МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Филиал федерального государственного бюджетного образовательного учреждения
высшего профессионального образования
«Кемеровский государственный университет»
в г. Анжеро-Судженске
«1» марта 2013 г.
РАБОЧАЯ ПРОГРАММА
по дисциплине «Информационная безопасность» (СД.3) для направления 080800.62 «Прикладная информатика»факультет информатики, экономики и математики курс: 4 экзамен: 7 семестр семестр: 7 лекции: 54 часов лабораторные занятия: 54 часов самостоятельная работа: 132 часов всего часов: 240 Составитель: ассистент кафедры информатики Мякишев С.С.
Анжеро-Судженск Рабочая программа составлена на основании:
«ГОСУДАРСТВЕННОГО ОБРАЗОВАТЕЛЬНОГО СТАНДАРТА
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ» (2005г.) Рабочая программа обсуждена На заседании кафедры информатики Протокол №6 «31» января 2013г.Зав. кафедрой_ Шкуркин А.С.
(Ф.И.О., подпись) Одобрено методической комиссией Протокол №8 «26» февраля 2013г.
Председатель_ Якупов Р.Т.
(Ф.И.О., подпись)
1. ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
Современное развитие информационных технологий направлено на их внедрение во все сферы деятельности человека. Этот процесс происходит с активным привлечением и расширением внедрения технологий открытого доступа. Естественно, что открытый доступ к компьютерным системам и их информационным базам порождает такое явление как несанкционированный доступ к информации, который проявляется не только в возможности прочесть хранимую информацию, но и в ее модификации (изменении и удалении). Перед современным обществом стоит задача не только предоставления информации законным пользователям, но и ее защиты от несанкционированного доступа. Таким образом, специалист по информационным технологиям должен иметь образование и в области защиты информации.Дисциплина «Информационная безопасность» предназначена для ознакомления студентов с основами технологий в области защиты информации: изучение основных видов информационных атак в компьютерных системах, методов защиты от несанкционированного доступа, изучению основ криптографии и применению криптографических протоколов.
2. Тематическое планирование Тематический план Объем часов Аудиторная работа Название и содержание Самостоятел Формы № Практические разделов, тем, модулей ьная работа контроля Общий Лаборато Лекции (или рные Введение в безопасность безопасности Мероприятия по обеспечению информационной безопасности Основные положения теории информационной информационных Криптографические информации Технологии построения защищенных ЭИС
3. СОДЕРЖАНИЕ ДИСЦИПЛИНЫ
Тема 1. Введение в информационную безопасность Назначение, задачи и общая характеристика курса, общие понятия и определения, краткая историческая справка. Данные и информация. Свойства представление информации и процессы ее обработки Виды и формы представления информации. Носители информации. Информация как объект защиты. Определение и цели, механизмы, инструментарий, основные направления информационной безопасности. Информация и ресурсы.Информация как объект права собственности. Информация как коммерческая тайна. Информация как рыночный продукт.
Концепция информационной безопасности. Объекты обработки и защиты информации. Классификация информационных систем и объектов, модель классификации. Классификация средств обработки информации.
Требования к функциональности безопасности. Требования к достоверности безопасности. Проверка соответствия информации средствам работы с ней.
Понятие системы защиты информации. Виды обеспечения защиты информации. Служба информационной безопасности. Критерии необходимости создания. Основные понятия, задачи, функции, структура, принципы и этапы создания. Уровень подготовки специалистов. Подбор кадров. Взаимодействие с другими подразделениями организации. Оценка эффективности службы информационной безопасности.
Место информационной безопасности в национальной безопасности страны. Обзор законодательных актов. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Закон Российской Федерации «О государственной тайне». Федеральный закон Российской Федерации «Об информации, информатизации и защите информации».
Тема 2. Угрозы и риски информационной безопасности Понятие угрозы. Естественные и искусственные, случайные и преднамеренные, пассивные и активные, внешние и внутренние и т.п.
угрозы. Источники угроз. Виды угроз: нарушение конфиденциальности, нарушение целостности, нарушение уровня доступности. Виды противников или «нарушителей». Модель нарушителя (злоумышленника).
Типовые модели нападения. Классификация атак. Типовая атака:
снаружи и внутри. Локальные атаки. Удаленные атаки. Атаки на поток данных: пассивные и активные.
Определение вируса. Этапы враждебного воздействия. Основные признаки вирусного поражения. Понятия о видах вирусов. Классификация по среде обитания вируса; по способу заражения среды обитания; по деструктивным возможностям; по особенностям алгоритма вируса. Методы борьбы с вирусами. Обзор антивирусных программ.
информационной безопасности Классификация. Способы реализации. Защита информации в сетях.
Антивирусы, их классификация. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства.
Идентификация и установление подлинности объекта (субъекта).
Объект идентификации и установления подлинности. Идентификация и установление подлинности личности. Идентификация и установление подлинности документов. Идентификация и установление подлинности информации на средствах ее отображения.
Устройства и системы противоправного преднамеренного овладения конфиденциальной информацией.
Модели безопасности и их применение. Модель матрицы доступа:
добровольное и принудительное управление доступом. Модель распространения прав доступа. Модель многоуровневой защиты данных.
Модель безопасности информационных потоков.
безопасности Управление рисками. Методики оценки рисков. Модель качественной оценки. Количественная модель рисков. Определение вероятности события.
Определение стоимости активов. Модель обобщенного стоимостного результата Миоры (GCC). Рейтинги атак. Анализ наиболее уязвимых продуктов и протоколов по рейтингу SANS. Использование списков уязвимостей в управлении рисками.
Классификация систем. Основные средства защиты информации:
технические, программные, криптографические, организационные, Автоматизированные средства защиты информации. Системы управления Современное состояние классификации автоматизированных систем. Первые вычислительные системы. Архитектура «клиент-сервер». Архитектура «клиент-сервер», основанная на Web-технологии. Эталонная модель OSI.
Масштабирование компьютерных сетей. Топология простых локальных Региональные и глобальные сети. Виртуальные сети. Корпоративная сеть.
автоматизированных систем.
Организация рабочего места. Анализ возможных путей утечки информации. Программы контроля и разграничения доступа к информации.
Задачи и общие принципы построения программ контроля и разграничения доступа к информации. Методы борьбы. Резервное копирование, контроль пользователей, защита файлов и папок.
Тема 5.Криптографические методы защиты информации Основные понятия. Процессы в системах засекреченной связи.
шифрования. Симметричные алгоритмы шифрования. Асимметричные алгоритмы шифрования. Синтез и анализ криптографических алгоритмов:
классические шифры, шифры гаммирования и замены, современные системы шифрования; основные принципы построения криптоалгоритмов; основные методы дешифрования; сложность криптографических алгоритмов;
вероятностное шифрование; использование хаоса для шифрования информации; криптографические протоколы, протоколы с нулевым разглашение. Электронно-цифровая подпись. Система электронных выборов.
Тема 6.Технологии построения защищенных ЭИС Основные технологии построения защищенных ЭИС. Место информационной безопасности экономических систем в национальной безопасности страны.
4. УЧЕБНО-МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ ПО ДИСЦИПЛИНЕ
1. Шаньгин В.Ф. Защита компьютерной информации: эффективные методы и средства: учеб. пособие / В.Ф. Шаньгин. – М.: ДМК, 2010. – 543 с.2. Петров А. А. П30 Компьютерная безопасность. Криптографические методы защиты. – М.: ДМК Пресс, 2008. – 448 с. Режим доступа:
http://e.lanbook.com/books/element.php?pl1_cid=25&pl1_id= 3. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства / Шаньгин В. Ф. – М.: ДМК Пресс, 2010. – 544 с.: ил. Режим доступа:
http://e.lanbook.com/books/element.php?pl1_cid=25&pl1_id= 4. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. / В. Ф.
Шаньгин, Москва: ДМК Пресс, 2012. – 592 с.: ил. Режим доступа:
http://e.lanbook.com/books/element.php?pl1_cid=25&pl1_id= 1. Васильков А.В. Безопасность и управление доступом в информационных системах : учеб. пособие / А.В. Васильков, И.А. Васильков. - М.: ФОРУМ, 2010. - 368 с.
2. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей : учеб.
пособие. - М.: ФОРУМ - ИНФРА - М, 2008. - 416 с.
3. Поляков А.М. Безопасность Оracle глазами аудитора: нападение и защита / А.М.
Поляков; под ред. И. Медведовского. - М.: ДМК, 2010. - 335 с.
4. Масленников М. Практическая криптография. - СПб.: БХВ- Петербург, 2003. - 5. Грушо А.А. Тимонина Е.Е. Теоретические основы защиты информации. – М.:
Издательство «Яхтсмен», 1996. – 132 с.
6. Завгородний В.И. Комплексная защита информации в компьютерных системах:
Учеб. пособие для вузов.- М.: Квант, 2002.- 260 с.
7. Конев И., Беляев А. Информационная безопасность предприятия.- СПб. : БХВПетербург, 2003.- 752 с.
8. Петраков А.В. Основы практической защиты информации.- Учеб. пособие. – М.:
Радио и связь, 2000. – 368 с.
9. Программно-аппаратные средства обеспечения информационной безопасности.
Защита программ и данных: Учеб. Пособие для вузов / П.Ю. Белкин, О.О.
Михальский, А.С. Першаков и др. –М.: Радио и связь, 1999 с.-168 с.
10. Программно-аппаратные средства обеспечения информационной безопасности.
Защита в операционных системах: Учеб. Пособие для вузов / В.Г. Проскурин, С.В.
Крутов, И.В. Мацкевич. - М.: Радио и связь, 2000 с.-168 с.
11. Теоретические основы компьютерной безопасности: Учеб. Пособие для вузов / П.Н. Девятин, О.О. Михальский, Д.И. Правиков и др. – Радио и связь, 2000.- 192 с.
12. Храмов В.В. Защита информации в вычислительных системах: Учеб. пособие для вузов. - М.: ПНЦ РАН, 2002.- 318 с.
13. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. – М.:
14. Ловцов Д.А., Сергеев Н.А. Управление безопасностью эргасистем. – М.: РАУУниверситет, 2001. –224 с.
15. Защита от хакеров Web-приложений / Д.Форристал, К. Брумс, Д. Симонс и др. – 16. Разработка защищенных Web-приложений на платформе MS Windows 2000.СПб.: Питер, 2001. – 464 с.
17. Черемных С.В., Семенов И.О., Ручкин В.С. – Структурный анализ систем: IDEF – технологии. – М.: Финансы и статистика, 2001. – 208 с.
18. Черемных С.В., Семенов И.О., Ручкин В.С. – Моделирование и анализ систем.
IDEF –технологии: практикум. – М.: Финансы и статистика, 2002. – 192 с 5. Формы текущего, промежуточного и рубежного контроля
ПРАКТИЧЕСКАЯ РАБОТА
практических работ Нормативно-правовое касающиеся государственной тайны, нормативнообеспечение справочные документы. Назначение и задачи в информационной сфере обеспечения информационной безопасности безопасности на уровне государства. Поиск нормативных Угрозы и риски овладения конфиденциальной информацией.информационной Классификация способов и средств защиты безопасности информации. Модель качественной оценки рисков.
информационной достаточности защиты. Оптимизация затрат на ИБ безопасности по принципу совокупной стоимости владения.
Основы защиты данных ПК Работа с персоналом и оборудованием.
Компьютерные вирусы борьбы с вирусами. Работа с антивирусными Профилактика жесткого дефрагментация диска. Восстановление данных.
диска и восстановление Случайное форматирование, восстановление Методы криптографии и Изучение методов и алгоритмов шифрования, шифрования разработка и отладка программ шифрования Электронная почта и электронные платежи.
Исследование способов защиты Web-приложений Исследование Особенности точности расчета прочности защиты.
автоматизированных Метод построения защиты информации в системах с средств проектирования сосредоточенной обработкой данных.
систем защиты информации Классификация возможных каналов НСД. Метод Проектирование практической стойкости шифров. Разработка и криптозащиты объектов программирование хэш-функции. Криптосистемы.
САМОСТОЯТЕЛЬНАЯ РАБОТА СТУДЕНТА
№ Вопросы, вынесенные на самостоятельную подготовку Данные и информация. Свойства информации. Машинное представление информации. Физическое представление информации и процессы ее обработки Виды и формы представления информации. Носители информации.Виды обеспечения информационной безопасности.
Системный подход к защите информации.
Оценка эффективности службы информационной безопасности.
Изучение правовых актов по защите информации. Закон Российской Федерации «О государственной тайне». Федеральный закон Российской Федерации «Об информации, информатизации и защите информации».
Федеральный закон Российской Федерации «Об электронной цифровой подписи».
Идентификация и установление подлинности личности. Идентификация и установление подлинности документов. Идентификация и установление подлинности информации на средствах ее отображения и печати.
Требования к системам охранной сигнализации. Наружные системы охраны. Традиционные системы. Ультразвуковые системы. Системы прерывания луча. Телевизионные системы. Радиолокационные системы.
Микроволновые системы. Беспроводные системы. Система охранной (пожарной) сигнализации. Система хранения.
Методы добывания ценной информации у персонала.
Порядок работы персонала с конфиденциальными документами и материалами. Обработка изданных документов. Проверка наличия и уничтожение конфиденциальных документов, дел и носителей информации. Порядок уничтожения документов, дел и носителей информации. Формирование и хранение конфиденциальных дел.
Анализ наиболее уязвимых продуктов и протоколов по рейтингу SANS.
Защита информации на машинных носителях. Защита остатков информации. Защита информации в линиях связи. Защита информации при документировании.
Индивидуальная и корпоративная защита от спама и почтовых вирусов.
Защита шифрованием. Алгоритмы шифрования, средства шифрования.
Выполнение реферативной работы
ВОПРОСЫ ДЛЯ ПОДГОТОВКИ К ЭКЗАМЕНУ
1.Определение информационной безопасности.2.Понятие информационной угрозы.
3.Основные задачи защиты информации.
4.Основные угрозы информационной безопасности, их классификации.
5.Потенциально опасные места в компьютерных сетях.
6.Основные виды атак в сетях Internet.
7.Понятие компьютерного вируса, их классификации.
8.Основные этапы враждебного воздействия в информационной среде.
9.Основные виды мероприятий по обеспечению информационной безопасности 10.Классификации мероприятий по обеспечению информационной безопасности.
11.Способы реализации мероприятий по обеспечению информационной безопасности.
12.Методы защиты информации в компьютерных сетях;
13.Методы защиты от атак в сетях Internet;
14.Понятие антивируса, их классификации;
15.Понятие криптографического протокола и криптографического преобразования информации.
16.Цель криптографических методов защиты информации.
17.Понятие системы засекреченной связи. Процессы в системах засекреченной связи.
18.Понятие стойкости алгоритмов шифрования. Понятие времени жизни информации.
19.Классификация алгоритмов шифрования.
20.Основные симметричные алгоритмы шифрования.
21.Основы асимметричных алгоритмов шифрования.
22.Обмен открытым ключом. Алгоритм RSA.
23.Основные асимметричные алгоритмы шифрования;
24.Электронно-цифровая подпись. Хэш-функции.
25.Система электронных выборов.
26.Основные технологии построения защищенных ЭИС.
27.Место информационной безопасности экономических систем в национальной безопасности страны.
28. Концепция информационной безопасности.
ТЕМАТИКА РЕФЕРАТОВ
1. Сравнительный анализ отечественной и зарубежной нормативно-правовой базы по информационной безопасности 2. Методика инвентаризации объектов информатизации на базе стандарта CCITSE.3. Отечественные критерии защищенности информационных систем.
4. Зарубежные критерии защищенности информационных систем.
5. Сравнительный анализ методик выявления угроз информационной системе 6. Методы и программные комплексы оценки рисков коммерческих информационных систем 7. Национальная безопасность и ее отражение в правовых документах России по информационной безопасности.
8. Имитационная модель нарушителя информационной безопасности 9. Способы и модели для учета человеческого фактора в обеспечении информационной безопасности 10. Аппаратные средства обнаружения факта и места утечки конфиденциальной информации 11. Модель многоуровневой защиты данных (модель Д.Белла- ЛаПадула).
12. Автоматизированные средства защиты информации.
13. Обзор программ контроля и разграничения доступа к информации 14. Способы контроля целостности программного обеспечения и информации.
15. Выбор антивирусных программ для ИС.
16. Индивидуальная и корпоративная защита от спама и почтовых вирусов.
17. Протоколы сетевой безопасности Изменения и дополнения, вносимые в рабочую программу по итогам ее ежегодного рассмотрения на кафедре и переутверждения в установленном порядке, указываются в Приложении №2 к рабочей программе.
Сведения о переутверждении РП на текущий учебный год и регистрация изменения год изменений разработчик программа изменения