Программа дисциплины по кафедре Экономическая кибернетика информационная безопасность
Вид материала | Программа дисциплины |
- Программа дисциплины по кафедре «Экономическая кибернетика» специальностей «Математические, 195.68kb.
- Программа дисциплины по кафедре «Экономическая кибернетика» организация и планирование, 238.78kb.
- Программа дисциплины по кафедре «Экономическая кибернетика» основы управленческого, 356.46kb.
- Программа дисциплины по кафедре «Экономическая кибернетика» для специальности «Математические, 205.71kb.
- Программа дисциплины по кафедре Экономическая кибернетика информационная система, 237.14kb.
- Программа дисциплины по кафедре Экономическая кибернетика экономическая информатика, 271.22kb.
- Программа дисциплины по кафедре Экономическая кибернетика логистика, 167.77kb.
- Программа дисциплины по кафедре «Экономическая кибернетика» разработка пакета прикадных, 252.14kb.
- Программа дисциплины по кафедре "Экономическая кибернетика" Статистика, 411kb.
- Программа дисциплины по кафедре "Экономическая кибернетика" Статистика, 459.37kb.
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
Государственное образовательное учреждение высшего профессионального образования
Тихоокеанский государственный университет
-
Утверждаю
Проректор по учебной работе
______________ С.В. Шалобанов
“_____” ________________200_ г.
Программа дисциплины
по кафедре Экономическая кибернетика
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Утверждена научно-методическим советом университета для направлений подготовки (специальностей) в области экономики и управления
Специальность – «Прикладная информатика в экономике»
Хабаровск 2006 г.
Программа разработана в соответствии с требованиями государственного образовательного стандарта, предъявляемыми к минимуму содержания дисциплины и других стандартов с учетом особенностей региона и условий организации учебного процесса Тихоокеанского государственного университета.
Программу составил (и)
| Богомолов О.Д. | | канд.экон.наук, кафедра «ЭК» | ||
---|---|---|---|---|---|
| | | | ||
| | | | ||
| Ф.И.О. автора (ов) | Ученая степень, звание, кафедра | |||
| | ||||
Программа рассмотрена и утверждена на заседании кафедры протокол № ______ от «____»__________________ 200_г | |||||
Зав.кафедрой__________«__»______200_г | Пазюк К.Т. | ||||
Подпись дата | Ф.И.О. | ||||
| | ||||
Программа рассмотрена и утверждена на заседании УМК и рекомендована к изданию протокол № ______ от «____»_____________ 200_г | |||||
Председатель УМК _______«__»_______ 200_г | Корнилов А.М. | ||||
Подпись дата | Ф.И.О. |
Директор института _______«__»_______ 200_г | Зубарев А.Е. |
(декан факультета) Подпись дата | Ф.И.О. |
1 Цели и задачи дисциплины
Информатик-экономист должен обеспечить информационную безопасность функционирования определенной информационной системы или ее части с учетом ее внутренних и внешних связей и взаимодействий. Поэтому в его представлении состав необходимых профессиональных знаний определен особенностями организации этой системы и предъявляемыми требованиями. С другой стороны такой состав знаний формируется преподавателем по дисциплине на основе его понимания содержания дисциплины.
Поскольку дисциплина изучается с учетом специализации (системы в бухгалтерском учете и в промышленности), во взаимосвязи с остальными экономическими дисциплинами и в соответствии с требованиями Государственного образовательного стандарта по специальности, то определить ее место и роль с позиций непрерывности и преемственности на основе положений современной экономической науки можно только после исследования ее основных существенных особенностей.
Анализ сущности организации обработки экономической информации устанавливает место всех выполняемых работ и определяет задачи: совершенствование вида экономической деятельности, например, бухгалтерского учета, на основе методов информатики и средств вычислительной техники. Такая постановка коренным образом отличает экономистов от представителей технических направлений, для которых указанные вопросы, как правило, относятся к самому виду экономической деятельности, например, к бухгалтерскому учету.
Преподаватель ТОГУ, которому будет поручено вести эту дисциплину, должен будет сделать свой выбор в части определения ее предмета, чтобы обеспечить требуемое качество подготовки специалистов с учетом собственных способностей. При этом, однако, выбор любого преподавателя должен базироваться на общей оценке состояния и перспектив развития процесса информатизации в экономике. На основе последней и разработаны стандарты и учебники по всем дисциплинам.
Если он не обладает многолетним опытом экономической работы, и, вследствие этого, пониманием сущности и содержания экономических проблем, то он может вести общий курс информационной безопасности с более глубоким и детальным рассмотрением общих принципов и проблем организации. Тогда дисциплина будет технической по своему содержанию с примерами из практики экономической деятельности. Такой же подход допустим при отсутствии возможности практического изучения использования решений по информационной безопасности в корпоративных системах и сетях.
В хозяйстве нашей страны в сфере бухгалтерского учета требования к своевременности поступления и к достоверности информации длительное время определяли подчинение методологии учета форме учета или, по определению проф. Волкова С.И., технологии обработки информации. Создаваемые централизованные бухгалтерии, машиносчетные станции, фабрики механизированного счета, вычислительные центры на базе ЭВМ первых трех поколений, в сущности, отделяли информационную функцию и информационный процесс от остальных функций: методологической, аналитической, организационной, коммуникационной и других. Это позволяло осуществлять формализацию и алгоритмизацию данного процесса и обеспечивало повышение производительности вычислительной установки (МСС, ФМС, ВЦ). Лишение пользователей возможности существенно влиять на процесс обработки информации улучшало, как многим казалось, качество информации и повышало экономическую эффективность. Однако вместо проектного повышения экономической эффективности практически повсеместно имело место ее снижение и ухудшение качества информации, что отражалось в многочисленных претензиях к обработке данных со стороны бухгалтеров и в расчетах фактической эффективности.
Нарушалась нормальная работа с документами в бухгалтериях и в учетно-контрольных группах, игнорировались методологические принципы бухгалтерского учета, искажалась его сущность. Под прикрытием декларированного повышения экономической эффективности в ряде регионов возросли масштабы злоупотреблений служебным положением и хищений ресурсов. Таким образом, стремление к формализации и алгоритмизации всех процессов, а также принижение роли пользователя привели к тому, что к 1985 году наша страна уже отставала в сфере обработки экономической информации от развитых стран приблизительно на 10 лет, тогда как в 1975 году такого отставания не было.
Указанные причины послужили основанием создания новых методов обработки информации, которые не отменяли традиционные, а являлись необходимым дополнением к ним. Такие новые методы, уже в современных условиях, реализуются не только в решениях для бухгалтерского и управленческого учета фирмы «1С», но и в приложениях Excel, Access, MS Office в целом.
Таким образом, преподаватель ТОГУ, рассматривая всю дисциплину как направленную на повышение качества и уровня технологий построения защищенных экономических информационных систем (ЭИС), должен рассматривать в системах корпоративного управления применение указанных средств. Как наиболее серьезные, связанные приблизительно с 70% потерь в ЭИС, должны рассматриваться вопросы деятельности пользователей. Тогда преподавателю ТОГУ придется решать проблемы, связанные с фактическим отсутствием указанных материалов в учебниках для вузов, написанных не по экономическому, а по техническому направлению. Деятельность пользователей рассматривается как работа в Internet, а весь математический аппарат полностью применим для технических средств связи и обработки информации.
В этом случае он может воспользоваться материалами по обеспечению безопасности для Microsoft SQL Server 2005, широко публикуемыми и рассматриваемыми в издаваемой литературе и размещаемыми в Internet. Данная СУБД является основой ЭИС и изучение технологий построения защищенных ЭИС на ее основе будет соответствовать образовательному стандарту. Другие положения и требования ГОСа в части рассматриваемой дисциплины (основные нормативные государственные документы, касающиеся государственной тайны, вопросы национальной безопасности) занимают, в относительной оценке, больше места в тексте самого стандарта, чем в составе дисциплины.
Целью преподавания дисциплины является формирование у студентов знаний, умений и практических навыков решения проблем организации подсистемы информационной безопасности в корпоративных системах и сетях, обоснования и выбора вариантов решений на основе понимания основных методов, используемых в средствах защиты данных, и на основе представлений о возможностях современных технологических решений.
В соответствии с ГОС и поставленной целью задачами дисциплины являются:
- изучение основных понятий и принципов информационной безопасности;
- изучение основных нормативных материалов по информационной безопасности;
- изучение принципов организации подсистемы информационной безопасности;
- изучение методов криптографии;
- изучение технологий защиты информационных ресурсов в ЭИС.
2 Требования к уровню освоения содержания дисциплины
В результате изучения дисциплины в соответствии с ГОС студент должен:
- знать принципы обеспечения информационной безопасности;
- знать основные нормативные положения, документы, стандарты и требования по защите информации в экономических системах;
- знать методы и процедуры выявления угроз безопасности информации на объектах информатизации в экономике;
- знать особенности организации подсистемы информационной безопасности;
- знать содержание и условия применения основных методов криптографии;
- знать распространенные (типовые) и перспективные технологии защиты информационных ресурсов в ЭИС;
- уметь определить состояние подсистемы информационной безопасности и отдельных средств защиты и дать объективную оценку;
- уметь организовывать работы по выявлению угроз безопасности информации на объектах информатизации в экономике;
- уметь выбирать средства защиты информации;
- уметь организовывать и выполнять работы по созданию, эксплуатации и развитию подсистемы информационной безопасности на всех стадиях ее жизненного цикла;
- иметь представление о способах и средствах реализации угроз безопасности информации и их источниках;
- иметь представление об используемых и перспективных методах, в том числе о методах криптографии.
3 Объем дисциплины и виды учебной работы
Таблица 1 – Объем дисциплины и виды учебной работы
Наименование | По учебным планам (УП) | |
С максимальной трудоемкостью | С минимальной трудоемкостью | |
Общая трудоемкость дисциплиныпо Гос по УП | 187 170 | |
Изучается в семестрах | 8 | |
Вид итогового контроля пот семестрамЗачет экзамен Курсовой проект (КП) Курсовая работа (КР) Расчетно-графические работы (РГР) Реферат (РФ) Домашние задания (ДЗ) | 8 8 | |
Аудиторные занятия: Всего В том числе: лекции (Л) Лабораторные работы (ЛР) Практические занятия (ПЗ) | 85 34 17 34 | |
Самостоятельная работаобщий объем часов (С2) В том числе на подготовку к лекциямна подготовку к лабораторным работамна подготовку к практическим занятиям на выполнение (КР) на выполнение РГР на написание РФ на выполнение ДЗ | 85 17 34 34 | |
4 Содержание дисциплины
4.1 Разделы дисциплины и виды занятий и работ
Таблица 2 – Разделы дисциплины и виды занятий и работ
№ | Раздел дисциплины | Л | ЛР | ПЗ | С2 |
1 | Введение | * | | | * |
2 | Основные понятия и принципы информационной безопасности | * | * | * | * |
3 | Основные нормативные материалы по информационной безопасности | * | | | * |
4 | Принципы организации подсистемы информационной безопасности | * | | | * |
5 | Методы криптографии | * | * | * | * |
6 | Технологии защиты информационных ресурсов в ЭИС | * | * | * | * |
4.2 Содержание разделов дисциплины
4.2.1 Введение
Общая характеристика состояния и развития теории информационной безопасности как совокупности знаний. Место и роль учебной дисциплины в овладении студентами знаниями, умениями и навыками, необходимыми им в профессиональной деятельности, место дисциплины в межпредметных логических связях.
Определение предмета, целей и задач читаемого определенному потоку курса «Информационная безопасность».
4.2.2 Основные понятия и принципы информационной безопасности
Понятие информационной безопасности. Защита информации. Основные механизмы безопасности.
Ценность информации как фактор, требующий ее защиты в рыночной экономике. Основные понятия ИБ. Конфиденциальность, целостность, достоверность, юридическая значимость информации. Целостность ресурса или компонента системы.
Основы построения защищенных ЭИС: защищенные коды экономической информации.
Угрозы безопасности для информационной системы. Классификация угроз и их основные особенности. Характеристика угроз безопасности с использованием данных статистики и результатов анализа функционирования современных систем.
Основные понятия ИБ. Политика безопасности. Атаки на информационные ресурсы: классификация, методы и технология. Принципы защиты информации от несанкционированнного доступа. Модели ИБ и защита информации, политика защиты информационных ресурсов.
4.2.3 Основные нормативные материалы по информационной безопасности
Общая характеристика нормативно-правовых основ ИБ.
Сертификация и стандартизация в процессе защиты информационных ресурсов.
Нормативные документы по защите информации.
Стандарты ГОСТ.
Стандарты ISO.
4.2.4 Принципы организации подсистемы информационной безопасности
Internet, электронный бизнес и основные проблемы безопасности КИС.
Модель угроз безопасности КИС.
Модель противодействия угрозам безопасности КИС.
Принципы и методы построения подсистемы информационной безопасности КИС.
Методы адаптивного управления информационной безопасностью.
4.2.5 Методы криптографии
Введение в криптографическую защиту информации. Основные понятия и определения.
Классификация средств криптографической защиты информации.
Симметричные криптосистемы. Основные понятия. Классическая сеть Фейстеля. Блочные алгоритмы шифрования данных.
Асимметричные криптосистемы. Основные понятия. Модель асимметричной RSA-криптосистемы. Процедуры шифрования и расшифрования в RSA-криптосистеме.
Отечественный стандарт шифрования данных. Стандарты DES и AES.
Основные свойства и процедуры электронной цифровой подписи. Принципы построения системы электронной цифровой подписи RSA. Характеристика основных процедур системы электронной цифровой подписи RSA.
Идентификация и аутентификация. Основные понятия и классификация средств и процессов.
4.2.6 Технологии защиты информационных ресурсов в ЭИС
Методы использования форматированных сообщений и макетов в распределенных системах сбора и обработки экономической информации.
Методы и средства защиты информации в MS SQL Server.
Характеристика уязвимостей КИС по уровням ее стандартной организации: Excel и MS Query; MS SQL Server и Access; Windows NT; TCP/IP.
Особенности политики безопасности в Windows2000 и WindowsXP. Управление доступом при работе с прикладными программами.
Свойства Internet Explorer.
Характеристика комплекса стандартов IPSec.
Компьютерные вирусы как специальный класс самопродуцирующихся программ. Классификация вирусов. Средства антивирусной защиты.
Методы организации защищенных ЭИС на основе использования технологий защиты информационных ресурсов. Концепция построения виртуальных частных сетей VPN. Туннелирование.
Функции и компоненты сети VPN. Средства VPN.
Варианты построения защищенных каналов VPN.
Сервисы безопасности сети VPN.
Классификация виртуальных частных сетей VPN.
Основные варианты VPN-решений для построения защищенных корпоративных систем. VPN на базе сетевых операционных систем. VPN на базе маршрутизаторов. VPN на базе межсетевых экранов.
VPN – продукты ЗАСТАВА.
Протокол SOCKS. Функции SOCKS – сервера.
Способы защиты информации в технологиях ISDN и Frame Relay. Средства X.25 – сетей.
5 Лабораторный практикум
Таблица 3 –Лабораторный практикум
№ п/п | № раздела дисциплины | Наименование лабораторной работы |
1 | 2 | 3 |
1 | 1 | Основы построения защищенных ЭИС |
2 | 4 | Исследование свойств симметричных криптосистем. |
3 | 4 | Разработка симметричных криптоалгоритмов |
4 | 4 | Исследование свойств асимметричных криптосистем. |
5 | 5 | Обеспечение информационной безопасности в Windows |
Краткие характеристики лабораторных работ
ОСНОВЫ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ ЭИС
Задание: Разработать и реализовать в макетном варианте систему автоматизированной подготовки решений по использованию защищенных кодов экономической информации с контролем по модулю N.
Исполнение: Один объект (наименование) представляют в пяти- и в десятизначном десятичных кодах с различным составом фасетов. Определяют временные параметры ввода кодовых обозначений в автоматическом и в автоматизированном режимах. Для произвольных наборов весовых коэффициентов рассчитывают контрольные числа.
Для исследования защищенности для каждого кода формируют несколько ошибочных вариантов верного кодового обозначения с ошибками ввода данных всех видов. Разрабатывают модель системы контроля информации по модулю N и модель системы контроля функционирования указанной системы контроля информации по модулю N. Осуществляют обработку диагностики прохождения ошибочных вариантов, сбоев при вводе корректных вариантов и неопределенных (недиагностируемых) ситуаций. Статистически оценивают качество подлежащих реализации решений и стремятся их улучшить, варьируя весовые коэффициенты. По совокупности параметров выбирают лучший код.
Лабораторная установка: : Персональный компьютер с ОС Windows, сервер с Windows Server, MS Office, MS SQL Server 2005.
Оценка: Рассматривают угрозы информационной безопасности вследствие действий пользователя и место элементов подсистемы информационной безопасности, изучают элементы математического аппарата.
Время выполнения работы – 4 часа.
ИССЛЕДОВАНИЕ СВОЙСТВ СИММЕТРИЧНЫХ КРИПТОСИСТЕМ
Задание: Исследовать особенности функционирования симметричной криптосистемы в целом на основе изученного криптоалгоритма, место и роль каждого из ее элементов, ключи, угрозы, процедуры отправителя и получателя, действия злоумышленника.
Исполнение: Разрабатывают и реализуют модель симметричной криптосистемы, визуально представляющую элементы криптосистемы с их характеристиками, а также связи между элементами. Рассматривают формирование и передачу открытого текста с использованием варианта совершенного кода со всеми сопряженными процессами и процедурами.
Лабораторная установка: Персональный компьютер с ОС Windows, сервер с Windows Server, MS Office, MS SQL Server 2005.
Оценка: На основе оценки качества системы определяют требования к симметричному криптоалгоритму.
Время выполнения работы – 2 часа.
РАЗРАБОТКА СИММЕТРИЧНЫХ КРИПТОАЛГОРИТМОВ
Задание: Разработать и реализовать симметричный криптоалгоритм с использованием варианта совершенного кода с циклическим сдвигом и использованием таблицы подстановки (1 вариант), разработать и реализовать симметричный криптоалгоритм на основе сети Фейстеля (2 вариант), разработать и реализовать блочный симметричный криптоалгоритм (3 вариант).
Исполнение: Разрабатывают по варианту симметричный криптоалгоритм и реализуют в ранее созданной среде визуализации.
Лабораторная установка: Персональный компьютер с ОС Windows, сервер с Windows Server, MS Office, MS SQL Server 2005.
Оценка: оценивают применимость каждого элемента совокупности средств симметричных криптосистем.
Время выполнения работы – 4 часа.
ИССЛЕДОВАНИЕ СВОЙСТВ АСИММЕТРИЧНЫХ КРИПТОСИСТЕМ
Задание: Исследовать особенности функционирования асимметричной криптосистемы в целом на основе изученного криптоалгоритма, место и роль каждого из ее элементов, ключи, угрозы, процедуры отправителя и получателя, действия злоумышленника.
Исполнение: Разрабатывают и реализуют модель асимметричной криптосистемы, визуально представляющую элементы криптосистемы с их характеристиками, а также связи между элементами. Рассматривают формирование и передачу открытого текста с использованием варианта модульной экспоненты со всеми сопряженными процессами и процедурами.
Лабораторная установка: Персональный компьютер с ОС Windows, сервер с Windows Server, MS Office, MS SQL Server 2005.
Оценка: На основе оценки качества системы определяют требования к асимметричному криптоалгоритму.
Время выполнения работы – 4 часа.
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В WINDOWS
Задание: Выполнить сравнительный анализ возможностей Windows c точки зрения реализации моделей Хартсона, Лэмпсона, Белла-Ла Падула, рассмотреть технологические процедуры.
Исполнение: Для определенной по варианту ситуации исследуют применимость определенной модели.
Лабораторная установка: Персональный компьютер с ОС Windows, сервер с Windows Server, MS Office, MS SQL Server 2005.
Оценка: Оценивают роль и возможности операционной системы, технологически реализующей политику безопасности.
Время выполнения работы – 3 часа.
6 Практические занятия
Таблица 4 – Практические занятия
№ п/п | № раздела дисциплины | Тема практического занятия |
1 | 2 | 3 |
1 | 1 | Основы построения защищенных ЭИС: защищенные коды экономической информации |
2 | 1 | Основы построения защищенных ЭИС: выявление и анализ угроз безопасности информации на объектах информатизации в экономике. |
3 | 1 | Основы построения защищенных ЭИС: элементы математического аппарата. |
4 | 4 | Исследование свойств симметричных криптосистем. |
5 | 4 | Разработка симметричных криптоалгоритмов |
6 | 4 | Исследование свойств асимметричных криптосистем. |
7 | 4 | Разработка криптосистем. |
8 | 5 | Технологии защиты информационных ресурсов в ЭИС |
Краткие характеристики практических занятий
ОСНОВЫ ПОСТРОЕНИЯ ЗАЩИЩЕНННЫХ ЭИС: ЗАЩИЩЕННЫЕ КОДЫ ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИИ
Задание: Разработать систему автоматизированной подготовки решений по использованию защищенных кодов экономической информации с контролем по модулю N.
Исполнение: Один объект (наименование) представляют в пятизначном десятичном коде с произвольным составом фасетов. Определяют временные параметры ввода кодовых обозначений в автоматическом и в автоматизированном режимах. Для произвольного наборов весовых коэффициентов рассчитывают контрольные числа.
Для исследования защищенности формируют несколько ошибочных вариантов верного кодового обозначения с ошибками ввода данных всех видов. Разрабатывают модель системы контроля информации по модулю N и модель системы контроля функционирования указанной системы контроля информации по модулю N. Разрабатывают и применяют методику диагностики прохождения ошибочных вариантов, сбоев при вводе корректных вариантов и неопределенных (недиагностируемых) ситуаций.
Выбирают состав показателей для оценки качества решений. Статистически оценивают качество подлежащих реализации решений и стремятся их улучшить, варьируя весовые коэффициенты. По совокупности параметров выбирают лучший код.
Оценка: На основе сопоставления показателей формируют методику и делают вывод о возможности ее применения.
Время выполнения задания – 4 часа.
ОСНОВЫ ПОСТРОЕНИЯ ЗАЩИЩЕНННЫХ ЭИС:ВЫЯВЛЕНИЕ И АНАЛИЗ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ
Задание: Для системы обмена информацией и информационно-управленческой системы определить уязвимости и угрозы безопасности информации, выполнить их анализ, рассчитать вероятности несанкционированного получения информации, определить требования к системе защиты информации.
Исполнение: Путем рассмотрения возможных качественных состояний элементов решений и взаимодействий в системах с использованием типового перечня угроз определяют источники, природу возникновения и виды угроз на объектах информатизации в экономике. Затем выполняют расчет вероятностей и определяют требования к системе защиты информации.
Оценка: Оценивают методы и процедуры выявления угроз безопасности информации на объектах информатизации в экономике, способы и средства реализации угроз и их источники, методы оценки состояния системы защиты информации.
Время выполнения задания – 4 часа.
ОСНОВЫ ПОСТРОЕНИЯ ЗАЩИЩЕНННЫХ ЭИС: ЭЛЕМЕНТЫ МАТЕМАТИЧЕСКОГО АППАРАТА
Задание: Изучить основные элементы специального математического аппарата, применяемого в системах защиты информации: однонаправленные функции, модульную экспоненту, сложение по модулю N, преобразование и циклический сдвиг кодов. С использованием изученных элементов выполнить процедуры шифрования и расшифрования для варианта совершенного кода
Исполнение: После коллективного рассмотрения примера с разъяснениями преподавателя, самостоятельно применяют типовые методики расчетов.
Оценка: На основе рассмотрения составных частей моделей, применяемых в системах защиты информации, оценивают возможности и формируют навыки использования элементов математического аппарата, необходимого для решения проблем организации системы.
Время выполнения задания – 4 часа.
ИССЛЕДОВАНИЕ СВОЙСТВ СИММЕТРИЧНЫХ КРИПТОСИСТЕМ
Задание: Разработать принципиальную схему и описание модели симметричной криптосистемы для обмена секретной информацией в организации и между произвольными корреспондентами.
Исполнение: С использованием типовой принципиальной схемы и примера ее применения решают задачу организации системы путем сопоставления вариантов.
Оценка: По полученным результатам формируют требования по разработке и использованию симметричных криптоалгоритмов.
Время выполнения задания – 2 часа.
РАЗРАБОТКА СИММЕТРИЧНЫХ КРИПТОАЛГОРИТМОВ
Задание: Разработать симметричный криптоалгоритм с использованием варианта совершенного кода с циклическим сдвигом и использованием таблицы подстановки (1 вариант), разработать симметричный криптоалгоритм на основе сети Фейстеля (2 вариант), разработать блочный симметричный криптоалгоритм (3 вариант).
Исполнение: С использованием изученных элементов математического аппарата, общей принципиальной схемы сети Фейстеля и описания DES, разрабатывают алгоритмы.
Оценка: По полученным результатам делают необходимые для организации системы выводы об особенностях алгоритмов и процессов их разработки.
Время выполнения задания – 6 часов.
ИССЛЕДОВАНИЕ СВОЙСТВ АСИММЕТРИЧНЫХ КРИПТОСИСТЕМ
Задание: Изучить и выполнить процедуры определения секретных чисел и ключей, а также шифрования и расшифрования для асимметричных криптосистем.
Исполнение: С использованием изученных элементов математического аппарата и принципиальной схемы асимметричной криптосистемы последовательно выполняют указанные операции.
Оценка: По полученным результатам формируют необходимые для организации систем выводы.
Время выполнения задания – 6 часов.
РАЗРАБОТКА КРИПТОСИСТЕМ
Задание: Разработать принципиальную схему и описание модели криптосистемы.
Исполнение: На основе анализа изученных типовых принципиальных схем и алгоритмов, а также алгоритмов, разработанных самостоятельно, осуществляют синтез требуемого решения.
Оценка: По полученным результатам формируют выводы, необходимые для проектирования корпоративных систем и сетей.
Время выполнения задания – 4 часа.
ТЕХНОЛОГИИ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ В ЭИС
Задание: Разработать принципиальную схему по защите информации в организации, функционирующей на основе корпоративной сети и Internet.
Исполнение: На основе типового структурного представления организации («центральный офис – филиалы – удаленные структурные подразделения – точки взаимодействия»), рассмотренной среды передачи и обработки информации размещают серверы, центры управления, центры сертификации, межсетевые экраны, маршрутизаторы, карт-ридеры, рабочие станции.
Оценка: По полученным результатам формируют выводы, необходимые для проектирования корпоративных систем и сетей.
Время выполнения задания – 4 часа.
7 Контроль знаний студентов
7.1 Входной контроль
Входной контроль осуществляется в форме устного опроса перед изучением соответствующих разделов дисциплины. Тематическое содержание входного контроля составляют разделы следующих дисциплин:
- теория экономических информационных систем;
- информационные технологии;
- проектирование информационных систем;
- информатика.
7.2 Текущий контроль
Текущий контроль знаний осуществляется в процессе выполнения и защиты лабораторных работ путем индивидуального и группового опроса, собеседования и тестового контроля в системе АСТ. Результаты текущего контроля знаний учитываются при промежуточной аттестации.
Тематическое содержание текущего контроля составляют:
- основы построения защищенных ЭИС;
- исследование свойств симметричных криптосистем;
- разработка симметричных криптоалгоритмов;
- исследование свойств асимметричных криптосистем;
- разработка криптосистем;
- технологии защиты информационных ресурсов в ЭИС;
- обеспечение информационной безопасности в Windows.
7.3 Выходной контроль
Выходной контроль знаний осуществляется в форме зачета и экзамена по дисциплине.
В программу экзамена по дисциплине включены следующие вопросы:
1.Понятие информационой безопасности. Защита информации. Основные механизмы безопасности.Ценность информации как фактор, требующий ее защиты в рыночной экономике.
2. Основные понятия ИБ. Конфиденциальность, целостность, достоверность, юридическая значимость информации. Целостность ресурса или компонента системы.
3. Угрозы безопасности для информационной системы. Классификация угроз и их основные особенности.
4. Основные понятия ИБ. Политика безопасности.
5. Характеристика угроз безопасности с использованием данных статистики и результатов анализа функционирования современных систем.
6. Атаки на информационные ресурсы: классификаия, методы и технология.
7. Общая характеристика нормативно-правовых основ ИБ.
8. Сертификация и стандартизация в процессе защиты информационных ресурсов. Нормативные документы по защите информации.
9. Принципы защиты информации от несанкционированнного доступа. Модели ИБ и защита информации.
10. Политика защиты информационных ресурсов.
11. Internet, электронный бизнес и основные проблемы безопасности КИС.
12.Модель угроз безопасности КИС.
13. Модель противодействия угрозам безопасности КИС.
14. Принципы и методы построения подсистемы информационной безопасности КИС.
15. Введение в криптографическую защиту информации. Основные понятия и определения.
16. Классификация средств криптографической защиты информации.
17. Симметричные криптосистемы. Основные понятия.
18. Симметричные криптосистемы. Классическая сеть Фейстеля.
19. Блочные алгоритмы шифрования данных.
20. Отечественный стандарт шифрования данных.
21. Асимметричные криптосистемы. Основные понятия.
22. Модель асимметричной RSA-криптосистемы.
23. Процедуры шифрования и расшифрования в RSA-криптосистеме.
24. Основные свойства и процедуры электронной цифровой подписи.
25. Принципы построения системы электронной цифровой подписи RSA.
26. Характеристика основных процедур системы электронной цифровой подписи RSA.
27. Идентификация и аутентификация. Основные понятия и классификация средств и процессов.
28. Основы построения защищенных ЭИС. Методы использования форматированных сообщений и макетов в распределенных системах сбора и обработки экономической информации.
29. Основы построения защищенных ЭИС. Принципы использования помехозащищенных кодов экономической информации.
30. Методы организации защищенных ЭИС на основе использования технологий защиты информационных ресурсов.
31. Концепция построения виртуальных частных сетей VPN. Туннелирование.
32. Функции и компоненты сети VPN.
33. Средства VPN.
34. Варианты построения защищенных каналов VPN.
35. Сервисы безопасности сети VPN.
36. Классификация виртуальных частных сетей VPN.
37. Основные варианты VPN-решений для построения защищенных корпоративных систем.
38. VPN на базе сетевых операционных систем.
39 VPN на базе маршрутизаторов.
40. VPN на базе межсетевых экранов.
41. VPN – продукты ЗАСТАВА.
42. Протокол SOCKS. Функции SOCKS – сервера.
43. Характеристика комплекса стандартов IPSec.
44. Способы защиты информации в технологиях ISDN и Frame Relay. Средства X.25 – сетей.
45. Характеристика уязвимостей КИС по уровням ее стандартной организации: Excel и MS Query; MS SQL Server и Access; Windows NT; TCP/IP.
46. Особенности политики безопасности в Windows2000 и WindowsXP. Управление доступом при работе с прикладными программами. Свойства Internet Explorer.
47. Компьютерные вирусы как специальный класс самопродуцирующихся программ. Классификация вирусов.
48. Средства антивирусной защиты.
8 Контроль самостоятельной работы студентов-заочников
Целью контрольной работы является формирование и контроль знаний по основным разделам дисциплины.
Студенту рекомендуется, руководствуясь предлагаемой программой и используя литературу, самостоятельно изучить ряд вопросов и примеров. Затем следует выполнить задание.
Содержание задания
1. Определите вероятность несанкционированноного получения информации в следующем случае:
в расматриваемой ЭИС возможны нарушители двух категорий – внешние и внутренние;
в качестве технических компонентов, являющихся объектами несанкционированных действий, рассматриваются дискеты, дисплеи и принтеры;
каналами несакционированного получения информации являются кражи дискет и машинограмм (распечаток), незаметный просмотр информации при ее выводе пользователями на дисплеи и на принтеры.
Конфигурацию и все соответствующие вероятности определить самостоятельно (собственный вариант). Записать все расчетные формулы, развернутые расчеты и анализ их результатов.
2. Определить вероятность несанкционированноного получения информации в следующем случае:
в расматриваемой ЭИС возможны внешние нарушители;
в качестве информационных компонентов, являющихся объектами несанкционированных действий, рассматриваются данные управления проектами организации;
каналами несакционированного получения информации являются кражи дискет и машинограмм (распечаток), незаметный просмотр информации при ее выводе пользователями на дисплеи и на принтеры.
Конфигурацию и все соответствующие вероятности определить самостоятельно. Полагать, что в разработке обоснования совместного проекта с крупной компанией принимают участие все экономические службы. Вместе с тем, не прекращается решение остальных задач ЭИС (FI, CO,AM,PP,MM,SD,HR,QM,TO).
Записать все расчетные формулы, развернутые расчеты и анализ их результатов.
3. Для условий любой операционной системы (по собственному варианту) определите точку пространства безопасности Хартсона, Запишите в текстовом виде все ее координаты.
4. Дешифруйте сообщение в нестандартном шифре симметричной криптосистемы длиной в n числовых кодовых обозначений букв русского алфавита (от 0 до 32 в алфавитном порядке и пробел) методом перебора всех возможных ключей. Шифрование произведено путем сложения по модулю 33 числовых кодовых обозначений букв исходного текста с псевдослучайной гаммой (ключом сообщения): K, (K2)mod 32, (K3) mod 32, ,…, (Kn ) mod 32, . Причем K= (K1 ) - неизвестный ключ из множества чисел от 0 до 32.
Запишите расчетные формулы. Дайте оценку применения такой процедуры злоумышленником.
5. В RSA-системе разложите на простые множители число n и определите . Запишите расчетные формулы.
Дайте оценку применения такой процедуры злоумышленником.
6. Зашифруйте сообщение на открытом ключе K1 =7, n=33. Исходное сообщение состоит из числовых кодовых обозначений (от 0 до 32), которыми закодированы буквы русского алфавита и пробел из открытого сообщения.
7. Дешифруйте сообщение, зашифрованное на открытом ключе K1 =7, n=33. Исходное сообщение состоит из числовых кодовых обозначений (от 0 до 32), которыми закодированы буквы русского алфавита и пробел.
9 Учебно-методическое обеспечение дисциплины
9.1 Рекомендуемая литература
Основная
- Галатенко В.А. Основы информационной безопасности.-М.,2004.
- Галицкий А.В. Защита информации в сети – анализ технологий и синтез решений.-М.,2004.
- Корт С.С. Теоретические основы защиты информации.-М.,2004.
- Основы информационной безопасности.-М.,2006.
- Основы организационного обеспечения информационной безопасности объектов информатизации.-М.,2005.
- Семененко В.А. Информационная безопасность.-М.,2005.
Дополнительная
1.Гринберг А.С. и др. Защита информационных ресурсов государственного управленияю-М.,2003.
2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах.-М.,2001.
3.Соколов А.В. Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах.-М.,2002.
Нормативная
1. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования.
2. ГОСТ 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.
3. Руководящий документ Гостехкомиссии России. Термины и определения в области защиты от НСД к информации. М.: ГТК РФ, 1992.
4. Руководящий документ Гостехкомиссии России. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М.: ГТК РФ, 1992.
5. Руководящий документ Гостехкомиссии России. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ от НСД к информации. М.:ГТК РФ, 1992.
6. Руководящий документ Гостехкомиссии России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: ГТК РФ, 1992.
9.2 Средства обеспечения освоения дисциплины
При освоении курса предполагается использовать следующее программное обеспечение:
- MS SQL Server 2005 или MS SQL Server 2000;
- MS Office;
- Delphi;
- Statgraphics.
10 Материально-техническое обеспечение дисциплины
Для освоения данной дисциплины необходима лаборатория, оснащенная локальной вычислительной сетью с возможностью доступа в глобальную сеть Internet. В качестве рабочих станций целесообразно иметь персональные компьютеры с процессором не ниже Pentium и оперативной памятью не менее 32 Mб.
11 Методические рекомендации по организации изучения
дисциплины
На основании программы разрабатываются рабочие учебные программы дисциплины с учетом фактического количества часов, отведенных на ее изучение. Исходя из этого, в рабочей программе отдельные разделы программы могут быть либо усилены, либо сокращены, либо опущены.
В силу действия многих причин лабораторные работы по дисциплине должны содержать элементы и репродуктивного, и эвристического, и креативного. Для выполнения лабораторных работ студентам должны выдаваться детализированные на основе положений данной программы задания, эскизные варианты и типовые заготовки решений. На занятиях должны проводиться индивидуальные и коллективные беседы для того, чтобы нацелить каждого студента на самостоятельную постановку и решение задачи.
Базовыми для дисциплины являются курсы:
- теория экономических информационных систем;
- информационные технологии;
- проектирование информационных систем;
- основы управленческого учета;
- информатика.
Знания по учету и анализу позволяют решать задачи использования технологий защиты информации с учетом особенностей их организационно-экономического содержания. Другие дисциплины обеспечивают данную подходами к построению моделей систем, объектов и процессов, в том числе, информационных, общими методологиями и методами.
Знания и навыки, полученные при изучении данного курса, широко применяются студентами в дипломном проектировании.
Программа рассчитана на 192 часа.
Программа составлена в соответствии с государственными образовательными стандартами высшего профессионального образования.
12 Словарь терминов и персоналий
Автоматизированная система (automated system, AS)– система состоящая из персонала и комплекса средств автоматизации его деятельности и реализующая информационную технологию выполнения установленных функций.
Автоматизированная система в защищенном исполнении– система состоящая из персонала и комплекса средств автоматизации его деятельности и реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) нормативных документов по защите информации.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
Банковская тайна – тайна банковского счета и банковского вклада, операций по счету и сведений о клиенте.
Безопасность информации – состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации, копирования, блокирования информации и т.п. (например, для информации бухгалтерского учета такая вероятность составляет 10-6).
Вирус – вредоносная программа, способная создавать свои копии или другие вредононые программы и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия.
Защита данных (data protection) – реализация соответствующих административных, технических или физических средств, охраняющих данные от несанкционированного доступа и процедур.
Конфиденциальность (confidentiality) – свойство, позволяющее не давать доступа или не раскрывать информации тем лицам, объектам или процессам, которым это не разрешено.
Криптоанализ (cryptanalysis) – анализ криптографической системы и (или) ее входов и выходов для получения конфиденциальных переменных и (или) важных данных, включая текст.
Криптография (cryptografy) – дисциплина, объединяющая принципы, средства и методы преобразования данных, для того, чтобы сделать недоступным их информационное содержание, предотвратить скрытую модификацию и (или) несанкционированное использование.
Мандат – информация передаваемая для подтверждения требуемой идентичности какого-либо объекта.
Маскарад – претензия объекта на то, что он является другим объектом.
Модификация информации – несанкционированное или случайное изменение информации, обнаруженное или необнаруженное.
Необратимое шифрование – процесс шифрования, который обеспечивает преобразование текста в зашифрованную форму, но не позволяет зашифрованную форму возвращать в первоначальный текст.
Подпись цифровая – дополнительные или криптографически модифицированные данные, позволяющие получателю удостовериться в источнике и целостности полученного блока данных и защитить его от подлога.
Политика защиты – свод критериев для обеспечения функций защиты.
Политика защиты, основанная на идентичности - политика защиты, основанная на идентичности и (или) принадлежности отдельных пользователей, групп пользователей или объектам, действующим от имени пользователей открытым для их доступа ресурсам (объектам).
Политика защиты, основанная на правилах - политика защиты, основанная на общих правилах, обязательных для всех пользователей. Эти правила обычно связаны со сравнением конфиденциальности ресурсов, доступ к которым получен и наличием соответствующих атрибутов отдельных пользователей, групп пользователей или средств, действующим от имени пользователей.
Проверка достоверности (reasonableness check) – проверка, выполняемая, чтобы определить, соответствуют ли значения данных определенным критериям.
Проверка по модулю (modulo-N check) – проверка, в которой определенное число делится на число N, чтобы получить остаток, который сравнивается с предварительно рассчитанным (правильным) остатком.
Проверка правильности (данных) на входе – (input (data) validation) – процесс, используемый, чтобы определить неточность данных на входе, их незавершенность или нелогичность.
Разрешение (authorization) – получение прав, включая разрешение доступа, основанное на правах доступа.
Угроза (threat) – потенциальное нарушение защиты, условия, которые могут вызвать преднамеренную или случайную потерю, модификацию, раскрытие, недоступность информации или средств ее обработки или иные потенциальные воздействия на определяющие факторы работы учреждения.
Управление ключом (key management) – создание, хранение, распределение, стирание, архивирование и применение ключей в соответствии с политикой защиты.
Целостность данных (data integrity) – свойство данных не быть измененными или разрушенными несанкционированным способом.
Шифрование (encryption)- процесс преобразования информацции для получения шифротекста и воспроизведение ее в непонятной для всех форме за исключением держателей особого криптографического ключа. Использование шифрования защищает информацию между процессом шифрования и процессом дешифрации от несанкционированного раскрытия