- •Введение. Общая характеристика курса Теория информационной безопасности и методология защиты информации: Основные разделы курса:
- •Последующие курсы:
- •Список литературы:
- •Периодическая литература:
- •1 Математические основы теории информации.
- •Основные свойства вероятностей:
- •Случайные величины.
- •2 Научная терминология (базовые понятия)
- •Необходимыми признаками теории являются:
- •Структура теории:
- •3 Ценность информации.
- •Решетка подмножеств X.
- •Mls решетка
- •4 Роль и место информационных ресурсов в современной жизни
- •Литература:
- •5 Информационные ресурсы. Новые технологии
- •Особенности информационных ресурсов:
- •Новые информационные технологии
- •6 Безопасность информации. Информационная безопасность
- •Литература:
- •Требования к информации с точки зрения ее безопасности
- •Литература:
- •7 Концепция информационной безопасности России
- •8 Этапы развития концепции обеспечения безопасности информации
- •Классификация защищаемой информации по характеру сохраняемой тайны Литература:
- •Литература:
- •Конфиденциальная информация.
- •10 Угрозы безопасности информации. Обобщенная модель нарушения защищенности информации. Примеры конкретных видов угроз. Требования к информации с точки зрения её безопасности (доступа к ней)
- •Угрозы безопасности информации (опасности).
- •Общая модель процесса нарушения защищенности информации:
- •Классификация угроз безопасности данных
- •Характеристика конкретного вида опасности (угрозы)
- •Угрозы информации
- •Угрозы Секретности
- •Угрозы Целостности
- •Модели общей оценки угроз информации
- •Методика вычисления показателей защищённости информации.
- •Анализ опасностей
- •Ряд других нерешенных проблем в dea, обнаруженных gao:
- •13 Компьютерные преступления
- •Литература:
- •14 Цели и особенности моделирования процессов и систем защиты информации Особенности проблем зи:
- •Классификация моделей процессов и систем зи:
- •15 Модель наиболее опасного поведения потенциального нарушителя (злоумышленника)
- •Основные задачи злоумышленника в информационной борьбе:
- •Модели защиты информации от несанкционированного доступа
- •Модели систем разграничения доступа к ресурсам асод
- •Литература:
- •16 Определение базовых показателей уязвимости (защищенности) информации:
- •Определение обобщенных показателей уязвимости:
- •Анализ показателей защиты (уязвимости) многоуровневой сзи
- •19 Политика безопасности
- •Определение политики безопасности
- •19,23,25 Язык описания политик безопасности
- •Модель Белла и Лападулла
- •20 Дискреционная политика
- •21 Матричная модель
- •22 Многоуровневые политики. Метка безопасности. Разрешенные информационные потоки. Политика mls
- •24 Модель Диона Субъекты в модели Диона
- •Объекты в модели Диона
- •Условия образования информационных каналов
- •Литература
- •25 Политика целостности Biba
- •1. Вступление
- •2 Причины возникновения
- •3. Роли и соответствующие понятия
- •4. Семейство базовых моделей
- •4.1 Базовая модель
- •4.2 Иерархии ролей
- •4.3. Ограничения
- •4.4 Сводная модель
- •5. Модели управления
- •6. Заключение
- •Литература
- •29 Анализ и управление риском Понятие риска. Принципы управления риском
- •Определение системных ценностей (assets)
- •Ожидаемые годовые потери (Annual Loss Expectancy)
- •Управление риском (risk management)
- •Выбор мер обеспечения безопасности (safeguard selection)
- •Вычисление показателя степени риска
- •Анализ опасностей
- •Элементы анализа степени риска:
- •Управление риском: Риск. Устойчивое развитие
- •Введение
- •Некоторые принципы управления риском.
- •Дополнительные принципы.
- •Литература:
- •Формальные средства защиты
- •Неформальные средства защиты
- •32 Оптимальные задачи зи. Постановка задачи. Классификация методов принятия решения в зи
- •Аналитические методы :
- •Доп. Литература:
- •Оптимальные задачи защиты информации
- •33 Формальные методы принятия решений. Многокритериальная оптимизация. Многокритериальные задачи оптимизации.
- •Безусловный критерий предпочтения (бчп) —
- •34 Неформальные методы принятия решений в сзи. Метод экспертных оценок. Нечеткая логика Формальные и неформальные методы анализа сзи
- •Последовательность решения задачи с помощью метода экспертных оценок
- •6.Нечеткие алгоритмы
- •Нечеткие алгоритмы принятия решений в системах зи
- •1.Классические алгоритмы принятия решений основаны на правилах “если–то”
- •3.Нечеткое множество
- •4 Лингвистическая переменная
- •5 Операции с нечеткими множествами
- •6 Нечеткий алгоритм
- •Другой метод построения функции принадлежности выходного нечеткого множества:
- •Литература:
- •9 Система принятия решений на основе нечеткой логики:
- •8 Правила принятия решений в динамических ситуациях.
- •7 Механизм логического вывода. Метод max — min.
- •Информационное оружие. Информационные войны
- •Литература:
- •Мнение официальных лиц:
- •Модели общей оценки угроз информации
6. Заключение
Мы представили семейство моделей КДОР, системно развивающихся от простого к сложному. Данные модели предоставляют общую структуру для дальнейшего исследования в данной области. Мы также представили модель управления, с помощью которой КДОР может контролировать себя. Это подтверждает нашу позицию о том, что КДОР является стратегически нейтральной моделью.
Многое необходимо сделать для полной реализации потенциала КДОР. Одной из величайших проблем исследования в данной области является разработка системого подхода к созданию и анализу конфигураций КДОР. Последние исследования по созданию и анализу иерархии ролей уже объявлены [8,9,14]. Как было упомянуто выше, в литературе практически не обсуждаются ограничительные условия в контексте КДОР. Была бы полезной категоризация и таксономия ограничений. Следует разработать формальную нотацию для формулировки и введения ограничений, а также измерения трудности введения. Важным открытым полем исследования является возможность анализа ограничений и чистого эффекта конфигурации КДОР в условиях поставленных целей высокоуровневой стратегии. Также необходимо доработать аспекты управления КДОР. Трудностью в исследовании является развитие обобщенной систематизированной методики создания и анализа иерархий ролей, ограничений и управления КДОР. Большинство из этих открытых проблем и вопросов взаимосвязаны и требуют комплексного подхода к их решению.
Литература
[1] Дэвид Феррайоло, Деннис М. Гилберт, Никилин Линч. Анализ стратегических нужд федерального и коммерческого контроля доступа. Материалы национальной конференции NIST-NCSC по компьютерной безопасности, стр. 107-116, Балтимор, Мэриленд, 20-23 сентября 1993.
[2] Редакционная коллегия по общим критериям. Общие критерии оценки технологии информационной безопасности, декабрь 1994. Версия 0.9, проект
[3] Имтияз Мохаммед и Дэвид М. Дилтс. Разработка системы динамической безопасности, основанной на пользовательских ролях. Компьютеры и безопасность, 13 (8): 661-671, 1994.
[4] Рошан Томас и Рави С. Сандху. Концептуальные основания для мождели авторизации, основанной на заданиях. Семинар фондов компьютерной безопасности 7, стр. 66-79, Франкония, Нью-Хэмпшир, июнь 1994.
[5] Рави С. Сандху. Модели контроля доступа, основанные на структуре. IEEE Компьютер, 26(11):9-19, ноябрь 1993.
[6] Дирк Йоншер. Расширение контроля доступа с помощью реализации обязанностей активными механизмами. В журнале Безопасность баз данных VI: Состояние и перспективы, по ред. Б. Турайзингема и С.Е. Ландвера, стр. 91-111. Северная Голландия, 1993.
[7] Дэвид Феррайоло и Ричард Кунн. Контроль доступа, основанных на ролях. Материалы 15ой Национальной конференции NIST-NCSC по компьютерной безопасности, стр. 554-563, Балтимор, Мэриленд, 13-16 октября 1992.
[8] M.Ю. Ху, С.А. Демурьян, and T.Ц. Tинг. Основанная на пользовательских ролях безопасность в объектно-ориентированном окружении дизайна и анализа ADAM. В Безопасность баз данных VIII: Состояние и перспективы, под ред. Дж. Бискапа, М. Моргенштерна, С. Ландвера. Северная Голландия, 1995.
[9] Матунда Ньянчама и Сильвия Осборн. Управление правами доступа в системе безопасности, основанной на ролях. В Безопасность баз данных VIII: Состояние и перспективы, под ред. Дж. Бискапа, М. Моргенштерна, С. Ландвера. Северная Голландия, 1995.
[10] С.Х. фон Солмс и Исаак ван дер Мерве. Управление профилей компьютерной безопасности с использованием подхода ориентированного на роли. Компьютеры и безопасность, 13 (8): 673-680, 1994.
[11] ISO/IEC 10040. Информационные технологии — Взаимосвязь открытых систем — Обзор управления системами.
[12] Рави С. Сандху. Матричная модель символичного доступа. В материалах Симпозиума компьютерного общества IEEE по безопасности и секретности информации, стр. 122-136, Оклэнд, Калифорния, май 1992.
[13] Джонатан Д. Мофлетт и Моррси С. Сломан. Передача полномочий. В журнале Управление интегрированными сетями II, под ред. И. Kришман и В. Циммер, стр. 595-606. Научное издательство Elsevier Science Publishers B.V. (Северная Голландия), 1991.
[14] Эдуардо Б. Фернандез, Джи Ву, Минье Х. Фернандез. Структуры пользовательских групп в авторизации объектно-ориентированных баз данных. В Безопасность баз данных VIII: Состояние и перспективы, под ред. Дж. Бискапа, М. Моргенштерна, С. Ландвера. Северная Голландия, 1995.
Рисунок 1 — Семейство моделей КДОР