Глава 8

ЗАЩИЩЕННЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

 

Концентрация информации в компьютерах — аналогична концентрации наличных денег в банках — заставляет все более усиливать контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность — все эти соображения требуют усиления внутреннего контроля в ком­мерческих и правительственных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопас­ность информации. Специалист в области безопасности инфор­мации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопас­ности, направленной на поддержание целостности, пригодно­сти и конфиденциальности накопленной в организации инфор­мации. В его функции входит обеспечение физической (техни­ческие средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.

Сложность создания системы защиты информации опреде­ляется тем, что данные могут быть похищены из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изме­нении.

Обеспечение безопасности информации — дорогое дело, и не столько из-за затрат на закупку или установку средств, сколь­ко из-за того, что трудно квалифицированно определить грани­цы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.

Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы,   вероятность   появления   нарушения   работы,   ушерб от коммерческих потерь, снижение коэффициента готовности системы,  общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности.

В связи с этим большую актуальность приобретает разработ-защищенных информационных технологий (ЗИТ), являющихся неотъемлемой компонентой современных систем обработки данных, информационных систем и ресурсов.

 

8.1. Информационная безопасность и защита информации

 

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба вла­дельцам или пользователям информации и поддерживающей ин­фраструктуры.

Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и пере­дачи данных.

Отметим, что меры информационной безопасности можно разделить на три группы в соответствии с тем, направлены ли они на предупреждение, обнаружение или ликви­дацию последствий нападений. Большинство мер носят преду­предительный характер. Оперативный анализ регистрационной информации и некоторые аспекты реакции на нарушения слу­жат для обнаружения угроз.

 

 

 

 

Ровни обеспечения информационной безопасности

 

Проблемы  обеспечения  безопасности   носят  комплексный характер,   включают   необходимость   сочетания   законодательных, организационных и программно-технических мер.

К сожалению, законодательная   база отстает от требностей практики.  Имеющиеся в России законы и указы носят в основном запретительный характер.  В то же время следует учитывать, что в данном случае от государства требуется в первую очередь поддержка, организация и координация  работ. В других странах это поняли довольно давно. Так, в  США в 1987 г. был принят закон о компьютерной безопасн сти (Computer Security Act, вступил в силу в сентябре 1988 м Этот закон предусматривает комплекс мер по обучению поль зователей, имеющих дело с критичной информацией, разъяс­нительных руководств и т. д., без чего сознательное поддержа­ние режима безопасности просто невозможно. И данный за­кон на самом деле выполняется.

Проблемы законодательного уровня мы здесь не рассматри­ваем, отсылая читателей, например, к учебному пособию [30].

Следующим после законодательного, можно назвать управленческий (организационный) уровень. Ру­ководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Главное, что должен сделать управлен­ческий уровень, это выработать политику безопасности, которая задает общее направление работам в данной области и управленческие регуляторы безопасности. Операционные регу­ляторы применяются к окружению компьютерных систем и пре­жде всего к людям. Имеются в виду способы подбора персонала, его обучения, обеспечения дисциплины. Сюда же относятся меры по физической защите помещений и оборудования и неко­торые другие.

Для поддержания режима информационной безопасности особенно важны программно-технические меры, поскольку ос­новная угроза компьютерным системам исходит от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

Ключевые механизмы безопасности программно-техниче­ского уровня:

•  идентификация и аутентификация;

• управление доступом;

• протоколирование и аудит;

• криптография;

•  экранирование.

Строго говоря, всем защитным мерам должен предшество-анализ угроз. Информационная безопасность начинается не тогда, когда случилось первое нарушение, а когда идет формирование будущей компьютерной системы. Она начинается с составления спецификаций на приобретаемое оборудование и про­граммное обеспечение.                                                                 

 

Наиболее распространенные угрозы

 

Рассмотрим наиболее распространенные угрозы, которым подвержены современные компьютерные системы. Знание воз­можных угроз, а также уязвимых мест защиты, которые эти уг­розы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Отметим, что само понятие угроза в разных ситуациях за­частую трактуется по-разному. Например, для подчеркнуто от­крытой организации может просто не существовать угроз кон­фиденциальности — вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ считается серьезной опасностью.

Рассмотрим некоторую типичную организацию. Впрочем, многие угрозы (например, пожар) опасны для всех.

Ошибки пользователей. Самыми частыми и самыми опасны­ми (с точки зрения размера ущерба) являются непреднамерен­ные ошибки пользователей, операторов, системных администра­торов и других лиц, обслуживающих информационные системы. Иногда такие ошибки являются угрозами (неправильно введен­ные данные, ошибка в программе, вызвавшая крах системы), иногда они создают слабости, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Утверждают, что 65 % потерь — следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по Равнению с безграмотностью и расхлябанностью. Очевидно, самый радикальный способ борьбы с непреднамеренными отгиб­ами — максимальная автоматизация и строгий контроль за пра-ильностью совершаемых действий.

Кражи и подлоги. На втором месте по размерам ущерба располагаются кражи и подлоги. По данным газеты USA Today, в результате подобных противоправных действий с использованием персональных   компьютеров   американским   организациям ежегодно   наносится   суммарный   ущерб   в   размере   не менее 1 млрд долларов. Можно предположить, что подлинный ущерб намного больше, поскольку многие организации по понятнк причинам скрывают такие инциденты. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Еще раз мы убеждаемся в том, что внутренняя угроза гораздо опаснее внешней.

Весьма опасны так называемые обиженные сотрудники — нынешние и бывшие. Как правило, их действиями руко­водит желание нанести вред организации-обидчику, например:

•  повредить оборудование;

•  встроить логическую бомбу, которая со временем разрушит программы и/или данные;

•  ввести неверные данные;

•  удалить данные;

•  изменить данные и т. д.

Обиженные сотрудники, даже бывшие, знакомы с порядка­ми в организации и способны вредить весьма эффективно. Не­обходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.

Угрозы, исходящие от окружающей среды, к сожалению, отли­чаются большим разнообразием. В первую очередь следует выде­лить нарушения инфраструктуры — аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т. п. Опасны, разумеется, стихийные бед­ствия и события, воспринимаемые как стихийные бедствия — пожары, наводнения, землетрясения, ураганы. По известным данным, на долю огня, воды и аналогичных «врагов» (среди ко­торых самый опасный — низкое качество электропитания и его перебои) приходится 13 % потерь, нанесенных информацион­ным системам.

Хакеры. Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Известно, что почти каж­дый Internet-сервер по нескольку раз в день подвергается попыт­кам проникновения; верно, что иногда такие попытки оказыва­ются удачными; верно, что изредка подобные действия связань со шпионажем. Однако в целом ущерб от деятельности хакеро (в сравнении с другими угрозами) представляется не столь уж значительным.   Вероятно,   больше   всего  пугает   непредсказуемость действий людей такого сорта. Представьте себе, что в любой момент к вам в квартиру могут забраться посторонние люди. Даже если они не имеют злого умысла, а зашли просто посмотреть, нет ли чего интересного, приятного в этом мало.

 Программные вирусы. Много говорят и пишут и о программныx вирусах. Как показало проведенное исследование, несмотря экспоненциальный рост числа известных вирусов, аналогич­ного роста количества инцидентов, вызванных вирусами, не зарегистрировано. Соблюдение несложных правил компьютерной гигиены сводит риск заражения практически к нулю. Там где ра­ботают, а не играют, число зараженных компьютеров составляет лишь доли процента. Справедливости ради отметим лишь, что зловредный код поражает не только персональные компьютеры, но и системы других типов.

Первый шаг в анализе угроз — их идентификация. Ана­лизируемые виды угроз следует выбрать из соображений здраво­го смысла (оставив вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбран­ных видов провести максимально полное рассмотрение.

Целесообразно выявлять не только сами угрозы, но и источ­ники их возникновения — это поможет в выборе дополнитель­ных средств защиты. Например, нелегальный вход в систему мо­жет стать следствием воспроизведения начального диалога, под­бора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из пере­численных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить веро­ятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) веро­ятность).

Кроме вероятности осуществления, важен размер потен­циального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по некоторой шкале.

Оценивая тяжесть ущерба, необходимо иметь в виду не только чепосредственные расходы на замену оборудования или востановление информации, но и более отдаленные, такие, как подрыв репутации, ослабление позиций на рынке и т. п. Пусть, например, в результате дефектов в управлении доступом к бухгалтерской информации   сотрудники   получили   возможности корректировать данные о собственной заработной плате. Следствием такого состояния дел может стать не только пеп бюджетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации.

Слабости обладают свойством притягивать к себе не т злоумышленников, но и сравнительно честных людей. Не всякий устоит перед искушением немного увеличить свою зарплату  если есть уверенность, что это сойдет с рук. Поэтому, оценивая вероятность осуществления угроз,  целесообразно исходить не только из среднестатистических данных,  но учитывать также специфику конкретных информационных систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к со­жалению, оказывается существенно выше средней.

Таковы основные угрозы, на долю которых приходится льви­ная доля урона, наносимого информационным системам. Рас­смотрим теперь иерархию защитных мероприятий, способных противостоять угрозам.

 

Управленческие меры обеспечения информационной безопасности

 

Главная цель мер, предпринимаемых на управленческом уровне, — сформировать программу работ в области информа­ционной безопасности и обеспечить ее выполнение, выделяя не­обходимые ресурсы и контролируя состояние дел.

Политика безопасности. Основой программы является по­литика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой без­опасности понимают совокупность документированных управ­ленческих решений, направленных на защиту информации и ас­социированных с ней ресурсов.

С практической точки зрения политику безопасности целе­сообразно подразделить на три уровня.

К верхнему уровню можно отнести решения, затраги вающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Политика верхнего уровня должна четко очерчивать сферу своего, влияния. Возможно, это будут все компьютерные системы opганизации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих доманих компьютеров).  Возможна, однако,  и такая ситуация,  когда в сферу влияния включаются лишь наиболее важные системы.

К среднему  уровню   можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для  различных систем, эксплуатируемых организацией. Примеры  таких вопросов — отношение к передовым (но, возможно,   недостаточно   проверенным)   технологиям,   доступ   к  Internet (как сочетать свободу получения информации с защитой от внешних  угроз?),   использование  домашних  компьютеров, применение    пользователями    неофициального    программного обеспечения и т. д.

Политика безопасности нижнего уровня отно­сится к конкретным сервисам. Она включает в себя два аспек­та — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо де­тальнее. Есть много вещей, специфичных для отдельных серви­сов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне.

Программа безопасности. После того, как сформулирована политика безопасности, можно приступать к составлению про­граммы ее реализации и собственно к реализации.

Проведение политики безопасности в жизнь требует исполь­зования трех видов регуляторов — управленческих, операцион­ных и программно-технических. Рассмотрим управленческий ас­пект программы безопасности.

Чтобы понять и реализовать любую программу, ее целесооб­разно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального который охватывает всю организацию, и нижнего,  или сервисного, который относится к отдельным сервисам или группам однородных сервисов.

Программу  верхнего  уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

•  управление рисками (оценка рисков, выбор эффективных средств защиты, см. следующий раздел);

•  координация   деятельности   в   области   информацион безопасности, пополнение и распределение ресурсов;

•  стратегическое планирование;

•  контроль деятельности  в области  информационной 6 опасности.                                                                             

Цель   программы   нижнего   уровня   — обеспечи надежную  и  экономичную  защиту  конкретного  сервиса группы однородных сервисов. На этом уровне решается, каки механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администри­рование, отслеживается состояние слабых мест и т. п. Обычно за программу нижнего уровня отвечают администраторы сервисов

Выбирая подходящий способ защиты, целесообразно учиты­вать возможность экранирования одним сервисом безопасности сразу нескольких прикладных сервисов. Так поступили в Масса-чусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

 

Регулирование режима безопасности

 

Рассмотрим подробнее меры безопасности, которые ориен­тированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает первостепенного внимания. Сюда входят следую­щие вопросы:

•  управление персоналом;

•  физическая защита;

• поддержание работоспособности;

•  реакция на нарушения режима безопасности;

•  планирование восстановительных работ.

Управление персоналом начинается с приема нового сотру ника на работу и даже раньше — с составления описания дол ности. Уже на этом этапе желательно привлечение специали по информационной безопасности для определения компьют ных привилегий, ассоциируемых с должностью. Существует общих принципа, которые следует иметь в виду:

•  разделение обязанностей;

•  минимизация привилегий.

Принцип разделения обязанностей предписывает оаспределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформлять заявки на платежи, а другому — заверять эти заявки.

Принцип минимизации привилегий предписыва-выделять пользователям только те права доступа, которые не­обходимы им для выполнения служебных обязанностей. Назна­чение этого принципа очевидно — уменьшить ущерб от случай­ных или умышленных некорректных действий пользователей.

Проблема обучения — одна из центральных с точки зрения информационной безопасности. Если сотрудник не знаком с по­литикой безопасности своей организации, он не может стре­миться к достижению сформулированных в ней целей. Если он не знает мер безопасности, он не сможет их соблюдать. Напро­тив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

Физическая защита. Безопасность компьютерной системы зависит от окружения, в котором она работает. Следовательно, необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компь­ютеров.

Известны следующие направления физической защиты:

•  физическое управление доступом;

•  противопожарные меры;                                                    

•  защита поддерживающей инфраструктуры;

•  защита от перехвата данных;                                              

•  защита мобильных систем.

Меры физического управления доступом позво­ляют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, на­пример, те, где расположены серверы, коммуникационная аппа-тура и т. п. Средства физического управления доступом известны давно — это охрана, двери с замками, перегородки, телекамеры датчики движения и многое другое.

Противопожарные  меры.   Отметим  лишь   крайнюю желательност  установки противопожарной сигнализации и автоматических средств пожаротушения. Обратим также внимание на то, как защитные меры могут создавать новые слабости. Если  на работу взят новый охранник, это, вероятно, улучшает физическое управление доступом. Если же он по ночам курит и пьет, то повышенная пожарная опасность делает его скорее врагом,  чем другом организации.

К  поддерживающей   инфраструктуре   можно нести системы электро-, водо- и теплоснабжения, кондицион ры, средства коммуникаций. В принципе к ним применимы т же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защи­щать оборудование от краж и повреждений. Для поддержания доступности  целесообразно  выбирать оборудование  с  макси­мальным временем наработки на отказ, дублировать ответствен­ные узлы, всегда иметь под рукой запчасти.

Перехват данных может осуществляться самыми раз­ными способами: подсматриванием за экраном монитора, чте­нием пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). К сожалению, некоторые способы перехвата данных, такие как анализ ПЭМИН, относительно доступны и дешевы, а бороться с ними трудно и дорого. Остается уповать на то, что для коммерческих систем обеспечение конфиденциальности не является главной задачей, пытаться держать под контролем ли­нии связи (например, заключать их в надувную оболочку с обна­ружением прокалывания) и разместиться в тихом особняке, по­одаль от других домов.

Мобильные и портативные компьютеры — за­манчивый объект кражи. Их довольно часто оставляют без при­смотра, в автомобиле или на работе, и унести и спрятать такой компьютер весьма несложно. Следует настоятельно рекомендо­вать шифрование данных на жестких дисках ноутбуков и лэпто­пов.

Поддержание работоспособности включает в себя рутинны действия, направленные на поддержание компьютерных систеь и имеющие отношение к информационной безопасности. Как ни странно, именно здесь таится наибольшая опасность. Нечаянные   ошибки   системных  администраторов   и   пользовате грозят повреждением аппаратуры, разрушением программ и да ных; «в лучшем случае» создаются слабости, облегчающие реализацию угроз.

Недооценка факторов безопасности в повседневной работе – ахиллесова пята многих организаций. Дорогие средства  безопасности теряют смысл, если они плохо документированы, нфликтуют с другим программным обеспечением, а пароль стемного администратора не менялся с момента установки.

Можно выделить следующие направления повседневной дея­тельности:

• поддержка пользователей;

• поддержка программного обеспечения;

•  конфигурационное управление;

•  резервное копирование; .

•  управление носителями;

•  документирование;

• регламентные работы.

Поддержка пользователей состоит прежде всего в консультировании и в оказании помощи при решении разного рода проблем. Иногда в организациях создают для этой цели специальный «стол справок», чаще от пользователей отбивается системный администратор. Очень важно в потоке вопросов, ум­ных и не очень, уметь выявлять проблемы, связанные с инфор­мационной безопасностью.

Поддержка программного обеспечения — одно из важней­ших средств обеспечения целостности информации. Прежде все­го, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанав­ливать программы по своему усмотрению, это чревато заражени­ем вирусами, а также появлением утилит, действующих в обход защитных средств. Например, на любой персональный компью­тер, подключенный к сети Ethernet, можно установить програм­му — сетевой анализатор, позволяющую отслеживать весь сете­вой трафик. Обладатель такой программы может довольно быстро  «выловить» пароли других пользователей и системных администраторов, получив тем самым по существу неограничен­ный доступ к сетевым ресурсам.

Конфигурационное управление позволяет контро­лировать и фиксировать изменения, вносимые в программную Фигурацию. Прежде всего, необходимо застраховаться от учайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей версии. Далее, фиксация изменений позволит легко восстановить текущую версию после аварии. Лучший способ уменьшить количество ошибок в рутинной работе — в максимальной степени автоматизирок ее. Хорошим примером являются развитые средства конфигурационного управления, когда одним нажатием можно вызв внесение или откат сотен согласованных изменений. 

 Резервное  копирование  необходимо для восстано ления программ и данных после аварий. Здесь также целесообразно автоматизировать работу, как минимум сформировав кои пьютерное расписание выполнения полных и инкрементальных копий, а как максимум воспользовавшись безлюдной технологи ей фирмы Hewlett-Packard. Нужно также наладить размещение копий в безопасном месте, защищенном от пожаров и иных уг­роз. К резервному копированию следует относиться как к осоз­нанной необходимости — стоит хоть на день отступить от распи­сания и неприятности не заставят себя ждать.

Управление носителями служит для обеспечения физической защиты и учета дискет, CD, лент, печатных выдач и т. п. Управление носителями должно обеспечить конфиденци­альность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь по­нимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителя­ми должно охватывать весь жизненный цикл дискет и лент — от закупки до выведения из эксплуатации.

К управлению носителями можно отнести и контроль пото­ков данных, выдаваемых на печать. Здесь поучительно отметить необходимость сочетания различных механизмов информацион­ной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но толь­ко меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.

Документирование — неотъемлемая часть информаци­онной  безопасности.   В  виде документов  оформляется  почти все — от политики безопасности до журнала учета дискет. Важ­но, чтобы документация была актуальной, отражала текущее,  а не прошлое состояние дел, причем отражала в непротиворечи вом виде. Здесь необходим правильный технологический подход когда документы печатаются и сшиваются способом, облегчающим внесение изменений.

К хранению некоторых документов (содержащих, например, анализ системных слабостей и угроз) применимы требования обеспечения  конфиденциальности,  к другим, таким  как план постановления после аварий — требования целостности и дотупности (план необходимо найти и прочитать).

Регламентные  работы — очень серьезная угроза без­опасности. Лицо, осуществляющее регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия совершают­ся. Здесь на первый план выходит степень доверия к тем, кто вы­полняет работы. Лет двадцать назад, очевидно, предвидя волну публикаций по сертификации, Кен Томсон, один из создателей ОС UNIX, написал, что нужно верить или не верить не програм­мам, а людям, которые пишут эти программы. Если в общем виде данное утверждение можно оспорить, то применительно к регла­ментным работам оно абсолютно справедливо.    

 

 

Реакция на нарушения режима безопасности

 

Программа безопасности, принятая организацией, должна предусматривать набор оперативных мероприятий, направлен­ных на обнаружение и нейтрализацию вторжений хакеров и зло­вредного кода. Важно, чтобы в подобных случаях последователь­ность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

Реакция на нарушения режима безопасности преследует две главные цели:

•  блокирование    нарушителя    и   уменьшение   наносимого вреда;

•  недопущение повторных нарушений.

В организации должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), отвечающий за реакцию на нарушения. Все должны знать коор­динаты этого человека и обращаться к нему при первых призна­ках опасности. В общем, нужно действовать, как при пожаре: знать, куда звонить, и что делать до приезда пожарной команды. Правда, пользователя может удержать от вызова помощи сознание собственной вины и боязнь наказания, если он сам принес на работу зараженную дискету. Для таких случаев целесообразно

смотреть процедуру анонимного вызова, поскольку лучше наказать одного виновного, чем допустить распространение последствий нарушения.

Важность  быстрой  и  скоординированной  реакции  мож продемонстрировать на следующем примере. Пусть локаль сеть предприятия состоит из двух сегментов, администрируемых разными людьми. Пусть, далее, в один из сегментов был внесен вирус. Почти наверняка через несколько минут (или, в крайн случае, несколько десятков минут) вирус распространится и другой сегмент. Значит, меры нужны немедленные. Далее, вычищать вирус нужно одновременно в обоих сегментах; в противном случае сегмент, вычищенный первым, заразится от другого а затем вирус вернется и во второй сегмент.

Для недопущения повторных нарушений необходимо анали­зировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользо­ватели имеют обыкновение выбирать слабые пароли? На подоб­ные вопросы и должны дать ответы результаты анализа.

Хотя «реактивный» подход к информационной безопасности недостаточен, но некоторая обратная связь все же должна суще­ствовать. Заранее все предусмотреть невозможно. Появляются новые вирусы, совершенствуются приемы нападения, новые системы приносят с собой новые угрозы. Кто-то в организации должен отслеживать этот процесс, принимать краткосрочные меры и корректировать программу безопасности для принятия долгосрочных мер.

 

Основные программно-технические меры

 

Программно-технические меры образуют последний и самый важный рубеж информационной защиты. Напомним, что основ­ную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и не­аккуратность при выполнении служебных обязанностей, и толь­ко программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области че­ловеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопас­ности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и п пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

Известны основные сервисы безопасности:

•  идентификация и аутентификация;

•  управление доступом;

•  протоколирование и аудит;   

•  криптография;

•  экранирование.

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку ос­тальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая ли­ния обороны, «проходная» информационного пространства ор­ганизации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

Идентификация позволяет субъекту (пользователю или процессу, действующему от имени определенного пользователя) назвать себя (сообщить свое имя). Посредством аутентифи­кации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутенти­фикация» иногда используют сочетание «проверка подлинности».

Общая схема идентификации и установления подлинности пользователя при его доступе в компьютерную систему пред­ставлена на рис. 8.1.

Если в процессе аутентификации подлинность пользователя установлена, то система защиты должна определить его полно­мочия по использованию ресурсов ВС для последующего кон­троля установленных полномочий.

Управление доступом. В настоящее время следует признать устаревшим (или, по крайней мере, не полностью соответствую­щим действительности) положение о том, что разграничение доступа направлено исключительно на защиту от злоумышлен­ных пользователей. Современные информационные системы ха­рактеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь идет о логическом (в отличие от физического) управлении доступом, который реализуется рограммными средствами. Логическое управление доступом — это основной механизм много­пользовательских систем, призванный обеспечить конфиденци­альность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизован­ных пользователей).

 

 

Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допус­тимых операций (зависящее, быть может, от некоторых допол­нительных условий) и контролировать выполнение установлен­ного порядка.

Отношение (субъекты, объекты) можно представить в виде матрицы, в строках которой перечислены субъекты, в столб­цах — объекты, а в клетках, расположенных на пересечени строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмен матрицы может выглядеть, например, так, как это показано на рис 8.2.

 

 

Логическое управление доступом — одно из сложнейших в области информационной безопасности. Причина в том, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы в число объектов входят файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность пере­дачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Со­временные операционные системы могут поддерживать и другие объекты. Например, в ОС Solaris имеются отображения со свои­ми видами доступа.

Для систем управления реляционными базами данных объ­ект — это база данных, таблица, представление, хранимая про­цедура, к таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов иные виды Доступа. И список этот можно продолжать до бесконечности.

Протоколирование и аудит. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние  (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и адми страторов).                                                                                                  

Аудит — это анализ накопленной информации, проводим -оперативно, (почти) в реальном времени или периодически ( например, раз в день).                                                                                 

Реализация протоколирования и аудита преследует следующие главные цели:

•  обеспечение подотчетности пользователей и администра торов;

•  обеспечение возможности реконструкции последователь­ности событий;

•  обнаружение попыток нарушения информационной без­опасности;

•  предоставление   информации  для   выявления   и   анализа проблем.

Криптография. Одним из наиболее мощных средств обеспе­чения конфиденциальности и контроля целостности информа­ции является криптография. Во многих отношениях она занима­ет центральное место среди программно-технических регулято­ров безопасности, являясь основой реализации многих из них, и, в то же время, последним (а подчас и единственным) защит­ным рубежом (см. далее, п. 8.2). Например, для портативных компьютеров, которые физически защитить крайне трудно, только криптография позволяет гарантировать конфиденциаль­ность информации даже в случае кражи.

Экранирование. Постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран — это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 8.3).

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (т. е. осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильт­ров. Каждый из них может задержать (не пропустить) данные, а может и сразу «перебросить» их «на другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа или обработка данных от име­ни адресата и возврат результата отправителю.

Помимо функций разграничения доступа, экраны осуществ­ляют также протоколирование информационного обмена.

Обычно экран не является симметричным, для него опреде­лены понятия «внутри» и «снаружи». При этом задача экраниро­вания формулируется как защита внутренней области от потен­циально враждебной внешней. Так, межсетевые экраны устанав­ливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример эк­рана – устройство защиты порта компьютера, контролирующее доступ к коммуникационному порту компьютера до и независи­мо от всех прочих системных защитных средств.

 

8.2. Криптографические методы защиты данных

 

Криптографическое закрытие является специфи­ческим способом защиты информации, оно имеет многовековую историю развития и применения. Поэтому у специалистов не возникало сомнений в том, что эти средства могут эффективно использоваться также и для защиты информации в АСОД, вследствие чего им уделялось и продолжает уделяться большое внимание. Достаточно сказать, что в США еще в 1978 г. утвер­жден и рекомендован для широкого применения национальный стандарт (DES) криптографического закрытия информации. Подобный стандарт в 1989 г. (ГОСТ 28147—89) утвержден и у нас в стране. Интенсивно ведутся исследования с целью разработки ^вЬ1сокостойких и гибких методов криптографического закрытия  информации. Более того, сформировалось самостоятельное на-Учное   направление   —   криптология    (kryptos   —   тайный, logos — наука), изучающая и разрабатывающая научно-метол логические основы, способы, методы и средства криптографу ского преобразования информации.

Криптология, криптография, криптоанализ

 

Можно выделить следующие три периода развития крипто-логии. Первый период — эра донаучной криптологии, являв­шейся ремеслом-уделом узкого круга искусных умельцев. Нача­лом второго периода можно считать 1949 г., когда появилась ра­бота К. Шеннона «Теория связи в секретных системах», в которой проведено фундаментальное научное исследование шифров и важнейших вопросов их стойкости. Благодаря этому труду криптология оформилась как прикладная математическая дисциплина. И, наконец, начало третьему периоду было положе­но появлением в 1976 г. работы У. Диффи, М. Хеллмана «Новые направления в криптографии», где показано, что секретная связь возможна без предварительной передачи секретного клю­ча. Так началось и продолжается до настоящего времени бурное развитие наряду с обычной классической криптографией и криптографии с открытым ключом.

Еще несколько веков назад само применение письменности можно было рассматривать как способ закрытия информации, так как владение письменностью было уделом немногих.

Криптология разделяется на два направления — криптогра­фию и криптоанализ. Цели этих направлений прямо противопо­ложны:

•  криптография занимается поиском и исследованием мате­матических методов преобразования информации;

•  сфера интересов криптоанализа — исследование возможно­сти расшифровывания информации без знания ключей;

Современная криптография включает в себя четыре крупных раздела:

•  симметричные криптосистемы;

•  криптосистемы с открытым ключом;

•  системы электронной подписи;

•  управление ключами.

Основные направления использования криптографических методов — передача конфиденциальной информации по кана­лам связи (например, электронная почта), установление подлин-

ности передаваемых сообщений, хранение информации (доку­ментов, баз данных) на носителях в зашифрованном виде.

Криптосистемы    разделяются    на    симметричные     и асимметричные (с открытым ключом):

•  в симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Сущест­вуют весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и стандарт на по­добные методы — ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм крип­тографического преобразования».

Основным недостатком симметричного шифрования явля­ется то, что секретный ключ должен быть известен и от­правителю, и получателю;

•  в асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с ад­ресом пользователя), используется для шифровки, другой (секретный, известный только получателю) — для расшиф­ровки.  Самым  популярным  из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями. Использование асиммет­ричного шифрования проиллюстрировано рис. 8.4.

Асимметричные методы позволяют реализовать так называе­мую электронную подпись, или электронное заверение сообще­ния. Идея состоит в том, что отправитель посылает два экземпля­ра сообщения — открытое и дешифрованное его секретным клю­чом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашиф­ровать с помощью открытого ключа отправителя дешифрован-

ный экземпляр и сравнить с открытым. Если они совпадут, ли ность и подпись отправителя можно считать установленными

Термины распределение ключей и управление ключами отно сятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

 

Классы методов криптографии

 

Рассмотрим   классификацию   методов   криптографического закрытия.

1. Шифрование

1.1.  ЗАМЕНА (ПОДСТАНОВКА)

1.1.1.  Простая (одноалфавитная)

1.1.2.  Многоалфавитная одноконтурная обыкновенная

1.1.3.  Многоалфавитная одноконтурная монофоническая

1.1.4.  Многоалфавитная многоконтурная

        1.2.  ПЕРЕСТАНОВКА

1.2.1.  Простая

1.2.2.  Усложненная по таблице

1.2.3.  Усложненная по маршрутам

        1.3.  АНАЛИТИЧЕСКОЕ ПРЕОБРАЗОВАНИЕ

1.3.1.  С использованием алгебры матриц

1.3.2.  По особым зависимостям

        1.4.  ГАММИРОВАНИЕ

1.4.1.  С конечной короткой гаммой

1.4.2.  С конечной длинной гаммой

1.4.3.  С бесконечной гаммой

        1.5.  КОМБИНИРОВАННЫЕ МЕТОДЫ

1.5.1.  Замена и перестановка

1.5.2.  Замена и гаммирование

1.5.3.  Перестановка и гаммирование

1.5.4.  Гаммирование и гаммирование

2.  Кодирование

2.1.  СМЫСЛОВОЕ

2.1.1. По специальным таблицам (словарям)

2.2.  СИМВОЛЬНОЕ

2.2.1. По кодовому алфавиту

3. Другие виды

3.1.  РАССЕЧЕНИЕ-РАЗНЕСЕНИЕ

3.1.1.  Смысловое

3.1.2.  Механическое

3.2.  СЖАТИЕ-РАСШИРЕНИЕ

 

Под шифрованием понимается такой вид криптографи-ского закрытия, при котором преобразованию подвергается каждый символ защищаемого сообщения. Все известные способы шифрования можно разбить на пять групп: подстановка (замена), перестановка, аналитическое преобра­зование, гаммирование и комбинированное шифование. Каждый из этих способов может иметь несколько разновидностей.

Под кодированием понимается такой вид криптографи­ческого закрытия, когда некоторые элементы защищаемых дан­ных (это не обязательно отдельные символы) заменяются зара­нее выбранными кодами (цифровыми, буквенными, буквен­но-цифровыми сочетаниями и т. п.). Этот метод имеет две разновидности: смысловое и символьное кодирование. При смысловом кодировании кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы пред­ложений). При символьном кодировании кодируется каждый символ защищаемого сообщения. Символьное кодирование по существу совпадает с шифрованием заменой.

Перестановки — несложный метод криптографического преобразования. Используется, как правило, в сочетании с дру­гими методами.

Многоалфавитная подстановка — наиболее про­стой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или ме­нее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Гаммирование — этот метод заключается в наложении на исходный текст некоторой псевдослучайной последователь­ности, генерируемой на основе ключа.

Блочные шифры — последовательность (с возможным повторением и чередованием) основных методов преобразова­ния, применяемая к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем «чистые» преобразо­вания того или иного класса в силу их более высокой крипто-стойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

К отдельным видам криптографического закрытия отнесены методы рассечения — разнесения  и  сжатия  данных.  Рассечение—разнесение заключается  в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким обпя зом  элементы данных разносятся  по  разным зонам  ЗУ  или располагаются на различных носителях. Сжатие данных прел ставляет собой замену часто встречающихся одинаковых строк данных или последовательностей одинаковых символов некото­рыми заранее выбранными символами.

Кратко рассмотрим некоторые методы криптографического закрытия информации.

Шифрование заменой (подстановка). В этом наиболее про­стом методе символы шифруемого текста заменяются другими символами, взятыми из одного (одно- или моноалфавитная под­становка) или нескольких (много- или полиалфавитная подста­новка) алфавитов.

Самой простой разновидностью является прямая (про­стая) замена, когда буквы шифруемого сообщения заменя­ются другими буквами того же самого или некоторого другого ал­фавита. Таблица замены может иметь следующий вид (табл. 8.1).

 

 

Используя эту таблицу, зашифруем текст: In this book the reader will wind a comprehensive survey...Получим следующее за­шифрованное сообщение: At omiy pbbe omr nrsirn /add zail s xbwgnrmrtjafr jcnfru... Однако такой шифр имеет низкую стой­кость, так как зашифрованный текст имеет те же статистические характеристики, что и исходный. Например, текст на англий­ском языке содержит символы со следующими частотами появ­ления (в порядке убывания): Е — 0,13, Т— 0,105; А — 0,081, О — 0,079 и т. д. В зашифрованном тексте наибольшие частоты появления в порядке убывания имеют буквы R — 0,12; О — 0,09, А и N по 0,07.

Естественно предположить, что символом R зашифрована буква Е, символом О — букв Т и т. д. Это действительно соот­ветствует таблице замены. Дальнейшая расшифровка не составляет труда. Эти методы дешифровки хорошо известны из клас­сической литературы (см., например, Артур Конан Дойль «Пля-ущие человечки», или Алан Эдгар По «Золотой жук»).

Если бы объем зашифрованного текста был намного больше, чем в рассмотренном примере, то частоты появления букв в зашифрованном тексте были бы еще ближе к частотам появления букв в английском алфавите и расшифровка оказалась бы еще проще. Поэтому простую замену используют редко и лишь в тех случаях, когда шифруемый текст короток.

Для повышения стойкости шифра используют полиалфа­витные подстановки, в которых для замены символов ис­ходного текста используются символы нескольких алфавитов. Известно несколько разновидностей полиалфавитной подста­новки, наиболее известными из которых являются одно- (обык­новенная и монофоническая) и много контурная.

При полиалфавитной одноконтурной обыкно­венной подстановке для замены символов исходного текста используются несколько алфавитов, причем смена алфавитов осуществляется последовательно и циклически, т. е. первый символ заменяется соответствующим символом первого алфави­та, второй — символом второго алфавита и т. д. до тех пор, пока не будут использованы все выбранные алфавиты. После этого использование алфавитов повторяется.

Шифрование методом перестановки. Этот метод заключается в том, что символы шифруемого текста переставляются по опре­деленным правилам внутри шифруемого блока символов. Рас­смотрим некоторые наиболее часто встречающиеся разновидно­сти этого метода, которые могут быть использованы в автомати­зированных системах.

Самая простая перестановка — написать исходный текст за­дом наперед и одновременно разбить шифрограмму на пятерки букв. Например, из фразы

 

ПУСТЬ БУДЕТ ТАК, КАК МЫ ХОТЕЛИ

 

получится такой шифротекст:

 

ИЛЕТО ХЫМКА ККАТТ ЕДУБЬ ТСУП.

 

В последней группе (пятерке) не хватает одной буквы. Значит,  прежде чем шифровать исходное выражение, следует его дополнить не значащей буквой (например, О) до числа, кратн го пяти:

 

ПУСТЬ-БУДЕТ-ТАККА-КМЫХО-ТЕЛИО.

 

Тогда шифрограмма, несмотря на столь незначительное из менение, будет выглядеть по-другому:

 

ОИЛЕТ ОХЫМК АККАТ ТЕДУБ ЬТСУП

 

Кажется, ничего сложного, но при расшифровке проявятся серьезные неудобства.

Во время Гражданской войны в США в ходу был такой шифр: исходную фразу писали в несколько строк. Например, по пятнадцать букв в каждой (с заполнением последней строки не­значащими буквами).

 

Криптографические стандарты

 

Широко известны алгоритмы блочного шифрования, приня­тые в качестве государственных стандартов шифрования данных в США и России.

Data Encryption Standart. В 1973 г. Национальное бюро стан­дартов США начало разработку программы по созданию стан­дарта шифрования данных на ЭВМ. Был объявлен конкурс сре­ди фирм-разработчиков США, который выиграла фирма IBM, представившая в 1974 г. алгоритм шифрования, известный под названием DES (Data Encryption Standart).

Входные 64-битовые векторы, называемые блоками откры­того текста, преобразуются в выходные 64-битовые векторы, на­зываемые блоками шифротекста, с помощью двоичного 56-би­тового ключа К. Число различных ключей DES-алгоритма равно 2⁵⁶>7- 10¹⁶.

Алгоритм реализуется в течение 16 аналогичных циклов шифрования, где на i-u цикле используется цикловой ключ А,-, представляющий собой алгоритмически вырабатываемую выбор­ку 48 битов из 56 битов ключа К_;, i = 1,2, ..., 16.

Алгоритм обеспечивает высокую стойкость, однако недавние результаты показали, что современная технология позволяет создать вычислительное устройство стоимостью около 1 млн долларов США, способное вскрыть секретный ключ с помощью пол­ного перебора в среднем за 3,5 часа.

Из-за небольшого размера ключа было принято решение ис­пользовать DES-алгоритм для закрытия коммерческой (несек­ретной) информации. Практическая реализация перебора всех ключей в данных условиях экономически нецелесообразна, так как затраты на реализацию перебора не соответствуют ценности информации, закрываемой шифром.

DES-алгоритм явился первым примером широкого произ­водства и внедрения технических средств в области защиты ин­формации. Национальное Бюро Стандартов США организовало проверку аппаратных реализаций DES-алгоритма на специаль­ном тестирующем стенде. Только после положительных резуль­татов проверки производитель получает от Национального Бюро Стандартов сертификат на право реализации своего продукта. К настоящему времени аттестовано несколько десятков изделий, выполненных на различной элементной базе.

Достигнута высокая скорость шифрования. По некоторым сообщениям, имеется микросхема, реализующая DES-алгоритм со скоростью 45 Мбит/с. Велика доступность этих изделий: стои­мость некоторых аппаратных реализаций ниже 100 долл. США.

Основные области применения DES-алгоритма:                    

•  хранение данных в ЭВМ (шифрование файлов, паролей);

•  аутентификация   сообщений   (имея   сообщение   и   кон­трольную группу, несложно убедиться в подлинности со­общения);

•  электронная система платежей (при операциях с широкой клиентурой и между банками);

•  электронный  обмен  коммерческой информацией  (обмен данными между покупателем, продавцом и банкиром за­щищен от изменений и перехвата).

ГОСТ 28129-89. В 1989 г. в СССР был разработан блочный шифр для использования в качестве государственного стандарта Шифрования данных. Разработка была принята и зарегистриро­вана как ГОСТ 28147—89. И хотя масштабы применения этого ЭДгоритма шифрования до сих пор уточняются, начало его внедрению, в частности, в банковской системе, уже положено. Алгоритм несколько медлителен, но обладает весьма высокой стойкостью.

Блок-схема   алгоритма   ГОСТ   отличается   от   блок-схем DES-алгоритма лишь отсутствием  начальной  перестановки  и числом циклов шифрования (32 в ГОСТе против 16 в DES-алг ритме).

Ключ алгоритма ГОСТ — это массив, состоящий из 32-мео ных векторов X₁, Х₂, ..., Х₈. Цикловой ключ i-го цикла K_i   равен Х_S, где ряду значений i от 1 до 32 соответствует следующий ряд зна­чений s:

 

1, 2, 3, 4, 5, 6, 7, 8, 1, 2, 3, 4, 5, 6, 7, 8, 1, 2, 3, 4, 5, 6, 7, 8,8, 7, 6, 5, 4, 3, 2, 1.                                                                  

 

В шифре ГОСТ используется 256-битовый ключ и объем ключевого пространства составляет 2²⁵⁶. Ни на одной из сущест­вующих в настоящее время или предполагаемых к реализации в недалеком будущем ЭВМ общего применения нельзя подобрать ключ за время, меньшее многих сотен лет. Российский стандарт проектировался с большим запасом и по стойкости на много по­рядков превосходит американский стандарт DES с его реальным размером ключа в 56 бит и объемом ключевого пространства всего 2⁵⁶. В свете прогресса современных вычислительных средств этого явно недостаточно. В этой связи DES может пред­ставлять скорее исследовательский или научный, чем практиче­ский интерес.

Алгоритм расшифрования отличается от алгоритма зашиф­рования тем, что последовательность ключевых векторов ис­пользуется в обратном порядке.

 

Характеристики криптографических средств защиты

 

Важнейшей характеристикой надежности криптографическо­го закрытия информации является его стойкость. Под этим понимается тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом, по стойкости шифра можно определить допустимый объем информации, зашифровываемый при ис­пользовании одного ключа.

При выборе криптографического алгоритма для использова­ния в конкретной разработке одним из определяющих факторо

является его стойкость, т. е. устойчивость к попыткам противо­положной стороны его раскрыть. Вопрос о стойкости шифра при ближайшем рассмотрении сводится к двум взаимосвязанным вопросам:

• можно ли вообще раскрыть данный шифр;

• если да, то насколько это трудно сделать практически;

Шифры, которые вообще невозможно раскрыть, называются абсолютно или теоретически стойкими. Существова­ние подобных шифров доказывается теоремой Шеннона, однако ценой этой стойкости является необходимость использования для шифрования каждого сообщения ключа, не меньшего по размеру самого сообщения. Во всех случаях, за исключением ряда особых, эта цена чрезмерна, поэтому на практике в основ­ном используются шифры, не обладающие абсолютной стойко­стью. Таким образом, наиболее употребительные схемы шифро­вания могут быть раскрыты за конечное время или, что точнее, за конечное число шагов, каждый из которых является некото­рой операцией над числами. Для них наиважнейшее значение имеет понятие практической стойкости, выражающее практическую трудность их раскрытия.

Количественной мерой этой трудности может служить число элементарных арифметических и логических операций, которые необходимо выполнить, чтобы раскрыть шифр, т. е. чтобы для заданного шифротекста с вероятностью, не меньшей заданной величины, определить соответствующий открытый текст. При этом в дополнение к дешифруемому массиву данных криптоа-налитик может располагать блоками открытых данных и соот­ветствующих им зашифрованных данных или даже возможно­стью получить для любых выбранных им открытых данных со­ответствующие зашифрованные данные — в зависимости от перечисленных и многих других неуказанных условий различа­ют отдельные виды криптоанализа.

Все современные криптосистемы построены по принципу Кирхгоффа, т. е. секретность зашифрованных сообщений опре­деляется секретностью ключа. Это значит, что даже если сам ал­горитм шифрования известен криптоаналитику, тот тем не ме­нее не в состоянии расшифровать сообщение, если не располагает   соответствующим   ключом. Все   классические   блочные шифры, в том числе DES и ГОСТ, соответствуют этому принципу и спроектированы  таким   образом,   чтобы   не   было   пути вскрыть их более эффективным способом, чем полным перебором по всему ключевому пространству, т. е. по всем возможны значениям ключа. Ясно, что стойкость таких шифров определ ется размером используемого в них ключа.

 

8.3. Компьютерные вирусы и защита от них

 

Компьютерные вирусы, их свойства и типы

 

Компьютерный вирус — это специально написанная, неболь­шая по размерам программа (т. е. некоторая совокупность вы­полняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выпол­нять различные нежелательные действия на компьютере.

По-видимому, самым ранним примером могут служить пер­вые прототипы будущих вирусов программы-кролики. Не причи­няя разрушений, они тем не менее были сконструированы так, что многократно копируя себя, захватывали большую часть ре­сурсов системы, отнимая процессорное время у других задач. История их создания доподлинно не известна. Возможно, они явились следствием программной ошибки, которая приводила к зацикливанию и наделяла программу репродуктивными свойст­вами. Первоначально кролики (rabbits) встречались только на локальных машинах, но с появлением сетей быстро «научились» распространяться по последним.

Затем, в конце шестидесятых годов была обнаружена само­размножающаяся по сети APRAnet программа, известная сего­дня как Creeper (вьюнок).

Вьюнок проявлял себя текстовым сообщением:

"i'm the  creeper   ...   catch me.if  you  can"

(" я вьюнок... поймай меня, если сможешь"),

и экономно относился к ресурсам пораженной машины, не при­чиняя ей никакого вреда и разве что слегка беспокоя владельца. Каким бы безвредным Вьюнок ни казался, но он впервые показал, что проникновение на чужой компьютер возможно без ве­дома и против желания его владельцев.

С появлением Creeper родились и первые системы защиты. Первым шагом в борьбе против Вьюнка стал Жнец (Reaper), репродуцирующийся наподобие Creeper,  но уничтожающий все встретившиеся ему копии последнего. Достоверно неизвестно, чем закончилась борьба двух программ. Так или иначе, от по­добного подхода к защите впоследствии отказались. Однако ко­пии обеих программ еще долго бродили по сети.

Свойства вирусов. Своим названием компьютерные вирусы обязаны определенному сходству с вирусами естественными:

•  способности к саморазмножению;

•  высокой скорости распространения;

• избирательности поражаемых систем (каждый вирус пора­жает только определенные системы или однородные груп­пы систем);

•  способности «заражать» еще незараженные системы;

•  трудности борьбы с вирусами и т. д.

В последнее время к этим особенностям, характерным для вирусов компьютерных и естественных, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций (мутаций) и новых поколений вирусов.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сна­чала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

Классификация вирусов. Один из авторитетнейших «вирусоло­гов» страны Евгений Касперский предлагает условно классифи­цировать вирусы по следующим признакам:

•  по среде обитания вируса;

•  по способу заражения среды обитания;

•  по деструктивным возможностям;

•  по особенностям алгоритма вируса.

Более подробная классификация внутри этих групп пред­ставлена на рис. 8.5.

Основными путями проникновения вирусов в компьютер яв­ляются съемные диски (гибкие и лазерные), а также компьютер­ные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо про­ще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и прочитали ее оглавление.

 

 

 

Как работает вирус

 

Рассмотрим схему функционирования простейшего загрузоч­ного вируса, заражающего дискеты. При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ) т. е. ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном за­вершении проверок пытается найти дискету в дисководе А:

Всякая дискета размечена на секторы и дорожки, секторы объединяются в кластеры.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один — так называемый сектор начальной загрузки (boot sector).

В секторе начальной загрузки хранится информация о дис­кете — количество поверхностей, количество дорожек, количе­ство секторов и пр. Но нас сейчас интересует не эта информа­ция, а небольшая программа начальной загрузки (ПНЗ), кото­рая должна загрузить саму операционную систему и передать ей управление.

Тем самым, нормальная схема начальной загрузки сле­дующая:

 

ПНЗ   (ПЗУ)   - ПНЗ   (диск)   - СИСТЕМА

 

В загрузочных вирусах выделяют две части — так называе­мую голову и так называемый хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер  под которым мы понимаем компьютер с активным рези­дентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая среда — в нашем случае не защи-нная от записи и еще незараженная дискета, он приступает кзаражению. Заражая дискету, вирус производит следующие действия:

•  выделяет некоторую область диска и помечает ее как не доступную   операционной   системе,   это   можно   сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad);

•  копирует в выделенную область диска свой хвост и ориги­нальный (здоровый) загрузочный сектор;

•  замещает  программу  начальной  загрузки   в  загрузочном секторе (настоящем) своей головой;

•  организует цепочку передачи управления согласно схеме:

 

ПНЗ   (ПЗУ)   - ВИРУС - ПНЗ   (диск)   - СИСТЕМА

 

Таким образом, голова вируса теперь первой получает управ­ление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

Как правило, вирусы способны заражать не только загрузоч­ные секторы дискет, но и загрузочные секторы НЖМД. При этом в отличие от дискет на винчестере имеются два типа загру­зочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с вин­честера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная за­пись). Если жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа началь­ной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раз­дела. Код последней совпадает с кодом программы начальной за­грузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загру­зочных вирусов — программа начальной загрузки в MBR и про­грамма начальной загрузки boot-сектора загрузочного диска.

 

Способы заражения программ

 

• метод приписывания — код вируса приписывается к концу файла заражаемой программы, и тем или иным спо­собом осуществляется переход вычислительного процесса на команды этого фрагмента;

• метод оттеснения — код вируса располагается в на­чале зараженной программы, а тело самой программы при­писывается к концу;

•  метод вытеснения — из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, приписывается к концу. Сам вирус записывается на осво­бодившееся место. Разновидность метода вытеснения — когда оригинальное начало не сохраняется вообще. Такие программы являются полностью разрушенными и не могут быть восстановлены никакими антивирусами;

•  прочие методы — сохранение вытесненного фрагмен­та программы в «кластерном хвосте» файла и пр.

 

Признаки проявления вируса

 

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления ви­русов. К ним можно отнести следующие:

•  прекращение работы или неправильная работа ранее ус­пешно функционировавших программ;

•  медленная работа компьютера;

•  невозможность загрузки операционной системы;

•  исчезновение файлов и каталогов или искажение их содер­жимого;

•  изменение даты и времени модификации файлов;

•  изменение размеров файлов;

•  неожиданное значительное увеличение количества файлов на диске;

•  существенное уменьшение размера свободной оперативной памяти;

•  вывод на экран непредусмотренных сообщений или изо­бражений;

•  подача непредусмотренных звуковых сигналов;

•  частые зависания и сбои в работе компьютера;

Следует отметить, что вышеперечисленные явления не обя­зательно вызываются присутствием вируса, а могут быть следст­вием других причин. Поэтому всегда затруднена правильная ди­агностика состояния компьютера.

 

Методы защиты. Антивирусы

 

Каким бы ни был вирус, пользователю необходимо знать о щрвные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

•  общие  средства защиты  информации,  которые  полезнь также как и страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

•  профилактические меры, позволяющие уменьшить вероят­ность заражения вирусом;

•  специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов.

Имеются две основные разновидности этих средств:

•  копирование  информации  —  создание копий  файлов и системных областей дисков;

•  разграничение доступа предотвращает несанкционирован­ное использование информации, в частности, защиту от изменений   программ   и  данных  вирусами,   неправильно работающими   программами  и   ошибочными действиями пользователей.

Для обнаружения, удаления и защиты от компьютерных ви­русов разработано несколько видов специальных программ, ко­торые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

•  программы-детекторы;

•  программы-доктора или фаги;

•  программы-ревизоры;

•  программы-фильтры;

•  программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сооб­щение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны раз­работчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы оперативной памяти, уничтожая их, и только затем переходят «лечению» файлов. Среди фагов выделяют полифаги, т. е. про­граммы-доктора,  предназначенные для поиска и уничтожения большого   количества   вирусов.   Наиболее   известные из них: /Vidstest, Scan, Norton AntiVirus, Doctor Web.

Программы-ревизоры относятся к самым надежным средст­вам защиты от вирусов. Ревизоры запоминают исходное состоя­ние программ, каталогов и системных областей диска тогда, ко­гда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с ис­ходным. Обнаруженные изменения выводятся на экран монито­ра. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Програм­мы-ревизоры имеют достаточно развитые алгоритмы, обнаружи­вают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространен­ная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой не­большие резидентные программы, предназначенные для обнару­жения подозрительных действий при работе компьютера, харак­терных для вирусов. Такими действиями могут являться:

•  попытки коррекции файлов с расширениями СОМ, ЕХЕ;

•  изменение атрибутов файла;

•  прямая запись на диск по абсолютному адресу;

•  запись в загрузочные сектора диска;

•  загрузка резидентной программы.

При попытке какой-либо программы произвести указанные Действия «сторож» посылает пользователю сообщение и предла­гает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размноже­ния. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входят в состав пакета утилит MS-DOS.                                                

Вакцины или иммунизаторы — резидентные программы, пп дотвращающие заражение файлов. Вакцины применяют, если о сутствуют программы-доктора, «лечащие» этот вирус. Вакцина ция возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и по­этому не внедрится.  В настоящее время программы-вакцины имеют ограниченное применение.

Следует отметить, что своевременное обнаружение заражен­ных вирусами файлов и дисков, полное уничтожение обнару­женных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

 

8.4. Средства защиты данных в СУБД

 

Как только данные структурированы и сведены в базу дан­ных, возникает проблема организации доступа к ним множества пользователей. Очевидно, что нельзя позволить всем без исклю­чения пользователям беспрепятственный доступ ко всем элемен­там базы данных. В любой базе данных существует конфиденци­альная информация, доступ к которой может быть разрешен лишь ограниченному кругу лиц. Так, в банковской системе осо­бо конфиденциальной может считаться, например, информация о выданных кредитах. Это — один из аспектов проблемы без­опасности в СУБД.

 

Безопасность реляционных СУБД

 

В самом общем виде требования к безопасности реляционных  СУБД формулируются так:

•  данные в любой таблице должны быть доступны не всем пользователям, а лишь некоторым из них;

•  некоторым пользователям должно быть разрешено обнов­лять данные в таблицах, в то время как для других допуска­ется лишь выбор данных из этих же таблиц;

•  для некоторых таблиц необходимо обеспечить выборочный доступ к ее столбцам;

•  некоторым  пользователям должен быть запрещен  непосредственный (через запросы) доступ к таблицам, но разре­шен доступ к этим же таблицам в диалоге с прикладной программой.

Рассмотрим кратко средства защиты данных в СУБД и мето­пы авторизации доступа к данным, которые являются общепри­нятыми для большинства современных СУБД, а также обсудим новые методы защиты данных.

Схема доступа к данным во всех реляционных СУБД выгля­дит примерно одинаково и базируется на трех принципах:

•  пользователи СУБД рассматриваются как основные действующие лица, желающие получить доступ к данным. СУБД от имени конкретного пользователя выполняет опе­рации над базой данных, то есть добавляет строки в табли­цы (insert), удаляет строки (delete), обновляет данные в строках таблицы (update). Она делает это в зависимости от того, обладает ли конкретный пользователь правами на выполнение конкретных операций над конкретным объек­том базы данных;

•  объекты доступа — это элементы базы данных, досту­пом к которым можно управлять (разрешать доступ или за­щищать от доступа). Обычно объектами доступа являются таблицы, однако ими могут быть и другие объекты базы данных — формы, отчеты, прикладные программы и т. д. Конкретный пользователь обладает конкретными правами доступа к конкретному объекту;

•  привилегии (priveleges) — это операции, которые разреше­но выполнять пользователю над конкретными объектами. Например, пользователю может быть разрешено выполне­ние над таблицей операций select (выбрать) и insert (включить).

 

 

 

Установление и контроль привилегий

 

Таким образом, в СУБД авторизация доступа осуществляется помощью привилегий. Установление и контроль привилегий —  прерогатива администратора базы данных.

Привилегии устанавливаются и отменяются специальным операторами    языка    SQL    grant    (разрешить)    и    revoke (отменить). Оператор grant указывает конкретного пользовате ля, который получает конкретные привилегии доступа к указан' ной таблице. Например, оператор

устанавливает привилегии пользователю Петров на выполнение операций выбора и включения над таблицей Деталь. Таким об­разом, оператор grant устанавливает соответствие между опера­циями, пользователем и объектом базы данных (таблицей в дан­ном случае).

Привилегии легко установить, но легко и отменить. Отмена привилегий выполняется оператором revoke. Пусть, например, пользователь Петров утратил доверие администратора базы дан­ных и последний решил лишить его привилегий на включение строк в таблицу Деталь. Он сделает это, выполнив оператор

Конкретный пользователь СУБД опознается по уникальному идентификатору (user-id). Любое действие над базой данных, любой оператор языка SQL выполняется не анонимно, но от имени конкретного пользователя. Идентификатор пользователя определяет набор доступных объектов базы данных для конкрет­ного физического лица или группы лиц. Однако он ничего не сообщает о механизме его связи с конкретным оператором SQL. Например, когда запускается интерактивный SQL, как СУБД уз­нает, от имени какого пользователя осуществляется доступ к данным? Для этого в большинстве СУБД используется сеанс работы с базой данных. Для запуска на компьютере-кли­енте программы переднего плана (например, интерактивного SQL) пользователь должен сообщить СУБД свой идентификатор и пароль. Все операции над базой данных, которые будут выпол­нены после этого, СУБД свяжет с конкретным пользователем, который запустил программу.

 

Системы паролей в СУБД. Механизм ролей

 

Некоторые СУБД (Oracle, Sybase) используют собственную систему паролей, в других (Ingres, Informix) применяется идентификатор пользователя и его пароль из операционной системы.

Для современных баз данных с большим количеством поль­зователей актуальна проблема их объединения в группы. Тради­ционно применяются два способа определения групп пользова­телей:

•  один и тот же идентификатор используется для доступа к базе данных целой группы физических лиц (например, со­трудников одного отдела). Это упрощает задачу админист­ратора базы данных, так как достаточно один раз устано­вить привилегии для этого «обобщенного» пользователя. Однако такой способ в основном предполагает разрешение на просмотр, быть может, на включение, но ни в коем случае — на удаление и обновление. Как только идентифика­тор (и пароль) становится известен большому числу людей, возникает опасность несанкционированного доступа к дан­ным посторонних лиц;

•  конкретному физическому лицу присваивается уникальный идентификатор. В этом случае администратор базы данных должен позаботиться о том, чтобы каждый пользователь получил собственные привилегии. Если количество поль­зователей базы данных возрастает, то администратору ста­новится все труднее контролировать привилегии. В органи­зации, насчитывающей свыше 100 пользователей, решение этой задачи потребует от него массу внимания.

Современные СУБД позволяют исправить эти неудобства, предлагая третий способ администрирования (Ingres, Informix). Суть его состоит в поддержке, помимо идентификатора поль­зователя, еще и идентификатора группы пользователей. Каж­дый пользователь, кроме собственного идентификатора, имеет также идентификатор группы, к которой он принадлежит. Чаще всего группа пользователей соответствует структурному подразделению организации, например отделу. Привилегии ус­танавливаются не только для отдельных пользователей, но и для их групп.

Одна из проблем защиты данных возникает по той причине, что с базой данных работают как прикладные программы, так и пользователи, которые их запускают. В любой организации су­ществует конфиденциальная информация о заработной плате ее служащих. К ней имеет доступ ограниченный круг лиц, например, финансовый контролер. В то же время к этой информации также имеют доступ некоторые прикладные программы, в част­ности, программа для получения платежной ведомости. Тогда на первый взгляд может показаться, что ее может запускать тольк финансовый контролер. Если он отсутствует, то сделать это может любой рядовой служащий — при условии, что ему известен пароль финансового контролера. Таким образом, необходимость запуска некоторых прикладных программ пользователями, кото­рые обладают различными правами доступа к данным, приводит к нарушению схемы безопасности.

Одно из решений проблемы заключается в том, чтобы при­кладной программе также были приданы некоторые привилегии доступа к объектам базы данных. В этом случае пользователь, не обладающий специальными привилегиями доступа к некоторым объектам базы данных, может запустить прикладную программу которая имеет такие привилегии.

Так, в СУБД Ingres это решение обеспечивается механизмом ролей (role). Роль представляет собой именованный объект, хранящийся в базе данных. Роль связывается с конкретной при­кладной программой для придания последней привилегий досту­па к базам данных, таблицам, представлениям и процедурам базы данных. Роль создается и удаляется администратором базы данных, ей может быть придан определенный пароль. Как толь­ко роль создана, ей можно предоставить привилегии доступа к объектам базы данных.

Пусть, например, в некоторой организации работает служа­щий, имеющий имя пользователя Петров. По характеру своей работы он часто обращается к таблице Заработная плата. Он также является членом группы Учет. Для пользователей этой группы разрешено выполнение операции SELECT над таблицей Заработная плата. Всякий раз, когда ему необходимо выпол­нить операцию выборки из таблицы, он должен для начала сеан­са ввести идентификатор своей группы.

Однако ни один из пользователей группы Учет не может непосредственно выполнить операцию update.  Для этого необ­ходимо запустить программу Контроль заработной платы, которая имеет привилегии обновления этой таблицы и выполняет специальные проверки для корректного выполнения операцию этой целью администратором БД создается и помещается в БД роль Обновить заработную плату, для чего используется оператор

 

 

 

предоставляет новой роли привилегии на выполнение операций выбора и обновления таблицы Заработная плата. Когда поль­зователь Петров запускает программу Контроль заработной платы, то она получает привилегии роли Обновить заработную плату. Тем самым данный пользователь, сам не обладая приви­легиями на обновление таблицы, тем не менее может выполнить эту операцию, но только запустив прикладную программу. Она же, в свою очередь, должна играть определенную роль, которой приданы соответствующие привилегии доступа к таблице.

 

Многоуровневая защита        

 

Выше речь шла о реализациях схемы безопасности, которые ограничиваются схемой «данные — владелец». В них пользователь, работающий с базой данных, является владельцем некоторых ее объектов, а для доступа к другим объектам должен получить привилегии. Он может получить статус пользователя СУБД и некоторые привилегии доступа к объектам БД, войти в группу пользователей и получить соответствующие привилегии доступа, получить права на запуск некоторых прикладных про­грамм. Это — так называемый добровольный или дискрецион­ный контроль доступа (discretionary access control). Называется он так потому, что владелец данных по собственному усмотре­нию ограничивает круг пользователей, имеющих доступ к дан­ным, которыми он владеет.

Несмотря на то, что в целом этот метод обеспечивает безо­пасность данных, современные информационные системы тре­буют другую, более изощренную схему безопасности — обяза­тельный   или   принудительный   контроль   доступа   (mandatory access control). Он основан на отказе от понятия владельца дан­ных и опирается на так называемые метки безопасности (security abels), которые присваиваются данным при их создании. Каждая из меток соответствует некоторому уровню безопасности. Метки служат для классификации данных по уровням. Например, для правительственных и коммерческих организаций такая классификация выглядит следующим образом (рис. 8.6).

 

 

Так как данные размещены по уровням безопасности метка­ми, конкретный пользователь получает ограниченный доступ к данным. Он может оперировать только с данными, расположен­ными на том уровне секретности, который соответствует его ста­тусу. При этом он не является владельцем данных.

Эта схема безопасности опирается на механизм, позволяю­щий связать метки безопасности с каждой строкой любой табли­цы в базе данных. Любой пользователь может потребовать в сво­ем запросе отобразить любую таблицу из базы данных, однако увидит он только те строки, у которых метки безопасности не превышают уровень его компетенции.

 

8.5. Защита информации в сетях

 

Международные стандарты Х.800 и Х.509.

Рекомендации IETF

 

Стандарт Х.800 описывает основы безопасности в привязке  к эталонной семиуровневой модели. Стандарт преду­сматривает следующие сервисы безопасности:

• аутентификация (имеются в виду аутентификация партне­ров по общению и аутентификация источника данных);

•  управление доступом — обеспечивает защиту от несанк­ционированного  использования   ресурсов,  доступных  по сети;

•  конфиденциальность данных — в Х.800 под этим названи­ем объединены существенно разные вещи — от защиты от­дельной порции данных до конфиденциальности трафика;

•  целостность данных — данный сервис подразделяется на подвиды в зависимости от того, что контролируется — це­лостность сообщений или потока данных, обеспечивается ли восстановление в случае нарушения целостности;

•  неотказуемость — данный сервис относится к прикладному уровню, т. е. имеется в виду невозможность отказаться от содержательных действий, таких, например, как отправка или прочтение письма.

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы серви­сов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка прав доступа, анализ ре­гистрационного журнала и т. п.

Концептуальной основой администрирования является ин­формационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждый компонент системы должен располагать информацией, достаточной для проведения в жизнь избранной политики без­опасности.

В условиях глобальной связности администрирование перестает  быть внутренним делом организации. Во-первых, плохо за­щищенная система может стать плацдармом для подготовки и проведения злоумышленных действий. Во-вторых, прослеживание нарушителя эффективно лишь при согласованных действи многих администраторов.

Стандарт Х.509 описывает процедуру аутентификации с ис пользованием службы каталогов. Впрочем, наиболее ценной стандарте оказалась не сама процедура, а ее служебный эле мент — структура сертификатов, хранящих имя пользователя криптографические ключи и сопутствующую информацию. По­добные сертификаты — важнейший элемент современных схем аутентификации и контроля целостности.

Рекомендации IETF. Сообществом Интернет под эгидой Те­матической группы по технологии Интернет (Internet Engineering Task Force — IETF) разработан ряд рекомендаций по отдельным аспектам сетевой безопасности.

Рекомендации периодически организуемых конференций по архитектуре безопасности Интернет носят весьма общий, а по­рой и формальный характер. Основная идея состоит в том, что­бы средствами оконечных систем обеспечивать сквозную без­опасность. От сетевой инфраструктуры в лучшем случае ожида­ется устойчивость по отношению к атакам на доступность.

Базовые протоколы, наиболее полезные с точки зрения без­опасности, включают в себя — IPsec, DNSsec, S/M1ME, X.509v3, TLS и ассоциированные с ними. Наиболее проработанными на сегодняшний день являются вопросы защиты на IP-уровне. Спецификации семейства IPsec регламентируют следующие ас­пекты:

•  управление доступом;

•  контроль целостности на уровне пакетов;

•  аутентификация источника данных;

•  защита от воспроизведения;

•  конфиденциальность (включая частичную защиту от ана лиза трафика);

• администрирование (управление  криптографическими  ключами).

Протоколы обеспечения аутентичности и конфиденциаль­ности могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов и, быть может, некоторые поля заголовков. Как  правило, транспортный  режим  используется  хостами.  В туннельном режиме защищается весь пакет — он инкапсулируете в другой IP-пакет. Туннельный режим (тунеллирование) обычно  реализуют  на  специально  выделенных защитных  шлюзах (в роли которых могут выступать маршрутизаторы или межсете­вые экраны).

Суть туннелирования состоит в том, чтобы «упаковать» пере­даваемую порцию данных вместе со служебными полями в но­вый «конверт». Данный сервис может применяться для несколь­ких целей:

•  осуществление перехода между сетями с разными протоко­лами (например, IPv4 и IPv6);

•  обеспечение конфиденциальности и целостности всей пе­редаваемой порции, включая служебные поля.

Туннелирование может применяться как на сетевом, так и прикладном уровнях. Например, стандартизовано туннелирова­ние для IP и двойное конвертование для почты Х.400.

Следует отметить, что IP-уровень можно считать оптималь­ным для размещения защитных средств, поскольку при этом достигается удачный компромисс между защищенностью, эф­фективностью функционирования и прозрачностью для прило­жений. Стандартизованными механизмами IP-безопасности мо­гут (и должны) пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигури­рования и маршрутизации.

На транспортном уровне аутентичность, конфиденциаль­ность и целостность потоков данных обеспечиваются протоко­лом TLS (Transport Layer Security, RFC 2246). Подчеркнем, что здесь объектом защиты являются не отдельные сетевые пакеты, а именно потоки данных (последовательности пакетов). Злоумыш­ленник не сможет переупорядочить пакеты, удалить некоторые из них или вставить свои.

На основе TLS могут строиться защищенные протоколы прикладного уровня. В частности, предложены спецификации для HTTP над TLS.

 

Архитектура механизмов защиты информации в сетях ЭВМ

 

Архитектуру механизмов защиты информации можно рас-мотреть на примере эталонной модели взаимодействия откры­тых систем - ВОС (см. ранее гл. 6).

Основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели изложены в международном стандарте ISO/I EC 7498-2 «Базовая эталонна модель взаимодействия открытых систем, часть 2 «Архитектура безопасности». В самом наименовании ВОС термин открытые подразумевает, что если вычислительная система соответствует стандартам ВОС, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это естественно относится и к вопросам защиты информации.

В ВОС различают следующие основные активные способы несанкционированного доступа к информации:

•  маскировка одного логического объекта под другой, обла­дающий большими полномочиями (ложная аутентификация абонента);

•  переадресация сообщений (преднамеренное искажение адресных реквизитов);

• модификация сообщений (преднамеренное искажение информационной части сообщения);

• блокировка логического объекта с целью подавления неко­торых типов сообщений (выборочный или сплошной перехват сообщений определенного абонента, нарушение управ­ляющих последовательностей и т. п.).

Поскольку эталонная модель относится только к взаимосвя­зи открытых систем, то и защита информации рассматривается в том же аспекте. Прежде всего, приведём перечень видов услуг, предоставляемых по защите информации, которые обеспечива­ются с помощью специальных механизмов защиты. В настоящее время определено четырнадцать таких услуг:

1) аутентификация   равнозначного  логическо­го объекта (удостоверение подлинности удаленного абонен­та-получателя) — обеспечивается во время установления их со­единения или во время нормального обмена данными для гаран­тии  того,  что  равноправный  логический  объект,   с  которым осуществляется взаимодействие, является тем, за кого себя вы­дает. Для аутентификации равнозначного логического объекта требуется, чтобы лежащий ниже уровень обеспечивал услуги с установлением соединения;

2) аутентификация   источника   данных   —   подтверждение подлинности источника (абонента-отправителя) со­общения. Эта услуга не ориентирована на соединение и не обеспечивает защиту от дублирования («проигрывания» ранее пер хваченного и записанного нарушителем) блока данных;

3) управление доступом (разграничение доступа) — обес­печивает защиту от несанкционированного доступа к ресурсам, потенциально доступным посредством ВОС. Доступ может быть ограничен полностью или частично. Например, для информаци­онного ресурса может быть ограничен доступ по чтению, запи­си, уничтожению информации;

4) засекречивание     соединения     —    обеспечивает конфиденциальность всех сообщений, передаваемых пользовате­лями в рамках данного соединения. Данная услуга направлена на предотвращение возможности ознакомления с содержанием сообщений со стороны любых лиц, не являющихся легальными пользователями соединения. При этом в некоторых случаях нет необходимости в защите срочных данных и данных в запросе на установление соединения;

5) засекречивание в режиме без установления соединения — обеспечивает конфиденциальность всех дан­ных пользователя в сообщении (единственном сервисном блоке данных), передаваемом в режиме без установления соединения;

6) засекречивание   поля   данных   —   обеспечивает конфиденциальность отдельных полей данных пользователя на всем соединении или в отдельном сервисном блоке данных;

7) засекречивание трафика — препятствует возмож­ности извлечения информации из наблюдаемого графика;

8) целостность   соединения   с   восстановлени­ем — позволяет обнаружить попытки вставки, удаления, моди­фикации или переадресации в последовательности сервисных блоков данных. При нарушении целостности предпринимается попытка ее восстановления;

9) целостность   соединения   без   восстановле­ния — обеспечивает те же возможности, что и предыдущая услуга, но без попытки восстановления целостности;

10) целостность поля данных в режиме с уста­новлением соединения  — обеспечивает целостность от­дельного поля данных пользователя во всем потоке сервисных блоков данных, передаваемых через это соединение, и обнару­живает вставку,  удаление,   модификацию  или  переадресацию этого поля;

11)целостность поля данных в режиме без ус­тановления соединения — позволяет обнаружить моди­фикацию выбранного поля в единственном сервисном блоке данных;

12) целостность блока данных в режиме без установления    соединения    —   обеспечивает   целостность единственного сервисного блока данных при работе без установления соединения и позволяет обнаружить модификацию и не­которые формы вставки и переадресации;

13)  информирование об отправке данных — по­зволяет обнаружить логические объекты, которые посылают ин­формацию о нарушении правил защиты информации. Информирование об отправке предоставляет получателю информацию о факте передачи данных в его адрес, обеспечивает подтвержде­ние подлинности абонента-отправителя. Услуга направлена на предотвращение   отрицания   отправления,   т.   е.   возможности отказа от факта передачи данного сообщения со стороны отпра­вителя;

14) информирование о доставке — позволяет обна­ружить логические объекты, которые не выполняют требуемых действий после приема информации, предоставляет отправите­лю информацию о факте получения данных адресатом. Услуга направлена на предотвращение отрицания доставки, т. е. обес­печивает защиту от попыток получателя отрицать факт получе­ния данных.

Теоретически доказано, а практика защиты сетей подтверди­ла, что все перечисленные услуги могут быть обеспечены крип­тографическими средствами защиты, в силу чего эти средства и составляют основу всех механизмов защиты информа­ции в ВС. Центральными при этом являются следующие задачи:

• взаимное   опознавание  (аутентификация)   вступающих  в связь абонентов сети;

• обеспечение конфиденциальности циркулирующих в сети  данных;

• обеспечение  юридической  ответственности  абонентов за  передаваемые и принимаемые данные.

Решение последней из названных задач обеспечивается с по­мощью так называемой цифровой (электронной) под­писи.

К настоящему времени разработан ряд протоколов аутенти­фикации, основанных на использовании шифрования, которые обеспечивают надежную взаимную аутентификацию абонентов вычислительной сети без экспозиции любого из абонентов. Эти протоколы являются стойкими по отношению ко всем рассмот­ренным выше угрозам безопасности сети.

Любая СУБД есть полная или частичная реализация некото­рой политики безопасности, которая может содержать или не содержать криптографические механизмы безопасности. Основ­ной проблемой использования криптографических методов для зашиты информации в СУБД является проблема распределения ключей шифрования, управления ключами.

Ключи шифрования для баз данных требуют использования специфических мер защиты. Если база данных разделяется меж­ду многими пользователями (что, как правило, и имеет место на практике), то предпочтительно хранить ключи в самой системе под защитой главного ключа, чем распределять ключи прямо между пользователями. Сама задача управления при этом может возлагаться на пользователя. Вторичные ключи могут храниться либо в самой базе данных, либо в отдельном файле.

Отметим, что любой протокол шифрования должен отвечать на следующие основные вопросы:

1) каким   образом   устанавливается   первоначальный   канал связи между отправителем и получателем с операциями «откры­тый текст — шифротекст — открытый текст»?

2) какие предоставляются средства для восстановления про­цесса обмена и восстановления синхронизации протокола?

3) каким образом закрываются каналы?

4) каким образом взаимодействуют протоколы шифрования с остальными протоколами сети?

5) каков объем необходимого математического обеспечения для реализации протоколов шифрования и зависит ли безопас­ность сети от этих программ?

6) каким образом адресация открытого текста, проставляемая отправителем, проходит через средства информации в сети, что­бы предотвратить пути, по которым данные открытого текста могли бы быть намеренно или случайно скомпрометированы?

Желательно иметь протокол, который позволяет производить Динамическое открытие и закрытие канала, обеспечивать защиту от сбоев и все это с минимальными объемами механизма, от ко­торого зависит безопасность сети. Характеристики сети, полу­чающиеся при использовании соответствующего протокола шифрования, должны сравниваться с характеристиками сети без использования протоколов шифрования. Несомненно, что предпочтительней использование общего сетевого протокола, который мог бы встраиваться в сеть с минимальным нарушением су­ществующих механизмов передачи.

Механизм управления доступом, предназначенный для рея лизации   соответствующего   вида   перечисленных   выше   услуг основан на идентификации логического объекта (или  информации о нем) для проверки его полномочий и разграничения доступа.

Если логический объект пытается получить доступ к ресурсу использование которого ему не разрешено, механизм управле­ния доступом (в основе которого также наиболее эффективными средствами являются криптографические) отклонит эту попытку и сформирует запись в специальном системном журнале для по­следующего анализа. Механизмы управления доступом могут быть основаны на:

1) информационных базах управления доступом, где содер­жатся сведения о полномочиях всех логических объектов;

2) системах управления криптографическими ключами, обес­печивающими доступ к соответствующей информации;

3) идентифицирующей   информации   (такой,   как   пароли), предъявление которой дает право доступа;

4) специальных режимах и особенностях работы логического объекта, которые дают право доступа к определенным ресурсам;

5) специальных  метках,  которые  будучи  ассоциированы с конкретным логическим объектом, дают ему определенные пра­ва доступа;

6)  времени, маршруте и продолжительности доступа.

Механизмы удостоверения целостности данных подразделя­ются на два типа: обеспечивающие целостность единственного блока данных и обеспечивающие целостность потока блоков данных или отдельных полей этих блоков. Целостность единст­венного блока данных достигается добавлением к нему при пе­редаче проверочной величины (контрольной суммы, имитов-ставки), которая является секретной функцией самих данных. При приеме генерируется (формируется) такая же величина и сравнивается с принятой. Защита целостности последовательно­сти блоков данных требует явного упорядочения блоков с помощью их последовательной нумерации, криптографического упо­рядочения или отметки времени.

Механизмы аутентификации (взаимного удостоверения под­линности) абонентов, вступающих в связь, используют пароли, криптографические методы, а также характеристики и взаимоот­ношения подчиненности логических объектов. Криптографиче­ские методы могут использоваться в сочетании с протоколами

взаимных ответов («рукопожатия») для защиты от переадреса­ции. Если обмен идентификаторами не даст положительного ре­зультата, то соединение отклоняется или заканчивается с соот­ветствующей записью в системном журнале и выдачей сообще­ния об этом событии.

Механизм заполнения трафика используется для защиты от попыток анализа трафика. Он эффективен только в случае шиф­рования всего трафика, когда нельзя отличить информацию от заполнения.

Механизм управления маршрутизацией позволяет использо­вать только безопасные с точки зрения защиты информации фрагменты сети, участки переприема, коммуникации, звенья. Может быть запрещена передача некоторых данных по опреде­ленным маршрутам, или оконечная система, обнаружив воздей­ствие на ее информацию, может потребовать предоставить ей маршрут доставки данных, обеспечивающий их конфиденциаль­ность и целостность.

Механизм нотариального заверения обеспечивается участием третьей стороны — «нотариуса», позволяет подтвердить целост­ность данных, удостоверить источник и приемник данных, вре­мя сеанса связи и т. п.

 

Пример системы защиты локальной  вычислительной сети

 

Для иллюстрации приведем краткое описание системы за­щиты локальной вычислительной сети на основе ОС Novell NetWare, известной под названием «Secret NET».

Назначение системы защиты. Система защиты «Secret NET» (далее по тексту Система защиты) предназначена для обеспече­ния защиты хранимой и обрабатываемой в локальной вычисли­тельной сети (ЛВС) информации от несанкционированного дос­тупа (ознакомления, искажения, разрушения) и противодейст­вия попыткам нарушения нормального функционирования ЛВС ^и прикладных систем на ее основе.

В качестве защищаемого объекта выступает ЛВС персональ­ных ЭВМ, работающих под сетевой операционной системой Novell NetWare 3.1x (файловые серверы), объединенных при по­мощи сетевого оборудования Ethernet, Arcnet или Token-Ring.

Максимальное количество защищенных станций — 256, защи­щенных файловых серверов — 8, уникально идентифицируемых пользователей — 255.

Система защиты позволяет решать следующие задачи:

•  защита от лиц, не допущенных к работе с системой обра­ботки информации;

•  регламентация (разграничение) доступа законных пользо­вателей и программ к информационным, программным и аппаратным ресурсам системы в строгом соответствии с принятой в организации политикой безопасности;

•  защита ЭВМ сети от внедрения вредоносных программ (за­кладок),   а  также   инструментальных   и   технологических средств проникновения;

•  обеспечение целостности критических ресурсов Системы защиты и среды исполнения прикладных программ;

•  регистрация, сбор, хранение и выдача сведений обо всех событиях, происходящих в сети и имеющих отношение к ее безопасности;

•  централизованное управление средствами Системы защиты. Для решения перечисленных задач Система защиты включа­ет следующие подсистемы (ПС):

•  идентификации и аутентификации пользователей;

•  разграничения доступа к ресурсам;

•  контроля целостности;

•  регистрации;

•  управления средствами защиты (администрирования). Общее содержание функций подсистем заключается в сле­дующем.

ПС идентификации и аутентификации. Выполняет функцию идентификации/аутентификации (проверки подлинности) поль­зователя при каждом его входе в Систему, а также после каждой приостановки его работы. Для идентификации в системе каждо­му пользователю присваивается уникальное имя. Обеспечивает­ся работа с именами длиной до 12 символов (символов латин­ского алфавита и специальных символов). Вводимое имя отобра­жается на экране рабочей станции.

Проверка подлинности пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился. Проверка осуществляется   путем   проверки   правильности   введенного   пароля.

Поддерживается работа с паролями длиной до 16 символов. Вво­димый пароль не отображается на экране рабочей станции.

При неправильно введенном пароле на экран выдается сооб­щение об ошибке и подается звуковой сигнал. При трехкратном неверном вводе пароля блокируется клавиатура, выдается сооб­щение о попытке НСД на сервер управления доступом и осуще­ствляется оперативное оповещение администратора безопасно­сти, регистрируется попытка НСД в системном журнале и выда­ется звуковой сигнал.

Пароли администратора и всех пользователей системы хра­нятся в зашифрованном виде и могут быть изменены как адми­нистратором безопасности, так и конкретным пользователем (изменение только своего пароля) с помощью специальных про­граммных средств.

Для повышения защищенности идентификация/аутентифи­кация пользователя может проводиться до загрузки операцион­ной системы. Это обеспечивается специальным техническим устройством (микросхемой ПЗУ или платой Secret NET Card).

ПС разграничения доступа. Реализует концепцию диспетчера доступа, при которой ПС является посредником при всех обра­щениях субъектов к объектам доступа (попытки обращения к объекту в обход ПС приводят к отказу в доступе); может рабо­тать в одном из двух режимов функционирования: основном и технологическом.

Технологический режим предназначен для точного определения объектов, к которым должен иметь доступ пользо­ватель, и прав доступа к ним. При работе в этом режиме Систе­ма только регистрирует все попытки доступа к защищаемым ре­сурсам в системном журнале и выдает предупреждающие сооб­щения на экран.

В основном режиме Система защиты не только реги­стрирует попытки доступа к защищаемым ресурсам, но и бло­кирует их.

Пользователю предоставлена только возможность назначе­ния прав доступа других пользователей к принадлежащим ему (созданным им) объектам.

Для реализации избирательного управления доступом под­система поддерживает замкнутую среду доверенного программ­ного обеспечения (с помощью индивидуальных для каждого пользователя списков программ, разрешенных для запуска). Создание и ведение списков программ возложено на администратора. Для этого в его распоряжении имеются специальные программные средства.

Для совместного использования программ и данных Система защиты предусматривает возможность объединения пользовате­лей в группы. Права доступа группы наследуются всеми пользо­вателями этой группы.

ПС обеспечивает контроль доступа субъектов к следующим объектам:

• физическим и логическим устройствам (дискам, принтерам);

• каталогам дисков;

• файлам;

• физическим и логическим секторам дисков.

В подсистеме реализована сквозная иерархическая схема действия прав доступа к локальным объектам рабочей станции, при которой объект нижнего уровня наследует права доступа объектов доступа верхних уровней (диск — каталог — файл).

Права доступа пользователя к объектам системы могут при­нимать следующие значения:

• запрет доступа — пользователь не имеет возможности выполнять с объектом какие-либо действия;

• наличие доступа — в этом случае уровень доступа может быть одним из следующих: доступ на чтение, доступ на за­пись, доступ на исполнение (субъект может только запус­тить объект на исполнение).

ПС контроля целостности. В системе контролируется цело­стность следующих объектов: операционных систем локальных рабочих станций, программ Системы защиты, файлов паспортов пользователей и системных областей локальных дисков рабочих станций, а также файлов пользователей (по требованию пользо­вателей). Контроль осуществляется методом контрольного сум­мирования с использованием специального алгоритма и производится периодически администратором. Для этого ему предо­ставлены соответствующие программные средства.

В случае обнаружения нарушения целостности контролируе­мых объектов производится регистрация этого события в сис­темном журнале и оперативное оповещение администратора. В случае нарушения  целостности системных областей диска, кроме того, производится их восстановление с использованием резервных копий.

ПC регистрации событий безопасности — обеспечивает:

•  ведение и анализ журналов регистрации событий безопас­ности (системных журналов), причем журнал регистрации ведется для каждой рабочей станции сети;

•  оперативное ознакомление администратора с системным журналом любой станции и с журналом событий об НСД;

•  получение твердой копии системного журнала;

•  преобразование содержимого системных журналов в фор­мат DBF для их дальнейшего анализа;

•  объединение системных журналов и их архивирование;

•  оперативное  оповещение  администратора  о  нарушениях  безопасности.

ПС управления средствами защиты. Подсистема позволяет администрации безопасности осуществлять:

•  централизованное (с АРМ администратора) создание и уда­ление пользователей, изменение их полномочий и паролей;

•  установку атрибутов доступа пользователей к ресурсам;

•  централизованное создание, удаление и изменение состава групп пользователей, а также их прав доступа;

•  централизованное управление группами компьютеров;

•  централизованное управление оперативным оповещением о НСД;

•  централизованное   управление   регистрацией   событий   и просмотр системных журналов.

 

Контрольные вопросы

 

1.  Перечислите уровни информационной безопасности.

2.  В чем состоят основные угрозы информационной безопасности?

3.  Что такое политика безопасности?

4.  Перечислите основные направления физической защиты.

5.  Охарактеризуйте   основные   программно-технические   меры  защиты информации.

6. Что такое протоколирование и аудит?

7. Что такое криптология?

8. Что такое ключ?                     

9. Что из себя представляет криптосистема?  

10. Дайте определение стойкости криптосистемы.

11.  Объясните суть алгоритма DES и укажите на его особенности.

12.  Какие классы антивирусных программ вам известны?

13.  Какие вредоносные программные закладки кроме вирусов вам вестны?                                                                                                    

14.  Какие типы компьютерных вирусов вам известны?

15.  Укажите основные признаки заражения компьютера.

16.  Какие существуют методы борьбы с компьютерными вирусами?

17.  Дайте классификацию антивирусных программ.

18.  Что такое программа-полифаг?

19.  Что такое программа-детектор?

20.  В чем заключается установление и контроль привилегий в СУБД?

21.  Что такое механизм ролей?

22.  Охарактеризуйте задачи стандарта Х.800.

23.  Что такое туннелирование?                      

24.  Перечислите механизмы защиты информации в сетях.

 

Заключение

 

Современный период развития цивилизованного общества характеризует процесс информатизации.

Информатизация общества — это глобальный социальный процесс, особенность которого состоит в том, что доминирую­щим видом деятельности в сфере общественного производства является сбор, накопление, продуцирование, обработка, хране­ние, передача и использование информации, осуществляемые на основе современных средств микропроцессорной и вычисли­тельной техники, а также на базе разнообразных средств инфор­мационного обмена. Информатизация общества обеспечивает:

•  активное использование постоянно расширяющегося ин­теллектуального потенциала общества, сконцентрирован­ного в печатном фонде, и научной, производственной и других видах деятельности его членов,

•  интеграцию   информационных   технологий   с   научными, производственными, инициирующую развитие всех сфер общественного производства, интеллектуализацию трудо­вой деятельности;

•  высокий уровень информационного обслуживания, доступ­ность любого члена общества к источникам достоверной информации, визуализацию представляемой информации, существенность используемых данных.

Применение открытых информационных систем, рассчитан­ных на использование всего массива информации, доступной в данный момент обществу в определенной его сфере, позволяет усовершенствовать механизмы управления общественным уст­ройством, способствует гуманизации и демократизации общест­ва, повышает уровень благосостояния его членов. Процессы, происходящие в связи с информатизацией общества, способст­вуют не только ускорению научно-технического прогресса, ин­теллектуализации всех видов человеческой деятельности, но и созданию качественно новой информационной среды социума, обеспечивающей развитие творческого потенциала индивида.

 

Глоссарий

 

16-Bit Audio (аудио на 16 бит) — уровень измерения разрешающей способности оцифрованного аудиосигнала (чем выше разрешение, тем лучше звучание). 16-битовое аудио является стандартом, принятым для аудиокомпакт-дисков (CD-DA).

8-Bit Audio (аудио на 8 бит) — уровень разрешающей способности оцифрованного звукового сигнала, который соответствует качеству зву­чания обычного АМ-радио.

A3D — технология генерации пространственного звучания и ау­дио-API на ее основе, предложенная Aureal Semiconductor Inc. Звуковое ЗЭ-окружение слушателя создается путем реального использования только пары наушников или колонок. A3D — стандарт генерации таких эффектов, как густой туман или подводные звуки, позволяет моделиро­вать конфигурацию помещения, в котором раздаются и распространя­ются звуки.

АС'97 — рекомендованный Intel стандарт для построения аудио-электроники в ПК. Спецификация снижает шумы и помехи за счет раз­деления по различным модулям аналоговых и дискретных компонент.

ADC (Analogue-to-Digital Converter) — аналогово-цифровой преобра­зователь (АЦП) — устройство, преобразующее непрерывный аналого­вый сигнал, который поступает от физического датчика и соответствует скорости, температуре, интенсивности звука, света и пр. в бинарный код для ввода в компьютер; каждому значению напряжения входного аналогового сигнала соответствует определенное значение выходного цифрового кода.

Additive color system — аддитивный синтез цветов, в котором пер­вичные цвета (красный, зеленый и синий) смешивают для образования белого.

АIIМ (Association for Information and Image Management Inter­national) — международная ассоциация по информации и обработке изображений. Аккредитована ANSI как организация по развитию стан­дартов. АIIМ представляет США в Международной Организации по Стандартизации и является представительной организацией для промышленных коалиций продавцов и конечных пользователей. Занимает­ся созданием способных к взаимодействию стандартов для технологий управления документами во всем мире.  

Anchors — ссылки, гипертекстовые ссылки, внедренные в \УеЬ-доку мент. Позволяют пользователю переходить от одного фрагмента инфоп мации к другому независимо от места ее хранения в Internet.

ANSI (American National Standards Institute) — неправительственная организация, создающая и публикующая стандарты для добровольного использования в США.

API (Applications Programmer's Interface) — интерфейс прикладного программирования — спецификация набора функций, которой должны удовлетворять разработчики программного обеспечения для совмести­мости своих программ с соответствующими операционными системами Windows API включает более чем 1000 функций, которые могут быть вызваны из программ, написанных на ЯП С, C++, Pascal и других, что­бы создать окно, открыть файл или выполнить другое необходимое дей­ствие.

APRP (Adaptive Pattern Recognition) — адаптивное распознавание об­разов.

ASCII (American Standard Code for Information Interchange) — разра­ботанный American National Standards Institute (ANSI) стандарт пред­ставления символьной информации в ЭВМ. Символы ASCII содержат 128 символов с кодами от 0 до 127 и включают цифры, знаки пунктуа­ции, буквы и управляющие коды, такие как конец строки или перевод страницы.

Aspect Ratio (соотношение сторон экрана) — характеристика стан­дарта видеоадаптера. VGA, SVGA, XGA и UXGA имеют это соотноше­ние, равное 4 : 3, SXGA —5:4, телевидение высокой четкости (ТВЧ) — 16 : 9 и т. д.

Asynchronous (асинхронный). Относится к несинхронизированным событиям, которые не скоординированы во времени. Большинство коммуникаций между компьютерами и устройствами являются асин­хронными; они осуществляются в случайные моменты времени с нере­гулярными интервалами.

Authentication — установление личности пользователя, делающего попытку доступа к системе.

Authoring — процесс авторской подготовки документа в какой-либо системе управления документами (Document Management System).

Authorization — определение набора привилегий, которыми обладает пользователь.

Bandwidth (полоса пропускания) — количество информации, кото­рое может быть передано через конкретный интерфейс за данный пери­од времени, например шина памяти SDRAM в 64 бит и 100 МГц имеет полосу пропускания 800 Мбайт/с.

Bit — двоичная единица, базовая мера для измерения количества данных. Имеет значение «1» или « 0». Для размещения 1 байта требует­ся 8 бит.

Bit depth (также color depth) — глубина цвета. Число бит, используе­мых для представления каждого пикселя изображения, определяемое цветовым или тоновым диапазоном.

Bitmap — битовая карта. Цифровое изображение, представленное в виде решетки из пикселей. Цвет каждого пикселя определяется чис­лом бит.

BLOB (Binary Large Object) — тип данных СУБД, используется для хранения произвольной информации, которая может быть представлена в двоичном виде. Тип данных BLOB является частью структуры базы данных, которая обеспечивает полную функциональность СУБД для манипулирования BLOB-элементами, т. е. BLOB-элементы могут созда­ваться, удаляться, проверяться или копироваться. Но чаще всего отсут­ствует возможность работы внутри BLOB. Например, невозможно из­влечение частей текста, индексирование и перемещение по BLOB.

Block. Данные обычно организуются в блоки для передачи между устройствами. Блок может иметь постоянную или переменную длину, причем типичной является длина в 512 или 1024 байт. Типичная струк­тура блока включает преамбулу (начальные биты), область данных пользователя, контрольную сумму, конечные биты.

Bump mapping (отображение неровностей поверхности) — техноло­гия представления трехмерных объектов компьютерной графики, где каждому пикселю поверхности придается определенное смещение по высоте (heightmap). В результате после обработки освещенности по­верхности приобретают более реалистический вид, детали которой при­ближаются к виду объектов реального мира (древесная кора, шершавый бетон и пр.).

Byte — восемь бит, рассматриваемые как единое целое и представ­ляющие, например, символ кода ASCII.

CALS (Continuous Acquisition and Life-cycle Support) — инициатива министерства обороны США (1985 г.) по выработке стандартов для ис­пользования электронных документов в системах вооружения. Под­держка инициативой CALS ряда стандартов, таких как CCITT Group 4 и SGML, способствовали их широкому внедрению в промышленность.

CASE-средства (технологии) — программные средства, поддержи­вающие процессы создания и сопровождения ИС, включая анализ и формулировку требований, проектирование прикладного ПО (приложе­ний) и баз данных, генерацию кода, тестирование, документирование, обеспечение качества, конфигурационное управление и управление проектом, а также другие процессы.

CCD (Charge-Coupled Device, ПЗС, прибор с зарядовой связью) _ фотодиод, светочувствительный элемент на микрочипах, применяемый в устройствах сканирования изображений для преобразования света в электрический заряд.

СС1А (Computer and Communications Industry Association) — ассо­циация фирм-производителей компьютеров и средств коммуникации представляющая их интересы в зарубежной и национальной торговле а также разрабатывающая соответствующие стандарты.

CCIR (Consultative Committee for International Radio commu­nications) — Консультативный комитет по международной радиосвязи

CCITT (Consultative Committee on International Telegraphique et Telephonique) — Международный консультативный комитет по телегра­фии и телефонии, МККТТ, в настоящее время ITU-T. CCITT Group 4 — один из стандартов по сжатию изображений.

CD-ROM (Compact Disk-Read Only Memory) — накопитель на опти­ческом диске. Диск диаметром 5 дюймов емкостью 640 — 700 Мбайт имеет одну спиральную дорожку. Время доступа относительно велико (у лучших моделей — 80 не), чувствителен к вибрациям при работе. Ин­терфейсы: SCSI, IDE (E-IDE, IDE ATAPI). Исполнение - внутреннее и внешнее (SCSI, LPT-порт).

Client — прикладная программа, которая делает запрос программе сервера на получение информации или выполнение задания сервером от имени клиента. Клиент и сервер взаимодействуют через специаль­ный протокол. Клиент и сервер могут работать на различных хостах в сети и эти хосты могут быть компьютерами совершенно различной кон­фигурации и платформы.

CMYK (Cyan-Magenta-Yellow-Black — голубой, пурпурный, желтый, черный) — основные цвета в печатном процессе. CMY — основные цвета субтрактивного синтеза.

Collaborative Authoring — совместное создание документа группой людей, даже если они находятся в различных местах или работают в различное время.

Color separation (цветоделение) — операция разделения цвета на че­тыре основные составляющие (голубой, пурпурный, желтый и черный) в процессе подготовки оригиналов к цветной печати. Процесс разделе­ния цветного файла на составные части, которые будут печататься с от­дельных печатных форм.

COM (Component Object Model) — составляющая программного обеспечения, поддерживающая OLE 2.

Container — 1) чаще всего объект, дающий возможность объединять и перемещать совокупности объектов, связанные между собой отноше­нием «содержит»; 2) механизм в OLE, который позволяет в сложных документах:  а) устанавливать  связь  между данными   и   прикладными

программами, которые управляют этими данными; б) управлять пред­ставлением этих данных; в) обеспечивать функции, облегчающие взаи­модействие с приложениями.

Content — содержательная часть данных документа в противопо­ложность атрибутам. Может включать текст, изображения, видео, звук, программы или любой другой материал, содержащийся на бумаге, дис­кете, компакт-диске (CD-ROM) и др. Отметим, что некоторые системы управления документами расценивают данные как один из атрибутов.

Contour-type font (контурный шрифт) — технология создания шриф­тов, базирующаяся на математическом описании каждого символа в виде набора векторов определенного размера и направления. Данный тип шрифтов легко масштабируется простым умножением или делени­ем базовых величин (длин) векторов на коэффициент масштабирова­ния. Кроме того, символы шрифта легко поворачивать, наклонять или закрашивать. Примерами контурных шрифтов являются TrueType и PostScript.

Conversion — изменение формата документа или его части. Может быть классифицировано по типам преобразования — преобразование символьных наборов, форматов текстовых процессоров, или языков описания страницы. Преобразования, изменяющие логическую струк­туру документа, считаются трансформацией документа. Это различие используется, чтобы указать, что изменения в логической структуре до­кумента могут привести к добавлению, исключению или переупорядо­чению компонентов документа.

СР 866 — распространенная в РФ кодировка символьной информа­ции на базе кода ASCII с расширением его до 256 символов: кодовая страница 866 для IBM PC в части кириллицы отсортирована по алфави­ту, используется для работы с немодифицируемыми (нерусскоязычны­ми) программами в ОС типа MS-DOS, сохраняет наиболее часто используемые в программах псевдографические знаки.

CPS (Characters Per Second) — скорость принтера (знаков в секунду, знс).

DAC (Digital-to-Analogue Converter, цифроаналоговый преобразова­тель — ЦАП) — устройство (как правило, на одной микросхеме), кото­рое преобразует цифровые данные в аналоговый сигнал. Обычно ис­пользуются в графических картах, видеокартах, модемах и др.

Data mining — «добыча» данных. Набор методов из области искусст­венного интеллекта, позволяющих извлекать из сырых данных ранее неизвестные знания о зависимостях и закономерностях поведения рас­сматриваемого объекта. При этом все результаты формулируются в тек­стовых и графических формах, удобных для восприятия человеком.

Data model — модель данных. Описание содержания базы данных на более детализированном уровне, чем требуется непосредственно системе управления базы данных. Наиболее известная методика моделирова ния   данных   —   «объектно-связанное   моделирование»;   эта   методика идентифицирует основные объекты в базе данных и их связи.

Data transformation — преобразование данных. Процесс изменения данных при начальной загрузке или при выполнении перемещения дан­ных. Данные могут быть преобразованы для улучшения удобочитаемо­сти при объединении данных из различных источников, для улучшения качества данных при их суммировании и т. д.

Data warehouse — хранилище (склад, кладовая) данных. База дан­ных, разработанная для решения прикладных задач, в основном, из об­ласти принятия решений. Данные извлекаются из файловых систем операционных систем из всевозможных СУБД и т. п. Затем они преоб­разуются и объединяются, чтобы стать подходящими для анализа поль­зователями.

Database design — проектирование базы данных. Проект базы дан­ных описывает организацию данных в базе данных на детальном уров­не, требуемом DBMS для управления этими данными. Он описывает разделение данных на таблицы и столбцы и основные типы в столбцах, например, целое число или 8-символьная строка. Проектирование базы данных — это область деятельности администратора базы данных. Про­стые проекты базы данных соответствуют информационной модели базы данных, содержание которой имеет представление, ориентирован­ное на пользователя.

DBMS (DataBase Management System) — Система управления базой данных.

DDE (Dynamic Data Exchange) — динамический обмен данными.

Device driver (драйвер устройства) — программное обеспечение, со­единяющее внешнее устройство с операционной системой. Каждое уст­ройство воспринимает специфический набор команд, управляющий его работой. Наоборот, прикладные программы выдают высокоуровневые команды общего назначения. Драйвер выступает в качестве «переводчи­ка» между командами устройства и программных приложений.

Digital camera (цифровая камера, цифровой фотоаппарат) — в каче­стве светочувствительного элемента используются фотодиоды, которые преобразуют свет в электрические сигналы и затем в цифровой вид.

Directory (директорий, директория, папка, каталог) — логическая область на диске для размещения данных в соответствии с содержанием и структурой файла.

DirectX — набор интерфейсов прикладного программирования (API) для обработки задач, связанных с мультимедиа, особенно игро­вых, разрабатываемых в средах Windows.

Distribution Media — среда вывода для хранения и копирования до­кументов.

DMA (Document Management Alliance) — сформированное путем объединения двух ранее существовавших групп по стандартизации (Shamrock и DEN) общество обработки документации — это мощная часть АПМ, состоящая из пользователей, разработчиков и продавцов программ управления документами, специализирующаяся на разработке спецификаций для универсального взаимодействия всех прикладных программ управления документами и архивами.

Document Interchange Format — правила представления документов с целью обмена.

Document Retrieval — поиск, выборка и использование документа из архивного хранилища.

Dolby Digital — цифровая система кодирования аудиосигнала, пред­ложенная Dolby Laboratiries (1995 г.) для использования в кинофильмах и домашних театрах. Использует технологию кодирования и сжатия Dolby AC-3 (Audio Coding-3). Поддерживает шесть аудиоканалов (что обозначается как 5.1) — передние (левый, центральный, правый), зад­ние (левый, правый) и канал низкой частоты (subwoofer).

Dot area — площадь растрового элемента. Площадь, занимаемая растровой точкой. Обычно измеряется в процентах от максимально воз­можной площади точки.

Dots Per Inch, DPI (число точек на дюйм) — единица измерения разрешающей способности устройств ввода-вывода, применяемых для работы с растрированными изображениями (обозначается так же, как тнд, — «точек на дюйм»).

Downsizing — разукрупнение, децентрализация средств обработки данных. Переход с больших ЭВМ на ПК конечного пользователя и ЛВС.

DSL (Dictionary Specification Language) — «язык описания слова­рей». В электронном словаре ABBYY Lingvo так называется встроенный инструмент, позволяющий пользователю создавать и редактировать собственные словари. Эти словари впоследствии могут быть подключе­ны к Lingvo наряду с типовыми словарями из комплекта поставки.

DTD (Document Type Definition) — определение типа документа — начало (преамбула) SGML-документа, в котором определяются компо­ненты документа и его структура. Описание типа (шаблона) документа.

DTR (Data Transfer Rate) — скорость передачи данных. Обычно ука­зывается в KBps (Кбайс/с) или MBps (Мбайт/с), иногда — в MB/min (Мбайт/мин). Чаще всего характеризует максимально возможную (пи­ковую) пропускную способность.

DVD (Digital Versatile Disk) — цифровой универсальный диск. Со­временный стандарт хранения информации на оптическом (лазерном) Диске. Отличается от «обычного» CD-ROM увеличенной почти в 30 раз емкостью (до 17 Гбайт). DVD-ROM — диск, доступный только для чтения; может считывать ся только на приводе DVD. DVD-Video предназначен для записи видео­фильмов и может воспроизводиться как на приводах DVD в компькэте pax, так и на DVD плейерах.

Dynamic range (динамический диапазон, для изображений) — _ДИа_ пазон значений тонов от самого светлого до самого темного, которые могут содержаться в графическом файле.

ЕАХ (Environmental Audio Extensions) — аудиостандарты для разра­ботчиков программных средств и оборудования, предложенные Creative Labs и впервые реализованные в аудиокарте SoundBlaster. Специфика­ции ЕАХ широко используются для реализации объемного звучания и манипулирования звуковыми эффектами.

EDI (Electronic Data Interchange) — обмен данными и документами между различными пользователями согласно стандартным (ANSI X.12, EDI FACT) правилам.

EDIFACT (Electronic Data Interchange For Administration, Commerce and Transport) — электронный обмен данными в управлении, торговле и на транспорте (ISO 9735—1987).

EIA (Electronic Industries Association) — ассоциация производителей, представляющих высокотехнологичные производства США, основанная в 1924 г. как Radio Manufacturers Association. EIA, в частности, разрабо­таны такие стандарты последовательных устройств, как RS-232, RS-422 and RS-423.

Embedding — размещение (вложение) данных в составном докумен­те, при котором данные и связанные с ними управляющие приложения физически размещены внутри документа.

FAT (File Allocation Table) — таблица размещения файлов. Тип фай­ловой системы ОС фирмы Microsoft.

Firewall — защитный экран, брандмауэр, противопожарная стена — жаргон системных администраторов. Системный компонент, выпол­няющий роль шлюза в сети, т. е. система или набор систем, через кото­рую должен проходить весь трафик между внешней сетью (например, Internet) и внутренней сетью организации. Механизм, защищающий па­кеты внутренней сети от попадания во внешнюю (глобальную) сеть и наоборот.

Flatbed scanner — плоскостной или планшетный сканер. Сканер, в котором оригиналы располагают на прозрачной стеклянной пластине.

FlexiCapture — метаязык, разработанный компанией ABBYY для описания структуры гибких форм. Используется в описаниях гибкой формы FlexiLayout в программе ABBYY FlexiCapture Studio.

FlexiLayout — описание структуры гибкой формы в терминах языка FlexiCapture. Это описание разрабатывается в программе ABBYY FlexiCapture Studio и передается в ABBYY FormReader или приложение на базе ABBYY FineReader Engine. FlexyLayout — своего рода «инструк­ция» о том, как следует искать и идентифицировать поля на гибкой форме.

Font (шрифт) — законченный набор символов определенного стиля, размера и начертания, имеющий свое название. Шрифты, применяемые в электронных издательских системах, подразделяются на растровые и векторные. В растровых шрифтах каждый символ представляется в виде совокупности пикселей по определенному для него шаблону. При этом, в отличие от векторных шрифтов, для каждого размера (кегля) шрифта требуется свой шаблон. Векторные шрифты базируются на математиче­ском описании каждого символа в виде набора векторов определенного размера и направления. Данный тип шрифтов легко масштабируется простым умножением или делением базовых величин (длин) векторов на коэффициент масштабирования.

Frame Grabbing — оцифровка и сохранение отдельного кадра.

FTP (File Transfer Protocol) — протокол передачи файлов — сетевой протокол для передачи файлов между компьютерами. Клиентская про­грамма, использующая FTP-транзакции, является или ftp или Web-браузером. Серверной программой для FTP-транзакций является ftpd.

GB (GigaByte) — гигабайт, единица измерения, содержащая 1000 Мбайт. В качестве альтернативной IEC предложила в 1998 г. GiB (GibiByte) - 1024 MiB (MibiByte).

GBps (GigaBytes per second) — гигабайт в секунду, скорость переда­чи информации.

GDI (Graphics Device/Display Interface) — интерфейс графических устройств (устройств отображения). Низкоуровневый набор API в Microsoft Windows, поддерживающих графический вывод растровых изображений на мониторы, графопостроители и ряд принтеров.

GIF (Graphics Interchange Format) — электронный формат данных, широко используемый в издательских системах для изображений.

Gray level (уровень серого) — дискретные ступени в полутоновом изображении. Обычно изображения содержат 256 уровней серого на ка­ждый цвет.

Grayscale (GS, шкала серого цвета, шкала яркости, шкала полуто­нов) — полутоновое изображение, содержащее только плавный переход °т черного через серый к белому.

Groupware — программное обеспечение, поддерживающее нефор­мализованную последовательность обработки документов. Позволяет Участвовать в объединенном проекте многим сотрудникам, работаю­щим в сети.

GUI (Graphical User Interface) — графический интерфейс пользо­вателя.   HDTV (High Definition Television) — телевидение высокой четкости (ТВЧ). Термин применяется к системам, удбвлетворяющим следующим параметрам: вертикальное разрешение не менее 750р или 1125i (p _ progressive scanning, i — interlaced scanning), размер растра 1920 x 1080 соотношение сторон 16:9, запись и воспроизведение (или выход) Dolbv Digital.

ШН color printing (High Fidelity) — цветная печать с использованием более чем четырех красок для расширения цветового охвата.

High dynamic range (HDR) — расширенный динамический диапа­зон. Применяется в модернизированном стандарте для TlFF-файлов предложенном фирмой Leaf Systems. Для каждого из основных RGB-цветов выделяется 16 бит, т. е. общая разрядность составляет 48 бит. Таким образом, на каждый цвет приходится 65 536 оттенков что позволяет пользователям оперировать с такими деталями изображе­ний, которые обычно теряются при 8-битовом сканировании на каж­дый из основных цветов.

High Sierra Format (HSF, от HSG — High Sierra Group) — фактиче­ский стандарт на доступ к данным на CD из среды DOS, UNIX и дру­гих ОС. Начальная дорожка содержит информацию об организации диска — VTOC — Volume Table Of Contents.

Hint (хинт) — специальная операция по преобразованию символов контурного шрифта в растровый формат, применяемая при выводе их на экран дисплея или устройство печати. При преобразовании может возникнуть ситуация, когда из-за низкого разрешения устройства выво­да или при малых величинах кегля контурная кривая будет лишь час­тично проходить через точку растра. Для решения этой проблемы и ис­пользуется операция хинтования, которая позволяет систематизирован-но искривлять элементы символов в зависимости от их размеров и разрешения выводного устройства.

HLS (цвет—яркость—насыщенность) — одна из цветовых моделей. Цвет задает угол, а насыщенность — расстояние от центра цветового круга (color gamut). С физической точки зрения цвет — это длина вол­ны, насыщенность — чистота оттенка цвета, а значение — его яркость.

HLSL (High Level Shader Language) — высокоуровневый язык рас­крашивания объектов. Специализированный язык, разработанный Microsoft для Direct3D API. Является конкурентом аналогичного языка (GLSL), разработанного SGI, но несовместим со стандартами OpenGL. Обработка осуществляется на трех уровнях — вершины многогранников (vertex shader), графических примитивов (geometry shader), пиксе­лей/фрагментов (pixel/fragment shader).

Horizontal scan frequency (частота горизонтальной развертки) — чис­ло строк видеодисплея, обновляющих свое изображение за одну секунду. Например, дисплей с разрешением 200 линий, обновляющихся 60 раз в секунду, имеет частоту горизонтальной развертки 12 кГц.

HSV (Hue-Saturation-Value, также Hue-Saturation-Brightness — HSB, Hue-Saturation-Intensity — HSI) — «цвет—насыщенность—значение». Одна из цветовых моделей, в которой цвет задает угол, насыщен­ность — расстояние от центра цветового круга {color gamut). С физиче­ской точки зрения цвет — длина волны, насыщенность — чистота от­тенка цвета, значение — яркость.

HTML (HyperText Markup Language) — язык высокого уровня для определения структуры документов. Разработан в CERN и является од­ним из применений SGML. В настоящее время разрабатывается третья версия HTML. Некоторые разработчики, например, Netscape, создали свои расширения.

HTTP (HyperText Transfer Protocol) — сетевой протокол передачи документов HTML.

Hue (оттенок цвета) — характеристика цвета, которая отличает его от других цветов. Определяет длину волны цвета, используемую для описания качества цвета. Например, коралловый и красный имеют раз­ные оттенки.

Huffman encoding (также Huffman Coding) — кодирование по алго­ритму Хаффмана. Метод сжатия данных, при котором часто встречаю­щиеся символы кодируются более эффективно и занимают меньше мес­та, чем данные, встречающиеся реже. Является технологией сжатия без потери данных (в отличие от JPEG-компрессии, при которой происхо­дит потеря части данных в зависимости от коэффициента сжатия). Код Хаффмана минимизирует среднее количество битов для представления заданного потока символов текста.

Hybrid typeface (гибридный шрифт) — шрифт, сгенерированный компьютером, который объединяет в себе черты нескольких других шрифтов.

Hz (Гц, герц) — мера частоты в циклах в секунду (1/с).

ICR (Intelligent Character Recognition) — «интеллектуальное распо­знавание символов». Так называют технологии или системы, предна­значенные для массовой обработки документов, заполненных пе­чатными буквами и цифрами от руки, т. е. для распознавания «рукопе-чатных» символов. Если OCR-система должна построить точную электронную модель исходного документа, то перед ICR-системой та­кая задача не стоит. От ICR-системы требуется найти на изображении Документа информацию, извлечь ее и передать во внешнюю базу дан­ных. Извлеченные данные упорядочиваются по заранее заданным пра­вилам, а как выглядит и какую структуру имеет исходный документ — несущественно. IEC (International Electrotechnical Commission) — международная организация по стандартизации в области электротехники. В частно­сти, в 1998 г. IEC предприняла попытку устранить разночтения в трак­товке 1 Мбайта как 1000 байт (десятичный мегабайт) и 1024 байт (би­нарный мегабайт), предложив обозначения — 1 MegaByte и 1 MibiByte соответственно. Аналогично были определены 1 KibiByte = 1024 байт' 1 GibiByte = 1024 MibiByte и 1 TibiByte = 1024 GibiByte.

IEEE (Institute of Electrical and Electronics Engineers) — обществен­ная организация, которая объединяет специалистов, ученых, студентов и др. лиц, заинтересованных в электронике и смежных областях. Из­вестна более как разработчик и популяризатор стандартов в вычисли­тельной технике и связи, например IEEE 1394 — стандарт FireWire.

Image — изображение, образ. Рисунок, созданный на компьютере с помощью соответствующего программного обеспечения, или ориги­нальная картинка.

Image resolution (разрешение, разрешающая способность изображе­ния) — величина, характеризующая степень детализации изображения. Измеряется в пикселях на дюйм (ppi).

Information object(s) — информационный объект(ы) — 1) объект, ко­торый используется в рассматриваемом процессе, может быть электрон­ным либо материальным, в обоих случаях он представляет собой либо сырые данные, либо результат работы; 2) блоки, из которых состоит до­кумент. Например, текст, уравнения, штриховая графика, векторные данные, извлечения из баз данных, фотографии, звуковая информация, видео, программы.

Information warehouse — информационный склад. Архитектура, раз­работанная IBM в начале 1990-х годов для складируемых данных. Опи­сывается в IBM Visual Warehouse.

Interleaving — интерливинг (чередование, перекрытие, чересстроч­ная развертка — стандарт вывода изображения на экран, система PAL).

Internet — всемирная компьютерная сеть — Сеть сетей, объединяю­щая множество компьютерных сетей во всем мире и предоставляющая доступ к мировым информационным ресурсам.

Interoperability — интероперабельность (функциональная совмести­мость).

Interpolation (интерполяция) — увеличение числа пикселей в изо­бражении или пополнение потерянной информации путем усреднения значений окружающих пикселей.

Intranet (интрасеть) — корпоративная сеть, использующая протоко­лы и стандарты Internet.

IPA (Integrity, Purposefulness, Adaptability) — принципы целостности, целенаправленности, адаптивности. На этих принципах базируется вос­приятие животных и людей,  природных  «чемпионов  по распознаванию». И на этих же принципах основаны технологии распознавания ABBYY. ABBYY FineReader —система OCR, которая на всех этапах об­работки документа действует в соответствии с принципами IPA.

ISM (The Industrial, Scientific and Medical) — группа радиодиапазо­нов, выделенных для международного некоммерческого использования в промышленных, медицинских и научных целях. В дальнейшем в этих диапазонах были размещены также коммуникационные приложения, такие как беспроводные сети и Bluetooth. Диапазоны включают полосы 900 МГц (Северная Америка и Австралия) 1,8; 2,4 и 5,8 ГГц.

ISO (International Standards Organization, Международная организа­ция по стандартизации — МОС) — международный орган, ответствен­ный за создание и контроль деятельности различных комитетов по стандартизации и рабочих групп, работающих над стандартами обработ­ки данных (например, сжатия изображений и пр.).

ISO 8859/5 — распространенная в РФ кодировка символьной ин­формации на базе кода ASCII с расширением его до 256 символов: ис­пользуется в русскоязычных версиях VAX/VMS и на ряде персональных компьютеров, получила достаточно широкое распространение благода­ря явной направленности на работу с русским языком. Эта кодировка зафиксирована ГОСТ 19768-87.

ISO 9660 — международный формат, описывающий логическую структуру файлов и каталогов на CD-ROM. Использует межплатфор­менный набор символов и соглашения о записи имен файлов и катало­гов, которые ограничивают перечень устройств, способных прочесть диск с данными. Запись данных по ISO 9660 начинаются по первому треку (время 00:02:16 или сектор 166, логический сектор 16); файловая система аналогична MS-DOS; имена файлов по схеме: 8 символов — имя, 3 — расширение имени; глубина вложенности каталогов до 8.

Isochronous (изохронный). Относится к процессам, в которых дан­ные должны передаваться в пределах некоторых временных ограниче­ний. Например, передача мультимедийных данных требует изохронный механизм транспорта, который гарантирует согласования звука и изо­бражения.

Java — объектно-ориентированный язык для создания распределен­ных прикладных Web-систем.

JPEG (Joint Photographic Expert Group) — 1) объединенная эксперт­ная группа по фотографии, разработавшая алгоритм сжатия изображе­ния; 2) метод сжатия неподвижных изображений, основанный на одно­временной обработке информации матрицы пикселей (например, 8x8) в пространстве Y-U-V с приоритетом сохранения яркостной информа­ции. Изображение восстанавливается с некоторыми небольшими поте­рями качества. Степень сжатия зависит от характера изображения и размера матрицы квантования и варьируется в пределах от 2 до 100 раз.

KB (KiloByte, Кбайт) — килобайт, мера количества информации в 1000 байт. Альтернативой является предложенная IEC единица KiB (KibiByte) - 2¹⁰ = 1024 байт.

Kbit (Kilobit, Кбит) — килобит, единица измерения объема данных равная 1000 бит, часто употребляемая для измерения скорости передачи данных (Кбит/с).

KBps (Kilobytes per second) — килобайт в секунду, мера скорости пе­редачи данных.

LAN (Local Area Network) — локальная компьютерная сеть.

LCD (Liquid Crystal Display) — жидкокристаллический дисплей (ЖКД). Дисплеи на жидких кристаллах имеют многослойную структу­ру, состоящую из слоя жидкокристаллического материала, активизи­рующего его мультиплексора, цветового фильтра и подсветки.

LED-sensor — фотодиод, светочувствительный элемент на базе по­лупроводников.

Lempel-Zeev- Welch (LZW) — метод сжатия информации Лемпела — Зива — Велча, основанный на выявлении и кодировании повторяющих­ся данных. Используется, например, для сжатия графических файлов.

Line art — 1) штриховой рисунок, штриховая графика; 2) изображе­ния, имеющие два уровня яркости (состоящие только из черных и бе­лых пикселей).

Line screen (линиатура) — число линий растра на единицу измере­ния, обычно дюйм. Линиатура является важным показателем, влияю­щим на детализацию изображения. Для высококачественной печати по­лутоновых изображений обычно используют линиатуру 150 lpi. Вообще же выбор линиатуры растра сильно зависит как от краски и типа печа­тающей машины, так и от типа используемой бумаги. Измерение часто­ты растра в линиях, а не в точках на единицу измерения обусловлено тем, что при реальной печати растровая сетка имеет наклон относитель­но вертикальной и горизонтальной осей.

Linear array (также scanning array, CCD array) — линейка приборов с зарядовой связью (ПЗС-линейка). Используется в большинстве пло­скостных сканеров и цифровых фотокамер. Сканирует изображение, передвигаясь вдоль него с помощью шагового двигателя.

Lines per inch (lpi — линий на дюйм или лин/дюйм) — линиатура растра, с которой печатается полутоновое изображение, обычно от 55 до 200 lpi.

Linking — объединение (связывание) объектов в составной доку­мент, вследствие этого ссылка связи, вставленная в документ, указывает на фактические данные, которые физически находятся в другом месте документа или в каком-то другом документе.

Localization (локализация) — адаптация программного продукта к национальным особенностям страны или географического региона, котором он используется. Например, разработчики программ обработки текстов должны локализовать алгоритмы сортировки списков для раз­личных алфавитов.

Lossless compression (сжатие без потери данных) — технология сжа­тия изображений, при которой уменьшается количество бит для хране­ния каждой точки изображения без потери информации или резкости. Примером является кодирование по алгоритму Хаффмана.

Lossy compression (сжатие с потерей данных) — технология сжатия изображений, при которой уменьшается количество бит для хранения каждой точки изображения, но при этом теряется часть информации. Примером является JPEG-компрессия.

MB, MegaByte — мегабайт (Мбайт). Единица измерения количества информации, равная 1000 Кбайт. Альтернативой является предложен­ная IEC единица MiB (MibiByte); I MiB = 1024 KibiByte.

MBps (MegaBytes per second) — мегабайт в секунду (Мбайт/с). Мера скорости передачи данных.

MHz, Megahertz — мегагерц (МГц). Мера частоты в 1 миллион цик­лов в секунду (1/с).

Middleware — программное обеспечение, обеспечивающее интер­фейс высокого уровня, освобождающий разработчика прикладных про­грамм от знания сложностей аппаратных средств, операционной систе­мы и сетевой семантики.

MIDI (Music Instrument Digital Interface) — стандарт на язык и аппа­ратуру представления звуков различных инструментов. Команды MIDI сообщают аппаратуре, у какого инструмента, на какой октаве и какая нота должна звучать. Поэтому запись мелодии в MIDI-командах очень компактна.

MIDI-секвенсор — устройство (или программа), которое записывает и воспроизводит команды MIDI, а не аудиосигналы.

Millisecond (ms, миллисекунда, мс) — одна тысячная секунды (0,001 с).

MIME (Multipurpose Internet Mail Extention) — многоцелевое рас­ширение электронной почты Internet. Официально предложенный стан­дарт электронной почты в Internet. MIME-формат позволяет включать в сообщение электронной почты помимо текста также изображения, звук, видео.

Minus color (дополнительный или комплементарный, цвет) — цвет, который формируется вычитанием другого цвета из белого. Например, при вычитании голубого из белого образуется красный.

M-JPEG (Motion JPEG) — метод сжатия для обработки движущихся изображений. Используется в ряде устройств среднего (по стоимости) Уровня для ввода в компьютер видеоинформации.

Modulation (модуляция) — термин, первоначально относившийся к методам передачи информации (амплитудная модуляция, частотная мо­дуляция и пр.) посредством наложения полезного сигнала на служеб­ный (несущая частота). В дальнейшем употребляется по отношению к различным методам преобразования исходного сигнала с целью сжатия, кодирования передачи по каналам связи (импульсно-кодовая модуля­ция, модуляция «8—14» и пр.).

Moire (муар) — повторяющийся интерференционный рисунок, вы­званный наложением симметричных рядов точек или линий, имею­щих разный шаг и угол наклона. Обычно считается полиграфическим браком.

Monochrome Image (монохромное изображение) — изображение, формируемое градациями (оттенками) одного цвета. Как правило, на практике данный термин используют применительно к черно-белым изображениям.

Mosaic — один из первых графических браузеров для просмотра HTML-документов всемирной паутины, разработанный NCSA.

Movie Grabbing — оцифровка и сохранение «живого» видео (видео­захват).

МРЗ(стандарты ISO-MPEG Audio Layer-3 - IS 11172-3 и IS 138-3) -спецификация технологий сжатия аудиосигналов с минимизацией по­терь до размеров, в 10 раз меньших по сравнению с исходными WAV-файлами при сохранении качества звучания, сравнимого с CD.

MPEG (Motion Picture Expert Group) — организация-разработчик стандартов на типы кодирования видео- и аудиосигналов.

MPEG-1 (стандарт ISO/IES 11172) — тип кодирования видеоизоб­ражения и/или звука, позволяющий при потоке данных на уровне 1,5 Мбит/с (170 Кбайт/с) передавать изображение с качеством бытового кассетного видеомагнитофона стандарта VHS (Video Home System) со стереофоническим звуковым сопровождением. Исходное изображе­ние — 352 х 240 пикселей, 30 кадров в секунду.

MPEG-2 (стандарт ISO/I ЕС 13818) — стандарт на кодирование для высококачественной передачи и хранения изображений в вещательном формате (720 х 480 пикселей), аудиоинформации и данных при потоке 28 Мбит/с (3,5 Мбайт/с).

MS-DOS — дисковая операционная система, созданная фирмой Microsoft. MS-DOS — однозадачная, однопользовательская операцион­ная система с интерфейсом командной строки.

Multitexturlng (мультитекстурирование) — использование несколь­ких текстур для закрашивания одного многоугольника на поверхности трехмерного графического объекта.

Nanometre (от греч. nanos — карлик, nm, vm, нанометр, нм) — одна миллиардная доля метра (10^{-9 м).}   

Nanosecond (ns, vs, наносекунда, не) — одна миллиардная доля се­кунды (0,000000001 с). Свет проходит около 8" за 1 не.

Navigation — процесс целенаправленного перемещения от одного информационного объекта к другому.

Netscape — браузер для навигации и просмотра информации в ги­пертекстовой системе WWW, разработанный Netscape Communication Corporation.

NNTP (Network News Transfer Protocol) — сетевой протокол переда­чи новостей. Служит для помещения и извлечения статей в телеконфе­ренциях.

Non-lossy — компрессия, сжатие файла изображения без потери ка­чества. Обычно степень сжатия составляет не более 2:1.

NURBS (Non-Uniform, Rational B-Spline) — математическая модель интерполяции, использующая методы сплайнов, применяемая в трех­мерной компьютерной графике для создания гладких кривых и поверх­ностей, приблизительно соответствующих опорным точкам на плоско­сти или в пространстве. Используется методика кривых Безье (Bezier Spline, Bezier curve).

OASIS (Organization for the Advancement of Structured Information Standards) — Организация по развитию стандартов структурирования информации — глобальный консорциум, который занимается развити­ем, согласованием и принятием стандартов в области web-сервисов и электронной коммерции (а также защиты информации, законодательст­ва в этой области, автоматизированного управления, обработки XML и пр.). OASIS была основана в 1993 г., первоначально именовалась SGML Open и представляла собой ассоциацию разработчиков и распространи­телей технологий SGML (главным образом через сферу образования). В 1998 г., с перемещением внимания разработчиков информационных технологий к XML, SGML Open изменил акцент от SGML на XML, a свое название — на OASIS. В то время организация состояла из пяти технических комитетов, а к 2004 г. их стало почти 70.

OCR (Optical Character Recognition) — распознающая программа для ввода документов с использованием оптического сканера. Харак­терным представителем относительно дешевых OCR-программ являет­ся пакет FineReader. В качестве примера OCR-программы для автома­тического распознавания типографского набора можно привести пакет CuneiForm 1.2R.

ODA (Office Data/Document Architecture) — архитектура офисных документов (стандарт ISO 8613).

ODBC (Open DataBase Connectivity) — стратегический интерфейс Microsoft для вызова данных в гетерогенной среде реляционных и нере­ляционных систем управления базами данных. ODBC предназначен обеспечить универсальный  набор команд интерфейса для доступа к данным, что обеспечивает доступ к множественным различным базам данных. Интерфейс используется разработчиком, чтобы определить ко­манды, которые затем транслируются драйверами для различных видов SQL, используемого различными продавцами DBMS.

ODIF (Office Document Interchange Format) — формат обмена доку­ментами в делопроизводстве (ISO 8613), см. ODA.

ODMA (Open Document Management API) — API для связи при­кладных программ с системой управления документами и другим груп­повым ПО.

Office Suit (комплект офисных приложений) — набор программ, предназначенный для использования в типичных учрежденческих усло­виях, компоненты которого имеют сходные интерфейсы и могут взаи­модействовать друг с другом путем передачи информации. Большинст­во комплектов офисных приложений включают по крайней мере тек­стовый процессор и обработчик электронных таблиц. В дополнение к ним, набор может содержать программы презентаций, СУБД, набор графических средств и инструменты связи. Офисный комплект может также включать почтового клиента и администратора персональной системы информационного обслуживания или пакет программного обеспечения для коллективной работы. Доминирующим офисным на­бором в настоящее время является Microsoft Office, который доступен для Microsoft Windows и Macintosh Apple и стал фактическим стандар­том в программном обеспечении офиса. Альтернатива — любой из на­боров OpenDocument, которые используют бесплатный формат файла OpenDocument, определенный стандартом ISO/MEC 26300. Самые из­вестные — OpenOffice.org (программное обеспечение с открытыми про­граммными кодами, которое является доступным для Windows, Linux, Macintosh и других платформ). OpenOffice.org поддерживает многие из особенностей Microsoft Office так же, как большинства его форматов файла, и породил несколько производных, например, NeoOfiice (для Mac OS X) и StarOffice, коммерческая версия Sun Microsystems. Извест­ны и другие офисные комплекты: WordPerfect Office (Corel); iWork (Apple, только для Mac), включает Pages (гибрид текстового процессора и настольной издательской системы) и Keynote (презентации); KOffice, который является частью настольной среды KDE (Unix/Linux).

OLAP (On-Line Analytical Processing) — аналитическая обработка данных в оперативном режиме. Прикладное ПО для анализа информа­ции, хранящейся в базе данных.

OLE (Object Linking and Embedding) — набор стандартных специфи­каций и способов их реализации, находящийся в собственности и под­держиваемый Microsoft для составных документов.

0MR (Optical Mark Recognition) — оптическое распознавание ме­ток. Так называется технология, позволяющая ABBYY FormReader не

только уверенно распознавать на формах обычные метки (галочки, кре­стики и т. п.), но и правильно идентифицировать метки, отмеченные по ошибке и затем полностью закрашенные. Применение OMR позволяет ABBYY FormReader достигать высокой точности распознавания даже в тех случаях, когда обрабатываемые документы заполнены с ошибками или помарками.

On-line — 1) режим работы с компьютером или каким-либо другим устройством, при котором подразумевается постоянное с ним взаимо­действие. Синонимы: интерактивный, диалоговый, оперативный; 2) по­стоянно включенное устройство; неавтономный режим работы.

OODBMS (Object Oriented DBMS) — объектно-ориентированная система управления базами данных. Система управления базами дан­ных, выполняющая ряд функций, основанных на объектных понятиях (концепциях). В зависимости от целей их проектирования такие систе­мы обладают одним или всеми из нижеперечисленных свойств: системы более гибкого типа, чем найденные в RDBMS; легкая связываемость с помощью интерфейса с объектными языками; способность обрабаты­вать неструктурированные и мультимедийные данные; более быстрая эффективность, чем у RDBMS.

OpenGL (Open Graphics Library) — открытая графическая библиоте­ка. Межъязыковая и межплатформенная спецификация API для трех-и двумерных приложений компьютерной графики. Включает более чем 250 функций, которые позволяют строить трехмерные объекты и сцены из простых примитивов. OpenGL предложена SGI (Silicon Graphics Inc.) в 1992 г.

Optical resolution (оптическая разрешающая способность, оптическое разрешение) — число пикселей на дюйм (ppi), получаемое прямой оцифровкой. В некоторых сканерах эффективное разрешение больше оптического за счет интерполяции.

ORACLE — система управления реляционными базами данных и широкий набор работающих с ней инструментальных средств разного уровня, доступные практически на всех распространенных вычисли­тельных машинах и операционных системах.

OSI (Open System Interconnection) — взаимосвязь открытых систем. Набор сетевых протоколов, предложенный ISO. Этот стандарт сетевого и межсетевого взаимодействия определяет семь уровней взаимодейст­вия компонентов сети: физический, канальный, сетевой, транспортный, сеансовый, уровень представления данных и прикладной. Для каждого уровня разработан один или несколько протоколов, которые обеспечи­вают сетевое взаимодействие широкого класса устройств.

Outline font (контурный шрифт, векторный шрифт) — технология создания шрифтов, базирующаяся на математическом описании каждо­го символа в виде набора векторов определенного размера и направления. Данный тип шрифтов легко масштабируется простым умножением или делением базовых величин (длин) векторов на коэффициент масштабирования. Примерами контурных шрифтов являются TrueType и PostScript.

PCL (Printer Control Language) — язык управления принтером.

PDF (Portable Document Format) — универсальный формат докумен­тов. Термин введен корпорацией Adobe, которой и разработан данный формат. Удобство формата PDF в том, что он может быть прочитан специальной программой — Adobe Acrobat, версии которой существует почти для любых платформ и операционных систем.

PDL (Page Description Language) — язык описания страниц. Еди­ный формат для передачи готового документа в нередактируемом виде. Позволяет просматривать и печатать документ на различном оборудо­вании.

PICT/PICT2 — общепринятый формат определения изображений и рисунков в платформе Macintosh. Формат PICT 2 поддерживает цвето­передачу 24 бит на цвет.

Pixel (PICTure ELement, пиксель) — наименьший дискретный эле­мент оцифрованного изображения.

Pixel depth (глубина цвета, color depth) — число бит, используемых для представления каждого пикселя изображения, определяемое цвето­вым или тоновым диапазоном.

РпР (Plug and Play, P&P) — «включил и работай». Предложенная Microsoft и Intel спецификация самоконфигурирования компьютера и периферии. ПК с РпР требует следующие компоненты — РпР BIOS, адаптеры и периферию РпР, ОС РпР.

Point-and-click («укажи и щелкни») — в GUI способ запуска различ­ных приложений.

PostScript — язык высокого уровня для описания страниц. Разработ­ка компании Adobe Systems. Является стандартом де-факто в области издательских систем. Позволяет детально описать характеристики и расположение любых элементов, таких как шрифты, линии, изображе­ния, кривые и т. д., на странице издания для отображения на экране дисплея или устройстве вывода, оборудованном интерпретатором языка PostScript. Спецификации PostScript лицензированы практически всеми производителями принтеров, фотонаборных автоматов и других пери­ферийных устройств, а также разработчиками программного обеспече­ния для издательских систем и подготовки документов.

Ppi/Ppcm (Pixels per inch/Pixels per centimetre) — пиксели на дюйм/пиксели на сантиметр. Единицы измерения разрешающей спо­собности.

Prescan (предварительное сканирование) — способность многих планшетных сканеров и управляющего программного обеспечения проводить быстрое сканирование с низким разрешением, чтобы позволить оператору изменить положение сканируемого оригинала или выделить определенную область для сканирования с высоким разрешением.

Process color (составной цвет) — печать цветных изображений, про­изводится с помощью составных цветов. Получение нужного цвета реа­лизуется наложением красок первичных цветов (CMYK). Вследствие того, что голубая, пурпурная и желтая краски полупрозрачны, они по­глощают одни цвета и отражают другие, создавая широкую гамму от­тенков, в зависимости от растра каждого из триадных цветов.

Protocol (протокол) — совокупность формальных правил и описа­ний форматов данных, которая позволяет двум устройствам обмени­ваться информацией.

RAID (Redundant Array of Independent Disks) — дисковый массив, обеспечивающий резервирование и дублирование данных.

RDBMS (Relational Database Management System) — реляционная система управления базами данных. Основная технология баз данных, используемая в складировании данных. Реляционная технология базы данных была определена Т. Коддом, который также издал набор пра­вил, определяющих OLAP.

Rendering (рендеринг, англ — представление, исполнение) — 1) про­цесс создания цифрового (растрового) изображения на основе модели объекта или сцены посредством компьютерной программы. Модель представляет собой описание трехмерных объектов на основе конкрет­ного языка или набора данных и может учитывать: геометрию сцены, направления взгляда наблюдателя и освещения, текстуры поверхностей объектов. Включает объединение растровых, векторных, естественных и виртуальных фрагментов картины. Скорее относится к синтезируемым (виртуальным) образам, нежели к фото/видеокадрам. Предполагает формирование таких подробностей изображения, как тени, блики, от­ражения, искажения перспективы и пр. Рендеринг имеет две основные разновидности: пререндеринг (pre-rendering) или интенсивный вычис­лительный процесс, обычно используемый в кинематографе, и ренде­ринг реального времени (real-time rendering), используемый в видеоиг­рах на основе видеокарт с ЗО-акселераторами; 2) процесс вычисления и монтирования в видеофайл эффектов при видеоредактировании.

Replication — процесс физического дублирования данных из одной базы данных в другую. Дублирование увеличивает функциональные воз­можности преобразования данных. Гетерогенное копирование, где ис­ходные и целевые типы данных различны, осуществляется разными средствами. Некоторые репликаторы позволяют двунаправленное копи­рование, где любая копируемая база данных может модифицироваться, тогда изменения автоматически распространяются в другую. Repository — склад. Корпоративный информационный ресурс, со­держащий всю разработку, предоставленную от анализа до кодов про­грамм, и способный к сохранению версий и конфигураций. Узловой центр для интегрированной среды обработки с различным набором ин­струментальных средств, способствующий использованию информации для стандартизации семантики.

Resolving power (также resolution) — разрешающая способность. Характеристика, определяющая способность оптической системы раз­личать тонкие черные линии на белом фоне. Задается числом линий на миллиметр.

Retrieval — процесс поиска, выборки документов или их частей в системах управления документами.

RGB (Red, Green, Blue, красный, зеленый, синий) — первичные (базовые) цвета аддитивной модели цвета.

RIP (Raster Image Processor) — процессор растровых изображений. Компонента системы печати, которая производит точечный (битовый, \ растровый) рисунок, передаваемый затем на выход. Вход RIP может j быть как кодом на языке описания страниц высокого уровня, наподо- ; бие PostScript, PDF, XPS (в том числе включающим векторную инфор- I мацию), так и другим точечным рисунком, разрешающая способность | которого выше или ниже, чем у устройства вывода. В последнем случае j RIP применяет алгоритмы сглаживания или интерполяции к входному; точечному рисунку, чтобы генерировать точечный рисунок вывода. RIP J реализуется либо как программный компонент операционной системы, I либо  как  встроенная  микропрограмма,  выполняемая  на  процессоре j принтера. Для высокопроизводительного набора иногда используются j автономные аппаратные средства RIP. Ghostscript и GhostPCL — при­меры программных RIP. Каждый PostScript-принтер содержит RIP в его встроенном программном обеспечении.

Ripper — наименование программных средств для извлечения ау­диоданных из музыкальных CD-ROM для обработки и передачи по ин­терфейсам ПК (IDE, SCSI).

Router — маршрутизатор, устройство для передачи сетевых пакетов из одной сети в другую на основе информации, содержащейся в передаваемом пакете. Сетевой шлюз является наиболее типичным представич телем маршрутизаторов.                                                                            

RPN (Reverse Polish Notation) — обратная польская запись. Называется также «постфиксной записью» (postfix notation), в которой каждый] оператор следует за всеми его операндами. В PRN обычная (в «инфиксной записи») операция сложения (4+5) выглядит как (5 4 +). Предложена австралийским философом и математиком Чарльзом ХамблиноМ (Charles Hamblin) в середине 1950-х гг. для записи операций с безадресной (стековой) памятью.  Названа по аналогии с «польской записью» (polish notation), предложенной в 1920 г. польским математиком Яном Лукашевичем (Jan Lukasiewicz). Это наоборот — «префиксная запись» (prefix notation).

Sampling — сэмплирование, квантование, процесс конвертирования аналоговых данных в цифровые путем взятия серий измерений или ре­зультатов считывания через равные промежутки времени.

Sampling Rate (частота сэмплирования/квантования по времени) — при оцифровке аналогового сигнала частота, с которой осуществляется сканирование аналогового сигнала. Частота квантования должна по крайней мере в 2 раза превышать максимальную частоту исходного сиг­нала, например, частота сэмплирования 44,1 кГц (аудио CD) обеспечи­вает правильную оцифровку звука в 20 кГц (наивысшие тона, которые может воспринять человеческий слух).

Saturation (насыщенность цвета) — показатель, описывающий силу цвета и его уровень серого. Мера чистоты цвета, определяющая количе­ство содержащегося в нем серого. Чем выше содержание серого, тем ниже насыщенность цвета.

Scanning — сканирование — процесс преобразования информации, находящейся на твердом носителе, в цифровой формат.

Security — безопасность — функция системы, правила, ограничи­вающие доступ к документам: установление личности пользователя, де­лающего попытку доступа, определение набора привилегий, доступных пользователю.

SGML (Standard Generalized Markup Language) — язык разметки вы­сокого уровня для представления документов сложной структуры, обычно используемых в технических приложениях.

Shader («заштриховыватель», «закрашиватель», «затушевыватель») — программа, использующаяся в компьютерной графике для создания по­верхностных свойств и придания окончательной формы трехмерному графическому объекту. Разновидности — vertex shader (обработчик угло­вых вершин в контуре изображения); geometry shaders (обработчик гра­фических примитивов — треугольники, линии, полосы, пятна); pixel/fragment shader (обработчик пикселей, вычисляет их свойства, ко­торые в конечном итоге трансформируются в цвета пикселей); Gouraud shading (закрашивание по методу Гуро — метод, обеспечивающий ими­тацию плавных искривленных поверхностей, которые строятся из пло­ских многоугольников; быстрый интерполяционный алгоритм, который может быть форсирован при аппаратной реализации на графическом акселераторе).

Shading («заштриховка», «закрашивание», «затушевывание») — про­цесс изменения цветов объекта в зависимости от угла зрения, угла осве­щенности и дистанции до источников света и зрителя для достижения фотореалистического  эффекта.   Выполняется   в  процессе  рендеринга (rendering).

Sharpen (повышение резкости полутонового изображения) — про­цесс повышения контрастности и «светлоты» отдельных частей изобра­жения.

SMTP (Simple Mail Transfer Protocol) — простой (упрощенный) про­токол электронной почты. Прикладная служба в сетях TCP/IP для пере­дачи текстовых сообщений.

SNA (Systems Network Architecture) — сетевая архитектура систем, разработанная корпорацией IBM для организации сетей своих хост-ма­шин и терминалов. Состоит из семи уровней протоколов, которые по­добны уровням модели OSI. Определяет способы передачи информа­ции; иерархический (связь между хост машиной и терминалами) и од­норанговый (равноправный).

Sound Blaster — семейство аудиокарт, выпускаемых Creative Labs. Протокол интерфейса Sound Blaster является стандартом де-факто для аудиооборудования ПК. Монофоническая версия карт Sound Blaster была предложена в 1989 г., а стерео — тремя годами позднее. Sound Blaster AWE32 и AWE64 —16-битовые звуковые карты, которые поддер­живают WaveTable MIDI с 32 и 64 каналами (voices) соответственно.

SPDIF, S/PDIF (Sony/Philips Digital Interchange Format) — стандарт­ный интерфейс, позволяющий пользователям соединять различные типы аудиооборудования (наподобие звуковых карт, колонок и пр.) для получения чистого звукового сигнала.

Sprite (спрайт — от англ. эльф, фея) — в компьютерной графике двумерное изображение или мультипликация, встраиваемая в трехмер­ную сцену. Спрайт-технологии были первоначально разработаны для быстрого соединения вместе нескольких изображений (в двумерных ви­деоиграх) с использованием специальных аппаратных средств.

SQL (Structured Query Language) — структурированный язык запро­сов. Стандартный язык запросов, используемый для обращения к реля­ционным базам данных. Разработан фирмой IBM. ANSI-стандарты были изданы для SQL в 1986 и 1989 годах.

STN International — научно-техническая информационная сеть, пре­доставляющая пользователю доступ к большинству мировых БД по нау­ке и технике; содержит более 170 БД, суммарный объем более 170 млн записей.

Subtractive color system — система субтрактивного синтеза цветов. Использует в качестве первичных голубой, желтый, пурпурный цвета (модель CMYK).

Subtractive primaries (также primary colors, color primaries) — основ­ные цвета,  на которых базируются цветовые модели.  В аддитивной RGB-модели   —   красный,   зеленый   и   синий,   а   в   субтрактивной CMY-модели — голубой, пурпурный и желтый.

S-Video — видеосигнал, в котором компонент яркости передается отдельно от компонента цвета, что обеспечивает более высокое качест­во изображения. Он относится к изображениям, которые состоят из двух независимых сигналов: Y (сигнал яркости) и С (сигнал цвета).

Synchronous (синхронный). Относится к событиям, которые синхро­низированы или скоординированы во времени. Коммуникации внутри компьютера синхронизированы и управляются тактовым генератором. Сигналы на шине, например, могут появляться только в определенные моменты времени.

ТВ (Terabyte, терабайт) — единица измерения емкости памяти, со­держащая 1000 Гбайт. В качестве альтернативной IEC предложила в 1998 г. TiB (TibiByte), I TiB = 1024 GiB (GibiByte).

TCP/IP (Transmission Control Protocol/Internet Protocol) — набор протоколов для коммуникации в локальной сети или во взаимосвязан­ном наборе сетей. Основные протоколы Internet/Intranet.

Texture (текстура) — термин, описывающий раскраску, заполнитель фрагмента изображения (или его фона), который обычно образует од­нородную мелкомасштабную повторяющуюся картину. Примеры — обои, трава, паркет, древесный рисунок, волны по воде, облака и пр. Элементом текстуры является тексель (texel — pixel of the texture). Текстуры используются при рендеринге (представлении) кадра. Воз­можны и более сложные случаи, когда текстура представляет собой плоское изображение, которое должно быть нанесено на объемный «каркас» (texture mapping, текстурирование).

Texture mapping (текстурирование, нанесение текстуры) — метод на­несения деталей или окраски на трехмерную модель, сгенерированную компьютером, нечто подобное обтягиванию каркаса разрисованной бу­магой или тканью.

TIFF (Tagged Image File Format) — формат файлов, используемый для представления цветных и черно-белых изображений.

Turing complete (Turing equivalent, computationally universal) — полно­та (законченность) Тьюринга (по Тьюрингу). Свойство алгоритма, абст­рактной вычислительной машины или языка программирования, кото­рое обеспечивает вычислительные возможности, эквивалентные (т. е. эмулируемые) упрощенной модели программируемого компьютера, из­вестной как универсальная машина Тьюринга. Эта эквивалентность по существу означает «быть в состоянии выполнить любую вычислитель­ную задачу» (хотя и не обязательно эффективно, быстро или легко).

Under color removal, UCR (вычитание цветов из черного) — техноло­гия   снижения   количества   цветных   красок   субтрактивного   синтеза (CMYK) в тенях и нейтральных областях изображения путем замены их на соответствующее количество черной краски.

URL (Universal Resource Locator) — последовательность символов, обозначающая адрес документа (или его части) на сервере Паутины. Типичный URL содержит три части: используемый протокол при из­влечении документа (ftp, http и др.); доменное имя компьютера, где хра­нится документ; путь к документу (pathname) в локальной файловой системе; синтаксис URL — protocol: //server_name/path.

Value (оптическая плотность, уровень серого, степень почерне­ния) — мера «светлоты» цветового тона. Чем меньше белая компонента в цвете, тем выше оптическая плотность.

Vector graphics (также object-oriented graphics) — векторная графика, где изображение представляется в виде совокупности отрезков кривых, а не методом расчета каждой точки (пикселя), как это делается в рас­тровой графике. Векторное изображение может быть легко масштабиро­вано без потери деталей.

View (просмотр, показ) — представление содержания документа в читаемой форме.

Volume — том, или логический носитель данных, содержащий мно­жество файлов. В случае НЖМД обычно том размещается в разделе диска, форматируется для поддержки файловой системы (FAT или NTFS) и ему назначается идентификатор (буква — С:, D: и пр.). Как правило, на одном физическом диске размещают несколько логических томов, однако том может занимать и несколько дисков. В соответствии со стандартом ISO 9660 «том» — это отдельный диск CD-ROM.

WAN(Wide Area Network) — глобальная вычислительная сеть.

WAV (Waveform Audio) — естественная форма цифрового аудиосиг­нала, используемая в Windows. WAV-файлы обозначаются расширением .wav и поддерживают звуковую запись в широком диапазоне качества звучания (квантование по времени с частотой 11 025, 22 050 или 44 100 Гц и 8- или 16-битовое квантование по амплитуде). Наивысшее качество (16-бит и 44 100 Гц) требует расхода памяти 176 Кбайт/с.

Web-site (буквально — место в Паутине) — первоначально Web-сер­вер или совокупность серверов Internet, которые представляли компа­нии, университеты и другие организации во Всемирной Паутине (WWW). Место на хосте WWW, где хранится информация, доступная пользователям сети с помощью какого-либо браузера. По сути дела это логически обособленная совокупность гипермедиа-информационных объектов, объединенная общей темой и положением в гипер(ме-диа)-пространстве, например, общей хост-частью URL. Следует отли­чать «сайт» от сервера. Сервер — объект сетевого пространства, в то время как сайт — объект информационного web-пространства. На сер­вере может располагаться множество сайтов. Большинство сайтов Паутины приняли соглашение о том, что их доменное имя будет начинать­ся С www, например, www.Ankey.ru.

White balance (баланс белого) — относительная насыщенность крас­ного, синего и зеленого в источнике света. Управление балансом белого позволяет компенсировать отклонения от стандарта в спектре источни­ка света.

WT Music Synthesizer — синтезаторы с табличным синтезом (Wave Table), хранящие в своей постоянной памяти образцы (волновые таб­лицы — цифровые последовательности выборок) сигналов настоящих «живых» инструментов для нескольких нот диапазона по каждому ин­струменту. Как правило, минимальный объем таблицы — 1 Мбайт. На многих звуковых картах возможна установка дополнительной памяти для загружаемых таблиц, которые могут быть созданы самим пользо­вателем. Качество волнового синтеза высокое, но при более высокой цене.

WWW (World Wide Web) — всемирная паутина.

WYSIWYG (What You See Is What You Get — что видишь, то и полу­чишь) — экранное изображение, которое в точности (или очень близко) соответствует выводу на печать.

Х.400 — наборы протокольных стандартов для международной пе­ресылки электронной почты. Это новый стандарт для систем работы с сообщениями электронной почты позволяет включать в сообщения не только текстовую, но и другую информацию, например факсы и графи­ческие изображения. Поддерживается поставщиками в основном в ка­честве инструмента, позволяющего работать с различными системами электронной почты.

XML (extensible Markup Language) — расширяемый язык разметки. Современный инструмент для создания и обработки документов; его возможности используются многими программами.

YCbCr — несущий сигнал, который содержится в цветной полосе сигнала, используемого в передаче в современном телевидении. Назва­ние происходит от сигналов Y (яркость) и СЬСг (цвет).

YpbPr — несущий сигнал, который содержится в цветной полосе сигнала, используемого в передаче в телевидении высокой четкости (HDTV). Название происходит от сигналов Y (яркость) и РЬРг (разность цветов).

 

Автоматизированная информационно-поисковая система (АИ ПС) —

совокупное название как для программных оболочек, ориентированных на ввод, хранение, поиск и выходное представление документов (струк­тур данных сложного или неопределенного формата), так и для кон­кретных систем определенного наполнения и предметной ориентации, реализованных на основе таких оболочек (или иными программными

методами).    Примерами    программных    оболочек    АИ ПС    являются STAIRS, DPS, ISIS, IRBIS.

Агрегат данных — именованная совокупность элементов данных, представленных простой (векторной) или иерархической (группы или повторяющиеся группы) структурой. Примеры — массивы, записи, комплексные числа и пр.

Агрегатные функции — вычислительные функции СУБД, реализую­щие при выводе отчета или чтении таблицы данных вычисление агре­гатных данных по группе записей БД (строк таблицы) — МАХ (макси­мальное значение данного поля в обработанной группе записей/строк), MIN (минимальное значение), AVER (среднее значение), COUNT (под­счет числа записей)и пр.

Адаптер (от лат. adaptare — прилаживать, короче говоря, — «при­способление») — устройство сопряжения центрального процессора и пе­риферийных устройств компьютера. Кроме этого, иногда осуществляет функции управления периферийным устройством. Обычно выполнен в виде микросхемы и помещен на системную плату, может быть представ­лен отдельной платой. Иногда называется картой или контроллером.

Адаптер графический — устройство, управляющее дисплеем и обес­печивающее вывод графических изображений. Определяет разрешаю­щую способность дисплея (количество точек на единицу площади экра­на), количество цветов.

Адаптивная бинаризация (Adaptive Binarization — АВ) — способ обра­ботки изображения; алгоритм, выбирающий порог бинаризации в зави­симости от контрастности данного участка изображения. Дает возмож­ность точно распознавать текст со сложных оригиналов, например, вет­хих, истертых страниц. Адаптивная бинаризация используется ABBYY FineReader для повышения качества распознавания.

Администратор базы данных (АБД) — лицо или группа, уполномо­ченные для ведения БД (модификация структуры и содержания БД, ак­тивизация доступа пользователей, выполнение других административ­ных функций, которые затрагивают всех пользователей). С этой целью он идентифицирует объекты БД и моделирует базу, используя язык описания данных. Администратор решает также все вопросы, связан­ные с размещением БД в памяти, выбором стратегии доступа и ограни­чением доступа к данным. В функции АБД входят также организация загрузки, ведения и восстановления БД.

Анализ документа — процедура обработки изображения, в ходе ко­торой OCR-программа создает электронную редактируемую копию до­кумента. Собственно распознавание текста — одна из составных частей анализа документа.

Аналого-цифровой преобразователь (АЦП, ADC) — устройство, пре­образующее аналоговый сигнал в цифровой, и обратно. Например, для

передачи данных по цифровой телефонной сети с помощью модема ме­жду модемом и цифровым телефонным каналом ставится аналого-циф­ровой адаптер.

Архитектура документа — структурное описание документа, вклю­чающее в себя все входящие в него виды информации (текст, векторная и растровая графика, таблицы).

Асинхронная передача данных — способ передачи и метод извлечения данных из непрерывного потока сообщений, при которых передающая сторона в каждый элемент данных вводит стартовый и столовый при­знаки, указывающие, где элемент начинается и заканчивается.

Атрибут — поле данных, содержащее информацию об объекте.

Аудиоадаптер (звуковая плата) — плата, которая позволяет записы­вать звук, воспроизводить и генерировать его программными средства­ми с помощью микрофона, наушников, динамиков, встроенного синте­затора и другого оборудования.

База данных (БД) — именованная совокупность взаимосвязанных данных, отображающая состояние объектов и их отношений в некото­рой предметной области, используемых несколькими пользователями и хранящимися с минимальной избыточностью. Базы данных предостав­ляют собой более жесткую среду для хранения нежели файловые систе­мы ОС. Базы данных характеризуются многопользовательским интер­фейсом, протоколированием, словарями данных для моделирования ме­таданных, определяемой пользователем структурой, жесткими типами данных и сложными языками запросов.

Байт — машинное слово минимальной размерности, адресуемое в процессе обработки данных. Размерность байта (8 бит) принята не только для представления данных в большинстве компьютеров, но и в качестве стандарта для хранения данных на внешних носителях, для передачи данных по каналам связи, для представления текстовой ин­формации.

Безопасность — защита данных от преднамеренного или непредна­меренного доступа, модификации или разрушения.

Библиографические данные (записи) — выходные данные (включают авторов, заголовок, классификационный индекс, место публикации и пр.), иногда реферат.

Бит (от англ. Binary digiT — двоичная единица) — единица измере­ния количества информации, равная количеству информации, содержа­щемуся в опыте, имеющем два равновероятных исхода. Это наимень­шая единица информации в цифровом компьютере, принимающая зна­чения «О» или «1».

Битрейт (bitrate) — ширина потока (битовая скорость). Для звуко­вого сигнала термин обозначает общую ширину потока, безразлично к тому,  монофонический  или  стереофонический  сигнал  он  содержит, варьируется от наибольшего для МРЗ, равного 320 кбит/с (320 килобит в секунду), до 96 кбит/с и ниже.

Браузер — прикладная программа клиента, которая позволяет про­сматривать, извлекать и показывать содержание документов, находя­щихся на серверах Всемирной паутины. Наиболее распространенные браузеры — Netscape Navigator и Internet Explorer.

Валидация — автоматическая проверка распознанных данных на со­ответствие заданным правилам. Например, проверка на попадание чис­ленных данных в определенный интервал, проверка совпадение сумм, указанных цифрами и прописью, проверка на соответствие формату или заданному значению.

Векторная графика — способ представления изображения как сово­купности графических элементов (графических примитивов — отрез­ков, дуг и пр.), описанных любым способом, в том числе графическими командами.

Величина аналоговая — величина, у которой значения изменяются непрерывно и ее конкретное значение зависит только от точности при­бора, производящего измерение. Например, температура воздуха.

Величина дискретная — величина, значения которой изменяются скачкообразно. Например, величина, характеризующая наличие или от­сутствие тока в электрической цепи, является дискретной и может при­нимать значения «да» или «нет» («0» или «1»).

Верификация — проверка распознанных данных оператором. Произ­водится путем сличения результатов распознавания с исходным изобра­жением части документа. Технология верификации реализована в про­дуктах ABBYY с учетом основных психосоматических особенностей че­ловека: выработки привычек, использования навыков, целостности и целенаправленности восприятия.

Вид документа — элемент классификации множества документов, циркулирующих в организации.

Видеоадаптер — электронная плата, которая обрабатывает видео­данные (текст и графику) и управляет работой дисплея. Содержит ви­деопамять, регистры ввода-вывода и модуль BIOS. Посылает в дисплей сигналы управления яркостью лучей и сигналы развертки изображения.

Видеопамять — дополнительная память для обеспечения качествен­ного изображения на дисплее. Является частью видеоадаптера, имеет объем до нескольких десятков мегабайт. В видеопамяти формируются изображения одного или нескольких экранов, которые затем подаются на дисплей. В некоторых компьютерах видеопамять выделяется из опе­ративной памяти.

Внешние устройства (ВУ) — устройства ввода-вывода и хранения информации. ВУ подключаются к системе с помощью интерфейсов, реализующих определенные протоколы параллельного или последовательного обмена. К ВУ относятся — клавиатура, монитор, внешние за­поминающие устройства, использующие гибкие или жесткие магнитные диски, оптические диски (CD-ROM), магнитные ленты и другие виды носителей информации, датчики и преобразователи информации (ана­лого-цифровые или цифроаналоговые), исполнительные устройства (индикаторы, принтеры, электродвигатели, реле и др.). Поскольку, как правило, они работают значительно медленнее остальных, управляющее устройство должно приостанавливать программу для завершения опера­ции ввода-вывода с соответствующим устройством.

Гигабайт (Гбайт) — единица измерения, содержащая 1024 Мбайт. В качестве альтернативной IEC предложила в 1998 г. GiB (Gibibyte) = = 1024 MiB (Mibibyte).

Гипертекст — информационная система, состоящая из узлов, со­держащих данные данных и смысловых связей между ними.

Глобальная вычислительная сеть — сеть передачи данных, охваты­вающая значительное географическое пространство (регион, страну, ряд стран, континенты).

Графика — наиболее общий способ визуального представления дан­ных в компьютере, в котором объединяются текстовые данные и графи­ческие образы. Способы или форматы представления самого графиче­ского изображения на машинных носителях бывают двух типов: растро­вая и векторная графика.

Данные — информация, обработанная и представленная в формали­зованном виде для дальнейшей обработки.

Дескриптор — предназначенное для координатного индексирования документов и информационных запросов нормативное ключевое слово, по определенным правилам отобранное из основного словарного соста­ва того или иного естественного языка.

Диалоговый режим — режим непосредственного взаимодействия ме­жду человеком и компьютером, компьютерами в сети или между компь­ютером и периферийным устройством, при котором связь между взаи­модействующими системами не прерывается. Часто называется интер­активным режимом или режимом «on-line».

Дисплей (монитор) — устройство визуального отображения инфор­мации (в виде текста, таблицы, рисунка, чертежа и др.) на экране элек­тронно-лучевого прибора.

Документ — агрегат данных в документальных системах (АИПС), имеющий иерархическую структуру и, кроме форматных полей (эле­менты или агрегаты данных фиксированной длины), обычно содержа­щий текстовые поля или символьные последовательности неопределен­ной длины, логически подразделяющиеся на параграфы (PAR, SEGM), предложения (SENT), слова (WORD).

Драйвер (driver) — резидентный программный модуль, осуществ­ляющий управление внешним устройством и связь с операционной сис­темой и прикладными программами.

Запись логическая — идентифицируемая (именованная) совокуп­ность элементов или агрегатов данных, воспринимаемая прикладной программой как единое целое при обмене информацией с внешней па­мятью. Запись — это упорядоченная в соответствии с характером взаи­мосвязей совокупность полей (элементов) данных, размещаемых в па­мяти в соответствии с их типом.

Запись физическая — совокупность данных, которая может быть считана или записана как единое целое одной командой ввода-вывода.

Запоминающее устройство (ЗУ) — устройство для записи, хранения и выдачи данных. Различают устройства: долговременного и оператив­ного хранения данных, они же энергонезависимые и энергозависимые; только для чтения данных (постоянное запоминающее устройство — ПЗУ, компакт-диски) и как для чтения, так и для записи. В зависимо­сти от физических принципов хранения данных различают магнитные, магнитооптические, оптические и полупроводниковые (схемные) уст­ройства.

Запрос (информационный) — сообщение, обычно неформатирован­ное, информационно-поисковой системе со стороны абонента, содер­жащее его информационную потребность и подвергающееся автомати­ческому индексированию.

Иерархическая модель данных. Использует представление предмет­ной области БД в форме иерархического дерева, узлы которого связаны по вертикали отношением «предок-потомок». Навигация в БД пред­ставляет собой перемещение по вертикали и горизонтали в данной структуре. Одной из наиболее популярных иерархических СУБД была Information Management System (IMS) компании IBM, появившаяся в 1968 г.

Импорт (загрузка, download) — утилита (функция, команда) СУБД, служащая для чтения файлов операционной системы, которые содержат данные из базы данных, представленные в некотором коммуникатив­ном формате.

Инвертированный файл (список) — файл, предназначенный для бы­строго произвольного поиска записей по значениям ключей, организо­ванный в виде независимых упорядоченных списков (индексов) клю­чей — значений определенных полей записей основного файла.

Индекс — таблица ссылок на объекты, используемая для определе­ния адреса записи.

Индексирование — формирование описания документа как совокуп­ности дескрипторов, выбираемых из заранее созданных словарей поня­тий либо из текстов документов.

Интеллектуальная фильтрация фона (Intellectual Background Filte­ring — IBF) — способ обработки изображения; удаление фоновых тек­стур или картинок перед распознаванием текста. Применяется для по­вышения точности распознавания. Технология IBF реализована в OCR-системе FineReader.

Интерфейс (от англ. inter — между и face — лицо) — 1) взаимодей­ствие между элементами системы или системами; 2) совокупность средств, стандартов, сигналов, разъемов, обеспечивающая обмен дан­ными между устройствами; 3) взаимодействие между человеком и ком­пьютером.

Информационная система — система, предназначенная для хране­ния, обработки, поиска, распространения, передачи и представления информации.

Информационная технология — совокупность методов, производст­венных процессов и программно-технических средств, объединенных в технологический комплекс, обеспечивающий сбор, создание, хранение, накопление, обработку, поиск, вывод, копирование, передачу и распро­странение информации.

Информационные ресурсы — совокупность накопленной информа­ции, зафиксированной на материальных носителях в любой форме, обеспечивающей ее передачу во времени и пространстве. В контексте автоматизированных информационных систем под информационными ресурсами обычно подразумевают информационные массивы и базы данных, рассматриваемые совместно с информационными технология­ми, обеспечивающими их доступность.

Информационный поиск — процесс отыскания в поисковом массиве таких записей, которые соответствуют признакам, указанным в инфор­мационном запросе.

Килобайт (Кбзйт) — единица измерения количества данных или объема памяти, равная 10³ = 1000 байтов. Альтернативой является пред­ложенная IEC единица KiB (Kibibyte) — 2¹⁰= 1024 байт. Расхождение составляет 2,4 %.

Клиент—сервер — технология (архитектура) взаимодействия клиен­та и сервера. Клиент — программа, запрашивающая у сервера информа­цию или выполнение какого-либо задания на сервере от имени клиен­та. Сервер — прикладная программа, исполняющая запросы клиента. Клиент и сервер взаимодействуют по определенному протоколу. Про­грамма клиента и программа сервера могут располагаться как на одной машине, так и на совершенно различных компьютерах произвольной сети.

Ключевое поле — поле в структуре записи. Поле определяют как ключевое (или индексированное) для убыстрения или упрощения опе­раций поиска и/или для модификации операций обработки данных.

Ключевое слово — предметное слово, выбираемое из некоторого тек­ста (документа) и используемое для координатного индексирования этого текста (документа).

Код — система представления информации в виде данных, состоя­щая из набора условных знаков и правил присвоения им значений.

Код ASCII (от англ. American Standard Code for Information Interchange — Американский стандартный код для обмена информаци­ей) — стандарт кодирования символов латинского алфавита, цифр и вспомогательных символов или действий в виде однобайтового двоич­ного кода (1 байт = 8 бит). Первоначально стандарт определял только 128 символов, используя 7 битов (от 0 до 127). Использование всех восьми битов позволяет кодировать еще 128 символов. В этом случае говорят о расширенном ASCII-коде. Дополнительные символы могут быть любыми, им отводятся коды от 128 до 255. Символы кириллицы кодируются именно в этой части ASCII-кода.

Код Unicode — стандарт для представления символов с использова­нием 16-разрядных кодов (2 байта). Допускает 65 536 символов. Стан­дарт должен в перспективе заменить ASCII, так как удобнее пользовать­ся одним кодом для разных языков, чем менять перекодировочные таб­лицы в ASCII-коде.

Кодек (от англ. Codec — COmpress-DECompress — сжимать — вос­станавливать) — аппаратно-программный комплекс, обеспечивающий работу персонального компьютера с видеоинформацией. Кодек позво­ляет добиваться качества работы видеомагнитофона за счет использова­ния аппаратных и программных методов сжатия данных.

Кодирование (coding) — установление согласованного (узаконенно­го) соответствия между набором символов и сигналами или битовыми комбинациями, представляющими каждый символ для передачи, хране­ния или обработки данных.

КОИ (ГОСТ 19768—74) — распространенная в РФ кодировка сим­вольной информации на базе кода ASCII с расширением его до 256 символов: используется в ряде систем типа UNIX; в части кириллицы эта кодировка не отсортирована по алфавиту и, следовательно, не по­зволяет использовать большинство зарубежных программ без соответствующих модификаций.

Коммуникативные (обменные) форматы данных — соглашения о представлении агрегатов информации при передаче.

Композитное видео (composite video) — видеосигналы, в которых сигналы яркости и цвета передаются вместе (смешиваются). Для до­машних видеоустройств обычно используются сигналы форматов NTSC, PAL и SECAM. Находящиеся в цветной полосе несущий сигнал k Y (сигнал яркости) и сигнал цвета накладываются друг на друга, образуя результирующий сигнал.

Компонентное видео (component video) — видеосигналы, в которых для улучшения качества передачи изображений сигналы яркости и цветности передаются раздельно. В телевидении высокой четкости (HDTV) это относится к изображениям, которые состоят из трех неза­висимых сигналов — Y (сигнал яркости) и РЬ и Рг (цветоразностные сигналы).

Контекстный поиск — разновидность операции поиска определен­ного набора символов, в ходе которой пользователь может указать, что просматривать нужно только некоторые файлы (выбранные по како­му-то признаку).

Контроллер (от англ. control — управлять) — устройство, которое связывает периферийное оборудование или каналы связи с централь­ным процессором, освобождая процессор от непосредственного управ­ления функционированием данного оборудования. Контроллер выпол­няет интерпретацию команд процессора для отдельных устройств.

Контрастность — параметр, показывающий, насколько самый тем­ный участок изображения отличается от самого светлого. Влияет на ка­чество распознавания.

Курсор — светящийся участок на экране дисплея, указывающий по­зицию, на которой будет отображаться следующий вводимый с клавиа­туры знак.

Лемматизация — нахождение начальной формы слова по любой его словоформе. Например, дано слово «погоняемый» — найдено слово «погонять». Лемматизация реализована в ABBYY Retrieval & Morphology Engine, что позволяет этой системе значительно эффективнее прово­дить полнотекстовую индексацию документов, в том числе и многоязычных.

Логическая структура БД — определение БД на физически незави­симом уровне.

Логическая структура документа — в ODA предназначена для пред­ставления произвольных иерархических видов организации информа­ции. Например, рубрикация документа, включение в текст таблиц и ри­сунков.

Логический файл — файл в представлении прикладной задачи, со­стоящий из логических записей, структура которых может отличаться от структуры физических записей, представляющих информацию в памяти.

Локальная вычислительная сеть (ЛВС) — коммуникационная систе­ма, поддерживающая в пределах одного здания или некоторой ограни­ченной территории один или несколько высокоскоростных каналов пе­редачи цифровой информации, предоставляемых подключаемым уст­ройствам для кратковременного монопольного использования.

Манипулятор (от лат. manus — рука) — устройство, позволяющее управлять состоянием компьютера, в том числе и вводить данные с помощью рук.  К манипуляторам относятся: джойстик,  мышь, трекбол, сенсорная панель, перо, трекпойнт, J-клавиша.

Массив дисков RAID (от англ. Redundant Arrays of Independent/ Inexpensive Disks — массив независимых дисков с избыточностью) — набор НЖМД, конструктивно объединенных в один блок с общим контроллером. Как правило, используется в серверах для обеспечения надежности за счет дублирования данных.

Матричный принтер — принтер, у которого печатающий узел пред­ставляет собой металлическую пластину с отверстиями (матрицу), в ко­торых свободно двигаются штырьки (иголочки). Штырьки, управляе­мые магнитом, бьют по красящей ленте (такой же, как у пишущей ма­шинки), и на бумаге точками создается символ.

Мегабайт (Мбайт) — единица измерения количества данных или объема памяти, равная 10⁶= 1000 000 байт. Альтернативой является предложенная IEC единица MiB (Mibibyte) — 1024 Kibibyte. Расхожде­ние составляет более 4,8 %.

Метаданные — информация, которая описывает другие данные с помощью таких атрибутов, как их структура, ассоциации, типы и диа­пазоны.

Методы поиска — совокупность моделей и алгоритмов реализации отдельных технологических этапов, таких, как построение поискового образа запроса, отбор документов (сопоставление поисковых образов запросов и документов), расширение и реформулирование запроса, ло­кализация и оценка выдачи.

Механизмы поиска — реализованные в системе модели и алгорит­мы процесса формирования выдачи документов в ответ на поисковый запрос.

Микросекунда (мс) — 10^-б с, 1000 наносекунд (не).

Многоуровневый анализ документа (MDA) — разновидность анализа документа. При многоуровневом анализе OCR-система последовательно делит документ на блоки разного вида — текстовые, табличные, графи­ческие. Затем каждый из блоков также разделяется на составные части, те, в свою очередь, тоже подвергаются подобной обработке. В конце концов, система «добирается» до нижнего уровня — уровня отдельных символов и их составных частей. После распознавания символов начи­нается последовательная «сборка» электронного документа, результатом которой становится редактируемая копия, полностью соответствующая оригиналу. ABBYY FineReader реализует одну из разновидностей MDA, причем в процессе анализа система действует в соответствии с принци­пами IPA. На каждом уровне документа ABBYY FineReader использует информацию с других иерархических уровней, что позволяет достичь высочайшей точности распознавания.

Модель данных — базовый инструментарий, обеспечивающий на формальном абстрактном уровне конкретные способы представления объектов и связей.

Модель документа — понятие, охватывающее аспекты создания, преобразования, хранения, поиска, передачи и отображения доку­ментов.

Морфологический поиск — поиск с учетом морфологии (всех воз­можных форм слова). Например, в строке поиска введено «хрюкать» — в результатах поиска присутствуют «хрюкающий», «хрюкало» и другие производные от заданного слова. Морфологический поиск реализован в системе электронных словарей ABBYY Lingvo.

Мультимедиа — собирательное понятие для различных компьютер­ных технологий, при которых используется несколько информацион­ных сред, таких, как графика, текст, видео, фотография, движущиеся образы (анимация), звуковые эффекты, высококачественное звуковое сопровождение. Мультимедиа-компьютер — это компьютер, снабжен­ный аппаратными и программными средствами, реализующими техно­логию мультимедиа.

Мэйнфрейм — компьютер высокой мощности, разработанный для решения наиболее интенсивных вычислительных задач. Обычно ис­пользуется одновременно многими пользователями.

Навигатор (обозреватель, browser) — программа навигации и про­смотра, размещающаяся на рабочем месте пользователя, клиентская программа в сети Internet.

Навигация — целенаправленная, определяемая стратегией последо­вательность использования методов, средств и технологий конкретной АИПС для получения и оценки результата поиска.

Накопитель — устройство для записи /чтения данных на/с опреде-ленный(ого) носитель(я). Накопители относятся к внешним запоми­нающим устройствам. Различают накопители на дисках (МД, CD), лен­тах (МЛ), картах. Различают также накопители: со съемными носителя­ми (в этом случае носитель данных можно заменить, например, гибкие магнитные диски, магнитные ленты); с постоянными носителями (в этом случае носитель встроен в накопитель и его нельзя сменить, на­пример, жесткий магнитный диск).

Независимость данных логическая (физическая) — свойство системы, обеспечивающее возможность изменять логическую (физическую) структуры данных без изменения физической (логической).

Носители информации (данных) — средства регистрации, хранения, передачи информации (данных).

Операционная система (ОС) — общее название программ и про­граммных комплексов, расширяющих функциональные возможности аппаратуры вычислительных машин, повышающих эффективность использования вычислительных средств и облегчающих взаимодействие пользователя с машиной.

Открытая система — 1) система, имеющая возможность расшире­ния за счет средств среды, в которой она функционирует; 2) система, независимая от изготовителей ИС, удовлетворяющая требованиям ряда международных стандартов.

Отношение (relation) — агрегат данных, хранящийся в одной из таб­лиц (строка таблицы) табличной, реляционной БД или создаваемый виртуально в процессе выполнения операции над базой данных при вы­полнении запросов к данным.

Парадигма — совокупность всех словоформ данного слова. Если дано некое существительное (например, «котенок»), его парадигму со­ставят слова, образуемые при изменении по падежам и числам («коте­нок», «котята», «котенка», «котят» и т. д.). В том случае, когда исходное существительное не изменяется по числам (например, «сумерки»), парадигма будет состоять только из падежных форм («сумерки», «сумерек» и т. д.). В электронном словаре ABBYY Lingvo предусмотрены функции «Показать парадигму слова» и «Добавить парадигму слова».

Поисковый образ документа (ПОД) — описание документа, выра­женное средствами ИПЯ и характеризующее основное смысловое со­держание или какие-либо другие признаки этого документа, необходи­мые для его поиска по запросу.

Полнотекстовые документы (записи) — полный (или почти) исходный текст журнальной статьи или другого документа.

Примитив (от англ. primitive — первичный, простой, основной) — один из простейших элементов, образующих векторные изображения. Базовыми примитивами являются такие геометрические объекты как точки и отрезки. Отрезок может быть как прямым, так и кривым. Пря­мые отрезки задаются координатами опорных точек, а для кривых от­резков задаются дополнительные параметры, которые определяют сте­пень и форму кривизны. Иногда к примитивам относят и другие фигу­ры — квадрат, окружность, прямоугольник, эллипс и т. д.

Прогрессивная развертка (progressive scanning) — метод сканирова­ния изображения, при котором данные изображения сканируются по­следовательно сверху вниз, а не через строку, как это происходит при чересстрочной развертке.

Протокол — совокупность определений (соглашений, правил), рег­ламентирующих формат и процедуры обмена информацией между дву­мя или несколькими независимыми устройствами или процессами, т. е. описание того, как программы, компьютеры или иные устройства должны действовать, когда они взаимодействуют друг с другом. Прото­кольные определения охватывают диапазон от порядка следования би­тов по проводу до формата сообщения электронной почты. Стандартные протоколы позволяют компьютерам различных производителей связываться друг с другом. Компьютеры могут использовать совершен­но различное программное обеспечение, лишь бы они поддерживали соглашение о том, как посылать и понимать принимаемые данные.

Протокол коммуникации — согласованный набор конкретных пра­вил обмена информацией между разными устройствами передачи дан­ных. Имеются протоколы для скорости передачи, форматов данных, контроля ошибок и др.

Профиль документа — в ODA набор свойств документа, которые от­носятся к документу в целом.

Рабочая станция — комбинация устройств ввода-вывода и вычис­лительных аппаратных средств, используемых отдельным пользовате­лем. Однако чаще так называют мощный автономный компьютер для выполнения прикладных программ, требующих высокоэффективных, обычно дорогих средств обработки информации со значительными вычислительными или графическими возможностями. В последнее время так называют еще персональные компьютеры или терминалы вычисли­тельной сети.

Разметка — дополнительная информация, включаемая в документ и выполняющая функции выделения логических элементов данного до­кумента и задания процедур обработки выделенных элементов.

Разрешение дисплея (проектора) — физическое количество эле­ментов (пикселей, pixel — picture element) в столбцах и строках изображения. Существуют стандартные типы разрешений, напри­мер VGA (640x480), SVGA (800x600), XGA (1024x768), SXGA (1200 x 1024), UXGA (1600 x 1200), QXGA (2048 x 1536).

Разрешение оптическое — параметр сканера, характеризующий пре­дельно достижимую детальность считывания информации с оригинала. Один из основных параметров; указывается в точках на дюйм (dots per inch, dpi).

Распознавание документа — построение редактируемой электрон­ной копии бумажного документа. Как правило, проводится в два этапа; сначала с помощью сканера получают электронную «фотографию» стра­ницы, затем обрабатывают ее специальной OCR-программой. Результа­том работы OCR-программы становится точная электронная копия документа, которую можно редактировать, сохранять в различных форма­тах, распечатывать и т. д.

Распределенная база данных — совокупность баз данных, которые обрабатываются и управляются по отдельности, а также могут разделять информацию.

Редактор — программа, обычно используемая для создания тексто­вых файлов или внесения изменений в существующий текстовый файл. Редактор обладает некоторыми возможностями текстового процессора, но уступает ему в мощности.

Релевантность — свойство некоторой информации (документ, факт и пр.) удовлетворять информационную потребность пользователя АИС (relevant — относящийся к делу).

Реляционная алгебра — алгебра (язык), включающая набор операций для манипулирования отношениями.

Реляционная база данных — база данных, состоящая из отношений. Здесь вся информация, доступная пользователю, организована в виде таблиц, обычно имеющих уникальные имена, состоящих из строк и столбцов, на пересечении которых содержатся значения данных, а опе­рации над данными сводятся к операциям над этими таблицами.

Сетевая модель данных (модель CODASYL). Предложенная CODASYL модификация иерархической модели, в которой одна запись могла участвовать в нескольких отношениях предок/потомок.

Сетевой сервер — сетевой (хост) компьютер, выполняющий систем­ные функции отработки сетевых протоколов для связанных с сервером других сетевых компьютеров, обычно рабочих станций. Сетевой сервер обычно выполняет одну или несколько обслуживающих функций, та­ких, как файловый сервер, FTP-сервер, Web-сервер и др.

Система управления базами данных (СУБД) — совокупность языко­вых и программных средств, предназначенных для создания, ведения и совместного использования БД многими пользователями.

Сканер — устройство для ввода в компьютер документов — текстов, чертежей, графиков, рисунков, фотографий. Создает оцифрованное изображение документа и помещает его в память компьютера.

Словарь данных — исчерпывающий набор таблиц БД или файлов, представляющий собой каталог всех описаний данных (имен, типов). Может содержать также информацию о пользователях, привилегиях и т. д., доступную только администратору базы данных. Является цен­тральным источником информации для СУБД, АБД и всех пользова­телей.

Стратегия поиска — общий план (концепция, предпочтение, пред­расположенность, установка) поведения пользователя для выражения и удовлетворения информационной потребности, обусловленный харак­тером цели и типом поиска, архитектурой БД, а также методами и сред­ствами поиска конкретной АИПС.

Структура данных — атрибутивная форма представления свойств и связей предметной области, ориентированная на выражение описания данных средствами формальных языков, и таким образом учитывающая возможности и ограничения конкретных средств с целью сведения опи­саний к стандартным типам и регулярным связям. Структура данных с точки зрения программирования — это способ отображения значений в памяти — размер области и порядок ее выделения (который и опреде­лит характер процедуры адресации-выборки).

Таблица — основная единица информации в системе управления ре­ляционной базой данных. Состоит из одной или более единиц инфор­мации (строк), каждая из которых содержит значения некоторого вида (столбцы).

Тег (таг, tag) — признак, метка. Часть элемента данных (обычно один или несколько разрядов), определяющих его тип.

Тезаурус — семантическая сеть, в которой понятия связаны регуляр­ными и устойчивыми семантическими отношениями — иерархически­ми (например, род—вид, целое—часть), ассоциативными, а также отно­шениями эквивалентности.

Текстовый слой (PDF-документа) — часть документа, сохраненного в формате PDF, которая содержит часть текста или даже весь текст до­кумента. ABBYY FineReader способен «читать» текстовые слои PDF, что резко повышает качество распознавания подобных документов.

Терабайт (Тбайт) — единица количества данных, равная 1000 Гбайт. В качестве альтернативной IEC предложила в 1998 г. TiB (TibiByte) = = 1024 GiB (GibiByte).

Терминал (terminal) — терминальное устройство, сочетание уст­ройств ввода и вывода данных в ЭВМ.

Технологии поисковые — унифицированные (оптимизированные в рамках конкретной АИПС) последовательности эффективного исполь­зования в процессе взаимодействия пользователя с системой отдельных средств поиска для устойчивого получения конечного и, возможно, промежуточных результатов.

Типы данных — совокупность соглашений о программно-аппаратур­ной форме представления и обработки, а также ввода, контроля и вы­вода элементарных данных; к типам данных прежде всего, относятся классические типы — целое число, действительное число, булевское значение.

Топология БД — схема распределения компонент базы данных по физическим носителям, в том числе различным узлам вычислительной сети.

Точность распознавания — основной параметр, характеризующий качество работы OCR-программы. Численно равен отношению количе­ства правильно распознанных символов к общему количеству символов в документе; выражается в процентах.

Транзакция — последовательность операций над данными базы, пе­реводящая БД из одного непротиворечивого состояния в другое, кото­рое может быть представлено как одно «событие».

Триггер (включения, запросы, удаления и пр.) — группа команд языка запросов или программирования (в среде СУБД), которая испол

няется при наступлении определенного условия/события (конец файла, считывание записи, изменение значения поля и пр.).

Уровни представления данных— концептуальный, внутренний и внешний. Внутренний уровень — глобальное представление БД, опре­деляет необходимые условия в первую очередь для организации хране­ния данных на внешних запоминающих устройствах. Представление на концептуальном уровне представляет собой обобщенный взгляд на дан­ные с позиций предметной области. Внешний уровень представляет по­требности пользователей и прикладных программ.

Утилита СУБД — программа, которая запускается в работу коман­дой операционной системы главного компьютера и выполняет какую-то функцию над базой данных (обычно на физическом уровне данных), либо команда (функция ядра СУБД, доступная только АБД), реализую­щая аналогичную операцию.

Файл (file) — именованный организованный набор данных опреде­ленного типа и назначения, находящийся под управлением операцион­ной системы. Это однородная по своему составу и назначению сово­купность информации, хранящаяся на носителе информации и имею­щая имя.

Файл ASCII (ASCII-File) — файл, содержащий символьную ин­формацию, представленную только ASCII-кодами «левой части» (пер­вые 128 символов кодовой таблицы, или код Latin-1) и символьную разметку.

Файл базы данных — физический файл ОС, используемый для размещения БД. Управление данными в таком файле производится совместно ОС и СУБД. Крайние варианты размещения БД по фай­лам — 1) все данные БД — в одном файле (файл DATA, СУБД ADABAS); 2) каждая таблица БД — в отдельном файле ОС (DBF-фай­лы, системы FoxPro). Промежуточный вариант размещения, например ORACLE — база данных состоит из одного или более табличных про­странств, которые в свою очередь состоят из одного или более файлов базы данных.

Файловая система (file management system) — динамически поддер­живаемая информационная структура на устройствах прямого доступа (диски), обеспечивающая функцию управления данными ОС путем свя­зи «имя—адрес».

Формат — способ расположения и представления данных на носи­теле информации.

Форматы файлов — представление информации на уровне взаимо­действия операционной системы с прикладными программами.

Цветоразностный сигнал (color differential signal) — передача сигна­лов по трем кабелям — Red-Bright (ярко-красный, R-Y), Bright (яр­кий, Y) и  Blue-Bright (ярко-синий,  B-Y). Это позволяет более четко

проецировать композитные сигналы (RGB и сигналы их яркости пере­даются по одному кабелю).

Целостность — свойство БД, при котором она удовлетворяет неко­торым определенным ограничениям значений данных и сохраняет это свойство при всех модификациях (замена, добавление или удаление) данных.

Централизованное управление данными, осуществляемое средствами, входящими в состав СУБД, обеспечивает: сокращение избыточности в хранимых данных; устранение несовместимости в хранимых данных многими приложениями; совместное использование хранимых данных, что достигается необходимой интеграцией данных; целостность данных, которая достигается с помощью процедур, предотвращающих внесение в БД неверных данных и ее восстановление после отказов системы; луч­ший учет противоречивых требований к использованию БД в различ­ных приложениях, с соответствующим структурированием БД.

Чересстрочная развертка (interlaced scanning) — метод сканирова­ния, при котором данные изображения разделяются на горизонтальные линии, которые воспроизводятся последовательно слева направо и сверху вниз по экрану. Четные и нечетные строки воспроизводятся по­очередно.

Численные данные — записи, содержат таблицы статистических, фи­нансовых и других сведений.

Шлюз — устройство для соединения разнотипных сетей, работаю­щих по разным протоколам связи, в целях обеспечения передачи ин­формации из одной сети в другую.

Экспорт (выгрузка, upload) — утилита (функция, команда) СУБД, служащая для вывода информации из БД (обычно одной из таблиц) в файл(ы) операционной системы, организованные в некотором комму­никативном формате.

Электронная почта — передача сообщений по компьютерной сети. Электронная почта представляет собой вариант почтовой службы, кото­рый предназначен для взаимодействия компьютеров (или терминалов). Дает пользователю возможность отправлять и принимать сообщения и (в некоторых случаях) изображения или речевые послания, предназна­ченные как индивидуальным адресатам, так и группам пользователей (конференции).

Электронная таблица — прикладная программа, используемая обычно для составления бюджета, прогнозирования и других задач, свя­занных с финансами. Документ электронной таблицы состоит из ячеек, сформированных по строкам и колонкам. Каждая ячейка может содер­жать текст, числовые данные или формулу, использующую значения из других ячеек. Для облегчения расчетов в электронной таблице имеются встроенные функции стандартных вычислений.

Элемент данных (элементарное данное) — неделимое именованное данное, характеризующееся типом (напр., символьный, числовой, логи­ческий и пр.), длиной (в байтах) и обычно рассчитанное на размещение в одном машинном слове соответствующей разрядности. Это мини­мальная адресуемая (идентифицируемая) часть памяти — единица дан­ных, на которую можно ссылаться при обращении к данным. Ранние языки программирования (Алгол, Фортран) были рассчитаны на обра­ботку элементарных данных или их простейших агрегатов — массивов (матрицы, векторы). С появлением ЯП Кобол появляется возможность представления и обработки агрегатов разнотипных данных (записей). В реляционных БД элементарное данное есть элемент таблицы. Иногда используется термин «поле записи» в качестве синонима.

Элемент текста — часть текста, ограниченная начальной и конеч­ной метками (при использовании SGML).

Язык манипулирования данными (НМД). ЯМД обычно включает в себя средства запросов к базе данных и поддержания базы данных (до­бавление, удаление, обновление данных, создание и уничтожение БД, изменение определений БД, обеспечение запросов к справочнику БД).

Язык описания данных (ЯОД) — средство внутрисистемного опреде­ления данных, представляющего обобщение внешних взглядов. Описа­ние представляет собой модель данных и их отношений, т. е. структур, из которых образуется БД.

Язык структурированных запросов (SQL). Основной интерфейс пользователя и АБД для запоминания и поиска информации в базе дан­ных для ряда СУБД (Oracle, MS SQL Server и пр.). Включает в себя в качестве подмножеств следующие категории операторов: 1) язык описа­ния данных (ЯОД). Эти операторы определяют (create) или удаляют (drop) объекты базы данных. Примеры: create table, create index, DROP TABLE, rename table; 2) язык управления данными (ЯУД). Эти операторы управляют доступом к данным и к базе данных. Примеры: GRANT CONNECT, GRANT SELECT, UPDATE ON, REVOKE DBA; 3) ЯЗЫК манипулирования данными (ЯМД). Эти операторы запрашивают и обнов­ляют реальные данные. Примеры: select, insert, delete, update.

 

 

Список сокращений

 

АИПС  —  автоматизированная  информационно-поисковая система

АИС — автоматизированная информационная система

БД — база данных

ЕЯ — естественный язык

ИД — информационная деятельность

ИП — информационная потребность

ИПП — информационная потребность пользователя

ИПС — информационно-поисковая система

ИР — информационный ресурс

ИС — информационная система

ИПЯ — информационно-поисковый язык

ЛО — лингвистическое обеспечение

ОД — основная деятельность

ПО — поисковый образ

ПОЗ — поисковый образ запроса

ПОД — поисковый образ документа

ПрО — предметная область