- •1 Введение в дисциплину
- •1.1 Проблема защиты информации, эволюция подходов к обеспечению защиты информации. Основные понятия и определения курса
- •1.2 Информационная безопасность в условиях функционирования в России глобальных сетей
- •2. Угрозы и нарушения информационной безопасности, основные способы защиты
- •2.1 Угрозы и нарушения информационной системы
- •2.1.1 Понятие угрозы информационной безопасности. Классификация угроз
- •2.1.2 Три вида возможных нарушений информационной системы
- •2.1.3 Виды противников или «нарушителей»
- •2.2 Защита от несанкционированного доступа к информационной системе
- •2.2.1 Инженерно-технические методы и средства защиты информации
- •2.2.2 Аппаратные средства защиты информации
- •2.2.3 Программные средства защиты информации
- •2.2.4 «Аутентификация пользователей»
- •2.2.5 Программно-аппаратная защита информации от локального несанкционированного доступа
- •2.2.6 Комплексные системы защиты информации
- •3 Организационно-правовое обеспечение информационной безопасности
- •3.1 Основные методы и средства организации защиты информации от несанкционированного доступа
- •3.1.1 Организационно-правовая защита информации
- •3.1.2 Основные виды мероприятий по защите информации
- •3.1.3 Уровни правового обеспечения информационной безопасности
- •3.1.4 Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
- •3.1.5 Назначение и задачи в сфере обеспечения информационный безопасности на уровне государства
- •3.2 Международные стандарты информационного обмена
- •3.2.1 Стандартизация в мире
- •3.2.2 Критерии оценки безопасности компьютерных систем или «Оранжевая книга»
- •3.2.3 Информационная безопасность распределенных систем. Рекомендации X.800
- •3.2.4 Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •3.2.5 Гармонизированные критерии Европейских стран
- •3.2.6 Интерпретация "Оранжевой книги" для сетевых конфигураций
- •3.2.7 Руководящие документы Гостехкомиссии России
- •4 Основные положения теории безопасности информационных систем
- •4.1 Модели безопасности и их применение
- •4.1.1 Модель систем дискреционного разграничения доступа
- •4.1.2 Мандатное управление доступом
- •4.1.3 Ролевое разграничение
- •4.2 Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование
- •4.2.1 Таксономия изъянов защиты (из)
- •4.2.2 Таксономия причин возникновения изъянов защиты
- •4.2.3 Анализ способов нарушений информационной безопасности
- •4.3 Использование защищённых компьютерных систем
- •4.3.1 Понятие «защищенность». Концепция «Защищенные информационные системы»
- •История
- •4.3.2 Защищенные технологии в целом
- •4.3.3 Модель защищенных информационных систем
- •Средства
- •4.3.4 Проблемы использования защищенных компьютерных систем
- •Сложность обработки данных
- •Избыточность аппаратных средств
- •Межмашинные процессы
- •Идентификация личности пользователя
- •Средства программирования
- •Функциональная совместимость16
- •Концептуальные модели
- •4.4 Методы антивирусной защиты информационных систем
- •4.4.1 Понятие о видах вирусов
- •4.4.2 Программные закладки
- •4.4.3 Проблема выбора антивирусной программы
- •4.4.5 Методика использования антивирусных программ
- •4.4.6 Перспективные методы антивирусной защиты информационных систем
- •4.5 Экономические информационные системы и их безопасность
- •4.5.1 Понятие Экономической информационной системы
- •4.5.2 Основные технологии построения защищенных эис
- •5 Криптология
- •5.1 Введение в криптологию. Методы криптографии
- •5.1.1 Криптография и криптоанализ. История криптографии
- •5.1.2 Методы криптографии
- •5.1.3 Криптографические стандарты des и гост 28147—89
- •5.2 Криптографический интерфейс приложений ос «Windows»
- •5.2.1 Понятие защищенной и незащищенной ос
- •5.2.2 Защита документов Microsoft Office от несанкционированного доступа
Идентификация личности пользователя
В связи с проблемой создания защищенных информационных систем иногда поднимаются вопросы, касающиеся идентификации личности пользователя. Идентификация личности не фигурирует в модели в явном виде, поскольку пользователь не ожидает, что компьютерная система будет ее определять. Тем не менее, личность пользователя – это ключевое понятие, в соответствии с которым предоставляются те или иные услуги. Идентификация личности (проверка подлинности клиента, аутентификация) должна быть устойчива к взлому, чтобы можно было с большей надежностью предпринимать действия на основе полученной информации о пользователе (проверка полномочий14, авторизация). Поэтому пользователи ожидают, что их персональные данные будут защищены от нежелательного использования.
Описать, что такое личность, сложно в принципе, но это особенно сложно в электронной среде. Мы используем рабочее определение, что личность представляет собой совокупность неизменных составляющих из числа отличительных характеристик, по которым человек (или предмет) может быть узнан или которыми он известен. Личность – понятие расплывчатое и контекстно-зависимое, поскольку эти «обрывки»-составляющие находятся в самых разных местах в электронной, физической и эмоциональной форме. Какая-то часть личности «принадлежит» пользователю, но в значительной степени личность «определяется» другими людьми, будь то юридически (государством или компаниями) или в порядке неформального узнавания в обществе.
В проблему идентификации личности упираются многие элементы защищенности информационных систем. Пользователи беспокоятся о компьютерной конфиденциальности частично из-за того, что они понимают, что казалось бы несвязанные составляющие их личности могут легче быть собраны в одно целое, когда фрагменты находятся в электронном виде. Лучшее свидетельство тому – растущая в обществе боязнь мошенничества с кредитными картами и «кражи личностей», поскольку операции в Интернете более прозрачны и анонимны по сравнению с офлайновыми операциями, хотя оба эти преступления столь же возможны в физическом мире. Пользователи ожидают, что их персональная информация, включая составляющие их личности, не будет раскрываться без особого на то разрешения.
Люди
Управлять очень крупными компьютерными сетями уже непросто и со временем становится лишь сложнее. Масштабность трудностей маскируется тем, что пока мы, как правило, нанимаем для этого специалистов. Недостатки машин, сетей, методов управления, инструментов и самих приложений часто смягчаются талантливыми системными администраторами, напряженная работа которых в какой-то степени компенсирует тот факт, что компоненты систем не всегда функционируют так, как ожидается или как хотелось бы.
Многие системные сбои, привлекающие много внимания, происходят из-за сложности систем. Люди допускают ошибку в администрировании, не устанавливают пакет исправлений или неправильно настраивают брандмауэр15, и простой сбой превращается в катастрофу. Существует очень сильная зависимость от операторов-людей, которые должны делать то, что нужно, изо дня в день.
Знающих администраторов уже не хватает, и мы продолжаем сдавать позиции. Хуже того, потребности в администрировании выходят за рамки сферы деятельности профессиональных ИТ-менеджеров. С одной стороны, мы пришли к ситуации, когда даже лучшим операторам приходится трудно: системы меняются слишком быстро, чтобы люди успевали с этим разобраться. С другой стороны, массовое распространение компьютеров в конце концов породит необслуживаемые системы, которые люди будут носить с собой или держать в машине или дома.
Поэтому нам нужно предоставить людям более простые возможности, которые обеспечат надлежащее функционирование системы при минимальном вмешательстве человека. Мы должны стремиться к ситуации, когда люди, принимающие решения, смогут задать политику и распространить ее на тысячи машин, не прилагая при этом существенных усилий по написанию программ, переключению рычагов или нажатию кнопок на администраторских пультах.
ИТ-индустрия может подойти к проблеме различными путями. Может быть, на самом деле следует совершенно иначе писать программы? Необходимы ли в принципе системные администраторы? Или нам следует разрабатывать машины, которые смогут администрировать другие машины без постоянного вмешательства человека?