Реферат: Программа дисциплины опд. Ф. 13., Опд. Ф. 11 Методы и средства защиты компьютерной информации для студентов специальности 230102 Автоматизированные системы обработки информации и управления

Министерство образования и науки Российской Федерации

Федеральное агентство по образованию



ОБНИНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ АТОМНОЙ ЭНЕРГЕТИКИ (ИАТЭ)





УТВЕРЖДАЮ




Проректор по учебной работе


___________________ С.Б. Бурухин





«______»___________ 200__ г.


^ ПРОГРАММА ДИСЦИПЛИНЫ


ОПД.Ф.13., ОПД.Ф.11 МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

для студентов специальности

230102 – Автоматизированные системы обработки информации и управления

направления 230100 – Информатика и вычислительная техника


^ СД.01. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ

для студентов специальности

230201 – Информационные системы и технологии
направления 230200 – Информационные системы


Форма обучения: очная, заочная, очно-заочная


Объем дисциплины и виды учебной работы в соответствии с учебными планами


Вид учебной работы

Всего часов

(230102, очное)

Семестр

Всего часов

(230100, очное)

Семестр

Всего часов

230201 (очное)

Семестр

8

8

8

Общая трудоемкость дисциплины

110

110

110

110

136

136

Аудиторные занятия

68

68

64

64

68

68

Лекции

34

34

32

32

34

34

Практические занятия и семинары

–

–

–

–

–

–

Лабораторные работы

34

34

32

32

34

34

Курсовой проект (работа)

–

–

–

–

–

–

Самостоятельная работа

42

42

46

46

68

68

Расчетно-графические работы

–

–

–

–

–

–

Вид итогового контроля (зачет, экзамен)

Экз.

Экз.

Экз.

Экз.

Экз.

Экз.


Обнинск 2008

Вид учебной работы

Всего часов

(230102, заочн.)

Курс

Всего часов

(230201, заочн.)

Курс

Всего часов

(230102, очно-заочн.)

Семестр

Всего часов

230201 (очно-заочн.)

Семестр

5

5

9

9

Общая трудоемкость дисциплины

110

110

136

136

110

110

136

136

Аудиторные занятия

14

14

14

14

51

51

51

51

Лекции

10

10

8

8

34

34

34

34

Практические занятия и семинары

–

–

–

–

–

–

–

–

Лабораторные работы

4

4

6

6

17

17

17

17

Курсовой проект (работа)

–

–

–

–

–

–

–

–

Самостоятельная работа

96

96

122

122

59

59

85

85

Расчетно-графические работы

–

–

–

–

–

–

–

–

Вид итогового контроля (зачет, экзамен)

Экз.

Экз.

Экз.

Экз.

Экз.

Экз.

Экз.

Экз.



Программа составлена с соответствии с Государственными образовательными стандартами высшего профессионального образования по направлению подготовки

дипломированного специалиста 654600 Информатика и вычислительная техника (№ 224 тех/дс от 27.03.2000),

дипломированного специалиста 654700 Информационные системы (№ 276 тех/дс от 27.03.2000),

бакалавров 552800 Информатика и вычислительная техника (№ 35 тех/бак от 13.03.2000).


Программу составил:


___________________ С.В. Волобуев, доцент кафедры АСУ, к.т.н., доцент


Программа рассмотрена на заседании кафедры АСУ (протокол № 6-у от 25.01.2008 г.)


Заведующий кафедрой АСУ


___________________ А.Н. Анохин


«____»_____________ 200__ г.


СОГЛАСОВАНО


Начальник
Учебно-методического управления


___________________ Ю.Д. Соколова


Декан

факультета кибернетики


___________________ А.В. Антонов


«____»_____________ 200__ г.





Декан

факультета заочного отделения


___________________ А.А. Росляков


«____»_____________ 200__ г.





Декан

факультета вечернего отделения


___________________ О.М. Гулина


«____»_____________ 200__ г.


^ 1. Цели и задачи дисциплины

Целью преподавания дисциплин «Методы и средства защиты компьютерной информации» и «Информационная безопасность и защита информации» является ознакомление студентов с источниками, рисками и формами атак на информацию, автоматизированные и информационные системы, с организационными, техническими, программными и криптографическими методами и средствами защиты информации, циркулирующей в автоматизированных и информационных системах, с законодательством и стандартами в этой области, с современными методами идентификации и алгоритмами аутентификации пользователей, борьбы с вирусами, способами применения методов и средств защиты информации при проектировании и эксплуатации автоматизированных систем обработки информации и управления (АСОИУ) и информационных систем (ИС), правилами построения политики информационной безопасности, программой информационной безопасности Российской Федерации и путях ее реализации.

^ 2. Требования к уровню освоения содержания дисциплины

В результате изучения дисциплины студент должен

знать: правовые основы защиты компьютерной информации, организационные, технические и программные методы и средства защиты информации в АСОИУ и ИС, стандарты, модели и методы шифрования, методы идентификации пользователей, методы защиты программ от вирусов; иметь представление о направлениях развития и перспективах защиты информации;

уметь: применять методы защиты компьютерной информации при проектировании и эксплуатации АСОИУ и ИС в различных предметных областях;

иметь навыки: установки и настройки программного обеспечения, применяемого для защиты АСОИУ и ИС от несанкционированного доступа, как из сетей общего пользования, так и внутренних сетей предприятия.

^ Входные дисциплины по специальности 230102 – АСОИУ: Операционные системы, Системное программное обеспечение, Схемотехника ЭВМ, Теория принятия решений, Сети ЭВМ и телекоммуникации, Базы данных, Сетевые технологии.

^ Выходные дисциплины по специальности 230102 – АСОИУ: Проектирование АСОИУ, Дипломное проектирование.

Входные дисциплины по специальности 230201 – ИСТ: Операционные системы, Системное программное обеспечение, Схемотехника ЭВМ, Управление данными, Информационные технологии, Информационные сети, Архитектура ЭВМ и систем, Операционная система UNIX, корпоративные информационные системы, администрирование в информационных системах.

Выходные дисциплины по специальности 230201 – ИСТ: Проектирование информационных систем, Дипломное проектирование.

^ 3. Содержание дисциплины

Дидактические единицы (темы) для направления
230100 «Информатика и вычислительная техника»

Раздел программы, номер темы

Основные понятия и определения

3.1, тема 1, 2

Источники, риски и формы атак на информацию

3.1, тема 2, 6

Политика безопасности

3.1, тема 2, 6

Стандарты безопасности

3.1, тема 2, 3, 4, 6

Криптографические модели

3.1, тема 8

Алгоритмы шифрования

3.1, тема 8

Модели безопасности основных ОС

3.1, тема 2, 3

Администрирование сетей

3.1, тема 4

Алгоритмы аутентификации пользователей

3.1, тема 3, 4, 5, 7

Многоуровневая защита корпоративных сетей

3.1, тема 4, 7, 9

Защита информации в сетях

3.1, тема 4, 7

Требования к системам защиты информации

3.1, тема 2, 6, 7, 9



^ Дидактические единицы (темы) для направления
230200 «Информационные системы»

Раздел программы, номер темы

Общая проблема информационной безопасности информационных систем

3.1, тема 1, 2

Программа информационной безопасности России и пути ее реализации

3.1, тема 2

Защита информации при реализации информационных процессов (ввод, вывод, передача, обработка, накопление, хранение)

3.1, тема 3, 4, 5, 8, 9

Организационное обеспечение информационной безопасности

3.1, тема 6

Защита информации от несанкционированного доступа

3.1, тема 2 – 5, 7, 8

Математические и методические средства защиты

3.1, тема 8

Компьютерные средства реализации защиты в информационных системах

3.1, тема 7


3.1. Лекции


Номер темы


Тема

Число часов

(очное)

Число часов

(230100 очное)

Число часов

(230102 заочное)

Число часов

(230201 заочное)

Число часов

(230201очно-заочн.)

1

Правовое обеспечение информационной безопасности

4

3

0,5

0,5

4

2

Основы информационной безопасности

4

4

1

1

4

3

Безопасность операционных систем

4

4

1

1

4

4

Безопасность вычислительных сетей

4

4

1

1

4

5

Безопасность систем управления базами данных

4

4

2

1

4

6

Организационное обеспечение информационной безопасности

2

2

1

1

2

7

Программно-аппаратные средства защиты информации

4

4

1

1

4

8

Криптографические методы защиты информации

4

4

2

1

4

9

Комплексное обеспечение информационной безопасности автоматизированных систем

4

3

0,5

0,5

4



^ 1. Правовое обеспечение информационной безопасности [1, 2]. Конституционные гарантии прав граждан на информацию и механизмы их реализации. Понятие и виды защищаемой информации по законодательству РФ. Системы защиты государственной тайны и конфиденциальной информации. Лицензирование и сертификация в области защиты государственной тайны и конфиденциальной информации. Защита интеллектуальной собственности. Преступления в сфере компьютерной информации.


^ 2. Основы информационной безопасности [2, 3]. Понятие национальной безопасности Российской Федерации. Информационная безопасность (ИБ) в системе национальной безопасности РФ, проблемы информационной войны. Основные понятия, общеметодологические принципы теории ИБ. Модели информационной безопасности; международные и отечественные стандарты информационной безопасности, политика безопасности; показатели защищенности средств вычислительной техники и классы защищенности автоматизированных систем от несанкционированного доступа. Угрозы ИБ. Оценка и управление рисками. Обеспечение конфиденциальности, целостности и доступности информации.


^ 3. Безопасность операционных систем [4, 5]. Общая характеристика операционных систем. Назначение, возможности, модели безопасности операционных систем группы Windows, NetWare, клона UNIX. Организация управления доступом и защиты ресурсов ОС. Основные механизмы безопасности: средства и методы аутентификации в ОС, модели разграничения доступа, организация и использование средств аудита. Администрирование ОС: задачи и принципы сопровождения системного программного обеспечения, генерация, настройка, измерение производительности и модификация систем, управление безопасностью ОС.


^ 4. Безопасность вычислительных сетей [5, 6]. Безопасность ресурсов сети: средства идентификации и аутентификации, методы разделения ресурсов и технологии разграничения доступа. Интеграция локальных вычислительных сетей в глобальные. Основные механизмы обеспечения безопасности и управления распределенными ресурсами. Протоколы аутентификации Kerberos, SSL, TLS. Технология PKI (Public Key Infrastructure) – интегрированный набор служб и средств администрирования для создания и развертывания приложений, применяющих шифрование с открытым ключом, а также для управления ими. Многоуровневая защита корпоративных сетей. Виртуальные частные сети, варианты построения и продукты реализации. Режим функционирования межсетевых экранов и их основные компоненты. Основные схемы сетевой защиты на базе межсетевых экранов. Системы адаптивного анализа защищенности. Задачи и программно-аппаратные средства администратора безопасности сети.


^ 5. Безопасность систем управления базами данных [7]. Методы и средства идентификации и аутентификации пользователей СУБД, системные и объектные привилегии, разграничение прав на выполнение операций над объектами баз данных, средства языка SQL для организации разграничения доступа, концепция и реализация механизма ролей, использование представлений, организация аудита системных событий и действий пользователя в системах баз данных. Триггеры и их применение в базах данных. Обеспечение непротиворечивости, транзакции. Использование блокировок. Ограничения ссылочной целостности баз данных. Организация взаимодействия СУБД и базовой ОС, журнализация, методы и средства создания резервных копий и восстановления баз данных. Защита баз данных от аппаратных и программных сбоев. Обеспечение безопасности доступа к базам данных в технологии клиент/сервер. Задачи и программно-аппаратные средства администратора безопасности баз данных.


^ 6. Организационное обеспечение информационной безопасности [8]. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности (ИБ) организации. Общие и специальные принципы обеспечения ИБ организации. Модели угроз и нарушителей информационной безопасности организации.

Политика ИБ организации: состав, назначение, общие требования по обеспечению ИБ, отображаемые в политике ИБ организации; общие требования по обеспечению ИБ при распределении ролей и обеспечении доверия к персоналу; общие требования по обеспечению ИБ автоматизированных систем на стадиях жизненного цикла; общие требования по обеспечению ИБ при управлении доступом и регистрации; общие требования по обеспечению ИБ средствами антивирусной защиты; общие требования по обеспечению ИБ при использовании ресурсов сети Интернет; общие требования по обеспечению ИБ при использовании средств криптографической защиты информации.

Система менеджмента ИБ организации: планирование; реализация и эксплуатация СМИБ; проверка (мониторинг и анализ) СМИБ; совершенствование СМИБ; система документации; обеспечение непрерывности деятельности и восстановление после прерываний; служба информационной безопасности организации.

Проверка и оценка информационной безопасности организации. Модель зрелости процессов менеджмента информационной безопасности организации.


^ 7. Программно-аппаратные средства защиты информации [9]. Назначение и принципы создания программно-аппаратных средств обеспечения информационной безопасности. Программно-аппаратные средства, реализующие отдельные функциональные требования по защите, принципы их действия и технологические особенности, взаимодействие с общесистемными компонентами вычислительных систем. Методы и средства ограничения доступа к компонентам вычислительных систем. Методы и средства привязки программного обеспечения к аппаратному окружению и физическим носителям. Методы и средства хранения ключевой информации. Защита программ от изучения, способы встраивания средств защиты в программное обеспечение. Защита от разрушающих программных воздействий, защита программ от изменения и контроль целостности, построение изолированной программной среды. Задачи и технология сертификации программно-аппаратных средств на соответствие требованиям безопасности информации. Основные категории требований к программно-аппаратной реализации средств обеспечения информационной безопасности. Программно-аппаратные средства защиты информации в сетях передачи данных.


^ 8. Криптографические методы защиты информации [10, 11]. Моноалфавитные и полиалфавитные шифры. Блочные и потоковые шифры. Симметричные криптосистемы. Стандарты шифрования данных DES, Triple-DES, AES и основные режимы их работы. Отечественный стандарт ГОСТ 28147-89 и режимы его работы.

Асимметричные криптосистемы. Однонаправленные функции. Криптосистема RSA, ее безопасность и быстродействие. Схема шифрования Полига-Хеллмана. Схема шифрования Эль-Гамаля. Комбинированный метод шифрования.

Идентификация и аутентификация пользователя. Взаимная проверка подлинности пользователей. Проблема аутентификации данных и электронная цифровая подпись. Однонаправленные хэш-функции. Алгоритм хэширования SHA-1. Однонаправленные хэш-функции на основе симметричных блочных алгоритмов. Отечественный стандарт хэш-функции ГОСТ Р.34.11-94. Алгоритм цифровой подписи DSA. Отечественный стандарт цифровой подписи ГОСТ Р34.10-94.

Реализация блочных шифров 3DES, CAST и IDEA, а также поддержка алгоритм хэширования SHA-1 для вычисления цифровой подписи в пакете PGP. Российские разработки: «Верба», «Криптон», «Крипто-Про», «Лан-Крипто» и др.


^ 9. Комплексное обеспечение информационной безопасности автоматизированных систем [12]. Постановка проблемы комплексного обеспечения ИБ автоматизированных систем. Состав компонентов комплексной системы обеспечения информационной безопасности (КСИБ), методология формирования задач защиты. Этапы проектирования КСИБ и требования к ним: предпроектное обследование, техническое задание, техническое проектирование, рабочее проектирование, испытания и внедрение в эксплуатацию, сопровождение. Типовая структура комплексной системы защиты информации от НСД. Методика выявления возможных каналов НСД, последовательность работ при проектировании КСИБ, моделирование как инструментарий проектирования. Методы оценки качества КСИБ. Требования к эксплуатационной документации КСИБ, аттестация по требованиям безопасности информации.

^ 3.2. Практические и семинарские занятия – не предусмотрены.

3.3. Лабораторный практикум

Темы

Название лабораторной работы

Число часов (очное)

Число часов (230100очное)

Число часов (230102 заочное)

Число часов (230201 заочное)

Число часов (очно-заочн.)

1, 2, 6, 9

Организационно-правовое обеспечение защиты компьютерной информации

6

5

–

–

2

3

Безопасность операционных систем

8

8

4

6

4

4

Обеспечение безопасности электронной почты при работе в сети Интернет

2

2

–

–

1

4

Использование межсетевых экранов при работе в локальной вычислительной сети предприятия и сети Интернет

2

2

–

–

1

5

Безопасность систем управления базами данных

4

4

–

–

2

7

Программно-аппаратные средства защиты компьютерной информации от НСД

4

4

–

–

2

8

Асимметричное шифрование.
Электронно-цифровая подпись

2

2

–

–

1

8

Инфраструктура открытого ключа в Windows 2003 и ее применение в различных приложениях

6

5

–

–

4

^ 3.4. Курсовые проекты (работы) – не предусмотрены.

3.5. Формы текущего контроля

Для очной и очно-заочной формы обучения

Темы

Форма контроля

Неделя

1 – 9

Домашнее задание при защите лабораторных работ

в течение семестра



Для заочной формы обучения

Темы

Форма контроля

Курс

1-4

Контрольная работа

5

5-9

Контрольная работа

5



^ 3.6. Самостоятельная работа

Студентами очной и очно-заочной форм обучения самостоятельно в рамках подготовки к лабораторным работам изучаются следующие вопросы тем 1 – 9:

защита интеллектуальной собственности (тема 1);

обеспечение конфиденциальности, целостности и доступности информации в соответствии с требованиями международных и отечественных стандартов информационной безопасности (тема 2);

задачи и принципы сопровождения системного программного обеспечения, управление безопасностью ОС (тема 3);

системы адаптивного анализа защищенности (тема 4);

средства языка SQL для организации разграничения доступа, концепция и реализация механизма ролей, использование представлений, организация аудита системных событий и действий пользователя в системах баз данных (тема 5);

система менеджмента ИБ организации, модель зрелости процессов менеджмента информационной безопасности организации (тема 6);

назначение и принципы создания программно-аппаратных средств обеспечения информационной безопасности, задачи и технология сертификации программно-аппаратных средств на соответствие требованиям безопасности информации (тема 7);

реализация симметричных и асимметричных криптоалгоритмов в программно-аппаратных разработках российских производителей (тема 8);

этапы проектирования комплексной системы информационной безопасности и требования к ним: предпроектное обследование, техническое задание, техническое проектирование, рабочее проектирование, испытания и внедрение в эксплуатацию, сопровождение (тема 9).

Контроль освоения материала осуществляется в ходе приема лабораторных работ. Используемая литература, приведенная в разделе 4. По умолчанию предполагается литература из п.п. 4.2 (дополнительная). В отдельных необходимых случаях после номера источника в круглых скобках указывается п.п. 4.1 (основная литература).




^ Содержание самостоятельной работы


Литера-

тура

Всего
часов 42

(230102, очное)

Всего
часов 46

(230100, очное)

Всего
часов 68

230201 (очное)


^ Форма
контроля

Защита интеллектуальной собственности

[14]

6

8

10

Собеседование перед сдачей соответствующей лабораторной работы

Обеспечение конфиденциальности, целостности и доступности информации в соответствии с требованиями международных и отечественных стандартов информационной безопасности



[1, 9]



5



5



8

Задачи и принципы сопровождения системного программного обеспечения, управление безопасностью ОС


[5, 6]


4


4


6


Системы адаптивного анализа защищенности

[1 – 4]

4

4

7

Средства языка SQL для организации разграничения доступа, концепция и реализация механизма ролей, использование представлений, организация аудита системных событий и действий пользователя в системах баз данных



[10]



4



4



7



Система менеджмента ИБ организации, модель зрелости процессов менеджмента ИБ организации


[33, 34]


5


5


8

Назначение и принципы создания программно-аппаратных средств обеспечения информационной безопасности, задачи и технология сертификации программно-аппаратных средств на соответствие требованиям безопасности информации



[9], (4.1)





4



4



7

Реализация симметричных и асимметричных криптоалгоритмов в программно-аппаратных разработках российских производителей


[8]


4


4


6

Этапы проектирования комплексной системы информационной безопасности и требования к ним


[12], (4.1)


6


8


9

Кроме этого, студентам очно-заочной формы обучения отводится 17 часов самостоятельной работы на самостоятельное выполнение лабораторных работ (п.п. 3.3), количество часов для которых предполагается таким же, как и для студентов очной формы обучения.

Студентами заочной формы обучения самостоятельно изучаются в соответствии с тематикой лекционных курсов темы 1, 2, 4 – 9. Кроме этого, студенты самостоятельно выполняют лабораторные работы (п.п. 3.3), количество часов для которых предполагается таким же, как и для студентов очной формы обучения. Тема 3 изучается в рамках подготовки к лабораторным работам.

^ 4. Рекомендуемая литература

4.1. Основная литература

Сёмкин С. Н., Сёмкин А. Н. Основы правового обеспечения защиты информации: учебное пособие для вузов. – М.: Горячая линия – Телеком, 2008. – 238 с.

Фисун А.П. Информационное право и информационная безопасность информационной сферы: учебное пособие. – Орел: ОГУ, 2004.– 303 с.

Малюк А.А. Информационная безопасность: концептуальные методологические основы защиты информации. – М.: Горячая линия – Телеком, 2004. – 280 c.

Волобуев С.В. Защита в операционных системах: учебное пособие по курсу «Методы и средства защиты компьютерной информации». – Обнинск: ИАТЭ, 2003. – 80 с.

Зихерт К., Ботт Э. Безопасность Windows. – СПб.: «Питер», 2003. – 688 с.

Волобуев С.В., Волобуев Е.С. Применение системы защиты информации ViPNet в электронном документообороте: учебно-методическое пособие. – Обнинск: ГОУ «ГЦИПК», 2004. — 181 с.

Волобуев С.В., Бологов Е.П. Информационная безопасность баз данных: учебное пособие по курсу «Методы и средства защиты компьютерной информации». – Обнинск: ИАТЭ, 2005. – 76 с.

Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. – М.: ЗАО «АЭИ «Прайм-ТАСС». – 2006.

Волобуев С.В., Волобуев Е.С. Программно-аппаратные средства защиты компьютерной информации: учебное пособие по курсу «Методы и средства защиты компьютерной информации». – Обнинск: ИАТЭ, 2006. – 80 с.

Запечников С. В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности: Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2007. – 320 с.

Горбатов В.С., Полянская О.Ю. Основы технологии PKI. – М.: Горячая линия – Телеком, 2004. – 248 c.

Волобуев С.В., Волобуев Е.С. Комплексное обеспечение информационной безопасности автоматизированных систем: учебное пособие. – Обнинск: ФГОУ «ГЦИПК», 2006. – 137 с.

^ 4.2. Дополнительная литература

Волобуев С.В. Безопасность социотехнических систем. – Обнинск, «Викинг», 2000. – 340 с.

Волобуев С.В. Введение в информационную безопасность: учебное пособие. – Обнинск: ИАТЭ, 2001. – 80 с.

Волобуев С.В. Информационная безопасность автоматизированных систем: учебное пособие – Обнинск: ИАТЭ, 2001. – 80 с.

Волобуев С.В. Философия безопасности социотехнических систем. – М.: Вузовская книга, 2002. – 360с.

Белкин П.Ю., Михальский О.О., Першаков А.С. и др. Защита программ и данных: учебное пособие. – М.: Радио и связь, 2000. – 168 с.

Проскурин В.Г., Крутов С.В., Мацкевич И.В. Защита в операционных системах: учебное пособие. – М.: Радио и связь, 2000. – 168 с.

Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита: учебное пособие. – М.: Юнити, 2000. – 528 с.

Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Под ред. Шаньгина В.Ф. – 2-е изд., п