1. Представление числовой информации: системы счисления, перевод чисел из одной системы счисления в другую. Двоичная арифметика.
Система счисления - это совокупность правил для обозначения и наименования чисел. Системы счисления делятся на позиционные и непозиционные.
Знаки, используемые при записи чисел, называются цифрами.
Непозиционные системы счисления
В непозиционных системах счисления от положения цифры в записи числа не зависит величина, которую она обозначает.
Пример: римская система, используются латинские буквы.
I V X L C D M 1 5 10 50 100 500 1000
В римских числах цифры записываются слева направо в порядке убывания. В таком случае их значения складываются. Если же слева записана меньшая цифра, а справа - большая, то их значения вычитаются.
Пример:
CCXXXII=232
VI=6
IV=4
MCMXCVIII=1000+(-100+1000)+(-10+100)+5+1+1+1=1998
Позиционные системы счисления
В позиционных системах счисления величина, обозначаемая цифрой в записи числа, зависит от ее позиции.
Количество используемых цифр называется основанием позиционной системы счисления.
Система счисления, применяемая в современной математике, является позиционной десятичной системой. Основание ее равно 10, т.е. запись любых чисел производится с помощью десяти цифр 0 1 2 3 4 5 6 7 8 9.
Пример:
3 3 3
сотни десятки единицы
Для записи чисел в позиционной системе счисления с основанием p нужно иметь алфавит из р цифр. Обычно для этого при р<10 используют р первых арабских цифр, при р>10 к десяти арабским цифрам добавляют латинские буквы.
Примеры алфавитов нескольких систем
основание название алфавит
р=2 двоичная 0 1
р=3 троичная 0 1 2
р=8 восьмеричная 0 1 2 3 4 5 6 7
р=16 шестнадцатеричная 0 1 2 3 4 5 6 7 8 9 A B C D E F
Если требуется указать основание системы, к которой относится число, то оно записывается как нижний индекс этого числа.
В системе счисления с основанием р (р-ичная система счисления) единицами разрядов служат последовательные степени числа р. Р единиц какого-либо разряда образуют единицу следующего разряда. Для записи числа в р-ичной системе счисления требуется р различных знаков (цифр), изображающих числа 0, 1, ..., р-1. Запись числа р в р-ичной системе счисления имеет вид 10.
Развернутой формой записи числа называется запись в виде Ар=±(аn-1pn-1+аn-2pn-2+...+а0p0+а-1p-1+а-2p-2+...+а-mp-m), где
Ар - само число,
р - основание системы счисления,
аi - цифра данной системы счисления,
n - число разрядов целой части числа,
m - число разрядов дробной части числа.
Пример:
1123=1410 15FC16=562810
1011012=4510 101,112=5,7510
Перевод десятичных чисел в другие системы счисления
Перевод целых чисел
1. Основание новой системы счисления выразить в десятичной системе счисления и все последующие действия производить в десятичной системе счисления;
2. Последовательно выполнять деление данного числа и получаемых неполных частных на основание новой системы счисления до тех пор, пока получим неполное частное, меньшее делителя;
3. Полученные остатки, являющиеся цифрами числа в новой системе счисления, привести в соответствие с алфавитом новой системы счисления;
4. Составить число в новой системе счисления, записывая его, начиная с последнего частного.
Пример 1: Перевести число 37 из десятичной в двоичную систему счисления. (Ответ: 3710=1001012)
37:2=18 целых и 1 в остатке, значит, а0=1
18:2=9 и 0 в остатке, значит, а1=0
9:2=4 и 1 в остатке, значит, а2=1
4:2=2 и 0 в остатке, значит, а3=0
2:2=1 и 0 в остатке, значит, а4=0, результат от деления - это а5=1.
Теперь составим число а5а4а3а2а1а0=1001012
Пример 2: Перевести число 315 из десятичной в восьмеричную систему счисления. (Ответ: 31510=4738)
315:8=39 и 3 в остатке, значит, а0=3
39:8=4 и 7 в остатке, значит, а1=7, результат от деления - это а2=4.
Составляем число а2а1а0=4738
Пример 3: Перевести число 315 из десятичной в шестнадцатеричную систему счисления. (Ответ: 31510=13В16)
315:16=19 и 11 в остатке, значит, а0=11, что соответствует числу В в 16-ричной системе счисления
19:16=1 и 3 в остатке, значит, а1=3, результат от деления - это а2=1.
Составляем число а2а1а0=13В16
Пример 4: Для достаточно больших чисел можно использовать следующую запись алгоритма перевода:
Число 363 181 90 45 22 11 5 2 1
Делитель 2 2 2 2 2 2 2 2 2
Остаток 1 1 0 1 0 1 1 0 1
36310=1011010112
Перевод дробных чисел
1. Основание новой системы счисления выразить в десятичной системе счисления и все последующие действия производить в десятичной системе счисления;
2. Последовательно умножать данное число и получаемые дробные части произведений на основание новой системы счисления до тех пор, пока дробная часть произведения не станет равной нулю или не будет достигнута требуемая точность представления числа в новой системе счисления;
3. Полученные целые части произведений, являющиеся цифрами числа в новой системе счисления, привести в соответствие с алфавитом новой системы счисления;
4. Составить дробную часть числа в новой системе счисления, записывая его, начиная с целой части первого произведения.
Пример: 0,187510=0,00112, 0,187510=0,148, 0,187510=0,316
Перевод смешанных чисел
Перевод смешанных чисел, содержащих целую и дробную части, осуществляется в два этапа. Целая и дробная части исходного числа переводятся отдельно по соответствующим алгоритмам. В итоговой записи числа в новой системе счисления целая часть отделяется от дробной запятой (точкой).
Пример: 315,187510=473,148=13B,316
Двоичная арифметика
Все позиционные системы счисления «одинаковы», а именно во всех них арифметические операции выполняются по одним и тем же правилам; справедливы одни и те же законы арифметики: коммутативный, ассоциативный, дистрибутивный; справедливы правила сложения, вычитания, умножения и деления столбиком, знакомые нам по действиям в десятичной системе счисления; правила выполнения арифметических операций опираются на таблицы сложения и умножения Р-ичных цифр.
Для того чтобы производить арифметические операции над двоичными числами, надо знать таблицу сложения и таблицу умножения в двоичной системе.
Сложение и вычитание
Таблица сложения в двоичной системе предельна проста. Поскольку 1 + 1 = 102, то при сложении столбиком в данном разряде остается 0, а 1 переносится в следующий разряд.
Результат сложения двух положительных чисел либо имеет столько же цифр, сколько и максимальное из двух слагаемых, либо на одну цифру больше, но этой цифрой может быть только единица.
При выполнении операции вычитания всегда из большего по абсолютной величине числа вычитается меньшее и у результата ставится соответствующий знак.
Умножение и деление
Операция умножения выполняется с использованием таблицы умножения по обычной схеме (применяемой в десятичной системе счисления) с последовательным умножением множимого на очередную цифру множителя.
2. Компьютерная преступность. Виды компьютерных преступлений. Обеспечение компьютерной безопасности.
Компьбтерная преступность.
Компьютерная сеть Интернет стремительно превратилась в общепланетарную информационную систему (для кого-то она глобальный справочник, для кого-то библиотека мировой культуры, для кого-то трибуна собственных суждений), она вобрала в себя не только достоинства глобальности, но и глобальные пороки. Возможности Сети все чаще становятся средством совершения противоправных деяний.
Усугубляется все это особенностями сети, позволяющей наносить максимально возможный ущерб при минимуме затрат. Например, при хищениях, определив уязвимость компьютерной сети кредитно-финансового учреждения, для злоумышленника не принципиален размер кражи, поскольку в отличие от обычного ограбления у него нет необходимости бегать по улицам с «миллионом долларов мелкими купюрами». Зарубежный опыт подтверждает сказанное. По данным ФБР США, среднестатистический ущерб от одного такого преступления составляет 650 тыс. долларов, а от обычного ограбления банка 9 тыс. долларов США.
Впрочем, еще до широкого распространения глобальных компьютерных сетей, в 1966 году компьютер был впервые использован как инструмент для совершения кражи из Банка Миннесоты (США), а первый закон, посвященный компьютерным преступлениям, был принят в США (штат Флорида) только в 1978 году и предусматривал ответственность за модификацию, уничтожение, несанкционированный доступ компьютерных данных. Отечественный преступный первенец относится к концу 70-х, а надлежащая правовая база появилась лишь в середине 90-х.
Популяризация в Сети компьютерной преступности и деятельности хакеров окружена неким ореолом безнаказанности и благородства. СМИ также подогреваю интерес к этому виду деятельности, создавая атмосферу романтики и славы.
Успешные вторжения хакеров в те или иные компьютерные объекты показывают уязвимость пользователей компьютерных сетей, которые, стремясь к упрощению обмена информации и ускорению ее обработки, теряют на безопасности.
Американские правительственные и военные объекты уже давно являются излюбленным объектом внимания хакеров всех стран и де-факто стали «экзаменом» на статус профессионала. Считается, что одно из самых опасных вторжений в компью¬терные системы Министерства обороны США было совершено в далеком 1987 году. 17-летний хакер дошел до файлов системы уп¬равления ракетами США и базы ВВС «Robbins». Его присутствие обнаружили после того, как он снял копии программного обеспечения, оцениваемого в 1,2 млн. долларов, включая сверхсекретные программы искусственного интеллекта.
Талант хакера уже давно активно эксплуатируется, работая на третьих лиц для решения самых разных задач. Более того, хакеры привлекаются к сотрудничеству не только частными, но и государственными структурами. В этом направлении разведка работает не менее эффективно. Например, по имеющейся информации, в 1986-1989 годах немецкие хакеры по заданию КГБ СССР копировали секретные материалы из компьютерных сетей Пентагона и NASA. Аналогичное немецкие хакеры делали и для своей разведки. В 1990 году группа австралийских хакеров вывела из строя работу NASA на 24 часа.
Подобные случаи не уникальны. Американские компьютерные службы безопасности ежесуточно выдерживают тысячи атак, сколько из них оказываются успешными никому не известно.
Появляющаяся информация о вторжениях в системы управления ядерным оружием, космическими объектами, в системы жизнеобеспечения городов и отдельных учреждений (например, медицинских) заставляет с тревогой смотреть в завтрашний день.
Законодательство разных стран по-разному подходит к правовой оценке компьютерной преступности. Становится очевидным, что несогласованность законодательства, отсутствие четкого межгосударственного сотрудничества и неразвитость международного законодательства являются существенным тормозом в борьбе с такими явлениями.
Виды компьютерных преступлений.
Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. Ниже приведены названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен НЦБ более чем 100 стран.
Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного.
QA - Несанкционированный доступ и перехват
QAH - компьютерный абордаж
QAI - перехват
QAT - кража времени
QAZ - прочие виды несанкционированного доступа и перехвата
QD - Изменение компьютерных данных
QUL - логическая бомба
QDT - троянский конь
QDV - компьютерный вирус
QDW - компьютерный червь
QDZ - прочие виды изменения данных
QF - Компьютерное мошенничество
QFC - мошенничество с банкоматами
QFF - компьютерная подделка
QFG - мошенничество с игровыми автоматами
QFM - манипуляции с программами ввода-вывода
QFP - мошенничества с платежными средствами
QFT - телефонное мошенничество
QFZ - прочие компьютерные мошенничества
QR - Незаконное копирование
QRG - компьютерные игры
QRS - прочее программное обеспечение
QRT - топография полупроводниковых изделий
QRZ - прочее незаконное копирование
QS - Компьютерный саботаж
QSH - с аппаратным обеспечением
QSS - с программным обеспечением
QSZ - прочие виды саботажа
QZ - Прочие компьютерные преступления
QZB - с использованием компьютерных досок объявлений
QZE - хищение информации, составляющей коммерческую тайну
QZS - передача информации конфиденциального характера
QZZ - прочие компьютерные преступления
Кратко охарактеризуем некоторые виды компьютерных преступлений согласно приведенному кодификатору.
Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений:
QAH - "Компьютерный абордаж" (хакинг - hacking): доступ в компьютер или сеть без нрава на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.
QAI - перехват (interception): перехват при помощи технических средств, без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственною подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.
Для характеристики методов несанкционированного доступа и перехвата информации используется следующая специфическая терминология:
"Жучок" (bugging) - характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;
"Откачивание данных" (data leakage) - отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;
"Уборка мусора" (scavening) - характеризуе г поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;
метод следования "За дураком" (piggbackiiig), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;
метод"За хвост"(between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний заканчивает активный режим, осуществлять доступ к системе;
метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;
метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;
метод"Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается" и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу;
метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;
метод "Мистификация"(spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коды пользователя.
QAT - кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты.
Изменение компьютерных данных (QD) включает в себя следующие виды преступлений:
QDL/QDT - логическая бомба (logic bomb), троянский конь (trojan horse): изменение компьютерных данных без права на то, путем внедрения логической бомбы или троянского коня.
Логическая бомба заключается в тайном встраивании в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.
Троянский конь - заключается в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.
QDV - вирус (virus): изменение компьютерных данных или программ, без права на то, путем внедрения или распространения компьютерного вируса.
Компьютерный вирус - это специально написанная программа, которая может "приписать" себя к другим программам (т.е. "заражать" их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.
Процесс заражения компьютера программой-вирусом и его последующее лечение имеют ряд черт, свойственных медицинской практике. По крайней мере, эта терминология весьма близка к медицинской:
резервирование - копирование FAT, ежедневное ведение архивов измененных файлов - это самый важный и основной метод защиты от вирусов. Остальные методы не могут заменить ежедневного архивирования, хотя и повышают общий уровень защиты;
профилактика - раздельное хранение вновь полученных и уже эксплуатируемых программ, разбиение дисков на "непотопляемые отсеки" - зоны с установленным режимом "только для чтения", хранение неиспользуемых программ в архивах, использование специальной "инкубационной" зоны для записи новых программ с дискет, систематическая проверка ВООТ-сектора используемых дискет и др.;
анализ - ревизия вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическое использование контрольных сумм при хранении и передаче программ. Каждая новая программа, полученная без контрольных сумм, должна тщательно проверяться компетентными специалистами по меньшей мере на известные виды компьютерных вирусов и в течение определенного времени за ней должно быть организовано наблюдение;
фильтрация - использование резидентных программ типа FluShot Plus, MaceVaccinee и других для обнаружения попыток выполнить несанкционированные действия;
вакцинирование - специальная обработка файлов, дисков, катало-гов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса, для определения заряжения программы или всего диска;
терапия - деактивация конкретного вируса п отраженных программах с помощью специальной антивирусной программы или восстановление первоначального состояния программ путем уничтожения всех экземпляров вируса в каждом из зараженных файлов или дисков с помощью программы-фага.
Понятно, что избавится от компьютерного вируса гораздо сложнее, чем обеспечить действенные меры по его профилактике.
QDW - червь: изменение компьютерных данных или программ, без права на то, путем передачи, внедрения или распространения компьютерного червя в компьютерную сеть.
Компьютерные мошенничества (QF) объединяют в своем составе разнообразные способы совершения компьютерных преступлений:
QFC - компьютерные мошенничества, связанные с хищением наличных денег из банкоматов.
QFF - компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и пр.).
QFG - мошенничества и хищения, связанные с игровыми автоматами.
QFM - манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода в компьютерные систе-мы или из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод Подмены данных кода (data diddling code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ.
QFP - компьютерные мошенничества и хищения, связанные с платежными средствами. К этому виду относятся самые распространенные компьютерные преступления, связанные с кражей денежных средств, которые составляют около 45% всех преступлений, связанных с использованием ЭВМ.
QFT - телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы.
Незаконное копирование информации (QR) составляют следующие виды компьютерных преступлении:
QRG/QRS - незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом.
QRT - незаконное копирование топографии полупроводниковых изделий: копирование, без права на то, защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью, без права на то, топографии или самого полупроводникового изде-лия, произведенного с использованием данной топографии.
Компьютерный саботаж (QS) составляют следующие виды преступлений:
QSH - саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ;вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы.
QSS - компьютерный саботаж с программным обеспечением: стирание, повреждение, ухудшение или подавление компьютерных данных или программ без права на то.
К прочим видам компьютерных преступлений (QZ) в классификаторе отнесены следующие:
QZB - использование электронных досок объявлений (BBS) для хра-нения, обмена и распространения материалов, имеющих отношение к преступной деятельности;
QZE - хищение информации, составляющей коммерческую тайну: приобретение незаконными средствами или передача информации, представляющей коммерческую тайну без права на то или другого законного обоснования, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;
QZS - использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.
Некоторые специалисты по компьютерной преступности в особую группу выделяют методы манипуляции, которые имеют специфические жаргонные названия.
"Временная бомба" - разновидность логической бомбы, которая срабатывает при достижении определенного момента времени;
"Асинхронная атака" (asynchronous attack) состоит в смешивании и одновременном выполнении компьютерной системой команд двух или нескольких пользователей.
"Моделирование" (simulation modelling) используется как для анализа процессов, в которые преступники хотят вмешаться, так и для планирования методов совершения преступления. Таким образом, осуществляется "оптимизация" способа совершения преступления.
Обеспечение компьютерной безопасности.
Принципиальное различие подходов к синтезу моделей угроз технологической и эксплуатационной безопасности ПО заключается в различных мотивах поведения потенциального нарушителя информационных ресурсов, принципах, методах и средствах воздействия на ПО на различных этапах его жизненного цикла.
В качестве объекта обеспечения технологической и эксплуатационной безопасности ПО рассматривается вся совокупность его компонентов в рамках конкретной КС. В качестве доминирующей должна использоваться стратегия сквозного тотального контроля технологического и эксплуатационного этапов жизненного цикла компонентов ПО. Совокупность мероприятий по обеспечению технологической и эксплуатационной безопасности компонентов ПО должна носить конфиденциальный характер. Необходимо обеспечить постоянный, комплексный и действенный контроль за деятельностью разработчиков и пользователей компонентов. Кроме общих принципов, обычно необходимо конкретизировать принципы обеспечения безопасности ПО на каждом этапе его жизненного цикла. Далее приводятся один из вариантов разработки таких принципов.
Принципы обеспечения технологической безопасности при обосновании, планировании работ и проектном анализе ПО
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Комплексности обеспечения безопасности ПО, предполагающей рассмотрение проблемы безопасности информационно - вычислительных процессов с учетом всех структур КС, возможных каналов утечки информации и несанкционированного доступа к ней, времени и условий их возникновения, комплексного применения организационных и технических мероприятий.
Планируемости применения средств безопасности программ, предполагающей перенос акцента на совместное системное проектирование ПО и средств его безопасности, планирование их использования в предполагаемых условиях эксплуатации.
Обоснованности средств обеспечения безопасности ПО, заключающейся в глубоком научно-обоснованном подходе к принятию проектных решений по оценке степени безопасности, прогнозированию угроз безопасности, всесторонней априорной оценке показателей средств защиты.
Достаточности безопасности программ, отражающей необходимость поиска наиболее эффективных и надежных мер безопасности при одновременной минимизации их стоимости.
Гибкости управления защитой программ, требующей от системы контроля и управления обеспечением информационной безопасности ПО способности к диагностированию, опережающей нейтрализации, оперативному и эффективному устранению возникающих угроз в условиях резких изменений обстановки информационной борьбы.
Заблаговременности разработки средств обеспечения безопасности и контроля производства ПО, заключающейся в предупредительном характере мер обеспечения технологической безопасности работ в интересах недопущения снижения эффективности системы безопасности процесса создания ПО.
Документируемости технологии создания программ, подразумевающей разработку пакета нормативно-технических документов по контролю программных средств на наличие преднамеренных дефектов.
Принципы достижения технологической безопасности ПО в процессе его разработки
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Регламентации технологических этапов разработки ПО, включающей упорядоченные фазы промежуточного контроля, спецификацию программных модулей и стандартизацию функций и формата представления данных.
Автоматизации средств контроля управляющих и вычислительных программ на наличие дефектов, создания типовой общей информационной базы алгоритмов, исходных текстов и программных средств, позволяющих выявлять преднамеренные программные дефекты.
Последовательной многоуровневой фильтрации программных модулей в процессе их создания с применением функционального дублирования разработок и поэтапного контроля.
Типизации алгоритмов, программ и средств информационной безопасности, обеспечивающей информационную, технологическую и программную совместимость, на основе максимальной их унификации по всем компонентам и интерфейсам.
Централизованного управления базами данных проектов ПО и администрирование технологии их разработки с жестким разграничением функций, ограничением доступа в соответствии со средствами диагностики, контроля и защиты.
Блокирования несанкционированного доступа соисполнителей и абонентов государственных сетей связи, подключенных к стендам для разработки программ.
Статистического учета и ведения системных журналов о всех процессах разработки ПО с целью контроля технологической безопасности.
Использования только сертифицированных и выбранных в качестве единых инструментальных средств разработки программ для новых технологий обработки информации и перспективных архитектур вычислительных систем.
Принципы обеспечения технологической безопасности на этапах стендовых и приемо-сдаточных испытаний
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Тестирования ПО на основе разработки комплексов тестов, параметризуемых на конкретные классы программ с возможностью функционального и статистического контроля в широком диапазоне изменения входных и выходных данных.
Проведения натурных испытаний программ при экстремальных нагрузках с имитацией воздействия активных дефектов.
Осуществления "фильтрации" программных комплексов с целью выявления возможных преднамеренных дефектов определенного назначения на базе создания моделей угроз и соответствующих сканирующих программных средств.
Разработки и экспериментальной отработки средств верификации программных изделий.
Проведения стендовых испытаний ПО для определения непреднамеренных программных ошибок проектирования и ошибок разработчика, приводящих к невыполнению целевых функций программ, а также выявление потенциально "узких" мест в программных средствах для разрушительного воздействия.
Отработки средств защиты от несанкционированного воздействия нарушителей на ПО.
Сертификации программных изделий АСУ по требованиям безопасности с выпуском сертификата соответствия этого изделия требованиям технического задания.
Принципы обеспечения безопасности при эксплуатации программного обеспечения
Принципы обеспечения безопасности ПО на данном этапе включают принципы:
Сохранения и ограничения доступа к эталонам программных средств, недопущение внесения изменений в них.
Профилактического выборочного тестирования и полного сканирования программных средств на наличие преднамеренных дефектов.
Идентификации ПО на момент ввода его в эксплуатацию в соответствии с предполагаемыми угрозами безопасности ПО и его контроль.
Обеспечения модификации программных изделий во время их эксплуатации путем замены отдельных модулей без изменения общей структуры и связей с другими модулями.
Строгого учета и каталогизации всех сопровождаемых программных средств, а также собираемой, обрабатываемой и хранимой информации.
Статистического анализа информации обо всех процессах, рабочих операциях, отступлениях от режимов штатного функционирования ПО.
Гибкого применения дополнительных средств защиты ПО в случае выявления новых, непрогнозируемых угроз информационной безопасности
Удобный онлайн-переводчик - все делает за минуту!
