Рабочая программа дисциплины "Теоретические основы компьютерной безопасности" (Содержание дисциплины. Перечень вопросов для зачета и для экзамена)

предлагается обзор основных средств и методов несанкционированного доступа (НСД) к информации;

·  рассматриваются виды моделей безопасности, понятие политики безопасности;

·  рассматриваются устройство и принципы функционирования защищенных АС;

·  рассматривается методология проектирования и построения защищенных АС;

·  приводятся критерии и методы оценки защищенности АС.

2. Требования к уровню освоения содержания дисциплины

Требования к знаниям:

После освоения курса «Теоретические основы компьютерной безопасности» слушатель должен:

иметь представление:

·  о перспективных направлениях развития теории компьютерной безопасности,

·  о методах анализа угроз информации,

·  об архитектуре защищенных АС,

·  о принципах построения защищенных систем,

·  о типичных атаках на защищенные АС;

знать:

·  методологические и технологические основы комплексного обеспечения безопасности АС.

·  угрозы и методы нарушения безопасности АС,

·  формальные модели, лежащие в основе систем защиты АС,

·  стандарты по оценке защищенности АС и их теоретические основы,

·  методы и средства реализации защищенных АС,

·  методы и средства верификации и анализа надежности защищенных АС.

Требования к умениям и навыкам:

Студент, прослушавший курс «Теоретические основы компьютерной безопасности»,  должен:

уметь:

·  проводить анализ АС с точки зрения обеспечения компьютерной безопасности,

·  разрабатывать модели и политику безопасности, используя известные подходы, методы, средства и их теоретические основы,

·  применять стандарты по оценке защищенности АС при анализе и проектировании систем защиты информации в АС,

·  реализовывать системы защиты информации в АС в соответствии со стандартами по оценке защищенности АС;

иметь навыки:

·  работы с АС распределенных вычислений и обработки информации;

·  работы с документацией АС,

·  использования критериев оценки защищенности АС,

·  построения формальных моделей систем защиты информации АС.

3.  Объем дисциплины и виды учебной работы

Вид учебной работы	Всего часов	Семестры
Общая трудоемкость дисциплины	200	5	6
Аудиторные занятия                             всего	102	51	51
Лекции	51	34	17
Практические занятия	51	17	34
Семинары
Лабораторные работы
Другие виды аудиторных занятий
Самостоятельная работа                   всего	98	49	49
Контрольная работа	26	13	13
Другие виды самостоятельной работы	40	20	20
Подготовка к коллоквиуму, зачету	32	16	16
Вид итогового контроля		зачет	экзамен

4.  Содержание дисциплины

4.1.  Тематический план

Раздел дисциплины	Лекции, часы	Практические занятия, часы
1. Структура теории компьютерной            безопасности	4	3
2. Методы и средства несанкционированного доступа к информации	6	4
3. Модели безопасности	18	20
4. Политика безопасности	2	4
5. Построение парольных систем	4	4
6. Методология построения систем, защищённых АС	7	8
7. Основные критерии защищённости АС. Классы защищённости АС	10	8

4.2. Содержание разделов дисциплины

Раздел 1. Структура теории компьютерной безопасности

1.1.  Основные понятия теории компьютерной безопасности. Язык. Объекты. Субъекты. Доступ.

1.2.  Ценность информации. Аддитивная модель. Порядковая шкала. Решетка ценности.

1.3.  Основные уровни защиты информации. Защита машинных носителей информации (МНИ). Защита средств взаимодействия с МНИ. Защита представления информации. Защита содержания информации.

Раздел 2. Методы и средства несанкционированного доступа к информации

2.1.  Анализ угроз информационной безопасности. Угрозы конфиденциальности, целостности доступности информации, раскрытия параметров информационной системы.

2.2.   Основные виды атак на АС. Классификация основных атак на АС и вредоносных программ.

Раздел 3. Модели безопасности

3.1.  Понятие модели безопасности. Формальные модели.

3.2.  Дискреционные модели управления доступом. Мо­дель Харрисона-Руззо-Ульмана. Модель Take-Grant. Расширенная модель Take-Grant.

3.3.  Модели мандатного управления доступом. Модель Белла-ЛаПадула.

3.4.  Модели безопасности, в основу которых положено ролевое управление доступом.

3.5.  Дискреционная модель, основанная на «типизиро­ванной матрице доступа.

3.6.  Модель доменов и типов для UNIX-систем.

3.7.  Информационные модели безопасности. Модель невмешательства. Модель невыводимости.

Раздел 4. Политика безопасности

Раздел 5. Построение парольных систем

5.1.  Правила выбора пароля.

5.2.  Передача пароля по сети.

5.3.  Методология построения парольных систем.

Раздел 6. Методология построения систем, защищённых АС

6.1.  Построение систем защиты от угрозы нарушения конфиденциально­сти информации.

6.2.  Построение систем защиты от угрозы нарушения целостности информации.

6.3.  Построение системы защиты от угрозы доступности информации.

6.4.  Построение системы защиты от угрозы раскрытия параметров информационной системы.

6.5.  Методология обследования и проектирования защиты АС.

Раздел 7. Основные критерии защищенности АС. Классы защищенности АС.

7.1.  Основные критерии оценки защищенности АС.

7.2.  Стандарт оценки безопасности компьютерных систем TCSEC («Оранжевая книга»).

7.3.  Концепция защиты АС и СВТ по руководящим документам Гостехкомиссии РФ.

7.4.  Единые критерии безопасности информационных технологий (Common Criteria).

5.  Лабораторный практикум.

Не предусмотрен.

6.  Самостоятельная работа.

Самостоятельная работа студентов организуется с целью развития у них навыков работы с учебной и научной литературой и для систематического изучения курса. В рамках курса «Теоретические основы компьютерной безопасности» для слушателей предполагается следующие виды самостоятельной работы:

·  работа над теоретическим материалом, прочитанным на лекциях;

·  подготовка к практическим занятиям;

·  подготовка к семинарам по различным темам, утвержденных на лекциях;

·  самостоятельное выполнение практических работ (реализация всех рассмотренных моделей, обнаружение и выработка рекомендаций по устранению их «слабых мест»);

·  подготовка к выполнению контрольной работы;

·  подготовка к зачету, экзамену.

7.  Итоговый контроль.

Промежуточный контроль осуществляется в форме зачета (5 семестр).

Перечень вопросов для зачета:

1.  Основные понятия КБ (объекты, субъекты, доступ)

2.  Ценность информации, порядковая шкала. Решётка ценностей.

3.  Защита от НСД (определения, методы).

4.  Общие подходы парольных систем (определения, компоненты).

5.  Угрозы безопасности парольным системам.

6.  Требования, предъявляемые к выбору и использованию пароля, стойкость парольных систем.

7.  Передача пароля по сети. Способы, защита, схемы.

8.  Криптографические методы и средства защиты информации. Цели их применения, утечка информации при применении СКЗИ.

9.  Способы и особенности реализации криптографических систем