Защита информации в компьютерных системах и сетях

ЗАЩИТА ИНФОРМАЦИИ 

В КОМПЬЮТЕРНЫХ

СИСТЕМАХ И СЕТЯХ

Шаньгин В. Ф.

Москва, 2023

2-е издание, электронное

УДК 004.056.5
ББК 32.973.202-018.2
Ш22

Ш22
Шаньгин, Владимир Федорович.
Защита информации в компьютерных системах и сетях / В. Ф. Шаньгин. — 2-е изд., 
эл. — 1 файл pdf : 594 с. — Москва : ДМК Пресс, 2023. — Систем. требования: Adobe Reader 
XI либо Adobe Digital Editions 4.5 ; экран 10". — Текст : электронный.
ISBN 978-5-89818-506-0
Книга посвящена методам и средствам многоуровневой защиты информации в компьютерных 
системах и сетях. Формулируются основные понятия защиты информации, анализируются угрозы 
информационной безопасности в компьютерных информационных системах. Обсуждаются базовые 
понятия и принципы политики информационной безопасности. Анализируются международные и 
отечественные стандарты информационной безопасности. Описываются криптографические методы 
и алгоритмы защиты информации. Обсуждаются методы и средства идентификации, аутентификации 
и управления доступом в корпоративных информационных системах. Обосновывается 
комплексный многоуровневый подход к обеспечению информационной безопасности корпоративных 
систем. Анализируются инфраструктура и безопасность «облачных» вычислений. Рассматриваются 
средства обеспечения безопасности операционных систем UNIX и Windows 7. Обсуждаются 
методы и средства формирования виртуальных защищенных каналов и сетей. Описываются 
функции межсетевых экранов. Рассматриваются технологии обнаружения и предотвращения вторжений 
в корпоративные информационные системы. Обсуждаются технологии защиты от вредоносных 
программ и спама. Рассматриваются методы управления средствами обеспечения информационной 
безопасности.
Данная книга представляет интерес для пользователей и администраторов компьютерных систем 
и сетей, менеджеров, руководителей предприятий, заинтересованных в безопасности своих корпоративных 
информационных систем и сетей. Книга может быть использована в качестве учебного 
пособия для студентов высших учебных заведений, обучающихся по направлению «Информатика 
и вычислительная техника», а также для аспирантов и преподавателей вузов соответствующих 
специальностей.

УДК 004.056.5 
ББК 32.973.202-018.2

Электронное издание на основе печатного издания: Защита информации в компьютерных системах и сетях / 
В. Ф. Шаньгин. — Москва : ДМК Пресс, 2012. — 592 с. — ISBN 978-5-94074-833-5. — Текст : непосредственный.

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то 
ни было средствами без  письменного разрешения владельцев авторских прав.
Материал, изложенный в данной книге, многократно проверен. Но поскольку вероятность технических ошибок все равно 
существует, издательство не может гарантировать абсолютную точность и правильность приводимых сведений. В связи с этим 
издательство не несет ответственности за возможные ошибки, связанные с использованием книги.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, 
правообладатель вправе требовать от нарушителя возмещения убытков или выплаты компенсации.

ISBN 978-5-89818-506-0
© Шаньгин В. Ф., 2012
© Оформление, издание, ДМК Пресс, 2012

Оглавление
Оглавление

Предисловие ............................................................................................................... 11
Введение  ...................................................................................................................... 15
Список сокращений  ................................................................................................ 18

ЧАСТЬ I
Проблемы информационной безопасности ......................................23

Глава 1 
Основные понятия и анализ угроз информационной безопасности .....25

1.1. Основные понятия информационной безопасности 
и защиты информации .........................................................................25
1.2. Анализ угроз информационной безопасности ..................................30
1.3. Анализ угроз корпоративных сетей  ...................................................40

1.3.1. Характерные особенности сетевых атак  .............................................. 40
1.3.2. Угрозы и уязвимости беспроводных сетей ............................................. 52

1.4. Тенденции развития ИТ-угроз ..............................................................55
1.5. Криминализация атак на компьютерные сети и системы  ..................57
1.6. Появление кибероружия для ведения технологических кибервойн ....60
1.7. Обеспечение информационной безопасности 
компьютерных систем  ..........................................................................62
1.7.1. Меры и средства обеспечения информационной безопасности  ....... 62
1.7.2. Пути решения проблем информационной безопасности  ................... 65

Глава 2 
Политика информационной безопасности  ....................................................68

2.1. Основные понятия политики безопасности  .......................................69

ОГЛАВЛЕНИЕ
4

2.2. Структура политики безопасности организации ...............................75

2.2.1. Базовая политика безопасности  ........................................................... 76
2.2.2. Специализированные политики безопасности  .................................... 76
2.2.3. Процедуры безопасности  ...................................................................... 79

2.3. Разработка политики безопасности организации  ............................81

2.3.1. Компоненты архитектуры безопасности ............................................... 85
2.3.2. Роли и ответственности в безопасности сети ....................................... 87

Глава 3 
Стандарты информационной безопасности  ..................................................91

3.1. Роль стандартов информационной безопасности  .............................91
3.2. Международные стандарты информационной безопасности ..........93

3.2.1. Стандарты ISO/IEC 17799:2002 (BS 7799:2000) .................................. 93
3.2.2. Германский стандарт BSI ........................................................................ 95
3.2.3. Международный стандарт ISO 15408 
«Общие критерии безопасности информационных технологий»  ................. 95
3.2.4. Стандарты для беспроводных сетей  ..................................................... 98
3.2.5. Стандарты информационной безопасности для Интернета .............101

3.3. Отечественные стандарты безопасности 
информационных технологий  ...........................................................105
3.3.1. Стандарт «Критерии оценки безопасности 
информационных технологий» ГОСТ Р ИСО/МЭК 15408  ..........................107

ЧАСТЬ II
Технологии защиты данных  ..................................................................109

Глава 4
Криптографическая защита информации ..............................................111

4.1. Основные понятия криптографической защиты информации  ........111
4.2. Симметричные криптосистемы шифрования ....................................115

4.2.1. Алгоритмы шифрования DES и 3-DES ..................................................119
4.2.2. Стандарт шифрования ГОСТ 28147-89 ..............................................123
4.2.3. Стандарт шифрования AES  .................................................................127
4.2.4. Другие симметричные криптоалгоритмы  ............................................130
4.2.5. Основные режимы работы блочного 
симметричного алгоритма  .............................................................................131
4.2.6. Особенности применения алгоритмов 
симметричного шифрования  ..........................................................................135

4.3. Асимметричные криптосистемы шифрования  ..................................136

ОГЛАВЛЕНИЕ
5

4.3.1. Алгоритм шифрования RSA  ..................................................................140
4.3.2. Асимметричные криптосистемы на базе эллиптических кривых ........144
4.3.3. Алгоритм асимметричного шифрования ECES  ...................................146

4.4. Функции хэширования  ......................................................................147

4.4.1. Отечественный стандарт хэширования ГОСТ Р 34.11-94  .................149

4.5. Электронная цифровая подпись  .........................................................15

4.5.1. Основные процедуры цифровой подписи ...........................................151
4.5.2. Алгоритм цифровой подписи DSA  .......................................................154
4.5.3. Алгоритм цифровой подписи ECDSA  ..................................................155
4.5.4. Алгоритм цифровой подписи ГОСТ Р 34.10-94 ...................................155
4.5.5. Отечественный стандарт цифровой подписи ГОСТ Р 34.10-2001 ....157
4.5.6. Новый Федеральный закон РФ «Об электронной подписи» .............161

4.6. Управление криптоключами  .............................................................163

4.6.1. Использование комбинированной криптосистемы  ...........................165
4.6.2. Метод распределения ключей Диффи–Хеллмана ..............................168
4.6.3. Протокол вычисления ключа парной связи ECKEP  ............................170

4.7. Инфраструктура управления открытыми ключами PKI ....................171

4.7.1. Принципы функционирования PKI ........................................................172
4.7.2. Логическая структура и компоненты PKI  .............................................175

Глава 5
Идентификация, аутентификация и управление доступом  .........................183

5.1. Аутентификация, авторизация и администрирование 
действий пользователей  ....................................................................183
5.2. Методы аутентификации, использующие пароли ............................187

5.2.1. Аутентификация на основе многоразовых паролей  ..........................188
5.2.2. Аутентификация на основе одноразовых паролей  ............................190

5.3. Строгая аутентификация  ...................................................................191

5.3.1. Основные понятия  ................................................................................191
5.3.2. Применение смарт-карт и USB-токенов ..............................................192
5.3.3. Криптографические протоколы строгой аутентификации  .................203

5.4. Биометрическая аутентификация пользователя ...............................210
5.5. Управление доступом по схеме однократного входа 
с авторизацией Single Sign-On ..........................................................215
5.5.1. Простая система однократного входа Single Sign-On .......................217
5.5.2. Системы однократного входа Web SSO  .............................................219
5.5.3. SSO-продукты уровня предприятия  .....................................................221

5.6. Управление идентификацией и доступом .........................................223

ОГЛАВЛЕНИЕ
6

ЧАСТЬ III 
Многоуровневая защита корпоративных 
информационных систем  .......................................................................227

Глава 6
Принципы многоуровневой защиты корпоративной информации  ...229

6.1. Корпоративная информационная система 
с традиционной структурой ...............................................................229
6.2. Системы «облачных» вычислений .....................................................235

6.2.1. Модели «облачных» вычислений  ..........................................................236
6.2.2. Архитектура «облачных» сервисов ......................................................238
6.2.3. Основные характеристики «облачных» вычислений  ..........................239
6.2.4. Концепция архитектуры «облачной» системы .....................................240

6.3. Многоуровневый подход к обеспечению информационной 
безопасности КИС  .............................................................................243
6.4. Подсистемы информационной безопасности традиционных КИС ...246
6.5. Безопасность «облачных» вычислений .............................................254

6.5.1. Основные проблемы безопасности «облачной» инфраструктуры ...255
6.5.2. Средства защиты в виртуальных средах ..............................................257
6.5.3. Выбор провайдера облачных услуг .....................................................261

Глава 7
Обеспечение безопасности операционных систем......................................266

7.1. Проблемы обеспечения безопасности ОС .......................................266

7.1.1. Угрозы безопасности операционной системы  ...................................266
7.1.2. Понятие защищенной операционной системы  ..................................268

7.2. Архитектура подсистемы защиты операционной системы  .............272

7.2.1. Основные функции подсистемы защиты операционной системы  .....272
7.2.2. Идентификация, аутентификация и авторизация 
субъектов доступа  ...........................................................................................273
7.2.3. Разграничение доступа к объектам операционной системы  ............274
7.2.4. Аудит .......................................................................................................283

7.3. Обеспечение безопасности ОС UNIX ..............................................284

7.3.1. Основные положения  ...........................................................................284
7.3.2. Парольная защита ................................................................................287
7.3.3. Защита файловой системы ...................................................................289
7.3.4. Средства аудита  ...................................................................................294
7.3.5. Безопасность системы UNIX при работе в сети ..................................298

ОГЛАВЛЕНИЕ
7

7.4. Обеспечение безопасности ОС Windows 7 .....................................298

7.4.1. Средства защиты общего характера ..................................................300
7.4.2. Защита данных от утечек и компрометации  .......................................303
7.4.3. Защита от вредоносного ПО ...............................................................310
7.4.4. Безопасность Internet Explorer 8 и 9 .....................................................319
7.4.5. Совместимость приложений с Windows 7 ...........................................326
7.4.6. Обеспечение безопасности работы в корпоративных сетях ............329

Глава 8
Протоколы защищенных каналов  .................................................................331

8.1. Модель взаимодействия систем ISO/OSI и стек 
протоколов TCP/IP ..............................................................................331
8.1.1. Структура и функциональность стека протоколов TCP/IP .................333

8.2. Защита на канальном уровне – протоколы PPTP и L2TP ..................339

8.2.1. Протокол РРТР .......................................................................................339
8.2.2. Протокол L2TP .......................................................................................343

8.3. Защита на сетевом уровне – протокол IPSec ...................................347

8.3.1. Архитектура средств безопасности IPSec ...........................................348
8.3.2. Защита передаваемых данных с помощью протоколов АН и ESP .......353
8.3.3. Протокол управления криптоключами IKE ..........................................363
8.3.4. Особенности реализации средств IPSec  ............................................368

8.4. Защита на сеансовом уровне – протоколы SSL, TLS и SOCKS ........371

8.4.1. Протоколы SSL и TLS  .............................................................................371
8.4.2. Протокол SOCKS ..................................................................................375

8.5. Защита беспроводных сетей .............................................................379

8.5.1. Общие сведения ....................................................................................379
8.5.2. Обеспечение безопасности беспроводных сетей  .............................380

Глава 9
Технологии межсетевого экранирования ................................................384

9.1. Функции межсетевых экранов  ..........................................................384

9.1.1. Фильтрация трафика  ............................................................................386
9.1.2. Выполнение функций посредничества .................................................387
9.1.3. Дополнительные возможности МЭ ......................................................389

9.2. Особенности функционирования межсетевых экранов 
на различных уровнях модели ОSI ...................................................392
9.2.1. Экранирующий маршрутизатор ..........................................................394
9.2.2. Шлюз сеансового уровня .....................................................................395

ОГЛАВЛЕНИЕ
8

9.2.3. Прикладной шлюз  .................................................................................397
9.2.4. Шлюз экспертного уровня ....................................................................400
9.2.5. Варианты исполнения межсетевых экранов ........................................401

9.3. Схемы сетевой защиты на базе межсетевых экранов  .................402

9.3.1. Формирование политики межсетевого взаимодействия  ...................403
9.3.2. Основные схемы подключения межсетевых экранов  .........................405
9.3.3. Персональные и распределенные сетевые экраны  ...........................410
9.3.4. Примеры современных межсетевых экранов  .....................................412
9.3.5. Тенденции развития межсетевых экранов  ...........................................414

Глава 10
Технологии виртуальных защищенных сетей VPN ................................417

10.1. Концепция построения виртуальных защищенных сетей VPN ......417

10.1.1. Основные понятия и функции сети VPN  ............................................418
10.1.2. Варианты построения виртуальных защищенных каналов ..............423
10.1.3. Средства обеспечения безопасности VPN  ..............................425

10.2.VPN-решения для построения защищенных сетей  .........................430

10.2.1. Класcификация сетей VPN  .................................................................431
10.2.2. Основные варианты архитектуры VPN  .............................................435
10.2.3. Основные виды технической реализации VPN .................................439

10.3. Современные VPN-продукты  ..........................................................443

10.3.1. Семейство VPN-продуктов компании «С-Терра СиЭсПи ................443
10.3.2. Устройства сетевой защиты Cisco ASA 5500 Series .........................449

Глава 11
Защита удаленного доступа  .....................................................................453

11.1. Особенности удаленного доступа  .................................................454

11.1.1. Методы управления удаленным доступом  ........................................455
11.1.2. Функционирование системы управления доступом .........................457

11.2.Организация защищенного удаленного доступа ...........................460

11.2.1. Средства и протоколы аутентификации удаленных 
пользователей  .................................................................................................462
11.2.2. Централизованный контроль удаленного доступа  ..........................475

11.3. Протокол Kerberos ...........................................................................480

Глава 12
Технологии обнаружения и предотвращения вторжений  ...................489

12.1.Основные понятия  ............................................................................489
12.2. Обнаружение вторжений системой IPS ..........................................492

ОГЛАВЛЕНИЕ
9

12.3. Предотвращение вторжений в КИС  ...............................................494

12.3.1. Предотвращение вторжений системного уровня  ............................494
12.3.2. Предотвращение вторжений сетевого уровня .................................495
12.3.3. Защита от DDoS-атак .........................................................................498

Глава 13
Технологии защиты от вредоносных программ и спама ......................502

13.1. Классификация вредоносных программ  ........................................502
13.2. Основы работы антивирусных программ  ......................................507

13.2.1. Сигнатурный анализ  ...........................................................................507
13.2.2. Особенности «облачной» антивирусной технологии  ......................509
13.2.3. Проактивные методы обнаружения  ..................................................510
13.2.4. Дополнительные модули .....................................................................513
13.2.5. Режимы работы антивирусов  .............................................................515
13.2.6. Антивирусные комплексы  ...................................................................516
13.2.7. Дополнительные средства защиты  ....................................................518

13.3. Защита персональных компьютеров и корпоративных 
систем от воздействия вредоносных программ и вирусов ...............521
13.3.1. Защита домашних персональных компьютеров 
от воздействия вредоносных программ и вирусов  .......................................521
13.3.2. Подсистема защиты корпоративной информации 
от вредоносных программ и вирусов .............................................................523
13.3.3. Серия продуктов «Kaspersky Open Space Security» 
для защиты корпоративных сетей от современных интернет-угроз ............525

ЧАСТЬ IV
Управление информационной безопасностью ...............................529

Глава 14
Управление средствами обеспечения информационной 
безопасности  ................................................................................................531

14.1. Задачи управления информационной безопасностью .................531
14.2. Архитектура управления информационной 
безопасностью КИС ...........................................................................537
14.2.1. Концепция глобального управления безопасностью GSM  .............537
14.2.2. Глобальная и локальные политики безопасности  ............................539

14.3. Функционирование системы управления информационной 
безопасностью КИС ...........................................................................542
14.3.1. Назначение основных средств защиты  .............................................543

ОГЛАВЛЕНИЕ
10

14.3.2. Защита ресурсов  ................................................................................544
14.3.3. Управление средствами защиты ........................................................545

14.4. Аудит и мониторинг безопасности КИС .........................................547

14.4.1. Аудит безопасности информационной системы  ..............................547
14.4.2. Мониторинг безопасности системы  ..................................................551

Глава 15
Обзор современных систем управления безопасностью ....................554

15.1. Продукты компании ЭЛВИС+ для управления 
средствами безопасности ..................................................................554
15.2. Продукты компании Cisco для управления безопасностью сетей  ....556
15.3. Продукты компании IBM для управления средствами 
безопасности  .....................................................................................562
15.4. Продукты компании Check Point Software Technologies 
для управления средствами безопасности .......................................567

Список литературы  .....................................................................................576

Предметный указатель  ...............................................................................581

Предисловие 
Предисловие

Познание начинается с удивления.

Аристотель

Быстрое развитие информационных технологий и глобальной сети Интернет 
привели к формированию информационной среды, оказывающей влияние на все 
сферы человеческой деятельности. Корпоративные информационные системы 
(КИС) становятся сегодня важнейшим средством производства современной 
компании, они позволяют преобразовать традиционные формы бизнеса в электронный 
бизнес. Электронный бизнес использует глобальную сеть Интернет и 
современные информационные технологии для повышения эффективности всех 
сторон деятельности компаний, включая производство, маркетинг, продажи, платежи, 
финансовый анализ, поиск сотрудников, поддержку клиентов и партнерских 
отношений.
Важным условием существования электронного бизнеса является информационная 
безопасность, под которой понимается защищенность корпоративной 
информации и поддерживающей инфраструктуры от случайных и преднамеренных 
воздействий, способных нанести ущерб владельцам или пользователям 
информации. Ущерб от нарушения информационной безопасности может привести 
к крупным финансовым потерям и даже к полному закрытию компании. 
Поэтому проблемы обеспечения информационной безопасности привлекают 
внимание как специалистов в области компьютерных систем и сетей, так и многочисленных 
пользователей, включая компании, работающие в сфере электронного 
бизнеса. Задача обеспечения безопасности корпоративных информационных 
систем решается путем построения комплексной системы информационной 
безопасности. 
Без знания и квалифицированного применения современных информационных 
технологий, стандартов, протоколов и средств защиты информации невозможно 
достигнуть требуемого уровня информационной безопасности компьютерных 
систем и сетей.

ПРЕДИСЛОВИЕ
12

Предлагаемая вниманию читателя книга посвящена систематическому изложению 
и анализу современных методов, средств и технологий комплексной защиты 
информации в корпоративных системах. 
Содержимое книги разбито на четыре логически связанных части:

❍ часть I «Проблемы информационной безопасности»;
❍ часть II «Технологии защиты данных»;
❍ часть III «Многоуровневая защита корпоративных информационных систем»;
❍ 
часть IV «Управление информационной безопасностью».

Каждая из этих частей объединяет несколько глав, связанных общей темой. 
Каждая глава завершается набором вопросов для самоконтроля. Книга содержит 
также список сокращений и список литературы. 
Часть I «Проблемы информационной безопасности» включает следующие главы:

❍ глава 1 «Основные понятия и анализ угроз информационной безопасности»;
❍ глава 2 «Политика информационной безопасности»;
❍ глава 3 «Стандарты информационной безопасности». 

В главе 1 формулируются основные понятия и определения информационной 
безопасности и анализируются угрозы информационной безопасности в корпоративных 
системах и сетях, рассматриваются тенденции развития ИТ-угроз и 
криминализация атак, формулируются способы обеспечения информационной 
безопасности и возможные пути решения проблем защиты информации в сетях.
В главе 2 определяются базовые понятия политики безопасности и описываются 
основные виды политик и процедур безопасности в корпоративных информационных 
системах.
Глава 3 посвящена описанию стандартов информационной безопасности. Рассматриваются 
основные международные стандарты информационной безопасности. 
Даны краткие описания популярных стандартов информационной безопасности 
для Интернета. Описываются отечественные стандарты безопасности 
информационных технологий.
Часть II «Технологии защиты данных» включает следующие главы:

❍ глава 4 «Криптографическая защита информации»;
❍ глава 5 «Идентификация, аутентификация и управление доступом».

В главе 4 описываются такие криптографические методы защиты корпоративной 
информации, как симметричные и асимметричные криптосистемы шифрования, 
комбинированные криптосистемы, электронная цифровая подпись, функции 
хэширования и управление криптоключами. Подробно рассматривается инфраструктура 
управления открытыми ключами PKI (Public Key Infrastructure).
Глава 5 посвящена рассмотрению идентификации, аутентификации и авторизации 
пользователя. Описываются методы аутентификации, использующие многоразовые 
и одноразовые пароли, протоколы строгой аутентификации, смарт-карты 
и USB-токены, биометрическую аутентификацию пользователей, управление доступом 
по схеме однократного входа Single Sign-On.

ПРЕДИСЛОВИЕ
13

Часть III «Многоуровневая защита корпоративных информационных систем» 
объединяет следующие главы:

❍ глава 6 «Принципы многоуровневой защиты корпоративной информации»;
❍ глава 7 «Обеспечение безопасности операционных систем»;
❍ глава 8 «Протоколы защищенных каналов»;
❍ глава 9 «Технологии межсетевого экранирования»;
❍ глава 10 «Технологии виртуальных защищенных сетей VPN»;
❍ глава 11 «Защита удаленного доступа»;
❍ глава 12 «Технологии обнаружения и предотвращения вторжений»;
❍ глава 13 «Технологии защиты от вредоносных программ и спама».

Глава 6 посвящена рассмотрению принципов комплексной многоуровневой защиты 
информации в корпоративных информационных системах. Анализируются 
традиционные структуры корпоративных информационных систем и инфраструктура «
облачных» вычислений. Описывается стратегия многоуровневой защиты 
КИС. Рассматривается безопасность «облачных» вычислений.
В главе 7 анализируются угрозы безопасности в операционных системах (ОС), 
вводится понятие защищенной ОС, описываются архитектура и основные функции 
подсистемы защиты ОС. Рассматриваются средства обеспечения безопасности 
операционных систем UNIX и Windows 7. 
В главе 8 обсуждаются проблемы построения защищенных виртуальных каналов 
на канальном, сетевом и сеансовом уровнях эталонной модели взаимодействия 
открытых систем OSI. Рассматриваются особенности применения протоколов на 
канальном уровне РРТР, L2F и L2TP. Описываются архитектура стека протоколов 
IPSec, протокол аутентификации АН, протокол формирования защищенного пакета 
ESP, протокол управления криптоключами IKE. Приводятся сведения об алгоритмах 
аутентификации и шифрования, применяемых в стеке протоколов IPSec. 
Описывается применение протоколов SSL и SOCKS для построения защищенных 
каналов на сеансовом уровне. Рассматривается защита беспроводных сетей.
В главе 9 рассматриваются функции межсетевых экранов. Описываются схемы 
сетевой защиты на базе межсетевых экранов. Рассматривается применение персональных 
и распределенных сетевых экранов.
Глава 10 посвящена рассмотрению защищенных виртуальных сетей VPN 
(Virtual Private Network). Поясняется главное свойство сети VPN – туннелирование. 
Анализируются варианты построения виртуальных защищенных каналов. 
Рассматриваются варианты архитектуры сетей VPN и приводятся основные виды 
технической реализации VPN.
В главе 11 рассматривается организация защищенного удаленного доступа, 
анализируются протоколы аутентификации и системы централизованного контроля 
удаленного доступа. Особое внимание уделяется протоколу аутентификации 
Kerberos.
Глава 12 посвящена проблемам обнаружения и предотвращения вторжений. 
Рассматриваются методы обнаружения и предотвращения вторжений в корпоративные 
информационные системы, а также защита от распределенных атак.

ПРЕДИСЛОВИЕ
14

В главе 13 описываются технологии защиты от вредоносных программ и спама. 
Приводится классификация вредоносных программ. Рассматриваются сигнатурный 
анализ и проактивные методы обнаружения вирусов и других вредоносных 
программ. Описывается защита корпоративной информационной системы от вредоносных 
программ.
Часть IV «Управление информационной безопасностью» объединяет следующие 
главы:

❍ глава 14 «Управление средствами обеспечения информационной безопасности»;
❍ 
глава 15 «Обзор современных систем управления безопасностью».

В главе 14 рассматриваются методы управления средствами защиты корпоративной 
информации. Сформулированы задачи управления системой информационной 
безопасности масштаба предприятия. Анализируются варианты архитектуры 
управления средствами безопасности. Особое внимание уделяется 
перспективной архитектуре централизованного управления безопасностью на 
базе глобальной и локальной политик безопасности. 
В главе 15 приводится обзор современных систем управления информационной 
безопасностью. Рассматриваются продукты компаний ЭЛВИС+, Cisco Systems, 
IBM и Check Point для управления средствами безопасности.
Материал книги базируется только на открытых публикациях в Интернете, 
отечественной и зарубежной печати. В основу книги положены материалы лекций, 
читаемых автором в Московском государственном институте электронной 
техники.
Автор заранее благодарен читателям, которые пришлют ему свои замечания и 
пожелания по адресу shanico@mail.ru.

Введение
Введение

Кто владеет информацией, 
 
 
 
 
 
 
 
 
   тот владеет миром. 

Уинстон Черчилль

Деятельность современной компании невозможна без использования информационных 
технологий. Эффективное применение информационных технологий 
является общепризнанным фактором конкурентоспособности компании. Многие 
предприятия в мире переходят к использованию широких возможностей Интернета 
и электронного бизнеса. Корпоративные информационные системы (КИС) 
становятся сегодня одним из главных инструментов управления бизнесом и фактически 
важнейшим средством производства современной компании. В таких условиях 
одним из наиболее ценных ресурсов организации является корпоративная 
информация.
Все больше корпоративных систем, приложений и данных становятся доступными 
из Глобальной сети, вследствие чего компании сталкиваются с возрастающим 
числом различных угроз для своей информационной инфраструктуры – несанкционированный 
доступ, вирусная опасность, атаки типа «отказ в обслуживании» 
и другие виды вторжений, мишенью для которых становятся приложения, компьютерные 
сети и инфраструктура КИС.
Поэтому применение информационных технологий немыслимо без повышенного 
внимания к вопросам информационной безопасности. Одной из самых 
актуальных задач, которая стоит сегодня перед разработчиками и поставщиками 
информационных технологий, является решение проблем информационной 
безопасности, связанных с широким распространением Интернета, интранета и 
экстранета. 
Реализация решений для электронного бизнеса должна обеспечивать хорошую 
защиту, конфиденциальность транзакций, предоставлять защиту целостности выполнения 
деловых операций и данных заказчиков, а также гарантировать постоянный 
доступ к данным. Информация должна быть доступна только тем, кому 
она предназначена, и скрыта от сторонних наблюдателей. Несанкционированное 
использование информационного ресурса, его временная недоступность или раз-

ВВЕДЕНИЕ
16

рушение могут нанести компании значительный материальный ущерб. Надежная 
защита информационных ресурсов повышает эффективность всего процесса информатизации, 
обеспечивая безопасность дорогостоящей деловой информации, 
циркулирующей в локальных и глобальной информационных средах. 
Использование Интернета в качестве глобальной публичной сети означает для 
средств безопасности предприятия не только резкое увеличение количества внешних 
пользователей и разнообразие типов коммуникационных связей, но и сосуществование 
с новыми сетевыми и информационными технологиями. Поэтому 
информационные ресурсы и средства осуществления электронных сетевых транзакций (
серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, 
операционные системы, базы данных и приложения) нужно защищать особенно 
надежно и качественно. 
Следует заметить, что средства взлома компьютерных сетей и хищения информации 
развиваются так же быстро, как и все высокотехнологичные компьютерные 
отрасли. В этих условиях обеспечение информационной безопасности КИС 
является приоритетной задачей, поскольку от сохранения конфиденциальности, 
целостности и доступности корпоративных информационных ресурсов во многом 
зависит эффективность работы КИС. 
Задача обеспечения информационной безопасности КИС традиционно решается 
построением системы информационной безопасности (СИБ), определяющим 
требованием к которой является сохранение вложенных в построение КИС инвестиций. 
Иначе говоря, СИБ должна функционировать абсолютно прозрачно 
для уже существующих в КИС приложений и быть полностью совместимой с 
используемыми в КИС сетевыми технологиями. 
Создаваемая система информационной безопасности предприятия должна 
учитывать появление новых технологий и сервисов, а также удовлетворять общим 
требованиям, предъявляемым сегодня к корпоративной информационной 
системе: 

❍ применение открытых стандартов; 
❍ использование интегрированных решений; 
❍ обеспечение масштабирования в широких пределах. 

Переход на открытые стандарты составляет одну из главных тенденций развития 
современных средств информационной безопасности. Такие стандарты, как 
IPSec и PKI, обеспечивают защищенность внешних коммуникаций предприятий 
и совместимость с соответствующими продуктами предприятий-партнеров или 
удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня 
стандартной основой для аутентификации пользователей и устройств. Современные 
и перспективные средства защиты, безусловно, должны поддерживать 
эти стандарты. 
Под интегрированными решениями понимаются как интеграция средств защиты 
с остальными элементами сети (операционными системами, маршрутизаторами, 
службами каталогов, серверами QoS-политики и т. п.), так и интеграция различных 
технологий безопасности между собой для обеспечения комплексной защиты 

ВВЕДЕНИЕ
17

информационных ресурсов предприятия, например интеграция межсетевого экрана 
с VPN-шлюзом и транслятором IP-адресов. 
По мере роста и развития КИС система информационной безопасности должна 
иметь возможность легко масштабироваться без потери целостности и управляемости. 
Масштабируемость средств защиты позволяет подбирать оптимальное 
по стоимости и надежности решение с возможностью постепенного наращивания 
системы защиты. Масштабирование обеспечивает эффективную работу предприятия 
при наличии у него многочисленных филиалов, десятков предприятий-партнеров, 
сотен удаленных сотрудников и миллионов потенциальных клиентов. 
Для того чтобы обеспечить надежную защиту ресурсов корпоративной информационной 
системы, в системе информационной безопасности должны быть реализованы 
самые прогрессивные и перспективные технологии информационной 
защиты. К ним относятся:

❍ криптографическая защита данных для обеспечения конфиденциальности, 
целостности и подлинности информации;
❍ поддержка инфраструктуры управления открытыми ключами PKI;
❍ технологии аутентификации для проверки подлинности пользователей и 
объектов сети путем применения одноразовых паролей, токенов (смарт-карт, 
USB-токенов) и других средств аутентификации;
❍ управление доступом на уровне пользователей и защита от несанкционированного 
доступа к информации;
❍ комплексный многоуровневый подход к построению системы информационной 
безопасности, обеспечивающий рациональное сочетание технологий и 
средств информационной защиты;
❍ технологии межсетевых экранов для защиты корпоративной сети от внешних 
угроз при подключении к общедоступным сетям связи;
❍ технологии виртуальных защищенных каналов и сетей VPN для защиты информации, 
передаваемой по открытым каналам связи;
❍ технологии обнаружения и предотвращения вторжений в КИС; 
❍ технологии защиты от вредоносных программ и спама с использованием 
комплексов антивирусной защиты; 
❍ обеспечение безопасности «облачных» вычислений; 
❍ централизованное управление средствами информационной безопасности на 
базе единой политики безопасности предприятия.

Предлагаемая книга дает читателю достаточно полное представление о современных 
и перспективных методах, средствах и технологиях защиты информации 
в корпоративных системах и сетях. Книга представляет интерес для пользователей 
и администраторов компьютерных сетей и систем, менеджеров, руководителей 
предприятий, заинтересованных в безопасности своих корпоративных информационных 
систем и сетей.
Данная книга может быть полезна в качестве учебного пособия для студентов 
вузов, обучающихся по направлению «Информатика и вычислительная техника», 
а также для аспирантов и преподавателей соответствующих специальностей.

Список сокращений 
Список сокращений

3-DES (Triple Data Encryption Standard) – алгоритм тройного шифрования, разновидность 
алгоритма DES.
ACK (Acknowledgement) – подтверждение.
AES (Advanced Encryption Standard) – американский стандарт шифрования данных.

AH (Authentication Header) – аутентифицирующий заголовок в IPSec.
AP (Access Point) – точка доступа – коммуникационный узел для пользователей 
или беспроводное устройство.
AS (Authentication Server) – сервер аутентификации.
ASA (Adaptive Security Algorithm) – алгоритм адаптивной безопасности.
B2B (Business-to- Business) – схема бизнес–бизнес: модель ведения бизнеса в 
Интернете на уровне компаний.
B2C (Business-to-Consumer) – схема бизнес–потребитель: розничная продажа 
товаров и услуг частным лицам через Интернет.
CA (Certification Authority) – центр сертификации.
CEK (Content Encryption Key) – ключ шифрования данных.
CHAP (Challenge-Handshake Authentication Protocol) – протокол аутентификации 
на основе процедуры запрос–отклик.
CRL (Certificate Revocation List) – cписок аннулированных сертификатов.
CSA (Cloud Security Alliance) – альянс в сфере облачной безопасности. 
DDoS (Distributed Denial of Service) – распределенная атака отказа в обслуживании.

DES (Data Encryption Standard) – бывший стандарт шифрования данных США.
DH (Diffie–Hellman) – Диффи–Хеллман.
DHCP (Dynamic Host Configuration Protocol) – протокол динамической конфигурации 
хостов.
DMZ (Demilitarized Zone) – демилитаризованная зона, безопас ная зона сети.
DNS (Domain Name Server) – служба имен доменов.
DOI (Domain of Interpretation) – область интерпретации.