Комплексная защита информации в корпоративных системах

В.Ф. Шаньгин
КОМПЛЕКСНАЯ ЗАЩИТА 
ИНФОРМАЦИИ 
В КОРПОРАТИВНЫХ СИСТЕМАХ
УЧЕБНОЕ ПОСОБИЕ
Допущено Учебно-методическим объединением вузов
по университетскому политехническому образованию
в качестве учебного пособия для студентов высших учебных заведений,
обучающихся по направлению 09.03.01 «Информатика и вычислительная техника»
Москва 
ИД «ФОРУМ» — ИНФРА-М
2020

УДК  004.031(075.8)
ББК 32.973я73
 
Ш20
Р е ц е н з е н т ы:
Л.Г. Гагарина, доктор технических наук, профессор, зав. кафедрой «Информатика 
и программное обеспечение вычислительных систем» Московского государственного 
института электронной техники (технического университета);
А.А. Петров, кандидат технических наук, доцент кафедры «Информационные технологии» филиала Санкт-Петербургского гуманитарного университета профсоюзов
Шаньгин В.Ф.
Ш20  
Комплексная защита информации в корпоративных системах : учебное пособие / 
В.Ф. Шаньгин. — Москва : ИД «ФОРУМ» : ИНФРА-М, 2020. — 592 с. — (Высшее образование: Бакалавриат).
ISBN 978-5-8199-0730-6 (ИД «ФОРУМ») 
ISBN 978-5-16-013495-6 (ИНФРА-М, print) 
ISBN 978-5-16-106148-0 (ИНФРА-М, online)
Книга посвящена методам и средствам комплексной защиты информации в корпоративных системах. Формулируются основные понятия защиты информации, анализируются 
угрозы информационной безопасности в корпоративных системах. Обсуждаются базовые 
понятия и принципы политики безопасности. Описываются криптографические методы 
и алгоритмы защиты корпоративной информации. Обсуждаются методы и средства идентификации, аутентификации и управления доступом в корпоративных системах. Анализируются методы защиты электронного документооборота. Обосновывается комплексный подход 
к обеспечению информационной безопасности корпоративных систем. Рассматриваются 
средства обеспечения безопасности операционных систем UNIX и Windows Vista. Обсуждаются методы и средства формирования виртуальных защищенных каналов и сетей. Описываются функции межсетевых экранов. Рассматриваются методы предотвращения вторжений в корпоративные информационные системы. Обсуждаются методы и средства защиты 
от вредоносных программ. Рассматриваются методы управления средствами обеспечения 
информационной безопасности. Анализируются международные и отечественные стандарты 
информационной безопасности.
Для студентов высших учебных заведений, обучающихся по направлению 09.03.01 «Информатика и вычислительная техника», а также может быть полезна студентам, аспирантам 
и преподавателям вузов соответствующих специальностей.
УДК 004.031(075.8)
ББК 32.973я73
ISBN 978-5-8199-0730-6 (ИД «ФОРУМ») 
ISBN 978-5-16-013495-6 (ИНФРА-М, print) 
ISBN 978-5-16-106148-0 (ИНФРА-М, online)
© Шаньгин В.Ф., 2016
© ИД «ФОРУМ», 2016

Предисловие
Быстрое развитие информационных технологий и глобальной сети
Интернет привело к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. Корпоративные информационные системы (КИС) становятся сегодня важнейшим
средством производства современной компании, они позволяют преобразовать традиционные формы бизнеса в электронный бизнес. Электронный бизнес использует глобальную сеть Интернет и современные
информационные технологии для повышения эффективности всех сторон деятельности компаний, включая производство, маркетинг, продажи, платежи, финансовый анализ, поиск сотрудников, поддержку клиентов и партнерских отношений.
Важным условием существования электронного бизнеса является
информаöионная безопасность, под которой понимается защищенность
корпоративной информации и поддерживающей инфраструктуры от
случайных и преднамеренных воздействий, которые могут нанести
ущерб владельцам или пользователям информации. Ущерб от нарушения информационной безопасности может привести к крупным финансовым потерям и даже к полному закрытию компании. Поэтому проблемы обеспечения информационной безопасности привлекают внимание как специалистов в области компьютерных систем и сетей, так и
многочисленных пользователей, включая компании, работающие в сфере электронного бизнеса. Задача обеспечения безопасности корпоративных информационных систем решается путем построения комплексной
системы информационной безопасности.
Без знания и квалифицированного применения современных информационных технологий, стандартов, протоколов и средств защиты
информации невозможно достигнуть требуемого уровня информационной безопасности компьютерных систем и сетей.
Предлагаемое вниманию читателя учебное пособие посвящено систематическому изложению и анализу современных методов, средств и технологий комплексной защиты информации в корпоративных системах.
Содержание книги разбито на четыре логически связанные части:
 часть I «Проблемы безопасности корпоративной информации»;
 часть II «Технологии защиты корпоративных данных»;
 часть III «Комплексная защита корпоративных информационных
систем»;
 часть IV «Управление информационной безопасностью».
Каждая из этих частей объединяет несколько глав, связанных общей темой. Каждая глава завершается набором вопросов для самокон

Предисловие
троля. Книга содержит также предисловие, введение, список сокращений и список литературы.
×асть I «Ïроблемы безопасности корпоративной информаöии» включает следующие главы:
 глава 1 «Основные понятия информационной безопасности»;
 глава 2 «Проблемы информационной безопасности сетей»;
 глава 3 «Политика безопасности».
В главе 1 формулируются основные понятия и определения информационной безопасности и анализируются угрозы информационной
безопасности в корпоративных информационных системах.
Глава 2 сначала вводит в сетевой информационный обмен и коммуникационные протоколы ISO/OSI и TCP/IP. Затем в этой главе анализируются угрозы и уязвимости проводных и беспроводных сетей, формулируются способы обеспечения информационной безопасности и возможные пути решения проблем защиты информации в сетях.
В главе 3 определяются базовые понятия политики безопасности и
описываются основные виды политик и процедур безопасности в корпоративных информационных системах.
×асть II «Òехнологии защиты корпоративных данных» включает следующие главы:
 глава 4 «Криптографическая защита информации»;
 глава 5 «Идентификация, аутентификация и управление доступом»;
 глава 6 «Защита электронного документооборота».
В главе 4 описываются такие криптографические методы защиты
корпоративной
информации,
как
симметричные
и
асимметричные
криптосистемы шифрования, комбинированные криптосистемы, электронная цифровая подпись, функции хэширования и управление криптоключами. Подробно описывается инфраструктура управления открытыми ключами PKI (Public Key Infrastructure).
Глава 5 посвящена рассмотрению идентификации, аутентификации
и авторизации пользователя. Описываются методы аутентификации,
использующие многоразовые и одноразовые пароли, методы строгой
аутентификации и биометрической аутентификации пользователей,
управление доступом по схеме однократного входа Single Sign-On.
В главе 6 рассматриваются методы и средства защиты электронного
документооборота. Формулируется концепция и особенности защиты
электронного документооборота. Анализируются методы и средства защиты баз данных. Подробно описывается защита электронного почтового документооборота. Рассмотрена реализация отечественной системы
защищенного электронного документооборота и управления взаимодействием DIRECTUM.
×асть III «Êомплексная защита корпоративных информаöионных систем» объединяет следующие главы:
 глава 7 «Принципы комплексной защиты корпоративной информации»;
 глава 8 «Безопасность операционных систем»;

Предисловие
5
 глава 9 «Протоколы защищенных каналов»;
 глава 10 «Межсетевое экранирование»;
 глава 11 «Виртуальные защищенные сети VPN»;
 глава 12 «Защита удаленного доступа»;
 глава 13 «Обнаружение и предотвращение вторжений»;
 глава 14 «Защита от вредоносных программ и спама».
Глава 7 посвящена рассмотрению принципов комплексной защиты
информации в корпоративных информационных системах. Анализируются особенности архитектуры КИС и структура системы защиты информации в КИС. Формулируется стратегия комплексного обеспечения информационной безопасности, и описываются основные подсистемы информационной безопасности КИС.
В главе 8 анализируются угрозы безопасности в операционных системах (ОС), вводится понятие защищенной ОС, описываются архитектура
и основные функции подсистемы защиты ОС. Рассматриваются средства обеспечения безопасности операционных систем UNIX и Windows Vista.
В главе 9 обсуждаются проблемы построения защищенных виртуальных каналов на канальном, сетевом и сеансовом уровнях эталонной
модели взаимодействия открытых систем OSI. Рассматриваются особенности применения протоколов на канальном уровне РРТР, L2F
и L2TP. Описываются архитектура стека протоколов IPSec, протокол
аутентификации АН, протокол формирования защищенного пакета
ESP, протокол управления криптоключами IKE. Приводятся сведения
об алгоритмах аутентификации и шифрования, применяемых в стеке
протоколов IPSec. Описывается применение протоколов SSL и SOCKS
для построения защищенных каналов на сеансовом уровне. Рассматривается защита беспроводных сетей.
В главе 10 рассматриваются функции межсетевых экранов. Описываются схемы сетевой защиты на базе межсетевых экранов. Рассматривается применение персональных и распределенных сетевых экранов.
Глава 11 представляет собой введение в защищенные виртуальные
сети VPN (Virtual Private Network). Поясняется главное свойство сети
VPN — туннелирование. Анализируются варианты построения виртуальных защищенных каналов. Рассматриваются варианты архитектуры
сетей VPN, и приводятся основные виды технической реализации VPN.
В главе 12 рассматривается организация защищенного удаленного
доступа, анализируются протоколы аутентификации и системы централизованного контроля удаленного доступа. Особое внимание уделяется
протоколу аутентификации Kerberos.
Глава 13 посвящена проблемам обнаружения и предотвращения
вторжений. Рассматриваются методы обнаружения и предотвращения
вторжений в корпоративные информационные системы, а также защита от распределенных атак.
В главе 14 описываются средства защиты от вредоносных программ
и спама. Приводится классификация вредоносных программ. Рассматриваются сигнатурный анализ и проактивные методы обнаружения ви

Предисловие
русов и других вредоносных программ. Описывается защита корпоративной системы от вредоносных программ.
×асть IV «Управление информаöионной безопасностью» объединяет
следующие главы:
 глава 15 «Управление средствами обеспечения информационной
безопасности»;
 глава 16 «Стандарты информационной безопасности».
В главе 15 рассматриваются методы управления средствами защиты
корпоративной информации. Сформулированы задачи управления системой информационной безопасности масштаба предприятия. Анализируются варианты архитектуры управления средствами безопасности.
Особое внимание уделяется перспективной архитектуре централизованного управления безопасностью на базе глобальной и локальной политик безопасности. Приводится обзор современных систем управления
информационной безопасностью.
Глава 16 посвящена описанию стандартов информационной безопасности. Рассматриваются основные международные стандарты информационной безопасности. Даны краткие описания популярных стандартов
информационной безопасности для Интернета. Описываются отечественные стандарты безопасности информационных технологий.
Материал книги базируется только на открытых публикациях в Интернете, отечественной и зарубежной печати. В основу книги положены материалы лекций, читаемых автором в Московском государственном институте электронной техники.
Автор заранее благодарен читателям, которые пришлют ему свои замечания и пожелания по адресу shanico@mail.ru.

Список сокращений
3-DES (Triple Data Encryption Standard) — алгоритм тройного шифрования,
разновидность алгоритма DES.
ACK (Acknowledgement) — подтверждение.
AES (Advanced Encryption Standard) — американский стандарт шифрования
данных.
AH (Authentication Header) — аутентифицирующий заголовок в IPSec.
AP (Access Point) — точка доступа — коммуникационный узел для пользователей или беспроводное устройство.
AS (Authentication Server) — сервер аутентификации.
ASA (Adaptive Security Algorithm) — алгоритм адаптивной безопасности.
B2B (Business-to-Business) — схема бизнес—бизнес: модель ведения бизнеса
в Интернете на уровне компаний.
B2C (Business-to-Consumer) — схема бизнес—потребитель: розничная продажа товаров и услуг частным лицам через Интернет.
CA (Certification Authority) — центр сертификации.
CEK (Content Encryption Key) — ключ шифрования данных.
CHAP (Challenge-Handshake Authentication Protocol) — протокол аутентификации на основе процедуры запрос—отклик.
CRL (Certificate Revocation List) — cписок аннулированных сертификатов.
DDoS (Distributed Denial of Service) — распределенная атака отказа в обслуживании.
DES (Data Encryption Standard) — бывший стандарт шифрования данных
США.
DH (Diffie — Hellman) — Диффи — Хеллман.
DHCP (Dynamic Host Configuration Protocol) — протокол динамической
конфигурации хостов.
DMZ (Demilitarized Zone) — демилитаризованная зона, безопасная зона
сети.
DNS (Domain Name Server) — служба имен доменов.

Список сокращений
DOI (Domain of Interpretation) — область интерпретации.
DoS (Denial of Service) — атака отказа в обслуживании.
DSSS (Direct Sequence Spread Spectrum) — распределенный спектр с прямой последовательностью.
EAP (Extensible Authentification Protocol) — расширяемый протокол аутентификации.
ECC (Elliptic Curve Cryptography) — криптография эллиптических кривых.
EE (End Entity) — конечный пользователь.
EEPROM (Electrically Erasable Programmable Read-only Memory) — электрически программируемая память только для чтения данных.
ESP (Encapsulated Security Payload) — встроенная полезная нагрузка безопасности для IPSec.
FHSS (Frequency Hopping Spread Spectrum) — распределенный спектр co
скачками по частотам.
FTP (File Transfer Protocol) — протокол передачи файлов.
GPS (Global Positioning System) — система глобального позиционирования.
GSP (Global Security Policy) — глобальная политика безопасности для всей
VPN.
HMAC (Hashing for Message Authentication) — аутентификация сообщений
с хэшированием по ключам.
HTTP (HyperText Transfer Protocol) — протокол передачи гипертекстовых
файлов.
ICMP (Internet Control Message Protocol) — протокол управляющих сообщений в сети Интернет.
ICV (Integrity Check Value) — значение проверки целостности.
IDS (Intrusion Detection System) — система определения вторжений.
IEEE (Institute of Electrical and Electronics Engineers) — Институт инженеров по электротехнике и радиоэлектронике.
IEEE 802.11 — группа разработки стандартов в IEEE, цель которой — выпуск стандартов беспроводных локальных сетей LAN.
IKE (Internet Key Exchange) — протокол обмена ключами в Интернете.
IP (Internet Protocol) — интернет-протокол межсетевого обмена данными.
IPS (Intrusion Prevention System) — система предотвращения вторжений.
IPSec (Internet Security Protocol) — интернет-протокол безопасного межсетевого обмена.

Список сокращений
9
IPv4 (Internet Protocol, version 4) — интернет-протокол межсетевого обмена, версия 4.
IPv6 (Internet Protocol, version 6) — интернет-протокол межсетевого обмена, версия 6.
ISAKMP (Internet Security Association and Key Management Protocol) — протокол безопасных ассоциаций и управления ключами Интернета.
ISDN (Integrated Services Digital Network) — цифровые сети с интегральными услугами.
ISO (International Standards Organization) — Международная организация
по стандартизации.
ISP (Internet Service Provider) — поставщик услуг Интернета.
IT (Information Technology) — информационная технология.
KEK (Key-Encryption Key) — ключ для шифрования ключей.
KS (Kerberos Server) — сервер системы Kerberos.
L2F (Layer-2 Forwarding) — протокол передачи данных второго (канального) уровня.
L2TP (Layer-2 Tunneling Protocol) — протокол туннелирования данных второго (канального) уровня.
LAC (L2TP Access Concentrator) — концентратор доступа L2TP.
LAN (Local Access Network) — локальная сеть.
LCP (Link Control Protocol) — протокол управления соединением.
LDAP (Lightweight Directory Access Protocol) — облегченный протокол доступа к каталогам.
LNS (L2TP Network Server) — сетевой сервер L2TP.
LSP (Local Security Policy) — локальная политика безопасности (для клиента).
MAC (Media Access Control) — управление доступом к среде.
MAC (Message Authentication Code) — код аутентификации сообщения.
MAN (Metropolitan Area Network) — городская сеть.
MD (Message Digest) — дайджест сообщения.
MIB (Management Information Base) — стандарт базы данных для управления сетью.
MIF (Management Information File/Format) — формат для файлов управляющей информации.
MITM (Man In The Middle) — сетевая атака «человек-в-середине».

Список сокращений
MTU (Maximum Transmission Unit) — максимальный размер передаваемого
блока.
NAK (Negative Acknowledgement) — подтверждение отказа.
NAS (Network Access Server) — сервер доступа к сети.
NAT (Network Address Translation) — трансляция сетевых адресов.
NCP (Network Control Protocol) — протокол управления сетью.
NIDS (Network-based Intrusion Detection System) — система обнаружения
вторжений в сеть.
NNM (Network Node Manager) — система сетевого управления.
OCSP (Online Certificate Status Protocol) — протокол статуса текущего сертификата.
OSI (Open Systems Interconnection) — взаимодействие открытых систем.
OTK (One-Time Key) — одноразовый ключ.
OTP (One-Time Password) — одноразовый пароль.
PAP (Password Authentication Protocol) — протокол аутентификации по паролю.
PDA (Personal Digital Assistant) — карманный персональный компьютер,
КПК.
PGP (Pretty Good Privacy) — достаточно хорошая секретность.
PKD (Public Key Directory) — каталог открытых ключей.
PKI (Public Key Infrastructure) — инфраструктура управления открытыми
ключами.
PPP (Point-to-Point Protocol) — протокол двухточечного соединения.
PPTP (Point-to-Point Tunneling Protocol) — протокол туннелирования для
двухточечного соединения.
QOS (Quality of Service) — качество предоставляемых услуг.
RADIUS (Remote Authentication Dial-In User Service) — система удаленной
аутентификации пользователей по коммутируемым линиям.
RAS (Remote Access Service) — служба удаленного доступа.
RC4 (Rivest Cipher 4) — потоковый шифр, разработанный Роном Райвестом и используемый в базовом стандарте IEEE 802.11.
RFC (Request For Comments) — запрос комментариев.
RFID (Radio Frequency Identifier) — радиочастотный идентификатор.
RPC (Remote Procedure Call) — удаленный вызов процедуры.
RSA (Rivest—Shamir—Adleman) — Райвест—Шамир—Эйдельман.