Аппаратные и программные средства защиты информации

ФЕДЕРАЛЬНАЯ СЛУЖБА ИСПОЛНЕНИЯ НАКАЗАНИЙ

ФЕДЕРАЛЬНОЕ КАЗЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ВОРОНЕЖСКИЙ ИНСТИТУТ ФСИН РОССИИ

Кафедра информационной безопасности телекоммуникационных систем

АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА

ЗАЩИТЫ ИНФОРМАЦИИ

Учебное пособие

Воронеж

2016

УДК 004.056
ББК 32.973

А76

Утверждено методическим советом Воронежского института ФСИН России 15 сен
тября 2015 г., протокол № 1

Р е ц е н з е н т ы:

декан факультета прикладной математики, информатики и механики 

Воронежского государственного университета д-р техн. наук, профессор Шашкин А.И.;

начальник кафедры информационной безопасности 

Воронежского института МВД России канд. техн. наук, доцент Бабкин А.Н.

Аппаратные и программные средства защиты информации : учебное посо
бие / [А. В. Душкин, А.С. Кольцов, А.С. Кравченко, О.В Ланкин и др.] ; Воронежский
институт ФСИН России – Воронеж : Издательско-полиграфический центр «Научная 
книга», 2016. – 232 с.

ISBN 978-5-4446-0746-6

В учебном пособии изложены теоретические основы создания и практического 

применения аппаратных и программных средств защиты информации. Издание состоит из разделов, в которых достаточно подробно рассматриваются следующие вопросы: основные принципы создания аппаратных и программных средств обеспечения 
информационной безопасности; основные методы и средства реализации отдельных 
функциональных требований по защите информации и данных; аппаратные и программные средства защиты программ; аппаратные и программные средства защиты от 
несанкционированного доступа к информации, хранимой в ЭВМ; аппаратные и программные средства защиты информации в сетях передачи данных; сертификация аппаратных и программных средств обеспечения информационной безопасности.

В книге большое внимание уделено нормативно-правовой базе в области со
здания, применения и сертификации аппаратных и программных средств защиты информации, а также достаточно подробно описана технология сертификации аппаратных и программных средств на соответствие требованиям информационной безопасности.

Предназначено для студентов, курсантов, слушателей, аспирантов, адъюнктов,

преподавателей, научных и практических работников, занимающихся вопросами информационной безопасности.

УДК 004.056
ББК 32.973

Издано в авторской редакции

ISBN 978-5-4446-0746-6

 ФКОУ ВПО Воронежский 
институт ФСИН России, 2016
 Душкин А. В., Кольцов А.С., 
Кравченко А.С., Ланкин О.В, 
Сахаров С.Л., Сумин В.И., 2016
 Издательско-полиграфический 
центр «Научная книга», 2016

СОДЕРЖАНИЕ

Список сокращений……………………………………………………..…...
6

Введение……………………………………………………………..….....
8

1. ПРИНЦИПЫ СОЗДАНИЯ АППАРАТНЫХ И ПРОГРАММНЫХ 
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ…………………………….........
11

1.1. Основные понятия и определения в области создания АПСЗИ…..…
11

1.2. Нормативно-правовая база создания АПСЗИ…………………..…..
14

1.3. Классификация АПСЗИ………………………………………..…….
16

1.4. Функциональные возможности АПСЗИ……………………..……...
20

1.5. Основные этапы проектирования АПСЗИ…………………..……...
25

1.6. Анализ угроз информационной безопасности………………..…….
28

1.7. Анализ сетевых угроз информационной безопасности……..……..
34

1.8. Принципы разработки АПСЗИ………………………………..……..
39

1.9. Концепция диспетчера доступа………………………………..….....
41

Вопросы и задания для самопроверки………………………………..…….
45

2. ОСНОВНЫЕ МЕТОДЫ И СРЕДСТВА РЕАЛИЗАЦИИ 
ОТДЕЛЬНЫХ ФУНКЦИОНАЛЬНЫХ ТРЕБОВАНИЙ ПО ЗАЩИТЕ 
ИНФОРМАЦИИ И ДАННЫХ………………………....................................
46

2.1. Классификация функциональных требований по защите 
информации и данных………………………………………………….....
46

2.2. Принципы действия и технологические особенности АПСЗИ, 
реализующих отдельные функциональные требования по защите 
информации ……………………………………………………………....
49

2.3. Характеристика методов и средства привязки программного 
обеспечения к аппаратному окружению и физическим носителям…....
52

2.4. Методы обеспечения идентификации и аутентификации……..…..
54

2.5. Методы криптографической защиты……………………………..……
65

2.6. Методы и средства хранения ключевой информации…………...…
72

2.7. Методы обеспечения доступа к системе защиты и управления 
безопасностью………………………………………………………..……
75

2.8. Методы аудита безопасности………………………………..………
77

2.9. Методы и средства ограничения доступа к компонентам 
вычислительных систем…………………………………………………..
80

2.10. Методы обеспечения целостности системы защиты………...……
84

Вопросы и задания для самопроверки……………………………………...
89

3. СРЕДСТВА ЗАЩИТЫ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ…….….
90

3.1. Классификация аппаратных компонентов средств защиты 
программ……………………………………………………………….......
90

3.2. Классификация программных компонентов средств защиты 
программ……………………………………………………………….......
92

3.3. Основные принципы обеспечения безопасности программ………
93

3.4. Понятие изолированной программной среды……………………...
95

3.5. Структура программного обеспечения…………………………......
100

3.6. Способы интеграции средств защиты в программное 
обеспечение………………………………………………………………..
102

3.7. Способы изучения кода программ…………………………………..
104

3.8. Способы защиты программ от изучения кода……………………...
106

3.9. Способы определения факта незаконного использования 
программ……………………………………………………………….......
108

3.10. Способы защиты программ от незаконного использования……..
111

Вопросы и задания для самопроверки……………………………………...
115

4. СРЕДСТВА ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО 
ДОСТУПА К ИНФОРМАЦИИ, ХРАНИМОЙ В ПЭВМ………………
116

4.1. Классификация средств защиты от несанкционированного 
доступа к информации, хранимой в ПЭВМ……………………………..
116

4.2. Характеристики средств защиты от несанкционированного
доступа к информации, хранимой в ПЭВМ……………………………..
116

4.3. Общие принципы разграничения доступа пользователей
к устройствам ПЭВМ…………………………………………………......
127

4.4. Основные принципы криптографической защиты информации….
130

4.5. Механизмы контроля аппаратной конфигурации ПЭВМ…………
130

4.6. Понятие электронного замка………………………………………...
132

4.7. Принципы построения и функционирования электронных 
замков………………………………………………………………………
135

Вопросы и задания для самопроверки……………………………………...
136

5. АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ 
ИНФОРМАЦИИ В СЕТЯХ ПЕРЕДАЧИ ДАННЫХ…………………...
137

5.1. Классификация аппаратных и программных средств защиты 
информации в сетях передачи данных…………………………………..
137

5.2. Принципы построения и функционирования межсетевых 
экранов в сетях передачи данных………………………………………..
139

5.3. Аппаратные и программные средства межсетевого 
экранирования……………………………………………………………..
142

5.4. Основные принципы защиты информации при передаче 
по каналам связи…………………………………………………………..
145

5.5. Аппаратные и программные средства защиты информации
при передаче по каналам связи………………………………………......
146

5.6. Основные принципы разграничения доступа к сетевым 
ресурсам……………………………………………………………………
149

5.7. Основные принципы управления безопасностью сети……….........
150

5.8. Аппаратные и программные средства управления безопасностью 
сети…………………………………………………………………………
155

5.9 Основные принципы обнаружения сетевых атак…………………...
156

5.10. Аппаратные и программные средства обнаружения сетевых 
атак…………………………………………………………………………
160

5.11. Основные принципы защиты от сетевых атак…………………….
161

5.12. Аппаратные и программные средства защиты от сетевых 
атак…………………………………………………………………………. 163
5.13. Обзор штатных средств сетевого оборудования, 
предназначенных для защиты информации при передаче 
по каналам связи…………………………………………………………..
168

5.14. Способы применения штатных средств сетевого 
оборудования, предназначенных для защиты информации 
при передаче по каналам связи…………………………………………...
170

Вопросы и задания для самопроверки……………………………………… 171
6. СЕРТИФИКАЦИЯ АППАРАТНЫХ И ПРОГРАММНЫХ 
СРЕДСТВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ…………………………………………………………
172

6.1. Основные требования к информационной безопасности………….
173

6.2. Классификация требований к программной и 
программно-аппаратной реализации средств обеспечения информационной безопасности…………………………………………………….
175

6.3. Задачи сертификации аппаратных и программных средств 
на соответствие требованиям информационной безопасности…….......
182

6.4. Технология сертификации аппаратных и программных средств 
на соответствие требованиям информационной безопасности…….......
184

6.5. Проверка ОИ на базе вычислительной техники 
на соответствие требованиям по защите информации от НСД………...
186

Вопросы и задания для самопроверки……………………………………… 219
Заключение………………………………………………………………...
220

Использованная литература…………………………………………………
221

Приложение. Руководящие документы в области сертификации 
аппаратных и программных средств обеспечения информационной 
безопасности……………………………………………………………….
224

СПИСОК СОКРАЩЕНИЙ

АПКЗИ – аппаратно-программный комплекс защиты информации
АПСЗИ – аппаратно-программные средства защиты информации
АРМ – автоматизированное рабочее место
АС – автоматизированная система
АСЗИ – автоматизированная система в защищенном исполнении
АСОД – автоматизированная система обработки данных
АСУ – автоматизированная система управления
ВЗУ – внешнее запоминающее устройство
ВС – вычислительная сеть
ВП – выделенное помещение
ВТСС – вспомогательные технические средства и системы
ЗИ – защита информации
ИБ – информационная безопасность
ИК – интеллектуальная карточка
ИС – информационная система
ИСПДн – информационная система персональных данных
КС – компьютерная система
КСЗ – комплекс средств защиты
ЛВС – локальная вычислительная сеть
МО – Министерство обороны
МЭ – межсетевой экран
ИТКС – информационно-телекоммуникационная система
НД – нормативная документация
НИР – научно-исследовательская работа
НСД – несанкционированный доступ
НСДИ – несанкционированный доступ к информации
НСВ – несанкционированное воздействие
ОБИ – обеспечение безопасности информации
ОИ – объект информатизации
ОС – операционная система
ОТСС – основные технические средства и системы
ПАК – программно-аппаратный комплекс
ПВО – противовоздушная оборона
ПДн – персональные данные
ПО – программное обеспечение
ПРД – правила разграничения доступа
ПС – программное средство
ПЭВМ – персональная электронная вычислительная машина
ПЭМИН – побочное электромагнитное излучение и наводки
РКС – распределенная компьютерная сеть
РД – руководящий документ
РРЛ – радиорелейная линия
РРС – радиорелейная станция

РФ – Российская Федерация
САВС – система аудита вычислительной сети
СВТ – средство вычислительной техники
СЗИ – система защиты информации
СРД – система разграничения доступа
СрЗИ – средство защиты информации
СНГ – Союз независимых государств
СОВ – система обнаружения вторжений
СОС – сетевая операционная система
СРД – система разграничения доступа
СТР – специальные требования и рекомендации
СУБД – система управления базой данных
СУР – система управления ресурсами
США – Соединенные штаты Америки
ТЗ – техническое задание
ТПР – типовое проектное решение
ТС – техническое средство
УВИП – устройство ввода идентификационных признаков
ФСТЭК – Федеральная служба по техническому и экспортному контролю
ЧТЗ – частное техническое задание
ЭВМ – электронная вычислительная машина
ЭВТ – электронная вычислительная техника
ЭЗ – электронный замок
ЭЦП – электронная цифровая подпись

ВВЕДЕНИЕ

Современный мир невозможно представить без средств коммуникаций и 

вычислительной техники, в которых главенствующую роль играет программное 
обеспечение. Информационные технологии прогрессируют очень быстро, охватывая все более широкие области человеческой деятельности. Поэтому безопасность информационных технологий является одним из важнейших аспектов обеспечения их функционирования.

Статистика показывает, что с каждым годом растет финансовый ущерб, 

наносимый компьютерными преступниками. Рост числа пользователей, недостатки в программном обеспечении пользователей, наличие свободного доступа 
к зловредным программам, а также практическая ненаказуемость совершения 
проступков привели к тому, что организациям, компаниям и рядовым пользователям приходится уделять внимание и время обеспечению защиты.

Современные распределенные компьютерные системы не могут быть за
щищены только использованием организационных мер и средств физической 
защиты. Для безопасности функционирования информационных технологий 
необходимо использовать механизмы и средства сетевой защиты, которые 
обеспечивают конфиденциальность, целостность и доступность компьютерных 
систем, программного обеспечения и данных.

В последнее десятилетие сформировался рынок средств обеспечения ин
формационной безопасности, все большее число различных организаций подключается к решению насущных задач обеспечения защиты. Решение этих задач осложняется рядом причин. Среди них необходимо отметить следующие: 
отсутствие единой терминологии и единой теории обеспечения защиты, использование, как правило, программных средств зарубежных производителей, 
высокую стоимость качественных средств защиты. Реализация защиты информации в современных корпоративных сетях опирается на использование 
средств защиты, реализованных программными, аппаратными и программноаппаратными методами. Количество изданий и статей, посвященных различным вопросам обеспечения информационной безопасности, увеличивается с 
каждым годом.

Значимость обеспечения безопасности государства в информационной 

сфере подчеркнута в принятой в сентябре 2000 года «Доктрине информационной безопасности Российской Федерации»: «Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет 
возрастать».

Остроту межгосударственного информационного противоборства можно 

наблюдать в оборонной сфере, высшей формой которой являются информационные войны. Элементы такой войны уже имели, а в ряде случаев до сих пор
имеют место в локальных военных конфликтах на Ближнем Востоке, на Балканах, на территории бывших стран СНГ и т.д. Один из характерных примеров –
вывод из строя войсками НАТО системы противовоздушной обороны Ирака с 
помощью информационного оружия. Эксперты предполагают, что войска аль

янса использовали программную закладку, внедренную заблаговременно в 
принтеры, которые были закуплены Ираком у французской фирмы и использовались в АСУ ПВО.

В настоящее время МО США (объединенная доктрина Информационных 

операций JP 3-13 от 27.11.2012) приняло следующее определение термина «информационная война» – это действия, предпринимаемые для достижения информационного превосходства над противником путем воздействия на имеющуюся у него информацию, зависящие от информации процессы, информационные системы и компьютерные сети.

Объектом внимания в такой войне становятся информационные системы, 

а также информационные технологии, используемые в системах вооружений. 
Информационным оружием в такой войне следует называть средства уничтожения, искажения или хищения информационных массивов, средства преодоления систем защиты, ограничения допуска законных пользователей, дезорганизации работы аппаратуры и компьютерных систем в целом. К ним относятся:

1) компьютерные вирусы, способные размножаться, внедряться в про
граммы, передаваться по линиям связи, сетям передачи данных, выводить из 
строя системы управления;

2) логические бомбы – запрограммированные устройства, которые внед
ряют в информационно-управляющие центры военной или гражданской инфраструктуры, чтобы по сигналу или в установленное время привести их в действие;

3) средства подавления информационного обмена в телекоммуникацион
ных сетях, фальсификация информации в каналах государственного и военного 
управления;

4) средства нейтрализации тестовых программ;
5) ошибки различного рода, сознательно вводимые злоумышленниками в 

программное обеспечение объекта.

Мерами для предотвращения или нейтрализации последствий примене
ния информационного оружия являются:

1) защита материально-технических объектов, составляющих физическую 

основу информационных ресурсов;

2) обеспечение нормального и бесперебойного функционирования баз и 

банков данных;

3) защита информации от несанкционированного доступа, ее искажения и 

уничтожения;

4) сохранение качества информации (своевременности, точности, полно
ты и необходимой доступности).

Обеспечение безопасности АС предполагает создание препятствий для 

любого несанкционированного вмешательства в процесс ее функционирования, 
а также для попыток хищения модификации, выведения из строя или разрушения всех ее компонентов.

Противоборство государств в области информационных технологий, 

стремление криминальных структур противоправно использовать информационные ресурсы, необходимость обеспечения прав граждан в информационной 

сфере, наличие множества случайных угроз вызывают острую необходимость 
обеспечения защиты информации в компьютерных системах (КС), являющихся 
материальной основой информатизации общества.

Проблема обеспечения информационной безопасности на всех уровнях 

может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный 
цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Данная работа посвящена изложению теоретических основ создания и 

практического применения аппаратных и программных средств защиты информации. Состоит из разделов, в которых достаточно подробно рассматриваются следующие вопросы: основные принципы создания аппаратных и программных средств обеспечения информационной безопасности; основные методы и средства реализации отдельных функциональных требований по защите 
информации и данных; аппаратные и программные средства защиты программ; 
аппаратные и программные средства защиты от несанкционированного доступа 
к информации, хранимой в ЭВМ; аппаратные и программные средства защиты 
информации в сетях передачи данных; сертификация аппаратных и программных средств обеспечения информационной безопасности. В книге большое 
внимание уделено нормативно-правовой базе в области создания, применения и 
сертификации аппаратных и программных средств защиты информации, а также достаточно подробно описана технология сертификации аппаратных и программных средств на соответствие требованиям информационной безопасности. Издание предназначено не только для студентов, курсантов и слушателей,
но будет полезно также для аспирантов, адъюнктов, преподавателей, научных и 
практических работников, занимающихся вопросами информационной безопасности.