Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования «Иркутский государственный педагогический университет» Факультет математики, физики и информатики Утверждено на заседании совета факультета математики, физики и информатики протокол №_____от __________2007 г. Председатель совета________________ (Кузьмина Н.Д.) УЧЕБНАЯ ПРОГРАММА ДИСЦИПЛИНЫ СД.Ф.04. Информационная безопасность Специальность: 351400 Прикладная информатика (в образовании) Квалификация: Информатик в образовании Курс: 4 Семестр: 8, 9 Форма обучения: очная Количество часов на дисциплину: 240 час. Количество аудиторных часов: 120 час.; из них: Лекций: 60 час. Практических занятий: 60 час. Самостоятельная работа: 120 час. Итоговый контроль: 8 семестр – зачет, 9 семестр – экзамен. I. ОРГАНИЗАЦИОННО-МЕТОДИЧЕСКИЙ РАЗДЕЛ Место дисциплины Дисциплина «Информационная безопасность» включена в учебный план в рамках федерального компонента. Она носит, с одной стороны, пропедевтический характер, с другой стороны, является неотъемлемой частью подготовки специалиста в области информационных технологий. Цель дисциплины Цель дисциплины – изложить научные и организационно-правовые основы криптографии и информационной безопасности. Задачи дисциплины Задачи курса – познакомить студентов с математическими основами криптографии, защиты от несанкционированного доступа, методами по организации информационной безопасности на предприятии. Принципы отбора содержания и организации учебного материала Учебный материал представлен двумя разделами: криптографические основы защиты информации и организационно-правовые аспекты информационной безопасности. В основу отбора материала положен принцип обзора различных криптосистем и криптопротоколов и методов их построения и углубленное изучение некоторых из них. Требования к освоению содержания дисциплины Студент должен знать: - основные используемые в настоящее время криптосистемы, - методы построения информационной безопасности на предприятии, - правовые основы информационной безопасности. Студент должен уметь: - применять различные криптопротоколы и криптосистемы на практике, - формулировать основные положения политики безопасности для конкретного предприятия. Студент должен владеть: - методами криптоанализа, - методами проверки корректности применения выбранных средств защиты на практике. Виды контроля Текущий – проводится по каждой учебной единице в форме проверки домашнего задания. Рубежный – проводится по каждому из двух модулей в форме контрольных работ с рейтинговой оценкой. Итоговый – проводится в форме экзамена. Планирование содержания дисциплины № Название модуля Часы аудиторных занятий Лекции Практ. занятия 1 Криптографические основы 44 48 информационной безопасности 2 Организационные аспекты 16 12 информационной безопасности Часы самостояте льной работы 80 Всего часов 40 68 172 II. СОДЕРЖАНИЕ ДИСЦИПЛИНЫ Модуль №1 Криптографические основы информационной безопасности. 1). Информационная безопасность. Основное определение. Направления ИБ. Механизмы. Инструментарий. Методы защиты информации. 2). Основы криптографии. Общие принципы и модели. Защита от несанкционированного доступа. Понятие ключа. Шифрование и кодирование. Криптосистемы. 3). История криптографии. Шифр простой замены. Шифр Цезаря. Шифр вертикальной перестановки. Гаммирование. Основные способы криптоанализа простых шифров. Идеальный шифр. 4). Симметричные криптосистемы. Схема Фейстеля. Стандарты блочного шифрования. Федеральный стандарт DES. 5). Симметричные криптосистемы. Алгоритм шифрования ГОСТ 28147–89. режимы шифрования и гаммирования. Разработка и внедрение стандарта AES. 6). Симметричные криптосистемы. Алгоритм блочного шифрования Rijndael. 7). Атаки на блочные шифры. Дифференциальный криптоанализ. Дифференциальный криптоанализ на основе отказов устройства. 8). Атаки на блочные шифры. Линейный криптоанализ. Силовая атака на основе распределенных вычислений. 9). Поточные шифры. Регистры сдвига с обратной связью. Алгоритм поточного шифрования RC4. 10). Асимметричные криптосистемы. Общее введение в теорию асимметричных криптосистем. Основные теоремы теории чисел. Проверка числа на простоту. Эффективные алгоритмы возведения в степень. 11). Криптосистема RSA. Устройство RSA. Эффективность реализации. Криптостойкость RSA. Шифрование коротких сообщений. 12). Атаки на криптосистему RSA. Атака на основе выбранного шифр текста. Атака на основе общего RSA модуля. Раскрытие малого показателя шифрования. 13). Криптосистема Эль-Гамаля. Вычисление и проверка подписи. Шифрование и дешифрование. Эффективность реализации. 14). Метод экспоненциального ключевого обмена Диффи-Хелмана. Протокол ключевого обмена для нескольких участников. Некоторые модификации метода. Односторонняя генерация ключа. 15). Хеш-функции. Понятие хеш-функции. Основные свойства односторонних функций. MD4. Федеральный стандарт США. Стандарт России. 16). Цифровая подпись. Понятие цифровой подписи. Основные принципы и отличия от реальной подписи. Алгоритмы цифровой подписи. DSS. ГОСТ. 17). Организация взаимодействия на основе цифровой подписи. Закон об ЭЦП в России. Удостоверяющие центры. Используемые стандарты. 18). Управление ключами. Протоколы генерации ключей. Случайные ключи. Протоколы распределения ключей. Скомпрометированные ключи. Хранение ключей. Время жизни ключей. Уничтожение ключей. 19). Разделение секрета. Схема Шамира. Схемы на основе кодов Рида-Соломона. Верифицируемое разделение секрета. 20). Криптография с временным раскрытием. «Шарады» с временным замком. Построение «шарад» с временным замком. Решение «Шарады» 21). Квантовая криптография. Элементарное введение в квантовую физику. Квантовый протокол распределения ключей. Распределение ключей в оптических сетях. 22). Доказательство принадлежности. Фазы процедуры доказательства и роли сторон. Доказательство при отказе отправителя. Доказательство при отказе получателя. Модуль №2 Организационные аспекты информационной безопасности. 1). Правовые основы защиты информации. Категории прав на информацию. Служебная, коммерческая и государственная тайны. Сведения, не составляющие коммерческую и государственную тайну. Закон «Информации, информатизации и защите информации». Закон о персональных данных. 2). Стандарты и спецификации в области информационной безопасности. Оценочные стандарты. Оранжевая книга. Политика безопасности. Уровень гарантированности. Классы безопасности. Безопасность распределенных систем. Рекомендации X.800. Интерпретация "Оранжевой книги" для сетевых конфигураций. 3). Роли и ответственности субъектов информационного пространства. Принцип распределения ответственности. Модель работы с информацией. Роли субъектов. Матрица распределения доступа для сотрудников. 4). Управление рисками. Понятие управления рисками. Качественные и количественные методики оценки рисков. Количественная модель QRM. Оценки по конфиденциальности информации. 5). Политика безопасности. Цели и задачи организации. Взаимодействие между субъектами. Правила безопасности. 6). Политика безопасности для ЛВС. Уязвимости ЛВС. Модель прав для сети. Основные положения политики безопасности. 7). Модель безопасности HRU. Понятие матрица доступа. Основные команды модели и переходы. Алгоритмическая неразрешимость модели HRU. 8). Модель распространения прав доступа Take-Grant. Состояния, переходы, операции. Объекты и субъекты модели. Теоремы распространения прав доступа. Понятия острова и моста. Теорема о распространении прав для произвольного графа доступов. Основные понятия. Информационная безопасность. Защита информации. Оранжевая книга. Политика безопасности. Шифрование. Криптосистема. Симметричная криптосистема. Асимметричная криптосистема. Злоумышленник. Криптоанализ. Ключ шифрования. Цифровая подпись. Криптопротоколы. Криптопротоколы с нулевым разглашением. Хэш-функции. Аутентификация. Модель доступа. III. ОРГАНИЗАЦИЯ САМОСТОЯТЕЛЬНОЙ РАБОТЫ I. II. III. IV. V. VI. VII. Шифрование сообщения одним из простых шифров Программный проект: реализация одного из простых алгоритмов шифрования. Криптоанализ простых шифров Взлом сообщения, зашифрованного одним из простых шифров. Асимметричные криптосистемы Программный проект: реализация сетевого взаимодействия субъектов на основе криптосистем RSA и Эль-Гамаля . Хэш-функции Углубленное изучение одного из используемых алгоритмов для хешфункций; написание реферата. Доказательство принадлежности Программный проект: процедура доказательства принадлежности. Управление рисками Применение методик оценки рисков в рамках сформулированных угроз. Политика безопасности Формулирование основных положений политики безопасности для предприятия. IV. КОНТРОЛЬ КАЧЕСТВА ОСВОЕНИЯ ДИСЦИПЛИНЫ 1. Текущий контроль. Проводится по каждой учебной единице в форме тестирования, проверки домашнего или лабораторного задания, программного проекта. 2. Рубежный контроль. Проводится по каждому из двух модулей в форме тестирования с рейтинговой оценкой от 0 до 100 баллов. 3. Итоговый контроль. Проводится в форме устного экзамена в девятом семестре. Вопросы и задания к экзамену 1). Понятие информационной безопасности. Направления ИБ. Механизмы. Инструментарий. 2). Основы криптографии. Шифрование и кодирование. Общие принципы и модели. Защита от несанкционированного доступа. 3). Простые шифры. Шифр простой замены. Шифр Цезаря. Шифр вертикальной перестановки. Гаммирование. Основные способы криптоанализа простых шифров. 4). Симметричные криптосистемы. Схема Фейстеля. Стандарты блочного шифрования. Федеральный стандарт DES. 5). Симметричные криптосистемы. Алгоритм шифрования ГОСТ 28147–89. режимы шифрования и гаммирования. 6). Симметричные криптосистемы. Алгоритм блочного шифрования Rijndael. 7). Атаки на блочные шифры. Дифференциальный криптоанализ. Дифференциальный криптоанализ на основе отказов устройства. 8). Атаки на блочные шифры. Линейный криптоанализ. Силовая атака на основе распределенных вычислений. 9). Поточные шифры. Регистры сдвига с обратной связью. Алгоритм поточного шифрования RC4. 10).Основные теоремы теории чисел. Проверка числа на простоту. Эффективные алгоритмы возведения в степень. 11). Криптосистема RSA. Устройство RSA. Эффективность реализации. Криптостойкость RSA. 12). Атаки на криптосистему RSA. Атака на основе выбранного шифр текста. Атака на основе общего RSA модуля. Раскрытие малого показателя шифрования. 13). Криптосистема Эль-Гамаля. Вычисление и проверка подписи. Шифрование и дешифрование. Эффективность реализации. 14). Метод экспоненциального ключевого обмена Диффи-Хелмана. Протокол ключевого обмена для нескольких участников. 15). Хеш-функции. Понятие хеш-функции. Основные свойства односторонних функций. MD4. 16). Цифровая подпись. Понятие цифровой подписи. Основные принципы и отличия от реальной подписи. Алгоритмы цифровой подписи. DSS. ГОСТ. 17). Закон об ЭЦП в России. Удостоверяющие центры. 18). Протоколы генерации ключей. Случайные ключи. Протоколы распределения ключей. 19). Разделение секрета. Схема Шамира. Схемы на основе кодов РидаСоломона. Верифицируемое разделение секрета. 20). «Шарады» с временным замком. Построение «шарад» с временным замком. Решение «Шарады» 21). Квантовая криптография. Квантовый протокол распределения ключей. Распределение ключей в оптических сетях. 22). Доказательство принадлежности. Доказательство при отказе отправителя. Доказательство при отказе получателя. 23). Категории прав на информацию. Служебная, коммерческая и государственная тайны. Закон «Информации, информатизации и защите информации». Закон о персональных данных. 24). Оранжевая книга. Политика безопасности. Уровень гарантированности. Классы безопасности. Безопасность распределенных систем. Рекомендации X.800. 25). Роли и ответственности субъектов информационного пространства. Принцип распределения ответственности. Матрица распределения доступа для сотрудников организации. 26). Понятие управления рисками. Качественные и количественные методики оценки рисков. Количественная модель QRM. Оценки по конфиденциальности информации. 27). Политика безопасности. Цели и задачи организации. Взаимодействие между субъектами. Правила безопасности. 28) Политика безопасности для ЛВС. V. УЧЕБНО-МЕТОДИЧЕКСОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ Основная литература. 1. Саломаа А. Криптография с открытым ключом. – М.: Мир, 1996. 2. Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001. – 256с. 3. Анин Б.Ю. Защита компьютерной информации. – СПб.: БХВ – Санкт-Петербург, 2000. – 384с. 4. Баричев С.Г, Серов Р.Е. Основы современной криптографии. – М.: Горячая линия – Телеком, 2002. – 152с. 5. Брассар Ж. Современная криптология. – М.: Полимед, 1999. – 176с. 6. Коутинхо С. Введение в теорию чисел. Алгоритм RSA. – М.: Постмаркет, 2001. Дополнительная литература. 1. Федеральный Закон "Об информации, информатизации и защите информации" "Российская газета", 1995, 22 февраля. 2. Василенко О.Н. Теоритико-числовые алгоритмы в криптографии. – М.: МЦНМО, 2003. – 328с. 3. Петров А.А. Компьютерная безопасность. Криптографические методы защиты. – М.: ДМК, 2000. – 448с. 4. Черемушкин А.В. Лекции по арифметическим алгоритмам в криптографии. – М.: МЦНМО, 2003. – 104с. 5. Ященко В.В. Введение в криптографию. – М.: МЦНМО, 2000. –288c. Электронно-программные средства 1. Электронная версия курса в информационно-образовательной среде «Домик». 2. Библиотека книг по теории алгоритмов на электронном носителе (имеется на кафедре математической информатики). Составитель: ассистент кафедры математической информатики Рябец Л.В. Рекомендовано на заседании кафедры математической информатики протокол № ___ от ________________ 200_ г. Зав. кафедрой __________________________ Н.А.Перязев _____________________________ Одобрено на заседании УМК факультета математики, физики и информатики протокол № ___ от ________________ 200_ г. Председатель УМК ______________________