что позволяет ее рекомендовать в
качестве учебника для студентов и специалистов, работающих в области
обеспечения безопасности самого широкого плана - от разработки политики
безопасности для всей организации, до разработки конкретных систем защиты
информации в АИС.
Доктор технических наук С. П.
Расторгуев
Введение
Предлагаемая работа написана в
стиле Lecture Notes и представляет введение в формальную теорию защиты
информации в электронных системах обработки данных. В отличие от других
руководств и пособий по защите информации здесь не ставилась задача перечислить
как можно полнее все угрозы, механизмы защиты и другие детали проблемы защиты
информации. Основная цель работы - доступно изложить методы анализа систем
защиты информации в электронных системах обработки данных. Как большинство
современных методов изучения сложных систем, анализ систем защиты предполагает
иерархическую декомпозицию. Верхний уровень иерархии составляет политика
безопасности со своими специфическими методами ее анализа. Следующий уровень -
основные системы поддержки политики безопасности (мандатный контроль, аудит и
т.д.). Затем следует уровень механизмов защиты (криптографические протоколы,
криптографические алгоритмы, системы создания защищенной среды, системы
обновления ресурсов и т.д.), которые позволяют реализовать системы поддержки
политики безопасности. Наконец самый низкий уровень - реализация механизмов
защиты (виртуальная память, теговая архитектура, защищенные режимы процессора и
т.д.). В работе рассматриваются только верхние уровни этой иерархии, так как
механизмы защиты достаточно полно описаны в литературе. Ограничения изложения
рамками верхних уровней иерархии позволило с высокой степенью формализации
ввести основные понятия и модели защиты информации, определения, что такое
"хорошая" или "плохая" системы защиты, описать
доказательный подход в построении систем защиты, позволяющий говорить о
гарантированно защищенных системах обработки информации. Описанный подход лежит
в основе многих стандартов для систем защиты и позволяет проводить анализ и
аттестование защищенных систем.
Следует обратить внимание на то,
что в большинстве руководств по защите верхние уровни иерархии не отражены, или
не объяснено их значение. В результате создается иллюзия, что качественная
защита определяется только надежностью и количеством механизмов защиты. Наводят
на определенные размышления неточные переводы требований стандартов по защите,
которые привозят к нам иностранные специалисты. В связи с этим, базисом для
работы явился анализ исходных текстов американских стандартов по защите и
статей, в которых излагались результаты анализа моделей, лежащих в основе этих
стандартов. Поэтому
Главная / безопасность пк / методы защиты информации 