古巴的计算机安全系统设计

引言。

所有技术变革都有其优势，但我们必须意识到它的劣势，信息技术（IT）的使用无疑是无可争议的进步，但其不恰当的使用又引入了不适合社会的新表现。

古巴是世界上最富有的帝国主义力量所封锁的国家，它统治着大型跨国技术公司。在古巴社会信息化准则中，古巴已经知道如何明智而理性地阐明其社会目标。古巴的信息技术是旨在教育的教育手段，不仅适用于学校，而且适用于整个社会。

其观点的发展必须与《古巴社会信息化准则》中概述的社会目标，国际活动（例如在塞内加尔达喀尔举行的世界教育论坛（2000年4月））中提出的战略和目标保持一致。 ，信息社会世界首脑会议在瑞士日内瓦（2003年12月）和土耳其突尼斯会议（2005年12月），伊比利亚美洲教育部长会议（2007年7月智利和2008年5月圣萨尔瓦多）举行，为此目的，教育的使命得到了强调。

它们被用于教育目的，基于我们的火星，马克思主义和菲德尔斯塔意识形态的坚实基础，形成和巩固了革命的价值观和原则，以训练具有道德，精神和道德的受过良好教育的人与我们的社会主义模式相对应的革命。

为此，重要的是要知道，根据Pfleeger的说法，计算机安全是计算领域，其重点是对计算基础架构及其相关的所有内容（包括其中包含的信息）的保护。为此，设计了一系列标准，协议，方法，规则，工具和法律，旨在最大程度地降低基础架构或信息的风险。计算机安全是一个过程，包括软件，数据库，元数据，文件和组织重视（主动）的所有内容，如果它落入他人之手，则会构成风险。这种信息称为特权信息或机密信息。

信息安全性的概念不应与计算机安全性的概念相混淆，因为后者仅负责计算机环境中的安全性，并且能够以不同的媒体或形式查找信息。

《计算机安全计划》的设计是基础文件，该文件建立了实体中计算机安全活动的组织和功能原则，并明确包括了安全策略以及计算机过程中每个参与者的职责。作为可以预防，检测和应对威胁的措施和程序。

在计算机安全系统的设计过程中，分为三个阶段：

1. 确定要分析的计算机系统的保护需求，其中包括：

• 计算机系统的特征，威胁的识别和风险的估计，当前安全状态的评估。

1. 定义并实施安全系统，以确保将第一阶段中确定的风险降至最低。

• 定义安全策略定义要实施的措施和程序。

1. 评估设计的安全系统。

由于上述原因，必须制定长期策略来确定正在发生的计算机化过程中要中断的最敏感元素。该策略必须能够面对和应对可能发生的不同类型的事件，这些事件既来自外部，也来自内部。

此外，它应考虑在不同网络之间建立一种合作机制，以支持和协调它们之间的努力，同时确定和推广这方面的最佳经验。

确定作为研究目标的必要条件：

1. 关键管理系统，特别是数据网络支持的系统，对它们施加的威胁，风险等级和可能的影响确定与这些系统相关的当前和预期依赖程度，制定政策最大限度地降低关键IT资产的风险并实施预防，检测和恢复所需的操作和机制；确定允许建立最低允许可用性水平的参数；建立一个可保证本研究持续进行的系统发生变化和发生事件的基础。

信息是计算机安全的最重要资产，它寻求维护信息的机密性，完整性和可用性，这些概念定义如下：

1. 当只有授权人员可以访问信息时，才会给出保密性；只有授权人员可以根据需要访问信息时，才可以提供信息；完整性是保证除人员以外，信息不会进行任何修改或更改。授权这样做。

如果不满足这三个目标之一，则可以说信息暴露于安全系统和威胁中可以识别的漏洞；后者在实现时成为攻击。

系统中的漏洞可以被识别为弱点，当位于该弱点时会导致对系统的破坏，而威胁则是由可能导致信息破坏和/或信息丢失的多种情况引起的。

前面已经提到，当威胁发生时，它就变成了攻击，可以分为两种类型：主动和被动。

当发生被动攻击时，信息通常不做任何修改，仅访问信息即可进行通信，而不会改变其流量，目的是拦截信息并分析流量。可以引用的示例包括：

• 社会工程监控

但是，当它指主动攻击时，它意味着除获取信息外，它还会进行修改，因为数据流已更改。身份盗用，重新激活和欺诈性降级服务就是这种情况。

社会工程，包括反向社会工程和垃圾箱或Cartoneo的攻击；它基于以下事实：人为因素是安全性中最薄弱的环节。它的基础是操纵人们说服他们进行能够揭示克服安全障碍所必需的信息的行动或行为（Pfleeger，2006年）。

进行监视以观察受害者及其系统，以确定其脆弱性和将来获取信息的可能形式。在这些攻击中，我们有“肩膀冲浪”，“诱饵”或“诱饵”，“网络钓鱼和扫描或搜索”，这些攻击又分为几个类别（Pfleeger，2006年）。

网络钓鱼是入侵者伪装成另一个实体的地方。它通常包括一些其他形式的主动攻击。例如，可以捕获并重复身份验证序列，从而允许未授权实体通过模拟具有那些特权的实体（例如，窃取密码来访问帐户）来访问一系列特权资源。在这些攻击中，我们发现了欺骗及其所有分类，即IP拼接劫持。（Pfleeger，2006年）。

重新激活是指捕获并重复发送一条或多条合法消息以产生不良影响，例如反复将钱存入给定帐户（Pfleeger，2006年）。

服务的欺诈性降级：基于以下事实：现有协议当前设计为在开放社区中使用，并且具有相互信任的关系，因此可以确保，破坏系统的操作比访问它更容易，并且这种攻击旨在防止或抑制对计算和通信资源的正常使用或管理。这些类型的攻击包括DoS（拒绝服务）：干扰或泛洪及其各种分类，Smurf或Broadcast Storm和Email sbombing-spammong（Pfleeger，2006年）。

定义。

威胁：可能导致计算机资产损坏的情况或事件。

风险：发生损坏的可能性。

影响：威胁的实现所造成的损害。

漏洞：评估系统的风险等级。

关键系统：那些可能导致瘫痪或严重影响组织管理的系统。

在计算机安全的最常见缺陷中，我们有：

1. 在大多数组织中，计算机安全管理几乎为零。安全被视为一种产品而不是一个过程。制定计算机安全计划并实施安全控制，直到事件发生之前不做任何事情职责下放计算机安全系统的设计和实施及其管理权下放到计算机领域，而董事则是他们几乎不限制自己批准。从团队的引入或变更，创建新用户到实施新服务，IT员工几乎可以掌控一切，控制和需求不佳（或两者都不存在）。员工的工作，特别是网络管理员的工作，不受监督。没有对数据网络提供的服务进行充分的控制，也没有对这些服务的访问帐户的分配及其使用；对人为因素的低估，没有充分注意对数据服务的选择，准备和认识。个人或控制他们的行为以及义务的要求。安装了防火墙和良好的防病毒软件，并且可以解决问题，而实际上，大多数问题是由人的行为引起的，所有责任都由同一个人承担。任命了一名人员来负责履行此事项上所有义务和责任的担保，包括与组织其他成员相对应的义务和责任。外包的高估。聘请了一家咨询公司来做所有事情，认为您将减少工作量，并获得更多的安全性。安全性不是一次性的问题，而是每一天的不良密码管理。不符合访问密码使用的既定规则，因为它们没有所需的结构和强度，请不要经常更改它们，并且不能保证其隐私。文件，文件夹甚至整个磁盘都与不需要它们的用户共享，并且具有完全访问权限，它们是不分青红皂白的。不会分析操作系统，事件和服务使用的痕迹以检测异常行为的迹象，从而将它们的使用限制在安全事件发生之时。他们没有被保存，由于机制配置不当，漠不关心或故意，通常只保留少数文件，或保留比规定的时间短的时间。不会分析操作系统，事件和服务使用的痕迹以检测异常行为的迹象，从而将它们的使用限制在安全事件发生之时。不保留它们，只有一些保留，或者保留时间比法规规定的时间短，这通常是由于配置不当的机制，冷漠或故意造成的。不执行关键实体信息的备份副本（在服务器和工作站上），以在事件发生后进行有效恢复。通常，不会保存系统和网络配置的副本。既定程序应用不善，无法防止恶意程序的引入和传播可移动媒体。未经授权或控制，随意使用可移动媒体（外部光盘，USB设备，存储卡，CD，DVD）。未正确配置服务器以进行Internet访问，并且它们未根据组织的工作安装正确配置的防火墙，也未安装具有适当规则的入侵检测器或事件警报。未经授权或控制，随意使用可移动媒体（外部光盘，USB设备，存储卡，CD，DVD）。未正确配置服务器以进行Internet访问，并且它们未根据组织的工作安装正确配置的防火墙，也未安装具有适当规则的入侵检测器或事件警报。未经授权或控制，随意使用可移动媒体（外部光盘，USB设备，存储卡，CD，DVD）。未正确配置服务器以进行Internet访问，并且它们未根据组织的工作安装正确配置的防火墙，也未安装具有适当规则的入侵检测器或事件警报。

范围将根据要保护的计算机系统表示计划所涵盖的作用半径，并为此确定了风险并设计了安全系统。明确定义计划范围的重要性（并因此在计划之初将其包括在内）的事实在于，它可以让先验者对计划的生效范围和限制有一个精确的认识。

通过建立人员必须遵守的一般规则，根据实体自身的特征并根据该国当前的政策和设计的安全系统，构成实体应遵循的策略的各个方面。参与计算机系统的软件，这些软件是从风险分析中获得的结果以及法律，法规，决议和其他管理文件中最高实例所定义的结果中得出的。定义计算机安全策略时，将考虑以下方面：

• 方便，安全地使用已安装技术以及所提供的每种服务。通过信息技术进行处理，交换，复制或保存的官方信息所需要的处理，按其类别分类。信息资产的特权和权利，以确保其免受未经授权的修改，丢失或泄露保护有效控制对技术（包括远程访问）及其位置的访问的原则信息的保存和保存与实体外部网络的连接，尤其是全球范围内的网络及其服务的使用。在设计或获取新技术或软件项目时要考虑到计算机安全要求，有关电子邮件监视，审计跟踪管理和访问文件的原则的定义用户。由于这些原因而需要获得技术的技术人员的维护，维修和转让。有关电磁保护系统的认证，安装和使用的法规。与认证有关的法规，必要时安装和使用密码系统处理事件和安全漏洞的一般原则。与电子邮件监视，审计跟踪管理和用户文件访问相关的原则的定义，要求技术人员进行访问，维护，维修和转让的技术人员理由：关于电磁保护系统的认证，安装和使用的法规；与密码系统的认证，安装和使用的法规（必要时）；事故处理的一般原则。和安全漏洞。与电子邮件监视，审计跟踪管理和用户文件访问相关的原则的定义，要求技术人员进行访问，维护，维修和转让的技术人员理由：关于电磁保护系统的认证，安装和使用的法规；与密码系统的认证，安装和使用的法规（必要时）；事故处理的一般原则。和安全漏洞。维修和转让因这些原因而需要使用这些技术的技术人员。关于电磁保护系统的认证，安装和使用的法规。与认证，安装和使用的法规有关的法规加密系统（必要时）处理事件和安全漏洞的一般原则。维修和转让因这些原因而需要使用这些技术的技术人员。关于电磁保护系统的认证，安装和使用的法规。与认证，安装和使用的法规有关的法规加密系统（必要时）处理事件和安全漏洞的一般原则。

因此，有必要强调自1990年以来在我国生效的与计算机安全有关的法律文书：

• INSAC 1992年第3号决议，数据保护条例，MININT 1996年第6号决议，信息安全条例，SIME 1996年第204号决议，信息系统保护和技术安全条例（废除），法令法1999年第199号决议，关于官方信息的安全性和保护，2000年计算机安全计划的方法，2001年计算机安全系统的设计方法，2004年MINFAR-MININT-MIC法，CECM，2007年第6058号协议，准则MIC 2007年第2007号决议，“信息技术安全法规”。

为了保护已为整个实体定义的一般策略，应根据每个对象的保护需求，考虑其执行形式，频率，参与人员和手段。

它基于可用资源，并根据实现的安全级别，将制定计算机安全计划，其中包括分阶段执行以实现更高级别的操作。

将根据其性质，使用的人力资源，技术手段或人员必须遵守的措施和程序分别描述所实施的安全控制。

1. 人力资源：此处将参考已实施的安全系统中人员的角色，定义人员在其设计，建立，控制，执行和更新方面的职责和功能。

将描述实体中为管理计算机安全性而设想的结构，并指定不同类别人员的权力和职能，其中包括：不同级别的领导者（实体负责人，部门负责人，部门负责人和部门成员）等效的作​​品或结构）；IT经理和专家；网络，系统和应用程序管理员；安全和保护专家；负责计算机安全和信息技术的普通用户。

1. 技术安全性手段：将描述用于在软件和硬件级别上保证足够的安全性级别的技术手段及其配置。为此，将考虑以下因素：

• 已安装的操作系统和安全级别，所使用的网络类型及其拓扑，与实体外部网络的连接，内部和外部使用的服务器，服务的配置，保护屏障及其体系结构。托管堡垒，代理系统等。数据包筛选管理和监视工具启用跟踪和审核子系统设置系统警报密码保护系统用户标识和身份验证设备防止有害程序。特殊安全软件。入侵检测技术手段。软盘锁。保护设备和组件不被盗的保护装置。接地系统。电磁保护。备用电源。消防手段空调手段其他

1. 计算机安全措施和程序。

在本计划的此部分中，将列出第5.1节中提到的人员必须在每个特定区域内执行的操作，并与第4节中建立的整个实体的一般政策相一致，并在帮助下，在需要的情况下，请按照5.2中描述的技术手段，根据每种受保护计算机资产的估计风险的权重，将其调整为满足其中每种保护需求。

在不同领域中特别需要的计算机安全措施和程序（不要与一般策略相混淆），将被清晰，准确地定义，避免那些必须执行它们，对相关各方是强制性的。

它的措词应尽可能简洁明了，明确指出在每种情况下应遵循的步骤，以避免可能的错误解释，以便负责它的人员可以忠实地执行这些步骤，而无需任何其他其他帮助。 。如果所有内容都作为附件分组，则使用的格式如下：

• 过程名称（标题）：要执行的操作顺序。

在每种情况下都指定：完成的工作，完成的方法和执行的人员，以及实现该任务所需的资源。

需要考虑的一些步骤如下：

• 授予（撤回）人们对信息技术的访问权限以及对信息技术的控制方式；向用户分配（撤回）文件和数据的权限；向用户授权（拒绝）服务。 （例如：电子邮件，Internet）定义工作资料，信息技术的进入/退出的授权和控制，根据密钥的长度和组成，密钥的频率，针对每个级别考虑密钥的类型来管理访问代码。根据地区的工作方式进行备用齐射，以使齐射保持最新状态，并采取行动建立保障，确保根据信息的机密性对信息进行分隔，并确保在负责人员在场的情况下对设备，媒体和数据进行维护，并确保在设备移出现场时进行维护。实体会从物理上抹去或保护机密或受限制的信息的披露，保存并分析记录或审核记录，指定执行人员和执行频率，并将根据《计算机安全法规》中的定义进行指定，与处理，交换的信息类型相对应的被认为是至关重要且保留的区域，复制或保持相同或可能影响实体的影响，影响其中所含资产或资源的影响，并与每个实体中应用的特定措施和程序相关。 （例如：限制进入场所的限制，使用安全锁的程序以及用于入侵检测的技术设备等。）使用直接应用于信息技术的实物保护技术手段的措施和程序需要它们预期的功能或它们所在区域的工作条件。 （例如：使用软盘锁，机箱锚，处理器点火锁等。）用于场所中具有高度机密性或敏感性的信息处理的信息技术的位置，以便避免在远处看到信息，最大程度地降低捕获电磁辐射的可能性，并确保更好的护理和在现有信息技术的开发，保护，维护和转让过程中，确保对现有信息技术进行控制的措施和程序。确保在开发，保存，维护和转移过程中对现有信息技术进行控制的措施和程序。确保在开发，保存，维护和转移过程中对现有信息技术进行控制的措施和程序。

信息体制将描述在磁性信息媒体上建立的控制体制，其中包括：

• 与授权在实体内使用的可移动介质的标识（包括其物理和逻辑标识）有关，介质的保存条件，规定了保证所收集信息的完整性和机密性的措施。为确保在达到目的后删除或物理破坏媒体中包含的机密或有限信息而制定的程序和程序；为在传输过程中确保机密或有限信息的完整性和机密性而建立的措施和程序的支持。

技术或逻辑将指定已建立的安全措施和过程，其实现是通过软件，硬件或两者来实现的。

用户识别将说明用于识别现有系统，服务和应用程序的用户的方法，并指定：

• 如何分配用户标识符如果存在标准的用户标识符结构，则由谁分配用户标识符一旦确定了使用它们的需求，如何删除用户标识符，以及如何确保这些不再使用，请检查分配的用户标识符的使用过程和有效性。

用户身份验证将说明用于验证现有系统，服务和应用程序的用户身份的身份验证方法。

当使用特定的认证设备时，将描述其使用。在通过密码使用简单身份验证的情况下，将指定以下内容：

• 密码的分配方式使用的密码类型（设置，屏幕保护程序，应用程序等）。为保证系统，服务和应用程序中使用的密码强度，建立了更改的结构和周期性。估计的风险权重相同。在确定的期限结束之前促使密码更改的原因。

对资产和资源的访问控制将描述确保对信息资产和计算机资源进行授权访问而需要对其使用施加限制的措施和程序，并指定：

• 对哪些资产和资源实施访问控制措施；使用的访问控制方法；谁授予访问权限和特权；谁授予访问权限和特权；如何授予和暂停权限。访问。

对资产和资源的访问控制必须基于“最小特权”策略，即仅向每个用户授予实现分配给他们的功能所需的权利和特权。

文件和数据的完整性将描述建立的措施和过程，以避免未经授权的修改，破坏和丢失文件和数据，并防止公开访问它们，并指定：

• 在操作系统，应用程序或这两个级别上实施的安全措施，用于限制和控制对数据库的访问；保证软件完整性和技术手段的配置的措施；使用加密手段保护文件和文件的安全措施。数据：为防止可能影响操作系统的病毒和其他有害程序而建立的措施和程序，并防止其泛化，并指定使用的防病毒程序及其安装和更新方式。

审核和警报将描述为在网络和已安装的系统中注册和分析审核记录而实施的措施和程序，以便监视所执行的操作（对文件，设备的访问，服务的使用等）。 ），并出于安全目的检测可能会影响计算机系统稳定性或操作的相关事件的指示。

在使用允许检测可能的配置错误或其他漏洞的专用软件的情况下，将描述所需的过程。另外，保证审核机制和记录完整性的措施将它们的访问权限仅限制于授权这样做的人员。

作业的安全性将包括与识别和控制作业中的技术有关的措施和程序，特别是那些处理机密信息的措施和程序。控制信息技术实体（便携式计算机，外围设备，支持等）中的进入和退出。

• 建立了保存信息的方法，规定了信息的周期性，职责，版本号等）。

意外情况下的恢复，任何可能使计算机活动的全部或部分瘫痪或降低其运行能力的事件的中和与恢复的措施和程序，从而最大程度地减少了这些对实体的负面影响。

根据在风险分析中获得的结果，将确定要采取的措施，以消除那些最可能发生的威胁，如果这些威胁具体化，以及恢复受影响的流程，服务或系统。

结论

计算机安全必须集成旨在从政治和意识形态角度为计算机安全进行坚实准备的组件，在这种情况下，道德价值的问题和困境在我们的社会中因使用不当行为而受到影响。技术，计算机安全性的基础，其基本概念，策略，规则和法规的知识，日常任务或活动中的计算机安全性，例如计算机技术对其性能至关重要的必要知识，违反计算机安全性，计算机病毒，访问密码的需求，防止使用外部设备的措施，信息备份的需求，计算机工具和应用程序中的配置是一些工具和应用程序的必要知识，这些工具和应用程序对于电子邮件，即时消息，办公应用程序，操作系统更新，防病毒以及检测和报告事件的性能至关重要。计算机安全的要素旨在促进教学工具和过程，以帮助计算机技术和网络的用户发挥作用，以图解，动机和对本主题的意识作为一种教育方式。需要检测并报告事件。计算机安全的要素旨在促进教学工具和过程，以帮助计算机技术和网络的用户发挥作用，以图解，动机和对本主题的意识作为一种教育方式。需要检测并报告事件。计算机安全的要素旨在促进教学工具和过程，以帮助计算机技术和网络的用户发挥作用，以图解，动机和对本主题的意识作为一种教育方式。

参考书目。

• 西德罗机械工业部（SIME）DISAIC咨询公司的计算机安全培训，2010年4月，阿曼多的加西亚·加西亚。计算机安全，法律基础。SCDI研讨会Ciego deÁvila，2012年11月，马里奥·阿伦西亚·冈萨雷斯（ArencibiaGonzález）。选择计算机伦理读物。哈瓦那：锡，2006年。阿尔泰加（Arteaga），查孔（Chacón）等人：古巴教育的道德层面。社论《普韦布洛·伊杜卡西翁》，2006年，米歇尔·约尔。计算机攻击通常利用安全漏洞。2009.PFLEEGER，CHARLES P.计算安全（第4版）ISBN：978-0-13-239077-4。2006年。

下载原始文件