графы доступов системы Г1 (O1, S1, E1),		ISO/IEC 15408 Information technology – Security techniques –
	Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что: Г0 (O0, S0, E0)		Evaluation Criteria for IT Security в 3-х частях: - Part 1:
	?с1 Г1 (O1, S1, E1) ?с2…?сN ГN (ON, SN, EN) и (x, y,?)? EN где		Introduction and general model. – ISO/IEC 15408-1.1999 - Part 2:
	c1, c2, …, cN – команды переходов. Определение 4. Вершины графа		Security functional requirements. – ISO/IEC 15408-2.1999 - Part
	доступов являются tg-связными (соединены tg-путем), если в графе		3: Security assurance requirements. – ISO/IEC 15408-3/1999
	между ними существует такой путь, что каждая дуга этого пути		5.Принятие в 2002г. ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки
	выражает право t или g (без учета направления дуг).		безопасности информационных технологий» на основе идентичного
97	97. Доказательство. Получение прав ? доступа субъектом x у		перевода ISO/IEC 15408-1999 с датой введения с 1 января 2004г.
	субъекта s на объект y при различных вариантах непосредственной		6.2002г. Принятие Руководящего документа ГосТехКомиссии России
	tg-связности. 4.Модели распространения прав доступа.		«Безопасность информационных технологий. Критерии оценки
	4.4.Теоретико-графовая модель TAKE-GRANT. Теорема 4. В графе		безопасности информационных технологий» на основе идентичного
	доступов Г0 (O0, S0, E0) , содержащем только вершины-субъекты,		текста ГОСТ Р ИСО/МЭК 15408-2002.
	предикат "возможен доступ(?, x, y, Г0 )" истинен тогда	245	245. 3. Критерии оценки безопасности информационных
	и только тогда, когда выполняются следующие условия: -		технологий. Профили защиты СУБД. Общая характеристика «Общих
	существуют субъекты s1,…,sm такие, что (si, y, ?i)?E0 для i=1,		критериев». 1. Регламентирует процессы создания и оценки
	…, m и ? =?1 ?…??m. - субъект х соединен в графе Г0 tg-путем с		(сертификации) изделий ИТ по требованиям безопасности 2.Объектом
	каждым субъектом si для i=1, …, m.		оценки (ОО) является продукт ИТ (совокупность средств ИТ,
98	98. 4.Модели распространения прав доступа.		предоставляющих определенные функциональные возможности и
	4.4.Теоретико-графовая модель TAKE-GRANT. Определение 5.		предназначенная для непосредственного использования или
	Островом в произвольном графе доступов Г (O, S, E ) называется		включения в различные системы) или система ИТ (специфическое
	его максимальный tg-связный подграф, состоящий только из вершин		воплощение информационных технологий с конкретным назначением и
	субъектов.		условиями эксплуатации) 3. Рассматривает ОО в контексте всех
99	99. 4.Модели распространения прав доступа.		аспектов среды безопасности, которая в идеологии ОК включает:
	4.4.Теоретико-графовая модель TAKE-GRANT. Теорема 4. В		-законодательную среду (затрагивающую ОО) -административную
	произвольном графе доступов Г0 (O0, S0, E0) предикат		среду (положения политик и программ безопасности, затрагивающие
	"возможен доступ(?, x, y, Г0 )" истинен тогда и только		ОО) -процедурно-технологическую среду (физ.среда, в т.ч. меры
	тогда, когда выполняются условия: - существуют объекты s1,…,sm		физической защиты, персонал и его свойства, эксплуатационные и
	такие, что (si, y, ?i)?E0 для i=1, …, m и ? =?1 ?…??m . -		иные процедуры, связанные с ОО) -программно-техническую среду (в
	существуют вершины-субъекты x1',…,xm' и s1',…,sm' такие, что: --		которой функционирует ОО и его защищаемые активы) 4.
	х = хi' или хi' соединен с x начальным пролетом моста для i=1,		Устанавливает следующую структуру описания аспектов среды
	…, m; -- si = si' или si' соединен с si конечным пролетом моста		безопасности при задании требований безопасности к объекту ОО и
	для i=1, …, m.		его оценки: - предположения безопасности (выделяют ОО из общего
100	100. 3.1. Похищение прав доступа. 4.Модели распространения		контекста, задают границы рассмотрения) - угрозы безопасности
	прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT.		(те, ущерб от которых нуждается в уменьшении, по схеме:
	Определение 9. Для исходного состояния системы Г0 (O0, S0, E0) и		источник, метод воздействия, используемые уязвимости,
	прав доступа ? ? R предикат "возможно похищение(?, x, y, Г0		ресурсы-активы на которые направлены) - положения политики
	)" является истинным тогда и только тогда, когда существуют		безопасности (в совокупности с предположениями безопасности
	графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN		устанавливают точно для системы ИТ или в общих чертах для
	(ON, SN, EN) такие, что: Г0 (O0, S0, E0) ?с1 Г1 (O1, S1, E1)		продукта ИТ все другие аспекты среды безопасности).
	?с2…?сN ГN (ON, SN, EN) и (x, y,?)? EN где c1, c2, …, cN –	246	246. 3. Критерии оценки безопасности информационных
	команды переходов; при этом, если ? (s, y, ?) ? E0, то ? z ? Sj		технологий. Профили защиты СУБД. Общая характеристика «Общих
	, j=0,1,…, N выполняется: c1 ? grant(?, s, z, y).		критериев». Виды требований безопасности к продуктам и системам
101	101. 4.Модели распространения прав доступа.		ИТ. Порядок установления требований безопасности к продуктам и
	4.4.Теоретико-графовая модель TAKE-GRANT. Теорема 4. В		системам ИТ. Каталог (библиотека) требований ко всем возможным
	произвольном графе доступов Г0 (O0, S0, E0) предикат		видам продуктов или систем ИТ (ч.2 ОК). Профили защиты для
	"возможно похищение(?, x, y, Г0 )" истинен тогда и		конкретных видов изделий ИТ- ОС, СУБД, МЭ и т.д (подлежат
	только тогда, когда выполняются условия: - (x, y,?) ? E0. -		сертификации). Задание по безопасности при создании изделия ИТ
	существуют субъекты s1,…,sm такие, что (si, y, ?i)? E0 для i=1,		(является ОО наряду с самим ОО при сертификации ОО). 5.
	…, m и ? =?1 ?…??m - являются истинными предикаты "возможен		Регламентирует виды и порядок установления требований
	доступ(t, x, si, Г0)" для i=1, …, m.		безопасности к изделиям ИТ, порядок и структуру требований к
102	102. Определение 10. Неявным информационным потоком между		оценки реализации установленных требований.
	объектами системы называется процесс переноса информации между	247	247. 3. Критерии оценки безопасности информационных
	ними без их непосредственного взаимодействия (операции Read,		технологий. Профили защиты СУБД. Общая характеристика «Общих
	Write). 4.Модели распространения прав доступа. 4.5.Расширенная		критериев». 6. Регламентирует структуру и виды установления
	(extended) модель TAKE-GRANT.		требований безопасности к изделиям ИТ, порядок и структуру
103	103. 2.Состояние Графа доступов изменяется под воздействием		требований к оценки реализации установленных требований в
	элементарных команд 6-х видов (т.н. команды де-факто). Имеется		идеологии степени доверия на основе ранговой шкалы оценки к
	неявная возможность передачи (записи) [конфиденциальной]		реализации требований по безопасности Устанавливается 7 уровней
	информации из объекта y субъекту x, когда тот осуществляет		доверия (7-й – наивысший). Сертификаты с 1-го по 4-й признаются
	доступ r к объекту y. Имеется неявная возможность получения		всеми странами-участниками «Клуба ИСО 15408». Сертификаты
	(чтения) объектом y [конфиденциальной] информации от субъекта		5-го-7-го уровней требуют подтверждения в национальных системах
	x], когда тот осуществляет доступ w к объекту y. 4.Модели		сертификации. 7.На основе утвержденных ПЗ разрабатываются
	распространения прав доступа. 4.5.Расширенная (extended) модель		(создаются) продукты ИТ и оцениваются на соответствие
	TAKE-GRANT.		требованиям безопасности. Оценка производится на основе
104	104. 4.Модели распространения прав доступа. 4.5.Расширенная		применения т.н. оценочных уровней доверия (ОУД – ОУД1,
	(extended) модель TAKE-GRANT. Субъект x получает возмож-ность		ОУД2,…,ОУД7)), представленных в стандарте. ОУД включают методы и
	чтения информации от (из) другого субъекта z, осуществляя доступ		содержание процедур по оценки объектов: ОУД1 – предусматривает
	r к объекту y, к которому субъект z осуществляет доступ w, а		функциональное тестирование ОУД2 – предусматривает структурное
	субъект z, в свою очередь, получает возможность записи своей		тестирование ОУД3 – предусматривает методическое тестирование и
	информации в субъект x. Субъект x получает возмож-ность чтения		проверку ОУД4 – предусматривает методическое проектирование,
	информации из объекта z, осуществляя доступ r к субъекту y,		тестирование и просмотр ОУД5 – предусматривает полуформальное
	который, в свою очередь, осуществляет доступ r к объекту z, при		проектирование и тестирование ОУД6 – предусматривает
	этом также у субъекта x возникает возможность записи к себе		полуформальную верификацию проекта и тестирование ОУД7 –
	информации из объекта z.		предусматривает формальную верификацию проекта и тестирование
105	105. 4.Модели распространения прав доступа. 4.5.Расширенная		Содержание требований по ОУД основывается на совокупности т.н.
	(extended) модель TAKE-GRANT. Субъект x получает неявн.		компонент доверия, объединяемых в 4 семейства гарантированности,
	Возможность передачи (записи) конф. Информации в объект z,		из которых, в свою очередь, складываются 7 классов
	осуществляя доступ w к субъекту y, который, в свою очередь,		гарантированности (гарантированность по управлению
	осуществляет доступ w к объекту z, при этом также у субъекта z		конфигурацией, по поставкам и эксплуатации, по разработке, по
	возникает неявн. Возможность чтения конф. Информации из субъекта		руководствам, по поддержке жизненного цикла, по тестированию, по
	x. При осуществлении субъек-том y доступа r к объекту z		оценке уязвимостей).
	возникает неявная возмож-ность внесения из него конф. Информации	248	248. Иерархическая структура функциональных требований
	в другой объект x, к которому субъект y осуществляет дос-туп w,		безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2). 3. Критерии
	и, кроме того, возни-кает возможность получе-ния информации		оценки безопасности информационных технологий. Профили защиты
	(чтения) объектом x из объекта z.		СУБД. 11 классов, в каждом классе от 2-х до 16-ти семейств.
106	106. 3. Анализ возможности возникновения неявного	249	249. 3. Критерии оценки безопасности информационных
	информационного канала (потока) между двумя произвольными	249	технологий. Профили защиты СУБД.
	объектами (субъек-тами) x и y системы осуществляется на основе	250	250. Иерархическая структура функциональных требований
	поиска и построе-ния в графе доступов пути между x и y,		безопасности ИТ (ГОСТ Р ИСО/МЭК 15408-2002. Ч.2). 3. Критерии
	образованного мнимы-ми дугами, порождаемыми применением команд		оценки безопасности информационных технологий. Профили защиты
	де-факто к различным фрагментам исходного Графа доступов.		СУБД. 8. Выделяют: -классы, соответствующие элементарным
	4.Модели распространения прав доступа. 4.5.Расширенная		сервисам безопасности (FAU-аудит безопасности,
	(extended) модель TAKE-GRANT. - При допущении возможности или		FIA-идентификация/аутентификация, FRU-использование ресурсов)
	при наличии достоверных фактов о состоявшемся неявном		-производные классы, реализуемые на основе элементарных
	информационном потоке от одного объекта(субъекта) к другому		(FCO-связь, FPR-приватность) -классы, направленные на достижение
	объекту(субъекту), анализировать и выявлять круг возможных		высокоуровневых целей безопасности (FDP-защита данных
	субъектов-"заговорщиков" несанкционированного		пользователя, FPT-защита функций безопасности ОО) -классы,
	информационного потока. - для какой-либо пары объектов		играющие инфраструктурную роль (FCS-криптографическая поддержка,
	(субъектов) осуществлять анализ не только возможности неявного		FMT-управление безопасностью, FTA-доступ к ОО, FTP-доверенный
	информационного потока, но и количественных характеристик по		маршрут-канал) 9. Функциональные компоненты м.б.
	тому или иному маршруту: возможно взвешивание мнимых дуг на		самодостаточными или нуждаться в привлечении других компонент,
	Графе доступов посредством оценки вероятности их возникновения		что отражается в связях между компонентами. Включение в ПЗ
	возможны количественные сравнения различных вариантов		компонента требует включения и компонент по установленным
	возникновения неявного потока по длине пути на Графе доступов. -		зависимостям.
	Оптимизировать систему назначений доступа по критериям	251	251. Классы функциональных требований безопасности ИТ (ГОСТ
	минимизации возможных неявных информационных потоков.		Р ИСО/МЭК 15408-2002. Ч.2). 3. Критерии оценки безопасности
107	107. Достоинства дискреционных моделей. Недостатки		информационных технологий. Профили защиты СУБД.
	дискреционных моделей. Хорошая гранулированность защиты		Отказоустойчивость (FRU_FLT) Приоритет обслуживания (FRU_PRS)
	(позволяют управлять доступом с точностью до отдельной операции		Распределение ресурсов (FRU_RSA). Доверенный канал передачи
	над отдельным объектом) Простота реализации. Слабые защитные		между ФБО (FTP_ITC) Доверенный маршрут (FTP_TRP). Класс FAU.
	характеристики из-за невозможности для реальных систем выполнять		Аудит безопасности (6 семейств). Класс FCO. Связь (2 семейства).
	все ограничения безопасности Проблема "троянских		Автоматическая реакция аудита безопасности (FAU_ARP) Генерация
	коней" Сложности в управлении доступом из-за большого		данных аудита безопасности (FAU_GEN) Анализ аудита безопасности
	количества назначений прав доступа.		(FAU_SAA) Просмотр аудита безопасности (FAU_SAR) Выбор событий
108	Лекция 2.2. Модели безопасности на основе мандатной		аудита безопасности (FAU_SEL) Хранение данных аудита
	политики. Тема 2. Модели безопасности компьютерных систем. ?		безопасности (FAU_STG). Класс FCS. Криптографическая поддержка
	Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность»		(2 семейства). Неотказуемость отправления (FCO_NRO)
	ОПД.Ф.10 "Теоретические основы компьютерной		Неотказуемость получения (FCO_NRR). Класс FDP. Защита данных
	безопасности" Презентация предназначена для отработки и		пользователя (13 семейств). Управление криптографическими
	закрепления лекционного материала студентами группы КБ МатМех		ключами (FCS_CKM) Криптографические операции (FCS_COP). Класс
	УрГУ. Распространение и передача презентации третьим лицам		FIA. Идентификация и аутентификация (6 семейств). Ограничение
	запрещается.		области выбираемых атрибутов (FTA_LSA) Ограничение на
109	1.Общая характеристика моделей полномочного (мандатного)		параллельные сеансы (FTA_MCS) Блокирование сеанса (FTA_SSL)
	доступа 2.Модель Белла-ЛаПадулы 3.Расширения модели		Предупреждения перед предоставлением доступа к ОО (FTA_TAB)
	Белла-ЛаПадулы. Учебные вопросы: 109. Литература: 1. Зегжда		История доступа к ОО (FTA_TAH) Открытие сеанса с ОО (FTA_TSE).
	Д.П.,Ивашко А.М. Основы безопасности информационных систем. -		Класс FMT. Управление безопасностью (6 семейств). Отказы
	М.:Горячая линия - Телеком, 2000. - 452с 2. Грушо А.А.,Тимонина		аутентификации (FIA_AFL) Определение атрибутов пользователя
	Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. -		(FIA_ATD) Спецификация секретов (FIA_SOS) Аутентификация
	192с 3.Прокопьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в		пользователя (FIA_UAU) Идентификация пользователя (FIA_UID)
	теоретические основы компьютерной безопасности : Уч. пособие.		Связывание пользователь-субъект (FIA_USB). Класс FPR.
	М., 1998.- 184с. 11.Девянин П.Н. Модели безопасности		Приватность (4 семейства). Управление отдельными функциями ФБО
	компьютерных систем: Учеб. пособие. – М.: Изд.центр «Академия»,		(FMT_MOF) Управление атрибутами безопасности (FMT_MSA)
	2005. – 144 с.		Управление данными ФБО (FMT_MTD) Отмена (FMT_REV) Срок действия
110	110. Основаны: на субъектно-объектной модели КС на правилах		атрибута безопасности (FMT_SAE) Роли управления безопасностью
	организации секретного делопроизводства принятых в гос.		(FMT_SMR). Класс FPT. Защита функций безопасности объекта (16
	учреждениях многих стран. Гл. задача: не допустить утечки		семейств). Анонимность (FPR_ANO) Псевдонимность (FPR_PSE)
	информации из документов с высоким грифом секретности к		Невозможность ассоциации (FPR_UNL) Скрытность (FPR_UNO). Класс
	сотрудникам с низким уровнем допуска. 1. Общая характеристика		FRU. Использование ресурсов (3 семейства). Класс FTA. Доступ к
	моделей мандатного доступа.		ОО (6 семейств). Класс FTP. Доверенный маршрут / канал (2
111	111. Основные положения моделей мандатного доступа. Вводится		семейства). Политика управления доступом (FDP_ACC) Функции
	система "уровней безопасности" – решетка с оператором		управления доступом (FDP_ACF) Аутентификация данных (FDP_DAU)
	доминирования. Устанавливается функция (процедура) присваива-ния		Экспорт данных за пределы действия ФБО (FDP_ETC) Политика
	субъектам и объектам уровней безопасности. Управление и контроль		управления информационными потоками (FDP_IFC) Функции управления
	доступом субъектов к объектам производится на основе двух		информационными потоками (FDP_IFF) Импорт данных из-за пределов
	правил: 1.Запрет чтения вверх (no read up - NRU) - субъект не		действия ФБО (FDP_ITC) Передача в пределах ОО (FDP_ITT) Защита
	может читать объект с уровнем безопасности, большим своего		остаточной информации (FDP_RIP) Откат (FDP_ROL) Целостность
	уровня безопасности. 1. Общая характеристика моделей мандатного		хранимых данных (FDP_SDI) Защита конфиденциальности данных
	доступа.		пользователя при передаче между ФБО (FDP_UCT) Защита целостности
112	112. 2.Запрет записи вниз (no write down - NWD) - субъект не		данных пользователя при передаче между ФБО (FDP_UIT).
	может писать информацию в объект, уровень безопасности которого		Тестирование базовой абстрактной машины (FPT_AMT) Безопасность
	ниже уровня безопасности самого субъекта (т.н. *-свойство). Для		при сбое (FPT_FLS) Доступность экспортируемых данных ФБО
	управления (разграничения) доступом к объектам одного уровня		(FPT_ITA) Конфиденциальность экспортируемых данных ФБО (FPT_ITC)
	конфиденциальности используют дискреционный принцип, т.е.		Целостность экспортируемых данных ФБО (FPT_ITI) Передача данных
	дополнительно вводят матрицу доступа. Т.О. В моделях мандатного		ФБО в пределах ОО (FPT_ITT) Физическая защита ФБО (FPT_PHP)
	доступа устанавливается жесткое управление доступом с целью		Надежное восстановление (FPT_RCV) Обнаружение повторного
	контроля не столько операций, а потоков между сущностям с разным		использования (FPT_RPL) Посредничество при обращениях (FPT_RVM)
	уровнем безопасности. 1. Общая характеристика моделей мандатного		Разделение домена (FPT_SEP) Протокол синхронизации состояний
	доступа.		(FPT_SSP) Метки времени (FPT_STM) Согласованность данных ФБО
113	113. Решетка уровней безопасности ?L. - алгебра (L, ?, ?,		между ФБО (FPT_TDC) Согласованность данных ФБО при дублировании
	?), где L – базовое множество уровней безопасности ? – оператор		в пределах ОО (FPT_TRC) Самотестирование ФБО (FPT_TST).
	доминирования, определяющий частичное нестрогое отношение	252	252. 3. Критерии оценки безопасности информационных
	порядка на множестве L. Отношение, задаваемое ? , рефлексивно,		технологий. Профили защиты СУБД. Классификация изделий ИТ,
	антисимметрично и транзитивно: ? l ? L: l ? l ; ? l1, l2 ? L:		функциональные пакеты ТБ. Изделия ИТ. … Операционные системы.
	(l1 ? l2 ? l2 ? l1) ? l1 ? l2 ; ? l1, l2, l3 ? L: (l1 ? l2 ? l2		Субд. Мэ. Одноуровневые ОС. Многоуровневые ОС. ОС реального
	? l3) ? l1 ? l3 ; ? – оператор, определяющий для любой пары l1,		времени. - для каждого типа изделий ИТ формируется семейство
	l2 ? L наименьшую верхнюю границу - l1? l2 ? l ? l1, l2? l ??		профилей защиты. - для каждого типа (семейства профилей защиты)
	l'?L: (l' ? l) ? (l' ? l1 ? l' ? l2) ? – оператор, определяющий		из всего полного каталога ФТБ (ч.2 ОК) формируется базовый
	для любой пары l1, l2 ? L наибольшую верхнюю границу - l1 ? l2 ?		функцио-нальный пакет требований безопасности (БФПТБ семейства).
	l ? l ? l1, l2 ?? l'? L:(l' ? l1 ? l' ? l2) ? (l' ? l). 1. Общая		- для каждой группы из БФПТБ семейства с дополнением ФТБ из
	характеристика моделей мандатного доступа.		общего каталога ФТБ (ч.2 ОК) формируется функциональный пакет
114	114. Функция уровня безопасности FL: X? L. - однозначное		требований безопасности группы (ФПТБ группы) - БФПТБ семейства ?
	отображение множества сущностей КС X = S ? O во множество		ФПТБ группы. Исходя из специфики целей применения, особен-ностей
	уровней безопасности L решетки ?L . Обратное отображение FL-1: L		конфигурации, технологии обработки информации и др.
	? X задает разделение всех сущностей КС на классы безопасности	253	253. 3. Критерии оценки безопасности информационных
	Xi, такие что: X1 ? X2 ? …? XN = X , где N - мощность базового		технологий. Профили защиты СУБД. Классы защищенности и пакеты
	множества уровней безопасности L; Xi ? Xj ? ? , где i ? j; ? x'?		требований доверия без-ти. Ценность защищаемых активов
	Xi ? fL(x')= li , где li ? L. 1. Общая характеристика моделей		(информации). Класс защищенности 1. Класс защищенности 2. Класс
	мандатного доступа.		защищенности 3. Класс защищенности 4. Базовый пакет доверия
115	115. Система защиты - совокупность - множества субъектов S -		класса 1. Базовый пакет доверия класса 2. Базовый пакет доверия
	множества объектов O - множества прав доступа R (в исх. виде		класса 3. Базовый пакет доверия класса 4.
	всего два элемента - read и write) - матрицы доступа A[s,o] -	254	254. 3. Критерии оценки безопасности информационных
	решетки уровней безопасности L субъектов и объектов (допуска и		технологий. Профили защиты СУБД. Формирование функциональных
	грифы секретности) - функции уровней безопасности fL,		требований безопасности и требований доверия к безопасности при
	отображающей элементы множеств S и O в L - множества состояний		разработке Профиля защиты. Общая схема формирования требований
	системы V, которое опре- деляется множеством упорядоченных пар		безопасности к изделиям и системам ИТ.
	(fL,A) - начального состояния v0 - набора запросов Q субъектов к	255	255. 3. Критерии оценки безопасности информационных
	объектам, выполне- ние которых переводит систему в новое		технологий. Профили защиты СУБД. Общая схема формирования
	состояние - функции переходов FT : (V x Q) ? V, которая		Профиля защиты.
	переводит систему из одного состояния в другое при выполнении	256	256. 3. Критерии оценки безопасности информационных
	запросов. 2. Модель Белла-ЛаПадулы. D.Elliott Bell, Leonard		технологий. Профили защиты СУБД. Организационный порядок
	J.LaPadula, 1973-75.		разработки профиля защиты.
116	116. Белл и ЛаПадула ввели следующее определение безопасного	257	257. 3. Критерии оценки безопасности информационных
	состояния системы. Система ?(v0 , Q, FT) безопасна тогда и		технологий. Профили защиты СУБД. Структура и содержание Профиля
	только тогда, когда ее начальное состояние v0 безопасно и все		защиты. 1. Введение 1.1. Идентификация ПЗ 1.2. Аннотация ПЗ 2.
	состояния, достижимые из v0 путем применения конечной		Описание изделия ИТ 3. Среда безопасности изделия ИТ 3.1.
	последовательности запросов из Q безопасны. 1. Состояние		Предположения безопасности 3.2. Угрозы 3.3. Политика
	называется безопасным по чтению (или просто безопасным) тогда и		безопасности организации 4. Цели безопасности 4.1. Цели
	только тогда, когда для каждого субъекта, осуществляющего в этом		безопасности для изделия ИТ 4.2. Цели безопасности для среды
	состоянии доступ чтения к объекту, уровень безопасности этого		изделия ИТ 5. Требования безопасности изделия ИТ 5.1.
	субъекта доминирует над уровнем безопасности этого объекта:		Функциональные требования безопасности изделия ИТ 5.2.
	?s?S, ?o?O, read ? А[s,o]?fL(s)?fL(o). 2. Состояние называется		Требования доверия к безопасности изделия ИТ 5.3. Требования
	безопасным по записи (или *-безо- пасным) тогда и только тогда,		безопасности для среды изделия ИТ 6. Замечания по применению
	когда для каждого субъекта, осуществляющего в этом состоянии		(необязательный) 7. Обоснование 7.1. Обоснование целей
	доступ записи к объекту, уровень безопасности объекта доминирует		безопасности 7.2. Обоснование требований безопасности.
	над уровнем безопасности этого субъекта: ?s?S, ?o?O, write ?	258	258. 3. Критерии оценки безопасности информационных
	А[s,o]?fL(o)?fL(s). 3. Состояние безопасно тогда и только тогда,		технологий. Профили защиты СУБД. Структура и содержание профиля
	когда оно безопасно и по чтению, и по записи. На основе		защиты. 1. Введение 1.1.Идентификация ПЗ а) ключевые слова; б)
	определений 1,2 и 3 критерий безопасности: 2. Модель		оценочный уровень доверия (ОУД), если он применяется в ПЗ; в)
	Белла-ЛаПадулы.		утверждение о соответствии версии ОК; г) состояние оценки ПЗ.
117	117. Теорема ОТБ. Система ?(v0,Q, FT) безопасна тогда и		1.2.Анотация ПЗ резюме по высокоуровневому обзору проблемы
	только тогда, когда: 1.Состояние v0 безопасно 2.Функция		безопасности, которая подлежит решению в ПЗ, и краткий обзор ее
	переходов FT такова, что любое состояние v, достижимое из v0 при		решения в ПЗ Профили защиты, с которыми связан рассматриваемый
	выполнении конечной последовательности запросов из множества Q,		профиль, и другие документы, на которые ссылается
	также безопасно 3.Если при FT(v,q)=v, где v=(fL , A) и v=(fL*,		(необязательный подраздел) Структура и организация профиля
	A*), переходы системы из состояния в состояние подчиняются		защиты (необязательный подраздел) 2. Описание изделия ИТ а) тип
	следующим ограничениям для ?s?S и для ?o?O: - если read ?A*[s,o]		продукта ИТ; б) основные функциональные возможности ОО; в)
	и read ?A[s,o], то fL(s)?fL(o) - если read ?A[s,o] и		границы ОО (необязательная информация); г) среда
	fL(s)<fL(o), то read ?A[s,o] - если write ?A[s,o] и write		функционирования ОО (необязательная информация).
	?A[s,o], то fL(s)?fL(o) - если write ?A[s,o] и	259	259. 3. Критерии оценки безопасности информационных
	fL(o)<fL(s), то write ?A*[s,o]. Белла и ЛаПадула доказали		технологий. Профили защиты СУБД. Структура и содержание профиля
	т.н. Основную теорему безопасности: 2. Модель Белла-ЛаПадулы.		защиты. 3. Среда безопасности изделия ИТ 3.1. Предположения
	Правила доступа и ограничения NRU и NWD должны работать		безопасности а) предположения относительно предопределенного
	независимо от предыстории конкретных объектов и субъектов. При		использования изделия ИТ; б) предположения, связанные с защитой
	переходе в новое состояние не возникает никаких новых и не		любой части изделия ИТ со стороны среды (например, физическая
	сохраняется никаких старых отношений доступа, которые		защита); в) предположения связности (например, межсетевой экран
	небезопасны по отношению к функции уровня безопасности нового		должен быть единственным сетевым соединением между частной
	состояния.		(защищаемой) и внешней (потенциально враждебной) сетью); г)
118	118. Достоинства модели Белла-ЛаПадулы: Недостатки модели		предположения, имеющие отношение к персоналу (например,
	Белла-ЛаПадулы: ясность и простота реализации отсутствие		предполагаемые пользовательские роли, основные обязанности
	проблемы "Троянских коней" (контролируется		(ответственность) пользователей и степень доверия этим
	направленность потоков, а не взаимоотношения конкретного		пользователям). 3.2. Угрозы идентификация угроз (идентификация
	субъекта с конкретным объектом, поэтому недекларированный поток		защищаемых активов, источников угроз, методов нападения)
	троянской программы «сверху-вниз» будет считаться опасным и		спецификация угроз по соответствующим идентифицированным
	отвергнут МБО) каналы утечки не заложены в саму модель, а могут		аспектам 3.3. Политика безопасности организации совокупность
	возникнуть только в практической реализации. 2. Модель		правил, процедур, практических приемов или руководящих принципов
	Белла-ЛаПадулы. возможность ведения операций доступа (Delete),		в области безопасности, которыми руководствуется организация в
	не влияющих с т.зр. модели на безопасность, которые тем не менее		своей деятельности а) идентификация применяемых правил
	могут привести к потери данных проблема Z-системы (Мак-Лин) -		управления информационными потоками; б) идентификация
	такая система, в которой при запросе все сущности м.б.		применяемых правил управления доступом; в) определение правил
	деклассифицированы до самого низкого уровня и тем самым м.б.		ПБОр для аудита безопасности; г) решения, предписанные
	осуществлен любой доступ (в модели не заложены принципы и		организацией, например, использование определенных
	механизмы классификации объектов) отсутствие в модели доверенных		криптографических алгоритмов или следование определенным
	субъектов-администраторов Типовые действия администраторов		стандартам. Каждое предположение, угроза, правило ПБОр д. иметь
	(создание пользователей, установление их полномочий и т.д.) не		уникальную метку.
	могут ни приводить к нарушениям безопасности с т.зр. модели	260	260. 3. Критерии оценки безопасности информационных
	Белла-ЛаПадулы.		технологий. Профили защиты СУБД. Структура и содержание профиля
119	119. Безопасная функция перехода (Мак-Лин). Функция перехода		защиты. 4. Цели безопасности 4.1. Цели безопасности для изделия
	FT(v,q)=v* безопасна по чтению когда: 1. Если read ?A*[s,o] и		ИТ (ответственность за противостояние угрозам и следование ПБОр,
	read ?A[s,o], то fLs(s)?fLo(o) и fL=fL* 2. Если fLs?fLs*, то		промежуточный этап формирования требований безопасности ИТ) Три
	A=A, fLo=fLo , для ?s и o, у которых fLs(s)<fLo(o), -		типа целей безопасности для ОО: а) цели предупредительного
	read ?A[s,o] 3. Если fLo?fLo, то A=A, fLs=fLs* , для ?s и o, у		характера, направленные либо на предотвращение реализации угроз,
	которых fLs(s)<fLo(o), - read ?A[s,o]. Функция перехода FT		либо на перекрытие возможных путей реализации данных угроз; б)
	(v,q)=v* безопасна по записи когда: 1.Если write ?A*[s,o] и		цели обнаружения, определяющие способы обнаружения и постоянного
	write ?A[s,o],то fLo(o)?fLs(s) и fL=FL* 2. Если fLs?fLs*, то		мониторинга событий, оказывающих влияние на безопасное
	A=A, fLo=fLo , для ?s и o, у которых fLs(s)>fLo(o), -		функционирование ОО; в) цели реагирования, определяющие
	write ?A[s,o] 3. Если fLo?fLo, то A=A, fLs=fLs* , для ?s и o,		необходимость каких-либо действий ОО в ответ на потенциальные
	у которых fLs(s)>fLo(o), - write ?A[s,o]. 3. Расширения		нарушения безопасности или другие нежелательные события, с целью
	модели Белла-ЛаПадулы. Нельзя изменять одновременно более одного		сохранения или возврата ОО в безопасное состояние и/или
	компонента состояния системы. Можно: -либо ввести новое		ограничения размера причиненного ущерба. Требования: а) учет
	отношение доступа -либо изменить уровень субъекта -либо изменить		каждой идентифицированной угрозы, направленной против изделия
	уровень объекта. Гарантии безопасности в процессе осуществления		ИТ, по крайней мере, одной целью безопасности для изделия ИТ; б)
	переходов между состояниями.		учет каждого правила идентифицированной ПБОр, которому должно
120	120. Теорема безопасности Мак-Лина. Система безопасна в		удовлетворять изделие ИТ, по крайней мере, одной целью
	любом состоянии и в процессе переходов между ними, если ее		безопасности для изделия ИТ 4.2. Цели безопасности для среды
	начальное состояние безопасно, а функция перехода удовлетворяет		изделия ИТ (ответст-ть за достиж-е которых возлаг-ся на
	критерию безопасности Мак-Лина. Критерий безопасности Мак-Лина		ИТ-среду, а также связанные с реализацией в пределах среды
	для функции перехода. Функция перехода FT(v,q)=v* является		функцион-я изделия ИТ организационных и других нетехнических
	безопасной тогда и только тогда, когда она изменяет только один		мер) а) противостояние угрозам (или отд-м аспектам угроз),
	из компонентов состояния и изменения не приводят к нарушению		которым изд-е ИТ не против-т; б) поддержку реализации правил
	безопасности системы. Но! Нет контроля самого процесса изменения		ПБОр, которые не удовлетворены или не полностью удовлетворены
	уровней безопасности сущностей в процессе осуществления		изделием ИТ; в) поддержку идентифицированных целей безопасности
	переходов. 3. Расширения модели Белла-ЛаПадулы.		для изделия ИТ в плане противостояния угрозам и реализации
121	121. Уполномоченные (доверенные) субъекты (Мак-Лин).		соответствующих правил ПБОр; г) поддержку идентифицированных
	Соответственно функция переходов системы ?(v0,Q, FTа) – FTа		предположений о среде.
	приобретает дополнительный параметр авторизации. Функция	261	261. 3. Критерии оценки безопасности информационных
	перехода FTа(v,s,q) в модели с называется авторизованной тогда и		технологий. Профили защиты СУБД. Структура и содержание профиля
	только тогда, когда для каждого перехода FTа(v,s,q)=v* , при		защиты. 5. Требования безопасности изделия ИТ 5.1.
	котором: для ?x?S?O: если fL(x) ? fL(x), то s?С(S). Система		Функциональные требования безопасности изделия ИТ Определяют
	?(v0,Q, FTa) c доверенными субъектами безопасна если :		требования для функций безопасности, обеспечивающих достижение
	1.Начальное состояние v0 безопасно и все достижимые состояния		целей безопасности для изделия ИТ Выбирают из ч.2 ОК, при
	безопасны по критерию Белла-ЛаПадулы 2.Функция переходов FTа		наличии из ФПТБ группы Различают (необязательно) следующие два
	является авторизованной. В базовую модель дополнительно вводится		типа ФТБ: а) основные ФТБ, непосредственно удовлетворяющие
	подмножество доверенных субъектов, которым (и только им)		конкретные цели безопасности для изделия ИТ; б) поддерживающие
	разрешается инициировать переходы с изменениями уровней		ФТБ, не предназначенные для непосредственного удовлетворения
	безопасности сущностей системы – С(S). 3. Расширения модели		целей безопасности для изделия ИТ, но способствующие выполнению
	Белла-ЛаПадулы.		основных ФТБ и, тем самым, косвенным образом способствующие
122	122. Другие расширения модели Белла-ЛаПадулы. Модель		удовлетворению целей безопасности для изделия ИТ. 5.2.
	Low-WaterMark. Модель совместного доступа. Вводится		Требования доверия к безопасности изделия ИТ Определяют
	дополнительная операция reset(s,o), которая повышает до		требуемый уровень уверенности в надлежащей реализации ФТБ.
	максимального уровень безопасности объекта при условии		Выбираются из ч.3 ОК, БПДК в зависимости от: а) ценности
	F(s)>F(o). В результате субъекту м.б. доступен по write любой		активов, подлежащих защите, и осознаваемого риска их
	объект. Модифицируется write(s,o) Если при операции write		компрометации; б) технической реализуемости; в) стоимости
	уровень объекта выше уровня субъекта то: - происходит понижение		разработки и оценки; г) требуемого времени для разработки и
	уровня безопасности объекта до уровня безопасности субъекта; -		оценки изделия ИТ; д) требований рынка (для продуктов ИТ); е)
	перед внесением новой старая информация в объекте стирается		зависимостей функциональных компонентов и компонентов доверия к
	(чтобы потом нельзя было прочесть). Доступ к определенной		безопасности. 5.3. Требования безопасности для среды изделия ИТ
	информации или модификация ее уровня безопасности может		определяют функциональные требования и требования доверия к
	осуществляться только в результа-те совместных действий		безопасности, выполнение которых возлагается на ИТ-среду (то
	нескольких пользователей (т.е. только в результате группового		есть, на внешние по отношению к изделию ИТ аппаратные,
	доступа- z.b. гриф секретности документа м.б. изменен только		программные или программно-аппаратные средства) с тем, чтобы
	совместными действиями владельца-исполнителя и администратора		обеспечить достижение целей безопасности для изделия ИТ.
	безопасности ). В матрице доступа вводятся групповые объекты и	262	262. 3. Критерии оценки безопасности информационных
	др. 3. Расширения модели Белла-ЛаПадулы.		технологий. Профили защиты СУБД. Структура и содержание профиля
123	123. Другие недостатки модели Белла-ЛаПадулы. Тем не менее		защиты. 7. Обоснование 7.1. Обоснование целей безопасности
	модель Белла-ЛаПадулы оказала сильное влияние на развитие		Демонстрация соответствия целей безопасности идентифицированным
	моделей безопасности и стандартов защищенности КС. возможность		угрозам может быть выполнена следующим образом: а) в виде
	скрытых каналов утечки - механизм, посредством которого субъект		таблицы, показывающей, какие цели безопасности каким угрозам
	с высоким уровнем безопасности м. предоставить определенные		соответствуют (например, угрозе Т3 соответствует цель О3); при
	аспекты конфиденциальной информации субъекту, уровень		этом необходимо обеспечить соответствие каждой цели
	безопасности которого ниже уровня безопасности конф. информации		безопасности, по крайней мере, одной угрозе; б) логическим
	проблема удаленного доступа. В распределенных системах		обоснованием того, что цели безопасности противостоят угрозам
	осуществление доступа всегда сопровождается потоком информации в		7.2. Обоснование требований безопасности Демонстрацию
	прямом и обратном направлении, что результате может приводить к		соответствия ФТБ целям безопасности для ОО можно представить
	нарушениям привил NRU и NWD проблема избыточности прав доступа.		следующим образом: а) в виде таблицы, показывающей, какие ФТБ
	Без учета матрицы доступа (т.е. без использования дискреционного		какие цели безопасности удовлетворяют (например, компоненты
	доступа) мандатный принцип доступа организует доступ более		FRU_RSA.1 и FTP_MCS.1 соответствуют цели безопасности O3), при
	жестко, но и более грубо, без учета потребностей конкретных		этом необходимо обеспечить соответствие каждого ФТБ, по крайней
	пользователей-субъектов. 3. Расширения модели Белла-ЛаПадулы.		мере, одной цели безопасности; б) логическим обоснованием
124	Лекция 2.3. Модели безопасности на основе тематической		соответствия ФТБ целям безопасности.
	политики. Тема 2. Модели безопасности компьютерных систем. ?	263	263. 3. Критерии оценки безопасности информационных
	Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность»	263	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	ОПД.Ф.10 "Теоретические основы компьютерной	264	264. 3. Критерии оценки безопасности информационных
	безопасности" Презентация предназначена для отработки и	264	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	закрепления лекционного материала студентами группы КБ МатМех	265	265. 3. Критерии оценки безопасности информационных
	УрГУ. Распространение и передача презентации третьим лицам	265	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	запрещается.	266	266. 3. Критерии оценки безопасности информационных
125	1.Общая характеристика тематического разграничения доступа	266	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	2.Тематическая решетка мультирубрик иерархического рубрикатора	267	267. 3. Критерии оценки безопасности информационных
	3.Модели тематико-иерархического разграничения доступа. Учебные	267	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	вопросы: 125. Литература: 1. Гайдамакин Н.А. Разграничение	268	268. 3. Критерии оценки безопасности информационных
	доступа к информации в компьютерных системах. - Екатеринбург:	268	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	Изд-во Урал. Ун-та, 2003. – 328 с.	269	269. 3. Критерии оценки безопасности информационных
126	126. Политика тематического разграничения доступа.	269	технологий. Профили защиты СУБД. Пример разделов ПЗ СУБД.
	1.Множество субъектов и объектов доступа X = S ? O тематически	270	Лекция 3.2. Теоретико-графовые модели комплексной оценки
	классифицируются. 1.Общая характеристика тематического		защищенности КС. Тема 3. Методы анализа и оценки защищенности
	разграничения доступа.		компьютерных систем. ? Гайдамакин Н.А., 2008г. ГОС 075200
127	127. 2. Три способа тематичес-кой классификации -		«Компьютерная безопасность» ОПД.Ф.10 "Теоретические основы
	дескрипторная - иерархическая -- монорубрицированная --		компьютерной безопасности" Презентация предназначена для
	мультирубрицированная - фасетная. Дескрипторная тематичес-кая		отработки и закрепления лекционного материала студентами группы
	классифи-кация. 1.Общая характеристика тематического		КБ МатМех УрГУ. Распространение и передача презентации третьим
	разграничения доступа.		лицам запрещается.
128	128. Иерархическая тематическая классификация. 1.Общая	271	271. КС представляется трехдольным графом G(P,O,Z,E,H):
128	характеристика тематического разграничения доступа.		Специфицируют политику комплексного использования и применения
129	129. Политика тематического разграничения доступа.		защитных механизмов и анализа защищенности КС на основе
	3.Недопустимы доступы (вызывающие опасные потоки) - от сущностей		теоретико-графового подхода. Модель системы с полным перекрытием
	x1 с более широкой тематикой к сущностям x2 с более узкой		– на каждую угрозу есть нейтрализующее СЗИ. 1. Модели
	тематикой (x1 ? x2) F[x1] ? F[x2] - между сущностями x1 и x2 с		комплексной оценки защищенности КС.
	несравнимой тематикой (x1? x2) F [x2] ? ? F [x2]. 1.Общая	272	272. Каждое ребро графа G(P,O,Z,E,H) специфицирует
	характеристика тематического разграничения доступа.		воздействие конкретной угрозы на конкретный объект. От каждой
130	130. Тематические решетки. 1. При дескрипторной тематической		угрозы м.б. несколько воздействий на различные объекты и каждый
	классификации - решетка ?д(Pд, ?, ?, ?) подмножеств множества Tд		объект м.б. подвергнут нескольким угрозам (связь
	= {?1,?2,…,?M} , где Pд=Fд[x] ? Tд , x ? S ? O. 2. На		"многие-ко-многим"). Граф G(P,O,Z,E,H) взвешенный.
	иерархическом рубрика-торе при монорубрициро-ванной		Веса вершин и ребер м. определять: - величину ущерба от
	классификации решетка ?и(Tи?, ?, supи, infи) на корневом дереве		реализации угроз - или вероятность осуществления угроз. Выбор
	рубрикатора Tи ={?1,?2,…,?M } путем добавления вершины ?0 (с		защитных механизмов осуществляется так, чтобы: - редуцируя граф,
	пус-той тематикой) и замыкания на нее всех листовых вершин.		устранить наиболее опасные угрозы - или изменить веса ei с тем,
	решетка ?и(T л, ?, ?ил, ?) листовых подмножеств вершин на		чтобы минимизировать поток угроз на основе тех или иных
	корневом дереве рубрикатора. Решетки ?и(Tи?, ?, supи, infи) и		критериев. 1. Модели комплексной оценки защищенности КС.
	?и(T л, ?, ?ил, ?) изоморфны. 2. Тематическая решетка	273	273. Граф G(P,O,Z,E,H) является взвешенным и эквивалентно
	мультирубрик иерархического рубрикатора.		представляется следующей совокупностью векторов и матриц: вектор
131	131. Тематические решетки (продолжение). 3. На иерархическом		P(p1, p2 ,… pN ), где pi – вероятность осуществления
	рубрикаторе при мультирубрициро-ванной классификации решетка		соотв.угрозы; вектор O(o1, o2 ,… oL ), где oi – стоимость соотв.
	?и(IР, ?, ?ир, ?) рубрикаторных идеалов IР2 ? IР6, IР2 ? IР1,		объекта защиты; NXL матрица Е{ei,j}, где ei,j =1 при воздействии
	IР4 ? IР3, IР5 ? IР3, IР6 = IР1 ? IР2, IР3 = IР4 ?ир IР5.		i-й угрозы на j-й объект, и = 0 в противном случае; вектор Z(z1,
	Решетка мультирубрик ?и(tм,?м,?м, ?м). 2. Тематическая решетка		z2 ,… zM ), где zi – стоимость соотв.способа или средства
	мультирубрик иерархического рубрикатора. T м2 ?мt м6, T м4 ?мt		защиты; NXM матрица H{hi,j}, где hi,j – вероятность устранения
	м3, T м5 ?мt м3, T м6=t м1?мt м2, T м3= T м4 ?м T м5.		(или степень снижения ущерба) i-й угрозы от применения j-го
	Определение 1. Мультирубрика T мi доминирует над мультирубрикой		средства защиты. Области применения теоретико-графовых моделей.
	T мj – {?(j)1, ?(j)2,…, ?(j)J} ? {?(i)1, ?(i)2,…, ?(i)I} в том и		Технико-экономическое обоснование систем обеспечения
	только в том случае, когда для любого m=1,…,J существует k=1,…,I		безопасности. Ущерб безопасности без использования СЗИ. Ущерб
	такое, что ?(j)m ? ?(i)k (вершина ?(j)m подчинена по корневому		безопасности при использования СЗИ. 1. Модели комплексной оценки
	дереву вершине ?(i)k): ? ?(j)m? T мj , ? ?(i)k? T мi ? ?(j)m ?		защищенности КС.
	?(i)k .	274	274. Тактико-техническое обоснование систем обеспечения
132	132. Решетка мультирубрик ?и(Tм,?м,?м, ?м). {?7 , ?8 } ?м		безопасности. Другие задачи. 1. Модели комплексной оценки
	{?11, ?12, ?9} 1) {?7 , ?8 , ?11, ?12, ?9} 2) {?7 , ?8 , ?11,		защищенности КС.
	?9} 3) {?11, ?7 , ?4}. 2. Тематическая решетка мультирубрик	275	275. Этапы: Идентификация и оценка ценности объектов защиты
	иерархического рубрикатора. ?20. Определение 2. Объединением ?м		Формирование перечня угроз и оценка их опасностей (вероятностей)
	мультирубрик T мi={?(i)1,?(i)2,…,?(i)I} и T		Формирование перечня СЗИ – базового уровня защиты с учетом
	мj={?(j)1,?(j)2,…,?(j)J} называется операция формирования		имеющихся нормативных требований Вычисление ущерба с учетом
	множества вершин иерархического рубрикатора T м? = T мi ?м T мj		применения СЗИ и оценка остаточного риска, как правило, в
	на основе следующего алгоритма: 1)Формируется		ранговой шкале: остаточный риск незначительный остаточный риск
	теоретико-множественное объединение множеств вершин,		приемлемый остаточный риск высокий остаточный риск неприемлемый
	составляющих мультирубрики – T ? = {?(i)1, ?(i)2,…,		5. Формирование дополнительных мер защиты и СЗИ для достижения
	?(i)I}?{?(j)1, ?(j)2,…, ?(j)J}; 2)Формируется набор вершин Tм?'		приемлемого риска. Оценка рисков нарушения ИБ. 1. Модели
	путем исключения из него тех вершин из T ?, которые доминируются		комплексной оценки защищенности КС.
	хотя бы одной вершиной из того же набора T ? – (?k ? T ?? ?k ? T	276	276. 1.Идентификация и оценка ценности объектов защиты.
	м?) ? ( ? ?m ? T ?? ?m ? ?k); 3)Формируется итоговый набор		1.1.Формирование полного перечня объектов защиты- на основе
	вершин T м? путем добавления в него результатов иерархического		видового дерева. … 1.2.Определение ценности объектов защиты. в
	сжатия по всем подмножествам набора вершин T м?' и одновременным		большинстве методик на основе материальной стоимости и ущерба от
	исключением соответствующих наборов сыновей при непустом		их разрушения, НСД и т.д. 1. Модели комплексной оценки
	результате сжатия. Лемма 1. Множество рубрик T м? = T мi ?м T		защищенности КС.
	мj, формируемое на основе объединения мультирубрик по	277	277. 2.Идентификация угроз и оценка их вероятности. 2.1.
	определению 2, а) является мультирубрикой; b) доминирует над		Формирование перечня угроз и оценка их опасностей – также на
	мультирубриками T мi и T мj, т.е. T мi ? T м? ? T мj ? T м? ; c)		основе видового дерева. Герм. стандарт BSI. Отеч. ГОСТ Р
	является наименьшей верхней границей мультирубрик T мi и T мj.		51275-99. … 2.2.Определение опасности или вероятностей угроз. В
133	133. Решетка мультирубрик ?и(Tм,?м,?м, ?м). {?7 , ?8 } ?м		большинстве методик на основе экспертных оценок и анализа
	{?11, ?12, ?9} 1) {?7 , ?8} ? ? 2) {?11, ?12, ?9} ? {?12} 3) ? ?		имеющейся статистики. 1. Модели комплексной оценки защищенности
	{?12}= {?12}. 2. Тематическая решетка мультирубрик		КС.
	иерархического рубрикатора. ?20. Определение 3. Пересечением ?м	278	278. 3. Формирование перечня и системы СЗИ. 3.1. На основе
	мультирубрик T мi ={?(i)1, ?(i)2,…, ?(i)I} и T мj = {?(j)1,		стандартов и РД по защищенности КС. 1. Модели комплексной оценки
	?(j)2,…, ?(j)J} называется операция формирования множества		защищенности КС.
	вершин иерархического рубрикатора T м? = T мi ?м T мj на основе	279	279. В развитие методологии данного подхода в 80-х годах за
	следующего алгоритма: 1)Из множества вершин мультирубрики T		рубежом были разработаны подходы к комплексной оценки
	мi={?(i)1,?(i)2,…,?(i)I} формируются множество вершин T м'i,		защищенности КС, закрепленные в соответствующих национальных
	которые доминируются хотя бы одной вершиной из множества вершин		стандартах: · британском стандарте BS 7799 (ISO 17799) –
	другой мультирубрики T мj = {?(j)1,?(j)2,…, ?(j)J}; 2)Из		Великобритания; · ведомственном стандарте NASA США
	множества вершин мультирубрики T мj = {?(j)1,?(j)2,…, ?(j)J}		"Безопасность информационных технологий"
	формируются множество вершин T м'j, которые доминируются хотя бы		(http://esdis.dsfo.nasa.gov); · германском стандарте
	одной вершиной из множества вершин первой мультирубрики T мi		"BSI" (http://www.bsi.bund.de/. Стандарты комплексной
	={?(i)1, ?(i)2,…, ?(i)I}; 3)Формируется теоретико-множественное		оценки защищенности КС. 1. Модели комплексной оценки
	объединение T м? = T м'i ? T м'j. Лемма 2. Множество рубрик T м?		защищенности КС.
	= T мi ??м T мj, формируемое на основе пересечения мультирубрик	280	280. · COBRA, разработчик C&A Systems Security Ltd
	по определению 3, а) является мультирубрикой; b) доминируется		(http://www.securityauditor.net); · RiskPAC, разработчик CSCI
	мультирубриками T мi и T мj, т.е. T м? ? T мi ? T м? ? T мj ; c)		(http://www.csciweb.com); · CRAMM, разработчик Logica
	является наибольшей нижней границей мультирубрик T мi и T мj.		(Великобритания); · MARION, разработчик CLUSIF (Франция); ·
134	134. 3. Модель тематико-иерархического разграничения		RiskWatch (http://www.riskwatch.com); · АванГард (Россия) · Гриф
	доступа. 1.Компьютерная система ?Тии представляется		(Россия). Case-средства комплексной оценки защищенности. 1.
	совокупностью субъектов и объектов доступа. В системе ?Тии		Модели комплексной оценки защищенности КС.
	действует МБО, санкционирующий запросы субъектов на доступ к	281	Лекция 3.3. Методы анализа и оптимизации
	объектам, и МБС, управляющий инициализацией субъектов.		индивидуально-групповых систем разграничения доступа. Тема 3.
	2.Информационно-логическая схема предметной области системы ?Тии		Методы анализа и оценки защищенности компьютерных систем. ?
	представляется тематическим иерархическим классификатором		Гайдамакин Н.А., 2008г. ГОС 075200 «Компьютерная безопасность»
	(рубрикатором). Рубрикатор включает конечное множество		ОПД.Ф.10 "Теоретические основы компьютерной
	тематических рубрик Tи ={?1,?2,…, ?M}, на котором установлен		безопасности" Презентация предназначена для отработки и
	частичный порядок, задаваемый корневым деревом. ?20.		закрепления лекционного материала студентами группы КБ МатМех
135	135. 3.Множество сущностей системы X = S ? O тематически		УрГУ. Распространение и передача презентации третьим лицам
	классифицируется на основе отображения на множество мультирубрик		запрещается.
	Tм, определенных на корневом дереве иерархического рубрикатора.	282	282. Двудольный граф требуемых назначений доступа Г(U,O,E).
	Существует функция тематического окрашивания fм, которая в		Ei={r1, r2,…, rk} ri= i-й метод доступа; ri=1 – доступ разрешен;
	каждый момент времени для любой сущности системы x ? X		ri=0 – доступ не разрешен; ri= -1 – доступ запрещен. Множество
	определяет соответствующую ей мультирубрику: fм[x] = T мi , T мi		вершин U одной доли графа — субъекты доступа Множество вершин O
	? Tм. 4.Тематический критерий безопасности. Система ?Тии		другой доли графа — объекты доступа Множество ребер (дуг) Eтреб
	безопасна тогда и только тогда, когда в ней отсутствуют потоки		— требуемые назначения доступа субъектов к объектам. Eтреб. 1.
	следующих видов: - от сущностей с более широкой тематикой к		Теоретико-графовая модель систем индивидуально-группового
	сущностям с более узкой тематикой; - между несравнимыми по		доступа к иерархически организованным информационным ресурсам.
	тематике сущностями. 3. Модель тематико-иерархического	283	283. Граф назначений доступа Г(U,O,E) при иерархической
	разграничения доступа.		организации системы объектов доступа. Eитог= eпр ? eнасл. 2).
136	136. 3. Модель тематико-иерархического разграничения		Вариативность наделения субъектов доступа Eтреб за счет
	доступа. 5. Переходы системы ?Тии, обусловленные запросами и		различного сочетания Eпр и Eнасл. 1. Теоретико-графовая модель
	осуществлением доступов существующих субъектов к существующим		систем индивидуально-группового доступа к иерархически
	объектам, санкционируются МБО на основе следующих правил:		организованным информационным ресурсам.
	Правило 1. Доступ субъекта s к объекту o, вызывающий поток по	284	284. Граф индивидуально-групповых назначений доступа
	чтению Stream(s)?o , неопасен и может быть МБО разрешен тогда и		Г(U,G,O,E) при иерархической организации системы объектов
	только тогда, когда мультирубрика субъекта доминирует над		доступа. Eитог= eи ? eг = (eипр ? eинасл ) ? ((eгпр ? eгг ) ?
	мультирубрикой объекта: fм[s] ? fм[o]. Правило 2. Доступ		eгнасл ). 2). Дополнительная вариативность наделения субъектов
	субъекта s к объекту o, вызывающий поток по записи Stream(s)?o ,		доступа Eтреб за счет различного сочетания Eи и Eг. 1.
	неопасен и может быть МБО разрешен тогда и только тогда, когда		Теоретико-графовая модель систем индивидуально-группового
	мультирубрика объекта доминирует над мультирубрикой субъекта:		доступа к иерархически организованным информационным ресурсам.
	fм[o] ? fм[s].	285	285. Матричное представление графа Г(U,G,O,E). Rи –
137	137. 3. Модель тематико-иерархического разграничения		(NxMxK)-массив разрешенных для субъектов методов доступа к
	доступа. 6. Переходы системы ?Тии, связанные с порождением новых		объектам по индивидуальным назначениям; Rг – (LxMxK)-массив
	объектов и субъектов доступа, санкционируются МБО и МБС на		разрешенных рабочим группам методов доступа к объектам по
	основе следующих правил: Правило 3. Порождение субъектом s		непосредственным групповым назначениям; Н – квадратная (MxM)
	нового объекта o', в том числе и за счет чтения из другого		матрица смежности объектов доступа; Нг – квадратная (LxL)
	объекта o, неопасно и может быть МБО разрешено тогда и только		матрица смежности рабочих групп, аналогичная по смыслу матрице Н
	тогда, когда мультирубрика субъекта доминирует над		(hгij=1, если i-я рабочая группа содержит j-ю рабочую групп,
	мультирубрикой объекта o, при этом МБО присваивает новому		hгij=0, если не содержит); W – прямоугольная (NxL) матрица
	объекту o' мультирубрику, равную или доминирующую над		вхождения пользователей в рабочие группы (wij=1, если i-й
	мультирубрикой субъекта: fм[o] ? fм[s] ? fм[o' ]. Правило 4.		пользователь входит в состав j-й рабочей группы; wij=0, в
	Инициализация субъектом s нового субъекта s' посредством		противном случае). 1. Теоретико-графовая модель систем
	воздействия на объект источник o неопасна и может быть МБС		индивидуально-группового доступа к иерархически организованным
	разрешена тогда и только тогда, когда мультирубрика субъекта		информационным ресурсам.
	доминирует над мультирубрикой объекта-источника, при этом МБС	286	286. Сочетание прав доступа по прямым назначениям и прав
	присваивает новому субъекту мультирубрику, тождест-венную		доступа по иерархическому наследованию. Политика простой
	мультирубрике инициализирующего субъекта: fм[o] ? fм[s] ? fм[s'		суперпозиции (дизъюнкции) прав по прямым и наследственным
	].		назначениям: rij = {rij1\|пр ? rij1\|насл , rij2\|пр ? rij2\|насл ,
138	138. Правило 5. Одновременный множественный доступ субъекта		…, rijk\|пр ? rijk\|насл}. Политика приоритетной суперпозиции
	s к объектам o1, o2,… или субъектов s1, s2,… к объекту o может		(дизъюнкции) прав по прямым и наследственным назначениям с
	быть разрешен (неопасен) тогда и только тогда, когда выполняются		приоритетом прямых назначений rij = {rij1\|пр ? rij1\|насл ,
	следующие условия: при доступе по чтению fм[s] ? ?м{ fм[o1],		rij2\|пр ? rij2\|насл , …, rijk\|пр ? rijk\|насл}. Политика
	fм[o2],…} fм[o] ? ?м{ fм[s1], fм[s2],…} при доступе по записи		фильтрационной суперпозиции прав доступа к вложенным объектам
	fм[s] ? ?м{ fм[o1], fм[o2],…} fм[o] ? ?м{ fм[s1], fм[s2],…}. 3.		rij = {rij1\|пр ? (rij1\|насл·?фij1), rij2\|пр ?
	Модель тематико-иерархического разграничения доступа. 7.		(rij2\|насл·?фij2),…, rijk\|пр ? (rijk\|насл·?фijk)}. 1.
	Переходы системы ?Тии, обусловленные запросами на предоставление		Теоретико-графовая модель систем индивидуально-группового
	множественных доступов, санкционируются МБО на основе следующего		доступа к иерархически организованным информационным ресурсам.
	правила:	287	287. Определение итоговых прав доступа при приоритетной
139	139. Теорема 1. В системе ?Тии с отображением множества		суперпозиции с учетом структурной вложенности объектов. По
	субъектов и объектов доступа на множество тематических		спискам доступа. через матрицу смежности объектов доступа Н
	мультирубрик, в которой доступы санкционируются по правилам 1,		Rk\|итог = Rk\|пр ? (НS + I), где НS=Н + Н2 +…+ Нn , ? -
	2, 3, 4 и 5, реализуется множество только таких потоков, которые		модифицированная операция матричного умножения на основе
	удовлетворяют тематическому критерию безопасности.		ассиметричной дизъюнкции: (Rk\|итог)ij=ri1k(hS1jk+?1j) ?
	Доказательство. 3. Модели тематико-иерархического разграничения		ri2k(hS2jk+?2j) ? … ? riMk(hSMjk+ ?Mj) , I – единичная матрица;
	доступа. По условиям теоремы при санкционировании потока o1? o2		?ij – символ Кронекера. 1. Теоретико-графовая модель систем
	имеем: fм[s] ? fм[o1] ? fм[o2] ? fм[s] Отсюда следует, что:		индивидуально-группового доступа к иерархически организованным
	fм[o2] ? fм[o1] Аналогично по условиям теоремы при		информационным ресурсам.
	санкционировании потока s1? s2 имеем fм[s1] ? fм[o] ? fм[s2] ?	288	288. Определение итоговых прав доступа рабочих групп при
	fм[o] . Отсюда следует, что: fм[s2] ? fм[s1] .		приоритетной суперпозиции с учетом структурной вложенности
140	Лекция 2.4. Модели безопасности на основе ролевой политики.		рабочих групп и объектов. Rгk\|итог=W?(((НгS+I)т?Rгk )?(НS +I)).
	Тема 2. Модели безопасности компьютерных систем. ? Гайдамакин		Определение итоговых индивидуально-групповых прав доступа с
	Н.А., 2008г. ГОС 075200 «Компьютерная безопасность» ОПД.Ф.10		приоритетом индивидуальных назначений. Коэффициент дублирования
	"Теоретические основы компьютерной безопасности"		прав доступа. kиijk= (Rиk\|пр ? (НS + I))ij. 1.
	Презентация предназначена для отработки и закрепления		Теоретико-графовая модель систем индивидуально-группового
	лекционного материала студентами группы КБ МатМех УрГУ.		доступа к иерархически организованным информационным ресурсам.
	Распространение и передача презентации третьим лицам		Rигk\|итог=Rиk\|итог? Rгk\|итог= = (Rk\|пр? (НS+I)) ?
	запрещается.		(W?(((НгS+I)т?Rгk) ? (НS +I))). K гk=W?(((НгS+I)т?Rгk)?(НS+I)).
141	1.Модели ролевого доступа 2.Модели индивидуально-группового	289	289. Количественные параметры превышения и недостатка прав
	доступа 3.MMS-модель. Учебные вопросы: 141. Литература: 1.		доступа. R+? = rигитог ?+ rтреб R-? = rигитог ?- rтреб. 1.
	Зегжда Д.П.,Ивашко А.М. Основы безопасности информационных		Теоретико-графовая модель систем индивидуально-группового
	систем. - М.:Горячая линия - Телеком, 2000. - 452с 2. Гайдамакин		доступа к иерархически организованным информационным ресурсам.
	Н.А. Разграничение доступа к информации в ком-пьютерных	290	290. Количественные характеристики системы рабочих групп.
	системах. - Екатеринбург: Изд-во Урал. Ун-та, 2003. – 328 с.		Количественные характеристики близости пользователей по
	3.Корт С.С. Теоретические основы защиты информации: Учеб- ное		потребностям в доступе. 1. Теоретико-графовая модель систем
	пособие. – М.: Гелиос АРВ, 2004. – 240с. 4. Девянин П.Н. Модели		индивидуально-группового доступа к иерархически организованным
	безопасности компьютерных систем: Учеб. Пособие. –		информационным ресурсам.
	М.Издательский центр «Академия», 2005. – 144с.	291	291. 1. Теоретико-графовая модель систем
142	142. Осн. идея: -политика и система защиты должны учитывать		индивидуально-группового доступа к иерархически организованным
	организационно-технологическое взаимодействие пользователей.		информационным ресурсам. Пример количественного анализа системы
	Неформально Роль: - типовая работа в КС (ИС) определенной группы		индивидуально-группового доступа. Главный бухгалтер (u1) – общее
	пользователей. Формально РОЛЬ - активно действующая в КС		руководство подразделением, планирование, контроль деятельности.
	абстрактная сущность, обладающая логически взаимосвязанным		Старший бухгалтер (u2) – ведение обобщенного (сводного)
	набором полномочий, необходимых для выполнения определенных		финансово-экономического учета и анализа, заме-щение в случае
	функциональных обязанностей - выделенная и обособленная		необходимости гл.бух- галтера (отпуск, болезнь, командировка).
	совокупность полномочий над определенной группой или тематикой		Бухгалтер (первый) (u4) – бухгалтер-экономист, подменяет ст.
	ресурсов (объектов), имеющая отдельное и самостоятельное		бухгалтера. Бухгалтер (второй) (u5) – бухгалтер по заработной
	значение в предметной области КС (ИС). Вместо субъекта -		плате, подменяет (первого) бухгалтера и кассира. Кассир (u6) –
	пользователь (конкретная активная сущность) - роль (абстрактная		проводки по кассе, выдача зарплаты, подменяет
	активная сущность). 1. Модели ролевого доступа. Аналог		табельщика-делопроизводителя и (второго) бухгалтера.
	-нормативное положение, функциональные обязанности и права		Табельщик-делопроизводитель (u7) – ведение Табеля рабочего
	сотрудников по определенной должности. Например м.Б. Роли-		времени сотрудников организации, а также ведение
	кассира, бухгалтера, делопроизводителя, менеджера и т.П. Впервые		делопроизводства подразделения. Инженер-программист (u3)
	в продуктах управления доступом корп. IBM(70-80.гг.).		–организация работы локальной информационной сети подразделения.
143	143. Система защиты при ролевой политики U - множество	292	292. 1. Теоретико-графовая модель систем
	пользователей; ? - множество ролей; P - множество полномочий на		индивидуально-группового доступа к иерархически организованным
	доступ к объектов; S - множество сеансов системы.		информационным ресурсам. Пример количественного анализа системы
	Устанавливаются отношения: FP? - P х ? - отображение множества		индивидуально-группового доступа. Система рабочих групп Группа
	полномочий на множество ролей, например в виде ролевой матрицы		"Администраторы" (g1) – включает {u1, u3}. Группа
	доступа (Ap? ) FU? - U х ? - отображение множества пользователей		"Бухгалтеры" (g2) – включает {u1, u2, u4, u5, u6}.
	на множество ролей, например, в виде матрицы		Группа "Исполнители документов" (g3) , включает {u1,
	"пользователи-роли", задающая набор доступных		u2, u3, u4, u5, u6, u7}. Группа "Users" (g4) –
	пользователю ролей (Au?). Организация доступа в две стадии-		включает {u1, u2, u3, u4, u5, u6, u7, g2, g3}. Права доступа
	-создаются роли и для каждой из них определяются полномочия		определяются разрешениями по четырем методам доступа – r1
	-каждому пользователю назначается список доступных ролей. 1.		(чтение), r2 (чтение/запись), r3 (выполнение) и r4 (полный
	Модели ролевого доступа.		доступ). Функция fкорр обеспечивает в векторах обнуление r1,
144	144. Устанавливаются функции: fuser - S?U - для каждого		если r2=1; обнуление r1, r2, r3, если r4=1; требует r1=1 в
	сеанса s функция fuser определяет пользователя, который		\|насл, если r3=1.
	осуществляет этот сеанс работы с системой - fuser(s)=u froles -	293	293. Клиент-серверная финансово-экономическая АИС (ФЭБД)
	S?P(? ) - для каждого сеанса s функция froles определяет набор		Клиент-серверная АИС делопроизводства/документооборота (ДокБД)
	ролей, которые могут быть одновременно доступны пользователю в		Клиент-серверная информационно-правовая система (НормБД)
	этом сеансе: froles(s)={?i \|( fuser(s), ?i) ? Au?} fpermissions		Локальная АИС "Табель рабочего времени" (БД
	- S?P - для каждого сеанса s функция fpermissions задает набор		"Табель") Локальная АИС "Планирование и
	доступных в нем полномочий, который определяется как		контроль" (БД "Расписание"). 1.
	совокупность полномочий всех ролей, задействованных в этом		Теоретико-графовая модель систем индивидуально-группового
	сеансе fpermissions(s)= ???froles(s){pi\|(pi , ?)?Ap? }. Критерий		доступа к иерархически организованным информационным ресурсам.
	безопасности: -система считается безопасной, если любой		Пример количественного анализа системы индивидуально-группового
	пользователь, работающий в сеансе s, может осуществить действия,		доступа.
	требующие полномочий p, только в том случае , если p	294	294. 1. Теоретико-графовая модель систем
	=fpermissions(s). 1. Модели ролевого доступа.		индивидуально-группового доступа к иерархически организованным
145	145. Наиболее распространены модели с иерархической		информационным ресурсам. Пример количественного анализа системы
	организацией ролей. Ролевая политика – особый тип политики,		индивидуально-группового доступа. Групповые назначения g1 –
	основанный на компромиссе между гибкостью управлением доступа		полный доступ к объектам сети с запретом доступа к личным папкам
	дискреционных моделей и жесткостью правил контроля доступа		сотрудников. g2 – работа в АИС "ФЭБД", доступ к
	мандатных моделей. Ближе к реальной жизни. -Чем выше роль по		бухгалтерским АРМ (для подмены работников или выполнения своих
	иерархии, тем больше полномочий -если пользователю присвоена		функций на других АРМ, в случае выхода из строя своего), запрет
	какая-то роль, то ему автоматически присваиваются все роли ниже		доступа к личным папкам на "не своем" АРМ, запрет
	по иерархии. 1. Модели ролевого доступа.		доступа к CDRW на сервере. g3 – работа в АИС "ДокБД",
146	146. Отношения: Fh?? - ? х ? - частичное отношение порядка		доступ "чтение/запись" к сетевому принтеру, запрет
	на множестве ? , которое определяет иерархию ролей и задает на		доступа к CDRW на сервере. g4 – работа в АИС "НормБД",
	множестве ? оператор доминирования ?, такой, что если ?1 ? ?2,		доступ "чтение" к расписанию на сервере, запрет
	то роль ?1 находится выше по иерархии, чем роль ?2 FhU? - U х ?		доступа к сетевому принтеру, запрет доступа к CDRW на сервере
	- назначает каждому пользователю набор ролей, причем вместе с		Индивидуальные назначения права на полный доступ пользователей к
	каждой ролью в него (набор ролей) включаются все роли,		"своим" АРМ, доступ к АРМ подменяемых сотрудников с
	подчиненные ей по иерархии, т.е. для ? ?,?'? ?, u?U: ? ? ?' ?		запретом доступа к их личным папкам и дисководам
	(u,?)? Ahu? ? (u,?')? Ahu? Функции: f hroles - S?P(?) –		"3,5", права выполнения локальных АИС на АРМ
	назначает каждому сеансу s определяет набор ролей из иерархии		замещаемых сотрудников (работа в АИС "Планирование и
	ролей пользователя, работающего в этом сеансе: f hroles(s)={?i		контроль" на АРМ руководителя для u2, работа в АИС
	\|(? ?' ? ?i (fuser(s), ?') ? Ahu? )} f hpermissions - S?P –		"Табель рабочего времени" для u6 на АРМ
	определяет полномочия сеанса s как совокуп- ность полномочий		табельщика-делопроизводителя).
	всех задействованных пользователем в нем ролей и полномочий всех	295	295. 1. Теоретико-графовая модель систем
	ролей, подчиненных им: f hpermissions(s)= ???f hroles(s){pi\|(?		индивидуально-группового доступа к иерархически организованным
	?''? ? (pi ,?'')?Ap? )}. Отношения и функции при иерархической		информационным ресурсам. Пример количественного анализа системы
	организации ролей. 1. Модели ролевого доступа.		индивидуально-группового доступа. Расчет величин Kдубл, Кпревыш
147	147. Агрегация прав при иерархической организации ролей		и ? гij по пяти вариантам системы индивидуально-группового
	(виды отношения FP?). · Строго таксономический листовой подход;		доступа: 1-й вариант – исходный; 2-й вариант – исключение
	· нетаксономический листовой подход; · иерархически охватный		пользователя u3 (инжене-ра-программиста) из групп g3 и g4 (в
	подход. Строго таксономический листовой подход. F hp?(? лj) =		силу того, что у группы g1, в которую он входит, имеются полные
	{p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi)?…=? , F hp?(? лj) ?		права доступа ко всей системе за исключением доступа к личным
	F hp?(? лi)?…= P . F hp?(? иk) = F hp?(?(k)i) ? ? F hp?(?(k)j) ?		папкам пользователей); 3-й вариант – исключение из группы g4
	… , где {?(k)i, ?(k)j, …} – полный набор ролей-сыновей для роли		групп g2 и g3 и, кроме того, добавление группе g3 прав доступа к
	?иk. F hp?(? и1) = P. 1. Модели ролевого доступа.		АИС НормБД; 4-й вариант – исключение из группы g4 всех
148	148. Агрегация прав при иерархической организации ролей		пользователей и других групп (группа g4 "гостевая" для
	(виды отношения FP?). Нетаксономический листовой подход. F hp?(?		временной регистрации и работы в сети сторонних пользователей),
	лj) = {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi) ? …? ? , F		и аналогично добавление группе g3 прав доступа к АИС НормБД; 5-й
	hp?(? иk) = F hp?(?(k)i) ? ? F hp?(?(k)j) ? … , где {?(k)i,		вариант – аналогичный 4-му с дополнительным исключением по
	?(k)j, …} – полный набор ролей-сыновей для роли ?иk. 1. Модели		индивидуальным назначениям раз-решений на доступ к АРМ
	ролевого доступа.		подменяемых работников, так как необходимый доступ имеется в
149	149. Агрегация прав при иерархической организации ролей		разрешениях группы g2 (кроме прав доступа к локальным АИС).
	(виды отношения FP?). Иерархически охватный подход. F hp?(? лj)	296	296. 1. Теоретико-графовая модель систем
	= {p(j)1, p(j)2,…} , F hp?(? лj) ? F hp?(? лi) ? …? ? , F		индивидуально-группового доступа к иерархически организованным
	hp?(?иk) ? fhp?(?i) = ? , где {? иk ? ?i}. 1. Модели ролевого		информационным ресурсам. Пример количественного анализа системы
	доступа.		индивидуально-группового доступа.
150	150. Взаимоисключающие роли - множество ролей разбивается на	297	297. 1. Теоретико-графовая модель систем
	подмножества, объединяющие роли, которые не м.б. назначены		индивидуально-группового доступа к иерархически организованным
	одновременно одному пользователю (z.b.		информационным ресурсам. Пример количественного анализа системы
	"кассир"-"контроллер"). Задается функция		индивидуально-группового доступа.
	fexclusive: ??P(? ) , которая для каждой роли определяет
«Компьютерная безопасность» \| Компьютерная безопасность.ppt

http://900igr.net/kartinki/informatika/Kompjuternaja-bezopasnost/Kompjuternaja-bezopasnost.html

cсылка на страницу

Информационная безопасность

другие презентации об информационной безопасности

«Компьютерные преступления» - Для защиты от несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Понятие. Часто вмешательство наносит непоправимые имущественные потери. Защита от несанкционированного доступа к информации. Во многих странах мира возрос рост компьютерных преступлений. Компьютерные преступления.

«Программа от вирусов» - Файлы. Программа. Системные области компьютера. Обнаруживают. Для чего? Способная самопроизвольно присоединяться. Небольшая по размерам. Компьютерные вирусы и антивирусные программы. Уничтожают вирусы. Антивирусные программы. Программы- Фильтры Находятся в ОП ПК и выполняют защитные функции. Ап. Сравнивают текущее состояние с исходным.

«Урок Вирусы» - Информационные ресурсы:Интернет, учебная литература. Самостоятельная работа групп по выполнению заданий – 2-3 уроки и внеурочное время. Основной вопрос:Что мешает нам жить и работать? Вирусы человека. Вирусы общества. Формирование групп для проведения исследований – 1 урок,15 минут. Учебные предметы:информатика, биология, анатомия, социология.

«Безопасность в компьютерном классе» - Требования безопасности по окончании работы. Правила безопасности в компьютерном классе. Общие требования безопасности. Затем направьте взгляд вдаль, стараясь увидеть максимально удаленные предметы. Горизонтальные движения глаз: направо - налево. Круговые движения глазами: по часовой стрелке и в противоположном направлении.

«Защита от вирусов» - Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы. Программно-технические методы обнаружения вирусов. Основные методики обнаружения и защиты от вирусов: Эвристический анализ. Основным средством борьбы с вирусами были и остаются антивирусные программы. Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам.

«Вирусы и антивирусные программы» - 5. Резидентные Нерезидентные. Неопасные Опасные Очень опасные. Компьютерные вирусы и антивирусные программы. По среде обитания. Репликаторы Мутанты Невидимки Паразитические Троянские. 2. Вирусы: Сетевые Файловые Загрузочные Файлово-загрузочные. Пути проникновения вирусов и признаки заражения компьютера.

Урок