Программно-аппаратная защита информации

ПРОГРАММНО
АППАРАТНАЯ ЗАЩИТА 

ИНФОРМАЦИИ

П.Б. ХОРЕВ

3-е издание, исправленное и дополненное

Рекомендовано Учебно-методическим объединением вузов 

Российской Федерации по образованию в области историко-архивоведения 

в качестве учебного пособия для студентов высших учебных заведений, 

обучающихся по направлению «Информационная безопасность»

Москва 
ИНФРА-М 

2021

УЧЕБНОЕ ПОСОБИЕ

УДК 004.056(075.8)
ББК 32.973-018.2я73
 
Х79

Хорев П.Б.

Х79  
Программно-аппаратная защита информации : учебное пособие / 

П.Б. Хорев. — 3-е изд., испр. и доп. — Москва : ИНФРА-М, 2021. — 
327 с. — (Высшее образование: Бакалавриат). — DOI 10.12737/1035570.

ISBN 978-5-16-015471-8 (print)
ISBN 978-5-16-107928-7 (online)
Учебное пособие посвящено методам и средствам программно-аппарат
ной защиты информации в компьютерных системах.

Рассмотрены методы и средства идентификации и аутентификации 

субъектов компьютерных систем, разграничения их доступа к объектам 
компьютерных систем, аудита их действий в компьютерных системах, 
криптографической защиты информации в компьютерных системах. 

Описаны программные и программно-аппаратные средства защиты ин
формационных ресурсов компьютерных систем от вредоносных программ 
и несанкционированного копирования.

Соответствует требованиям федеральных государственных образова
тельных стандартов высшего образования последнего поколения.

Предназначено для студентов высших учебных заведений, обуча
ющихся по направлениям «Информационная безопасность», «Прикладная математика и информатика» и «Информатика и вычислительная 
техника». Также может быть полезно студентам, обучающимся по другим 
направлениям подготовки, аспирантам, слушателям систем повышения 
квалификации и переподготовки специалистов, интересующимся вопросами обеспечения информационной безопасности.

УДК 004.056(075.8) 
ББК 32.973-018.2я73

Р е ц е н з е н т ы:

Мельников Н.В., доктор технических наук, профессор, заведующий 

кафедрой информационной безопасности Российского государственного социального университета;

Мельников Ю.Н., доктор технических наук, профессор кафедры вы
числительных машин, систем и сетей Национального исследовательского университета «МЭИ»

ISBN 978-5-16-015471-8 (print)
ISBN 978-5-16-107928-7 (online)

© Хорев П.Б., 2015
© Хорев П.Б., 2020, 

с изменениями 

Список сокращений

АС — автоматизированная система
БД — база данных
ЖД — жесткий диск 
ЗУ — запоминающее устройство 
ДСЧ — датчик случайных чисел 
КС — компьютерная система
ЛВС — локальная вычислительная сеть
МЭ — межсетевой экран
НСД — несанкционированный доступ
ОС — операционная система
ПК — персональный компьютер 
ПО — программное обеспечение
РС — рабочая станция 
СВТ — средства вычислительной техники 
СРД — система разграничения доступа 
УЦ — удостоверяющий центр (центр сертификации)
ЦРК — центр распределения криптографических ключей
ЭП — электронная подпись
3-DES (Triple Data Encryption Standard) — «тройной» DES (алгоритм симметричного шифрования)
3-DES Two Key — «тройной» DES, в котором ключи шифрования на первом и третьем шагах совпадают
ACE (Access Control Entry) — элемент списка управления доступом
AES (Advanced Encryption Standard) — улучшенный стандарт 
шифрования (алгоритм симметричного шифрования)
API (Application Programming Interface) — программный интерфейс прикладного программирования
BASE64 — способ кодировки двоичных данных для их преобразования в строку символов
BLOB (Bit Large Object) — большой битовый объект (формат 
организации данных различного типа)
CA (Certifi cate Authority) — центр сертификации (удостоверяющий центр)
CAST (C.Adams S.Tavares) — алгоритм симметричного шифрования
CBC (Cipher Block Chaining) — сцепление блоков шифра (режим 
блочного шифрования)

CFB (Cipher Feedback) — обратная связь по шифротексту 
(режим блочного шифрования)
CHAP (Challenge Handshake Authentication Protocol) — протокол аутентификации при удаленном доступе на основе модели 
«рукопожатия»
CMOS (Comрlementary Metal Oxode Semiconductor) — энергозависимая перезаписываемая память
COM (Component Object Model) — технология программирования на основе многокомпонентных объектов, разработанная 
Microsoft
CRL (Certifi cate Revocation List) — список отозванных сертификатов
CryptoAPI (Cryptographic Application Procedure Interface) — 
криптографический интерфейс приложений Windows
CryptoSPI (Cryptographic Service Provider Interface) — интерфейс криптопровайдеров Windows
CSP (Cryptographic Service Provider) — провайдер криптографического обслуживания (криптопровайдер)
DAC (Discretionary Access Control) — дискреционное управление доступом к объектам
DACL (Discretionary Access Control List) — дискреционный 
список управления доступом к объекту
DDoS (Distributed Denial of Service) — распределенная атака 
с вызовом отказа в обслуживании
DES (Data Encryption Standard) — стандарт шифрования 
данных (алгоритм симметричного шифрования)
DH (Diffi  e Hellman) — криптографический протокол Диффи — 
Хеллмана, основанный на сложности дискретного логарифмирования
DLL (Dynamic Linked Library) — динамически компонуемая библиотека (модуль приложения Windows)
DoS (Denial of Service) — атака с вызовом отказа в обслуживании на атакуемом узле компьютерной сети
DSS (Digital Signature Standard) — стандарт вычисления электронной цифровой подписи
EFS (Encrypted File System) — шифрующая файловая система 
Windows
HMAC (Hash-based Message Authentication Code) — основанный 
на хешировании код аутентификации сообщения
HTML (Hypertext Markup Language) — язык разметки гипертекста

HTTP (Hypertext Transfer Protocol) — протокол передачи гипертекста
IPSec (Internet Protocol Security) — протокол защищенной связи 
в сети Интернет
IDPS (Intrusion Detection/Prevention Systems) — системы обнаружения и предотвращения атак
IRC (Internet Relay Chat) — сервисная система по принципу 
чата для общения в интернете с другими людьми в режиме реального времени
KDC (Key Distribution Center) — центр распределения криптографических ключей
MAC (Message Authentication Code) — код аутентификации сообщения
MAC (Mandatory Access Control) — мандатное разграничение 
доступа к объектам
MD2, MD4, MD5 (Message Digest) — функции хеширования
MMC (Microsoft Management Console) — консоль управления 
Microsoft (системное приложение)
NTFS (New Technology File System) — файловая система, используемая в Windows NT/2000/XP/2003 и старше
NTLM (New Technology LAN Manager) — протокол аутентификации при удаленном доступе в ОС Windows
OFB (Output Feedback) — обратная связь по выходу (режим 
блочного шифрования)
OID (Object Identifier) — идентификатор объекта (установленный стандартом X.400 способ идентификации криптографических алгоритмов, типов сообщений, множеств символов и т.п.)
PC (Personal Computer) — персональный настольный компьютер 
или ноутбук
POST (Power On Self Test) — программа BIOS для проверки 
оборудования при загрузке операционной системы
PFX (Personal Information Exchange) — способ хранения и передачи персональной информации (в том числе секретного ключа)
PKCS (Public Key Cryptographic Standards) — стандарты представления информации о криптографическом открытом ключе
PKI (Public Key Infrastructure) — инфраструктура открытых 
ключей
RC2, RC4 (Rivest Cipher) — алгоритмы симметричного шифрования
RADIUS (Remote Authentication Dial In User Service) — протокол непрямой аутентификации при удаленном доступе пользователя

RBAC (Role-Based Access Control) — ролевое разграничение доступа к объектам
RIPEMD (Race Integrity Primitives Evaluation Message Digest) — 
функция хеширования
RSA (Rivest Shamir Adleman) — асимметричная криптосистема, 
основанная на сложности задачи факторизации целого числа
SACL (System Access Control List) — системный список управления доступом
SHA (Secure Hash Algorithm) — алгоритм безопасного хеширования
SID (Security Identifi er) — идентификатор безопасности пользователя (группы) Windows
SSL (Secure Socket Layer) — протокол аутентификации и безопасной передачи данных в сети Интернет
TGS (Ticket Granting Server) — сервер выдачи билетов в протоколе аутентификации Kerberos
TGT (Ticket Granting Ticket) — начальный билет в протоколе 
аутентификации Kerberos
TKT (Ticket Kerberos Ticket) — сеансовый билет в протоколе 
аутентификации Kerberos
URL (Uniform Resource Location) — строка с уникальным представлением размещения ресурса в сети Интернет
USB (Universal Serial Bus) — последовательный интерфейс 
для подключения периферийных устройств к компьютеру
VBA (Visual Basic for Application) — язык программирования 
для приложений Microsoft Offi  ce
VPN (Virtual Private Network) — технология создания виртуальных частных сетей для обеспечения безопасной передачи данных

Предисловие

Постоянное развитие информационных технологий наряду 
с безусловными благами для отдельного человека, общественных 
и коммерческих организаций, общества, государства и мирового 
сообщества в целом, к сожалению, приводит к обострению старых 
и появлению новых проблем. Одной из таких проблем является 
проблема защиты информации — надежного обеспечения ее сохранности и установленного статуса использования.
Рост количества и «качества» угроз безопасности информации 
в компьютерных системах не всегда приводит к адекватному ответу в виде создания надежных систем защиты информации и безопасных информационных технологий. 
Данное учебное пособие посвящено одному из обязательных 
компонентов любой системы обеспечения информационной безопасности — методам и средствам программно-аппаратной защиты 
информации. 
Автор выражает искреннюю признательность рецензентам 
и своим коллегам по кафедре информационной безопасности Российского государственного социального университета, кафедре 
информационных систем Московского государственного технологического университета «СТАНКИН» и кафедре прикладной математики Национального исследовательского университета «МЭИ».
Из третьего издания удален устаревший материал, оно дополнено новыми данными, также исправлены ошибки, допущенные 
в предыдущих изданиях, обновлен список источников, добавлены 
тесты для проверки знаний, список тем для подготовки рефератов 
и докладов, список сокращений. В главу 3 включены теоретические 
сведения и примеры использования криптографических классов 
библиотеки Framework Class Library в приложениях для среды 
Microsoft.Net. 

Введение

Поскольку наиболее опасные угрозы информационной безопасности вызваны преднамеренными действиями человека-нарушителя, которые в общем случае являются неформализуемыми, 
проблема защиты информации относится к формально не определенным проблемам. Отсюда следуют два основных вывода:
1) надежная защита информации в КС не может быть обеспечена только формальными методами (например, только программными и аппаратными средствами);
2) защита информации в КС не может быть абсолютной.
Можно выделить три подхода к обеспечению безопасности 
компьютерных систем.
1. При фрагментарном подходе сначала обеспечивается защита 
от одних угроз (например, несанкционированного доступа к информации), затем от других (например, от воздействий вредоносных 
программ) и т.д. В результате такого подхода в состав КС включаются отдельные, не связанные между собой аппаратные и программные средства (разграничение доступа к информации на основе 
паролей пользователей, установка антивирусных программ и т.п.) 
и используются некоторые организационные мероприятия (введение пропусков для доступа на объект). Фрагментарный подход 
не может обеспечить необходимый в настоящее время уровень безопасности компьютерных систем.
2. При системном подходе в состав компьютерной системы 
включается подсистема безопасности со своим управляющим 
блоком (ядром защиты), которая должна обеспечивать надежную 
защиту во все время функционирования КС. Недостатком системного похода является невозможность обеспечения защиты от новых 
угроз безопасности информации.
3. При комплексном подходе защита информации рассматривается как непрерывный процесс, целенаправленно проводимый 
на всех этапах жизненного цикла КС, начиная с ее проектирования, 
с комплексным применением всех имеющихся средств, методов 
и мероприятий.
Надежное обеспечение информационной безопасности КС возможно только на основе комплексного подхода к защите информации, основой для реализации которого должна быть политика 
информационной безопасности — утвержденный руководством организации, создающей и эксплуатирующей компьютерную систему, 

письменный документ, содержащий, как правило, следующие разделы:
1) определение информационной безопасности, ее основных 
целей и области ее применения, а также ее значения как механизма, 
позволяющего коллективно использовать информацию; 
2) изложение позиции руководства по вопросам реализации 
целей и принципов информационной безопасности; 
3) разъяснение конкретных вариантов политики безопасности, 
принципов, стандартов и требований к ее соблюдению, включая: 
 
• выполнение правовых и договорных требований; 
 
• требования к обучению персонала правилам безопасности; 
 
• политику предупреждения и обнаружения вредоносных 
программ; 
 
• политику обеспечения бесперебойной работы организации;
4) определение общих и конкретных обязанностей по обеспечению режима информационной безопасности; 
5) разъяснение процесса уведомления о событиях, таящих 
угрозу безопасности (инцидентах безопасности).
Существующие методы и средства защиты информации можно 
разделить на четыре основные группы:
1) методы и средства организационно-правовой защиты информации;
2) методы и средства инженерно-технической защиты информации;
3) криптографические методы и средства защиты информации;
4) программно-аппаратные методы и средства защиты информации.
К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав аппаратных средств КС и выполняющие (самостоятельно 
или в едином комплексе с программными средствами) некоторые 
функции обеспечения информационной безопасности. Критерием 
отнесения устройства к аппаратным, а не инженерно-техническим 
средствам защиты является именно обязательное включение аппаратных средств в состав КС.
Примеры аппаратных средств защиты информации:
 
• устройства для хранения информации, идентифицирующей 
и аутентифицирующей пользователя КС (смарт-карты, электронные USB-ключи, генераторы одноразовых паролей и т.п.);
 
• устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев 
и т.п.);

• устройства для шифрования информации;
 
• устройства для воспрепятствования несанкционированному 
включению рабочих станций и серверов (электронные замки 
и блокираторы);
 
• устройства уничтожения информации на магнитных и иных носителях;
 
• устройства сигнализации о попытках несанкционированных 
действий пользователей КС и др.
Под программными средствами защиты информации понимают 
специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций.
Примеры программных средств защиты информации:
 
• программы идентификации и аутентификации пользователей КС;
 
• программы разграничения доступа пользователей к ресурсам КС;
 
• программы шифрования информации;
 
• программы защиты информационных ресурсов (системного 
и прикладного ПО, баз данных, компьютерных средств обучения 
и т.п.) от несанкционированного изменения, использования 
и копирования;
 
• программы уничтожения остаточной информации (в блоках 
оперативной памяти, временных файлах и т.п.);
 
• программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказывания факта происшествия 
этих событий;
 
• программы имитации работы с нарушителем (отвлечения его 
на получение якобы конфиденциальной информации);
 
• программы тестового контроля защищенности КС и др.
К преимуществам программных средств защиты информации 
относятся:
 
• простота тиражирования;
 
• гибкость (возможность настройки на различные условия применения, учитывающие специфику угроз информационной безопасности конкретных КС);
 
• простота применения − одни программные средства, например 
шифрования, работают в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя никаких 
новых (по сравнению с другими программами) компетенций;
 
• практически неограниченные возможности развития путем внесения изменений для учета новых угроз безопасности информации и исправления обнаруженных уязвимостей.