- •Учебное пособие
- •Аннотация
- •Список сокращений
- •Содержание
- •Введение
- •Научные и технические предпосылки кризисной ситуации.
- •Бурное развитие программного обеспечения.
- •Понятие «защищенная система».
- •1. Основные понятия и определения предмета защиты информации
- •1.1. Общее содержание проблемы информационной безопасности
- •1.2 Информация и информационные отношения. Субъекты информационных отношений
- •1.3. Ценность информации
- •1.4. Модель решетки ценностей
- •1.5. Mls решетка
- •1.6. Определение требований к защищенности информации
- •1.7. Критерии, условия и принципы отнесения информации к защищаемой. Виды конфиденциальной информации.
- •1.8. Выводы
- •1.9. Вопросы для самоконтроля
- •Угрозы информации, методология их выявления и оценки
- •2.1. Санкционированный и несанкционированный доступ
- •2.2. Угрозы информации, методология их выявления и оценки
- •2.3. Ретроспективный анализ подходов к формированию множества угроз информации
- •2.4. Цели и задачи оценки угроз информации в современных системах ее обработки
- •2.5. Система показателей уязвимости информации
- •2.6. Классификация и содержание угроз информации
- •2.7. Методы и модели оценки уязвимости информации
- •2.8. Выводы
- •2.9. Вопросы для самоконтроля
- •3. Общая классификация защитных мер
- •3.1. Базовые свойства безопасности информации. Каналы реализации угроз
- •3.2. Основные принципы обеспечения информационной безопасности
- •3.3. Меры обеспечения безопасности компьютерных систем
- •3.4. Характеристика способов защиты компьютерной информации с помощью аппаратно-программных мер
- •3.5. Выводы
- •3.6. Вопросы для самоконтроля
- •4. Идентификация и аутентификация субъектов
- •4.1. Классификация подсистем идентификации и аутентификации субъектов
- •4.2. Парольные системы идентификации и аутентификации пользователей
- •4.3. Идентификация и аутентификация с использованием индивидуальных биометрических характеристик пользователя
- •4.4. Выводы
- •4.5. Вопросы для самоконтроля
- •5. Элементы теории чисел
- •5.1. Модулярная арифметика
- •5.2. Простые числа и их свойства
- •5.3. Числовые функции
- •5.4. Выводы
- •5.5. Вопросы для самоконтроля
- •6. Методы и средства криптографической защиты
- •6.1. Принципы криптографической защиты информации
- •6.2. Традиционные симметричные криптосистемы
- •6.2.1. Шифрование методом замены
- •6.2.2. Шифрование методами перестановки
- •6.2.3. Шифрование методом гаммирования
- •6.3. Элементы криптоанализа
- •6.4. Современные симметричные системы шифрования
- •6.4.1. Стандарт шифрования des (сша)
- •6.4.2. Отечественный стандарт симметричного шифрования
- •6.5. Асимметричные криптосистемы
- •6.5.1. Недостатки симметричных криптосистем и принципы асимметричного шифрования
- •6.5.2. Однонаправленные функции
- •6.5.3. Алгоритм шифрования rsa
- •6.6. Выводы
- •6.7. Вопросы для самоконтроля
- •7. Контроль целостности информации. Электронно-цифровая подпись
- •7.1. Проблема обеспечения целостности информации
- •7.2. Функции хэширования и электронно-цифровая подпись
- •7.3. Выводы
- •7.4. Вопросы для самоконтроля
- •8. Протоколы безопасной аутентификации пользователей
- •8.1. Аутентификация на основе сертификатов
- •8.2. Процедура «рукопожатия»
- •8.3. Протокол Диффи-Хеллмана
- •8.4. Выводы
- •8.5. Вопросы для самоконтроля
- •9. Управление носителями конфиденциальной информации и внесением изменений.
- •9.1. Носители информации как объект защиты
- •9.2 Разделение тестовой среды и среды промышленной эксплуатации информационной системы. Процесс управления изменениями.
- •9.3. Выводы
- •9.4. Вопросы для самоконтроля
- •10. Разграничение доступа к информации в компьютерных системах
- •10.1. Модели разграничения доступа к информации
- •10.2. Субъектно-объектная модель компьютерной системы в механизмах и процессах коллективного доступа к информационным ресурсам
- •10.2. Монитор безопасности и основные типы политик безопасности
- •10.3. Гарантирование выполнения политики безопасности
- •10.4. Выводы
- •10.5. Вопросы для самоконтроля
- •11. Политики безопасности
- •11.1. Формальные и неформальные политики безопасности
- •11.2. Формальные методы анализа систем
- •11.3. Характеристика моделей безопасности
- •11.4. Выводы
- •11.5. Вопросы для самоконтроля
- •12. Модели безопасности
- •12.1. Модели разграничения доступа
- •12.2. Модели дискреционного доступа
- •12.2.1. Модель дискреционного доступа адепт-50.
- •12.2.2. Пятимерное пространство Хартсона
- •12.2.3. Модель Харрисона-Руззо-Ульмана
- •12.3. Модели мандатного доступа
- •12.3.1. Модель Белла и Лападула
- •12.4. Специализированные модели
- •12.4.1. Модель mms
- •12.5. Проблемы моделей предоставления прав
- •12.6. Информационные модели
- •12.6.1. Модель невмешательства
- •12.6.2. Модель невыводимости
- •12.7. Вероятностные модели
- •12.7.1. Игровая модель
- •12.7.2.Модель системы безопасности с полным перекрытием
- •12.8 .Модели контроля целостности
- •12.8.1. Модель Биба
- •12.8.2. Модель Кларка-Вилсона
- •12.9. Механизмы защиты от угрозы отказа в обслуживании
- •12.9.1. Основные понятия ово
- •12.9.2. Мандатная модель ово
- •12.9.3. Модель Миллена распределения ресурсов (мрр)
- •12.10. Выводы
- •12.11. Вопросы для самоконтроля
- •13. Обзор и сравнительный анализстандартов информационной безопасности
- •13.1. Основные понятия и определения
- •13.2. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •13.2.1. Таксономия требований и критериев "Оранжевой книги"
- •13.2.2. Классы безопасности компьютерных систем
- •13.2.3. Интерпретация и развитие "Оранжевой книги"
- •13.3. Европейские критерии безопасности информационных технологий
- •13.3.1. Основные понятия
- •13.3.2. Функциональные критерии
- •13.3.3. Критерии адекватности
- •13.4. Руководящие документы Гостехкомиссии России
- •13.4.1. Основные положения
- •13.4.2. Концепция защиты свт и ас от нсд к информации
- •13.4.3. Показатели защищенности средств вычислительной техники от нсд
- •13.4.4. Показатели защищенности автоматизированных систем от нсд
- •13.5. Федеральные критерии безопасности информационных технологий
- •13.5.1. Цель разработки
- •13.5.2. Основные положения
- •13.5.3. Профиль защиты
- •13.5.4. Этапы разработки Профиля защиты
- •13.5.5. Функциональные требования к ит–продукту
- •13.5.6. Таксономия функциональных требований
- •13.5.7. Ранжирование функциональных требований
- •13.5.8. Требования к технологии разработки ит–продукта
- •13.5.9. Требования к процессу квалификационного анализа ит-продукта
- •13.6. Единые критерии безопасности информационных технологий
- •13.6.1. Цель разработки
- •13.6.2. Основные положения
- •13.6.3. Профиль защиты
- •13.6.4. Проект защиты
- •13.6.5. Требования безопасности
- •13.6.6. Функциональные требования
- •13.6.7. Требования адекватности
- •13.7. Анализ стандартов информационной безопасности
- •13.8. Выводы
- •13.9. Вопросы для самоконтроля
- •Список литературы
- •420111, Г. Казань, ул. К.Маркса, 10
Содержание
ВВЕДЕНИЕ 9
1. Основные понятия и определения предмета защиты информации 14
1.1. Общее содержание проблемы информационной безопасности 14
1.2 Информация и информационные отношения. Субъекты информационных отношений 19
1.3. Ценность информации 24
1.4. Модель решетки ценностей 25
1.5. MLS решетка 27
1.6. Определение требований к защищенности информации 28
1.7. Критерии, условия и принципы отнесения информации к защищаемой. Виды конфиденциальной информации. 32
1.8. Выводы 38
1.9. Вопросы для самоконтроля 38
1.Угрозы информации, методология их выявления и оценки 40
2.1. Санкционированный и несанкционированный доступ 40
2.2. Угрозы информации, методология их выявления и оценки 41
2.3. Ретроспективный анализ подходов к формированию множества угроз информации 46
2.4. Цели и задачи оценки угроз информации в современных системах ее обработки 50
2.5. Система показателей уязвимости информации 51
2.6. Классификация и содержание угроз информации 54
2.7. Методы и модели оценки уязвимости информации 57
2.8. Выводы 62
2.9. Вопросы для самоконтроля 63
3. Общая классификация защитных мер 64
3.1. Базовые свойства безопасности информации. Каналы реализации угроз 64
3.2. Основные принципы обеспечения информационной безопасности 67
3.3. Меры обеспечения безопасности компьютерных систем 69
3.4. Характеристика способов защиты компьютерной информации с помощью аппаратно-программных мер 71
3.5. Выводы 74
3.6. Вопросы для самоконтроля 74
4. Идентификация и аутентификация субъектов 76
4.1. Классификация подсистем идентификации и аутентификации субъектов 76
4.2. Парольные системы идентификации и аутентификации пользователей 78
4.3. Идентификация и аутентификация с использованием индивидуальных биометрических характеристик пользователя 81
4.4. Выводы 87
4.5. Вопросы для самоконтроля 88
5. Элементы теории чисел 90
5.1. Модулярная арифметика 90
5.2. Простые числа и их свойства 92
5.3. Числовые функции 93
5.4. Выводы 94
5.5. Вопросы для самоконтроля 94
6. Методы и средства криптографической защиты 96
6.1. Принципы криптографической защиты информации 96
6.2. Традиционные симметричные криптосистемы 98
6.2.1. Шифрование методом замены 99
6.2.2. Шифрование методами перестановки 106
6.2.3. Шифрование методом гаммирования 108
6.3. Элементы криптоанализа 110
6.4. Современные симметричные системы шифрования 112
6.4.1. Стандарт шифрования DES (США) 113
6.4.2. Отечественный стандарт симметричного шифрования 120
6.5. Асимметричные криптосистемы 132
6.5.1. Недостатки симметричных криптосистем и принципы асимметричного шифрования 132
6.5.2. Однонаправленные функции 137
6.5.3. Алгоритм шифрования RSA 138
6.6. Выводы 141
6.7. Вопросы для самоконтроля 141
7. Контроль целостности информации. Электронно-цифровая подпись 144
7.1. Проблема обеспечения целостности информации 144
7.2. Функции хэширования и электронно-цифровая подпись 146
7.3. Выводы 150
7.4. Вопросы для самоконтроля 150
8. Протоколы безопасной аутентификации пользователей 152
8.1. Аутентификация на основе сертификатов 152
8.2. Процедура «рукопожатия» 154
8.3. Протокол Диффи-Хеллмана 155
8.4. Выводы 158
8.5. Вопросы для самоконтроля 158
9. Управление носителями конфиденциальной информации и внесением изменений. 159
9.1. Носители информации как объект защиты 159
9.2 Разделение тестовой среды и среды промышленной эксплуатации информационной системы. Процесс управления изменениями. 165
9.3. Выводы 171
9.4. Вопросы для самоконтроля 171
10. Разграничение доступа к информации в компьютерных системах 173
10.1. Модели разграничения доступа к информации 173
10.2. Субъектно-объектная модель компьютерной системы в механизмах и процессах коллективного доступа к информационным ресурсам 176
10.2. Монитор безопасности и основные типы политик безопасности 181
10.3. Гарантирование выполнения политики безопасности 189
10.4. Выводы 198
10.5. Вопросы для самоконтроля 198
11. Политики безопасности 199
11.1. Формальные и неформальные политики безопасности 199
11.2. Формальные методы анализа систем 201
11.3. Характеристика моделей безопасности 206
11.4. Выводы 210
11.5. Вопросы для самоконтроля 210
12. Модели безопасности 211
12.1. Модели разграничения доступа 211
12.2. Модели дискреционного доступа 211
12.2.1. Модель дискреционного доступа АДЕПТ-50. 212
12.2.2. Пятимерное пространство Хартсона 213
12.2.3. Модель Харрисона-Руззо-Ульмана 216
12.3. Модели мандатного доступа 217
12.3.1. Модель Белла и Лападула 218
12.4. Специализированные модели 226
12.4.1. Модель MMS 227
12.5. Проблемы моделей предоставления прав 231
12.6. Информационные модели 232
12.6.1. Модель невмешательства 233
12.6.2. Модель невыводимости 234
12.7. Вероятностные модели 237
12.7.1. Игровая модель 237
12.8 .Модели контроля целостности 241
12.8.1. Модель Биба 241
12.8.2. Модель Кларка-Вилсона 249
12.9. Механизмы защиты от угрозы отказа в обслуживании 256
12.9.1. Основные понятия ОВО 257
12.9.2. Мандатная модель ОВО 260
12.9.3. Модель Миллена распределения ресурсов (МРР) 263
12.10. Выводы 267
12.11. Вопросы для самоконтроля 267
13. Обзор и сравнительный анализ стандартов информационной безопасности 269
13.1. Основные понятия и определения 269
13.2. Критерии безопасности компьютерных систем министерства обороны США ("Оранжевая книга") 272
13.2.1. Таксономия требований и критериев "Оранжевой книги" 273
13.2.2. Классы безопасности компьютерных систем 275
13.2.3. Интерпретация и развитие "Оранжевой книги" 278
13.3. Европейские критерии безопасности информационных технологий 281
13.3.1. Основные понятия 281
13.3.2. Функциональные критерии 282
13.3.3. Критерии адекватности 285
13.4. Руководящие документы Гостехкомиссии России 287
13.4.1. Основные положения 287
13.4.2. Концепция защиты СВТ и АС от НСД к информации 288
13.4.3. Показатели защищенности средств вычислительной техники от НСД 291
13.4.4. Показатели защищенности автоматизированных систем от НСД 292
13.5. Федеральные критерии безопасности информационных технологий 294
13.5.1. Цель разработки 294
13.5.2. Основные положения 296
13.5.3. Профиль защиты 298
13.5.4. Этапы разработки Профиля защиты 300
13.5.5. Функциональные требования к ИТ–продукту 302
13.5.6. Таксономия функциональных требований 303
13.5.7. Ранжирование функциональных требований 309
13.5.8. Требования к технологии разработки ИТ–продукта 312
13.5.9. Требования к процессу квалификационного анализа ИТ-продукта 313
13.6. Единые критерии безопасности информационных технологий 316
13.6.1. Цель разработки 316
13.6.2. Основные положения 320
13.6.3. Профиль защиты 323
13.6.4. Проект защиты 327
13.6.5. Требования безопасности 332
13.6.6. Функциональные требования 333
13.6.7. Требования адекватности 340
13.7. Анализ стандартов информационной безопасности 348
13.8. Выводы 357
13.9. Вопросы для самоконтроля 358
Список литературы 360