WWW.KONFERENCIYA.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Конференции, лекции

 

Pages:     | 1 |   ...   | 3 | 4 ||

«IV ЕЖЕГОДНАЯ КОНФЕРЕНЦИЯ Построение стратегического общества через образование и науку ВЛИЯНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА НАЦИОНАЛЬНУЮ БЕЗОПАСНОСТЬ Москва 25-27 июня 2001 г. 1 ...»

-- [ Страница 5 ] --

• вследствие этого, при допуске на отечественный рынок зарубежных поставщиков продуктов и систем информационных технологий гарантировать качество поставляемой продукции с позиции информационной безопасности;

• сэкономить средства на сертификацию продуктов и систем информационных технологий за счет признания в рамках Общих критериев зарубежных сертификатов для невысоких уровней доверия.

Таким образом, принятие российского стандарта и присоединение России к международному соглашению взаимного признания результатов оценок по Общим критериям соответствует нашим национальным интересам в информационной сфере, сформулированным в Доктрине информационной безопасности Российской Федерации.

Принятие стандарта по Общим критериям ни в коей мере не должно сломать сложившейся в России системы создания и оценки безопасных информационных технологий. Учитывая единую методологическую основу, российская система должна получить эволюционное развитие. Наряду с действующими будут разрабатываться и вводиться новые стандарты, создаваемые уже на базе Общих критериев. В условиях перехода к Общим критериям разработчики должны быть вправе выбирать стандарт, на соответствие которому они хотят получить оценку своего продукта. Поэтому российская система на переходном этапе должна предусматривать возможность оценки продуктов и систем информационных технологий как на соответствие РД, так и на соответствие профилям защиты. Однако для продвижения своего продукта за рубеж разработчик будет заинтересован в оценке своего продукта на соответствие профилю защиты, а не на соответствие РД. С другой стороны органы сертификации будут заинтересованы в сертификации и зарубежных продуктов, заявители которых захотят получить оценку своих продуктов, естественно, на соответствие Общим критериям. Последнее явится стимулом для практического перехода к Общим критериям. Необходимо также заметить, что подход общих критериев един для защиты всех видов информации (любого грифа секретности, уровня конфиденциальности или чувствительности) Тем не менее, переход к разработке и оценке безопасных информационных технологий требует решения ряда задач:

• признание в России Общих критериев;

• вступление в сообщество стран, признающих Общие критерии;

• получение права на проведение сертификации продуктов и систем информационных технологий по Общим критериям;

• разработка комплекта стандартов для реализации Общих критериев;

• развитие Общих критериев.

Существующий механизм присоединения к мировому сообществу, признающему этот стандарт позволяет решить этот вопрос только на правительственном уровне. Только организация, уполномоченная правительством, имеет право на взаимодействие с комитетом Соглашения о признании Общих критериев.

Официальным представителем Российской Федерации в руководящем органе международного сообщества стран, признающих Общие критерии, а также в международной организации по стандартизации (ИСО) целесообразно определить Гостехкомиссию России.

Для вхождения в сообщество стран признающих Общие критерии необходимо взаимодействие с комитетом Соглашения о признании Общих критериев. При этом достаточно объявить, что Россия признает Общие критерии. Для получения права проведения сертификации необходима экспертиза системы сертификации России комитетом Соглашения о признании Общих критериев.

Для практической реализации Общих критериев в России необходима разработка стандартов, касающихся:

• разработки и использования профилей защиты (состав и содержание, порядок разработки и регистрации, применение);

• проверки соответствия объекта оценки профилю защиты;

• разработки и использования заданий по безопасности (состав и содержание, порядок разработки и регистрации, применение);

• проверки соответствия объекта оценки заданию по безопасности;

• проверки задания по безопасности на соответствие профилю защиты и др.

Кроме того, необходима разработка комплекса методических материалов по проверке соответствия объекта оценки заданию по безопасности и др.

Внедрение Общих критериев и их признание позволит принимать непосредственное участие в их дальнейшем развитии.

СОВРЕМЕННЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ И

УПРАВЛЕНИЕ ДОСТУПОМ

Мизин П.П., Федосеев В.Н., Шанин О.И.

Современная операционная система представляет собой разумное сочетание функциональности и защищенности. В данной статье проводится анализ именно с этих позиций. При этом основное внимание уделено управлению доступом, как одному из фундаментальных механизмов защиты данных.

Введение Известно, что в защите данных можно выделить четыре аспекта:

конфиденциальность, целостность, доступность и неотказуемость. Ранее основное внимание уделялось обеспечению конфиденциальности. С развитием сетей и Интернет появились новые угрозы и остальные три составляющие также получили должное внимание. Сдвиг парадигмы не мог не найти отражения в используемых моделях защиты и, в частности, в управлении доступом. Компьютерная безопасность включает: 1) выработку политики безопасности; 2) создание и реализацию функциональных механизмов для проведения политики; 3) уверенность, что эти механизмы проводят политику безопасности [1]. Естественно, что операционная система (ОС) и тем более управление доступом не должны рассматриваться изолированно от других составляющих компьютерной безопасности: оборудования, микрокода зашитого в нем и т.д. Схематично это представлено ниже:



Рис. 1. Технические составляющие защищенной компьютерной системы Слабости сетевого программного обеспечения Можно выделить следующие основные слабости сетевого программного обеспечения, используемые при атаках через Интернет:

• слабая аутентификация, приводящая к потере идентификационных данных с последующим корыстным использованием этой информации. Передача пользовательского идентификатора и пароля по сети являются наиболее характерным примером;

• чрезмерные привилегии, которые требуют некоторые программы. Например, известная программа sendmail запускается с полномочиями root, что позволяет делать с системой практически все;

• файловая уязвимость – часто объектами атак становятся критически важные для системы файлы, например, файл с паролями пользователей или журналы событий;

• запуск вредоносных программ или команд, вложенных в передаваемые данные. Примерами являются вирусы, макросы для Microsoft Exchange, perlсценарии.

Одним из эффективных средств противодействия указанным угрозам является использование последних пакетов обновлений программного обеспечения. По своему характеру – это реактивная мера: сначала обнаруживается очередная «дыра», а затем разрабатываются «заплатки» для ее устранения. Управление доступом является фундаментальным проактивным средством безопасности.

Роль и место управления доступом Это понятие можно определить как ограничение доступа к информационному ресурсу, допускающее только авторизованных (санкционированных) пользователей, программы, процессы. В терминах «Общих критериев» [2] различают требования по функциональности и уверенности. Соответственно, основные защитные механизмы условно могут быть классифицированы следующим образом:

Управление доступом Видно, что управление доступом является неотъемлемой частью процесса авторизации. О важности этого механизма защиты свидетельствует тот факт, что он лежит в основе прежней классификации защищенных систем министерства обороны США, так называемой «оранжевой книги» [3], и РД Гостехкомиссии России в отношении средств вычислительной техники [4].

Модели управления доступом Существует достаточно много моделей управления доступом. Наиболее распространенными являются четыре из них, которые в хронологическом порядке располагаются следующим образом:

• дискреционное управление доступом - DAC;

• мандатное управление доступом – MAC;

• ролевое управление доступом – RBAC;

• управление доступом на основе задач - TBAC.

Управление доступом на основе матрицы было предложено в 1971 г. и спустя пять лет формализовано [5]. Авторизованное состояние описывается тремя элементами: субъект, объект и матрица доступа. Вертикальная проекция этой матрицы образует список управления доступом (ACL), а горизонтальная – возможности (capability). Определены шесть примитивных операций по управлению авторизованным состоянием: установление/отзыв определенного права из матрицы доступа, создание/удаление объекта доступа, создание/удаление субъекта доступа. Набор возможных прав зависит от объекта.

Например, для файла он может включать право на чтение, запись, добавление, выполнение, владение.

Bell и LaPadula расширили данную модель, которая со временем стала называться мандатным доступом [6]. Модель предназначена главным образом для регулирования потоков информации. На дискреционную модель наложили дополнительные ограничения: субъект может читать/писать в объект, если его метка безопасности доминирует над меткой объекта (simple security property).

Субъект может добавлять данные, если метка объекта доминирует над меткой безопасности данного субъекта. Biba [7] расширил мандатную модель, обеспечив целостность информации, а не конфиденциальность.

Ролевое управление доступом возникло, прежде всего, для удовлетворения потребностей коммерции. При этом привилегии связываются с ролями, а роли – с пользователями. Роль выступает в качестве промежуточного звена, обеспечивая дополнительную гибкость системе. Было показано, что DAC и MAC являются частными случаями RBAC. Несмотря на то, что понятие ролей возникло в 70-х годах, часто на модель, изложенную Sandhu в [8], ссылаются как RBAC96.

Управление на основе задач TBAC [9] отходит от традиционной абстракции субъект-объект-привилегия, ориентируясь на активное понятие задачи и шага авторизации. Предназначено главным образом для распределенных вычислений и автоматизации бизнес-процессов (workflow), где документы, информация или задачи передаются от одного участника к другому в соответствии с регламентирующими процедурами. Модель в отличие от всех предыдущих является децентрализованной и дает необходимые полномочия лишь на определенный период времени, связанные с выполнением текущего шага задачи.

Управление доступом в базах данных Управление доступом в базах данных представляет собой отдельную проблему, поскольку информация может быть представлена более детально – на уровне таблицы, записи, поля, а не просто в виде отдельного файла. Реализацию управления доступом должен осуществлять сервер базы данных, а не операционная система. В этой области пока отсутствует столь строгая классификация моделей доступа. Авторам известен лишь один пример, когда Oracle в 2001 году реализовала мандатное управление в серверах 8i, 9i.





Технология называется Oracle Label Security и дополняет существующую проверку привилегий. Доступ осуществляется на основе сопоставления метки записи и метки авторизации пользователя. Метка записи состоит из трех частей:

1) один упорядоченный уровень чувствительности информации; 2) одна или более неиерархических категорий информации; 3) одна или более иерархических групп-пользователей. Метка авторизации пользователя может иметь достаточно сложную структуру и здесь не рассматривается. Oracle планирует сертификацию технологии Label Security на основе «общих критериев» [3].

Реализация управления доступом Управление доступом реализуется через абстрактную машину, названную монитором обращений (reference monitor) и являющуюся посредником при каждом доступе субъекта к объекту. Монитор обращений должен обладать свойствами полноты, изолированности и верифицируемости. Его роль и место в общей системе защиты иллюстрируется следующей схемой (рис. 3). Когда пользователь пытается получить доступ к информационному ресурсу, первое, с чем он сталкивается, – это аутентификация. В случае успешной аутентификации пользователь наделяется определенными правами, которые хранятся в базе данных авторизации. Управление этой базой данных осуществляет администратор безопасности. Основные события, происходящие в системе, регистрируются в соответствующих журналах и могут в дальнейшем анализироваться, в том числе и в автоматическом режиме. Существующие системы обнаружения вторжений (IDS) часто строятся именно на этой основе.

Типы операционных систем При выработке мер противодействия основным угрозам возникает естественный вопрос о том, где следует осуществлять эти меры. Их реализация (в том числе монитора обращений) в виде отдельной подсистемы ядра операционной системы имеет следующие преимущества:

• использование аппаратной защиты микропроцессора и памяти;

• более высокая защищенность по сравнению с защитой на прикладном уровне, которую можно обойти;

• более высокая производительность.

ОС действует как посредник между пользователем и компьютерным оборудованием, делая это взаимодействие более легким и эффективным. С точки зрения применения операционные системы можно классифицировать следующим образом:

• настольные – Windows 98, MAC OS X;

• сетевые – Windows 2000 Server, Unix, Netware;

• распределенные – Linux;

• параллельные – симметричная/асимметричная многопроцессорная обработка;

• встроенные системы и системы реального времени - QNX.

Приведенные справа примеры не являются исчерпывающими и их следует рассматривать лишь как иллюстрацию. Например, Linux может использоваться на всех пяти указанных сегментах рынка. Основные компоненты компьютерной системы показаны на приведенной ниже схеме, из которой ясны роль и место операционной системы:

Программное обеспечение Оборудование Ядро операционной системы образовано четырьмя крупными компонентами, основной из которых является менеджер процессов. Ядро ОС вместе с некоторыми системными утилитами, командным интерпретатором, системными библиотеками и программным интерфейсом API образуют собственно операционную систему. Прикладные программы функционируют поверх операционной системы и взаимодействуют с ней посредством системных вызовов.

Приведенная схема соответствует архитектуре монолитного ядра, на основе которой построены, например, Unix, Linux, VMS, OS/390. Основную часть программного кода ядра Linux составляют драйверы различных устройств. В архитектуре микроядра реализуется лишь минимальный набор функций.

Главным образом это зависимые от оборудования функции: управление процессами, IPC, низкоуровневое управление памятью, минимальное управление устройствами ввода-вывода. Все остальные сервисы, включая файловую систему, реализуются в пользовательском пространстве. Архитектура микроядра обеспечивает более простую модификацию системы. В качестве примеров можно привести Mach, Chorus, QNX, и российскую систему Феникс.

Следует четко различать промышленные ОС, которые прошли проверку временем в отношении функциональности и защищенности, от исследовательских ОС. Последние также играют весьма важную роль в общей «экосистеме». Они позволяют внедрять и частично испытывать новые решения и идеи, обучать студентов и системных программистов и т.д. Промышленные серверные ОС отличаются хорошей масштабируемостью в отношении многопроцессорной обработки (SMP), поддерживают множество аппаратных платформ, в том числе специальные инструкции современных процессоров и большую физическую память, необработанный ввод-вывод для ускорения доступа к базам данных, имеют журнальную файловую систему, логический менеджер томов (LVM), а также множество других возможностей. Поэтому, когда некоторые защищенные исследовательские ОС усиленно продвигаются на рынок, в том числе российский рынок, к ним должны быть выдвинуты такие же требования, как и промышленным ОС.

Защищенные операционные системы С учетом оговорки в предыдущем разделе, можно констатировать, что двумя основными семействами серверных ОС являются Windows и Unix.

Долговременные перспективы Novell Netware оцениваются достаточно скептически. В отношении используемых моделей управления доступом в Windows и Unix можно указать следующее:

• Windows NT/2000 – поддерживаются списки управления доступом ACL;

• Unix – существует много клонов, в частности:

традиционные Unix-привилегии – R, W, X для трех категорий пользователей – собственник, группа, остальные, т.е. сильно Trusted Solaris 8.0 – комбинация MAC, RBAC. Мощнейшая система, проходящая сейчас сертификацию по классу EAL4 «общих Защищенные дистрибутивы Linux – с улучшенным управлением доступом и ограничением прав для root.

Видно, что Windows обладает лишь дискреционным доступом, который может быть сертифицирован не выше 5 класса СВТ [4]. Защищенные дистрибутивы Linux еще не достигли уровня коммерческих Unix-систем. Но они бесплатны, имеется доступ ко всем исходным программным кодам и возможность легального внесения изменений в них с дальнейшей дистрибуцией. Наиболее известными защищенными дистрибутивами являются:

• LIDS – защищает файлы и процессы от доступа другими процессами.

Ограничивает права root. Имеется сканирование портов, ACL. Реализован в виде патчей к ядру.

• Immunix Subdomain – по возможностям примерно аналогичен LIDS. Но поставляется в виде ядра Linux • Enguarde – это защищенный почтовый и Web-сервер • NSA Security-Enhanced Linux (SEL) – мощный продукт американского Агентства национальной безопасности. Позволяет комбинировать технологию Type Enforcement, ролевое и мандатное управление. Имеется язык для описания политики безопасности. Четко отделяет приложения от ОС и одно приложение от другого. Разработка пока не завершена • ALT Castle – российский дистрибутив построенный по модульному принципу на основе технологии RSBAC. К июню 2001 г. - в бета-версии.

Первые три дистрибутива ориентированы на специализированные сервера (server appliances), а последние два являются универсальными серверными ОС.

Заключение При выборе или построении серверной операционной системы следует руководствоваться, прежде всего, функциональными требованиями.

Естественно, что общая архитектура системы, ее подсистемы безопасности, модель управления доступом, реализация монитора обращений также играют важную роль. С этих позиций и принимая во внимание российские требования по сертификации в отношении безопасности, достаточно многообещающим является использование защищенных дистрибутивов Linux, рассмотренных в предыдущем разделе. Если же говорить о мандатном управлении доступом в базах данных хотя бы на уровне записей, то единственной известной авторам реализацией является Oracle Label Security в серверах 8i, 9i.

Литература 1. Information Security: an integrated collection of essays/Edited by Marshall D.

Abrams et al. – IEEE Computer Society Press, Los Alamitos, California, USA, 2. International Standard ISO/IEC 15408. Information Technology – Security Techniques – Evaluation Criteria for IT-security, 1999.

3. Trusted Computer System Evaluation Criteria. DoD 5200.28-STD, 1985.

4. Гостехкомиссия России. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации», 1992.

5. M.A. Harrison, W.L. Ruzzo, J.D. Ullman. Protection in operating systems. – Communications of the ACM, v. 19, No. 8, 1976, pp. 461-471.

6. D.E. Bell, L.J. LaPadula. Secure computer systems: mathematical foundations and model. Technical Report M74-244, MITRE Corp., Bedford, Mass., 1973.

7. K.J. Biba. Integrity Considerations for secure computer systems. Technical Report ESD-TR-76-372, USAF Electronic Systems Division, Bedford, Mass., 1977.

8. R. Sandhu et al. Role-based access control models. – IEEE Computer, v. 29, No. 2, 1996, pp. 38-47.

9. R.K. Thomas, R.S. Sandhu. Task-based authorization controls (TBAC): a family of models for active and enterprise-oriented authorization management. – Proceeding of the IFIP WG 11.3 workshop on database security, Lake Tahoe, California,

КОЛИЧЕСТВЕННЫЙ АНАЛИЗ "ДОКТРИНЫ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

РОССИЙСКОЙ ФЕДЕРАЦИИ"

Шишкин В. М., Юсупов Р. М 1. Введение Концептуальные и научно-методологические основы информационной безопасности еще только начинают разрабатываться. Поэтому научно обоснованная структуризация проблемы, терминология и многие другие ее аспекты должны быть предметами дальнейших разработок. В СПИИРАН, являющимся головной организацией по научно-методологическому сопровождению информатизации города, исследования и разработки по проблемам информационной безопасности, в том числе в общесистемном контексте проблем информатизации, ведутся уже на протяжении ряда лет [1].

Существенным событием для исследования указанных проблем, независимо от имеющихся мнений, является утверждение Президентом РФ "Доктрины информационной безопасности Российской Федерации" [2]. Являясь прежде всего политическим документом, допускающим декларативный характер, она, тем не менее, представляется одним из немногих примеров близкого к системному целостного представления проблемы информационной безопасности, дает основу для ее отображения в хорошо структурированном виде, допускающим формализацию. Последнее обстоятельство весьма существенно, так как появляется возможность моделирования ситуаций, объективизации исследований и принятия количественно обоснованных целенаправленных решений не спекулятивного характера, то есть политический документ может стать основой для исследований и рекомендаций на инженерном уровне. Настоящая работа является перспективным примером такого исследования.

2. Спецификация модели "Доктрины" Формально содержание "Доктрины", во всяком случае, первого ее раздела, можно свести к следующим основным классам представлений, сгруппированных в табличном виде (для упрощения и в силу некоторых пересечений содержания разделов в "Доктрине" использовался именно первый ее раздел):

1) источники угроз информационной безопасности РФ (табл. 1);

2) угрозы информационной безопасности РФ (табл. 2);

3) объект защиты – "национальные интересы Российской Федерации в информационной сфере", задаваемый набором компонентов, называемых "Составляющие национальных интересов Российской Федерации в информационной сфере" (табл. 3) или, на более детальном уровне, "объектами обеспечения информационной безопасности Российской Федерации" (здесь не рассматриваются);

4) меры по обеспечению защищенности национальных интересов РФ в информационной сфере (табл. 4).

Индексация элементов в таблицах внутренняя (#) и сквозная (№), содержание элементов соответствует тексту оригинала.

Таблица 1. Источники угроз национальным интересам РФ в информационной сфере.

Деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере.

Стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков.

Обострение международной конкуренции за обладание информационными технологиями и ресурсами.

Деятельность международных террористических организаций.

Увеличение технологического отрыва ведущих держав мира, наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий.

Деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки Разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

Критическое состояние отечественных отраслей промышленности.

Неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в Недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации.

Недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика.

Неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России.

Недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Недостаточная экономическая мощь государства.

Снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности.

Недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к Отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

Как оказалось, приведенные классы понятий "Доктрины", практически эквивалентны множествам элементов модели [3], ранее разработанной для анализа безопасности информационных объектов. Представления модели, в силу ее технической направленности, имеют более узкий, но не противоречащий понятиям "Доктрины", смысл. Это обстоятельство позволило применить ее методический и алгоритмический аппарат, соответствующие программные средства для формализованного анализа "Доктрины" и получения некоторых полезных количественных оценок.

В кратком изложении использованная модель основана на дихотомической оппозиции: "защищаемый объект", с одной стороны, и, с другой, - считающаяся потенциально враждебной "среда". Выделяются три непересекающихся подмножества множества элементов модели: "источники угроз", досягаемостью которых определяется внешняя граница среды; "угрозы безопасности", порождаемые источниками; "компоненты объекта", на которые воздействуют реализованные угрозы. Источники угроз определяются как "субъекты воздействий", все остальные факторы воздействий на защищаемый объект квалифицируются в качестве угроз, реализации которых определяются как "события", а компоненты - как объекты воздействий. Считается, что на множестве элементов модели может быть определено бинарное отношение "быть причиной" со свойством транзитивности, фиксирующее каналы распространения потоков угроз. Таким образом, защищаемый объект подвергается воздействию генерируемого источниками совокупного потока реализованных угроз, взвешенного соответственно их значимости. Эти воздействия влияют на его "состояние защищенности", характеризуемое измеримыми показателями. В исходном состоянии их значения принимаются равными 1.

Таким образом, основная и наиболее ответственная с точки зрения доверия к получаемым результатам задача конкретного анализа состоит в установлении непосредственных причинно-следственных отношений между всеми элементами модели, то есть задание ее причинной структуры, представляемой в виде матрицы бинарных отношений W. Структура определяется пока экспертным путем, но ведутся разработки по автоматизации процесса ее построения с использованием базы знаний. Далее, ненулевые элементы матрицы W некоторым образом получают метрические оценки, в конечном итоге имеющие смысл нормированных по столбцам весовых коэффициентов wij. На рис. 1 представлена данная матрица в блочном виде, на которой хорошо видна структура модели, в том числе ограничения в виде нулевых блоков.

сфере.

Принятие федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации нормативных правовых актов, ущемляющих конституционные права и свободы граждан в области духовной жизни и информационной деятельности.

Создание монополий на формирование, получение и распространение информации в Российской Федерации, в том числе с использованием телекоммуникационных систем.

Противодействие, в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений.

21 4 Нерациональное, чрезмерное ограничение доступа к общественно необходимой информации.

22 5 Противоправное применение специальных средств воздействия на индивидуальное, групповое и общественное Неисполнение федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями и гражданами требований федерального законодательства, регулирующего отношения в информационной сфере.

Неправомерное ограничение доступа граждан к открытым информационным ресурсам федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, к открытым архивным материалам, к другой открытой социально значимой информации.

25 8 Дезорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы.

26 9 Нарушение конституционных прав и свобод человека и гражданина в области массовой информации.

Вытеснение российских информационных агентств, средств массовой информации с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных информационных структур.

Девальвация духовных ценностей, пропаганда образцов массовой культуры, основанных на культе насилия, на духовны х и нравственны х ценностях, противоречащих ценностям, принятым в российском обществе.

Снижение духовного, нравственного и творческого потенциала населения России, что существенно осложнит подготовку трудовых ресурсов для внедрения и использования новейших технологий, в том числе 30 13 Манипулирование информацией (дезинформация, сокрытие или искажение информации).

Монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами.

Блокирование деятельности государственных средств массовой информации по информированию российской и Низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационны х технологий.

Закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам.

Вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и 37 20 Увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.

38 21 Противоправные сбор и использование информации.

39 22 Нарушения технологии обработки информации.

Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия.

Разработка и распространение программ, нарушающих нормальное функционирование информационны х и информационно-телекоммуникационных систем, в том числе систем защиты информации.

Уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи.

Воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи 44 27 Компрометация ключей и средств криптографической защиты информации.

45 28 Утечка информации по техническим каналам.

Внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности.

47 30 Уничтожение, повреждение, разрушение или хищение машинных и других носителей информации.

Перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации.

Использование несертифицированных отечественных и зарубежны х информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.

50 33 Несанкционированный доступ к информации, находящейся в банках и базах данных.

51 34 Нарушение законных ограничений на распространение информации.

Таблица 3. Составляющие (компоненты) национальных интересам РФ в Таблица 4. Требуемые меры по обеспечению защищенности национальных интересов Повысить эффективность использования информационной инфраструктуры в интересах общественного 1 развития, консолидации российского общества, духовного возрождения многонационального народа Российской Усовершенствовать систему формирования, сохранения и рационального использования информационных 2 ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации.

Обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, 3 производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды.

Обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну 4 переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и Укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, 5 создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации.

Гарантировать свободу массовой информации и запрет цензуры.

Не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной 7 или религиозной ненависти и вражды.

Обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без 8 его согласия и другой информации, доступ к которой ограничен федеральным законодательством.

Укреплять государственные средства массовой информации, расширять их возможности по своевременному 9 доведению достоверной информации до российских и иностранных граждан.

Интенсифицировать формирование открытых государственных информационных ресурсов, повысить 10 эффективность их хозяйственного использования.

Развивать и совершенствовать инфраструктуру единого информационного пространства Российской Развивать отечественную индустрию информационных услуг и повышать эффективность использования 12 государственных информационных ресурсов.

Развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, 13 телекоммуникации и связи, расширять участие России в международной кооперации производителей этих Обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, 14 разработок в сферах информатизации, телекоммуникации и связи.

Повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных 15 сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами.

Интенсифицировать развитие отечественного производства аппаратных и программных средств защиты 16 информации и методов контроля за их эффективностью.

Обеспечить защиту сведений, составляющих государственную тайну.

Расширять международное сотрудничество Российской Федерации в области развития и безопасного 18 использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

Источники угроз 2 Угрозы 3 Объект (компоненты) Рисунок 1. Схема модели в матричном виде (полная матрица отношений).

Первая расчетная задача, решаемая на матрице W, состоит в получении оценок опять таки отношений между элементами модели, но уже с учетом их транзитивности (матрица V), которые для сложных структур даже на качественном уровне далеко не очевидны, и, тем более, трудно дать им обоснованную количественную оценку. Блочная структура V приведена также на рис. 1. Блоки, содержащиеся в 4-ом столбце V вырожденные и представляют собой вектор наиболее существенных оценок - показателей влияния всех выделенных в модели факторов на состояние защищенности объекта, которые являются основной для дальнейшего анализа и, возможно, синтеза и оценивания мер противодействия.

В случае приводимой к треугольному виду матрицы W значение каждого элемента vij из V легко определить известным образом в терминах инвариантного матричному графического представления, как сумму по всем путям из i-ой вершины в j-ую произведений весов дуг по каждому пути. Однако в общем случае такой способ не приемлем, и задача решается с использованием аппарата Марковских цепей: V=(IW) I, где I - единичная матрица (в используемом программном средстве применен более эффективный и устойчивый алгоритм).

Любая система мер и средств имеет цель изменения исходного состояния защищаемого объекта в ту или иную сторону и всегда решает задачу модификации конечного потока угроз. Осуществляется это в результате локальных воздействий на включенные в модель факторы возникновения и распространения угроз, что количественно характеризуется параметрами, имеющими смысл усиливающих или понижающих коэффициентов, ri 1.

Интегральная результативность системы воздействий в целом на объект

Pages:     | 1 |   ...   | 3 | 4 ||
Похожие работы:

«DCAS Doc No. 17 7/9/10 МЕЖДУНАРОДНАЯ КОНФЕРЕНЦИЯ ПО ВОЗДУШНОМУ ПРАВУ (Пекин, 30 августа – 10 сентября 2010 года) ЗАКЛЮЧИТЕЛЬНЫЙ АКТ R07,09/10-3374 DCAS Doc No. 17 -2ЗАКЛЮЧИТЕЛЬНЫЙ АКТ Международной конференции по воздушному праву (Дипломатическая конференция по авиационной безопасности), проводившейся под эгидой Международной организации гражданской авиации в Пекине, Китай, с 30 августа по 10 сентября 2010 года Полномочные представители на Дипломатической конференции по авиационной безопасности...»

«Руководство МСАТ по безопасности на автотранспорте Рекомендации для менеджеров, водителей, грузоотправителей, операторов, осуществляющих перевозки опасных грузов. Сотрудничество с таможенными органами. Москва 2004 Предисловие С целью подготовки рекомендаций по безопасности для автотранспортных организаций решением Со вета IRU по перевозке грузов, принятом на заседании совета в апреле 2004 г. в Иокогаме, была создана Специальная группа по безопасности (СГБ). Представители 10 ассоциаций,...»

«ПРЕСС-КОНФЕРЕНЦИЯ НА ТЕМУ ПЕРСПЕКТИВЫ УРЕГУЛИРОВАНИЯИРАНСКОЙ ЯДЕРНОЙ ПРОБЛЕМЫ РИА НОВОСТИ, 6 СЕНТЯБРЯ 2005 ВЕДУЩИЙ: Ну, что, уважаемые коллеги. Сегодня у нас пресс-конференция по проблеме Перспективы урегулирования иранской ядерной проблемы. Участники конференции - директор ПИР-Центра, профессор Женевского центра по политике безопасности Владимир Орлов; замдиректор ПИР-Центра Антон Хлопков и директор академических программ Женевского центра Шахрам Шубин. В общем-то, насколько я понимаю, вот эта...»

«Международная конференция Глобальная безопасность и восьмерка: вызовы и интересы. На пути к Санкт-Петербургскому саммиту Москва, 20-22 апреля 2006 г. Некоторые международные тенденции развития образовательных систем Марк Агранович, Центр мониторинга и статистики образования Образование и безопасность Образование содействует повышению безопасности в мире путем: Содействия экономическому развитию Уменьшения социальной напряженности в обществе через снижение: преступности безработицы социального...»

«ИНФОРМАЦИЯ ДЛЯ ПРЕПОДАВАТЕЛЕЙ Видовое разнообразие во всем мире Страница 1/8 © 2008 Федеральное министерство экологии, охраны природы и безопасности ядерных установок Модуль биологическое разнообразие преследует цель, показать с помощью рассмотрения естественнонаучных вопросов и проблем, ВИДОВОЕ какую пользу приносит человеку Природа во всем ее многообразии, РАЗНООБРАЗИЕ чему можно у нее поучиться, как можно защитить биологическое ВО ВСЕМ МИРЕ разнообразие и почему стоит его защищать....»

«Мыслительные процессы как метод разработки прорывных решений в бизнесе Сергей, Бублик Сергей, Консультант ТОС практики Apple Consulting® Consulting® 24 июня 2010 года IdeasFirst ИННОВАЦИИ: ОТ ИДЕИ К ВНЕДРЕНИЮ 1 План презентации 1. Основа Мыслительных процессов и сферы их применения. 2. Нежелательные явления бизнеса как симптомы системного заболевания. Примеры управленческих решений. 3. Поиск корневого конфликта. Управленческие решения. 4. Примеры изменения бизнес-логики вследствие применения...»

«Международная научно-практическая конференция Арктическая зона Российской Федерации: северо-восточный вектор развития ОТЧЕТ о работе Секции № 2 Геополитические аспекты развития Арктики, безопасность и международное сотрудничество Руководителями секции являлись: Михайлова Евгения Исаевна - доктор педагогических наук, кандидат психологических наук, член- корреспондент Российской академии образования, ректор Северо-Восточного федерального университета им. М.К. Аммосова (Якутск) Митько Валерий...»

«УЧРЕЖДЕНИЕ РОССИЙСКОЙ АКАДЕМИИ НАУК ИНСТИТУТ МИРОВОЙ ЭКОНОМИКИ И МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ РАН ФОНД ИНИЦИАТИВА ПО СОКРАЩЕНИЮ ЯДЕРНОЙ УГРОЗЫ ПЕРСПЕКТИВЫ ТРАНСФОРМАЦИИ ЯДЕРНОГО СДЕРЖИВАНИЯ Вступительное слово академика А.А. Дынкина на конференции Перспективы трансформации ядерного сдерживания Под редакцией Алексея Арбатова, Владимира Дворкина, Сергея Ознобищева Москва ИМЭМО РАН 2011 УДК 327.37 ББК 66.4 (0) Перс 278 Вступительное слово академика А.А.Дынкина на конференции Перспективы трансформации...»

«Сборник докладов I Международной научной заочной конференции Естественнонаучные вопросы технических и сельскохозяйственных исследований Россия, г. Москва, 11 сентября 2011 г. Москва 2011 УДК [62+63]:5(082) ББК 30+4 Е86 Сборник докладов I Международной научной заочной конференции Естественнонаучные Е86 вопросы технических и сельскохозяйственных исследований (Россия, г. Москва, 11 сентября 2011 г.). – М.:, Издательство ИНГН, 2011. – 12 с. ISBN 978-5-905387-11-1 ISBN 978-5-905387-12-8 (вып. 1)...»

«21 СЕНТЯБРЯ ЦЕНТР DIGITAL OCTOBER МОСКВА WWW.DLPRUSSIA.RU О конференции DLP-Russia 21 сентября 2012 года в Центре Digital October состоится V международная конференция DLPRussia. Конференция DLP-Russia является единственным в России отраслевым событием по вопросам защиты конфиденциальной информации от внутренних угроз и утечек, которая уже в пятый раз проводится по инициативе российской ассоциации DLP-Эксперт. Главная идея конференции – диалог бизнеса, власти и технологических лидеров: как...»

«Содержание 1. Монографии сотрудников ИЭ УрО РАН Коллективные 1.1. Опубликованные в издательстве ИЭ УрО РАН 1.2. Изданные сторонними издательствами 2. Монографии сотрудников ИЭ УрО РАН Индивидуальные 2.1. Опубликованные в издательстве ИЭ УрО РАН 2.2. Изданные сторонними издательствами 3. Сборники научных трудов и материалов конференций ИЭ УрО РАН 3.1. Сборники, опубликованные в издательстве ИЭ УрО РАН.46 3.2. Сборники, изданные сторонними издательствами и совместно с зарубежными организациями...»

«СЕРИЯ ИЗДАНИЙ ПО БЕЗОПАСНОСТИ № 75-Ш8АО-7 издании по безопасност Ш ернооыльская авария: к1 ДОКЛАД МЕЖДУНАРОДНОЙ КОНСУЛЬТАТИВНОЙ ГРУППЫ ПО ЯДЕРНОЙ БЕЗОПАСНОСТИ МЕЖДУНАРОДНОЕ АГЕНТСТВО ПО АТОМНОЙ ЭНЕРГИИ, ВЕНА, 1993 КАТЕГОРИИ ПУБЛИКАЦИЙ СЕРИИ ИЗДАНИЙ МАГАТЭ ПО БЕЗОПАСНОСТИ В соответствии с новой иерархической схемой различные публикации в рамках серии изданий МАГАТЭ по безопасности сгруппированы по следующим категориям: Основы безопасности (обложка серебристого цвета) Основные цели, концепции и...»

«VI Международная научно-практическая конференция Гармония Севера: социальная безопасность личности, семьи и общества 21-23 ноября 2013 года, г. Петрозаводск, Республика Карелия, Россия Конференция Гармония Севера - это уникальная возможность объединения разных в Едином. Социальная безопасность – это культура отношений личности, семьи и общества, где каждый и все ответственны за свою Жизнь и Жизнь других. (из анкет участников Конференции) Проект программы 21 ноября 2013 года, четверг В это день...»

«аналиТиКа УДК 341. 24 Журбей Е.В. Договор о европейской безопасности: перспективность российских инициатив European Security Treaty: prospects for Russian initiatives Статья посвящена российским предложениям в области европейской безопасности, которые содержаться в проекте Договора о европейской безопасности президента Российской Федерации Дмитрия Медведева. Рассматриваются ключевые положения российских предложений, и исследуется реакция на данные предложения со стороны основных...»

«План работы XXIV ежегодного Форума Профессионалов индустрии развлечений в г. Сочи (29 сентября - 04 октября 2014 года) 29 сентября с 1200 - Заезд участников Форума в гостиничный комплекс Богатырь Гостиничный комплекс Богатырь - это тематический отель 4*, сочетающий средневековую архитиктуру с новыми технологиями и высоким сервисом. Отель расположен на территории Первого Тематического парка развлечений Сочи Парк. Инфраструктура отеля: конференц-залы, бизнес-центр, SPA-центр, фитнес центр,...»

«Санкт-Петербургское отделение Секции геополитики и безопасности РАЕН Арктическая общественная академия наук Научно-исследовательский институт Систем прогнозирования и мониторинга чрезвычайных ситуаций “Прогноз” СПбГЭТУ ЛЭТИ Агентство по наукоемким и инновационным технологиям Прогноз-Норд VI МЕЖДУНАРОДНЫЙ КОНГРЕСС ЦЕЛИ РАЗВИТИЯ ТЫСЯЧЕЛЕТИЯ И ИННОВАЦИОННЫЕ ПРИНЦИПЫ УСТОЙЧИВОГО РАЗВИТИЯ АРКТИЧЕСКИХ РЕГИОНОВ В 2013 году Конгресс посвящен 10-летнему юбилею со дня образования Санкт-Петербургской...»

«Дата: 21 сентября 2012 Паспорт безопасности 1. Идентификация Наименование продукта: Ultra-Ever Dry™ SE (Top Coat) Использование вещества: Покрытие для различных поверхностей, которым необходимы супергидрофобные свойства Поставщик: UltraTech International, Inc. редст витель в оссии +7(812) 318 33 12 www.ultra-ever-dry.info vk.com/ultraeverdryrus info@ultra-ever-dry.info 2. Виды опасного воздействия Основные пути попадания в организм: дыхание, контакт с кожей, глаза Воздействие на здоровье...»

«Главные новости Риека, 20 июня 2008 Действия Москвы в Абхазии - не повод для войны, считают в Грузии То, что Россия сейчас делает в Грузии, в Абхазии является абсолютно неприкрытой агрессией, но это не повод для Тбилиси начать войну, сказал в интервью РИА Новости в пятницу вице-премьер Грузии Георгий Барамидзе, прибывший в итальянскую столицу для участия в 25-й международной конференции по вопросам безопасности. Хотя любое государство, наверное, по-другому отреагировало бы, потому что сейчас, в...»

«ОО КАДІР-АСИЕТ При поддержке Посольства Королевства Нидерланды в Казахстане МОНИТОРИНГ СИТУАЦИИ С БЕЗОПАСНОСТЬЮ ПРАВОЗАЩИТНИКОВ за сентябрь 2013 г. В сентябре 2013 г. проводился мониторинг вебсайтов по вопросу размещения информации о безопасности правозащитников Казахстана. ПРАВОЗАЩИТНИКИ Алима Абдирова После полуночи 22 сентября 2013г. стучали несколько раз в дверь, когда смотрела в глазок,на площадке никого не было. Не выдержав, я взяла скалку и вышла на площадку. Возле лестницы стоял парень...»

«СОДЕРЖАНИЕ  Е. БАЧУРИН Приветственное обращение руководителя Росавиации к участникам 33-й Московской международной конференции Качество услуг в аэропортах. Стандарты и требования В. ВОЛОБУЕВ Сертификация сервисных услуг в аэропортах России Г. КЛЮЧНИКОВ Система менеджмента качества услуг в аэропортах Р. ДЖУРАЕВА АВК Сочи – мировые стандарты сервиса: качество обслуживания, олимпийская специфика Л. ШВАРЦ Опыт аэропорта Курумоч в области внедрения стандартов качества А. АВДЕЕВ Стандарты качества...»









 
2014 www.konferenciya.seluk.ru - «Бесплатная электронная библиотека - Конференции, лекции»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.