Программно-аппаратные средства обеспечения информационной безопасности

Москва
Горячая линия – Телеком
2016

Под редакцией А. В. Душкина

Рекомендовано УМО по образованию в области 
Инфокоммуникационных технологий и систем связи в 
качестве учебного пособия для студентов высших учебных 
заведений, обучающихся по направлению подготовки 11.03.02, 
11.04.02 – «Инфокоммуникационные технологии и системы 
связи» квалификации (степени) «бакалавр», «магистр» и 
11.05.04 – «Инфо-коммуникационные технологии и системы 
специальной связи» квалификации «специалист»

УДК 681.3.067 
ББК 32.81 
     П78 

Р е ц е н з е н т ы :  нач. кафедры Воронежского института МВД России, доктор 
физ.-мат. наук, профессор В. В. Меньших ; нач. кафедры Военного учебно- 
научного центра «Военно-воздушная академия им. профессора Н. Е. Жуковского и Ю. А. Гагарина» доктор техн. наук, профессор П. А. Федюнин 

А в т о р ы :  А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов  

П78
Программно-аппаратные средства обеспечения информационной безопасности. Учебное пособие для вузов / А. В. Душкин, 
О. М. Барсуков, Е. В. Кравцов, К. В. Славнов.  Под редакцией 
А. В. Душкина. – М.: Горячая линия – Телеком, 2016. – 248 с: ил. 
ISBN 978-5-9912-0470-5. 

Изложены теоретические основы создания и практического применения программно-аппаратных средств обеспечения информационной 
безопасности. Рассмотрены основные принципы создания программноаппаратных средств обеспечения информационной безопасности; методы 
и средства реализации отдельных функциональных требований по защите 
информации и данных; программно-аппаратные средства защиты программ; программно-аппаратные средства защиты от несанкционированного доступа к информации, хранимой в ПЭВМ; программно-аппаратные 
средства защиты информации в сетях передачи данных; вопросы сертификации программно-аппаратных средств обеспечения информационной 
безопасности. Значительное внимание уделено нормативно-правовой базе 
в области создания, применения и сертификации программно-аппаратных 
средств обеспечения защиты информации. Подробно описана технология 
сертификации программно-аппаратных средств на соответствие требованиям информационной безопасности. 
Предназначено для студентов, курсантов, слушателей, аспирантов, 
адъюнктов, преподавателей, научных и практических работников, занимающихся вопросами информационной безопасности. 

ББК 32.81 

Адрес издательства в Интернет www.techbook.ru 

      Все права защищены.
Любая часть этого издания не может быть воспроизведена в какой бы 
то ни было форме и какими бы то ни было средствами без письменного 
разрешения правообладателя
© ООО «Научно-техническое издательство «Горячая линия – Телеком»
www.techbook.ru
© А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов 

Введение

Современный мир невозможно представить без средств коммуникаций и вычислительной техники, в которых главенствующую роль
играет программное обеспечение. Информационные технологии прогрессируют очень быстро, охватывая все более широкие области человеческой деятельности.
Поэтому безопасность информационных
технологий является одним из важнейших аспектов обеспечения их
функционирования.
Статистика показывает, что с каждым годом растет финансовый ущерб, наносимый компьютерными преступниками. Рост числа
пользователей, недостатки в программном обеспечении пользователей, наличие свободного доступа к зловредным программам, а также
практическая ненаказуемость совершения проступков привели к тому,
что организациям, компаниям и рядовым пользователям приходится
уделять внимание и время обеспечению защиты.
Современные распределенные компьютерные системы не могут
быть защищены только использованием организационных мер и
средств физической защиты. Для безопасности функционирования
информационных технологий необходимо использовать механизмы и
средства сетевой защиты, которые обеспечивают конфиденциальность, целостность и доступность компьютерных систем, программного обеспечения и данных.
В последнее десятилетие сформировался рынок средств обеспечения информационной безопасности, все большее число различных
организаций подключается к решению насущных задач обеспечения
защиты. Решение этих задач осложняется рядом причин. Среди них
необходимо отметить следующие: отсутствие единой терминологии и
единой теории обеспечения защиты, использование, как правило, программных средств зарубежных производителей, высокую стоимость
качественных средств защиты. Реализация защиты информации в современных корпоративных сетях опирается на использование средств
защиты, реализованных программными, аппаратными и программноаппаратными методами.
Количество изданий и статей, посвященных различным вопросам обеспечения информационной безопасности, увеличивается с каждым годом.
Значимость обеспечения безопасности государства в информационной сфере подчеркнута в принятой в сентябре 2000 года «Док

Введение

трине информационной безопасности Российской Федерации»: «Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе
технического прогресса эта зависимость будет возрастать».
Остроту межгосударственного информационного противоборства
можно наблюдать в оборонной сфере, высшей формой которой являются информационные войны. Элементы такой войны уже имели, а в
ряде случаев до сих пор имеют место в локальных военных конфликтах на Ближнем Востоке, на Балканах, на территории бывших стран
СНГ и т. д. Один из характерных примеров — вывод из строя войсками НАТО системы противовоздушной обороны Ирака с помощью информационного оружия. Эксперты предполагают, что войска альянса
использовали программную закладку, внедренную заблаговременно в
принтеры, которые были закуплены Ираком у французской фирмы и
использовались в АСУ ПВО.
В настоящее время МО США (Объединённая доктрина информационных операций JP 3-13 от 27.11.2012) приняло следующее определение термина «информационная война» — это действия, предпринимаемые для достижения информационного превосходства над противником путем воздействия на имеющуюся у него информацию, зависящие от информации процессы, информационные системы и компьютерные сети.
Объектом внимания в такой войне становятся информационные
системы, а также информационные технологии, используемые в системах вооружений. Информационным оружием в такой войне следует
называть средства уничтожения, искажения или хищения информационных массивов, средства преодоления систем защиты, ограничения
допуска законных пользователей, дезорганизации работы аппаратуры
и компьютерных систем в целом. К ним относятся:
• компьютерные вирусы, способные размножаться, внедряться в
программы, передаваться по линиям связи, сетям передачи данных, выводить из строя системы управления;
• логические бомбы — запрограммированные устройства, которые
внедряют в информационно-управляющие центры военной или
гражданской инфраструктуры, чтобы по сигналу или в установленное время привести их в действие;
• средства подавления информационного обмена в телекоммуникационных сетях, фальсификация информации в каналах государственного и военного управления;
• средства нейтрализации тестовых программ;
• ошибки различного рода, сознательно вводимые злоумышленниками в программное обеспечение объекта.

Введение
5

Мерами для предотвращения или нейтрализации последствий
применения информационного оружия являются:
• защита материально-технических объектов, составляющих физическую основу информационных ресурсов;
• обеспечение нормального и бесперебойного функционирования
баз и банков данных;
• защита информации от несанкционированного доступа, ее искажения и уничтожения;
• сохранение качества информации (своевременности, точности,
полноты и необходимой доступности).
Обеспечение безопасности АС предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее
функционирования, а также для попыток хищения модификации, выведения из строя или разрушения всех ее компонентов.
Противоборство государств в области информационных технологий, стремление криминальных структур противоправно использовать
информационные ресурсы, необходимость обеспечения прав граждан
в информационной сфере, наличие множества случайных угроз вызывают острую необходимость обеспечения защиты информации в
компьютерных системах (КС), являющихся материальной основой информатизации общества.
Проблема обеспечения информационной безопасности на всех
уровнях может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации,
охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения,
обработки и выдачи информации.

Основные принципы создания
программно-аппаратных средств
обеспечения информационной
безопасности

1.1. Основные понятия и определения в области
создания программно-аппаратных средств
обеспечения информационной безопасности
(ПАСОИБ)
Вначале на основании нормативной базы и руководящих документов в области информационной безопасности приведем обобщенную
трактовку ряда базовых понятий и определений.
Информация — сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления.
Информация ограниченного доступа — вид сведений, доступ к
которым ограничен в соответствии с законодательством Российской
Федерации и разглашение которых может нанести ущерб интересам
других лиц, обществу, государству.
Государственная тайна — защищаемые государством сведения в
области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности
Российской Федерации.
Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Правило доступа к информации — совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и
ее носителям.
Различают санкционированный и несанкционированный доступ к
информации.
Санкционированный доступ к информации — доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа к компонентам системы.
Несанкционированный доступ (НСД) к информации характеризуется нарушением установленных правил разграничения доступа. Ли

Принципы создания средств информационной безопасности
7

цо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа.
Несанкционированный доступ является наиболее распространенным
видом компьютерных нарушений.
Информационная безопасность — механизм защиты, обеспечивающий конфиденциальность, целостность, доступность.
Конфиденциальность информации — свойство информации, технических средств и технологии ее обработки, характеризующееся способностью информации сохраняться в тайне от субъектов, у которых
нет полномочий на право ознакомления с нею.
Доступность информации подразумевает также доступность компонента или ресурса компьютерной системы, т. е. свойство компонента или ресурса быть доступным для законных субъектов системы.
Вот примерный перечень ресурсов, которые должны быть доступны:
принтеры; серверы; рабочие станции; данные пользователей; любые
критические данные, необходимые для работы.
Целостность ресурса или компонента системы — свойство ресурса или компонента быть неизменными в семантическом смысле при
функционировании системы в условиях случайных или преднамеренных искажений либо разрушающих воздействий.
С допуском к информации и ресурсам системы связана группа
таких важных понятий, как идентификация, аутентификация, авторизация.
С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект,
Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом.
Основными рассматриваемыми объектами информационной безопасности являются автоматизированные системы.
Автоматизированная система (в том числе военного назначения) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
Идентификация субъекта — процедура распознавания субъекта
по его идентификатору.
Идентификация выполняется при попытке
субъекта войти в систему (сеть).
Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта.
Аутентификация субъекта — проверка подлинности субъекта с
данным идентификатором. Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил.

Глава 1

После идентификации и аутентификации субъекта выполняют
процедуру авторизации.
Авторизация субъекта — процедура предоставления законному
субъекту, успешно прошедшему идентификацию и аутентификацию,
соответствующих полномочий и доступных ресурсов системы (сети).
Применительно к автоматизированным системам ослабление информационной безопасности может быть реализовано за счет влияния преднамеренных или непреднамеренных угроз.
Под угрозой безопасности ИС понимаются возможные действия,
способные прямо или косвенно нанести ущерб ее безопасности.
Ущерб безопасности подразумевает нарушение состояния защищенности информации,
содержащейся и обрабатываемой в системе
(сети).
Непреднамеренное воздействие на информацию — ошибка пользователя информацией, сбой технических и программных средств информационных систем, природные явления или иные не направленные на изменение информации действия, приводящие к искажению,
уничтожению, копированию, блокированию доступа к информации, а
также к утрате, уничтожению или сбою функционирования носителя
информации.
С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы — это присущее системе неудачное свойство, которое может
привести к реализации угрозы.
Атака на компьютерную систему — поиск и (или) использование
злоумышленником той или иной уязвимости системы. Иными словами, атака — это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью средств
защиты компьютерных систем и сетей.
Преднамеренные и непреднамеренные воздействия представляют одинаковую опасность, поскольку имеют одинаковые последствия.
Для противодействия воздействиям используют автоматизированные
системы в защищенном исполнении.
Автоматизированная система в защищенном исполнении — автоматизированная система, реализующая информационную технологию
выполнения установленных функций в соответствии с требованиями
стандартов и/или иных нормативных документов по защите информации.
Защищенная система — система со средствами защиты, которые
успешно и эффективно противостоят угрозам безопасности.
Система защиты информации автоматизированной системы —
совокупность всех технических, программных и программно-техниче

Принципы создания средств информационной безопасности
9

ских средств защиты информации и средств контроля эффективности
защиты информации.
Способ защиты информации — порядок и правила применения
определенных принципов и средств защиты информации.
Средство защиты информации — техническое,
программное
средство, вещество или материал, предназначенное либо используемое для защиты информации.
Комплекс средств защиты (КСЗ) представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы
(сети). КСЗ создается и поддерживается в соответствии с принятой
в данной организации политикой безопасности.
Техника защиты информации — средства защиты информации,
средства контроля эффективности защиты информации, средства и
системы управления, предназначенные для обеспечения защиты информации.
Обеспечение безопасности информационных систем (ИС) предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования ИС, а также попыткам
модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов ИС — аппаратных средств,
программного обеспечения, данных и персонала. Конкретный подход
к проблеме обеспечения безопасности основан на политике безопасности, разработанной для ИС.
Политика безопасности — это совокупность норм, правил и практических рекомендации, регламентирующих работу средств защиты
компьютерной системы от заданного множества угроз.
Естественно, политика безопасности должна быть реализована в соответствии с нормативно-правовой базой создания программно-аппаратных
средств обеспечения информационной безопасности.

1.2. Нормативно-правовая база создания ПАСОИБ
Главенствующим документом России, нормирующим всю основную совокупность мер и действий, обязательных для разрешения проблем информационной безопасности всех создаваемых, привлекаемых
извне и обслуживаемых информационных разработок является Доктрина информационной безопасности РФ, подписанная в 2000 году
Президентом Российской Федерации В. Путиным. Опирающаяся на
Доктрину совокупность законных и подзаконных актов, так или иначе
затрагивающих эту проблему, представляет тот мост, который связывает административные решения и упомянутые выше стандарты
непосредственно технологического, проектного предназначения и характера.

Глава 1

Нормативно-правовая база создания ПАСОИБ

Нормативно-правовая база являет собой иерархическую структуру, представленную на рис. 1.1.
Нормативную правовую основу создания ПАСОИБ составляют:
• Конституция Российской Федерации;
• Федеральные законы:
◦ «О военном положении»;
◦ «Об обороне»;
◦ «О государственной тайне»;
◦ «Об информации, информатизации и защите информации»;
◦ «Об участии в международном информационном обмене»;
◦ «О лицензировании отдельных видов деятельности»;
◦ «О техническом регулировании»;
• Законы Российской Федерации:
◦ «О безопасности»;
◦ «О средствах массовой информации»;
• Доктрина информационной безопасности Российской Федерации;
• государственные стандарты в области защиты информации:
◦ ГОСТ 34.003-90. Информационная технология. Комплекс
стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
◦ ГОСТ Р 34.10-94.
Информационная технология.
Криптографическая защита информации. Процедуры выработки и
проверки электронной цифровой подписи на базе асимметрического криптографического алгоритма;
◦ ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования;
◦ ГОСТ 34.201-89. Информационная технология. Комплекс
стандартов на автоматизированные системы.
Виды, ком