МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ КУЛЬТУРЫ
Л.И. АЛЕШИН
ЗАЩИТА ИНФОРМАЦИИ И
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Курс лекций
Москва 1999
Печатается по решению Редакционно-издательского совета
Московского государственного университета культуры
Рецензенты: Дворкина М.Я., доктор педагогических наук, профессор,
Скворцов В.В., доктор педагогических наук, профессор,
Хромов М.Е., кандидат физико-математических наук, зам.
директора центракомпьютерного моделирования
Алешин Л.И. Защита информации и информационная безопасность: Курс лекций.-М.:МГУК, 1999.- с.
В лекциях логично и последовательно показано значение информационной безопасности, дается анализ угроз сохранности информации. Рассматриваются методы и средства защиты информации, их классификация, показаны уровни и классы ее защиты. Подробно характеризуются организационные, технические и программные средства защиты информации.
г
Московский государственный университет культуры, 1999г
Л.И. АлешинСодержание
|
Предисловие |
4 |
|
Введение |
6 |
|
Тема 1. Информационная безопасность человека и общества |
12 |
|
Тема 2. Информационные ресурсы. Основные характеристики |
22 |
|
2.1. Классификация информационных ресурсов (источников) |
25 |
|
Тема 3. Анализ угроз сохранности информации |
29 |
|
3.1. Возможности технических средств промышленного шпионажа |
36 |
|
Тема 4. Характеристика методов и средств защиты информации |
40 |
|
4.1. Классификация основных методов и средств защиты информации в центрах обработки, компьютерах и сетях |
42 |
|
4.2. Основные методы и средства защиты информации в центрах обработки, компьютерах и сетях |
44 |
|
Тема 5. Уровни и классы защиты информации |
52 |
|
Тема 6. Организационные методы защиты данных |
58 |
|
6.1. Назначение и задачи служб безопасности |
60 |
|
6.2. Организация работ на объекте |
63 |
|
6.3. Требования к обслуживающему персоналу |
65 |
|
Тема 7. Технические средства охраны объектов и защиты от утечки информации |
68 |
|
7.1. Технические средства охраны объектов |
68 |
|
7.2. Технические средства противодействия съему информации по основным возможным каналам ее утечки |
75 |
|
Тема 8. Программные средства защиты в компьютерах и компьютерных сетях |
80 |
|
8.1. Программные средства защиты данных |
80 |
|
8.2. Защита программного обеспечения от несанкционированного доступа |
81 |
|
8.3. Вирусы и антивирусные средства |
83 |
|
8.4. Защита в компьютерных сетях |
90 |
|
Список литературы |
96 |
Предисловие
Информация является важнейшим ресурсом человеческого общества. Она выражается в накопленном в течение многих лет многоаспектном информационном потенциале, хранящемся на территории проживания данного общества, то есть на нашей планете. Все возрастающие объемы разнообразной информации (символьной, текстовой, графической и др.) и расширение круга ее пользователей вызывают потребность контролировать ее достоверность, обеспечивать защиту от несанкционированного доступа, искажения, потери и копирования с целью соблюдения государственного и мирового законодательства, а также прав авторов информации.
Данный курс разработан для студентов библиотечно-информационного факультета МГУК, обучающихся по специальности “Документоведение и документационное обеспечение управления”, однако может быть использован практически для любых специальностей, изучаемых в гуманитарных вузах. Он нацелен на освещение основных вопросов защиты информации и состоит из лекционных, семинарских и практических (лабораторных) занятий; включает самостоятельную и индивидуальную подготовку обучаемых. Самостоятельная работа проводится вне рамок учебного расписания, предназначена для закрепления изучаемого материала и ознакомления с рекомендованной литературой. При подготовке к занятиям, зачету или экзамену следует также использовать материалы, публикуемые в специальных журналах: “PC Week”, “LAN”, “СофтМаркет”, “Мир ПК”, “Компьютерра”, “Открытые системы”, “Защита информации. Конфидент”, “Системы безопасности, связи и телекоммуникаций”, “Информационные ресурсы России” и др.
В связи с тем, что настоящий курс не обеспечен учебно-методической литературой, данные лекции предназначены для оказания помощи студентам в успешном освоении названной дисциплины.
Формы контроля знаний студентов – индивидуальные задания и рефераты, результаты выполнения практических и контрольных работ, а также зачет или экзамен.
Курс может быть использован
для студентов различных гуманитарных вузов дневной, вечерней, заочной, а также дистанционной форм обучения.ВВЕДЕНИЕ
Основные вопросы:
Понятия информации. Место, связь, цель и роль курса.
Место данного курса. Он базируется на знании таких дисциплин, как “Информатика”, “Информационные системы”, “Технические средства информатизации”, “ЭВМ и программное обеспечение” или “Вычислительная техника и программирование”, “Автоматизированные информационные системы” и др. Разнообразие названий главным образом связано с принятыми стандартами на обучение для различных специальностей. Дисциплина гармонично вписывается в среду названных курсов и является самостоятельным учебным курсом.
Вместе с курсами “Информационные компьютерные сети”, “Технологии мультемедиа”, “Гипертекстовые и экспертные системы”, “Электронные издания” и тому подобные данная дисциплина образует единый цикл дисциплин, связанных с компьютерными технологиями.
Роль курса возрастает. Это связано, с одной стороны, с тем, что увеличиваются потоки информации, и в общем объеме передаваемых данных растет доля политической и особенно экономической (коммерческой) информации и т.п.
С другой, слишком сильные ограничения доступа индивидуумов к информации создают возможности государству манипулировать их сознанием и поведением, создавая определенные поведенческие стереотипы, ограничивая права и свободы личности. Наконец, неограниченно свободный доступ к любой информации ведет к непредсказуемым последствиям, провоцируя в обществе напряженные ситуации, делает личность незащищенной (с точки зрения доступа к персональной информации посторонних лиц) и вызывает аналогичные ограниченному доступу к информации последствия.Несмотря на потребность общества, организаций и отдельных граждан в защите информации в нашей стране осознание данной проблемы идет неоправданно медленными темпами. В то же время уже сегодня современный квалифицированный специалист обязан знать и уметь применять хотя бы основные положения в данной области. Таким образом, изучение подобного курса необходимо в любых высших учебных заведениях.
Цель (задача) курса – дать комплекс знаний о методах защиты информации и практических навыков по обеспечению информационной безопасности. В результате обучаемые должны уметь обеспечивать безопасность хранения, жизнедеятельности (использования) и передачи машиночитаемой информации при ее разработке и эксплуатации в различных средах. В процессе обучения у студентов формируются теоретические знания и практические навыки обеспечения на предприятиях, в учреждениях, организациях и офисах информационной безопасности.
Тема 1. Информационная безопасность человека и общества
Основные вопросы:
Основные понятия. Законодательство.
Объекты безопасности. Воздействия и цели защиты информации. Проблемы защиты информации. Категории информации. Информация как товар. Коммерческая тайна.
Проблемы, касающиеся защиты прав каждого человека, организаций и государства в целом как собственников, владельцев и потребителей информации позволяют классифицировать защищаемую информацию по ее степени важности и ценности. В Законе определено три категории таких данных:
1) информация, составляющая государственную тайну;
2) персональные данные;
3) информация, составляющая коммерческую тайну…
Тема 2. Информационные ресурсы. Основные характеристики
Основные вопросы:
Информационные ресурсы как объект защиты. Информационные процессы и системы. Основные понятия, классификация.
2.1. Классификация информационных ресурсов (источников)
Информационные ресурсы могут быть классифицированы различным образом: по принадлежности (государственные и не государственные); по типу документов (документографические, библиографические, фактографические, концептографические; экономического, правового, коммерческого, научно-технического, конъюнктурного, социального, экологического, обучающего, культурного и др. характера); по типу используемых средств (аппаратные, программные, информационных коммуникаций, технологий и др.); по признакам хранения, обработки и передачи (традиционные и автоматизированные); по месту нахождения (располагаются локально или удаленно); по лингвистическому признаку. Информационные ресурсы могут быть товаром и т.д.
Тема 3. Анализ угроз сохранности информации
Основные вопросы:
Случайные и целенаправленные угрозы нарушения сохранности информации. Дезинформация. Естественные и искусственные, внешние и внутренние угрозы сохранности информации.
Информационное оружие. Уязвимость информации (факторы).
Существуют естественные (случайные) и искусственные (целенаправленные, преднамеренные) угрозы нарушения сохранности, а значит, и достоверности, конфиденциальности информации, которые, в свою очередь, делятся на внешние и внутренние.
Важным аспектом проблемы является существование так называемого “информационного оружия”, подходы к созданию которого были сформулированы американским генералом Колином Пауэлом в 1982 году…
3.1. Возможности технических средств промышленного шпионажа
Широко известны такие технические средства, как видео- и аудиозаписи, кино-, фотосъемки, средства радио-, телефонной связи и др., которые широко применяются в различных сферах деятельности человека, в том числе и при осуществлении промышленного шпионажа. При этом следует отметить, что вообще-то законами РФ, например, “О конкуренции и ограничении монополистской деятельности на товарных рынках”, не установлены специальные ограничения на использование технических средств наблюдения с улицы за объектами, находящимися внутри любых помещений, т.е. принадлежащих организациям и частным лицам…
Тема 4. Характеристика методов и средств защиты информации
Основные вопросы:
Понятия защиты информации. Классификация основных методов и средств защиты информации в центрах обработки, компьютерах и сетях. Управление доступом. Преобразование информации.
Основными понятиями защиты информации являются: безопасность, конфиденциальность, достоверность и сохранность...
4.1.
Классификация основных методов и средств защиты информации в центрах обработки, компьютерах и сетяхШирокий спектр средств и методов защиты информации обычно делят на две группы: организационные и технические. Под организационными подразумеваются законодательные, административные и физические, а под техническими – аппаратные, программные и криптографические. Основной упор в мире делается на создание программных, в том числе, программно-криптографических средств защиты информации…
4.2. Основные методы и средства защиты информации в центрах обработки, компьютерах и сетях
В качестве методов защиты информации от несанкционированного доступа и использования в вычислительных сетях используются следующие: установление контроля и препятствий на несанкционированный доступ к информации; преобразование информации и управление доступом к ней…
Тема 5. Уровни и классы защиты информации
Основные вопросы:
Критерии безопасности. “Оранжевая книга” США. Классы безопасности. ITSEC
1. Требование к политике безопасности.
Произвольное управление доступом. Повторное использование объектов.
Метки безопасности. Целостность меток безопасности.
Принудительное управление доступом.
2. Требования к подотчетности.
Идентификация и аутентификация. Предоставление надежного пути.
Аудит и др.
Тема 6. Организационные методы защиты данных
Основные вопросы:
Задачи, правила и способы достижения информационной безопасности Ответственные лица. Планирование защитных действий. Служба и уровни безопасности. Организация работ на объекте.
При организации защиты информации рекомендуют (Fites) руководствоваться соответствующими правилами. В них указано, что для организации защиты необходимо:
1. Определить вероятность угрозы.
2. Выяснить, что и от чего собираются защищать.
3. Обосновать применение соответствующих мер защиты.
4. Совершенствовать защиту по мере выявления уязвимых мест.
6.1. Назначение и задачи служб безопасности
Потери от хищения информации исчисляются миллионами долларов. Ущерб от несанкционированного распространения ноу-хау фирмы IBM за последние 10 лет составил 1 млрд. долл. Такое положение дел вызывает потребность большинства ведущих фирм (США, Англии, Франции, Японии) тратить от 15 до 20% прибыли на совершенствование систем защиты информации и обеспечение безопасности бизнеса…
6.2. Организация работ на объекте
Проверка безопасности составляет важную часть работы компьютерных сред. Она осуществляется периодически с помощью проведения ревизии политики безопасности и защитных механизмов (организационных, технических). Большое значение придается обучению и периодическому контролю знаний работников по защите от естественных и искусственных способов нарушения безопасности...
6.3. Требования к обслуживающему персоналу
Современное общество все больше становится зависимым от компьютеров и, следовательно, информационной безопасности. В последние 10 лет многие страны уделяют значительное внимание данной проблеме…
Тема 7. Технические средства охраны объектов и защиты от утечки информации
Основные вопросы:
Технические средства охраны объектов и противодействия съему информации по каналам ее утечки.
7.1. Технические средства охраны объектов
К техническим средствам охраны объектов относится так называемая физическая защита, т.е. защита зданий, прилегающих к ним территорий, а также оборудования внутри зданий, в том числе компьютеров…
7.2.
Технические средства противодействия съему информации по основным возможным каналам ее утечкиНевозможно переоценить важность хорошей аппаратной защиты от попытки злоумышленников овладеть информацией. Она должна входить в состав программы безопасности, разработанной в соответствующей организации, и служить целям профилактики, быстрого реагирования на нарушение режима безопасности (блокирование нарушителя), а также недопущения повторных нарушений. При создании концепции безопасности организации значительное внимание уделяется проектированию систем технического обеспечения ее защиты с учетом разумного совмещения физической и технической охраны. При монтаже оборудования следует учитывать качество оборудования и выполнения работ, так как 90% срабатываний сигнализации являются ложными и вызваны в большей степени именно этим обстоятельством...
Тема 8. Программные средства защиты в компьютерах и компьютерных сетях
Основные вопросы:
Программные средства защиты информации, защита от несанкционированного доступа.
Вирусы и антивирусные средства. Защита в компьютерных сетях.
8.1. Программные средства защиты данных
Программные средства защиты информации представляют собой комплекс алгоритмов и программ специального и общего обеспечения функционирования компьютеров и вычислительных сетей, нацеленных на контроль, разграничение доступа и исключения проникновение несанкционированной информации…
8.2. Защита программного обеспечения от несанкционированного доступа
Одним из важных аспектов защиты программного обеспечения является защита авторских прав его создателей…
8.3. Вирусы и антивирусные средства
Понятия “вирусы” и “антивирусные средства” широко используются в компьютерной технике. “Компьютерные вирусы” – программы, а значит они выполняются в памяти и сохраняются в файле…
8.4. Защита в компьютерных сетях
Практически все вычислительные сети любого уровня в настоящее время имеют выход в среду Internet/Intranet. Работа в сетях налагает еще большие ограничения на несанкционированный доступ к информации и ее бесконтрольное распространение…
Список литературы
1. Безруков Н.Н. Классификация компьютерных вирусов MS-DOS и методы защиты от них.- М.: Информэйшн Компьютер Энтерпрайз,1990.-48 с.
2. Виталиев Г. Исторические заметки об авторских правах на программные продукты//Review Софт Маркет.- С.2-4.
3. Галатенко В. Информационная безопасность – обзор основных положений // Открытые системы.-1996.-№3.-С.42-45.
4. Галатенко В. Информационная безопасность // Открытые системы.-1996.-№4.-С.40-47.
5. Галатенко В. Информационная безопасность – обзор основных положений. (Часть 1 и 2)/ Jet Info: Информационный бюллетень.-1996.-№1.-23 с.
6. Гроувер Д. Защита программного обеспечения.-М.:Мир,1992.
7. Защита информации. Конфидент.-1995.-№6/4.-120 с.
8. Защита информации. Конфидент.-1997.-№1.-96 с.
9. Защита информации. Конфидент.-1998.-№1.-96 с.
10. Защита информации в персональных ЭВМ/Спесивцев А.В., Вегнер В.А., Кружяков А.Ю., Серегин В.В., Сидоров В.А.-М.:Радио и связь, ВЕСТА, 1993.-191 с.
11. Защита ЭВМ/ Сяо Д,, Керр Д., Медник С.-М.:Мир,1982.-264 с.
12. Информационные ресурсы России.-1995.-№2.-С.5.
13. Информационные ресурсы России.-1995.-№3.-С.9.
14. Колесов А. Впервые наказаны пираты-пользователи//PC Week.-№16.- 1998.-28 апреля.-С.10.
15. Курбаков К.И. Безопасность систем и информационное обеспечение// Стратегия экономической безопасности и инновационной политики (страна, регион, фирма) /Под ред. Олейникова Е.А..-М.:Изд-во Рос.экон. акад.,1994.-С.37-44.
16. Ловцев Д.А. Защита информации // Информатика и образование.-1997.-№8.-С.117-123.
17. Никитин Ф. Глобальная сеть нуждается в глобальной защите // Мир связи и информации Connect!.-1996.-сент.-окт.-С.128-134.
18. Расторгуев С. Программные методы защиты информации в компьютерах и сетях.-М.:Яхтсмен,1993.-188 с.
19. Филлипс К. Безопасность через касание//PC Week.-№16.-1998.-28 апреля.-С.38-39.
20. Хоффман Дж. Современные методы защиты информации.-М.:Сов.радио,1980.-264 с.
21. Черняк Л. Информационное оружие // Мир связи и информации Connect!.-1996.-сент.-окт.-С.30-34.
22. Швартау У. Анатомия дружеского взлома //Сети.-1998.-май.-С.97-104.
23. Шураков В.В. Обеспечение сохранности информации в системах обработки данных.-М.:Финансы и статистика,1985.-224 с.
24. Юзвишин И.И, Информациология или закономерности информационных процессов и технологий в микро- и макромирах Вселенной: Монография.-4-е изд., испр.-М.: Международное издательство Информациология, 1996.- 215 с.
25. Fites M., Kratz P. and Brebner A. “Control and Security of Computer Information Systems”, Computer Science Press, 1989.
26. Jet Info: Информационный бюллетень.-1996.-№10/11.-44 с.
Подписано в печать 24.02.99 г. Формат 60х84 1/16.
Усл.-печ. л. 6. Уч.-изд. л. 6. Тираж 100 экз.
Заказ Цена 8 руб. Ротапринт МГУК.