Цели и задачи изучения темы

ФЕДЕРАЛЬННОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«БЕЛГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

ФАКУЛЬТЕТ КОМПЬЮТЕРНЫХ НАУК И ТЕЛЕКОММУНИКАЦИЙ

КАФЕДРА МАТЕМАТИЧЕСКОГО И ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ

Румбешт В.В.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Учебное пособие

Белгород 2008г.

ББК 32.973-018.2я73

УДК 681.3.067(075.8)

Печатается по решению редакционно-издательского совета

Белгородского государственного университета

Автор-составитель: Румбешт В.В.

Рецензенты: - _____________________________________________________

Информационная безопасность: Учебное пособие / Сост. В.В. Румбешт. – Белгород: Изд-во БелГУ, 2008.

Учебное пособие по курсу "Информационная безопасность" для студентов заочной формы обучения представляют собой теоретический материал и практикум по тому же курсу. Учебное пособие составлено в соответствии с требованиями по обязательному минимуму содержания и уровню подготовки специалиста с высшим образованием Государственным образовательным стандартом высшего профессионального образования по специальностям 010503 – "Математическое обеспечение и администрирование информационных систем", а также в соответствии с учебной программой.

©В.В. Румбешт, 2008

Содержание:

Введение. 7

Тема 1. Введение в проблемы информационной безопасности. 9

1.1. Концептуальная модель информационной безопасности. 9

1.1.1. Основные понятия и определения. 9

1.1.2. Взаимосвязь понятий в области информационной безопасности. 12

1.2. Основные угрозы информационной безопасности и каналы утечки информации 14

1.2.1. Основные виды угроз. 14

1.2.2. Каналы утечки информации. 16

1.3. Основные виды атак на информацию.. 18

1.3.1. Атаки доступа. 19

1.3.2. Атаки модификации. 21

1.3.3. Атаки на отказ в обслуживании. 22

1.3.4. Атаки отказа от обязательств. 22

1.4. Классификация методов и средств защиты информации. 23

1.4.1. Основные методы защиты информации. 24

1.4.2. Неформальные средства защиты.. 25

1.4.3. Формальные средства защиты.. 27

Вопросы для повторения. 28

Резюме по теме. 28

Тема 2. Криптографические методы защиты информации. 29

2.1. Принципы криптографической защиты информации. 29

2.1.1. Шифры.. 29

2.1.2. Односторонние функции. 32

2.1.3. Хэш-функции. 33

2.1.4. Электронная цифровая подпись. 35

2.1.5. Генераторы псевдослучайных последовательностей. 37

2.2. Криптоанализ и виды криптоаналитических атак. 37

2.3. Основные криптографические преобразования в симметричных криптосистемах 39

2.3.1. Шифры перестановки. 40

2.3.2. Шифры замены (подстановки) 41

2.3.3. Шифры гаммирования. 43

2.3.4. Композиционные блочные шифры.. 47

Вопросы для повторения. 49

Резюме по теме. 49

Тема 3. Симметричные криптосистемы.. 50

3.1. Сеть Фейстеля. 50

3.2. Алгоритм криптографического преобразования данных ГОСТ 28147-89 52

3.3. Стандарт шифрования США нового поколения. 57

3.4. Комбинирование блочных шифров. 65

3.5. Режимы работы блочных шифров. 67

3.5.1. Режим "Электронная кодовая книга". 67

3.5.2. Режим "Сцепление блоков шифртекста". 68

3.5.3. Режим обратной связи по шифртексту. 69

3.5.4. Режим обратной связи по выходу. 70

3.6. Режимы работы алгоритма криптографического преобразования данных ГОСТ 28147-89. 71

Вопросы для повторения. 77

Резюме по теме. 77

Тема 4. Асимметричные криптосистемы.. 78

4.1. Алгоритмы шифрования с открытым ключом. 78

4.1.1. Криптосистема RSA.. 79

4.1.2. Криптосистемы Диффи-Хеллмана и Эль Гамаля. 81

4.1.3. Криптосистема на основе эллиптических кривых. 83

4.2. Алгоритмы криптографического хэширования. 87

4.2.1. Алгоритм безопасного хэширования. 87

4.2.2. Односторонние хэш-функции на основе симметричных блочных алгоритмов 89

4.2.3. Алгоритм хэширования ГОСТ Р 34.11–94. 91

4.3. Алгоритмы электронной цифровой подписи. 93

4.3.1. Алгоритм цифровой подписи RSA.. 94

4.3.2. Алгоритм цифровой подписи Эль Гамаля (EGSA) 96

4.3.3. Алгоритм цифровой подписи DSA.. 97

4.3.4. Алгоритмы электронной цифровой подписи ГОСТ Р 34.10–94 и ГОСТ Р 34.10–2001. 99

Вопросы для повторения. 101

Резюме по теме. 101

Тема 5. Методы и средства защиты информации от несанкционированного доступа 102

5.1. Основные понятия концепции защиты от несанкционированного доступа 102

5.2. Идентификация и аутентификация. 105

5.2.1 Аутентификация пользователя на основе паролей и процедуры "рукопожатия" 106

5.2.2. Проверка подлинности пользователя по наличию материального аутентификатора. 110

5.2.3. Аутентификация пользователя по биометрическим характеристикам 113

5.3. Управление доступом и регистрация доступа к ресурсам АСОИ.. 117

5.4. Защита информации от несанкционированного доступа в сетях. 119

Вопросы для повторения. 122

Резюме по теме. 122

Тема 6. Средства защиты от компьютерных вирусов. 123

6.1. Классификация компьютерных вирусов. 123

6.1.1. Файловые вирусы.. 125

6.1.2. Загрузочные вирусы.. 128

6.1.3. Макровирусы.. 130

6.1.4. Сетевые вирусы.. 131

6.1.5. Прочие вредоносные программы.. 132

6.2. Методы обнаружения и удаления компьютерных вирусов. 133

6.2.1. Профилактика заражения компьютера. 134

6.2.2. Использование антивирусных программ. 136

6.2.3. Методы обнаружения и удаления неизвестных вирусов. 140

Вопросы для повторения. 141

Резюме по теме. 141

Практикум (лабораторный) 142

Лабораторная работа №1. Программная реализация простых шифров перестановки и замены.. 142

Требования к содержанию, оформлению и порядку выполнения. 142

Теоретическая часть. 142

Общая постановка задачи. 148

Список индивидуальных данных. 148

Пример выполнения работы.. 149

Контрольные вопросы к защите. 153

Способ оценки результатов. 153

Лабораторная работа №2. Генерация и исследование псевдослучайных последовательностей. Реализация потокового шифрования данных. 154

Требования к содержанию, оформлению и порядку выполнения. 154

Теоретическая часть. 154

Общая постановка задачи. 156

Список индивидуальных данных. 157

Пример выполнения работы.. 158

Контрольные вопросы к защите. 163

Способ оценки результатов. 164

Лабораторная работа №3. Изучение принципов создания блочных шифров на примере алгоритма DES. 164

Требования к содержанию, оформлению и порядку выполнения. 164

Теоретическая часть. 164

Общая постановка задачи. 172

Список индивидуальных данных. 173

Пример выполнения работы.. 173

Контрольные вопросы к защите. 176

Способ оценки результатов. 176

Лабораторная работа №4. Изучение режимов работы блочных шифров на примере алгоритма ГОСТ 28147–89. 176

Требования к содержанию, оформлению и порядку выполнения. 176

Теоретическая часть. 176

Общая постановка задачи. 177

Список индивидуальных данных. 180

Пример выполнения работы.. 182

Контрольные вопросы к защите. 184

Способ оценки результатов. 184

Лабораторная работа №5. Изучение электронной цифровой подписи и принципов шифрования с открытым ключом с использованием системы PGP. 184

Требования к содержанию, оформлению и порядку выполнения. 184

Теоретическая часть. 184

Общая постановка задачи. 187

Список индивидуальных данных. 195

Пример выполнения работы.. 196

Контрольные вопросы к защите. 199

Способ оценки результатов. 199

Литература. 200

Рекомендуемая основная литература. 200

Рекомендуемая дополнительная литература. 200

Глоссарий. 202

Введение

Еще 25 – 30 лет назад задача обеспечения информационной безопасности могла быть эффективно решена с помощью административных мер (выполнение режимных мероприятий, использование средств охраны и сигнализации и т.п.) и отдельных программно-аппаратных средств разграничения доступа к информации и шифрования. Этому способствовала концентрация информационных ресурсов и средств их обработки на автономно функционирующих вычислительных центрах. Появление персональных ЭВМ, локальных и глобальных компьютерных сетей, спутниковых каналов связи, эффективных средств технической разведки и получения конфиденциальной информации существенно обострило проблему информационной безопасности. Рост количества и качества угроз информационной безопасности не всегда приводит к адекватному ответу в виде создания и эксплуатации надежных систем защиты информации и безопасных информационных технологий. В большинстве коммерческих и государственных организаций, не говоря уже об отдельных пользователях, уровень применения средств защиты информации остается недопустимо низким. Это обусловлено, с одной стороны, не пониманием остроты проблем информационной безопасности, а с другой – элементарным не знанием методов и средств защиты информации.

В связи с этим следует не только увеличивать количество специалистов в области информационной безопасности, но и обучать современным методам и средствам защиты информации специалистов других сфер – в первую очередь специалистов в области информатики и вычислительной техники. Решению этой задачи и посвящен курс "Информационная безопасность".

Курс предназначен для студентов специальности 010503 "Математическое обеспечение и администрирование информационных систем".

Состав учебно-методического комплекса:

1. презентация дисциплины дает краткую характеристику учебного материала и отображает основные положения тем;

2. материалы программного блока являются нормативными документами, на основе которых строится учебный процесс по дисциплине;

3. учебно-практическое пособие предназначено для изложения структурированного учебного материала по дисциплине;

4. тестовые задания доступны только в электронной версии и содержат материалы для самоконтроля и итогового контроля.

Полная версия УМК представлена в электронном виде на CD-ROM и в сетевой программной оболочке "Пегас" по адресу http://pegas.bsu.edu.ru. Печатная версия включает в себя учебно-практическое пособие и глоссарий.

Данный курс ориентирован на самостоятельную познавательную деятельность слушателей. При изучении данного курса Вам предстоит освоить теоретический материал, который разбит на шесть тем:

1. Введение в проблемы информационной безопасности.

2. Криптографические методы защиты информации.

3. Симметричные криптосистемы.

4. Асимметричные криптосистемы.

5. Методы и средства защиты информации от несанкционированного доступа.

6. Средства защиты от компьютерных вирусов.

Также предстоит выполнить пять лабораторных работ:

1. Программная реализация простых шифров перестановки и замены.

2. Генерация и исследование псевдослучайных последовательностей. Реализация потокового шифрования данных.

3. Изучение принципов создания блочных шифров на примере алгоритма DES.

4. Изучение режимов работы блочных шифров на примере алгоритма ГОСТ 28147-89.

5. Изучение электронной цифровой подписи и принципов шифрования с открытым ключом с использованием системы PGP.

Все темы дисциплины завершаются списком вопросов для повторения данной темы. Каждая лабораторная работа завершается списком контрольных вопросов к защите.

Курс разработал доцент кафедры математического и программного обеспечения информационных систем ф-та КНИТ В.В. Румбешт. С автором курса можно связаться по электронной почте: rumbesht@bsu.edu.ru.

Тема 1. Введение в проблемы информационной безопасности

Цели и задачи изучения темы

Цель данной темы состоит в определении места и роли угроз, уязвимостей, каналов утечки информации, а также методов и средств защиты информации в общей проблематике информационной безопасности.