2385

УДК 004.9

Платов А.Ю. / Анализ систем информационной безопасности [Электронный ресурс]: учеб.-метод. пос. / А.Ю. Платов; Нижегор. гос. архитектур. - строит. ун-т – Н. Новгород: ННГАСУ, 2016. – 12 с.– 1 электрон. опт. диск (CD-RW).

В настоящем учебно-методическом пособии по дисциплине «Анализ систем информационной безопасности» даются конкретные рекомендации учащимся для освоения как основного, так и дополнительного материала дисциплины и тем самым способствующие достижению целей, обозначенных в учебной программе дисциплины. Цель учебно-методического пособия — это помощь в усвоении лекций, в подготовке к практическим занятиям.

Учебно-методическое пособие предназначено для обучающихся в ННГАСУ по дисциплине «Анализ систем информационной безопасности» по направлению подготовки 09.04.03 Прикладная информатика, профиль Прикладная информатика в аналитической экономике.

Учебно-методическое пособие ориентировано на обучение в соответствии с календарным учебным графиком и учебным планом по основной профессиональной образовательной программе направления 09.04.03 Прикладная информатика, профиль Прикладная информатика в экономике, утверждённым решением учёного совета ННГАСУ от 02.09.2016 г. (протокол № 1).

© А.Ю. Платов, 2016 © ННГАСУ, 2016

2

Оглавление

3

1. Общие положения

1.1 Цели изучения дисциплины и результаты обучения

Основными целями освоения учебной дисциплины «Анализ систем информационной безопасности» являются:

ознакомление магистрантов с основными источниками, рисками и формами атак на информацию;

методами и средствами защиты информации; политикой безопасности компании в области информационной безопасности;

стандартами информационной безопасности, а также освоение методов анализа степени защищённости с помощью формальных методов, специализированных программ-анализаторов и стандартов безопасности.

Впроцессе освоения дисциплины студент должен

Знать:

основные теоретические модели безопасности;

основные международные, российские и фирменные стандарты безопасности.

Уметь:

адаптировать теоретические модели безопасности к нуждам конкретной организации;

разрабатывать политику компании в соответствии со стандартами безопасности.

Владеть:

навыками составления функциональных требований к безопасности ИС;

методами оценки рисков информационной безопасности.

Данная дисциплина позволит магистрантам не только систематизировать полученные теоретические знания, укрепить исследовательские навыки, но и даст возможность ориентироваться в новом предметном поле экономической информатики.

1.2 Содержание дисциплины

Материал дисциплины сгруппирован по следующим разделам:

1. Анализ уязвимостей системного уровня.

Переполнение буфера. Внедрение эксплоитов. Переполнение целых чисел. Анализаторы уязвимо-

стей.

2. Анализ уязвимостей Web-приложений.

Организации, предоставляющие открытую статистику по уязвимостям. Классификация уязвимостей и их актуальность. Межсайтовый скриптинг. Управление сессиями. SQL-инъекция. Утечки данных.

3. Проблемы с конфигурацией.

Анализаторы уязвимостей и конфигурации. Основные параметры PHP-конфигурации.

4

2. Методические указания по подготовке к лекциям

2.1 Общие рекомендации по работе на лекциях

Лекция является главным звеном дидактического цикла обучения. Ее цель — формирование основы для последующего усвоения учебного материала. В ходе лекции преподаватель в устной форме, а также с помощью презентаций передает обучаемым знания по основным, фундаментальным вопросам изучаемой дисциплины.

Назначение лекции состоит в том, чтобы доходчиво изложить основные положения изучаемой дисциплины, ориентировать на наиболее важные вопросы учебной дисциплины и оказать помощь в овладении необходимых знаний и применения их на практике.

Личное общение на лекции преподавателя со студентами предоставляет большие возможности для реализации образовательных и воспитательных целей.

При подготовке к лекционным занятиям студенты должны ознакомиться с презентаций, предлагаемой преподавателем, отметить непонятные термины и положения, подготовить вопросы с целью уточнения правильности понимания. Рекомендуется приходить на лекцию подготовленным, так как в этом случае лекция может быть проведена в интерактивном режиме, что способствует повышению эффективности лекционных занятий.

2.2Общие рекомендации при работе с конспектом лекций

Входе лекционных занятий необходимо вести конспектирование учебного материала. Конспект помогает внимательно слушать, лучше запоминать в процессе осмысленного записывания, обеспечивает наличие опорных материалов при подготовке к семинару, зачету, экзамену.

Полезно оставить в рабочих конспектах поля, на которых делать пометки из рекомендованной литературы, дополняющие материал прослушанной лекции, а также подчеркивающие особую важность тех или иных теоретических положений.

Вслучае неясности по тем или иным вопросам необходимо задавать преподавателю уточняющие вопросы. Следует ясно понимать, что отсутствие вопросов без обсуждения означает в большинстве случаев неусвоенность материала дисциплины.

2.3Контрольные вопросы

1.Определить тип уязвимости в заданном коде. Предложить варианты её устранения.

2.Найти уязвимости в коде, используя анализатор уязвимостей. Оценить последствия эксплуатации уязвимости.

3.Найти уязвимости в конфигурации Web-сервера. Оценить последствия эксплуатации уязвимости.

4.Найти уязвимости в конфигурации PHP-интерпретатора. Оценить последствия эксплуатации уязвимости

5.Построить модель доступа организации

6.Построить модель политики безопасности организации

7.Перечислить типы нарушений безопасности. Оценить возможный ущерб

8.Классификация уязвимостей по OWASP.

9.Инъекция исходного кода.

10.Описать особенности "оранжевого" стандарта.

11.Написать программы, содержащую уязвимость типа «переполнение буфера» и аналогичную программу, в которой уязвимость исключена.

6

12.Получить сведения о последних входах в операционную систему.

13.Составить проект политики безопасности малого предприятия.

7

3. Методические указания по подготовке к практическим занятиям

3.1Общие рекомендации по подготовке к практическим занятиям

Входе подготовки к практическим занятиям необходимо изучать основную литературу, знакомиться с дополнительной литературой, а также с новыми публикациями в периодических изданиях: журналах, газетах и т.д. При этом необходимо учесть рекомендации преподавателя и требования учебной программы.

Всоответствии с этими рекомендациями и подготовкой полезно дорабатывать свои конспекты лекции, делая в нем соответствующие записи из литературы, рекомендованной преподавателем и предусмотренной учебной программой. Целесообразно также подготовить тезисы для возможного выступлений по всем учебным вопросам, выносимым на практическое занятие.

При подготовке к занятиям можно также подготовить краткие конспекты по вопросам темы. Очень эффективным приемом является составление схем и презентаций.

Готовясь к докладу или реферативному сообщению, желательно обращаться за методической помощью к преподавателю. Составить план-конспект своего выступления. Продумать примеры с целью обеспечения тесной связи изучаемой теории с реальной жизнью. Своевременное и качественное выполнение самостоятельной работы базируется на соблюдении настоящих рекомендаций и изучении рекомендованной литературы. Студент может дополнить список использованной литературы современными источниками, не представленными в списке рекомендованной литературы, и в дальнейшем использовать собственные подготовленные учебные материалы при написании курсовых и дипломных работ.

3.2Примеры задач для практических занятий

Пример № 1 Написать программы, содержащую уязвимость типа «переполнение буфера» и аналогичную про-

грамму, в которой уязвимость исключена. Пример № 2

Получить сведения о последних входах в операционную систему Пример № 3 Составить проект политики безопасности малого предприятия.

8

4. Методические указания по организации самостоятельной работы

4.1 Общие рекомендации для самостоятельной работы

Самостоятельная работа студентов является основным способом овладения учебным материалом в свободное от обязательных учебных занятий время.

Целями самостоятельной работы студентов являются:

-систематизация и закрепление полученных теоретических знаний и практических умений студентов;

-углубление и расширение теоретических знаний;

-формирование умений использовать нормативную, правовую, справочную документацию и специальную литературу;

-развитие познавательных способностей и активности студентов:

-формирования самостоятельности мышления, способностей к саморазвитию, самосовершенствованию и самореализации.

Запланированная в учебном плане самостоятельная работа студента рассматривается как связанная либо с конкретной темой изучаемой дисциплины, либо с подготовкой к курсовой, дипломной работе, а также к защите ВКР. В данном разделе рассматривается только самостоятельная работа первого вида.

Самостоятельная работа выполняется в два этапа: планирование и реализация. Планирование самостоятельной работы включает:

-уяснение задания на самостоятельную работу;

-подбор рекомендованной литературы;

-составление плана работы, в котором определяются основные пункты предстоящей подготовки. Составление плана дисциплинирует и повышает организованность в работе.

На втором этапе реализуется составленный план. Реализация включает в себя:

-изучение рекомендованной литературы;

-составление плана (конспекта) по изучаемому материалу (вопросу);

-взаимное обсуждение материала.

Необходимо помнить, что на лекции обычно рассматривается не весь материал. Оставшаяся восполняется в процессе самостоятельной работы. В связи с этим работа с рекомендованной литературой обязательна.

Работа с литературой и иными источниками информации включает в себя две группы приемов: техническую, имеющую библиографическую направленность, и содержательную. Первая группа – уяснение потребностей в литературе; получение литературы; просмотр литературы на уровне общей, первичной оценки; анализ надежности публикаций как источника информации, их относимости и степени полезности. Вторая – подробное изучение и извлечение необходимой информации.

Для поиска необходимой литературы можно использовать следующие способы:

-поиск через систематический каталог в библиотеке;

-просмотр специальных периодических изданий;

-использование материалов, размещенных в сети Интернет.

Для того, чтобы не возникало трудностей понимания текстов учебника, монографий, научных статей, следует учитывать, что учебник и учебное пособие предназначены для студентов и магистрантов, а монографии и статьи ориентированы на исследователя. Монографии дают обширное описание проблемы, содержат в себе справочную информацию и отражают полемику по тем или иным дискуссионным вопросам. Статья в журнале кратко излагает позицию автора или его конкретные достижении в иссле-

9

довании какой-либо научной проблемы.

В процессе взаимного обсуждения материала закрепляются знания, а также приобретается практика в изложении и разъяснении полученных знаний, развивается речь.

При необходимости студенту следует обращаться за консультацией к преподавателю.

Составление записей или конспектов позволяет составить сжатое представление по изучаемым вопросам. Записи имеют первостепенное значение для самостоятельной работы студентов. Они помогают понять построение изучаемого материала, выделить основные положения, проследить их логику.

Ведение записей способствует превращению чтения в активный процесс. У студента, систематически ведущего записи, создается свой индивидуальный фонд подсобных материалов для быстрого повторения прочитанного. Особенно важны и полезны записи тогда, когда в них находят отражение мысли, возникшие при самостоятельной работе.

Можно рекомендовать следующие основные формы записи: план, конспект, тезисы, презентация. План – это схема прочитанного материала, краткий (или подробный) перечень вопросов, отра-

жающих структуру и последовательность материала. Подробно составленный план вполне заменяет конспект.

Конспект – это систематизированное, логичное изложение материала источника. Объем конспекта не должен превышать 10 страниц. Шрифт Times New Roman, кегль 14, интервал 1,5. Список литературы должен состоять из 5-8 источников, по возможности следует использовать последние издания учебных пособий и исследований.

Тезисы — это последовательность ключевых положений из некоторой темы без доказательств или с неполными доказательствами. По объему тезисы занимают одну страницу формата А4 или одну – две страницы в ученической тетради. В конце тезисов студент должен сделать собственные выводы.

Презентации по предложенной теме составляются в программе Power Point или Impress. Количество слайдов должно быть не менее 15 и не превышать 20 слайдов. Кроме текста на слайдах можно создавать схемы и таблицы. Шрифт должен быть читаемым, например, шрифт черного цвета на светлом фоне или светлый шрифт на темном фоне. Также шрифт не должен быть слишком мелким. В слайдах указываются только основные тезисы, понятия и нормы.

4.2Темы для самостоятельного изучения

1.Механизмы защиты от уязвимостей переполнения буфера.

2.Анализаторы уязвимостей.

3.Алгоритмы проверки целостности информации.

4.Построение модели досутпа.

6.Механизмы аутентификации.

4.3Учебно-методическое обеспечение самостоятельной работы

1.Информационная безопасность: курс лекцийАртемов А. В. Орел : Межрегиональная Академия безопасности и выживания (МАБИВ), 2014.

2.Информационная безопасность в корпоративной сетиФедотов А. М. Проблемы безопасности и чрезвычайных ситуаций : науч. информ. сб. / ВИНИТИ. – 2008. – № 2. - С. 88-102. ,

4.ru.wikipedia.org/wiki (Информационная безопасность)

5.education.aspu.ru (Информационная безопасность, электронные книги, документация и дру-

10