![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Введение. Основные понятия и определения предмета защиты информацииСтр 1 из 17Следующая ⇒
Катасёва Д.В. Курс лекций
СОДЕРЖАНИЕ КУРСА ЛЕКЦИЯ №1............................................................................................................................................... 2 Введение....................................................................................................................................................... 3 Основные понятия и определения предмета защиты информации................................................ 4 ЛЕКЦИЯ №2............................................................................................................................................... 7 Принципы обеспечения информационной безопасности................................................................... 7 Меры обеспечения безопасности компьютерных систем................................................................. 8 Обзор и классификация политик безопасности (политик разграничения доступа).................... 9 ЛЕКЦИЯ №3............................................................................................................................................. 11 Дискреционные политики безопасности............................................................................................ 11 Мандатные политики безопасности.................................................................................................. 12 Ролевые политики безопасности.......................................................................................................... 14 ЛЕКЦИЯ №4............................................................................................................................................. 16 Политики безопасности контроля целостности информационных ресурсов............................ 16 Идентификация и аутентификация субъектов. Классификация подсистем идентификации и аутентификации..................................................................................................................................... 18 Парольные системы идентификации и аутентификации пользователей.................................. 19 ЛЕКЦИЯ №5............................................................................................................................................. 20 «Тест №1» по лекциям 1-4...................................................................................................................... 20 ЛЕКЦИЯ №6............................................................................................................................................. 20 Идентификация и аутентификация пользователей с использованием технических устройств 20 Идентификация и аутентификация с использованием индивидуальных биометрических характеристик пользователя............................................................................................................... 23 ЛЕКЦИЯ №7............................................................................................................................................. 26 Принципы криптографической защиты информации..................................................................... 26 Симметричные и асимметричные криптосистемы........................................................................ 28 ЛЕКЦИЯ №8............................................................................................................................................. 30 Проблема обеспечения целостности и аутентичности информации......................................... 30 Функции хэширования и электронная цифровая подпись................................................................ 31 ЛЕКЦИЯ №9............................................................................................................................................. 32 «Тест №2» по лекциям 6-8. Подведение итогов семестра (в т.ч. «автоматы»)......................... 32 ЛЕКЦИЯ №1 Введение Развивающиеся информационные технологии быстро внедряются во все сферы человеческого общества. Информация официально определена объектом, имеющим ценность и стоимость как обычный продукт, причем зачастую, ее стоимость во много раз превосходит стоимость самой компьютерной системы, в которой она хранится и обрабатывается. В связи с этим, собственникам, владельцам и пользователям информации необходимо принимать во внимание возможные злонамеренные воздействия со стороны злоумышленников по отношению к информационным системам. Например, нарушитель может пытаться выдать себя за другого пользователя, прослушать канал связи, перехватить и модифицировать информацию, которой обмениваются пользователи системы, расширить свои полномочия для получения доступа к информации, к которой ему предоставлен только частичный доступ, попытаться разрушить систему и т.д. По мере развития и усложнения методов, средств и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых информационных технологий. Интенсивное развитие открытых компьютерных сетей привлекает все большее внимание к ним пользователей. Большинство компаний и организаций подключают свои внутренние локальные сети к глобальной сети Internet, чтобы воспользоваться ее ресурсами и преимуществами. Однако при этом возникают серьезные проблемы с обеспечением информационной безопасности подключаемой сети. Интернет предоставляет злоумышленникам много возможностей для вторжения во внутренние сети компаний с целью хищения, искажения или разрушения конфиденциальной информации. В связи с этим, в настоящее время актуальность приобретает проблема обеспечения информационной безопасности, которая привлекает все большее внимание как специалистов в области компьютерных систем и сетей, так и пользователей. Основные понятия и определения предмета защиты информации Под безопасностью автоматизированных систем обработки информации (АСОИ) понимают их защищенность от случайного или преднамеренного вмешательства в нормальный процесс их функционирования, а также от попыток хищения, изменения или разрушения их компонентов. Одним из основных понятий в информационной безопасности является понятие доступа к информации. Под доступом к информации понимается ознакомление с ней, ее обработка, в частности копирование, модификация и уничтожение. Понятие доступа к информации неразрывно связано с понятиями субъекта и объекта доступа (см. рис. 1). Рис. 1. Субъект и объект доступа Субъект доступа – это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы (пользователь, процесс, прикладная программа и т.п.). Объект доступа – это пассивный компонент системы, хранящий, принимающий или передающий информацию (файл, каталог и т.п.). Зачастую, один и тот же компонент системы может являться и субъектом, и объектом различных доступов. Например, программа PROGRAM.EXE, запускаемая пользователем системы, является объектом доступа для данного пользователя. Если та же самая программа PROGRAM.EXE читает с диска некоторый файл FILE.TXT, то при данном доступе она является уже субъектом (показать это на рисунке). В информационной безопасности различают два типа доступа – санкционированный и несанкционированный. Санкционированный доступ к информации – это доступ, не нарушающий установленные правила разграничения доступа, служащие для регламентации прав доступа субъектов к объектам. Несанкционированный доступ (НСД) к информации – доступ, нарушающий установленные правила разграничения доступа. Субъект, осуществляющий НСД, является нарушителем правил разграничения доступа. НСД является наиболее распространенным видом нарушений безопасности информации. С точки зрения информационной безопасности выделяют следующие свойства информации: конфиденциальность, целостность и доступность. Конфиденциальность информации – это ее свойство быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы. Для остальных субъектов системы эта информация должна быть неизвестной (см. рис 2). Рис. 2. Авторизация субъекта Проверка субъекта при допуске его к информации может осуществляться путем проверки знания им некоторого секретного ключа, пароля и т.п. Целостность информации – ее свойство быть неизменной при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий. Доступность информации – ее свойство быть доступной для авторизованных законных субъектов системы, готовность служб к обслуживанию запросов. Целью злоумышленника является реализация какого-либо рода действий, приводящих к невыполнению (нарушению) одного или нескольких из свойств: конфиденциальности, целостности или доступности информации. Потенциальная возможность реализации определенных воздействий на АСОИ, которые прямо или косвенно могут нанести ущерб ее безопасности, называется угрозой безопасности информации. Уязвимость – некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы. Атака на компьютерную систему – это непосредственная реализация злоумышленником угрозы безопасности информации.
|