Опыт преподавания курса «Информационная безопасность» для специальности «Прикладная информатика (в экономике)»

Благовещенский Александр Николаевич

к.т.н., доцент кафедры динамики процессов и управления

Казанский национальный исследовательский технический университет

(КНИТУ-КАИ) им.А.Н.Туполева,

ул. К.Маркса, 10, г. Казань, 420111, (843)236-62-83

anb@sb.tatarstan.ru

Благовещенский Павел Александрович

ассистент кафедры динамики процессов и управления,

Казанский национальный исследовательский технический университет

(КНИТУ-КАИ) им.А.Н.Туполева,

ул. К.Маркса, 10, г. Казань, 420111, (843)236-62-83

jetsoftware@mail.ru

Аннотация

Обсуждаются подходы к преподаванию курса «Информационная безопасность» для студентов, обучающихся по специальности «Прикладная информатика (в экономике)» с квалификацией «информатик экономист». Рассматриваются вопросы применения методов криптографии, при решении задач обеспечения конфиденциальности, подлинности, целостности информационных активов; способы организации доступа к объектам компьютерной системы (КС); методология сетевой безопасности.

The approaches to the teaching the course "Information Security" for students of the specialty "Applied Informatics in Economics” with a "computer scientist economist” qualification" are discussed. The following questions are considered: cryptographic methods application for maintenance of confidentiality, authenticity and integrity of information actives; ways of access organizing to the objects of computer system (CS); the methodology of network security.

Ключевые слова

Угрозы информационной безопасности, криптография, методы симметричного и асимметричного шифрования, электронная подпись, доступ к объектам компьютерных систем.

Threats to information security, cryptography, symmetric and asymmetric methods of encryption, electronic signature, access to the objects of computer systems

Введение

В настоящее время наблюдается рост активности деструктивных элементов в информационном пространстве, что в свою очередь создает предпосылки нарастания угроз безопасности информационных активов госучреждений, предприятий, банков. Техническая оснащенность злоумышленников включает использование небывалых по масштабам сетей «зомбированных» узлов (botnet), посредством которых осуществляются различные мошеннические схемы, сопровождающиеся кражей и модификацией данных, блокированием доступа к информационным активам, например, при организации распределенных сетевых (DDOS) атак.

Проблема противодействия угрозам информационной безопасности должна решаться на всех уровнях информационной инфраструктуры современного предприятия. Одной из задач является подбор  кадров, способных, наряду с выполнением функций по управлению процессами данной организации, противостоять вызовам киберпреступности. Подготовка IT специалистов, квалификация которых соответствует указанным требованиям, является нетривиальной задачей [1] и решается комплексным подходом к организации учебного процесса современного ВУЗа.

Организация преподавания дисциплины «Информационная безопасность»

В КНИТУ-КАИ на кафедре «Динамики процессов и управления» учебным планом подготовки по специальности «Прикладная информатика (в экономике)» предусматривается чтение курса «Информационная безопасность». Цикл посвящен изучению вопросов организации системы информационной безопасности современного предприятия, освоению методов и средств защиты информации в системе электронного документооборота (ЭДО), порядка доступа к объектам КС на основе идентификации и авторизации пользователя, а также методологии сетевой безопасности.

Цель преподавания дисциплины - ознакомить студентов с основными понятиями, встречающимися при разработке и эксплуатации современных криптосистем, методами симметричной и асимметричной криптографий, вопросами распределения ключевой информации, правовыми аспектами применения электронной подписи, а также построения защищенных корпоративных сетей. Для успешного освоения материалов данного курса студенты должны пройти подготовку по дисциплине «Вычислительные системы, сети и телекоммуникации» [2], в частности, овладеть информационно-логическими основами построения вычислительных машин, изучить вопросы организации компьютерных сетей, функционирующих на базе стека протоколов TCP/IP.

Задачи преподавания дисциплины - изучение типовых решений построения системы защищенного электронного документооборота, стандартных способов организации доступа к объектам компьютерной системы, методики противодействия сетевым атакам.

При организации курса разработан  комплекс организационно-технологических и методических материалов, позволяющих студентам в относительно короткий срок овладеть основами криптографии с целью использования этих знаний в своей практической деятельности. Особенностью цикла является построение лабораторного практикума на основе моделирующих структур с использованием виртуальных машин (ВМ) [3], анализатора протоколов и программного обеспечения симметричной и асимметричной криптографий и системы электронной подписи. Типовая модель сети реализована в среде ВМ. На компьютерах учебного класса развернуты локальные вычислительные сети (ЛВС), на одной из рабочих станций выполняются работы по подготовке и отправке электронного документа (ЭД), на другой осуществляется перехват и попытка чтения и модификации перехваченного ЭД. Эксперименты проводятся как с открытыми документами, так и с документами, которые защищены криптографическими средствами.

Реализация лабораторного практикума

В состав курса  входят следующие лабораторные работы (ЛР):

  1. Защита информации в системе электронного документооборота: симметричные криптосистемы (ЛР1);
  2. Защита информации в системе электронного документооборота: асимметричные криптосистемы (ЛР2);
  3. Защита информации в системе электронного документооборота: электронная подпись (ЛР3)
  4. Организация доступа к объектам компьютерной системы (КС) (ЛР4)

Эксперименты  в ЛР1 студенты осуществляют в виртуальной сети, представленной на рисунке 1. При выполнении ЛР1 студенты, в соответствии с заданием, организуют передачу информации (текстового файла) с рабочей станции XP1 с использованием программы TFTP-клиент на рабочую станцию XP3 (TFTP сервер) по незащищенному каналу. На рабочей станции XP2 обучаемый, в роли «нарушителя», осуществляет перехват трафика посредством анализатора протоколов и чтение содержимого передаваемого файла. На следующем этапе студенты выполняют работы, связанные с подготовкой симметричной криптосистемы к работе, а именно, генерацией и распределением ключей шифрования. Ключи передаются по безопасному каналу, например, посредством съемных носителей.


Рис. 1. Эксперименты в виртуальной сети: «нарушитель» перехватывает пакеты данных.


Организация учебного класса представлена на рисунке 2

Рис. 2. Организация учебного класса.

Затем на рабочей станции XP1 осуществляется зашифрование текстового файла и его передача на рабочую станцию XP3. Как и в первом случае «нарушитель» перехватывает информацию, но прочесть её не может, так как не имеет  доступа к ключам шифрования. Конфиденциальность данных обеспечена. На рабочей станции XP3 производится расшифрование и чтение текстового файла.

Действия пользователей при выполнении ЛР2 аналогичны вышеперечисленным, за исключением того, что при подготовке асимметричной криптосистемы [4, с.128] на стороне приемника генерируется пара ключей: KoB и KsB - открытый и закрытый ключи получателя (рисунок 3).


Рис. 3. Асимметричная криптосистема.

Открытый ключ KoB передается по незащищенному каналу и может быть перехвачен нарушителем. Далее, обучаемые на рабочей станции XP1 шифруют открытый текст M на ключе KoB , полученную криптограмму C  передают по незащищенному каналу связи на XP3. «Нарушитель» на XP2 перехватывает криптограмму, но расшифровать её не может, так как не имеет доступа к закрытому ключу. Конфиденциальность данных обеспечена.

Если первые две работы посвящены освоению методов обеспечения конфиденциальности информации, то в ЛР3 изучается методика защиты целостности информации и обеспечения её авторства на основе применения средств электронной подписи. Схема эксперимента представлена на рисунке 4.


Рис. 4. Эксперименты в виртуальной сети: «нарушитель» осуществляет доступ к файлам TFTPсервера.


В отличии от схемы, представленной на рисунке 1, «нарушитель» не использует анализатор протоколов, а реализует «деструктивные» действия путем осуществления доступа в файловой структуре TFTP сервера.

В процедуре постановки подписи используется закрытый ключ отправителя KsA сообщения, в процедуре проверки подписи - открытый ключ отправителя KoA. Генерация ключей осуществляется на стороне отправителя. Абонент A передает KoA абоненту B по незащищенному каналу связи.

Рис. 5. Процесс формирования и проверки ЭП.

Процесс формирования и проверки ЭП при взаимодействии абонентов A и B представлен на рисунке 5. При формировании ЭП отправитель A,  вычисляет хэш-функцию H=h(М) подписываемого текста М. Вычисленное значение хэш-функции h(М) представляет собой один информационный блок H, фиксированной длины, характеризующий весь текст М в целом. Затем H шифруется на закрытом ключе отправителя C=EKsA(H). Получаемая при этом криптограмма C представляет собой ЭП для данного текста М.

При проверке ЭП получатель B вычисляет хэш-функцию H1=h(М) принятого по каналу сообщения М, после чего при помощи открытого ключа отправителя расшифровывает криптограмму H=DKoA(C). Затем проверяет, соответствует ли расшифрованное значение хэш-функции H, вычисленному значению хэш-функции - H1. В случае равенства этих значений считается, что ЭП истинна, т.е. сообщение M получено без искажений. В противном случае - ЭП ложна.

Действия абонента A выполняются на рабочей станции XP1, а действия абонента B на XP3. «Нарушитель», имея доступ с XP2 к TFTP-серверу на XP3, модифицирует содержимое M , однако при проверке обнаруживается, что ЭП ложна. «Нарушитель» не может осуществить подделку ЭП абонента A без знания его закрытого ключа. Нарушение целостности и авторства обнаружено, информация к дальнейшей обработке не допускается.

В ЛР4 студенты изучают структурные схемы идентификации, аутентификации и авторизации пользователя как субъекта КС, при получении им доступа к объектам КС. В практической части исследуют систему защиты от несанкционированного доступа (НСД) типа Dallas Lock 7.0.  при выполнении операций регистрации пользователей в КС (рисунок 6). Выделяя добавленных пользователей или группы, обучаемые редактируют права доступа, разрешая или запрещая производить определенные действия с объектом КС (каталогом, файлом и т.д.). Кроме того, выполняются разрешения на доступ к субъектам КС (процессам, программам), тем самым определяя подходы к формированию замкнутой среды. После настройки системы защиты от НСД в режиме администрирования, студенты переходят в пользовательский режим и проверяют корректность назначенных параметров доступа.



Рис. 6. Работа в системе защиты от НСД.


Основы безопасности сети

При изучении основ безопасности сетей определяются базовые понятия (рисунок 7): открытая и защищенная сети, демилитаризованная зона (ДМЗ), межсетевой экран (МЭ).

Рис. 7. Организация ДМЗ.

Представлены подходы к реализации криптотуннелей на основе применения функций шифрования, встроенных в современные отечественные межсетевые экраны, например, фильтр пакетов сетевого уровня (ФПСУ-IP). Рассматриваются режимы работы ФПСУ-IP, правила фильтрации по IP адресам и TCP/UDP портам, приводятся примеры конфигурирование МЭ при реализации виртуальной частной сети предприятия (рисунок 8).


Рис. 8. Реализация криптотуннелей на основе применения функций шифрования.

Особое внимание отводится защите периметра сети при централизации информационных ресурсов предприятия в Головном офисе.

Обзор средств мониторинга безопасности в IP-сетях включает изучение видов и признаков сетевых атак, этапов их реализации, инструментальных средств сетевой безопасности [5, с.190]: систем анализа защищенности, а также систем обнаружения (IDS) и систем  предотвращения (IPS) сетевых атак. Рассматриваются схемы подключения IDS и IPS, обеспечивающие детектирование (рисунок 9) и блокирование (рисунок 10) атакующих действий как внешних, так и внутренних нарушителей.




Рис. 9. Схема подключения IDS.


Рис. 10. Схема подключения IPS.

Заключение

Методологические и технологические подходы по изучению систем обеспечения информационной безопасности, освоенные в данном курсе, позволят выпускникам применять их в практической деятельности, выполняя функции сотрудников IT-подразделений, а также администраторов информационной безопасности.

Материалы курса могут быть использованы при проведении занятий по повышению квалификации преподавателей и сотрудников университета, а также для подготовки сотрудников IT-подразделений организаций Республики Татарстан.

Литература

1. И.Н. Голицына. Информационно- коммуникационные  технологии в высшем экономическом образовании //Международный электронный журнал «Образовательные технологии и общество (Educational Technology & Society)». 2010. - Том 13. - №1. - C. 304-313. - ISSN 1436-4522. URL: http://ifets.ieee.org/russian/periodical/journal.html

2. А.Н. Благовещенский, П.А. Благовещенский. Опыт преподавания курса «Вычислительные системы, сети и телекоммуникации» для специальности прикладная информатика в экономике //Международный электронный журнал «Образовательные технологии и общество (Educational Technology & Society)». 2011. -  Том 14. - №1.  -  C. 262-276. - ISSN 1436-4522. URL: http://ifets.ieee.org/russian/periodical/journal.html

3. Гультяев А.К. Виртуальные машины: несколько компьютеров в одном СПб.: Питер, 2006. 224 с.: ил.

4. Романец Ю.В., Тимофеев П.А. Шаньгин В.Ф. «Защита информации в компьютерных системах и сетях» /Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. и доп. - М.: Радио и связь, 2001. - 376 с.: ил.

5. Благовещенский А.Н., Благовещенский П.А Инструментальные средства системы информационной безопасности коммерческого банка //Информационные технологии в системе информационной безопасности России и ее регионов: Сборник трудов II Всероссийской научно-практической конференции, Казань, 20 23 октября 2009 года/ под ред. И.Н. Голицыной Казань: ТГГПУ, 2009. - С.189-192.