4486

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Нижегородский государственный архитектурно-строительный университет»

Платов А.Ю.

АНАЛИЗ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Учебно-методическое пособие по подготовке к лекциям, практическим занятиям

(включая рекомендации по организации самостоятельной работы)

для обучающихся по дисциплине «Анализ систем информационной безопасности» по направлению подготовки 09.04.03 Прикладная информатика

направленность (профиль) Прикладная информатика в аналитической экономике

Нижний Новгород

2022

УДК 004.9

Платов А.Ю. / Анализ систем информационной безопасности: учебно-методическое пособие / А.Ю. Платов; Нижегородский государственный архитектурно-строительный университет – Нижний Новгород: ННГАСУ, 2022. – 14 с.– Текст: электронный.

В настоящем учебно-методическом пособии по дисциплине «Анализ систем информационной безопасности» даются конкретные рекомендации учащимся для освоения как основного, так и дополнительного материала дисциплины и тем самым способствующие достижению целей, обозначенных в учебной программе дисциплины. Цель учебно-методического пособия — это помощь в усвоении лекций, в подготовке к практическим занятиям.

Учебно-методическое пособие предназначено для обучающихся в ННГАСУ по дисциплине «Анализ систем информационной безопасности» по направлению подготовки 09.04.03 Прикладная информатика, направленность (профиль) Прикладная информатика в аналитической экономике.

© А.Ю. Платов, 2022

© ННГАСУ, 2022

2

Оглавление

3

1. Общие положения

1.1 Цели изучения дисциплины и результаты обучения

Основными целями освоения учебной дисциплины «Анализ систем информационной безопасности» является достижение результатов обучения, предусмотренных установленным в ОПОП индикаторами достижения компетенций. В процессе освоения дисциплины студент должен

Знать:

основные теоретические модели безопасности, основные международные, российские и фирменные стандарты безопасности,

Уметь:

адаптировать теоретические модели безопасности к нуждам конкретной организации,

уметь разрабатывать политику компании в соответствии со стандартами безопасности.

Данная дисциплина позволит студентам не только систематизировать полученные

теоретические знания, укрепить исследовательские навыки, но и даст возможность

ориентироваться в новом предметном поле прикладной информатики.

1.2 Содержание дисциплины

Материал дисциплины сгруппирован по следующим разделам:

1. Анализ уязвимостей системного уровня. Переполнение буфера. Внедрение эксплоитов. Переполнение целых чисел. Анализаторы уязвимостей.

2. Анализ уязвимостей Web-приложенийОрганизации, предоставляющие открытую статистику по уязвимостям. Классификация уязвимостей и их актуальность. Межсайтовый скриптинг. Управление сессиями. SQL-инъекция. Утечки данных.

4

3.Проблемы с конфигурацией. Анализаторы уязвимостей и конфигурации. Основные параметры PHP-конфигурации.

4.Стандарты информационной безопасностиОранжевая книга». Руководящие документы Гостехкомисии РФ. Категории безопасности. Другие стандарты

5. Формальные методы защиты. Методы проверки целостности. Избыточность и отказоустойчивость. Защита от несанкционированного доступа. Атаки с подбором пароля. Атаки с компрометацией протокола. Парольная аутентификация. Доказательство с нулевым разрешением. Методы управления доступом. Аксиомы безопасности. Теорема Харрисона. Модели TAM, HRU.

6. Программные средства безопасностиМежсетевые экраны. Сканеры портов. Сканеры уязвимостей. Сетевые анализаторы. Системы обнаружения вторжений.

1.3Вспомогательная литература для изучения дисциплины

1.Авдошин С. М.. Технологии и продукты Microsoft в обеспечении информационной безопасности : учебное пособие. / Авдошин С. М., Савельева А. А., Сердюк В. А. ; Авдошин С. М..

– Москва : Интернет-Университет Информационных Технологий (ИНТУИТ), 2010. – 326 с. –

URL: URL: http://www.iprbookshop.ru/16737.html.

2.Бескид П. П.. Проектирование защищенных информационных систем. Часть 1. Конструкторское проектирование. Защита от физических полей : Учебное пособие. / Бескид П. П., Суходольский В. Ю., Шапаренко Ю. М. ; Бескид П. П.. – Санкт-Петербург : Российский государственный гидрометеорологический университет, 2008. – 196 с. – URL: URL: https://www.iprbookshop.ru/17960.html. – ISBN ISBN 978-5-86813-235-3.

3.Голиков А. М.. Основы информационной безопасности : Учебное пособие. / Голиков А. М. ; Голиков А. М.. – Томск : Томский государственный университет систем управления и радиоэлектроники, 2007. – 288 с. – URL: URL: http://www.iprbookshop.ru/13957.html. – ISBN ISBN 978-5-868889-467-1.

4.Данилов, А. Н.. Основы информационной безопасности : учебное пособие. / Данилов, А. Н., Данилова, С. А., Зорин, А. А. ; А. Н. Данилов, С. А. Данилова, А. А. Зорин. – Пермь : Пермский государственный технический университет, 2008. – 556 с. – URL: URL: http://www.iprbookshop.ru/105495.html. – ISBN ISBN 978-5-398-00132-7.

5.Земор Ж.. Курс криптографии : учебное пособие. / Земор Ж., Шуликовская В. В. ; Земор Ж.. – Москва ; Ижевск : Регулярная и хаотическая динамика, Ижевский институт компьютерных исследований, 2006. – 256 с. – URL: URL: http://www.iprbookshop.ru/16547.html. – ISBN ISBN 5- 93972-510-4.

6.Спицын В. Г.. Информационная безопасность вычислительной техники : Учебное пособие. / Спицын В. Г. ; Спицын В. Г.. – Томск : Эль Контент, Томский государственный университет систем управления и радиоэлектроники, 2011. – 148 с. – URL: URL: http://www.iprbookshop.ru/13936.html. – ISBN ISBN 978-5-4332-0020-3.

5

7.Тони Хаулет. Защитные средства с открытыми исходными текстами : Практическое руководство по защитным приложениям. Учебное пособие. / Тони Хаулет, Галатенко В. ; Тони Хаулет. – Москва : БИНОМ. Лаборатория знаний, Интернет-Университет Информационных Технологий (ИНТУИТ), 2007. – 608 с. – URL: URL: http://www.iprbookshop.ru/22406.html. – ISBN ISBN 978-5-9556-0087-1.

8.Федин Ф. О.. Информационная безопасность : Учебное пособие. / Федин Ф. О., Офицеров В. П., Федин Ф. Ф. ; Федин Ф. О.. – Москва : Московский городской педагогический университет,

2011. – 260 с. – URL: URL: http://www.iprbookshop.ru/26486.html.

6

2. Методические указания по подготовке к лекциям

2.1 Общие рекомендации по работе на лекциях

Лекция является главным звеном дидактического цикла обучения. Ее цель — формирование основы для последующего усвоения учебного материала. В ходе лекции преподаватель в устной форме, а также с помощью презентаций передает обучаемым знания по основным,

фундаментальным вопросам изучаемой дисциплины.

Назначение лекции состоит в том, чтобы доходчиво изложить основные положения изучаемой дисциплины, ориентировать на наиболее важные вопросы учебной дисциплины и оказать помощь в овладении необходимых знаний и применения их на практике.

Личное общение на лекции преподавателя со студентами предоставляет большие возможности для реализации образовательных и воспитательных целей.

При подготовке к лекционным занятиям студенты должны ознакомиться с презентаций,

предлагаемой преподавателем, отметить непонятные термины и положения, подготовить вопросы с целью уточнения правильности понимания. Рекомендуется приходить на лекцию подготовленным, так как в этом случае лекция может быть проведена в интерактивном режиме,

что способствует повышению эффективности лекционных занятий.

2.2 Общие рекомендации при работе с конспектом лекций

В ходе лекционных занятий необходимо вести конспектирование учебного материала.

Конспект помогает внимательно слушать, лучше запоминать в процессе осмысленного записывания, обеспечивает наличие опорных материалов при подготовке к семинару, зачету,

экзамену.

Полезно оставить в рабочих конспектах поля, на которых делать пометки из рекомендованной литературы, дополняющие материал прослушанной лекции, а также подчеркивающие особую важность тех или иных теоретических положений.

В случае неясности по тем или иным вопросам необходимо задавать преподавателю уточняющие вопросы. Следует ясно понимать, что отсутствие вопросов без обсуждения означает

7

в большинстве случаев неусвоенность материала дисциплины.

2.3Контрольные вопросы

1.Различия в уязвимости типа переполнение буфера в стековой, динамической и статической памяти

2.Анализ актуальности типов уязвимости

3.Основные проблемы настройки конфигурации веб-сервера

4.Сравнительный анализ стандартов безопасности

5.Сравнение моделей доступа

6.Анализ программ безопасности со свободным кодом

8

3. Методические указания по подготовке к практическим занятиям

3.1Общие рекомендации по подготовке к практическим занятиям

Входе подготовки к практическим занятиям необходимо изучать основную литературу, знакомиться с дополнительной литературой, а также с новыми публикациями в периодических изданиях: журналах, газетах и т.д. При этом необходимо учесть рекомендации преподавателя и требования учебной программы.

Всоответствии с этими рекомендациями и подготовкой полезно дорабатывать свои конспекты лекции, делая в нем соответствующие записи из литературы, рекомендованной преподавателем и предусмотренной учебной программой. Целесообразно также подготовить тезисы для возможного выступлений по всем учебным вопросам, выносимым на занятие.

При подготовке к практическим занятиям можно также подготовить краткие конспекты по вопросам темы. Очень эффективным приемом является составление схем и презентаций.

Готовясь к докладу или реферативному сообщению, желательно обращаться за методической помощью к преподавателю. Составить план-конспект своего выступления. Продумать примеры с целью обеспечения тесной связи изучаемой теории с реальной жизнью. Своевременное и качественное выполнение самостоятельной работы базируется на соблюдении настоящих рекомендаций и изучении рекомендованной литературы. Студент может дополнить список использованной литературы современными источниками, не представленными в списке рекомендованной литературы, и в дальнейшем использовать собственные подготовленные учебные материалы при написании курсовых и дипломных работ.

3.2Примеры задач для практических занятий

1.Определить тип уязвимости в заданном коде. Предложить варианты её устранения.

2.Найти уязвимости в коде, используя анализатор уязвимостей. Оценить последствия эксплуатации уязвимости.

3.Найти уязвимости в конфигурации Web-сервера. Оценить последствия эксплуатации уязвимости.

4.Найти уязвимости в конфигурации PHP-интерпретатора. Оценить последствия эксплуатации уязвимости

5.Построить модель доступа организации

6.Построить модель политики безопасности организации

7.Перечислить типы нарушений безопасности. Оценить возможный ущерб

8.Классификация уязвимостей по OWASP.

9.Инъекция исходного кода.

9

10.Описать особенности "оранжевого" стандарта.

11.Написать программы, содержащую уязвимость типа «переполнение буфера» и аналогичную программу, в которой уязвимость исключена.

12.Получить сведения о последних входах в операционную систему.

13.Составить проект политики безопасности малого предприятия.

10