Важность проблемы информационной безопасности сейчас очевидна не для всех. Однако очевидна ее (проблемы) сложность, проистекающая как из сложности и разнородности современных информационных систем, так и из необходимости комплексного подхода к безопасности с привлечением законодательных, административных и программно-технических мер.
Информационной безопасностью занимаются давно. Первоначально это было прерогативой государственных организаций, имеющих дело с секретной информацией или отвечающих за обеспечение режима секретности. В 1983 году Министерство обороны США выпустило книгу в оранжевой обложке с названием "Критерии оценки надежных компьютерных систем" (Trusted Computer Systems Evaluation Criteria, TCSEC) [11] , положив тем самым начало систематическому распространению знаний об информационной безопасности за пределами правительственных ведомств. Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде Европейских стран [15] . В 1992 году в России Гостехкомиссия при Президенте РФ издала серию брошюр, посвященных проблеме защиты от несанкционированного доступа [1] . К сожалению, эта серия из-за небольшого тиража не получила широкого распространения.
В настоящее время в России, в силу целого ряда причин, наблюдается всплеск интереса к информационной безопасности. В этих условиях ощущается острая нехватка литературы на русском языке, посвященной данной тематике. Пожалуй, можно рекомендовать лишь книгу [8] , в которой превосходно излагаются общие вопросы информационной безопасности. В то же время даже человеку, свободно читающему по-английски и имеющему практически неограниченный доступ к англоязычной литературе, крайне сложно приобрести навыки, полезные на практике. Как строить безопасные, надежные системы? Как поддерживать режим безопасности? "Оранжевая книга" и издания, следующие в ее фарватере, не дают ответов на эти вопросы, поскольку ориентированы в первую очередь на разработчиков информационных систем, а не на пользователей или системных администраторов. Конечно, основы знать необходимо, однако от основ до практики — дистанция огромного размера. Да и оценки важности различных аспектов безопасности в государственных и коммерческих структурах весьма различны.
Все сходятся на том, что защитные мероприятия призваны обеспечить конфиденциальность, целостность и доступность информации, однако если для режимных государственных организаций на первом месте стоит конфиденциальность, а целостность понимается исключительно как неизменность информации, то для коммерческих структур, вероятно, важнее всего целостность (актуальность) и доступность данных и услуг по их обработке. По сравнению с государственными, коммерческие организации более открыты и динамичны, поэтому вероятные угрозы для них отличаются и количественно, и качественно.
Данная работа делится на две части. В первой ( Разд. Стандарты и рекомендации в области информационной безопасности ) читатель найдет сведения о рекомендациях и стандартах в области безопасности. Знакомство с этой главой желательно, но не обязательно. Во второй части ( Разд. Практический подход к созданию и поддержанию режима информационной безопасности ) предлагаются практические рекомендации по созданию и поддержанию режима информационной безопасности.
В качестве методологической основы для изложения программно-технического аспекта защиты выбран подход клиент/сервер. Это объясняется двумя основными причинами. Во-первых, подход клиент/сервер позволяет провести декомпозицию сложной информационной системы, после чего можно относительно независимо рассматривать вопросы защиты отдельных компонентов (сервисов). Во-вторых, ряд защитных услуг реализуется с помощью серверов в строгом смысле этого слова (пример — сервер аутентификации Kerberos).
Принятый подход отразился на структуре всей серии публикаций. После изложения общих вопросов информационной безопасности последует рассмотрение конкретных сервисов, присутствующих в большинстве конфигураций. Имеются в виду серверы СУБД, почтовые службы, сервер аутентификации Kerberos и т.д. Операционная система (в нашем случае — Solaris) также трактуется как набор сервисов. Для каждого сервиса будут описаны защитные механизмы, методы их использования и настройки. В результате, как мы надеемся, читатель получит информацию, способную помочь ему в практической деятельности.
|
|
||
| Стандарты и рекомендации в области информационной безопасности |
| Copyright ╘ 1993-2000, Jet Infosystems |