Архитектура механизмов защиты информации в сетях ЭВМ

Архитектуру механизмов защиты информации можно рас-мотреть на примере эталонной модели взаимодействия откры­тых систем - ВОС (см. ранее гл. 6).

Основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели изложены в международном стандарте ISO/I EC 7498-2 «Базовая эталонна модель взаимодействия открытых систем, часть 2 «Архитектура безопасности». В самом наименовании ВОС термин открытые подразумевает, что если вычислительная система соответствует стандартам ВОС, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это естественно относится и к вопросам защиты информации.

В ВОС различают следующие основные активные способы несанкционированного доступа к информации:

• маскировка одного логического объекта под другой, обла­дающий большими полномочиями (ложная аутентификация абонента);

• переадресация сообщений (преднамеренное искажение адресных реквизитов);

• модификация сообщений (преднамеренное искажение информационной части сообщения);

• блокировка логического объекта с целью подавления неко­торых типов сообщений (выборочный или сплошной перехват сообщений определенного абонента, нарушение управ­ляющих последовательностей и т. п.).

Поскольку эталонная модель относится только к взаимосвя­зи открытых систем, то и защита информации рассматривается в том же аспекте. Прежде всего, приведём перечень видов услуг, предоставляемых по защите информации, которые обеспечива­ются с помощью специальных механизмов защиты. В настоящее время определено четырнадцать таких услуг:

1) аутентификация равнозначного логическо­го объекта (удостоверение подлинности удаленного абонен­та-получателя) — обеспечивается во время установления их со­единения или во время нормального обмена данными для гаран­тии того, что равноправный логический объект, с которым осуществляется взаимодействие, является тем, за кого себя вы­дает. Для аутентификации равнозначного логического объекта требуется, чтобы лежащий ниже уровень обеспечивал услуги с установлением соединения;

2) аутентификация источника данных — подтверждение подлинности источника (абонента-отправителя) со­общения. Эта услуга не ориентирована на соединение и не обеспечивает защиту от дублирования («проигрывания» ранее пер хваченного и записанного нарушителем) блока данных;

3) управление доступом (разграничение доступа) — обес­печивает защиту от несанкционированного доступа к ресурсам, потенциально доступным посредством ВОС. Доступ может быть ограничен полностью или частично. Например, для информаци­онного ресурса может быть ограничен доступ по чтению, запи­си, уничтожению информации;

4) засекречивание соединения — обеспечивает конфиденциальность всех сообщений, передаваемых пользовате­лями в рамках данного соединения. Данная услуга направлена на предотвращение возможности ознакомления с содержанием сообщений со стороны любых лиц, не являющихся легальными пользователями соединения. При этом в некоторых случаях нет необходимости в защите срочных данных и данных в запросе на установление соединения;

5) засекречивание в режиме без установления соединения — обеспечивает конфиденциальность всех дан­ных пользователя в сообщении (единственном сервисном блоке данных), передаваемом в режиме без установления соединения;

6) засекречивание поля данных — обеспечивает конфиденциальность отдельных полей данных пользователя на всем соединении или в отдельном сервисном блоке данных;

7) засекречивание трафика — препятствует возмож­ности извлечения информации из наблюдаемого графика;

8) целостность соединения с восстановлени­ем — позволяет обнаружить попытки вставки, удаления, моди­фикации или переадресации в последовательности сервисных блоков данных. При нарушении целостности предпринимается попытка ее восстановления;

9) целостность соединения без восстановле­ния — обеспечивает те же возможности, что и предыдущая услуга, но без попытки восстановления целостности;

10) целостность поля данных в режиме с уста­новлением соединения — обеспечивает целостность от­дельного поля данных пользователя во всем потоке сервисных блоков данных, передаваемых через это соединение, и обнару­живает вставку, удаление, модификацию или переадресацию этого поля;

11)целостность поля данных в режиме без ус­тановления соединения — позволяет обнаружить моди­фикацию выбранного поля в единственном сервисном блоке данных;

12) целостность блока данных в режиме без установления соединения — обеспечивает целостность единственного сервисного блока данных при работе без установления соединения и позволяет обнаружить модификацию и не­которые формы вставки и переадресации;

13) информирование об отправке данных — по­зволяет обнаружить логические объекты, которые посылают ин­формацию о нарушении правил защиты информации. Информирование об отправке предоставляет получателю информацию о факте передачи данных в его адрес, обеспечивает подтвержде­ние подлинности абонента-отправителя. Услуга направлена на предотвращение отрицания отправления, т. е. возможности отказа от факта передачи данного сообщения со стороны отпра­вителя;

14) информирование о доставке — позволяет обна­ружить логические объекты, которые не выполняют требуемых действий после приема информации, предоставляет отправите­лю информацию о факте получения данных адресатом. Услуга направлена на предотвращение отрицания доставки, т. е. обес­печивает защиту от попыток получателя отрицать факт получе­ния данных.

Теоретически доказано, а практика защиты сетей подтверди­ла, что все перечисленные услуги могут быть обеспечены крип­тографическими средствами защиты, в силу чего эти средства и составляют основу всех механизмов защиты информа­ции в ВС. Центральными при этом являются следующие задачи:

• взаимное опознавание (аутентификация) вступающих в связь абонентов сети;

• обеспечение конфиденциальности циркулирующих в сети данных;

• обеспечение юридической ответственности абонентов за передаваемые и принимаемые данные.

Решение последней из названных задач обеспечивается с по­мощью так называемой цифровой (электронной) под­писи.

К настоящему времени разработан ряд протоколов аутенти­фикации, основанных на использовании шифрования, которые обеспечивают надежную взаимную аутентификацию абонентов вычислительной сети без экспозиции любого из абонентов. Эти протоколы являются стойкими по отношению ко всем рассмот­ренным выше угрозам безопасности сети.

Любая СУБД есть полная или частичная реализация некото­рой политики безопасности, которая может содержать или не содержать криптографические механизмы безопасности. Основ­ной проблемой использования криптографических методов для зашиты информации в СУБД является проблема распределения ключей шифрования, управления ключами.

Ключи шифрования для баз данных требуют использования специфических мер защиты. Если база данных разделяется меж­ду многими пользователями (что, как правило, и имеет место на практике), то предпочтительно хранить ключи в самой системе под защитой главного ключа, чем распределять ключи прямо между пользователями. Сама задача управления при этом может возлагаться на пользователя. Вторичные ключи могут храниться либо в самой базе данных, либо в отдельном файле.

Отметим, что любой протокол шифрования должен отвечать на следующие основные вопросы:

1) каким образом устанавливается первоначальный канал связи между отправителем и получателем с операциями «откры­тый текст — шифротекст — открытый текст»?

2) какие предоставляются средства для восстановления про­цесса обмена и восстановления синхронизации протокола?

3) каким образом закрываются каналы?

4) каким образом взаимодействуют протоколы шифрования с остальными протоколами сети?

5) каков объем необходимого математического обеспечения для реализации протоколов шифрования и зависит ли безопас­ность сети от этих программ?

6) каким образом адресация открытого текста, проставляемая отправителем, проходит через средства информации в сети, что­бы предотвратить пути, по которым данные открытого текста могли бы быть намеренно или случайно скомпрометированы?

Желательно иметь протокол, который позволяет производить Динамическое открытие и закрытие канала, обеспечивать защиту от сбоев и все это с минимальными объемами механизма, от ко­торого зависит безопасность сети. Характеристики сети, полу­чающиеся при использовании соответствующего протокола шифрования, должны сравниваться с характеристиками сети без использования протоколов шифрования. Несомненно, что предпочтительней использование общего сетевого протокола, который мог бы встраиваться в сеть с минимальным нарушением су­ществующих механизмов передачи.

Механизм управления доступом, предназначенный для рея лизации соответствующего вида перечисленных выше услуг основан на идентификации логического объекта (или информации о нем) для проверки его полномочий и разграничения доступа.

Если логический объект пытается получить доступ к ресурсу использование которого ему не разрешено, механизм управле­ния доступом (в основе которого также наиболее эффективными средствами являются криптографические) отклонит эту попытку и сформирует запись в специальном системном журнале для по­следующего анализа. Механизмы управления доступом могут быть основаны на:

1) информационных базах управления доступом, где содер­жатся сведения о полномочиях всех логических объектов;

2) системах управления криптографическими ключами, обес­печивающими доступ к соответствующей информации;

3) идентифицирующей информации (такой, как пароли), предъявление которой дает право доступа;

4) специальных режимах и особенностях работы логического объекта, которые дают право доступа к определенным ресурсам;

5) специальных метках, которые будучи ассоциированы с конкретным логическим объектом, дают ему определенные пра­ва доступа;

6) времени, маршруте и продолжительности доступа.

Механизмы удостоверения целостности данных подразделя­ются на два типа: обеспечивающие целостность единственного блока данных и обеспечивающие целостность потока блоков данных или отдельных полей этих блоков. Целостность единст­венного блока данных достигается добавлением к нему при пе­редаче проверочной величины (контрольной суммы, имитов-ставки), которая является секретной функцией самих данных. При приеме генерируется (формируется) такая же величина и сравнивается с принятой. Защита целостности последовательно­сти блоков данных требует явного упорядочения блоков с помощью их последовательной нумерации, криптографического упо­рядочения или отметки времени.

Механизмы аутентификации (взаимного удостоверения под­линности) абонентов, вступающих в связь, используют пароли, криптографические методы, а также характеристики и взаимоот­ношения подчиненности логических объектов. Криптографиче­ские методы могут использоваться в сочетании с протоколами

взаимных ответов («рукопожатия») для защиты от переадреса­ции. Если обмен идентификаторами не даст положительного ре­зультата, то соединение отклоняется или заканчивается с соот­ветствующей записью в системном журнале и выдачей сообще­ния об этом событии.

Механизм заполнения трафика используется для защиты от попыток анализа трафика. Он эффективен только в случае шиф­рования всего трафика, когда нельзя отличить информацию от заполнения.

Механизм управления маршрутизацией позволяет использо­вать только безопасные с точки зрения защиты информации фрагменты сети, участки переприема, коммуникации, звенья. Может быть запрещена передача некоторых данных по опреде­ленным маршрутам, или оконечная система, обнаружив воздей­ствие на ее информацию, может потребовать предоставить ей маршрут доставки данных, обеспечивающий их конфиденциаль­ность и целостность.

Механизм нотариального заверения обеспечивается участием третьей стороны — «нотариуса», позволяет подтвердить целост­ность данных, удостоверить источник и приемник данных, вре­мя сеанса связи и т. п.

Пример системы защиты локальной вычислительной сети

Для иллюстрации приведем краткое описание системы за­щиты локальной вычислительной сети на основе ОС Novell NetWare, известной под названием «Secret NET».

Назначение системы защиты. Система защиты «Secret NET» (далее по тексту Система защиты) предназначена для обеспече­ния защиты хранимой и обрабатываемой в локальной вычисли­тельной сети (ЛВС) информации от несанкционированного дос­тупа (ознакомления, искажения, разрушения) и противодейст­вия попыткам нарушения нормального функционирования ЛВС ^и прикладных систем на ее основе.

В качестве защищаемого объекта выступает ЛВС персональ­ных ЭВМ, работающих под сетевой операционной системой Novell NetWare 3.1x (файловые серверы), объединенных при по­мощи сетевого оборудования Ethernet, Arcnet или Token-Ring.

Максимальное количество защищенных станций — 256, защи­щенных файловых серверов — 8, уникально идентифицируемых пользователей — 255.

Система защиты позволяет решать следующие задачи:

• защита от лиц, не допущенных к работе с системой обра­ботки информации;

• регламентация (разграничение) доступа законных пользо­вателей и программ к информационным, программным и аппаратным ресурсам системы в строгом соответствии с принятой в организации политикой безопасности;

• защита ЭВМ сети от внедрения вредоносных программ (за­кладок), а также инструментальных и технологических средств проникновения;

• обеспечение целостности критических ресурсов Системы защиты и среды исполнения прикладных программ;

• регистрация, сбор, хранение и выдача сведений обо всех событиях, происходящих в сети и имеющих отношение к ее безопасности;

• централизованное управление средствами Системы защиты. Для решения перечисленных задач Система защиты включа­ет следующие подсистемы (ПС):

• идентификации и аутентификации пользователей;

• разграничения доступа к ресурсам;

• контроля целостности;

• регистрации;

• управления средствами защиты (администрирования). Общее содержание функций подсистем заключается в сле­дующем.

ПС идентификации и аутентификации. Выполняет функцию идентификации/аутентификации (проверки подлинности) поль­зователя при каждом его входе в Систему, а также после каждой приостановки его работы. Для идентификации в системе каждо­му пользователю присваивается уникальное имя. Обеспечивает­ся работа с именами длиной до 12 символов (символов латин­ского алфавита и специальных символов). Вводимое имя отобра­жается на экране рабочей станции.

Проверка подлинности пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился. Проверка осуществляется путем проверки правильности введенного пароля.

Поддерживается работа с паролями длиной до 16 символов. Вво­димый пароль не отображается на экране рабочей станции.

При неправильно введенном пароле на экран выдается сооб­щение об ошибке и подается звуковой сигнал. При трехкратном неверном вводе пароля блокируется клавиатура, выдается сооб­щение о попытке НСД на сервер управления доступом и осуще­ствляется оперативное оповещение администратора безопасно­сти, регистрируется попытка НСД в системном журнале и выда­ется звуковой сигнал.

Пароли администратора и всех пользователей системы хра­нятся в зашифрованном виде и могут быть изменены как адми­нистратором безопасности, так и конкретным пользователем (изменение только своего пароля) с помощью специальных про­граммных средств.

Для повышения защищенности идентификация/аутентифи­кация пользователя может проводиться до загрузки операцион­ной системы. Это обеспечивается специальным техническим устройством (микросхемой ПЗУ или платой Secret NET Card).

ПС разграничения доступа. Реализует концепцию диспетчера доступа, при которой ПС является посредником при всех обра­щениях субъектов к объектам доступа (попытки обращения к объекту в обход ПС приводят к отказу в доступе); может рабо­тать в одном из двух режимов функционирования: основном и технологическом.

Технологический режим предназначен для точного определения объектов, к которым должен иметь доступ пользо­ватель, и прав доступа к ним. При работе в этом режиме Систе­ма только регистрирует все попытки доступа к защищаемым ре­сурсам в системном журнале и выдает предупреждающие сооб­щения на экран.

В основном режиме Система защиты не только реги­стрирует попытки доступа к защищаемым ресурсам, но и бло­кирует их.

Пользователю предоставлена только возможность назначе­ния прав доступа других пользователей к принадлежащим ему (созданным им) объектам.

Для реализации избирательного управления доступом под­система поддерживает замкнутую среду доверенного программ­ного обеспечения (с помощью индивидуальных для каждого пользователя списков программ, разрешенных для запуска). Создание и ведение списков программ возложено на администратора. Для этого в его распоряжении имеются специальные программные средства.

Для совместного использования программ и данных Система защиты предусматривает возможность объединения пользовате­лей в группы. Права доступа группы наследуются всеми пользо­вателями этой группы.

ПС обеспечивает контроль доступа субъектов к следующим объектам:

• физическим и логическим устройствам (дискам, принтерам);

• каталогам дисков;

• файлам;

• физическим и логическим секторам дисков.

В подсистеме реализована сквозная иерархическая схема действия прав доступа к локальным объектам рабочей станции, при которой объект нижнего уровня наследует права доступа объектов доступа верхних уровней (диск — каталог — файл).

Права доступа пользователя к объектам системы могут при­нимать следующие значения:

• запрет доступа — пользователь не имеет возможности выполнять с объектом какие-либо действия;

• наличие доступа — в этом случае уровень доступа может быть одним из следующих: доступ на чтение, доступ на за­пись, доступ на исполнение (субъект может только запус­тить объект на исполнение).

ПС контроля целостности. В системе контролируется цело­стность следующих объектов: операционных систем локальных рабочих станций, программ Системы защиты, файлов паспортов пользователей и системных областей локальных дисков рабочих станций, а также файлов пользователей (по требованию пользо­вателей). Контроль осуществляется методом контрольного сум­мирования с использованием специального алгоритма и производится периодически администратором. Для этого ему предо­ставлены соответствующие программные средства.

В случае обнаружения нарушения целостности контролируе­мых объектов производится регистрация этого события в сис­темном журнале и оперативное оповещение администратора. В случае нарушения целостности системных областей диска, кроме того, производится их восстановление с использованием резервных копий.

П C регистрации событий безопасности — обеспечивает:

• ведение и анализ журналов регистрации событий безопас­ности (системных журналов), причем журнал регистрации ведется для каждой рабочей станции сети;

• оперативное ознакомление администратора с системным журналом любой станции и с журналом событий об НСД;

• получение твердой копии системного журнала;

• преобразование содержимого системных журналов в фор­мат DBF для их дальнейшего анализа;

• объединение системных журналов и их архивирование;

• оперативное оповещение администратора о нарушениях безопасности.

ПС управления средствами защиты. Подсистема позволяет администрации безопасности осуществлять:

• централизованное (с АРМ администратора) создание и уда­ление пользователей, изменение их полномочий и паролей;

• установку атрибутов доступа пользователей к ресурсам;

• централизованное создание, удаление и изменение состава групп пользователей, а также их прав доступа;

• централизованное управление группами компьютеров;

• централизованное управление оперативным оповещением о НСД;

• централизованное управление регистрацией событий и просмотр системных журналов.

Контрольные вопросы

1. Перечислите уровни информационной безопасности.

2. В чем состоят основные угрозы информационной безопасности?

3. Что такое политика безопасности?

4. Перечислите основные направления физической защиты.

5. Охарактеризуйте основные программно-технические меры защиты информации.

6. Что такое протоколирование и аудит?

7. Что такое криптология?

8. Что такое ключ?

9. Что из себя представляет криптосистема?

10. Дайте определение стойкости криптосистемы.

11. Объясните суть алгоритма DES и укажите на его особенности.

12. Какие классы антивирусных программ вам известны?

13. Какие вредоносные программные закладки кроме вирусов вам вестны?

14. Какие типы компьютерных вирусов вам известны?

15. Укажите основные признаки заражения компьютера.

16. Какие существуют методы борьбы с компьютерными вирусами?

17. Дайте классификацию антивирусных программ.

18. Что такое программа-полифаг?

19. Что такое программа-детектор?

20. В чем заключается установление и контроль привилегий в СУБД?

21. Что такое механизм ролей?

22. Охарактеризуйте задачи стандарта Х.800.

23. Что такое туннелирование?

24. Перечислите механизмы защиты информации в сетях.

Заключение

Современный период развития цивилизованного общества характеризует процесс информатизации.

Информатизация общества — это глобальный социальный процесс, особенность которого состоит в том, что доминирую­щим видом деятельности в сфере общественного производства является сбор, накопление, продуцирование, обработка, хране­ние, передача и использование информации, осуществляемые на основе современных средств микропроцессорной и вычисли­тельной техники, а также на базе разнообразных средств инфор­мационного обмена. Информатизация общества обеспечивает:

• активное использование постоянно расширяющегося ин­теллектуального потенциала общества, сконцентрирован­ного в печатном фонде, и научной, производственной и других видах деятельности его членов,

• интеграцию информационных технологий с научными, производственными, инициирующую развитие всех сфер общественного производства, интеллектуализацию трудо­вой деятельности;

• высокий уровень информационного обслуживания, доступ­ность любого члена общества к источникам достоверной информации, визуализацию представляемой информации, существенность используемых данных.

Применение открытых информационных систем, рассчитан­ных на использование всего массива информации, доступной в данный момент обществу в определенной его сфере, позволяет усовершенствовать механизмы управления общественным уст­ройством, способствует гуманизации и демократизации общест­ва, повышает уровень благосостояния его членов. Процессы, происходящие в связи с информатизацией общества, способст­вуют не только ускорению научно-технического прогресса, ин­теллектуализации всех видов человеческой деятельности, но и созданию качественно новой информационной среды социума, обеспечивающей развитие творческого потенциала индивида.

Глоссарий

16- Bit Audio (аудио на 16 бит) — уровень измерения разрешающей способности оцифрованного аудиосигнала (чем выше разрешение, тем лучше звучание). 16-битовое аудио является стандартом, принятым для аудиокомпакт-дисков (CD-DA).

8- Bit Audio (аудио на 8 бит) — уровень разрешающей способности оцифрованного звукового сигнала, который соответствует качеству зву­чания обычного АМ-радио.

A 3 D — технология генерации пространственного звучания и ау­дио-API на ее основе, предложенная Aureal Semiconductor Inc. Звуковое ЗЭ-окружение слушателя создается путем реального использования только пары наушников или колонок. A3D — стандарт генерации таких эффектов, как густой туман или подводные звуки, позволяет моделиро­вать конфигурацию помещения, в котором раздаются и распространя­ются звуки.

АС'97 — рекомендованный Intel стандарт для построения аудио-электроники в ПК. Спецификация снижает шумы и помехи за счет раз­деления по различным модулям аналоговых и дискретных компонент.

ADC (Analogue-to-Digital Converter) — аналогово-цифровой преобра­зователь (АЦП) — устройство, преобразующее непрерывный аналого­вый сигнал, который поступает от физического датчика и соответствует скорости, температуре, интенсивности звука, света и пр. в бинарный код для ввода в компьютер; каждому значению напряжения входного аналогового сигнала соответствует определенное значение выходного цифрового кода.

Additive color system — аддитивный синтез цветов, в котором пер­вичные цвета (красный, зеленый и синий) смешивают для образования белого.

А II М (Association for Information and Image Management Inter­national) — международная ассоциация по информации и обработке изображений. Аккредитована ANSI как организация по развитию стан­дартов. АIIМ представляет США в Международной Организации по Стандартизации и является представительной организацией для промышленных коалиций продавцов и конечных пользователей. Занимает­ся созданием способных к взаимодействию стандартов для технологий управления документами во всем мире.

Anchors — ссылки, гипертекстовые ссылки, внедренные в \УеЬ-доку мент. Позволяют пользователю переходить от одного фрагмента инфоп мации к другому независимо от места ее хранения в Internet.

ANSI (American National Standards Institute) — неправительственная организация, создающая и публикующая стандарты для добровольного использования в США.

API (Applications Programmer's Interface) — интерфейс прикладного программирования — спецификация набора функций, которой должны удовлетворять разработчики программного обеспечения для совмести­мости своих программ с соответствующими операционными системами Windows API включает более чем 1000 функций, которые могут быть вызваны из программ, написанных на ЯП С, C++, Pascal и других, что­бы создать окно, открыть файл или выполнить другое необходимое дей­ствие.

APRP (Adaptive Pattern Recognition) — адаптивное распознавание об­разов.

ASCII (American Standard Code for Information Interchange) — разра­ботанный American National Standards Institute (ANSI) стандарт пред­ставления символьной информации в ЭВМ. Символы ASCII содержат 128 символов с кодами от 0 до 127 и включают цифры, знаки пунктуа­ции, буквы и управляющие коды, такие как конец строки или перевод страницы.

Aspect Ratio (соотношение сторон экрана) — характеристика стан­дарта видеоадаптера. VGA, SVGA, XGA и UXGA имеют это соотноше­ние, равное 4: 3, SXGA —5:4, телевидение высокой четкости (ТВЧ) — 16: 9 и т. д.

Asynchronous (асинхронный). Относится к несинхронизированным событиям, которые не скоординированы во времени. Большинство коммуникаций между компьютерами и устройствами являются асин­хронными; они осуществляются в случайные моменты времени с нере­гулярными интервалами.

Authentication — установление личности пользователя, делающего попытку доступа к системе.

Authoring — процесс авторской подготовки документа в какой-либо системе управления документами (Document Management System).

Authorization — определение набора привилегий, которыми обладает пользователь.

Bandwidth (полоса пропускания) — количество информации, кото­рое может быть передано через конкретный интерфейс за данный пери­од времени, например шина памяти SDRAM в 64 бит и 100 МГц имеет полосу пропускания 800 Мбайт/с.

Bit — двоичная единица, базовая мера для измерения количества данных. Имеет значение «1» или «0». Для размещения 1 байта требует­ся 8 бит.

Bit depth (также color depth) — глубина цвета. Число бит, используе­мых для представления каждого пикселя изображения, определяемое цветовым или тоновым диапазоном.

Bitmap — битовая карта. Цифровое изображение, представленное в виде решетки из пикселей. Цвет каждого пикселя определяется чис­лом бит.

BLOB (Binary Large Object) — тип данных СУБД, используется для хранения произвольной информации, которая может быть представлена в двоичном виде. Тип данных BLOB является частью структуры базы данных, которая обеспечивает полную функциональность СУБД для манипулирования BLOB-элементами, т. е. BLOB-элементы могут созда­ваться, удаляться, проверяться или копироваться. Но чаще всего отсут­ствует возможность работы внутри BLOB. Например, невозможно из­влечение частей текста, индексирование и перемещение по BLOB.

Block. Данные обычно организуются в блоки для передачи между устройствами. Блок может иметь постоянную или переменную длину, причем типичной является длина в 512 или 1024 байт. Типичная струк­тура блока включает преамбулу (начальные биты), область данных пользователя, контрольную сумму, конечные биты.

Bump mapping (отображение неровностей поверхности) — техноло­гия представления трехмерных объектов компьютерной графики, где каждому пикселю поверхности придается определенное смещение по высоте (heightmap). В результате после обработки освещенности по­верхности приобретают более реалистический вид, детали которой при­ближаются к виду объектов реального мира (древесная кора, шершавый бетон и пр.).

Byte — восемь бит, рассматриваемые как единое целое и представ­ляющие, например, символ кода ASCII.

CALS (Continuous Acquisition and Life-cycle Support) — инициатива министерства обороны США (1985 г.) по выработке стандартов для ис­пользования электронных документов в системах вооружения. Под­держка инициативой CALS ряда стандартов, таких как CCITT Group 4 и SGML, способствовали их широкому внедрению в промышленность.

CASE -средства (технологии) — программные средства, поддержи­вающие процессы создания и сопровождения ИС, включая анализ и формулировку требований, проектирование прикладного ПО (приложе­ний) и баз данных, генерацию кода, тестирование, документирование, обеспечение качества, конфигурационное управление и управление проектом, а также другие процессы.

CCD (Charge-Coupled Device, ПЗС, прибор с зарядовой связью) _ фотодиод, светочувствительный элемент на микрочипах, применяемый в устройствах сканирования изображений для преобразования света в электрический заряд.

СС1А (Computer and Communications Industry Association) — ассо­циация фирм-производителей компьютеров и средств коммуникации представляющая их интересы в зарубежной и национальной торговле а также разрабатывающая соответствующие стандарты.

CCIR (Consultative Committee for International Radio commu­nications) — Консультативный комитет по международной радиосвязи

CCITT (Consultative Committee on International Telegraphique et Telephonique) — Международный консультативный комитет по телегра­фии и телефонии, МККТТ, в настоящее время ITU-T. CCITT Group 4 — один из стандартов по сжатию изображений.

CD - ROM (Compact Disk-Read Only Memory) — накопитель на опти­ческом диске. Диск диаметром 5 дюймов емкостью 640 — 700 Мбайт имеет одну спиральную дорожку. Время доступа относительно велико (у лучших моделей — 80 не), чувствителен к вибрациям при работе. Ин­терфейсы: SCSI, IDE (E-IDE, IDE ATAPI). Исполнение - внутреннее и внешнее (SCSI, LPT-порт).

Client — прикладная программа, которая делает запрос программе сервера на получение информации или выполнение задания сервером от имени клиента. Клиент и сервер взаимодействуют через специаль­ный протокол. Клиент и сервер могут работать на различных хостах в сети и эти хосты могут быть компьютерами совершенно различной кон­фигурации и платформы.

CMYK (Cyan-Magenta-Yellow-Black — голубой, пурпурный, желтый, черный) — основные цвета в печатном процессе. CMY — основные цвета субтрактивного синтеза.

Collaborative Authoring — совместное создание документа группой людей, даже если они находятся в различных местах или работают в различное время.

Color separation (цветоделение) — операция разделения цвета на че­тыре основные составляющие (голубой, пурпурный, желтый и черный) в процессе подготовки оригиналов к цветной печати. Процесс разделе­ния цветного файла на составные части, которые будут печататься с от­дельных печатных форм.

COM (Component Object Model) — составляющая программного обеспечения, поддерживающая OLE 2.

Container — 1) чаще всего объект, дающий возможность объединять и перемещать совокупности объектов, связанные между собой отноше­нием «содержит»; 2) механизм в OLE, который позволяет в сложных документах: а) устанавливать связь между данными и прикладными

программами, которые управляют этими данными; б) управлять пред­ставлением этих данных; в) обеспечивать функции, облегчающие взаи­модействие с приложениями.

Content — содержательная часть данных документа в противопо­ложность атрибутам. Может включать текст, изображения, видео, звук, программы или любой другой материал, содержащийся на бумаге, дис­кете, компакт-диске (CD-ROM) и др. Отметим, что некоторые системы управления документами расценивают данные как один из атрибутов.

Contour - type font (контурный шрифт) — технология создания шриф­тов, базирующаяся на математическом описании каждого символа в виде набора векторов определенного размера и направления. Данный тип шрифтов легко масштабируется простым умножением или делени­ем базовых величин (длин) векторов на коэффициент масштабирова­ния. Кроме того, символы шрифта легко поворачивать, наклонять или закрашивать. Примерами контурных шрифтов являются TrueType и PostScript.

Conversion — изменение формата документа или его части. Может быть классифицировано по типам преобразования — преобразование символьных наборов, форматов текстовых процессоров, или языков описания страницы. Преобразования, изменяющие логическую струк­туру документа, считаются трансформацией документа. Это различие используется, чтобы указать, что изменения в логической структуре до­кумента могут привести к добавлению, исключению или переупорядо­чению компонентов документа.

СР 866 — распространенная в РФ кодировка символьной информа­ции на базе кода ASCII с расширением его до 256 символов: кодовая страница 866 для IBM PC в части кириллицы отсортирована по алфави­ту, используется для работы с немодифицируемыми (нерусскоязычны­ми) программами в ОС типа MS-DOS, сохраняет наиболее часто используемые в программах псевдографические знаки.

CPS (Characters Per Second) — скорость принтера (знаков в секунду, знс).

DAC (Digital-to-Analogue Converter, цифроаналоговый преобразова­тель — ЦАП) — устройство (как правило, на одной микросхеме), кото­рое преобразует цифровые данные в аналоговый сигнал. Обычно ис­пользуются в графических картах, видеокартах, модемах и др.

Data mining — «добыча» данных. Набор методов из области искусст­венного интеллекта, позволяющих извлекать из сырых данных ранее неизвестные знания о зависимостях и закономерностях поведения рас­сматриваемого объекта. При этом все результаты формулируются в тек­стовых и графических формах, удобных для восприятия человеком.

Data model — модель данных. Описание содержания базы данных на более детализированном уровне, чем требуется непосредственно системе управления базы данных. Наиболее известная методика моделирова ния данных — «объектно-связанное моделирование»; эта методика идентифицирует основные объекты в базе данных и их связи.