Безопасность и управление доступом в информационных системах

-¬¡ ©¡¡
«¬ª°¡--¤ª©œ§¸©ª¡
ª¬œ£ªžœ©¤¡
-ÁÌÄÛ
ÊÍÉʾ¼É¼
¾

¿ÊÀÏ
А.В. Васильков, И.А. Васильков
БЕЗОПАСНОСТЬ
И УПРАВЛЕНИЕ ДОСТУПОМ
В ИНФОРМАЦИОННЫХ
СИСТЕМАХ
УЧЕБНОЕ ПОСОБИЕ
Рекомендовано Методическим советом Учебно-методического центра 
по профессиональному образованию Департамента образования города Москвы 
в качестве учебного пособия для студентов образовательных учреждений 
среднего профессионального образования
Москва                                        2020
ИНФРА-М

УДК 004.056.5(075.32) 
ББК 32.973-018.2я723 
 
В19
Р е ц е н з е н т ы:
кандидат технических наук, ведущий специалист отдела ПД ИТР 
и технической защиты информации ОАО «ОКБ Сухого» О.Г. Пикалов; 
кандидат педагогических наук, руководитель отдела информационных и образовательных технологий Учебно-методического центра по 
профессиональному образовванию Департамента образования города 
Москвы Н.Л. Демкина
Васильков А.В.
В19 
 
Безопасность и управление доступом в информационных системах : учеб. пособие / А.В. Васильков, И.А. Васильков. — М. : ФОРУМ : 
ИНФРА-М, 2020. — 368 с. — (Среднее профессиональное образование).
ISBN 978-5-91134-360-6 (ФОРУМ)
ISBN 978-5-16-012933-4 (ИНФРА-М, print)
ISBN 978-5-16-104336-3 (ИНФРА-М, online)
В пособии предложены для изучения подходы, базовая концепция, 
принципы построения систем безопасности и оценки уровня безопасности информации в информационных системах, сетях и автоматизированных системах управления. С этих позиций рассматриваются информация 
и условия ее обработки в информационных системах: потенциальные 
угрозы, возможные каналы несанкционированного доступа, методы, средства и системы управления в условиях обеспечения безопасности. Цель 
учебного пособия — показать будущему специалисту возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами.
Для студентов среднего профессионального образования и бакалавров, 
специалистов в области защиты и безопасности информации в информационных и автоматизированных системах ее обработки и управления. 
Может быть рекомендована разработчикам, пользователям и владельцам 
информационных систем, государственным и военным организациям, 
различным финансовым и корпоративным структурам.
УДК 004.056.5(075.32) 
ББК 32.973-018.2я723 
© Васильков А.В., 
Васильков И.А., 2009
ISBN 978-5-91134-360-6 (ФОРУМ)
ISBN 978-5-16-012933-4 (ИНФРА-М, print)
ISBN 978-5-16-104336-3 (ИНФРА-М, online)
© ФОРУМ, 2009

Предисловие
Развитие применения компьютерной техники и информационных систем в экономике, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой
и других сферах человеческой деятельности является определяющим направлением информатизации и развития общества в целом. Эффект, достигаемый за счет применения компьютерной
техники, возрастает при увеличении масштабов обработки информации, т. е. концентрации по возможности бîльших объемов
информации и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные компьютерные сети и автоматизированные системы управления.
Масштабы и сферы применения этой техники стали таковы,
что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности
циркулирующей в ней информации. Безопасность информации —
это способность системы ее обработки обеспечить в заданный
промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающихся в утечке, модификации или утрате информации,
представляющих ту или иную ценность для их владельца. При
этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного
несанкционированного доступа человека-нарушителя (злоумышленника).
Утечка информации заключается в раскрытии какой-либо
тайны:
государственной,
военной,
служебной,
коммерческой
или личной (персональной). Защите должна подлежать не только секретная информация. Модификация несекретной информации может привести к утечке секретных либо к не обнаруженному получателем приему ложной информации. Разрушение или
исчезновение накопленной с большим трудом информации может привести к невосполнимой ее утрате.

Предисловие
В зависимости от сферы и масштабов применения той или
иной системы обработки информации потеря или утечка ее может привести к последствиям различной тяжести: от невинных
шуток до исключительно больших потерь экономического и политического характера.
В связи с высокими темпами информатизации общества
проблема безопасности информации весьма актуальна и останется таковой навсегда. Специалисты в данной области без работы не останутся.
Началом работы по построению системы информационной
безопасности и управлением доступом к информации в любой
организации начинается с разработки концепции.
Ключевыми моментами в разработке концепции являются
четкость и ясность постановки задачи. В первую очередь это касается определений объекта и предмета защиты, а также потенциальных угроз.
Предметом защиты принято считать «информационные ресурсы». Это понятие имеет множественный характер и представляет
собой множество предметов защиты. Границы этого множества
никем и ничем не определены и устанавливаются разработчиком
информационной системы по своему усмотрению с учетом рекомендаций специалистов. Далее определяется множество потенциальных угроз этим ресурсам и адекватное им подобранное на основе экспертных оценок множество средств защиты, которые в
совокупности должны образовать в автоматизированной системе и
вокруг нее некую защищенную среду обработки информации.
Понятие информационный ресурс более емкое и включает в
себя понятие информации. Поэтому специалисту, разрабатывающему и реализующему данную систему, надо постараться не
отодвинуть в тень основной предмет защиты — информацию.
Таким образом основными положениями при разработке
концепции обеспечения безопасности информации и управления доступом в информационных системах организации должны
стать следующие:

 выбор информации в качестве предмета защиты (ресурсы
тоже защищаются, но только в необходимых случаях);

 использование в расчетах прочности защиты времени жизни информации;

 использование в построении защиты классификации автоматизированных систем по видам, принципам построения
и обработки информации;

Предисловие
5

 применение различных подходов к случайным и преднамеренным угрозам информации;

 приложение известной стратегии и тактики защиты любого
предмета к защите информации в компьютерных системах;

 сведение всех потенциальных угроз информации к трем событиям — утечке, модификации и утрате;

 разработка и использование в постановке задачи простой
модели ожидаемого поведения нарушителя и его классификации;

 определение в информационных системах возможных каналов несанкционированного доступа к информации со
стороны нарушителя того или иного класса;

 разработка расчетных соотношений для построения средств
и системы защиты, перекрывающих возможные каналы несанкционированного доступа к информации, в целях создания замкнутого контура защиты с гарантированным уровнем его прочности.
Следуя перечисленным положениям, специалист независимо
от того, на какой компьютерной платформе он работает и какие
инструментальные ресурсы у него в наличии, получит:

 базис для дальнейшей деятельности, основанный на единой для всех видов компьютерных систем теории безопасности информации;

 возможность создания в заданной компьютерной системе
встроенной автоматизированной подсистемы безопасности информации в виде единого механизма с гарантированными количественными и качественными характеристиками;

 возможность получения с позиций безопасности информации оптимальных требований к аппаратным и программным средствам компьютерных систем;

 возможность включения типовых требований по безопасности информации в техническое задание на разработку
компьютерной системы;

 возможность
разработки
четких
и
ясных
руководящих
внутренних регламентирующих и нормативных документов
при создании компьютерных систем на основе государственных нормативных документов по безопасности информации и других вышестоящих органов.
В данном учебном пособии последовательно показывается,
каким образом предполагается получить указанные результаты.

Предисловие
В разделе I рассматривается информация как предмет защиты, ее свойства, виды и формы представления в автоматизированных системах ее обработки и управления. С позиций безопасности информации приводятся классификация, состав технических
средств и обобщенные свойства систем обработки информации
как объектов, содержащих предмет защиты. Систематизируются
потенциальные угрозы безопасности информации в информационных системах и их компонентах автоматизации и подводится
база под постановку задачи.
В разделе II рассматриваются современные методы защиты
информации в информационных системах и их компонентах автоматизации, изложенные в определенной последовательности,
без которых пособие было бы неполным.
В разделе III предлагаются концептуальные основы и основные принципы обеспечения безопасности информации в
информационных системах и их компонентах автоматизации.
Проводится более строгий анализ типовых информационных
систем и средств автоматизации как объектов защиты информации: комплексов средств автоматизации обработки информации, информационных сетей и глобальных автоматизированных систем управления; производится постановка задачи и на
элементарных моделях выводятся расчетные соотношения и
концептуальные основы для построения в них систем безопасности информации.
В разделе IV предлагаются принципы построения системы
безопасности в комплексах средств автоматизации обработки
информации на основе рассмотренной концепции.
В разделе V излагаются принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления, построенных на их базе.
В разделе VI рассматривается оценка уровня безопасности
информации в автоматизированных системах обработки информации и управления и предложены основные методы решения.
Учитывая особенности развития компьютерной техники и
принципов построения информационных систем с комплексами
автоматизации на основе получивших широкое распространение
персональных компьютеров и локальных компьютерных сетей, в
учебном пособии показывается, что к ним также применимы
рассмотренные концепция и технология обеспечения безопасности информации.

Предисловие
7
В разделе VII рассмотрены принципы построения и методы
оценки эффективности системы безопасности информации в
подобных системах.
В разделе VIII рассмотрены кратко основные нормативные
документы со ссылками на их библиографические данные организационно-правового обеспечения информационной безопасности.
При написании данного учебного пособия был выдержан
ряд принципов.
Во-первых, это четкое ограничение предмета изложения.
Поскольку это учебное пособие по дисциплине «Безопасность и
управление доступом в информационных системах», то изложение
материала посвящено прежде всего фундаментальным вопросам — концепции, принципам построения и методам оценки
ожидаемой эффективности защиты информации в информационных системах и автоматизированных системах обработки информации и управления, овладев которыми, можно построить
достаточно эффективные и экономичные системы ее безопасности.
Во-вторых, пособие не рассчитано на то, чтобы служить
справочником по существующим средствам информационной
безопасности, предлагаемым конкретными фирмами-поставщиками. Упоминаемые по ходу изложения материала отдельные
средства защиты приведены для примера и при необходимости
могут быть заменены другими, более совершенными, так как
данные средства и технологии развиваются достаточно быстро и
к моменту выхода пособия вполне могут оказаться морально
устаревшими.
Третий принцип касается уровня изложения материала. Поскольку учебное пособие рассчитано на студентов среднего профессионального образования и бакалавров, в пособии выдерживается метод изложения, доступный обеим аудиториям. От студента не требуется знания продвинутых специальных дисциплин
в области компьютерной техники и программирования, но необходимые предваряющие общеспециальные дисциплины желательны. Учебное пособие не является свободным экскурсом на
актуальную тему.
В-четвертых,
преследовался
принцип
—
при
сохранении
фундаментальности излагаемых вопросов, касающихся работы с
информацией вообще и с информационными системами в частности, сохранить практическую направленность материала. При

Предисловие
ведено достаточное количество табличного материала, необходимого для быстрого проектирования, реализации системы информационной безопасности и последующей ее эксплуатации.
При составлении плана пособия не включены правовые вопросы, в принципе очень важные, но достаточно подробно рассмотренные в пособии авторов [3], выпущенном в этом же издательстве. Законодательные меры упоминаются в соответствующих аспектах и технологиях лишь как средство предупреждения
и сдерживания потенциального нарушителя, а также как основа
для регламентации действий.
Цели данного учебного пособия: дать студентам соответствующих специальностей, как будущим специалистам, так и заказчикам их работ и владельцам информационных систем и автоматизированных систем обработки информации и управления,
практические подходы к решению проблем, связанных с безопасностью информации, с построением системы управления
доступом, и оказать им помощь в поиске оптимальных решений. Достижение целей основывается на единстве теории, практических принципов построения, методов расчета и оценки
ожидаемой эффективности системы безопасности информации
в информационных системах.
Данное учебное пособие рассчитано прежде всего на студентов
среднего
профессионального
образования
и
бакалавров
вузов, но будет полезно студентам других соответствующих специальностей, а также специалистам и всем интересующимся
данным комплексом проблем.

Введение
Проблема защиты информации от постороннего доступа и
нежелательных воздействий на нее возникла давно, с той поры,
когда человеку по каким-либо причинам не хотелось делиться
ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением
масштабов человеческой деятельности информация приобретает
цену. Ценной становится та информация, обладание которой
позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т. д.
В период существования примитивных носителей информации ее защита осуществлялась в основном организационными
методами, которые включали ограничение и разграничение доступа, определенные меры наказания за разглашение тайны. По свидетельству Геродота, уже в V в. до н. э. использовалось преобразование информации методом кодирования. Коды появились в глубокой древности в виде криптограмм (по-гречески — тайнопись).
Спартанцы имели специальный механический прибор, с помощью которого важные сообщения можно было писать особым
способом, обеспечивающим сохранение тайны. Собственная секретная азбука была у Юлия Цезаря. В средние века и эпоху Возрождения над изобретением тайных шифров трудились многие
выдающиеся люди, в их числе известный философ Френсис Бэкон, крупные математики — Франсуа Виет, Джироламо Кардано,
Джон Валлис.
С переходом на использование технических средств связи
информация подвергается воздействию случайных процессов:
неисправностям и сбоям оборудования, ошибкам операторов
и т. д., которые могут привести к ее разрушению, изменениям на
ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распростране

Предисловие
нием технических средств связи возросли возможности для
преднамеренного доступа к информации.
С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали:

 увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ (компьютеров) и
других средств компьютерной техники;

 сосредоточение в единых базах информации различного
назначения, принадлежности и формы представления;

 расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам информации;

 усложнение
режимов
функционирования
технических
средств вычислительной системы — широкое внедрение
многопрограммного режима, режима разделения времени и
реального времени;

 автоматизация межмашинного обмена информацией, в том
числе и на больших расстояниях;

 увеличение количества технических средств и связей в автоматизированных системах управления и обработки информации;

 появление персональных компьютеров, а затем интенсивного развития глобальной сети Интернет, расширяющих
возможности не только пользователя, но и нарушителя.
К настоящему времени и в самом человеческом обществе, и
в технологии обработки информации произошли большие изменения, которые повлияли на саму суть проблемы защиты информации, безопасности и управления доступом.
Индустрия переработки информации достигла глобального
уровня. Появление возможности выхода в глобальную компьютерную сеть с домашнего компьютера, «электронных» денег,
кредитных карточек создает еще бîльшую долю риска в сфере
работы с информацией.
Особую обеспокоенность представляет появление в рядах
киберзлоумышленников и хулиганов высокоинтеллектуальных
разработчиков, зачастую действующих от лица и во исполнение
целей определенных организаций.
С помощью телефона и персональных компьютеров, связанных с почти всеми крупными компьютерами экономики, науч