Проблемы безопасности в информационных технологиях(1-й курс магистратуры, 10-й сем., 64 ч., экзамен) Программа курса лекций (64 ч.)

Старший преподаватель Сергей Валерьевич Дубров

1. Определение информационной безопасности. Основные составляющие информационной безопасности (конфиденциальность, целостность, доступность). Классификация сетевых атак. Стандарты и спецификации в области ИБ. Политика безопасности, внутренние угрозы. Принцип трех «А»: аутентификация, авторизация, аудит.

2. Криптографические основы безопасности. Алгоритмы традиционного (симметричного) шифрования, блочные и потоковые алгоритмы, сети Фейстеля, S-boxes. Алгоритмы DES (режимы ECB, CBC, CFB, OFB). Алгоритмы ГОСТ 28147, 3DES. Замена DES – AES (MARS, RC6, Rijndael, Serpent, Twofish). Криптоанализ.

3. Криптография с открытым ключом. Шифрование, цифровая подпись, обмен ключами. Алгоритм RSA (подробно). Схема обмена ключами Диффи-Хелмана (подробно).

4. Хэш-функции. Простые хэш-функции, «парадокс дня рождения». MD5, SHA-1, SHA-2 (-256, -384, -512), ГОСТ 3411. МАС (Message Authentication Code).

5. Сертификаты (X.509). PKI, CA, списки отозванных сертификатов (CRL). Сочетание традиционной (симметричной) криптографии и криптографии с открытым ключом.

6. Базовые (встроенные) средства обеспечения безопасности автономных операционных систем. Разграничение доступа (сервисы, файловая система). MAC, DAC, RBAC. Имперсонификация, эскалация привиллегий. Пользователи, группы, права, привилегии (на примере Windows2000/XP/2003, Linux). Аутентификация пользователя (challenge-response, многофакторная). Маркер доступа, списки доступа (ACL).

7. Защита файловой системы средствами ОС. Права, атрибуты файлов и каталогов, фильтры. Разделение доступа к файлам и каталогам. Реализация разграничения доступа на файловой системе NTFS (WindowsNT/2000/XP/2003) (наследование, создатель/владелец). Реализация на файловой системе Netware (явные назначения, фильтры, эквивалентность по безопасности). Вариант NSS на Linux. Реализация разграничения доступа к файлам и директориям на *nix-системах (sticky bit). EFS, UAC, BitLocker.

8. Защита операционной системы в сетевом окружении. Использование служб каталога и/или домена для аутентификации пользователя. Реализация в eDir (NDS) фирмы Novell, Active Directory (Microsoft), LDAP, NIS (Sun). Группы в AD, уровни, вложенность – в зависимости от уровня работы домена/леса AD.

9. Алгоритм аутентификации Kerberos. KDC, работа в однодоменном и многодоменном варианте. Доверительные отношения, типы, направление. Схема входа в сеть с использованием Kerberos (на примере AD). Управление настройками локальной безопасности с помощью групповых политик (правил).

10. Защита Web. Протоколы SSL, TLS. Протокол защищенных электронных транзакций (SET). Протокол SSH.

11. Недостатки защиты в основе и в реализации распространенных сетевых протоколов первого поколения – telnet, ftp, smtp, pop3 и др. Методы преодоления некоторых из них – однократные пароли, туннелирование, новые протоколы. Защита электронной почты – S/MIME, PGP. Защита от ложных ARP-, DNS-, DHCP-серверов. Защита от отказа в обслуживании (DoS).

12. Обеспечение безопасности уровня IP – IPSec (Oakley, ISAKMP, AH, ESP). Виртуальные частные сети (VPN, VPN over SSL (SSTP)). Безопасные протоколы канального уровня PPTP, L2TP.

13. Защита систем. Межсетевые экраны (firewall, брандмауэры). Принципы работы. Типы межсетевых экранов (пакетный фильтр (stateless, stateful), шлюз прикладного уровня, шлюз уровня коммутации). «Демилитаризованная зона» (DMZ, 3-leg включение).

14. Обзор основных межсетевых экранов – Checkpoint, Cisco PIX/ASA, Novell Border Manager, Microsoft ISA. Персональные межсетевые экраны – необходимое дополнение к комплексной защите сети. Проактивная защита, HIPS. Обзор нескольких персональные межсетевых экранов – Comodo Firewall, Online Armor, Outpost Firewall.

15. Системы обнаружения вторжений – IDS, системы предотвращения вторжений – IPS. Сопряжение с межсетевыми экранами. Сетевой "карантин" для внешних пользователей сети (NAP).

16. Безопасность протоколов сетевого управления SNMP. Группы (community), нотация ASN.1. SNMP версии 3.

17. Безопасность беспроводных Wi-Fi сетей стандарта 802.11a/b/g/n – WEP, WPA, WPA2, 802.11i.

18. Безопасность беспроводных сетей Bluetooth. Уязвимости, ошибки реализации в различных системах.

19. Безопасность в web. Межсайтовый скриптинг. Уязвимость продуктов на базе php-технологий (web-форумы).

20. Безопасность и защита сетевых устройств, работающих на втором уровне эталонной модели OSI. Стандарт 802.1X. Перехват и анализ сетевого трафика. Сниферы (на примере wireshark). Защита VLAN.

21. Вирусы, «черви», «троянцы». Обеспечение антивирусной безопасности. Мониторирование в реальном времени, сканирование дисков и архивов. Корпоративные версии антивирусных программ. Комплексное обеспечение безопасности – сочетание антивируса, firewall-а, IPS. Лучшие антивирусные пакеты – Norton Symantec Antivirus, Kaspersky Anivirus, DrWeb, Panda Antivirus, CAI Innoculan.