для студентов
факультета «Информационные системы и компьютерные технологии»
Целью курса «Информационная
безопасность» является научить студента решать задачи, связанные с обеспечением
информационной безопасности при проектировании, внедрении и эксплуатации
информационных систем. Содержание курса призвано показать значимость решения
проблем обеспечения информационной безопасности при разработке и функционировании
экономических информационных систем.
Перечень
дисциплин, усвоение которых студентам необходимо для изучения курса: «Информатика и программирование», «Информационные
системы», «Информационные технологии», «Проектирование информационных систем», «Современные
проблемы сетевых и телекоммуникационных технологий», «Вычислительные системы,
сети и телекоммуникации».
В результате изучения дисциплины студенты должны:
- иметь
представление о:
· задачах построения защищенных ЭИС;
· методах криптографической защиты;
· концепции информационной безопасности;
- знать:
· виды угроз информационной безопасности;
· методы и средства борьбы с угрозами информационной
безопасности;
· понятие политики безопасности, существующие типы политик
безопасности;
· существующие стандарты информационной безопасности;
· нормативные руководящие документы, касающиеся государственной
тайны;
-
уметь:
· выполнять анализ способов нарушений информационной
безопасности;
· использовать методы и средства защиты данных.
Основными видами занятий являются лекции и семинары.
Основным видом рубежного контроля знаний
является экзамен.
Содержание курса
Тема
1.
Введение в предмет
Понятие информационной безопасности
и защищенной системы. Необходимость защиты информационных систем и телекоммуникаций.
Технические предпосылки кризиса информационной безопасности. Информационная
безопасность в условиях функционирования в России глобальных сетей. Основные задачи
обеспечения защиты информации.
Основные методы и средства защиты
информационных систем.
Тема
2.
Угрозы информационной безопасности
Понятие угрозы. Виды противников
или «нарушителей». Виды возможных нарушений информационной системы. Анализ
угроз информационной безопасности. Классификация видов угроз информационной
безопасности по различным признакам (по природе возникновения, степени
преднамеренности и т.п.).
Свойства информации:
конфиденциальность, доступность, целостность. Угроза раскрытия параметров
системы, угроза нарушения конфиденциальности, угроза нарушения целостности,
угроза отказа служб. Примеры реализации угроз информационной безопасности.
Защита информации. Основные
принципы обеспечения информационной безопасности в автоматизированных системах.
Причины, виды и каналы утечки информации.
Тема
3.
Основные понятия теории информационной безопасности
Основные положения теории
информационной безопасности информационных систем. Формальные модели
безопасности их значение для построения защищенных информационных систем.
Понятие доступа к данным и монитора безопасности. Функции монитора
безопасности.
Понятие политики безопасности
информационных систем. Разработка и реализация политики безопасности. Управление
доступом к данным. Основные типы политики безопасности управления доступом к
данным: дискреционная и мандатная политика безопасности.
Анализ способов нарушений
безопасности. Таксономия нарушений информационной безопасности вычислительной
системы и причины, обуславливающие их существование.
Тема
4.
Программно-технические методы защиты
Общее представление о структуре
защищенной информационной системы. Особенности современных информационных
систем, факторы влияющие на безопасность
информационной системы. Понятие информационного сервиса безопасности. Виды
сервисов безопасности.
Идентификация и
аутентификация. Парольные схемы аутентификации. Симметричные схемы
аутентификации субъекта. Несимметричные схемы аутентификации (с открытым ключом).
Аутентификация с третьей доверенной стороной (схема Kerberos).
Токены, смарт-карты, их применение. Использование
биометрических данных при аутентификации пользователей.
Сервисы управления доступом.
Механизмы доступа данных в операционных системах, системах управления базами
данных. Ролевая модель управления доступом.
Протоколирование
и аудит. Задачи и функции аудита. Структура
журналов аудита. Активный аудит, методы активного аудита.
Обеспечение защиты корпоративной
информационной среды от атак на информационные сервисы. Защита
Интернет-подключений, функции и назначение межсетевых экранов. Понятие
демилитаризованной зоны. Виртуальные частные сети (VPN), их назначение и
использование в корпоративных информационных системах.
Защита данных и сервисов от
воздействия вредоносных программ. Вирусы, троянские программы. Антивирусное
программное обеспечение. Защита системы электронной почты. Спам,
борьба со спамом.
Тема
5.
Криптографические методы защиты
Методы криптографии. Средства
криптографической защиты информации (СКЗИ). Криптографические преобразования.
Шифрование и дешифрование информации.
Причины нарушения безопасности
информации при ее обработке СКЗИ (утечки информации по техническому каналу, неисправности
в элементах СКЗИ, работа совместно с другими программами).
Использование криптографических средств для решения задач идентификация и аутентификация.
Электронная цифровая подпись (ЭЦП),
принципы ее формирования и использования. Подтверждение подлинности объектов и
субъектов информационной системы.
Контроль за
целостностью информации.
Хэш-функции, принципы использования хэш-функций для обеспечения целостности
данных.
Тема
6.
Организационно-правовые методы информационной безопасности
Основные нормативные руководящие
документы, касающиеся государственной тайны, нормативно-справочные документы.
Назначение и задачи в сфере обеспечения информационной безопасности на уровне
государства. Особенности сертификации и стандартизации криптографических услуг.
Законодательная база информационной безопасности. Место информационной
безопасности экономических систем в национальной безопасности страны. Концепция
информационной безопасности.
Тема
7.
Роль стандартов в обеспечении информационной безопасности
Роль стандартов информационной
безопасности. Квалификационный анализ уровня безопасности.
Критерии безопасности компьютерных
систем министерства обороны США (“Оранжевая книга”). Базовые требования безопасности:
требования политики безопасности, требования подотчетности (аудита), требования
корректности. Классы защищенности компьютерных систем. Интерпретация и развитие
Критериев безопасности.
Руководящие документы Гостехкомиссии России. Структура требований безопасности.
Основные положения концепции защиты средств вычислительной техники от
несанкционированного доступа (НСД) к информации. Показатели защищенности
средств вычислительной техники от НСД. Классы защищенности автоматизированных систем.
Международные стандарты информационной безоапсности. Стандарт
ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» («Единые
критерии»). Основные положения Единых критериев. Функциональные требования и
требования доверия. Понятие Профиля защиты и Проекта защиты.
Тема
8.
Технологии построения защищенных систем
Использование защищенных
компьютерных систем. Общие принципы построения защищенных систем. Иерархический
метод разработки защищенных систем. Структурный принцип. Принцип модульного программирования.
Исследование корректности
реализации и верификации автоматизированных систем. Спецификация требований
предъявляемых к системе.
Основные этапы разработки
защищенной системы: определение политики безопасности, проектирование модели
ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной
политике безопасности.
ЛИТЕРАТУРА
Основная:
1. Девянин П.Н., Михальский
О.О. , Правиков Д.И. , Щербаков А.Ю. .
Теоретические основы компьютерной безопасности: учебное пособие для вузов. —
М.: Радио и связь, 2000.
2. Зегжда Д.П. , Ивашко
А.М. . Основы безопасности информационных систем. — М.: Горячая линия – Телеком, 2000.
3. Галатенко В.А. Основы информационной безопасности. Курс лекций.
М.: ИНТУИТюРУ «Интернет-университет Информационных
технологий», 2004.
Дополнительная
5. www.void.ru