Программно-аппаратные средства обеспечения информационной безопасности
Учебное пособие для вузов
Покупка
Издательство:
Горячая линия-Телеком
Авторы:
Душкин Александр Викторович, Барсуков Олег Михайлович, Кравцов Евгений Владимирович, Славнов Константин Владимирович
Год издания: 2022
Кол-во страниц: 248
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-9912-0470-5
Артикул: 665710.05.99
Изложены теоретические основы создания и практического применения программно-аппаратных средств обеспечения информационной безопасности. Рассмотрены основные принципы создания программно-аппаратных средств обеспечения информационной безопасности; методы и средства реализации отдельных функциональных требований по защите информации и данных; программно-аппаратные средства защиты программ; программно-аппаратные средства защиты от несанкционированного доступа к информации, хранимой в ПЭВМ; программно-аппаратные средства защиты информации в сетях передачи данных; вопросы сертификации программно-аппаратных средств обеспечения информационной безопасности. Значительное внимание уделено нормативно-правовой базе в области создания, применения и сертификации программно-аппаратных средств обеспечения защиты информации. Подробно описана технология сертификации программно-аппаратных средств на соответствие требованиям информационной безопасности. Предназначено для студентов, курсантов, слушателей, аспирантов, адъюнктов, преподавателей, научных и практических работников, занимающихся вопросами информационной безопасности.
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
Москва Горячая линия – Телеком 2022 Под редакцией А. В. Душкина Рекомендовано УМО по образованию в области Инфокоммуникационных технологий и систем связи в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению подготовки 11.03.02, 11.04.02 – «Инфокоммуникационные технологии и системы связи» квалификации (степени) «бакалавр», «магистр» и 11.05.04 – «Инфо-коммуникационные технологии и системы специальной связи» квалификации «специалист»
УДК 681.3.067 ББК 32.81 П78 Р е ц е н з е н т ы : нач. кафедры Воронежского института МВД России, доктор физ.-мат. наук, профессор В. В. Меньших ; нач. кафедры Военного учебно- научного центра «Военно-воздушная академия им. профессора Н. Е. Жуковского и Ю. А. Гагарина» доктор техн. наук, профессор П. А. Федюнин А в т о р ы : А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов П78 Программно-аппаратные средства обеспечения информационной безопасности. Учебное пособие для вузов / А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов. Под редакцией А. В. Душкина. – М.: Горячая линия – Телеком, 2022. – 248 с: ил. ISBN 978-5-9912-0470-5. Изложены теоретические основы создания и практического приме- нения программно-аппаратных средств обеспечения информационной безопасности. Рассмотрены основные принципы создания программно- аппаратных средств обеспечения информационной безопасности; методы и средства реализации отдельных функциональных требований по защите информации и данных; программно-аппаратные средства защиты про- грамм; программно-аппаратные средства защиты от несанкционированно- го доступа к информации, хранимой в ПЭВМ; программно-аппаратные средства защиты информации в сетях передачи данных; вопросы серти- фикации программно-аппаратных средств обеспечения информационной безопасности. Значительное внимание уделено нормативно-правовой базе в области создания, применения и сертификации программно-аппаратных средств обеспечения защиты информации. Подробно описана технология сертификации программно-аппаратных средств на соответствие требова- ниям информационной безопасности. Предназначено для студентов, курсантов, слушателей, аспирантов, адъюнктов, преподавателей, научных и практических работников, зани- мающихся вопросами информационной безопасности. ББК 32.81 Тиражирование книги начато в 2016 г. Все права защищены. Любая часть этого издания не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения правообладателя © ООО «Научно-техническое издательство «Горячая линия – Телеком» www.techbook.ru © А. В. Душкин, О. М. Барсуков, Е. В. Кравцов, К. В. Славнов
Введение Современный мир невозможно представить без средств комму- никаций и вычислительной техники, в которых главенствующую роль играет программное обеспечение. Информационные технологии про- грессируют очень быстро, охватывая все более широкие области че- ловеческой деятельности. Поэтому безопасность информационных технологий является одним из важнейших аспектов обеспечения их функционирования. Статистика показывает, что с каждым годом растет финансо- вый ущерб, наносимый компьютерными преступниками. Рост числа пользователей, недостатки в программном обеспечении пользовате- лей, наличие свободного доступа к зловредным программам, а также практическая ненаказуемость совершения проступков привели к тому, что организациям, компаниям и рядовым пользователям приходится уделять внимание и время обеспечению защиты. Современные распределенные компьютерные системы не могут быть защищены только использованием организационных мер и средств физической защиты. Для безопасности функционирования информационных технологий необходимо использовать механизмы и средства сетевой защиты, которые обеспечивают конфиденциальность, целостность и доступность компьютерных систем, программного обеспечения и данных. В последнее десятилетие сформировался рынок средств обеспечения информационной безопасности, все большее число различных организаций подключается к решению насущных задач обеспечения защиты. Решение этих задач осложняется рядом причин. Среди них необходимо отметить следующие: отсутствие единой терминологии и единой теории обеспечения защиты, использование, как правило, программных средств зарубежных производителей, высокую стоимость качественных средств защиты. Реализация защиты информации в современных корпоративных сетях опирается на использование средств защиты, реализованных программными, аппаратными и программно- аппаратными методами. Количество изданий и статей, посвящен- ных различным вопросам обеспечения информационной безопаснос- ти, увеличивается с каждым годом. Значимость обеспечения безопасности государства в информа- ционной сфере подчеркнута в принятой в сентябре 2000 года «Док-
Введение трине информационной безопасности Российской Федерации»: «На- циональная безопасность Российской Федерации существенным обра- зом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать». Остроту межгосударственного информационного противоборства можно наблюдать в оборонной сфере, высшей формой которой явля- ются информационные войны. Элементы такой войны уже имели, а в ряде случаев до сих пор имеют место в локальных военных конфлик- тах на Ближнем Востоке, на Балканах, на территории бывших стран СНГ и т. д. Один из характерных примеров — вывод из строя войска- ми НАТО системы противовоздушной обороны Ирака с помощью ин- формационного оружия. Эксперты предполагают, что войска альянса использовали программную закладку, внедренную заблаговременно в принтеры, которые были закуплены Ираком у французской фирмы и использовались в АСУ ПВО. В настоящее время МО США (Объединённая доктрина инфор- мационных операций JP 3-13 от 27.11.2012) приняло следующее опре- деление термина «информационная война» — это действия, предпри- нимаемые для достижения информационного превосходства над про- тивником путем воздействия на имеющуюся у него информацию, за- висящие от информации процессы, информационные системы и ком- пьютерные сети. Объектом внимания в такой войне становятся информационные системы, а также информационные технологии, используемые в сис- темах вооружений. Информационным оружием в такой войне следует называть средства уничтожения, искажения или хищения информаци- онных массивов, средства преодоления систем защиты, ограничения допуска законных пользователей, дезорганизации работы аппаратуры и компьютерных систем в целом. К ним относятся: • компьютерные вирусы, способные размножаться, внедряться в программы, передаваться по линиям связи, сетям передачи дан- ных, выводить из строя системы управления; • логические бомбы — запрограммированные устройства, которые внедряют в информационно-управляющие центры военной или гражданской инфраструктуры, чтобы по сигналу или в установленное время привести их в действие; • средства подавления информационного обмена в телекоммуникационных сетях, фальсификация информации в каналах государственного и военного управления; • средства нейтрализации тестовых программ; • ошибки различного рода, сознательно вводимые злоумышленниками в программное обеспечение объекта.
Введение 5 Мерами для предотвращения или нейтрализации последствий применения информационного оружия являются: • защита материально-технических объектов, составляющих физическую основу информационных ресурсов; • обеспечение нормального и бесперебойного функционирования баз и банков данных; • защита информации от несанкционированного доступа, ее искажения и уничтожения; • сохранение качества информации (своевременности, точности, полноты и необходимой доступности). Обеспечение безопасности АС предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения модификации, вы- ведения из строя или разрушения всех ее компонентов. Противоборство государств в области информационных техноло- гий, стремление криминальных структур противоправно использовать информационные ресурсы, необходимость обеспечения прав граждан в информационной сфере, наличие множества случайных угроз вы- зывают острую необходимость обеспечения защиты информации в компьютерных системах (КС), являющихся материальной основой ин- форматизации общества. Проблема обеспечения информационной безопасности на всех уровнях может быть решена успешно только в том случае, если со- здана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разра- ботки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.
Основные принципы создания программно-аппаратных средств обеспечения информационной безопасности 1.1. Основные понятия и определения в области создания программно-аппаратных средств обеспечения информационной безопасности (ПАСОИБ) Вначале на основании нормативной базы и руководящих докумен- тов в области информационной безопасности приведем обобщенную трактовку ряда базовых понятий и определений. Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация ограниченного доступа — вид сведений, доступ к которым ограничен в соответствии с законодательством Российской Федерации и разглашение которых может нанести ущерб интересам других лиц, обществу, государству. Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведы- вательной, контрразведывательной и оперативно-розыскной деятель- ности, распространение которых может нанести ущерб безопасности Российской Федерации. Конфиденциальная информация — документированная информа- ция, доступ к которой ограничивается в соответствии с законода- тельством Российской Федерации. Правило доступа к информации — совокупность правил, регла- ментирующих порядок и условия доступа субъекта к информации и ее носителям. Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации — доступ к информа- ции, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права до- ступа к компонентам системы. Несанкционированный доступ (НСД) к информации характеризу- ется нарушением установленных правил разграничения доступа. Ли-
Принципы создания средств информационной безопасности 7 цо или процесс, осуществляющие несанкционированный доступ к ин- формации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений. Информационная безопасность — механизм защиты, обеспечива- ющий конфиденциальность, целостность, доступность. Конфиденциальность информации — свойство информации, тех- нических средств и технологии ее обработки, характеризующееся спо- собностью информации сохраняться в тайне от субъектов, у которых нет полномочий на право ознакомления с нею. Доступность информации подразумевает также доступность ком- понента или ресурса компьютерной системы, т. е. свойство компонен- та или ресурса быть доступным для законных субъектов системы. Вот примерный перечень ресурсов, которые должны быть доступны: принтеры; серверы; рабочие станции; данные пользователей; любые критические данные, необходимые для работы. Целостность ресурса или компонента системы — свойство ресур- са или компонента быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамерен- ных искажений либо разрушающих воздействий. С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, автори- зация. С каждым субъектом системы (сети) связывают некоторую ин- формацию (число, строку символов), идентифицирующую субъект, Эта информация является идентификатором субъекта системы (се- ти). Субъект, имеющий зарегистрированный идентификатор, являет- ся законным (легальным) субъектом. Основными рассматриваемыми объектами информационной бе- зопасности являются автоматизированные системы. Автоматизированная система (в том числе военного назначе- ния) — система, состоящая из персонала и комплекса средств ав- томатизации его деятельности, реализующая информационную тех- нологию выполнения установленных функций Идентификация субъекта — процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом явля- ется аутентификация субъекта. Аутентификация субъекта — проверка подлинности субъекта с данным идентификатором. Процедура аутентификации устанавлива- ет, является ли субъект именно тем, кем он себя объявил.
Глава 1 После идентификации и аутентификации субъекта выполняют процедуру авторизации. Авторизация субъекта — процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети). Применительно к автоматизированным системам ослабление ин- формационной безопасности может быть реализовано за счет влия- ния преднамеренных или непреднамеренных угроз. Под угрозой безопасности ИС понимаются возможные действия, способные прямо или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищен- ности информации, содержащейся и обрабатываемой в системе (сети). Непреднамеренное воздействие на информацию — ошибка поль- зователя информацией, сбой технических и программных средств ин- формационных систем, природные явления или иные не направлен- ные на изменение информации действия, приводящие к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. С понятием угрозы безопасности тесно связано понятие уязви- мости компьютерной системы (сети). Уязвимость компьютерной сис- темы — это присущее системе неудачное свойство, которое может привести к реализации угрозы. Атака на компьютерную систему — поиск и (или) использование злоумышленником той или иной уязвимости системы. Иными слова- ми, атака — это реализация угрозы безопасности. Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей. Преднамеренные и непреднамеренные воздействия представля- ют одинаковую опасность, поскольку имеют одинаковые последствия. Для противодействия воздействиям используют автоматизированные системы в защищенном исполнении. Автоматизированная система в защищенном исполнении — автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации. Защищенная система — система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. Система защиты информации автоматизированной системы — совокупность всех технических, программных и программно-техниче-
Принципы создания средств информационной безопасности 9 ских средств защиты информации и средств контроля эффективности защиты информации. Способ защиты информации — порядок и правила применения определенных принципов и средств защиты информации. Средство защиты информации — техническое, программное средство, вещество или материал, предназначенное либо используемое для защиты информации. Комплекс средств защиты (КСЗ) представляет собой совокупность программных и технических средств, создаваемых и поддер- живаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности. Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. Обеспечение безопасности информационных систем (ИС) предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования ИС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов ИС — аппаратных средств, программного обеспечения, данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на политике безопасности, разработанной для ИС. Политика безопасности — это совокупность норм, правил и практических рекомендации, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз. Естественно, политика безопасности должна быть реализована в соответствии с нормативно-правовой базой создания программно-аппаратных средств обеспечения информационной безопасности. 1.2. Нормативно-правовая база создания ПАСОИБ Главенствующим документом России, нормирующим всю основ- ную совокупность мер и действий, обязательных для разрешения про- блем информационной безопасности всех создаваемых, привлекаемых извне и обслуживаемых информационных разработок является Док- трина информационной безопасности РФ, подписанная в 2000 году Президентом Российской Федерации В. Путиным. Опирающаяся на Доктрину совокупность законных и подзаконных актов, так или иначе затрагивающих эту проблему, представляет тот мост, который свя- зывает административные решения и упомянутые выше стандарты непосредственно технологического, проектного предназначения и ха- рактера.
Глава 1 Нормативно-правовая база создания ПАСОИБ Нормативно-правовая база являет собой иерархическую структу- ру, представленную на рис. 1.1. Нормативную правовую основу создания ПАСОИБ составляют: • Конституция Российской Федерации; • Федеральные законы: ◦ «О военном положении»; ◦ «Об обороне»; ◦ «О государственной тайне»; ◦ «Об информации, информатизации и защите информации»; ◦ «Об участии в международном информационном обмене»; ◦ «О лицензировании отдельных видов деятельности»; ◦ «О техническом регулировании»; • Законы Российской Федерации: ◦ «О безопасности»; ◦ «О средствах массовой информации»; • Доктрина информационной безопасности Российской Федерации; • государственные стандарты в области защиты информации: ◦ ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизи- рованные системы. Термины и определения; ◦ ГОСТ Р 34.10-94. Информационная технология. Крипто- графическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асиммет- рического криптографического алгоритма; ◦ ГОСТ Р 34.11-94. Информационная технология. Криптогра- фическая защита информации. Функция хэширования; ◦ ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, ком-