Шпаргалка по "Информационным технологиям в юриспруденции"

     Итерации

     Каждая  итерация представляет собой законченный цикл разработки, приводящий к выпуску внутренней или внешней версии изделия (или подмножества конечного продукта), которое совершенствуется от итерации к итерации, чтобы стать законченной системой. 

     Таким образом, каждый виток спирали соответствует созданию фрагмента или версии программного изделия, на нем уточняются цели и характеристики проекта, определяется его качество, планируются работы следующего витка спирали. На каждой итерации углубляются и последовательно конкретизируются детали проекта, в результате чего выбирается обоснованный вариант, который доводится до окончательной реализации.

     Использование спиральной модели позволяет осуществлять переход на следующий этап выполнения проекта, не дожидаясь полного завершения работы на текущем — недоделанную работу можно будет выполнить на следующей итерации. Главная задача каждой итерации — как можно быстрее создать работоспособный продукт, который можно показать пользователям системы. Таким образом, существенно упрощается процесс внесения уточнений и дополнений в проект.

     Преимущества  спиральной модели

     Спиральный  подход к разработке программного обеспечения  позволяет преодолеть большинство  недостатков каскадной модели и, кроме того, обеспечивает ряд дополнительных возможностей, делая процесс разработки более гибким.

     Проблемы, возникающие при  использовании спиральной модели

     Основная  проблема спирального цикла —  определение момента перехода на следующий этап. Для ее решения  необходимо ввести временные ограничения  на каждый из этапов жизненного цикла. Иначе процесс разработки может превратиться в бесконечное совершенствование уже сделанного. При итерационном подходе полезно следовать принципу «лучшее — враг хорошего». Поэтому завершение итерации должно производиться строго в соответствии с планом, даже если не вся запланированная работа закончена.

     Планирование  работ обычно проводится на основе статистических данных, полученных в  предыдущих проектах, и личного опыта  разработчиков.

     19.Безопасность  информационных систем

     Безопасность  информационной системы — свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации, то есть защиту информации от несанкционированного доступа, обращенного на ее раскрытие, изменение или разрушение.

     Информационную  безопасность часто указывают среди основных информационных проблем XXI века. Действительно, вопросы хищения информации, ее сознательного искажения и уничтожения часто приводят к трагическим для пострадавшей стороны последствиям, ведущим к разорению и банкротству фирм, к человеческим жертвам, наконец. Достаточно в качестве примера привести мировую трагедию, приведшую к жертвам нескольких тысяч людей — атаку террористов на Всемирный торговый центр в Нью-Йорке и Министерство обороны США в Вашингтоне. Подобный террористический акт был бы невозможен, если бы террористы не вывели предварительно из строя компьютерную систему управления безопасностью страны, то есть не разрушили бы систему информационного обеспечения безопасности. А тысячи коммерческих компьютерных преступлений, приводящих к потерям сотен миллионов долларов, а моральные потери, связанные с хищением конфиденциальной информации... Перечень бед от нарушения безопасности информации можно было бы продолжать бесконечно (если раньше для успешного совершения революции или переворота важно было захватить почту и телеграф, то теперь необходимо парализовать системы компьютерных телекоммуникаций).

     Вопросам  информационной безопасности сейчас уделяется  огромное внимание, существуют тысячи публикаций по этой тематике, посвященные различным аспектам и прикладным вопросам защиты информации, на международном и государственном уровнях принято множество законов по обеспечению безопасности информации.

     Все угрозы информационным системам можно  объединить в обобщающие их три группы (на самом деле выделяются более мелкие группы).

     1. Угроза раскрытия — возможность  того, что информация станет известной  тому, кому не следовало бы  ее знать.

     2. Угроза целостности — умышленное  несанкционированное изменение  (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.

     3. Угроза отказа в обслуживании  — опасность появления блокировки  доступа к некоторому ресурсу  вычислительной системы.

     Активно развиваются также средства защиты от утечки информации по цепям питания, каналам электромагнитного излучения компьютера или монитора (применяется экранирование помещений, использование генераторов шумовых излучений, специальный подбор мониторов и комплектующих компьютера, обладающих наименьшим излучением), средства защиты от электронных «жучков», устанавливаемых непосредственно в комплектующие компьютера, и т. д. 

20.Понятие  паролей и их  использования. Безопасность  паролей.

     Сегодня большим и малым предприятиям и организациям необходимы доступные  по цене средства безопасности. Пароль – это один из наиболее фундаментальных и повсеместно используемым элементом информационной безопасности. Большинство систем и алгоритмов защиты информации основываются на использовании паролей. Умение правильно выбрать и использовать пароль – это тот фундамент, на котором строятся все остальное. Даже самая надежная система безопасности, самый умный алгоритм могут оказаться бессильными, если используемый пароль окажется не подходящим.

     Пароль, как правило, представляет собой  обычную строку (слово) текста. Примером пароля (но не хорошего пароля!) может служить строка «welcome».

     Как уже говорилось, самое главное  в пароле – это его секретность. Пароль хорош до тех пор, пока его  не узнает злоумышленник. Однако, зачастую, просто хранить его в секрете не достаточно. Часто, даже не зная пароль его можно просто угадать. Так если в качестве пароля выбрано имя его владельца, номер его (или его друзей) телефона, имя его собаки, дата рождения, то пароль уже нельзя считать надежным, ведь эту информацию может с легкостью узнать и злоумышленник!

     идеальный пароль – длинное и совершенно бессмысленное слово (или несколько  слов). На пример: «kls7di0$oz84rt7_90y+h». Подобрать  такой пароль практически невозможно, но правда и запомнить тоже очень  сложно. Поэтому говорят, что чем выше степень защищенности (надежности) пароля, тем менее он удобен для самого человека.

     Помните, что самое главное для пароля – это хранить его в секрете. Самый надежный пароль, если его не хранить в секрете способен превратить ваш замок в карточный домик!

     Впрочем, в некоторых случаях, когда к  безопасности системы не предъявляется  особых требований, такой подход вполне оправдан. Однако по мере развития компьютерных сетей и расширения сфер автоматизации  ценность информации неуклонно возрастает. Государственные секреты, наукоемкие ноу-хау, коммерческие, юридические и врачебные тайны все чаще доверяются компьютеру, который, как правило, подключен к локальным и корпоративным сетям. Популярность глобальной сети Интернет не только открывает огромные возможности для электронной коммерции, но и создает потребность в более надежных средствах безопасности для защиты корпоративных данных от доступа извне.

     Компьютер можно обмануть, представившись под  чужим именем. Для этого необходимо знать лишь некую идентифицирующую информацию, которой, с точки зрения системы безопасности, обладает один-единственный человек. «Чужак», выдав себя за сотрудника компании, получает в свое распоряжение все ресурсы, доступные тому в соответствии с его полномочиями и должностными обязанностями. Это может привести к различным противоправным действиям, начиная от кражи информации и заканчивая выводом из строя всего информационного комплекса.

     В настоящее время все больше компаний сталкиваются с необходимостью обеспечения  безопасности для предотвращения несанкционированного доступа к своим системам и защиты транзакций в электронном бизнесе. Проведенное институтом компьютерной безопасности при ФБР США исследование «Компьютерная преступность и безопасность» показывает, что средний ущерб от несанкционированного доступа сотрудников к данным своих компаний в 1998 г. составил около 2,8 млн. долл.

     Таким образом, встает вопрос об эффективном  разграничении и контроле доступа  к информации. Простым вводом имени  и пароля здесь уже не обойтись из-за низкой надежности такого способа, и на помощь приходят иные современные технологии.

     Однако  стоит отметить, что, поскольку требования различных корпоративных инфраструктур  к безопасности неодинаковы, существующие решения в большинстве случаев  не являются универсальными и не оправдывают ожиданий клиентов. 

21.Понятие  аутентификации и  авторизации

     Сегодня большим и малым предприятиям и организациям необходимы доступные  по цене средства безопасности. Пароль – это один из наиболее фундаментальных и повсеместно используемым элементом информационной безопасности. Большинство систем и алгоритмов защиты информации основываются на использовании паролей. Умение правильно выбрать и использовать пароль – это тот фундамент, на котором строятся все остальное. Даже самая надежная система безопасности, самый умный алгоритм могут оказаться бессильными, если используемый пароль окажется не подходящим.

     Пароль, как правило, представляет собой  обычную строку (слово) текста. Примером пароля (но не хорошего пароля!) может служить строка «welcome».

     Как уже говорилось, самое главное  в пароле – это его секретность. Пароль хорош до тех пор, пока его  не узнает злоумышленник. Однако, зачастую, просто хранить его в секрете  не достаточно. Часто, даже не зная пароль его можно просто угадать. Так если в качестве пароля выбрано имя его владельца, номер его (или его друзей) телефона, имя его собаки, дата рождения, то пароль уже нельзя считать надежным, ведь эту информацию может с легкостью узнать и злоумышленник!

     идеальный пароль – длинное и совершенно бессмысленное слово (или несколько слов). На пример: «kls7di0$oz84rt7_90y+h». Подобрать такой пароль практически невозможно, но правда и запомнить тоже очень сложно. Поэтому говорят, что чем выше степень защищенности (надежности) пароля, тем менее он удобен для самого человека.

     Помните, что самое главное для пароля – это хранить его в секрете. Самый надежный пароль, если его не хранить в секрете способен превратить ваш замок в карточный домик!

Аутентификация

     Для начала уместно напомнить, что аутентификация - это фактически процесс проверки подлинности субъекта, каковым, в принципе, может быть не только человек, но и программный процесс. Вообще говоря, аутентификация индивидов возможна с помощью информации, хранящейся в различной форме. Например, это может быть:

• пароль, личный номер, криптографический ключ, сетевой адрес компьютера в сети;
• смарт-карта, электронный ключ;
• внешность, голос, рисунок радужной оболочки глаз, отпечатки пальцев и другие биометрические характеристики пользователя.

     Аутентификация  позволяет обоснованно и достоверно разграничить права доступа к  информации, находящейся в общем  пользовании. Однако возникает проблема обеспечения ее целостности и  достоверности. Пользователь должен быть уверен, что получает доступ к информации из заслуживающего доверия источника и что данная информация не модифицировалась без соответствующих санкций.

     Обычно  поиск совпадения «один к одному» (по одному атрибуту) называется верификацией. Он отличается высокой скоростью и предъявляет минимальные требования к вычислительной мощности компьютера. А вот поиск «один ко многим» носит название идентификации. Реализовать подобный алгоритм обычно не только сложно, но и дорого. Например, в операционных системах Windows для аутентификации требуются два объекта - имя пользователя и пароль. При аутентификации по технологии идентификации отпечатков пальцев имя вводится для регистрации, а отпечаток пальца заменяет пароль. В этом случае имя пользователя является указателем для получения его учетной записи и проверки соответствия «один к одному» между шаблоном считанного при регистрации отпечатка и ранее сохраненным шаблоном для данного имени пользователя. При другом способе введенный при регистрации шаблон отпечатка пальца необходимо сопоставить со всем набором сохраненных шаблонов.