Информационная безопасность. Учебное пособие вострецова елена владимировна
Скачать 3.44 Mb.
|
Е. В. ВОСТРЕЦОВА Е. В. ВОСТРЕЦОВА ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебное пособие ВОСТРЕЦОВА ЕЛЕНА ВЛАДИМИРОВНА Доцент, кандидат технических наук. Опыт преподавания дисциплины «Основы информационной безопасности» со- ставляет более 20 лет. Область научных интересов — технические средства за- щиты информации, анализ и обработка сигналов; мето- дики и технологии современного высшего образования. Автор более 100 научных и учебно-методических трудов. 9 7 8 5 7 9 9 6 2 6 7 7 8 I SBN 579962677 - X Министерство науки и высшего образования Российской Федерации Уральский федеральный университет имени первого Президента России Б. Н. Ельцина Е. В. Вострецова ОснОВы инфОрмациОннОй бЕзОпаснОсти Учебное пособие Рекомендовано методическим советом Уральского федерального университета для студентов вуза, обучающихся по укрупненной группе направлений бакалавриата и специалитета 10.00.00 «Информационная безопасность» Екатеринбург Издательство Уральского университета 2019 УДК 004.056.5(075.8) ББК 32.972.53я73 В78 Рецензенты: канд. пед. наук, доц. Е. Н. Полякова, завкафедрой «Безопасность информационных и автоматизированных систем» ФГБОУ ВО «Кур- ганский государственный университет»; канд. техн. наук, доц. Т. Ю. Зырянова, завкафедрой «Информаци- онные технологии и защита информации» ФГБОУ ВО «Уральский государственный университет путей сообщения» На обложке изображение с сайта https://www.itsecurityguru. org/2017/01/26/despite-rise-breaches-companies-still-prioritising-net- work-endpoint-solutions-encryption/ Вострецова, Е. В. В78 Основы информационной безопасности : учебное пособие для студентов вузов / Е. В. Вострецова. — Екатеринбург : Изд-во Урал. ун-та, 2019. — 204 с. ISBN 978-5-7996-2677-8 Учебное пособие по курсу «Основы информационной безопасности» предназначено для студентов укрупненной группы направлений и специ- альностей 10.00.00 «Информационная безопасность» уровней бакалавриат и специалитет. В пособии рассмотрены свойства информации как объекта защиты, определены закономерности создания защищённых информационных си- стем, раскрыты принципы обеспечения информационной безопасности го- сударства, уделено внимание информационным войнам и информационно- му противоборству. Дан краткий анализ моделей и политики безопасности (разграничения доступа), а также международных стандартов в области ин- формационной безопасности. Пособие может использоваться студентами других специальностей при изучении курсов, связанных с защитой информации. УДК 004.056.5(075.8) ББК 32.972.53я73 ISBN 978-5-7996-2677-8 © Уральский федеральный университет, 2019 3 Оглавление Предисловие ....................................................................................6 1. Основные понятия теории информационной безопасности .........7 1.1. История становления теории информационной безопасности .......................................................................7 1.2. Предметная область теории информационной безопасности ..................................................................... 14 1.3. Систематизация понятий в области защиты информации ..................................................................... 15 1.4. Основные термины и определения правовых понятий в области информационных отношений и защиты информации ..................................................... 17 1.5. Понятия предметной области «Защита информации» ... 19 1.6. Основные принципы построения систем защиты .......... 23 1.7. Концепция комплексной защиты информации ............. 26 1.8. Задачи защиты информации ............................................ 27 1.9. Средства реализации комплексной защиты информации ..................................................................... 28 2. Информация как объект защиты ............................................... 33 2.1. Понятие об информации как объекте защиты ................ 33 2.2. Уровни представления информации ............................... 34 2.3. Основные свойства защищаемой информации .............. 38 2.4. Виды и формы представления информации. Информационные ресурсы .............................................. 41 2.5. Структура и шкала ценности информации. Классификация информационных ресурсов .................. 42 2.6. Правовой режим информационных ресурсов ................. 53 3. Государственная политика информационной безопасности. Концепция комплексного обеспечения информационной безопасности ............................................................................. 57 3.1. Информационная безопасность и ее место в системе национальной безопасности Российской Федерации ........................................................................ 57 4 Оглавление 3.2. Органы обеспечения информационной безопасности и защиты информации, их функции и задачи, нормативная деятельность ............................... 63 4. Угрозы информационной безопасности ..................................... 68 4.1. Анализ уязвимостей системы ........................................... 68 4.2. Классификация угроз информационной безопасности . 69 4.3. Основные направления и методы реализации угроз ....... 72 4.4. Неформальная модель нарушителя ................................. 74 4.5. Оценка уязвимости системы ............................................ 79 5. Построение систем защиты от угрозы нарушения конфиденциальности ................................................................ 90 5.1. Определение и основные способы несанкционированного доступа ...................................... 90 5.2. Методы защиты от НСД ................................................... 91 5.3. Организационные методы защиты от НСД ..................... 93 5.4. Инженерно-технические методы защиты от НСД. Построение систем защиты от угрозы утечки по техническим каналам .................................................. 94 5.5. Идентификация и аутентификация ................................. 97 5.6. Основные направления и цели использования криптографических методов ............................................ 99 5.7. Защита от угрозы нарушения конфиденциальности на уровне содержания информации .............................. 104 6. Построение систем защиты от угрозы нарушения целостности информации и отказа доступа ............................. 108 6.1. Защита целостности информации при хранении ......... 108 6.2. Защита целостности информации при обработке ........ 112 6.3. Защита целостности информации при транспортировке ..................................................... 114 6.4. Защита от угрозы нарушения целостности информации на уровне содержания .............................. 117 6.5. Построение систем защиты от угрозы отказа доступа к информации ................................................... 119 6.6. Защита семантического анализа и актуальности информации ................................................................... 125 5 Оглавление 7. Политика и модели безопасности ........................................... 127 7.1. Политика безопасности .................................................. 127 7.2. Субъектно-объектные модели разграничения доступа .... 129 7.3. Аксиомы политики безопасности .................................. 133 7.4. Политика и модели дискреционного доступа ............... 136 7.5. Парольные системы разграничения доступа ................. 140 7.6. Политика и модели мандатного доступа ....................... 142 7.7. Теоретико-информационные модели ........................... 145 7.8. Политика и модели тематического разграничения доступа ............................................................................ 149 7.9. Ролевая модель безопасности ........................................ 151 8. Обзор международных стандартов информационной безопасности ........................................................................... 156 8.1. Роль стандартов информационной безопасности ......... 156 8.2. Критерии безопасности компьютерных систем министерства обороны США (Оранжевая книга), TCSEC ............................................................................. 157 8.3. Европейские критерии безопасности информационных технологий (ITSEC) ......................... 164 8.4. Федеральные критерии безопасности информационных технологий США ............................. 169 8.5. Единые критерии безопасности информационных технологий ...................................................................... 175 8.6. Группа международных стандартов 270000 ................... 183 9. Информационные войны и информационное противоборство ....................................................................... 186 9.1. Определение и основные виды информационных войн ................................................................................. 186 9.2. Информационно-техническая война ............................ 191 9.3. Информационно-психологическая война .................... 196 Библиографический список ......................................................... 202 6 предисловие У чебное пособие «Основы информационной безопасно- сти» предназначено для студентов укрупненной груп- пы направлений подготовки и специальностей 10.00.00 «Информационная безопасность». Пособие может также ис- пользоваться студентами других направлений и специально- стей при изучении вопросов, связанных с защитой информации. В пособии рассмотрены свойства информации как объекта защиты, определены закономерности создания защищённых информационных систем, раскрыты принципы обеспечения информационной безопасности государства, уделено внима- ние информационным войнам и информационному противо- борству. Дан краткий анализ моделей и политик безопасности (разграничения доступа), а также международных стандартов в области информационной безопасности. В учебном пособии определены как теоретические, так и практические основы создания защищённых информаци- онных систем. Понимание научного подхода в построении защищенных си- стем необходимо для изучения программно-аппаратных, орга- низационно-правовых, технических методов обеспечения ин- формационной безопасности. Знание основ теории информационной безопасности будет способствовать умелым действиям в решении практических во- просов защиты информации в профессиональной деятельности. 7 1. Основные понятия теории информационной безопасности История становления теории информационной безопасности Предметная область теории информационной безопасности Си- стематизация понятий в области защиты информации Основные термины и определения в области информационных отношений и за- щиты информации Понятия предметной области «Защита инфор- мации» Основные принципы построения систем защиты 1.1. история становления теории информационной безопасности М етоды и средства защиты информации в каждую историческую эпоху тесно связаны с уровнем раз- вития науки и техники. Категории защищаемой информации определялись экономическими, политическими и военными интересами государства. Элементы защиты информации использовались с древней- ших времён: известно, что тайнопись применяли ещё в Древ- нем Египте и Древнем Риме. По свидетельству Геродота, уже в V в. до н. э. применялось кодирование информации. Класси- ческим примером одного из первых применений криптографии является так называемый «шифр Цезаря» [1, 2]. Проследим связь между развитием политической и эконо- мической структуры России и деятельностью по защите инфор- мации (табл. 1, 2) [2, 3]. Выводы по таблице 1: · Обусловленность системы защиты информации истори- ческим развитием; · Распределение компетенций, регламентация прав и от- ветственности между департаментами и отделами; 8 1. Основные понятия теории информационной безопасности Таблица 1 Защита информации в России Период Факторы влияния Деятельность по защите Органы защиты XVII в. Образование россий - ского централизо - ванного государства, формирование орга - нов государственного управления, развитие международных связей Использование дезинформации; введение ограничений на въезд; шифрование пере - писки; введение ответственности за разгла - шение информации. Ответственность за шпионаж и государ - ственную измену. Ответственность за хищение и поддел - ку документов и печатей. Вопросы защиты информации в Судебниках 1497 и 1550 гг. Оружейный, Казённый, По - сольский приказы. Gриказ тай - ных дел XVII I в. Развитие торгово-про - мышленной деятель - ности, появление ак - ционерных компаний, кредитные отношения, биржевая деятельность Расширение состава защищаемой инфор - мации Преображенский Приказ, Вер - ховный тайный совет. Военная Коллегия. Коллегия иностран - ных дел. Тайная розыскных дел Канцелярия. Тайная экспеди - ция XIX в. Новые формы акцио - нерных обществ, про - мышленная революция Ограничение на публикацию сведений, по - лученных по служебным каналам. Защита коммерческой тайны (тайны торго - вых, купеческих книг). Законодательство в области патентного и авторского права. Цензурные уставы Государственный Совет. 1-й и 3-й отдел Собственной Его императорского величества канцелярии. Главное управле - ние по делам печати. Особый отдел Департамента полиции. Технический комитет Начало ХХ в. Первая мировая война Закон «О государственной измене путём шпионажа». Создание «закрытых» зон. Рас - ширение состава защищаемой информации. Военно-промышленная тайна. Защита информации в процессе радиотеле - графных переговоров Министерство внутренних дел, Департамент полиции, Воен - ное министерство, Комитет для защиты промышленной соб - ственности 9 1.1. История становления теории информационной безопасности Таблица 2 Защита информации в СССР (1917–1995) Период Факторы влияния Деятельность по защите Органы защиты 1917– 1945 Изменение полити - ческого и экономиче - ского строя Отмена коммерческой тайны. Увеличение объёма сведений, составляющих гостайну. Активизация иностранных спецслужб по добыванию информации о политическом, экономическом и воен - ном положении СССР. Централизация управления защитой госсекретов. Усиление ответственности за разглашение гостайны, утрату секретных документов и халатное обращение с ними Спец. органы защиты ин - формации (спец. отдел ВЧК-ГПУ, далее — 7 -й от - дел НКВД) 1945– 1975 Холодная война Введение должности заместителя начальника объекта по режиму. Расширение объёма и тематики защищаемой информа - ции и категорирование её по степени секретности. Ужесточение режима секретности. «Перечень сведений, составляющих гостайну» (1948). «Инструкция по обеспечению сохранения гостайны в учреждениях и на предприятиях СССР» (1948) Министерство государствен - ной безопасности (1946). Комитет государственной безопасности при Совете министров СССР (1954) 1975– 1995 Появление информа - ционных войн и про - тивоборства Появление новых носителей информации, автомати - зированных систем и распределенных систем обработ - ки данных. Широкомасштабное применение средств технической разведки. Разработка теоретических моделей безопасности Государственная техниче - ская комиссия по противо - действию иностранным тех - ническим разведкам (1973) 10 1. Основные понятия теории информационной безопасности · Отсутствие специальных органов защиты информации; · Отсутствие научной проработки вопроса; · Опыт защиты информации в Российской империи был ис- пользован при организации зашиты информации в СССР. Выводы по таблице 2: · На проблему защиты информации большое влияние ока- зывали внутренние и внешние политические причины. · Враждебное для СССР окружение выдвинуло на первое место вопросы обеспечения секретности информации. На современном этапе развития общества информация вы- ступает как форма собственности, и следовательно, имеет опре- деленную ценность. Чтобы подчеркнуть роль информации в об- ществе, говорят об «информационном обществе», в отличие от предыдущей фазы развития общества — «индустриальном обществе». Начиная с 90-х гг. ХХ в. исследованиями в области инфор- мационной безопасности активно занимаются российские уче- ные [3]. В. А. Герасименко разработал системно-концептуальный подход к обеспечению информационной безопасности автома- тизированных систем обработки данных. А. А. Грушо и Е. Е. Ти- монина представили доказательный подход к проблеме гаран- тированности защиты информации в компьютерной системе. А. А. Грушо в сферу исследований были введены новые виды скрытых каналов утечки информации, основывающихся на ис- пользовании статистических характеристик работы системы. С. П. Расторгуев и А. Ю. Щербаков разработали теорию разру- шающих программных воздействий. А. Ю. Щербаковым так- же была разработана субъектно-объектная модель системы, на базе которой сформированы понятия информационных по- токов и доступов в компьютерной системе. Большой вклад в исследование теоретических основ ин- формационной безопасности внесли представители Санкт- 11 1.1. История становления теории информационной безопасности Петербургской научной школы во главе с П. Д. Зегждой. Ими разработана таксонометрия брешей и изъянов в системах защи- ты компьютерных систем, представлен ряд технических реше- ний по созданию защищенных компьютерных систем, в част- ности, организационно-иерархическая система разграничения доступа. Представителями школы Института криптографии, свя- зи и информатики (ИКСИ) Академии ФСБ России во гла- ве с Б. А. Погореловым (П. Н. Девянин, Д. И. Правиков, А. Ю. Щербаков, С. Н. Смирнов, Г. В. Фоменков и др.) были проведены исследования в области криптографической за- щиты информации, а также подготовлена целая серия учеб- ных изданий, что позволило сформировать методическую базу подготовки специалистов в сфере информационной без- опасности. При рассмотрении вопросов информационной безопасно- сти в настоящее время можно выделить два подхода [3]: Неформальный, или описательный. При этом комплекс во- просов построения защищённых систем делится на основные направления, соответствующие угрозам, разрабатывается ком- плекс мер и механизмов защиты по каждому направлению. Формальный . Основан на понятии политики безопасности и определении способов гарантирования выполнения её по- ложений. Как естественно-научная дисциплина теория информаци- онной безопасности развивается в направлении формализации и математизации основных положений, выработки комплекс- ных подходов к решению задач защиты информации. Теория информационной безопасности постоянно развива- ется т. к. в связи с развитием технологий обработки и передачи информации постоянно возникают новые задачи по обеспече- нию информационной безопасности. Необходимо отметить, что в настоящее время это одна из са- мых развивающихся естественных наук. Постоянно появляют- 12 1. Основные понятия теории информационной безопасности ся новые перспективные направления исследований, а уже име- ющиеся получают еще более глубокую научную проработку. К числу перспективных направлений следует отнести сле- дующие: · Формализация положений теории информационной без- опасности; · Разработка моделей безопасности, более точно отражаю- щих существующий уровень развития компьютерной тех- ники и информационных технологий и более удобных для практического использования и анализа защищенности реальных АС; · Разработка средств и методов противодействия угрозам информационной войны; · Вопросы обеспечения безопасности в глобальных инфор- мационных сетях, например Internet; · Безопасность систем электронной коммерции; · Вопросы безопасности обработки информации мобиль- ными пользователями. Особую роль в развитии теории информационной безопас- ности как науки и отрасли промышленности играют так называ- емые центры информационной безопасности. К ним относятся государственные, общественные и коммерческие организации, а также неформальные объединения, основные направления деятельности которых — координация усилий, направленных на актуализацию проблем защиты информации, проведение те- оретических исследований и разработка конкретных практиче- ских решений в области безопасности, аналитическая деятель- ность и прогнозирование. В Российской Федерации известными центрами информаци- онной безопасности являются такие учреждения, как Федераль- ная служба технического и экспортного контроля (ФСТЭК), Институт криптографии, связи и информатики Академии фе- деральной службы безопасности (ИКСИ) и Академия крипто- графии Российской Федерации (АК РФ). 13 1.1. История становления теории информационной безопасности Зарубежные центры информационной безопасности широ- ко представлены в сети Internet. По приоритетным для них на- правлениям деятельности среди таких центров выделяются [3]: · Информационно-аналитические . В основном занимаются сбором и распространением информации об известных уязвимых местах систем, атаках и вторжениях, программ- ных и аппаратных средствах профилактики и защиты. Ре- гулярно публикуются и рассылаются аналитические об- зоры, проводятся интернет-конференции, посвященные защите информации. · Оперативного реагирования . Для этих центров ключевым аспектом деятельности является оказание практической помощи тем, чьим интересам был нанесен ущерб в ре- зультате нарущения информационной безопасности. · Консультационные . Преимущественно занимаются оказа- нием консалтинговых услуг организациям, испытываю- щим трудности с выбором или внедрением программных, аппаратных или комплексных мер защиты, разработкой политики безопасности или использованием норматив- но-правовой базы, регламентирующей вопросы приме- нения мер защиты. · Научно-исследовательские . Как правило, функциониру- ют на базе факультетов крупных учебных заведений или подразделений государственных организаций и сосре- доточены на изучении и совершенствовании теоретиче- ских основ информационной безопасности, исследова- нии и разработке моделей безопасных систем, синтезе и анализе защитных механизмов, совершенствовании за- конодательной базы. · Центры сертификации . Реализуют программы тестирова- ния, сравнения и сертификации средств защиты, а также разрабатывают подходы к сертификации и методики те- стирования. Существуют государственные и независимые центры сертификации. 14 1. Основные понятия теории информационной безопасности Роль таких центров в целом выражена в том, что они опре- деляют направления дальнейшего развития. 1.2. предметная область теории информационной безопасности Теория информационной безопасности наука сравнительно молодая. Свое развитие она получила в связи с бурным разви- тием информационных технологий, радиоэлектроники и свя- зи и необходимостью сохранения информационных ресурсов. Как и любая другая наука, информационная безопасность име- ет свой понятийный аппарат, который способен наиболее точ- но охарактеризовать все аспекты защиты информации. Многие понятия по своему содержанию соответствуют зарубежным ана- логам. В то же время некоторые термины не являются устояв- шимися и не всегда точно и полно характеризуют какой- либо процесс, свойство или предмет. Предметной областью информационной безопасности явля- ются: · информация и ее свойства; · угрозы безопасности информации и ее собственникам; · политика безопасности и модели безопасности; · способы, методы и средства защиты информации; · классификация систем защиты; · требования к защищенности информационных систем; · методология оценки защищенности информационных систем и проектирования защиты. · конкретные системы защиты информации, применяемые в различных органах управления, учреждениях и на пред- приятиях различных форм собственности. Первый документ, устанавливающий основные термины и определения в области защиты информации в России был из- 15 1.3. Систематизация понятий в области защиты информации дан в 1992 году Гостехкомиссией РФ под названием «Термины и определения в области защиты от НСД к информации. Ру- ководящий документ Гостехкомиссии России». В 1996 году ос- новные термины и определения были стандартизированы Гос- стандартом. Выпущен ГОСТ Р 50922–96 Защита информации. Основные термины и определения. 1.3. систематизация понятий в области защиты информации Базовыми в теории защиты информации являются тер- мины: «информационная безопасность», «безопасность ин- формации», «защита информации». Их сущность определяет в конечном итоге политику и деятельность в области защиты информации. |