Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdfУДК 004.056 ББК 018.2*32.973
М48
Мельников Д. А.
М48 Организация и обеспечение безопасности информационно-тех нологических сетей и систем : учебник / Д. А. Мельников. — М. : Университетская книга, 2012. — 598 с. : табл., ил.
ISBN 978-5-91304-246-0
ISBN 978-5-4243-0004-2
Пособие будет полезно студентам и специалистам, занимающимся вопросами синтеза и оптимизации информационно-технологических сетей, а также проектирования систем обеспечения их информацион ной безопасности. Книга состоит из трех блоков: организация инфомационного взаимодействия в компьютерных сетях, включая всемирную Internet-сеть; архитектура и обеспечение информационной безопасно сти компьютерных сетей и элементы теории информационного проти воборства (войны), а также модели компьютерного шпионажа; основы организации и обеспечения безопасности электронного бизнеса.
Издание предназначено для студентов государственных образова тельных учреждений высшего профессионального образования, обу чающихся по специальности 080801 ----- «Прикладная информатика» и другим экономическим специальностям, а также всем желающим приобрести знания по информационной безопасности.
УДК 004.056 ББК 018.2*32.973
Учебное издание Д. А. Мельников
ОРГАНИЗАЦИЯ И О БЕСП ЕЧ ЕН И Е БЕЗОПАСНОСТИ ИНФ ОРМ АЦИОННО -ТЕХНОЛОГИЧЕСКИХ СЕТЕЙ И СИСТЕМ
Учебник
Подп. в печать 20.12.2011. Формат 60x84/16. Бумага офсетная. Печать цифровая. Уел. печ. л. 34,88. Тираж 500 экз. Заказ № 339-11
Оригинал-макет подготовлен в НП «Центр развития современных образова тельных технологий». 119501, г. Москва, ул. Нежинская, д. 9, корп. 1.
Т/ф (495) 411-79-89, тел. (495) 411-79-87.
Отпечатано с макета, предоставленного IDO PRESS, в типографии «КДУ». Тел./факс (495) 939-57-32; e-mail: kdu@kdu.ru.
ISBN 978-5-4243-0004-2 |
© Мельников Д.А., 2012 |
© ID O PRESS, 2012 |
|
ISBN 978-5-91304-246-0 |
© Издательство «КДУ», 2012 |
О ГЛА ВЛ ЕН И Е |
|
Предисловие.................................................................................................................................. |
10 |
Введение.......................................................................................................................................... |
11 |
РАЗДЕЛ I. ОБЩАЯ ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ |
|
ИНФОРМАЦИОННОГО ОБМЕНА В ИНФОРМАЦИОННО |
|
ТЕХНОЛОГИЧЕСКИХ СЕТЯХ..................................................................... |
14 |
Глава 1. Общие характеристики организации И Т С ....................................... |
14 |
1.1. Структура и топология И ТС ........................................................................................ |
14 |
1.2. Зачем нужны сети?............................................................................................................ |
17 |
1.3. Характеристики И ТС ....................................................................................................... |
18 |
1.4. Требования к организации И ТС ................................................................................ |
19 |
1.5. Процессы................................................................................................................................. |
20 |
1.6. Многоуровневая организация управления И Т С .............................................. |
22 |
1.7. Интерфейсы.......................................................................................................................... |
24 |
1.8. Структура сообщений..................................................................................................... |
25 |
1.9. Протоколы............................................................................................................................. |
27 |
1.10. Распределение функций по системам.................................................................. |
30 |
Глава 2. Методы коммутации и передачи данных в И Т С .............................. |
32 |
2.1. Коммутация каналов, сообщений и пакетов....................................................... |
32 |
2.2. Дейтаграммы и виртуальные каналы..................................................................... |
35 |
2.3. Базовые средства передачи данных.......................................................................... |
37 |
Глава 3. Организация управления потоками данных в И Т С ........................ |
39 |
3.1. Способы адресации........................................................................................................... |
39 |
3.2. Маршрутизация пакетов................................................................................................ |
43 |
3.3. Управление потоками...................................................................................................... |
48 |
3.4. Защита от перегрузок...................................................................................................... |
52 |
Глава 4. Протоколы и интерфейсы управления каналами |
|
и сетью передачи данных.................................................................................. |
55 |
4.1. Протоколы физического уровня................................................................................ |
55 |
4.2. Интерфейс Х .21 ................................................................................................................... |
58 |
4.3. Протоколы канального уровня.................................................................................. |
59 |
4.4. Протокол канального уровня HDLC........................................................................ |
63 |
4.5. Протокол Х .2 5 ...................................................................................................................... |
68 |
Глава 5. Транспортная служба И Т С ............................................................................... |
72 |
5.1. Транспортный протокол................................................................................................ |
74 |
5.2. Структура сообщений..................................................................................................... |
75 |
5.3. Процедуры транспортного интерфейса................................................................ |
76 |
5.4. Функционирование транспортной службы......................................................... |
76 |
Глава 6. Протоколы высокого уровня в ИТС.................................
6.1.Протокол виртуального терминала.................................................
6.2.Передача файлов........................................................................................
6.3.Удаленный ввод заданий.......................................................................
6.4.Распределенная обработка....................................................................
6.5.Электронная почта....................................................................................
6.6.Протоколы обработки графической информации..................
Глава 7. Административное управление ИТС..............................
7.1.Функции..........................................................................................................
7.2.Организация.................................................................................................
РАЗДЕЛ И. ОРГАНИЗАЦИЯ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ В ИТС ГЛОБАЛЬНОГО СООБЩЕСТВА INTERNET...........................................
Глава 8. Мировые компьютерные сети Internet. ARPANET. Организационные структуры. Семейство протоколов
8.1.Предыстория.................................................................................................
8.2.Краткая характеристика СПД ARPANET.....................................
8.3.Появление Internet.....................................................................................
8.4.Организационные структуры Internet............................................
8.5.Пятиуровневая архитектура управления в сетях Internet....
Глава 9. Протоколы канального уровня SLIP и РРР...................
9.1.Протокол канального уровня SLIP (Serial Line IP )....................
9.2.Протокол канального уровня РРР (Point-to-Point Protocol)..
Глава 10. Протокол IP четвёртой версии.........................................
10.1.Характеристика 1Ру4-протокола......................................................
10.2.Структура пакета 1Ру4-пакета (логическая характеристика протокола)......................................
10.3.Адреса IP .......................................................................................................
10.4.Преобразование 1Ру4-адресов в физические адреса оконечных устройств.............................................................................
Глава 11. Маршрутизация в 1Р-сетях.
Решение проблемы нехватки 1Ру4-адресов................
11.1.Маршрутизация в IP-сетях..................................................................
11.2.Протокол обмена маршрутной информации (RIPvl и RIP
11.3.Протокол маршрутизации O SPF.....................................................
11.4.Решение проблемы нехватки 1Ру4-адресов................................
Глава 12. Протокол IP шестой версии................................................
12.1.Модель 1Ру6-адресации.........................................................................
12.2.Текстуальное представление 1Ру6-адресов.................................
12.3.Текстуальное представление префиксов 1Ру6-адресов.......
12.4.Идентификация типа 1Ру6-адреса..................................................
12.5. Однонаправленные 1Ру6-адреса............................................................................ |
148 |
12.6. Альтернативные 1Ру6-адреса.................................................................................. |
153 |
12.7 Групповые 1Ру6-адреса................................................................................................ |
155 |
12.8.1Ру6-адреса, которые должен распознавать 1Р-узел................................... |
159 |
12.9. Формат заголовка 1Ру6-пакета.............................................................................. |
160 |
12.10. Заголовки расширения в 1Ру6-пакете.............................................................. |
160 |
12.11. Проблемы, связанные с выбором длины 1Ру6-пакета.............................. |
174 |
12.12. Маркеры потоков........................................................................................................ |
176 |
12.13. Классы трафика............................................................................................................ |
176 |
12.14. Проблемы протоколов верхних уровней....................................................... |
177 |
12.15. ICMP-протокол для IP-протокола шестой версии..................................... |
180 |
Глава 13. Протоколы транспортного уровня TCP и U DP............................... |
191 |
13.1. UDP-протокол.................................................................................................................. |
192 |
13.2. Характеристика ТСР-протокола............................................................................ |
193 |
13.3. Структура TCP-блока (логическая характеристика протокола)........ |
194 |
13.4. Процедурная характеристика ТСР-протокола.............................................. |
195 |
Глава 14. Протоколы прикладного уровня Internet. Протоколы |
|
удаленного доступа TELNET и доставки файлов FT P ................. |
204 |
14.1. Общая характеристика TELN ET........................................................................... |
204 |
14.2. Функции NVT-интерфейса...................................................................................... |
206 |
14.3. Факультативные функции TELNET-протокола (options)........................ |
207 |
14.4. Протокол удаленного доступа «rlogin»............................................................. |
208 |
14.5. Преимущества и недостатки удаленного доступа....................................... |
208 |
14.6. Файловый доступ. Общая характеристика протокола FTP |
|
(File Transfer Protocol)................................................................................................... |
209 |
14.7. Команды FTP-протокола............................................................................................ |
211 |
14.8. Протокол TFTP (Trivial File Transfer Protocol)................................................ |
212 |
14.9. Сетевая файловая система. Протокол NFS (Network File System)...... |
213 |
Глава 15. Служба электронной почты ..................................................................... |
215 |
15.1. Общая характеристика службы ЭП в Internet............................................... |
215 |
15.2. Формат почтового сообщения |
|
(логическая характеристика протокола Э П )................................................... |
216 |
15.3. Адресация и маршрутизация в почтовой службе Internet....................... |
217 |
15.4. Программы подготовки и рассылки почтовых сообщений................... |
220 |
15.5. Процедурная характеристика SMTP-протокола.......................................... |
223 |
15.6. Стандарт MIME (Multipurpose Internet Mail Extensions)........................... |
224 |
Глава 16. Система телеконференций USENET. |
|
Информационная сеть W ORLD WIDE W EB ...................................... |
226 |
16.1. Принципы организации USENET........................................................................ |
227 |
16.2. Характеристика протокола доставки сетевых новостей N N TP ........... |
229 |
16.3. Общая характеристика W3-ceTH............................................................................ |
231 |
16.4. Язык гипертекстовой разметки HTML................................................................ |
233 |
16.5. Гипертекстовые URL-указатели............................................................................ |
234 |
16.6. Протокол доставки гипертекстовых сообщений HTTP............................ |
235 |
16.7. Универсальный межсетевой интерфейс CGI.................................................. |
237 |
Глава 17. Протокол сетевого управления SNMP третьей версии............ |
238 |
17.1. Архитектура SNMPv3-npoTOKona......................................................................... |
238 |
17.2. Содержание архитектуры......................................................................................... |
240 |
17.3. Абстрактные служебные интерфейсы.............................................................. |
248 |
17.4. Логическая характеристика SNMPv3-npoTOKona......................................... |
253 |
17.5. Процедурная характеристика SNMPv3-npoTOKona..................................... |
256 |
17.6. Структура и база управляющей информации.............................................. |
265 |
17.7. Модули управляющей информации.................................................................. |
272 |
17.8. Иерархия имен............................................................................................................... |
278 |
Глава 18. Система именования сегментов/областей........................................ |
279 |
18.1. Обзор системы................................................................................................................. |
279 |
18.2. Общая конфигурация системы............................................................................. |
280 |
18.3. Общие обязательные требования......................................................................... |
283 |
18.4. DNS-имена и RR-записи............................................................................................. |
286 |
18.5. Логическая характеристика DNS-протокола................................................. |
295 |
18.6. Мастер-файлы................................................................................................................. |
301 |
18.7. Используемые протоколы транспортного уровня...................................... |
302 |
Глава 19. Система сетевого времени (синхронизации).................................. |
303 |
19.1. Структурная модель системы сетевого времени в Internet-сети........ |
303 |
19.2. Режимы функционирования.................................................................................. |
305 |
19.3. Разновидности функционирования протокола............................................ |
305 |
19.4. Основные термины и определения..................................................................... |
308 |
19.5. Модель реализации...................................................................................................... |
311 |
19.6. Типы данных (логическая характеристика).................................................... |
313 |
19.7. Структуры данных (логическая характеристика)....................................... |
317 |
19.8. Процедурная характеристика протокола........................................................ |
325 |
РАЗДЕЛ III. АРХИТЕКТУРА И ОБЕСПЕЧЕНИЕ |
|
БЕЗОПАСНОСТИ И ТС ........................................................................... |
330 |
Глава 20. Основные угрозы информационной безопасности в ИТС. |
|
Понятие архитектуры безопасности ИТС. |
|
Архитектура безопасности ЭМ ВО С....................................................... |
330 |
20.1. Почему необходимо защищаться?........................................................................ |
330 |
20.2. Источники и последствия реализации угроз информационной |
|
безопасности.................................................................................................................... |
331 |
20.3. Функция, способы и средства обеспечения ИБ И Т С ................................. |
344 |
20.4. Архитектура безопасности ЭМВОС.................................................................... |
346 |
Глава 21. Принципы архитектуры безопасности в Internet........................ |
359 |
21.1. Принципы архитектуры безопасности ISO................................................... |
359 |
21.2. Принципы архитектуры безопасности DOD................................................ |
361 |
21.3. Принципы архитектуры безопасности Internet (IETF)............................ |
371 |
21.4. Рекомендации IETF по использованию способов и средств |
|
обеспечения ИБ в Internet-сети (содержание архитектуры |
|
безопасности Internet)................................................................................................. |
374 |
Глава 22. Проблемы функционирования сетевых экранов |
|
в Internet................................................................................................................... |
394 |
22.1. Общая характеристика СЭ и их функциональные свойства................. |
394 |
22.2. Проблемы разработки и внедрения С Э ............................................................ |
401 |
22.3. Атаки.................................................................................................................................... |
413 |
22.4. Реализационные аспекты.......................................................................................... |
417 |
Глава 23. Основные технические модели обеспечения |
|
безопасности И ТС .............................................................................................. |
428 |
23.1. Цель и задачи обеспечения информационной безопасности.............. |
428 |
23.2. Модель служб обеспечения И Б ............................................................................. |
432 |
23.3. Решение задач обеспечения ИБ - распределённые системы................. |
440 |
23.4. Управление рисками.................................................................................................... |
447 |
Глава 24. Основные направления и принципы |
|
организации СОИБ И Т С ............................................................................... |
450 |
24.1. Организация СОИБ И Т С .......................................................................................... |
450 |
24.2. Содержание функционирования СОИБ компании |
|
(целевые функции)....................................................................................................... |
461 |
24.3. Документы, определяющие функционирование СОИБ ИТС.............. |
476 |
РАЗДЕЛ IV. ВВЕДЕНИЕ В ТЕОРИЮ ИНФОРМАЦИОННОГО |
|
ПРОТИВОБОРСТВА (ВОЙНЫ). |
|
КОМ ПЬЮ ТЕРНЫЙ Ш ПИОНАЖ .................................................... |
477 |
Глава 25. Контроль мировых информационных потоков. |
|
Информационное противоборство (война)...................................... |
477 |
25.1. Контроль мировых информационных потоков............................................ |
477 |
25.2. Понятие «война»............................................................................................................ |
481 |
25.3. Понятие «информационная война»................................................................... |
481 |
25.4. Понятие «информационное оружие»............................................................... |
483 |
25.5. Формы информационного противоборства (войны)................................ |
485 |
Глава 26. Компьютерный шпионаж, как следствие и способ |
|
информационного противоборства. |
|
Модель атак типа «маскарад».................................................................... |
489 |
26.1. Структура и содержание КШ И ТС ...................................................................... |
489 |
26.2. Обеспечение максимального уровня маскировки активных |
|
мероприятий КШ ........................................................................................................... |
493 |
26.3. Понятие способа нападения типа «маскарад»............................................... |
493 |
26.4. Варианты реализации способа нападения типа «маскарад»................. |
495 |
26.5. Обнаружение атак типа «маскарад»................................................................... |
500 |
РАЗДЕЛ V. КОМ ПЬЮ ТЕРНЫЙ Ш ПИОНАЖ |
|
СИСТЕМ ООБРАЗУЮ Щ ИХ ПРОТОКОЛОВ |
|
И ИНФРАСТРУКТУРЫ IN TERN ET.................................................. |
503 |
Глава 27. Методология и основные принципы КШ DNS-системы. |
|
Модель КШ DNS-системы........................................................................... |
503 |
27.1. Состав и назначение DNS-системы.................................................................. |
503 |
2 7 2 |
Специальные задачи, решаемые DNS-системои......................................... |
506 |
2 7 .3 |
DNS-cncicMa как источник/объект К Ш ...................................................................... |
507 |
Глава 28. Методология и основные принципы КШ инфраструктуры |
|
|
|
управления Internet. Модель КШ SNM Pv3-np0T0K0na............ |
519 |
28.1. Состав и архитектура системы управления Internet-сети...................... |
519 |
|
28.2. Структура и содержание КШ БЫМРуЗ-архитектуры.............................. |
523 |
|
Глава 29. Модель КШ системы сетевого времени (синхронизации) |
|
|
|
и его возможные последствия.................................................................. |
526 |
29.1. Система формирования меток времени |
|
|
|
в программно-аппаратном комплексе.............................................................. |
526 |
29.2. Модель КШ по модификации системного времени |
|
|
|
в программно аппаратном комплексе.............................................................. |
528 |
29.3. Возможные последствия КШ на основе модификации системного |
|
|
|
времени в программно-аппаратном комплексе.......................................... |
530 |
29.4. Другие модели КШ системы сетевой синхронизации............................. |
531 |
|
Глава 30. Основные принципы и содержание КШ топологических |
|
|
|
(заградительных) систем обеспечения ИБ........................................ |
532 |
30.1. Задачи, решаемые NAT-модулями и СЭ ......................................................... |
532 |
|
30.2. NAT-модули и СЭ как системы распознавания образов......................... |
533 |
|
30.3. Наличие принципиальной возможности КШ NAT-модулей |
|
|
|
и СЭ-систем..................................................................................................................... |
535 |
30.4. Основные принципы и содержание КШ NAT-модулей и С Э ............. |
536 |
|
РАЗДЕЛ VI. ОРГАНИЗАЦИЯ ОТКРЫТОЙ ЭЛЕКТРОННОЙ |
|
|
|
КОММЕРЦИИ В IN TERN ET.............................................................. |
540 |
Глава 31. Электронный бизнес и коммерческие риски. |
|
|
|
Обзор IOTP/PAPI............................................................................................... |
542 |
31.1. Риски в Э К ....................................................................................................................... |
544 |
|
31.2. Бумажный и электронный документооборот в бизнесе......................... |
549 |
|
31.3. Безопасность ЭК - надёжность ЭК ...................................................................... |
550 |
|
31.4. Цели и содержание IO TP/PAPI............................................................................ |
554 |
|
Глава 32. Общая характеристика ЮТР-протокола........................................... |
559 |
|
32.1. Общая структура (формат) ЮТР-сообщения............................................... |
562 |
|
32.2. Состав участников торговой сделки................................................................... |
564 |
|
32.3. Торговые процедуры («trading exchanges»)................................................... |
565 |
|
Глава 33. Общая характеристика РАР1-интерфейса........................................ |
575 |
|
33.1. Структура PA PI............................................................................................................. |
576 |
|
33.2. Основные фазы электронной платежной операции................................. |
579 |
|
33.3. Общие и специфические функции программного ЮТР-модуля |
|
|
|
и ЮТР-моста.................................................................................................................... |
580 |
33.4. Функции PAPI-интерфейса................................................................................... |
588 |
|
Список литературы |
592 |
Моему учителю и наставнику - профессору Григорьеву Вячеславу Александровичу посвящается
10 |
Предисловие |
Предисловие
Настоящий учебник предназначен для студентов государст венных образовательных учреждений высшего профессионального образования, обучающихся по специальности 080801 «Прикладная информатика» и другим экономическим специальностям, а также специальностям в области информационной безопасности (ИБ). Учебник будет полезен аспирантам и практическим работникам, занимающимся вопросами синтеза и оптимизации информацион но-технологических сетей и систем (ИТС) и систем обеспечения их ИБ. Он включает шесть разделов.
Первый раздел посвящён протоколам информационного об мена, структуре, характеристикам и многоуровневой организации управления ИТС, архитектура которых соответствует семиуровне вой эталонной модели взаимодействия открытых систем (ЭМВОС) Международной организации по стандартизации (МОС).
Во втором разделе рассматриваются концептуальные положе ния организации информационного обмена и системообразующие протоколы в ИТС глобального сообщества мировых сетей Internet, в основе управления которых лежит пятиуровневая архитектура взаимодействия открытых систем.
В третьем разделе представлены модель возможных источников угроз ИБ и последствия их реализации, архитектура безопасности ИТС и её модели для ЭМВОС и пятиуровневой Internet-архитектуры, а также проблемы создания и функционирования заградительных то пологических систем и базовые модели обеспечения ИБ ИТС.
Четвертый раздел включает введение в теорию информационно го противоборства (войны), модель компьютерного шпионажа (КШ) ИТС и реализационные аспекты проведения атаки типа «маскарад».
Пятый раздел содержит модели КШ системообразующих про токолов и инфраструктуры Internet-сети.
Шестой раздел посвящён новому и бурно развивающемуся направлению - электронной коммерции, которая воплощает в себе все передовые информационные технологии и основана на совре менных методах обеспечения ИБ.
Автор благодарит В.И. Швея, А.А. Микрюкова и Н.И. Баянди на за их организационно-методическую и практическую помощь при подготовке рукописи к изданию.
При подготовке материала большую поддержку автору оказали С.В. Баушев, Н.В. Дементьев, В.Р. Григорьев, С.В. Захаркин, В.Н. Ива нов, В.А. Орлов, А.М. Плотников и С.В. Толочков. Их практические советы и замечания были с благодарностью приняты и учтены.
Введение |
11 |
Введение
Глобальная информационная революция и стремительный прогресс в области информационных технологий был предопреде лен объединением двух научно-технических направлений - вычис лительной техники и электросвязи. Как известно, первые ЭВМ (компьютеры) предназначались для решения математических задач, однако вскоре стало очевидно, что главной сферой их применения должна стать обработка информации. В этом случае вычислитель ные машины уже не могут работать в автономном режиме, а долж ны взаимодействовать с другими ЭВМ, с источниками и потребите лями информации. Результатом этого явились ИТС, которые к на стоящему времени охватили весь мир.
Именно объединение вычислительной техники и связи по влекло за собой создание многих новых научно-технических на правлений в области телекоммуникаций и информатики. И главное среди них - цифровая обработка сигналов, позволившая интегри ровать различные виды и услуги связи в одной цифровой сети и полностью автоматизировать процессы информационного обмена на базе специализированных ЭВМ.
Под ИТС обычно понимается территориально распределенная система коллективного использования средств связи и вычисли тельных ресурсов, обеспечивающая повышение эффективности функционирования линий передачи информации и вычислитель ных средств при решении сложных задач обработки, хранения и передачи информации.
Почему используется термин информационно-технологическая сеть или система? Ответ на этот вопрос имеет двоякое толкование:
1)информационно-технологическая сеть основана на примене нии современных информационных технологий, под которыми по нимается совокупность процессов, методов поиска, сбора, хранения, обработки, предоставления, распространения информации и спо собов осуществления (реализации) таких процессов и методов;
2)по своему предназначению ИТС делятся на информационные, которые обеспечивают электронный информационный обмен меж ду пользователями или прикладными процессами, инициирован ными пользователями, и технологические, которые обеспечивают работоспособность информационных систем, или обеспечивают решение специализированных задач (например, глобальной нави гации и местоопределения и т.п.).
Вструктуре ИТС принято выделять два основных компонента: средства сбора, хранения и обработки информации, которые бази