Новокузнецкий филиал-институт
государственного образовательного учреждения
высшего профессионального образования
«Кемеровский государственный университет»
Экономический факультет
Кафедра информационных систем и управления им.
УЧЕБНО-МЕТОДИЧЕСКИЙ КОМПЛЕКС
ДИСЦИПЛИНЫ
(ДС. Р) ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
(код и название дисциплины по учебному плану специальности)
Для специальности 080105 «Финансы и кредит»
(код и название специальности)
Цикл дисциплин учебного плана _________ДС_____________
(ОГСЭ, ЕН, ОПД, СД, ДС)
Компонент учебного плана: ___ региональный____________
(федеральный, региональный, вузовский)
Формы обучения очная, заочная (полная)
Новокузнецк
Новокузнецкий филиал-институт
Государственного образовательного учреждения
высшего профессионального образования
«Кемеровский государственный университет»
СОГЛАСОВАНО: Заведующий выпускающей кафедрой ИСУ
(подпись) «_07_»__сентября___2006 г | УТВЕРЖДАЮ: Декан факультета ИТ
(подпись) «_07_»__сентября___2006 г |
РАБОЧАЯ ПРОГРАММА УЧЕБНОЙ ДИСЦИПЛИНЫ
Информационная безопасность
(название дисциплины )
Для специальности ________080105 «Финансы и кредит»
(код и название специальности, учебного плана)
Входит в состав цикла дисциплин
ДС. Р
Входит в состав компонента учебного плана:
региональный
(федеральный, региональный, вузовский)
Для факультета экономического
Всего часов __60___ Экзамен 9
Лекции __16_____(часов) Самостоятельная работа 28
Лабораторные __16_____(часов)
Составители: ассистент
Новокузнецк
Рабочая программа учебной дисциплины составлена на основании
Государственного образовательного стандарта высшего образования по специальности 080105 «Финансы и кредит» __________
(название типовой программы, дата ее утверждения УМО по специальности)
Рабочая программа учебной дисциплины обсуждена на заседании
кафедры информационных систем и управления
факультета информационных технологий
Протокол №__1___ от «__2___» ___сентября___2006 г.
 |
Зав. кафедрой ____________________
(подпись)
Одобрено методической комиссией факультета
информационных технологий
Протокол № _1__от «__07___» ___сентября___ 2006 г.
Председатель
методической комиссии ___________________
Рабочая программа согласована с выпускающей кафедрой
Кафедра | Специальность | Ф. И.О. заведующего кафедрой | Согласовано | |
Дата | подпись | |||
Финансы | Финансы и кредит |
Пояснительная записка
Цель и задачи дисциплины
Непосредственно с рассматриваемыми вопросами информационной безопасности связаны современные аспекты информационных технологий – наличие и широкое использование безналичных платежей, осуществляемых при помощи «электронных денег», которые тоже являются предметом защиты при выполнении всех операций с ними.
Заключительный раздел учебно-методического комплекса охватывает вопросы криптографии как программно-аппаратного метода защиты информации, метода, при помощи которого производятся все операции с информацией, которую необходимо защитить от несанкционированного доступа.
Целью курса «Информационная безопасность» является научить студента решать задачи, связанные с обеспечением информационной безопасности при проектировании, внедрении и эксплуатации информационных систем. Содержание учебно-методического комплекса призвано показать значимость решения проблем обеспечения информационной безопасности при разработке и функционировании экономических информационных систем.
Целью данного учебно-методического комплекса является формирование у студентов экономических специальностей необходимого объема знаний идейных и концептуальных основ информационной безопасности, основных положений, подходов и методов ее обеспечения. Следует понимать и помнить, что экономическая безопасность предприятия и его информационная безопасность являются единым и неразделим целым.
Перечень дисциплин необходимых для изучения курса: «Информатика и программирование», «Информационные системы», «Информационные технологии», «Проектирование информационных систем», «Современные проблемы сетевых и телекоммуникационных технологий», «Вычислительные системы, сети и телекоммуникации».
Стандарт УМК «Информационная безопасность» включает:
1. Электронный курс лекций в формате HTML.
2. Тестирующую систему (локальную).
3. Администрирование (изменение параметров курса лекций и тестов).
4. Рабочую программу.
2. Учебно-тематический план учебной дисциплины
Тема | Количествочасов | Количествочасов | ||||
ДО | ЗО | |||||
Лекции | Лаборатор. | Сам. раб. | Лекции | Лаборатор. | Сам. раб. | |
1. Введение в предмет | 4 | 4 | 2 | 1 | 15 | |
2. Угрозы информационной безопасности. Международные стандарты информационного обмена. | 2 | 2 | 3 | 1 | 1 | 10 |
3. Основные понятия теории информационной безопасности Понятие угрозы. Информационная безопасность в условиях функционирования в России глобальных сетей. | 2 | 2 | 2 | 1 | 5 | |
4. Программно-технические методы защиты | 2 | 2 | 3 | 2 | 1 | 5 |
5. Криптографические методы защиты | 2 | 2 | 2 | 1 | 5 | |
6. Организационно-правовые методы информационной безопасности. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. | 4 | 4 | 3 | 1 | 1 | 5 |
7. Роль стандартов в обеспечении информационной безопасности. Основные технологии построения защищенных ЭИС. Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности. | 5 | 5 | 8 | 2 | 5 | |
8. Технологии построения защищенных систем | 5 | 6 | 5 | 1 | 1 | 5 |
Всего | 16 | 16 | 28 | 8 | 4 | 48 |
Тема | Количествочасов | ||
ЗО сокращенная | |||
Лекции | Лаборатор. | Сам. раб. | |
Введение в предмет | 1 | 1 | 10 |
Угрозы информационной безопасности. Международные стандарты информационного обмена. | 12 | ||
Основные понятия теории информационной безопасности Понятие угрозы. Информационная безопасность в условиях функционирования в России глобальных сетей. | 1 | 14 | |
Программно-технические методы защиты | 4 | ||
Криптографические методы защиты | 4 | ||
Организационно-правовые методы информационной безопасности. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. | 1 | 1 | 4 |
Роль стандартов в обеспечении информационной безопасности. Основные технологии построения защищенных ЭИС. Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности. | 2 | ||
Технологии построения защищенных систем | 1 | 4 | |
Всего | 2 | 4 | 54 |
Лист - вкладка рабочей программы учебной дисциплины
Информационная безопасность, ДС. Р
название дисциплины, цикл, компонент
Дополнения и изменения в рабочей программе учебной дисциплины
Сведения о переутверждении РП на очередной учебный год
и регистрация изменений
№ изменения | Учебный год | Учебная группа /Рабочий УП | Содержание изменений и решение кафедры – разработчика / № протокола, дата, подпись зав. кафедрой | Преподаватель- разработчик программы | Решение выпускающей кафедры / № протокола, дата, подпись зав. кафедрой | Декан факультета (подпись) |
1 | Ф-02 | Программа приведена в соответствие с требованиями, протокол от 01.01.2001.
| Утвердить Протокол № 1 от 30.08.06г.
|
| ||
2 | Ф-03 | Принята без изменений Протокол № 29.08.2007.
| Утвердить Протокол № 1 от 29.08.07г.
|
| ||
33 | Ф-04 ФЗ-04 | Принята без изменений Протокол № от 01.01.2001.
| Утвердить Протокол № 1 от 29.08.08г.
|
|
Примечания:
· В случае отсутствия изменений и дополнений вместо содержания изменений вносится запись «Принята без изменений».
· Тексты изменений прилагаются к тексту рабочей программы обязательно.
Лист – вкладка рабочей программы учебной дисциплины
Информационная безопасность, ДС. Р
название дисциплины, цикл, компонент
Список основной учебной литературы
*Указания о контроле на момент переутверждения программы | Сведения об учебниках | Соответствие ГОС (для федеральных дисциплин) или соответствия требованиям ООП (для региональных и вузовских) - указание на недостаточно отраженные в учебнике разделы | Количество экземпляров в библиотеке на момент переутверждения программы | |||
Дата | Внесение, продление или исключение / Подпись отв. за метод работу | Наименование, гриф | Автор | Год издания | ||
1 | 2 | 3 | 4 | 5 | 6 | 7 |
02.09.06 | Внесение | , . Защита информации в распределённых корпоративных сетях и системах. М., ДМК, 2002. | , . | 2002. | Соответствует требованиям ООП | 3 |
Список дополнительной учебной литературы | ||||||
02.09.06 | Внесение | Интернет: протоколы безопасности. – СПб, Питер, | 2001. | 10 | ||
02.09.06 | Внесение | , Ивашко безопасности информационных систем. М., Горячая линия-Телеком. | , | 2000 | 1 |
Содержание курса
Тема 1. Введение в предмет
Понятие информационной безопасности и защищенной системы. Необходимость защиты информационных систем и телекоммуникаций. Технические предпосылки кризиса информационной безопасности. Информационная безопасность в условиях функционирования в России глобальных сетей. Основные задачи обеспечения защиты информации.
Основные методы и средства защиты информационных систем.
Тема 2. Угрозы информационной безопасности
Понятие угрозы. Виды противников или «нарушителей». Виды возможных нарушений информационной системы. Анализ угроз информационной безопасности. Классификация видов угроз информационной безопасности по различным признакам (по природе возникновения, степени преднамеренности и т. п.).
Свойства информации: конфиденциальность, доступность, целостность. Угроза раскрытия параметров системы, угроза нарушения конфиденциальности, угроза нарушения целостности, угроза отказа служб. Примеры реализации угроз информационной безопасности.
Защита информации. Основные принципы обеспечения информационной безопасности в автоматизированных системах. Причины, виды и каналы утечки информации.
Тема 3. Основные понятия теории информационной безопасности
Основные положения теории информационной безопасности информационных систем. Формальные модели безопасности их значение для построения защищенных информационных систем. Понятие доступа к данным и монитора безопасности. Функции монитора безопасности.
Понятие политики безопасности информационных систем. Разработка и реализация политики безопасности. Управление доступом к данным. Основные типы политики безопасности управления доступом к данным: дискреционная и мандатная политика безопасности.
Анализ способов нарушений безопасности. Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование.
Тема 4. Программно-технические методы защиты
Общее представление о структуре защищенной информационной системы. Особенности современных информационных систем, факторы влияющие на безопасность информационной системы. Понятие информационного сервиса безопасности. Виды сервисов безопасности.
Идентификация и аутентификация. Парольные схемы аутентификации. Симметричные схемы аутентификации субъекта. Несимметричные схемы аутентификации (с открытым ключом). Аутентификация с третьей доверенной стороной (схема Kerberos). Токены, смарт-карты, их применение. Использование биометрических данных при аутентификации пользователей.
Сервисы управления доступом. Механизмы доступа данных в операционных системах, системах управления базами данных. Ролевая модель управления доступом.
Протоколирование и аудит. Задачи и функции аудита. Структура журналов аудита. Активный аудит, методы активного аудита.
Обеспечение защиты корпоративной информационной среды от атак на информационные сервисы. Защита Интернет-подключений, функции и назначение межсетевых экранов. Понятие демилитаризованной зоны. Виртуальные частные сети (VPN), их назначение и использование в корпоративных информационных системах.
Защита данных и сервисов от воздействия вредоносных программ. Вирусы, троянские программы. Антивирусное программное обеспечение. Защита системы электронной почты. Спам, борьба со спамом.
Тема 5. Криптографические методы защиты
Методы криптографии. Средства криптографической защиты информации (СКЗИ). Криптографические преобразования. Шифрование и дешифрование информации.
Причины нарушения безопасности информации при ее обработке СКЗИ (утечки информации по техническому каналу, неисправности в элементах СКЗИ, работа совместно с другими программами).
Использование криптографических средств для решения задач идентификация и аутентификация.
Электронная цифровая подпись (ЭЦП), принципы ее формирования и использования. Подтверждение подлинности объектов и субъектов нформациионной системы.
Контроль за целостностью информации. Хэш-функции, принципы использования хэш-функций для обеспечения целостности данных.
Тема 6. Организационно-правовые методы информационной безопасности
Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства. Особенности сертификации и стандартизации криптографических услуг. Законодательная база информационной безопасности. Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности.
Тема 7. Роль стандартов в обеспечении информационной безопасности
Роль стандартов информационной безопасности. Квалификационный анализ уровня безопасности.
Критерии безопасности компьютерных систем министерства обороны США (“Оранжевая книга”). Базовые требования безопасности: требования политики безопасности, требования подотчетности (аудита), требования корректности. Классы защищенности компьютерных систем. Интерпретация и развитие Критериев безопасности.
Руководящие документы Гостехкомиссии России. Структура требований безопасности. Основные положения концепции защиты средств вычислительной техники от несанкционированного доступа (НСД) к информации. Показатели защищенности средств вычислительной техники от НСД. Классы защищенности автоматизированных систем.
Международные стандарты информационной безоапсности. Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» («Единые критерии»). Основные положения Единых критериев. Функциональные требования и требования доверия. Понятие Профиля защиты и Проекта защиты.
Тема 8. Технологии построения защищенных систем
Использование защищенных компьютерных систем. Общие принципы построения защищенных систем. Иерархический метод разработки защищенных систем. Структурный принцип. Принцип модульного программирования.
Исследование корректности реализации и верификации автоматизированных систем. Спецификация требований предъявляемых к системе.
Основные этапы разработки защищенной системы: определение политики безопасности, проектирование модели ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной политике безопасности.
4. Тематика лабораторных работ
Тема1. Исследование защиты с применением пароля, а также исследование методов противодействия атакам на пароль.
Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Актуальность проблемы защиты информации. Признаки компьютерных преступлений. Информационная безопасность. Преступления и злоупотребления
1. , , «Защита информации в компьютерных системах и сетях/Под ред. . – 2-е изд., перераб. И доп. – М.: радио и связь, 2001 г.
2. Теоретические основы компьютерной безопасности: Учеб. Пособие для вузов / , , и др. – М.: Радио и связь, 2000 г.
3. , Комплексная защита информации в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ , 2001 г.
Тема 2. Методы современной криптографии на примере программирования одного из предложенных алгоритмов.
Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Признаки уязвимых мест в информационной безопасности. Меры защиты информационной безопасности. Защита целостности информации. Защита системных программ. Физическая безопасность технических средств.
Тема 3. Освоение программных продуктов AVP( «Антивирус Касперского »), Dr. Web, ADinf, а так же пополнение информации о существующих вирусах.
Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Преступления и злоупотребления. Меры физической безопасности. Информационная безопасность в Intranet. Административный уровень. Процедурный уровень. Управление доступом путем фильтрации информации.
1. , . Стандарт шифрования данных: прошлое и будущее. /пер. с англ./ М., Мир, ТИИЭР.–1988.–т.76.–N5.
2.Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования ГОСТ 28147–89, М., Госстандарт, 1989.
Тема 4.Изучение принципов аутентификации пользователей в Web-системах на примере РНР-сеансов.
Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Правовые и организационные методы защиты информации в компьютерных системах. Правовое регулирование в области безопасности информации. Политика государства РФ в области безопасности информационных технологий. Законодательная база информатизации общества.
1. , . Цифровая подпись на основе традиционной криптографии//Защита информации, вып.2.,М.: МП "Ирбис-II",1992.
2. У. Диффи. Первые десять лет криптографии с открытым ключом. /пер. с англ./ М., Мир, ТИИЭР.–1988.–т.76.–N5.
3. "Стандарт шифрования ДЕС", Монитор 03г. С.
Тема 5. Основные методы криптографической защиты информации.
Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Структура государственных органов, обеспечивающих безопасность информационных технологий. Общая характеристика организационных методов защиты информации в компьютерных системах. Защита информации в компьютерных системах от случайных угроз. Дублирование информации.
1. Экономическая безопасность: производство — финансы — банки / Под ред. . М.: ЗАО "Финстатинформ".-200с.
2. Ярочкин безопасности коммерческого предприятия. М.: Ось-89, 19с.
3. . ГОСТ не прост..,а очень прост, М., Монитор.–1995.–N1.
Тема 6. Установка и конфигурирование Apache в ОС Linux. Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Правовые и организационные методы защиты информации в компьютерных системах. Правовое регулирование в области безопасности информации. Политика государства РФ в области безопасности информационных технологий. Законодательная база информатизации общества.
1. , . Цифровая подпись на основе традиционной криптографии//Защита информации, вып.2.,М.: МП "Ирбис-II",1992.
2. У. Диффи. Первые десять лет криптографии с открытым ключом. /пер. с англ./ М., Мир, ТИИЭР.–1988.–т.76.–N5.
3. "Стандарт шифрования ДЕС", Монитор 03г. С.
Тема 7. Установка и конфигурирование SAMBA-Server в ОС Linux.
Фундаментальные понятия и перечень литературы необходимых для выполнения лабораторных работ:
Структура государственных органов, обеспечивающих безопасность информационных технологий. Общая характеристика организационных методов защиты информации в компьютерных системах. Защита информации в компьютерных системах от случайных угроз. Дублирование информации.
1. Экономическая безопасность: производство — финансы — банки / Под ред. . М.: ЗАО "Финстатинформ".-200с.
2. Ярочкин безопасности коммерческого предприятия. М.: Ось-89, 19с.
3. . ГОСТ не прост..,а очень прост, М., Монитор.–1995.–N1.
Тема | Количествочасов | Количествочасов | Количествочасов |
ДО | ЗО | ЗО сокращ. | |
Лаборатор. | Лаборатор. | Лаборатор. | |
Тема 1. | 2 | 1 | 1 |
Тема 2. | 2 | 1 | |
Тема 3. | 3 | 2 | |
Тема 4. | 2 | 1 | |
Тема 5. | 2 | 1 | 1 |
Тема 6. | 2 | 1 | |
Тема 7. | 2 | 1 | |
Всего | 15 | 8 | 2 |
5. Требования к уровню освоения дисциплины
В результате изучения дисциплины студенты должны:
- иметь представление о:
· задачах построения защищенных ЭИС;
· методах криптографической защиты;
· концепции информационной безопасности;
- знать:
· виды угроз информационной безопасности;
· методы и средства борьбы с угрозами информационной безопасности;
· понятие политики безопасности, существующие типы политик безопасности;
· принципы обеспечения информационной безопасности;
· существующие стандарты информационной безопасности;
· нормативные руководящие документы, касающиеся государственной тайны;
- уметь:
· выполнять анализ способов нарушений информационной безопасности;
· использовать методы и средства защиты данных.
6. ЗАДАНИЯ К САМОСТОЯТЕЛЬНОЙ РАБОТЕ
Тема | Количествочасов | Количествочасов | Количествочасов |
ДО | ЗО | ЗО сокращ. | |
Сам. раб. | Сам. раб. | Сам. раб. | |
1. Освоение программных продуктов AVP. Пополнение программ о существующих вирусах. | 4 | 10 | 14 |
2. Изучение принципов аутентификации пользователей в Web-системах на примере РНР-сеансов. | 4 | 5 | 6 |
3. Основные понятия теории информационной безопасности Понятие угрозы. Информационная безопасность в условиях функционирования в России глобальных сетей. | 4 | 5 | 6 |
4. Исследования защиты с применениями пароля, а также методами противодействия атакам на пароль. | 4 | 6 | 6 |
5. Основные методы криптографического моделирования защиты. | 6 | 6 | 6 |
6. Практические навыки по криптографическому преобразованию информации. | 4 | 6 | 6 |
7. Методы програмирования на основе предложенного алгоритма | 4 | 6 | 6 |
Всего | 28 | 48 | 54 |
*Теоретический материал(самостоятельная работа):
Тема 1. Системное администрирование в сетях Unix (3 часа).
Общие задачи системного администрирования. Управление пользователями. Управление устройствами. Управление обновлением программного обеспечения. Планирование разворачивания системы: планирование файловой системы, обеспечение расширяемости, совместимости, надежности, основные принципы проектирования сети (требования, выбор технологии, смета, инфраструктура).
Тема 2. Системное администрирование в сетях Windows NT (3 часа).
Общие задачи системного администрирования. Управление пользователями. Управление устройствами. Управление обновлением программного обеспечения. Планирование разворачивания системы: планирование файловой системы, обеспечение расширяемости, совместимости, надежности, основные принципы проектирования сети (требования, выбор технологии, смета, инфраструктура).
Тема 3. Доменная модель Windows NT (3 часа).
Понятие о доменах. Отличительные особенности доменной модели от других способов поддержания аутентичности. Понятие и свойства Active Directory.
Проектирование доменной модели (стандарты именования X.500, доверительные отношения), формирование инфраструктуры (планирование мощности, проектирование платформы), сетевые концепции и службы.
Тема 4. Брандмауэр и Proxy-сервер (3 часа).
Назначение и функционирование брандмауэра. Конфигурирование брандмауэра на примере ip-tables. Назначение и конфигурирование Proxy-сервера WinGate.
Тема 5. Устройство систем электронной почты (6 часов).
Реализация электронной почты на основе почтового сервера Mercur SMTP/POP3/IMAP4 Server для ОС Windows, понятие свободного релея, анти-спамовые меры.
Тема 6. Устройство Web-сервера (7 часов).
На примере IIS 5.0 (Internet Information Server): установка, управление (CGI, SSI, виртуальные серверы, виртуальные каталоги, безопасные транзакции — SSL), возможности, безопасность, нагрузка.
Тема 7. Взаимодействие Unix и Windows NT (7 часов).
Роль ОС Unix и Windows NT в современных сетях.
Типичные задачи интеграции сетей под управлением Unix и WindowsNT.
Файловые средства: основы SMB, SAMBA (установка и конфигурирование, идентификация с помощью SAMBA, запуск), NFS (введение, права доступа, именование файлов, экспорт и монтирование файловых систем). Смешанные конфигурации печати.
ЛИТЕРАТУРА
1. Технологии корпоративных сетей. Энциклопедия. – СПб.: ПИТЕР, 1999. — 704 с., ил.
2., Олифер сети. Принципы, технологии, протоколы – СПб., ПИТЕР, 1999. — 672 с., ил.
3. Перспектива: Windows NT 5.0. – М.: Издательский отдел «Русская редакция» ТОО «Channel Trading», 1998 — 392., ил.
4. Интеграция Windows NT и Unix. – СПб.: BHV, 1998. — 464 с., ил.
5. Сети предприятий на основе Windows NT. – СПб.: ПИТЕР, 1999. — 448 с., ил.
6.Сетевые средства Microsoft Windows NT Server 4.0; перев. с англ. СПб.: — BHV — 1997.
*Практические задачи (самостоятельная работа):
1.Установка и конфигурирование IIS 5.0 в ОС Windows NT 2000 Server.(7 часов)
2.Установка и конфигурирование Mercur SMTP POP3 IMAP4 Server в ОС Windows NT 2000 Server.(8 часов)
3.Установка и конфигурирование MS DNS Server в ОС Windows NT 2000 Server. (10 часов)
4.Установка и конфигурирование Apache в ОС Linux.(6 часов)
5.Установка и конфигурирование SAMBA-Server в ОС Linux.(6 часов)
7. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПРЕПОДАВАТЕЛЮ
Целью методических рекомендаций является повышение эффективности теоретических и практических занятий вследствие более четкой их организации преподавателем, создания целевых установок по каждой теме, систематизации материала по курсу, взаимосвязи тем курса, полного материального и методического обеспечения образовательного процесса.
Средства обеспечения освоения дисциплины.
При изучении дисциплины рекомендуется использовать следующие средства:
рекомендуемую основную литературу;(пункт 8. УМК)
методические указания и пособия;
лабораторные задания для закрепления теоретического материала;(пункт 4.УМК).
Методические рекомендации по организации изучения дисциплины.
Для максимального усвоения дисциплины рекомендуется изложение лекционного материала с элементами обсуждения.
Для максимального усвоения дисциплины рекомендуется проведение письменного опроса (тестирование) студентов по материалам лекций и практических работ, а именно: тема 2, 4 и 7. Подборка вопросов для тестирования осуществляется на основе изученного теоретического материала (пункт 9. УМК). Такой подход позволяет повысить мотивацию студентов при конспектировании лекционного материала.
Для освоения навыков поисковой и исследовательской деятельности студент пишет контрольную работу по выбранной (свободной) теме.
8. Список использованной литературы
1. Акофф в больших экономических системах / Пер. с англ. ; Под ред. . М.: Сов. радио, 19с.
2. Безопасность: Информационный сборник фонда национальной и международной безопасности. М.: 1998. 310 с.
3. , Юдин и сущность системного подхода. М.: Наука, 19с.
4. , , Коваленко по теории сложных систем. М.: Сов. радио, 19с.
5. Вопросы инновационной политики и экономической безопасности деятельности предприятий / Под ред. . М.: РЭА им. , 19с.
6. Гончаренко и информационная модели создания системы безопасности личности // Проблемы национальной безопасности. М.: Ун-т дружбы народов, 1998. С. 62—69.
7. Илларионов экономической безопасности // Вопросы экономики. 1998. № 10. С. 35—58.
8. Комплексная методика диагностики влияния энергетического фактора на экономическую безопасность субъектов РФ: Препринт/ и др. Москва-Екатеринбург: УрО РАН.- 1997.-86 с.
9. Матвеев методов исследования экономической безопасности: Учеб.-метод. пособие для дистанционного обучения. М.: Рос. экон. акад., 19с.
10. Опнер анализ для решения деловых и промышленных проблем / Пер. с англ. . М.: Сов. радио, 19с.
11. Стратегия информационной безопасности и инновационной политики / Под ред. . М.: ВА им. ского. - 2003.-271 с.
12. Экономическая безопасность: производство — финансы — банки / Под ред. . М.: ЗАО "Финстатинформ".-200с.
13. Ярочкин безопасности коммерческого предприятия. М.: Ось-89, 19с.
14. . ГОСТ не прост..,а очень прост, М., Монитор.–1995.–N1.
15. Ю. Винокуров. Еще раз про ГОСТ., М., Монитор.–1995.–N5.
16. . Алгоритм шифрования ГОСТ , его использование и реализация для компьютеров платформы Intel x86., Рукопись, 1997.
17. . Как устроен блочный шифр?, Рукопись, 1995.
18. , . Стандарт шифрования данных: прошлое и будущее. /пер. с англ./ М., Мир, ТИИЭР.–1988.–т.76.–N5.
19. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования ГОСТ 28147–89, М., Госстандарт, 1989.
20. , . Цифровая подпись на основе традиционной криптографии//Защита информации, вып.2.,М.: МП "Ирбис-II",1992.
21. У. Диффи. Первые десять лет криптографии с открытым ключом. /пер. с англ./ М., Мир, ТИИЭР.–1988.–т.76.–N5.
22. "Стандарт шифрования ДЕС", Монитор 03г. С.
23. Воробьев, "Защита информации в персональных ЗВМ", изд. Мир, 1993 г.
24. "Криптографические методы", Компьютер Пресс 05.93 г.
25. "Механизмы защиты в сетях ЭВМ", изд. Мир, 1993 г.
26. , , «Защита информации в компьютерных системах и сетях/Под ред. . – 2-е изд., перераб. И доп. – М.: радио и связь, 2001 г.
9. Вопросы к ЗАЧЕТУ
Вопросы к экзамену по курсу “Информационная безопасность”
Тема 1 «Введение в предмет»
1. Классификация угроз информационной безопасности автоматизированных систем по базовым признакам.
2. Угроза нарушения конфиденциальности. Особенности и примеры реализации угрозы.
3. Угроза нарушения целостности данных. Особенности и примеры реализации угрозы.
4. Угроза отказа служб (угроза отказа в доступе). Особенности и примеры реализации угрозы.
5. Угроза раскрытия параметров системы. Особенности и примеры реализации угрозы.
Тема 2 «Угрозы информационной безопасности. Международные стандарты информационного обмена.»
6. Понятие политики безопасности информационных систем. Назначение политики безопасности.
7. Основные типы политики безопасности доступа к данным. Дискреционные и мандатные политики.
8. Требования к системам криптографической защиты: криптографические требования, требования надежности, требования по защите от НСД, требования к средствам разработки.
9. Законодательный уровень обеспечения информационной безопасности. Основные законодательные акты РФ в области защиты информации.
Тема 3 «Основные понятия теории информационной безопасности Понятие угрозы. Информационная безопасность в условиях функционирования в России глобальных сетей.»
10. Функции и назначение стандартов информационной безопасности. Примеры стандартов, их роль при проектировании и разработке информационных систем.
11. Критерии оценки безопасности компьютерных систем («Оранжевая книга»). Структура требований безопасности. Классы защищенности.
12. Основные положения руководящих документов Гостехкомиссии России. Классификация автоматизированных систем по классам защищенности. Показатели защищенности средств вычислительной техники от несанкционированного доступа.
Тема 4 «Программно-технические методы защиты»
13. Единые критерии безопасности информационных технологий. Понятие профиля защиты. Структура профиля защиты.
14. Единые критерии безопасности информационных технологий. Проект защиты. Требования безопасности (функциональные требования и требования адекватности).
15. Административный уровень защиты информации. Задачи различных уровней управления в решении задачи обеспечения информационной безопасности.
16. Процедурный уровень обеспечения безопасности. Авторизация пользователей в информационной системе.
17. Идентификация и аутентификация при входе в информационную систему. Использование парольных схем. Недостатки парольных схем.
Тема 5 «Криптографические методы защиты»
18. Идентификация и аутентификация пользователей. Применение программно-аппаратных средств аутентификации (смарт-карты, токены).
19. Биометрические средства идентификации и аутентификации пользователей.
20. Аутентификация субъектов в распределенных системах, проблемы и решения. Схема Kerberos.
21. Аудит в информационных системах. Функции и назначение аудита, его роль в обеспечении информационной безопасности.
22. Понятие электронной цифровой подписи. Процедуры формирования цифровой подписи.
23. Законодательный уровень применения цифровой подписи.
24. Методы несимметричного шифрования. Использование несимметричного шифрования для обеспечения целостности данных.
25. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.
Тема 6 «Организационно-правовые методы информационной безопасности. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы.»
26. Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности.
27. Средства обеспечения информационной безопасности в ОС Windows’2000. Разграничение доступа к данным. Групповая политика.
28. Применение файловой системы NTFS для обеспечения информационной безопасности в Windows NT/2000/XP. Списки контроля доступа к данным (ACL) их роль в разграничении доступа к данным.
29. Применение средств Windows 2000/XP для предотвращения угроз раскрытия конфиденциальности данных. Шифрование данных. Функции и назначение EFS.
Тема 7 «Роль стандартов в обеспечении информационной безопасности. Основные технологии построения защищенных ЭИС. Место информационной безопасности экономических систем в национальной безопасности страны. Концепция информационной безопасности.»
30. Разграничение доступа к данным в ОС семейства UNIX.
31. Пользователи и группы в ОС UNIX.
32. Пользователи и группы в ОС Windows’2000.
33. Основные этапы разработки защищенной системы: определение политики безопасности, проектирование модели ИС, разработка кода ИС, обеспечение гарантий соответствия реализации заданной политике безопасности.
34. Причины нарушения безопасности информации при ее обработке криптографическими средствами.
35. Понятие атаки на систему информационной безопасности. Особенности локальных атак.
36. Распределенные информационные системы. Удаленные атаки на информационную систему.
37. Каналы передачи данных. Утечка информации. Атаки на каналы передачи данных.
Тема 8 «Технологии построения защищенных систем»
38. Физические средства обеспечения информационной безопасности.
39. Электронная почта. Проблемы обеспечения безопасности почтовых сервисов и их решения.
40. Вирусы и методы борьбы с ними. Антивирусные программы и пакеты.
41. Программно-аппаратные защиты информационных ресурсов в Интернет. Межсетевые экраны, их функции и назначения.
42. Виртуальные частные сети, их функции и назначение
