ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ


Скачати 2.3 Mb.
Назва ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Сторінка 1/18
Дата 03.04.2013
Розмір 2.3 Mb.
Тип Документи
bibl.com.ua > Інформатика > Документи
  1   2   3   4   5   6   7   8   9   ...   18
Міністерство транспорту та зв'язку України Державний університет інформаційно-комунікаційних технологій
В.О. Хорошко, В.С. Чередниченко, М.Є. Шелест

ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
За редакцією професора В.О. Хорошка

Київ ДУІКТ 2008

УДК 351.746:007(0758)

ББК 67.9(4Укр)401я7+32.81я7

Х80

Друкується за рішенням вченої ради

Навчально-наукового інституту захисту інформації ДУІКТ /протокол №6 від 21.01.2008року)

Рецензенти: доктор юридичних наук, професор Кузьмічов B.C., доктор політичних наук, професор Соснін О.В., доктор технічних наук, професор Козловський В.В.

Хорошко В.О., Чередниченко B.C., Шелест М.Є. X 80 Основи інформаційної безпеки / За ред. проф. В.О. Хорошка. - К.: ДУІКТ, 2008.- 186 с.

ISBN 978-966-2970-16-6

У підручнику наводяться суть, підходи та особливості інформаційної безпеки. Розглядаються загрози та різні рівні інформаційної безпеки.

Підручник призначений для студентів напряму «Інформаційна безпека» та буде корисний для спеціалістів, які працюють у цій сфері.


УДК 351.746:007(0758)

ББК 67.9(4Укр)401я7+32.81я7

© В.О. Хорошко
© B.C. Чередниченко
ISBN 978-966-2970-16-6 © М.Є. Шелест

Зміст

Прелік скорочень………………………...7

Вступ………………………………………………………8

Розділ 1. Поняття інформаційної безпеки…………….17

  1. Поняття інформаційної безпеки……………….……….17

  2. Основні складові інформаційної безпеки…...…………19

  3. Важливість і складність проблеми інформаційної безпеки……………………………………………………….21

Розділ 2. Поширення об'єктно-орієнтованого підходу на
інформаційну безпеку……………………………………….25

2.1. Про необхідність об'єктно-орієнтованого підходу до інформаційної безпеки………………………………………25

2.2. Основні поняття об'єктно-орієнтованого підходу.…...26

2.3. Застосування об'єктно-орієнтованого підходу до розгляду систем, що захищають…………………………....29

2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору……………………………..33

Розділ 3. Найпоширеніші загрози……………………..36

  1. Основні визначення і критерії загроз……………..…...36

  2. Найпоширеніші загрози доступності……………..…...38

  3. Деякі приклади загроз доступності..………………... 40

  4. Шкідливе програмне забезпечення..………………... 42

  5. Основні загрози цілісності…………………………... 45

  6. Основні загрози конфіденційності…………………... 47

Розділ 4. Адміністративний рівень інформаційної безпеки ..50

  1. Основні поняття…………………..…………………... 50

  2. Політика безпеки……………….……………………... 51

  3. Програма безпеки……………………………………... 56

  4. Синхронізація програми безпеки з життєвим циклом систем……………………………………………….………..57

Розділ 5. Керування ризиками......…………………... 61

  1. Основні поняття………………......…………………... 61

  2. Підготовчі етапи керування ризиками……………... 63


5.3. Основні етапи керування ризиками.………………... 65

Розділ 6. Процедурний рівень інформаційної безпеки…...70

  1. Основні класи заходів процедурного рівня………………………………………………………... 70

  2. Керування персоналом………...……………………... 70

  3. Фізичний захист………………..………………………..73

  4. Підтримка працездатності…….……………………... 76

  5. Реагування на порушення режиму безпеки………... 79

  6. Планування відновлювальних робіт………………... 81

Розділ 7. Основні програмно-технічні заходи………….. 85

  1. Основні поняття програмно-технічного рівня інформаційної безпеки… …....85

  2. Особливості сучасних інформаційних систем, істотні з погляду безпеки………...................................................... 88

  3. Архітектура безпеки………….……………………... 90

Розділ 8. Ідентифікація й аутентифікація, керування доступом……………………………….…………..……….94

  1. Ідентифікація й аутентифікація……………………... 94

  2. Парольна аутентифікація……………………... 96

  3. Одноразові паролі……………………... 97

  4. Ідентифікація аутентифікація за допомогою біометричних даних………………………………………100

  5. Керування доступом. Основні поняття……………………... 102

  6. Рольове керування доступом……………………... 106

  7. Керування доступом в Jаvа-середовищі……………………... 11 і

8.8.Можливий підхід до керування доступом у розподіленому об'єктному

середовищі……………………... 113

Розділ 9. Протоколювання й аудит, шифрування, контроль цілісності…… 117

  1. Протоколювання й аудит. Основні поняття…………117

  2. Активний аудит. Основні поняття…………………... 119

  3. Функціональні компоненти й архітектура………... 122

  4. Шифрування……………………... 124

  5. Контроль цілісності……………………... 128

  6. Цифрові сертифікати……………………... 131

Розділ 10. Екранування та аналіз захищеності………... 133

  1. Екранування. Основні поняття…………………... 133

  2. Архітектурні аспекти……………………... 135

  3. Класифікація міжмережевих екранів……………………... 139

  4. Аналіз захищеності…….…………………... 143

Розліт 11. Забезпечення високої доступності…………... 145

  1. Доступність. Основні поняття……………………... 145

  2. Основні заходи забезпечення високої доступності...148

  3. Відмовостійкість і зона ризику…………………... 149

  4. Забезпечення відмовостійкості…………………... 151

  5. Програмне забезпечення проміжного шару……... 154

  6. Забезпечення обслуговування……………………... 155

Розділ 12. Тунелювання й керування…………………... 157

  1. Тунелювання, ……………………... 157

  2. Керування. Основні поняття……………………... 158

  3. Можливості типових систем……………………... 161

Післямова……………………... 165

Література ,…………... 166

Додатки……………………... 167

Перелік скорочень

ІБ - інформаційна безпека;

ІС - інформаційна система;

ПЗ - програмне забезпечення;

ПЗП - постійний запам'ятовуючий пристрій;

АБС - автоматизована банківська система;

ОС - операційна система;

ПЕМІН - побічні електромагнітні випромінювання і наведення;

СУБД- системи управління базами даних;

РКД - рольове керування доступом;

ПРД - правила розмежування доступу;

ЕЦП - електронний цифровий підпис;

МЕ - міжмережевий екран;

ПЗ ПШ - програмне забезпечення проміжного шару.


Вступ

Мета заходів в області інформаційної безпеки - захистити інтереси суб'єктів інформаційних відносин. Інтереси ці різноманітні, але всі вони концентруються навколо трьох основних аспектів:

  • доступність;

  • цілісність;

  • конфіденційність.

Перший крок при побудові системи ІБ організації - ранжування й деталізація цих аспектів.

Важливість проблематики ІБ пояснюється двома основними причинами:

  • цінністю накопичених інформаційних ресурсів;

  • критичною залежністю від інформаційних технологій.

Руйнування важливої інформації, крадіжка конфіденційних даних, перерва у роботі внаслідок відмови - все це виливається у великі матеріальні втрати, завдає шкоди репутації організації. Проблеми з системами керуванняабо медичними системами загрожують здоров'ю й життю людей.

Сучасні інформаційні системи складні й, виходить, небезпечні вже саміпо собі, навіть без обліку активності зловмисників. Постійно виявляються новіуразливі місця в програмному забезпеченні. Доводиться брати до увагинадзвичайно широкий спектр апаратного й програмного забезпечення, численнізв'язки між компонентами.

Змінюються принципи побудови корпоративних ІС. Використовуютьсячисленні зовнішні інформаційні сервіси; надаються зовні власні; отрималоширокого поширення явище, позначене російським словом "аутсорсинг", количастина функцій корпоративної ІС передається зовнішнім організаціям.Розвивається програмування з активними агентами.

Підтвердженням складності проблематики ІБ є паралельний (і доситьшвидкий) ріст витрат на захисні заходи й кількості порушень ІБ у сполученні зростом середнього збитку від кожного порушення. (Остання обставина - щеодин довід на користь важливості ІБ.)

Успіх в області інформаційної безпеки може принести тількикомплексний підхід, що уособлює в собі заходи чотирьох рівнів:

  • законодавчого;

  • адміністративного;

  • процедурного;

  • програмно-технічного.

Проблема ІБ - не тільки (і не стільки) технічна; без законодавчої бази, безпостійної уваги керівництва організації й виділення необхідних ресурсів, беззаходів керування персоналом і фізичного захисту вирішити її неможливо.Комплексність також ускладнює проблематику ІБ; необхідна взаємодіяфахівців з різних галузей.

Як основний інструмент боротьби зі складністю пропонується об'єктно-орієнтований підхід. Інкапсуляція, успадкування, поліморфізм, виділенняграней об'єктів, варіювання рівня деталізації - все це універсальні поняття,знання яких необхідно всім фахівцям з інформаційної безпеки.

Законодавчий рівень є найважливішим для забезпечення інформаційноїбезпеки. Необхідно всіляко підкреслювати важливість проблеми ІБ;сконцентрувати ресурси на найважливіших напрямках досліджень;скоординувати освітню діяльність; створити й підтримувати негативневідношення до порушників ІБ - все це функції законодавчого рівня.

На законодавчому рівні особливої уваги заслуговують правові акти йстандарти.

Головне завдання засобів адміністративного рівня - сформувати програмуробіт в області інформаційної безпеки й забезпечити її виконання, виділяючинеобхідні ресурси й контролюючи стан справ.

Основою програми є політика безпеки, що відбиває підхід організації дозахисту своїх інформаційних активів.

Розробка політики й програми безпеки починається з аналізу ризиків,першим етапом якого, у свою чергу, є ознайомлення з найпоширенішимизагрозами.

Головні загрози - внутрішня складність 1С, ненавмисні помилки штатнихкористувачів, операторів, системних адміністраторів й інших осіб, щообслуговують інформаційні системи.

На другому місці по розміру збитку стоять крадіжки й підробки.

Реальну небезпеку представляють пожежі й інші аварії підтримуючоїінфраструктури.

У загальному числі порушень росте частка зовнішніх атак, але основнийзбиток як і раніше наносять "свої".

Для переважної більшості організацій досить загального знайомства зризиками; орієнтація на типові, апробовані рішення дозволить забезпечитибазовий рівень безпеки при мінімальних інтелектуальних і поміркованихматеріальних витратах.

Розробка програми й політики безпеки може бути прикладомвикористання поняття рівня деталізації. Вони повинні підрозділятися на кількарівнів, що трактують питання різного ступеня специфічності. Важливимелементом програми є розробка й підтримка в актуальному стані карти ІС.

Безпеку неможливо додати до системи; її потрібно закладати із самогопочатку й підтримувати до кінця.

Заходи процедурного рівня орієнтовані на людей (а не на технічні засоби)і підрозділяються на наступні види:

  • керування персоналом;

  • фізичний захист;

  • підтримка працездатності;

  • реагування на порушення режиму безпеки;

  • планування відновлювальних робіт.

На цьому рівні застосовуються важливі принципи безпеки:

  • безперервність захисту в просторі й часі;

  • поділ обов'язків;

  • мінімізація привілеїв.



Тут також застосовуються об'єктний підхід і поняття життєвого циклу.Перший дозволяє розділити контрольовані сутності (територію, апаратуру йт.д.) на відносно незалежні підоб'єкти, розглядаючи їх з різним ступенемдеталізації й контролюючи зв'язок між ними.

Поняття життєвого циклу корисно застосовувати не тільки доінформаційних систем, але й до співробітників. На етапі ініціації повинен бутирозроблений опис посади з вимогами до кваліфікації й виділених комп'ютернихпривілеїв; на етапі установки необхідно провести навчання, у тому числі зпитань безпеки; на етапі виведення з експлуатації варто діяти акуратно, недопускаючи завдання збитків скривдженими співробітниками.

Інформаційна безпека багато в чому залежить від акуратного веденняпоточної роботи, що включає:

  • підтримку користувачів;

  • підтримку програмного забезпечення;

  • конфігураційне керування;

  • резервне копіювання;

  • керування носіями;

  • документування;

  • регламентні роботи.

Елементом повсякденної діяльності є відстеження інформації в областіІБ; як мінімум, адміністратор безпеки повинен підписатися на списокрозсилання по нових пробілах у захисті (і вчасно ознайомлюватися з вхіднимиповідомленнями).

Потрібно, однак, заздалегідь готуватися до неординарних подій, тобто допорушень ІБ. Заздалегідь продумана реакція на порушення режиму безпекипереслідує три головні цілі:

  • локалізація інциденту й зменшення нанесеної шкоди;

  • виявлення порушника;

  • попередження повторних порушень.


Виявлення порушника - процес складний, але перший і третій пунктиможна й потрібно ретельно продумати й відпрацювати.

У випадку серйозних аварій необхідне проведення відбудовних робіт.Процес планування таких робіт можна розділити на наступні етапи:

  • виявлення критично важливих функцій організації, установленняпріоритетів;

  • ідентифікація ресурсів, необхідних для виконання критично важливихфункцій;

  • визначення переліку можливих аварій;

  • розробка стратегії відбудовних робіт;

  • підготовка до реалізації обраної стратегії;

  • перевірка стратегії.

Програмно-технічні заходи, тобто заходи, спрямовані на контролькомп'ютерних сутностей - устаткування, програм й/або даних, утворюютьостанній і найважливіший рубіж інформаційної безпеки.

На цьому рубежі стають очевидними не тільки позитивні, але й негативнінаслідки швидкого прогресу інформаційних технологій. По-перше, додатковіможливості з'являються не тільки у фахівців з ІБ, але й у зловмисників. По-друге, інформаційні системи увесь час модернізуються, перебудовуються, доних додаються недостатньо перевірені компоненти (у першу чергу програмні),що утрудняє дотримання режиму безпеки.

Заходи безпеки доцільно розділити на наступні види:

  • превентивні, перешкоджаючі порушенням ІБ;

  • заходи виявлення порушень;

  • локалізуючі, звужуючі зону впливу порушень;

  • заходи щодо виявлення порушника;

  • заходи відновлення режиму безпеки.

У продуманій архітектурі безпеки всі вони повинні мати місце.Із практичної точки зору важливими також є наступні принципиархітектурної безпеки:

  • безперервність захисту в просторі й часі, неможливість оминути захиснізасоби;

  • наслідування визнаним стандартам, використання апробованих рішень;

  • ієрархічна організація ІС із невеликою кількістю сутностей на кожномурівні;

  • посилення найслабшої ланки;

  • неможливість переходу в небезпечний стан;

  • мінімізація привілеїв:

  • поділ обов'язків:

  • ешелонованість оборони;

  • розмаїтність захисних засобів;

  • простота й керованість інформаційної системи.

Центральним для програмно-технічного рівня є поняття сервісубезпеки. До числа таких сервісів входять:• ідентифікація й аутентифікація;

  • керування доступом;

  • протоколювання й аудит;

  • шифрування;

  • контроль цілісності;

  • екранування;

  • аналіз захищеності;

  • забезпечення відмовостійкості;

  • забезпечення безпечного відновлення;

  • тунелювання;

  • керування.

Ці сервіси повинні функціонувати у відкритому мережевому середовищі зрізнорідними компонентами, тобто бути стійкими до відповідних загроз, а їхнєзастосування повинне бути зручним для користувачів й адміністраторів.Наприклад, сучасні засоби ідентифікації/аутентифікації повинні бути стійкимидо пасивного й активного прослуховування мережі й підтримувати концепціюєдиного входу в мережу.

Виділимо найважливіші моменти для кожного з перерахованих сервісівбезпеки:

  1. Кращими є криптографічні методи аутентифікації, реалізованіпрограмним або апаратно-програмним способом. Парольний захист ставанахронізмом, біометричні методи мають потребу в подальшій перевірці вмережевому середовищі.

  2. В умовах, коли поняття довіреного програмного забезпеченнявідходить у минуле, стає анахронізмом і найпоширеніша - похідна(дискреційна) - модель керування доступом. У її термінах неможливо навітьпояснити, що таке "троянська" програма. В ідеалі при розмежуванні доступуповинна враховуватися семантика операцій, але поки для цього є тількитеоретична база. Ще один важливий момент - простота адміністрування вумовах великої кількості користувачів, і ресурсів, і безперервних змінконфігурації. Тут може допомогти рольове керування. Протоколювання й аудитповинні бути всепроникаючими й багаторівневими, з фільтрацією даних припереході на більш високий рівень. Це необхідна умова керованості. Бажанезастосування засобів активного аудиту, однак потрібно усвідомлюватиобмеженість їхніх можливостей і розглядати ці засоби як один з рубежівешелонованої оборони, причому не найнадійніший. Варто конфігурувати їхтаким чином, щоб мінімізувати кількість фіктивних тривог і не робитинебезпечних дій при автоматичному реагуванні.

Усе, що пов'язано до криптографією, складно не стільки з технічної,скільки з юридичної точки зору; для шифрування це складніш у декілька разів.Даний сервіс є інфраструктурним, його реалізація повинна мати місце на всіхапаратно-програмних платформах і задовольняти жорстким вимогам, якістосуються не тільки безпеки, але й продуктивності. Поки ж єдиним доступнимвиходом є застосування вільно розповсюджуваного ПЗ.

Надійний контроль цілісності також базується на криптографічнихметодах з аналогічними проблемами й методами їхнього вирішення. Можливо,прийняття Закону про електронний цифровий підпис змінить ситуацію накраще, буде розширений спектр реалізацій. На щастя, до статичної цілісності єй не криптографічні підходи, засновані на використанні запам'ятовуючихпристроїв, дані на які доступні тільки для читання. Якщо в системі розділитистатичну й динамічну складові й помістити першу в ПЗП або на компакт-диск,можна в зародку придушити загрози цілісності. Розумно, наприклад,записувати реєстраційну інформацію на пристрої з одноразовим записом: тодізловмисник не зможе "приховати сліди".

Аналіз захищеності - це інструмент підтримки безпеки життєвого циклу.Схожість його з активним аудитом - еврестичність, необхідність практичнобезперервного відновлення бази знань і роль не найнадійнішого, аленеобхідного захисного рубежу, на якому можна розташувати вільнорозповсюджуваний продукт.

Місія забезпечення інформаційної безпеки складна, у багатьох випадкахнездійсненна, проте завжди шляхетна.

Автори висловлюють щиру подяку доктору юридичних наук, професоруКузьмічову Володимиру Сергійовичу «Київський національний університетвнутрішніх справ», доктору політичних наук, професору Сосніну ОлександруВасильовичу «дипломатична академія України при Міністерстві закордоннихсправ України» та доктору технічних наук, професору Козловському ВалеріюВікторовичу «інститут спеціального зв'язку та захисту інформації Національноготехнічного університету «КПІ» за уважне та доброзичливе рецензування тазауваження, яке сприяло значному поглибленню та покращенню підручника.

Крім того, автори висловлюють подяку за співробітництво співробітникамСлужби безпеки України та Державної служби спеціального зв'язку та захистуінформації.

З огляду на те, що у підручнику вперше систематизовано викладаютьсяпитання інформаційної безпеки, він не може бути без недоліків, тому авторибудуть щиро вдячні за висловлені зауваження та пропозиції щодо покращенняйого.

Розділ 1
  1   2   3   4   5   6   7   8   9   ...   18

Схожі:

К-сть годин
Структура інформаційної системи. Апаратна й інформаційна складові інформаційної системи. Взаємозв’язки апаратної та інформаційної...
Урок №4. Тема: Структура інформаційної системи. Апаратна та програмна...
Мета: ознайомити учнів із структурою інформаційної системи, основними пристроями апаратної складової інформаційної системи, їх функціями...
ФОРМУВАННЯ ІНВЕСТИЦІЙНОЇ МОДЕЛІ У НАПРЯМКУ ПІДВИЩЕННЯ ІННОВАЦІЙНОЇ БЕЗПЕКИ РЕГІОНІВ
У статті розкриті теоретико-методологічні основи дослідження економічної безпеки, визначено сутність і структуру категорії, систему...
Лекція 1 ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Перш ніж говорити про інформаційну безпеку необхідно з’ясувати, що таке інформація
НАВЧАЛЬНО-МЕТОДИЧНІ МАТЕРІАЛИ ДО СЕМІНАРСЬКИХ ЗАНЯТЬ з дисципліни...
Правові та організаційні основи безпеки підприємницької діяльності: навчально-методичні матеріали до семінарських занять / Розробник:...
КАЛЕНДАРНЕ ПЛАНУВАННЯ З "ОСНОВИ БЕЗПЕКИ ЖИТТЄДІЯЛЬНОСТІ"

Напрямки інформаційної безпеки Інформаційна безпека має кілька напрямків
В условиях ужесточения конкуренции успех предпринимательства, гарантия получения прибыли все в большей мере зависят от сохранности...
Організація позамашинної та машинної інформаційної бази
Поняття машинної інформаційної бази. Особливості розміщення інформації на машинних носіях
ПВНЗ «ЄВРОПЕЙСЬКИЙ УНІВЕРСИТЕТ» КАФЕДРА “ОРГАНІЗАЦІЇ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ”
Поняття, специфіка та витоки правового забезпечення захисту інформації. Проблеми інформаційної безпеки України Основні терміни та...
ЗАТВЕРДЖЕНО
Призначення і основи організації технічної служби Державного департаменту пожежної безпеки МВС України
Додайте кнопку на своєму сайті:
Портал навчання


При копіюванні матеріалу обов'язкове зазначення активного посилання © 2013
звернутися до адміністрації
bibl.com.ua
Головна сторінка