Методические рекомендации по проведению практических занятий по дисциплине специализации "Системы защиты информации в ведущих зарубежных странах"
Скачать 1.73 Mb.
|
В.И. Аверченков, М.Ю. Рытов,Г.В. Кондрашин, М.В. РудановскийСистемы защиты информациив ведущих зарубежных странахУтверждено редакционно-издательским советом в качестве учебного пособия Брянск Издательство БГТУ 2007 УДК 347.775 ББК 32.973 Аверченков, В.И. Системы защиты информации в ведущих зарубежных странах: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский. – Брянск: БГТУ, 2007. – 225 с. ISBN 5-89838-254-2 Рассматриваются вопросы становления и развития проблем защиты информации в мировой практике, особенности современных систем защиты информации в ведущих зарубежных странах, таких как США, страны Евросоюза, КНР. Помимо того, особое внимание уделено рассмотрению проблем информационного противоборства в системе политических отношений современного информационного общества. Приведены методические рекомендации по проведению практических занятий по дисциплине специализации “Системы защиты информации в ведущих зарубежных странах”. Предназначена для студентов вузов специальностей 090103 – Организация и технология защиты информации и 090104 – Комплексная защита объектов информатизации, слушателей курсов повышения квалификации по проблемам защиты информации, а также может быть полезна специалистам, занимающимся решением задач обеспечения информационной безопасности. Рецензенты: кафедра «Информационные системы и технологии» Орел ГТУ, доктор военных наук, профессор В.А. Иванов Научный редактор В.И. Аверченков Редактор издательства Т.Н. Королёва Компьютерный набор Г.В. Кондрашин, М.В. Рудановский Ил. 25.Темплан 2007 г., п. 7Подписано в печать Формат 60х84 1/16. Бумага офсетная. Офсетная печать. Усл. печ.л. . Уч.-изд.л. . Тираж экз. Заказ . Бесплатно. Брянский государственный технический университет. 241035, Брянск, бульвар 50-летия Октября, 7, БГТУ. 58-82-49. Лаборатория оперативной полиграфии БГТУ, ул. Институтская, 16. ISBN 5-89838-254-2 Брянский государственный технический университет, 2007 В.И. Аверченков, М.Ю. Рытов, Г.В. Кондрашин, М.В. Рудановский, 2006 Оглавление
ПРЕДИСЛОВИЕ Целью курса “Системы защиты информации в ведущих зарубежных странах” является формирование у студентов основополагающих знаний о становлении, развитии и современном состоянии систем защиты ведущих зарубежных стран, о проблемах международного сотрудничества в области защиты информации. Учебное пособие “Системы защиты информации в ведущих зарубежных странах” разработано на основе требований образовательного стандарта и рабочей программы одноименного курса, читаемого студентам специальности 090103 – “Организация и технология” на кафедре “Компьютерные технологии и системы” Брянского государственного технического университета. При организации учебного процесса по специальности 090103 –“Организация и технология защиты информации” имеют место трудности, связанные с методическим обеспечение ряда учебных дисциплин. В первую очередь это относится к общепрофессиональным дисциплинам и дисциплинам специализации. Объясняется это тем, что до недавнего времени специалистов по защите информации готовили в специализированных военно-учебных заведениях, информация, как правило, хранилась под грифом “секретно” и была достоянием только спецслужб и силовых структур. Для изучения дисциплины специализации “Системы защиты информации в ведущих зарубежных странах” в настоящее время учебного пособия, охватывающего все многообразие изучаемых вопросов, пока еще нет. Разрозненная информации представлена в различных немногочисленных книгах, журналах, в электронных ресурсах. В предлагаемом учебном пособии “Системы защиты информации в ведущих зарубежных странах” рассмотрены общие вопросы развития, становления и современное состояние и особенности систем информационной безопасности в ведущих зарубежных странах, таких как США, Германия, Франция, Китай. Кроме того, особое внимание уделено исследованию проблем информационного противоборства в системе политических отношений современного информационного общества. Рассмотрены вопросы международного сотрудничества в области обеспечения информационной безопасности, такие как деятельность международных ассоциаций, правовое регулирование глобальной сети Интернет, дана характеристика международных стандартов информационной безопасности. Учебное пособие “Системы защиты информации в ведущих зарубежных странах” по содержанию включает предисловие, введение восемь глав, заключение, список информационных источников и приложения, в которых представлены интересные, по мнению авторов, документы, касающиеся обеспечения информационной безопасности, кодекс поведения специалиста по безопасности, а также методические материалы, которые могут быть использованы при проведении практических работ по одноименной дисциплине. введение В настоящее время стало очевидным, что деятельность по защите информации и обеспечению информационной безопасности является одной из важнейших задач обеспечения суверенитета и обороноспособности Российской Федерации. в Концепции безопасности России говорится об усилении угрозы национальной безопасности Российской Федерации в информационной сфере. Серьезную обеспокоенность представляет собой стремление ряда мировых стран к доминированию в мировом информационном пространстве, к вытеснению России с внешнего и внутреннего информационного рынка, которое сочетается с разработкой концепции информационных войн, предусматривающей создание средств опасного воздействия на её информационные сферы, нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним. Для построения системы информационной безопасности нашей страны, способной адекватно противодействовать угрозам, определенным в Доктрине информационной безопасности Российской Федерации, необходимо иметь четкое представление о современных концепциях информационных войн развитых зарубежных стран, характерных особенностях, эффективности применения и видах информационного оружия, а также о том, каким образом в за рубежом решаются задачи обеспечения информационной безопасности. В курсе “Системы защиты информации в ведущих зарубежных странах” в соответствии с требованиями Государственного образовательного стандарта специальности 090103 – “Организация и технология защиты информации” рассматриваются вопросы эволюционного развития мировых систем защиты информации начиная с древности, заканчивая нынешним этапом развития. Помимо того, освещаются вопросы современного состояния систем защиты информации в развитых зарубежных странах, таких как США, Великобритания, Германия и ряде других стран. Структура современной системы защиты информации зарубежной страны, как правило, включает структуры обеспечения безопасности государственной тайны и борьбы с внешними угрозами - службы контрразведки, а также специальные службы добывания информации о странах – противниках – различные разведывательные спецслужбы. Кроме того, необходимым атрибутом системы защиты информации в настоящее время является организационно-правовая составляющая, определяющая законы страны и нормативно-руководящие документы, характеризующие виды защищаемой информации, порядок организации режима секретности, лицензирования деятельности по защите информации, сертификации применяемых при этом средств. Рассматривается сущность информационно-психологического противоборства мировых стран, способы ведения информационной войны и виды применяемого оружия, а также вопросы международного сотрудничества в области информационной безопасности, мировой опыт в подготовке специалистов по защите информации. Выбор описанной структуры учебного пособия был сделан с целью максимальной ориентации студента на практическое использование рассматриваемого материала при изучении лекционного курса и при выполнении практических заданий. Учебное пособие “Системы защиты информации в ведущих зарубежных странах” предназначено для студентов вузов специальностей 090103 – “Организация и технология защиты информации” и 090104 – “Комплексная защита объектов информатизации”, слушателей курсов повышения квалификации по проблемам защиты информации, а также может быть полезна специалистам, занимающимся решением задач обеспечения информационной безопасности. ГЛАВА 1 история развития систем защиты информации в зарубежных странах 1.1. Развитие средств и методов защиты информации 1.2. Этапы развития системы защиты информации в настоящее время 1.3. структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности Развитие средств и методов защиты информации Обеспечение защиты информации волновало человечество всегда. В процессе эволюции цивилизации менялись виды информации, для её защиты применялись различные методы и средства. Процесс развития средств и методов защиты информации можно разделить на три относительно самостоятельных периода (рис. 1.1). В основе такого деления лежит эволюция видов носителей информации [1]. 1 период (С древнейших времён до 40-х г. XIX века) 2 период (С 50-х г. XIX века до 60-х г. XX века) 3 период (С 60-х г. XX века до наших дней) Рис. 1.1. Процесс развития методов и средств защиты информации Первый периодопределяется началом создания осмысленных и самостоятельных средств и методов защиты информации и связан с появлением возможности фиксации информационных сообщений на твердых носителях, то есть с изобретением письменности. Вместе с неоспоримым преимуществом сохранения и перемещения данных возникла проблема сохранения в тайне существующей уже отдельно от источника конфиденциальной информации, поэтому практически одновременно с рождением письменности возникли такие методы защиты информации, как шифрование и скрытие. Криптография (от греч. κρυπτός — скрытый и γράφω — пишу) — наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации. Криптография — одна из старейших наук, ее история насчитывает несколько тысяч лет. В документах древних цивилизаций, таких как Индия, Египет, Месопотамия, есть сведения о системах и способах составления шифрованных писем. В древних религиозных книгах Индии указывается, что сам Будда знал несколько десятков способов письма, среди которых присутствовали шифры перестановки (по современной классификации). Один из самых старых шифрованных текстов из Месопотамии (2000 лет до н. э.) представляет собой глиняную табличку, содержащую рецепт изготовления глазури в гончарном производстве, в котором игнорировались некоторые гласные и согласные и употреблялись числа вместо имен. В начале XIX века криптография обогатилась замечательным изобретением. Его автор - государственный деятель, первый государственный секретарь, а затем и президент США Томас Джефферсон. Свою систему шифрования он назвал "дисковым шифром". Этот шифр реализовывался с помощью специального устройства, которое впоследствии назвали шифратором Джефферсона. Конструкция шифратора может быть вкратце описана следующим образом. Деревянный цилиндр разрезается на 36 дисков (в принципе, общее количество дисков может быть и иным). Эти диски насаживаются на одну общую ось таким образом, чтобы они могли независимо вращаться на ней. На боковых поверхностях каждого из дисков выписывались все буквы английского алфавита в произвольном порядке. Порядок следования букв на каждом диске - различный. На поверхности цилиндра выделялась линия, параллельная его оси. При шифровании открытый текст разбивался на группы по 36 знаков, затем первая буква группы фиксировалась положением первого диска по выделенной линии, вторая - положением второго диска и т. д. Шифрованный текст образовывался путем считывания последовательности букв с любой линии параллельной выделенной. Обратный процесс осуществлялся на аналогичном шифраторе: полученный шифртекст выписывался путем поворота дисков по выделенной линии, а открытый текст отыскивался среди параллельных ей линий путем прочтения осмысленного возможного варианта. Шифратор Джефферсона (рис. 1.2) реализует ранее известный шифр многоалфавитной замены. Частями его ключа являются порядок расположения букв на каждом диске и порядок расположения этих дисков на общей оси. Рис. 1.2. Шифратор Джефферсона. Начало XIX века Второй период(примерно с середины XIX в.) характеризуется появлением технических средств обработки информации и передачи сообщений с помощью электрических сигналов и электромагнитных полей (например, телефон, телеграф, радио). В связи с этим возникли проблемы защиты от так называемых технических каналов утечки (побочных излучений, наводок и др.). Для обеспечения защиты информации в процессе передачи по телефонным и телеграфным каналам связи появились способы и технические средства, позволяющие шифровать сообщения в реальном времени. Также в этот период активно развиваются технические средства разведки, многократно увеличивающие возможности промышленного и государственного шпионажа. Огромные, все возрастающие убытки предприятий и фирм способствовали научно-техническому прогрессу в создании новых и совершенствовании старых средств и методов защиты информации. Наиболее интенсивное развитие этих методов приходится на период массовой информатизации общества (третий период). Оно связано с внедрением автоматизированных систем обработки информации и измеряется периодом в более чем 40 лет. В 60-х гг. на Западе стало появляться большое количество открытых публикаций по различным аспектам защиты информации. Такое внимание к этой проблеме в первую очередь было вызвано возрастающими финансовыми потерями фирм и государственных организаций от преступлений в компьютерной сфере. В ежегодном докладе ФБР США было сказано, что за 1997 г. от противоправной деятельности иностранных спецслужб американские владельцы интеллектуальной собственности понесли ущерб, превышающий 300 млрд долларов. Согласно выводам западных экспертов, в сфере информационной безопасности, утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы. Все большие финансовые потери приносят вирусные атаки на компьютерные сети. Так, запущенный через Интернет в мае 2000 г. вирус «I love you» вывел из строя свыше 5 млн компьютеров и нанес ущерб свыше 10 млрд долларов. 1.2. Этапы развития системы защиты информации в настоящее время За истекшее после возникновения необходимости в обеспечении защиты информации время существенно изменилось как представление о ее сущности, так и методологические подходы к решению. Указанные изменения происходили постепенно и непрерывно, поэтому всякая периодизация этого процесса в значительной мере будет носить искусственный характер. Тем не менее, весь период активных работ по рассматриваемой проблеме в зависимости от подходов к ее решению довольно четко делится на три этапа (рис. 1.3). Начальный этап защиты(60-е — начало 70-х гг.) характеризовался тем, что под защитой информации понималось предупреждение несанкционированного ее получения лицами, не имеющими на то полномочий. Для этого использовались формальные, функционирующие без участия человека средства. Наиболее распространенными в автоматизированных системах обработки данных (АСОД) в тот период были проверки по паролю прав на доступ к ЭВТ и разграничение доступа к массивам данных. Эти механизмы обеспечивали определенный уровень защиты, однако проблему в целом не решали, поскольку для опытных злоумышленников не составляло большого труда найти пути их преодоления. Для объектов обработки конфиденциальной информации задачи по ее защите решались в основном с помощью установления так называемого режима секретности, определяющего строгий пропускной режим и жесткие правила ведения секретного документооборота. Рис. 1.3. Этапы развития проблемы защиты информации в условиях массовой информатизации общества Этап развития(70-е — начало 80-х гг.) отличается интенсивными поисками, разработкой и реализацией способов и средств защиты и определяется следующими характеристиками: постепенным осознанием необходимости комплексирования целей защиты. Первым итогом на этом пути стало совместное решение задач обеспечения целостности информации и предупреждения несанкционированного ее получения; расширением арсенала используемых средств защиты, причем как по их количеству, так и по их разнообразию. Повсеместное распространение получило комплексное применение технических, программных и организационных средств и методов. Широко стала практиковаться защита информации путем криптографического ее преобразования; целенаправленным объединением всех применяемых средств защиты в функциональные самостоятельные системы. Так, для опознавания лиц, имеющих право пользования конфиденциальной информацией, разрабатывались методы и средства, основанные на следующих признаках: традиционные пароли, но по усложненным процедурам; голос человека, обладающий индивидуальными характеристиками; отпечатки пальцев; геометрия руки, причем доказано, что по длине четырех пальцев руки человека можно опознать с высокой степенью надежности; рисунок сетчатки глаза; личная подпись человека, причем идентифицируемыми характеристиками служат графика написания букв, динамика подписи и давление пишущего инструмента; фотография человека. Однако нарастание количества средств защиты и принимаемых мер привело в конечном итоге к проблеме эффективности системы защиты информации, учитывающей соотношение затраченных на ее создание средств к вероятным потерям от возможной утечки защищаемой информации. Для проведения анализа эффективности системы защиты информации необходимо применять основные положения теории оценки сложных систем. Кроме того, к концу второго периода математически было доказано, что обеспечить полную безопасность информации в системах ее обработки невозможно. Максимально приблизиться к этому уровню можно, лишь используя системный подход к решению проблемы. Другими словами, успешное решение проблемы комплексной защиты информации требует не только научно обоснованных концепций комплексной защиты, но и эффективных методов и средств решения соответствующих задач. Их разработка, в свою очередь, может осуществляться только на основе достаточно развитых научно-методологических основ защиты информации. Таким образом, характерной особенностью третьего, современного этапа(середина 80-х гг. – настоящее время) являются попытки аналитико-синтетической обработки данных всего имеющегося опыта теоретических исследований и практического решения задач защиты и формирования на этой основе научно-методологического базиса системы защиты информации. Основной задачей третьего этапа является перевод процесса защиты информации на строго научную основу, а также разработка целостной теории защиты информации [5]. К настоящему времени уже разработаны основы теории защиты информации. Формирование этих основ может быть принято за начало третьего этапа в развитии защиты информации. Принципиально важным является то, что российские специалисты и ученые на данном этапе внесли существенный вклад в развитие основ теории защиты информации, чему способствовал бурный рост интереса к этой проблеме в высшей школе. 1.3. структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности Широкое использование в процессе информатизации мирового общества современных методов и средств обработки информации, в том числе вычислительной техники создало не только объективные предпосылки повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем защиты информации, обеспечивающей требуемое ее качество. Сложность решения этой проблемы обусловлена необходимостью создания целостной системы комплексной защиты информации, базирующейся на стройной организации и регулярном управлении. Современное понятие защиты информации находится в центре внимания исследователей в различных странах уже несколько десятков лет и ассоциируется, как правило, с проблемами создания систем защиты информации на различных уровнях её использования. Несмотря на то, что существует еще большое количество неразрешенных и спорных вопросов в теории информационной безопасности, в настоящее время сложилась типовая структура системы защиты информации, используемая большинством развитых стран мира. Под защитой информации в общем виде понимают соединение в единое целое отдельных элементов, механизмов, процессов, явлений, мероприятий, мер и программ их взаимосвязей, способствующих реализации целей защиты и обеспечению структурного построения системы защиты. Структурно-типовая система защиты информации (рис.1.4) представляет собой совокупность отдельных взаимосвязанных элементов, реализующих следующие её виды: правовая защита информации – защита информации, базирующаяся на применении статей конституции и законов государства, положений гражданского и уголовного кодексов и других нормативно-правовых документов в области информатики, информационных отношений и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является основой для морально – этических норм в области защиты информации [2]. Организационная защита информации – это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации. Организационные меры связаны с установлением режима конфиденциальности в организации. [1]. Техническая или инженерно-техническая защита, основывающаяся на использовании технических устройств, узлов, блоков, элементов, систем, как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации, сооружений и т.д.; Программно-аппаратная защита, предполагающая использование программного обеспечения информационных систем, комплексов и систем, а также аппаратных устройств, встроенных в состав технических средств и систем обработки информации. В качестве отдельного вида наиболее эффективных средств защиты информации выделяются математические или криптографические методы, которые могут быть реализованы в виде технических устройств, программ и программно-аппаратных средств. Рассмотренные виды в основном обеспечивают надежную защиту информации в различных системах ее обработки и различных условиях их функционирования. Однако опыт практического обеспечения безопасности информации в России и за рубежом показывает, что для надежной защиты, в условиях обязательного участия человека, массовости решения задач защиты необходимо использовать психологические и морально-этические виды, а в ряде случаев и страховые. Под психологическимивидами защиты понимаются допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей людей, а также психологического воздействия на людей с целью оценки соответствия их требованиям для допуска к обработке защищаемой информации. Под морально-этическимивидами защиты понимаются нормы и правила, которые не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации [3]. Страховая защита информации – защита информации, предусматривающая возмещение убытков от её уничтожения или модификации путем получения страховых выплат. Очевидно, что в ряде стран при построении систем защиты в типовую модель вносят изменения. Так, во Франции элементы правовой и организационной защиты информации рассматривают в едином ракурсе, а в программно-аппаратной защите наоборот выделяют отдельно программные и аппаратные методы и средства защиты информации. Морально-этические и психологические элементы защиты информации практически во всех странах до настоящего времени рассматривались лишь в теории. Контрольные вопросы: Назовите основные этапы развития методов и средств ЗИ в процессе эволюции человечества. Назовите особенности второго периода развития методов и средств ЗИ. Каковы основные виды носителей информации? На какой период приходится наиболее интенсивное решение проблем информационной безопасности? Охарактеризуйте современное состояние проблемы защиты информации в мире. Что понимается под защитой информации? Назовите основные элементы типовой системы защиты информации. |