Единое окно доступа к образовательным ресурсам

Программно-аппаратные средства обеспечения информационной безопасности: Учебное пособие (2-е издание)

Голосов: 2

В пособии изложены основные принципы организации защиты в компьютерных системах обработки конфиденциальной информации, приведено описание конкретных аппаратно-программных систем защиты информации.

Приведенный ниже текст получен путем автоматического извлечения из оригинального PDF-документа и предназначен для предварительного просмотра.
Изображения (картинки, формулы, графики) отсутствуют.
           А.П. Зайцев, И.В. Голубятников,
       Р.В. Мещеряков, А.А. Шелупанов




     ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ




               Учебное пособие




                    2006


Корректор: Лопатин В.Д.




Зайцев А.П., Голубятников И.В.,
Мещеряков Р.В., Шелупанов А.А.
Программно-аппаратные средства обеспечения информационной
безопасности: Учебное пособие. Издание 2-е испр. и доп.–
М.:Машиностроение-1, 2006. − 260 с.

ISBN 5-94275-345-7


     В пособии изложены основные принципы организации защиты в
компьютерных системах обработки конфиденциальной информации,
приведено описание конкретных аппаратно-программных систем защиты
информации.




ISBN 5-94275-345-7
                      © Зайцев Александр Петрович , 2006
                      © Голубятников Игорь Владимирович, 2006
                      © Мещеряков Роман Валерьевич, 2006
                      © Шелупанов Александр Александрович , 2006
                      © ТУСУР, 2006


                                                  3


                                      СОДЕРЖАНИЕ

Введение..............................................................................................7
 1 Необходимость и цели защиты информации .............................7
 2 Основные принципы организации защиты информации от
   НСД и обеспечения ее конфиденциальности .............................8
Глава 1. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ .......................14
 1.1 Методы создания безопасных систем обработки
     информации..............................................................................14
 1.2 Автоматизация процесса обработки конфиденциальной
     информации..............................................................................14
 1.3 Противодействие угрозам безопасности путем устранения
     предпосылок их осуществления.............................................14
 1.4 Стандарты информационной безопасности и их роль .........15
 1.5 Основные понятия и определения..........................................16
 1.6 Угрозы безопасности компьютерных систем........................17
 1.7 Методы взлома компьютерных систем..................................18
 1.8 Защита компьютерной системы от взлома ............................23
 1.9 Защита КС от программных закладок....................................24
  1.9.1 Программные закладки ......................................................24
  1.9.2 Воздействия программных закладок на компьютеры .......26
 1.10 Защита от программных закладок ........................................31
 1.11 Политика безопасности .........................................................36
 1.12 Модель КС. Понятие монитора безопасности.....................39
 1.13 Обеспечение гарантий выполнения политики
     безопасности ............................................................................44
Глава 2. ЗАМКНУТАЯ ПРОГРАММНАЯ СРЕДА.......................47
 2.1 Основные определения............................................................47
 2.2 Метод генерации изолированной программной среды при
     проектировании механизмов гарантированного
     поддержания политики безопасности....................................51
 2.3 Формирование и поддержка изолированной программной
     среды.........................................................................................56


                                                 4


Глава 3. БЕЗОПАСНОЕ ВЗАИМОДЕЙСТВИЕ В КС ..................63
 3.1 Введение ...................................................................................63
 3.2 Процедура идентификации и аутентификации .....................64
 3.3 Реализация механизмов безопасности на аппаратном
     уровне .......................................................................................67
  3.3.1 Защита на уровне расширений Bios..................................67
  3.3.2 Защита на уровне загрузчиков операционной среды ......69
 3.4 Контроль и управление доступом ..........................................71
  3.4.1 Произвольное управление доступом ................................71
  3.4.2 Нормативное управление доступом .................................75
  3.4.3 Диспетчер доступа комплекной системы защиты
        информации ........................................................................79
 3.5 Безопасность компьютерной сети ..........................................81
  3.5.1 Сканеры ...............................................................................81
  3.5.2 Защита от анализаторов протоколов ................................83
  3.5.3 Межсетевые экраны – эффективная технология
        сетевой защиты информации ............................................86
  3.5.4 Современные требования к межсетевым экранам...........87
 3.6 Управление криптографическими ключами
     и хранение ключевой информации ........................................88
  3.6.1 Ключевая информация.......................................................88
  3.6.2 Концепция иерархии ключей ............................................92
  3.6.3 Распределение ключей .......................................................95
  3.6.4 Распределение ключей с участием центра
        распределения ключей........................................................96
  3.6.5 Прямой обмен ключами между пользователями...........102
Глава 4. ЗАЩИТА ОПЕРАЦИОННЫХ СИСТЕМ......................103
 4.1 Введение .................................................................................103
 4.2 Средства собственной защиты..............................................107
 4.3 Средства защиты в составе вычислительной системы......108
  4.3.1 Защита магнитных дисков ...............................................109
  4.3.2 Защитные механизмы устройств вычислительной
        системы..............................................................................111
  4.3.3 Замки защиты ....................................................................112
  4.3.4 Изменение функций .........................................................113
 4.4 Средства защиты с запросом информации ..........................114
  4.4.1 Пароли ...............................................................................114


                                                 5


   4.4.2 Сигнатуры .........................................................................115
   4.4.3 Аппаратура защиты..........................................................116
 4.5 Средства активной защиты ...................................................120
   4.5.1 Внутренние средства активной защиты .........................120
   4.5.2 Внешние средства активной защиты ..............................121
 4.6 Средства пассивной защиты .................................................122
   4.6.1 Идентификация программ ...............................................122
   4.6.2 Устройства контроля.......................................................125
   4.6.3 Водяные знаки ..................................................................125
   4.6.4 Психологические методы защиты .................................126
 4.7 Электронные ключи...............................................................127
 4.8 Технология защиты информации на основе смарт-карт ....130
 4.9 Создание защищенной операционной системы ..................132
   4.9.1 Основные положения архитектуры микроядерных ОС ..135
   4.9.2 Микроядерная архитектура с точки зрения
         создания защищенных систем.........................................137
   4.9.3 Микроядро как основа для создания защищенной ОС
         нового поколения – МК++...............................................138
Глава 5. ПРОГРАММНО-АППАРАТНЫЕ КОМПЛЕКСЫ
ЗАЩИТЫ ИНФОРМАЦИИ ..........................................................146
 5.1 Программно-аппаратный комплекс «Аккорд – 1.95».........146
   5.1.1 Общие сведения................................................................146
   5.1.2 Технические и организационные сведения....................148
   5.1.3 Особенности защитных функций комплекса.................149
   5.1.4 Построение системы защиты информации
         на основе комплекса.........................................................151
   5.1.5 Состав комплекса .............................................................154
   5.1.6 Принцип работы комплекса ............................................156
 5.2 Программно-аппаратный комплекс Secret Net NT 4.0 .............161
   5.2.1 Функциональные возможности системы .......................161
   5.2.2 Общая архитектура...........................................................161
   5.2.3 Основные компоненты.....................................................162
   5.2.4 Защитные механизмы Secret Net NT 4.0.........................167
   5.2.5 Механизмы контроля входа в систему ...........................168
   5.2.6 Механизм идентификации и аутентификации
         пользователей ...................................................................169
   5.2.7 Аппаратные средства защиты от несанкционированного
         входа ..................................................................................169


                                                 6


  5.2.8 Функция временной блокировки компьютера...............170
  5.2.9 Механизмы управления доступом и защиты ресурсов....170
  5.2.10 Механизм избирательного управления доступом .......171
  5.2.11 Механизм полномочного управления доступом .........171
  5.2.12 Механизм замкнутой программной среды...................172
  5.2.13 Механизмы контроля и регистрации ............................173
  5.2.14 Механизм регистрации событий ...................................174
  5.2.15 Механизм контроля целостности..................................174
  5.2.16 Контроль аппаратной конфигурации компьютера ......176
  5.2.17 Средства аппаратной поддержки Secret Net ................177
 5.3 Порядок аттестации автоматизированных систем
     обработки информации .........................................................178
Литература ......................................................................................178
Приложение 1 .................................................................................179
Приложение 2 .................................................................................213
Приложение 3 .................................................................................230
Приложение 4
       240


                               7



                         ВВЕДЕНИЕ

    1 Необходимость и цели защиты информации

       Бурное развитие средств вычислительной техники, автома-
тизированных информационных систем, появление новых ин-
формационных технологий в нашей стране сопровождается, к
сожалению, и появлением таких малоприятных явлений, как
промышленный шпионаж, компьютерная преступность и, прежде
всего, несанкционированный доступ (НСД) к конфиденциальной
информации. Этим обуславливается актуальность и значимость
проблемы защиты информации.
       Острая необходимость в защите информации нашла выра-
жение в создании Государственной системы защиты информации
(ГСЗИ). Развивается правовая база информационной безопасно-
сти. Приняты и введены в действие законы «О государственной
тайне», «Об информации, информатизации и защите информа-
ции», «О правовой охране программ для электронных вычисли-
тельных машин и баз данных» и др. Целями защиты информации
являются: предотвращение ущерба, возникновение которого воз-
можно в результате утери (хищения, утраты, искажения, поддел-
ки) информации в любом ее проявлении; реализация адекватных
угрозам безопасности информации мер защиты в соответствии с
действующими Законами и нормативными документами по безо-
пасности информации (приложение 1), потребностями владель-
цев (пользователей) информации. «Защите подлежит любая до-
кументированная информация, неправомерное обращение с кото-
рой может нанести ущерб ее собственнику, владельцу, пользова-
телю и иному лицу» [2].
       Любое современное предприятие (учреждение, фирма и
т.д.), независимо от вида деятельности и форм собственности, не
может сегодня успешно развиваться и вести хозяйственную и
иную деятельность без создания надежной системы защиты своей
информации, включающей не только организационно-норматив-
ные меры, но и технические средства контроля безопасности ин-
формации при ее обработке, хранении и передаче в автоматизи-
рованных системах (АС), прежде всего, программно-аппаратные.


                               8


    2 Основные принципы организации защиты
      информации от НСД и обеспечения ее
      конфиденциальности

      Мероприятия по защите информации от НСД являются со-
ставной частью управленческой, научной, производственной
(коммерческой) деятельности предприятия (учреждения, фирмы
и т.д.), независимо от их ведомственной принадлежности и фор-
мы собственности, и осуществляются в комплексе с другими ме-
рами по обеспечению установленного режима конфиденциально-
сти. Практика организации защиты информации от НСД при ее
обработке и хранении в АС должна учитывать следующие прин-
ципы и правила обеспечения безопасности информации [3]:
      1. Соответствие уровня безопасности информации законода-
тельным положениям и нормативным требованиям по охране
сведений, подлежащих защите по действующему законодательст-
ву, в т.ч. выбор класса защищенности АС в соответствии с осо-
бенностями обработки информации (технология обработки, кон-
кретные условия эксплуатации АС) и уровнем ее конфиденци-
альности.
      2. Выявление конфиденциальной информации и докумен-
тальное оформление в виде перечня сведений, подлежащих защи-
те, его своевременная корректировка.
      3. Наиболее важные решения по защите информации долж-
ны приниматься руководством предприятия (организации, фир-
мы), владельцем АС.
      4. Определение порядка установки уровней полномочий
субъектов доступа, а также круга лиц, которым это право предос-
тавлено.
      5. Установление и оформление правил разграничения дос-
тупа (ПРД), т.е. совокупности правил, регламентирующих права
доступа субъектов доступа к объектам доступа.
      6. Установление личной ответственности пользователей за
поддержание уровня защищенности АС при обработке сведений,
подлежащих защите по действующему законодательству, путем:
      - ознакомления с перечнем защищаемых сведений, органи-
зационно-распорядительной и рабочей документацией, опреде-


                               9


ляющей требования и порядок обработки конфиденциальной ин-
формации;
     - определение уровня полномочий пользователя в соответ-
ствии с его должностными обязанностями;
     - получения от субъекта доступа расписки о неразглашении
доверенной ему конфиденциальной информации.
     7. Обеспечение физической охраны объекта, на котором
расположена защищаемая АС (территория, здания, помещения,
хранилища информационных носителей), путем установления
соответствующих постов, технических средств охраны или лю-
быми другими способами, предотвращающими или существенно
затрудняющими хищение средств вычислительной техники
(СВТ), информационных носителей, а также НСД к СВТ и лини-
ям связи.
     8. Организация службы безопасности информации (ответст-
венные лица, администратор АС), осуществляющей учет, хране-
ние и выдачу информационных носителей, паролей, ключей, ве-
дение служебной информации СЗИ НСД (генерацию паролей,
ключей, сопровождение правил разграничения доступа), прием-
ку включаемых в АС новых программных средств, а также кон-
троль за ходом технологического процесса обработки конфиден-
циальной информации и т.д.
     9. Планомерный и оперативный контроль уровня безопасно-
сти защищаемой информации согласно НД по безопасности ин-
формации, в т.ч. проверка защитных функций средств защиты
информации.
     Средства защиты информации должны иметь сертификат,
удостоверяющий их соответствие требованиям по безопасности
информации.
     Современные компьютеры за последние годы приобрели ги-
гантскую вычислительную мощь, но одновременно с этим стали
гораздо проще в эксплуатации. Пользоваться ими стало легче,
поэтому все большее количество новых, как правило, малоквали-
фицированных людей получают доступ к компьютерам, что су-
щественно облегчает задачу нарушителям, т.к. в результате «пер-
сонализации» средств ВТ большинство пользователей осуществ-
ляет администрирование компьютеров самостоятельно.


                               10


     Повсеместное распространение сетевых технологий объеди-
нило отдельные машины в локальные сети, совместно исполь-
зующие общие ресурсы, а применение технологий клиент-сервер
и кластеризации преобразовало такие сети в распределенные вы-
числительные среды. Безопасность сети определяется защищен-
ностью всех входящих в нее компьютеров и сетевого оборудова-
ния, и злоумышленнику достаточно нарушить работу только од-
ного компонента, чтобы скомпрометировать всю сеть.
     Современные телекоммуникационные технологии объеди-
нили локальные компьютерные сети в глобальную информаци-
онную среду – Internet. Именно развитие Internet вызвало всплеск
интереса к проблеме безопасности и поставило вопрос об обяза-
тельном наличии средств защиты у сетей и систем, подключен-
ных к Internet, независимо от характера обрабатываемой в них
информации. Дело в том, что Internet обеспечивает возможности
злоумышленникам для осуществления нарушений безопасности в
глобальном масштабе. Если компьютер, который является объек-
том атаки, подключен к Internet, то для атакующего не имеет
большого значения, где он находится – в соседней комнате или
на другом континенте.
     По заключению экспертов самым привлекательным секто-
ром российской экономики для преступников является кредитно-
финансовая система. Анализ преступных действий, совершенных
в этой сфере, и опросы представителей банковских учреждений
позволяют выделить наиболее типичные способы совершения
преступлений:
        Наиболее распространенные компьютерные преступле-
ния, совершенные путем несанкционированного доступа к бан-
ковским базам данных посредством телекоммуникационных се-
тей.
        За последнее время не отмечено ни одно компьютерное
преступление, которое было бы совершено одним человеком. Из-
вестны случаи, когда преступными группировками нанимались
бригады из десятков хакеров.
        Большинство компьютерных преступлений в банковской
сфере совершается при непосредственном участии самих служа-
щих коммерческих банков.



    
Яндекс цитирования Яндекс.Метрика