Шпаргалка по "Программированию"

Билет №10

1. Пользовательский интерфейс и его эргономика. Интерфейс ИС как сценарий поведения пользователя. Роль графического дизайна в ИС.

Интерфе́йс  по́льзователя, он же по́льзовательский  интерфейс (UI — англ. user interface) — разновидность интерфейсов, в котором одна сторона представлена человеком (пользователем), другая — машиной/устройством. Представляет собой совокупность средств и методов, при помощи которых пользователь взаимодействует с различными, чаще всего сложными, с множеством элементов, машинами и устройствами.

Интерфейс двунаправленный — устройство, получив команды от пользователя и исполнив их, выдаёт информацию обратно, наличествующими у неё средствами (визуальными, звуковыми и т. п.), приняв которую, пользователь выдаёт устройству последующие команды предоставленными в его распоряжение средствами (кнопки, переключатели, регуляторы, сенсоры, голосом, и т. д.).

Эргономика  включается в процессы разработки и  тестирования программного продукта как  часть системы качества. Разработка пользовательского интерфейса (ПИ) ведется параллельно дизайну программного продукта в целом и в основном предшествует его имплементации. Процесс разработки ПИ разбивается на этапы жизненного цикла:

1. Анализ  трудовой деятельности пользователя, объединение бизнес-функций в роли.

2. Построение  пользовательской модели данных, привязка объектов к ролям  и формирование рабочих мест.

3. Формулировка  требований к работе пользователя  и выбор показателей оценки  пользовательского интерфейса.

4. Разработка  обобщенного сценария взаимодействия пользователя с программным модулем (функциональной модели) и его предварительная оценка пользователями и Заказчиком.

5. Корректировка  и детализация сценария взаимодействия, выбор и дополнение стандарта  (руководства) для построения  прототипа.

6. Разработка  макетов и прототипов ПИ и  их оценка в деловой игре, выбор  окончательного варианта.

7. Имплементация  ПИ в коде, создание тестовой  версии.

8. Разработка  средств поддержки пользователя (пользовательские словари, подсказки,  сообщения, помощь и пр.) и их встраивание в программный код.

9. Usability тестирование тестовой версии  ПИ по набору раннее определенных  показателей. 

10. Подготовка  пользовательской документации  и разработка программы обучения.

Эргономические  цели и показатели качества программного продукта

Приложение  разрабатывается для обеспечения  работы пользователя, т.е. для того чтобы  он с помощью компьютерной программы  быстрее и качественнее решал  свои производственные задачи.

С точки  зрения эргономики, самое важное в  программе — создать такой пользовательский интерфейс, который сделает работу эффективной и производительной, а также обеспечит удовлетворенность пользователя от работы с программой.

Эффективность работы означает обеспечение точности, функциональной полноты и завершенности при выполнении производственных заданий на рабочем месте пользователя. Создание ПИ должно быть нацелено на показатели эффективности:

Точность  работы

-определяется тем, в какой степени произведенный пользователем продукт (результат работы), соответствует предъявленным к нему требованиям. Показатель точности включает процент ошибок, которые совершил пользователь: число ошибок набора, варианты ложных путей или ответвлений, число неправильных обращений к данным, запросов и пр.

Функциональная  полнота 

-отражает степень использования первичных и обработанных данных, списка необходимых процедур обработки или отчетов, число пропущенных технологических операций или этапов при выполнении поставленной пользователю задачи. Этот показатель может определяться через процент применения отдельных функций в РМ.

Завершенность работы

-описывает степень исполнения производственной задачи средним пользователем за определенный срок или период, долю (или длину очереди) неудовлетворенных (необработанных) заявок, процент продукции, находящейся на промежуточной стадии готовности, а также число пользователей, которые выполнили задание в фиксированные сроки.

2. Защита информации в ИТ. Основные технологические решения. Шифрование данных. Общая характеристика алгоритмов шифрования, схемы работы.

Вариант первый: парольный

Пользователь  вводит некоторый пароль, на основе которого (с использованием, например, хэш-функции) генерируется ключ шифрования. Фактически надежность системы в  этом случае определяется только сложностью и длиной пароля. Но надежные пароли неудобны: запомнить бессмысленный набор из 10—15 символов и вводить его каждый для получения доступа к данным не так просто, а если таких паролей несколько (допустим, для доступа к разным приложениям), то и вовсе нереально. Парольная защита также подвержена атакам методом прямого перебора, а установленный клавиатурный шпион легко позволит злоумышленнику получить доступ к данным.

Вариант второй: внешнее хранение

На внешнем  носителе размещаются некоторые  данные, используемые для генерации ключа шифрования. Простейший вариант — использовать файл (так называемый ключевой файл), находящийся на дискете (компакт-диске, USB-флэш-устройстве и т. п.) Этот способ надежнее варианта с паролем. Для генерации ключа служит не десяток символов пароля, а значительное количество данных, например, 64 или даже 128 байт.

В принципе ключевой файл можно разместить и  на жестком диске компьютера, но значительно безопасней хранить  его отдельно от данных. Не рекомендуется  в качестве ключевых файлов использовать файлы, создаваемые какими-либо общеизвестными приложениями (*.doc, *xls, *.pdf и т. д.) Их внутренняя структурированность может дать злоумышленнику дополнительную информацию. Например, все файлы, созданные архиватором WinRAR, начинаются с символов «Rar!» — это целых четыре байта.

Недостаток  данного способа — возможность  для злоумышленника легко скопировать  файл и создать дубликат внешнего носителя. Таким образом, пользователь, даже на короткое время утративший контроль над этим носителем, фактически уже не может быть на 100% уверен в конфиденциальности своих данных. В качестве внешнего носителя иногда применяются электронные USB-ключи или смарт-карты, но при этом данные, используемые для генерации ключа шифрования, просто сохраняются в памяти этих носителей и так же легко доступны для считывания.

Вариант третий: защищенное внешнее хранение

Данный  способ во многом схож с предыдущим. Важное его отличие в том, что  для получения доступа к данным на внешнем носителе пользователь обязательно  должен ввести PIN-код. В качестве внешнего носителя используются токены (электронные USB-ключи или смарт-карты). Данные, используемые для генерации ключа шифрования, размещаются в защищенной памяти токена и не могут быть прочитаны злоумышленником без знания соответствующего PIN-кода (рис. 3).

Утрата  токена еще не означает раскрытия  самой информации. Для защиты от прямого подбора PIN-кода ставится аппаратная временная задержка между двумя  последовательными попытками или  аппаратное же ограничение на количество неправильных попыток ввода PIN-кода (например, 15), после чего токен просто блокируется.

Поскольку токен может использоваться в  разных приложениях, а PIN-код один и  тот же, можно обманным путем вынудить пользователя ввести свой PIN-код в  подложной программе, после чего считать необходимые данные из закрытой области памяти токена. Некоторые приложения кэшируют значение PIN-кода в рамках одного сеанса работы, что также несет в себе определенный риск.

Вариант четвертый: смешанный

Возможен  вариант, когда для генерации  ключа шифрования одновременно используются пароль, ключевой файл на внешнем носителе и данные в защищенной памяти токена.  Такой способ довольно сложен в повседневном использовании, поскольку требует от пользователя дополнительных действий.

Многокомпонентная система также значительно сильнее подвержена рискам утраты доступа: достаточно потерять один из компонентов, и доступ без использования заранее созданной резервной копии становится невозможен.

Вариант пятый: с асимметричным  шифрованием

Отдельного  рассмотрения заслуживает один подход к организации безопасного хранения мастер-ключа, лишенный основных недостатков описанных выше вариантов. Именно этот способ представляется нам оптимальным.

Дело  в том, что современные токены позволяют не только хранить в  закрытой памяти данные, но выполняют аппаратно целый ряд криптографических преобразований. Например, смарт-карты, а также USB-ключи, представляющие собой полнофункциональные смарт-карты, а не их аналоги, реализуют асимметричные алгоритмы шифрования. Примечательно, что при этом пара открытый — закрытый ключ генерируется также аппаратно. Важно, что закрытый ключ на смарт-картах хранится как write-only, т. е. он используется операционной системой смарт-карты для криптографических преобразований, но не может быть прочитан или скопирован пользователем. Фактически пользователь сам не знает свой закрытый ключ — он только им обладает.

Данные, которые необходимо расшифровать, передаются операционной системе смарт-карты, аппаратно ею расшифровываются с  помощью закрытого ключа и передаются обратно в расшифрованном виде (рис. 6). Все операции с закрытым ключом возможны только после ввода пользователем PIN-кода смарт-карты. Такой подход успешно используется во многих современных информационных системах для аутентификации пользователя. Применим он и для аутентификации при доступе к зашифрованной информации.

Мастер-ключ шифруется с помощью открытого  ключа пользователя. Для получения  доступа к данным пользователь предъявляет  свою смарт-карту (или USB-ключ, являющийся полнофункциональной смарт-картой) и вводит ее PIN-код. Затем мастер-ключ аппаратно расшифровывается с помощью закрытого ключа, хранящегося на смарт-карте, и пользователь получает доступ к данным. Такой подход сочетает в себе безопасность и удобство использования.

Создать дубликат смарт-карты не может даже сам пользователь, так как невозможно скопировать закрытый ключ. Это также позволяет без опасения использовать смарт-карту совместно с любыми другими программами.

Методы  пароллирования.

1) метод  простого пароля - состоит во вводе  одного пароля с клавиатуры  ЭВМ 2) метод выборки символов - состоит в запросе системой определенных символов пароля, выбираемых случайным образом 3) метод пароля однократного использования - каждый раз вводится новый пароль из своего списка, затем этот пароль вычеркивается из списка 4) метод групп паролей - система может потребовать пароли из 2 групп: общие для всех пользователей вопросы и индивидуальные для каждого вопросы 5) метод функционального преобразования - пользователю при регистрации предлагается произвести умственные преобразования (например, одно число + удвоенное второе число и т.д.). Правила работы с паролями: 1) пароли должны хранится в памяти только в зашифрованном виде 2) символы пароля при их вводе не должны появляться в явном виде 3) пароли должны периодически меняться 4) пароли не должны быть простыми. Для проверки сложности паролей используются контроллеры. Методы снижения уязвимости паролей: 1) не использовать в кач-ве паролей слова, применяемы котроллером Klein 2) проверить пароли перед их использованием контроллером 3) часто менять пароли 4) при формировании паролей применять знаки препинаний и различные регистры 5) использовать наборы букв.

Метод замков и ключей.

Список  замков представляет собой столбец  матрицы доступа. Доступ разрешается  если ключ подходит к одному из замков, владелец объекта может отменить доступ удалением из списка замков.

     Под шифром понимают совокупность процедур и правил криптографических преобразований, используемых для зашифровывания и расшифровывания информации по ключу шифрования. Под зашифровыванием информации понимается процесс преобразования открытой информации (исходный текст) в зашифрованный текст (шифртекст). Процесс восстановления исходного текста по криптограмме с использованием ключа шифрования называют расшифровыванием (дешифрованием).