Учебная программа курса: «Защита информации с использованием интеллектуальных карт» Программа рассмотрена и одобрена на заседании кс рудн
Вид материала | Учебная программа курса |
СодержаниеТема 2. Профессиональные навыки, умения и знания, приобретаемые в результате изучения курса |
- Учебная программа курса: «Защита интеллектуальной собственности в предпринимательской, 44.8kb.
- Учебная программа курса: «Обеспечение информационной безопасности в кредитно-финансовой, 42.06kb.
- Программа рассмотрена и одобрена на заседании кафедры гуманитарных дисциплин (протокол, 181.08kb.
- Учебная программа курса «Маркетинг в туризме» (базовая), 124.01kb.
- Учебная программа курса «Реклама и pr в международном туризме» (базовая), 116.17kb.
- Учебная программа курса «Основы геополитики и геостратегии» (базовая) Для студентов, 81.25kb.
- Учебная программа: (рабочий вариант) по курсу «Базы данных», 175.91kb.
- Рабочая учебная программа элективного курса «политическая психология» для специальностей:, 152.46kb.
- Учебная программа курса «История развития международного туризма» (базовая), 225.48kb.
- Рабочая программа элективного курса по русскому языку «За страницами школьного учебника», 241.63kb.
РОССИЙСКИЙ УНИВЕРСИТЕТ ДРУЖБЫ НАРОДОВ
УТВЕРЖДАЮ
Руководитель ИОП
Ректор
_________________Филиппов В.М.
« »_________________ 2008 г.
УЧЕБНАЯ ПРОГРАММА
Курса: «Защита информации с использованием интеллектуальных карт»
Программа рассмотрена и одобрена на заседании
КС РУДН
Протокол №____от «...»_ноября_____2008 г.
Раздел I. Общее описание курса «Защита информации с использованием интеллектуальных карт»
Тема 1. Цели и задачи курса:
Курс предназначен для изучения научно-методических основ применения технологии интеллектуальных карт (ИК) в компьютерных системах и особенностей обеспечения безопасности информации с использованием ИК.
Курс предназначен для подготовки студентов по программам бакалавриата по направлению 550200 (220200) «Автоматизация и управление». Курс или отдельные его элементы также могут быть полезны для группы специальностей по направлению «Информационно-вычислительная техника и информационные технологии».Он также может быть рекомендован для использования в качестве факультативного курса или курса по выбору в учебной программе подготовки специалистов по специальностям 090102 (075200) – «Компьютерная безопасность» и 090105 (075500) – «Комплексное обеспечение информационной безопасности автоматизированных систем».
От студентов, изучающих предлагаемый курс, требуется предварительное изучение курса «Основы информационной безопасности», «Современная прикладная криптография». Желательно также знакомство с курсом «Открытые системы» или другим аналогичным курсом, служащим введением в системный подход к описанию функциональности и модельное представление ИТ-систем.
Тема 2. Профессиональные навыки, умения и знания, приобретаемые в результате изучения курса
В результате изучения курса студенты должны:
“Иметь представление”:
- об основных элементах технологии ИК;
- об основных направлениях обеспечения информационной безопасности технологии ИК и систем, построенных на их основе;
- о принципах функционирования банковских платежных систем на базе ИК.
“Знать”:
- основные компоненты и уровни технологии ИК;
- основные стандарты и иные нормативно-технические документы, касающиеся функциональных, аппаратных и программных составляющих технологии ИК;
- подходы к обеспечению информационной безопасности ИК.
“Уметь”:
- применять системный подход к обеспечению информационной безопасности ИК;
- выявлять угрозы и уязвимости информационной безопасности информации и прикладных программ, использующих ИК;
- грамотно применять международные и российские стандарты при проектировании и эксплуатации систем на основе ИК;
- применять современные методы и средства для обеспечения информационной безопасности ИК.
“Владеть”:
- терминологией в области ИК;
- навыками анализа угроз и уязвимостей в технологии ИК;
- приёмами проектирования алгоритмов с учётом особенностей технологии ИК и способами их программной реализации.
Раздел II. Программа курса
Тема 1. Учебный тематический план курса
Виды пластиковых карт и особенности их применения. Предпосылки возникновения отрасли ИТ, связанной с созданием пластиковых карт. Классификация пластиковых карт. Карты с магнитной полосой. Полупроводниковые карты. Карты с логической схемой. Карты-счётчики. Карты с памятью. Гибридные карты.
Основные понятия и определения. Элементы технологии ИК. Физическая конфигурация пластиковых карт. Принципы хранения данных на пластиковых картах. Понятия модуля, интерфейса и протокола. Тракт передачи данных. Устройства доступа к картам. Экономические характеристики карт.
Микропроцессорные карты (смарт-карты, интеллектуальные карты). Контактные и бесконтактные карты. Карты с двойным интерфейсом. «Близкодействующие» бесконтактные карты. Бесконтактные карты удалённого взаимодействия. Активные и пассивные карты. Сферы применения различных типов пластиковых карт: удостоверение личности, платёжное средство, сбор и хранение персональных данных владельца карты, обеспечение анонимности владельца. Некоторые другие типы устройств для индивидуальных банковских расчётов.
Аппаратное обеспечение ИК. Основные технические характеристики ИК. Аппаратное, программное и информационное обеспечение ИК. Состав и конфигурация устройств на микросхеме, вмонтированной в ИК. Центральный процессор. Виды памяти: ROM, RAM, EPROM, EEPROM. Общая шина. Интерфейсные схемы. Схемы синхронизации стартовые цепи. Подача питания на карту. Конфигурация контактной площадки. Пример: российская интеллектуальная карта «РИК». Демонстрация процесса взаимодействия ИК с устройством доступа.
Архитектура интеллектуальных карт. Понятие архитектуры. Архитектура и функциональная структура ИК. Системный подход к описанию функциональности ИК. Аппаратная организация ИК. Микропроцессорная система с общей шиной. Организация доступа к памяти. Технические особенности реализации микропроцессорной системы ИК. Типичные технические характеристики ИК. Операционная система ИК. Прикладное ПО на ИК.
Программное обеспечение ИК. Карточные операционные системы. Пример: операционная система COS. Функции операционной системы ИК. Сравнение с компьютерными операционными системами. Структура файлов и каталогов. Организация доступа прикладных программ к данным.
Организация файловой системы ИК. Зонный и иерархический методы организации файловой системы. Форматы файлов, используемые в ИК. Методы обеспечения физической безопасности ИК и защиты от подделки. Организация обмена данными с устройствами доступа. Особенности устройства многофункциональных (мультиаппликационных) ИК. Физические и технические методы атак на ИК.
Функции защиты информации ИК. Требования к алгоритмическому обеспечению средств защиты информации ИК. Оценка уровня защищённости ИК. Международный стандарт ISO/IEC 15408: функциональные требования и требования доверия к безопасности, «Профиль Защиты» и «Задание по Безопасности» для ИТ-продукта. Спецификация функций обеспечения безопасности ИК. Спецификация требований к жизненному циклу (ЖЦ) ИК. Примеры «Профилей Защиты» и «Заданий по Безопасности» для ИК и программных продуктов, использующих ИК. Оценка защищённости аппаратных криптографических модулей. Американский стандарт FIPS 140.2.
Реализация криптографических алгоритмов и протоколов на интеллектуальных картах. Особенности применения криптографических алгоритмов на ИК. Классификация криптографических схем. Задачи аутентификации. Двухступенчатая аутентификация: аутентификация держателя карты, аутентификация ИК для устройства доступа. Методы аутентификации физических лиц. Логическая аутентификация. Аутентификация по паролю. PIN-коды. Биометрическая аутентификация. Аутентификация методом «запрос – ответ». Стандарт ISO/IEC 9798.
Инструментальные средства разработки прикладных программ для ИК. Обзор инструментальных средств разработки прикладных программ для ИК. Состав функций интерфейса прикладного программирования (ИПП). Особенности разработки и отладки прикладных программ для ИК.
Вероятностные доказательства (краткие сведения). Интерактивные системы доказательства. Доказательства с нулевым разглашением знания. Доказательства знания, их применение для аутентификации ИК. Протоколы Фиата – Шамира, Файге – Фиата – Шамира, Шнорра, Guillou – Quisquater.
Особенности реализации криптографических алгоритмов и протоколов на ИК: протоколы аутентификации. Сравнение различных видов протоколов аутентификации держателя карты и карты для устройства доступа. Расчётный пример анализа вычислительной и коммуникационной сложности протокола аутентификации на основе доказательств с нулевым разглашением знания.
Шифрование данных, хранящихся на ИК и (или) обрабатываемых прикладными программами ИК. Взаимосвязь скорости шифрования и стойкости алгоритма. Управление ключами шифрования. Иерархическая ключевая система. Протоколы удалённого шифрования с ключом, хранящимся на ИК.
Особенности реализации криптографических алгоритмов и протоколов на ИК: схемы шифрования данных. Варианты реализации алгоритмов шифрования на ИК: программная и аппаратная реализация. Сравнительная оценка сложности аппаратной и программной реализаций алгоритма (на примере ГОСТ 28147-89). Реализация алгоритмов шифрования в условиях ограничений на объём памяти. Требования к ключам шифрования.
Аутентификация данных на ИК. Методы статической и динамической аутентификации. Реализация схем электронной цифровой подписи (ЭЦП) на ИК. Схемы ЭЦП, основанные на протоколах аутентификации. Специальные схемы цифровой подписи (на примере ESIGN). Схемы ЭЦП на базе эллиптических кривых. Особенности реализации отечественной схемы цифровой подписи ГОСТ Р 34.10-2001. Сравнение с американским стандартом.
Понятие управления криптографическими ключами. Задачи управления ключами. Стандарт ISO/IEC 11770. Понятие жизненного цикла (ЖЦ) ключа. Особенности ЖЦ ключей, хранящихся на ИК. Возможности повышения стойкости криптосистемы с использованием преимуществ, даваемых ИК. Схемы выработки и распространения криптографических ключей с использованием ИК. Методы ускорения выполнения криптографических операций на ИК: выбор математического аппарата преобразований, аппаратное ускорение операций, перенос части операций на внешние устройства. Удалённое выполнение криптографических операций с ключом, хранящимся на ИК.
Варианты реализации алгоритмов генерации и проверки цифровой подписи на ИК: программная и аппаратная реализация. Сравнительная оценка сложности аппаратной и программной реализаций алгоритма (на примере ГОСТ Р 34.10-2001). Реализация алгоритмов генерации цифровой подписи в условиях ограничений на объём памяти. Применение метода предварительных вычислений. Требования к ключам цифровой подписи.
Международная стандартизация интеллектуальных карт. Определение стандарта. Роль и функции стандартов в ИТ. Классификация стандартов. Стандарты де-юре и де-факто. Международные и национальные организации, ведущие работу в области стандартизации. Организационная структура международной системы стандартизации. Стандартизация устройства, функционирования и обеспечения безопасности интеллектуальных карт. Системообразующие стандарты ISO. Промышленные стандарты и спецификации.
Управление криптографическими ключами ИК. Основные фазы жизненного цикла криптографических ключей: генерация, распространение, хранение, уничтожение. Задачи обеспечения безопасности ключей: конфиденциальность, целостность, доступность. Протоколы распределения ключей. Транспортировка ключей. Обмен ключами. Примеры протоколов, «удобных» и «неудобных» для реализации на ИК.
Международная стандартизация интеллектуальных карт. Стандарты ISO для идентификационных карт (карт с интегральной микросхемой): ISO/IEC 7816. Стандарты для бесконтактных карт: ISO 10536, ISO 14443, ISO 15693. Стандарты ISO по картам для финансовых транзакций: ISO 10202, ISO 9992, ISO 9564, ISO 11568, ISO 13491. Стандарты ISO по криптографическим методам и алгоритмам, используемым в ИК (краткий обзор). Стандарты других организаций: спецификация EMV, спецификация PC/SC, спецификация Open Card Framework.
Распространение открытых ключей в системах с использованием ИК. Развёртывание инфраструктуры открытых ключей (ИОК). ИОК в многодоменных (иерархических) системах. Форматы сертификатов открытых ключей и списков аннулированных сертификатов. Стандарт ITU X.509.
Интеллектуальные карты в банковском деле. Основные понятия, связанные с банковскими платёжными системами на базе ИК: процессинговый центр, клиринговый центр, эмитент, центр авторизации, эквайер, продавец, владелец карты. Общая схема функционирования платёжной системы. Централизованные, автономные и полуавтономные системы. Схема совершения транзакции в централизованной платёжной системе. Протокол ISO/IEC 8583. Управление криптографическими ключами в платёжной системе. Ключевая система. Распределение криптографических ключей по картам участников системы.
Международные стандарты на ИК. Виды и типы стандартов, их статус. Стандартизация как важнейший аспект инженерного проектирования сложных изделий и систем. Стандарты в практике работы проектировщиков и эксплуатационников ИТ-систем с ИК. Различие стандартов и реализующих их технологий.
Жизненный цикл ИК в платёжной системе. Производство. Доставка покупателю. Эмиссия (выпуск в обращение). Персонализация. Передача клиенту. Эксплуатация в системе. Вывод из эксплуатации. Уничтожение. Связь ЖЦ криптографических ключей с ЖЦ интеллектуальной карты.
Спецификация EMV. Стандарты для микропроцессорных карт. Общие положения спецификации EMV. Архитектура микросхемы. Коммуникационные протоколы. Методы физической защиты карты от подделки. Механизмы защиты информации. Управление криптографическими ключами. Методы аутентификации данных на ИК в соответствии со спецификацией: SDA, DDA, CDA. Особенности механизма проведения транзакций по ИК в соответствии со спецификацией. Переход на стандарт EMV.
Правовые основы деятельности платёжных систем с использованием ИК. Положение ЦБ РФ 266-П “Об эмиссии банковских карт и об операциях, совершаемых с их использованием”. Угрозы безопасности банка. Отечественный и зарубежный опыт эксплуатации автоматизированных банковских систем с платёжными системами, использующими ИК. Стоп-листы. Претензионная работа. Квалификация противоправных деяний с использованием ИК. Судебная практика.
Стандарт PCI DSS. Назначение стандарта. Основные требования стандарта: построение и поддержание безопасной сети, защита данных держателей карт, программа управления уязвимостями, реализация строгих мер контроля доступа, регулярный мониторинг и тестирование сетей, поддержание политики информационно безопасности. Сертификация по стандарту.
Особенности технологии обеспечения безопасности банковских карт. Стандарт Банка России СТО-БР ИББС 2006. Требования и операционные правила международных платежных систем. Обеспечение информационной безопасности на различных уровнях технологии. Определение мошеннической операции. Квалификация видов мошенничества по критериям международных платежных систем VISA и MasterCard. Правовая характеристика противоправных действий с использованием банковских карт. Системы мониторинга транзакций. Экономический аспект безопасности.
Программы безопасности международной платёжной системы VISA: Fraud Reporting System (FRS), Risk Identification Service (RIS), National Merchant Alert Service (NMAS). Программы безопасности международной платёжной системы MasterCard: System to Avoid Fraud Effectively (SAFE), Member Alert to Control High-Risk (MATCH), Risk Assessment Management Program (RAMP).
Информационная безопасность международных платёжных систем. Международные платёжные системы VISA, MasterCard, EuroPay, Maestro и др. Правовые основы их деятельности в России. Развитие платежей в сети Интернет. Классификация систем электронных платежей. Автономные системы и системы реального времени. Анонимные и неанонимные платёжные системы. Основные требования по обеспечению безопасности электронных платежей в Интернет. Спецификация SET. Применение инфраструктуры открытых ключей в спецификации SET. Примеры других платёжных систем.