- •Введение
- •1. Информация как предмет защиты
- •2. Информационная безопасность
- •3. Основные угрозы информационной безопасности
- •3.1. Классификация угроз безопасности данных
- •4. Модель потенциального нарушителя
- •4.1. Типы нарушителей информационной безопасности ис
- •5. Классификация компьютерных преступлений
- •6. Личностные особенности компьютерного преступника
- •7. Принципы организации систем обеспечения безопасности данных (собд) ивс
- •7.1. Основные подсистемы, входящие в состав собд ивс
- •8. Стандарты информационной безопасности
- •8.1. Критерии оценки безопасности компьютерных систем. «Оранжевая книга» сша.
- •Основные элементы политики безопасности.
- •Произвольное управление доступом.
- •Безопасность повторного использования объектов.
- •Метки безопасности.
- •Принудительное управление доступом.
- •Классы безопасности.
- •Требования к политике безопасности.
- •Произвольное управление доступом:
- •Повторное использование объектов:
- •Метки безопасности:
- •Целостность меток безопасности:
- •Принудительное управление доступом:
- •Требования к подотчетности. Идентификация и аутентификация:
- •Предоставление надежного пути:
- •Требования к гарантированности. Архитектура системы:
- •Верификация спецификаций архитектуры:
- •Конфигурационное управление:
- •Тестовая документация:
- •Описание архитектуры:
- •8.2. Европейские критерии безопасности информационных технологий
- •8.3. Руководящие документы Гостехкомиссии России.
- •8.4. Общие критерии безопасности информационных технологий
- •9. Методы и средства защиты данных
- •9.1. Основные методы защиты данных
- •9.2. Классификация средств защиты данных
- •9.3. Формальные средства защиты
- •9.4. Физические средства защиты
- •9.5. Аппаратные средства защиты
- •9.5.1. Отказоустойчивые дисковые массивы
- •9.5.2. Источники бесперебойного питания
- •9.6.Криптографические методы и средства защиты данных
- •Классификация криптографических методов преобразования информации
- •9.7. Методы шифрования
- •9.7.1. Методы замены
- •9.7.2. Методы перестановки
- •9.7.3. Методы аналитических преобразований
- •9.7.4. Комбинированные методы
- •9.7.5. Стандарт сша на шифрование данных (des)
- •Функция перестановки и выбора последовательности в
- •Функции сдвига Si
- •9.7.6. Отечественный стандарт на шифрование данных
- •9.8. Системы шифрации с открытым ключом
- •9.8.1. Алгоритм rsa
- •9.8.2. Криптосистема Эль-Гамаля
- •9.8.3. Криптосистемы на основе эллиптических уравнений
- •9.9. Электронная цифровая подпись
- •9.10. Методы кодирования
- •9.11. Другие методы шифрования
- •10. Стеганография
- •11. Защита программ от несанкционированного копирования
- •11.1. Методы, затрудняющие считывание скопированной информации
- •11.2. Методы, препятствующие использованию скопированной информации
- •11.3. Основные функции средств защиты от копирования
- •11.4. Основные методы защиты от копирования
- •11.4.1. Криптографические методы
- •11.4.2. Метод привязки к идентификатору
- •11.4.3. Методы, основанные на работе с переходами и стеком
- •11.4.4. Манипуляции с кодом программы
- •11.5. Методы противодействия динамическим способам снятия защиты программ от копирования
- •12. Защита информации от несанкционированного доступа
- •12.1. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •12.2. Аутентификация пользователей по их биометрическим характеристикам, клавиатурному подчерку и росписи мыши
- •12.3. Программно-аппаратная защита информации от локального несанкционированного доступа
- •12.4. Аутентификация пользователей при удаленном доступе
- •13. Защита информации в компьютерных сетях
- •Пакетные фильтры.
- •Сервера прикладного уровня.
- •Сервера уровня соединения.
- •Сравнительные характеристики пакетных фильтров и серверов прикладного уровня.
- •Схемы подключения.
- •Администрирование.
- •Системы сбора статистики и предупреждения об атаке
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
7.1. Основные подсистемы, входящие в состав собд ивс
СОБД ИВС
П одсистема доступа
Подсистема обеспечения безопасности передаваемых данных
Подсистема аутентификации
Подсистема обеспечения безопасности данных в базе данных
Подсистема обеспечения безопасности ОС
Подсистема управления защитой данных
Подсистема доступа объединяет механизмы управления доступом и предназначена для предотвращения несанкционированного использования ресурсов сети.
Подсистема обеспечения безопасности передаваемых данных выполняет функции защиты передаваемых данных от пассивного (раскрытие содержания, анализ трафика) и активного (изменение, прерывание потока данных; инициация ложного соединения и др.) перехвата данных. В состав подсистемы входят механизмы шифрования, цифровой (электронной) подписи, обеспечения целостности, заполнения текста и освидетельствования данных.
Подсистема аутентификации объединяет различные механизмы аутентификации и обеспечивает подтверждение подлинности пользователей и элементов ИВС.
В подсистему обеспечения безопасности данных в БД входят механизмы доступа к данным и механизмы поддержания целостности данных в БД.
Подсистему обеспечения безопасности ОС образуют механизмы надзора, профилактического контроля, ревизии и управления доступом, функционирующие в составе ОС.
Подсистема управления защитой данных выполняет функции обнаружения и компенсации последствий нарушения функционирования СОБД, а также координации функционирования подсистем и элементов СОБД.
8. Стандарты информационной безопасности
Для согласования всех точек зрения на проблемы создания защищённых систем разработаны стандарты информационной безопасности. В соответствие с этими документами определение защищённой АСОИ выглядит так: это система, отвечающая тому или иному стандарту информационной безопасности.
В хронологическом порядке наиболее значимыми стандартами информационной безопасности являются:
Критерии оценки безопасности компьютерных систем министерства обороны США («Оранжевая книга»).
Руководящие документы Гостехкомиссии России (только для нашей страны).
Европейские критерии безопасности информационных технологий.
Федеральные критерии безопасности информационных технологий США.
Канадские критерии безопасности компьютерных систем.
Единые критерии безопасности информационных технологий.
8.1. Критерии оценки безопасности компьютерных систем. «Оранжевая книга» сша.
С 1983 по 1988 год Министерство обороны США и Национальный комитет компьютерной безопасности разработали систему стандартов в области компьютерной безопасности, которая включает более десяти документов. Этот список возглавляют «Критерии оценки безопасности компьютерных систем», которые по цвету обложки чаще называют «Оранжевой книгой». В 1995 году Национальный центр компьютерной безопасности США опубликовал «Пояснения к критериям безопасности компьютерных систем», объединившие все имеющиеся на тот момент дополнения и разъяснения к «Оранжевой книге».
В «Оранжевой книге» надежная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа».
Надежность систем оценивается по двум основным критериям:
Политика безопасности – набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
Гарантированность – мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность можно определить тестированием системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками.
Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Надежная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.
При оценке степени гарантированности, с которой систему можно считать надежной, центральной является концепция надежной вычислительной базы. Вычислительная база – это совокупность защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (например, это могут быть данные о степени благонадежности пользователей).
Основное назначение надежной вычислительной базы – выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Каждое обращение пользователя к программам или данным проверяется на предмет согласованности со списком действий, допустимых для пользователя.
От монитора обращений требуется выполнение трех свойств:
Изолированность. Монитор должен быть защищен от отслеживания своей работы;
Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода;
Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.