Федеральное государственное автономное образовательное учреждение высшего профессионального образования "Национальный исследовательский университет "Высшая школа экономики" МИЭМ Департамент прикладной математики Рабочая программа дисциплины Системы обнаружения атак для образовательной программы 090301 «Компьютерная безопасность» Разработчики программы: Лось Алексей Борисович, к.т.н., доцент, e-mail: alos@hse.ru Сорокин Александр Владимирович, asorokin@hse.ru Одобрена на заседании Кафедры компьютерной безопасности «31» августа 2015 г. Зав. Кафедрой А. Б. Лось ________ Рекомендована Академическим советом образовательной программы «31»августа 2015 г., № протокола _________________ Утверждена «31» августа 2015 г. Академический руководитель образовательной программы А. Б. Лось _________________ Москва, 2015 Настоящая программа не может быть использована другими подразделениями университета и другими вузами без разрешения подразделения-разработчика программы. Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста 1 Область применения и нормативные ссылки Настоящая программа учебной дисциплины устанавливает минимальные требования к знаниям и умениям студента и определяет содержание и виды учебных занятий и отчетности. Программа предназначена для преподавателей, ведущих данную дисциплину, учебных ассистентов и студентов специальности 090301 «Компьютерная безопасность», обучающихся по специализации Математические методы защиты информации, изучающих дисциплину Системы обнаружения атак. Программа разработана в соответствии с: ФГОС по специальности 090301 «Компьютерная безопасность»; Образовательной программой специальности 090301 «Компьютерная безопасность»; Рабочим учебным планом университета по специальности 090301 «Компьютерная безопасность», специализации Математические методы защиты информации, утвержденным в 2015 г. 2 Цели освоения дисциплины Целью освоения дисциплины Системы обнаружения атак является формирование у студентов навыков, необходимых для решения предусмотренных ФГОС специальности 090301 "Компьютерная безопасность" следующих профессиональных задач: Разработка проектов систем и подсистем управления информационной безопасностью объекта в соответствии с техническим заданием; Проведение инструментального мониторинга защищенности объекта; Поиск рациональных решений при разработке средств защиты информации с учетом требований качества, надежности и стоимости, а также сроков исполнения; Установка, настройка, эксплуатация и обслуживание аппаратно-программных средств защиты информации; Обеспечение эффективного функционирования средств защиты информации с учетом требований по обеспечению защищенности компьютерной системы. 3 Компетенции обучающегося, формируемые в результате освоения дисциплины В результате освоения дисциплины студент должен: Знать: Уязвимости традиционных средств зашиты информации; Принципы организации и проведения копьютерных атак злоумышленниками; Классы систем обнаружения атак и их назначение; Принципы размещения узлов систем обнаружения атак; Реальные возможности систем обнаружения атак; Свойства систем обнаружения атак, имеющие значение при выборе конкретного продукта. Уметь: Определять наиболее вероятные атаки в защищаемой системе; Выбирать наиболее подходящий класс или классы систем обнаружения атак для защищаемой системы; Выбирать конкретный продукт для защиты информационной системы. Оценивать качество работы системы обнаружения атак. Иметь навыки (приобрести опыт): Инструментальной проверки системы на наличие уязвимостей; Развертывания и начальной настройки системы обнаружения атак; 2 Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста Администрирования системы обнаружения атак. В результате освоения дисциплины студент осваивает следующие компетенции: Компетенция Код по ФГОС Способность учитывать современные тенденции развития информатики и вычислительной техники, компьютерных технологий в своей профессиональной деятельности ПК-7 Способность применять современные методы и средства исследований для обеспечения информационной безопасности компьютерных систем ПК-15 Способность проводить анализ проектных решений по обеспечению защищенности компьютерных систем ПК-23 Дескрипторы – основные признаки освоения (показатели достижения результата) СД Способен учитывать особенности защищаемой системы при выборе системы обнаружения атак Способен учитывать потенциал развития защищаемой системы при выборе системы обнаружения атак Способен учитывать современные и потенциальные возможности злоумышленника при выборе и развертывании системы обнаружения атак РБ Знает основные параметры безопасности компьютерных систем Знает методики инструментальной проверки защищенности компьютеных систем СД Способен выполнять проверки анализаторами защищенности и системами поиска уявзвимостей Способен анализировать результаты проверки защищаемой системы системой анализа защищенности Способен составить перечень рекомендуемых действий на основе анализа результатов работы системы поиска уязвимостей и системы анализа защищенности МЦ Объясняет важность регулярного тестирования защищенности информационной системы для поддержания ее безопасности на должном уровне Обосновывает важность использования автоматизированных средств для проведения регулярных проверок защищенности компьютерных систем РБ Знает основные типы компьютерных атак Знает назначение различных классов систем обнаружения атак 3 Формы и методы обучения, способствующие формированию и развитию компетенции Лекции раздела «Выбор системы обнаружения атак» Лекции разделов «Классификация систем обнаружения атак», «Выбор системы обнаружения атак», работы из лабораторного практикума. Лекции разделов «Классификация систем обнаружения атак», «Выбор системы обнаружения атак». Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста Компетенция Способность участвовать в разработке системы защиты информации предприятия (организации) и подсистемы информационной безопасности компьютерной системы Код по ФГОС ПК-24 Дескрипторы – основные признаки освоения (показатели достижения результата) Знает основные принципы выбора и развертывания системы обнаружения атак СД Способен провести анализ компьютерной системы с целью поиска уязвимостей Способен выбрать наиболее подходящие класс или классы систем обнружения атак для защищаемой системы Способен сформулировать рекомендации по параметрам системы обнаружения атак для защищаемой системы Способен сформулировать рекомендации по размещению компонентов системы обнаружения атак в защищаемой системе Способен оценить соответствие проектного решения рекомендациям по выбору системы обнаружения атак и ее размещению в защищаемой системе МЦ Обосновывает важность верного выбора системы обнаружения атак для повышения защищенности компьютерной системы Обосновывает важность обоснованного размещения и использования системы обнаружения атак для повышения защищенности компьютерной системы РБ Знает назначение различных классов систем обнаружения атак Знает основные принципы выбора и развертывания системы обнаружения атак СД Способен выбрать наиболее подходящие класс или классы систем обнружения атак для защищаемой системы Способен сформулировать рекомендации по параметрам системы обнаружения атак для защищаемой системы Способен сформулировать рекомендации по размещению компонентов системы обнаружения атак 4 Формы и методы обучения, способствующие формированию и развитию компетенции Лекции раздела «Выбор системы обнаружения атак» Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста Компетенция Код по ФГОС Способность оценивать степень надежности выбранных механизмов обеспечения безопасности для решения поставленной задачи ПК-25 Способность к проведению экспериментального исследования компьютерных систем с целью выявления уязвимостей ПК-27 Способность оценивать ПК-29 Дескрипторы – основные признаки освоения (показатели достижения результата) в защищаемой системе СД Способен провести анализ компьютерной системы с целью поиска уязвимостей Способен выбрать наиболее подходящие класс или классы систем обнружения атак для защищаемой системы Способен сформулировать рекомендации по параметрам системы обнаружения атак для защищаемой системы Способен сформулировать рекомендации по размещению компонентов системы обнаружения атак в защищаемой системе МЦ Обосновывает важность оценки степени надежности выбранных механизмов обеспечения безопасности для успешного решения поставленной задачи Обосновывае важность регулярного периодического контроля и оценки надежности используемых механизмов защиты информации РБ Знает основные категории уязвимостей компьютерных систем Знает методику использования анализаторов защищенности и систем поиска уязвимостей СД Способен провести анализ компьютерной системы с целью поиска уязвимостей Способен на основе результатов автоматизированного исследования сформулировать рекомендации по совершенствованию уровня безоасности защищаемой системы МЦ Обосновывает важность проведения автоматизированного поиска уязвимостей при внедрении средств защиты информации Обосновывает важность проведения регулярного поиска уязвимостей для поддержания уровня безопасноти защищаемой системы СД 5 Формы и методы обучения, способствующие формированию и развитию компетенции Лекционные занятия курса Работы лабораторного практикума Лекции разделов «Клас- Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста Компетенция Код по ФГОС эффективность систем защиты информации в компьютерных системах Способность разрабатывать предложения по совершенствованию системы управления информационной безопасностью компьютерной системы ПК-32 Способность производить ПК-34 Дескрипторы – основные признаки освоения (показатели достижения результата) Способен провести анализ компьютерной системы с целью поиска уязвимостей Способен выбрать наиболее подходящие класс или классы систем обнружения атак для защищаемой системы Способен сформулировать рекомендации по параметрам системы обнаружения атак для защищаемой системы Способен сформулировать рекомендации по размещению компонентов системы обнаружения атак в защищаемой системе Способен оценить соответствие используемой системы обнаружени атак рекомендациям по выбору системы обнаружения атак и ее размещению в защищаемой системе МЦ Обосновывает важность экспертной оценки эффективности систем обнаружения атак для поддержания уровня безопасности защищаемой системы СД Способен провести анализ компьютерной системы с целью поиска уязвимостей Способен выбрать наиболее подходящие класс или классы систем обнружения атак для защищаемой системы Способен сформулировать рекомендации по параметрам системы обнаружения атак для защищаемой системы Способен сформулировать рекомендации по размещению компонентов системы обнаружения атак в защищаемой МЦ Обосновывает необходмость регулярного исследования и совершенствования системы обнаржения атак, ее настроек и режима испольозования в защищаемой системе для поддержания должного уровня безопасности РБ 6 Формы и методы обучения, способствующие формированию и развитию компетенции сификация систем обнаружения атак», «Выбор системы обнаружения атак», работы лабораторного практикума Лекци раздела «Размещение систем обнаружения атак», «Методы развертывания и экслуатации системы обнаружения атак» Лекции раздела «Методы Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста Компетенция Код по ФГОС установку, тестирование программного обеспечения и программно-аппаратных средств по обеспечению информационной безопасности компьютерных систем Способность принимать участие в эксплуатации программного обеспечения и программно-аппаратных средств обеспечения информационной безопасности компьютерных систем ПК-35 Способность выполнять работы по приему, настройке, регулировке, освоению и восстановлению работоспособности оборудования защиты информации ПК-37 Дескрипторы – основные признаки освоения (показатели достижения результата) Знает назначение различных классов систем обнаружения атак Знает основные принципы выбора и развертывания системы обнаружения атак СД Способен провести начальную установку программной сетевой системы обнаружения атак Способен осуществялять администриование программной сетевой системы обнаружения атак Способен разрабатывать пользовательские правила и осуществлять настройку программной сетевой системы обнаружения атак МЦ Обосновывает необходимость квалифицированного обслуживания систем обнаруженияя атак дл поддержания должного уровн безопасности защищаемой системы РБ Знает назначение различных классов систем обнаружения атак Знает основные принципы выбора и развертывания системы обнаружения атак СД Способен осуществялять администриование программной сетевой системы обнаружения атак Способен разрабатывать пользовательские правила и осуществлять настройку программной сетевой системы обнаружения атак РБ Знает назначение различных классов систем обнаружения атак Знает основные принципы выбора и развертывания системы обнаружения атак Способен провести начальную установку программной сетевой системы обнаружения атак Способен осуществялять администриование программной сетевой системы обнаружения атак Способен разрабатывать пользовательские правила и осуществлять настройку программной сетевой системы обнаружения атак 7 Формы и методы обучения, способствующие формированию и развитию компетенции развертывания и экслуатации системы обнаружения атак», работы лабораторного практикума Лекции разделов «Классификация систем обнаружения атак», «Выбор системы обнаружения атак», «Методы развертывания и экслуатации системы обнаружения атак», работы лабораторного практикума Лекции раздела «Классификация систем обнаружения атак», «Выбор системы обнаружения атак», «Методы развертывания и экслуатации системы обнаружения атак», работы лабораторного практикума Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста Компетенция Код по ФГОС Дескрипторы – основные признаки освоения (показатели достижения результата) Формы и методы обучения, способствующие формированию и развитию компетенции МЦ Обосновывает необходимость квалифицированного обслуживания систем обнаруженияя атак дл поддержания должного уровн безопасности защищаемой системы 4 Место дисциплины в структуре образовательной программы Дисциплина «Системы обнаружения атак» относится к числу дисциплин вариативной части профессионального цикла. Изучение данной дисциплины базируется на следующих дисциплинах: Языки программирования; Операционные системы; Сети и системы передачи информации; Основы информационной безопасности; Для освоения учебной дисциплины, студенты должны владеть следующими знаниями и компетенциями: Знание принципов разработки программного обеспечения; Знание протоколов передачи данных различных уровней системы OSI; Знание основных принципов построения компьютерных сетей и работы сетевого оборудования; Знание традиционных средств защиты информации – межсетевых экранов и системы разграничения прав доступа с системой идентификации и аутентификации. Основные положения дисциплины могут быть использованы в дальнейшем при: Прохождении преддипломной практики; Выполнении выпускной квалификационной работы. 5 № 1. 2. 3. 4. 5. 6. Тематический план учебной дисциплины Название раздела Всего часов Уязвимости традиционных средств защиты Анатомия атаки, этапы осуществления атаки Задача обнаружения атак Основные принципы обнаружения атак Обнаружение следов атак Классификация систем обнаружения атак 8 Аудиторные часы ПрактиЛекСемические ции нары занятия Самостоятельная работа 6 2 4 10 2 8 8 8 8 8 2 2 2 2 6 6 6 6 Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста 7. 8. 9. Выбор системы обнаружения атак Размещение системы обнаружения атак Методы развертывания и эксплуатации систем обнаружения атак 10 10 40 9 2 2 2 36 8 8 2 Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста 6 Формы контроля знаний студентов Тип контроля Текущий (неделя) Форма контроля Контрольная работа Домашнее задание Итоговый Экзамен 1 1 год 2 3 3 + Параметры 4 Письменная работа 80 минут Проектное домашнее задание; задания выдаются на 2 неделе 2 модуля, далее прием работ преподавателем происходит до предпоследнего практического занятия включительно Устный теоретический экзамен Критерии оценки знаний, навыков На текущем и промежуточном контроле знаний, в объеме изученного материала, студент должен продемонстрировать знание основных принципов обнаружения атак, методов построения автоматизированных систем обнаружения атак, принципы работы с такими системами. При выполнении домашних заданий и контрольной работы студент должен продемонстрировать: Знание уязвимостей межсетевого экрана и системы идентификаци и авторизации пользователей; Знание основных этапов проведения атак злоумышленниками; Знание основных принципов обнаружения готовящихся, осуществляемых и уже совершенных компьютерных атак. На итоговом контроле знаний студент должен продемонстрировать знания: Принципов построения систем обнаружения атак – их задач и возможностей; Классификацию систем обнаружения атак, особенности и назначение различных классов таких систем; Принципы выбора, размещения в защищаемой системе и развертывания систем обнаружения атак различных классов. Различия в уровне защищенности при использовании различных систем обнаружения атак и комплексов из них. 6.1 7 Содержание дисциплины Разделы 1 Темы 1.1 1.2 1.3 2. 2.1 2.2 Уязвимости традиционных средств защиты Уязвимости стека протоколов TCP/IP Слабости МЭ, и способы его обхода Уязвимости системы аутентификации и авторизации Анатомия атаки, этапы осуществления атаки Классификация уязвимостей Модель атаки 10 Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста 2.3 2.4 3 3.1 3.2 3.3 4 4.1 4.2 4.3 5 5.1 5.2 5.3 6 6.1 6.2 6.3 6.4 7 7.1 7.2 7.3 8 8.1 8.2 8.3 9 9.1 9.2 9.3 8 Этапы реализации атаки Классификация атак Задача обнаружения атак Понятие системы обнаружения атак Реальные возможности систем обнаружени атак и пределы их возможностей Схема работы системы обнаружения атак Основные принципы обнаружения атак Признаки атак Источники информации об атаках Технологии и подходы к обнаружению атак Обнаружение следов атак Контроль изменений файлов Анализ журналов регистрации Анализ сетевого трафика Классификация систем обнаружени атак Системы анализа защищенности Анализаторы журналов регистрации Обманные системы Системы контроля целостности Выбор системы обнаружения атак Предварительный анализ Критерии оценки Тестирование Размещение системы обнаружения атак Размещение сенсоров Использование сетевых сенсоров коммутируемых сетях Размещение системы анализа защищенности Размещение системы контроля целостности Системы виртуальных ловушек (Honey Pot и Padded Cell) Методы развертывания и эксплуатации СОА Общие проблемы Сетевые системы Узловые системы Образовательные технологии Для проведения практических занятий применяется дисплейных класс с компьютерами под управлением ОС семейств Windows и Linux, установочные пакеты сетевой СОА Snort и сетевого анализатора WireShark. Установка и настройка указанных программ проводится студентами в рамках работ лабораторного практикума. 9 Порядок формирования оценок по дисциплине Оценки по данной дисциплине определяется оценкой за итоговый экзамен. Накопленная оценка не формируется и не учитывается. 11 Национальный исследовательский университет «Высшая школа экономики» Программа дисциплины Системы обнаружения атак для специальности 090301 «Компьютерная безопасность» подготовки специалиста 10 Учебно-методическое и информационное обеспечение дисциплины 10.1 Основная литература 1. Шелухин О.И., Сакалема Д.Ж., А.С. Филинова, Обнаружение вторжений в компьютерные сети, М., Горячая линия – Телеком, 2013, 220 с. 2. Лукацкий А.В. Обнаружение атак. СПб: БХВ-Петербург, 2003. 596 с. 3. Лукацкий А. В. Атака из Internet. М.: Издательство СОЛОН - Р, 2002. 368 стр. 4. Польман Н., Кразерс Т. Архитектура брандмауэров для сетей предприятия. М.: Вильямс, 2003. 432 стр. 5. Столингс В. Компьютерные сети, протоколы и технологии Интернета. СПб: Издательство: БХВ-Петербург, 2005. 832 стр. 6. Таненбаум Э. Компьютерные сети. СПб: Издательство: Питер, 2003. 992 стр. 10.2 Дополнительная литература 1. Галатенко В. А. Стандарты информационной безопасности. Курс лекций. М.: Издательство: Интернет-университет информационных технологий, 2004. 328 стр. 2. Норткатт С., Новак Дж., Маклахлен Д. Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу. М: Издательство “Лори”, 2001. 384 с. 11 Материально-техническое обеспечение дисциплины При проведении отдельных семинарских занятий используется дисплейных класс с компьютерами под управлением ОС семейств Windows и Linux, установочные пакеты сетевой СОА Snort и сетевого анализатора WireShark. 12