Книга посвящена методам и средствам комплексной защиты информации в корпоративных системах. Формулируются основные понятия защиты информации, анализируются угрозы информационной безопасности в корпоративных системах

Допущено УМО по университетскому политехническому образованию в качестве учебного пособия для студентов высших учебных заведений, обучающихся по направлению 230100 "Информатика и вычислительная техника"

Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ: НИЦ Инфра-М, 2014. - 592 с.: ил.; 70x100 1/16. - (Высшее образование). (переплет)

ISBN 978-5-8199-0411-4

Книга посвящена методам и средствам комплексной защиты информации в корпоративных системах. Формулируются основные понятия защиты информации, анализируются угрозы информационной безопасности в корпоративных системах. Обсуждаются базовые понятия и принципы политики безопасности. Описываются криптографические методы и алгоритмы защиты корпоративной информации. Обсуждаются методы и средства идентификации, аутентификации и управления доступом в корпоративных системах. Анализируются методы защиты электронного документооборота. Обосновывается комплексный подход к обеспечению информационной безопасности корпоративных систем. Рассматриваются средства обеспечения безопасности операционных систем UNIX и Windows Vista.

Предисловие 3

Список сокращений 7

Введение 12

ЧАСТЬ I. ПРОБЛЕМЫ БЕЗОПАСНОСТИ

КОРПОРАТИВНОЙ ИНФОРМАЦИИ 15

Глава 1. ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ 16

1.1. Основные понятия зашиты информации

и информационной безопасности 16

1.2. Анализ угроз информационной безопасности 21

Глава 2. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ СЕТЕЙ 35

2.1. Введение в сетевой информационный обмен 35

2.1.1. Использование сети Интернет 35

2.1.2. Модель ISO/OSI и стек протоколов TCP/IP 37

2.2. Анализ угроз сетевой безопасности 44

2.2.1. Проблемы безопасности IP-сетей 45

2.2.2. Угрозы и уязвимости беспроводных сетей 53

2.3. Обеспечение информационной безопасности сетей 56

2.3.1. Способы обеспечения информационной безопасности 56

2.3.2. Пути решения проблем защиты информации в сетях . . 59

Глава 3. ПОЛИТИКА БЕЗОПАСНОСТИ 62

3.1. Основные понятия политики безопасности 63

3.2. Структура политики безопасности организации 69

3.2.1. Базовая политика безопасности 70

3.2.2. Специализированные политики безопасности 70

3.2.3. Процедуры безопасности 73

3.3. Разработка политики безопасности организации 75

ЧАСТЬ II. ТЕХНОЛОГИИ ЗАЩИТЫ

КОРПОРАТИВНЫХ ДАННЫХ 85

Глава 4. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА

ИНФОРМАЦИИ 86

4.1. Основные понятия криптографической

защиты информации 86

4.2. Симметричные криптосистемы шифрования 90

4.2.1. Алгоритмы шифрования DES и 3-DES 94

4.2.2. Стандарт шифрования ГОСТ 28147-89 98

4.2.3. Американский стандарт шифрования AES 102

4.2.4. Основные режимы работы блочного

симметричного алгоритма 106

4.2.5. Особенности применения алгоритмов симметричного шифрования 110

4.3. Асимметричные криптосистемы шифрования 111

4.3.1. Алгоритм шифрования RSA 116

4.3.2. Асимметричные криптосистемы на базе эллиптических кривых 120

4.3.3. Алгоритм асимметричного шифрования ECES 122

4.4. Функция хэширования 123

4.5. Электронная цифровая подпись 126

4.5.1. Основные процедуры цифровой подписи 126

4.5.2. Алгоритм цифровой подписи DSA 130

4.5.3. Алгоритм цифровой подписи ECDSA 131

4.5.4. Алгоритм цифровой подписи ГОСТ P 34.10—94 131

4.5.5. Отечественный стандарт цифровой подписи

ГОСТ P 34.10-2001 132

4.6. Управление криптоключами 138

4.6.1. Использование комбинированной

криптосистемы 139

4.6.2. Метод распределения ключей Диффи — Хеллмана ... 142

4.6.3. Протокол вычисления ключа парной связи ECKEP . . 145

4.7. Инфраструктура управления открытыми ключами PKI 146

4.7.1. Принципы функционирования PKI 147

4.7.2. Логическая структура и компоненты PKI 150

Глава 5. ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ

И УПРАВЛЕНИЕ ДОСТУПОМ 158

5.1. Аутентификация, авторизация и администрирование действий пользователей 158

5.2. Методы аутентификации, использующие пароли 162

5.2.1. Аутентификация на основе многоразовых паролей ... 163

5.2.2. Аутентификация на основе одноразовых паролей .... 165

5.3. Строгая аутентификация 166

5.3.1. Основные понятия 166

5.3.2. Двухфакторная аутентификация 167

5.3.3. Криптографические протоколы строгой аутентификации 175

5.4. Биометрическая аутентификация пользователя 183

5.5. Управление доступом по схеме однократного входа

с авторизацией Single Sign-On 188

5.5.1. Простая система однократного входа

Single Sign-On 190

5.5.2. Системы однократного входа Web SSO 192

5.5.3. SSO-продукты уровня предприятия 194

5.6. Управление идентификацией и доступом 196

Глава 6. ЗАЩИТА ЭЛЕКТРОННОГО

ДОКУМЕНТООБОРОТА 200

6.1. Концепция электронного документооборота 200

6.2. Особенности защиты электронного

документооборота 205

6.3. Защита баз данных 211

6.3.1. Основные типы угроз 212

6.3.2. Методы и средства защиты СУБД 213

6.3.3. Средства защиты СУБД Microsoft Access 221

6.3.4. Средства защиты СУБД Oracle 222

6.3.5. Защищенный доступ к базам данных 225

6.4. Защита корпоративного почтового документооборота 227

6.4.1. Защита каналов сетевого взаимодействия

почтовых клиентов и серверов 228

6.4.2. Обеспечение конфиденциальности и целостности электронных документов 229

6.4.3. Обеспечение работоспособности почтовых

серверов 231

6.4.4. Обеспечение антивирусной защиты почтовой

системы 232

6.4.5. Защита от утечки конфиденциальной

информации 232

6.4.6. Комплексный подход к защите корпоративной почтовой системы 233

6.5. Защита системы электронного документооборота DIRECTUM 234

6.5.1. Функциональность системы DIRECTUM 235

6.5.2. Архитектура системы DIRECTUM 237

6.5.3. Управление электронными документами

в системе DIRECTUM 241

ЧАСТЬ III. КОМПЛЕКСНАЯ ЗАЩИТА

КОРПОРАТИВНЫХ ИС 249

Глава 7. ПРИНЦИПЫ КОМПЛЕКСНОЙ ЗАЩИТЫ

КОРПОРАТИВНОЙ ИНФОРМАЦИИ 250

7.1. Архитектура корпоративной информационной системы .... 250

7.2. Структура системы защиты информации

в корпоративной информационной системе 254

7.3. Комплексный подход к обеспечению информационной безопасности КИС 257

7.4. Подсистемы информационной безопасности КИС 260

Глава 8. БЕЗОПАСНОСТЬ ОПЕРАЦИОННЫХ СИСТЕМ 270

8.1. Проблемы обеспечения безопасности ОС 270

8.1.1. Угрозы безопасности операционной системы 270

8.1.2. Понятие защищенной операционной системы 272

8.2. Архитектура подсистемы защиты операционной системы . . . 276

8.2.1. Основные функции подсистемы защиты операционной системы . ... 276

8.2.2. Идентификация, аутентификация и авторизация субъектов доступа 277

8.2.3. Разграничение доступа к объектам операционной системы 278

8.2.4. Аудит 286

8.3. Обеспечение безопасности ОС UNIX 288

8.3.1. Основные положения 288

8.3.2. Парольная защита 291

8.3.3. Защита файловой системы 293

8.3.4. Средства аудита 299

8.3.5. Безопасность системы UNIX при работе в сети 302

8.4. Безопасность ОС Windows Vista 303

8.4.1. Средства защиты общего характера 304

8.4.2. Защита от вредоносных программ 308

8.4.3. Защита данных от утечек и компрометации 312

8.4.4. Безопасность Internet Explorer 7 314

8.4.5. Обеспечение безопасности работы

в корпоративных сетях 320

Глава 9. ПРОТОКОЛЫ ЗАЩИЩЕННЫХ КАНАЛОВ 325

9.1. Защита на канальном уровне — протоколы РРТР,

L2F и L2TP 325

9.1.1. Протокол РРТР 326

9.1.2. Протоколы L2F и L2TP 329

9.2. Защита на сетевом уровне — протокол IPSec 335

9.2.1. Архитектура средств безопасности IPSec 336

Глава 12. ЗАЩИТА УДАЛЕННОГО ДОСТУПА 441

12.1. Особенности удаленного доступа 441

12.1.1. Методы управления удаленным доступом 443

12.1.2. Функционирование системы управления доступом .. 445

12.2. Организация защищенного удаленного доступа 448

12.2.1. Средства и протоколы аутентификации

удаленных пользователей 450

12.2.2. Централизованный контроль удаленного доступа ... 464

12.3. Протокол Kerberos 469

Глава 13. ОБНАРУЖЕНИЕ И ПРЕДОТВРАЩЕНИЕ

ВТОРЖЕНИЙ 479

13.1. Основные понятия 479

13.2. Обнаружение вторжений системой IPS 482

13.3. Предотвращение вторжений в КИС 484

Глава 14. ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ

И СИАМА ..... 492

14.1. Классификация вредоносных программ 492

14.2. Основы работы антивирусных программ 497

14.2.1. Сигнатурный анализ 497

14.2.2. Проактивные методы обнаружения 499

14.2.3. Дополнительные модули 502

14.2.4. Режимы работы антивирусов 504

14.2.5. Антивирусные комплексы 506

14.2.6. Дополнительные средства защиты 507

14.3. Защита корпоративной сети от воздействия

вредоносных программ и вирусов 510

14.3.1. Подсистема защиты корпоративной информации

от вредоносных программ и вирусов 511

14.3.2. Серия продуктов «Kaspersky Open Space Security» для защиты корпоративных сетей от современных интернет-угроз 512

Часть IV. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТЬЮ 515

Глава 15. УПРАВЛЕНИЕ СРЕДСТВАМИ ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 516

15.1. Задачи управления информационной безопасностью 516

15.2. Архитектура управления информационной

безопасностью КИС 522

15.2.1. Концепция глобального

управления безопасностью GSM 523

15.2.2. Глобальная и локальные политики безопасности 524

15.3. Функционирование системы управления

информационной безопасностью КИС 527

15.3.1. Назначение основных средств защиты 527

15.3.2. Защита ресурсов 529

15.3.3. Управление средствами защиты 530

15.4. Аудит и мониторинг безопасности КИС 532

15.4.1. Аудит безопасности информационной системы 532

15.4.2. Мониторинг безопасности системы 536

15.5. Обзор современных систем управления безопасностью 538

15.5.1. Централизованное управление безопасностью,

реализованное в продуктах «ЗАСТАВА» 538

15.5.2 Программные средства компании Cisco

для управления безопасностью сетей 540

15.5.2. Продукты компании IBM для управления

средствами безопасности 543

Глава 16. СТАНДАРТЫ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ 549

16.1. Роль стандартов информационной безопасности 549

16.2. Международные стандарты информационной

безопасности 551

16.2.1. Стандарты ISO/IEC 17799:2002 (BS 7799:2000) 551

16.2.2. Германский стандарт BS1 553

16.2.3. Международный стандарт ISO 15408

«Общие критерии безопасности информационных

технологий" 553

16.2.4. Стандарты для беспроводных сетей 556

16.2.5. Стандарты информационной безопасности

для Интернета 559

16.3. Отечественные стандарты безопасности информационных

технологий 563

Литература 568

Предметный указатель 574