Необходимость объектно ориентированного подхода к информационной безопасности является следствием
Распространение объектно-ориентированного подхода на информационную безопасность
Применение объектно-ориентированного подхода к рассмотрению защищаемых систем
Попытаемся применить объектно-ориентированный подход к вопросам информационной безопасности.
Таким образом, мы структурировали нашу цель. Теперь нужно структурировать средства ее достижения. Введем следующие грани :
Пусть интересы субъектов информационных отношений концентрируются вокруг ИС некой организации, располагающей двумя территориально разнесенными производственными площадками, на каждой из которых есть серверы, обслуживающие своих и внешних пользователей, а также пользователи, нуждающиеся во внутренних и внешних сервисах. Одна из площадок оборудована внешним подключением (то есть имеет выход в Internet ).
При взгляде с нулевым уровнем детализации мы увидим лишь то, что у организации есть информационная система (см. рис. 2.1).
По каким критериям проводить декомпозицию ИС – в значительной степени дело вкуса. Будем считать, что на первом уровне детализации делаются видимыми сервисы и пользователи, точнее, разделение на клиентскую и серверную часть (рис. 2.2).
На этом уровне следует сформулировать требования к сервисам (к самому их наличию, к доступности, целостности и конфиденциальности предоставляемых информационных услуг), изложить способы выполнения этих требований, определить общие правила поведения пользователей, необходимый уровень их предварительной подготовки, методы контроля их поведения, порядок поощрения и наказания и т.п. Могут быть сформулированы требования и предпочтения по отношению к серверным и клиентским платформам.
На втором уровне детализации мы увидим следующее (см. рис. 2.3).
Находясь на уровне детализации 2, мы должны учитывать законы, применимые к организациям, ИС которых снабжены внешними подключениями. Речь идет о допустимости такого подключения, о его защите, об ответственности пользователей, обращающихся к внешним сервисам, и об ответственности организаций, открывающих свои сервисы для внешнего доступа. Конкретизация аналогичной направленности, с учетом наличия внешнего подключения, должна быть выполнена на административном, процедурном и программно-техническом уровнях.
Обратим внимание на то, что контейнер (в смысле компонентной объектной среды ) «ИС организации» задает границы контролируемой зоны, в пределах которых организация проводит определенную политику. Internet живет по другим правилам, которые организация должна принимать, как данность.
Необходимость объектно ориентированного подхода к информационной безопасности является следствием того что
Сложность обеспечения информационной безопасности является следствием:
В число универсальных сервисов безопасности входят:
В число принципов управления персоналом входят:
Комплексное экранирование может обеспечить:
Уровень безопасности C, согласно «Оранжевой книге», характеризуется:
Перехват данных является угрозой:
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
В число целей политики безопасности верхнего уровня входят:
В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:
Оценка рисков позволяет ответить на следующие вопросы:
В число этапов управления рисками входят:
Агрессивное потребление ресурсов является угрозой:
В рамках программы безопасности нижнего уровня определяются:
«Общие критерии» содержат следующие виды требований:
В законопроекте «О совершенствовании информационной безопасности» (США, 2001 год) особое внимание обращено на:
Что из перечисленного относится к числу основных аспектов информационной безопасности:
Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:
На современном этапе развития законодательного уровня информационной безопасности в России важнейшее значение имеют:
Меры информационной безопасности направлены на защиту от:
Совместно с криптографическими сервисами туннелирование может применяться для достижения следующих целей:
В число возможных стратегий нейтрализации рисков входят:
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
Согласно стандарту X.700, в число функций управления безопасностью входят:
Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:
Риск является функцией:
В число этапов жизненного цикла информационного сервиса входят:
В число классов функциональных требований «Общих критериев» входят:
Доступность достигается за счет применения мер, направленных на повышение:
Уголовный кодекс РФ не предусматривает наказания за:
Сложность обеспечения информационной безопасности является следствием:
Что из перечисленного не относится к числу основных аспектов информационной безопасности:
В число принципов физической защиты входят:
Туннелирование может применяться для достижения следующих целей:
Самыми опасными угрозами являются:
Достоинствами асинхронного тиражирования являются:
Компьютерная преступность в мире:
В число классов мер процедурного уровня входят:
Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:
В число возможных стратегий нейтрализации рисков входят:
Уголовный кодекс РФ не предусматривает наказания за:
Что понимается под информационной безопасностью:
В число направлений повседневной деятельности на процедурном уровне входят:
В число направлений физической защиты входят:
Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:
Управление рисками включает в себя следующие виды деятельности:
После идентификации угрозы необходимо оценить:
В число этапов жизненного цикла информационного сервиса входят:
Аутентификация на основе пароля, переданного по сети в зашифрованном виде и снабженного открытой временной меткой, плоха, потому что не обеспечивает защиты от:
Большинство людей не совершают противоправных действий потому, что это:
Сложность обеспечения информационной безопасности является следствием:
Средний ущерб от компьютерного преступления в США составляет примерно:
В число уровней, на которых группируются меры обеспечения информационной безопасности, входят:
Каркас необходим системе управления для придания:
Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:
Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:
В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:
Интенсивности отказов независимых компонентов:
Эффективность информационного сервиса может измеряться как:
Доступность достигается за счет применения мер, направленных на повышение:
Информационный сервис считается недоступным, если:
Системы анализа защищенности помогают:
На межсетевые экраны целесообразно возложить следующие функции:
Экранирование на сетевом уровне может обеспечить:
Сигнатурный метод выявления атак хорош тем, что он:
Протоколирование само по себе не может обеспечить неотказуемость, потому что:
Криптография необходима для реализации следующих сервисов безопасности:
Цифровой сертификат содержит:
При использовании описанного в курсе подхода к разграничению доступа в объектной среде правила разграничения доступа задаются в виде:
Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:
При использовании версии сервера аутентификации Kerberos, описанной в курсе:
При использовании сервера аутентификации Kerberos пароли по сети:
О необходимости объектно-ориентированного подхода к информационной безопасности
В настоящее время информационная безопасность является относительно замкнутой дисциплиной, развитие которой не всегда синхронизировано с изменениями в других областях информационных технологий. В частности, в ИБ пока не нашли отражения основные положения объектно-ориентированного подхода, ставшего основой при построении современных информационных систем. Не учитываются в ИБ и достижения в технологии программирования, основанные на накоплении и многократном использовании программистских знаний. На наш взгляд, это очень серьезная проблема, затрудняющая прогресс в области ИБ.
Попытки создания больших систем еще в 60-х годах вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследований в области технологии программирования стали сначала структурированное программирование, затем объектно-ориентированный подход.
Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и, более того, необходимым, стремление распространить этот подход и на системы информационной безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности.
Сложность эта имеет двоякую природу. Во-первых, сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как профили защиты на основе «Общих критериев», речь о которых впереди. Эта сложность менее очевидна, но ею также нельзя пренебрегать; необходимо изначально строить семейства документов по объектному принципу.
Основные понятия объектно-ориентированного подхода
Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов.
Что же понимается под объектом и каковы другие основополагающие понятия данного подхода?
Подчеркнем, что объекты активны, у них есть не только внутренняя структура, но и поведение, которое описывается так называемыми методами объекта. Например, может быть определен класс «пользователь», характеризующий «пользователя вообще», то есть ассоциированные с пользователями данные и их поведение (методы). После этого может быть создан объект «пользователь Иванов» с соответствующей конкретизацией данных и, возможно, методов.
К активности объектов мы еще вернемся.
Следующую группу важнейших понятий объектного подхода составляют инкапсуляция, наследование и полиморфизм.
Понятие «полиморфизм» может трактоваться как способность объекта принадлежать более чем одному классу. Введение этого понятия отражает необходимость смотреть на объекты под разными углами зрения, выделять при построении абстракций разные аспекты сущностей моделируемой предметной области, не нарушая при этом целостности объекта. (Строго говоря, существуют и другие виды полиморфизма, такие как перегрузка и параметрический полиморфизм, но нас они сейчас не интересуют.)
Наследование означает построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов. Наследование является важным инструментом борьбы с размножением сущностей без необходимости. Общая информация не дублируется, указывается только то, что меняется. При этом класс-потомок помнит о своих «корнях».
Очень важно и то, что наследование и полиморфизм в совокупности наделяют объектно-ориентированную систему способностью к относительно безболезненной эволюции. Средства информационной безопасности приходится постоянно модифицировать и обновлять, и если нельзя сделать так, чтобы это было экономически выгодно, ИБ из инструмента защиты превращается в обузу.
Мы еще вернемся к механизму наследования при рассмотрении ролевого управления доступом. Пополним рассмотренный выше классический набор понятий объектно-ориентированного подхода еще двумя понятиями: грани объекта и уровня детализации.
Понятие уровня детализации показа позволяет рассматривать иерархии с потенциально бесконечной высотой, варьировать детализацию как объектов в целом, так и их граней.
Весьма распространенной конкретизацией объектно-ориентированного подхода являются компонентные объектные среды, к числу которых принадлежит, например, JavaBeans. Здесь появляется два новых важных понятия: компонент и контейнер.
Неформально компонент можно определить как многократно используемый объект, допускающий обработку в графическом инструментальном окружении и сохранение в долговременной памяти.
Контейнеры могут включать в себя множество компонентов, образуя общий контекст взаимодействия с другими компонентами и с окружением. Контейнеры могут выступать в роли компонентов других контейнеров.
Компонентные объектные среды обладают всеми достоинствами, присущими объектно-ориентированному подходу:
Понятия же компонента и контейнера необходимы нам потому, что с их помощью мы можем естественным образом представить защищаемую ИС и сами защитные средства. В частности, контейнер может определять границы контролируемой зоны (задавать так называемый «периметр безопасности»).
На этом мы завершаем описание основных понятий объектно-ориентированного подхода.
Дата добавления: 2017-10-09 ; просмотров: 682 ; ЗАКАЗАТЬ НАПИСАНИЕ РАБОТЫ
Объектно-ориентированный подход к информационной безопасности
Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и необходимым, стремление распространить этот подход и на системы информационной безопасности. Сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности.
Сложная система информационной безопасности на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на верхнем уровне компоненты, и так далее вниз до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции. Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов.
Весьма распространенной конкретизацией объектно-ориентированного подхода являются компонентные объектные среды. Здесь используется два важных понятия: компонент и контейнер. Компонент можно определить как многократно используемый объект, допускающий обработку в графическом инструментальном окружении и сохранение в долговременной памяти. Контейнеры могут включать в себя множество компонентов и выступать в роли компонентов других контейнеров.
Компонентные объектные среды обладают всеми достоинствами, присущими объектно-ориентированному подходу:
Применяя объектно-ориентированный подход к вопросам информационной безопасности, можно ввести понятие грани. Фактически три грани уже были введены: это доступность, целостность и конфиденциальность. Их можно рассматривать относительно независимо, и считается, что если все они обеспечены, то обеспечена и ИБ в целом (то есть субъектам информационных отношений не будет нанесен неприемлемый ущерб). Таким образом цель структурирована. Средства достижения цели можно структурировать по следующим граням:
Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны (международные конвенции имеют даже более широкую область действия).
Административные меры ориентированы на всех субъектов в пределах организации, процедурные меры – на отдельных людей (или небольшие категории субъектов), программно-технические меры – на оборудование и программное обеспечение.
При такой трактовке в переходе с уровня на уровень осуществляется наследование (каждый следующий уровень не отменяет, а дополняет предыдущий), полиморфизм (субъекты выступают сразу в нескольких ролях — например, как инициаторы административных мер и как обычные пользователи, обязанные этим мерам подчиняться) и инкапсуляция (для фиксированной грани в одной совокупности (например, доступности) грани в другой совокупности должны пробегать все множество возможных значений от законодательных, административных, процедурных до программно-технических мер).
Статьи к прочтению:
9. JAVA. Сокеты, разбор задачи Мессенджер | Технострим
Похожие статьи:
Задачи информационной безопасности общества Анализ основ информационной безопасности показал, что обеспечение безопасности является задачей комплексной….
До появления Windows как операционной системы для разработки приложений применялось традиционное процедурное программирование. Для создания графических…
Распространение объектно-ориентированного подхода на информационную безопасность
Описание презентации по отдельным слайдам:
Описание слайда:
Распространение объектно-ориентированного подхода на информационную безопасность
Лекция №2
Описание слайда:
Основные понятия объектно-ориентированного подхода
Применение ООП к рассмотрению защищаемых систем
Недостатки традиционного подхода к ИБ с объектной точки зрения
Вопросы темы:
Описание слайда:
1. Основные понятия объектно-ориентированного подхода
В настоящее время в ИБ пока не нашли отражения основные положения объектно-ориентированного подхода, ставшего основой при построении современных информационных систем. Не учитываются в ИБ и достижения в технологии программирования, основанные на накоплении и многократном использовании программистских знаний.
Это очень серьезная проблема, затрудняющая прогресс в области ИБ.
Описание слайда:
Попытки создания больших систем еще в 60-х годах вскрыли многочисленные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследований в области технологии программирования стали сначала структурированное программирование, затем объектно-ориентированный подход.
Объектно-ориентированный подход является основой современной технологии программирования.
Описание слайда:
Структурный подход опирается на алгоритмическую декомпозицию, когда выделяются функциональные элементы системы. Основная проблема структурного подхода состоит в том, что он неприменим на ранних этапах анализа и моделирования предметной области, когда до алгоритмов и функций дело еще не дошло.
Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов.
Описание слайда:
Описание слайда:
Описание слайда:
Наследование означает построение новых классов на основе существующих с возможностью добавления или переопределения данных и методов.
Наследование является важным инструментом борьбы с размножением сущностей без необходимости.
Общая информация не дублируется, указывается только то, что меняется.
При этом класс-потомок помнит о своих «корнях».
Средства ИБ приходится постоянно модифицировать и обновлять.
Описание слайда:
Описание слайда:
2. Применение ООП к рассмотрению защищаемых систем
Описание слайда:
процедурные меры (меры безопасности, ориентированные на людей);
программно-технические меры.
Описание слайда:
Описание слайда:
3. Недостатки традиционного подхода к информационной безопасности с объектной точки зрения
Исходя из основных положений ООП, следует признать устаревшим традиционное деление на активные и пассивные сущности (субъекты и объекты в привычной для дообъектной ИБ терминологии).
Во-первых, в объектном подходе пассивных объектов нет.
Во-вторых, нельзя сказать, что какие-то программы (методы) выполняются от имени пользователя.
Описание слайда:
В дообъектной ИБ одним из важнейших требований является безопасность повторного использования пассивных сущностей (таких, например, как динамически выделяемые области памяти).
Подобное требование вступает в конфликт с таким фундаментальным принципом, как инкапсуляция. Объект нельзя очистить внешним образом (заполнить нулями или случайной последовательностью бит), если только он сам не предоставляет соответствующий метод.
При наличии такого метода надежность очистки зависит от корректности его реализации и вызова.
Описание слайда:
Одним из самых прочных стереотипов среди специалистов по ИБ является трактовка операционной системы как доминирующего средства безопасности.
В современных ИС, выстроенных в многоуровневой архитектуре клиент/сервер, ОС не контролирует объекты, с которыми работают пользователи, также как и действия самих пользователей, которые регистрируются и учитываются прикладными средствами.
Основной функцией безопасности ОС становится защита возможностей, предоставляемых привилегированным пользователям, от атак пользователей обычных.
Описание слайда:
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Курс повышения квалификации
Охрана труда
Курс профессиональной переподготовки
Библиотечно-библиографические и информационные знания в педагогическом процессе
Курс профессиональной переподготовки
Охрана труда
Ищем педагогов в команду «Инфоурок»
Найдите материал к любому уроку, указав свой предмет (категорию), класс, учебник и тему:
также Вы можете выбрать тип материала:
Общая информация
Похожие материалы
Памятка :» Антитеррористическая безопасность»
Статья «Концепция развития общего и профессионального образования в рамках стратегии социально- экономического развития Республики Татарстан»
Трудовые резервы 26А
Заводская 21
Заводская 23
«Варианты сервировки стола» 1-я младшая группа
Митоз
Конкурс фотографий
Не нашли то что искали?
Воспользуйтесь поиском по нашей базе из
5366806 материалов.
Вам будут интересны эти курсы:
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.
Путин поручил не считать выплаты за классное руководство в средней зарплате
Время чтения: 1 минута
Учителя Кубани смогут получить миллион рублей на взнос по ипотеке
Время чтения: 1 минута
Учителям предлагают 1,5 миллиона рублей за переезд в Златоуст
Время чтения: 1 минута
Утверждены сроки заключительного этапа ВОШ
Время чтения: 1 минута
ДНР полностью перешла на стандарты и программы России в образовании
Время чтения: 1 минута
Для школьников к 1 сентября разработают короткие экскурсионные маршруты
Время чтения: 1 минута
Подарочные сертификаты
Ответственность за разрешение любых спорных моментов, касающихся самих материалов и их содержания, берут на себя пользователи, разместившие материал на сайте. Однако администрация сайта готова оказать всяческую поддержку в решении любых вопросов, связанных с работой и содержанием сайта. Если Вы заметили, что на данном сайте незаконно используются материалы, сообщите об этом администрации сайта через форму обратной связи.
Все материалы, размещенные на сайте, созданы авторами сайта либо размещены пользователями сайта и представлены на сайте исключительно для ознакомления. Авторские права на материалы принадлежат их законным авторам. Частичное или полное копирование материалов сайта без письменного разрешения администрации сайта запрещено! Мнение администрации может не совпадать с точкой зрения авторов.