Міністерство транспорту та зв'язку України Державний університет інформаційно-комунікаційних технологій В.О. Хорошко, В.С. Чередниченко, М.Є. Шелест ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ За редакцією професора В.О. Хорошка Київ ДУІКТ 2008 УДК 351.746:007(0758) ББК 67.9(4Укр)401я7+32.81я7 Х80 Друкується за рішенням вченої ради Навчально-наукового інституту захисту інформації ДУІКТ /протокол №6 від 21.01.2008року) Рецензенти: доктор юридичних наук, професор Кузьмічов B.C., доктор політичних наук, професор Соснін О.В., доктор технічних наук, професор Козловський В.В. Хорошко В.О., Чередниченко B.C., Шелест М.Є. X 80 Основи інформаційної безпеки / За ред. проф. В.О. Хорошка. - К.: ДУІКТ, 2008.- 186 с. ISBN 978-966-2970-16-6 У підручнику наводяться суть, підходи та особливості інформаційної безпеки. Розглядаються загрози та різні рівні інформаційної безпеки. Підручник призначений для студентів напряму «Інформаційна безпека» та буде корисний для спеціалістів, які працюють у цій сфері. УДК 351.746:007(0758) ББК 67.9(4Укр)401я7+32.81я7 © В.О. Хорошко© B.C. ЧередниченкоISBN 978-966-2970-16-6 © М.Є. Шелест Зміст Прелік скорочень………………………...7 Вступ………………………………………………………8 Розділ 1. Поняття інформаційної безпеки…………….17 Поняття інформаційної безпеки……………….……….17 Основні складові інформаційної безпеки…...…………19 Важливість і складність проблеми інформаційної безпеки……………………………………………………….21 Розділ 2. Поширення об'єктно-орієнтованого підходу на інформаційну безпеку……………………………………….25 2.1. Про необхідність об'єктно-орієнтованого підходу до інформаційної безпеки………………………………………25 2.2. Основні поняття об'єктно-орієнтованого підходу.…...26 2.3. Застосування об'єктно-орієнтованого підходу до розгляду систем, що захищають…………………………....29 2.4. Недоліки традиційного підходу до інформаційної безпеки з об'єктної точки зору……………………………..33 Розділ 3. Найпоширеніші загрози……………………..36 Основні визначення і критерії загроз……………..…...36 Найпоширеніші загрози доступності……………..…...38 Деякі приклади загроз доступності..………………... 40 Шкідливе програмне забезпечення..………………... 42 Основні загрози цілісності…………………………... 45 Основні загрози конфіденційності…………………... 47 Розділ 4. Адміністративний рівень інформаційної безпеки ..50 Основні поняття…………………..…………………... 50 Політика безпеки……………….……………………... 51 Програма безпеки……………………………………... 56 Синхронізація програми безпеки з життєвим циклом систем……………………………………………….………..57 Розділ 5. Керування ризиками......…………………... 61 Основні поняття………………......…………………... 61 Підготовчі етапи керування ризиками……………... 63 5.3. Основні етапи керування ризиками.………………... 65 Розділ 6. Процедурний рівень інформаційної безпеки…...70 Основні класи заходів процедурного рівня………………………………………………………... 70 Керування персоналом………...……………………... 70 Фізичний захист………………..………………………..73 Підтримка працездатності…….……………………... 76 Реагування на порушення режиму безпеки………... 79 Планування відновлювальних робіт………………... 81 Розділ 7. Основні програмно-технічні заходи………….. 85 Основні поняття програмно-технічного рівня інформаційної безпеки… …....85 Особливості сучасних інформаційних систем, істотні з погляду безпеки………...................................................... 88 Архітектура безпеки………….……………………... 90 Розділ 8. Ідентифікація й аутентифікація, керування доступом……………………………….…………..……….94 Ідентифікація й аутентифікація……………………... 94 Парольна аутентифікація……………………... 96 Одноразові паролі……………………... 97 Ідентифікація аутентифікація за допомогою біометричних даних………………………………………100 Керування доступом. Основні поняття……………………... 102 Рольове керування доступом……………………... 106 Керування доступом в Jаvа-середовищі……………………... 11 і 8.8.Можливий підхід до керування доступом у розподіленому об'єктному середовищі……………………... 113 Розділ 9. Протоколювання й аудит, шифрування, контроль цілісності…… 117 Протоколювання й аудит. Основні поняття…………117 Активний аудит. Основні поняття…………………... 119 Функціональ...