Galatenko_V_A_kurs_lektsiy_Osnovy_informatsionnoy_bezopasnosti
.pdf
О проекте
Интернет-Университет Информационных Технологий — это первое в России высшее учебное заведение, которое предоставляет возможность получить дополнительное образование во Всемирной Сети. Web-сайт университета находится по адресу www.intuit.ru.
Мы рады, что Вы решили расширить свои знания в области компью терных технологий. Современный мир — это мир компьютеров и инфор мации. Компьютерная индустрия — самый быстрорастущий сектор эконо мики, и ее рост будет продолжаться еще долгое время. Во времена жесткой конкуренции от уровня развития информационных технологий, достиже¬ ний научной мысли и перспективных инженерных решений зависит успех не только отдельных людей и компаний, но и целых стран. Вы выбрали са¬ мое подходящее время для изучения компьютерных дисциплин. Профес¬ сионалы в области информационных технологий сейчас востребованы везде: в науке, экономике, образовании, медицине и других областях, в го сударственных и частных компаниях, в России и за рубежом. Анализ дан ных, прогнозы, организация связи, создание программного обеспечения, построение моделей процессов — вот далеко не полный список областей применения знаний для компьютерных специалистов.
Обучение в университете ведется по собственным учебным планам, разработанным ведущими российскими специалистами на основе между¬ народных образовательных стандартов Computer Curricula 2001 Computer Science. Изучать учебные курсы можно самостоятельно по учебникам или на сайте Интернет-университета, задания выполняются только на сайте. Для обучения необходимо зарегистрироваться на сайте университета. Удостоверение об окончании учебного курса или специальности выдает¬ ся при условии выполнения всех заданий к лекциям и успешной сдачи итогового экзамена.
Книга, которую Вы держите в руках, очередная в многотомной серии «Основы информационных технологий», выпускаемой ИнтернетУниверситетом Информационных Технологий. В этой серии будут выпущены учебники по всем базовым областям знаний, связанным с компьютерными дисциплинами.
Добро пожаловать в Интернет-Университет Информационных Технологий!
Анатолий Шкред anatoli@shkred.ru
Предисловие
Информационная безопасность (ИБ) — сравнительно молодая, быс тро развивающаяся область информационных технологий (ИТ), для ус пешного освоения которой важно с самого начала усвоить современный, согласованный с другими ветвями ИТ базис. Это первая задача курса, для решения которой применяется объектно-ориентированный подход.
Успех в области И Б может принести только комплексный подход. Описание общей структуры и отдельных уровней такого подхода — вторая задача курса. Для ее решения рассматриваются меры законодательного, административного, процедурного и программно-технического уровней. Приводятся сведения о российском и зарубежном законодательстве в об ласти И Б , о проблемах, существующих в настоящее время в российском законодательстве. На административном уровне рассматриваются поли тика и программа безопасности, их типовая структура, меры по выработ ке и сопровождению. На процедурном уровне описываются нетехничес кие меры безопасности, связанные с людьми. Формулируются основные принципы, обеспечивающие успех таких мер.
Программно-технический уровень, в соответствии с объектным подходом, трактуется как совокупность сервисов. Дается описание каж¬ дого сервиса.
Предполагается, что большинство понятий, введенных в данном курсе, более подробно будет рассмотрено в других, специальных курсах.
Цель курса — заложить методически правильные основы знаний, не¬ обходимые будущим специалистам-практикам в области информацион¬ ной безопасности.
Об авторе
Галатенко Владимир Антонович
Доктор физико-математических наук, заведующий сектором в от¬ деле информационной безопасности Н И И системных исследований РАН. Автор теоретических и практических разработок, книг, учебных пособий и статей по информационной безопасности и технологии программирования.
4
Лекции
Лекция 1. |
Понятие информационной безопасности. Основные |
|
|
составляющие. Важность проблемы |
11 |
Лекция 2. |
Распространение объектно-ориентированного подхода |
|
|
на информационную безопасность |
23 |
Лекция 3. |
Наиболее распространенные угрозы |
37 |
Лекция 4. |
Законодательный уровень информационной |
|
|
безопасности |
53 |
Лекция 5. |
Стандарты и спецификации в области |
|
|
информационной безопасности |
77 |
Лекция 6. |
Административный уровень информационной |
|
|
безопасности |
111 |
Лекция 7. |
Управление рисками |
123 |
Лекция 8. |
Процедурный уровень информационной безопасности |
. 133 |
Лекция 9. |
Основные программно-технические меры |
149 |
Лекция 10. |
Идентификация и аутентификация, |
|
|
управление доступом |
161 |
Лекция 11. |
Протоколирование и аудит, шифрование, контроль |
|
|
целостности |
185 |
Лекция 12. |
Экранирование, анализ защищенности |
203 |
Лекция 13. |
Обеспечение высокой доступности |
217 |
Лекция 14. |
Туннелирование и управление |
231 |
Лекция 15. |
Заключение |
243 |
5
Содержание
Лекция 1. Понятие информационной безопасности. Основные |
|
||
составляющие. Важность проблемы |
11 |
||
Понятие информационной безопасности |
11 |
||
Основные составляющие информационной безопасности |
13 |
||
Важность и сложность проблемы информационной |
|
||
безопасности |
|
|
15 |
Лекция 2. Распространение объектно-ориентированного подхода на |
|
||
информационную безопасность |
|
18 |
|
О необходимости объектно-ориентированного подхода |
|
||
к информационной безопасности |
18 |
||
Основные понятия объектно-ориентированного подхода |
19 |
||
Применение объектно-ориентированного подхода |
|
||
к рассмотрению защищаемых систем |
22 |
||
Недостатки традиционного подхода к информационной |
|
||
безоспасности с объектной точки зрения |
25 |
||
Лекция 3. Наиболее распространенные угрозы |
28 |
||
Основные определения и критерии классификации угроз |
28 |
||
Наиболее распространенные угрозы доступности |
30 |
||
Некоторые примеры угроз доступности |
31 |
||
Вредоносное программное обеспечение |
33 |
||
Основные угрозы целостности |
36 |
||
Основные угрозы конфиденциальности |
38 |
||
Лекция 4. Законодательный уровень информационной |
|
||
безопасности |
|
|
40 |
Что такое законодательный уровень информационной |
|
||
безопасности и почему он важен |
40 |
||
Обзор российского законодательства в области |
|
||
информационной безопасности |
41 |
||
Правовые |
акты общего назначения, затрагивающие |
|
|
вопросы |
информационной |
безопасности |
41 |
Закон «Об информации, |
информатизации и защите |
|
|
информации» |
|
43 |
|
Другие законы и нормативные акты |
47 |
||
Обзор зарубежного законодательства в области |
|
||
информационной безопасности |
53 |
||
О текущем состоянии российского законодательства |
|
||
в области информационной безопасности |
57 |
||
6
Лекция 5. Стандарты и спецификации в области |
|
||||
информационной безопасности |
60 |
||||
Оценочные стандарты и технические спецификации. |
|
||||
«Оранжевая книга» как оценочный стандарт |
61 |
||||
Основные |
понятия |
|
78 |
||
Механизмы |
безопасности |
80 |
|||
Классы безопасности |
|
83 |
|||
Информационная безопасность распределенных систем. |
|
||||
Рекомендации X.800 |
|
|
70 |
||
Сетевые |
сервисы |
безопасности |
70 |
||
Сетевые |
механизмы |
безопасности |
71 |
||
Администрирование |
средств безопасности |
72 |
|||
Стандарт ISO/IEC 15408 «Критерии оценки безопасности |
|
||||
информационных технологий» |
74 |
||||
Основные |
понятия |
|
74 |
||
Функциональные |
требования |
77 |
|||
Требования |
доверия |
безопасности |
79 |
||
Гармонизированные критерии Европейских стран |
81 |
||||
Интерпретация «Оранжевой книги» для сетевых |
|
||||
конфигураций |
|
|
|
83 |
|
Руководящие документы Гостехкомиссии России |
85 |
||||
Лекция 6. Административный уровень информационной |
|
||||
безопасности |
|
|
|
|
90 |
Основные понятия |
|
|
90 |
||
Политика безопасности |
|
91 |
|||
Программа безопасности |
95 |
||||
Синхронизация программы безопасности с жизненным |
|
||||
циклом систем |
|
|
|
96 |
|
Лекция 7. Управление рисками |
99 |
||||
Основные понятия |
|
|
99 |
||
Подготовительные этапы управления рисками |
101 |
||||
Основные этапы управления рисками |
103 |
||||
Лекция 8. Процедурный уровень информационной безопасности . . . 106
Основные классы мер процедурного уровня |
106 |
Управление персоналом |
107 |
Физическая защита |
109 |
Поддержание работоспособности |
139 |
Реагирование на нарушения режима безопасности |
114 |
Планирование восстановительных работ |
115 |
7
Лекция 9. Основные программно-технические меры |
118 |
||||||
Основные понятия программно-технического уровня |
|||||||
информационной безопасности |
|
|
118 |
||||
Особенности современных информационных систем, |
|||||||
существенные с точки зрения безопасности |
121 |
||||||
Архитектурная безопасность |
|
|
122 |
||||
Лекция 10. Идентификация и аутентификация, управление |
|||||||
доступом |
|
|
|
|
|
|
126 |
Идентификация и аутентификация |
|
127 |
|||||
Основные |
понятия |
|
|
|
127 |
||
Парольная |
аутентификация |
|
|
128 |
|||
Одноразовые |
пароли |
|
|
|
130 |
||
Сервер аутентификации Kerberos |
131 |
||||||
Идентификация/аутентификация |
с помощью |
|
|||||
биометрических |
данньж |
|
|
132 |
|||
Управление доступом |
|
|
|
134 |
|||
Основные |
понятия |
|
|
|
134 |
||
Ролевое управление |
доступом |
|
|
137 |
|||
Управление |
доступом в Java-среде |
|
141 |
||||
Возможный |
подход |
к управлению |
доступом в |
распределенной |
|||
объектной |
среде |
|
|
|
144 |
||
Лекция 11. Протоколирование и аудит, шифрование, контроль |
|||||||
целостности |
|
|
|
|
|
|
147 |
Протоколирование и аудит |
|
|
147 |
||||
Основные |
понятия |
|
|
|
147 |
||
Активный аудит |
|
|
|
|
|
149 |
|
Основные |
понятия |
|
|
|
149 |
||
Функциональные |
компоненты |
и архитектура |
152 |
||||
Шифрование |
|
|
|
|
|
|
153 |
Контроль целостности |
|
|
|
157 |
|||
Цифровые |
сертификаты |
|
|
159 |
|||
Лекция 12. Экранирование, анализ защищенности |
161 |
||||||
Экранирование |
|
|
|
|
|
161 |
|
Основные |
понятия |
|
|
|
161 |
||
Архитектурные |
аспекты |
|
|
164 |
|||
Классификация |
межсетевых |
экранов |
166 |
||||
Анализ защищенности |
|
|
|
170 |
|||
8
Лекция 13. Обеспечение высокой доступности |
172 |
|
Доступность |
|
172 |
Основные понятия |
172 |
|
Основы мер обеспечения высокой доступности |
175 |
|
Отказоустойчивость и зона риска |
176 |
|
Обеспечение |
отказоустойчивости |
178 |
Программное |
обеспечение промежуточного слоя |
180 |
Обеспечение |
обслуживаемости |
181 |
Лекция 14. Туннелирование и управление |
183 |
|
Туннелирование |
|
183 |
Управление |
|
185 |
Основные понятия |
185 |
|
Возможности |
типичных систем |
187 |
Лекция 15. Заключение |
191 |
|
Что такое информационная безопасность. Основные |
|
|
составляющие информационной безопасности. Важность |
|
|
и сложность проблемы информационной безопасности |
191 |
|
Законодательный, административный |
|
|
и процедурный уровни |
193 |
|
Программно-технические меры |
196 |
|
Литература |
|
200 |
Статьи по теме курса |
|
201 |
Сайты по теме курса |
|
203 |
9
Внимание!
На сайте Интернет-университета информационных технологий Вы можете пройти тестирование по каждой лекции и курсу в целом.
Добро пожаловать на наш сайт: www.intuit.ru
10