Д. В. УШАКОВ, Д. А. БОРИСКИН
Научный руководитель – , к. т.н., доцент
Московский инженерно-физический институт (государственный университет)
IPICS – ОДИН ИЗ СПОСОБОВ ИНТЕНСИВНОГО ОБУЧЕНИЯ ВОПРОСАМ БЕЗОПАСНОСТИ
В статье рассказывается о впечатлениях от прошедшей этим летом международной студенческой летней школы IPICS.
Этим летом в Греции проходила очередная, 5-я по счёту, летняя школа IPICS (Intensive Program on Information and Communication Technologies Security). Она ничем бы особо не выделялась среди подобных событий, если бы не одно «но»: в этом году посетить мероприятие, организуемое в рамках стран-участниц Европейского союза, официальное приглашение получила российская сторона, а именно МИФИ. Впечатлениями о прочитанных лекциях нам и хотелось бы поделиться.
Продолжительность летней школы составляет 60 часов - 10 рабочих дней по 6 часов. За это время лучшие профессора ведущих Европейских университетов прочитали лекции по следующим темам: введение в обеспечение информационной безопасности (ИБ), криптология, защита в сетях, защита баз данных и юридические аспекты защиты информации.
Вводная лекция (18 часов) позволила слушателям повторить (или узнать) практически всё аспекты обеспечения ИБ: составляющие проблемы ИБ, подходы к обеспечению ИБ, классификация угроз и нарушителей, основные разновидности атак. Это была одна из самых интересных лекций по следующим причинам. Во-первых, качество сопроводительного материала и организация самих лекций были на высоте, профессора держали аудиторию в постоянном напряжении не заумными фразами или уловками, а «живым» изложением, постоянными ссылками на конкретные практические примеры и доходчивыми объяснениями. Во-вторых, благодаря грамотному и чёткому построению занятия, лекторам удалось охватить большую часть курсов, посвящённых обеспечению ИБ, что сразу же настроило участников на соответствующий лад и позволило освежить в памяти изрядно подзабытые знания, полученные нами на 3-4-м курсах.
Криптология (12 часов) переключила нас на чисто технические аспекты обеспечения конфиденциальности и целостности информации, а также проблемы аутентификации участников информационного обмена. Особенно приятно то, что основное внимание уделялось даже не столько описаниям самих протоколов шифрования и подписи сообщений, сколько сравнению их достоинств и недостатков, рассмотрению особенностей различных режимов шифрования, а также методикам дешифрования и криптографического анализа. Если с алгоритмом работы конкретного шифра не сложно разобраться по публикациям, то поднабраться опыта и советов в области криптоанализа зачастую просто негде.
18 часов, посвящённых защите в сетях, были одними из самых напряжённых. Мало того, что сети – это одна из наиболее динамично развивающихся сегодня областей информационных технологий, так ей ещё и посвящена значительная часть стандартов и рекомендаций по обеспечению ИБ. Жаль только, что отведённого времени было слишком мало для подробного рассмотрения средств и способов обеспечения безопасности на различных уровнях модели ISO/OSI, сетевых уязвимостей, удалённых атак и обнаружению и предотвращению вторжений. Особый упор был сделан на такие повседневные и, следовательно, важные задачи, как безопасность почтовых сообщений, www-транзакций.
Массу положительных эмоций появилось и после прослушивания 6-часового раздела, посвящённого безопасности баз данных. Базовые механизмы обеспечения безопасности (идентификация, аутентификация и авторизация, поддержание целостности, аудит), «плоские» и многоуровневые модели безопасности. Много внимания уделялось использованию «просмотров» (views) для реализации дискреционной модели доступа и нововведениям стандарта SQL’92 по части управления привилегиями пользователей. Достаточно интересным был раздел по пока мало распространённым, но перспективным «объединениям баз данных» (Database Federations).
Последний день летней школы был настоящим праздником для людей, увлечённых юриспруденцией. Заключительная лекция была посвящена правовым вопросам обеспечения ИБ, интерес к которым подстрекается бурным развитием Интернет и электронных средств сбора и обработки информации. Подробно рассматривалась эволюция понятия «личности» (privacy) и связанные с ним принятые недавно Директивы Европейского Союза. Эта часть была, наверное, если не самой интересной, то, пожалуй, самой поучительной для нас – студентов, специализирующихся по большей части в технических областях защиты информации.
Вот, собственно, «сухой» остаток IPICS По нашему мнению затея удалась: среди посетителей конференции недовольных не было – каждый узнал что-то новое, вынес что-то своё. Кроме того, обмен культурой общения. А это уже само по себе что-то значит…
