Критерии безопасного программного обеспечения
Контрольная работа - Компьютеры, программирование
Другие контрольные работы по предмету Компьютеры, программирование
МИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
Российский государственный гуманитарный университет
Филиал РГГУ в г.Нижний Новгород
КОНТРОЛЬНАЯ РАБОТА
по дисциплине: Информационная безопасность и защита безопасности
Тема: Критерии безопасного программного обеспечения
Выполнила: студента 4 курса
группы 5-ДОУ-08
Шаброва Н. С.
Проверил: ст.преп.
Федорова Н.А.
Нижний Новгород
Содержание
Введение
МЕТОДЫ И СРЕДСТВА АНАЛИЗА БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Контрольно-испытательные методы анализа безопасности программного обеспечения
Логико-аналитические методы контроля безопасности программ
МЕТОДЫ ОБЕСПЕЧЕНИЯ НАДЕЖНОСТИ ПРОГРАММ ДЛЯ КОНТРОЛЯ ИХ ТЕХНОЛОГИЧЕСКОЙ БЕЗОПАСНОСТИ
Заключение
Список использованной литературы
Введение
Обеспечение безопасности - важнейший фактор выбора программного обеспечения в государственном секторе. Необходимость в существовании критериев безопасности возникла на заре коммерческой эпохи использования операционных систем. В начале 80-х в США был разработан стандарт Trusted Computer System Evaluation Criteria (TCSEC, более известный по названиям Оранжевая книга, Радужная серия). В конце 80-х европейские страны приняли свой стандарт Information Technology Security Evaluation Criteria (ITSEC), в основу которого легли положения TCSEC. В 1990 году Международная организация по стандартизации (ISO) начала работу над общими критериями безопасности. Международные структуры, принявшие участие в разработке, были не просто гражданскими институтами. Взгляните на список: Агентство Национальной Безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Органы исполнения программы безопасности и сертификации (Англия), Центр обеспечения безопасности систем (Франция), Агентство национальной безопасности коммуникаций (Нидерланды) - все они в той или иной степени имели отношение к военным. Не случайное совпадение. Идея создания общих критериев зародилась в недрах закрытого АНБ.
Десятилетиями АНБ применяла практику создания жёстко контролируемого, безопасного кода, разрабатываемого годами, уровень уязвимости которого стремился к нулю. Подобный подход не мог дать пользователям ни разнообразия в выборе программ, ни красивых эффектов, которые так любят секретарши во всех государственных учреждениях. Необходимость, а вернее - желание использовать коммерческие продукты на службе у государства, подвигло АНБ к неизбежному: продукты открытого рынка должны были пройти специальную программу тестирования. Такой программой стал стандарт Common Criteria for Information Technology Security Evaluation - общие критерии безопасности информационных технологий.
Разработка стандарта завершилась в 1993 году. Спустя шесть лет Common Criteria официально был признан международным стандартом широкого профиля использования: помимо государственных учреждений руководствоваться им при выборе информационных систем смогли и обычные потребители. Common Criteria включил тесты для множества видов продуктов: межсетевых экранов, антивирусных систем, систем обнаружения вторжения, операционных систем и т. д.
МЕТОДЫ И СРЕДСТВА АНАЛИЗА БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Широко известны различные средства программного обеспечения обнаружения элементов РПС - от простейших антивирусных программ-сканеров до сложных отладчиков и дизассемблеров - анализаторов и именно на базе этих средств и выработался набор методов, которыми осуществляется анализ безопасности ПО.
Авторы работ предлагают разделить методы, используемые для анализа и оценки безопасности ПО, на две категории: контрольно-испытательные и логико-аналитические В основу данного разделения положены принципиальные различия в точке зрения на исследуемый объект (программу). Контрольно-испытательные методы анализа рассматривают РПС через призму фиксации факта нарушения безопасного состояния системы, а логико-аналитические - через призму доказательства наличия отношения эквивалентности между моделью исследуемой программы и моделью РПС.
В такой классификации тип используемых для анализа средств не принимается во внимание - в этом ее преимущество по сравнению, например, с разделением на статический и динамический анализ.
Комплексная система исследования безопасности ПО должна включать как контрольно-испытательные, так и логико-аналитические методы анализа, используя преимущества каждого их них. С методической точки зрения логико-аналитические методы выглядят более предпочтительными, т.к. позволяют оценить надежность полученных результатов и проследить последовательность (путем обратных рассуждений) их получения. Однако эти методы пока еще мало развиты и, несомненно, более трудоемки, чем контрольно-испытательные.
Контрольно-испытательные методы анализа безопасности программного обеспечения
Контрольно-испытательные методы - это методы, в которых критерием безопасности программы служит факт регистрации в ходе тестирования программы нарушения требований по безопасности, предъявляемых в системе предполагаемого применения исследуемой программы . Тестирование может проводиться с помощью тестовых з?/p>