АКАДЕМИЯ БЮДЖЕТА И КАЗНАЧЕЙСТВА

МИНИСТЕРСТВА ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ

С.В.ПОЛПУДНИКОВ, В.А.ТРЕШНЕВСКАЯ, Г.В.ДЖИНЧАРАДЗЕ

Система безопасности и защита информации в экономических системах

Учебное пособие

по дисциплинам

«АВТОМАТИЗИРОВАННЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ»

И

«ИНФОРМАЦИОННЫЕ СИСТЕМЫ В ЭКОНОМИКЕ»

МОСКВА 2006

СОДЕРЖАНИЕ

Введение 4

Основные понятия и определения. 4

Основные виды угроз интересам коммерческого банка 6

Обеспечение безопасности информационных систем 9

Этапы создания системы безопасности 11

Системы контроля и управления доступом. 13

Структура и компоненты систем контроля и управления доступом. 13

Принцип функционирования системы контроля и управления доступом 16

Системы охраны периметров 17

Типы периметральных систем 18

Защита информации от утечки за счёт побочного электромагнитного излучения и наводок (ПЭМИН) 19

Криптографическая защита информации. 21

Принципы кодирования информации 21

Традиционная криптография 23

Основные понятия и терминология криптологии 24

Классификация криптографических систем 24

Тpебования к кpиптосистемам 26

Потоковое шифрование. Скремблеры. 26

Современные симметричные криптосистемы. 27

Криптография с открытым ключом 31

Комбинированные (гибридные) системы. 34

Стеганография 35

Идентификация и установление подлинности. 39

Объект идентификации и установления подлинности. 39

Идентификация и установление подлинности пользователя. 39

Идентификация и установление подлинности электронных документов – цифровая подпись. 46

Управление криптографическими ключами. 49

Управление ключами в симметричных криптосистемах. 49

Управление ключами в асимметричных системах. 53

Цифровые сертификаты 55

Защита от вредоносных программ 58

Вирусы 59

Сетевые черви 61

Троянские программы 61

Эволюция сетей - эволюция вирусов 63

Антивирусные средства 65

Сетевая безопасность. Методы и средства защиты от удаленных атак через сеть Internet. 66

Возможные атаки в сети. 66

Межсетевой экран 67

Фильтры пакетов 68

Шлюзы сеансового уровня 69

Шлюзы прикладного уровня 69

Прокси-сервер 70

Средства анализа защищенности 71

Сканирование 71

Зондирование 72

Проверка заголовков 72

Имитация атак 72

Краткий обзор брандмауэров 73

Outpost Firewall 73

Norton Personal Firewall 74

ZoneAlarm 74

Антихакер Касперского 74

Обеспечение безопасности электронных платежей через сеть Internet. 74

Основные методы защиты. 75

Литература 79

Приложение 1 81

«Кто владеет информацией, тот владеет миром»

Уинстон Черчилль

Введение

Вопрос – «Как защитить информацию?» - из раздела вечных в истории человечества. Потребность в сохранении тайны испытывал, наверно, еще наш первобытный предок, когда, завалив мамонта, пытался скрыть место удачной охоты от враждебного племени.

С тех пор много воды утекло. Из века в век люди искали эффективные приемы против информационного лома. Универсальным средством безопасности времен лагерного социализма был сакраментальный лозунг - «Не болтай!». В эпоху НТР железный лом, вскрывающий телекоммуникационные сети, принимает облик то «жучков» с УКВ приемником, то лазерного устройства, то компьютерного вируса. Сегодня безопасность информации стала заботой не только тех, кто отвечает за сохранность государственной тайны, но и тех, кто делает свой бизнес, руководит мелкими и крупными компаниями и банками. Информационная безопасность - не самоцель, а необходимая составляющая коммерческой деятельности, средство снижения рисков и экономических потерь.

Атака на базовую инфраструктуру страны, взлом системы безопасности корпорации, перехват управления коммуникационной сетью - эти сюжеты американских боевиков не столь уж далеки от действительности. Более того, в мире уже известен случай виртуального убийства. Сложным электронным приборам, к которым был подключен пациент в больничной палате, через компьютерную сеть была послана команда «убить!». И аппарат искусственного дыхания ее исполнил.

Слава богу, большинству российских людей такая смерть пока не грозит. Зато для баз данных и телекоммуникационных сетей самых разных компаний опасность атаки извне существует. Все новые и старые мутирующие старые информационные угрозы - оборотная сторона бурного процесса информатизации общества.

Разрозненных решений и аппаратно-программных средств защиты на рынке предостаточно. Нет стройного механизма их применения. Ощутимы пробелы в нормативно-правовой сфере, не выдерживающей темпа технологической гонки.

Приоритеты безопасности информационно-телекоммуникационного комплекса, правовая культура, уязвимые места, реальные угрозы, методы и средства противодействия им - эти вопросы рассматриваются в пособии.

Основные понятия и определения.

Информатизация является характерной чертой жизни современного общества. Новые информационные технологии активно внедряются во все сферы жизни. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит благополучие, а иногда и жизнь многих людей.

Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:

- резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

Введем и определим основные понятия безопасности информационных систем:

Информационная система (ИС) - это организационно упорядоченная совокупность

-информационных ресурсов (документы и массивы документов)

-информационных технологий (программного обеспечения, протоколов управления)

-информационной инфраструктуры (средства вычислительной техники, связи и др.), реализующих информационные процессы.

Информационные процессы – процессы сбора, обработки, хранения, поиска и распространения информации. Часто процессы сбора, передачи и хранения информации также называют процессами обработки, так как это связано с изменением формы её представления, поэтому для обозначения информационных систем часто используют термин автоматизированные системы обработки информации.

Информация – это сведения о лицах, предметах, событиях и процессах (независимо от формы их представления), используемые в целях получения знаний и практических решений. Наиболее важными свойствами информации являются ценность, достоверность и своевременность.

Под безопасностью ИС понимается её защищенность от случайного или преднамеренного вмешательства в нормальный процесс её функционирования, а также от попыток хищения, изменения или разрушения её компонентов.

Природа воздействий на ИС может быть самой разнообразной. Это и стихийные бедствия, и выход из строя составных частей ИС, и ошибки персонала, и попытки проникновения злоумышленников.

Информация с точки зрения информационной безопасности обладает следующими категориями:

• конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации

• целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения

• аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения

• апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается "откреститься" от своих слов, подписанных им однажды.

Безопасность ИС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемых ею информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с информацией, её обработка, в частности копирование, модификация или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации. Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа.

Практика показала, что защищать необходимо не только секретную информацию. Несекретная информация, подвергнутая несанкционированным изменениям, может привести к утечке или потере связанной с ней секретной информации. Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Сводные данные одного уровня секретности в целом могут являться информацией более высокого уровня секретности.

Под угрозой безопасности понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб безопасности ИС.

С понятием угрозы безопасности тесно связано понятие уязвимости ИС. Уязвимость – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

Атака на систему – это реализация угрозы безопасности.

Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Современная автоматизированная система обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя.

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

• персонал (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие;

• финансовые средства, валюта, драгоценности;

• информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

• средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

• материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);

• технические средства и системы охраны и защиты материальных и информационных ресурсов.

Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.

Наибольшую уязвимость представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.