- •Предисловие
- •Глава первая
- •1.1. Цели и задачи информатизации общества
- •1.2. Общая схема и содержание информационного обеспечения различных сфер деятельности
- •1.3. Объективные предпосылки индустриализации информационных процессов
- •Глава 1
- •Глава 1
- •Глава 1
- •Глава 1
- •Глава 1
- •1.4. Структура и содержание унифицированной технологии автоматизированной обработки информации
- •1.5. Возникновение и история развития проблемы защиты информации
- •Глава 1
- •Глава 1
- •Глава 1
- •1.6. Современная постановка задачи защиты информации
- •Глава 1
- •Глава 1
- •Глава 1
- •Глава 1
- •2.1. Определение и основные понятия теории защиты информации
- •Глава 2
- •2.2. Общеметодологические принципы формирования теории защиты информации
- •Глава 2
- •Глава 2
- •2.3. Методологический базис теории защиты информации
- •Глава 2
- •Неформальные методы оценивания
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •Глава 2
- •2.5. Основные результаты развития теории защиты информации
- •Глава 2
- •2.6. Стратегии защиты информации
- •Глава 2
- •Глава 2
- •Глава 2
- •2.7. Унифицированная концепция защиты информации
- •3. Система показателей уязвимости (защищенности) информации.
- •5. Методология оценки уязвимости (защищенности) информации. В
- •3.1. Определение и содержание понятия угрозы информации в современных системах ее обработки
- •Глава 3
- •3.2. Ретроспективный анализ подходов к формированию множества угроз информации
- •Глава 3 j
- •Глава 3
- •3.3. Цели и задачи оценки угроз информации
- •Глава 3 j
- •3.4. Система показателей уязвимости информации
- •Глава 3
- •3.5. Классификация и содержание угроз информации
- •Глава 3
- •Глава 3
- •3.6. Методы и модели оценки уязвимости информации
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава 3
- •Глава четвертая
- •4.1. Постановка задачи определения требований к защите информации
- •Глава 4
- •Глава 4
- •Глава 4
- •Глава 4
- •4.2. Анализ существующих методик определения требований к защите информации
- •Глава 4
- •Глава 4
- •Глава 4
- •4.3. Методы оценки параметров защищаемой информации
- •Глава 4
- •Глава 4
- •Глава 4
- •4.4. Факторы, влияющие на требуемый уровень защиты информации
- •Глава 4
- •4.5. Определение весов вариантов потенциально возможных _ условий защиты информации
- •Глава 4
- •5.1. Определение и анализ понятий функций и задач защиты
- •5.2. Методы формирования функций защиты
- •Глава 5
- •5.3. Структура и содержание полного множества функций защиты
- •Глава 5
- •Глава 5
- •Глава 5
- •Глава 5
- •5.4. Методы формирования, структура и содержание репрезентативного множества задач защиты
- •Глава 5
- •Глава 5
- •Глава шестая средства защиты информации
- •6.1. Обоснование состава и системная классификация средств защиты информации
- •Глава 6 '_
- •Глава 6
- •6.2. Технические средства защиты
- •Глава 6
- •Съем информации с датчиков различных типов (контактных, ин фракрасных, радиотехнических и т. Д.) (число датчиков, обслуживаемых
- •Глава 6
- •Глава 6
- •Глава 6
- •6.3. Программные средства защиты
- •Глава 6
- •Глава 6
- •Глава 6
- •6.4. Организационные средства защиты
- •6.5. Криптографические средства защиты
- •Глава 6
- •Глава 6
- •Глава 6
- •Глава 6
- •Глава 6
- •Глава 6 I
- •Глава 6
- •Глава 6
- •Глава седьмая системы защиты информации
- •7.1. Определение и общеметодологические принципы построения систем защиты информации
- •Глава 7
- •7.2. Основы архитектурного построения систем защиты
- •Глава 7
- •Глава 7
- •7.3. Типизация и стандартизация систем защиты
- •Глава 7
- •Глава 7
- •Глава 7
- •7.4. Методы проектирования систем защиты
- •Глава 7
- •7.5. Управление процессами функционирования систем защиты
- •Глава 7
- •Глава 7
- •Глава 7
- •Глава 7
- •Глава 7
- •Глава 7
- •8.1. Особенности защиты информации в персональных эвм
- •Глава 8
- •8.2. Угрозы информации в персональных эвм
- •Глава 8
- •8.3. Обеспечение целостности информации в пэвм
- •Глава 8
- •8.4. Защита пэвм от несанкционированного доступа
- •Глава 8
- •3. Разграничение доступа к элементам защищаемой информации.
- •Глава 8
- •Глава 8
- •Глава 8
- •8.5. Защита информации от копирования
- •8.6. Защита пэвм от вредоносных закладок (разрушающих программных средств)
- •Глава 8
- •Глава 8
- •2. Принципиальные подходы и общая схема защиты от закладок.
- •Глава 8
- •Защита информации в сетях эвм
- •9.1. Основные положения концепции построения и использования сетей эвм
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •9.2. Цели, функции и задачи защиты информации в сетях эвм
- •Глава 9
- •Глава 9
- •9.3. Архитектура механизмов защиты информации в сетях эвм
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава 9
- •9.4. Методы цифровой подписи данных, передаваемых в сети
- •Глава 9
- •Глава 9
- •9.5. Пример системы защиты локальной вычислительной сети
- •Глава 9
- •Глава 9
- •Глава 9
- •Глава десятая
- •10.1. Перечень и общее содержание основных вопросов организации и обеспечения работ по защите информации
- •Глава 10
- •Глава 10
- •10.2. Структура и функции органов защиты информации
- •Глава 10
- •Глава 10
- •Глава 10
- •Глава 10
- •10.3. Научно-методологическое и документационное обеспечение работ по защите информации
- •Глава 10
- •Глава 10
- •10.4. Условия, способствующие повышению эффективности защиты информации
- •Глава 10
- •Глава 10
- •Глава 10
9.3. Архитектура механизмов защиты информации в сетях эвм
Архитектуру механизмов защиты информации рассмотрим на примере наиболее распространенной эталонной модели взаимодействия открытых систем (ВОС).
Основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели изложены в международном стандарте ISO/IEC 7498 -2 "Базовая эталонная модель взаимодействия открытых систем, часть 2 "Архитектура безопасности". В самом наименовании ВОС термин "открытые" подразумевает, что если вычислительная система соответствует стандартам ВОС, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, естественно, относится и к вопросам защиты информации.
Все функции открытых систем, обеспечивающие взаимосвязь, распределены в эталонной модели по семи уровням. Разработанная в этом документе архитектура защиты информации ВОС создает единую основу для создания серии стандартов по защите информации, цель которых -
Глава 9
уменьшить до приемлемого уровня риск несанкционированного доступа, осуществляемого с целью хищения, порчи (в том числе введения вируса), подмены, уничтожения информации. Воздействие на информацию может произойти по причинам случайного и умышленного характера. Последние могут носить пассивный (прослушивание без нарушения работы системы, копирование информации) и активный (модификация и подмена информации, изменение состояния системы, введение вирусов и т.п.) характер. В ВОС различают следующие основные активные способы несанкционированного доступа к информации:
маскировка одного логического объекта под другой, обладаю щий большими полномочиями (ложная аутентификация абонента);
переадресация сообщений (преднамеренное искажение адресных реквизитов);
модификация сообщений (преднамеренное искажение информа ционной части сообщения);
блокировка логического объекта с целью подавления некоторых типов сообщений (выборочный или сплошной перехват сообщений опре деленного абонента, нарушение управляющих последовательностей и т.п.).
Поскольку эталонная модель относится только к взаимосвязи открытых систем, то и защита информации рассматривается в том же аспекте. Прежде всего приведём перечень видов услуг, предоставляемых по защите информации, которые обеспечиваются с помощью специальных механизмов защиты. В настоящее время определено четырнадцать таких услуг:
1) аутентификация равнозначного логического объекта (удостове рение подлинности удаленного абонента-получателя) - обеспечивается во время установления их соединения или во время нормального обмена данными для гарантии того, что равноправный логический объект, с ко торым осуществляется взаимодействие, является тем, за кого себя выдает. Для аутентификации равнозначного логического объекта требуется, что бы лежащий ниже уровень обеспечивал услуги с установлением соедине ния;
2) аутентификация источника данных - подтверждение подлинности источника (абонента-отправителя) сообщения. Эта услуга не ориентиро вана на соединение и не обеспечивает защиту от дублирования ("проиг рывания" ранее перехваченного и записанного нарушителем) блока дан ных; ч
Защита информации в сетях ЭВМ
3) управление доступом (разграничение доступа) - обеспечивает за щиту от несанкционированного доступа к ресурсам, потенциально до ступным посредством ВОС. Доступ может быть ограничен полностью или частично. Например, для информационного ресурса может быть ограничен доступ по чтению, записи, уничтожению информации;
4) засекречивание соединения - обеспечивает конфиденциальность всех сообщений, передаваемых пользователями в рамках данного соеди нения. Данная услуга направлена на предотвращение возможности озна комления с содержанием сообщений со стороны любых лиц, не являю щихся легальными пользователями соединения. При этом в некоторых случаях нет необходимости в защите срочных данных и данных в запросе на установление соединения;
засекречивание в режиме без установления соединения - обеспечи вает конфиденциальность всех данных пользователя в сообщении (единственном сервисном блоке данных), передаваемом в режиме без установления соединения;
засекречивание поля данных - обеспечивает конфиденциальность отдельных полей данных пользователя на всем соединении или в отдель ном сервисном блоке данных;
засекречивание трафика - препятствует возможности извлечения информации из наблюдаемого трафика;
целостность соединения с восстановлением - позволяет обнару жить попытки вставки, удаления, модификации или переадресации в по следовательности сервисных блоков данных. При нарушении целост ности предпринимается попытка ее восстановления;
целостность соединения без восстановления - обеспечивает те же возможности, что и предыдущая услуга, но без попытки восстановления целостности;
целостность поля данных в режиме с установлением соединения - обеспечивает целостность отдельного поля данных пользователя во всем потоке сервисных блоков данных, передаваемых через это соединение, и обнаруживает вставку, удаление, модификацию или переадресацию это го поля;
целостность блока данных в режиме без установления соединения - обеспечивает целостность единственного сервисного блока данных при работе без установления соединения и позволяет обнаружить модифика цию и некоторые формы вставки и переадресации;