- •Введение
- •1. Информация как предмет защиты
- •2. Информационная безопасность
- •3. Основные угрозы информационной безопасности
- •Классификация угроз безопасности данных
- •4. Модель потенциального нарушителя
- •Типы нарушителей информационной безопасности ис
- •5. Классификация компьютерных преступлений
- •6. Личностные особенности компьютерного преступника
- •7. Принципы организации систем обеспечения безопасности данных (собд) ивс
- •8. Стандарты информационной безопасности
- •8.1. Критерии оценки безопасности компьютерных систем. «Оранжевая книга» сша
- •Основные элементы политики безопасности
- •Произвольное управление доступом
- •Безопасность повторного использования объектов
- •Метки безопасности
- •Принудительное управление доступом
- •Классы безопасности
- •Требования к политике безопасности
- •Произвольное управление доступом:
- •Повторное использование объектов:
- •Метки безопасности:
- •Целостность меток безопасности:
- •Принудительное управление доступом:
- •Требования к подотчетности Идентификация и аутентификация:
- •Предоставление надежного пути:
- •Требования к гарантированности Архитектура системы:
- •Верификация спецификаций архитектуры:
- •Конфигурационное управление:
- •Тестовая документация:
- •Описание архитектуры:
- •8.2. Европейские критерии безопасности информационных технологий
- •8.3. Руководящие документы Гостехкомиссии России
- •8.4. Общие критерии безопасности информационных технологий
- •9. Методы и средства защиты данных
- •9.1. Основные методы защиты данных
- •9.2. Классификация средств защиты данных
- •9.3. Формальные средства защиты
- •9.4. Физические средства защиты
- •9.5. Аппаратные средства защиты
- •9.5.1. Отказоустойчивые дисковые массивы
- •9.5.2. Источники бесперебойного питания
- •9.6.Криптографические методы и средства защиты данных
- •Классификация криптографических методов преобразования информации
- •9.7. Методы шифрования
- •9.7.1. Методы замены
- •9.7.2. Методы перестановки
- •9.7.3. Методы аналитических преобразований
- •9.7.4. Комбинированные методы
- •9.7.5. Стандарт сша на шифрование данных (des)
- •9.7.6. Отечественный стандарт на шифрование данных
- •9.8. Системы шифрации с открытым ключом
- •9.8.1. Алгоритм rsa
- •9.8.2. Криптосистема Эль-Гамаля
- •9.8.3. Криптосистемы на основе эллиптических уравнений
- •9.9. Электронная цифровая подпись
- •9.10. Методы кодирования
- •9.11. Другие методы шифрования
- •10. Стеганография
- •11. Защита программ от несанкционированного копирования
- •11.1. Методы, затрудняющие считывание скопированной информации
- •11.2. Методы, препятствующие использованию скопированной информации
- •11.3. Основные функции средств защиты от копирования
- •11.4. Основные методы защиты от копирования
- •11.4.1. Криптографические методы
- •11.4.2. Метод привязки к идентификатору
- •11.4.3. Методы, основанные на работе с переходами и стеком
- •11.4.4. Манипуляции с кодом программы
- •11.5. Методы противодействия динамическим способам снятия защиты программ от копирования
- •12. Защита информации от несанкционированного доступа
- •12.1. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •12.2. Аутентификация пользователей по их биометрическим характеристикам, клавиатурному почерку и росписи мыши
- •12.3. Программно-аппаратная защита информации от локального несанкционированного доступа
- •12.4. Аутентификация пользователей при удаленном доступе
- •13. Защита информации в компьютерных сетях
- •Пакетные фильтры
- •Сервера прикладного уровня
- •Сервера уровня соединения
- •Сравнительные характеристики пакетных фильтров и серверов прикладного уровня
- •Схемы подключения
- •Администрирование
- •Системы сбора статистики и предупреждения об атаке
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
ФГБОУ ВПО «Воронежский государственный
технический университет»
О.Н. Чопоров В.Г. Мединцев
ЗАЩИТА ИНФОРМАЦИИ
И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2012
Ч
УДК 004.056
В учебном пособии изложены основные положения по обеспечению информационной безопасности, рассмотрены основные угрозы безопасности информационных систем, анализируются современные способы и средства защиты информации и архитектура систем защиты информации.
Издание соответствует требованиям Федерального государственного образовательного стандарта высшего профессионального образования по направлениям подготовки бакалавров 230100 «Информатика и вычислительная техника» (профиль «Системы автоматизированного проектирования»), дисциплине «Методы и средства защиты информации», 230400 «Информационные системы и технологии» (профиль «Информационные системы и технологии»), дисциплине «Информационная безопасность и защита информации», а также требованиям Государственного образовательного стандарта высшего профессионального образования по специальности 200401 «Биотехнические и медицинские аппараты и системы», дисциплине «Защита информации и информационная безопасность».
Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD 2003 и содержится в файле ЗащитаИнформ.doc.
Табл. 21. Ил. 19. Библиогр.: 11 назв.
Научный редактор д-р техн. наук, проф. И.Я. Львович
Рецензенты: направление «Информатика и вычислительная техника» Воронежского института высоких технологий (руководитель канд. физ.-мат. наук, доц. А.П. Преображенский);
канд. техн. наук, доц. А.В. Питолин
© Чопоров О.Н., Мединцев В.Г., 2012
© Оформление. ФГБОУ ВПО «Воронежский государственный технический университет», 2012
Введение
Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.
По мере возрастания ценности информации, развития и усложнения средств ее обработки и обмена безопасность общества все в большей степени зависит от безопасности используемых информационных технологий. Однако применение информационных технологий немыслимо без повышенного внимания к вопросам обеспечения информационной безопасности.
Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Поэтому надежное функционирование любой информационной системы не может обойтись без поддержки эффективной системы защиты информации.
В данном учебном пособии изложены основные положения по обеспечению информационной безопасности. Рассмотрены основные угрозы безопасности информационных систем. Анализируются современные способы и средства защиты информации и архитектура систем защиты информации.
Пособие предназначено для студентов направлений «Информатика и вычислительная техника», «Информационные системы и технологии», «Биомедицинская техника» при изучении дисциплин «Защита информации и информационная безопасность», «Информационная безопасность и защита информации», «Методы и средства защиты информации».
1. Информация как предмет защиты
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
В зависимости от формы представления информация может быть разделена на речевую, телекоммуникационную и документированную.
С тематической и функциональной точки зрения информация бывает организационно-распорядительной, нормативно-правовой, планово-финансовой, социально-экономической, индикативной и т.п. По уровню агрегирования – первичной, структурированной, статистической, аналитической и др.
По правовому режиму доступа информация может быть открытой и ограниченного доступа (рис.1).
Документированная информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.
Информация является одним из объектов гражданских прав, в том числе и прав собственности, владения и пользования.
Собственник информационных ресурсов, систем и технологий – это субъект с полномочиями владения, пользования и распоряжения указанными объектами.
Владельцем информационных ресурсов, систем и технологий является субъект с полномочиями владения и пользования указанными объектами.
Под пользователем информации будем понимать субъекта, обращающегося к информационной системе за получением необходимой ему информации и пользующегося ею.
Защищаемой информацией называют информацию, являющуюся предметом собственности и подлежащую защите в соответствии с требованиями правовых документов или требованиями, установленными собственником информации.
Рис. 1. Классификация информации по режимам доступа
Однако защите подлежит не всякая информация, а только та, которая имеет цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: моральный, материальный, политический и т.д.
Ценность информации является критерием при принятии любого решения о ее защите и для выбора метода защиты. В денежном выражении затраты на защиту информации не должны превышать возможные потери.
Принято следующее разделение информации по уровню важности:
1) жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
2) важная информация - информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
3) полезная информация - информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;
4) несущественная информация - информация, которая больше не нужна организации.
Категория важности, как и ценность информации, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.
Приведенное деление информации по уровню важности согласуется с принципом деления информации по уровням секретности.
Уровень секретности - это административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю конкретной секретной информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна.