Образование в сети: Основы информационной безопасности

Мы продолжаем публиковать информацию о курсах, которые находятся в открытом доступе. Тема текущего обзора – Основы информационной безопасности. Начнем с основ информационной безопасности, продолжим курсом, посвященным стандартам информационной безопасности, уделим вниманием криптографическим основам безопасности, а завершим обзор курсом, посвященным введению в информационную безопасность, который выделяется оригинальным подходом к подаче материала.

Основы информационной безопасности

• Авторы: В. Галатенко
• Учебное заведение: Интернет-Университет Информационных Технологий (ИНТУИТ, intuit.ru)
• Специальность: Специалист по информационной безопасности
• Лекции: 15
• Материалы: Текст
• Уровень сложности: специалисты
• Сертификат: Да
• Источник: http://www.intuit.ru/studies/courses/10/10/info

Данный курс включает базовые сведения, которыми необходимо владеть специалистам по информационной безопасности.

Лекции начинают с определения того, что понимается под термином информационная безопасность, также рассматриваются проблемы распространения на нее объектно-ориентированного подхода. Затем уделяется внимание наиболее распространенным угрозам (определения и критерии классификации, наиболее распространенные угрозы доступности и соответствующие примеры, вредоносное ПО, угрозы целостности и доступности).

Далее пристально исследуются уровни информационной безопасности: законодательный (понятие об уровне и его важности, обзор российского и зарубежного соотвествующего законодательства), административный (понятие об уровне, политика безопасности, программа безопасности, синхронизация последней с жизненным циклом систем), процедурный (базовые классы мер уровня, управление персоналом, физическая защита, поддержание работоспособности, реакция на нарушение режима безопасности, планирование проведения восстановительных работ), программно-технический (основные понятия, особенности современных информационный систем с точки зрения безопасности, архитектурная безопасность).

Кроме того дано представление о других важных аспектах информационной безопасности:

• стандартах и спецификациях (“Оранжевая книга”, рекомендации X.800, стандарт ISO/IEC 15408.  Гармонизированные критерии европейских стран, интерпретация “Оранжевой книги” для сетевых конфигураций. Руководящие документы Гостехкомиссии России);
• управлении рисками (понятие, подготовительные и основные этапы);
• идентификации и аутентификации (пароли, kerbros, использование биометрических данных);
• управлении доступом (ролевое управление, управление в Java-среде, подход для распределенной объектной среды);
• протоколировании и аудите;
• шифровании; контроле целостности;
• экранировании;
• анализе защищености;
• обеспечении высокой доступности;
• туннелировании и управлении.

Стандарты информационной безопасности

• Авторы: В. Галатенко
• Учебное заведение: Интернет-Университет Информационных Технологий (ИНТУИТ, intuit.ru)
• Специальность: Специалист по информационной безопасности
• Лекции: 17
• Материалы: Текст
• Уровень сложности: специалисты
• Сертификат: Да
• Источник: http://www.intuit.ru/studies/courses/30/30/info

Важной составляющей профессии “безопасника” является знание стандартов. Дополнить или расширить свои знания в этой области поможет курс, подготовленный В. Галатенко - “Стандарты информационной безопасности”.

Лекции начинаются с обзора соответствующих стандартов и спецификаций, а также их роли в области информационной безопасности. Последующие лекции посвящены тем или иным стандартам и спецификациям.

Среди них:

• «Общие критерии» (история создания и текущий статус, основные понятия и идеи, классификация функциональных требований безопасности, защита данных пользователя, основные понятия и классификация требований доверия безопасности, оценочные уровни доверия безопасности, профили защиты на базе «Общих критериев»: общие требования к сервисам безопасности, частные требования к сервисам безопасности, частные требования к комбинациям и приложениям сервисов безопасности и др.),
• рекомендации семейства X.500,
• спецификации IPSec,
• спецификация TLS,
• спецификация «Обобщенный прикладной программный интерфейс службы безопасности» (функции для работы с удостоверениями, создание и уничтожение контекстов безопасности, защита сообщений и др.),
• спецификация «Руководство по информационной безопасности предприятия» (общие принципы выработки официальной политики предприятия в области информационной безопасности; анализ рисков, идентификация активов и угроз; реагирование на нарушения политики безопасности; подход к выработке процедур для предупреждения нарушений безопасности; реагирование на нарушения безопасности и др.),
•  спецификация «Как реагировать на нарушения информационной безопасности»,
• спецификация «Как выбирать поставщика Интернет-услуг», Британский стандарт BS 7799, Федеральный стандарт США FIPS 140-2 «Требования безопасности для криптографических модулей».

Криптографические основы безопасности

• Авторы: О. Лапонина
• Учебное заведение: Интернет-Университет Информационных Технологий (ИНТУИТ, intuit.ru)
• Специальность: Специалист по информационной безопасности
• Лекции: 12
• Материалы: Текст
• Уровень сложности: специалисты
• Сертификат: Да
• Источник: http://www.intuit.ru/studies/courses/28/28/info

Криптография является важной составляющей процесса обеспечния информационной безопасности. Предлагаемый курс Интернет-Университета Информационных Технологий является хорошим введением в криптографические основы безопасности. Он нацелен на освоение слушателями методологических алгоритмических основ и стандартов криптографической защиты информации. Отсюда и определенный уровень требований для желающих успешно освоить курс: представление о стеке протоколов TCP/IP, а также базовые знания о теории вычетов и дискретном логарифмировании.

Предметом рассмотрения в лекциях стали алгоритмы симметричного шифрования: DES, Blowfish, IDEA, ГОСТ 28147, AES, Rijndael, RC6 и др., а также алгоритмы шифрования с открытым ключом: RSA, Диффи-Хеллмана, DSS, ГОСТ 3410; алгоритмы асимметричного шифрования с использованием эллиптических кривых. Кроме того, вводится понятия сильной криптографической хэш-функции, а также рассматриваются следующие из них: MD5, SHA-1, SHA-2, ГОСТ 3411.

Введение в информационную безопасность

Авторы: В. Иванов, Д. Гамаюнов.

• Учебное заведение: Проект Лекториум (http://www.lektorium.tv/)
• Специальность: Специалист по информационной безопасности
• Лекции: 7
• Материалы: Видео
• Уровень сложности: специалисты
• Сертификат: Нет
• Источник: http://www.lektorium.tv/course/?id=23019

Проект Лекториум опубликовал курс, посвященный информационной безопасности. Материалы курса состоят из двух глав. Первая из них посвящена криптографии, а вторая программным уязвимостям. Лекции хорошо иллюстрированы презентациями, а широта охватываемых проблем делает курс интересным для широкого круга специалистов по информационной безопасности.

Лекции начинаются введением в информационную безопасность, после которого следует рассмотрение проблем, которые призвана решать криптография. Далее авторы рассказывают о видах шифрования, симметричных шифрах (блочных и потоковых). О последних подробно рассказывается  в последующей лекции. В частности,  подробно исследуются типы симметричных шрифтов (подстановки: шифр Цезаря, шифр простой замены, шифр Веженера, и перестановки: простая перестановка, перестановка по ключу), уделено внимание понятию гаммы и шрифту Вернера (почтоные шрифты). Следующие две лекции первой главы посвящены хеш-функциям и асимметричным шрифтам.

Глава, посвященная программным уязвимостям, открывается проблемой исполнения процессов в Linux, использования инструментов binutils и gdb, а также трассировкой программ. К сожалению, вторая лекция второй главы отсутствует.

А в третьей лекции слушатели курса смогут познакомиться с уязвимостями переполнения кучи, Dlmalloc (аллокатор памяти), организацией heap, эксплуатацией free().

Разработка безопасного кода (ревью кода, статический и динамический анализ, Microsoft SDL) стала предметом изучения четвертой лекции.