Министерство образования и науки Российской Федерации
Федеральное государственное автономное
Образовательное учреждение высшего образования
«Санкт-Петербургский политехнический университет Петра Великого»
Институт среднего профессионального образования
Методические указания и контрольные задания по дисциплине
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Для студентов заочной формы обучения
По специальности
Программирование в компьютерных системах»
Санкт-Петербург
СОДЕРЖАНИЕ
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА.. 3
МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ИЗУЧЕНИЮ ДИСЦИПЛИНЫ.. 4
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ 4
Раздел 1.Глоссарий. 4
Раздел 2. Криптографическая защита информации. 10
МЕТОДИЧЕСКИЕ УКАЗАНИЯ ДЛЯ ВЫПОЛНЕНИЯ КОНТРОЛЬНОЙ РАБОТЫ13
СТРУКТУРА И СОДЕРАЖНИЕ КОНТРОЛЬНОЙ РАБОТЫ.. 15
ЗАДАНИЯ НА КОНТРОЛЬНУЮ РАБОТУ.. 16
ЛИТЕРАТУРА ДЛЯ ИЗУЧЕНИЯ ДИСЦИПЛИНЫИ ВЫПОЛНЕНИЯ КОНТРОЛЬНОЙ РАБОТЫ26
Приложение 1. 27
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
Рабочая программа, методические указания и контрольные задания учебной дисциплины «Информационная безопасность» предназначены для реализации государственных требований к уровню подготовки выпускников по техническим специальностям среднего профессионального образования.
Методические указания разработаны для организации самостоятельной работы студентов, которая поможет развитию умений искать основную информацию, работать с учебной литературой и применять получаемые знания в учебной и практической деятельности.
В методических указаниях даны краткие теоретические сведения, контрольная работа и список необходимой литературы. По результатам изучения дисциплины «Информационная безопасность» обучающийся должен:
знать:
- вопросы административного и нормативно-правового обеспечения защиты информации
- основные системы защиты информации в России и в ведущих зарубежных странах;
- основные программно-аппаратные средства и методы защиты информации в компьютерных системах.
уметь:
- выбирать средства обеспечения информационной безопасности информационной системы современного предприятия;
- ограничивать использование ресурсов компьютера на основе раздельного доступа пользователей в операционную систему;
- организовывать защиту информации в локальной сети на уровнях входа в сеть и системы прав доступа;
- организовывать безопасную работу в Интернет и отправку почтовых сообщений в глобальной сети;
- использовать средства защиты данных от разрушающих программных воздействий компьютерных вирусов.
МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ИЗУЧЕНИЮ ДИСЦИПЛИНЫ
ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
Курс «Информационной безопасность» посвящен изучению современного представления о методах и средствах обеспечения защиты информационных ресурсов, а также информационной безопасности личности и общества.
Цель курса формирование у будущих специалистов знаний, навыков и умений, связанных с правовыми и программно-техническими проблемами защиты информации государственных и негосударственных организаций и учреждений, осуществляющих взаимодействие и обмен данными посредством электронных коммуникаций, основ информационной безопасности и практических методов регулирования взаимодействий информационных процессов с человеком.
Раздел 1. ГЛОССАРИЙ
Алгоритмический контроль – заключается в том, что задача, решенная по какому-либо алгоритму, проверяется повторно по сокращенному алгоритму с достаточной степенью точности.
Атака – действие, предпринимаемое нарушителем в поиске и использовании той или иной уязвимости. Угрозы могу быть разделены на угрозы не зависящие от деятельности человека, и искусственные угрозы, связанные с
деятельностью человека.
Аутентификация – установление подлинности, заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает.
Биометрические технологии – идентификация человека по уникальным, присущим только ему биологическим признакам.
Владелец информации – субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав,установленных законом и/или собственником информации.
Владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной
цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Вредоносныепрограммы – программы, к которым относятся: классические файловые вирусы, сетевые черви, троянские программы, спам, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
Дешифровывание – процесс, при котором из шифротекста извлекается открытый текст.
Доступ к информации – получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
Естественные угрозы – угрозы, вызванные воздействиями на АСОИи ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.
Закрытый ключ электронной цифровой подписи – уникальная последовательность символов,известная владельцу сертификата ключаподписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Защита информации –деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от агентурной разведки – деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Защита информации от иностранной технической разведки – деятельность по предотвращению получения защищаемой информации иностранной разведкой с помощью технических средств.
Защита информации от аварийных ситуаций – создание средств предупреждения, контроляи организационных мер по исключениюНСД на комплексе средств автоматизации вусловиях отказов его функционирования,отказов системы защиты информации, систем жизнеобеспечения людей на объектеразмещения и при возникновении стихийных бедствий.
Защита информации от иностранной разведки – деятельность по предотвращению получения защищаемой информации иностранной разведкой.
Защита информации от непреднамеренного воздействия – деятельность по предотвращению воздействияна защищаемую информацию ошибок пользователя информацией, сбоя технических ипрограммных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного воздействия – деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от разглашения – деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документовили требованиями, устанавливаемыми собственником информации. Собственникамиинформации могут быть – государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Злоумышленник – нарушитель, намеренно идущий на нарушение из корыстных побуждений.
Идентификация – присвоение какому-либо объекту или субъекту уникального образа, имени или числа.
Интернет – объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных.
Информационная безопасность РФ – состояние защищенности ее национальныхинтересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Информационная система – совокупность документов и массивов документов и информационных технологий.
Информационная система общего пользования – информационная система, которая открытадля использования всеми физическими июридическими лицами и в услугах которой этим лицам не может быть отказано.
Информационные процессы – процессы сбора, накопления, обработкихранения, распределения и поиска информации.
Информационные ресурсы – документы или массив документов, существующие отдельно или в составе информационной системы.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация является одним из объектов гражданского права том числе и прав собственности, владения, пользования.
Искусственные угрозы – угрозы АСОИ, вызванные деятельностьючеловека. Среди них, исходя из мотивациидействий, можно выделить непреднамеренные и преднамеренные.
Категорирование защищаемой информации – установление градаций важности защитызащищаемой информации.
Классические вирусы – это программы, распространяющие свои копии по ресурсам локального компьютера.
Ключ – используется в процессе шифровки и дешифровки.
Кодирование информации – осуществляется заменой слов и предложений исходной информации кодами.
Компьютерные преступления против государственных и общественных интересов – преступления, направленные против государственной и общественной безопасности (например, угрожающие обороноспособностигосударства, злоупотребления с автоматизированными системами голосования и т.д.).
Компьютерные преступления против личных прав и частной сферы – незаконный сбор данных о лице, разглашение частной информации (например, банковской или врачебной тайны, информациио расходах и т.д.).
Контроль доступа к аппаратуре – означает, что внутренний монтаж аппаратуры и технологические органы и пульты управления закрыты крышками, дверцами или кожухами, на которые установлены датчики.
Контроль организации защиты информации – проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации, установленным требованиям и/или нормам в области защиты информации.
Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Конфиденциальность информации – известность ее содержания только имеющим соответствующие полномочия субъектам.
Корпоративная информационная система – информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Кракер – лицо, изучающее систему с целью ее взлома. Именно кракеры реализуют свои криминальные наклонности в похищении информации и написании вирусов, разрушающих ПО. Они применяют различные способы атак на компьютерную систему, используя принципы построения протоколов сетевого обмена. Кракеры разрабатывают специальное программное обеспечение, засылая его на взломанную машину.
Криптоанализ – исследование возможности расшифровки информации без ключа.
Криптография – построение и исследование математических методов преобразования информации.
Мероприятие по защите информации – совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации – совокупность действий по разработке и/или практическому применению методов, способов и средств контроля эффективности защиты информации.
Метод контроля эффективности защиты информации – порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Непреднамеренное воздействие на защищенную информацию – воздействие на нее из-за ошибок пользователя, сбой техники или программных средств, природных явлений и т.д.
Несанкционированное воздействие – на защищенную информацию – воздействие с нарушением правил ее изменения.
Несанкционированный доступ – получение защищенной информации заинтересованным субъектом с нарушением правилом доступа к ней.
Нормы эффективности защиты информации – значения показателей эффективности защиты информации, установленные нормативными документами.
Носитель информации – физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Объект защиты – информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Ограничение доступа – создание некоторой физической замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям.
Одноалфавитная подстановка – прямая замена символов шифруемого сообщения другими буквами того же самого или другого алфавита.
Орган защиты информации – административный орган, осуществляющий организацию защиты информации.
Организационные мероприятия по защите информации в АСОИ – разработка и реализация административных и организационно-технических мер при подготовке и эксплуатации системы.
Организационный контроль эффективности защиты информации – проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Организация защиты информации – содержание и порядок действий по обеспечению защиты информации.
Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата, ключа, подписи, принадлежности электронной, цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Показатель эффективности защиты информации – мера или характеристика для оценки эффективности защиты информации.
Пользователь (потребитель) информации – субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.
Правило доступа к информации – совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Право доступа к информации – совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Преднамеренные (умышленные) угрозы – связаны с корыстными устремлениями людей (злоумышленников).
Предоставление привилегий на доступ – к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Разграничение доступа – в вычислительной системе – разделение информации, циркулирующей в ней, на части и организация доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.
Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Сертификат средств электронной цифровой подписи – документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.
Сетевые черви – программы, распространяющие свои копии по локальным и/или глобальным сетям.
Сжатие информации – метод криптографического преобразования информации.
Система защиты информации – совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Скамеры – мошенники, рассылающие свои послания в надежде поймать на наживку наивных и жадных.
Интернет-телефония становится все более популярной. На сегодня зарегистрировано уже довольно много случаев обращения мошенников к пользователям Skype – сервисом IP-телефонии, позволяющим пользователям связываться посредством компьютер-компьютер и компьютер-телефон.
Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Спамеры – те, от кого приходят в наши почтовые ящики не запрошенные массовые рассылки.
Способ защиты информации – порядок и правила применения определенных принципов и средств защиты информации.
Средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций – создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Средство защиты информации – техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации – техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
Стеганография – метод скрытой передачи информации.
Стойкость метода – тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом, стойкость шифра определяет допустимый
объем информации, зашифровываемый при использовании одного ключа.
Субъект доступа к информации – участник правоотношений в информационных процессах. Информационные процессы – процессы создания, обработки, хранения, защиты от внутренних и внешних
угроз, передачи, получения, использования и уничтожения информации.
Тестовый контроль – применяется для проверки работоспособности комплекса средств автоматизации при помощи испытательных программ.
Техника защиты информации – средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Технический контроль эффективности защиты информации – контроль эффективности защиты информации, проводимый с использованием средств контроля.
Троянский конь – программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера.
Трудоемкость метода – число элементарных операций, необходимых для шифрования одного символа исходного текста.
Угроза информационной безопасности в компьютерной системе – события или действия, которые могут вызвать изменения функционирования КС, связанные с нарушением защищенности информации, обрабатываемой в ней.
Удаленная атака – несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.
Утечка информации – неконтролируемое распространение защищенной информации путем ее разглашения, несанкционированного доступа.
Уязвимость информации – возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создадутся условия для реальной угрозы безопасности в ней.
Фишеры (от англ. fisher – рыбак)– сравнительно недавно появившаяся разновидность Интернет-мошенников, которые обманным путем выманивают у доверчивых пользователей сети конфиденциальную информацию: различные пароли, пин-коды, данные, используя фальшивые электронные адреса и поддельные веб-сайты и т.п.
Фишинг (ловля на удочку) – это распространение поддельных сообщений от имени банков или финансовых компаний. Целью такого сообщения является сбор логинов, паролей и пин-кодов пользователей.
Фракеры – приверженцы электронного журнала Phrack, осуществляют взлом интрасети в познавательных целях для получения информации.
Хакер – в XIX веке называли плохих игроков в гольф, своего рода дилетантов.
Цель защиты информации– предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Черный пиар – акция, которая имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п.
Шифрование – изменение исходного текста так, чтобы скрыть от посторонних его содержание.
Шифрование информации – преобразование информации, в результате, которого содержание информации становится непонятным для субъекта, не имеющего соответствующего доступа. Результат шифрования называется шифротекстом.
Шифротекст – зашифрованное сообщение.
Экономические компьютерные преступления – являются наиболее распространенными. Они совершаются по корыстным мотивам и включают в себя компьютерное мошенничество, кражу программ («компьютерное пиратство»), кражу услуг и машинного времени, экономический шпионаж.
Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронная цифровая подпись (англ. digital signature)– это цифровой код (последовательность символов), присоединяемый к электронному сообщению для идентификации отправителя.
Электронный документ– документ, в котором информация представлена в электронно-цифровой форме.
Эффективность защиты информации – степень соответствия результатов защиты информации поставленной цели.
Защиты информации – степень соответствия результатов защиты поставленной цели. Объектом защиты может быть информация, ее носитель, информационный процесс, в отношении которого необходимо производить защиту в соответствии с поставленными целями.
Раздел 2. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Для симметричной криптосистемы характерно применение одного и того же ключа, как при шифровании, так и при шифровании сообщений. В асимметричных криптосистемах для дешифрования данных используется один (общедоступный) ключ, а для дешифрования – другой (секретный) ключ.
Алгоритм Диффи-Хелмана
Этот алгоритм предполагает, что два абонента дистанционно будут генерировать ключ для шифрования в дальнейшем, например, каким либо симметричным алгоритмом. Алгоритм Диффи-Хелмана (1976 год) использует функцию дискретного возведения в степень.
Последовательность действий в алгоритме Диффи-Хелмана:
1 Сначала генерируются два больших простых числа n и q. Эти два числа не обязательно хранить в секрете.
2 Далее один из партнеров P1 генерирует случайное число x и посылает другому участнику будущих обменов P2 значение A = qx mod n.
3 По получении А партнер P2 генерирует случайное число у и посылает P2 вычисленное значение B = qy mod n.
4 Партнер P1, получив В, вычисляет Kx = Bx mod n.
5Партнер P2, получив A вычисляет Ky = Ay mod n.
6 Алгоритм гарантирует, что числа Ky и Kx равны и могут быть использованы в качестве секретного ключа для шифрования.
Как видно из алгоритма, даже «перехватив» числа А и В, вычислить Kx или Ky невозможно.
Пример. Представим итерации алгоритма в виде последовательности действий партнеров в табличной форме (табл. 2.1). Таблица 2.1
Совместным ключом для шифрования будет 5.