Ответы к экзамену по ПСП. Физический уровень
Скачать 216.84 Kb.
|
23.Web-сервисы: SOAP, XML, WSDL, UDDI.Веб-сервисы преобразуют XML-документы (Extensible Markup Language, XML) в ИТ-системах. Веб-сервисы - это XML-приложения, осуществляющие связывание данных с программами, объектами, базами данных либо с деловыми операциями целиком. Между веб-сервисом и программой осуществляется обмен XML-документами, оформленными в виде сообщений. Стандарты веб-сервисов определяют формат таких сообщений, интерфейс, которому передается сообщение, правила привязки содержания сообщения к реализующему сервис приложению и обратно, а также механизмы публикации и поиска интерфейсов. Стандарты и технологии веб-сервисов обычно подразумевают два основных типа моделей взаимодействия приложений:
SOAP - это XML-способ определения: какая информация должна пересылаться и как. SOAP-сообщения содержат конверт, заголовок и тело сообщения. SOAP-сообщения состоят из нескольких основных частей.
Обязательными являются только конверт и тело сообщения. WSDL - это XML-формат, описывающий состав веб-сервиса. WSDL предназначен для использования как в процедурно-ориентированных, так и в документно-ориентированных приложениях. Так же как и другие XML-технологии, WSDL является расширяемым языком и имеет такое количество параметров, что обеспечение совместимости при организации взаимодействия между различными реализациями может вызвать сложности. Полное взаимопонимание возможно лишь в том случае, если отправитель и получатель сообщения могут совместно использовать и одинаково интерпретировать один и тот же WSDL-файл. WSDL в соответствии с уровнем абстрагирования состоит из трех элементов. WSDL можно разделить на три основные составляющие:
UDDI регистрирует и публикует определения веб-сервисов. Структура UDDI определяет модель данных в программных интерфейсах (API) XML и SOAP для регистрации и обнаружения коммерческой информации, включая веб-сервисы. 24.Национальная инфраструктура информационной безопасности.Статья 349. Несанкционированный доступ к компьютерной информации
наказывается штрафом или арестом на срок до шести месяцев.
наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
наказываются ограничением свободы на срок до пяти лет или лишением свободы на срок до семи лет. Статья 350. Модификация компьютерной информации
наказываются штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до трех лет, или лишением свободы на тот же срок.
наказывается ограничением свободы на срок до пяти лет или лишением свободы на срок до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью или без лишения. Статья 351. Компьютерный саботаж
наказываются штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до пяти лет, или лишением свободы на срок от одного года до пяти лет.
наказывается лишением свободы на срок от трех до десяти лет. Статья 352. Неправомерное завладение компьютерной информацией Несанкционированное копирование либо иное неправомерное завладение информацией, хранящейся в компьютерной системе, сети или на машинных носителях, либо перехват информации, передаваемой с использованием средств компьютерной связи, повлекшие причинение существенного вреда, – наказываются общественными работами, или штрафом, или арестом на срок до шести месяцев, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок. Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети Изготовление с целью сбыта либо сбыт специальных программных или аппаратных средств для получения неправомерного доступа к защищенной компьютерной системе или сети – наказываются штрафом, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет. Статья 354. Разработка, использование либо распространение вредоносных программ
наказываются штрафом, или арестом на срок от трех до шести месяцев, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
наказываются лишением свободы на срок от трех до десяти лет. 25.Безопасность в сетях: конфиденциальность, аутентификация, обеспечение строгого выполнения обязательств, авторизация, обеспечение целостности, криптография, криптоанализ, криптология, шифр, код, ключ шифра, IPsec, SSL/TSL, HTTPS, DNSsec. • Секретность • Аутентификация • Обеспечение строго выполнения обязательств • Обеспечение целостности Конфиденциальность – предотвращение попадание информации неавторизованным пользователям. Аутентификация – проверка принадлежности субъекту предъявленного им идентификатора, подтверждающего личность. Процесс аутентификации может осуществляться:
Идентификация – процесс присвоения субъектам идентификатора и сравнение идентификатора с перечнем идентификаторов. Авторизация – процесс проверки прав субъекта на выполнение некоторых действий. Безопасность охватывает все уровни протоколов:
Обеспечение целостности(Целостность информации (также целостность данных) — термин в информатике и теории телекоммуникаций, который означает, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление.) данных с помощью хэш-кодов они используются для цифровых подписей. Криптография – наука о методах обеспечения конфиденциальности и аутентичности. • Криптосистема • Криптоанализ • Криптология • Криптографическая стойкость Криптогра́фия— наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Изначально криптография изучала методы шифрования информации — обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа в шифрованный текст (шифротекст)( Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов). Криптоанализ— наука о методах получения исходного значения зашифрованной информации, не имея доступа к секретной информации (ключу), необходимой для этого. В большинстве случаев под этим подразумевается нахождение ключа. Криптоло́гия — наука, занимающаяся методами шифрования и дешифрования. Криптология состоит из двух частей — криптографии и криптоанализа. А также разработкой методов, позволяющих взламывать криптосистемы. Шифр - какая-либо система преобразования текста (код) для обеспечения секретности передаваемой информации. Код — совокупность алгоритмов криптографических преобразований (шифрования), отображающих множество возможных открытых данных на множество возможных зашифрованных данных, и обратных им преобразований. Ключ — параметр криптографического алгоритма, обеспечивающий выбор одного преобразования из совокупности преобразований, возможных для этого алгоритма. В современной криптографии предполагается, что вся секретность криптографического алгоритма сосредоточена в ключе, но не деталях самого алгоритма. IPSec – это комплекс протоколов касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP пакетов. Он включает около 20ти предложений по стандартам и 18ти RFC. Основными функциями IPSec являются:
Протоколы IPSec: • IKE – обеспечение аутентификации сторон • AH – обеспечивает аутентификацию пакетов и выявление их воспроизведение • ESP – обеспечивает конфиденциальность • HMAC – механизм аутентификации сообщений с использованием хэш функций • DES – стандарты шифрования данных. Существует 2 режима работы: Транспортный – шифруется только информативная часть IP пакета. Туннельный – IP пакет шифруется целиком. IP пакет вкладывается в другой IP пакет. SSL/TSL TLS (что есть Transport Layer Security), он же ранее известный как SSL (Secure Sockets Layer), на данный момент является стандартом де-факто для защиты протоколов транспортного уровня от различных методов вмешательства извне. Много кто его использует. HTTPS (Hypertext Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443. DNSSEC (англ. Domain Name System Security Extensions) — набор спецификаций IETF, обеспечивающих безопасность информации, предоставляемой средствами DNS в IP-сетях. Он обеспечивает DNS-клиентам аутентификацию данных DNS либо аутентификацию информации о факте отсутствия данных и их целостность. Не обеспечивается доступность данных и конфиденциальность запросов. |