Информационная безопасность: Учебное пособие. Единое окно доступа к образовательным ресурсам

Информационная безопасность: Учебное пособие

Текстовая версия документа

PDF (размер: 2135.9 КБ)

Текстовая версия документа предназначена только для предварительного просмотра!

Преобразование в текст выполняется в автоматическом режиме, поэтому результат может сильно отличаться от оригинального документа. Изображения (картинки, формулы, графики) в документе игнорируются.

ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ТИХООКЕАНСКИЙ ИНСТИТУТ
ДИСТАНЦИОННОГО ОБРАЗОВАНИЯ И ТЕХНОЛОГИЙ

Корнюшин П.Н.
Костерин С. С.

ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ

ВЛАДИВОСТОК
2003 г.

ОГЛАВЛЕНИЕ

МЕТОДИЧЕСКИЕ УКАЗАНИЯ ДЛЯ СТУДЕНТОВ................................................................................... 5

АННОТАЦИЯ............................................................................................................................................... 6

МОДУЛЬ 1. КОНЦЕПЦИЯ И ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ....................................................................................................................................... 7

1.0. Введение .............................................................................................................................................................. 7

1.1. Концепция информационной безопасности.................................................................................................. 8
1.1.1. Основные концептуальные положения системы защиты информации................................................... 9
1.1.2. Концептуальная модель информационной безопасности ....................................................................... 12
1.1.3. Угрозы конфиденциальной информации ................................................................................................. 14
1.1.4. Действия, приводящие к неправомерному овладению конфиденциальной информацией.................. 16

1.2. Направления обеспечения информационной безопасности .................................................................... 19
1.2.1. Организационная защита ........................................................................................................................... 20
1.2.2. Инженерно-техническая защита................................................................................................................ 23
1.2.2.1. Физические средства защиты ............................................................................................................. 25
1.2.2.2. Криптографические средства защиты................................................................................................ 30

МОДУЛЬ 2. ПРАВОВАЯ И ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ ............................................. 34

2.3. Правовые основы информационной безопасности ................................................................................... 34
2.3.1. Государственная политика информационной безопасности .................................................................. 34
2.3.2. Органы обеспечения информационной безопасности............................................................................. 37
2.3.3. Лицензирование деятельности в области информационной безопасности........................................... 37

2.4. Технические каналы утечки информации.................................................................................................. 38
2.4.1. Общая характеристика технического канала утечки информации ........................................................ 38
2.4.2. Классификация технических каналов утечки информации, обрабатываемой техническими
средствами передачи информации...................................................................................................................... 39
2.4.3. Классификация технических каналов утечки речевой информации...................................................... 41
2.4.4. Классификация технических каналов перехвата информации при ее передаче по каналам связи..... 43

2.5. Выявление (поиск) технических каналов утечки информации ............................................................. 45
2.5.1. Общие принципы и методы выявления технических каналов утечки информации ............................ 45
2.5.2. Классификация технических средств выявления каналов утечки информации ................................... 46
2.5.3. Индикаторы поля, интерсепторы и измерители частоты........................................................................ 46
2.5.4. Специальные сканирующие радиоприемники ......................................................................................... 49
2.5.5. Обнаружители диктофонов........................................................................................................................ 54
2.5.6. Универсальные поисковые приборы ........................................................................................................ 58
2.5.7. Программно-аппаратные поисковые комплексы..................................................................................... 60
2.5.8. Нелинейные локаторы................................................................................................................................ 66
2.5.9. Технические средства контроля двухпроводных линий ......................................................................... 69

МОДУЛЬ 3. ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ....................... 74

3.6. Методы и средства защиты информации от утечки по техническим каналам ................................... 74
3.6.1. Основные методы, используемые при создании системы защиты информации от утечки по
техническим каналам ........................................................................................................................................... 74
3.6.2. Методы и средства защиты информации, обрабатываемой ТСПИ........................................................ 75
3.6.3. Методы и средства защиты речевой информации в помещении ........................................................... 79
3.6.4. Методы и средства защиты телефонных линий...................................................................................... 85

МОДУЛЬ 4. КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ ............................................................................. 102

4.7. Защита компьютерной информации от несанкционированного доступа .......................................... 102
4.7.1. Угрозы безопасности информации в компьютерных системах............................................................ 102
4.7.1.1. Случайные угрозы ............................................................................................................................. 102
4.7.1.2. Преднамеренные угрозы ................................................................................................................... 103
4.7.2. Программы-шпионы................................................................................................................................. 106
4.7.2.1. Программные закладки ..................................................................................................................... 106
4.7.2.2. Модели воздействия программных закладок на компьютеры....................................................... 107
4.7.2.3. Защита от программных закладок.................................................................................................... 110
4.7.2.4. Троянские программы ....................................................................................................................... 112
4.7.2.5. Клавиатурные шпионы...................................................................................................................... 116
4.7.3. Парольная защита операционных систем............................................................................................... 119
4.7.3.1. Парольные взломщики ...................................................................................................................... 119
4.7.3.2. Взлом парольной защиты операционной системы UNIX .............................................................. 121
4.7.3.3. Взлом парольной защиты операционной системы Windows NT................................................... 121
4.7.4. Аппаратно-программные средства защиты информации от НСД ....................................................... 124
4.7.5. Проблемы обеспечения безопасности в глобальных сетях................................................................... 133
4.7.6. Построение комплексных систем защиты информации ....................................................................... 139
4.7.6.1. Концепция создания защищенных КС............................................................................................. 139
4.7.6.2. Этапы создания комплексной системы защиты информации ....................................................... 141
4.7.6.3. Научно-исследовательская разработка КСЗИ ................................................................................. 141
4.7.6.4. Моделирование КСЗИ ....................................................................................................................... 143
4.7.6.5. Выбор показателей эффективности и критериев оптимальности КСЗИ ...................................... 147
4.7.6.6. Математическая постановка задачи разработки комплексной системы защиты информации .. 148
4.7.6.7. Подходы к оценке эффективности КСЗИ ........................................................................................ 148

ГЛОССАРИЙ ........................................................................................................................................... 151

СПИСОК ЛИТЕРАТУРЫ ........................................................................................................................ 155

Основная ................................................................................................................................................................ 155

Дополнительная.................................................................................................................................................... 155

Методические указания для студентов
1. Консультации можно получить по адресу: г. Владивосток, ул. Суханова,8, ДВГУ, ауд. 57 или
по электронной почте: korn@ifit.phys.dvgu.ru.
2. Форма аттестации по курсу – компьютерное тестирование в соответствии с прилагаемыми
тестами.
3. Нормы аттестации: сдача каждого из 4-х тестирований, соответствующих 4-м модулям, не
менее чем на «удовлетворительно».

Аннотация
Учебное пособие содержит основные положения информационной безопасности:
концепцию, направления обеспечения информационной безопасности; выявление технических
каналов утечки информации и их защита; компьютерная безопасность.
Пособие предназначено для студентов специальностей вузов, изучающих основы
информационной безопасности.

Модуль 1. Концепция и основные направления обеспечения
информационной безопасности
1.0. Введение
Одним из признаков нынешнего периода является переход от индустриального общества к
информационному, в котором информация становится более важным ресурсом, чем материальные
или энергетические ресурсы. Ресурсами принято называть элементы экономического потенциала,
которыми располагает общество, и которые при необходимости могут быть использованы для
достижения конкретных целей хозяйственной деятельности. Давно стали привычными и
общеупотребительными такие категории, как материальные, финансовые, трудовые, природные
ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому.
Появившееся понятие "информационные ресурсы", хотя и узаконено, но осознано пока еще явно
недостаточно. В одном из основополагающих законов в области информационной безопасности,
законе "Об информации, информатизации и защите информации", приведено: "Информационные
ресурсы - отдельные документы и отдельные массивы документов в информационных системах
(библиотеках, архивах, фондах, банках данных, других информационных системах)".
Информационные ресурсы являются собственностью, находятся в ведении соответствующих
органов и организаций, подлежат учету и защите, т.к. информацию можно использовать не только
для производства товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что
еще хуже, уничтожить.
Собственная информация для производителя представляет значительную ценность, т.к.
нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс.
Очевидно, что ценность информации (реальная или потенциальная) определяется в первую
очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях
рыночной экономики, важнейшим фактором которой выступает конкуренция. Побеждает тот, кто
лучше, качественнее, дешевле и оперативнее производит и продает. В сущности, это
универсальное правило ранка. И в этих условиях основным выступает правило: кто владеет
информацией, тот владеет миром.
В конкурентной борьбе широко распространены разнообразные действия, направленные
на получение (добывание, приобретение) конфиденциальной информации самыми различными
способами, вплоть до прямого промышленного шпионажа с использованием современных
технических средств разведки. Установлено, что 47 % охраняемых сведений добывается с
помощью технических средств промышленного шпионажа. Достаточно привести в качестве
примера случаи шантажа английских фирм преступной международной группой. За 1993 - 1996
годы преступники получили 400 млн. фунтов стерлингов. Жертвам приходилось выплачивать до
13 млн. фунтов стерлингов единовременно после демонстрации шантажистами своих
возможностей остановить все сделки или получить доступ к новейшим разработкам фирм. Деньги
переводились в банки, расположенные в оффшорных зонах, откуда преступники снимали их в
считанные минуты.
Примерами острого информационного межгосударственного противоборства могут
служить информационные войны. Элементы такой войны уже имели место в локальных военных
конфликтах на Ближнем Востоке и на Балканах. Так, войскам НАТО удалось вывести из строя
систему противовоздушной обороны Ирака с помощью информационного оружия. Эксперты
предполагают, что войска альянса использовали программную закладку, внедренную
заблаговременно в принтеры, которые были закуплены Ираком у французской фирмы и
использовались в АСУ ПВО.
В этих условиях защите информации от неправомерного овладения ею отводится весьма
значительное место. При этом "целями защиты информации являются: предотвращение
разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение
противоправных действий по уничтожению, модификации, искажению, копированию,
блокированию информации; предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы; обеспечение правового режима
документированной информации как объекта собственности; защита конституционных прав
граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в
информационных системах; сохранение государственной тайны, конфиденциальности

документированной информации в соответствии с законодательством; обеспечение прав
субъектов в информационных процессах и при их разработке, производстве и применении
информационных систем, технологии и средств их обеспечения".
Как следует из этого определения целей защиты, информационная безопасность - довольно
емкая и многогранная проблема, охватывающая не только определение необходимости защиты
информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой
должна быть эта защита.
В первой главе излагается концепция информационной безопасности. Приводятся
основные концептуальные положения и модель информационной безопасности. Вторая глава
посвящена анализу направлений обеспечения информационной безопасности. Введены понятия
правовой, организационной и инженерно-технической защиты. В третьей главе более глубоко
рассматриваются правовые основы информационной безопасности. Определяются
основополагающие позиции формирования государственной политики в области информационной
безопасности, а также излагаются основные принципы реализации этой политики органами
контроля, лицензирования и сертификации. Четвертая глава содержит описание характеристик
технических каналов утечки информации по различным физическим каналам. В пятой главе
приведены методы выявления технических каналов утечки информации. Шестая глава дает
основные сведения о методах и средствах защиты информации от утечки по различным
техническим каналам. Седьмая глава посвящена анализу методов защиты компьютерной
информации от несанкционированного доступа.
1.1. Концепция информационной безопасности
"ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - это состояние защищенности
информационной среды общества, обеспечивающее ее формирование, использование и развитие в
интересах граждан, организаций, государств" (Закон РФ "Об участии в международном
информационном обмене").
Что же такое информация? Понятие "информация" сегодня употребляется весьма широко
и разносторонне. Вот некоторые ее признаки (характеристики, свойства).
1. Информация - это всеобщее свойство материи.
2. Любое взаимодействие в природе и обществе основано на информации.
3. Всякий процесс совершения работы есть процесс информационного взаимодействия.
4. Информация - продукт отражения действительности.
5. Действительность отражается в пространстве и времени.
6. Ничего не происходит из ничего.
7. Информация сохраняет свое значение в неизменном виде до тех пор, пока остается в
неизменном виде носитель информации - ПАМЯТЬ.
8. Ничто не исчезает просто так.
На основе перечисленного можно дать следующее определений информации:
“Информация (от латинского informatio - разъяснение, изложение) - с середины ХХ века
общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом,
автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков
от клетки к клетке, от организма к организму; одно из основных понятий кибернетики”.
Существенные особенности информации:
• двойственность характера информации (материальное и нематериальное составляющие
информации);
• распространение только копий с информации;
• информация имеет размерность;
• информация имеет стоимость и цену.
Таким образом, можно отметить, что информация - это субстанция, объединяющая в себе
элементы идеального и материального, имеющая измеряемые определенными единицами
физические параметры, стоимость и цену, обладающая специфическими свойствами дуализма и
легкости копирования, которой можно владеть, ее использовать и ею распоряжаться.
Известно и такое определение информации: "информация - сведения о лицах, предметах,
фактах, событиях, явлениях и процессах независимо от формы их представления" (Закон РФ "Об
информации, информатизации и защите информации").

Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому
обладает определенными потребительскими качествами, а также имеет и своих обладателей или
производителей.
С точки зрения потребителя качество используемой информации позволяет получать
дополнительный экономический или моральный эффект.
С точки зрения обладателя - сохранение в тайне коммерчески важной информации
позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это,
естественно, требует определенных действий, направленных на защиту конфиденциальной
информации.
Понимая под безопасностью состояние защищенности жизненно важных интересов
личности, предприятия, государства от внутренних и внешних угроз, можно выделить и
компоненты безопасности - такие как персонал, материальные и финансовые средства и
информацию.
1.1.1. Основные концептуальные положения системы защиты информации
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне
сформировавшаяся концепция и структура защиты, основу которой составляют:
• хорошо развитый ассортимент технических средств защиты информации, производимых на
промышленной основе;
• значительное число имеющих необходимые лицензии организаций, специализирующихся на
решении вопросов защиты информации;
• достаточно четко очерченная система взглядов на эту проблему;
• наличие значительного практического опыта и др.
И, тем не менее, как свидетельствуют отечественные и зарубежные СМИ, число
злоумышленных действий над информацией не только не уменьшается, но и имеет достаточно
устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима
стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в
этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и
пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
• обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный
процесс, заключающийся в обосновании и реализации наиболее рациональных методов,
способов и путей совершенствования и развития системы защиты, непрерывном контроле ее
состояния, выявлении ее узких и слабых мест и противоправных действий;
• безопасность информации может быть обеспечена лишь при комплексном использовании
всего арсенала имеющихся средств защиты во всех структурных элементах производственной
системы и на всех этапах технологического цикла обработки информации. Наибольший
эффект достигается тогда, когда все используемые средства, методы и меры объединяются в
единый целостный механизм - систему защиты информации (СЗИ). При этом
функционирование системы должно контролироваться, обновляться и дополняться в
зависимости от изменения внешних и внутренних условий;
• никакая СЗИ не может обеспечить требуемого уровня безопасности информации без
надлежащей подготовки пользователей и соблюдения ими всех установленных правил,
направленных на ее защиту (рис. 1.1).
С учетом накопленного опыта можно определить систему защиты информации как
организованную совокупность специальных органов, средств, методов и мероприятий,
обеспечивающих защиту информации от внутренних и внешних угроз.

Рис. 1.1

С позиций системного подхода к защите информации предъявляются определенные
требования. Защита информации должна быть:
• непрерывной. Это требование исходит из того, что злоумышленники только и ищут
возможность, как бы обойти защиту интересующей их информации;
• плановой. Планирование осуществляется путем разработки каждой службой детальных планов
защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
• целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не
все подряд;
• конкретной. Защите подлежат конкретные данные, объективно нуждающиеся в охране, утрата
которых может причинить организации определенный ущерб;
• активной. Защищать информацию необходимо с достаточной степенью настойчивости;
• надежной. Методы и формы защиты должны надежно перекрывать возможные пути
неправомерного доступа к охраняемым секретам, независимо от формы их представления,
языка выражения и вида физического носителя, на котором они закреплены;
• универсальной. Считается, что в зависимости от вида канала утечки или способа
несанкционированного доступа его необходимо перекрывать, где бы он ни проявился,
разумными и достаточными средствами, независимо от характера, формы и вида информации;
• комплексной. Для защиты информации во всем многообразии структурных элементов должны
применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь
отдельные формы или технические средства. Комплексный характер защиты проистекает из
того, что защита - это специфическое явление, представляющее собой сложную систему
неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою
очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств,

тенденций. Зарубежный и отечественный опыт показывают, что для обеспечения выполнения
столь многогранных требований безопасности система защиты информации должна
удовлетворять определенным условиям:
• охватывать весь технологический комплекс информационной деятельности;
• быть разнообразной по используемым средствам, многоуровневой с иерархической
последовательностью доступа;
• быть открытой для изменения и дополнения мер обеспечения безопасности информации;
• быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на
неосведомленность злоумышленников относительно ее возможностей;
• быть простой для технического обслуживания и удобной для эксплуатации пользователями;
• быть надежной. Любые поломки технических средств являются причиной появления
неконтролируемых каналов утечки информации;
• быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть
изъята без ущерба для всей системы.
• К системе безопасности информации предъявляются также определенные требования:
• четкость определения полномочий и прав пользователей на доступ к определенным видам
информации;
• предоставление пользователю минимальных полномочий, необходимых ему для выполнения
порученной работы;
• сведение к минимуму числа общих для нескольких пользователей средств защиты;
• учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
• обеспечение оценки степени конфиденциальности информации;
• обеспечение контроля целостности средств защиты и немедленное реагирование на их выход
из строя.
• Система защиты информации, как любая другая система, должна иметь определенные виды
собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.
С учетом этого СЗИ может иметь:
• правовое обеспечение. Сюда входят нормативные документы, положения, инструкции,
руководства, требования которых являются обязательными в рамках сферы их действий;
• организационное обеспечение. Имеется в виду, что реализация защиты информации
осуществляется определенными структурными единицами - такими, как служба защиты
документов; служба режима, допуска, охраны; служба защиты информации техническими
средствами; информационно-аналитическая деятельность и др.;
• аппаратное обеспечение. Предполагается широкое использование технических средств как для
защиты информации, так и для обеспечения деятельности собственно СЗИ;
• информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры,
лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут
входить как показатели доступа, учета, хранения, так и системы информационного
обеспечения расчетных задач различного характера, связанных с деятельностью службы
обеспечения безопасности;
• программное обеспечение. К нему относятся различные информационные, учетные,
статистические и расчетные программы, обеспечивающие оценку наличия и опасности
различных каналов утечки и путей несанкционированного проникновения к источникам
конфиденциальной информации;
• математическое обеспечение. Предполагает использование математических методов для
различных расчетов, связанных с оценкой опасности технических средств злоумышленников,
зон и норм необходимой защиты;
• лингвистическое обеспечение. Сюда входят нормы и регламенты деятельности органов,
служб, средств, реализующих функции защиты информации, различного рода методики,
обеспечивающие деятельность пользователей при выполнении своей работы в условиях
жестких требований защиты информации.
Под системой безопасности будем понимать организованную совокупность специальных
органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных
интересов личности, предприятия и государства от внутренних и внешних угроз (рис. 1.2).