- •Вопрос 01. Информационные системы. Термины и определения. Фз «Об инф., информационных технологиях и зи».
- •Вопрос 02. Автоматизированные системы. Термины и определения. Гост 34-003.
- •Вопрос 03. Системы обработки данных. Классификация и основные компоненты сод. Характеристики и параметры сод. Основные режимы работы сод.
- •Вопрос 04. Модели безопасности. Модель матрицы доступов hru.
- •Вопрос 05. Модель распространения прав доступа Take-Grand.(брать-давать)
- •Вопрос 06. Модели безопасности. Расширенная модель распространения прав доступа Take-Grant.
- •Вопрос 07. Управление доступом. Реализация дискреционного доступа. Достоинства и недостатки дискреционного доступа.
- •Вопрос 08. Модели безопасности. Классическая модель Белла – ЛаПадула.
- •Вопрос 09. Модели безопасности. Модель Low-Water-Mark. Достоинства и недостатки модели Белла – ЛаПадула.
- •Вопрос 10. Политика mls.
- •Вопрос 11. Модели безопасности информационных потоков. Модель Goguen-Meseger (gм).
- •Вопрос 12. Модели безопасности. Модели адепт-50.
- •Вопрос 13. Модель «Пятимерное пространство безопасности Хартстона».
- •Вопрос 14. Модели безопасности. Модели на основе анализа угроз системе (игровая модель и модель с полным перекрытием).
- •Вопрос 15. Модели безопасности. Модели конечных состояний (Линдвера, Белла-ЛаПадула). Основная теорема безопасности.
- •Вопрос 17. Модели безопасности. Модель выявления нарушения безопасности.
- •Вопрос 18. Модели контроля целостности. Модель Биба.
- •Вопрос 19. Модели контроля целостности. Модель Кларка-Вилсона.
- •Вопрос 21. Объединение моделей безопасности и контроля целостности. Модель Липнера.
- •Вопрос 22. Политика иб. Определение. Структура документа. Формирование политики иб. Политика иб – набор правил и рекомендаций, определяющих управление, распределение и защиту информации в организации.
- •Вопрос 23. Модель нарушителя.
- •Вопрос 24. Модель Угроз
- •Вопрос 25. Реализация угроз. Атаки и вторжения. Характеристика атак. Виды атак по соотношению «нарушитель – атакуемый объект». Типовые удаленные атаки.
- •Вопрос 26. Реализация угроз. Атаки и вторжения. Определение вторжения. Типовой сценарий. Описание атак и вторжений.
- •Вопрос 27. Политика иб. Формирование политики иб. Основные принципы.
- •Вопрос 28. Политика иб. Ответственность за иб. Реакция на инциденты иб (цели реакции, мониторинг, ответные меры).
- •Вопрос 29. Политика иб. Основные подходы к разработке политики иб. Жизненный цикл политики иб.
- •Жизненный цикл политики иб.
- •Вопрос 30. Парольные системы. Назначение и структура парольных систем. Угрозы для парольных систем.
- •Вопрос 31. Парольные системы. Выбор пароля. Требования к паролю. Количественные характеристики пароля.
- •Вопрос 32. Парольные системы. Хранение и передача пароля по сети
- •Вопрос 33. Атаки на парольные системы. Примеры практической реализации атак на парольные системы.
- •Вопрос 34. Протоколы аутентификации. Простая аутентификация.
- •Вопрос 35. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на симметричных алгоритмах.
- •Вопрос 36. Протоколы аутентификации. Строгая аутентификация. Виды строгой аутентификации. Аутентификация, основанная на асимметричных алгоритмах. Аутентификация с нулевым разглашением.
- •Вопрос 37. Методология построения систем защиты информации в ас. Общие методы разработки защищенных ас.
- •Вопрос 38. Методология построения систем защиты информации в ас. Доверенная вычислительная среда (теория безопасных систем)
- •Вопрос 39. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост 34.601.
- •Вопрос 40. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл ас. Гост р исо/мэк 15288.
- •Вопрос 41. Методология построения систем защиты информации в ас. Основные этапы разработки защищенных ас. Жизненный цикл по. Гост р исо/мэк 12207.
- •Вопрос 43. Принципы разработки защищенных ас.
- •Вопрос 51. Защита от внедрения недокументированных возможностей, при разработке по.
- •Вопрос 52. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Основные принципы.
- •Вопрос 53. Методология построения систем защиты информации в ас. Создание комплексных систем защиты информации. Научно-исследовательская разработка.
- •Вопрос 54. Методология построения систем защиты информации в ас. Методы моделирования и подходы к оценке комплексных систем защиты информации;
- •Основные принципы создания.
- •Вопрос 55. Методология построения систем защиты информации в ас. Построение организационной структуры
- •Вопрос 56. Каскадные модели.
- •Вопрос 57. V-образная модель. Спираль.
- •Вопрос 58. Средства защиты от атак и вторжений. Системы обнаружения вторжений. Структура сов и их классификация.
- •Вопрос 59. Системы обнаружения вторжений. Методы анализа для выявления атак
- •Методы на основе искусственного интеллекта
- •Вопрос 26. Уязвимости. Причины их возникновения. Ошибки, приводящие к уязвимостям
- •27. Уязвимости. Поиск уязвимостей в процессе разработки и анализа систем. Методы и средства поиска уязвимостей
- •Вопрос 60. Политика иб. Правила политики иб.
Вопрос 01. Информационные системы. Термины и определения. Фз «Об инф., информационных технологиях и зи».
Термины и определения устанавливаются в двух документах: «национальный стандарт РФ» и «федеральный закон РФ». ГОСТ 34 касается полностью АС. ГОСТ 34.003-90 содержит перечень терминов и определений относящихся к АС.
Информационная система – это совокупность, содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
ИТКСеть—это технологическая система, предназначенная для передачи по линиям связи информации доступ к которой осуществляется с использованием средств ВТ.
ИТКСистема – это организационно техническое объединение информационных, телекоммуникационных ресурсов, а так же персонала и пользователей, которые обеспечивают необходимый набор и качество информационных услуг.
Что включается в ИТКСистему:
1.государственная ИТКС, т.е. системы, которые созданы на основе нормативных документов.
2. муниципальные ИТКС, создаются по решению органов местного самоуправления.
3. иные ИТКС, информация рассматривается как собственность.
У каждой ИТКС есть собственник.
Информация – это сведения не зависимо от формы их представления.
Меры ЗИ:
1.правовые
2. организационные
3.технические.
Направлены на предотвращение НСД. Блокирования, распределения информации ограниченного доступа, на обеспечение конфиденциальности, на обеспечение доступа к общедоступной информации. Ключевым моментом является предотвращение неправомерного доступа и обеспечения доступа.
Вопрос 02. Автоматизированные системы. Термины и определения. Гост 34-003.
Термины и определения устанавливаются в двух документах: «национальный стандарт РФ» и «федеральный закон РФ».
ГОСТ 34 касается полностью АС. ГОСТ 34.003-90 содержит перечень терминов и определений относящихся к АС.
АС – это система состоящая из персонала и комплекса средств автоматизации го деятельности, реализующая информационную технологию выполнения установленных функций.
Персонал:
Пользователи АС—лица, участвующие в функционировании АС или использующие результаты функционирования.
Эксплутационный персонал – лица, обеспечивающие функционирование АС.
Виды обеспечения АС:
1.программное
2. математическое
3. информационное
4. организационное
Программно-технический комплекс АС—это совокупность средств вычислительной техники, ПО, а также средств формирования информационной базы, которой достаточно для выполнения как минимум одной задачи.
Вопрос 03. Системы обработки данных. Классификация и основные компоненты сод. Характеристики и параметры сод. Основные режимы работы сод.
СОД – это совокупность технических средств и ПО, предназначенных для информационного обслуживания пользователей и технических объектов.
Классификация СОД:
1.Сосредоточенные системы (ПЭВМ, вычислительные комплексы, системы)
2.Распределенный вид (ВТ сети, локальные и глобальные сети, системы телеобработки).
Сосредоточенные СОД:
Появились первыми, основаны на ПЭВМ. Особенность многомашинных СОД – это интерфейс. Отличие ВТ систем в том, что они ориентированны, решать определенный класс задач.
Специализация реализуется:
- за счет специализированного ПО.
- изначально разрабатываются устройства для ОД.
Распределенные СОД:
Появились позже. Телекоммутинг — системы телеобработки – удаленная работа, т.е.служат для работы на расстоянии. ВТ сети появились в конце 60-х, чтобы обеспечить удаленный доступ к данным. Их делят на локальные и глобальные. Иногда выделяют региональные сети.
Сеть условно представляют из двух частей: базовая сеть передачи данных и устройства для обработки и хранения данных.
В состав электронных СОД входят: в основе – технические средства; ПО – сетевое и прикладное.
Структуру СОД представляют в виде графов. Размерность во многом зависит о детализации, и от размеров СОД. Функционирование представляется в виде процесса. Процесс – это динамический объект, который реализует целенаправленные действия по обработке данных. Бывает: системный процесс – обеспечивает функционирование СОД и работу пользователей; прикладной процесс – инициируется пользователем и решает нужные ему задачи.
Характеристики и параметры при разработке СОД.
Эффективность – степень соответствия системы.
Способов оценки основных характеристик существует много.
Характеристики – отражают свойства системы в целом. Эти свойства проявляются в процессе эксплуатации системы и зависят от организации системы. Организация представляется набором параметров (количество процессов, объем памяти. Характеристики: производительность и быстродействие).
Производительность СОД, она определяет вычислительную мощность(объем работы в единицу времени).
Производительность:
- номинальная, которая определяет потенциальные возможности системы.
- фактическая, зависит от условий эксплуатации системы, всегда меньше номинальной.
Время реакции системы:
- время выполнения.
- время ожидания, сколько времени входные данные хранились в системе до выполнения ОД.
Надежность—это свойство системы выполнять заданные функции в заданных условиях функционирования и с заданными показателями качества.
Работоспособность – непрерывное функционирование систем.
Интенсивность отказов – это нарушений в единицу времени.
Режимы ОД – это способ выполнения задач, характеризуется тем как распределяются ресурсы.
Способы обработки данных:
1.Однозадачный.
2. Многозадачный (мультипрограммный).
3. Оперативная ОД, когда работает пользователь. Характеризуется: малым объемом входных данных, высокой интенсивностью взаимодействия с пользователем, коротким временем реакции.
4. Пакетная ОД, большой объем обрабатываемых данных, большое время реакции.
5. режим реального времени, небольшой объем данных, временные характеристики регламентируются.
Выделяют две архитектуры, деление СОД по способу взаимодействия и способу хранения данных:
Файловый сервер и клиент сервер.