5312
.pdfМИНОБРНАУКИ РОССИИ
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Нижегородский государственный архитектурно-строительный университет»
Никитенкова С.П.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Учебно-методическое пособие по подготовке к лекциям, практическим занятиям
(включая рекомендации по организации самостоятельной работы)
для обучающихся по дисциплине «Информационная безопасность» по направлению подготовки 09.03.04 Программная инженерия
направленность (профиль) Разработка программно-информационных систем
Нижний Новгород
2022
УДК 004.9
Никитенкова С.П./ Информационная безопасность: учебно-методическое пособие /С.П. Никитенкова; Нижегородский государственный архитектурно-строительный университет – Нижний Новгород: ННГАСУ, 2022. – 17 с.– Текст: электронный.
В настоящем учебно-методическом пособии по дисциплине «Информационная безопасность» даются конкретные рекомендации учащимся для освоения как основного, так и дополнительного материала дисциплины и тем самым способствующие достижению целей, обозначенных в учебной программе дисциплины. Цель учебно-методического пособия — это помощь в усвоении лекций, в подготовке к практическим занятиям.
Учебно-методическое пособие предназначено для обучающихся в ННГАСУ по дисциплине «Информационная безопасность» по направлению подготовки 09.03.04 Программная инженерия направленность (профиль) Разработка программно-информационных систем
.
© С.П. Никитенкова, 2022 © ННГАСУ, 2022
2
Оглавление
1. |
Общие положения .......................................................................................................................... |
4 |
|
|
1.1 |
Цели изучения дисциплины и результаты обучения ........................................................... |
4 |
|
1.2 |
Содержание дисциплины........................................................................................................ |
5 |
|
1.3 |
Порядок освоения материала ................................................................................................. |
7 |
2. |
Методические указания по подготовке к лекциям ..................................................................... |
7 |
|
|
2.1 |
Общие рекомендации по работе на лекциях ........................................................................ |
7 |
|
2.2 |
Общие рекомендации при работе с конспектом лекций ..................................................... |
8 |
|
2.3 |
Общие рекомендации по изучению материала лекций ....................................................... |
8 |
|
2.4 |
Контрольные вопросы .......................................................................................................... |
10 |
3. |
Методические указания по подготовке к практическим занятиям ......................................... |
11 |
|
|
3.1 |
Общие рекомендации по подготовке к практическим занятиям...................................... |
11 |
|
3.2 |
Примеры задач для практических занятий ......................................................................... |
11 |
4. |
Методические указания по организации самостоятельной работы........................................ |
12 |
|
|
4.1 |
Общие рекомендации для самостоятельной работы ......................................................... |
12 |
|
4.2 |
Темы для самостоятельного изучения ................................................................................ |
14 |
|
4.3 |
Учебно-методическое обеспечение самостоятельной работы.......................................... |
14 |
|
4.4 |
Задания для самостоятельной работы ................................................................................. |
15 |
3
1. Общие положения
1.1 Цели изучения дисциплины и результаты обучения
Целями освоения дисциплины Б.1.О.21. Информационная безопасность являются изучение моделей, механизмов и технологий обеспечения конфиденциальности, целостности и правомерной доступности информации в информационных системах, формирование у обучаемых знаний в области теоретических основ информационной безопасности и навыков практического обеспечения защиты информации и безопасного использования программных средств.
В процессе освоения дисциплины студент должен Знать:
основные понятия информационной безопасности, информационные угрозы, их классификацию и возможные последствиями для организаций различных форм собственности;
методологию, политики и индустриальные стандарты в области технических мер защиты информации, юридическую ответственность в области информационной безопасности применительно к защите информации;
виды угроз информационным системам и методы обеспечения информационной безопасно-
сти, основные термины по проблематике информационной безопасности, перспективные направления развития средств и методов защиты информации, современные подходы к построению систем защиты информации
Уметь:
квалифицированно и обоснованно выбрать комплекс мер, направленных на сохранение и защиту ключевых элементов данных компании, а также оборудование и программное обеспечение, использующиеся для хранения и передачи информации
описывать задачи по управлению информационной безопасностью организации, проводить обследование организаций, выявлять информационные потребности пользователей, формировать требования к системе информационной безопасности;
выявлять угрозы информационной безопасности, обосновывать организационнотехнические мероприятия по защите информации в информационных системах; выбирать и анализировать показатели качества и критерии оценки систем и отдельных методов и средств защиты информации;
провести оценку эффективности инвестиций в информационную безопасность организа-
ции. Владеть:
современными практиками предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.
навыками обеспечения безопасности функционирования информационных и телекоммуникационных систем, программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем
навыками работы со средствами защиты информации, формальной постановки и решения задачи обеспечения информационной безопасности информационных систем
методикой оценки эффективности инвестиций в обеспечение информационной безопасности организации
4
Данная дисциплина позволит студентам не только систематизировать полученные теоретические знания, укрепить исследовательские навыки, но и даст возможность ориентироваться в новом предметном поле экономической информатики.
1.2 Содержание дисциплины
1 |
Сущность, задачи и проблемы ин- |
Конфиденциальность, целостность, доступность |
|
формационной безопасности |
информации. Менеджмент информации и событий |
|
|
безопасности. Управление уязвимостями инфор- |
|
|
мационной безопасности |
|
|
|
2 |
Организационно-правовые методы |
Нормативные правовые акты, методические доку- |
|
и средства защиты информации |
менты, международные и национальные стандарты |
|
|
в области информационной безопасности. Основ- |
|
|
ные органы обеспечения информационной без- |
|
|
опасности на государственном уровне, их функции |
|
|
и задачи |
|
|
|
3 |
Криптографические средства защи- |
Симметричное и ассиметричное шифрование. |
|
ты информации |
Электронная подпись |
|
|
|
4 |
Системы аутентификации |
Модели управления доступом. Парольная и беспа- |
|
|
рольная аутентификация. Биометрия. Цифровой |
|
|
паспорт |
|
|
|
5 |
Стеганография |
Стеганография в современных кибератаках. Стего- |
|
|
система, стегоканал, стегоконтейнер. Обнаружение |
|
|
сообщений. |
|
|
|
6 |
Блокчейн |
Сущность и особенность технологии блокчейн, |
|
|
сферы применения. Понятие криптовалют. Смарт- |
|
|
конкракты. Основные виды атак на инфраструкту- |
|
|
ру блокчейн-сетей |
|
|
|
7 |
Уязвимости web-приложений |
Инъекции (Injections). Недостатки системы аутен- |
|
|
тификации (Broken Authentication). Раскрытие |
|
|
конфиденциальных данных (Sensitive Data |
|
|
Explosure). Небезопасная конфигурация (Security |
|
|
Misconfiguration). XSS - Межсайтовый скриптинг |
|
|
(Cross-Site Scripting) |
|
|
|
8 |
Безопасное программирование |
Моделирование угроз, поддержка секретности в |
|
|
приложениях и анализе исходного кода на предмет |
|
|
безопасности |
|
|
|
9 |
Социальная инженерия |
Виды атак с использованием социальной инжене- |
|
|
рии. Фишинг, Претекстинг и т.д. |
|
|
|
5
Материал дисциплины сгруппирован по следующим разделам: 1. Сущность, задачи и проблемы информационной безопасности.
Конфиденциальность, целостность, доступность информации. Менеджмент информации и событий безопасности. Управление уязвимостями информационной безопасности
2. Организационно-правовые методы и средства защиты информации.
Нормативные правовые акты, методические документы, международные и национальные стандарты в области информационной безопасности. Основные органы обеспечения информационной безопасности на государственном уровне, их функции и задачи
3. Криптографические средства защиты информации
Симметричное и ассиметричное шифрование. Электронная подпись
4. Системы аутентификации.
Модели управления доступом. Парольная и беспарольная аутентификация. Биометрия. Цифровой паспорт
5. Стеганография
Стеганография в современных кибератаках. Стегосистема, стегоканал, стегоконтейнер. Обнаружение сообщений.
6. Блокчейн
Сущность и особенность технологии блокчейн, сферы применения. Понятие криптовалют. Смарт-конкракты. Основные виды атак на инфраструктуру блокчейн-сетей
7. Уязвимости web-приложений.
Инъекции (Injections). Недостатки системы аутентификации (Broken Authentication). Раскрытие конфиденциальных данных (Sensitive Data Explosure). Небезопасная конфигурация (Security
Misconfiguration). XSS - Межсайтовый скриптинг (Cross-Site Scripting)
8. Безопасное программирование.
Моделирование угроз, поддержка секретности в приложениях и анализе исходного кода на предмет безопасности
9. Социальная инженерия.
Виды атак с использованием социальной инженерии. Фишинг, Претекстинг и т.д.
6
1.3 Порядок освоения материала
Материал дисциплины изучается в соответствии с порядком, определённым в следующей таблице:
|
|
|
Таблица 1 |
|
Порядок освоения дисциплины |
|
|
|
|
|
|
№ |
Раздел дисциплины |
|
№№ предшествующих разделов |
|
|
|
|
1 |
Сущность, задачи и проблемы информационной без- |
|
- |
|
опасности |
|
|
|
|
|
|
2 |
Организационно-правовые методы и средства защиты |
|
1 |
|
информации |
|
|
|
|
|
|
3 |
Криптографические средства защиты информации |
|
1,2 |
|
|
|
|
4 |
Системы аутентификации |
|
3,4 |
|
|
|
|
5 |
Стеганография |
|
3,4,5 |
|
|
|
|
6 |
Блокчейн |
|
5,6 |
|
|
|
|
7 |
Уязвимости web-приложений |
|
5,6,7 |
|
|
|
|
8 |
Безопасное программирование |
|
5,6,8 |
|
|
|
|
9 |
Социальная инженерия |
|
5,6,8 |
|
|
|
|
2. Методические указания по подготовке к лекциям
2.1 Общие рекомендации по работе на лекциях
Лекция является главным звеном дидактического цикла обучения. Ее цель — формирование основы для последующего усвоения учебного материала. В ходе лекции преподаватель в устной форме, а также с помощью презентаций передает обучаемым знания по основным, фундаментальным вопросам изучаемой дисциплины.
Назначение лекции состоит в том, чтобы доходчиво изложить основные положения изучаемой дисциплины, ориентировать на наиболее важные вопросы учебной дисциплины и оказать помощь в овладении необходимых знаний и применения их на практике.
Личное общение на лекции преподавателя со студентами предоставляет большие возможности для реализации образовательных и воспитательных целей.
При подготовке к лекционным занятиям студенты должны ознакомиться с презентаций, предлагаемой преподавателем, отметить непонятные термины и положения, подготовить вопросы с целью уточнения правильности понимания. Рекомендуется приходить на лекцию подготовленным, так как в этом случае лекция может быть проведена в интерактивном режиме, что способствует повышению эффективности лекционных занятий.
7
2.2Общие рекомендации при работе с конспектом лекций
Входе лекционных занятий необходимо вести конспектирование учебного материала. Конспект помогает внимательно слушать, лучше запоминать в процессе осмысленного записывания, обеспечивает наличие опорных материалов при подготовке к семинару, зачету, экзамену.
Полезно оставить в рабочих конспектах поля, на которых делать пометки из рекомендованной литературы, дополняющие материал прослушанной лекции, а также подчеркивающие особую важность тех или иных теоретических положений.
Вслучае неясности по тем или иным вопросам необходимо задавать преподавателю уточняющие вопросы. Следует ясно понимать, что отсутствие вопросов без обсуждения означает в большинстве случаев неусвоенность материала дисциплины.
2.3Общие рекомендации по изучению материала лекций
Раздел 1. Сущность, задачи и проблемы информационной безопасности.
Цель: вызвать интерес к изучению курса, сформировать представление и систематизировать знания в вопросах обеспечения конфиденциальности, целостности и правомерной доступности информации в информационных системах
Конфиденциальность, целостность, доступность информации. Менеджмент информации и событий безопасности. Управление уязвимостями информационной безопасности Место и роль информационной безопасности в системе национальной безопасности Российской Федерации, основы государственной информационной политики, стратегию развития информационного общества в России
Раздел 2. Организационно-правовые методы и средства защиты информации.
Цель: сформировать навык применения международных и национальные стандартов в области информационной безопасности при разработке программного обеспечения для различных предметных областей.
Нормативные правовые акты, методические документы, международные и национальные стандарты в области информационной безопасности. Основные органы обеспечения информационной безопасности на государственном уровне, их функции и задачи
Раздел 3. Криптографические средства защиты информации.
Цель: сформировать навык применения криптографических методов защиты при разработке программного обеспечения для различных предметных областей
8
Симметричное и ассиметричное шифрование. Общая схема симметричного шифрования. Методы замены. Методы гаммирования. Методы перестановки. Понятие композиционного шифра. Структура блочного алгоритма симметричного шифрования. Блочное и потоковое шифрование. Алгоритм Диффи-Хелмана. Алгоритм RSA. Алгоритм Эль-Гамаля. Криптографические системы на эллиптических кривых. Возможные атаки при использовании алгоритмов асимметричного шифрования. Электронная подпись. Электронная подпись на основе алгоритма RSA. Цифровая подпись на основе алгоритма Эль-Гамаля. Стандарты на алгоритмы цифровой подписи. Управление открытыми ключами.
Раздел 4. Системы аутентификации.
Цель: приобретение общих представлений о моделях управления доступом в информационных системах
Модели управления доступом. Парольная и беспарольная аутентификация. Биометрическая аутентификация. Общая схема биометрической аутентификации. Преимущества и недостатки биометрической аутентификации. Цифровой паспорт. уязвимости в системе цифровых паспортов
Раздел 5 Стеганография
Цель: приобретение общих представлений о методах сокрытия информации, реализуемых с помощью средств вычислительной техники.
Стеганография в современных кибератаках. Стегосистема, стегоканал, стегоконтейнер. Обнаружение сообщений. LSB-стеганография. Метод, основанный на сокрытии данных в коэффициентах дискретного косинусного преобразования. Метод сокрытия информации в служебных полях формата. Статистические методы анализа.
Раздел 6. Блокчейн
Цель: изучение технологии блокчейн (распределенного реестра) с акцентом на её математические и технические основы, а также прикладные аспекты.
Сущность и особенность технологии блокчейн, сферы применения. Модели, консенсусы, уязвимости. Криптографические основы блокчейна. Понятие криптовалют. Смарт-конкракты. Основные виды атак на инфраструктуру блокчейн-сетей. Примеры индустриального применения.
Раздел 7. Уязвимости web-приложений.
Цель: сформировать навык разработки безопасных web-приложений
9
Инъекции (Injections). Недостатки системы аутентификации (Broken Authentication). Раскрытие конфиденциальных данных (Sensitive Data Explosure). Небезопасная конфигурация (Security Misconfiguration). XSS - Межсайтовый скриптинг (Cross-Site Scripting). Сервисы для поиска уязвимостей веб-приложений
Раздел 8. Безопасное программирование.
Цель: научить анализировать исходный код на предмет информационной безопасности.
Моделирование угроз, поддержка секретности в приложениях и анализе исходного кода на предмет безопасности информации. Методический документ ФСТЭК России от5 февраля 2021 г. Методика оценки угроз безопасности информации
Раздел 9. Социальная инженерия.
Цель: приобретение навыков противодействия методам социальной инженерии
Виды атак с использованием социальной инженерии. Фишинг, Претекстинг и т.д. Методы защиты. Цифровой след.
2.4Контрольные вопросы
1.Классификация угроз информационной безопасности
2.Характеристики наиболее распространенных угроз безопасности
3.Вредоносные программы
4.Избирательная политика безопасности
5.Полномочная политика безопасности. Модель Белла-Лападула
6.Управление информационными потоками
7.Достоверная вычислительная база
8.Механизмы защиты. Ядро безопасности. Монитор ссылок
9.Идентификация, аутентификация и авторизация субъектов и объектов системы
10.Контроль входа пользователя в систему и управление паролями
11.Регистрация и протоколирование. Аудит
12.Противодействие «сборке мусора»
13.Контроль целостности субъектов. Модель Биба
14.Принципы реализации политики безопасности
15.Система документов США. Классы защищенности компьютерных систем МО США.
16.Европейские критерии безопасности
17.Руководящие документы ГТК РФ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности.
10