Обобщенная модель угроз информационной безопасности визуальных интерфейсов пользователя
Анализ разработки моделей информационной безопасности как один из основных направлений исследований в области обеспечения безопасности пользовательских интерфейсов. Особенность отношения угроз и видов информации визуальных интерфейсов пользователя.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 25.08.2020 |
Размер файла | 185,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Обобщенная модель угроз информационной безопасности визуальных интерфейсов пользователя
Гращенко Л.А.
Одним из основных направлений исследований в области обеспечения безопасности пользовательских интерфейсов (ПИ) и, в частности, визуальных интерфейсов пользователя (ВИП) является разработка моделей информационной безопасности (ИБ) ВИП [1, 2]. При этом задача обеспечения безопасности ВИП в широком смысле адекватна задаче обеспечения ИБ ВИП при условии комплексного учета информационных, функциональных, психофизиологических и экологических аспектов безопасности. Это связано, прежде всего, с включением информационного фактора в состав факторов среды систем человек-компьютер [3] и информационным характером почти всех происходящих в области распространения ВИП процессов или их информационной обусловленностью.
Учет перечисленных аспектов безопасности необходимо осуществить на этапе моделирования множества известных или предполагаемых угроз ИБ ВИП, так как понятие угрозы является составной, необходимой и образующей частью понятия безопасности [4]. При этом системный подход к решению этой задачи предполагает синтез обобщенной модели угроз информационной безопасности ВИП на основе анализа существующих частных моделей угроз безопасности ВИП.
В ходе проведенных исследований [1, 2, 3, 5, 6] автором было установлено, что в рамках существующих представлений задача обеспечения ИБ ВИП практически не решалась, но в то же время в различных предметных областях существуют модели, в определенной степени раскрывающие отдельные стороны проблематики безопасности взаимодействия человек-компьютер, в том числе и ВИП. Недостатками большинства рассмотренных моделей являются:
эмпирический характер построения;
описательная часть моделей выполнена не в терминах понятийного базиса ИБ и человеко-компьютерного взаимодействия;
отсутствуют или не очевидны соотношения с другими угрозами ИБ компонентов систем человек-компьютер (СЧК).
В результате анализа и систематизации существующих актуальных и других частных моделей угроз безопасности автор предлагает следующую обобщенную модель угроз ИБ ВИП.
Модель представлена в языковой форме. Она описывает существующие представления о системе угроз ИБ ВИП с учетом информационно-логических связей элементов СЧК, участвующих в осуществлении визуального взаимодействия пользователя и вычислительной системы. Кроме того, модель базируется на представлении субъекта управления СЧК как информационной системы, что позволяет объяснить информационный характер некоторых угроз, учитываемых данной обобщенной моделью. В качестве элементов модели выступают: объекты угроз - компоненты визуального взаимодействия человек-компьютер, информация в области ВИП, подлежащая защите и система угроз, сопоставленная с перечисленными выше сущностями.
Моделью рассматриваются 4 группы информации, существующие в области распространения ВИП. Первая группа - информация пользователя (U) - представлена: информацией, циркулирующей в нервной системе пользователя между зрительным анализатором и головными отделами мозга (U1); информацией, составляющей ядро личности пользователя и определяющей его индивидуальность (U2) и информацией, составляющей ментальные модели процессов и объектов, относящихся к деятельности пользователя в рамках СЧК (U3). Вторая группа - информация компьютерной системы (C), включающая: визуализированную информацию, представленную на экране средства отображения информации (C1); графическую информацию, используемую ВИП, но не визуализированную в данный момент (C2); управляющую информацию, относящуюся к области услуг ВИП (C3); информацию процедур приложений и операционной системы, осуществляющих подготовку данных к визуализации (C4). Третья группа - информационный поток от компьютера к пользователю (I) - включает: визуальную информацию, отражающую информационную модель объекта управления (I1); скрытые информационные вставки, которые могут передаваться по визуальному каналу восприятия в общем информационном потоке (I2); информационный шум, вызванный визуализацией не относящейся к деятельности пользователя информации (I3) и информационный шум среды на рабочем месте пользователя (I4). Четвертая группа - информационный поток от пользователя к компьютеру (O) - включает: непосредственно управляющую информацию (O1); информацию об особенностях личности и физиологических характеристиках пользователя (O2) и информационный шум среды на рабочем месте пользователя (О3).
Угрозы безопасности перечисленных видов информации реализуются за счет воздействия на структурные элементы СЧК, как на среду хранения, обработки и передачи информации, так и за счет изменения алгоритмов обработки и передачи информации. Множество угроз ИБ ВИП является подмножеством известного относительно полного множества угроз информации [4]: угрозы нарушения физической целостности информации (НЦФИ); угрозы нарушения логической целостности информации (НЛЦИ); угрозы несанкционированного получения информации (НПИ); угрозы несанкционированного размножения информации (НРИ) и угрозы несанкционированного блокирования информации (НБИ).
Модель учитывает следующие возможные угрозы ИБ ВИП, см. таблицу:
утечка визуализированной информации за пределы СЧК путем ее восприятия посторонним лицом или техническим средством (Y1);
потеря (Y2) или искажение (Y3) отображаемой информации из-за неправильного управления визуальными объектами со стороны аппаратно-программных средств ВИП;
потеря или искажение отображаемой информации из-за блокирования (Y4) или искажения (Y5) графической или управляющей информации в аппаратно-программных средствах ВИП;
потеря или искажение отображаемой информации из-за блокирования (Y6) или искажения (Y7) информации при работе процедур приложений и операционной системы, осуществляющих подготовку данных к визуализации; информационный визуальный интерфейс угроза
утечка графической и управляющей информации ВИП по техническим каналам утечки информации (Y8);
искажение воспринимаемой пользователем информации за счет ее зашумления источниками среды на рабочем месте пользователя (Y9);
потеря (Y10) или искажение (Y11) воспринимаемой пользователем информации из-за физической, семантической или синтаксической несогласованности ее представления пользователю;
искажение представлений пользователя о реальном состоянии объекта управления за счет скрытых информационных воздействий (Y12) и неадекватное принятие им решений в процессе решения задач в рамках СЧК (Y13);
возможность несанкционированного получения информации о пользователе за счет скрытого анализа особенностей управляющих воздействий пользователя и скрытых информационных воздействий (Y14).
Таблица 1 - вариант представления отношения угроз и видов информации ВИП
Вид информации |
Вид угроз информации |
||||||
НФЦИ |
НЛЦИ |
НПИ |
НРИ |
НБИ |
|||
U |
U1 |
Y10, Y11 |
Y11 |
Y10 |
|||
U2 |
Y12 |
Y12 |
Y14 |
Y14 |
|||
U3 |
Y12 |
Y12 |
Y14 |
Y14 |
|||
C |
C1 |
Y3 - Y7 |
Y3 - Y7 |
Y1 |
Y1 |
Y2 - Y7 |
|
C2 |
Y5 |
Y5 |
Y8 |
Y8 |
Y4 |
||
C3 |
Y5 |
Y5 |
Y8 |
Y8 |
Y4 |
||
C4 |
Y7 |
Y7 |
Y8 |
Y8 |
Y6 |
||
I |
I1 |
Y9 |
Y9 |
Y1 |
Y1 |
||
I2 |
|||||||
I3 |
|||||||
I4 |
|||||||
O |
O1 |
Y12, Y13 |
Y12, Y13 |
Y14 |
Y14 |
Y13 |
|
O2 |
Y14 |
Y14 |
|||||
O3 |
Y14 |
Y14 |
Табличный вариант представления отношений видов информации ВИП и возможных угроз этой информации позволяет наглядно увидеть возможности данной обобщенной модели угроз ИБ ВИП по прогнозированию появления и включения в состав модели новых видов угроз ИБ ВИП.
Тем не менее, предложенная модель требует проверки адекватности, что автор оставляет в качестве задачи на дальнейшее проведение исследований. Также на основе приведенной модели предполагается сформировать инструментарий, выбрать методологию решения актуальной задачи обеспечения ИБ ВИП.
Одним из вариантов представления указанной обобщенной модели может служить графическая иллюстрация, приведенная на рисунке ниже. Она позволяет наглядно представить состав и взаимное расположение элементов СЧК, участвующих в процессе визуального взаимодействия пользователя и вычислительной системы; локализовать хранилища информации и информационные потоки при реализации этого взаимодействия; уточнить области возникновения угроз информации ВИП; спрогнозировать появление новых информационных потоков и угроз информации ВИП за счет более детальной декомпозиции элементов СЧК.
В дальнейшем исследовании вопросов обеспечения ИБ ВИП предлагается принять приведенную обобщенную модель угроз ИБ ВИП за основу для формирования методологического базиса.
Рисунок 1 - Вариант графического отображения обобщенной модели угроз информационной безопасности визуальных интерфейсов пользователя
Литература
1. Гращенко Л.А. Определение услуг защиты и защищенности графического интерфейса пользователя // Техника и технология связи. Сборник докладов - СПб: Санкт-Петербургский государственный университет телекоммуникаций им. М.А. Бонч-Бруевича, 2000. - с. 391 - 393.
2. Фисун А.П., Гращенко Л.А. и др. Теоретические и практические основы человеко-компьютерного взаимодействия: базовые понятия человеко-компьютерных систем в информатике и информационной безопасности: Монография / Под ред. д.т.н. А.П.Фисуна; Орловский государственный университет. - Орел, 2004. - 169 с.: ил. - Библиогр.: 109 назв. - Рус. - Деп. в ВИНИТИ 15.10.04. № 1624 - В2004.
3. Фисун А.П., Минаев В.А., Касилов А.Н., Фисенко В.Е., Джевага К.А., Фисун Р.А. и др. Развитие методологических основ информатики и информационной безопасности систем: Монография. /Под ред. д.т.н. А.П. Фисуна; Орловский государственный университет. - Орел, 2004. - 253 с.: ил. - Библиогр.: 112 назв. - Рус. - Деп. в ВИНИТИ 07.07.04. № 1165 - В2004.
4. Фисун А.П., Гращенко Л.А. Модель угроз информационной безопасности пользователя в автоматизированных системах управления и документооборота // Актуальные проблемы документоведения: Сборник материалов регионального научно-практического семинара. - Орел: ОГУ, 2004. - с. 19 - 20.
5. Фисун А.П., Гращенко Л.А., Джевага К.А., Фисун Р.А. Разработка модели угроз информационной безопасности визуального взаимодействия человек-компьютер для системы правовых, технических, программных и организационных методов и средств защиты информации // Информационные технологии и право: Материалы II Международной научно-практической конференции / Под ред. Ю.И. Кашинского. - Мн.: НЦПИ, 2004. - с. 221 - 223.
6. Фисун А.П., Минаев В.А., Саблин В.Н., Касилов А.Н. и др. Теоретические основы информатики и информационная безопасность: Монография. - М.: Радио и связь, 2000. - 468 с.
Размещено на Allbest.ru
...Подобные документы
Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Принципы и методы разработки пользовательских интерфейсов, правила их проектирования. Классические способы создания прототипов пользовательских интерфейсов в Microsoft Expression Blend. Работа с текстом и графическими изображениями в Expression Blend.
курсовая работа [1,5 M], добавлен 19.03.2012Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Разработка структурной и инфологической моделей информационной системы госучреждения. Перечень и анализ угроз, объекты нападения, типы потерь, масштабы ущерба, источники. Охрана базы данных конфиденциальной информации и разработка политики безопасности.
курсовая работа [64,2 K], добавлен 15.11.2009Исследование системы безопасности предприятия ООО "Информационное партнерство". Организационная структура компании, направления обеспечения информационной безопасности. Используемые средства защиты; методы нейтрализации и устранения основных угроз.
курсовая работа [149,1 K], добавлен 18.08.2014Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Структурная и пространственная модели банка. Условные цены единицы информации. Моделирование угроз безопасности. Система рангов наиболее опасных технических каналов утечки информации. Требования к организации информационной безопасности на предприятии.
контрольная работа [48,6 K], добавлен 24.04.2014Состояние защищенности информации и информационной среды от случайных или преднамеренных воздействий. Цели информационной безопасности, классификация угроз. Обеспечение конфиденциальности, целостности, доступности информации; правовая защита человека.
презентация [487,2 K], добавлен 11.04.2016Изучение понятия информационной безопасности, компьютерных вирусов и антивирусных средств. Определение видов угроз безопасности информации и основных методов защиты. Написание антивирусной программы, производящей поиск зараженных файлов на компьютере.
курсовая работа [114,2 K], добавлен 17.05.2011Cвойства и назначение информации. Проблема, сущность понятия, основные задачи информационной безопасности. Виды угроз, классификация источников. Процесс внедрения вирусов, несанкционированные воздействия. Основные направления и методы парирования угроз.
реферат [33,9 K], добавлен 30.09.2009Анализ угроз и проблем информационной безопасности, технологий защиты информационных систем. Применение данных технологий для пресечения возможных нарушителей и угроз. Выработка требований к технологиям в системе Э-Правительства Кыргызской Республики.
магистерская работа [2,5 M], добавлен 16.05.2015Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Локально-вычислительная сеть, ее схема. Информационная политика предприятия "ЦИТ "Аспект". Анализ угроз информационной безопасности. Перечень информации, подлежащей защите. Дискреционное управление доступом. Примерный уровень потерь, алгоритм шифрования.
курсовая работа [771,3 K], добавлен 14.01.2014