Цели и задачи изучения темы
ФЕДЕРАЛЬННОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«БЕЛГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ФАКУЛЬТЕТ КОМПЬЮТЕРНЫХ НАУК И ТЕЛЕКОММУНИКАЦИЙ
КАФЕДРА МАТЕМАТИЧЕСКОГО И ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ
Румбешт В.В.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Учебное пособие
Белгород 2008г.
ББК 32.973-018.2я73
УДК 681.3.067(075.8)
Печатается по решению редакционно-издательского совета
Белгородского государственного университета
Автор-составитель: Румбешт В.В.
Рецензенты: - _____________________________________________________
Информационная безопасность: Учебное пособие / Сост. В.В. Румбешт. – Белгород: Изд-во БелГУ, 2008.
Учебное пособие по курсу "Информационная безопасность" для студентов заочной формы обучения представляют собой теоретический материал и практикум по тому же курсу. Учебное пособие составлено в соответствии с требованиями по обязательному минимуму содержания и уровню подготовки специалиста с высшим образованием Государственным образовательным стандартом высшего профессионального образования по специальностям 010503 – "Математическое обеспечение и администрирование информационных систем", а также в соответствии с учебной программой.
© Белгородский государственный университет, 2008
©В.В. Румбешт, 2008
Содержание:
Введение. 7
Тема 1. Введение в проблемы информационной безопасности. 9
1.1. Концептуальная модель информационной безопасности. 9
1.1.1. Основные понятия и определения. 9
1.1.2. Взаимосвязь понятий в области информационной безопасности. 12
1.2. Основные угрозы информационной безопасности и каналы утечки информации 14
1.2.1. Основные виды угроз. 14
1.2.2. Каналы утечки информации. 16
1.3. Основные виды атак на информацию.. 18
1.3.1. Атаки доступа. 19
1.3.2. Атаки модификации. 21
1.3.3. Атаки на отказ в обслуживании. 22
1.3.4. Атаки отказа от обязательств. 22
1.4. Классификация методов и средств защиты информации. 23
1.4.1. Основные методы защиты информации. 24
1.4.2. Неформальные средства защиты.. 25
1.4.3. Формальные средства защиты.. 27
Вопросы для повторения. 28
Резюме по теме. 28
Тема 2. Криптографические методы защиты информации. 29
2.1. Принципы криптографической защиты информации. 29
2.1.1. Шифры.. 29
2.1.2. Односторонние функции. 32
2.1.3. Хэш-функции. 33
2.1.4. Электронная цифровая подпись. 35
2.1.5. Генераторы псевдослучайных последовательностей. 37
2.2. Криптоанализ и виды криптоаналитических атак. 37
2.3. Основные криптографические преобразования в симметричных криптосистемах 39
2.3.1. Шифры перестановки. 40
2.3.2. Шифры замены (подстановки) 41
2.3.3. Шифры гаммирования. 43
2.3.4. Композиционные блочные шифры.. 47
Вопросы для повторения. 49
Резюме по теме. 49
Тема 3. Симметричные криптосистемы.. 50
3.1. Сеть Фейстеля. 50
3.2. Алгоритм криптографического преобразования данных ГОСТ 28147-89 52
3.3. Стандарт шифрования США нового поколения. 57
3.4. Комбинирование блочных шифров. 65
3.5. Режимы работы блочных шифров. 67
3.5.1. Режим "Электронная кодовая книга". 67
3.5.2. Режим "Сцепление блоков шифртекста". 68
3.5.3. Режим обратной связи по шифртексту. 69
3.5.4. Режим обратной связи по выходу. 70
3.6. Режимы работы алгоритма криптографического преобразования данных ГОСТ 28147-89. 71
Вопросы для повторения. 77
Резюме по теме. 77
Тема 4. Асимметричные криптосистемы.. 78
4.1. Алгоритмы шифрования с открытым ключом. 78
4.1.1. Криптосистема RSA.. 79
4.1.2. Криптосистемы Диффи-Хеллмана и Эль Гамаля. 81
4.1.3. Криптосистема на основе эллиптических кривых. 83
4.2. Алгоритмы криптографического хэширования. 87
4.2.1. Алгоритм безопасного хэширования. 87
4.2.2. Односторонние хэш-функции на основе симметричных блочных алгоритмов 89
4.2.3. Алгоритм хэширования ГОСТ Р 34.11–94. 91
4.3. Алгоритмы электронной цифровой подписи. 93
4.3.1. Алгоритм цифровой подписи RSA.. 94
4.3.2. Алгоритм цифровой подписи Эль Гамаля (EGSA) 96
4.3.3. Алгоритм цифровой подписи DSA.. 97
4.3.4. Алгоритмы электронной цифровой подписи ГОСТ Р 34.10–94 и ГОСТ Р 34.10–2001. 99
Вопросы для повторения. 101
Резюме по теме. 101
Тема 5. Методы и средства защиты информации от несанкционированного доступа 102
5.1. Основные понятия концепции защиты от несанкционированного доступа 102
5.2. Идентификация и аутентификация. 105
5.2.1 Аутентификация пользователя на основе паролей и процедуры "рукопожатия" 106
5.2.2. Проверка подлинности пользователя по наличию материального аутентификатора. 110
5.2.3. Аутентификация пользователя по биометрическим характеристикам 113
5.3. Управление доступом и регистрация доступа к ресурсам АСОИ.. 117
5.4. Защита информации от несанкционированного доступа в сетях. 119
Вопросы для повторения. 122
Резюме по теме. 122
Тема 6. Средства защиты от компьютерных вирусов. 123
6.1. Классификация компьютерных вирусов. 123
6.1.1. Файловые вирусы.. 125
6.1.2. Загрузочные вирусы.. 128
6.1.3. Макровирусы.. 130
6.1.4. Сетевые вирусы.. 131
6.1.5. Прочие вредоносные программы.. 132
6.2. Методы обнаружения и удаления компьютерных вирусов. 133
6.2.1. Профилактика заражения компьютера. 134
6.2.2. Использование антивирусных программ. 136
6.2.3. Методы обнаружения и удаления неизвестных вирусов. 140
Вопросы для повторения. 141
Резюме по теме. 141
Практикум (лабораторный) 142
Лабораторная работа №1. Программная реализация простых шифров перестановки и замены.. 142
Требования к содержанию, оформлению и порядку выполнения. 142
Теоретическая часть. 142
Общая постановка задачи. 148
Список индивидуальных данных. 148
Пример выполнения работы.. 149
Контрольные вопросы к защите. 153
Способ оценки результатов. 153
Лабораторная работа №2. Генерация и исследование псевдослучайных последовательностей. Реализация потокового шифрования данных. 154
Требования к содержанию, оформлению и порядку выполнения. 154
Теоретическая часть. 154
Общая постановка задачи. 156
Список индивидуальных данных. 157
Пример выполнения работы.. 158
Контрольные вопросы к защите. 163
Способ оценки результатов. 164
Лабораторная работа №3. Изучение принципов создания блочных шифров на примере алгоритма DES. 164
Требования к содержанию, оформлению и порядку выполнения. 164
Теоретическая часть. 164
Общая постановка задачи. 172
Список индивидуальных данных. 173
Пример выполнения работы.. 173
Контрольные вопросы к защите. 176
Способ оценки результатов. 176
Лабораторная работа №4. Изучение режимов работы блочных шифров на примере алгоритма ГОСТ 28147–89. 176
Требования к содержанию, оформлению и порядку выполнения. 176
Теоретическая часть. 176
Общая постановка задачи. 177
Список индивидуальных данных. 180
Пример выполнения работы.. 182
Контрольные вопросы к защите. 184
Способ оценки результатов. 184
Лабораторная работа №5. Изучение электронной цифровой подписи и принципов шифрования с открытым ключом с использованием системы PGP. 184
Требования к содержанию, оформлению и порядку выполнения. 184
Теоретическая часть. 184
Общая постановка задачи. 187
Список индивидуальных данных. 195
Пример выполнения работы.. 196
Контрольные вопросы к защите. 199
Способ оценки результатов. 199
Литература. 200
Рекомендуемая основная литература. 200
Рекомендуемая дополнительная литература. 200
Глоссарий. 202
Введение
Еще 25 – 30 лет назад задача обеспечения информационной безопасности могла быть эффективно решена с помощью административных мер (выполнение режимных мероприятий, использование средств охраны и сигнализации и т.п.) и отдельных программно-аппаратных средств разграничения доступа к информации и шифрования. Этому способствовала концентрация информационных ресурсов и средств их обработки на автономно функционирующих вычислительных центрах. Появление персональных ЭВМ, локальных и глобальных компьютерных сетей, спутниковых каналов связи, эффективных средств технической разведки и получения конфиденциальной информации существенно обострило проблему информационной безопасности. Рост количества и качества угроз информационной безопасности не всегда приводит к адекватному ответу в виде создания и эксплуатации надежных систем защиты информации и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря уже об отдельных пользователях, уровень применения средств защиты информации остается недопустимо низким. Это обусловлено, с одной стороны, не пониманием остроты проблем информационной безопасности, а с другой – элементарным не знанием методов и средств защиты информации.
В связи с этим следует не только увеличивать количество специалистов в области информационной безопасности, но и обучать современным методам и средствам защиты информации специалистов других сфер – в первую очередь специалистов в области информатики и вычислительной техники. Решению этой задачи и посвящен курс "Информационная безопасность".
Курс предназначен для студентов специальности 010503 "Математическое обеспечение и администрирование информационных систем".
Состав учебно-методического комплекса:
1. презентация дисциплины дает краткую характеристику учебного материала и отображает основные положения тем;
2. материалы программного блока являются нормативными документами, на основе которых строится учебный процесс по дисциплине;
3. учебно-практическое пособие предназначено для изложения структурированного учебного материала по дисциплине;
4. тестовые задания доступны только в электронной версии и содержат материалы для самоконтроля и итогового контроля.
Полная версия УМК представлена в электронном виде на CD-ROM и в сетевой программной оболочке "Пегас" по адресу http://pegas.bsu.edu.ru. Печатная версия включает в себя учебно-практическое пособие и глоссарий.
Данный курс ориентирован на самостоятельную познавательную деятельность слушателей. При изучении данного курса Вам предстоит освоить теоретический материал, который разбит на шесть тем:
1. Введение в проблемы информационной безопасности.
2. Криптографические методы защиты информации.
3. Симметричные криптосистемы.
4. Асимметричные криптосистемы.
5. Методы и средства защиты информации от несанкционированного доступа.
6. Средства защиты от компьютерных вирусов.
Также предстоит выполнить пять лабораторных работ:
1. Программная реализация простых шифров перестановки и замены.
2. Генерация и исследование псевдослучайных последовательностей. Реализация потокового шифрования данных.
3. Изучение принципов создания блочных шифров на примере алгоритма DES.
4. Изучение режимов работы блочных шифров на примере алгоритма ГОСТ 28147-89.
5. Изучение электронной цифровой подписи и принципов шифрования с открытым ключом с использованием системы PGP.
Все темы дисциплины завершаются списком вопросов для повторения данной темы. Каждая лабораторная работа завершается списком контрольных вопросов к защите.
Курс разработал доцент кафедры математического и программного обеспечения информационных систем ф-та КНИТ В.В. Румбешт. С автором курса можно связаться по электронной почте: [email protected].
Тема 1. Введение в проблемы информационной безопасности
Цели и задачи изучения темы
Цель данной темы состоит в определении места и роли угроз, уязвимостей, каналов утечки информации, а также методов и средств защиты информации в общей проблематике информационной безопасности.