Файл: Курс лекций для студентов очной формы обучения специальности 10. 02. 01 Организация и технология защиты информации.pdf

Государственное бюджетное профессиональное образовательное учреждение
Краснодарского края «Армавирский юридический техникум»
(ГБПОУ КК АЮТ)
Лазутин А.И.
МДК 03.02 ПРОГРАММНО-АППАРАТНЫЕ
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
курс лекций
для студентов очной формы обучения
специальности 10.02.01 Организация и технология защиты
информации
2019-2020 уч.год

3
Пояснительная записка
Курс лекций по дисциплине МДК 03.02 Программно-аппаратные средства защиты информации подготовлен с целью реализации части программы по подготовке специалистов среднего звена в соответствии с
Федеральным государственным образовательным стандартом.
Данный курс лекций предназначен для студентов СПО специальности
10.02.01 Организация и технология защиты информации. В нём представлен теоретический материал по учебной дисциплине «Программно-аппаратные средства защиты информации», основные понятия шифрования, криптографии, электронной цифровой подписи, базы данных, вопросы правового регулирования в сфере информационной безопасности.
В результате изучения дисциплины обучающиеся должны
уметь:
применять мандатные модели политик безопасности, а также особенности их реализации, достоинства и недостатки; проводить аудит в
Windows; организовывать виртуальные корпоративные сети; проводить настройку защитных механизмов linux и unix.
знать:
виды, источники и носители защищаемой информации; источники опасных сигналов; структуру, классификацию и основные характеристики технических каналов утечки информации; методы и средства технической защиты информации; программно-аппаратные средства защиты информации; средства защиты в вычислительных сетях; критерии защищенности компьютерных систем.

4
Содержание
Введение ............................................................................................................ 5
Тема 2.1.1 Организация информационной защиты системы ............................ 6
Тема 2.2.1 Симметричные и асимметричные криптосистемы .......................... 9
Тема 2.2.4 Электронная цифровая подпись .....................................................10
Тема 2.2.6 Системы управление ключевой информацией ...............................13
Тема 2.2.8 Криптографические протоколы ......................................................15
Тема 2.3.1 Управление доступом к данным .....................................................16
Тема 2.4.1 Методы защиты передачи данных ..................................................20
Тема 2.4.4 Сетевые атаки..................................................................................23
Тема 2.5.1 Защитные механизмы ОС Windows, Linux, Unix ...........................27
Тема 2.6.1 Классификация компьютерных вирусов ........................................31
Тема 2.7.1 Понятия безопасности БД ...............................................................37
Тема 2.7.3 Критерии защищенности БД...........................................................38
Тема 2.7.7 Понятия безопасности БД. Классификация моделей .....................40

5
Введение
В настоящее время в России наблюдается всплеск интереса к информационной безопасности, который объясняется в первую очередь развитием банковского бизнеса и тем, что появляющиеся крупные российские промышленные корпорации заинтересованы в сохранении своих коммерческих тайн и интересов.
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается и уязвимость защиты информации.
Основными факторами, способствующими повышению этой уязвимости, являются:

Резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ЭВМ и других средств автоматизации;

Сосредоточение в единых базах данных информации различного назначения и различных принадлежностей;

Резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;

Усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, а также режимов разделения времени и реального времени;

Автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.
В этих условиях возникает уязвимость двух видов: с одной стороны, возможность уничтожения или искажения информации (т.е. нарушение ее физической целостности), а с другой - возможность несанкционированного использования информации
(т.е. опасность утечки информации ограниченного пользования).

Основными потенциально возможными каналами утечки информации являются:

Прямое хищение носителей и документов;

Запоминание или копирование информации;

Несанкционированное подключение к аппаратуре и линиям связи или незаконное использование "законной" (т.е. зарегистрированной) аппаратуры системы (чаще всего терминалов пользователей).

6
Тема 2.1.1 Организация информационной защиты системы
Целью информационной безопасности является обеспечение трех наиболее важных сервисов безопасности: конфиденциальность, целостность и доступность.
Конфиденциальность – это гарантия, что информация может быть прочитана и проинтерпретирована только теми людьми и процессами, которые авторизованы это делать. Обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями. Информация, которая может считаться конфиденциальной, также называется чувствительной. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата.
Целостность – это гарантирование того, что информация остается неизменной, корректной и аутентичной.
Обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут являться меры, гарантирующие, что почтовое сообщение не было изменено при пересылке.
Доступность – это гарантирование того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, которые им необходимы, при этом обеспечивается требуемая производительность. Обеспечение доступности включает меры для поддержания доступности информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может являться защита доступа и обеспечение пропускной способности почтового сервиса.
Три основных сервиса – CIA – служат фундаментом информационной безопасности. Для реализации этих трех основных сервисов требуется выполнение следующих сервисов.
Идентификация – сервис, с помощью которого указываются уникальные атрибуты пользователей, позволяющие отличать пользователей друг от друга, и способы, с помощью которых пользователи указывают свои идентификации информационной системе. Идентификация тесно связана с аутентификацией.
Аутентификация – сервис, с помощью которого доказывается, что участники являются требуемыми, т.е. обеспечивается доказательство

7 идентификации. Это может достигаться с помощью паролей, смарт-карт, биометрических токенов и т.п. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта. Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми. Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.
Подотчетность – возможность системы идентифицировать отдельного индивидуума и выполняемые им действия. Наличие этого сервиса означает возможность связать действия с пользователями. Данный сервис очень тесно связан с сервисом невозможности отказа.
Невозможность отказа
– сервис, который обеспечивает невозможность индивидуума отказаться от своих действий. Например, если потребитель сделал заказ, и в системе отсутствует сервис невозможности отказа, то потребитель может отказаться от факта покупки. Невозможность отказа обеспечивает способы доказательства того, что транзакция имела место, не зависимо от того, является ли транзакция online-заказом или почтовым сообщением, которое было послано или получено. Для обеспечения невозможности отказа как правило используются цифровые подписи.
Авторизация – права и разрешения, предоставленные индивидууму
(или процессу), которые обеспечивают возможность доступа к ресурсу. После того, как пользователь аутентифицирован, авторизация определяет, какие права доступа к каким ресурсам есть у пользователя.
Защита частной информации – уровень конфиденциальности, который предоставляется пользователю системой. Это часто является важным компонентом безопасности. Защита частной информации не только необходима для обеспечения конфиденциальности данных организации, но и необходима для защиты частной информации, которая будет использоваться оператором.
Если хотя бы один из этих сервисов не функционирует, то можно говорить о нарушении всей исходной триады CIA.
Для реализации сервисов безопасности должна быть создана так называемая "оборона в глубину". Для этого должно быть проделано:

8 1. Необходимо обеспечить гарантирование выполнения всех сервисов безопасности.
2. Должен быть выполнен анализ рисков.
3. Необходимо реализовать аутентификацию и управление
Идентификациями.
4. Необходимо реализовать авторизацию доступа к ресурсам.
5. Необходимо обеспечение подотчетности.
6. Необходимо гарантирование доступности всех сервисов системы.
7. Необходимо управление конфигурацией.
8. Необходимо управление инцидентами.
Защищенность информационных сетей. В нашей стране за последнее десятилетие создано множество информационных систем и сетей на основе прежде всего зарубежных технических средств и программных продуктов.
Относительно этих систем возникает совершенно обоснованное опасение о возможности существования в них так называемых «недекларированных возможностей», т.е. скрытых от пользователя свойств, которые позволяют управлять этими средствами независимо от пользователя.
В подобных случаях возникают естественные опасения, что в таких системах их поставщиком или изготовителем могут быть заложены некие скрытые возможности, обеспечивающие внешний контроль всех процессов и данных, обращающихся в системе. С помощью таких средств возможен также вывод из строя систем целиком или по частям по командам извне. Как следствие, такие системы вызывают определенные опасения при применении в особо ответственных объектах и структурах. Технические элементы, устанавливаемые в особо ответственных системах, тщательно и глубоко исследуются, программные элементы тоже тестируются в специализированных организациях, однако определенные сомнения могут оставаться и после таких испытаний. Для того чтобы снять у пользователя и потребителя эти опасения, производители технических и программных средств представляют свои изделия на официальную сертификацию.
С целью сертифицировать изделие компания-поставщик представляет детальную документацию на изделия и сами изделия с тем, чтобы на этом основании можно было уверенно выявить во всей полноте функции, выпол- няемые данным изделием.
Однако и при отсутствии подозрений по поводу «недекларируемых возможностей» необходима защита информационных сетей в силу все возрастающей ценности сосредоточенной в них информации, а также с ростом степени важности выполняемых этими системами функций.

9
Тема 2.2.1 Симметричные и асимметричные криптосистемы
Криптосистема – это совокупность аппаратных и программных средств и инструкций, алгоритмов шифрования и расшифрования, которые позволяют зашифровать открытый текст и затем расшифровать его.
Симметричная криптосистема. Способ кодирования, когда для кодирования и раскодирования применяются один и тот же ключ и один и тот же алгоритм кодирования, называется симметричным. В симметричном методе кодирования ключ К является секретным, закрытым. Доставить секретный ключ абонентам можно:
 физически на носителях электронной информации (дисках, флеш- картах и т.д.), на пластиковых карточках, в виде паролей, которые администратор сообщает лично;
 по каналу связи в зашифрованном виде. В этом случае необходимо, чтобы абоненты уже располагали средствами для передачи секретной информации.

На практике обычно используется комбинированная модель работы с секретными ключами:
 абонентам физически доставляются долговременные ключи;
 с помощью долговременных ключей шифруются и передаются сеансовые ключи, используемые только в одном сеансе связи;
 на основе сеансовых ключей шифруется секретная информация.
Асимметричная криптосистема. Система, в которой для кодирования применяется один ключ К
х
, а для раскодирования – другой ключ К
2
, называется асимметричной. В асимметричном методе кодирования один ключ может быть открытым, второй ключ – закрытым, секретным. С помощью одного ключа открытая информация шифруется отправителем, второй ключ используется получателем для расшифрования шифротекстов.
В асимметричной криптосистеме каждый взаимодействующий абонент генерирует пару ключей – открытый, доступный любому пользователю информационной системы, и закрытый, секретный, известный только абоненту.
Рассмотрим взаимодействие двух абонентов – абонента А и абонента
В. Абонент В, желая отправить сообщение абоненту А, шифрует его открытым ключом абонента Л и отправляет по каналу связи. Абонент Л, получив это сообщение, расшифровывает его своим секретным ключом.

10
При использовании алгоритмов с открытым ключом возникает опасность подмены злоумышленником легального открытого ключа. После подмены открытого ключа злоумышленник получает возможность читать перехваченные шифрованные сообщения. Для защиты от подмены открытого ключа используется сертификация, подтверждающая подлинность открытого ключа.
Недостатками асимметричных шифров являются их низкая производительность и высокие требования к вычислительным ресурсам.
Комбинирование симметричных и асимметричных методов шифрования позволяет повысить эффективность и производительность шифрования: данные шифруются симметричным алгоритмом, а ключи для шифрования закрываются асимметричным алгоритмом и высылаются партнеру по каналу связи в самом начале сеанса.
Тема 2.2.4 Электронная цифровая подпись
В мире электронных документов подписание файла с помощью графических символов теряет смысл, так как подделать и скопировать графический символ можно бесконечное количество раз. Электронная
Цифровая Подпись (ЭЦП) является полным электронным аналогом обычной подписи на бумаге, но реализуется не с помощью графических изображений, а с помощью математических преобразований над содержимым документа.
Особенности математического алгоритма создания и проверки ЭЦП гарантируют невозможность подделки такой подписи посторонними лицами, чем достигается неопровержимость авторства.
ЭЦП - реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца ключа, а также установить отсутствие искажения информации в электронном документе.
ЭЦП представляет собой определенную последовательность символов, которая формируется в результате преобразования исходного документа (или любой другой информации) при помощи специального программного обеспечения. ЭЦП добавляется к исходному документу при пересылке. ЭЦП является уникальной для каждого документа и не может быть перенесена на другой документ.
Невозможность подделки
ЭЦП обеспечивается значительным количеством математических вычислений, необходимых для её подбора. Таким образом, при получении документа, подписанного ЭЦП, получатель может быть уверен в авторстве и неизменности текста данного документа.

11
Применение ЭЦП обеспечивает: простое разрешение спорных ситуаций (регистрация всех действий участника системы во времени), невозможность изменения заявки участника до даты окончания закупки.
Кроме того, ЭЦП способствует: снижению затрат на пересылку документов, быстрому доступу к торгам, проходящим в любой точке России.
Пользоваться электронной подписью достаточно просто. Никаких специальных знаний, навыков и умений для этого не потребуется. Каждому пользователю ЭЦП, участвующему в обмене электронными документами, генерируются уникальные открытый и закрытый
(секретный) криптографические ключи.
Закрытый ключ - это закрытый уникальный набор информации объемом 256 бит, хранится в недоступном другим лицам месте на дискете, смарт-карте, ru-token. Работает закрытый ключ только в паре с открытым ключом.
Открытый ключ - используется для проверки ЭЦП получаемых документов/файлов. Технически это набор информации объемом 1024 бита.
Открытый ключ передается вместе с Вашим письмом, подписанным ЭЦП.
Дубликат открытого ключа направляется в Удостоверяющий Центр, где создана библиотека открытых ключей ЭЦП. В библиотеке Удостоверяющего
Центра обеспечивается регистрация и надежное хранение открытых ключей во избежание попыток подделки или внесения искажений.
Вы устанавливает под электронным документом свою электронную цифровую подпись. При этом на основе секретного закрытого ключа ЭЦП и содержимого документа путем криптографического преобразования вырабатывается некоторое большое число, которое и является электронно- цифровой подписью данного пользователя под данным конкретным документом. Это число добавляется в конец электронного документа или сохраняется в отдельном файле.
В подпись, в том числе, записывается следующая информация: имя файла открытого ключа подписи, информация о лице, сформировавшем подпись, дата формирования подписи.
Пользователь, получивший подписанный документ и имеющий открытый ключ ЭЦП отправителя на основании текста документа и открытого ключа отправителя выполняет обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если
ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких изменений. В противном случае будет выдаваться сообщение, что сертификат отправителя не является действительным.
Термины и Определения: Электронный документ – документ, в котором информация представлена в электронно-цифровой форме.
Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой