Основы информационной безопасности
Покупка
Основная коллекция
Издательство:
Инфра-Инженерия
Автор:
Зенков Андрей Вячеславович
Год издания: 2022
Кол-во страниц: 104
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-9729-0864-6
Артикул: 788121.02.99
Даны базовые понятия, связанные с информационной безопасностью и защитой информации. Изложены математические основы некоторых криптографических алгоритмов. Включены упражнения, материалы для проведения практических занятий и постановка задач для лабораторных работ.
Для студентов IT-специальностей по направлениям «Бизнес-информатика», «Информатика и вычислительная техника», «Фундаментальная информатика и информационные технологии».
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 02.03.02: Фундаментальная информатика и информационные технологии
- 09.03.01: Информатика и вычислительная техника
- 38.03.05: Бизнес-информатика
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
А. В. ЗЕНКОВ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебное пособие Москва Вологда «Инфра-Инженерия» 2022
УДК 681.3.06 ББК 32.973 З-56 Рецензенты: доктор педагогических наук, профессор кафедры информационных технологий и статистики Уральского государственного экономического университета Плещёв Владимир Васильевич; кандидат физико-математических наук, доцент кафедры шахматного искусства и компьютерной математики Уральского государственного экономического университета Мельников Юрий Борисович Зенков, А. В. З-56 Основы информационной безопасности : учебное пособие / А. В. Зенков. – Москва ; Вологда : Инфра-Инженерия, 2022. – 104 с. : ил., табл. ISBN 978-5-9729-0864-6 Даны базовые понятия, связанные с информационной безопасностью и защитой информации. Изложены математические основы некоторых криптографических алгоритмов. Включены упражнения, материалы для проведения практических занятий и постановка задач для лабораторных работ. Для студентов IT-специальностей по направлениям «Бизнес-информатика», «Информатика и вычислительная техника», «Фундаментальная информатика и информационные технологии». УДК 681.3.06 ББК 32.973 На обложке приведена таблица Виженера (для латинского алфавита) в том виде, в котором она была опубликована в знаменитом трактате «Traicté des Chiffres ou Secrètes Manières d’Escrire» Блеза де Виженера (1586 г.). Шифр Виженера является классическим представителем симметричных шифров и подробно рассматривается в настоящем учебном пособии. Трактат Виженера находится в открытом доступе по адресу https://gallica.bnf.fr/ark:/12148/bpt6k73371g.image ISBN 978-5-9729-0864-6 Зенков А. В., 2022 Издательство «Инфра-Инженерия», 2022 Оформление. Издательство «Инфра-Инженерия», 2022
Предисловие Учебное пособие соответствует односеместровому (15 недель, два лекционных часа в неделю на протяжении полусеместра; практические занятия и лабораторные работы в течение всего семестра) курсу «Информационная безопасность и защита информации», читавшемуся автором в разные годы в Уральском федеральном университете и Уральском государственном экономическом университете, в зависимости от учебного плана, студентам II – IV курса бакалавриата по направлениям «Бизнес-информатика», «Информатика и вычислительная техника», «Фундаментальная информатика и информационные технологии». Этот учебный предмет имеет три характерные особенности: во-первых, он отличается чрезвычайно широким охватом тем – от геополитики и юриспруденции до алгебры и теории чисел; невозможно скольконибудь подробно рассмотреть все вопросы, входящие в образовательный стандарт (и не найдётся преподавателя, которому это было бы по силам); во-вторых, предмет отличается быстрым поступлением нового фактического материала, поэтому акцент сознательно сделан на принципах, а не на технических и программных подробностях (которые, вероятно, успели бы устареть к моменту выхода книги в свет); в-третьих, предмет (в вышеуказанном объёме часов), конечно, носит общеобразовательный характер, и ожидать от него узконаправленных практических рекомендаций (которые должны последовать в специальных курсах), не следует. Цель книги – представить читателю вводный обзор тем, относящихся к учебному предмету «Информационная безопасность и защита информации», сознательно сделав акцент на вопросах, допускающих не утомительное механическое перечисление «угроз», «уязвимостей» и «мероприятий» суконным языком (что делает очень скучными многие книги по информационной безопасности), а связное логически последовательное изложение. Вопросы, и без того знакомые IT-студентам (классификация вирусов, антивирусные программы, …), затронуты лишь вскользь. Автор убеждён, что студент IT-направления не может не обладать хотя бы элементарными навыками программирования на каком-нибудь алгоритмическом языке1. Из трёх тем лабораторных работ (по криптографии), предлагаемых автором студентам по курсу Информационной безопасности, две, большей частью, направлены именно на развитие программистских навыков. Современная криптография требует изощрённого знания глубоких разделов математики, не 1 Увы, даже это скромное допущение далеко не всегда оправдывается. 3
достижимого во вводном общеобразовательном курсе, поэтому не должен удивлять выбор старых классических разделов криптографии в качестве тем двух лабораторных работ. Третья тема связана с освоением одного популярного криптографического пакета, и выполнение соответствующей лабораторной работы является тем безусловным минимумом, который позволяет получить положительную оценку по предмету тем студентам, которые так и не освоили программирование. В результате освоения дисциплины студент должен: знать • базовые понятия, связанные с информационной безопасностью и защитой информации; • основные правовые акты, касающиеся информационной безопасности и защиты информации; • некоторые элементы криптографии; • математические основы некоторых криптографических алгоритмов; уметь • делать осмысленный выбор между продуктами для защиты информации; • учитывать в профессиональной деятельности рекомендации, связанные с информационной безопасностью и защитой информации; владеть • навыками защищённого документооборота с использованием программы PGP; • навыками программной реализации некоторых криптографических алгоритмов. Литература по информационной безопасности и защите информации неисчерпаема. В конце книги приведены ссылки на некоторые пособия, которые либо повлияли на содержание настоящей книги, либо рекомендуются для более глубокого знакомства с предметом. Автор просит присылать сообщения о найденных недостатках по адресу zenkow#mail.ru 4
ГЛАВА 1. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ Информационная безопасность – это защищенность информации от незаконного получения, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Источниками этих воздействий могут быть проникновение злоумышленников, ошибки персонала, выход из строя аппаратных и программных средств, стихийные бедствия (землетрясение, ураган, пожар и т. п.). Защита информации – это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию2. Цели защиты информации: 1) целостность данных; 2) конфиденциальность данных; 3) доступность данных. Целостность данных гарантирует, что они не были изменены, подменены или уничтожены в результате злонамеренных действий или случайностей. Обеспечение целостности данных – одна из самых сложных задач защиты информации. Конфиденциальность данных – это статус, предоставленный данным и определяющий требуемую степень их защиты. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизацию) субъектам информационной системы (пользователям, процессам, программам). Примеры конфиденциальных данных: личная информация пользователей; учётные записи (имена и пароли); данные о кредитных картах; бухгалтерские сведения. Доступность данных. Условием работы с данными является доступ пользователя к ним. Под доступом к информации понимаются ознакомление с ней и её обработка, в частности, копирование, модификация, уничтожение. Различают санкционированный и несанкционированный доступ. Санкционированный доступ – это доступ в соответствии с установленными правилами разграничения доступа. Несанкционированный доступ нарушает эти 2 ГОСТ Р 50922-2006. Защита информации. Основные термины и определения 5
правила. Он является наиболее распространённым видом компьютерных нарушений. Угрозы и препятствия на пути к достижению безопасности информации можно разделить на две группы: «технические угрозы» и «человеческий фактор». Технические угрозы К основным техническим угрозам относятся: ошибки в программном обеспечении; сетевые атаки, в т. ч. DoS- и DDoS-атаки; компьютерные вирусы, черви, троянские кони; анализаторы протоколов и прослушивающие программы («снифферы» – от англ. sniff: чуять, принюхиваться); технические средства съёма информации. Ошибки в программном обеспечении (ПО) могут приводить к тяжёлым последствиям, таким, как обретение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование компьютера в качестве плацдарма для атак и т. д.). Обычно такие ошибки устраняются с помощью пакетов обновлений и «заплаток» (patch) – выпускаемых производителем ПО кодов для оперативного исправления или нейтрализации ошибок. DoS-атаки (Denial of Service – отказ в обслуживании) – это атаки, направленные на выведение сети или сервера из работоспособного состояния. Целью DoS-атаки является создание таких условий работы сайта, при которых пользователь не может получить к нему доступ. Чаще всего злоумышленники добиваются этого, забрасывая сайт огромным количеством «мусорных» запросов, и пользователи уже не могут пробиться к сайту: правомерные запросы тонут в «шуме». При DoS-атаках могут использоваться ошибки в ПО или законные операции, но в большом масштабе – например, установка с атакуемым сервером большого количества соединений, обработка которых потребует всех ресурсов сервера с невозможностью обслуживания добросовестных пользователей. Несмотря на то, что методы проведения DoS-атак хорошо известны, противостоять такой атаке удается не всегда, поскольку быстро и точно отделить «мусорные» запросы от правомерных трудно. Принцип DoS-атак: «используй в дурных целях хороший контент» («legitimate content but bad intent»). DDoS-атаки (Distributed Denial of Service – распределённый DoS) отличаются от DoS наличием у атакующего большого числа компьютеров, предварительно захваченных им в качестве инструмента для DDoS-атаки. Такие атаки перегружают канал связи и мешают прохождению полезной информации. 6
DDoS-атака опирается на сеть компьютеров-зомби или botnet. Компьютер заражается троянской программой чаще всего при неосторожном обращении с электронной почтой, например, открытии вложений в письмо, или при посещении зараженного сайта, когда злоумышленник может, используя уязвимости браузера или операционной системы, установить на компьютер пользователя вредоносную программу. Компьютерные вирусы и троянские кони – старая категория опасностей; но если прежде эти опасности заключались в разрушительных функциях, то в последние годы на первое место выходят функции удалённого управления, похищения информации и использования заражённой системы для дальнейшего распространения вредоносной программы, для участия в DDoS-атаках. Анализаторы протоколов и снифферы. К ним относятся аппаратные и программные средства перехвата передаваемых по сети данных. Технические средства съёма информации. Сюда относятся клавиатурные жучки, звукозаписывающие устройства и т. п. Человеческий фактор Проблемными факторами, так или иначе связанными с людьми, являются: уволенные или недовольные сотрудники; промышленный шпионаж; халатность; низкая квалификация. Уволенные, недовольные сотрудники – самая опасная группа, если они имели доступ к конфиденциальной информации. Обиженный системный администратор опасен вдвойне, ибо может оставить «чёрные ходы» для последующего злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д. Промышленный шпионаж. Проблема весьма актуальна, хотя для получения информации конкурирующая фирма может найти пути более дешёвые, чем взлом хорошо защищённой сети. Источником угрозы могут быть те же недовольные сотрудники, шпионящие для конкурента. Халатность – самый распространённый порок, выражающийся, например, в неустановке пакетов обновлений, неизменённых настройках по умолчанию и т. п. Низкая квалификация пользователей может обесценить трудоёмкие и дорогостоящие мероприятия по защите информации. Специально поставленными «невинными» вопросами можно выведать у низкоквалифицированного или беспечного пользователя любые, в т. ч. и конфиденциальные сведения об информационной системе предприятия, а предостережение об опасности запуска исполняемых файлов, вложенных в E-mail, по-прежнему актуально… 7
Никакие аппаратные, программные и любые другие решения не могут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. Минимизировать риск потерь возможно лишь при комплексном подходе к вопросам безопасности. Приведём некоторый (неисчерпывающий) список мер, направленных на обеспечение информационной безопасности и защиты информации. Технические меры: защита от несанкционированного доступа к информационной системе; резервирование особо важных компьютерных подсистем; организация вычислительных сетей с возможностью перераспределения ресурсов при нарушении в работе отдельных звеньев; установка средств обнаружения и тушения пожара, обнаружения утечек воды; принятие конструкционных мер защиты от хищений, диверсий, взрывов; установка резервного электропитания; оснащение помещений замками, сигнализацией и др. Организационные меры: охрана вычислительного центра (ВЦ); тщательный подбор персонала; недопущение ведения важных работ одним человеком; наличие плана восстановления работоспособности ВЦ после выхода его из строя; обслуживание ВЦ сторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра; выбор места расположения центра и т. п. К правовым мерам относятся разработка норм, устанавливающих ответственность за компьютерные преступления, защита авторских прав программистов, а также совершенствование законодательства и судопроизводства. К правовым мерам относятся и общественный контроль за разработчиками компьютерных систем и принятие международных договоров, регламентирующих эту деятельность. Вопросы для самопроверки 1) Каковы цели защиты информации" 2) В чём состоит целостность данных" 3) В чём состоит конфиденциальность данных" 4) В чём состоит доступность данных" 5) Приведите примеры технических угроз информационной безопасности. 6) Какие проблемы для информационной безопасности порождает человеческий фактор" 7) Приведите примеры технических средств обеспечения информационной безопасности и защиты информации. 8) Назовите организационные меры обеспечения информационной безопасности и защиты информации. Обоснуйте целесообразность этих мер. 9) Назовите правовые меры обеспечения информационной безопасности и защиты информации. 8
ГЛАВА 2. ПРАВОВЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ Рассматривая законодательные акты, действующие в Российской федерации и связанные с информационной безопасностью, следует помнить, что правоприменительная практика в нашей стране традиционно далека от буквы и духа законов; кроме того, обилие запретительных и ужесточающих законодательных новелл в последнее время (особенно, в сфере информационной безопасности) может сделать данный обзор неактуальным уже к моменту публикации книги. Начнём с Международного пакта о гражданских и политических правах, принятого в 1966 г. и вступившего в силу в 1976 г. Это договор обязателен к исполнению в 168 государствах-участниках (в том числе в России). Процитируем статьи, имеющие отношение к информационным правам и свободам: Статья 17 1. Никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию. 2. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств. Статья 18 1. Каждый человек имеет право на свободу мысли, совести и религии. Это право включает свободу иметь или принимать религию или убеждения по своему выбору и свободу исповедовать свою религию и убеждения как единолично, так и сообща с другими, публичным или частным порядком, в отправлении культа, выполнении религиозных и ритуальных обрядов и учении. 2. Никто не должен подвергаться принуждению, умаляющему его свободу иметь или принимать религию или убеждения по своему выбору. Статья 19 1. Каждый человек имеет право беспрепятственно придерживаться своих мнений. 2. Каждый человек имеет право на свободное выражение своего мнения; это право включает свободу искать, получать и распространять всякого рода информацию и идеи, независимо от государственных границ, устно, письменно или посредством печати или художественных форм выражения, или иными способами по своему выбору. 3. Пользование предусмотренными в пункте 2 настоящей статьи правами налагает особые обязанности и особую ответственность. Оно может быть, сле 9
довательно, сопряжено с некоторыми ограничениями, которые, однако, должны быть установлены законом и являться необходимыми: a) для уважения прав и репутации других лиц; б) для охраны государственной безопасности, общественного порядка, здоровья или нравственности населения. Статья 20 1. Всякая пропаганда войны должна быть запрещена законом. 2. Всякое выступление в пользу национальной, расовой или религиозной ненависти, представляющее собой подстрекательство к дискриминации, вражде или насилию, должно быть запрещено законом. Статья 21 Признается право на мирные собрания. Пользование этим правом не подлежит никаким ограничениям, кроме тех, которые налагаются в соответствии с законом и которые необходимы в демократическом обществе в интересах государственной или общественной безопасности, общественного порядка, охраны здоровья и нравственности населения или защиты прав и свобод других лиц. Информационные права и свободы закреплены в действующей Конституции РФ 1993 г.: Статья 13 1. В Российской Федерации признаётся идеологическое многообразие. Статья 15 1. Конституция Российской Федерации имеет высшую юридическую силу, прямое действие и применяется на всей территории Российской Федерации. Законы и иные правовые акты, принимаемые в Российской Федерации, не должны противоречить Конституции Российской Федерации. 3. Законы подлежат официальному опубликованию. Неопубликованные законы не применяются. Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения. 4. Общепризнанные принципы и нормы международного права и международные до-говоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора. Статья 16 1. Положения настоящей главы Конституции составляют основы конституционного строя Российской Федерации и не могут быть изменены иначе как в порядке, установленном настоящей Конституцией. 10