close

Вход

Забыли?

вход по аккаунту

?

588.Информационные системы в экономике [Электронный ресурс] практикум для аудиторной и самостоятельной работы студентов, обучающихся по специальности 38.05.01 Экономическая безопасность А. В. Улезько [и др.] . (1 файл 1887 Кб) . , 2015

код для вставкиСкачать
Министерство сельского хозяйства Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего образования
Воронежский государственный аграрный университет имени императора
Петра I
Е.Ю. Горюхина, И.М. Семенова, Е.П. Суворова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
ПРАКТИКУМ
ДЛЯ АУДИТОРНЫХ ЗАНЯТИЙ
для студентов, обучающихся по специальности
38.05.01. «Экономическая безопасность
Воронеж-2015
Горюхина Е.Ю.
Информационная безопасность: практикум для аудиторных занятий / Е.Ю. Горюхина,
И.М. Семенова, Е.П. Суворова. – Воронеж: ФГБОУ ВО Воронежский ГАУ, 2015. – 93 с.
В пособии рассматриваются практические аспекты, связанные с оценкой состояния
системы защиты информации на предприятии и реализацией защиты информации, приводятся сведения для получения практических навыков по защите локального компьютера
от несанкционированного доступа из сети Интернет с помощью стандартных средств системы безопасности ОС Windows. В каждом разделе содержатся задания для аудиторной и
самостоятельной работы студентов.
Пособие предназначено для студентов, обучающихся по специальности 38.05.01.
«Экономическая безопасность»
Рецензенты:
Золотарев И.И. кандидат экономических наук, доцент кафедры конституционного и
административного права Воронежского государственного аграрного университета имени
императора Петра I
Гриднева И.В. к.ф.-м.н., доцент кафедры высшей математики и теоретической
механики Воронежского государственного аграрного университета имени императора
Петра I
 Е.Ю. Горюхина, И.М. Семенова, Е.П. Суворова, 2015
 ФГБОУ ВО Воронежский ГАУ, 2015
СОДЕРЖАНИЕ
ВВЕДЕНИЕ ................................................................................................................................................................ 4
1. ОПРЕДЕЛЕНИЕ ЦЕЛЕЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ РЕГИОНАЛЬНОГО
УРОВНЯ. РАССМОТРЕНИЕ ОСОБЕННОСТЕЙ ОБЪЕКТА ЗАЩИТЫ ИНФОРМАЦИИ .................... 6
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ.............................................................................................................................. 10
2.
ОПРЕДЕЛЕНИЕ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА......................................... 12
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ.............................................................................................................................. 13
3. ОПРЕДЕЛЕНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И АНАЛИЗ РИСКОВ
ПРЕДПРИЯТИЯ ..................................................................................................................................................... 15
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ.............................................................................................................................. 19
4.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К ИНФОРМАЦИИ. МЕТОДЫ ЗАЩИТЫ .................... 20
ПАРОЛЬНЫЕ СИСТЕМЫ ................................................................................................................................... 22
АРХИВИРОВАНИЕ С ПАРОЛЕМ ..................................................................................................................... 26
АЛГОРИТМЫ ПРЕДУПРЕЖДЕНИЯ И ОБНАРУЖЕНИЯ ВИРУСНЫХ УГРОЗ .......................................... 32
ПАКЕТЫ АНТИВИРУСНЫХ ПРОГРАММ ...................................................................................................... 34
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ.............................................................................................................................. 39
5.
ЗАКОНОДАТЕЛЬНЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ ......................................................... 40
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ.............................................................................................................................. 52
6.
СИСТЕМНОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ............................................................. 53
ОСНОВНЫЕ КОНЦЕПТУАЛЬНЫЕ ПОЛОЖЕНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ................... 53
ПОСТРОЕНИЕ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ ..................... 56
ЗАЩИТА ИНФОРМАЦИИ СРЕДСТВАМИ ОПЕРАЦИОННОЙ СИСТЕМЫ ............................................... 58
7.
РЕАЛИЗАЦИЯ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ ................................................................ 80
ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ.............................................................................................................................. 86
8.
ЛАБОРАТОРНЫЙ ПРАКТИКУМ ДЛЯ САМОСТОЯТЕЛЬНОЙ РАБОТЫ .................................... 87
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ ........................................................................................... 93
3
ВВЕДЕНИЕ
Данный практикум предназначен для получения навыков практического обеспечения защиты компьютерной безопасности и освоения системных
комплексных методов защиты производственных и коммерческих информационных ресурсов предприятия от различных видов угроз.
Цель методического пособия - помочь в овладении теоретическими и
практическими вопросами обеспечения информационной безопасности предприятий различных типов.
В современной российской рыночной экономике обязательным условием успеха развития предприятия, получения прибыли и сохранения в целостности организационной структуры является обеспечение экономической безопасности его деятельности. Одной из главных составных частей экономической безопасности является информационная безопасность. Проблемы информационной безопасности становятся все более сложными и практически
значимыми в связи с массовым переходом информационных технологий в
управлении на безбумажную автоматизированную основу. Информационная
безопасность носит концептуальный характер и предполагает решение комплекса задач поддержания безопасности информационных ресурсов предприятия.
В первой-седьмой главах практикума приводится краткий теоретический материал по рассматриваемой теме, приводятся примеры выполнения
заданий и задания по теме. Номер варианта задания для каждого студента
определяется преподавателем, ведущим лабораторные занятия. По каждой из
тем предлагаются задания для самостоятельного решения рассмотренных задач и вопросы для самопроверки.
В восьмой главе данного пособия предлагаются задания лабораторного
практикума для самостоятельной работы.
Выполнение заданий по каждой теме завершается составлением отчета,
на основании которого преподаватель проверяет правильность выполнения
заданий и производит индивидуальный опрос студента с целью текущего
контроля знаний. Отчет может быть сформирован как на бумажном, так и на
электронном носителе. Индивидуальный опрос проводится на основании вопросов, приведенных в каждой теме после задания для самостоятельной работы в качестве вопросов для самоконтроля. По результатам опроса по каждой теме студенту выставляется оценка. Критерии оценки знаний по отдельным темам:
 оценка «отлично» выставляется, если студент выполнил задание
полностью и без ошибок, показал полные и глубокие знания по изученной
теме, логично и аргументировано ответил на все вопросы по выполненному
заданию;
 оценка «хорошо» выставляется, если студент выполнил задание полностью и без ошибок, твердо знает материал по данной теме, грамотно его из4
лагает, не допускает существенных неточностей в ответе, достаточно полно
ответил на вопросы по выполненному заданию;
 оценка «удовлетворительно» выставляется, если студент выполнил
задание полностью, но с незначительными ошибками, показал знание только
основ материала по данной теме, усвоил его поверхностно, но не допускал
при ответе на вопросы грубых ошибок или неточностей;
 оценка «неудовлетворительно» выставляется, если студент выполнил
задание полностью, но с грубыми ошибками, не знает основ материала по данной теме, допускает при ответе на вопросы грубые ошибки и неточности.
Студент не аттестуется по данной теме, если задание по теме не выполнено или выполнено не полностью.
Если студент не аттестован хотя бы по одной из тем лабораторных занятий или имеет оценку «неудовлетворительно», то преподаватель, ведущий
лабораторные занятия, имеет право не допустить студента до сдачи экзамена.
К экзамену допускаются студенты: аттестованные по всем темам лабораторных занятий; не имеющие по этим темам ни одной оценки «неудовлетворительно»; набравшие в ходе заключительного тестирования (по всем
разделам дисциплины) не менее 40 баллов.
5
1. ОПРЕДЕЛЕНИЕ ЦЕЛЕЙ ЗАЩИТЫ ИНФОРМАЦИИ НА
ПРЕДПРИЯТИИ РЕГИОНАЛЬНОГО УРОВНЯ.
РАССМОТРЕНИЕ ОСОБЕННОСТЕЙ ОБЪЕКТА ЗАЩИТЫ
ИНФОРМАЦИИ
1. Информация как товар
Товар – сложное, многоаспектное понятие, включающее совокупность многих свойств, главными из которых являются:
 потребительские свойства
 цена
 жизненный цикл (ЖЦТ) - это время существования на рынке. Фазы
ЖЦТ следующие: внедрение, рост, зрелость, насыщение, спад. Продолжительность ЖЦТ в целом и его отдельных фаз зависит как от самого товара, так и от конкретного рынка.
2. Информация фирмы
Существуют различные подходы классификации информации, накапливаемой и циркулирующей на фирме. С одной стороны ее можно разделить
на два больших блока:
 технологическую
информацию,
характеризующую
научнотехническую сторону производства, «ноу-хау», часть которой представляет предмет пристального внимания конкурентов и промышленных шпионов.
 деловая информация, связанная с управленческой, финансовой маркетинговой и т.п. деятельностью, позволяющей успешно вести дела и заключать выгодные сделки.
С другой стороны, информация, необходимая для принятия решения
может быть разделена на три группы:
 информация для стратегических решений;
 информация для тактических решений;
 информация для оперативных решений.
Для получения надежной информации необходимо выбрать базы для
наблюдения, которые предопределяются насущными потребностями, те в
свою очередь предопределяются поставленными целями. В этом заключается
принцип «3В» - (buts-besoins-bases) цели-потребности-база. Подготовка информации для принятия любого решения должна начинаться с определения
целей, которые предопределяют потребности в информации, а затем и базы
для наблюдения.
Стратегические цели (строительство новых предприятий, внедрение
новых технологий, запуск в производство новой продукции). Эти цели предопределяют все последующие.
Стратегические потребности. Они включают действия в себя все, что
может оказать долгосрочное влияние на деятельность предприятия.
На основании выявленных потребностей следует составить картотеку
(базу) направлений для наблюдения. Примеры наблюдений:
6
Тенденции по странам;
Технологический процесс:
сырье
технологические процессы
окружающая среда
Действующие лица:
конкуренты (действительные и потенциальные)
союзники и партнеры
кадры
Диверсификация (распределение усилий и капиталовложений в разные
виды деятельности (товары), не связанные друг с другом).
Информация для тактических решений
Тактическая цель заключается в выборе наилучшего средства достижения
стратегической цели и в контроле неизменности условий, которые предопределяют выбор.
Тактические потребности. Это может быть и выбор пути для достижения
тактических целей. Здесь необходимо различать постоянную окружающую
среду и переменную окружающую среду. При этом необходимо выбрать как
первое так и второе. Это связано с временной шкалой действий.
Потребности 1-ого рода. Для правильного выбора надо знать общие характеристики каждой из сред.
Потребности 2-ого рода. Надо постоянно наблюдать за состоянием окружающей среды для своевременного выявления препятствий, которые могут
быть причиной значительных отклонений от намеченного пути.
В 1-ом случае базы создаются по запросу. Во 2-ом случае ведется всеобъемлющее наблюдение за окружающей средой, так как неизвестно от куда будет
исходить угроза.
Прежде всего речь идет об опасностях рынка и, в частности, об определенных действий конкурентов. Таким образом, небольшой перечень баз наблюдений, учитываемых на стратегическом уровне, удлиняется на тактическом
следующими направлениями:
 основные области деятельности и виды продукции (нынешние и будущие)
 зоны и территории деятельности
 производственные мощности и способ производства
 патентная и лицензионная активность
Информация для оперативных решений
На этом уровне стратегическая цель уже определена, путь ее достижения выбран.
Теперь необходимо обеспечить движение вперед в наилучших условиях.
Оперативные потребности. Рассматриваются благоприятные возможности
или угрозы. Во всех случая требуется свежая, точная, надежная и целенаправленная информация, так как речь идет о быстром реагировании.
1.
2.



3.



4.
7
Оперативные базы. Речь идет о ближайшем окружении фирмы. Сюда входят
конкуренты, главным образом, их коммерческая политика: ассортимент, цены, рекламные компании и т. п., а также поставщики, клиенты, система торговли, субподрядчики. Опыт показывает, что серьезная работа может начинаться со следующими базами:
 конкуренция (вся информация по действующим и потенциальным конкурентам);
 рынок (вся рыночная информация, вкусы и запросы потребителей, каналы сбыта и т. п.);
 технологии (производство и использование продукции);
 законодательство (вся информация по законодательству, затрагивающему деятельность фирмы).
 ресурсы (информация по материально-техническим ресурсам фирмы,
по сырью, навыкам, рабочей силе, финансам)
 общие тенденции (политические, экономические, социальные, демографические)
 прочие факторы
Система стратегической и перспективной информации (ССПИ) выполняет,
главным образом, стратегическую роль, а ее действие направлено на перспективу.
Система тактической и оперативной информации (СТОИ) использует контакты сотрудников фирмы с внешним миром, а также возможности межпрофессиональных встреч, таких как ярмарки, выставки, конференции (узкоспециальные).
Существует два способа координации деятельности ССПИ и СТОИ: один в
рамках централизованной организованной структуры, другой - в рамках децентрализованной.
Информацию для работы предприятие получает из следующих источников:
 Канал «Текст» (общие + специальные публикации и банки данных);
 Канал «Фирма» - контакты предприятия со всеми партнерами;
 Канал «Консультант» (общественные службы + консультанты + администрация);
 Канал «Беседа» (ярмарки, салоны, конференции)
 Джокер – это неожиданный источник
Для органов управления результатом является управленческое решение, и чем выше его эффективность, тем лучше работает служба информирования, способствующая его принятию.
Экономию времени руководителей и специалистов, занятых подготовкой решения за год, можно подсчитать по формуле:
Э t = 0,545 * (∆t Д * З ср.Д * N Д + ∆t И * З ср.И * N И
Формула 1
где 0,545 – отношение числа месяцев в году к среднему числу рабочих дней в
месяце;
8
∆t Д – экономия времени руководителей за счет информационного обеспечения (дней в месяце);
З ср.Д – среднемесячная зарплата одного руководителя, обеспечиваемого информацией;
N Д – число руководителей, получивших информацию и принявших ее к исполнению;
∆t И ; З ср.И ; N И – тоже для специалистов, обеспечиваемых информацией и
принимавших участие в подготовке решений.
Исходные данные для выполнения заданий 1, 2, 3 и 4
Для выполнения заданий используется следующая игровая ситуация:
Вы являетесь руководителем фирмы, действующей в условиях рынка местного региона, которая обладает собственными коммерческими секретами и
занимается, например, одним из следующих видов деятельности:
А – производство электронных устройств;
В – разработка программных продуктов;
С – производство продуктов питания;
D – коммерческая деятельность (торговля бытовой радиоэлектроникой);
Е – бытовые услуги населению.
Задание № 1. Определите название вашей фирмы, вид ее деятельности, количество руководителей, емкость рынка фирмы, основных конкурентов, базы
наблюдений и источники информации.
Задание № 2. Составьте перечень информации, являющейся для фирмы оперативной, тактической и стратегической.
Задание № 3. Укажите источники информации, которые могли бы обеспечить вас сведениями о фирмах конкурентов.
Задание № 4. Руководство вашей фирмы получило научно-технического,
ускоряющую разработку ваших продуктов, (прогноз развития рынка или отрасли). Оцените по формуле 1 экономию в руб. рабочего времени работы руководителей и специалистов, если получение этих сведений своими силами
заняло бы 6 месяцев для 3-х ведущих специалистов.
Задание № 5. Описание информационных потоков предприятия.
Промышленно-торговая компания (далее – Компания) занимается разработкой, производством и реализацией промышленной продукции и имеет в своем составе следующие структурные подразделения:
1.Управление
2.Производственный департамент;
3.Бухгалтерия;
4. Финансово-экономический отдел;
5.Транспортный отдел;
6. Отдел логистики;
9
7. Служба безопасности;
8. Отдел маркетинга и рекламы;
9. Отдел инновационного развития;
10. Отдел информационных технологий;
12. Департамент персонала
Необходимо определить виды информации, циркулирующей между подразделениями:
 по профилю деятельности (основные задачи структурного подразделения). Содержание функционала типовых структурных подразделений
выбрать из источников в Интернет);
 по источнику информации;
 по форме представления информации. Основные формы представления
информации (виды документов) указаны в Таблице 1;
 по способу документирования:
- на бумажном носителе;
- на электронном носителе;
- в виде образца продукции
Результаты работы следует оформить в формате таблицы Excel (Таблица 1).
Файл сохранить.
Таблица 1. Виды информации, циркулирующей в Компании
Источник
информации
1
Управление
Вид информации
2
Решения по организации
работы структурных подразделений
Решения по организации
работы службы безопасности
Производственный Технические характеридепартамент
стики образцов продукции
Технические характеристики образцов продукции
1.
2.
3.
4.
Форма
представления
3
Приказ
Приказ, распоряжение
Отчет
Способ
документирования
4
Бумажная версия и
электронная версия
(БВ и ЭВ)
БВ
БВ
Образец продукции
Вопросы для самоконтроля
Какими основными свойствами обладает информация как товар?
Какие Вы знаете системы классификации информации предприятия?
На какие группы может быть разделена информация, необходимая для
принятия решения?
В чем заключается принцип «3В» - (buts-besoins-bases)?
10
5. Как выбрать базы для наблюдений?
6. Система информации. Какой вклад вносит стратегическая, тактическая и оперативная информация в базы данных фирмы?
7. Какие существуют способы координации ССПИ и СТОИ?
8. Из каких каналов предприятие получает информацию?
9. Как произвести оценку эффективности информационного обеспечения?
10.Как разделяется информация по порядку предоставления?
11
2. ОПРЕДЕЛЕНИЕ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО
ХАРАКТЕРА
Ценность информации может быть стоимостной категорией, характеризующей конкретный размер прибыли при ее использовании или размер
убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные
документы, программы и планы, договоры с партнерами и посредниками и т.
д. Ценность информации может также отражать ее перспективное научное,
техническое или технологическое значение.
Информация, имеющая интеллектуальную ценность для предпринимателя, обычно разделяется на следующие виды:
 техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические
формулы, результаты испытаний опытных образцов, данные контроля
качества и т.п.;
 деловая: стоимостные показатели, результаты исследования рынка,
списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.;
 корпоративная: сведения об особенностях деятельности предприятия.
Ценная информация охраняется нормами гражданского, патентного и
авторского права или включается в категорию информации, составляющую
тайну предприятия.
К конфиденциальным относятся следующие документы:
 в государственных структурах – документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения (называемые в чиновничьем обиходе документами для служебного пользования), содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие
опубликованию в открытой печати;
 в предпринимательских структурах и направлениях подобной деятельности – документы, содержащие сведения, которые их собственник или
владелец в соответствии с законодательством имеет право отнести к
коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства;
 независимо от принадлежности – документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и технологические
новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т.п.
Называть конфиденциальные документы секретными или ставить
на них гриф секретности не допускается.
Особенностью конфиденциального документа является то, что он одновременно представляет собой:
12
 массовый носитель ценной, защищаемой информации;
 основной источник накопления и объективного распространения этой
информации, а также ее неправомерного разглашения или утечки;
 обязательный объект защиты.
Конфиденциальность документов всегда имеет значительный разброс
по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до многих лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с
ними теряет свою ценность и конфиденциальность. Например, переписка до
заключения контракта может иметь гриф конфиденциальности, но после его
подписания этот гриф с письменного разрешения первого руководителя
фирмы снимается.
Информация и документы, отнесенные к коммерческой (предпринимательской) тайне, имеют несколько уровней грифа ограничения доступа, соответствующих различным степеням конфиденциальности информации:
 первый, массовый уровень – грифы «Конфиденциально», «Конфиденциальная информация»;
 второй уровень (достаточно редкий) – грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Особый контроль» –
они присваиваются документу лично первым руководителем фирмы,
им изменяются или отменяются. Использование и хранение этих документов также
 организуется первым руководителем с возможным привлечением руководителя службы конфиденциального документооборота (КД);
 на документах, содержащих сведения, отнесенные к служебной тайне,
ставится гриф «Для служебного пользования» («ДСП»).
Задание № 6. На основании структуры и содержания информационных потоков Компании (Задание 5) и используя следующие документы:
 Перечень сведений конфиденциального характера (Указ Президента
РФ от 6.03.1997 г. №188).
 Перечень сведений, доступ к которым не может быть ограничен. (Федеральный закон от 27 июля 2006 г. ФЗ-149 «Об информации, информационных технологиях и о защите информации»),
определить:
1) информацию, представляющую ценность для Компании;
2) документы (изделия), которые содержат (могут содержать) конфиденциальную информацию;
3) гриф конфиденциальности для таких документов (изделий).
Результаты занести в таблицу (Таблица 1), добавив столбец 5 «Гриф конфиденциальности».
Вопросы для самоконтроля
1. Что отражает категория ценности информации?
13
2. На какие виды можно разделить информацию, имеющую интеллектуальную ценность для предприятия или предпринимателя?
3. Какими нормами охраняется ценная информация?
4. Какие документы относятся к конфиденциальным в государственных структурах? В предпринимательских структурах?
5. Какие документы относятся к конфиденциальным независимо от
принадлежности?
6. Что является особенностью конфиденциального документа?
7. Какие уровни грифа ограничения доступа имеет информация и документы, отнесенные к коммерческой тайне?
8. Как уровни грифа ограничения доступа соотносятся с различными
степенями конфиденциальности информации?
14
3. ОПРЕДЕЛЕНИЕ УГРОЗ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ И АНАЛИЗ РИСКОВ ПРЕДПРИЯТИЯ
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми
сведениями.
Такими действиями являются:
 ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
 модификация информации в криминальных целях как частичное или
значительное изменение состава и содержания сведений;
 разрушение (уничтожение) информации как акт вандализма с целью
прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к
нарушению ее конфиденциальности, полноты, достоверности и доступности,
что в свою очередь приводит к нарушению, как режима управления, так и его
качества в условиях ложной или неполной информации.
Действия, приводящие к неправомерному овладению
конфиденциальной информацией.
Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами
можно рассматривать с позиции активности в действиях, приводящих к
овладению конфиденциальными сведениями. В этом случае возможны такие
ситуации:
 владелец (источник) напринимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко
получить интересующие его сведений;
 источник информационного ресурса соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать
значительные усилия к осуществлению доступ к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения;
 промежуточная ситуация - это утечка информации по техническим
каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий
может их использовать в своих интересах.
Факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законе, кодексов, официальных материалов используются такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.
15
1. Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не
допущенных к ним.
Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т.д.). Неформальные коммуникации включают личное общение
(встречи, переписка), выставки, семинары, конференции и другие массовые
мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил
защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом
в этом процессе выступает источник (владелец) охраняемых секретов.
Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто
имеется возможность диалога. Информация ориентирована в определенной
тематической области и документирована. Для получения интересующей
злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).
2. Утечка - это бесконтрольный выход конфиденциальной информации
за пределы организации или круга лиц, которым она была доверена.
Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо
энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки
информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний
может получить доступ к охраняемым сведениям. Для образования канала
утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника
соответствующей аппаратуры приема, обработки и фиксации информации.
16
3. Несанкционированный доступ - это противоправное преднамеренное
овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.
Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам.
Для реализации этих действий злоумышленнику приходится часто проникать
на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми
современными техническими средствами.
Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как
от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.
Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых
для обеспечения комплексной информационной безопасности.
Под риском информационной безопасности организации понимается
потенциальная возможность использования определенной угрозой уязвимостей актива или группы активов для причинения вреда организации.
При этом под информационным активом организации понимается материальный или нематериальный объект, который:
 является информацией или
содержит информацию,
 служит для обработки,
хранения или передачи информации,
 имеет ценность для организации.
Уязвимость – это слабость в
системе защиты, делающая возможной реализацию угрозы.
Уровень риска информационной безопасности зависит от уровня уязвимостей, уровня угрозы и ценности актива.
Задание № 7.
Загрузите ГОСТ Р ИСО/МЭК ТО 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
17
Ознакомьтесь с Приложениями C, D и Е ГОСТа Р ИСО/МЭК ТО
27005-2010.
Выберите три различных информационных актива организации в таблице (см. вариант).
Из Приложения D ГОСТа подберите три конкретные уязвимости системы защиты указанных информационных активов.
Пользуясь Приложением С ГОСТа напишите три угрозы, реализация
которых возможна пока в системе не устранены выбранные в предыдущем
пункте уязвимости.
Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.
Оценку ценности информационного актива следует производить на основании возможных потерь для организации в случае реализации угрозы.
В отчете необходимо: обосновать выбор информационных активов организации; провести оценку ценности информационных активов; определить
уязвимости системы защиты информации, угрозы; отразить оценку рисков;
сделать выводы.
Таблица 2. Варианты для задания 7
№
варианта
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Организация
Отделение коммерческого банка
Поликлиника
Университет
Офис страховой компании
Интернет-магазин
Центр оказания государственных услуг
Отделение полиции
Аудиторская компания
Дизайнерская фирма
Офис адвоката
Компания по разработке ПО для сторонних организаций
Агентство недвижимости
Туристическое агентство
Издательство
Консалтинговая фирма
Рекламное агентство
Отделение налоговой службы
Офис нотариуса
Научно-проектное предприятие
Редакция газеты
Гостиница
Производственное предприятие
Городской архив
Диспетчерская служба такси
Железнодорожная касса
18
Метод оценки риска (см.
Приложение Е ГОСТа)
1
2
3
4
2
3
4
1
2
4
1
2
3
1
2
3
4
1
3
1
2
3
4
1
2
Вопросы для самоконтроля
1. Что такое безопасность информации?
2. Что представляет собой система информационной безопасности?
3. Каким угрозам подвержена информация?
4. Что понимается под информационным активом организации?
5. Какие действия приводят к неправомерному овладению конфиденциальной безопасности?
6. Что понимается под утечкой информации?
7. Что принято понимать под каналом утечки информации? Какие условия
необходимы для образования канала утечки информации? Как классифицируются каналы утечки информации?
8. Что следует понимать под разглашением информации и в чем оно выражается? По каким каналам распространения информации реализуется разглашение информации?
9. Что относится к формальным и неформальным коммуникациям?
10.Что чаще всего становится причиной разглашения конфиденциальной
информации?
11.Что понимается под несанкционированным доступом к источникам
конфиденциальной информации?
12.Какими способами реализуется несанкционированный доступ к источникам конфиденциальной информации?
13.Что понимается под риском информационной безопасности организации? Что понимается под уязвимостью?
19
4. НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К ИНФОРМАЦИИ.
МЕТОДЫ ЗАЩИТЫ
Под несанкционированным доступом к информации (НСД) согласно
руководящим документам Гостехкомиссии понимается доступ к информации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированных систем
(АС). НСД может носить случайный или намеренный характер.
Можно выделить несколько обобщенных категорий методов защиты от
НСД, в частности:
 организационные;
 технологические;
 правовые.
К первой категории относятся меры и мероприятия, регламентируемые
внутренними инструкциями организации, эксплуатирующей информационную систему. Пример такой защиты - присвоение грифов секретности документам и материалам, хранящимся в отдельном помещении, и контроль доступа к ним сотрудников. Вторую категорию составляют механизмы защиты,
реализуемые на базе программно-аппаратных средств, например систем
идентификации и аутентификации или охранной сигнализации. Последняя
категория включает меры контроля за исполнением нормативных актов общегосударственного значения, механизмы разработки и совершенствования
нормативной базы, регулирующей вопросы защиты информации. Реализуемые на практике методы, как правило, сочетают в себе элементы нескольких
из перечисленных категорий. Так, управление доступом в помещения может
представлять собой взаимосвязь организационных (выдача допусков и ключей) и технологических (установку замков и систем сигнализации) способов
защиты.
Рассмотрим подробнее такие взаимосвязанные методы защиты от НСД,
как идентификация, аутентификация и используемое при их реализации
криптографическое преобразование информации.
Идентификация - это присвоение пользователям идентификаторов и
проверка предъявляемых идентификаторов по списку присвоенных.
Аутентификация - это проверка принадлежности пользователю
предъявленного им идентификатора. Часто аутентификацию также называют
подтверждением или проверкой подлинности.
Под безопасностью (стойкостью) системы идентификации и аутентификации понимают степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя. В этом смысле, чем выше стойкость системы аутентификации, тем
сложнее злоумышленнику решить указанную задачу. Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы.
20
Различают три группы методов аутентификации, основанных на наличии у каждого пользователя:
 индивидуального объекта заданного типа;
 знаний некоторой известной только ему и проверяющей стороне
информации;
 индивидуальных биометрических характеристик.
К первой группе относятся методы аутентификации, использующие
удостоверения, пропуска, магнитные карты и другие носимые устройства,
которые широко применяются для контроля доступа в помещения, а также
входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.
Во вторую группу входят методы аутентификации, использующие пароли. По экономическим причинам они включаются в качестве базовых
средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие приложения
имеют встроенные механизмы парольной защиты.
Последнюю группу составляют методы аутентификации, основанные
на применении оборудования для измерения и сравнения с эталоном заданных индивидуальных характеристик пользователя: тембра голоса, отпечатков
пальцев, структуры радужной оболочки глаза и др. Такие средства позволяют
с высокой точностью аутентифицировать обладателя конкретного биометрического признака, причем «подделать» биометрические параметры практически невозможно. Однако широкое распространение подобных технологий
сдерживается высокой стоимостью необходимого оборудования.
Если в процедуре аутентификации участвуют только две стороны,
устанавливающие подлинность друг друга, такая процедура называется
непосредственной аутентификацией (direct password authentication). Если же в
процессе аутентификации участвуют не только эти стороны, но и другие,
вспомогательные, говорят об аутентификации с участием доверенной стороны (trusted third party authentication). При этом третью сторону называют сервером аутентификации (authentication server) или арбитром (arbitrator).
Наиболее распространенные методы аутентификации основаны на
применении многоразовых или одноразовых паролей. Из-за своего широкого
распространения и простоты реализации парольные схемы часто в первую
очередь становятся мишенью атак злоумышленников. Эти методы включают
следующие разновидности способов аутентификации:
 по хранимой копии пароля или его свёртке (plaintext-equivalent);
 по некоторому проверочному значению (verifier-based);
 без непосредственной передачи информации о пароле проверяющей
стороне (zero- knowledge);
 с использованием пароля для получения криптографического ключа
(cryptographic).
В первую разновидность способов входят системы аутентификации,
21
предполагающие наличие у обеих сторон копии пароля или его свертки. Для
организации таких систем требуется создать и поддерживать базу данных,
содержащую пароли или сверки паролей всех пользователей. Их слабой стороной является то, что получение злоумышленником этой базы данных позволяет ему проходить аутентификацию от имени любого пользователя.
Способы, составляющие вторую разновидность, обеспечивают более
высокую степень безопасности парольной системы, так как проверочные
значения, хотя они и зависят от паролей, не могут быть непосредственно использованы злоумышленником для аутентификации.
Наконец, аутентификация без предоставления проверяющей стороне
какой бы то ни было информации о пароле обеспечивает наибольшую степень защиты. Этот способ гарантирует безопасность даже в том случае, если
нарушена работа проверяющей стороны (например, в программу регистрации
в системе внедрен «троянский конь»).
Особым подходом в технологии проверки подлинности являются криптографические протоколы аутентификации. Такие протоколы описывают последовательность действий, которую должны совершить стороны для взаимной аутентификации, кроме того, эти действия, как правило, сочетаются с генерацией и распределением криптографических ключей для шифрования последующего информационного обмена. Корректность протоколов аутентификации вытекает из свойств задействованных в них математических и криптографических преобразований и может быть строго доказана.
Обычные парольные системы проще и дешевле для реализации, но менее безопасны, чем системы с криптографическими протоколами. Последние
обеспечивают более надежную защиту и дополнительно решают задачу распределения ключей. Однако используемые в них технологии могут быть объектом законодательных ограничений.
ПАРОЛЬНЫЕ СИСТЕМЫ
Для более детального рассмотрения принципов построения парольных
систем сформулируем несколько основных определений.
Идентификатор пользователя - некоторое уникальное количество
информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи пользователя.
Пароль пользователя - некоторое секретное количество информации,
известное только пользователю и парольной системе, которое может быть
запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован
для проверки подлинности повторно.
Учетная запись пользователя - совокупность его идентификатора и
его пароля. База данных пользователей парольной системы содержит учетные записи всех пользователей данной парольной системы.
22
Под парольной системой будем понимать программно-аппаратный
комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых или многоразовых паролей. Как правило,
такой комплекс функционирует совместно с подсистемами разграничения
доступа и регистрации событий. В отдельных случаях парольная система
может выполнять ряд дополнительных функций, в частности генерацию и
распределение кратковременных (сеансовых) криптографических ключей.
Основными компонентами парольной системы являются:
 интерфейс пользователя;
 интерфейс администратора;
 модуль сопряжения с другими подсистемами безопасности;
 база данных учетных записей.
Парольная система представляет собой «передний край обороны» всей
системы безопасности. Некоторые ее элементы (в частности, реализующие
интерфейс пользователя) могут быть расположены в местах, открытых для
доступа потенциальному злоумышленнику. Поэтому парольная система становится одним из первых объектов атаки при вторжении злоумышленника в
защищенную систему. Ниже перечислены типы угроз безопасности парольных систем:
1.
Разглашение параметров учетной записи через:
 подбор в интерактивном режиме;
 подсматривание;
 преднамеренную передачу пароля его владельцем другому лицу;
 захват базы данных парольной системы (если пароли не хранятся в
базе в открытом виде, для их восстановления может потребоваться
подбор или дешифрование);
 перехват переданной по сети информации о пароле;
 хранение пароля в доступном месте.
2.
Вмешательство в функционирование компонентов парольной системы через:
 внедрение программных закладок;
 обнаружение и использование ошибок, допущенных на стадии разработки;
 выведение из строя парольной системы.
Некоторые из перечисленных типов угроз связаны с наличием так
называемого человеческого фактора, проявляющегося в том, что пользователь может:
 выбрать пароль, который легко запомнить и также легко подобрать;
 записать пароль, который сложно запомнить, и положить запись в
доступном месте;
 ввести пароль так, что его смогут увидеть посторонние:
 передать пароль другому лицу намеренно или под влиянием заблуждения.
23
В дополнение к выше сказанному необходимо отметить существование
«парадокса человеческого фактора». Заключается он в том, что пользователь
нередко стремится выступать скорее противником парольной системы, как,
впрочем, и любой системы безопасности, функционирование которой влияет
на его рабочие условия, нежели союзником системы защиты, тем самым
ослабляя ее. Защита от указанных угроз основывается на ряде перечисленных
ниже организационно-технических мер и мероприятий.
В большинстве систем пользователи имеют возможность самостоятельно выбирать пароли или получают их от системных администраторов.
При этом для уменьшения деструктивного влияния описанного выше человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей.
Таблица 3. Возможности повышения надежности пароля
Требование к выбору пароля
Применение эвристического алгоритма, бракующего пароли на основании данных журнала истории
Ограничение числа попыток ввода
пароля
Получаемый эффект
Усложняет задачу злоумышленника при попытке
подсмотреть пароль или подобрать пароль методом «тотального опробования»
Усложняет задачу злоумышленника при попытке
подобрать пароль методом «тотального опробования»
Усложняет задачу злоумышленника при попытке
подобрать пароль по словарю
Усложняет задачу злоумышленника при попытке
подобрать пароль методом «тотального опробования», в том числе без непосредственного обращения к системе защиты (режим off-line)
Препятствует попыткам пользователя заменить
пароль на старый после его смены по предыдущему требованию
Обеспечивает дополнительную степень защиты по
предыдущему требованию
Усложняет задачу злоумышленника при попытке
подобрать пароль по словарю или с использованием эвристического алгоритма
Препятствует интерактивному подбору паролей
злоумышленником
Поддержка режима принудительной
смены пароля пользователя
Обеспечивает эффективность требования, ограничивающего максимальный срок действия пароля
Использование задержки при вводе
неправильного пароля
Препятствует интерактивному подбору паролей
злоумышленником
Исключает возможность подобрать пароль по словарю. Если алгоритм генерации паролей не известен злоумышленнику, последний может подбирать пароли только методом «тотального опробования»
Установление минимальной длины
пароля
Использование в пароле различных
групп символов
Проверка и отбраковка пароля по
словарю
Установление максимального срока
действия пароля
Установление минимального срока
действия пароля
Ведение журнала истории паролей
Запрет на выбор пароля самими
пользователями и автоматическая
генерация паролей
24
Принудительная смена пароля при
первой регистрации пользователя в
системе
Защищает от неправомерных действия системного
администратора, имеющего доступ к паролю в
момент создания учетной записи
Задание № 8. Определите время перебора всех паролей, состоящих из 6
цифр
Пример выполнения:
Пусть алфавит составляют цифры n=10.
Длина пароля 6 символов k=6.
Таким образом, получаем количество вариантов: С=nk=106
Примем скорость перебора s=10 паролей в секунду.
Получаем
время
перебора
всех
паролей
5
t = С/s = 10 секунд ≈ 1667минут ≈ 28часов ≈ 1,2 дня.
Примем, что после каждого из m=3 неправильно введенных паролей
идет пауза в v=5 секунд.
Получаем
время
перебора
всех
паролей
Т = t*5/3 = 16667секунд ≈ 2778минут ≈ 46часов ≈ 1,9 дня.
Титог = t+T = 1,2 + 1,9 = 3,1 дня
Задание № 9. Определите минимальную длину пароля, алфавит которого состоит из 10 символов, время перебора которого было не меньше 10 лет.
Пример выполнения:
Алфавит составляют символы n=10.
Длина пароля рассчитывается: k=logn С= lg С.
Определим количество вариантов C= t * s=10лет*10 паролей в сек. =
10*10*365*24*60*60≈3,15* 109вариантов.
Таким образом, получаем длину пароля: k=lg (3,15*109) = 9,5
Очевидно, что длина пароля должна быть не менее 10 символов.
Задание № 10. Определите время перебора всех паролей с параметрами.
Алфавит состоит из n символов.
Длина пароля символов k.
Скорость перебора s паролей в секунду.
После каждого из m неправильно введенных паролей идет пауза в v секунд
Таблица 4. Значения исходных данных для задания 10
вариант
1
2
3
4
5
6
n
33
26
52
66
59
118
k
10
12
6
7
5
9
s
100
13
30
20
200
50
25
m
0
3
5
10
0
7
v
0
2
10
3
0
12
7
8
9
10
128
150
250
500
10
3
8
5
500
200
600
1000
0
5
7
10
0
3
3
10
Задание № 11. Определите минимальную длину пароля, алфавит которого
состоит из n символов, время перебора которого было не меньше t лет.
Скорость перебора s паролей в секунду.
Таблица 5. Значения исходных данных для задания 11
вариант
n
1
2
3
4
5
6
7
8
9
10
t
33
26
52
66
59
118
128
150
250
500
s
100
120
60
70
50
90
100
30
80
50
100
13
30
20
200
50
500
200
600
1000
Задание № 12. Определите количество символов алфавита, пароль состоит из
k символов, время перебора которого было не меньше t лет.
Скорость перебора s паролей в секунду.
Таблица 6. Значения исходных данных для задания 12
вариант
1
2
3
4
5
6
7
8
9
10
k
5
6
10
7
9
11
12
6
8
50
t
100
120
60
70
50
90
100
30
80
50
s
100
13
30
20
200
50
500
200
600
1000
АРХИВИРОВАНИЕ С ПАРОЛЕМ
Архиваторы - это программы для создания архивов. Архивы предназначены для хранения данных в удобном компактном виде. В качестве данных обычно выступают файлы и папки. Как правило, данные предварительно
подвергаются процедуре сжатия или упаковки. Поэтому почти каждый архиватор одновременно является программой для сжатия данных. С другой сто26
роны, любая программа для сжатия данных может рассматриваться как архиватор. Эффективность сжатия является важнейшей характеристикой архиваторов. От нее зависит размер создаваемых архивов. Чем меньше архив, тем
меньше места требуется для его хранения. Для передачи нужна меньшая
пропускная способность канала передачи или затрачивается меньшее время.
Преимущества архивов очевидны, если учесть, что данные уменьшаются в
размере и в 2 раза, и в 5 раз.
Сжатие данных используется очень широко. Можно сказать, почти везде. Например, документы PDF , как правило, содержат сжатую информацию.
Довольно много исполняемых файлов EXE сжаты специальными упаковщиками. Всевозможные мультимедийные файлы ( GIF , JPG , MP 3, MPG ) являются своеобразными архивами.
Основным недостатком архивов является невозможность прямого доступа к данным. Их сначала необходимо извлечь из архива или распаковать.
Операция распаковки, впрочем, как и упаковки, требует некоторых системных ресурсов. Это не мгновенная операция. Поэтому архивы в основном
применяют со сравнительно редко используемыми данными. Например, для
хранения резервных копий или установочных файлов.
В данный момент существует много архиваторов. Они имеют разную
распространенность и эффективность. Некоторые интересные архиваторы не
известны широкому кругу потенциальных пользователей. Особый интерес
представляют оценка и сравнение эффективности сжатия популярных архиваторов.
Методы сжатия архиваторов.
Разработано большое количество разнообразных методов, их модификаций и подвидов для сжатия данных. Современные архиваторы, как правило, одновременно используют несколько методов одновременно. Можно выделить некоторые основные.
Кодирование длин серий ( RLE - сокращение от run - length encoding кодирование длин серий).
Очень простой метод. Последовательная серия одинаковых элементов
данных заменяется на два символа: элемент и число его повторений. Широко
используется как дополнительный, так и промежуточный метод. В качестве
самостоятельного метода применяется, например, в графическом формате
BMP .
Словарный метод ( LZ - сокращение от Lempel Ziv - имена авторов).
Наиболее распространенный метод. Используется словарь, состоящий
из последовательностей данных или слов. При сжатии эти слова заменяются
на их коды из словаря. В наиболее распространенном варианте реализации в
качестве словаря выступает сам исходный блок данных.
Основным параметром словарного метода является размер словаря.
Чем больше словарь, тем больше эффективность. Однако для неоднородных
данных чрезмерно большой размер может быть вреден, так как при резком
изменении типа данных словарь будет заполнен неактуальными словами. Для
27
эффективной работы данного метода при сжатии требуется дополнительная
память. Приблизительно на порядок больше, чем нужно для исходных данных словаря. Существенным преимуществом словарного метода является
простая и быстрая процедура распаковки. Дополнительная память при этом
не требуется. Такая особенность особенно важна, если необходим оперативный доступ к данным.
Энтропийный метод ( Huffman - кодирование Хаффмена, Arithmetic
coding - арифметическое кодирование)
В этом методе элементы данных, которые встречаются чаще, кодируются при сжатии более коротким кодом, а более редкие элементы данных кодируются более длинным кодом. За счет того, что коротких кодов значительно больше, общий размер получается меньше исходного.
Широко используется как дополнительный метод. В качестве самостоятельного метода применяется, например, в графическом формате JPG .
Метод контекстного моделирования ( CM - сокращение от context
modeling - контекстное моделирование)
В этом методе строится модель исходных данных. При сжатии очередного элемента данных эта модель выдает свое предсказание или вероятность.
Согласно этой вероятности, элемент данных кодируется энтропийным методом. Чем точнее модель будет соответствовать исходным данным, тем точнее
она будет выдавать предсказания, и тем короче будут кодироваться элементы
данных.
Для построения эффективной модели требуется много памяти. При
распаковке приходится строить точно такую же модель. Поэтому скорость и
требования к объему оперативной памяти для упаковки и распаковки почти
одинаковы. В данный момент методы контекстного моделирования позволяют получить наилучшую степень сжатия, но отличаются чрезвычайно низкой
скоростью.
PPM ( PPM - Prediction by Partial Matching - предсказание по частичному совпадению).
Это особый подвид контекстного моделирования. Предсказание выполняется на основании определенного количества предыдущих элементов
данных. Основным параметром является порядок модели, который задает это
количество элементов. Чем больше порядок модели, тем выше степень сжатия, но требуется больше оперативной памяти для хранения данных модели.
Если оперативной памяти недостаточно, то такая модель с большим порядком показывает низкие результаты. Метод PPM особенно эффективен для
сжатия текстовых данных.
Предварительные преобразования или фильтрация.
Данные методы служат не для сжатия, а для представления информации в удобном для дальнейшего сжатия виде. Например, для несжатых мультимедиа данных характерны плавные изменения уровня сигнала. Поэтому
для них применяют дельта-преобразование, когда вместо абсолютного значения берется относительное. Существуют фильтры для текста, исполняемых
28
файлов, баз данных и другие.
Метод сортировки блока данных ( BWT - сокращение от Burrows
Wheeler Transform - по имени авторов).
Это особый вид или группа преобразований, в основе которых лежит
сортировка. Такому преобразованию можно подвергать почти любые данные.
Сортировка производится над блоками, поэтому данные предварительно разбиваются на части. Основным параметром является размер блока, который
подвергается сортировке. Для распаковки данных необходимо проделать почти те же действия, что и при упаковке. Поэтому скорость и требования к
оперативной памяти почти одинаковы. Архиваторы, которые используют
данный метод, обычно показывают высокую скорость и степень сжатия для
текстовых данных.
Непрерывные блоки или непрерывный режим ( Solid mode - непрерывный режим).
Во многих методах сжатия начальный участок данных или файла кодируется плохо. Например, в словарном методе словарь пуст. В методе контекстного моделирования модель не построена. Когда количество файлов
большое, а их размер маленький, общая степень сжатия значительно ухудшается за счет этих начальных участков. Чтобы этого не происходило при переходе на следующий файл, используется информация, полученная исходя из
предыдущих файлов. Аналогичного эффекта можно добиться простым представлением исходных файлов в виде одного непрерывного файла.
Этот метод используется во многих архиваторах и имеет существенный
недостаток. Для распаковки произвольного файла необходимо распаковать и
файлы, которые оказались в начале архива. Это необходимо для правильного
заполнения словаря или построения модели. Существует и промежуточный
вариант, когда используются непрерывные блоки фиксированного размера.
Потери сжатия получаются минимальными, но для извлечения одного файла,
который находится в конце большого архива, необходимо распаковать только один непрерывный блок, а не весь архив.
Во всех методах сжатия при изменении типа данных собственно сам
переход кодируется очень плохо. Словарь становится не актуальным, модель
настроена на другие данные. В этих случаях применяется сегментирование это предварительная разбивка на однородные части. Затем эти части кодируются по отдельности или группами.
Особо хочется подчеркнуть, что существует большое количество методов сжатия. Каждый метод обычно ориентирован на один вид или группу реальных данных. Хорошие результаты показывает комплексное использование методов.
Особенности данных
Степень сжатия в основном зависит от исходных данных. Хорошо
сжимаются почти все предварительно несжатые данные, например, исполняемые файлы (EXE), тексты (TXT , DOC), базы данных (DBF ), простые несжатые изображения ( BMP ). Ограниченно сжимаются несжатый звук (
29
WAV ), сложные несжатые изображения ( BMP ). Не сжимаются почти все
уже сжатые данные, например, архивы ( ZIP , CAB ), сжатые документы (
PDF ), сжатая графика и видео ( JPG , GIF , AVI , MPG ), сжатый звук ( MP 3).
Их сжатие находится в пределах пары процентов за счет служебных блоков и
небольшой избыточности.
Для сжатия некоторых специфических данных (текст, несжатые изображения, несжатый звук) существуют специальные методы и архиваторы.
Такие архиваторы обеспечивают высокую степень сжатия и высокую скорость. Однако так называемые универсальные архиваторы постепенно дополняются подобными методами. В данный момент только для несжатого
звука существуют высокоэффективные специальные архиваторы, такие, как
OptimFROG , Monkey Audio . Для текстов и изображений лучшие универсальные архиваторы показывают лучшую степень сжатия. Например, архив
изображений получится меньше, если использовать формат BMP и архиватор
WinRK вместо специализированных графических форматов, таких как JPEG
2000 ( LossLess - сжатие без потерь).
Большое количество типов данных уже являются сжатыми. Использование архиваторов дает мизерное уменьшение размера. Тем не менее даже в
таких случаях эффективное сжатие теоретически возможно. Это обусловлено
тем, что в большинстве распространенных форматов файлов, использующих
сжатие, применены не самые эффективные методы. Например, в основе формата JPG лежит энтропийное сжатие, которое используется после преобразований Фурье. Данные кодируются неоптимальными блоками, что обусловлено желанием сделать формат JPG устойчивым к повреждениям и возможности частичного извлечения информации. Перекодировав файлы JPG при помощи высокоэффективных методов, можно добиться сжатия порядка 75% от
исходного файла (архиватор StuffIt ). Собственно сам исходный файл JPG
сжимается обычными архиваторами только до 96%. Однако подобные манипуляции с файлами JPG стали возможны только недавно и еще не получили
распространения. В большинстве случаев сжимать уже сжатые данные бесполезно.
Следует различать собственно программу-архиватор, формат архивов и
методы сжатия. Даже один и тот же метод сжатия может иметь варианты реализации. Например, существует более десятка программ-архиваторов, которые могут создавать архивы в формате ZIP. В свою очередь данные в формате ZIP могут быть сжаты различными методами: Deflate, Deflate64, BZip2.
Метод Deflate имеет несколько реализаций с разной скоростью и степенью
сжатия (разница порядка 5%). С помощью этого метода архиватор 7-zip позволяет создавать архивы в формате ZIP и 7Z.
Обычно архиваторы могут создавать архивы в собственном эксклюзивном формате с использованием своих оригинальных методов. Например, архиватор RAR позволяет создавать архивы RAR. В формате архива и методах
сжатия заключаются основные преимущества того или иного архиватора.
В простейшем случае архиватор позволяет только упаковать или рас30
паковать один файл. Кроме собственно сжатия данных, современные архиваторы обеспечивают некоторые дополнительные функции. Можно выделить
несколько основных:
 сжатие некоторых файлов и целых директорий;
 создание самораспаковывающихся (SFX) архивов. То есть для распаковки архива программа-архиватор не требуется;
 изменение содержимого архива; шифрование содержимого архива;
 информация для восстановления архива при частичном повреждении и возможность восстановления поврежденных архивов; разбивка архива на несколько частей или томов; консольная версия программы для работы из командной строки; графическая (GUI) версия
программы.
Стоит отметить, что, несмотря на формальное наличие, реализация
каждой дополнительной функции может быть выполнена на совершенно разном уровне.
Кроме различий в функциональности, можно разбить архиваторы на
две группы: асимметричные и симметричные. Асимметричные архиваторы
требуют для операции распаковки значительно меньше времени и оперативной памяти, чем для операции упаковки. Это позволяет быстро получать содержимое архива на маломощных компьютерах. Симметричные архиваторы
требуют для операций упаковки и распаковки одинаковое время и объем
оперативной памяти. Использование таких архиваторов на широком парке
компьютеров или для оперативного доступа к содержимому архива ограничено. Известный архиватор RAR в качестве основного использует асимметричный словарный метод сжатия, а для текстов может использовать симметричный PPM-метод. Таким образом, распаковка архивов RAR, сжатых с максимальной степенью сжатия, может быть невозможна на компьютерах с
ограниченным объемом оперативной памяти. Все или почти все передовые
архиваторы с высокой степенью сжатия являются симметричными.
Точной статистики по распространенности архиваторов нет. Однако,
самым распространенным архиватором являются ZIP и его модификации. По
своей распространенности он значительно превосходит ближайших конкурентов. Следом идут RAR и ACE. В последние годы встречается архиватор 7zip. Некогда популярные ARJ и LHA в данный момент не актуальны из-за
очень низкой степени сжатия.
Сегодня существует большое множество архиваторов. Основная масса
относится к категории экспериментальных и архиваторов с ограниченной
функциональностью. Тем не менее, каждый их них позволяет выполнять собственно процедуру сжатия данных. Меньшая распространенность увеличивает вероятность ошибок в программе.
Задание № 13. Необходимо создать текстовый файл, содержащий фамилию,
имя, отчество студента в объеме 50 записей. Провести архивирование файла.
Любым редактором внести изменения согласно задания. В отчете отразить:
31
контрольную сумму исходного файла, сжатого файла, выдаваемые сообщения об ошибках при разархивировании искаженного файла.
Задание № 14. Провести архивацию файла с паролем. Внести искажения, попробовать разархивировать. В отчете отразить: контрольную сумму исходного файла, сжатого файла, выдаваемые сообщения об ошибках при разархивировании искаженного файла.
Задание № 15. Провести архивацию файла с паролем, состоящим из 3-х
цифр. Провести попытку подбора пароля с использованием программного
обеспечения. В отчете отразить: контрольную сумму исходного файла, сжатого файла, выдаваемые сообщения, время подбора.
Таблица 7. Значения исходных данных для заданий 13, 14, 15
№ варианта
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Архиватор
zip
arj
rar
zip
arj
rar
arj
rar
zip
zip
Искажение
Искажение двух байт
Искажение трех байт
Искажение трех байт
Удаление двух байт
Удаление трех байт
Удаление трех байт
Добавление трех байт
Добавление трех байт
Добавление двух байт
Удаление двух байт
АЛГОРИТМЫ ПРЕДУПРЕЖДЕНИЯ И ОБНАРУЖЕНИЯ ВИРУСНЫХ
УГРОЗ
Для зашиты от компьютерных вирусов и других вредоносных программ могут использоваться:
 общие методы и средства защиты информации;
 специализированные программы для защиты от вирусов;
 профилактические меры, позволяющие уменьшить вероятность заражения вирусами.
Существуют две основные разновидности общих методов и средств
защиты информации, также эффективных при борьбе вирусными угрозами:
 средства копирования информации;
 средства разграничения доступа.
При заражении компьютера вирусом важно его обнаружить. К внешним признакам проявления деятельности вирусов можно отнести следующие:
 вывод на экран непредусмотренных сообщений или изображений;
 подача непредусмотренных звуковых сигналов;
 изменение даты и времени модификации файлов;
32






исчезновение файлов и каталогов или искажение их содержимого;
частые зависания и сбои в работе компьютера;
медленная работа компьютера;
невозможность загрузки ОС;
существенное уменьшение размера свободной оперативной памяти;
прекращение работы или неправильная работа ранее успешно функционировавших программ;
 изменение размеров файлов;
 неожиданное значительное увеличение количества файлов на диске.
Но мало заметить, что компьютерная система подверглась воздействию
вредоносного ПО, необходимо обнаружить источник угрозы. К основным
методам обнаружения компьютерных вирусов можно отнести следующие:
 метод сравнения с эталоном;
 эвристический анализ;
 антивирусный мониторинг;
 метод обнаружения изменений;
 встраивание антивирусов и др.
Различают следующие виды антивирусных программ:
 программы-фаги (сканеры);
 программы-ревизоры (CRC-сканеры);
 программы-блокировщики;
 программы-иммунизаторы.
Однако абсолютно надежных программ, гарантирующих обнаружение
и уничтожение любого вируса, не существует. Важным методом борьбы с
компьютерными вирусами является своевременная профилактика. Чтобы
существенно уменьшить вероятность заражения вирусом и обеспечить
надежное хранение информации на дисках, необходимо выполнять следующие меры профилактики:
 применять только лицензионное ПО;
 оснастить компьютер современными антивирусными программами
и постоянно возобновлять их версии;
 всегда проверять съемные носители информации на наличие вирусов (запуская антивирусные программы своего компьютера) перед
считыванием с них информации, записанной на других компьютерах;
 при переносе на свой компьютер файлов в архивированном виде
проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
 периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов,
памяти и системных областей дисков;
33
 всегда защищать съемные носители информации от записи при работе на других компьютерах, если на них не будет производиться
запись информации;
 обязательно делать на съемных дисках архивные копии ценной для
пользователя информации;
 использовать антивирусные программы для входного контроля всех
исполняемых файлов, получаемых из компьютерных сетей.
ПАКЕТЫ АНТИВИРУСНЫХ ПРОГРАММ
Сегодня перечень доступных антивирусных программ весьма обширен.
Они различаются как по цене, так и по своим функциональным возможностям. Наиболее мощные (и, как правило, наиболее дорогие) антивирусные
программы представляют собой на самом деле пакеты специализированных
утилит, способных при совместном их использовании обеспечить разностороннюю защиту компьютерной системы.
Большинство современных антивирусных пакетов выполняют следующие функции:
 сканирование памяти и содержимого дисков;
 сканирование в реальном режиме времени с помощью резидентного
модуля;
 распознавание поведения, характерного для компьютерных вирусов;
 блокировка и/или удаление выявленных вирусов;
 восстановление зараженных информационных объектов;
 принудительная проверка подключенных к корпоративной сети
компьютеров;
 удаленное обновление антивирусного программного обеспечения и
баз данных через Интернет;
 фильтрация трафика Интернета на предмет выявления вирусов в передаваемых программах и документах;
 выявление потенциально опасных Java-апплетов и модулей ActiveX;
 ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты и др.
Задание № 16. Подготовить краткий доклад по заданному вопросу (см. вариант), используя любые доступные источники информации. Заполнить таблицу «Пакеты антивирусных программ» на основе подготовленного материала,
а также докладов других студентов. Провести анализ собранной информации
и сделать выводы.
Таблица 8. Значения исходных данных для задания
Пакет антивирусного ПО
Антивирус Касперского
Антивирус Dr.Web для Windows
Основные функции
1
4
34
Достоинства
2
5
Недостатки
3
6
Panda Antivirus
ESET NOD32 Антивирус
avast! Free Antivirus
Avira AntiVir Personal
Norton AntiVirus
Trend Micro Internet Security
Microsoft Security Essentials
McAfee VirusScan
7
10
13
16
19
22
25
28
8
11
14
17
20
23
26
29
9
12
15
18
21
24
27
30
Задание № 17. Восстановление зараженных файлов - восстановить файл, зараженный макровирусом
Алгоритм выполнения работы
Для восстановления документов Word и Excel достаточно сохранить
пораженные файлы в текстовый формат RTF, содержащий практически всю
информацию из первоначальных документов и не содержащий макросы.
Для этого выполните следующие действия.
1. В программе Word выберите пункты меню «Файл» - «Сохранить
как».
2. В открывшемся окне в поле «Тип файла» выберите «Текст в формате RTF».
3. Выберите команду Сохранить, при этом имя файла оставьте прежним.
4. В результате появится новый файл с именем существующего, но с
другим расширением.
5. Далее закройте Word и удалите все зараженные Word-документы и
файл-шаблон NORMAL.DOT в папке WinWord.
6. Запустите Word и восстановите документы из RTF-файлов в соответствующий формат файла с расширением (.doc).
7. В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений.
Примечание:
a)
этот метод рекомендуется использовать, если нет соответствующих антивирусных программ;
b)
при конвертировании файлов происходит потеря невирусных
макросов, используемых при работе. Поэтому перед запуском описанной
процедуры следует сохранить их исходный текст, а после обезвреживания
вируса - восстановить необходимые макросы в первоначальном виде.
8. Для последующей защиты файлов от макровирусов включите защиту
от запуска макросов.
9. Для этого в Word выберите последовательно пункты меню: Сервис Макрос - Безопасность.
10. В открывшемся окне на закладке Уровень безопасности отметьте
пункт Высокая .
35
Задания для самостоятельной работы - Восстановление зараженных
файлов
1. Создайте файл virus.doc (содержание - чистый лист) и выполните алгоритм восстановления файла (в предположении его заражения макровирусом).
2. Зафиксируйте этапы работы, используя команду PrintScreen клавиатуры (скопированные таким образом файлы вставьте в новый Word-документ
для отчета преподавателю).
3. Сравните размеры файлов virus.doc и virus.rtf, используя пункт контекстного меню Свойства (для этого выделите в Проводнике файл, нажмите
правую кнопку мыши и выберите пункт Свойства).
Профилактика проникновения «троянских программ»
Реестр операционной системы Windows - это большая база данных, где
хранится информация о конфигурации системы. Этой информацией пользуются как операционная система Windows, так и другие программы. В некоторых случаях восстановить работоспособность системы после сбоя можно, загрузив работоспособную версию реестра, но для этого, естественно, необходимо иметь копию реестра. Основным средством для просмотра и редактирования записей реестра служит специализированная утилита «Редактор реестра».
Файл редактора реестра regedit.exe находится в папке Windows. После
запуска появится окно редактора реестра. Вы увидите список из 5 разделов:
HKEY_CLASSES_ROOT.
HKEY_CURRENT_USER.
HKEY_LOCAL_MACHINE.
HKEYJJSERS.
HKEY CURRENT CONFIG.
Работа с разделами реестра аналогична работе с папками в Проводнике.
Конечным элементом дерева реестра являются ключи или параметры, делящиеся на три типа:
• строковые (например, Ошибка! Недопустимый объект гиперссылки.);
• двоичные (апример, 10 82 А0 8F);
• DWORD - этот тип ключа занимает 4 байта и отображается в шестнадцатеричном и в десятичном виде (например, 0x00000020 (32)).
В Windows системная информация разбита на так называемые ульи
(hive). Это обусловлено принципиальным отличием концепции безопасности
этих операционных систем. Имена файлов ульев и пути к каталогам, в которых
они
хранятся,
расположены
в
разделе
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \ Control\hivelist
В таблице (Таблица 9) даны краткие описания ульев реестра и файлов, в
которых хранятся параметры безопасности.
36
Таблица 9. Характеристика основных разделов системного реестра
Содержит информацию об аппаратных профилях этого подраздела. Информация хранится в файлах SYSTEM, SYSTEM.LOG, SYSTEM.SAV
в
папке
%Systemroot%\System32\Config
Содержит информацию SAM (Security Access
Manager), хранящуюся в файлах SAM,
SAM.LOG, SAM.SAV в папке %Systemroot%\Svstem32\Config
Содержит информацию безопасности в файлах
SECURITY,
SECURITY.LOG,
SECURITY.SAV
в
папке
1%Systemroot%\System32\Config
Содержит информацию о подразделе System
этого улья, которая хранится в файлах SYSTEM.SAV и SYSTEM.ALT в папке %Systemroot%\System32\Config
Содержит информацию, которая будет использоваться для создания профиля нового пользователя, впервые регистрирующегося в системе.
Информация хранится в файлах DEFAULT,
DEFAULT.LOG, DEFAULT.SAV в папке
%Systemroot%\System32\Config
Содержит информацию о пользователе, зарегистрированном в системе на текущий момент.
Эта информация хранится в файлах
NTUSER.DAT и NTUSER.DAT.LOG, расположенных
в
каталоге
\%Systemroot%\Profiles\User name, где User
name - имя пользователя, зарегистрированного
в системе на данный момент
HKEY_LOCAL_MACHINEVSYSTEM
HKEY_LOCAL_MACHINE\SAM
HKEY_LOCAL_MACHINE\SECURITY
HKEY_CURRENT_CONFIG
HKEY_USERS\.DEFAULT
HKEY_CURRENT__USER
Задание № 18. Проверить потенциальные места записей «троянских программ» в системном реестре операционной системы Windows 2000 (ХР).
Алгоритм выполнения работы
Потенциальными местами записей «троянских программ» в системном
реестре являются разделы, описывающие программы, запускаемые автоматически при загрузке операционной системы от имени пользователей и системы.
1. Запустите программу regedit.exe.
2. В открывшемся окне выберите ветвь HKEY_LOCAL_MACHINE и
далее Software\ Microsoft\ WindowsNT\CurrentVersion\Winlogon.
3. В правой половине открытого окна программы regedit.exe появится
список ключей.
4. Найдите ключ Userinit (REG_SZ) и проверьте его содержимое.
37
5. По умолчанию (исходное состояние) 151 этот ключ содержит следующую запись C:\WINDOWS\ system32\userinit.exe.
6. Если в указанном ключе содержатся дополнительные записи, то это
могут быть «троянские программы».
7. В этом случае проанализируйте место расположения программы,
обратите внимание на время создания файла и сопоставьте с Вашими действиями в это время.
8. Если время создания файла совпадает со временем Вашей работы в
Интернете, то возможно, что в это время Ваш компьютер был заражен «троянским конем».
9. Для удаления этой записи необходимо дважды щелкнуть на названии ключа (или при выделенном ключе выбрать команду Изменить из меню
Правка программы regedit.exe).
10. В открывшемся окне в поле Значение удалите ссылку на подозрительный файл.
11. Закройте программу regedit.exe.
12. Перейдите в папку с подозрительным файлом и удалите его.
13. Перезагрузите операционную систему и выполните пункты задания
1-4.
14. Если содержимое рассматриваемого ключа не изменилось, то предполагаемый «троянский конь» удален из Вашей системы.
Еще одним потенциальным местом записей на запуск «троянских программ» является раздел автозапуска Run.
Для его проверки выполните следующее.
1. Запустите программу regedit.exe
2. В открывшемся окне выберите ветвь HKEY_LOCAL-MACHINE
и далее Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ).
3. В рассматриваемом примере автоматически запускается резидентный антивирус и его планировщик заданий, а также утилита, относящаяся к
программе Nero (запись на CD).
4. Если в указанном разделе есть записи вызывающие, подозрения, то
выполните пункты 6-14 предыдущего задания.
Задания для самостоятельной работы - Профилактика проникновения
«троянских программ»
1.
Проверьте содержимое ключа
HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\ CurrentVersion\ Winlogon\ System (REG_SZ)
2. Зафиксируйте этапы работы, используя команду PrintScreen клавиатуры.
3. Составьте отчет о результатах проверки.
38
Вопросы для самоконтроля
1. Что понимается под несанкционированным доступом к информации
(НДС)?
2. Какие Вы знаете обобщенные категории методов защиты от НДС?
Охарактеризуйте каждую категорию.
3. Что такое идентификация и аутентификация?
4. Какие различают группы методов аутентификации? Охарактеризуйте каждую группу.
5. Что такое идентификатор, пароль пользователя и учетная запись
пользователя?
6. Что понимается под парольной системой? Назовите ее компоненты.
7. Назовите типы угроз безопасности парольных систем.
8. Какие Вы знаете возможности повышения надежности пароля?
9. В чем состоит процесс архивирования информации? Что такое архиватор?
10.Перечислите основные методы сжатия.
11.Как особенности данных отражаются на степени сжатия?
12.Какие дополнительные функции обеспечивают современные архиваторы?
13.Назовите внешние признаки проявления деятельности вирусов.
14.Назовите основные методы обнаружения компьютерных вирусов.
15.Какие меры профилактики позволяют уменьшить вероятность заражения вирусом и обеспечить надежное хранение информации на носителях?
16.Какие функции выполняют современные антивирусные пакеты?
39
5. ЗАКОНОДАТЕЛЬНЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
Понятие и виды информации, защищаемой законодательством
Российской Федерации
Федеральный закон от 27 июля 2006 г. ФЗ-149 «Об информации, информационных технологиях и о защите информации» классифицирует информацию в зависимости от категории доступа к ней и от порядка ее предоставления или распространения. В соответствии со ст. 5 указанного закона по
категориям доступа информация подразделяется на общедоступную информацию и информацию ограниченного доступа, т.е. такую информацию, доступ к которой ограничен федеральными законами. По порядку предоставления или распространения информация подразделяется:
 на свободно распространяемую;
 предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
 подлежащую предоставлению или распространению в соответствии
с федеральными законами (например, сведения об имущественном
положении кандидатов в депутаты);
 ограничиваемую или запрещаемую к распространению в Российской Федерации (например, разжигающую национальную, расовую
или религиозную ненависть и вражду).
Право разрешать или ограничивать доступ к информации и определять
условия такого доступа принадлежит обладателю информации. Обладатель
информации обязан принимать меры по защите информации и ограничивать
доступ к информации, если такая обязанность установлена федеральными законами (ст. 6 Федерального закона «Об информации, информационных технологиях и о защите информации»). Ограничение доступа к информации
возможно только в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства и устанавливается федеральными законами. Статья 9 Федерального закона «Об информации, информационных
технологиях и о защите информации» устанавливает обязательность соблюдения конфиденциальности информации ограниченного доступа, т.е. «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя». Информация ограниченного доступа подразделяется
на сведения, представляющие собой:
 государственную тайну;
 коммерческую тайну;
 служебную тайну;
 профессиональную тайну - сведения, полученные гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности;
40
 персональные данные граждан (физических лиц).
Помимо прямо указанных в законе существуют и иные виды информации ограниченного доступа.
В Указе Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» предпринята попытка упорядочить состав конфиденциальной информации. Указом утвержден перечень
сведений конфиденциального характера, в котором перечислены шесть видов
информации:
1) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах
массовой информации в установленных федеральными законами случаях;
2) сведения, составляющие тайну следствия и судопроизводства;
3) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
4) сведения, связанные с профессиональной деятельностью, доступ к
которым ограничен в соответствии с Конституцией Российской Федерации и
федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров, почтовых отправлений, телеграфных
или иных сообщений и так далее);
5) сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
6) сведения о сущности изобретения полезной модели или промышленного образца до официальной публикации информации о них. Наличие в
п. 4 перечня, касающегося профессиональной тайны, слов «и так далее»
предполагает его продолжение.
Федеральный закон «Об информации, информационных технологиях и
о защите информации» в ч. 4 ст. 8 определяет перечень сведений, доступ к
которым не может быть ограничен:
1) нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
2) информацию о состоянии окружающей среды;
3) информацию о деятельности государственных органов и органов
местного самоуправления, а также об использовании бюджетных средств (за
исключением сведений, составляющих государственную или служебную
тайну);
4) информацию, накапливаемую в открытых фондах библиотек, музеев
и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан
(физических лиц) и организаций такой информацией;
41
5) иную информацию, недопустимость ограничения доступа к которой
установлена федеральными законами.
Таким образом, анализ законодательства показывает, что:
1) информацией является совокупность предназначенных для передачи формализованных знаний и сведений о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
2) правовой защите подлежит не только документированная информация;
3) информация может быть конфиденциальной, ознакомление с которой ограничивается ее собственником или в соответствии с законодательством, и массовой, предназначенной для неограниченного круга лиц.
С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:
 правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту
информации на правовой основе;
 организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативноправовой основе, исключающая или ослабляющая нанесение какоголибо ущерба исполнителям;
 инженерно-техническая защита - это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности.
Правовая защита
Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита
регулируется государственными и ведомственными актами.
В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное,
уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.
Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и
правовых актов Российской Федерации.
Требования информационной безопасности должны органически
включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные пра42
вовые акты и другие. В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации.
Первый блок - конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.
Второй блок - общие законы, кодексы (о собственности, о недрах, о
земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационной безопасности.
Третий блок - законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и
определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности
информации, представляющей общегосударственный интерес.
Четвертый блок – специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации».
Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.
Пятый блок - законодательство субъектов Российской Федерации, касающееся защиты информации.
Шестой блок - подзаконные нормативные акты по защите информации.
Седьмой блок - это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.
Государственное регулирование информационной безопасности
Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Федеральному закону от
27.07.2006 № 149-ФЗ (ред. от 31.12.2014) «Об информации, информационных
технологиях и о защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:
 информации и информационных систем;
 субъектов - участников информационных процессов;
 правоотношений производителей - потребителей информационной
продукции;
 владельцев (обладателей, источников) информации - обработчиков и
потребителей на основе отношений собственности при обеспечении
гарантий интересов граждан и государства.
43
Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит,
кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также
общие принципы защиты и гарантий прав участников информационного
процесса.
В дополнение к базовому закону приняты Законы «О правовой охране
программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают
охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права, наряду с традиционными базами
данных, топологии интегральных микросхем и программы для ЭВМ.
Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском
кодексе РФ статьей 139 «Служебная и коммерческая тайна».
1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять
служебную или коммерческую тайну, определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну,
защищается способами, предусмотренными настоящим кодексом и другими
законами.
Вторая часть статьи 139 определяет правовые основы ответственности
за несанкционированное получение информации или причинение ущерба.
Звучит это так:
«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в
том числе контракту, и на контрагентов, сделавших это вопреки гражданскоправовому договору».
Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации
Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и
контракта отдельного конкретного исполнителя, определяющих перечень
сведений, подлежащих охране, и меры ответственности за их разглашение.
44
Доктрина информационной безопасности
Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности
Российской Федерации и развивает Концепцию национальной безопасности
Российской Федерации применительно к информационной сфере. Особую
значимость представляют следующие положения Доктрины:
1. Информационная безопасность Российской Федерации понимается в
Доктрине как состояние защищенности национальных интересов Российской
Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Определяется
содержание интересов личности, общества и государства в информационной
сфере. При этом в качестве составляющей части этих интересов называется
обеспечение права на доступ к информации, на использование информации в
интересах осуществления не запрещенной законом деятельности (п. 1 разд. I).
2. В Доктрине выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:
1) соблюдение конституционных прав и свобод человека и гражданина
в области получения информации и пользования ею;
2) информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной
общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к
открытым государственным информационным ресурсам;
3) развитие современных информационных технологий, отечественной
индустрии информации и т.п.;
4) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных
систем (п. 1 разд. I).
3. Доктрина называет в числе угроз информационной безопасности
Российской Федерации угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, среди которых, в частности, выделяются:
1) создание монополий на формирование, получение и распространение информации в Российской Федерации;
2) нерациональное, чрезмерное ограничение доступа к общественно
необходимой информации;
3) неисполнение требований федерального законодательства, регулирующего отношения в информационной сфере;
4) неправомерное ограничение доступа граждан к открытым информационным ресурсам органов государственной власти, органов местного само45
управления, к открытым архивным материалам, к другой открытой социально значимой информации;
5) манипулирование информацией (дезинформация, сокрытие или искажение информации) и др. (п. 2 разд. I). Среди источников угроз информационной безопасности называется и отставание России от ведущих стран
мира по уровню информатизации федеральных органов государственной
власти и других органов и сфер деятельности (п. 3 разд. I).
4. Особое место в Доктрине отводится особенностям обеспечения информационной безопасности в сфере экономики, играющей ключевую роль в
обеспечении национальной безопасности Российской Федерации (п. 6 разд.
II). Отмечается, что недостаточность нормативной базы, определяющей ответственность хозяйствующих субъектов, за недостоверность или сокрытие
сведений об их коммерческой деятельности, о потребительских свойствах
производимых ими товаров и услуг, о результатах их хозяйственной деятельности, об инвестициях и тому подобном, препятствует нормальному функционированию хозяйствующих субъектов. В то же время существенный экономический ущерб хозяйствующим субъектам может быть нанесен вследствие
разглашения информации, содержащей коммерческую тайну.
5. В Доктрине определяются и некоторые особенности обеспечения
информационной безопасности в судебной сфере (п. 6 разд. II). К наиболее
важным объектам обеспечения такой безопасности относятся информационные ресурсы судебных органов, содержащие специальные сведения и оперативные данные служебного характера. При этом среди специфических методов и средств обеспечения информационной безопасности в судебной сфере
называются в качестве главных создание защищенной многоуровневой системы интегрированных банков данных справочного и статистического характера, а также повышение уровня профессиональной и специальной подготовки пользователей информационных систем.
6. В Доктрине сформулированы основные положения государственной
политики обеспечения информационной безопасности Российской Федерации (п. 8 разд. III). В качестве приоритетного направления такой политики
называется правовое обеспечение информационной безопасности, которое
должно базироваться прежде всего на соблюдении принципов законности и
баланса интересов граждан, общества и государства в информационной сфере.
7. Органы судебной власти, как это предусмотрено в Доктрине, являются одним из основных элементов организационной основы системы обеспечения информационной безопасности Российской Федерации. В их задачи
входит осуществление правосудия и обеспечение судебной защиты граждан
и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации (п. 11 разд. III).
46
Организационная защита
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение
конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
 организацию охраны, режима, работу с кадрами, с документами;
 использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационные мероприятия играют существенную роль в создании
надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной
мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или
персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность
организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.
К основным организационным мероприятиям можно отнести:
 организацию режима и охраны. Их цель - исключение возможности
тайного проникновения на территорию и в помещения посторонних лиц;
обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение
временного режима труда и пребывания на территории персонала фирмы;
организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
 организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
 организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
 организацию использования технических средств сбора, обработки,
накопления и хранения конфиденциальной информации;
 организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
47
 организацию работы по проведению систематического контроля за
работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят
специфическую для данной организации форму и содержание, направленные
на обеспечение безопасности информации в конкретных условиях.
Специфической областью организационных мер является организация
защиты ПЭВМ, информационных систем и сетей.
Организация защиты ПЭВМ, информационных систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в
соответствии с нормативно-правовыми требованиями и правилами. Защита
информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ и
утечка информации чаще всего обусловлены злоумышленными действиями,
небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационнотехнических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при
действии различных нарушающих факторов.
Организационные средства защиты ПЭВМ и информационных сетей
применяются:
 при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
 при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за
нарушение правил защиты и др.;
 при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение
документации и др.);
 при соблюдении надежного пропускного режима к техническим
средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой
персонала, ведение (возможно и автоматизированное) журналов работы,
уничтожение в установленном порядке закрытых производственных документов);
48
 при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка
их на удовлетворение требованиям защиты, документальное оформление изменений и др.);
 при подготовке и контроле работы пользователей.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.
Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществиться какой-то организационной структурой,
каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности
предпринимательской деятельности и защите информации.
Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:
 организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
 обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;
 руководство работами по правовому и организационному регулированию отношений по защите информации;
 участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений,
подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
 разработка и осуществление совместно с другими подразделениями
мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденциальной информации»;
 изучение всех сторон производственной, коммерческой, финансовой
и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентной и других организаций, о деятельности предприятия и его
клиентов, партнеров, смежников;
 организация и проведение служебных расследований по фактам разглашения сведений, утрат Документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
49
 разработка, ведение, обновление и пополнение «Перечня сведений
конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
 обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;
 осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими
структурами в части оговоренных в договорах условий по защите конфиденциальной информации;
 организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и
обеспечения безопасности производственной деятельности;
 ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
 обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны
внутренних и внешних угроз;
 поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной
обстановки в районе и оказания взаимной помощи в кризисных ситуациях.
Задание № 19. В СПС КонсультантПлюс или ГАРАНТ найдите документы,
указанные в таблице (Таблица 10) в соответствии с вариантом (Таблица 11). Поместите найденные документы в папку.
Таблица 10. Основные законы РФ в области защиты информации и государственных
секретов
№
п/п
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Основные законы РФ в области защиты информации и государственных секретов
«О средствах массовой информации» (№ 2124-1 от 27.12.91 г.)
«О безопасности» (№ 2446-1 от 05.03.1992 г.)
«Патентный закон РФ» (№ 3517-1 от 23.09.1992 г.)
«О правовой охране топологий интегральных микросхем» (№ 3526-1 от 23.09.1992 г.)
«О правовой охране программ для электронных вычислительных машин и баз данных» (№ 3523-1 от 23.09.1992 г.)
«Основы законодательства об Архивном фонде РФ и архивах» (№5341-1 от 7.07.1993 г.)
«О государственной тайне» (№ 5485-1 от 21.07.1993 г.)
«Об авторском праве и смежных правах» (№ 5351-1 от 9.07.1993 г.)
«Об обязательном экземпляре документов» (№ 77-ФЗ от 29.12.1994 г.)
«О государственной охране» (№ 57-ФЗ от 27.05.1996 г.)
«Об участии в международном информационном обмене» (№ 85-ФЗ от 5.06.1996 г.);
«О государственной дактилоскопической регистрации в РФ» (№ 127-ФЗ от 25.07.1998 г.)
«Об Электронной Подписи» (№ 63-ФЗ от 6.04.2011 г.)
«О связи» (№ 126-ФЗ от 07.07.2003 г.)
«О коммерческой тайне» (№ 98-ФЗ от 29.07.2004 г.)
50
№
п/п
Основные законы РФ в области защиты информации и государственных секретов
16. «Об архивном деле в РФ» (№ 125-ФЗ от 22.10.2004 г.)
«Об информации, информационных технологиях и о защите информации» (№ 149 17.
ФЗ от 27.08.2006 г.)
18. «О персональных данных» (№ 152-ФЗ от 27.07.2006 г.)
19. «Концепция правовой информатизации России» (№ 477 от 23.04.1993 г.)
«О создании Государственной технической комиссии при Президенте Российской Фе20.
дерации» (№ 9 от 5.01.1992 г.)
21. «О дополнительных гарантиях прав граждан на информацию» (№ 2334 от 31.12.1993 г.)
«Об основах государственной политики в сфере информатизации» (№ 170 от
22.
20.01.1994 г.)
23. «Вопросы защиты государственной тайны» (№ 614 от 30.03.1994 г.)
«О совершенствовании деятельности в области информатизации органов государ24.
ственной власти Российской Федерации» (№ 361 от 21.04.1994 г.)
«Вопросы деятельности Комитета при Президенте Российской Федерации по полити25.
ке информатизации» (№ 328 от 17.06.1994г.)
«О совершенствовании информационно-телекоммуникационного обеспечения органов
26. государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации» (№ 1390 от 1.07.1994 г.)
«О мерах по соблюдению законности в области разработки, производства, шифрования
27.
информации» (№ 334 от 3.04.1995 г.)
28. «Перечень сведений, отнесенных к государственной тайне» (№ 1203 от 30.11.1995 г.)
«О мерах по упорядочиванию разработки, производства, реализации, приобретения в
целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также ис29.
пользования специальных технических средств, предназначенных для негласного получения информации» (№ 21 от 9.01.1996 г.)
30. «Перечень сведений конфиденциального характера» (№ 188 от 6.03.1997 г.)
31. «О Стратегии национальной безопасности РФ до 2020 года» (№ 537 от 12.05.2009 г.).
Постановление Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения
32. о порядке обращения со служебной информацией ограниченного распространения в
федеральных органах исполнительной власти» (ПП РФ № 1233 от 03.11.1994)
Постановление Правительства РФ от 04.09.1995 № 870 «Об утверждении Правил от33. несения сведений, составляющих государственную тайну, к различным степеням секретности» (ПП РФ № 870 от 04.09.1995)
Постановление Правительства РФ от 23.01.2006 № 32 «Об утверждении Правил оказа34.
ния услуг связи по передаче данных» (ПП РФ № 32 от 23.01.2006)
Постановление Правительства РФ от 10.09.2007 № 575 «Об утверждении Правил ока35.
зания телематических услуг связи» (ПП РФ № 575 от 10.09.2007)
Постановление Правительства РФ от 17.11. 2007г. № 781 «Об утверждении Положе36. ния об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (ПП РФ № 781 от 17.11. 2007г.)
Постановление Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения
37. об особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации» (ПП РФ № 687 от 15.09.2008)
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Ми38. нистерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных данных»
51
№
п/п
39.
40.
41.
42.
43.
44.
45.
Основные законы РФ в области защиты информации и государственных секретов
Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержден Приказом заместителя директора ФСТЭК 15.02.2008
Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,
утвержден Приказом заместителя директора ФСТЭК 15.02.2008
ГОСТ Р ИСО 27000-2012
ГОСТ Р ИСО 27002-2012
ГОСТ Р ИСО МЭК 15408-1-2012
ГОСТ Р ИСО МЭК 15408-2-2012
ГОСТ ИСО МЭК 27005-2010
Таблица 11. Исходные данные к заданию
№ варианта
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Номер в списке законодательных актов
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
Вопросы для самоконтроля
1. Как подразделяется информация ограниченного доступа в соответствии с ФЗ-149?
2. Перечислите 6 видов информации конфиденциального характера.
3. Перечислите сведения, доступ к которым не может быть ограничен.
4. Укажите направления защиты информации с учетом сложившейся
практики обеспечения информационной безопасности.
5. Что такое правовая защита информации?
6. Охарактеризуйте структура правовых актов, ориентированных на
правовую защиту информации.
7. Что такое Доктрина информационной безопасности РФ?
8. Что такое организационная защита информации?
9. Перечислите основные организационные мероприятия по защите информации.
10.Какие функции выполняет служба информационной безопасности
предприятия?
52
6. СИСТЕМНОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ
ОСНОВНЫЕ КОНЦЕПТУАЛЬНЫЕ ПОЛОЖЕНИЯ СИСТЕМЫ
ЗАЩИТЫ ИНФОРМАЦИИ
Анализ состояния дел в сфере защиты информации показывает, что
уже сложилась вполне сформировавшаяся концепция и структура защиты,
основу которой составляют:
 весьма развитый арсенал технических средств защиты информации,
производимых на промышленной основе;
 значительное число фирм, специализирующихся на решении вопросов защиты информации;
 достаточно четко очерченная система взглядов на эту проблему;
 наличие значительного практического опыта и другое.
И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются,
но и имеют достаточно устойчивую тенденцию к росту.
Опыт показывает, что для борьбы с этой тенденцией необходима
стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
 обеспечение безопасности информации не может быть одноразовым
актом. Это непрерывный процесс, заключающийся в обосновании и
реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
 безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на
всех этапах технологического цикла обработки информации.
Наибольший эффект достигается тогда, когда все используемые
средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
 никакая СЗИ не может обеспечить требуемого уровня безопасности
информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств,
методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
53
Концептуальная модель информационной безопасности
Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование,
использование и развитие в интересах граждан, организаций», правомерно
определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие
безопасность.
При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она
проще. Модель должна быть достаточно общей, чтобы описывать реальные
действия с учетом их сложности.
Можно предложить компоненты модели информационной безопасности на первом уровне декомпозиции. По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
 объекты угроз;
 угрозы;
 источники угроз;
 цели угроз со стороны злоумышленников;
 источники информации;
 способы неправомерного овладения конфиденциальной информацией (способы доступа);
 направления защиты информации;
 способы защиты информации; в средства защиты информации.
Объектом угроз информационной безопасности выступают сведения о
составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.
Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы.
Источники угроз преследуют при этом следующие цели: ознакомление
с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации
через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
54
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и
отходы производства.
Основными направлениями защиты информации являются правовая,
организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанными программно-аппаратными средствами.
В качестве способов защиты выступают всевозможные меры, пути,
способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.
В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме (Рис.
1).
ОБЪЕКТЫ УГРОЗ:
Сведения о составе, состоянии и
деятельности
НАПРАВЛЕНИЯ ЗАЩИТЫ:
-правовая;
-организационная;
-инженерно-
ИСТОЧНИКИ
УГРОЗ:
ЦЕЛИ:
-ознакомление;
-модификация;
-уничтожение
-конкуренты;
-преступники;
Информация
техническая
СРЕДСТВА ЗАЩИТЫ:
-физические;
-аппаратные;
-программные;
-криптографические
СПОСОБЫ ЗАЩИТЫ:
-упреждение;
-предотвращение;
-пресечение;
-противодействие
Рисунок 1.1.
Рис. 1. Вид концептуальной модели
55
СПОСОБЫ ДОСТУПА:
-за счет разглашения;
-за счет утечки;
-за счет НСД
ИСТОЧНИКИ ИНФОРМАЦИИ:
-персонал;
-документы;
-тех. средства;
-тех. носители;
-продукция;
-отходы
-УГРОЗЫ:
-целостности;
-конфиденциальности;
-доступности;
-полноте;
ПОСТРОЕНИЕ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЯ
До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р
ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 27002-2012) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности. Если
Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.
Концепция информационной безопасности используется для:
 принятия обоснованных управленческих решений по разработке мер
защиты информации;
 выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и
предотвращению последствий их реализации;
 координации деятельности подразделений по созданию, развитию и
эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
 и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.
Задание № 20. Используя предложенные образцы, разработать концепцию
информационной безопасности Компании (Таблица 2), содержащую следующие основные пункты (приведен примерный план, в который в случае необходимости могут быть внесены изменения):
1. Общие положения
Назначение Концепции по обеспечению информационной безопасности.
1.2. Цели системы информационной безопасности
1.3. Задачи системы информационной безопасности
2. Проблемная ситуация в сфере информационной безопасности
2.1. Объекты информационной безопасности
2.2. Определение вероятного нарушителя
2.3. Описание особенностей (профиля) каждой из групп вероятных
нарушителей
2.4. Основные виды угроз информационной безопасности Предприятия

Классификации угроз

Основные непреднамеренные искусственные угрозы

Основные преднамеренные искусственные угрозы
2.5. Общестатистическая информация по искусственным нарушениям
информационной безопасности
56
2.6. Оценка потенциального ущерба от реализации угрозы (см. Задание
№ 7).
3. Механизмы обеспечения информационной безопасности Предприятия
3.1. Принципы, условия и требования к организации и функционированию системы информационной безопасности
3.2. Основные направления политики в сфере информационной безопасности
3.3. Планирование мероприятий по обеспечению информационной безопасности Предприятия
3.4. Критерии и показатели информационной безопасности Предприятия
4. Мероприятия по реализации мер информационной безопасности
Предприятия
4.1. Организационное обеспечение информационной безопасности

Задачи организационного обеспечения информационной безопасности

Подразделения, занятые в обеспечении информационной безопасности

Взаимодействие подразделений, занятых в обеспечении информационной безопасности
4.2. Техническое обеспечение информационной безопасности Предприятия

Общие положения

Защита информационных ресурсов от несанкционированного доступа

Средства комплексной защиты от потенциальных угроз

Обеспечение качества в системе безопасности

Принципы организации работ обслуживающего персонала
4.3. Правовое обеспечение информационной безопасности Предприятия

Правовое обеспечение юридических отношений с работниками
Предприятия

Правовое обеспечение юридических отношений с партнерами
Предприятия

Правовое обеспечение применения электронной цифровой подписи
4.4. Оценивание эффективности системы информационной безопасности Предприятия.
5. Программа создания системы информационной безопасности
Предприятия
57
ЗАЩИТА ИНФОРМАЦИИ СРЕДСТВАМИ ОПЕРАЦИОННОЙ
СИСТЕМЫ
Настройка безопасности почтового клиента Outlook Express
Почтовый клиент - это программа, предназначенная для приема и отправки электронной почты. Примером такой программы является программа
Outlook Express. Для работы с электронной почтой почтовый клиент должен
поддерживать протоколы SMTP (исходящая почта) и РОРЗ (входящая почта).
Одну из реальных угроз в современных глобальных сетях представляют электронные письма с вложенными программами-вирусами. Именно посредством электронной почты были проведены последние глобальные сетевые атаки. В связи с этим проблема защиты компьютера при работе с электронной почтой приобретает особую актуальность. Аналогично вопрос конфиденциальности и безопасности электронной почты с течением времени не
только не теряет своей актуальности, но и ставится все более и более остро.
Отправляя конфиденциальную информацию по электронной почте, необходимо иметь уверенность в том, что сообщения не перехватываются и не подделываются.
Outlook Express позволяет использовать цифровые идентификаторы
или цифровые удостоверения для защиты электронной почты, в частности,
для шифрования почтовых сообщений. По умолчанию Outlook Express автоматически добавляет сертификаты, которые приходят по почте, в адресную
книгу Windows.
Цифровой идентификатор состоит из открытого клю-ча, личного ключа
и цифровой подписи. Когда пользователь подписывает отправляемые им сообщения, он добавляет в состав сообщения свою цифровую подпись и открытый ключ. Комбинация цифровой подписи и открытого ключа называется
сертификатом.
Цифровая подпись отправителя подтверждает получателю подлинность
полученных сообщений. Открытый ключ отправителя получатель может использовать для отправки ему зашифрованной почты, расшифровать которую
он сможет с помощью своего личного ключа. Таким образом, чтобы отправить зашифрованные сообщения в чей-либо адрес, необходимо включить в
адресную книгу цифровые идентификаторы, ассоциированные с получателями. Благодаря этому при помощи открытых ключей получателей Вы сможете
зашифровывать отправляемые ими сообщения. Каждый получатель расшифрует полученное сообщение с помощью своего личного ключа.
Задание № 21. Разработать систему правил по управлению входящими сообщениями в Outlook Express и настроить Outlook Express для передачи сообщений c электронной цифровой подписью.
Алгоритм выполнения работы
58
А. Создание системы правил по обработке входящих сообщений
электронной почты.
Расширенные правила управления сообщениями поддерживают большое количество критериев действий, включая блокирование отправителей
сообщения и новые правила для групп новостей.
Для создания правила по обработке входящих сообщений электронной
почты выполните следующие действия.
1. Откройте программу Outlook Express.
2. Последовательно выполните команды меню Сервис - Правила для
сообщений - Почта.
3. В результате откроется диалоговое окно Создать правило для почты.
4. Выберите условие создаваемого правила, (например, для защиты от
заражения компьютера вложенными в электронное письмо файлами можно
выбрать условие Искать сообщение с вложениями).
5. Выберите действие для данного правила (например, Удалить с сервера).
6. Обратите внимание, что в поле 3 приводится описание созданного
правила. После создания этого правила, все письма содержащие вложения
будут удалены с сервера.
7. Для завершения создания правила введите его имя в поле 4 - Название правила.
8. Для успешного создания правила нужно задать хотя бы одно условие. Если задано составное условие (то есть несколько условий), то по умолчанию должно выполниться хотя бы одно из простых условий; в поле Описание правила.
9. В результате выполнения этого правила с сервера будут удалены все
письма с вложениями, в которых еще в поле «Тема» содержится слово «вирус» (можно задать произвольное слово).
10. Таким образом, комбинируя правила управления входящими сообщениями, можно существенно повысить защищенность компьютера при
работе с электронной почтой.
В. Получение цифрового идентификатора.
Прежде чем отправлять сообщения, подписанные цифровой подписью
и зашифрованные, необходимо получить цифровой идентификатор.
1. Для получения цифрового идентификатора необходимо заполнить
заявку на получение цифрового идентификатора в организации, уполномоченной предоставлять этот сервис.
2. Для этого в окне Параметры (меню Сервис - Параметры) на
вкладке Безопасность нажмите кнопку Получить сертификат.
3. В результате запустится веб-браузер, который обратится к странице
на веб-узле Microsoft, где приводится перечень организаций, уполномоченных предоставлять этот сервис (например, у компании VeriSign можно бесплатно получить временный (на два месяца) цифровой идентификатор, поз59
воляющий опробовать все режимы безопасности программы Outlook
Express).
4. После заполнения формы с запросом на предоставление цифрового
идентификатора Вы получите (через несколько минут) почтовое сообщение
от VeriSign с инструкциями по установке полученного цифрового идентификатора.
5. Раскройте и прочтите письмо. В точности выполните приведенные в
нем инструкции.
6. Подтвердите установку цифрового идентификатора.
С. Использование цифровой электронной подписи.
1. Для отправки сообщения, которое требуется подписать цифровой
подписью, создайте новое сообщение.
2. Выберите в меню Сервис команду Цифровая подпись. В результате
напротив поля Кому появится символ, подтверждающий включение электронной цифровой подписи.
3. Если отправляемое сообщение требуется также зашифровать, выберите в меню Сервис команду Зашифровать. В случае включения шифрования
появится символ «замок» напротив поля Копия.
D. Настройка опций обмена защищенной почтой.
1. Чтобы настроить работу с защищенными почтовыми сообщениями,
выберите в меню Сервис команду Параметры и перейдите на вкладку Безопасность.
2. Параметры, необходимые для настройки обмена защищенной почтой, находятся в группе Безопасная почта.
Задания для самостоятельной работы - Настройка безопасности почтового клиента
1. Выполните задания А - D.
2. Создайте три новых правила (произвольных) управления сообщениями электронной почты и опишите их безопасные свойства, то есть как и от
каких угроз можно ими защитить компьютер. Составьте отчет.
Настройка параметров аутентификации Windows 2000 (ХР)
В соответствии с сертификационными требованиями к системам безопасности операционных систем при подключении пользователей должен
реализовываться механизм аутентификации и/или идентификации.
Идентификация и аутентификация применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).
Идентификация - присвоение субъектам и объектам доступа личного
идентификатора и сравнение его с заданным.
60
Аутентификация (установление подлинности) - проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.
Настройка параметров аутентификации рассматриваемых операционных систем выполняется в рамках локальной политики безопасности.
Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере. При помощи оснастки «Локальная политика безопасности» можно
определить:
 кто имеет доступ к компьютеру;
 какие ресурсы могут использовать пользователи на Вашем компьютере;
 включение и отключение записи действий пользователя или группы
в журнале событий.
Задание № 22. Настроить параметры локальной политики безопасности операционной системы Windows 2000 (ХР).
Алгоритм выполнения работы
Для просмотра и изменения параметров аутентификации пользователей
выполните следующие действия:
1. Выберите кнопку Пуск панели задач.
2. Откройте меню Настроить - Панель управления.
3. В открывшемся окне выберите ярлык Администрирование - Локальная политика безопасности.
4. Выберите пункт Политика учетных записей (этот пункт включает
два подпункта: Политика паролей и Политика блокировки учетной записи).
5. Откройте подпункт Политика паролей. В правом окне появится
список настраиваемых параметров.
6. В показанном примере политика паролей соответствует исходному
состоянию системы безопасности после установки операционной системы,
при этом ни один из параметров не настроен. Значения параметров приведены в таблице (Таблица 12).
7. Ознакомьтесь со свойствами всех параметров.
8. Для изменения требуемого параметра выделите его и вызовите его
свойства из контекстного меню после нажатия правой кнопки мыши (или
дважды щелкните на изменяемом параметре).
9. В результате этого действия появится одно из окон
Таблица 12. Значения параметров Политики паролей
Параметр
Значение
Требовать
Определяет число новых паролей, которые должны быть сопоставлены учетнеповторяемости ной записи пользователя, прежде чем можно будет снова использовать стапаролей
рый пароль. Это значение должно принадлежать диапазону от 0 до 24.
61
Параметр
Значение
Максимальный Определяет период времени (в днях), в течение которого можно использосрок
вать пароль, прежде чем система потребует от пользователя заменить его.
действия пароля Можно задать значение в диапазоне от 1 до 999 дней или снять всякие ограничения срока действия, установив число дней равным 0.
Минимальный Определяет период времени (в днях), в течение которого необходимо иссрок
пользовать пароль, прежде чем пользователь сможет заменить его. Можно
действия пароля задать значение в диапазоне от 1 до 999 дней или разрешить немедленное
изменение, установив число дней равным 0.
Минимальная
Определяет наименьшее число символов, которые может содержать пароль
длина пароля
учетной записи пользователя. Можно задать значение в диапазоне от 1 до 14
символов или отменить использование пароля, установив число символов
равным 0.
Пароль должен Определяет, должны ли пароли отвечать требованиям сложности.
отвечать
Если эта политика включена, пароли должны удовлетворять следующим митребованиям
нимальным требованиям.
сложности
 Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
 Пароль должен состоять не менее чем из шести символов.
 В пароле должны присутствовать символы трех категорий из числа следующих четырех:
1) прописные буквы английского алфавита от А до Z
2) строчные буквы английского алфавита от а до z;
3) десятичные цифры (от 0 до 9);
4) символы, не принадлежащие алфавитно-цифровому набору (например,
!, $, #, %).Проверка соблюдения этих требований выполняется при изменении или создании паролей.
Хранить пароли Определяет, следует ли в системах Windows 2000 Server, Windows 2000 Proвсех пользовате- fessional и Windows XP хранить пароли, используя обратимое шифрование.
лей в домене, Эта политика обеспечивает поддержку приложений, использующих протоиспользуя обра- колы, которым для проверки подлинности нужно знать пароль пользователя.
тимое шифрова- Хранить пароли, зашифрованные обратимыми методами, - это все равно, что
ние
хранить их открытым текстом. Поэтому данную политику следует использовать лишь в исключительных случаях, если потребности приложения оказываются важнее, чем защита пароля.
10. Измените значение параметра и нажмите Ок.
11. Например (обязательно выполнить и сохранить), выберите параметр Требовать неповторяемости паролей и измените его значение на 1.
12. Для настройки Политики блокировки учетной записи выберите
этот подпункт и откройте его.
13. Значения параметров данного подпункта Политики учетных записей приведены в таблице (Таблица 12).
14. Ознакомьтесь со свойствами всех параметров.
15. Для изменения параметров воспользуйтесь алгоритмом, описанным
в пунктах 8-10.
62
Задания для самостоятельной работы - Настройка параметров аутентификации
1. Измените параметр «Пароль должен отвечать требованиям сложности» Политики паролей на «Включен» и после этого попробуйте изменить пароль своей учетной записи. Зафиксируйте все сообщения системы,
проанализируйте и введите допустимый пароль. Этот пароль является результатом выполнения Вашего задания.
Таблица 13. Значения параметров. Политики блокировки учетных записей
Параметр
Пороговое
значение
блокировки
Блокировка
учетной
записи
Сброс
счетчика
блокировки
Значение
Определяет число неудачных попыток входа в систему, после которых
учетная запись пользователя блокируется. Блокированную учетную запись
нельзя использовать до тех пор, пока она не будет сброшена администратором или пока не истечет ее интервал блокировки. Можно задать значение в
диапазоне от 1 до 999 или запретить блокировку данной учетной записи,
установив значение 0.
Определяет число минут, в течение которых учетная запись остается блокированной, прежде чем будет автоматически разблокирована. Этот параметр
может принимать значения от 1 до 99 999 минут. Если установить значение
0, учетная запись будет блокирована на все время до тех пор, пока администратор не разблокирует ее явным образом. Если пороговое значение блокировки определено, данный интервал блокировки должен быть больше или
равен интервалу сброса.
Определяет число минут, которые должны пройти после неудачной попытки входа в систему, прежде чем счетчик неудачных попыток будет сброшен
в 0. Этот параметр может принимать значения от 1 до 99 999 минут. Если
определено пороговое значение блокировки, данный интервал сброса не
должен быть больше интервала Блокировка учетной записи на.
2. После успешного выполнения первого задания, измените пароль
Вашей учетной записи, а в качестве нового пароля укажите прежний пароль.
Все сообщения зафиксируйте, проанализируйте и объясните поведение системы безопасности.
3. Проведите эксперименты с другими параметрами Политики учетных
записей.
Шифрующая файловая система EFS и управление сертификатами в
Windows 2000 (ХР)
Шифрующая файловая система EFS позволяет пользователям хранить
данные на диске в зашифрованном виде.
Шифрование - это процесс преобразования данных в формат, не доступный для чтения другим пользователям. После того как файл был зашифрован, он автоматически остается зашифрованным в любом месте хранения
на диске.
Расшифровка - это процесс преобразования данных из зашифрованной
формы в его исходный формат.
63
При работе с шифрующей файловой системой EFS следует учитывать
следующие сведения и рекомендации.
1. Могут быть зашифрованы только файлы и папки, находящиеся на
томах NTFS.
2. Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.
3. Зашифрованные файлы могут стать расшифрованными, если файл
копируется или перемещается на том, не являющийся томом NTFS.
4. При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке. Однако обратная операция
не приведет к автоматической расшифровке файлов. Файлы необходимо явно
расшифровать.
5. Не могут быть зашифрованы файлы с атрибутом «Системный» и
файлы в структуре папок системный корневой каталог.
6. Шифрование папки или файла не защищает их от удаления. Любой
пользователь, имеющий права на удаление, может удалить зашифрованные
папки или файлы.
7. Процесс шифрование является прозрачным для пользователя.
Примечание. Прозрачное шифрование означает, что перед использованием файл не нужно расшифровывать. Можно как обычно открыть файл и
изменить его. В системах прозрачного шифрования (шифрования «на лету»)
криптографические преобразования осуществляются в режиме реального
времени незаметно для пользователя. Например, пользователь записывает
подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.
Использование EFS сходно с использованием разрешений для файлов
и папок. Оба метода используются для ограничения доступа к данным. Но
злоумышленник, получивший несанкционированный физический доступ к
зашифрованным файлам и папкам, не сможет их прочитать. При его попытке
открыть или скопировать зашифрованный файл или папку появится сообщение, что доступа нет.
Шифрование и расшифровывание файлов выполняется установкой
свойств шифрования для папок и файлов, как устанавливаются и другие атрибуты, например, «только чтение», «сжатый» или «скрытый». Если шифруется папка, все файлы и подпапки, созданные в зашифрованной папке, автоматически шифруются. Рекомендуется использовать шифрование на
уровне папки. Шифрующая файловая система автоматически создает пару
ключей шифрования для пользователя, если она отсутствует. Шифрующая
файловая система использует алгоритм шифрования Data Encryption Standard (DESX).
64
Задание № 23. Включить и отключить шифрование файлов шифрующей
файловой системой EFS. Экспортировать сертификат с ключами для расшифровки файлов на другом компьютере.
Алгоритм выполнения работы
А. Для включения режима шифрования выполните следующие
действия.
1. Укажите файл или папку (например, создайте файл шифр.doc в папке Мои документы), которую требуется зашифровать, нажмите правую
кнопку мыши и выберите в контекстном меню команду Свойства.
2. В появившемся окне свойств на вкладке Общие нажмите кнопку
Другие. Появится окно диалога Дополнительные атрибуты.
3. В группе Атрибуты сжатия и шифрования установите флажок
Шифровать содержимое для защиты данных и нажмите кнопку «ОК».
4. Нажмите кнопку ОК в окне свойств зашифровываемого файла или
папки, в появившемся окне диалога укажите режим шифрования: только к
этой папке или к этой папке и всем вложенным папкам и файлам.
Внимание! После выполнения этих действий файл с Вашей информацией будет автоматически зашифровываться. Просмотр его на другой ПЭВМ
будет невозможен.
В. Для выключения режима шифрования выполните следующие
действия.
1. Выделите файл шифр.dос в папке Мои документы.
2. Нажмите правую клавишу мыши и выберите пункт Свойства.
3. На вкладке Общие нажмите кнопку Другие.
4. В открывшемся окне диалога в группе Атрибуты сжатия и шифрования сбросьте флажок Шифровать содержимое для защиты данных.
Внимание! После выполнения этих действий файл с Вашей информацией не будет зашифровываться.
С. Создание резервной копии Сертификата средствами Windows
2000 (ХР).
Примечание. Резервная копия сертификата необходима для расшифровки данных после переустановки операционной системы или для просмотра зашифрованной информации на другой ПЭВМ.
Внимание! Перед переустановкой операционной системы обязательно
создайте копии Сертификатов, так как после переустановки Вы не сможете
расшифровать информацию.
Для создания резервной копии сертификата выполните следующие
действия.
1. Выберите кнопку Пуск в панели задач.
2. Перейдите к пункту Выполнить.
3. В открывшемся окне в поле ввода введите команду mmc.
4. В результате откроется консоль управления mmc.
65
Примечание. Консоль ММС - это средство для создания, сохранения и
открытия наборов средств администрирования, называемых консолями. Консоли содержат такие элементы, как оснастки, расширения оснасток, элементы управления, задачи, мастера и документацию, не обходимую для управлений многими аппаратными, программными и сетевыми компонентами системы Windows. Можно добавлять элементы в существующую консоль ММС, а
можно создавать новые консоли и настраивать их для управления конкретными компонентами системы.
5. В меню Консоль выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.
6. В поле Оснастка дважды щелкните Сертификаты, установите переключатель в положение учетной записи компьютера и нажмите кнопку
Далее.
7. Выполните одно из следующих действий:
• Чтобы управлять сертификатами локального компьютера, установите
переключатель в положение локальным компьютером и нажмите кнопку Готово.
• Чтобы управлять сертификатами удаленного компьютера, установите переключатель в положение другим компьютером и введите имя компьютера или нажмите кнопку Обзор для выбора компьютера, затем нажмите
кнопку Готово.
8. Нажмите кнопку Закрыть.
9. В списке выбранных оснасток для новой консоли появится элемент
Сертификаты (имя_компьютера).
10. Если на консоль не нужно добавлять другие оснастки, нажмите
кнопку ОК.
11. Чтобы сохранить эту консоль, в меню Консоль выберите команду Сохранить и укажите имя оснастки Сертификаты.
12. Закройте окно Консоли и выберите команду Пуск и далее Все
программы.
13. Найдите пункт Администрирование и выберите подпункт Сертификаты (теперь оснастка с Сертификатами доступна в меню Пуск).
14. В левом подокне оснастки Сертификаты откройте папку Доверенные корневые сертификаты, а затем папку Сертификаты. В правом
подокне появится список сертификатов.
15. Укажите переносимый сертификат (например, первый в списке) и
щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Все задачи и далее выберите команду Экспорт.
16. В результате запустится Мастер экспорта сертификатов.
17. Нажмите кнопку Далее.
18. В следующем окне мастера выберите опцию Да, экспортировать
закрытый ключ.
19. Затем нажмите кнопку Далее.
66
20. В следующем окне мастера доступен только один формат (PFX),
предназначенный для персонального обмена информацией. Нажмите кнопку
Далее.
21. В следующих окнах сообщите пароль (например, 11), защищающий данные файла сертификат.pfx, а также путь сохранения файла (запищите путь к папке, в которой Вы сохранили копию Сертификата) сертификат.pfx.
22. Нажмите кнопку Далее.
23. Отобразится список экспортируемых сертификатов и ключей.
Нажмите кнопку Готово.
24. Завершите работу Мастера экспорта сертификата нажатием
кнопки ОК в окне диалога, сообщающем об успешном выполнении процедуры экспорта.
В результате сертификат и секретный ключ будут экспортированы в
файл с расширением сертификат.pfх, который может быть скопирован на
гибкий диск и перенесен на другой компьютер или использован после переустановки операционной системы.
D. Для восстановления сертификата из резервной копии выполните следующие действия.
1. Перенесите созданный на предыдущем этапе файл с расширением
сертификат.pfх на компьютер (Вам необходимо вспомнить путь к копии
Сертификата).
2. Запустите оснастку Сертификаты, для этого выберите кнопку
Пуск
панели
задач
и
далее
Все
программы/Администрирование/Сертификаты.
3. В окне структуры оснастки Сертификаты откройте папку Доверенные корневые сертификаты, затем папку Сертификаты. В правом
подокне появится список Ваших сертификатов.
4. Щелкните правой кнопкой мыши на пустом месте правого подокна.
5. В появившемся контекстном меню выберите команду Все задачи.
6. В ее подменю выберите команду Импорт (Import).
7. Запустится Мастер импорта сертификатов.
8. Следуйте указаниям мастера - укажите местоположение файла сертификат.pfх и сообщите пароль защиты данного файла.
9. Для начала операции импорта нажмите кнопки Готово и ОК.
10. После завершения процедуры импорта нажмите кнопку ОК и закройте окно Мастера импорта.
В результате Ваших действий текущий пользователь или Вы сами получите возможность работать с зашифрованными данными на этом компьютере.
67
Задания для самостоятельной работы - Шифрующая файловая система
EFS и управление сертификатами
1. Экспортируйте сертификат № 2 из-папки Промежуточные центры
сертификации Root Agency (сохраните иллюстрации для отчета).
2. Импортируйте экспортированный сертификат в папку Личные (сохраните иллюстрации для отчета).
Назначение прав пользователей при произвольном управлении
доступом в Windows 2000 (XP)
После выполнения идентификации и аутентификации подсистема защиты устанавливает полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования объектов информационной системы.
Обычно полномочия субъекта представляются списком ресурсов, доступным пользователю и правами по доступу к каждому ресурсу из списка.
При разграничении доступа по спискам задаются соответствия: каждому пользователю - список ресурсов и прав доступа к ним или каждому ресурсу - список пользователей и их прав доступа к данному ресурсу.
Списки позволяют установить права с точностью до пользователя.
Списки используются в подсистемах безопасности операционных систем и
систем управления базами данных.
Задание № 24. Создать учетную запись и локальную группу, изменить принадлежность пользователя к локальной группе и блокировать учетную запись
пользователя.
Алгоритм выполнения работы
А. Создание учетной записи.
1. Откройте оснастку Управление компьютером в разделе Администрирование Панели управления.
2. В оснастке Локальные пользователи и группы установите указатель мыши на папку Пользователи и нажмите правую кнопку.
3. В появившемся контекстном меню выберите команду Новый
пользователь. Появится окно диалога Новый пользователь.
4. В поле Пользователь введите имя создаваемого пользователя,
например, свою фамилию.
Примечание. Имя пользователя должно быть уникальным для компьютера. Оно может содержать до 20 символов верхнего и нижнего регистра.
Ниже приведены символы, применение которых в имени пользователя недопустимо:»/ \ []:; =,+*?<> Имя пользователя не может состоять целиком из точек и пробелов.
5. В поле Полное имя введите полное имя создаваемого пользователя.
6. В поле Описание введите описание создаваемого пользователя или
его учетной записи, например, «студент……..……..».
68
7. В поле Пароль введите пароль пользователя и в поле Подтверждение подтвердите его правильность вторичным вводом.
Примечание. Длина пароля не может превышать 14 символов.
8. Установите или снимите флажки:

потребовать смену пароля при следующем входе в систему;

запретить смену пароля пользователем;

срок действия пароля не ограничен;

отключить учетную запись.
9. Чтобы создать еще одного пользователя, нажмите кнопку Создать
и повторите шаги с 1 по 8. Для завершения работы нажмите кнопку Создать
и затем Закрыть.
В. Создание локальной группы.
1. В окне оснастки Локальные пользователи и группы установите
указатель мыши на папке Группы и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Новая группа.
3. В поле Имя группы введите имя новой группы, например, Студенты.
Примечание. Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах.
4. В поле Описание введите описание новой группы.
5. В поле Члены группы можно сразу же добавить пользователей и
группы, которые войдут в данную группу: для этого нужно нажать кнопку
Добавить и выбрать их в списке.
Для завершения нажмите кнопку Создать и затем Закрыть.
С. Изменение членства в локальной группе.
1. В окне оснастки Локальные пользователи и группы щелкните на
папке Группы.
2. В-правом подокне установите указатель мыши на модифицируемую
группу и нажмите правую кнопку.
3. В появившемся контекстном меню выберите команду Добавить в
группу или Свойства.
4. Для того, чтобы добавить новые учетные записи в группу, нажмите
кнопку Добавить.
5. Далее следуйте указаниям окна диалога Выбор: Пользователи или
Группы.
6. Для того, чтобы удалить из группы некоторых пользователей, в поле
Члены группы окна свойств группы выберите одну или несколько учетных
записей и нажмите кнопку Удалить.
Примечание. В локальную группу можно добавлять как локальных
пользователей, созданных на компьютере, так и пользователей и глобальные
группы, созданные в домене, к которому принадлежит компьютер, или в до69
веряемых доменах. Встроенные группы не могут быть удалены. Удаленные
группы не могут быть восстановлены. Удаление группы не отражается на
входящих в нее пользователей.
D. Временная блокировка учетной записи.
1. Откройте оснастку Управление компьютером.
2. Для этого либо выберите на Рабочем столе ярлык Мой компьютер
и нажмите правую клавишу мыши, после чего выберите пункт контекстного
меню Управление, либо воспользуйтесь разделом Администрирование в
Панели управления.
3. В открывшейся оснастке выберите пункты Служебные программы/Локальные пользователи и группы.
4. Откройте папку Пользователи и выберите учетную запись Гость.
5. Нажмите правую клавишу мыши и выберите пункт Свойства.
6. В открывшемся окне снимите отметку пункта Отключить учетную
запись.
7. Нажмите кнопку ОК и сделайте вывод о состоянии учетной записи.
8. Выполните пункт 5 и отметьте пункт Отключить учетную запись.
Задания для самостоятельной работы - Назначение прав пользователей
при произвольном управлении доступом
1. Создайте учетную запись с именем ПЗ-6, используя команду Print
Screen клавиатуры, сохраните копию экрана со списком пользователей Вашего компьютера (для этого после нажатия клавиши Print Screen вставьте скопированное изображение в новый документ Word) для представления в качестве отчета.
2. Создайте группу Информационная безопасность и сохраните окно
со списком групп Вашего компьютера для отчета.
3. Заблокируйте учетную запись ПЗ-6 и после этого удалите.
НАСТРОЙКА ПАРАМЕТРОВ РЕГИСТРАЦИИ И АУДИТА В WINDOWS 2000 (ХР)
Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности. Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе
защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Аудит - это анализ накопленной информации, проводимый оперативно,
в реальном времени или периодически (например, раз в день). Оперативный
аудит с автоматическим реагированием на выявленные нештатные ситуации
называется активным.
Практическими средствами регистрации и аудита являются:
70
 различные
системные утилиты и прикладные программы;
 регистрационный (системный или контрольный) журнал.
Первое средство является обычно дополнением к мониторингу, осуществляемому администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного
журнала.
Регистрационный журнал - это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная
для восстановления, просмотра и анализа последовательности действий,
окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.
Задание № 25. Активизировать механизмы регистрации и аудита операционной системы Windows 2000 (ХР) и настроить параметры просмотра аудита
папок и файлов.
Алгоритм выполнения работы
А. Активизация механизма регистрации и аудита с помощью оснастки
Локальные политики безопасности.
1. Выберите кнопку Пуск панели задач.
2. Откройте меню Настроить/Панель управления.
3. В открывшемся окне выберите ярлык Администрирование/ Локальная политика безопасности.
4. Выберите пункт Политика аудита.
5. Для включения или отключения параметров аудита выберите требуемый параметр и дважды щелкните левой клавишей мыши.
6. Для каждого параметра можно задать аудит успехов или отказов,
либо вообще отключить аудит событий данного типа
7. Значения параметров политики аудита приведены в таблице (Таблица
14)
8. По умолчанию все параметры политики аудита выключены.
9. Включите аудит успеха и отказа для всех параметров.
10. Для этого выполните пункт 5.
11. Нажмите кнопку ОК.
Таблица 14. Значение параметров аудита системы
Параметр
Значение
Аудит событий Определяет, подлежит ли аудиту каждая попытка пользователя войти в
входа в систе- систему или выйти из нее на другом компьютере при условии, что данму
ный компьютер используется для проверки подлинности учетной записи.
Если этот параметр политики определен, можно задать аудит успехов
или отказов, либо вообще отключить аудит событий данного типа. Аудит
успехов означает создание записи аудита для каждой успешной попытки
входа в систему. Аудит отказов означает создание записи аудита для
каждой неудачной попытки входа в систему.
Аудит управ- Определяет, подлежат ли аудиту все события, связанные с управлением
71
Параметр
Значение
ления учетны- учетными записями на компьютере. К таким событиям относятся следуми записями
ющие события:
 создание, изменение или удаление учетной записи пользователя или
группы;
 переименование, отключение или включение учетной записи пользователя;
 задание или изменение пароля.
Аудит доступа Определяет, подлежит ли аудиту событие доступа пользователя к объекк службе ката- ту каталога Active Directory, для которого задана собственная системная
логов
таблица управления доступом.
Аудит входа в Определяет, подлежит ли аудиту каждая попытка пользователя войти в
систему
систему или выйти из нее на данном компьютере, или подключиться к
нему через сеть.
Аудит доступа Определяет, подлежит ли аудиту событие доступа пользователя к объекк объектам
ту - например, к файлу, папке, разделу реестра, принтеру и т.п. - для которого задана собственная системная таблица управления доступом.
Аудит измене- Определяет, подлежит ли аудиту каждый факт изменения политик
ния политики назначения прав пользователей, политик аудита или политик доверительных отношений.
Аудит исполь- Определяет, подлежит ли аудиту каждая попытка пользователя воспользования приви- зоваться предоставленным ему правом.
легий
Аудит отсле- Определяет, подлежат ли аудиту такие события, как активизация проживания про- граммы, завершение процесса, повторение дескрипторов и косвенный
цессов
доступ к объекту.
Аудит систем- Определяет, подлежат ли аудиту события перезагрузки или отключения
ных событий компьютера, а также события, влияющие на системную безопасность или
на журнал безопасности.
В. Настройка и просмотр аудита папок и файлов (Доступно только на
томах NTFS).
1. Установите указатель мыши на файл или папку, для которой следует
выполнить аудит, и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Свойства.
3. В окне свойств папки или файла перейдите на вкладку Безопасность.
4. На вкладке Безопасность нажмите кнопку Дополнительно и затем
перейдите на вкладку Аудит.
5. Если Вы хотите настроить аудит для нового пользователя или группы на вкладке Аудит нажмите кнопку Добавить.
6. Появится диалоговое окно Выбор: Пользователь, Компьютер или
Группа.
7. Выберите имя нужного пользователя или группы и нажмите кнопку
ОК. Откроется окно диалога Элемент аудита для. Здесь Вы сможете ввести
все необходимые параметры аудита.
8. В списке Применять укажите, где следует выполнять аудит (это
поле ввода доступно только для папок).
72
9. В группе Доступ следует указать, какие события следует отслеживать: окончившиеся успешно (Успех), неудачно (Отказ) или оба типа событий.
10. Применять этот аудит к объектам и контейнерам только внутри этого контейнера - определяет, распространяются ли введенные Вами настройки
аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой
системы (флажок не установлен). В обратном случае, установите флажок
(или выберите в списке) Применять опцию Только для этой папки. Это
позволит не выполнять аудит для тех объектов файловой системы, которые
не представляют интереса.
11. После завершения настройки аудита для папки или файла нажмите
несколько раз кнопку ОК, чтобы закрыть все окна диалога.
12. Если Вы хотите просмотреть или изменить настройки аудита для
уже существующего пользователя или группы, нажмите кнопку Показать/Изменить. Появится окно диалога Элемент аудита для. Здесь Вы сможете выполнить все необходимые изменения параметров аудита для выбранного Вами пользователя или группы. По окончании внесения изменений
нажмите кнопку ОК.
Примечание. После включения аудита операционная система Windows
2000 (ХР) начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки
Просмотр событий. При просмотре журнала событий можно выяснить, кто
предпринял попытку выполнения неразрешенного ему действия. Для того
чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.
С. Просмотр событий в журнале событий.
1. Выберите кнопку Пуск панели задач.
2. Откройте меню Настроить/Панель управления.
3. В открывшемся окне выберите ярлык Администрирование и далее
Просмотр событий.
4. В открывшемся окне выберите пункт Безопасность.
5. В правой половине открытого окна появится список всех зарегистрированных событий.
6. Для просмотра требуемого события вызовите его свойства из контекстного меню или дважды щелкните по его названию левой клавишей мыши.
7. В результате появится окно, где будет показан успех отключения
учетной записи Гость пользователем Админ 8.05.04 в 18.28.31.
8. Или отказ входа в систему пользователю NT AUTHORITY\SYSTEM
(системная учетная запись) 08.05.04 в 17:39:58 по причине «неизвестное имя
пользователя или неверный пароль».
9. Таким образом, просмотр журнала событий позволяет в полной мере проанализировать действия пользователей и процессов.
73
Задания для самостоятельной работы - Настройка параметров регистрации и аудита
1. Включите аудит успеха и отказа всех параметров (используйте задание А).
2. Выйдите из системы и предпримите попытку входа в операционную
систему с неверным паролем. Откройте журнал событий, найдите соответствующую запись и скопируйте экран в буфер (Print Screen) для отчета.
3. Удалите созданную ранее учетную запись ПЗ-6 и зафиксируйте все
события системного журнала, связанные с этим действием для отчета.
УПРАВЛЕНИЕ ШАБЛОНАМИ БЕЗОПАСНОСТИ В WINDOWS 2000 (ХР)
Управление шаблонами безопасности в Windows 2000 (ХР) осуществляется с помощью Редактора шаблонов безопасности, реализованного в виде
оснастки ММС.
Он предназначен для создания и редактирования текстовых файлов
конфигурации безопасности операционной системы Windows 2000 (ХР). Такие файлы значительно легче переносятся с одной системы на другую, чем
соответствующие им базы данных безопасности.
Созданные при помощи оснастки Шаблоны безопасности текстовые
файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
Значения параметров обеспечения безопасности заносятся в текстовые
файлы с расширением inf, называемые Шаблонами безопасности.
Примечание. Новые Шаблоны безопасности не изменяют все старые
настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера.
Задание № 26. Загрузить редактор Шаблона безопасности, редактировать
шаблон безопасности и сохранить его с новым именем.
Алгоритм выполнения работы
А. Загрузка оснастки Шаблоны безопасности.
1. Выберите кнопку Пуск в панели задач.
2. Перейдите к пункту Выполнить.
3. В открывшемся окне в поле ввода введите команду mmc.
4. В результате откроется консоль управления mmc.
5. В меню Консоль выберите команду Добавить или удалить оснастку
и нажмите кнопку Добавить.
6. В поле Оснастка дважды щелкните Шаблоны безопасности.
7. Нажмите кнопку Закрыть.
8. В списке выбранных оснасток для новой консоли появится элемент
Шаблоны безопасности.
74
9. Если на консоль не нужно добавлять другие оснастки, нажмите
кнопку ОК.
10. Чтобы сохранить эту консоль, в меню Консоль выберите команду
Сохранить и укажите имя оснастки Шаблоны безопасности.
11. Закройте окно Консоль и выберите команду Пуск и далее Все программы.
12. Найдите пункт Администрирование и выберите подпункт Шаблоны безопасности (Теперь оснастка с Шаблоны безопасности доступна в меню Пуск).
13. Для просмотра значений имеющихся шаблонов в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон
безопасности compatws и просмотрите его папки Политика учетных записей,
Локальная политика и др.
14. Помимо раскрытого шаблона безопасности compatws.inf существуют и другие стандартные шаблоны, конфигурации которых позволяют получить различные по надежности системы безопасности.
B. Редактирование и сохранение шаблона безопасности
1. Щелкните на одном из стандартных шаблонов безопасности
(например, compatws), которые Вы видите в окне оснастки Шаблоны безопасности.
2. Если Вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.
3. Для сохранения откорректированного стандартного шаблона безопасности под другим именем выполните следующие действия.
4. Укажите откорректированный стандартный шаблон (например,
compatws), и нажмите правую кнопку мыши
5. В появившемся контекстном меню выберите команду Сохранить
как.
6. Введите с клавиатуры новое имя файла (например, custom). По
умолчанию
шаблоны
безопасности
располагаются
в
каталоге
%SystemRoot%\Secunfy \Templates.
7. Пользовательский шаблон будет добавлен в определенную заранее
конфигурацию безопасности и сохранен под введенным Вами именем.
Настроив Шаблон безопасности для одной ПЭВМ. Вы можете перенести его и на другие ПЭВМ Вашей рабочей группы. Шаблоны безопасности
являются гибким и удобным инструментом по настройке системы безопасности операционной системы.
Задания для самостоятельной работы - Управление шаблонами безопасности
Создайте на базе существующего Шаблона безопасности новый шаблон и дайте ему имя ПЗ-8. После этого зафиксируйте список шаблонов, скопировав изображение экрана в буфер и далее в файл для отчета.
75
НАСТРОЙКА И ИСПОЛЬЗОВАНИЕ МЕЖСЕТЕВОГО ЭКРАНА В WINDOWS 2000 (ХР)
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр
(firewall), под которым понимают программную или программно-аппаратную
систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает
защиту информационной системы посредством фильтрации информации.
Фильтрация информации состоит в анализе информации по совокупности
критериев и принятии решения о ее приеме и/или передаче.
Брандмауэр в Windows ХР - это система защиты подключения к Интернету (Internet Connection Firewall, ICF), представляет собой программу
настройки ограничений, регулирующих обмен данными между Интернетом
и небольшой сетью или локальным компьютером. Брандмауэр ICF необходимо установить для любого компьютера, имеющего прямое подключение к
Интернету.
При включении брандмауэра для локального компьютера, подключенного к Интернету с помощью модема удаленного доступа, брандмауэр ICF
обеспечивает защиту этого подключения.
Задание № 27. Активизировать встроенный брандмауэр операционной системы Windows ХР и настроить его параметры.
Алгоритм выполнения работы
А. Активизация встроенного межсетевого экрана.
1. Откройте компонент Сетевые подключения.
2. Для этого выберите последовательно Пуск - Панель управления Сетевые подключения.
3. Выделите подключение удаленного доступа, подключение по локальной сети или высокоскоростное подключение к Интернету, которое требуется защитить брандмауэром, и затем выберите в контекстном меню (при
выделенном подключении нажать правую клавишу мыши) команду Свойства.
4. На вкладке Дополнительно в группе Брандмауэр подключения к
Интернету отметьте пункт Защитить мое подключение к Интернету.
Примечание. Для отключения брандмауэра достаточно снять флажок
Защитить мое подключение к Интернету.
В. Настройка параметров брандмауэра.
1. Выполните пункты 1-3 предыдущего задания
2. Выберите кнопку Параметры в нижней части открытого окна
76
3. В результате откроется окно Дополнительные параметры с тремя
закладками (Службы, Ведение журнала безопасности и ICMP).
4. Выберите закладку Службы.
Примечание. На закладке Службы вы можете в явном виде указать
службы Интернета, прохождение трафика которых вы допускаете. Например,
чтобы обеспечить прохождение веб-страниц из Интернета на компьютер,
необходимо включить службу «Веб-сервер НТТР».
5. Отметьте все службы.
6. Выберите закладку Ведение журнала безопасности.
Примечание. Для брандмауэра подключения к Интернету предусмотрен журнал безопасности для записи событий, связанных с его работой.
Журнал безопасности ICF поддерживает следующие возможности.
Запись пропущенных пакетов. Этот параметр задает запись в журнал
сведений обо всех потерянных пакетах, исходящих из сети (компьютера) или
из Интернета. Если установить флажок Записывать потерянные пакеты,
будут собираться сведения о каждом пакете, который пытался пройти через
ICF, но был обнаружен и отвергнут брандмауэром.
Запись успешных подключений. Этот параметр задает запись в журнал сведений обо всех успешных подключениях, инициированных из сети
(компьютера) или из Интернета.
7. Отметьте пункты Записывать пропущенные пакеты и Записывать
успешные подключения. Обратите внимание на расположение журнала
безопасности.
Примечание. Журнал безопасности брандмауэра состоит из двух разделов. В заголовке содержатся сведения о версии журнала и полях, в которые
можно записывать данные. Содержимое заголовка имеет вид статического
списка. Содержимое журнала безопасности представляет собой откомпилированные данные, которые вводятся при обнаружении трафика, пытающегося пройти через брандмауэр. Поля журнала заполняются слева направо, как
они расположены на странице. Для того чтобы в журнал вводились данные,
необходимо выбрать хотя бы один параметр ведения журнала или оба параметра.
8. Теперь Ваш брандмауэр настроен и готов к защите Вашего компьютера от внешних угроз.
Задания для самостоятельной работы - Настройка и использование межсетевого экрана
1. Настройте брандмауэр на работу с Веб-сервером (HTTP), FTPсервером и зафиксируйте соответствующее окно для отчета.
2. Включите журнал безопасности.
3. После выполнения задания 1 и 2 подключитесь к Интернету и посетите любой веб-сервер.
4. Завершите работу в Интернете и просмотрите журнал безопасности.
5. Зафиксируйте записи журнала безопасности для отчета.
77
СОЗДАНИЕ VPN-ПОДКЛЮЧЕНИЯ СРЕДСТВАМИ WINDOWS 2000 (ХР)
Технология виртуальных частных сетей (VPN - Virtual Private Network)
является одним из эффективных механизмов обеспечения информационной
безопасности при передаче данных в распределенных вычислительных сетях.
Виртуальные частные сети являются комбинацией нескольких самостоятельных сервисов (механизмов) безопасности: шифрования, экранирования и туннелирования.
Hamachi- это программа, позволяющая создать виртуальную частную
сеть (VPN) через Интернет и объединить в ней несколько компьютеров. После создания такой сети пользователи могут устанавливать VPN-сессии между собой и работать в этой сети точно так же, как в обычной локальной
(LAN) сети с возможностью обмена файлами, удаленного администрирования компьютеров и т.д. Преимущество VPN-сети заключается в том, что она
полностью защищена от несанкционированного вмешательства и невидима
из Интернета, хотя и существует в нем.
Программа Hamachi должна быть установлена на всех компьютерах,
которые предполагается объединить в виртуальную частную сеть.
Виртуальная сеть создается с помощью специализированного сервера
Hamachi в Интернете.
После того как с помощью сервера Hamachi создается виртуальная сеть
между выбранными компьютерами, обмен информацией между клиентами
VPN-сети происходит уже напрямую, то есть без участия сервера Hamachi.
Для обмена данными между клиентами VPN-сети используется протокол
UDP.
Задание № 28. Создать VPN-подключение и выполнить его настройку
Алгоритм выполнения работы
А. Создание VPN-подключения.
1. Откройте компонент Сетевые подключения.
2. Для этого выберите последовательно Пуск - Панель управления Сетевые подключения.
3. Выберите пункт Создание нового подключения и нажмите кнопку
Далее.
4. В зависимости от операционной системы выполните следующие
действия:

для Windows ХР - в открывшемся окне выберите пункт Подключить к сети на рабочем месте и нажмите Далее. После этого выберите
Подключение к виртуальной частной сети и нажмите Далее.

для Windows 2000 - в открывшемся окне выберите пункт Подключение к виртуальной частной сети через Интернет и нажмите Далее.
5. Введите имя подключения и перейдите к следующему шагу командой Далее.
78
6. Если перед установкой «туннельного доступа» требуется подключение к провайдеру услуг Интернета, то выберите Набрать номер для следующего предварительного подключения и, выбрав нужное подключение,
нажмите Далее. В противном случае, выберите Не набирать номер для
предварительного подключения и нажмите Далее.
7. Введите имя узла (сети) или его IP-адрес, к которому идет подключение.
8. Завершите работу Мастера сетевых подключений.
9. В результате в папке Подключения появится новое подключение.
10. Для настройки параметров подключения выделите подключение
VPN и вызовите его свойства из контекстного меню (нажатие правой клавиши мыши).
11. Рассмотрите все имеющиеся параметры VPN-подключения и при
необходимости воспользуйтесь соответствующими разделами справки.
Задания для самостоятельной работы - Создание VPN-подключения
1. Создайте VPN-подключение к узлу с адресом 122.122.122.122 и зафиксируйте окно его свойств (Print Screen) на закладке Общие в качестве отчета.
2. Задание рассчитано на работу в паре:
- Загрузить
программу
«LogMeIn
Hamachi»
с
сайта
http://hamachi.ru.softonic.com/ на оба компьютера будущей сети;
- Создать
сеть,
пользуясь
подсказками
на
сайте
http://hamachiinfo.ru/nastrojka.html;
- Объединить в сеть принтер, камеру или другое устройство либо
развернуть в сети какое-либо программное обеспечение (например, игру);
- Подготовить отчет.
79
7. РЕАЛИЗАЦИЯ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ
Криптография – обеспечивает сокрытие смысла сообщения с помощью шифрования и открытия его расшифровкой, которые выполняются по
специальным алгоритмам с помощью ключей.
Ключ – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор
только одного варианта из всех возможных для данного алгоритма.
Криптоанализ – занимается вскрытием шифра без знания ключа (проверка устойчивости шифра).
Кодирование – (не относится к криптографии) – система условных
обозначений, применяемых при передаче информации. Применяется для увеличения качества передачи информации, сжатия информации и для уменьшения стоимости хранения и передачи.
Криптографические преобразования имеют цель обеспечить недоступность информации для лиц, не имеющих ключа, и поддержание с требуемой
надежностью обнаружения несанкционированных искажений.
Большинство средств защиты информации базируется на использовании криптографических шифров и процедур шифрования-расшифровки. В
соответствии со стандартом ГОСТ 28147-89 под шифром понимают совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, задаваемых ключом и алгоритмом преобразования.
В криптографии используются следующие основные алгоритмы шифрования:

алгоритм замены (подстановки) – символы шифруемого текста
заменяются символами того же или другого алфавита в соответствии с заранее обусловленной схемой замены;

алгоритм перестановки – символы шифруемого текста переставляются по определенному правилу в пределах некоторого блока этого текста;

гаммирование – символы шифруемого текста складываются с
символами некоторой случайной последовательности;

аналитическое преобразование – преобразование шифруемого
текста по некоторому аналитическому правилу (формуле).
Процессы шифрования и расшифровки осуществляются в рамках некоторой криптосистемы. Для симметричной криптосистемы характерно применение одного и того же ключа как при шифровании, так и при расшифровке сообщений. В асимметричных криптосистемах для шифрования данных
используется один (общедоступный) ключ, а для расшифровки – другой
(секретный) ключ.
Симметричные криптосистемы
Шифры перестановки
В шифрах средних веков часто использовались таблицы, с помощью
которых выполнялись простые процедуры шифрования, основанные на пере80
становке букв в сообщении. Ключом в данном случае является размеры таблицы. Например, сообщение «Неясное становится еще более непонятным»
записывается в таблицу из 5 строк и 7 столбцов по столбцам:
Н О Н С
Б
Н Я
Е Е О Я
О Е Т
Я С В Е
Л П Н
С Т И Щ Е О Ы
Н А Т Е
Е Н М
Рис. 2. Таблица с сообщением, записанным по столбцам
Для получения шифрованного сообщения текст считывается по строкам и группируется по 5 букв:
НОНСБ НЯЕЕО ЯОЕТЯ СВЕЛП НСТИЩ ЕОЫНА ТЕЕНМ
Несколько большей стойкостью к раскрытию обладает метод одиночной перестановки по ключу. Он отличается от предыдущего тем, что столбцы таблицы переставляются по ключевому слову, фразе или набору чисел
длиной в строку таблицы. Используя в качестве ключа слово «ЛУНАТИК»,
получим следующую таблицу:
Л
У Н А
Т И К
А
И К
Л Н Т У
4
7
1
6
2
3
1
2
4
Н О Н С
Б
Н Я
С
Е
Е О Я
О Е Т
Я
С В Е
Л П Н
С
Т И Щ Е О Ы
5
Н А Т Е
3
5
6
7
Н Я
Н Н Б
О
Я
Е Т
Е О О Е
Е
П Н
Я В Л С
Щ О Ы С И Е Т
Е Н М
Е
До перестановки
Н М Н Т Е А
После перестановки
Рис. 3. Таблица с сообщением, до и после перестановки
В верхней строке левой таблицы записан ключ, а номера под буквами
ключа определены в соответствии с естественным порядком соответствующих букв ключа в алфавите. Если в ключе встретились бы одинаковые буквы, они бы нумеровались слева направо. Получается шифровка:
СНЯНН БОЯЕТ ЕООЕЕ ПНЯВЛ СЩОЫС ИЕТЕН МНТЕА
81
Для обеспечения дополнительной скрытности можно повторно шифровать сообщение, которое уже было зашифровано. Для этого размер второй
таблицы подбирают так, чтобы длины ее строк и столбцов отличались от
длин строк и столбцов первой таблицы. Лучше всего, если они будут взаимно
простыми.
Кроме алгоритмов одиночных перестановок применяются алгоритмы
двойных перестановок. Сначала в таблицу записывается текст сообщения, а
потом поочередно переставляются столбцы, а затем строки. При расшифровке перестановки проводятся в обратном порядке. Например, сообщение
«Приезжаю шестого» можно зашифровать как представлено в таблице (Рис.
4):
2
4
1
3
И Е
1
2
3
4
4
И
П Е
Р
3
4
П Р
1
З
Ж А Ю
1
А
2
_
Ш Е С
2
Е. _
3
Т О
3
Г
Г
О
1
2
3
4
1
А З
Ю Ж
Ю Ж
2
Е _
С
Ш
С
Ш
3
Г
Т О
О
Т О
О
4
И П Е
Р
Рис. 4. Двойная перестановка столбцов и строк
В
результате
перестановки
получена
шифровка
АЗЮЖЕ_СШГТООИПЕР. Ключом к шифру служат номера столбцов 2413 и номера строк 4123 исходной таблицы.
Число вариантов двойной перестановки достаточно быстро возрастает
с увеличением размера таблицы: для таблицы 3 х 3 их 36, для 4 х 4 их 576, а
для 5 х 5 их 14400.
В средние века для шифрования применялись и магические квадраты.
Магическими квадратами называются квадратные таблицы с вписанными в
их клетки последовательными натуральными числами, начиная с единицы,
которые дают в сумме по каждому столбцу, каждой строке и каждой диагонали одно и то же число (Рис. 5). Для шифрования необходимо вписать исходный текст по приведенной в квадрате нумерации и затем переписать содержимое таблицы по строкам. В результате получается шифротекст, сформированный благодаря перестановке букв исходного сообщения (Рис. 6).
16 3
2
13
О
И
Р
Т
5
10 11 8
З
Ш Е
Ю
9
6
_
Ж
А
С
4
15 14 1
Е
Г
О
П
7
12
Рис. 5. Магические квадраты
82
П Р
И Е З Ж А Ю _ Ш Е
1
3
2
4
5 6
7
8
С
Т
О
Г
О
9 10 11 12 13 14 15 16
Число вариантов магических квадратов очень резко возрастает с увеличением размера его сторон: для таблицы 3 х 3 таких квадратов -1; для таблицы 4 х 4 - 880; а для таблицы 5 х 5-250000.
Шифры простой замены
Система шифрования Цезаря - частный случай шифра простой замены. Метод основан на замене каждой буквы сообщения на другую букву того
же алфавита, путем смещения от исходной буквы на K букв.
Известная фраза Юлия Цезаря VENI VINI VICI – пришел, увидел, победил, зашифрованная с помощью данного метода, преобразуется в SBKF
SFAF SFZF (при смещении на 4 символа).
Греческим писателем Полибием за 100 лет до н.э. был изобретен так
называемый полибианский квадрат размером 5 х 5, заполненный алфавитом в случайном порядке. Греческий алфавит имеет 24 буквы, а 25-м символом является пробел. Для шифрования на квадрате находили букву текста и
записывали в шифротекст букву, расположенную ниже ее в том же столбце.
Если буква оказывалась в нижней строке таблицы, то брали верхнюю букву
из того же столбца.
Шифры сложной замены
Шифр Гронсфельда состоит в модификации шифра Цезаря числовым
ключом. Для этого под буквами сообщения записывают цифры числового
ключа. Если ключ короче сообщения, то его запись циклически повторяют.
Шифротекст получают примерно также, как в шифре Цезаря, но отсчитывают не третью букву по алфавиту (как в шифре Цезаря), а ту, которая смещена
по алфавиту на соответствующую цифру ключа.
Пусть в качестве ключа используется группа из трех цифр – 314, тогда
Сообщение: СОВЕРШЕННО СЕКРЕТНО
Ключ: 3143143143143143143
Шифровка: ФПИСЬИОССАХИЛФИУСС
В шифрах многоалфавитной замены для шифрования каждого символа исходного сообщения применяется свой шифр простой замены (свой
алфавит) (Рис. 6)
А
Б
В
Г
Д
Е
Ё
.
Я
-
А Б В Г Д
А Б В Г Д
- А Б В Г
Я - А Б В
ЮЯ - А Б
Э ЮЯ - А
Ь Э ЮЯ Ы Ь Э ЮЯ
. . . . .
А - Я ЮЭ
- Я ЮЭ Ь
Е
Е
Д
Г
В
Б
А
.
Ь
Ы
Ё
Ё
Е
Д
Г
В
Б
А
.
Ы
Ъ
ЖЗ И Й
ЖЗ И Й
Ё ЖЗ И
Е Ё ЖЗ
Д Е Ё Ж
Г Д Е Ё
В Г Д Е
Б В Г Д
. . . .
Ъ ЩШЧ
ЩШЧ Х
К Л
К Л
Й К
И Й
З И
ЖЗ
Ё Ж
Е Ё
. .
Х Ф
Ф У
М
М
Л
К
Й
И
З
Ж
.
У
Т
Н
Н
М
Л
К
Й
И
З
.
Т
С
О
О
Н
М
Л
К
Й
И
.
С
Р
П
П
О
Н
М
Л
К
Й
.
Р
П
Р
Р
П
О
Н
М
Л
К
.
П
О
Рис. 6.
83
С
С
Р
П
О
Н
М
Л
.
О
Н
Т
Т
С
Р
П
О
Н
М
.
Н
М
У
У
Т
С
Р
П
О
Н
.
М
Л
Ф
Ф
У
Т
С
Р
П
О
.
Л
К
Х
Х
Ф
У
Т
С
Р
П
.
К
Й
Ч
Ч
Х
Ф
У
Т
С
Р
.
Й
И
ШЩЪ Ы Ь Э ЮЯ ШЩЪ Ы Ь Э ЮЯ Ч ШЩЪ Ы Ь Э ЮЯ
Х Ч ШЩЪ Ы Ь Э Ю
Ф Х Ч ШЩЪ Ы Ь Э
У Ф Х Ч ШЩЪ Ы Ь
Т У Ф Х Ч ШЩЪ Ы
С Т У Ф Х Ч ШЩЪ
. . . . . . . .
И З ЖЁ Е Д Г В Б
З ЖЁ Е Д Г В Б А
Каждая строка в этой таблице соответствует одному шифру замены
аналогично шифру Цезаря для алфавита, дополненного пробелом. При шифровании сообщения его выписывают в строку, а под ним ключ. Если ключ
оказался короче сообщения, то его циклически повторяют. Шифротекст получают, находя символ в колонке таблицы по букве текста и строке, соответствующей букве ключа. Например, используя ключ АГАВА, из сообщения
ПРИЕЗЖАЮ ШЕСТОГО получаем следующую шифровку (Рис. 7)
Сообщение
ПРИЕЗЖАЮ_ШЕСТОГО
Ключ
АГАВААГАВААГАВАА
Шифровка
ПНИГЗЖЮЮЮАЕОТМГО
Рис. 7.
Гаммирование
Процесс шифрования заключается в генерации гаммы шифра и наложении этой гаммы на исходный открытый текст. Перед шифрованием открытые данные разбиваются на блоки Т(0)i одинаковой длины (по 64 бита). Гамма шифра вырабатывается в виде последовательности блоков Г(ш) i аналогичной длины (Т(ш)i=Г(ш)i+Т(0)i, где + - побитовое сложение, i =1-m).
Процесс расшифровки сводится к повторной генерации шифра текста и
наложение этой гаммы на зашифрованные данные T(0)i=Г(ш)i+Т(ш)i.
Асимметричные криптосистемы
Схема шифрования Эль Гамаля
Алгоритм шифрования Эль Гамаля основан на применении больших
чисел для генерации открытого и закрытого ключа, криптостойкость же обусловлена сложностью вычисления дискретных логарифмов.
Последовательность действий пользователя:
1. Получатель сообщения выбирает два больших числа P и G, причем P
> G.
2. Получатель выбирает секретный ключ - случайное целое число X < P.
3. Вычисляется открытый ключ Y= G x mod P.
4. Получатель выбирает целое число K, 1< K< P-1.
5. Шифрование сообщения (M): a= GK mod P, b=Y K M mod P, где пара
чисел (a,b) является шифротекстом.
Криптосистема шифрования данных RSA
Предложена в 1978 году авторами Rivest, Shamir и Aldeman и основана
на трудности разложения больших целых чисел на простые сомножители.
Алгоритм создания открытого и секретного ключей:
1. Получатель выбирает 2 больших простых целых числа p и q, на
основе которых вычисляет n=p*q и функцию Эйлера φ(n)=(p-1)(q-1).
2. Получатель выбирает целое число е (1<e< φ(n)), взаимно простое
со значением функции φ(n).
Пара чисел (e,n) публикуется в качестве открытого ключа.
84
3. Получатель вычисляет целое число d, которое отвечает условию:
e*d=1(mod φ(n) ).
Пара чисел (d,n) является секретным ключом.
Шифрование сообщения с использованием открытого ключа:
Если m – сообщение (сообщениями являются целые числа в интервале от 0 до n-1), то зашифровать это сообщение можно как c=mе
mod(n).
Дешифрование сообщения с использованием секретного ключа:
Получатель расшифровывает, полученное сообщение с: m=cd mod (n).
Задание № 29. Применение одного из алгоритмов симметричного
шифрования:
1. Используя один из алгоритмов симметричного шифрования (Таблица
15), зашифровать свои данные: фамилию, имя, отчество.
2. Выполнить проверку, расшифровав полученное сообщение.
Таблица 15. Исходные данные к заданию
№ варианта
1
3
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Алгоритм шифрования
Простая перестановка
Одиночная перестановка
Двойная перестановка
Магический квадрат
Шифр Цезаря
Полибианский квадрат
Шифр Гронсфельда
Многоалфавитная замена
Простая перестановка
Одиночная перестановка
Двойная перестановка
Магический квадрат
Шифр Цезаря
Полибианский квадрат
Шифр Гронсфельда
Многоалфавитная замена
Простая перестановка
Одиночная перестановка
Двойная перестановка
Магический квадрат
Шифр Цезаря
Полибианский квадрат
Шифр Гронсфельда
Многоалфавитная замена
Простая перестановка
Одиночная перестановка
Двойная перестановка
Магический квадрат
85
№ варианта
29
30
1.
2.
3.
4.
5.
6.
7.
Алгоритм шифрования
Одиночная перестановка
Шифр Гронсфельда
Вопросы для самоконтроля
Дайте определения понятиям: Криптология, криптография, криптоанализ, шифр, ключ
Чем различаются симметричные и асимметричные системы шифрования?
Назовите алгоритмы шифрования симметричной криптосистемы
Охарактеризуйте методы перестановки. Приведите примеры шифров
перестановки.
Охарактеризуйте методы замены. Приведите примеры шифров замены.
В чем заключается метод гаммирования?
На чем основан шифр Аль Гамаля?
86
8. ЛАБОРАТОРНЫЙ ПРАКТИКУМ ДЛЯ САМОСТОЯТЕЛЬНОЙ
РАБОТЫ
Цель: Анализ информационных активов, используемых компанией, и выработка концептуальных основ деятельности по обеспечению корпоративной
информационной безопасности.
Задачи:
1. Установить номенклатуру информационных активов и оценить их значимость для компании в целом (Таблица 2) и ее структурных подразделений.
2. Выявить виды и разновидности тайн, которые используются в деятельности компании.
3. Оценить риски информационной безопасности.
Задание 1. Описание компании и ее структурных подразделений
a. Укажите наименование компании и адрес ее корпоративного сайта.
b. Дайте описание деятельности компании, её направлений и бизнес-целей.
c. Опишите основные показатели деятельности компании, характеризующие её масштабы (5-6 показателей), и приведите их числовые значения
за какой-то период или дату;
d. В графическом редакторе постройте функциональную блок-схему компании в выбранном варианте. Детализацию производить до уровня отделов.
e. Постройте схему, характеризующую архитектуру ИТ-сети компании, ее
программные и аппаратные компоненты.
Задание 2. Определение номенклатуры информационных активов
a. Определите базовые уязвимости и угрозы в сфере информационной безопасности для деятельности компании.
b. Для каждого структурного подразделения определите информационные
активы. Заполните таблицу (Таблица 16).
Таблица 16
Вид актива
Обоснование
Наименование
Степень
Владелец
Угрозы Уязвимости выбранной стеактива
важности
пени важности
Для выполнения данного пункта необходимо внимательно ознакомиться с
пунктом 5 стандарта ГОСТ Р ИСО/МЭК 27002-2012
Задание 3. Определение номенклатуры видов и разновидностей тайн
a. Определите перечень сведений, которые используются в деятельности
компании и образуют тайны различных видов и разновидностей.
b. Для каждого вида (разновидности) тайны заполните таблицу (Таблица 17).
87
Таблица 17
Вид тайны
Разновидность тайны
Конфидент
В состав какого информационного актива входит
Задание 4. Определите примерный перечень сведений, составляющих коммерческую (служебную) тайну компании. Заполните таблицу (Таблица 18).
Таблица 18
№
п/п
Общие группы сведений,
составляющих тайну
Перечень конкретных
сведений, входящих
в состав группы
Сотрудники каких
подразделений
допущены к данным
сведениям
Задание 5. Для сведений, составляющих тайны, и информационных активов,
включающих соответствующие данные, определите наиболее важные дестабилизирующие факторы (ДФ), формирующие угрозы информационной безопасности. Заполните таблицу (Таблица 19).
Таблица 19
Наиболее значиВ состав какого инНа каких носителях
мые ДФ для каж№ Вид и разновидность формационного актива
распространяются
дого пункта
п/п
тайны
входят соответствуюсоответствующие
(по мере убыващие данные
данные
ния важности)
Задание 6. Для сведений, составляющих тайны, и информационных активов,
включающих соответствующие данные, определите представляющие
наибольшую угрозу:
• условия разведывательного контакта;
• методы доступа к добываемой информации;
• способы дистанционного добывания информации. Заполните таблицу
(Таблица 20).
Таблица 20
В состав какого
Методы
Вид и
информационного
Условия
Способы
№
доступа к
разновидность
актива входят разведывательного
дистанционного
п/п
добываемой
тайны
соответствующие
контакта
добывания
информации
данные
88
Задание 7. Распределите информационные активы, содержащие сведения,
составляющие тайны, по зонам доступа. Заполните таблицу (Таблица 21).
Таблица 21
№
Какие виды и разновидности тайн
Информационные активы
п/п
содержат
В какой зоне
должны находиться
Задание 8. Определите наиболее опасные каналы утечки информации, способы и средства противодействия утечке. Заполните таблицу (Таблица 22).
Таблица 22
№ Информационные
п/п
активы
Наиболее опасные
Способ противодейканалы утечки для
ствия утечке
каждого актива
89
Средство противодействия утечке
Приложение 1
Перечень организационно-распорядительных документов
1
Организационные документы
1.1 Организационные документы (ОД) - документы, определяющие
структуру, задачи и функции общества в целом, его структурных подразделений, организацию работ, права, обязанности и ответственность руководства и сотрудников общества.
1.2 Виды организационных документов и их определения
Вид документа
Устав
Организационная
структура
Штатное
сание
распи-
Правила
2
Определение
учредительный
документ,
устанавливающий
организационноправовой статус, цели, задачи, порядок и характер деятельности Общества, структуру органов управления.
документ, устанавливающий распределение ответственности, полномочий и взаимоотношений в Обществе, представленные в виде схемы,
по которой Общество выполняет свои функции.
документ, определяющий структуру, численность и должностной состав работников Общества и его структурных подразделений с указанием должностных окладов.
документ, устанавливающий нормы и требования, обязательные для
выполнения всеми сотрудниками, вне зависимости от их функций.
Распорядительные документы
2.1 Распорядительные документы (РД) - документы, которые фиксируют
решения административных и организационных вопросов, а также вопросов
управления, взаимодействия и обеспечение регулирования деятельности Общества, его подразделений и должностных лиц.
2.2 Виды распорядительных документов и их определения
Вид документа
Приказ
Распоряжение
Указание
Протокол
Определение
документ, издаваемый ГД, уполномоченным должностным лицом,
действующим на основе единоличного принятия решений, в целях
разрешения основных и оперативных задач в деятельности Предприятия
правовой акт, издаваемый единолично руководителем, целях разрешения оперативных вопросов. Как правило, имеет ограниченный срок
действия и касается узкого круга должностных лиц.
правовой акт, издаваемый, преимущественно по вопросам информационно-методического характера, а также по вопросам, связанным с
организацией исполнения приказов, инструкций и других актов данного органа и вышестоящих органов управления
1) документ, содержащий последовательную запись обсуждения вопросов и принятия управленческих решений на заседаниях, собраниях, совещаниях, переговорах.
2) документ, содержащий последовательную запись проведенных мероприятий и установленных фактов
90
3
Нормативные документы
3.1 Нормативные документы (НД) – документы, устанавливающие комплекс правил, требований, обязательных для исполнения в повседневной деятельности общества.
3.2 Виды нормативных документов и их определения
Вид документа
Определение
Положение
о
правовой акт, устанавливающий статус, функции, права, обязанности
структурном
и ответственность структурных подразделений
подразделении
правовой акт, издаваемый в целях регламентации организационноДолжностная инправового положения работника, его обязанностей, прав, ответственструкция
ности и обеспечивающий условия для его эффективной работы.
документ, устанавливающий последовательность действий должностных лиц и структурных подразделений при реализации совокупности
Регламент
взаимосвязанных и взаимодействующих видов деятельности Общества
документ, устанавливающий правила по вопросам организации деятельности структурных подразделений или общества в целом. В праПоложение
вилах устанавливаются нормы и требования, обязательные для выполнения
документ, устанавливающий требования к действиям сотрудника, категории сотрудников при выполнении определенного вида работы или
Инструкция
порядок применения положений, законодательных и иных нормативных актов
документ, в котором устанавливаются для всеобщего и многократного
Внутренний
использования правила, руководящие принципы и характеристики
стандарт
различных видов деятельности или их результатов
документ, устанавливающий один или нескольких методов, способов,
Методика
приемов осуществления определенной работы
документ, содержащий состав групп и видов документов, предметов,
Классификатор
объектов, лиц, работ, систематизированных по наиболее общим признакам сходства и различия
документ, содержащий список документов, предметов, объектов, лиц,
Перечень
работ, составленный в целях распространения на них определенных
норм или требований
4
Информационно-справочные документы
4.1 Информационно-справочные документы (ИСД) - документы, которые
содержат информацию о фактическом положении дел на Предприятии.
4.2 Виды ИСД и их определения:
Вид документа
Определение
Служебная
за- документ, поясняющий какое-либо действие, факт, событие, направписка
ляемый в структурное подразделение или должностному лицу.
Выписка из придокумент, отражающий часть приказа/ протокола.
каза/ протокола
документ, составленный несколькими лицами и подтверждающий
Акт
установленные факты или события.
91
Вид документа
Определение
документ, содержащий сведения о результатах деятельности за опреОтчёт
деленный период времени, выполнении мероприятий, поручений, заданий, представляемый должностному лицу общества
Аналитическая
документ, содержащий выводы, основанные на анализе полученных
записка
результатов
документ, содержащий мнение, выводы общества, комиссии или спеЗаключение
циалиста по какому-либо вопросу
документ, адресованный должностному лицу общества, содержащий
Докладная записобстоятельное изложение какого-либо вопроса с выводами и предлока
жениями составителя
документ, объясняющий причины какого-либо действия, факта, проОбъяснительная
исшествия, составляемый работником общества и представляемый
записка
вышестоящему должностному лицу
документ, содержащий перечень конкретных предложений по решеПредложение
нию определенного вопроса
документ, адресованный должностному лицу и содержащий просьбу
Заявление/Заявка
работника
документ, содержащий предложение о назначении, перемещении или
Представление
поощрении работника общества
документ, содержащий мнение общества или специалиста по поводу
Отзыв
какого-либо документа, поступившего на рассмотрение
документ, составляемый с целью описания фактов основной деятельСправка
ности общества или удостоверяющий юридические факты (подтверждение места работы, учебы, занимаемой должности и др.)
документ, содержащий перечисление лиц или предметов в определенСписок
ном порядке, составленный в целях информации или регистрации.
Сводка
Запрос
Реестр
документ, представляющий собой обобщенные сведения по одному
вопросу (сводка предложений, замечаний, требований и т.д.)
документ, содержащий просьбу о предоставлении данных (документов, информации)
книга или база данных, содержащая реестровый список, используется
для регистрации документов, дел
92
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1.
Гатчин Ю.А. Основы информационной безопасности [Текст]:
учебное пособие/ Ю.А. Гатчин, Е.В. Климова. - СПб.: СПбГУ ИТМО, 2009. 84с.
2.
Информатика : учебное пособие для студентов вузов, обучающихся по направлениям и специальностям аграрного профиля / А.П. Курносов [и др.] ; под ред. А.П. Курносова .- Воронеж : Воронежский государственный аграрный университет, 2012 .- 300 с.
3.
Информационные системы в экономике : учебное пособие для
студентов, обучающихся по направлениям "Экономика" и "Менеджмент" /
[А.В. Улезько [и др.].- Воронеж : Воронежский государственный аграрный
университет, 2013 .- 212 с.
4.
Макаренко С.И. Информационная безопасность [Текст]: учебное
пособие для студентов вузов./ С.И. Макаренко - Ставрополь: СФ МГГУ им.
М. А. Шолохова, 2009. - 372 с.: ил.
5.
Мельников В.П. Информационная безопасность и защита информации [Текст]: учебное пособие для студентов высших учебных заведений /
В.П. Мельников, С. А. Клейменов, М.Петраков; под. ред. С.А.Клейменова. М.: Издательский центр «Академия», 2009. - 336 с.
6.
Практикум по информатике : учеб. пособие / А.П. Курносов [и
др.] ; под ред. А.В. Улезько .- М. : КолосС, 2008 .- 415 с.
7.
Прохода А.Н. Обеспечение интернет-безопасности. Практикум[Текст]: Учебное пособие для вузов / А.Н. Прохода. – М.: Горячая линияТелнсом, 2007. – 180 с.: ил.
8.
Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей [Текст]: учебное пособие / В.Ф. Шаньгин. - М.: ИД «ФОРУМ»:
ИНФРА-М, 2009. - 416 с.
9.
Шептура С.В. Информационная безопасность [Текст]: учебное
пособие для студентов вузов/ С.В. Шептура – М.: МФПА, 2010. – 126 с.
10. Экономическая информатика : учебное пособие / А.П. Курносов
[и др.].- Воронеж : Воронежский государственный аграрный университет,
2012 .- 318 с.
11. Ярочкин В.И. Информационная безопасность [Текст]: Учебник
для вузов / В.И. Ярочкин - М.: Академический проект, 2008. - 544 с.
93
1/--страниц
Пожаловаться на содержимое документа