Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Доклад'
Данный публичный доклад – средство обеспечения информационной открытости и прозрачности работы Муниципального дошкольного образовательного учреждения...полностью>>
'Конкурс'
Для участі в конкурсному відборі до секції 22 «Дослідження з проблем природничих наук» приймаються наукові проекти фундаментального і прикладного спр...полностью>>
'Педагогическая практика'
Научно – педагогическая практика (далее - НПП) магистрантов является обязательной составной частью образовательной программы высшего профессиональног...полностью>>
'Книга'
Серия «Современная школьная энциклопедия» — универсальное справочное издание, которое поможет не только подготовиться к экзаменам, но и расширить кру...полностью>>

Курс лекций для студентов специальности 050501 Профессиональное обучение (по отраслям) специализация Программное обеспечение вт и ас

Главная > Курс лекций
Сохрани ссылку в одной из сетей:

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

государственное образовательное учреждение среднего профессионального образования

Кемеровский государственный профессионально-педагогический колледж

(Кем ГППК)

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

КУРС ЛЕКЦИЙ

для студентов специальности 050501 Профессиональное обучение

(по отраслям) специализация Программное обеспечение ВТ и АС,

080802 Прикладная информатика (по отраслям)

Кемерово 2010

Содержание

Содержание 2

Раздел 1. Задачи информационной безопасности 4

и уровни ее обеспечения 4

Тема 1. Основные понятия информационной безопасности 4

Тема 2. Обеспечение информационной безопасности на государственном уровне 7

2.1 Доктрина в области информационной безопасности РФ 7

2.2 Правовая основа системы лицензирования и сертификации в РФ 9

2.3 Категории информации 12

Тема 3. Направления защиты информации в информационных системах 15

3.1 Характеристика направлений защиты информации 15

3.2 Защита информационных объектов (БД) 17

3.2.1 Идентификация и аутентификация 17

3.2.2 Управление доступом 17

1.2.3Угрозы, специфичные для СУБД 20

Раздел 2 Программно-технические средства защиты информационных систем 21

Тема 4. Ключевые механизмы защиты информационных систем от несанкционированного доступа 21

4.1 Идентификация и аутентификация 21

4.1.1 Парольная аутентификация 21

4.1.2 Использование токенов для аутентификации 25

4.1.3 Устройства контроля биометрических характеристик 27

4.2.Управление доступом 28

4.3 Протоколирование и аудит 30

Тема 5. Криптографические методы и средства для защиты информации 32

5.1 Основные термины и понятия криптографии 32

5.2 Криптоаналитические атаки. 34

5.3 Понятие стойкости алгоритма шифрования 34

5.4 Симметричные криптографические системы 35

5.4.1 Блочные алгоритмы симметричного шифрования 36

5.4.2 Стандарт шифрования Российской Федерации ГОСТ 28147-89 41

5.5 Алгоритмы поточного шифрования. 52

5.6 Ассиметричные или двухлючевые криптографические системы 53

5.6.1 Системы с открытым ключом 54

5.6.2 Метод RSA 55

5.7 Электронно-цифровая подпись 56

5.7.1Методы сжатия преобразуемых данных на основе однонаправленных ХЭШ-функциях 58

5.7.2Работа с ЭЦП по алгоритму ГОСТ Р 34.10-2001 59

5.8 Составные криптографические системы 59

5.9 Управление ключами 63

5.9.1 Генерация ключей 63

5.9.2 Накопление ключей 64

5.9.3 Распределение ключей 64

5.9.4 Распределение ключей в асимметричных криптосистемах 64

5.10 Стеганография 66

5.11Надежность криптосистем 67

Раздел 3 Обеспечение информационной безопасности на уровне предприятия 68

Тема 6. Защита программного обеспечения 68

6.1 Характеристика вредоносных программ 68

6.2 Модели воздействия программных закладок на компьюторы 70

6.3 Защита от программных закладок 72

6.3.1 Защита от внедрения программных закладок 73

6.3.2 Выявление внедренной программной закладки 73

6.4 Клавиатурные шпионы 74

6.4.1 Имитаторы 74

6.4.2 Фильтры 74

6.4.3 Заместители 75

6.5 Парольные взломщики 75

Тема 7. Безопасность распределенных вычислительных систем в Интернет 76

7.1 Особенности безопасности компьютерных сетей 76

7.2Удаленные атаки на распределенные вычислительные системы 79

7.3 Характеристика и механизмы реализации типовых удаленных атак 82

Понятие типовой удаленной атаки 82

7.3.1 Анализ сетевого трафика 82

7.3.2 Подмена доверенного объекта или субъекта распределенной ВС 83

7.3.3 Ложный объект распределенной ВС 84

7.3.4 Отказ в обслуживании 87

7.4. Причины успеха удаленных атак на распределенные вычислительные системы и сеть Internet 89

7.4.1. Отсутствие выделенного канала связи между объектами РВС 89

7.4.2 Недостаточная идентификация и аутентификация объектов и субъектов РВС 90

7.4.3 Взаимодействие объектов без установления виртуального канала 90

7.4.4 Использование нестойких алгоритмов идентификации объектов при создании виртуального канала 90

7.4.5 Отсутствие контроля за виртуальными каналами связи между объектами РВС 91

7.4.6 Отсутствие в РВС возможности контроля за маршрутом сообщений 91

7.4.7 Отсутствие в РВС полной информации о ее объектах 92

7.4.8 Отсутствие в РВС криптозащиты сообщений 92

7.5 Принципы создания защищенных систем связи в распределенных вычислительных системах 92

7.6Методы защиты от удаленных атак в сети Internet 99

7.6.1 Административные методы защиты от удаленных атак 99

7.6.2. Программно-аппаратные методы защиты от удаленных атак в сети Internet 101

7.7 Удаленные атаки на телекоммуникационные службы 109

7.7.1 Направления атак и типовые сценарии их осуществления в ОС UNIX 109

7.7.2. Причины существования уязвимостей в UNIX-системах 111

Защита хоста 112

7.7.3. Средства автоматизированного контроля безопасности 114

Тема 8. Политика безопасности компьютерных систем и ее реализация 117

8.1 Государственные документы об информационной безопасности 117

8.2Наиболее распространенные угрозы 123

8.3 Управленческие меры обеспечения информационной безопасности 125

8.3.1 Политика безопасности 125

8.3.2 Программа безопасности - управленческий аспект 130

8.3.3 Управление рисками 131

8.3.4 Безопасность в жизненном цикле системы 134

8.4 Операционные регуляторы 136

8.4.1 Управление персоналом 137

8.4.2 Физическая защита 138

8.4.3 Поддержание работоспособности 139

8.4.4 Реакция на нарушение режима безопасности 141

8.4.5 Планирование восстановительных работ 142

8.5 Анализ современного рынка программно-технических средств защиты информации
144

Тема 9. Защита авторских прав на программное обеспечение 147

9.1 Методы правовой защиты 148

9.2 Методы и средства технологической защиты авторских прав на программное обеспечение 153

Раздел 1. Задачи информационной безопасности

и уровни ее обеспечения

Тема 1. Основные понятия информационной безопасности

ВВЕДЕНИЕ

Актуальность вопросов защиты информации особенно возросла в настоящее время в связи со стремительным повышением роли и значения информации в развитии современного общества вообще и в экономике в частности.

Аспекты информации:

  1. Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их проявления. (Закон РФ "Об информации, информатизации и защите информации" (ФЗ РФ №24-ФЗ от 20.05.95 )

  2. Информация – это фундаментальная философская категория.

  3. Информация - это важнейший ресурс, на добывание которого тратятся огромные силы и средства.

  4. Информация – это ценный товар, производством и сбытом которого занято огромное количество людей.

  5. Информация – это сила, приводящая в движение производственные силы мощности, армии, общественные структуры, ранящая и поднимающая людей.

Компьютерная информация – это информация, представленная в доступной для восприятия компьютерной форме, зафиксированная в памяти компьютера, на машинном носителе или передаваемая по телекоммуникационным каналам.

Информация – продукт человеческой деятельности, который в готовом виде всегда и всем кажется дешевым. ЕЕ принято считать ценной лишь тогда, когда ее можно использовать, причем ее полезность сильно зависит от полноты, точности, достоверности и актуальности.

Информационный ресурс – это отдельные документы, массивы документов в библиотеках, архивах, фондах, банков данных и др. информационных системах.

Информация в настоящее время стала стержнем развития экономики. В ведущих индустриальных странах мира большая часть служащих занята обработкой информации (в США и Японии, например, этот показатель составляет 75-80%).

В связи с широким использованием новейших информационных технологий возникла проблема информационной безопасности в автоматизированных системах обработки, хранения и передачи конфиденциальной информации. Широкое распространение получила компьютерная преступность.

Весьма актуальными в нашей стране в настоящее время являются вопросы защиты интеллектуальной собственности и информации, составляющей, например, личную, коммерческую или служебную тайну.

Общепризнанным является также факт возрастания роли информационной безопасности в общей системе национальной безопасности.

При этом под термином «информационная безопасность» на уровне государства понимается «состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства».

Под информационной безопасностью (ИБ) или безопасностью информационных технологий подразумевают защищенность информации, передаваемой, накапливаемой, обрабатываемой и хранимой в информационно- вычислительных системах от случайных или преднамеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущерба владельцам информационно ресурса или пользователям информации.

Пользователи информации в компьютерных системах – это субъекты, обращающиеся к информационно – вычислительным системам за необходимой информацией.

Таким образом, существует проблема защиты информации на всех уровнях – от физических и юридических лиц до государства в целом.

Информационная безопасность - это многомерная и многогранная область действия, в которой успех может принести только систематический комплексный подход.

Проблему обеспечения информационную безопасность можно классифицировать по 3-м группам признаков:

  • Задачи

  • Уровни обеспечения

  • Субъекты, заинтересованные в информационной безопасности.

Аспекты информационной безопасности:


Доступность – возможность за приемлемое время получить информационные услуги, а также предотвращение несанкционированного отказа в получении информации.

Целостность – предотвращение несанкционированной модификации или нарушения информации.

Конфиденциальность – предотвращение несанкционированного ознакомления с информацией.

На концептуально – политическом уровне принимаются документы, которые определяют основные направления государственной политики информационной безопасности, задачи и средства достижения поставленных целей. Примером такого документа является Доктрина информационной безопасности РФ.

На законодательном уровне создается и поддерживается комплекс мер, направленных на правовое регулирование обеспечения информационной безопасности, которая отражается в законах, указах президента, постановленных правительством.

Правовое обеспечение защиты информации зависит от вида и характера носителей информации. Электронная форма записи резко повышает возможность дистанционного перехвата информации без видимого перемещения материальных объектов. Наличие различных источников угроз, ведение бумажного и электронного делопроизводства конфиденциального характера требуют разграничения прав, обязанностей и компетенции коммерческих и некоммерческих структур, юридических и физических лиц, а также установления мер административной и уголовной ответственности.

На нормативно – техническом уровне разрабатываются стандарты, руководящие материалы, методические документы, регламентирующие процессы разработки, внедрения и эксплуатации средств обеспечения информационной безопасности (Руководящие документы Гостехкомиссии при президенте РФ 1992г.).

Важной задачей этого уровня в настоящее время является, в частности, приведение в соответствие российских стандартов с международным уровнем информационных технологий вообще и ИБ в частности.

Практический опыт показывает, что информационную безопасность предприятию может обеспечить только комплексная система защиты информации. Такая система должна включать правовые, организационные и технические методы защиты.

Организационная структура, реализующая комплекс мер безопасности на предприятии - служба безопасности базируется на правовых, методических и организационно-распорядительных документах, определяющих статус, права и обязанности этих органов защиты, порядок лицензирования их деятельности и сертификацию используемых ими технических средств защиты информации.

На уровне предприятия осуществляются конкретные меры по обеспечению информационной безопасности деловой деятельности. Для предприятия можно выделить два характерных уровня обеспечения ИБ – административный и программно-технический.

Основной мерой административного уровня является разработка политики и программы безопасности.

Политика безопасности – совокупность документированных управленческих решений, направленных на защиту информации и связанных с ней ресурсов. Политика безопасности определяет стратегию организации в области ИБ, а также количество ресурсов, которое руководство считает целесообразным выделить. Она строится на анализе рисков, которые признаются реальными для информационной системы организации.

В составе конкретных мер административного уровня можно выделить:

  1. управление персоналом;

  2. физическая защита;

  3. поддержание работоспособности;

  4. реагирование на нарушение безопасности;

  5. планирование восстановительных работ.

На программно-техническом уровне доступны следующие механизмы безопасности:

  1. идентификация и аутентификация;

  2. управление доступом;

  3. протоколирование и аудит;

  4. криптографические средства защиты;

  5. межсетевое экранирование (брандмауэр, firewall).

На уровне отдельных граждан: граждане являются самым незащищенным в правовом отношении субъектом правовых отношений (нет законов о защите индивидуальной информации, номеров телефонов, почтовых рассылок (данные паспорта)).

Актуальность обеспечения информационной безопасности.

По мнению экспертов, при полном рассекречивании информации коммерческой фирмы она просуществует:

52% экспертов считают, что несколько часов, 48% - несколько дней.

Если речь идет о банках, то 33% - несколько часов, 67% - несколько дней.

Причины убытков компании, пренебрегающей защитой информации:

- ошибки персонал 65%

- вирусы 63%

- неработоспособность 51%

- злоумышленные действия работников 32%

- злоумышленные действия внешних работников 18%

- промышленный шпионаж 6%

- неизвестные причины 15%

Тема 2. Обеспечение информационной безопасности на государственном уровне

2.1 Доктрина в области информационной безопасности РФ

Государственная политика Российской федерации в области защиты информации (ЗИ) сформировалась в начале 90-х годов и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Доктрина в области информационной безопасности РФ была утверждена 9 сентября 2000 г. президентом. Она развивает концепцию национальной безопасности применительно к информационной сфере.

Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина служит основой для:

  • формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;

  • подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации;

  • разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

I. Информационная безопасность Российской Федерации

1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение

2. Виды угроз информационной безопасности Российской Федерации

3. Источники угроз информационной безопасности Российской Федерации

4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению

II. Методы обеспечения информационной безопасности Российской Федерации

5. Общие методы обеспечения информационной безопасности Российской Федерации

6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни

III. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации

8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации

9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации

IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации

10. Основные функции системы обеспечения информационной безопасности Российской Федерации

11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

Доктрина определяет следующие основные принципы государственной политики:

  1. Соблюдение конституции РФ, законодательства, общепризнанных принципов и норм международного права. Ст.29 Конституции РФ гласит, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

  2. Открытость в реализации функций федеральных органов власти и общественных объединений, предусматривающая информированность общества об их деятельности с учетом ограничений, установленных законодательством РФ.

  3. Правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса.

  4. Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.

Доктриной определены следующие функции государства в области ИБ:

  • осуществлять контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области безопасности.

  • проводить необходимую протекционистскую политику в отношении производителей средств информации и защиты информации на территории РФ и защищать внутренний рынок от проникновения на него некачественных информационных продуктов и средств информатизации.

  • способствовать предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам и глобальным информационным сетям.

Мероприятия по реализации государственной политики обеспечения информационной безопасности РФ, определяемые Доктриной:

  • Разработка и внедрение механизмов реализации правовых норм, регулирующих отношения в информационной сфере.

  • Принятие и реализация федеральных программ в области повышения правовой культуры и компьютерной грамотности граждан, создание безопасных ИТ, обеспечение технологической независимости страны в области создания и эксплуатации информационно – технологических систем оборонного значения.

  • Гармонизация отечественных стандартов в области информатизации и обеспечения информационной безопасности автоматизирующих систем управления, информационных и телекоммуникационных систем общего и специального значения.

К первоочередным задачам в области обеспечения информационной безопасности, согласно выводам отнесены:

  • разработка и внедрение механизмов реализации действующего законодательства, регулирующего отношения в информационной сфере;

  • пресечение компьютерной преступности (включая методическое и технологическое обеспечение следственной, оперативно-розыскной деятельности правоохранительных органов, специальных служб, судебных разбирательств, в том числе подготовку кадров в этой сфере);

  • повышение правовой и информационной культуры, а также компьютерной грамотности граждан.

К объектам государственной защиты в области информационной безопасности РФ относятся:

  1. Все виды информационных ресурсов (ИР)

  2. Права граждан, юридических .лиц, государства на получение, распространение, использование информации, защиту конфиденциальной информации и интеллектуальной собственности.

  3. Система формирования, распространения, использования ИР, включающая ИС разного класса и назначения, библиотеки, архивы, БД и БнД, ИТ, регламенты и процедуры сбора, обработки и передачи, хранения информации, научно-технический персонал.

  4. Информационная инфраструктура, включающая. центры обработки и анализа информации, каналы информационного обмена, системы и средства защиты информации.

  5. Система формирования общественного сознания (мировоззрение, общественные ценности, социально допустимые стереотипы поведения)

В соответствии с концепцией информационной безопасности основные положения государственной политики в области защиты информации заключается в следующем:

  1. Ограничение доступа к информации есть исключение из общего принципа открытости информации и осуществляется только на основе законодательства.

  2. Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется.

  3. Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляется с учетом определенного законом права собственности на эту информацию.

  4. Государство формирует нормативно – правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере.

  5. Государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации.

  6. Государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информации и защиты информации.

  7. Государство способствует предоставлению гражданам доступа к МИР, глобальным информационным сетям.

  8. Государство стремится к отказу от зарубежных информационных технологий для информатизации органов государственной власти и управления по мере создания конкурентоспособных отечественных информационных технологий и средств информатизации.

  9. Государство формирует федеральную программу информационной безопасности, объединяющую усилия государственных организаций и коммерческих структур.



Скачать документ

Похожие документы:

  1. Нтов и проведения государственной аккредитации утвержденного приказом Государственной службы по надзору и контролю в сфере образования Кемеровской области от 10

    Документ
    Составлено на основании порядка представления документов и проведения государственной аккредитации утвержденного приказом Государственной службы по надзору и контролю в сфере образования Кемеровской области от 10.
  2. Отчет о работе государственного образовательного учреждения среднего профессионального образования

    Публичный отчет
    Мы работаем для того, чтобы содействовать функционированию и развитию системы НПО и СПО Кузбасса в подготовке качественных профессионально-педагогических кадров,
  3. Отчет о результатах самообследования Укрупненной группы специальностей (угс) (2)

    Публичный отчет
    Специальность 230102.65 – «Автоматизированные системы обработки информации и управления» открыта в МГУП в 1995/96 учебном году приказом Минобразования России № 404 от 22.
  4. Омгту авиационные двигатели и энергетические установки Омгту

    Документ
    ОмГТУ, СибАДИ Автоматизированные системы обработки информации и управления ОмГТУ Автоматика, телемеханика и связь на железнодорожном транспорте ОмГУПС Агроинженерия ОмГАУ, ТФ ОмГАУ Агрономия ОмГАУ,

Другие похожие документы..