Защита информации

УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС по дисциплине «Защита информации» для студентов технических направлений подготовки ВПО

СОДЕРЖАНИЕ

1. Рабочая учебная программа дисциплины……………………………………………..………..4
1.1. Цели освоения дисциплины……………………………………………………………………….4
1.2. Место дисциплины в структуре ООП направления ……………………………………………..4
1.3. Компетенции обучающегося, формируемые в результате освоения дисциплины…………..4
1.4. Структура и объем дисциплина…… ………………………………………………………………….5
1.5. Содержание дисциплины………………………………………………………………………….5
1.6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины ….7
2. Конспект лекций по дисциплине……………………………………………………………………………..9
Введение…………………………………………………………………………………………………9
2.1. Перечень тем лекций…………………………………………………………………………………………………..….9
3. Лабораторные работы……………………………………………………………………………………………………..15
3.1. Распределение тем лабораторных занятий по времени……………………………………………………15
3.2. Методические указания по выполнению лабораторных работ…………………………………..……15
3.2.1. Общие положения……………………………………………………………………………………………………….15
3.2.2. Организация проведения лабораторных работ……………………………………………………………..16
3.2.3. Оформление «Журнала отчетов по лабораторным работам»…………………………………………17
3.3. Лабораторная работа № 1. Политика и стандарты безопасности. Законодательно – правовые и организационные методы защиты компьютерной информации…………………………………………..21
3.4. Лабораторная работа №2. Криптографические методы защиты информации. Алгоритмы шифрования……………………………………………………………………………………………………………..27
3.5. Лабораторная работа №3. Методы и средства защиты информации от несанкционированного доступа. Алгоритмы аутентификации пользователей……………………………………………………………….38
3.6. Лабораторная работа №4. Требования к системам защиты информации. Многоуровневая защита корпоративных сетей. Защита информации в сетях. Построение комплексных систем защиты информации………………………………………………………………………………………………………………………….99
4. Самостоятельная работа………………………………………………………………………………………………..124
5. Образовательные технологии………………………………………………………………….124
6. Учебно-методическое и информационное обеспечение дисциплины………………………….125
7. Методические рекомендации преподавателю…………………………………. ……………….126
8. Методические указания студентам по изучению дисциплины………………………………..127
9. Материально-техническое обеспечение дисциплины……………………….………………127

РАБОЧАЯ УЧЕБНАЯ ПРОГРАММА ДИСЦИПЛИНЫ

 1.1. Цели освоения дисциплины

Целью и задачами освоения дисциплины «Защита информации» является изучение:

• основных понятий и определений защиты информации;
• источников риска и форм атак на компьютерную информацию;
• политика безопасности и законодательно – правовые и организационные методы защиты компьютерной информации;
• методы и средства защиты компьютерной информации.

Основная задача дисциплины состоит в подготовке студентов-бакалавров, формирование у них целостной системы знаний в области защиты информации. В процессе изучения дисциплины студент должен получить знания о политики безопасности и законодательно – правовых и организационных методах защиты компьютерной информации; основные понятия и определения защиты информации; методах и средствах защиты компьютерной информации.

1.2. Место дисциплины в структуре ООП направления

Место дисциплины в учебном процессе: дисциплина «Защита информации» относится к профессиональному циклу. Вариативная часть

Дисциплина «Защита информации»  базируется на входных знаниях, умениях и компетенциях, полученных студентами в процессе освоения дисциплин: «Информатика», «Специальные разделы информатики», «Операционные системы», «Программирование», «Прикладное программное обеспечение».

Полученные в ходе изучения дисциплины «Защита информации»    знания используются как предшествующие в дисциплинах: «Интернет-программирование», «Технологии сети Internet», при прохождении учебной и производственной практики, а также в ходе выполнения  дипломной работы.

1.3. Компетенции обучающегося, формируемые в результате освоения  дисциплины

В результате освоения дисциплины обучающийся должен:

• знать: методы и средства обеспечения информационной безопасности компьютерных систем;
• уметь: инсталлировать, тестировать, испытывать и использовать программно- аппаратные средства вычислительных и   информационных систем;  выявлять угрозы информационной безопасности, обосновывать организационно-технические мероприятия по защите информации в информационной системе;
• владеть: навыками защиты информации компьютерных систем.
  

1.6. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины

Текущий и промежуточный контроль знаний осуществляется путем проведения фронтального письменного опроса, отчетов по выполненным лабораторным работам и результата рейтингового контроля.

В связи с этим, для успешного освоения дисциплины студентам необходимо:

• регулярно посещать лекционные занятия;
• осуществлять регулярное и глубокое изучение лекционного материала, учебников и учебных пособий по дисциплине;
• активно работать лабораторных занятиях;
• выступать с сообщениями по самостоятельно изученному материалу;
• участвовать с докладами на студенческой конференции.

Текущий контроль знаний осуществляется путем выставления балльных оценок за выполнение тех или иных видов учебной работы (отчет по лабораторным работам, прохождение фронтального письменного опроса, индивидуального собеседования и т.п.).

Промежуточный контроль знаний студентов осуществляется в форме межсессионной аттестации. Межсессионная аттестация проводится в сроки и в соответствии с требованиями действующего Положения о проведении межсессионной аттестации в Университете.

Уровень знаний оценивается баллами, набранными студентами в контрольных точках. Балльная оценка соответствующих контрольных точек приводится ниже в технологической карте дисциплины.

Для подготовки к экзамену студенты используют приводимый ниже перечень вопросов.

Итоговый контроль знаний по дисциплине проводится в форме письменного экзамена и рейтинга. Для подготовки к экзамену студенты используют приводимый ниже перечень вопросов для подготовки к экзамену, который соответствует содержанию ФГОС дисциплины.

Примерный перечень вопросов для подготовки к экзамену по дисциплине «Защита информации»

1. Общие сведения о защите компьютерной информации.
2. Информационная безопасность и её составляющие.
3. Закон РФ «Об информации, информационных технологиях и о защиты информации», основные положения.
4. Закон РФ «О государственной тайне», основные положения.
5. Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных».
6. Закон РФ «Об авторском праве и смежных правах».
7. Свойства информации.
8. Степени секретности информации.
9. Краткая характеристика компьютерных систем.
10. Компоненты безопасности компьютерных систем.
11. Программа информационной безопасности её основные положения.
12. Классы угроз безопасности информации в компьютерных системах.
13. Случайные угрозы безопасности в компьютерных системах их характеристика.
14. Преднамеренные угрозы безопасности в компьютерных системах их характеристика.
15. Задачи защиты информации от случайных угроз.
16. Вредительские программы их характеристика.
17. Компьютерные вирусы их характеристика.
18. Классификация злоумышленников осуществляющих вредительское воздействие информации в компьютерных системах.
19. Правовое регулирование государства в области безопасности информации в компьютерных системах.
20. Основные положения концепции национальной безопасности РФ.
21. Ответственность граждан за противоправные действия при работе с информацией в компьютерных системах.
22. Структура государственных органов обеспечивающих проведение политики информационной безопасности в РФ.
23. Задачи решаемые на организационном уровне обеспечения информационной безопасности в компьютерных системах.
24. Классификация методов криптографического преобразования информации.
25. Краткая характеристика методов шифрования их классификация.
26. Сущность шифрования методом моноалфавитной замены.
27. Сущность шифрования методом полиалфавитной замены с использованием матрицы Вижинера.
28. Программа шифрования PGP, назначение основные элементы главного окна.
29. Сервисное программное обеспечение.
30. Программа WinRAR, назначение основные элементы главного окна.

По результатам проведенного экзамена выставляется оценка:

• «отлично» – студентам, овладевшим целостными знаниями по дисциплине, активно работающим на практических занятиях, постоянно и творчески выполняющим индивидуальные задания, свободно использующим знаниями, полученными в результате самостоятельной работы (86 баллов и выше);
• «хорошо» – студентам, владеющим знаниями по основным и дополнительным вопросам дисциплины, активно работающим на практических занятиях, выполняющим различные индивидуальные задания, в достаточной мере разбирающимся в знаниях, полученных в ходе самостоятельной работы (70–89,5 баллов);
• «удовлетворительно» – студентам, владеющим основными вопросами по тематике дисциплины, выполняющим практические задания на достаточном уровне, в основном разбирающимся в темах дисциплины, вынесенных на самостоятельное изучение (51–69,9 баллов);
• «не удовлетворительно» – студентам, не посещающим аудиторные занятия без уважительной причины, не владеющим основными вопросами изучаемой дисциплины, выполняющим практические задания на низком уровне, слабо разбирающихся в вопросах, вынесенных на самостоятельное изучение (менее 50 баллов).

Конспект лекций

Введение

Новые информационные технологии активно внедряются во все сферы человеческой деятельности. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров но­вые возможности для оперативного обмена информацией.

Развитие Ин­тернета привело к использованию глобальных, сетей передачи данных в повседневной жизни практически каждого человека. По мере развития и усложнения средств, методов и форм автоматизации процессов обра­ботки информации повышается зависимость общества от степени безо­пасности используемых им информационных технологи.

В Указе Президента Российской Федерации от 12 мая 2009 г. N 537

«О Стратегии национальной безопасности Российской Федерации до 2020 года»  указывается на необходимости «…разработать и внедрить технологии информационной безопасности в системах государственного и военного управления…», «…повышать уровень защищенности корпоративных и индивидуальных информационных систем…».

 2.1. Перечень тем лекций

Тема 1. Основные понятия и определения защиты информации

Цель и содержание курса.  Основные понятия и определения защиты информации. Источники риска и формы атак на информацию. Компьютерные атаки и технологии их обнаружения.

Информацию разделяют на открытую и ограниченного досту­па. К информации ограниченного доступа относятся государствен­ная тайна и конфиденциальная информация. В соответствии с рос­сийским законодательством к конфиденциальной относится сле­дующая информация:

• служебная и профессиональная тайна (врачебная, адвокатс­кая, тайна суда и следствия и т.п.);
• коммерческая тайна;
• персональные данные (сведения о фактах, событиях и обсто­ятельствах жизни гражданина, позволяющие идентифицировать его личность).

Информация может являться объектом публичных, гражданс­ких и иных правовых отношений. Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на ос­новании закона или договора право разрешать или ограничивать доступ к информации. Обладателем информации может быть граж­данин (физическое лицо), юридическое лицо, государство (Рос­сийская Федерация или ее субъект), муниципальное образование. Под пользователем информации будем понимать субъекта, обраща­ющегося к информационной системе за получением необходимой ему информации и пользующегося ею.

К защищаемой относится информация, имеющая обладателя и подлежащая защите в соответствии с требованиями правовых до­кументов или требованиями, устанавливаемыми обладателем ин­формации.

Зашитой информации называют деятельность по предотвраще­нию утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Тема 2. Политика и стандарты безопасности. Законодательно – правовые и организационные методы защиты компьютерной информации

Возглавляет государственные органы обеспечения информа­ционной безопасности Президент РФ. Он руководит Советом Безопасности и утверждает указы, касающиеся обеспечения безо­пасности информации в государстве. Общее руководство системой информационной безопасности, наряду с другими вопросами государственной безопасности стра­ны, осуществляют Президент и Правительство Российской Федерации. Органом исполнительной власти, непосредственно занимаю­щимся вопросами государственной безопасности, является Совет Безопасности при Президенте РФ.

Рабочим органом Межведомственной комиссии по информа­ционной безопасности является Государственная техническая ко­миссия при Президенте РФ. Эта комиссия осуществляет подго­товку проектов законов, разрабатывает нормативные документы (Решения Государственной технической комиссии), организует сертификацию средств защиты информации (за исключением криптографических средств), лицензирование деятельности в области производства средств защиты и обучения специалистов по защите информации.

Гостехкомиссия руководит аттеста­цией КС, предназначенных для обработки информации, представ­ляющей государственную тайну, или управляющих экологически опасными объектами. Она координирует и направляет дея­тельность государственных научно-исследовательских учрежде­ний, работающих в области защиты информации, обеспечивает аккредитацию органов лицензирования и испытательных центров (лабораторий) по сертификации. Эта комиссия обеспечивает так­же работу Межведомственной комиссии по защите государствен­ной тайны.

Тема 3. Криптографические модели и методы защиты информации. Алгоритмы шифрования

Под криптографической защитой информации понимается такое преобразование исходной информации, в результате кото­рого она становится недоступной для ознакомления и использо­вания лицами, не имеющими на это полномочий. Известны различные подходы к классификации методов крип­тографического преобразования информации. По виду воздейст­вия на исходную информацию методы криптографического пре­образования информации могут быть разделены на четыре группы. Процесс шифрования заключается в проведении обратимых математических, логических, комбинаторных и других преобразо­ваний исходной информации, в результате которых зашифрованная  информация  представляет собой хаотический  набор букв, цифр, других символов и двоичных кодов. Для шифрования информации используются алгоритм преоб­разования и ключ.

• Зашифрование — процесс преобразования открытых данных в зашифрованные при помощи шифра. Вместо термина «открытые данные» часто употребляются термины «открытый текст» и «исходный текст», а вместо термина «зашифрованные данные» — «шифрованный текст».
• Расшифрование — процесс, обратный зашифрованию, т.е. процесс преобразования зашифрованных данных в открытые при помощи ключа. В некоторых отечественных источниках отдельно выделяют термин дешифрование, подразумевая под этим восстановление исходного текста на основе шифрованного без знания ключа, т.е. методами криптоанализа. В дальнейшем будем считать расшифрование и дешифрование синонимами.

Под шифрованием понимается процесс зашифрования или расшифрования. Также термин «шифрование» (в узком смысле) используется как синоним зашифрования. Однако неверно в качестве синонима шифрования использовать термин «кодирование» (а вместо шифра — код), так как под кодированием обычно понимают представление информации в виде знаков (букв алфавита).

Тема 4. Методы и средства защиты информации от несанкционированного доступа. Алгоритмы аутентификации пользователей

Способы несанкционированного доступа к информации в компьютерных системах и защиты от него. Аутентификация пользователей на основе паролей и модели «рукопожатия». Аутентификация пользователей по их биометрическим характеристикам, клавиатурному почерку и росписи мышью. Программно-аппаратная защита информации от локального несанкционированного доступа. Аутентификация пользователей при удаленном доступе.

С учетом различных уровней возможностей нарушителя выде­ляют следующие вспомогательные способы несанкционирован­ного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:

• ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС);
• подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;
• подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, ра­ботающего в удаленном режиме;
• выдача себя за легального пользователя с применением похи­щенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей инфор­мации — «маскарад»;
• создание условий для связи по компьютерной сети легально­го пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), — «ми­стификация»;
• создание условий для возникновения в работе КС сбоев, ко­торые могут повлечь за собой отключение средств защиты инфор­мации или нарушение правил политики безопасности;
• тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение про­граммных закладок, разрешающих доступ нарушителю.

Тема 5. Модели безопасности основных ОС. Администрирование сетей

Защита информации от несанкционированного доступа в открытых версиях операционной системы Windows. К открытым версиям операционной системы Windows отно­сятся операционные системы Windows 95/98/ME/XP.

Дискретное и мандатное управление доступом к объектам КС.Подсистема безопасности защитных версий операционной системы Windows. Аудит событий безопасности в защитных версиях операционной системы Windows.

Рассмотрим типовые функциональные дефекты ОС, которые могут привести к созданию каналов утечки данных.

1. Идентификация. Каждому ресурсу в системе должно быть присвоено уникальное имя — идентификатор. Во многих системах пользователи не имеют возможности удостовериться в том, что используемые ими ресурсы действительно принад­лежат системе.
2. Пароли. Большинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.
3. Список паролей. Хранение списка паролей в незашифрованном виде дает возможность его компрометации с после­
   дующим НСД к данным.
4. Пороговые значения. Для предотвращения попыток несанкционированного входа в систему с помощью подбора па­роля необходимо ограничить число таких попыток, что в некоторых ОС не предусмотрено.
5. Подразумеваемое доверие. Во многих случаях программы ОС считают, что другие программы работают правильно.
6. Общая память. При использовании общей памяти не всегда после выполнения программ очищаются участки опера­тивной памяти (ОП).
7. Разрыв связи. В случае разрыва связи ОС должна немедленно закончить сеанс работы с пользователем или повтор­но установить подлинность субъекта.
8. Передача параметров по ссылке, а не по значению (при передаче параметров по ссылке возможно сохранение па­раметров в ОП после проверки их корректности, нарушитель может изменить эти данные до их использования).
9. Система может содержать много элементов (например, программ), имеющих различные привилегии.

Сетевое администрирование — это планирование, установка, настройка, обслуживание корпоративной сети, обеспечение ее надежной, бесперебойной, высокопроизводительной и безопасной работы. Задачи сетевого администрирования

Тема 6. Требования к системам защиты информации. Многоуровневая защита корпоративных сетей. Защита информации в сетях. Построение комплексных систем защиты информации.

Основные требования к комплексной системе защиты инфор­мации: разработка на основе положений и требований существующих законов, стандартов и нормативно-методических документов по обеспечению информационной безопасности;

использование комплекса программно-технических средств и организационных мер для защиты КС; надежность, производительность, конфигурируемость; экономическая целесообразность (поскольку стоимость КСЗИ включается в стоимость КС, стоимость средств защиты не должна быть выше возможного ущерба от потери информации); выполнение на всех этапах жизненного цикла обработки ин­формации в КС (в том числе при проведении ремонтных и регла­ментных работ); возможность совершенствования; обеспечение разграничения доступа к конфиденциальной ин­формации с отвлечением нарушителя на ложную информацию (обеспечение не только пассивной, но и активной защиты); взаимодействие с незащищенными КС по установленным для этого правилам разграничения доступа; обеспечение проведения учета и расследования случаев нару­шения безопасности информации в КС; сложная для пользователя (не должна вызывать у него психо­логического противодействия и стремления обойтись без приме­нения ее средств); возможность оценки эффективности ее применения.

При разработке и построении комплексной системы защиты информации в компьютерных системах необходимо придержи­ваться определенных методологических принципов проведения исследований, проектирования, производства, эксплуатации и развития таких систем. Системы защиты информации относятся к классу сложных систем и для их построения могут использоваться основные принципы построения сложных систем с учетом специ­фики решаемых задач:

• параллельная разработка КС и СЗИ;
• системный подход к построению защищенных КС;
• многоуровневая структура СЗИ;
• иерархическая система управления СЗИ;
• блочная архитектура защищенных КС;
• возможность развития СЗИ;
• дружественный интерфейс защищенных КС с пользовате­лями и обслуживающим персоналом.

Учебно-методическое и информационное обеспечение дисциплины

6.1. Основная литература

1. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам [Электронный ресурс] : учеб. пособие для вузов по специальностям «Компьютер. безопасность», «Комплекс. обеспечение информ. безопасности автоматизир. систем» / А. А. Афанасьев [и др.] ; под ред. А. А. Шелупанова, С. Л. Груздева, Ю. С. Нахаева. — 2-е изд., стереотип. — Документ HTML. — М. : Горячая линия — Телеком, 2012. — 550 с. — Режим доступа: http://www.iprbookshop.ru/11978.htm.
2. Зайцев, А. П.Технические средства и методы защиты информации [Электронный ресурс] : учеб. для вузов по группе специальностей «Информ. безопасность» / А. П. Зайцев, Р. В. Мещеряков, А. А. Шелупанов ; под ред. А. П. Зайцева, А. А. Шелупанова. — 7-е изд. — Документ HTML. — М. : Горячая линия — Телеком, 2012. — 442 с. : ил. — Режим доступа: http://www.iprbookshop.ru/12053.html.
3. Мельников, В. П.Информационная безопасность и защита информации [Текст] : учеб. пособие для вузов по специальности «Информ. системы и технологии» / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под ред. С. А. Клейменова. — 6-е изд., стер. — М. : Академия, 2012. — 336 с.
4. Учебно-методический комплекс по дисциплине «Информационная безопасность» [Электронный ресурс] : для студентов специальности «Приклад. информатика (в экономике)» и направления подгот. «Прикладная информатика» / Поволж. гос. ун-т сервиса (ПВГУС), Каф. «Приклад. информатика в экономике» ; сост. В. С. Марченко. — Документ Adobe Acrobat. — Тольятти : ПВГУС, 2011. — 819,35 КБ, 108 с. — Режим доступа: http://elib.tolgas.ru.

6.2. Дополнительная литература

6. Бочкарев, А. И.. Фундаментальные основы защиты информации [Текст] : лаб. практикум / А. И. Бочкарев, Т. С. Бочкарева, В. В. Смоленский. – Тольятти : ПВГУС, 2009. – 104 с.
7. Жуков, Г. П. Лабораторный практикум [Текст] : по дисциплине «Защита информации» для студентов направления 230100.62 и специальности 100101.65 / Г. П. Жуков. – Тольятти : ПВГУС, 2010. — 176 с.
8. Конструкторско-технологическое проектирование электронной аппаратуры [Текст] : учебник для вузов / К. И. Билибин [и др.] ; под общ. ред. В. А. Шахнова. – М. : Изд-во МГТУ им. Н.Э. Баумана, 2002. – 528 с.
9. Краковский, Ю. М. Информационная безопасность и защита информации [Текст] : учеб. пособие / Ю. М. Краковский. – М. : ИКЦ «МарТ» ; Ростов н/Д : изд. центр «МарТ», 2008. – 288 с.
10. Лоянич, А. А. 33 полезные программы для вашего компьютера [Текст] / А. А. Лоянич. – М. : Эксмо, 2009. — — 240 с.
11. Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы : учебник для вузов [Текст] / В. Г. Олифер, Н. А. Олифер. — 3-е изд. – СПб. : Питер, 2007. — 958 с.
12. Щеглов, А. Ю. Защита компьютерной информации от несанкционироного доступа [Текст] / А. Ю. Щеглов. – СПб. : Наука и техника, 2009. -384 с.

Программное обеспечение современных информационно-коммуникационных технологий и интернет-ресурсы

При изучении дисциплины используются современные компьютерные средства и технологии. Применяется следующее программное обеспечение и Интернет-ресурсы:

Программное обеспечение:

• Операционная система Microsoft Windows.
• Пакет Microsoft Office.
• Программа шифрования PGP.
• Программа WinRAR.
• Программа Backup Manager и утилита Nero BackItUp.

Интернет-ресурсы:

17. PGP – лучший криптографический пакет [Электронный ресурс]. – Режим доступа: http://www.realcoding.net/article/view/1692. — Загл. с экрана.
18. Установка и применение программы PGP [Электронный ресурс]. – Режим доступа: http://www.gloffs.com/pgp.htm. — Загл. с экрана.
19. Компьютерные атаки и технологии их обнаружения [Электронный ресурс]. – Режим доступа: http://www.web-protect.net/attack.htm. — Загл. с экрана.
20. Лекция. Задачи и цели сетевого администрирования, понятие о сетевых протоколах и службах [Электронный ресурс]. – Режим доступа: http://www.intuit.ru/studies/courses/991/216/lecture/5559. — Загл. с экрана.
21. Пароли для профессионалов [Электронный ресурс]. – Режим доступа: http://kraytek.ru/bezopasnost/paroli-profi. — Загл. с экрана.