Выбери формат для чтения
Загружаем конспект в формате docx
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Лекция №1
Тема: Основы компьютерной экспертизы.
Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и/или компьютерные носители информации, а целью — поиск и закрепление доказательств.
Рассмотрим основные понятия СКТЭ (судебной компьютерно-технической экспертизы) — самого молодого вида из класса инженерно-технических экспертиз.
Наиболее типичными задачами данного вида экспертизы являются:
• определение статуса объекта как компьютерного средства;
• идентификация и изучение возможности его использования в расследуемом преступлении;
• получение доступа к компьютерной информации и её всестороннее исследование.
Объекты компьютерно-технических экспертиз.
1. Аппаратные объекты (hard, железо, оборудование):
◦ персональные компьютеры (настольные, переносные);
◦ периферийные устройства (принтеры, модемы и др.);
◦ сетевое оборудование (сервера, рабочие станции, активное оборудование, сетевые кабели и др.);
◦ интегрированные системы (органайзеры, пейджеры, мобильные телефоны и др.);
◦ встраиваемые системы на базе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.);
◦ любые аксессуары всех указанных компонент (аппаратные блоки, платы расширения, микросхемы памяти, магнитные и лазерные диски, магнитные ленты).
2. Программное обеспечение (ПО, soft)
◦ системное ПО;
◦ прикладное ПО.
3. Информационные объекты (data, данные)
◦ документация, выполненная с применением компьютерных средств;
◦ сведения о компьютере в мультимедийных форматах;
◦ компьютерная информация в базах данных и в других приложениях, имеющих прикладной характер и т. д.
4. Автоматизированные информационные системы
◦ корпоративные и региональные компьютерные сети;
◦ проводные и беспроводные компьютерные сети;
◦ компоненты сетей, их внутренние структуры, интерфейсы и каналы взаимодействия.
Существуют различные классификации компьютерных экспертиз, относительно объектов и предметов исследования. Если говорить о судебных компьютерных экспертизах, то это самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз. Она является основной процессуальной формой использования специальных познаний при расследовании и судебном рассмотрении уголовных и гражданских дел, дел об административных правонарушениях, сопряженных с использованием компьютерных технологий.
Ее структурными компонентами являются:
• аппаратно-компьютерная экспертиза;
• программно-компьютерная экспертиза;
• информационно-компьютерная экспертиза;
• компьютерно-сетевая экспертиза.
Основанием для проведения компьютерной экспертизы является постановление следователя о проведении соответствующей экспертизы.
Основные документы и нормативно-правовые акты, регулирующие проведение компьютерных экспертиз это:
• Конституция РФ;
• УПК РФ;
• ФЗ-73 от «О государственной судебно-экспертной деятельности в Российской Федерации».
Назначение любой экспертизы возникает из-за потребности в специальных знаниях, в случае компьютерной экспертизы, знаниях в области информационных систем, программного обеспечения, вычислительной техники и программирования.
Предмет данной экспертизы — это факты и обстоятельства, устанавливаемые на основе специальных знаний о технологиях разработки и эксплуатации компьютерной и иной информационной техники для реализации информационных процессов (которые зафиксированы в материалах уголовного, гражданского дела, дела об административном правонарушении).
Судебная экспертиза в уголовном судопроизводстве может производиться вне государственных судебно-экспертных учреждений лицами, обладающими специальными знаниями в области науки, техники, искусства или ремесла, но не являющимися государственными судебными экспертами. В этом случае на деятельность экспертов из числа лиц, обладающих специальными познаниями, распространяется действие соответствующих норм [УПК РФ] (ст. ст. 57, 80, 195, 196, 200 и др.), а также ст. ст. 2, 4, 6 - 8, 16 и 17, ч. 2 ст. 18, ст. 24 и ст. 25[ФЗ-73].
Таким образом, судебная компьютерная экспертиза - это правовая основа и основное доказательство любого компьютерного преступления. Только судебный эксперт может интерпретировать весь набор данных и фактов из компьютерной системы, и сделать их понятными для суда.
Контрольные вопросы:
1. Что такое компьютерно-техническая экспертиза?
2. Назовите основные документы и нормативно-правовые акты, регулирующие проведение компьютерных экспертиз?
3. Что является объектами компьютерно-технической экспертизы?
Лекция №2
Тема: Техническая разведка информационных потоков компьютера.
Техническая разведка выделяет некий «материальный носитель» информации и ее содержание.
Информация – это:
1)носитель информации, имеетимеет физическую природу (акустическую, э.м, электрическую и т.п.), могут быть иные формы;
1) «содержание» (смысл) информации, появляется в голове. Техническая разведка использует “канал”:
1) источник информации (объект защиты);
2) среда передачи данных;
3) средство добывания информации, инструмент ТР.
Компьютерная разведка: получение информации из баз данных ЭВМ, включенных в компьютерные сети, а также информации об особенностях их построения и функционирования.
Компьютерная разведка предполагает:
2) создание ТКУ;
3) использование ТКУ.
Цели создания ТКУ - получение:
4) данных, сведений, обрабатываемых, передаваемых и хранимых в компьютерных системах и сетях;
5) характеристик программных, аппаратных и программно-аппаратных комплексов;
6) характеристик пользователей компьютерных систем и сетей.
Технические средства КР:
4) Радиозакладки;
5) Вирусы;
6) Недекларируемые средства ПО;
КР использует угрозы, связанные с добыванием информации из:
7) компьютерных систем и сетей;
8) характеристик их программно-аппаратных средств;
9) пользователей.
Использует:
1. Семантический анализ и обработка добытой фактографической и ссылочной информации из общедоступных ресурсов или конфиденциальных источников в компьютерных системах и сетях с созданием специальных информационных массивов.
2. Программно-аппаратные закладки и НДВ, обеспечивают добывание данных путем использования заранее внедренных изготовителем программно-аппаратных закладок, ошибок и НДВ компьютерных систем и сетей.
3. Вирусные угрозы, обеспечивают добывание данных путем внедрения и применения вредоносных программ в уже эксплуатируемые программные комплексы и системы для перехвата управления компьютерными системами.
4. Разграничительные угрозы, обеспечивают добывание информации из отдельных (локальных) компьютерных систем, возможно и не входящих в состав сети, на основе преодоления средств разграничения доступа (НСД к информации в АС), а также реализация НСД при физическом доступе к компьютеру или компьютерным носителям информации;
5. Сетевые угрозы, обеспечивают добывание данных из ЛВС ( сетей), путем зондирования сети, инвентаризации и анализа уязвимостей сетевых ресурсов с последующим удаленным доступом либо блокированием доступа к ним, модификация, перехват управления либо маскирование своих действий;
6. Потоковые угрозы, обеспечивают добывание информации и данных путем перехвата, обработки и анализа сетевого трафика (систем связи) и выявления структур компьютерных сетей и их технических параметров;
7. Аппаратные угрозы, обеспечивают добывание информации и данных путем обработки сведений о аппаратуре, оборудовании, модулей с последующим анализом для выявления их технических характеристик и возможностей, использованием другими типами ТКУ;
8. Форматные угрозы, обеспечивают добывание информации и сведений путем "вертикальной" обработки, фильтрации, декодирования и других преобразований форматов (представления, передачи и хранения) добытых данных в сведения, а затем в информацию для последующего ее наилучшего представления пользователям;
9. Пользовательские угрозы, обеспечивают добывание информации о пользователях, их деятельности и интересах на основе определения их сетевых адресов, местоположения, организационной принадлежности, анализа их сообщений и информационных ресурсов, а также путем обеспечения им доступа к информации, циркулирующей в специально созданной легендируемой (заманивающей) информационной инфраструктуре (приманка).
Контрольные вопросы
1. Что такое техническая разведка?
2. Что такое компьютерная разведка?
3. Какие есть технические средства компьютерной разведки?
Лекция №3
Тема: Организация защиты информации от угроз технической разведки.
Безопасность информации – это условия хранения, обработки и передачи информации, при которых обеспечивается ее защита от угроз уничтожения, изменения и хищения. Потенциальная угроза безопасности информации существует всегда.
Основным способом незаконного добывания информации является разведка. Условно разведку можно разделить на агентурную и техническую. Условность состоит в том, что добывание информации агентурными методами осуществляется с помощью технических средств, а техническую разведку ведут люди. Отличие состоит в преобладании человеческого или технического факторов.
Развитие технической разведки связано с повышением ее технических возможностей, обеспечивающих:
• снижение риска задержания агента контрразведки за счет дистанционного контакта с источником информации,
• добывание информации путем съема ее с носителей, не воздействующих на органы чувств человека.
Многообразие видов носителей информации породило множество видов технической разведки. Для классификации технической разведки применяют можно применить два способа:
• по физической природе носителей информации;
• по видам носителей технических средств добывания информации.
В системе технической разведки реализуется обнаружение и анализ демаскирующих признаков.
Обнаружение демаскирующих признаков заключается в выполнении следующих операций:
• поиск и обнаружение энергии демаскирующих признаков в пространстве, времени, по спектру и т.д.;
• выделение демаскирующих признаков из искусственных и естественных помех.
Анализ демаскирующих признаков заключается в выполнении следующих мероприятий:
• распределение демаскирующих признаков различных объектов;
• оценка параметров демаскирующих признаков;
• сокращение избыточности информации;
• регистрация, накопление и классификация демаскирующих признаков;
• нахождение местоположения источника демаскирующих признаков;
• распознавание смыслового содержания демаскирующих признаков;
• выявление охраняемых сведений.
В соответствии с вышеперечисленным главными направлениями снижения эффективности ТСР являются:
1. Противодействие обнаружению демаскирующих признаков.
2. Противодействие анализу демаскирующих признаков.
Организация ПД ТСР включает в себя следующие мероприятия:
1. организация режима и охраны (цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников и посетителей, создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа, контроль соблюдения временного режима труда и пребывания на территорию персонала фирмы, организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и т.д.);
2. организация работы с сотрудниками (предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами наказания за нарушение правил защиты информации и т.д.);
3. организация работы с документами (в том числе организация разработки и использования документов и носителей конфиденциальной информации, их учет, хранение, исполнение, возврат, размножение и уничтожение);
4. организация работы по анализу внутренних и внешних угроз (в том числе выработка мер по обеспечению ее защиты);
5. организация использования технических средств (в том числе сбора, обработки, накопления и хранения конфиденциальной информации).
Для каждого конкретного случая настоящие организационные мероприятия носят специфическую форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Настоящие организационные мероприятия должны четко планироваться, направляться и осуществляться специально созданным для этих целей структурным подразделением, укомплектованным специалистами по безопасности и защите информации.
Функции службы безопасности
Зачастую таким подразделением является служба безопасности, на которую возлагаются следующие функции:
• организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
• обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях;
• контроль соблюдения требований режима сотрудниками, смежниками, партнерами, посетителями;
• руководство работами по правовому и организационному регулированию отношений по защите информации;
• участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
• разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;
• изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия попыткам нанесения ущерба, ведение учета и анализа нарушения режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентов;
• организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности;
• разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
• обеспечение строгого выполнения требований нормативных документов по защите производственных секретов;
• осуществление руководства подведомственными службами безопасности;
• организация и регулярное проведение учета сотрудников по всем направлениям защиты информации и обеспечения безопасности;
• обеспечение проведения всех необходимых мероприятий по пресечению нанесения морального и материального ущерба со стороны внешних и внутренних угроз;
• поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий.
Служба безопасности является самостоятельной организационной единицей предприятия. Возглавляет службу безопасности начальник службы. Организационно служба безопасности состоит из следующих подразделений:
• подразделение режима и охраны;
• специальное подразделение обработки документов конфиденциального характера;
• инженерно-техническое подразделение;
• информационно-аналитическое подразделение.
В таком составе служба безопасности способна обеспечить защиту от любых угроз.
Контрольные вопросы:
1. Что такое безопасность информации?
2. Какие виды угроз информационной безопасности вы знаете?
3. Назовите основные функции службы безопасности.
Лекция № 4
Тема: Методы хранения информационных потоков в компьютере.
Информационный поток — это совокупность циркулирующих в системе, между системой и внешней средой сообщений, необходимых для управления, анализа и контроля операций. Передача и прием информационных потоков осуществляется с помощью носителей памяти человека, документа, магнитного носителя, устной речи и т.п.
Носитель информации — это любое материальное средство, фиксирующее информацию. Информационный поток может объединять носители разных видов, например, состоять из бумажных и электронных носителей, которые дублируют или дополняют друг друга.
Структура информационных потоков определяет их однородность и неоднородность.
Однородные информационные потоки характеризуются единым видом носителя, единой функциональной принадлежностью.
По периодичности информационные потоки делятся на регулярные, соответствующие регламентированной во времени передаче данных, и оперативные — обеспечивающие связь по требованию.
Организация хранения информации в оперативной памяти.
Запоминающие устройства в ЭВМ служат для хранения информации и обмена ею с другими компонентами ЭВМ. Среди выпускаемых интегральных схем 40% приходится на схемы памяти. Организация устройств памяти в ЭВМ иерархическая.
Глобальная
память
(сетевые
ресурсы)
Внешняя
Память
(HDD, FDD
и т.п.)
Основная
память
RAM
и
ROM
I
Рис . Структура памяти.
При передаче в CPU инструкции (I) и при обмене данными (D) между CPU и памятью возникает “узкое горлышко”, приводящее к значительному снижению производительности CPU. Для повышения производительности используется конвейерное выполнение инструкций, организуется очередь инструкций, используются несколько CPU. Память любого уровня характеризуется быстродействием (временем доступа) и емкостью.
Время доступа задается в наносекундах (нс) и характеризует быстродействие памяти. Время доступа соответствует времени между моментом появления запроса на чтение содержимого некоторой ячейки памяти и моментом поступления желаемого содержимого на выходных линиях устройства памяти. Кроме названного параметра устройство памяти характеризуется временем цикла, которое соответствует минимальному времени между поступлениями запросов к устройству памяти.
Емкость (Q) выражается в байтах (К = 1024 байт; М = 1024 Кбайт = 1048576 байт; Г = 1024 Мбайт).
Конфигурация запоминающих устройств выражается произведением количества хранимых слов на их разрядность. Например, выражения 4096х16, 8192х8 представляют память одинаковой емкости, но с разным внешним интерфейсом.
Управление памятью. Под управлением памятью понимается:
1. Учет и распределение памяти.
2. Обеспечение доступа к информации в памяти.
Для учета и распределения используются системные функции. В DOS вызов системных функций осуществляется с помощью системы прерывания (int 21h). В Windows для манипуляции с памятью в режиме пользователя используются программные средства API Win32, а для манипуляции с памятью в режиме ядра используются специальные системные вызовы, отличающиеся от API вызовов.
При организации доступа к данным, размещаемым в памяти, используются два метода:
a) Метод логической адресации элементов памяти. Логический адрес не указывает пользователю местоположение ячейки памяти, в которой размещается адресуемый операнд. Операнд может размещаться в основной (ОЗУ) или во внешней памяти (ВЗУ).
b) Метод свопинга, заключающийся в своевременном перемещении заданного размера порций данных между ОЗУ и фиксированным пространством ВЗУ. Перемещаемая порция данных содержит логически адресуемый операнд.
Организация хранения информации в файловой системе компьютера
Файловая система англ. file system — порядок, определяющий способ организации, хранения и именования данных на носителях информации в компьютерах, а также в другом электронном оборудовании: цифровых фотоаппаратах, мобильных телефонах и т. п.
Файловая система определяет формат содержимого и физического хранения информации, которую принято группировать в виде файлов. Конкретная файловая система определяет размер имени файла папки, максимальный возможный размер файла и раздела, набор атрибутов файла. Некоторые файловые системы предоставляют сервисные возможности, например, разграничение доступа или шифрование файлов.
Файловая система связывает носитель информации с одной стороны и API для доступа к файлам — с другой. Когда прикладная программа обращается к файлу, она не имеет никакого представления о том, каким образом расположена информация в конкретном файле, так же, как и на каком физическом типе носителя CD, жёстком диске, магнитной ленте, блоке флеш-памяти или другом он записан. Всё, что знает программа — это имя файла, его размер и атрибуты. Эти данные она получает от драйвера файловой системы. Именно файловая система устанавливает, где и как будет записан файл на физическом носителе например, жёстком диске.
С точки зрения операционной системы ОС, весь диск представляет собой набор кластеров как правило, размером 512 байт и больше. Драйверы файловой системы организуют кластеры в файлы и каталоги реально являющиеся файлами, содержащими список файлов в этом каталоге. Эти же драйверы отслеживают, какие из кластеров в настоящее время используются, какие свободны, какие помечены как неисправные.
Однако файловая система не обязательно напрямую связана с физическим носителем информации. Существуют виртуальные файловые системы, а также сетевые файловые системы, которые являются лишь способом доступа к файлам, находящимся на удалённом компьютере.
Файл — поименованная область на магнитном диске, где могут долговременно храниться программы, обрабатываемая информация. Файл имеет имя, зарегистрированное в папке каталоге файлов. Имя файла состоит из собственного имени и расширения тип файла отделяются точкой. Тип файла определяет какого рода информация хранится на файле, какой программой файл создан, какая его внутренняя организация и как он может быть использован. Программные файлы имеют тип com или exe, пакетные командные файлы — bat.
Папка — доступна пользователю, она сама представляет собой файл, ее можно хранить в др. папке. К файловой системе имеет доступ любая прикладная программа. Структура файловой системы и структура хранения данных на внешних носителях определяет удобство работы, скорость доступа к данным. То же, что директория и каталог объекты в файловой системе.
Накопитель на жёстких магнитных дисках или НЖМД англ. hard magnetic disk drive, HDD, HMDD, жёсткий диск, в компьютерном сленге винчестер — запоминающее устройство хранения информации произвольного доступа, основанное на принципе магнитной записи. Является основным накопителем данных в большинстве компьютеров.
Оптический диск англ. optical disc — собирательное название для носителей информации, выполненных в виде дисков, чтение с которых ведётся с помощью оптического излучения. Диск обычно плоский, его основа сделана из поликарбоната, на который нанесён специальный слой, который и служит для хранения информации. Для считывания информации используется обычно луч лазера, который направляется на специальный слой и отражается от него.
Контрольные вопросы:
1. Что такое информационный поток?
2. Что такое организация хранения информации в файловой системе компьютера?
3. Назовите методы хранения информационных потоков в компьютере.
Лекция №5
Тема: Методы обработки информации в компьютере.
Представление информации в машинных кодах.
Системой счисления принято называть совокупность приёмов наименования и обозначения чисел, т.е. способ записи чисел с помощью заданного набора специальных знаков (цифр).
Существуют позиционные и непозиционные системы счисления.
В непозиционных системах вес цифры (т.е. тот вклад, который она вносит в значение числа) не зависит от ее позиции в записи числа. Так, в римской системе счисления в числе ХХХII (тридцать два) вес цифры Х в любой позиции равен просто десяти.
В позиционных системах счисления вес каждой цифры изменяется в зависимости от ее положения (позиции) в последовательности цифр, изображающих число. Например, в числе 757,7 первая семерка означает 7 сотен, вторая - 7 единиц, а третья - 7 десятых долей единицы.
Любая позиционная система счисления характеризуется своим основанием. Основание позиционной системы счисления - это количество различных знаков или символов, используемых для изображения цифр в данной системе.
При переводе чисел из десятичной системы счисления в систему с основанием P > 1 обычно используют следующий алгоритм:
1) если переводится целая часть числа, то она делится на P, после чего запоминается остаток от деления. Полученное частное вновь делится на P, остаток запоминается. Процедура продолжается до тех пор, пока частное не станет равным нулю. Остатки от деления на P выписываются в порядке, обратном их получению;
2) если переводится дробная часть числа, то она умножается на P, после чего целая часть запоминается и отбрасывается. Вновь полученная дробная часть умножается на P и т.д. Процедура продолжается до тех пор, пока дробная часть не станет равной нулю. Целые части выписываются после двоичной запятой в порядке их получения. Результатом может быть либо конечная, либо периодическая двоичная дробь. Поэтому, когда дробь является периодической, приходится обрывать умножение на каком-либо шаге и довольствоваться приближенной записью исходного числа в системе с основанием P.
С развитием электронно-вычислительной техники большое применение получили двоичная, восьмеричная и шестнадцатеричная системы счисления.
Несмотря на то, что десятичная СС имеет широкое распространение, ЭВМ строятся на двоичных (цифровых) элементах, так как реализовать элементы с десятью четко различными состояниями сложно.
В двоичной системе счисления используются только две цифры 0 и 1. И значит, имеется только два однозначных числа.
Из всех систем счисления особенно проста и поэтому интересна для технической реализации в компьютерах двоичная система счисления. Компьютеры используют двоичную систему потому, что она имеет ряд преимуществ перед другими системами:
Для её реализации нужны технические устройства с двумя устойчивыми состояниями (есть ток - нет тока, намагничен - не намагничен и т.п.), а не с десятью, - как в десятичной;
Представление информации посредством только двух состояний надёжно и помехоустойчиво;
Возможно применение аппарата булевой алгебры для выполнения логических преобразований информации;
Двоичная арифметика намного проще десятичной.
Недостаток двоичной системы - запись числа будет, как правило, длиннее, чем в десятичной.
Шестнадцатеричная и восьмеричная СС используются при составлении программ на языке машинных кодов для более короткой и удобной записи двоичных кодов - команд, данных, адресов и операндов.
Если необходимо перевести число из двоичной системы счисления в систему счисления, основанием которой является степень двойки, достаточно объединить цифры двоичного числа в группы по столько цифр, каков показатель степени.
Задача перевода из одной системы счисления в другую часто встречается при программировании и особенно часто - при программировании на языке Ассемблера.
В ЭВМ применяются две формы представления чисел: с фиксированной (ффт) и плавающей (фпт) точкой. В случае ффт положение точки фиксируется в определенном месте относительно разрядов числа, как правило, перед старшим или после младшего; в первом случае представляются числа |N|<1, во втором - только целые числа.
По традиции нумерация бинарных разрядов (битов) в ЭВМ общего назначения ведется слева направо. Знаковый разряд является, как правило, крайним слева. В случае использования прямого кода диапазон представления чисел составляет 1≤N≤2(n-1)-1; дополнительный код позволяет использовать числа в диапазоне -2(n-1)≤N≤2(n-1)-1, что при n=32 примерно соответствует диапазону десятичных целых чисел 1≤N≤109
Для других рассмотренных кодов установление диапазонов представимости чисел оставляем читателю. В настоящее время форма фиксации точки перед старшим разрядом используется для представления целых чисел с фиксацией точки после младшего разряда. Если точка фиксируется справа от младшего разряда, то регистром целых чисел со знаком можно представлять нуль, положительные и отрицательные целые бинарные числа. В зависимости от модели ЭВМ используются два формата представления целых чисел: со знаком и без; в последнем случае все разряды регистра служат для представления модуля числа. Форматы чисел используются в качестве основных только в ограниченных по возможностям ЭВМ, ориентированных на работу в системах передачи данных, управлении технологическими процессами и работы в режиме реального времени. Остальные типы ЭВМ используют эти форматы, главным образом, для работы с целыми числами.
В ЭВМ общего (универсального) назначения основной является форма представления чисел с плавающей точкой (фпт), не требующая масштабирования данных. Но и в таких ЭВМ часто используется рассмотренная выше ффт, ибо операции с целыми числами в таких форматах выполняются быстрее; сюда же относятся и операции индексной арифметики над кодами адресов (обеспечение адресации). В общем случае представление N-числа в фпт имеет следующий вид: N=APM, где M - мантисса; А -основание характеристики и р - ее порядок. Как правило, величина Ар представляет целую степень двух. Мантисса (М; является дробью со знаком) и порядок (р; целое со знаком) представляются в А-с. с. в соответствующей бинарно-кодированной форме. Знак N-числа совпадает со знаком М-мантиссы; р-порядок определяет положение точки в представлении N-числа.
Арифметические и логические операции с кодами
Основными арифметическими операциями являются: сложение ('+'), вычитание ('-'), умножение ('*') и деление ('/'). Порядок выполнения операций в выражении соответствует их приоритету. Операции с одинаковым приоритетом в выражении выполняются слева направо.
Операция деления ('/') выполняется согласно типу ее операндов. Если оба операнда являются целыми числами, то деление будет целочисленным. Если один из операндов является вещественным, то и результат будет вещественным. Например, пусть переменная x имеет целочисленный тип, а y действительный тип. Следующая таблица демонстрирует результаты деления для различных операндов:
Среди логических операций следует выделить операции 'и' ('and'), 'или' ('or'), отрицание 'не' ('not') и сложение по модулю 2 ('xor'). В языке Си логические операции обозначаются следующим образом:
Таблицы истинности логических операций приведены в следующих таблицах:
Следует отметить также логическую операцию сравнения, обозначаемую в Си двумя знаками равенства. При этом выражение (x == y) эквивалентно !(x xor y). Операция называется операцией "сложение по модулю 2", потому что x xor y = (x + y) mod 2. Логические операции подчиняются правилу Де-Моргана:
Методы обработки информационных потоков
На сегодняшний день можно выделить следующие методы обработки и анализа информационных потоков,
Метод статистической обработки информации. Данный подход включает в себя хорошо развитые и изученные классические методы, а именно регрессионный, корреляционный анализ, etc. Несмотря на несомненную ценность данного вида исследований, во многих случаях от него приходится отказываться. Последнее обстоятельство связано не столько с недостатками указанного подхода, сколько с математической неграмотностью трейдеров, пытающихся его использовать. К величайшему сожалению, человек без образования в области статистики сталкивается с непреодолимыми трудностями как при выборе конкретного метода анализа, так и при трактовке результатов.
Метод эволюционного программирования. На сегодняшний день указанный метод является динамично развивающимся направлением анализа многомерных информационных потоков. Суть метода заключается в записи на внутреннем языке программирования ряда предварительных гипотез. После чего система генерирует алгоритм, максимально точно выражающий искомую зависимость, и начинает самостоятельно ее корректировать. В конечном итоге из целого спектра модифицированных программ отбирается наиболее удачный вариант. Несмотря на простоту идеи построения, оперативный прогноз не является сильной стороной этого метода. Кроме того, программная реализация все еще очень далека от совершенства.
«Деревья решений». Метод весьма условно может быть отнесен к системам прогноза меняющихся финансовых показателей, являясь скорее системой классификации (что, бесспорно, является одной из ключевых проблем анализа). Однако для анализа оперативных многомерных финансовых потоков указанное направление малопригодно.
Генетические алгоритмы. Первоначально генетические алгоритмы разрабатывались и успешно применялись для решения комбинаторных задач, а также задач поиска оптимальных вариантов. Суть метода основана на выборе наилучших решений по ранее формализованным критериям. При этом процесс оптимизации напоминает естественную эволюцию: отбор лучших решений (сильнейших), скрещивание и мутации. Несмотря на внешнюю привлекательность данного метода, у него есть ряд существенных недостатков. В качестве примера можно отметить сложность формализации критериев отбора. Кроме того, методика в целом оптимизирована на классе задач, существенно отличающихся от прогноза оперативно меняющихся финансовых показателей.
Нейросети. Сегодня все больше и больше участников рынка используют нейросети в своей повседневной деятельности. Нейросеть, как правило, представляет собой многослойную сетевую структуру однотипных элементов — нейронов, соединенных между собой и сгруппированных в слои (многослойные нейросети). Входная информация (многомерный информационный поток) подается на нейроны так называемого входного слоя. После прохождения через многослойную структуру выходная информация снимается с выходного слоя нейросети. При прохождении по сети мощность входных сигналов усиливается или ослабляется сетью, что определяется межнейронными связями. Перед непосредственным использованием нейросети на практике ее необходимо «обучить» на примерах, т. е. с помощью коррекции весов межнейронных связей по известным входным параметрам и результатам нейросеть настраивают таким образом, чтобы получить ответ, максимально близкий к правильному. Отметим, что проблему оценки постоянно изменяющихся внешних условий и соответственно степени влияния на рынок тех или иных параметров нейросеть решает благодаря самому принципу построения. Справедливости ради, необходимо указать, что при использовании нейросетей, как правило, забывают об эффекте насыщения.
Нечеткая логика. С середины 60-х гг. ХХ в., после разработки Л. Заде теории нечетких множеств, было предложено несколько теорий, позволяющих формализовать неопределенность. Данная область знаний в настоящее время интенсивно развивается и находит все новые и новые применения.
Контрольные вопросы:
1. Назовите основные методы обработки информационных потоков.
2. Что такое нейросети? Их основной принцип.
3. Какие бывают арифметические и логические операции с кодами?
Лекция №6
Тема: Методы передачи информационных потоков по интерфейсам компьютера.
Главная цель, которая преследуется при соединении компьютеров в сеть - это возможность использования ресурсов каждого компьютера всеми пользователями сети. Для того, чтобы реализовать эту возможность, компьютеры, подсоединенные к сети, должны иметь необходимые для этого средства взаимодействия с другими компьютерами сети. Задача разделения сетевых ресурсов является сложной, она включает в себя решение множества проблем - выбор способа адресации компьютеров и согласование электрических сигналов при установление электрической связи, обеспечение надежной передачи данных и обработка сообщений об ошибках, формирование отправляемых и интерпретация полученных сообщений, а также много других не менее важных задач.
Обычным подходом при решении сложной проблемы является ее декомпозиция на несколько частных проблем - подзадач. Для решения каждой подзадачи назначается некоторый модуль. При этом четко определяются функции каждого модуля и правила их взаимодействия.
Частным случаем декомпозиции задачи является многоуровневое представление, при котором все множество модулей, решающих подзадачи, разбивается на иерархически упорядоченные группы - уровни. Для каждого уровня определяется набор функций-запросов, с которыми к модулям данного уровня могут обращаться модули выше лежащего уровня для решения своих задач. Такой формально определенный набор функций, выполняемых данным уровнем для выше лежащего уровня, а также форматы сообщений, которыми обмениваются два соседних уровня в ходе своего взаимодействия, называется интерфейсом.
Структура протоколов передачи кодов по интерфейсу "общая шина"
Под структурой сети передачи данных (СПД) будем понимать отображение, описание физических и логических связей между ее элементами.
Под топологией сети будем понимать часть общей структуры сети, отражающей физические, территориальные, пространственные связи между ее элементами.
Топология связана с местом расположения объектов, их внешним видом. На рис. 1.1 представлены основные топологии СПД.
Общая шина. Характеризуется использованием общего канала множеством устройств. При этом в передаваемых данных содержится адрес того устройства, которому они предназначены. Данные получает то устройство, адрес которого содержится в передаваемых данных. Основные преимущества – простота и низкая стоимость. Основные недостатки – относительно малая надежность и сложность организации очередности доступа к каналу. Наиболее популярное использование – локальные сети Ethernet. Общая шина может состоять из нескольких физических линий, как, например, в персональном компьютере.
Структура протоколов передачи кодов по интерфейсам периферийных устройств
Управление передачей информации при выполнении процессов ввода или вывода с помощью того или иного стандартного интерфейса (шины) осуществляется посредством специальных команд или циклов шины (интерфейса). Каждая команда интерфейса реализуется по определенным правилам, называемыми протоколами интерфейса. Эти протоколы регламентируются стандартом соответствующего интерфейса и должны выполняться независимо от типа компьютера или периферийного устройства. За одну команду от источника к приемнику передается одна порция или блок информации, имеющих определенную структуру.
Несмотря на большое разнообразие интерфейсов, их протоколы строятся на основе достаточно общего алгоритма процесса передачи данных или алгоритма взаимодействия задатчика (устройства-инициализатора) и исполнителя (целевого устройства).
Прежде чем рассматривать алгоритмы процессов передачи информации на шине, определим основные состояния, в которых может находиться интерфейс.
Шина может находиться в двух главных состояниях:
состояние холостого хода (Idle State), когда шина свободна и по ней нет передачи информации;
активное состояние, когда шина занята текущим задатчиком, и идет процесс передачи данных между ним и соответствующим исполнителем.
Если состояние холостого хода одно, активных состояний может быть несколько, и они определяются теми этапами передачи данных, с помощью которых реализуется процесс чтения или записи информации.
Следует подчеркнуть, что новый задатчик может захватывать шину только тогда, когда ее освободит текущий задатчик, и шина будет находиться в состоянии холостого хода.
Состояние холостого хода и активное состояние задают определенным набором управляющих сигналов или определенным физическим состоянием линии передачи данных.
Процесс передачи информации на шине состоит из двух основных этапов: этап захвата шины и этап передачи информации от источника к приемнику.
На первом этапезадатчик должен захватить шину. Алгоритм захвата состоит из следующих шагов:
1. Задатчик подает запрос арбитру на захват шины.
2. Арбитр через определенное время (задержка арбитрации tзарб), которое в основном зависит от уровня приоритета задатчика, выдает задатчику разрешение на захват шины.
3. Задатчик, получив разрешение, через время tЗШ, захватывает шину в момент, когда текущий задатчик освобождает шину, и она переходит в состояние холостого хода.
На втором этапеидет собственно передача информации под управлением задатчика, т.е. на этом этапе задается вид команды и способ ее выполнения.
Процесс ввода/вывода может реализоваться как в режиме программного ввода/вывода, так и в режиме прерываний (см. §1.2). В том и другом случаях управление процессом передачи информации осуществляет задатчик (активное устройство).
Алгоритм передачи при программном вводе/выводе включает в себя выполнение следующих шагов:
1. Задатчик в начале передачи данных выставляет специальный сигнал занятости шины.
2. Задатчик устанавливает адрес исполнителя.
3. Задатчик устанавливает код (сигнал) соответствующей команды.
4. Когда задатчик и исполнитель готовы, начинается передача данных, передача идет слово за словом. В параллельном интерфейсе разряды слова передаются параллельно, в последовательном – разряд за разрядом.
5. После передачи последнего слова в блоке данных задатчик заканчивает процесс передачи информации и шина переходит в состояние холостого хода.
Алгоритм передачи при режиме прерываний отличается тем, что инициатором процесса ввода/вывода является исполнитель (периферийное устройство). Причем задатчик может работать сразу с несколькими ПУ. Если задатчик получил одновременно несколько запросов от разных ПУ, то он проводит селекцию и идентификацию устройства с наибольшим приоритетом и начинает работать с ним по вышеописанному алгоритму. Т.е. предварительно задатчик по требованию исполнителей выполняет шаг селекции и идентификации (см. §1.7), а затем уже переходит к процессу передачи данных в соответствии с вышеизложенным алгоритмом.
Первый и второй этапы имеют определенные протоколы их реализации.
Как правило, протоколы первого этапа и протокол шага селекции и идентификации второго этапа достаточно просты и являются одинаковыми для всех задатчиков и не зависит от типа команд интерфейса.
На рисунке 1 показан протокол захвата шины задатчиком В при условии, что на шине уже работает текущий задатчик А. В момент t1 задатчик В подает арбитру запрос на захват шины. Арбитр сбрасывает разрешение для задатчика А и устанавливает в момент t2 разрешение для задатчика В. В момент t3 задатчик А освобождает шину, и она переходит в состояние холостого хода, после чего задатчик В захватывает шину и начинает передачу информации.
Рис. 1 Протокол арбитрации
Линии запроса и разрешения, которые идут к арбитру от всех задатчиков, могут реализоваться либо в виде отдельных проводников, либо с использованием линий шины адреса/данных. В первом случае этап арбитрации может выполняться параллельно с передачей информации, а во втором этап арбитрации должен предшествовать этапу передачи данных.
На рисунке 2 показан протокол этапа селекции и идентификации при вводе/выводе в режиме прерываний. Он выполняется стандартной микросхемой 8259А программируемого контроллера прерываний фирмы Intel.
Рис. 2 Протокол режима прерываний
Периферийное устройство подает на контроллер прерываний запрос прерывания IRQ, контроллер проводит селекцию (выбор устройства с наибольшим приоритетом) и подает на микропроцессор сигнал INT, запрашивая у микропроцессора разрешение на прерывание.
Микропроцессор разрешает процедуру ввода/вывода в режиме прерываний выдав сигнал разрешения INTA на контроллер прерываний. Сигнал INTA двойной.
По первому импульсу контроллер прерываний фиксирует разрешение на работу, а по второму – выдает на шину данных адрес вектора прерываний, по которому микропроцессор идентифицирует ПУ и передает управление драйверу этого ПУ.
Протоколы второго этапа по передаче информации различаются в зависимости от типа передаваемых данных, архитектуры шины, направления передачи и других характеристик.
Но вместе с тем второй этап характеризуется некоторыми основными принципами его реализации, которые являются общими для многих интерфейсов.
В данном параграфе будут рассмотрены протоколы второго этапа сначала для параллельных, затем последовательных интерфейсов, для операций чтения и записи в синхронном и асинхронном режимах передачи данных, для трехшинной и двухшинной архитектур.
Перед рассмотрением протоколов следует отметить два существенных момента, которые являются общими для всех протоколов и их необходимо учитывать при дальнейших рассмотрениях.
Первый момент заключается в том, что шина работает на определенной частоте, которая задается синхронизирующими импульсами интерфейса (CLK) и все временные параметры шины измеряются количеством импульсов и величиной периода их следования (τ).
Второй момент связан с тем, что протокол команды интерфейса реализуется поэтапно, в виде определенных шагов, в течение которых, как правило, передается или не передается та или иная информация. Эти этапы в параллельных интерфейсах часто называют фазами шины, а в последовательных интерфейсах информацию, передаваемую на каждом этапе, называют пакет.
Совокупность фаз или пакетов одной команды часто называют транзакцией.
Методы передачи информационных потоков по интерфейсам компьютера
Информационным потоком ( data flow, data stream ) называют последовательность данных, объединенных набором общих признаков, который выделяет эти данные из общего сетевого трафика.
Данные могут быть представлены в виде последовательности байтов или объединены в более крупные единицы данных — пакеты, кадры, ячейки. Например, все данные, поступающие от одного компьютера, можно определить как единый поток, а можно представить как совокупность нескольких подпотоков, каждый из которых в качестве дополнительного признака имеет адрес назначения. Каждый из этих подпотоков, в свою очередь, можно разделить на еще более мелкие подпотоки данных, например, относящихся к разным сетевым приложениям — электронной почте, копированию файлов, обращению к Web-серверу.
Понятие потока используется при решении различных сетевых задач и, в зависимости от конкретного случая, определяется соответствующий набор признаков. В задаче коммутации, суть которой — передача данных из одного конечного узла в другой, при определении потоков в роли обязательных признаков потока, очевидно, должны выступать адрес отправителя и адрес назначения данных. Тогда каждой паре конечных узлов будет соответствовать один поток и один маршрут.
Однако не всегда достаточно определить поток только парой адресов. Если на одной и той же паре конечных узлов выполняется несколько взаимодействующих по сети приложений, которые предъявляют к ней свои особые требования, поток данных между двумя конечными узлами должен быть разделен на несколько подпотоков, так чтобы для каждого из них можно было проложить свой маршрут. В таком случае выбор пути должен осуществляться с учетом характера передаваемых данных. Например для файлового сервера важно, чтобы передаваемые им большие объемы данных направлялись по каналам с высокой пропускной способностью, а для программной системы управления, которая посылает в сеть короткие сообщения, требующие обязательной и немедленной отработки, при выборе маршрута важнее надежность линии связи и минимальный уровень задержек. В таком примере набор признаков потока должен быть расширен за счет информации, идентифицирующей приложение.
Кроме того, даже для данных, предъявляющих к сети одинаковые требования, может прокладываться несколько маршрутов, чтобы за счет распараллеливания добиться одновременного использования различных каналов и тем самым ускорить передачу данных. В данном случае необходимо "пометить" данные, которые будут направляться по каждому из этих маршрутов.
Признаки потока могут иметь глобальное или локальное значение. В первом случае они однозначно определяют поток в пределах всей сети, а во втором — в пределах одного транзитного узла. Пара уникальных адресов конечных узлов для идентификации потока — это пример глобального признака. Примером признака, локально определяющего поток в пределах устройства, может служить номер (идентификатор) интерфейса устройства, с которого поступили данные. Например, узел может быть сконфигурирован так, что он передает все данные, поступившие с интерфейса А, на интерфейс С, а данные, поступившие с интерфейса D, на интерфейс В. Такое правило позволяет разделить два потока данных — поступающий из узла 2 и поступающий из узла 7 — и направлять их для транзитной передачи через разные узлы сети, в данном случае данные из узла 2 через узел 8, а данные из узла 7 — через узел 5.
Существует особый тип признака — метка потока. Метка может иметь глобальное значение, уникально определяющее поток в пределах сети. В таком случае она в неизменном виде закрепляется за потоком на всем протяжении его пути следования от узла источника до узла назначения. В некоторых технологиях используются локальные метки потока, значения которых динамически меняются при передаче данных от одного узла к другому.
Определить потоки – это значит задать для них набор отличительных признаков, на основании которых коммутаторы смогут направлять потоки по предназначенным для них маршрутам.
Определение маршрутов
Определение пути, то есть последовательности транзитных узлов и их интерфейсов, через которые надо передавать данные, чтобы доставить их адресату — сложная задача, особенно когда конфигурация сети такова, что между парой взаимодействующих сетевых интерфейсов существует множество путей. Задача определения маршрутов состоит в выборе из всего этого множества одного или нескольких путей. И хотя в частном случае множества имеющихся и выбранных путей могут совпадать, чаще всего выбор останавливают на одном оптимальном 1 по некоторому критерию маршруте.
В качестве критериев выбора могут выступать, например:
• номинальная пропускная способность;
• загруженность каналов связи;
• задержки, вносимые каналами;
• количество промежуточных транзитных узлов;
• надежность каналов и транзитных узлов.
Заметим, что даже в том случае, когда между конечными узлами существует единственный путь, его определение при сложной топологии сети может представлять собой нетривиальную задачу.
Маршрут может определяться эмпирически ("вручную") администратором сети, который, используя различные, часто не формализуемые соображения, анализирует топологию сети и задает последовательность интерфейсов, которую должны пройти данные, чтобы достичь получателя. Среди побудительных мотивов выбора того или иного пути могут быть: особые требования к сети со стороны различных типов приложений, решение передавать трафик через сеть определенного провайдера, предположения о пиковых нагрузках на некоторые каналы сети, соображения безопасности.
Однако эвристический подход к определению маршрутов для большой сети со сложной топологией не подходит. В этом случае такая задача решается чаще всего автоматически. Для этого конечные узлы и другие устройства сети оснащаются специальными программными средствами, которые организуют взаимный обмен служебными сообщениями, позволяющий каждому узлу составить свое представление о топологии сети. Затем на основе этого исследования и математических алгоритмов определяются наиболее рациональные маршруты.
Определить маршрут — однозначно задать последовательность транзитных узлов и их интерфейсов, через которые надо передавать данные, чтобы доставить их адресату.
Контрольные вопросы:
1. Что такое информационный поток?
2. Назовите основные методы передачи информационных потоков по интерфейсам компьютера?
3. Что значит определить информационные потоки?
Лекция № 7
Тема: Методы передачи информационных потоков в Интернет.
Семиуровневая модель сетевых протоколов
Сетевая модель - это модель взаимодействия сетевых протоколов. А протоколы в свою очередь, это стандарты, которые определяют каким образом, будут обмениваться данными различные программы.
OSI расшифровывается как Open System Interconnection. На русском языке это звучит следующим образом: Сетевая модель взаимодействия открытых систем (эталонная модель). Эту модель можно смело назвать стандартом. Именно этой модели придерживаются производители сетевых устройств, когда разрабатывают новые продукты.
Сетевая модель OSI состоит из 7 уровней, причем принято начинать отсчёт с нижнего.
Перечислим их:
• 7. Прикладной уровень (application layer)
• 6. Представительский уровень или уровень представления (presentation layer)
• 5. Сеансовый уровень (session layer)
• 4. Транспортный уровень (transport layer)
• 3. Сетевой уровень (network layer)
• 2. Канальный уровень (data link layer)
• 1. Физический уровень (physical layer)
Как говорилось выше, сетевая модель – это модель взаимодействия сетевых протоколов (стандартов), вот на каждом уровне и присутствуют свои протоколы. Перечислять их скучный процесс (да и не к чему), поэтому лучше разберем все на примере, ведь усваиваемость материала на примерах гораздо выше ;)
Прикладной уровень
Прикладной уровень или уровень приложений(application layer) – это самый верхний уровень модели. Он осуществляет связь пользовательских приложений с сетью. Эти приложения нам всем знакомы: просмотр веб-страниц (HTTP), передача и приём почты (SMTP, POP3), приём и получение файлов (FTP, TFTP), удаленный доступ (Telnet) и т.д.
Представительский уровень
Представительский уровень или уровень представления данных (presentation layer) – он преобразует данные в соответствующий формат. На примере понять проще: те картинки (все изображения) которые вы видите на экране, передаются при пересылке файла в виде маленьких порций единиц и ноликов (битов). Так вот, когда Вы отправляете своему другу фотографию по электронной почте, протокол Прикладного уровня SMTP отправляет фотографию на нижний уровень, т.е. на уровень Представления. Где Ваша фотка преобразуется в удобный вид данных для более низких уровней, например в биты (единицы и нолики).
Именно таким же образом, когда Ваш друг начнет получать Ваше фото, ему оно будет поступать в виде все тех же единиц и нулей, и именно уровень Представления преобразует биты в полноценное фото, например JPEG.
Вот так и работает этот уровень с протоколами (стандартами) изображений (JPEG, GIF, PNG, TIFF), кодировок (ASCII, EBDIC), музыки и видео (MPEG) и т.д.
Сеансовый уровень
Сеансовый уровень или уровень сессий(session layer) – как видно из названия, он организует сеанс связи между компьютерами. Хорошим примером будут служить аудио и видеоконференции, на этом уровне устанавливается, каким кодеком будет кодироваться сигнал, причем этот кодек должен присутствовать на обеих машинах. Еще примером может служить протокол SMPP (Short message peer-to-peer protocol), с помощью него отправляются хорошо известные нам СМСки и USSD запросы. И последний пример: PAP (Password Authentication Protocol) – это старенький протокол для отправки имени пользователя и пароля на сервер без шифрования.
Больше про сеансовый уровень ничего не скажу, иначе углубимся в скучные особенности протоколов. А если они (особенности) Вас интересуют, пишите письма мне или оставляйте сообщение в комментариях с просьбой раскрыть тему более подробно, и новая статья не заставит себя долго ждать ;)
Транспортный уровень
Транспортный уровень (transport layer) – этот уровень обеспечивает надёжность передачи данных от отправителя к получателю. На самом деле всё очень просто, например вы общаетесь с помощью веб-камеры со своим другом или преподавателем. Нужна ли здесь надежная доставка каждого бита переданного изображения? Конечно нет, если потеряется несколько битов из потокового видео Вы даже этого не заметите, даже картинка не изменится (м.б. изменится цвет одного пикселя из 900000 пикселей, который промелькнет со скоростью 24 кадра в секунду).
А теперь приведем такой пример: Вам друг пересылает (например, через почту) в архиве важную информацию или программу. Вы скачиваете себе на компьютер этот архив. Вот здесь надёжность нужна 100%, т.к. если пару бит при закачке архива потеряются – Вы не сможете затем его разархивировать, т.е. извлечь необходимые данные. Или представьте себе отправку пароля на сервер, и в пути один бит потерялся – пароль уже потеряет свой вид и значение изменится.
Таким образом, когда мы смотрим видеоролики в интернете, иногда мы видим некоторые артефакты, задержки, шумы и т.п. А когда мы читаем текст с веб-страницы – потеря (или скжение) букв не допустима, и когда скачиваем программы – тоже все проходит без ошибок.
На этом уровне я выделю два протокола: UDP и TCP. UDP протокол (User Datagram Protocol) передает данные без установления соединения, не подтверждает доставку данных и не делает повторы. TCP протокол (Transmission Control Protocol), который перед передачей устанавливает соединение, подтверждает доставку данных, при необходимости делает повтор, гарантирует целостность и правильную последовательность загружаемых данных.
Следовательно, для музыки, видео, видеоконференций и звонков используем UDP (передаем данные без проверки и без задержек), а для текста, программ, паролей, архивов и т.п. – TCP (передача данных с подтверждением о получении, затрачивается больше времени).
Сетевой уровень
Сетевой уровень (network layer) – этот уровень определяет путь, по которому данные будут переданы. И, между прочим, это третий уровень Сетевой модели OSI, а ведь существуют такие устройства, которые как раз и называют устройствами третьего уровня – маршрутизаторы.
Все мы слышали об IP-адресе, вот это и осуществляет протокол IP (Internet Protocol). IP-адрес – это логический адрес в сети.
На этом уровне достаточно много протоколов и все эти протоколы мы разберем более подробно позже, в отдельных статьях и на примерах. Сейчас же только перечислю несколько популярных.
Как об IP-адресе все слышали и о команде ping – это работает протокол ICMP.
Те самые маршрутизаторы (с которыми мы и будет работать в дальнейшем) используют протоколы этого уровня для маршрутизации пакетов (RIP, EIGRP, OSPF).
Канальный уровень
Канальный уровень (data link layer) – он нам нужен для взаимодействия сетей на физическом уровне. Наверное, все слышали о MAC-адресе, вот он является физическим адресом. Устройства канального уровня – коммутаторы, концентраторы и т.п.
IEEE (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) определяет канальный уровень двумя подуровнями: LLC и MAC.
LLC – управление логическим каналом (Logical Link Control), создан для взаимодействия с верхним уровнем.
MAC – управление доступом к передающей среде (Media Access Control), создан для взаимодействия с нижним уровнем.
Объясню на примере: в Вашем компьютере (ноутбуке, коммуникаторе) имеется сетевая карта (или какой-то другой адаптер), так вот для взаимодействия с ней (с картой) существует драйвер. Драйвер – это некоторая программа - верхний подуровень канального уровня, через которую как раз и можно связаться с нижними уровнями, а точнее с микропроцессором (железо) – нижний подуровень канального уровня.
Типичных представителей на этом уровне много. PPP (Point-to-Point) – это протокол для связи двух компьютеров напрямую. FDDI (Fiber Distributed Data Interface) – стандарт передаёт данные на расстояние до 200 километров. CDP (Cisco Discovery Protocol) – это проприетарный (собственный) протокол принадлежащий компании Cisco Systems, с помощью него можно обнаружить соседние устройства и получить информацию об этих устройствах.
Физический уровень
Физический уровень (physical layer) – самый нижний уровень, непосредственно осуществляющий передачу потока данных. Протоколы нам всем хорошо известны: Bluetooth, IRDA (Инфракрасная связь), медные провода (витая пара, телефонная линия), Wi-Fi, и т.д.
Подробности и спецификации ждите в следующих статьях и в курсе CCNA.
Организация сетевой инфраструктуры
Организация сетевой инфраструктуры представляет собой объединение компьютеров пользователей в общую сеть, а также настройку параметров этой сети.
Инженер настраивает общий или ограниченный доступ к папкам и программам. Обеспечивает удаленный доступ к сервисам компании, например, из филиала или home-офиса. Устанавливает ограничения интернет–трафика и запрет на определенные интернет-ресурсы - социальные сети, развлекательные сайты.
Быстрый обмен информацией является базовой составляющей современных бизнес-процессов. Именно создание корпоративной сети передачи данных обеспечивает эффективный информационный обмен внутри современного офисного пространства, а также между различными подразделениями территориально-распределенных организаций. Кроме того, на базе сетевой инфраструктуры разворачиваются инновационные технологии внешних коммуникаций: видеоконференцсвязь, мультимедийные системы, контакт-центры.
Располагая внушительным практическим опытом в сфере построения сетей и телекоммуникаций, АСТ предоставляет услуги создания мультисервисной ИТ-инфраструктуры организации, включая:
• Корпоративные сети передачи данных
• Локальные и глобальные вычислительные сети (LAN, WAN, VoIP, VPN)
• Беспроводные сети передачи данных (Wi-Fi)
• Структурированные кабельные системы (СКС)
Унифицированные коммуникации
• Корпоративная телефония (аналоговая, IP)
• Мультимедиа (аудио-, видео-, веб-конференции)
• Контакт-центры
• Электронная почта
Контрольные вопросы:
1. Что такое эталонная модель?
2. Назовите уровни эталонной модели.
3. Какие методы передачи информационных потоков в Интернет бывают?
Лекция № 8
Тема: Организационные меры защиты информационных потоков.
Правовые и организационные основы экспертно-криминалистического исследования компьютерных систем
Объект криминалистического компьютероведения можно определить как общественные отношения, возникающие в ходе выявления, раскрытия, расследования и предупреждения преступлений при исследовании и использовании компьютерной информации и средств ее обработки.
Перечень форм существования компьютерной информации, ее материальных носителей и средств обработки является весьма широким, разветвленным, разноплановым. Анализ материалов следственной и судебной практики показывает, что элементы почти каждого их рода и вида в последнее время все чаще используются в качестве объектов поиска и познания по делам о преступлениях различных категорий. При этом в одних случаях они выступают как предметы преступных посягательств, а в других – как средства совершения преступления. Причем их исследование в целях уголовного судопроизводства возможно лишь с помощью таких же по своей физической природе объектов – соответствующих программ для ЭВМ, баз данных и других объективных форм существования компьютерной информации, использование которых невозможно без специальных орудий информационного производства – аппаратных средств электронно-вычислительной (компьютерной) техники. С этих позиций они и должны изучаться уголовно-правовой, уголовно-процессуальной, криминалистической и судебно-экспертной науками.
Продолжая наше исследование, отметим, что содержание криминалистики как науки, составляющих ее общей и частных теорий, в том числе предлагаемого нами, нуждается в систематизации. При этом систематизация криминалистических научных знаний предполагает такое их упорядочение, которое соответствовало бы объективно существующим закономерным связям между элементами предмета научного познания, отражало бы эти связи. Такая систематизация базируется на другой логической операции – процедуре классификации.
Принципы систематизации и основные элементы криминалистических систем и классификаций рассматриваются криминалистической систематикой – специальным разделом общей теории криминалистики, основывающимся на положениях системно-структурного подхода к изучению явлений действительности.
Исходным принципом системного исследования в криминалистике, как писал Р. С. Белкин, служит представление о целостности изучаемой системы. Каждая исследуемая система может расчленяться самыми различными способами, поэтому каждый ее элемент в соответствующих случаях рассматривается как нечто сложное, например как подсистема. В свою очередь система как нечто целое может рассматриваться как подсистема по отношению к системе более высокого уровня1.
С помощью системного подхода формируется представление о системе криминалистической науки и ее структурных подсистем – общей теории, криминалистической техники, криминалистической тактики, криминалистической методики. Системный подход позволяет научно обоснованно осуществлять классификацию криминалистических объектов (в нашем случае – это компьютерная информация, ее материальные носители, средства обработки и защиты. – В. В.), являющуюся одним из необходимых условий использования практикой криминалистических рекомендаций, совершенствования этой практики и осуществления связей внутри самой науки2.
Известно, что каждая частная криминалистическая теория есть интегративная система, состоящая из общей и особенной частей. Как правило, в общей части отражается характеристика всего класса изучаемых в данной теории объектов, а в особенной аккумулируются положения, характеризующие своеобразие отдельных родов и видов и разновидностей этих объектов. В ней также находят отражение разработанные с учетом специфики указанных объектов криминалистические средства, приемы, методики и рекомендации, предназначенные для их обнаружения, фиксации, предварительного исследования, изъятия, оценки и использования как доказательств.
Организационные основы следообразования в информационных компонентах компьютерных систем
Развитие электронно-вычислительной техники, возможность создания и хранения больших объемов информации, простота работы и связи между собой по проводным, и беспроводным линиям связи персональных компьютеров обусловили построение локальных сетей обмена информации (автоматизированные информационные системы) органов внутренних дел.
Существующая в настоящее время система информационного обеспечения деятельности органов внутренних дел представляет собой совокупность локальных, региональных и федеральных картотек и автоматизированных банков данных. В системе органов внутренних дел России еще не завершено формирование единой методологии сбора, обработки и хранения информации розыскного, справочного, криминалистического и статистического назначения. Из общего объема документов, циркулирующих ежегодно в органах внутренних дел России, только 45% сосредоточены в систематизированных и связанных между собой ручных и автоматизированных массивах, ведущихся в ГИЦ МВД России и в ИЦ МВД, ГУВД, УВД.
Несовершенство нормативно-правового регулирования информационных правоотношений, недостатки методического и необходимого кадрового обеспечения этой сферы в органах внутренних дел приводят к тому, что информация, циркулирующая в системе МВД Российской Федерации и предназначенная для ограниченного круга пользователей, становится объектом противоправных посягательств со стороны криминальных кругов.
Мировой опыт свидетельствует о том, что самые совершенные технические средства, достижения в области криптографии и программных средств защиты информации не гарантируют абсолютной ее безопасности. С одной стороны, это связано с многообразием форм несанкционированного (неправомерного, запрещенного) доступа к информации и обращения с нею, с другой - с отсутствием адекватного механизма предотвращения, выявления, и пресечения. В частности, организационно - технические меры защиты основаны на вероятностном характере анализа возможных угроз, а методикам выявления и предупреждения преступных нарушений информационной безопасности, правовым аспектам исследователями уделялось недостаточно внимания.
Наиболее характерными для современной преступности являются рост ее организованности, повышение криминального профессионализма и дальнейшее совершенствование технической оснащенности, базирующееся на новейших достижениях научно-технического прогресса. Особую опасность представляет расширение и обострение информационного противостояния правоохранительных органов и преступного мира, располагающего не только современными техническими средствами, но и высококвалифицированными специалистами в сфере организации и ведения собственной разведывательной и контрразведывательной работы. Неудивительно, что его внимание привлекли возможности высоких технологий, в особенности предоставляемые вычислительной техникой, что привело к значительному росту малоизвестного прежде вида преступлений - преступлений в сфере компьютерной информации.
Рассматривая вопросы выявления и предупреждения компьютерных преступлений как одного из важных элементов защиты информации применительно к правоохранительной системе, нельзя не отметить, что информация, а следовательно и информационное обеспечение, без преувеличения относятся к числу наиболее важных элементов и предпосылок процесса управления органами внутренних дел, без которых он просто не может осуществляться.
В этой связи особую важность приобретает проблема исследования особенностей организационно-правовой защиты информации - в автоматизированных информационных системах органов внутренних дел и, в частности, выявления и предупреждения компьютерных преступлений в них, так как эти системы потенциально являются весьма уязвимыми для противоправных посягательств.
Таким образом, недостаточная изученность и разработанность теоретических, нормативно-правовых, а также прикладных проблем, связанных с организационно-правовой защитой информации в автоматизированных информационных системах органов внутренних дел, недостаточный уровень подготовки сотрудников правоохранительных органов в этом направлении их деятельности предопределили выбор темы диссертационного исследования. Проведенный автором анализ результатов научных исследований позволяет констатировать, что проблемы организационно-правового регулирования информационных отношений, обеспечения информационной безопасности органов внутренних дел и ее компонентов являются актуальными для юридической науки и практики, и требуют дальнейшего развития. Значительное количество публикаций посвящено общим проблемам правового регулирования отношений в информационной сфере и сфере информационной безопасности, обеспечения безопасности информации, предполагающей ее защиту от хищения, утраты, несанкционированного доступа, копирования, модификации, блокирования и т.п., рассматриваемым в рамках формируемого правового института тайны.
Организация криптографической защиты информационных потоков
Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.
Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.
Современная криптография включает в себя четыре крупных раздела:
1. Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);
2. Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.( Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.);
3. Электронная подпись. Системой электронной подписи. называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.
4. Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
Требования к криптосистемам
Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании. Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:
• зашифрованное сообщение должно поддаваться чтению только при наличии ключа;
• число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;
• число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);
• знание алгоритма шифрования не должно влиять на надежность защиты;
• незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;
• структурные элементы алгоритма шифрования должны быть неизменными;
• дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;
• длина шифрованного текста должна быть равной длине исходного текста;
• не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;
• любой ключ из множества возможных должен обеспечивать надежную защиту информации;
• алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.
Симметричные криптосистемы
Все многообразие существующих криптографических методов в симметричных криптосистемах можно свести к следующим 4 классам преобразований:
• подстановка - символы шифруемого текста заменяются символами того же или другого алфавита в соответствии с заранее определенным правилом;
• перестановка - символы шифруемого текста переставляются по некоторому правилу в пределах заданного блока передаваемого текста;
• аналитическое преобразование - шифруемый текст преобразуется по некоторому аналитическому правилу, например гаммирование - заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа;
• комбинированное преобразование - представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем “чистые” преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе.
Системы с открытым ключом
Как бы ни были сложны и надежны криптографические системы - их слабое мест при практической реализации - проблема распределения ключей. Для того, чтобы был возможен обмен конфиденциальной информацией между двумя субъектами ИС, ключ должен быть сгенерирован одним из них, а затем каким-то образом опять же в конфиденциальном порядке передан другому. Т.е. в общем случае для передачи ключа опять же требуется использование какой-то криптосистемы. Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом. Суть их состоит в том, что каждым адресатом ИС генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст в принципе не может быть расшифрован тем же открытым ключом. Дешифрование сообщения возможно только с использованием закрытого ключа, который известен только самому адресату. Криптографические системы с открытым ключом используют так называемые необратимые или односторонние функции, которые обладают следующим свойством: при заданном значении x относительно просто вычислить значение f(x), однако если y=f(x), то нет простого пути для вычисления значения x. Множество классов необратимых функций и порождает все разнообразие систем с открытым ключом. Однако не всякая необратимая функция годится для использования в реальных ИС. В самом определении необратимости присутствует неопределенность. Под необратимостью понимается не теоретическая необратимость, а практическая невозможность вычислить обратное значение используя современные вычислительные средства за обозримый интервал времени. Поэтому чтобы гарантировать надежную защиту информации, к системам с открытым ключом (СОК) предъявляются два важных и очевидных требования:
1. Преобразование исходного текста должно быть необратимым и исключать его восстановление на основе открытого ключа.
2. Определение закрытого ключа на основе открытого также должно быть невозможным на современном технологическом уровне. При этом желательна точная нижняя оценка сложности (количества операций) раскрытия шифра.
Алгоритмы шифрования с открытым ключом получили широкое распространение в современных информационных системах. Так, алгоритм RSA стал мировым стандартом де-факто для открытых систем. Вообще же все предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:
• Разложение больших чисел на простые множители;
• Вычисление логарифма в конечном поле;
• Вычисление корней алгебраических уравнений.
Здесь же следует отметить, что алгоритмы криптосистемы с открытым ключом (СОК) можно использовать в следующих назначениях:
1. Как самостоятельные средства защиты передаваемых и хранимых данных.
2. Как средства для распределения ключей.
Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен. А потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками. Один из наиболее распространенных - система с открытым ключом - RSA. Криптосистема RSA, разработанная в 1977 году и получила название в честь ее создателей: Рона Ривеста, Ади Шамира и Леонарда Эйдельмана. Они воспользовались тем фактом, что нахождение больших простых чисел в вычислительном отношении осуществляется легко, но разложение на множители произведения двух таких чисел практически невыполнимо. Доказано (теорема Рабина), что раскрытие шифра RSA эквивалентно такому разложению. Поэтому для любой длины ключа можно дать нижнюю оценку числа операций для раскрытия шифра, а с учетом производительности современных компьютеров оценить и необходимое на это время. Возможность гарантированно оценить защищенность алгоритма RSA стала одной из причин популярности этой СОК на фоне десятков других схем. Поэтому алгоритм RSA используется в банковских компьютерных сетях, особенно для работы с удаленными клиентами (обслуживание кредитных карточек).
Электронная подпись
В чем состоит проблема аутентификации данных? В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д. Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь. С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации. В разделе криптографических систем с открытым ключом было показано, что при всех преимуществах современных систем шифрования они не позволяют обеспечить аутентификацию данных. Поэтому средства аутентификации должны использоваться в комплексе и криптографическими алгоритмами.
Управление ключами
Кроме выбора подходящей для конкретной ИС криптографической системы, важная проблема - управление ключами. Как бы ни была сложна и надежна сама криптосистема, она основана на использовании ключей. Если для обеспечения конфиденциального обмена информацией между двумя пользователями процесс обмена ключами тривиален, то в ИС, где количество пользователей составляет десятки и сотни управление ключами - серьезная проблема. Под ключевой информацией понимается совокупность всех действующих в ИС ключей. Если не обеспечено достаточно надежное управление ключевой информацией, то завладев ею, злоумышленник получает неограниченный доступ ко всей информации. Управление ключами - информационный процесс, включающий в себя три элемента:
• генерацию ключей;
• накопление ключей;
• распределение ключей.
Рассмотрим, как они должны быть реализованы для того, чтобы обеспечить безопасность ключевой информации в ИС.
Генерация ключей
В самом начале разговора о криптографических методах было сказано, что не стоит использовать неслучайные ключи с целью легкости их запоминания. В серьезных ИС используются специальные аппаратные и программные методы генерации случайных ключей. Как правило используют датчики ПСЧ. Однако степень случайности их генерации должна быть достаточно высоким. Идеальным генераторами являются устройства на основе “натуральных” случайных процессов. Например случайным математическим объектом являются десятичные знаки иррациональных чисел, которые вычисляются с помощью стандартных математических методов.
5.3.5.2. Накопление ключей.
Под накоплением ключей понимается организация их хранения, учета и удаления. Поскольку ключ является самым привлекательным для злоумышленника объектом, открывающим ему путь к конфиденциальной информации, то вопросам накопления ключей следует уделять особое внимание. Секретные ключи никогда не должны записываться в явном виде на носителе, который может быть считан или скопирован. В достаточно сложной ИС один пользователь может работать с большим объемом ключевой информации, и иногда даже возникает необходимость организации мини-баз данных по ключевой информации. Такие базы данных отвечают за принятие, хранение, учет и удаление используемых ключей. Итак, каждая информация об используемых ключах должна храниться в зашифрованном виде. Ключи, зашифровывающие ключевую информацию называются мастер-ключами. Желательно, чтобы мастер-ключи каждый пользователь знал наизусть, и не хранил их вообще на каких-либо материальных носителях. Очень важным условием безопасности информации является периодическое обновление ключевой информации в ИС. При этом переназначаться должны как обычные ключи, так и мастер-ключи. В особо ответственных ИС обновление ключевой информации желательно делать ежедневно. Вопрос обновления ключевой информации связан и с третьим элементом управления ключами - распределением ключей.
Распределение ключей
Распределение ключей - самый ответственный процесс в управлении ключами. К нему предъявляются два требования:
• Оперативность и точность распределения;
• Скрытность распределяемых ключей.
В последнее время заметен сдвиг в сторону использования криптосистем с открытым ключом, в которых проблема распределения ключей отпадает. Тем не менее распределение ключевой информации в ИС требует новых эффективных решений. Распределение ключей между пользователями реализуются двумя разными подходами:
1. Путем создания одного ли нескольких центров распределения ключей. Недостаток такого подхода состоит в том, что в центре распределения известно, кому и какие ключи назначены и это позволяет читать все сообщения, циркулирующие в ИС. Возможные злоупотребления существенно влияют на защиту.
2. Прямой обмен ключами между пользователями информационной системы. В этом случае проблема состоит в том, чтобы надежно удостоверить подлинность субъектов. Для обмена ключами можно использовать криптосистемы с открытым ключом, используя тот же алгоритм RSA.
В качестве обобщения сказанного о распределении ключей следует сказать следующее. Задача управления ключами сводится к поиску такого протокола распределения ключей, который обеспечивал бы:
• возможность отказа от центра распределения ключей;
• взаимное подтверждение подлинности участников сеанса;
• подтверждение достоверности сеанса механизмом запроса-ответа, использование для этого программных или аппаратных средств;
• использование при обмене ключами минимального числа сообщений.
Реализация криптографических методов
Проблема реализации методов защиты информации имеет два аспекта:
• разработку средств, реализующих криптографические алгоритмы;
• методику использования этих средств.
Каждый из рассмотренных криптографических методов могут быть реализованы либо программным, либо аппаратным способом. Возможность программной реализации обуславливается тем, что все методы криптографического преобразования формальны и могут быть представлены в виде конечной алгоритмической процедуры. При аппаратной реализации все процедуры шифрования и дешифрования выполняются специальными электронными схемами. Наибольшее распространение получили модули, реализующие комбинированные методы. Большинство зарубежных серийных средств шифрования основано на американском стандарте DES. Отечественные же разработки, такие как, например, устройство КРИПТОН, использует отечественный стандарт шифрования. Основным достоинством программных методов реализации защиты является их гибкость, т.е. возможность быстрого изменения алгоритмов шифрования. Основным же недостатком программной реализации является существенно меньшее быстродействие по сравнению с аппаратными средствами (примерно в 10 раз). В последнее время стали появляться комбинированные средства шифрования, так называемые программно-аппаратные средства. В этом случае в компьютере используется своеобразный “криптографический сопроцессор” - вычислительное устройство, ориентированное на выполнение криптографических операций (сложение по модулю, сдвиг и т.д.). Меняя программное обеспечения для такого устройства, можно выбирать тот или иной метод шифрования. Такой метод объединяет в себе достоинства программных и аппаратных методов.
Таким образом, выбор типа реализации криптозащиты для конкретной ИС в существенной мере зависит от ее особенностей и должен опираться на всесторонний анализ требований, предъявляемых к системе защиты информации.
Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:
• нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;
• нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;
• нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики;
• нечто, ассоциированное с ним, например координаты.
Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.
Пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи.
Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:
• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
• обучение и воспитание пользователей;
• использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.
Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.
Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).
Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.
Необходима обработка аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.
Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.
Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.
Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.
По принципу действия интеллектуальные токены можно разделить на следующие категории:
• Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой;
• Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала;
• Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.
Управление доступом
Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка. Простой пример реализации таких прав доступа – какой-то пользователь (субъект) вошедший в информационную систему получил право доступа на чтение информации с какого-то диска(объект), право доступа на модификацию данных в каком-то каталоге(объект) и отсутствие всяких прав доступа к остальным ресурсам информационной системы.
Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.
Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. Например - кто и когда пытался входить в систему, чем завершилась эта попытка, кто и какими информациоными ресурсами пользовался, какие и кем модифицировались информационные ресурсы и много других.
Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.
Реализация протоколирования и аудита преследует следующие главные цели:
• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.
Контрольные вопросы:
1. Назовите основные правовые и организационные основы экспертно-криминалистического исследования компьютерных систем.
2. Что такое информационные компоненты компьютерных систем?
3. Какие методы криптографии защиты информационных потоков вы знаете?
Лекция № 9
Тема: Методы архивации и сжатия информации.
Криминалистическая значимость методов архивации информации
Возможность уплотнения данных основана на том, что информация часто обладает избыточностью, которая зависит от вида информации. Случайная потеря 10% фотографии, скорее всего, не повлияет на ее информативность. Если на странице книги отсутствует 10% строк, то понять ее содержание уже трудно. Если взять программный код, в котором утрачено 10% информации, то восстановить его, скорее всего, уже не удастся. У этих видов данных разная избыточность. Несмотря на то, что объемы внешней памяти ЭВМ постоянно растут, потребность в архивации не уменьшается. Это объясняется тем, что архивация необходима не только для экономии места в памяти, но и для надежного хранения копий ценной информации, а также для быстрой передачи информации по сети на другие ЭВМ. Кроме того, возможность отказа магнитных носителей информации, разрушающее действие вирусов заставляет пользователей делать резервное копирование ценной информации на другие (запасные) носители информации.
Процесс записи файла в архивный файл называется архивированием (упаковкой, сжатием), а извлечение файла из архива – разархивированием (распаковкой).
Упакованный (сжатый) файл называется архивом. Архив содержит оглавление, позволяющее узнать, какие файлы содержатся в архиве. В оглавлении архива для каждого содержащегося в нем файла хранится следующая информация:
имя файла;
сведения о каталоге, в котором содержится файл;
дата и время последней модификации файла;
размер файла на диске и в архиве;
код циклического контроля для каждого файла, используемый для проверки целостности архива.
Архивация информации – это такое преобразование информации, при котором объем информации уменьшается, а количество информации остается прежним.
Степень сжатия информации зависит от типа файла, а также от выбранного метода упаковки.
Степень (качество) сжатия файлов характеризуется коэффициентом сжатия Kc, который определяется как отношение объема сжатого файла Vc к объему исходного файла Vo, выраженное в %:
Чем меньше Kc, тем выше степень сжатия.
Все используемые методы сжатия информации можно разделить на 2 класса
:
Упаковка без потерь информации (обратимый алгоритм) – можно точно восстановить исходную информацию по имеющейся упакованной информации.
Упаковка с потерей информации (необратимый алгоритм) – распакованное сообщение будет отличаться от исходного.
В настоящее время разработано много алгоритмов архивации без потерь. Однако все они используют, в основном, 2 простые идеи.
1. Метод Хаффмана (1952) – основан на учете частот символов. Часто встречающиеся символы кодируются короткими последовательностями битов, а более редкие символы – длинными последовательностями битов. К каждому сжатому архиву прикладывается таблица соответствия имеющихся символов и кодов, заменяющих эти символы.
2. Метод RLE (Run Length Encoding) – основан на выделении повторяющихся фрагментов. В сообщениях часто встречаются несколько подряд идущих одинаковых байтов, а некоторые последовательности байтов повторяются многократно. При упаковке такие места можно заменить командами вида: «повторить данный байт n раз» или «взять часть текста длиной k байт, которые встречалась m байтов назад». При упаковке графической информации чаще встречается первая ситуация, при упаковке текстов – вторая.
Методические аспекты судебно-экспертного исследования сжатой информации
Методология общей теории судебной экспертизы включает в качестве необходимого элемента методы и методики решения задач судебной экспертизы.
Словарь основных терминов судебных экспертиз дает следующие определения:
"Метод экспертизы (экспертного исследования) - система логических и (или) инструментальных операций (способов, приемов) получения данных для решения вопроса, поставленного перед экспертом. Операции, образующие метод, представляют собой практическое применение знаний закономерностей объективной действительности для получения новых знаний".
"Методика экспертизы (экспертного исследования) - система методов (приемов, технических средств), применяемых при изучении объектов судебной экспертизы для установления фактов, относящихся к предмету определенного рода, вида и подвида судебной экспертизы".
Методы экспертизы основываются и формируются на:
а) соответствующих научных методах;
б) характере и свойствах объекта экспертизы;
в) опыте решения практических задач, в том числе на алгоритмических правилах и разработанных самим экспертом приемах изучения объектов экспертизы1.
Принято различать методы исследования, применяемые в науках при разработке теоретических и экспериментальных проблем, и методы, применяемые в экспертной деятельности. Однако это деление весьма условно, так как используемые в экспертной практике методы также имеют научный характер, поскольку основываются на достижениях науки и техники.
Научная обоснованность экспертного метода имеет существенное значение для его практического применения.
Научная обоснованность подразумевает надежность метода с точки зрения возможности получения с его помощью достоверных результатов. Соответствие метода этому требованию должно содержаться в базовой науке, где он был испытан первоначально.
Помимо научной обоснованности возможности применения метода экспертизы в судебно-экспертной деятельности определяется следующими требованиями.
Метод экспертизы должен отвечать, прежде всего, требованию допустимости к применению в уголовном судопроизводстве. Это требование подразумевает соответствие метода букве и духу закона, т.е. принципам процесса установления истины при расследовании и судебном рассмотрении1 уголовных дел, поскольку прямого ограничения эксперта в выборе методов в законе не имеется, за исключением случаев, когда объектом является человек.
Применяемые экспертные методы должны отвечать требованиям законности и этичности, поскольку используются в сфере судопроизводства. Они поэтому должны отвечать конституционным принципам законности и нравственным критериям общества, то есть не ущемлять прав граждан, не унижать их достоинства, исключать угрозу и насилие и не приводить к нарушению норм процессуального права.
Кроме того, допустимость экспертного метода определяется его безопасностью для эксперта. Например, многие специальные естественно-научные методы для их реализации требуют высокого электрического напряжения, использования вредных для здоровья реактивов или излучений, что выдвигает на первый план при их применении требования соблюдения техники безопасности2.
Методы экспертного исследования также должны отвечать требованию сохранения объекта в том виде и состоянии, в котором он поступил на экспертизу. Разрушение, уничтожение объекта разрешается только в крайних случаях по согласованию со следователем (судом), назначившим экспертизу.
К неразрушающим методам исследования вещественных доказательств относят такие, которые никак не влияют на объект и не требуют для их реализации пробо-подготовки3. Но поскольку в ряде случаев приходится оказывать определенное воздействие на объект, то применяются методы, не разрушающие объект, но изменяющие его состав, структуру или отдельные свойства.
Тем не менее в судебной экспертизе приходится применять также методы, не разрушающие образец, но требующие для его изготовления разрушения или видоизменения объекта, или методы, полностью или частично разрушающие образец или объект исследования.
Срок производства экспертиз регламентируется нормативными актами, поэтому метод экспертизы должен выбираться для его использования с учетом этого критерия. Таким образом, далеко не все технические средства и методы, применяемые в различных областях науки и техники, могут использоваться в экспертной практике. Методы экспертизы должны быть рентабельными, то есть затраченные силы и средства должны соизмеряться с ценностью полученных результатов1.
Результаты применения методов должны быть очевидны и наглядны для всех участников судопроизводства.
Основными оценочными показателями любого метода исследования с точки зрения целесообразности его использования являются2:
- сложность, определяемая объемом работы, напряженностью труда, квалификацией исследователя и влиянием этих обстоятельств на результаты;
- экономичность, определяемая затратами на оборудование, подготовку специалистов и непосредственно на проведение исследования;
- влияние на объекты исследования, определяемое возможностью повторного проведения исследования;
- безопасность, определяемая влиянием на здоровье исследователя и степенью вероятности несчастных случаев;
- эффективность - действенность, характеризующаяся возможностью получения достоверных результатов, определенных с достаточной точностью, при использовании минимального объема необходимого времени.
При рассмотрении понятия методов судебных экспертиз следует осветить вопрос об источниках их формирования3.
Метод может быть разработан в той области научного знания, которая является базовой для производства экспертизы одного или нескольких видов, и создан для собственных научно-практических исследований в этой науке. К таковым, например, относятся большинство физических, химических и биологических методов исследования, применяемых в соответствующих науках и после адаптации ставших экспертными методами.
Метод может быть сформирован в результате специальных научных разработок на основе фундаментальных положений базовой науки в интересах конкретной экспертной области с учетом специфики объектов ее исследования. Такие методы разрабатываются в интересах экспертной практики в базовых научно-исследовательских институтах, подразделениях академических учреждений и учебных заведений. Так, для определения мест скрытых захоронений в различных почвах, грунтах специальный метод и прибор, основанный на измерении электропроводимости почв, разрабатывался в научно-исследовательском подразделении МГУ.
Источником формирования метода может быть также экспертная практика. Многие методы, применяемые в криминалистических экспертизах, были разработаны экспертами-практиками, которым пришлось впервые исследовать нетипичные, новые для практики объекты. Методы, возникшие на практике, затем проходили научную апробацию и после этого внедрялись в экспертную деятельность.
В структуре экспертного метода необходимы три элемента: обосновывающая, операционная и техническая части1.
Обосновывающая часть содержит изложение научной базы, на которой создан метод, и представление о результате его применения.
В операционную часть входят действия, операции, приемы осуществления метода.
Техническая часть включает различные материальные средства, приборы, которые позволят реализовать метод.
Так, методы исследования огнестрельного оружия основаны на закономерностях, усматриваемых в конструировании оружия, закономерностях внутренней и внешней баллистики выстрела; используют приемы криминалистического изучения оружия и боеприпасов; требуют использования оптических, фотографических и т.д. средств изучения объектов.
В экспертной практике нередки случаи применения комплекса методов исследования1. При производстве комплексных и комиссионных экспертиз могут быть применены различные методы каждым экспертом. Но даже тогда, когда экспертиза проводится единолично, эксперт может применить комплекс дополняющих друг друга методов одной или разных областей знания. Интеграция знаний приводит не только к интеграции наук, но и интеграции их методов, что особенно наглядно проявляется при производстве экспертиз.
Контрольные вопросы:
1. Что такое архив?
2. Назовите методы архивации?
3. Назовите методы сжатия?
Лекция №10
Тема: Методы восстановления информации.
Жёсткий диск можно назвать одним из главных мозговых центров любого компьютера. Именно он позволяет запоминать и хранить информацию — важные данные и файлы. Однако, как и любое механическое устройство, жёсткий диск подвержен изнашиванию, а также риску других различных негативных воздействий: скачков напряжения, хакеров и вирусов, аппаратных сбоев и просто человеческих ошибок – все из которых могут привести к потере данных, хранящихся на ПК. Рассмотрим 10 способов, позволяющих восстановить потерянные данные с жёсткого диска, которые могут быть использованы для различных ситуаций, а также дополнять друг друга.
Простейший метод восстановления утерянной информации заключается в том, чтобы обратиться к резервным копиям файлов. Но это будет возможно, если таковые были созданы заранее, а также при отсутствии сбоя в накопителе диска. Сразу после обнаружения потери некоторых данных необходимо выключить компьютер из сети питания. Будет отлично, если созданием резервных копий займётся специальная автоматическая программа.
В случае если резервные копии не были заблаговременно созданы, ещё не стоит отчаиваться. Сектора диска при удалении сохраняют информацию о файлах, и если они не были перезаписаны, восстановить данные после удаления можно путём создания полной копии диска на другой жёсткий диск, после чего осуществить восстановление при помощи Live CD.
Использование различного программного обеспечения, самостоятельно восстанавливающего утерянные данные, является довольно распространённым, но отнюдь не самым эффективным способом «реанимации» файлов. Далеко не все такие программы способны качественно и корректно восстановить данные. Особенно это нелегко неопытному пользователю. Иногда такое ПО может лишь навредить компьютеру, после чего восстановление станет практически невозможным.
Никакая программа не поможет в случае, если данные были утеряны в результате возникновения неисправностей в аппаратной части диска: это может быть повреждение платы контроллера, головки накопителя или кабеля, который соединяет накопитель с контроллером. Восстановление работоспособности жёсткого диска и данных в такой ситуации возможно только путём ручного механического вмешательства.
Такое же вмешательство необходимо, если повреждена поверхность самого диска, состоящая из тонкого слоя кристаллов, некоторые из которых со временем могут выкрошиться. Также магнитный слой может быть повреждён некорректной работой головки накопителя. Ремонт всех этих устройств поможет восстановить данные, а также предотвратить такую причину их утери в дальнейшем.
Намного сложнее дело обстоит в случае повреждения данных вызовом вредоносной или шпионской программы. Угрозы из сети Интернет сегодня стали настолько изощрённы, что способны проникнуть в область запрещённого доступа и удалить важные файлы на компьютере. Необходимым действием при такой атаке является указанное выше немедленное создание резервных копий и прекращение любой работы с компьютером. Восстановление данных впоследствие можно произвести путём обращения к файловой таблице.
Угрозу для данных, хранящихся на ПК, представляют собой и некоторые ошибки в загрузочном секторе жёсткого диска. В некоторых из таких случаев компьютер может вообще не видеть носитель информации. В этой ситуации есть достаточно простой способ восстановить данные. Необходимо загрузиться на том же компьютере с гибкого диска, который содержит соответствующие системные файлы и обязательно – загрузочную запись. После этого появляется возможность чтения всех каталогов и работы с файлами, находящимися на жёстком диске.
Нередко к потере данных приводят повреждения файловой системы FAT. В этом случае загрузиться на компьютере возможно с жёсткого диска. О возникновении подобных ошибок можно узнать по появляющимся на экране непонятным символам в результате попытки открытия какого-либо файла. Здесь опять-таки важно ничего не записывать на диск. Любое внесение новой информации приведёт к окончательной потере данных. Восстановление файлов в данной ситуации будет возможно впоследствии путём наладки файловой системы.
Один из лучших и, пожалуй, самый универсальный и простой способ сохранить данные на ПК в безопасности и сохранности – это своевременное реагирование на возникновение любых неполадок и защита ценных данных путём копирования на внешние носители, либо оперативного создания резервных копий. Наиболее типичные синдромы неисправности жёсткого диска это: отсутствие доступа к тому или иному файлу, увеличение времени загрузки, а также посторонние звуки при записи и чтении информации.
Наконец, если ничего не помогло или обнаружить причину проблемы не представляется возможным самостоятельно, остаётся единственно верный способ вернуть потерянные файлы – обратиться к квалифицированному специалисту из компании по восстановлению данных, обладающему богатыми знаниями и опытом в осуществлении подобных операций и способному подойти к решению проблемы с глубоким знанием дела и обеспечить даже восстановление системных файлов.
Контрольные вопросы:
1. Что такое восстановление информации?
2. Какие методы восстановления существуют?
Лекция № 11
Тема: Методы тестирования, диагностики информационных потоков.
Диагностика несанкционированного доступа к информации
Основная задача практической диагностики состоит в оценке возможности для представителей групп риска — неэтичных конкурентов, нелояльных сотрудников и хакеров — получить несанкционированный доступ к корпоративным компьютерным ресурсам. Иными словами, практическая диагностика ориентирована на проверку средств защиты конфиденциальности информации и должна включать проверку всех путей удаленного доступа к корпоративным системам, которые могут быть использованы злоумышленником. Как правило, речь идет о точках доступа к Internet, о точках доступа к компьютерным системам из локальной сети, о точках доступа по коммутируемым каналам (модемные соединения), о беспроводных локальных сетях Wi-Fi, о Web-сайтах в сетях intranet/Internet. Последние выделены в отдельный пункт потому, что для проверки их надежности требуются специальные методики. Применение только одних сканеров для Web-серверов не позволяет достичь качественных результатов: сканер не найдет такие уязвимости, как «зашитый» пароль в Java-приложении, использование скрытых полей в формах и недостаточный контроль вводимых данных, а также «забытые» комментарии программистов.
При проведении диагностики защиты корпоративных точек доступа Internet неизбежно возникают дополнительные риски. Для предотвращения возможных нежелательных последствий соблюдается ряд правил.
• Организуется тесное взаимодействие с заказчиком диагностики на всех этапах — начиная от определения объема работ и до подготовки финального отчета.
• В рабочую группу включается представитель заказчика.
• Ежедневно предоставляется письменный отчет о проделанной работе и достигнутых результатах, согласовывается дальнейшая программа действий.
• Заказчик немедленно оповещается об обнаружении серьезных уязвимостей.
• С заказчиком дополнительно согласовываются дей?ствия, способные повлиять на нормальную работу систем, а также время их проведения.
• Используются процедуры контроля полноты и качества выполняемых тестов.
• Результаты диагностики, включая рабочие материалы и отчеты, хранятся в безопасном месте.
Практическая диагностика защиты корпоративных точек доступа Internet начинается с определения, какие первоначальные знания об объекте тестирования будут использоваться. Диагностику можно делать «вслепую», т.е. при наличии ограниченной информации об объектах исследования или при ее полном отсутствии. Преимущество данного подхода заключается в том, что он моделирует реальную ситуацию, а также позволяет оценить эффективность внутренних процедур по выявлению атак и реагированию на них. А основным недостатком является потребность в дополнительной координации действий (для соблюдения требований конфиденциальности). Тем не менее, диагностика, которую не ожидает получить ИТ-служба, часто обеспечивает более убедительные основания для пересмотра и укрепления мер компьютерной защиты в организации и привлечения внимания руководства.
Далее необходимо пополнить свои знания об объекте проверки из общедоступных источников. Какими бы незначительными ни были первоначальные сведения об объекте диагностики (например, визитная карточка сотрудника, содержащая, как правило, название организации, номера телефонов, адрес электронной почты и название Web-сайта компании), ее бывает достаточно для начала сбора дополнительной информации. Для этого используются общедоступные поисковые сервисы Internet, например Google или «Яндекс». На этом этапе можно составить список сотрудников компании, их адресов электронной почты, номеров ICQ и много другой полезной информации. Адреса электронной почты могут, например, подсказать правила образования имен учетных записей пользователей. Часто в электронных форумах можно найти сообщения, оставленные сотрудниками компании, которые дают ценные сведения об объектах тестирования. Как-то в открытом доступе мы обнаружили описание схемы корпоративной точки доступа Internet, оставленное нерадивым сетевым администратором. Дополнительные сведения, например, адреса корпоративного прокси-сервера и несанкционированных сетевых сервисов, можно узнать с помощью поисковых сервисов Internet, задавая в качестве параметра поиска IP-адреса.
Методы тестирования, диагностики информационных потоков
Этап выявления и сбора информации (обследование) является важнейшим и определяющим этапом диагностики, на его основе осуществляется вся последующая деятельность. Необходимо отметить, что каждый из участвующих в диагностике специалистов должен обследовать не более 2-3 бизнес-процессов организации для того, чтобы тщательно в них разобраться. Современная организация является сложной системой, состоящей из крупных взаимоувязанных подсистем, а возможности человека в одновременном охвате большого количества таких подсистем ограничены, поэтому здесь в полной мере должен использоваться принцип "разделяй и властвуй".
Во время обследования должны быть собраны следующие материалы:
1. стратегические цели и перспективы развития;
2. данные по организационно-штатной структуре организации;
3. информация о принятых технологиях деятельности;
4. результаты интервьюирования сотрудников (от руководителей до исполнителей нижнего звена);
5. предложения сотрудников по усовершенствованию деятельности;
6. нормативно-справочная документация;
7. данные по имеющимся в организации средствам и системам автоматизации.
Во время обследования должны быть проведены:
1. анкетирование
2. сбор документов
3. интервьюирование.
Анкетирование применяется на начальном этапе обследования и предваряет применение других методов. Анкеты позволяют составить грубое представление о процессах и информационных системах организации, что позволит спланировать первоначальное распределение работ группы аналитиков. Анкеты должны рассылаться руководителям структурных подразделений и содержать графы для идентификации фамилии и должности анкетируемого, отдельно излагается просьба приложить шаблоны документов, с которыми работают сотрудники соответствующего подразделения. Список вопросов должен быть ограничен (не более 15-20) с тем, чтобы вся анкета не занимала более двух листов. Авторам приходилось видеть анкеты размером в 50 страниц, содержащие до 500 тщательно продуманных вопросов, но не встречался ни один человек, добровольно (а, следовательно, также тщательно и с пользой для дела) на них ответивший.
Примерный вариант анкеты приведен ниже:
• ФИО руководителя подразделения, телефон
• Координаты контактного лица (к кому в отсутствие или при занятости руководителя можно обращаться)
• Каковы (с позиций Вашего подразделения) должны быть цели внедрения ИТ
• Основные функции подразделения
• Какая информация поступает из других подразделений (заявки, запросы, отчеты и т.п.)
• Какая информация передается в другие подразделения
• Какая информация формируется ("рождается") в подразделении
• С какими внешними организациями (банк, заказчик, поставщик и т.п.) взаимодействует подразделение и какой информацией обменивается
• Физическое представление информационных потоков и хранилищ (документ, дискета, сеть, журнал, картотека и т.п.)
• Время хранения информации
• Штатная структура и квалификация кадров
• Техническое оснащение подразделения (компьютеры, сеть, модем и т.п.)
• Используемые программные продукты
• Подпись
• Приложение 1: Положение о подразделении
• Приложение 2: Набор шаблонов и форм основных документов, используемых подразделением
Сбор документов должен осуществляться на всех этапах проведения обследования, соответствующие формы, бланки и т.п. в дальнейшем сослужат неоценимую службу при разработке информационной модели предприятия (выявлении сущностей информационной модели и наполнении их атрибутикой). В дальнейшем целесообразно подготовить альбом форм с разбивкой их по бизнес-процессам. Такой альбом будет являться хорошим вспомогательным результатом диагностики - своими силами подобная работа обычно не проводится.
Интервьюирование является важнейшим и необходимым методом обследования, только с его помощью возможно разобраться во всех тонкостях применяемых в организации технологий. Современная организация является сложнейшей системой, как оно функционирует, не представляет ни один его сотрудник. Конечно, руководство владеет ситуацией в целом, с другой стороны, клерк досконально знает свою деятельность, но полной картины не имеет никто. И только интервьюирование представителей всех звеньев организационно-штатной структуры позволит выявить и, в дальнейшем, формализовать эту картину.
С другой стороны, интервьюирование является и наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для целей диагностики русло.
Какую же информацию необходимо выявлять прежде всего во время интервьюирования? Во-первых, необходимо ограничить контекст диагностируемой системы - с этой целью должны быть выявлены все внешние объекты, с которыми диагностируемая организация взаимодействует, технологии взаимодействия со стороны организации, а также информационные (и, возможно, материальные) потоки, обеспечивающие эти взаимодействия. Во-вторых, должны быть детально выявлены реальные технологии работы организации - нормативно-справочная документация описывает их неполно. В-третьих, должны быть определены реальные функции подразделений и их взаимосвязи и взаимозависимости, поскольку положения о подразделениях такую информацию не содержат. В-четвертых, должны быть выявлены и специфицированы все информационные хранилища (в том числе и бумажные: картотеки, архивы и т.п.). В-пятых, должна быть оценена аппаратно-техническая база организации, а также исследовано работающее на ней программное обеспечение. Наконец, в-шестых, должны быть собраны статистические данные по бизнес-процессам организации: они со временем сослужат хорошую службу при анализе и выборе соответствующих информационных систем.
Опыт показывает, что длительность обследования, как правило, не зависит от размера организации (конечно, не имеются в виду территориально распределенные структуры) и составляет 5-7 рабочих дней (оптимальной группой специалистов численностью 6-8 человек). Однако, следует отметить, что часто возникает необходимость в проведении дополнительного обследования: какие-то моменты были не до конца выяснены, где-то возникли нестыковки, что-то было просто упущено. Обычно дополнительное обследование занимает 1-2 дня, и при его проведении очень полезно обсудить с интервьюированными уже наработанные результаты.
Контрольные вопросы:
1. Назовите методы тестирования информационных потоков.
2. Что такое несанкционированный доступ?