Введение. Основные понятия и определения предмета защиты информации

Катасёва Д.В.

Курс лекций

СОДЕРЖАНИЕ КУРСА

ЛЕКЦИЯ №1............................................................................................................................................... 2

Введение....................................................................................................................................................... 3

Основные понятия и определения предмета защиты информации................................................ 4

ЛЕКЦИЯ №2............................................................................................................................................... 7

Принципы обеспечения информационной безопасности................................................................... 7

Меры обеспечения безопасности компьютерных систем................................................................. 8

Обзор и классификация политик безопасности (политик разграничения доступа).................... 9

ЛЕКЦИЯ №3............................................................................................................................................. 11

Дискреционные политики безопасности............................................................................................ 11

Мандатные политики безопасности.................................................................................................. 12

Ролевые политики безопасности.......................................................................................................... 14

ЛЕКЦИЯ №4............................................................................................................................................. 16

Политики безопасности контроля целостности информационных ресурсов............................ 16

Идентификация и аутентификация субъектов. Классификация подсистем идентификации и аутентификации..................................................................................................................................... 18

Парольные системы идентификации и аутентификации пользователей.................................. 19

ЛЕКЦИЯ №5............................................................................................................................................. 20

«Тест №1» по лекциям 1-4...................................................................................................................... 20

ЛЕКЦИЯ №6............................................................................................................................................. 20

Идентификация и аутентификация пользователей с использованием технических устройств 20

Идентификация и аутентификация с использованием индивидуальных биометрических характеристик пользователя............................................................................................................... 23

ЛЕКЦИЯ №7............................................................................................................................................. 26

Принципы криптографической защиты информации..................................................................... 26

Симметричные и асимметричные криптосистемы........................................................................ 28

ЛЕКЦИЯ №8............................................................................................................................................. 30

Проблема обеспечения целостности и аутентичности информации......................................... 30

Функции хэширования и электронная цифровая подпись................................................................ 31

ЛЕКЦИЯ №9............................................................................................................................................. 32

«Тест №2» по лекциям 6-8. Подведение итогов семестра (в т.ч. «автоматы»)......................... 32

ЛЕКЦИЯ №1

Введение

Развивающиеся информационные технологии быстро внедряются во все сферы человеческого общества. Информация официально определена объектом, имеющим ценность и стоимость как обычный продукт, причем зачастую, ее стоимость во много раз превосходит стоимость самой компьютерной системы, в которой она хранится и обрабатывается. В связи с этим, собственникам, владельцам и пользователям информации необходимо принимать во внимание возможные злонамеренные воздействия со стороны злоумышленников по отношению к информационным системам. Например, нарушитель может пытаться выдать себя за другого пользователя, прослушать канал связи, перехватить и модифицировать информацию, которой обмениваются пользователи системы, расширить свои полномочия для получения доступа к информации, к которой ему предоставлен только частичный доступ, попытаться разрушить систему и т.д.

По мере развития и усложнения методов, средств и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых информационных технологий. Интенсивное развитие открытых компьютерных сетей привлекает все большее внимание к ним пользователей. Большинство компаний и организаций подключают свои внутренние локальные сети к глобальной сети Internet, чтобы воспользоваться ее ресурсами и преимуществами. Однако при этом возникают серьезные проблемы с обеспечением информационной безопасности подключаемой сети. Интернет предоставляет злоумышленникам много возможностей для вторжения во внутренние сети компаний с целью хищения, искажения или разрушения конфиденциальной информации.

В связи с этим, в настоящее время актуальность приобретает проблема обеспечения информационной безопасности, которая привлекает все большее внимание как специалистов в области компьютерных систем и сетей, так и пользователей.

Основные понятия и определения предмета защиты информации

Под безопасностью автоматизированных систем обработки информации (АСОИ) понимают их защищенность от случайного или преднамеренного вмешательства в нормальный процесс их функционирования, а также от попыток хищения, изменения или разрушения их компонентов.

Одним из основных понятий в информационной безопасности является понятие доступа к информации. Под доступом к информации понимается ознакомление с ней, ее обработка, в частности копирование, модификация и уничтожение.

Понятие доступа к информации неразрывно связано с понятиями субъекта и объекта доступа (см. рис. 1).

Рис. 1. Субъект и объект доступа

Субъект доступа – это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы (пользователь, процесс, прикладная программа и т.п.).

Объект доступа – это пассивный компонент системы, хранящий, принимающий или передающий информацию (файл, каталог и т.п.).

Зачастую, один и тот же компонент системы может являться и субъектом, и объектом различных доступов. Например, программа PROGRAM.EXE, запускаемая пользователем системы, является объектом доступа для данного пользователя. Если та же самая программа PROGRAM.EXE читает с диска некоторый файл FILE.TXT, то при данном доступе она является уже субъектом (показать это на рисунке).

В информационной безопасности различают два типа доступа – санкционированный и несанкционированный.

Санкционированный доступ к информации – это доступ, не нарушающий установленные правила разграничения доступа, служащие для регламентации прав доступа субъектов к объектам.

Несанкционированный доступ (НСД) к информации – доступ, нарушающий установленные правила разграничения доступа. Субъект, осуществляющий НСД, является нарушителем правил разграничения доступа. НСД является наиболее распространенным видом нарушений безопасности информации.

С точки зрения информационной безопасности выделяют следующие свойства информации: конфиденциальность, целостность и доступность.

Конфиденциальность информации – это ее свойство быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы. Для остальных субъектов системы эта информация должна быть неизвестной (см. рис 2).

Рис. 2. Авторизация субъекта

Проверка субъекта при допуске его к информации может осуществляться путем проверки знания им некоторого секретного ключа, пароля и т.п.

Целостность информации – ее свойство быть неизменной при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность информации – ее свойство быть доступной для авторизованных законных субъектов системы, готовность служб к обслуживанию запросов.

Целью злоумышленника является реализация какого-либо рода действий, приводящих к невыполнению (нарушению) одного или нескольких из свойств: конфиденциальности, целостности или доступности информации.

Потенциальная возможность реализации определенных воздействий на АСОИ, которые прямо или косвенно могут нанести ущерб ее безопасности, называется угрозой безопасности информации.

Уязвимость – некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

Атака на компьютерную систему – это непосредственная реализация злоумышленником угрозы безопасности информации.