Введение в информационную безопасность.

Общие сведения Цикл дисциплин: факультативные Цикл дисциплин: факультативные Лекций: 32 час. Лекций: 32 час. Лабораторных работ: 16 час. Лабораторных работ: 16 час. Самостоятельная работа: 71 час. Самостоятельная работа: 71 час. Зачет Зачет Всего часов: 119 Всего часов: 119

Общие сведения Темы лекций: Темы лекций: 1. Ведение в ИБ. Доктрина ИБ РФ. Угрозы ИБ и их классификация. Законодательный уровень обеспечения ИБ в РФ. 2. Технические спецификации в ИБ. Требования государственных стандартов. Требования международных стандартов. 3. Уязвимости ОС и системного ПО. Проблемы безопасности протоколов TCP/IP. Методы и средства анализа уязвимостей серверов и служб.

Общие сведения 4. Принципы работы межсетевых экранов. Различия программных и аппаратных межсетевых экранов. 5. Программные межсетевые экраны популярных ОС, особенности настройки. 6. Аппаратные межсетевые экраны, их особенности. Возможности и особенности настройки аппаратных межсетевых экранов фирмы D-Link.

Общие сведения Темы лабораторных работ: Темы лабораторных работ: 1. Анализ уязвимостей серверов и служб в ручном режиме. 2. Анализ уязвимостей серверов и служб с помощью сканеров уязвимостей. 3. Настройка и исследование программного межсетевого экрана ОС Linux. 4. Возможности и особенности настройки аппаратных межсетевых экранов фирмы D-Link

Общие сведения Правила аттестации студентов по учебной дисциплине Рейтинг студента по дисциплине определяется как сумма баллов за работу в семестре и баллов, полученных в результате итоговой аттестации. Поскольку по данной дисциплине предусмотрен зачет, сумма баллов за работу в семестре составляет 80 баллов, сумма баллов за зачет Для студентов, набравших в семестре 80 и более баллов, возможно получение зачета «автоматом».

Общие сведения 1. Своевременное (до следующей лабораторной работы или до срока, установленного преподавателем) выполнение лабораторной работы оценивается в 10 баллов, с отставанием от учебного графика на 1 занятие - в 5 баллов, с отставанием более чем на 1 занятие или по окончании зачетной недели - в 0 баллов.

Общие сведения Своевременная (одновременная с выполнением) защита лабораторной работы оценивается в 5 баллов, несвоевременная - в 0 баллов. Досрочное выполнение и защита лабораторной работы оцениваются в 20 баллов (5 баллов дополнительно).

Общие сведения 2. Итоговая аттестация представляет собой устный зачет, состоящий из двух теоретических вопросов. До зачета допускаются студенты, сдавшие все лабораторные работы. Максимальная сумма баллов за зачет составляет 20 баллов.

Общие сведения Ответ на каждый вопрос оценивается в 10 баллов при максимально полном и безошибочном ответе, проиллюстрированном примерами, в 5 баллов - при ответе на основные положения или полном ответе, но без примеров, в 3 балла - при неполном ответе, содержащим ошибки и не проиллюстрированном примерами, 0 баллов - при отсутствии ответа на вопрос.

Общие сведения Баллы за итоговую аттестацию соотносятся с оценками по традиционной четырехбалльной шкале следующим образом: менее 5 баллов - "неудовлетворительно", от 5 до 10 - "удовлетворительно", от 10 до 15 - "хорошо", свыше 20 – "отлично".

Общие сведения Материалы курса в электронном виде (балльно-рейтинговая система, конспект лекций, методические указания к лабораторным работам, дистрибутивы программного обеспечения) и данные текущего рейтинга успеваемости доступны на сайте по дисциплине

Введение в ИБ Под информационной безопасностью здесь будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Введение в ИБ В определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Доктрина информационной безопасности РФ Доктрина информационной безопасности Российской Федерации была утверждена 9 сентября 2000 года президентом Российской Федерации. В ней под информационной безопасностью понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. В Доктрине выделяются четыре основные составляющие национальных интересов РФ в информационной сфере:

Доктрина информационной безопасности РФ 1.Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Доктрина информационной безопасности РФ 2.Информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Доктрина информационной безопасности РФ 3.Развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Доктрина информационной безопасности РФ 4.Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. Соответственно, по своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

Доктрина информационной безопасности РФ 1.угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России; 2.угрозы информационному обеспечению государственной политики Российской Федерации;

Доктрина информационной безопасности РФ 3.угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; 4.угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Доктрина информационной безопасности РФ В соответствии с Доктриной общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические. К правовым методам обеспечения информационной безопасности Российской Федерации относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

Доктрина информационной безопасности РФ Основными организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются: создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

Доктрина информационной безопасности РФ разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабаты- ваемой информации и специальных воздей- ствий, вызывающих разрушение, уничтоже- ние, искажение информации, а также измене- ние штатных режимов функционирования систем и средств информатизации и связи; создание систем и средств предотвращения несанкционированного доступа к обрабаты- ваемой информации и специальных воздей- ствий, вызывающих разрушение, уничтоже- ние, искажение информации, а также измене- ние штатных режимов функционирования систем и средств информатизации и связи;

Доктрина информационной безопасности РФ выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

Доктрина информационной безопасности РФ сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;

Доктрина информационной безопасности РФ формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства. Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования; разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;

Доктрина информационной безопасности РФ совершенствование системы финансирования работ, связанных с реализацией правовых и организационно- технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. совершенствование системы финансирования работ, связанных с реализацией правовых и организационно- технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Угрозы информационной безопасности и их классификация Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Угрозы информационной безопасности и их классификация Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих. Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:

Угрозы информационной безопасности и их классификация должно стать известно о средствах использования пробела в защите; должно стать известно о средствах использования пробела в защите; должны быть выпущены соответствующие заплаты; должны быть выпущены соответствующие заплаты; заплаты должны быть установлены в защищаемой ИС. заплаты должны быть установлены в защищаемой ИС. Новые уязвимые места и средства их использования появляются постоянно и это значит, что почти всегда существуют окна опасности и отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - оперативно.

Угрозы информационной безопасности и их классификация Угрозы можно классифицировать по нескольким критериям: по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС).

Угрозы информационной безопасности и их классификация Основные угрозы доступности Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений. Поэтому доступность выделяется как важнейший элемент информационной безопасности. Ведущая роль доступности проявляется в различных системах управления – производством, транспортом и т.п.

Угрозы информационной безопасности и их классификация Самыми частыми являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). Самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

Угрозы информационной безопасности и их классификация Другие угрозы доступности можно классифицировать по компонентам ИС, на которые нацелены угрозы: отказ пользователей; внутренний отказ информационной системы; отказ поддерживающей инфраструктуры. Обычно применительно к пользователям рассматриваются следующие угрозы: нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

Угрозы информационной безопасности и их классификация нежелание работать с информационной системой (при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); нежелание работать с информационной системой (при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); невозможность работать с системой в силу отсутствия соответствующей подготовки (неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); невозможность работать с системой в силу отсутствия соответствующей подготовки (неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.). невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Угрозы информационной безопасности и их классификация Основными источниками внутренних отказов являются: отступление (случайное или умышленное) от установленных правил эксплуатации; отступление (случайное или умышленное) от установленных правил эксплуатации; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); ошибки при конфигурировании системы; ошибки при конфигурировании системы; отказы программного и аппаратного обеспечения; отказы программного и аппаратного обеспечения; разрушение данных; разрушение данных; разрушение или повреждение аппаратуры. разрушение или повреждение аппаратуры.

Угрозы информационной безопасности и их классификация По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы: нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; разрушение или повреждение помещений; разрушение или повреждение помещений; невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.). невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Угрозы информационной безопасности и их классификация Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие, так как потенциально могут нанести вред организации- "обидчику", например: испортить оборудование; испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные. удалить данные. Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы.

Угрозы информационной безопасности и их классификация Угрозы доступности могут выглядеть грубо - как повреждение или даже разрушение оборудования. Такое повреждение может вызываться естественными причинами (чаще всего - грозами), опасны протечки водопровода и отопительной системы, поломки кондиционеров в сильную жару. Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители зачастую хранятся небрежно. Средством вывода системы из штатного режима эксплуатации может использоваться агрессивное потребление ресурсов (обычно - полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти).

Угрозы информационной безопасности и их классификация По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю или, например, количество подключившихся пользователей ограничено ресурсами системы. Примером удаленного потребления ресурсов являются DoS-атаки – атаки на отказ в обслуживании.

Угрозы информационной безопасности и их классификация Основные угрозы целостности Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений.

Угрозы информационной безопасности и их классификация Соответствующие действия в сетевой среде называются активным прослушиванием. С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может: ввести неверные данные; ввести неверные данные; изменить данные. изменить данные. Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО - пример подобного нарушения.

Угрозы информационной безопасности и их классификация Основные угрозы конфиденциальности Конфиденциальность – это защита от несанкционированного доступа к информации. Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Угрозы информационной безопасности и их классификация Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их не составляет труда. Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Опасной нетехнической угрозой конфиденциальности являются такие методы как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

Угрозы информационной безопасности и их классификация К угрозам, от которых трудно защититься, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности.

Объектно-ориентированный подход к информационной безопасности Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и необходимым, стремление распространить этот подход и на системы информационной безопасности. Сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Сложная система информационной безопасности на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость понимается как минимизация числа связей между компонентами.

Объектно-ориентированный подход к информационной безопасности Затем декомпозиции подвергаются выделенные на верхнем уровне компоненты, и так далее вниз до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции. Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов. Весьма распространенной конкретизацией объектно- ориентированного подхода являются компонентные объектные среды. Здесь используется два важных понятия: компонент и контейнер.

Объектно-ориентированный подход к информационной безопасности Компонент можно определить как многократно используемый объект, допускающий обработку в графическом инструментальном окружении и сохранение в долговременной памяти. Контейнеры могут включать в себя множество компонентов и выступать в роли компонентов других контейнеров. Компонентные объектные среды обладают всеми достоинствами, присущими объектно- ориентированному подходу: инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый вовне интерфейс; инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый вовне интерфейс; наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки; наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки;

Объектно-ориентированный подход к информационной безопасности полиморфизм дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными. полиморфизм дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными. Применяя объектно-ориентированный подход к вопросам информационной безопасности, можно ввести понятие грани. Фактически три грани уже были введены: это доступность, целостность и конфиденциальность. Их можно рассматривать относительно независимо, и считается, что если все они обеспечены, то обеспечена и ИБ в целом (то есть субъектам информационных отношений не будет нанесен неприемлемый ущерб). Таким образом цель структурирована. Средства достижения цели можно структурировать по следующим граням:

Объектно-ориентированный подход к информационной безопасности законодательные меры обеспечения информационной безопасности; законодательные меры обеспечения информационной безопасности; административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами); административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами); процедурные меры (меры безопасности, ориентированные на людей); процедурные меры (меры безопасности, ориентированные на людей); программно-технические меры. программно-технические меры. Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны (международные конвенции имеют даже более широкую область действия).

Объектно-ориентированный подход к информационной безопасности Административные меры ориентированы на всех субъектов в пределах организации, процедурные меры – на отдельных людей (или небольшие категории субъектов), программно-технические меры – на оборудование и программное обеспечение. При такой трактовке в переходе с уровня на уровень осуществляется наследование (каждый следующий уровень не отменяет, а дополняет предыдущий), полиморфизм (субъекты выступают в нескольких ролях - как инициаторы административных мер и как обычные пользователи, обязанные этим мерам подчиняться) и инкапсуляция (для фиксированной грани в одной совокупности грани в другой совокупности должны пробегать все множество возможных значений).