Безопасность и управление доступом в информационных системах
Покупка
Основная коллекция
Издательство:
Издательство ФОРУМ
Год издания: 2022
Кол-во страниц: 368
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
Среднее профессиональное образование
ISBN: 978-5-91134-360-6
ISBN-онлайн: 978-5-16-104336-3
Артикул: 114700.11.01
В пособии предложены для изучения подходы, базовая концепция, принципы построения систем безопасности и оценки уровня безопасности информации в информационных системах, сетях и автоматизированных системах управления. С этих позиций рассматриваются информация и условия ее обработки в информационных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, средства и системы управления в условиях обеспечения безопасности. Цель учебного пособия — показать будущему специалисту возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами.
Для студентов среднего профессионального образования, специалистов в области защиты и безопасности информации в информационных и автоматизированных системах ее обработки и управления.
Может быть рекомендована разработчикам, пользователям и владельцам информационных систем, государственным и военным организациям, различным финансовым и корпоративным структурам.
Тематика:
ББК:
УДК:
ОКСО:
- Среднее профессиональное образование
- 10.02.01: Организация и технология защиты информации
- 10.02.02: Информационная безопасность телекоммуникационных систем
- 10.02.03: Информационная безопасность автоматизированных систем
- 10.02.04: Обеспечение информационной безопасности телекоммуникационных систем
- 10.02.05: Обеспечение информационной безопасности автоматизированных систем
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
-¬¡ ©¡¡«¬ª°¡--¤ª©§¸©ª¡ª¬£ª©¤¡ -ÁÌÄÛÊÍÉʾ¼É¼¾¿ÊÀÏ А.В. Васильков, И.А. Васильков БЕЗОПАСНОСТЬ И УПРАВЛЕНИЕ ДОСТУПОМ В ИНФОРМАЦИОННЫХ СИСТЕМАХ УЧЕБНОЕ ПОСОБИЕ Рекомендовано Методическим советом Учебно-методического центра по профессиональному образованию Департамента образования города Москвы в качестве учебного пособия для студентов образовательных учреждений среднего профессионального образования Москва 2022 ИНФРА-М
УДК 004.056.5(075.32) ББК 32.973-018.2я723 В19 Р е ц е н з е н т ы: кандидат технических наук, ведущий специалист отдела ПД ИТР и технической защиты информации ОАО «ОКБ Сухого» О.Г. Пикалов; кандидат педагогических наук, руководитель отдела информационных и образовательных технологий Учебно-методического центра по профессиональному образовванию Департамента образования города Москвы Н.Л. Демкина Васильков А.В. В19 Безопасность и управление доступом в информационных системах : учебное пособие / А.В. Васильков, И.А. Васильков. — Москва : ФОРУМ : ИНФРА-М, 2022. — 368 с. — (Среднее профессиональное образование). ISBN 978-5-91134-360-6 (ФОРУМ) ISBN 978-5-16-012933-4 (ИНФРА-М, print) ISBN 978-5-16-104336-3 (ИНФРА-М, online) В пособии предложены для изучения подходы, базовая концепция, принципы построения систем безопасности и оценки уровня безопасности информации в информационных системах, сетях и автоматизированных системах управления. С этих позиций рассматриваются информация и условия ее обработки в информационных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, средства и системы управления в условиях обеспечения безопасности. Цель учебного пособия — показать будущему специалисту возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами. Для студентов среднего профессионального образования и бакалавров, специалистов в области защиты и безопасности информации в информационных и автоматизированных системах ее обработки и управления. Может быть рекомендована разработчикам, пользователям и владельцам информационных систем, государственным и военным организациям, различным финансовым и корпоративным структурам. УДК 004.056.5(075.32) ББК 32.973-018.2я723 ISBN 978-5-91134-360-6 (ФОРУМ) ISBN 978-5-16-012933-4 (ИНФРА-М, print) ISBN 978-5-16-104336-3 (ИНФРА-М, online) © Васильков А.В., Васильков И.А., 2009 © ФОРУМ, 2009
Предисловие Развитие применения компьютерной техники и информационных систем в экономике, управлении, связи, научных исследованиях, образовании, сфере услуг, коммерческой, финансовой и других сферах человеческой деятельности является определяющим направлением информатизации и развития общества в целом. Эффект, достигаемый за счет применения компьютерной техники, возрастает при увеличении масштабов обработки информации, т. е. концентрации по возможности бîльших объемов информации и процессов их обработки в рамках одной технической системы, включая территориально рассредоточенные компьютерные сети и автоматизированные системы управления. Масштабы и сферы применения этой техники стали таковы, что наряду с проблемами надежности и устойчивости ее функционирования возникает проблема обеспечения безопасности циркулирующей в ней информации. Безопасность информации — это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающихся в утечке, модификации или утрате информации, представляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного несанкционированного доступа человека-нарушителя (злоумышленника). Утечка информации заключается в раскрытии какой-либо тайны: государственной, военной, служебной, коммерческой или личной (персональной). Защите должна подлежать не только секретная информация. Модификация несекретной информации может привести к утечке секретных либо к не обнаруженному получателем приему ложной информации. Разрушение или исчезновение накопленной с большим трудом информации может привести к невосполнимой ее утрате.
Предисловие В зависимости от сферы и масштабов применения той или иной системы обработки информации потеря или утечка ее может привести к последствиям различной тяжести: от невинных шуток до исключительно больших потерь экономического и политического характера. В связи с высокими темпами информатизации общества проблема безопасности информации весьма актуальна и останется таковой навсегда. Специалисты в данной области без работы не останутся. Началом работы по построению системы информационной безопасности и управлением доступом к информации в любой организации начинается с разработки концепции. Ключевыми моментами в разработке концепции являются четкость и ясность постановки задачи. В первую очередь это касается определений объекта и предмета защиты, а также потенциальных угроз. Предметом защиты принято считать «информационные ресурсы». Это понятие имеет множественный характер и представляет собой множество предметов защиты. Границы этого множества никем и ничем не определены и устанавливаются разработчиком информационной системы по своему усмотрению с учетом рекомендаций специалистов. Далее определяется множество потенциальных угроз этим ресурсам и адекватное им подобранное на основе экспертных оценок множество средств защиты, которые в совокупности должны образовать в автоматизированной системе и вокруг нее некую защищенную среду обработки информации. Понятие информационный ресурс более емкое и включает в себя понятие информации. Поэтому специалисту, разрабатывающему и реализующему данную систему, надо постараться не отодвинуть в тень основной предмет защиты — информацию. Таким образом основными положениями при разработке концепции обеспечения безопасности информации и управления доступом в информационных системах организации должны стать следующие: выбор информации в качестве предмета защиты (ресурсы тоже защищаются, но только в необходимых случаях); использование в расчетах прочности защиты времени жизни информации; использование в построении защиты классификации автоматизированных систем по видам, принципам построения и обработки информации;
Предисловие 5 применение различных подходов к случайным и преднамеренным угрозам информации; приложение известной стратегии и тактики защиты любого предмета к защите информации в компьютерных системах; сведение всех потенциальных угроз информации к трем событиям — утечке, модификации и утрате; разработка и использование в постановке задачи простой модели ожидаемого поведения нарушителя и его классификации; определение в информационных системах возможных каналов несанкционированного доступа к информации со стороны нарушителя того или иного класса; разработка расчетных соотношений для построения средств и системы защиты, перекрывающих возможные каналы несанкционированного доступа к информации, в целях создания замкнутого контура защиты с гарантированным уровнем его прочности. Следуя перечисленным положениям, специалист независимо от того, на какой компьютерной платформе он работает и какие инструментальные ресурсы у него в наличии, получит: базис для дальнейшей деятельности, основанный на единой для всех видов компьютерных систем теории безопасности информации; возможность создания в заданной компьютерной системе встроенной автоматизированной подсистемы безопасности информации в виде единого механизма с гарантированными количественными и качественными характеристиками; возможность получения с позиций безопасности информации оптимальных требований к аппаратным и программным средствам компьютерных систем; возможность включения типовых требований по безопасности информации в техническое задание на разработку компьютерной системы; возможность разработки четких и ясных руководящих внутренних регламентирующих и нормативных документов при создании компьютерных систем на основе государственных нормативных документов по безопасности информации и других вышестоящих органов. В данном учебном пособии последовательно показывается, каким образом предполагается получить указанные результаты.
Предисловие В разделе I рассматривается информация как предмет защиты, ее свойства, виды и формы представления в автоматизированных системах ее обработки и управления. С позиций безопасности информации приводятся классификация, состав технических средств и обобщенные свойства систем обработки информации как объектов, содержащих предмет защиты. Систематизируются потенциальные угрозы безопасности информации в информационных системах и их компонентах автоматизации и подводится база под постановку задачи. В разделе II рассматриваются современные методы защиты информации в информационных системах и их компонентах автоматизации, изложенные в определенной последовательности, без которых пособие было бы неполным. В разделе III предлагаются концептуальные основы и основные принципы обеспечения безопасности информации в информационных системах и их компонентах автоматизации. Проводится более строгий анализ типовых информационных систем и средств автоматизации как объектов защиты информации: комплексов средств автоматизации обработки информации, информационных сетей и глобальных автоматизированных систем управления; производится постановка задачи и на элементарных моделях выводятся расчетные соотношения и концептуальные основы для построения в них систем безопасности информации. В разделе IV предлагаются принципы построения системы безопасности в комплексах средств автоматизации обработки информации на основе рассмотренной концепции. В разделе V излагаются принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления, построенных на их базе. В разделе VI рассматривается оценка уровня безопасности информации в автоматизированных системах обработки информации и управления и предложены основные методы решения. Учитывая особенности развития компьютерной техники и принципов построения информационных систем с комплексами автоматизации на основе получивших широкое распространение персональных компьютеров и локальных компьютерных сетей, в учебном пособии показывается, что к ним также применимы рассмотренные концепция и технология обеспечения безопасности информации.
Предисловие 7 В разделе VII рассмотрены принципы построения и методы оценки эффективности системы безопасности информации в подобных системах. В разделе VIII рассмотрены кратко основные нормативные документы со ссылками на их библиографические данные организационно-правового обеспечения информационной безопасности. При написании данного учебного пособия был выдержан ряд принципов. Во-первых, это четкое ограничение предмета изложения. Поскольку это учебное пособие по дисциплине «Безопасность и управление доступом в информационных системах», то изложение материала посвящено прежде всего фундаментальным вопросам — концепции, принципам построения и методам оценки ожидаемой эффективности защиты информации в информационных системах и автоматизированных системах обработки информации и управления, овладев которыми, можно построить достаточно эффективные и экономичные системы ее безопасности. Во-вторых, пособие не рассчитано на то, чтобы служить справочником по существующим средствам информационной безопасности, предлагаемым конкретными фирмами-поставщиками. Упоминаемые по ходу изложения материала отдельные средства защиты приведены для примера и при необходимости могут быть заменены другими, более совершенными, так как данные средства и технологии развиваются достаточно быстро и к моменту выхода пособия вполне могут оказаться морально устаревшими. Третий принцип касается уровня изложения материала. Поскольку учебное пособие рассчитано на студентов среднего профессионального образования и бакалавров, в пособии выдерживается метод изложения, доступный обеим аудиториям. От студента не требуется знания продвинутых специальных дисциплин в области компьютерной техники и программирования, но необходимые предваряющие общеспециальные дисциплины желательны. Учебное пособие не является свободным экскурсом на актуальную тему. В-четвертых, преследовался принцип — при сохранении фундаментальности излагаемых вопросов, касающихся работы с информацией вообще и с информационными системами в частности, сохранить практическую направленность материала. При
Предисловие ведено достаточное количество табличного материала, необходимого для быстрого проектирования, реализации системы информационной безопасности и последующей ее эксплуатации. При составлении плана пособия не включены правовые вопросы, в принципе очень важные, но достаточно подробно рассмотренные в пособии авторов [3], выпущенном в этом же издательстве. Законодательные меры упоминаются в соответствующих аспектах и технологиях лишь как средство предупреждения и сдерживания потенциального нарушителя, а также как основа для регламентации действий. Цели данного учебного пособия: дать студентам соответствующих специальностей, как будущим специалистам, так и заказчикам их работ и владельцам информационных систем и автоматизированных систем обработки информации и управления, практические подходы к решению проблем, связанных с безопасностью информации, с построением системы управления доступом, и оказать им помощь в поиске оптимальных решений. Достижение целей основывается на единстве теории, практических принципов построения, методов расчета и оценки ожидаемой эффективности системы безопасности информации в информационных системах. Данное учебное пособие рассчитано прежде всего на студентов среднего профессионального образования и бакалавров вузов, но будет полезно студентам других соответствующих специальностей, а также специалистам и всем интересующимся данным комплексом проблем.
Введение Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш: материальный, политический, военный и т. д. В период существования примитивных носителей информации ее защита осуществлялась в основном организационными методами, которые включали ограничение и разграничение доступа, определенные меры наказания за разглашение тайны. По свидетельству Геродота, уже в V в. до н. э. использовалось преобразование информации методом кодирования. Коды появились в глубокой древности в виде криптограмм (по-гречески — тайнопись). Спартанцы имели специальный механический прибор, с помощью которого важные сообщения можно было писать особым способом, обеспечивающим сохранение тайны. Собственная секретная азбука была у Юлия Цезаря. В средние века и эпоху Возрождения над изобретением тайных шифров трудились многие выдающиеся люди, в их числе известный философ Френсис Бэкон, крупные математики — Франсуа Виет, Джироламо Кардано, Джон Валлис. С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т. д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки к доступу к ней посторонних лиц. С дальнейшим усложнением и широким распростране
Предисловие нием технических средств связи возросли возможности для преднамеренного доступа к информации. С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблема ее защиты приобретает еще большее значение. Этому способствовали: увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ (компьютеров) и других средств компьютерной техники; сосредоточение в единых базах информации различного назначения, принадлежности и формы представления; расширение круга пользователей, имеющих доступ к ресурсам вычислительной системы и находящимся в ней массивам информации; усложнение режимов функционирования технических средств вычислительной системы — широкое внедрение многопрограммного режима, режима разделения времени и реального времени; автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях; увеличение количества технических средств и связей в автоматизированных системах управления и обработки информации; появление персональных компьютеров, а затем интенсивного развития глобальной сети Интернет, расширяющих возможности не только пользователя, но и нарушителя. К настоящему времени и в самом человеческом обществе, и в технологии обработки информации произошли большие изменения, которые повлияли на саму суть проблемы защиты информации, безопасности и управления доступом. Индустрия переработки информации достигла глобального уровня. Появление возможности выхода в глобальную компьютерную сеть с домашнего компьютера, «электронных» денег, кредитных карточек создает еще бîльшую долю риска в сфере работы с информацией. Особую обеспокоенность представляет появление в рядах киберзлоумышленников и хулиганов высокоинтеллектуальных разработчиков, зачастую действующих от лица и во исполнение целей определенных организаций. С помощью телефона и персональных компьютеров, связанных с почти всеми крупными компьютерами экономики, науч