Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Безопасность и управление доступом в информационных системах

Покупка
Основная коллекция
Артикул: 114700.11.01
Доступ онлайн
от 444 ₽
В корзину
В пособии предложены для изучения подходы, базовая концепция, принципы построения систем безопасности и оценки уровня безопасности информации в информационных системах, сетях и автоматизированных системах управления. С этих позиций рассматриваются информация и условия ее обработки в информационных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, средства и системы управления в условиях обеспечения безопасности. Цель учебного пособия — показать будущему специалисту возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами. Для студентов среднего профессионального образования, специалистов в области защиты и безопасности информации в информационных и автоматизированных системах ее обработки и управления. Может быть рекомендована разработчикам, пользователям и владельцам информационных систем, государственным и военным организациям, различным финансовым и корпоративным структурам.
161
208
Васильков, А. В. Безопасность и управление доступом в информационных системах : учебное пособие / А.В. Васильков, И.А. Васильков. — Москва : ФОРУМ : ИНФРА-М, 2022. — 368 с. — (Среднее профессиональное образование). - ISBN 978-5-91134-360-6. - Текст : электронный. - URL: https://znanium.ru/catalog/product/1836631 (дата обращения: 28.03.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов. Для полноценной работы с документом, пожалуйста, перейдите в ридер.

СРЕДНЕЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЕ

Серия основана в 2001 году




А.В. Васильков, И.А. Васильков


БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ДОСТУПОМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ


УЧЕБНОЕ ПОСОБИЕ




Рекомендовано Методическим советом Учебно-методического центра по профессиональному образованию Департамента образования города Москвы в качестве учебного пособия для студентов образовательных учреждений среднего профессионального образования

znamum.com

Москва   (ф о ру м(

2022

ИНФРА-М
УДК 004.056.5(075.32)
ББК 32.973-018.2я723

     В19



      Рецензенты:
        кандидат технических наук, ведущий специалист отдела ПД ИТР и технической защиты информации ОАО «ОКБ Сухого» О.Г. Пикалов;
        кандидат педагогических наук, руководитель отдела информационных и образовательных технологий Учебно-методического центра по профессиональному образовванию Департамента образования города Москвы Н.Л. Демкина

      Васильков А.В.
В19 Безопасность и управление доступом в информационных системах : учебное пособие / А.В. Васильков, И.А. Васильков. — Москва : ФОРУМ : ИНФРА-М, 2022. — 368 с. — (Среднее профессиональное образование).


          ISBN 978-5-91134-360-6 (ФОРУМ)
          ISBN 978-5-16-012933-4 (ИНФРА-М, print)
          ISBN 978-5-16-104336-3 (ИНФРА-М, online)


         В пособии предложены для изучения подходы, базовая концепция, принципы построения систем безопасности и оценки уровня безопасности информации в информационных системах, сетях и автоматизированных системах управления. С этих позиций рассматриваются информация и условия ее обработки в информационных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, средства и системы управления в условиях обеспечения безопасности. Цель учебного пособия — показать будущему специалисту возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами.
         Для студентов среднего профессионального образования и бакалавров, специалистов в области защиты и безопасности информации в информационных и автоматизированных системах ее обработки и управления. Может быть рекомендована разработчикам, пользователям и владельцам информационных систем, государственным и военным организациям, различным финансовым и корпоративным структурам.


УДК 004.056.5(075.32)
ББК 32.973-018.2я723






ISBN 978-5-91134-360-6 (ФОРУМ)
ISBN 978-5-16-012933-4 (ИНФРА-М, print)
ISBN 978-5-16-104336-3 (ИНФРА-М, online)


© Васильков А.В.,

   Васильков И.А., 2009
© ФОРУМ, 2009
                Предисловие








   Развитие применения компьютерной техники и информационных систем в экономике, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности является определяющим направлением информатизации и развития общества в целом. Эффект, достигаемый за счет применения компьютерной техники, возрастает при увеличении масштабов обработки информации, т. е. концентрации по возможности больших объемов информации и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные компьютерные сети и автоматизированные системы управления.
   Масштабы и сферы применения этой техники стали таковы, что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности циркулирующей в ней информации. Безопасность информации — это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающихся в утечке, модификации или утрате информации, представляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного несанкционированного доступа человека-нарушителя (злоумышленника).
   Утечка информации заключается в раскрытии какой-либо тайны: государственной, военной, служебной, коммерческой или личной (персональной). Защите должна подлежать не только секретная информация. Модификация несекретной информации может привести к утечке секретных либо к не обнаруженному получателем приему ложной информации. Разрушение или исчезновение накопленной с большим трудом информации может привести к невосполнимой ее утрате.
Предисловие

   В зависимости от сферы и масштабов применения той или иной системы обработки информации потеря или утечка ее может привести к последствиям различной тяжести: от невинных шуток до исключительно больших потерь экономического и политического характера.
   В связи с высокими темпами информатизации общества проблема безопасности информации весьма актуальна и останется таковой навсегда. Специалисты в данной области без работы не останутся.
   Началом работы по построению системы информационной безопасности и управлением доступом к информации в любой организации начинается с разработки концепции.
   Ключевыми моментами в разработке концепции являются четкость и ясность постановки задачи. В первую очередь это касается определений объекта и предмета защиты, а также потенциальных угроз.
   Предметом защиты принято считать «информационные ресурсы». Это понятие имеет множественный характер и представляет собой множество предметов защиты. Границы этого множества никем и ничем не определены и устанавливаются разработчиком информационной системы по своему усмотрению с учетом рекомендаций специалистов. Далее определяется множество потенциальных угроз этим ресурсам и адекватное им подобранное на основе экспертных оценок множество средств защиты, которые в совокупности должны образовать в автоматизированной системе и вокруг нее некую защищенную среду обработки информации.
   Понятие информационный ресурс более емкое и включает в себя понятие информации. Поэтому специалисту, разрабатывающему и реализующему данную систему, надо постараться не отодвинуть в тень основной предмет защиты — информацию.
   Таким образом основными положениями при разработке концепции обеспечения безопасности информации и управления доступом в информационных системах организации должны стать следующие:
   • выбор информации в качестве предмета защиты (ресурсы тоже защищаются, но только в необходимых случаях);
   • использование в расчетах прочности защиты времени жизни информации;
   • использование в построении защиты классификации автоматизированных систем по видам, принципам построения и обработки информации;
Предисловие

5

   • применение различных подходов к случайным и преднамеренным угрозам информации;
   • приложение известной стратегии и тактики защиты любого предмета к защите информации в компьютерных системах;
   • сведение всех потенциальных угроз информации к трем событиям — утечке, модификации и утрате;
   • разработка и использование в постановке задачи простой модели ожидаемого поведения нарушителя и его классификации;
   • определение в информационных системах возможных каналов несанкционированного доступа к информации со стороны нарушителя того или иного класса;
   • разработка расчетных соотношений для построения средств и системы защиты, перекрывающих возможные каналы несанкционированного доступа к информации, в целях создания замкнутого контура защиты с гарантированным уровнем его прочности.
   Следуя перечисленным положениям, специалист независимо от того, на какой компьютерной платформе он работает и какие инструментальные ресурсы у него в наличии, получит:
   • базис для дальнейшей деятельности, основанный на единой для всех видов компьютерных систем теории безопасности информации;
   • возможность создания в заданной компьютерной системе встроенной автоматизированной подсистемы безопасности информации в виде единого механизма с гарантированными количественными и качественными характеристиками;
   • возможность получения с позиций безопасности информации оптимальных требований к аппаратным и программным средствам компьютерных систем;
   • возможность включения типовых требований по безопасности информации в техническое задание на разработку компьютерной системы;
   • возможность разработки четких и ясных руководящих внутренних регламентирующих и нормативных документов при создании компьютерных систем на основе государственных нормативных документов по безопасности информации и других вышестоящих органов.
   В данном учебном пособии последовательно показывается, каким образом предполагается получить указанные результаты.
Предисловие

   В разделе I рассматривается информация как предмет защиты, ее свойства, виды и формы представления в автоматизированных системах ее обработки и управления. С позиций безопасности информации приводятся классификация, состав технических средств и обобщенные свойства систем обработки информации как объектов, содержащих предмет защиты. Систематизируются потенциальные угрозы безопасности информации в информационных системах и их компонентах автоматизации и подводится база под постановку задачи.
   В разделе II рассматриваются современные методы защиты информации в информационных системах и их компонентах автоматизации, изложенные в определенной последовательности, без которых пособие было бы неполным.
   В разделе III предлагаются концептуальные основы и основные принципы обеспечения безопасности информации в информационных системах и их компонентах автоматизации. Проводится более строгий анализ типовых информационных систем и средств автоматизации как объектов защиты информации: комплексов средств автоматизации обработки информации, информационных сетей и глобальных автоматизированных систем управления; производится постановка задачи и на элементарных моделях выводятся расчетные соотношения и концептуальные основы для построения в них систем безопасности информации.
   В разделе IV предлагаются принципы построения системы безопасности в комплексах средств автоматизации обработки информации на основе рассмотренной концепции.
   В разделе V излагаются принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления, построенных на их базе.
   В разделе VI рассматривается оценка уровня безопасности информации в автоматизированных системах обработки информации и управления и предложены основные методы решения.
   Учитывая особенности развития компьютерной техники и принципов построения информационных систем с комплексами автоматизации на основе получивших широкое распространение персональных компьютеров и локальных компьютерных сетей, в учебном пособии показывается, что к ним также применимы рассмотренные концепция и технология обеспечения безопасности информации.
Предисловие

7

   В разделе VII рассмотрены принципы построения и методы оценки эффективности системы безопасности информации в подобных системах.
   В разделе VIII рассмотрены кратко основные нормативные документы со ссылками на их библиографические данные организационно-правового обеспечения информационной безопасности.
   При написании данного учебного пособия был выдержан ряд принципов.
   Во-первых, это четкое ограничение предмета изложения. Поскольку это учебное пособие по дисциплине «Безопасность и управление доступом в информационных системах», то изложение материала посвящено прежде всего фундаментальным вопросам — концепции, принципам построения и методам оценки ожидаемой эффективности защиты информации в информационных системах и автоматизированных системах обработки информации и управления, овладев которыми, можно построить достаточно эффективные и экономичные системы ее безопасности.
   Во-вторых, пособие не рассчитано на то, чтобы служить справочником по существующим средствам информационной безопасности, предлагаемым конкретными фирмами-поставщиками. Упоминаемые по ходу изложения материала отдельные средства защиты приведены для примера и при необходимости могут быть заменены другими, более совершенными, так как данные средства и технологии развиваются достаточно быстро и к моменту выхода пособия вполне могут оказаться морально устаревшими.
   Третий принцип касается уровня изложения материала. Поскольку учебное пособие рассчитано на студентов среднего профессионального образования и бакалавров, в пособии выдерживается метод изложения, доступный обеим аудиториям. От студента не требуется знания продвинутых специальных дисциплин в области компьютерной техники и программирования, но необходимые предваряющие общеспециальные дисциплины желательны. Учебное пособие не является свободным экскурсом на актуальную тему.
   В-четвертых, преследовался принцип — при сохранении фундаментальности излагаемых вопросов, касающихся работы с информацией вообще и с информационными системами в частности, сохранить практическую направленность материала. При
Предисловие

ведено достаточное количество табличного материала, необходимого для быстрого проектирования, реализации системы информационной безопасности и последующей ее эксплуатации.
   При составлении плана пособия не включены правовые вопросы, в принципе очень важные, но достаточно подробно рассмотренные в пособии авторов [3], выпущенном в этом же издательстве. Законодательные меры упоминаются в соответствующих аспектах и технологиях лишь как средство предупреждения и сдерживания потенциального нарушителя, а также как основа для регламентации действий.
   Цели данного учебного пособия: дать студентам соответствующих специальностей, как будущим специалистам, так и заказчикам их работ и владельцам информационных систем и автоматизированных систем обработки информации и управления, практические подходы к решению проблем, связанных с безопасностью информации, с построением системы управления доступом, и оказать им помощь в поиске оптимальных решений. Достижение целей основывается на единстве теории, практических принципов построения, методов расчета и оценки ожидаемой эффективности системы безопасности информации в информационных системах.
   Данное учебное пособие рассчитано прежде всего на студентов среднего профессионального образования и бакалавров вузов, но будет полезно студентам других соответствующих специальностей, а также специалистам и всем интересующимся данным комплексом проблем.
                Введение








   Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т. д.
   В период существования примитивных носителей информации ее защита осуществлялась в основном организационными методами, которые включали ограничение и разграничение доступа, определенные меры наказания за разглашение тайны. По свидетельству Геродота, уже в V в. до н. э. использовалось преобразование информации методом кодирования. Коды появились в глубокой древности в виде криптограмм (по-гречески — тайнопись). Спартанцы имели специальный механический прибор, с помощью которого важные сообщения можно было писать особым способом, обеспечивающим сохранение тайны. Собственная секретная азбука была у Юлия Цезаря. В средние века и эпоху Возрождения над изобретением тайных шифров трудились многие выдающиеся люди, в их числе известный философ Френсис Бэкон, крупные математики — Франсуа Виет, Джироламо Кардано, Джон Валлис.
   С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распростране
Предисловие

нием технических средств связи возросли возможности для преднамеренного доступа к информации.
   С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали:
   • увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ (компьютеров) и других средств компьютерной техники;
   • сосредоточение в единых базах информации различного назначения, принадлежности и формы представления;
   • расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам информации;
   • усложнение режимов функционирования технических средств вычислительной системы — широкое внедрение многопрограммного режима, режима разделения времени и реального времени;
   • автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях;
   • увеличение количества технических средств и связей в автоматизированных системах управления и обработки информации;
   • появление персональных компьютеров, а затем интенсивного развития глобальной сети Интернет, расширяющих возможности не только пользователя, но и нарушителя.
   К настоящему времени и в самом человеческом обществе, и в технологии обработки информации произошли большие изменения, которые повлияли на саму суть проблемы защиты информации, безопасности и управления доступом.
   Индустрия переработки информации достигла глобального уровня. Появление возможности выхода в глобальную компьютерную сеть с домашнего компьютера, «электронных» денег, кредитных карточек создает еще большую долю риска в сфере работы с информацией.
   Особую обеспокоенность представляет появление в рядах киберзлоумышленников и хулиганов высокоинтеллектуальных разработчиков, зачастую действующих от лица и во исполнение целей определенных организаций.
   С помощью телефона и персональных компьютеров, связанных с почти всеми крупными компьютерами экономики, науч
Доступ онлайн
от 444 ₽
В корзину