цКЮБМЮЪ ЯРПЮМХЖЮ яКСВЮИМЮЪ ЯРПЮМХЖЮ
йюрецнпхх:
юБРНЛНАХКХюЯРПНМНЛХЪаХНКНЦХЪцЕНЦПЮТХЪдНЛ Х ЯЮДдПСЦХЕ ЪГШЙХдПСЦНЕхМТНПЛЮРХЙЮхЯРНПХЪйСКЭРСПЮкХРЕПЮРСПЮкНЦХЙЮлЮРЕЛЮРХЙЮлЕДХЖХМЮлЕРЮККСПЦХЪлЕУЮМХЙЮнАПЮГНБЮМХЕнУПЮМЮ РПСДЮоЕДЮЦНЦХЙЮоНКХРХЙЮоПЮБНоЯХУНКНЦХЪпЕКХЦХЪпХРНПХЙЮяНЖХНКНЦХЪяОНПРяРПНХРЕКЭЯРБНрЕУМНКНЦХЪрСПХГЛтХГХЙЮтХКНЯНТХЪтХМЮМЯШуХЛХЪвЕПВЕМХЕщЙНКНЦХЪщЙНМНЛХЙЮщКЕЙРПНМХЙЮ
вВЕДЕНИЕ
|
|
стандарты и рекомендации в области информационной безопасности.
Методические указания
для выполнения курсового проекта
Часть 2.
Ухта, 2009
УДК
С
Николенко, Н.А., Некучаева Н.А. Стандартыи рекомендации в области информационной безопасности [Текст]: Метод. указания для курсового проекта: В 2ч. Ч. 2 / Н.А.Николенко, Н.А. Некучаева. – Ухта: УГТУ, 2009. – 70 с.: ил.
Методические указания предназначены для студентов дневной и заочной форм обучения по специальности 230201 «Информационные системы и технологии» изучающих дисциплину «Информационная безопасность и защита и информации».
Содержания указаний соответствует рабочей учебной программе.
Методические указания рассмотрены и одобрены кафедрой ИСТ пр. № 4 от 16.11.2009 г. и предложены для издания.
Рецензент доцент, кандидат технических наук А.В. Семериков.
План 2009 г., позиция 70.
Подписано в печать. Компьютерный набор.
Объем 70 с. Тираж 100 экз. Заказ №
Ó Ухтинский государственный технический университет, 2009 169300, г.Ухта, ул. Первомайская, 13
Отдел оперативной полиграфии УГТУ
169300, г.Ухта, ул.Октябрьская, 13
Содержание
Введение. 4
2 Практический подход к созданию и поддержанию режима информационной безопасности. 6
2.1 Общие положения. 6
2.2 Наиболее распространенные угрозы.. 10
2.3 Управленческие меры обеспечения информационной безопасности 13
2.4 Операционные регуляторы.. 33
2.5 Основные программно-технические меры.. 46
Заключение. 70
Литература. 72
Введение
Важность проблемы информационной безопасности сейчас очевидна не для всех. Однако очевидна ее (проблемы) сложность, проистекающая как из сложности и разнородности современных информационных систем, так и из необходимости комплексного подхода к безопасности с привлечением законодательных, административных и программно-технических мер.
Информационной безопасностью занимаются давно. Первоначально это было прерогативой государственных организаций, имеющих дело с секретной информацией или отвечающих за обеспечение режима секретности. В 1983 году Министерство обороны США выпустило книгу в оранжевой обложке с названием " Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC) [11], положив тем самым начало систематическому распространению знаний об информационной безопасности за пределами правительственных ведомств. Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде Европейских стран [15]. В 1992 году в России Гостехкомиссия при Президенте РФ издала серию брошюр, посвященных проблеме защиты от несанкционированного доступа [1].
В настоящее время в России, в силу целого ряда причин, наблюдается всплеск интереса к информационной безопасности. В этих условиях ощущается острая нехватка литературы на русском языке, посвященной данной тематике. В то же время даже человеку, свободно читающему по-английски и имеющему практически неограниченный доступ к англоязычной литературе, крайне сложно приобрести навыки, полезные на практике. Как строить безопасные, надежные системы? Как поддерживать режим безопасности? " Оранжевая книга" и издания, следующие в ее фарватере, не дают ответов на эти вопросы, поскольку ориентированы в первую очередь на разработчиков информационных систем, а не на пользователей или системных администраторов. Конечно, основы знать необходимо, однако от основ до практики — дистанция огромного размера. Да и оценки важности различных аспектов безопасности в государственных и коммерческих структурах весьма различны.
Все сходятся на том, что защитные мероприятия призваны обеспечить конфиденциальность, целостность и доступность информации, однако если для режимных государственных организаций на первом месте стоит конфиденциальность, а целостность понимается исключительно как неизменность информации, то для коммерческих структур, вероятно, важнее всего целостность (актуальность) и доступность данных и услуг по их обработке. По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются и количественно, и качественно.
Данная работа делится на две части. В первой (Часть 1. Стандарты и рекомендации в области информационной безопасности) читатель найдет сведения о рекомендациях и стандартах в области безопасности. Знакомство с этой главой желательно, но не обязательно. Во второй части (Часть 2. Практический подход к созданию и поддержанию режима информационной безопасности) предлагаются практические рекомендации по созданию и поддержанию режима информационной безопасности.
В качестве методологической основы для изложения программно-технического аспекта защиты выбран подход клиент/сервер. Это объясняется двумя основными причинами. Во-первых, подход клиент/сервер позволяет провести декомпозицию сложной информационной системы, после чего можно относительно независимо рассматривать вопросы защиты отдельных компонентов (сервисов). Во-вторых, ряд защитных услуг реализуется с помощью серверов в строгом смысле этого слова (пример – сервер аутентификации Kerberos).
После изложения общих вопросов информационной безопасности последует рассмотрение конкретных сервисов, присутствующих в большинстве конфигураций. Имеются в виду серверы СУБД, почтовые службы, сервер аутентификации Kerberos и т.д. Операционная система также трактуется как набор сервисов. Для каждого сервиса будут описаны защитные механизмы, методы их использования и настройки. В результате, как мы надеемся, читатель получит информацию, способную помочь ему в практической деятельности.