ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
Государственное образовательное учреждение
высшего профессионального образования
«Ивановский государственный энергетический
университет им. В.И.Ленина»
Б.А. Баллод
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
И ЗАЩИТА ИНФОРМАЦИИ
КУРС ЛЕКЦИЙ
Иваново 2010
УДК
Б 20
Баллод Б.А. Информационная безопасность и защита информации: Курс лекций/ ГОУВПО «Ивановский государственный энергетический университет им.В.И. Ленина».- Иваново, 20010. 304 с
1SBN
Рассмотрены вопросы построения комплексной системы защиты информации в корпоративных информационных системах, необходимые для подготовки и практической деятельности специалистов специальностей 032001.65 «Документоведение и документационное обеспечение управления» и 080801.65 «Прикладная информатика» в рамках дисциплины «Информационная безопасность и защита информации». Изложена методика категоризирования объектов защиты, анализа рисков информационной безопасности и методы защиты, включая правовые, организационные и аппаратно-программные, а также методологические основы обеспечения информационной безопасности общества.
Табл.29 .Ил.13.
Печатается по решению ученого совета ГОУВПО «Ивановский государственный энергетический университет им. В.И. Ленина»
Рецензент
кафедра информационных технологий ГОУВПО «Ивановский государственный энергетический университет им. В.И.Ленина»
Баллод Борис Анатольевич
Информационная безопасность и защита информации
Курс лекций
Редактор Н.Б. Михалева
Подписано в печать ‘Формат 60х84’/16.
Печать плоская. Условия печати 17,66. Уч.-изд.19. Тираж 50 экземпляров.
Заказ ГОУВПО «Ивановский государственный энергетический университет им. В.И.Ленина»
153003, г. Иваново, ул.Рабфаковская, 34
© Б.А. Баллод, 2010
-
|
ОГЛАВЛЕНИЕ
|
|
Лекция 1
|
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ…………………………………...
|
5
|
Лекция 2
|
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ……………………..
|
25
|
Лекция 3
|
ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ……………..
|
41
|
Лекция 4
|
ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ ……..
|
51
|
Лекция 5
|
ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ……………..
|
68
|
Лекция 6
|
АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ………………………………….
|
80
|
Лекция 7
|
УПРАВЛЕНИЕ РИСКАМИ…………..
|
90
|
Лекция 8
|
ПРОЦЕДУРНЫЙ УРОВЕНЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ………………………………………
|
111
|
Лекция 9
|
АППАРАТНО-ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ…………………
|
125
|
Лекция 10
|
ОСНОВНЫЕ ПОНЯТИЯ КРИПТОЛОГИИ, КРИПТОГРАФИИ И КРИПТОАНАЛИЗА……………………………
|
154
|
Лекция 11
|
ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ…………………………………….
|
174
|
Лекция 12
|
УПРАВЛЕНИЕ МЕХАНИЗМАМИ ЗАЩИТЫ………………………………..
|
183
|
Лекция 13
|
КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВА И ОРГАНИЗАЦИОННЫХ СТРУКТУР……………
|
189
|
Лекция 14
|
МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ ОБЩЕСТВА И ЕГО СТРУКТУР………………………………
|
231
|
Лекция 15
|
ВСЕМИРНАЯ ПАУТИНА – WORLD WIDE WEB (WWW) …………………….
|
261
|
Лекция 16
|
ЭЛЕКТРОННАЯ ПОЧТА………………
|
270
|
|
ПРИЛОЖЕНИЯ…………………………………………….282
Лекция 1. Информационная безопасность
Предисловие
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла практически на заре человечества. С развитием общественных отношений, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает все большую ценность. Наиболее ценной становится та информация, единоличное обладание которой позволяет ее владельцу получить какой-либо или материальный, или политический, или военный выигрыш. С переходом на использование технических средств связи информация подвергается воздействию неблагоприятных случайных процессов: неисправностей и сбоев аппаратуры, ошибок операторов и т.п., которые могут привести к ее разрушению, изменениям, потере, а также создать предпосылки для доступа к ней посторонних лиц.
С появлением автоматизированных систем и информационно-вычислительных сетей проблема защиты информации приобретает еще большее значение. Автоматизированные информационно-документационные системы (АИС) играют все более значимую роль в обеспечении потребностей как общества, организации, так и отдельного человека. Они принимают непосредственное участие в решении важных государственных, производственных и социальных задач. В связи с этим непрерывно возрастают и угрозы, связанные с использованием новых информационных технологий, что, в свою очередь, требует как развития теоретических основ информационной безопасности, так и разработки методик комплексного решения задач защиты корпоративных АИС и СЭД.
Современная важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их безопасности, экономических, политических и других сторон деятельности, конфиденциальная коммерческая и персональная информация была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.
Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть целый ряд объективных причин (рис 1.1).
Расширение сферы применения средств вычислительной техники и возросший уровень доверия к автоматизированным системам управления и обработки информации. Компьютерным системам доверяют самую ответственную работу, от качества выполнения которой зависит жизнь и благосостояние многих людей. ЭВМ управляют технологическими процессами на предприятиях и атомных электростанциях, движением самолетов и поездов, выполняют финансовые операции, обрабатывают секретную и конфиденциальную информацию.
Изменение подхода и к самому понятию «информация». Этот термин все чаще используется для обозначения особого товара, стоимость которого зачастую превосходит стоимость вычислительной системы, в рамках которой он существует. Осуществляется переход к рыночным отношениям в области создания и предоставления информационных услуг с присущей этим отношениям конкуренцией и промышленным шпионажем.
Развитие и распространение вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам.
Доступность средств вычислительной техники и, прежде всего, персональных ЭВМ, что привело к распространению компьютерной грамотности в широких слоях населения, а также к увеличению числа попыток неправомерного вмешательства в работу государственных и коммерческих автоматизированных систем как со злым умыслом, так и «из спортивного интереса». К сожалению, многие из этих попыток имеют успех и наносят значительный урон всем заинтересованным субъектам информационных отношений.
Практическое отсутствие законодательного (правового) обеспечения защиты интересов субъектов информационных отношений. Отставание в области создания стройной и непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления и использования информации создает условия для возникновения и распространения «компьютерного хулиганства» и «компьютерной преступности».
Бурное развитие и распространение так называемых компьютерных вирусов, способных скрытно существовать в системе и совершать потенциально любые несанкционированные действия.
Рис. 1.1. Схема основных причин повышения остроты в проблеме обеспечения безопасности
Проблемы безопасности ЛВС
Преимущества использования СЭД сопряжены с дополнительным риском, который приводит к увеличению проблемам безопасности ЛВС.
Распределенное хранение файлов. Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы. Это обычно осуществляется разрешением пользователю присоединить некоторую файловую систему (или каталог) к рабочей станции пользователя для дальнейшего использования в качестве локального диска. В связи с этим возникают две потенциальные проблемы. Во-первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешен доступ к каталогу, то он получает доступ ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в этой ситуации, важно соответствующим образом структурировать и управлять файловой системой ЛВС. Следующая проблема заключается в неадекватных механизмах защиты локальной рабочей станции. Например, персональный компьютер (ПК) может обеспечивать минимальную защиту или не обеспечивать никакой защиты информации, хранимой на нем. Копирование пользователем файлов с сервера на локальный диск ПК приводит к тому, что файл перестает быть защищенным теми средствами защиты, которые защищали его, когда он хранился на сервере. Для некоторых типов информации это может быть приемлемо. Однако другие типы информации могут требовать более сильной защиты. Эти требования фокусируются на необходимости контроля среды ПК.
Удаленные вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям. Серверы должны обладать способностью аутентифицировать удаленные пользователи, запрашивающие услуги или приложения. Эти запросы могут также выдаваться локальными и удаленными серверами для взаимной аутентификации. Невозможность аутентификации может привести к тому, что и неавторизованные пользователи будут иметь доступ к удаленным серверам и приложениям. Должны существовать некоторые гарантии в отношении целостности приложений, используемых многими пользователями через ЛВС.
Топологии и протоколы, используемые сегодня, требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. (В больших ЛВС прямые связи неосуществимы.) Вытекающие из этого возможные угрозы включают как активный, так и пассивный перехват сообщений, передаваемых в линии. Пассивный перехват включает не только чтение информации, но и анализ трафика (использование адресов, других данных заголовка, длины сообщений и частоты сообщений). Активный перехват включает изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов).
Службы обмена сообщениями увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения.
|