Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Обработка и обеспечение безопасности электронных данных

Покупка
Артикул: 617897.01.99
Учебное пособие предназначено для подготовки к сдаче государственного экзамена по специальностям «Информационные системы и технологии» (специализации «Безопасность информационных систем» и «Информационные системы электронной коммерции») и «Программное обеспечение вычислительной техники и автоматизированных систем» (специализация «Цифровая обработка данных»).
Агапов, А. В. Обработка и обеспечение безопасности электронных данных [Электронный ресурс] : учеб. пособие / А. В. Агапов, Т. В. Алексеева, А. В. Васильев и др.; под ред. Д. В. Денисова. - Москва : МФПУ Синергия, 2012. - 592 с. - (Сдаем госэкзамен). - ISBN 978-5-4257-0074-2. - Текст : электронный. - URL: https://znanium.com/catalog/product/451354 (дата обращения: 28.11.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов

                                    
УДК 32.973-04
ББК
004.6
О-23

Авторы:

Агапов Андрей Валерьевич, Алексеева Тамара Владимировна, Васильев Алексей
Валентинович, Дик Владимир Владимирович, Кирюханцев Олег Александрович,
Кокорева Людмила Анатольевна, Лихоносов Александр Геронтьевич, Лужецкий
Михаил Георгиевич, Лядов Максим Геннадьевич, Ребус Наталья Анатольевна,
Тарарук Юрий Олегович, Шептура Сергей Владимирович

О-23
Обработка и обеспечение безопасности электронных данных :
учеб. пособие / А. В. Агапов, Т. В. Алексеева, А. В. Васильев [и др.];
под ред. Д. В. Денисова. — М.: Московский финансово-промышленный университет «Синергия», 2012. — 592 с. (Сдаем госэкзамен).
ISBN 978-5-4257-0074-2

Учебное пособие предназначено для подготовки к сдаче государственного экзамена по специальностям «Информационные системы и технологии» (специализации «Безопасность информационных систем» и «Информационные системы электронной коммерции») и «Программное обеспечение
вычислительной техники и автоматизированных систем» (специализация
«Цифровая обработка данных»).

УДК 32.973-04
ББК 004.6

ISBN 978-5-4257-0074-2

© Коллектив авторов, 2012
© Московский финансово-промышленный университет
«Синергия», 2012

СОДЕРЖАНИЕ

Раздел 1
КОММЕНТАРИИ К ВОПРОСАМ И ЗАДАНИЯМ ГОСУДАРСТВЕННОГО ЭКЗАМЕНА
ДЛЯ СПЕЦИАЛЬНОСТИ «ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ»,
СПЕЦИАЛИЗАЦИЯ «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ»

ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ
1. Классификация угроз информационной безопасности баз данных и средства
по их предотвращению . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2. Международные и отечественные стандарты в сфере информационной безопасности и защиты информации . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
3. Угрозы и уязвимости проводных корпоративных сетей. Средства противодействия этим угрозам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
4. Протокол управления криптоключами IKE: назначение и принципы использования
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
5. Проблемы безопасности IP-сетей и способы их решения
. . . . . . . . . . .
38
6. Правовые основы деятельности по защите информации от несанкционированного доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
7. Принципы безопасного развертывания сервисов DNS . . . . . . . . . . . . .
52
8. Обеспечение безопасности веб-серверов
. . . . . . . . . . . . . . . . . . . .
69
9. Отечественные законы и стандарты по основам аудита информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
10. Основные направления деятельности в области аудита безопасности информации
103
11. Авторизация. Разграничение доступа к объектам операционной системы
. .
111
12. Механизмы защиты операционных систем . . . . . . . . . . . . . . . . . . .
122
13. Угрозы и уязвимости беспроводных сетей. Средства противодействия этим
угрозам
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128
14. Основные типы средств несанкционированного доступа и способы противодействия им . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
136
15. Национальные и международные стандарты и руководства по аудиту информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
16. Классификация средств класса firewall и определение для них политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
17. Сервер аутентификации Kerberos . . . . . . . . . . . . . . . . . . . . . . . . .
177
18. Реализация комплекса мероприятий по созданию механизмов защиты информации
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
187
19. Оценка эффективности системы защиты информации
. . . . . . . . . . . .
195
20. Понятие и происхождение информационных угроз. Специфика защиты информации в ИС
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203

ПРАКТИЧЕСКИЕ ЗАДАНИЯ
1. Определить минимальное количество ключей, необходимое для обеспечения безопасной связи при симметричной системе шифрования и связи «каждый с каждым»
209
2. Определить минимальное количество ключей, необходимое для обеспечения
безопасной связи при асимметричной системе шифрования и связи «каждый
с каждым»
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
211

Содержание

3. Представление схемы процедуры формирования электронной цифровой подписи (ЭЦП)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
212
4. Представление схемы процедуры проверки электронной цифровой подписи (ЭЦП)
213
5. Провести криптографическое преобразование шифровки сообщения при заданных параметрах с использованием полиалфавитного шифра (шифр Вижинера)
214
6. Провести криптографическое преобразование расшифровки сообщения при заданных параметрах с использованием полиалфавитного шифра (шифр Вижинера) 217
7. Определить порядок преобразования входных данных при проведении операции
хэширования в соответствии с ГОСТ Р 34.11–94 для сообщения заданной длины
219

Раздел 2
КОММЕНТАРИИ К ВОПРОСАМ И ЗАДАНИЯМ ГОСУДАРСТВЕННОГО
ЭКЗАМЕНА ДЛЯ СПЕЦИАЛЬНОСТИ «ИНФОРМАЦИОННЫЕ СИСТЕМЫ
И ТЕХНОЛОГИИ», СПЕЦИАЛИЗАЦИЯ «ИНФОРМАЦИОННЫЕ СИСТЕМЫ
ЭЛЕКТРОННОЙ КОММЕРЦИИ»

ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ
1. Архитектура информационных систем электронной коммерции: функциональная (по подсистемам); программная и техническая
. . . . . . . . . . . .
221
2. Понятие платежной Интернет-системы (ПИС). Классификация ПИС и отличие технологий расчетов
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
3. Стратегическое планирование ИС. Его специфика в ЭК. Связь стратегического
ИТ планирования с оперативным планированием в ЭК . . . . . . . . . . . .
241
4. Управление проектами ИСЭК. Виды и состав команд проектов ИСЭК . . . .
256
5. Тиражируемые и уникальные ИС. Способы приобретения ИС предприятием:
покупка, разработка (самостоятельная и на заказ), аутсорсинг ПО (ASP) и бизнес-процессов (SaaS)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
266
6. Контент и управления контентом: понятие, виды контент-инжиниринга и его
задачи, системы управления контентом (CMS) и системы управления контентом предприятия ECM
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
275
7. Серверное программирование в ИС электронной коммерции: сервлеты и серверные страницы, языки серверного веб-программирования и их сравнение
284
8. XML и его модификации в системах ЭК на клиентской и серверной стороне:
AJAX, архитектуры SOA и каталоги UDDI, другие аспекты применения XML
297
9. Модели ASP и SaaS: сущность, роли участников, преимущества, недостатки
и риски, технология функционирования приложений. Облачные вычисления:
частные и публичные облака. Виртуализация как способ повышения эффективности ЦОД
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
309
10. Системы электронных расчетов в сети Интернет: платежные карты, электронные деньги, электронные чеки . . . . . . . . . . . . . . . . . . . . . . . . . .
321
11. Мультимедиаинформация в ИС: виды назначение технологии создания, хранения и передачи. Примеры применения для повышения эффективности взаимодействия ИС и пользователя
. . . . . . . . . . . . . . . . . . . . . . . . .
332
12. Основные технологии организации программно-аппаратного комплекса автоматизации современного предприятия
. . . . . . . . . . . . . . . . . . . . .
344
13. Приемы бесконфликтного внедрения ИС на предприятии. Стратегии внедрения и факторы, влияющие на их выбор . . . . . . . . . . . . . . . . . . . . .
353

Содержание 5

14. Цена и качество ИС. Совокупная стоимость владения. Организация проведения
детального анализа требований к ИС предприятия. Способы обследования
. .
361
15. Организация выбора (обследование предприятия и анализ рынка ПО) и приобретения ИС на предприятии (способы приобретения)
. . . . . . . . . . .
368
16. Жизненный цикл информационных систем: планирование, приобретение,
внедрение и эксплуатация (вывод из эксплуатации) . . . . . . . . . . . . . .
379
17. Организация стратегического планирования ИС на предприятии. Способы
взаимодействия ИТ-директора и исполнительного директора в процессе стратегического планирования
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
392
18. Характеристика и основные особенности сектора электронной коммерции В2В
(business-to-business)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
407
19. Характеристика и основные особенности сектора электронной коммерции В2C
(business-to-customer)
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
417
20. Технологии электронных расчетов в системах электронной коммерции . . .
427

ПРАКТИЧЕСКИЕ ЗАДАНИЯ
1. Формирование проектной команды для создания собственной e-CRM
. . . .
443
2. Анализ эффективности функционирования интернет-представительства по
представленным данным . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
447
3. Выбор технологии размещения интернет-приложения исходя из представленных данных
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
447
4. Выбор технологии электронных расчетов исходя из представленных данных
448
5. Выбор канала связи у интернет-провайдера исходя из представленных данных
449
6. Выбор стратегии автоматизации исходя из представленных данных
. . . . .
450
7. Определение типа КИС исходя из представленных данных о компании
. . .
451

Раздел 3
КОММЕНТАРИИ К ВОПРОСАМ И ЗАДАНИЯМ ГОСУДАРСТВЕННОГО
ЭКЗАМЕНА ДЛЯ СПЕЦИАЛЬНОСТИ «ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ»,
СПЕЦИАЛИЗАЦИЯ «ЦИФРОВАЯ ОБРАБОТКА ДАННЫХ»

ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ
1. Моделирование и экспериментальные измерения, пассивный и активный эксперимент, однофакторный, многофакторный и полный факторный эксперименты
. .
455
2. Классификация погрешностей измерений
. . . . . . . . . . . . . . . . . . .
463
3. Вероятностная оценка случайной погрешности
. . . . . . . . . . . . . . . .
468
4. Построение статистических распределений и критерии оценивания
. . . . .
477
5. Обработка результатов прямых, косвенных и совместных измерений
. . . .
481
6. Построение функциональной зависимости при однофакторном эксперименте
486
7. Виды сигналов. Детерминированные сигналы, аналоговые и цифровые сигналы. Преобразование сигналов
. . . . . . . . . . . . . . . . . . . . . . . . . .
495
8. Обработка сигналов. Сглаживание сигнала, подавление шумов способом синхронной фильтрации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
501
9. Разложение в ряд Фурье. Четная и нечетная функции, разложение в комплексный ряд Фурье
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
507
10. Дискретное преобразование Фурье (ДПФ). Анализ цифрового сигнала математическим аппаратом Фурье, свойства дискретного преобразования Фурье . .
514

Содержание

11. Быстрое преобразование Фурье (БПФ). Анализ ДПФ, алгоритм БПФ для ряда
из 4 членов, обобщение алгоритма БПФ
. . . . . . . . . . . . . . . . . . . . .
519
12. Подход к анализу линейных систем, связь между входным и выходным сигналами, импульсный отклик, представление системы в частотной области . . .
523
13. Растровая графика. Черно-белое изображение. Формат BMP
. . . . . . . . .
531
14. Сглаживающие пространственные фильтры, виды фильтрации
. . . . . . .
538
15. Фильтрация изображений при наличии аддитивного белого шума, масочная
фильтрация, рекуррентная каузальная фильтрация изображений
. . . . . .
544
16. Основные цветовые модели: RGB, CMYK, HSB
. . . . . . . . . . . . . . . . .
552
17. Тоновая коррекция изображения. Линейное контрастирование изображения,
соляризация изображения, препарирование изображения . . . . . . . . . . .
556
18. Яркостная и цветовая коррекция изображения . . . . . . . . . . . . . . . . .
564
19. Сглаживание и повышение резкости изображения . . . . . . . . . . . . . . .
569
20. Представления цветных изображений в формате RAW, Технология формирования цветных изображений . . . . . . . . . . . . . . . . . . . . . . . . . . .
575

ПРАКТИЧЕСКИЕ ЗАДАНИЯ
1. Определение погрешности измерения по заданным данным . . . . . . . . . .
584
2. Найти основные числовые значения заданных случайных величин
. . . . . .
585
3. Провести первичную обработку заданных сигналов
. . . . . . . . . . . . . .
586
4. Определить способ сглаживания изображения посредством скользящего усреднения
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
587
5. Вычисление скорости звука с помощью функции взаимной корреляции
. . .
588
6. Определение значений функции взаимной корреляции заданных данных . . .
589
7. Произвести дискретное преобразование Фурье заданной функции
. . . . . .
590

Раздел 1

КОММЕНТАРИИ К ВОПРОСАМ И ЗАДАНИЯМ
ГОСУДАРСТВЕННОГО ЭКЗАМЕНА ДЛЯ СПЕЦИАЛЬНОСТИ
«ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ»,
СПЕЦИАЛИЗАЦИЯ «БЕЗОПАСНОСТЬ
ИНФОРМАЦИОННЫХ СИСТЕМ»

ТЕОРЕТИЧЕСКИЕ ВОПРОСЫ

1. Классификация угроз информационной безопасности
баз данных и средства по их предотвращению

Для того чтобы обеспечить определенный уровень безопасности информационных систем, необходимо понять природу возникающих угроз,
основные методы, обеспечивающие снижение уровня уязвимости системы или технологии, и стоимость соответствующих решений, соотнесенную с уровнем безопасности, который обеспечивается решением.
Недостаточный уровень осознания лицами, принимающими решения, природы угроз и назначения и характеристик методов обеспечения
безопасности приводит к широкому распространению различных заблуждений.
Реализация всестороннего анализа угроз информационной безопасности любого объекта, в том числе и систем баз данных, требует проведения
классификации. Научная классификация опирается на анализ предшествующего опыта, объединяет близкие по содержанию случаи в выделенные разделы классификатора. Независимо от принятого подхода к определению
безопасности классификация угроз и их источников представляет самостоятельный интерес. Наличие различных классификаций позволяет исследователю не пропустить существенную для конкретной системы угрозу из богатого списка угроз информационной безопасности баз данных.
Проблема обеспечения информационной безопасности баз данных
является многогранной. Сами базы данных — это модель реального мира,
который бесконечно многообразен. Проектирование и сопровождение систем баз данных требуют современных программно-аппаратных средств обработки данных и достаточно сложных схем и структур организационного управления. Поэтому можно выбрать много оснований для классификации угроз информационной безопасности баз данных. Учитывая

высокий темп изменений в компьютерной и телекоммуникационной индустрии, следует ясно понимать, что вряд ли представленная классификация является исчерпывающей.
Анализ современной научной литературы позволил выделить следующие варианты классификации возможных угроз нарушения информационной безопасности баз данных.
Классификация по цели реализации угрозы:
нарушение конфиденциальности информации, т. е. использование
информации, хранящейся в системе, лицами или процессами, которые не были определены владельцами информации;
нарушение целостности информации, т. е. модификация или уничтожение информации для ее обесценивания путем утраты соответствия с состоянием моделируемых сущностей реального мира;
полное или частичное нарушение работоспособности системы за
счет вывода из строя или некорректного изменения режимов работы компонентов системы, включая их модификацию или подмену.
Классификация по природе возникновения угрозы:
естественные угрозы — угрозы, вызванные воздействием на систему баз данных и ее компоненты объективных физических процессов или стихийно развивающихся природных явлений;
искусственные угрозы — угрозы информационной безопасности
систем баз данных, связанных с деятельностью человека.
Классификация по локализации источника угрозы представляется
следующим образом:
1. Угрозы, непосредственным источником которых является человек:

разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, электронных замков и т. п.) легальными пользователями системы;

подкуп или шантаж обслуживающего персонала или пользователей, имеющих необходимые полномочия, с целью получения их
параметров для процедур аутентификации;

копирование конфиденциальных данных легальным пользователем системы с целью неправомерного использования (продажа,
шантаж и т. п.);

взлом системы защиты с целью выполнения деструктивных действий лицом, не являющимся законным пользователем системы;

внедрение агентов фирм-конкурентов или преступных организаций в обслуживающий персонал атакуемой информационной
системы (в том числе в административную группу, в группу обеспечения информационной безопасности).

8 Раздел 1. Специализация «Безопасность информационных систем»

2. Угрозы, непосредственным источником которых являются штатные программно-аппаратные средства информационной системы:

неквалифицированное использование или ошибочный ввод параметров программ, способных привести к полной или частичной
потере работоспособности системы (аварийное завершение системных процессов, нецелевое расходование вычислительных ресурсов и т. п.);

неквалифицированное использование или ошибочный ввод параметров программ, способных привести к необратимым изменениям в системе (инициализация баз данных, форматирование
или реструктуризация носителей информации, удаление данных
и т. п.);

отказы и сбои в работе операционной системы, СУБД и прикладных программ.
3. Угрозы, непосредственным источником которых являются несанкционированно используемые программно-аппаратные средства:

нелегальное внедрение и использование программ, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей;

нелегальное внедрение (из-за халатности легального пользователя) и использование троянских программ, предназначенных для
исследования параметров автоматизированной информационной
системы, сбора данных, зомбирования компьютера с последующим нецелевым расходованием ресурсов и т. п.;

заражение компьютера вирусами с деструктивными функциями;

работа генераторов шума и подобных источников электромагнитного излучения.
4. Угрозы, непосредственным источником которых является среда обитания:

внезапное и длительное отключение систем электропитания;

техногенные и природные катастрофы;

всплески природных электромагнитных излучений. Классификация по расположению источника угроз. Угрозы, источник которых расположен вне контролируемой зоны места расположения
автоматизированной информационной системы:

нарушение нормальной работы или разрушение систем жизнеобеспечения зданий, в которых расположены технические средства и обслуживающий систему персонал — блокирование физического доступа на объект размещения автоматизированной системы обслуживающего персонала или пользователей;

1. Классификация угроз информационной безопасности баз данных 9

нарушение нормальной работы или разрушение внешних каналов
связи (проводные линии, радиоканалы, оптоволокно).
5. Угрозы, источник которых расположен в пределах контролируемой зоны расположения автоматизированной информационной системы,
исключая места расположения клиентских терминалов и серверных помещений:

нарушение нормальной работы или разрушение систем электропитания и водоснабжения помещений, в которых расположены
технические средства, обеспечивающие работу автоматизированной системы;

физическое разрушение линий связи или аппаратуры, обеспечивающей работу информационной системы;

считывание конфиденциальной информации из аппаратных средств
телекоммуникационной или вычислительной техники с использованием перехвата электромагнитных излучений;

выведение из рабочего состояния обслуживающего персонала (организация саботажа, применение отравляющих веществ, психотропных средств и т. п.).
6. Угрозы, источник которых имеет доступ к терминальным устройствам автоматизированной информационной системы:

получение параметров входа в систему и аутентифицирующей
информации с использованием видеонаблюдения, клавиатурных
закладок и технологий подбора паролей;

получение параметров входа в систему и аутентифицирующей
информации с использованием мошеннических приемов, насилия или угрозы насилия;

получение возможности несанкционированного входа в систему
в период, когда легальный пользователь покинул рабочее место,
не завершив сеанс взаимодействия с системой;

получение конфиденциальной информации из распечаток результатов выполнения запросов и иных выводимых системой
данных.
7. Угрозы, источник которых имеет доступ к помещениям, где расположены серверы автоматизированной информационной системы:

физическое разрушение элементов серверов и коммутационной
аппаратуры;

выключение электропитания серверов и коммутационной аппаратуры;

остановка серверных и иных критически важных для функционирования автоматизированной системы процессов;

10 Раздел 1. Специализация «Безопасность информационных систем»