Педагогическое сопровождение основывается на принципах системности, актуальности, прогностики, комплексности решения образовательных проблем, гуманизации образования, и должно быть направлено на решение совокупности научных, методических и практических задач. Педагогическое сопровождение проблем безопасности должно быть ориентировано по основным направлениям подготовки специалистов информационно-технического профиля.
С учетом специфики все виды безопасности должны быть детерминированы по соответствующим видам подготовки. В этом случае изучение вопросов обеспечения информационной безопасности должно, в основной своей части, решаться в рамках информационной подготовки и, с учетом ее дифференциации, соответствовать основным уровням, этапам и направленности.
Акцент на защиту информации при использовании информационно-коммуникационных технологий, сохранившихся «по инерции» со времён, когда собственником информации было только государство, и оно же решало все вопросы, связанные с защитой информации, а главенствующим был аспект конфиденциальности. Такой акцент, правомерен, например, при подготовке специалистов в области криптографии, защита информации в органах управления и автоматизированных системах критических приложений. Система такой подготовки сформирована на базе Учебно-методического объединения вузов России по образованию в области информационной безопасности, региональных учебно-научных центров по проблемам информационной безопасности в системе высшей школы. Основополагающим является наличие ГОС и разработанных на их базе основных образовательных программ в области информационной безопасности.
Если подготовка специалистов в области информационной безопасности и защиты информации, имеющая давние исторические корни, имеет соответствующее педагогическое обеспечение, то для специалистов-пользователей информационно-коммуникационных технологий такого рода подготовка не имеет системного характера, необходимого научного педагогического сопровождения. Теперь абсолютность «полезности» информационно-коммуникационных технологий сопровождается невежеством в области информационной безопасности большинства пользователей, что не способствует трезвой оценке угроз информационной безопасности и адекватному применению средств защиты информации. Отрывочные знания о некоторых угрозах информационной безопасности (в основном о вирусах и вредоносных программах) не позволяют, с одной стороны, очертить спектр многочисленных угроз информационной безопасности, а с другой – утверждают пользователей в пессимистическом мнении о невозможности им противостоять. В рамках информационной подготовки специалистов не закладывается чувство личной ответственности за состояние безопасности информационной безопасности на корпоративном и индивидуальном уровнях, необходимый уровень умений и навыков по применению общедоступных мер и средств защиты информации.
Таким образом, педагогическое сопровождение проблемы информационной безопасности в подготовке специалистов информационно-технического профиля должно обеспечить построение логически-стройной, внутренне непротиворечивой системы подготовки в рамках профессионального образования по целому комплексу вопросов информационной безопасности и защиты информации, характеризующих эту важную предметную область.
Анализ функциональной деятельности выпускников вузов, тенденций и перспектив информационных систем, информационных и коммуникационных технологий свидетельствует, что основным направлением в подготовке к профессиональной деятельности должно являться привитие обучающимся достаточно глубоких знаний информатики, основ построения и функционирования современных информационных систем и информационно-коммуникационных технологий, практических умений и навыков их эксплуатации и применения. Такой подход должен постоянно реализовываться с учетом текущего состояния и современных достижений отраслевой науки и практики, осуществляться поэтапно и охватывать достаточно широкий спектр вопросов. Поэтому одним из важнейших видов подготовки специалистов для различных информационных сфер является информационная подготовка, направленная на формирование у обучаемых знаний и навыков по применению информационных технологий в их дальнейшей профессиональной деятельности. Главной задачей информационной подготовки является обеспечение будущего специалиста глубокими теоретическими знаниями и прочными практическими навыками в области информатики, позволяющими ему не только эффективно решать повседневные производственные задачи с применением средств вычислительной техники, но и хорошо ориентироваться в основных тенденциях развития информационных технологий, их применения в избранной сфере профессиональной деятельности.
В связи с этим, помимо решения традиционных задач обучения информационно-коммуникационных технологий, информационная подготовка должна быть направлена на сознательное восприятие пользователем всей сложности и ответственности проблемы обеспечения информационной безопасности компьютерных систем, понимание трудностей по обеспечению информационной безопасности на корпоративном и личностном уровне и связанных с этим жестких ограничений и больших материальных затрат. В результате изучения такого курса пользователи информационных технологий должны знать: сущность проблемы обеспечения информационной безопасности компьютерных сетей и ее особенности применения, ее важность и актуальность, основные понятия в этой предметной области; особенности информации и информационных систем как объекта защиты, основные методы и средства обеспечения информационной безопасности компьютерных сетей (аутентификация и идентификация пользователей и технических средств, организация защиты информации в персональных компьютеров, криптографическое преобразование информации и электронная подпись; критерии защищенности компьютерных систем и принципы проектирования систем защиты информации; особенности защиты информации в сетях телекоммуникаций; основы компьютерной вирусологии, методы и средства защиты от компьютерных вирусов и вредоносных программ; требования к пользователям компьютерных систем и рекомендации по обеспечению информационной безопасности).
В практической части дисциплин как базовой информационной подготовки (в рамках изучения информатики), так и предметной информационной подготовки (при получении практических навыков по использованию различных автоматизированных систем в области профессиональной деятельности) необходимо акцентировать внимание обучаемых на применении тех или иных механизмов парирования угроз (ограничения и разграничения доступа, администрирования в сетевых структурах, использовании защиты в бизнес-приложениях и т.п.). Особое внимание при этом может быть уделено работе в сети с цифровой подписью, практическому ознакомлению с мерами безопасности в Internet, (при работе с электронной почтой, защите от спама), использованию современных средств архивирования, идентификации и аутентификации, защиты от несанкционированного копирования, пакетов антивирусной защиты.
Концепция обучения основам информационной безопасности студентов должна основываться на понимании назначения, роли и целей этих знаний в современной системе образования, трактовке способов их отражения в качестве обязательной составляющей информационной подготовки. Построение такой концепции, в общем плане, включает следующие этапы: обоснование необходимости создания; формирование целей обучения с учётом прогностики; выявление межпредметных связей; определение принципов отбора содержания и его структуры; разработку структуры подготовки по основам информационной безопасности; разработку предложений по корректировке законодательной базы в части ГОС, требований к уровню и качеству подготовки обучаемых в области информационной безопасности; выбор основных подходов к организации учебного процесса; изложение требований к разработке учебных программ и планов, дидактических материалов, технологической поддержке обучения; планирование мероприятий по реализации концепции; выявление долгосрочных перспектив развития подготовки в области информационной безопасности как составной части информационной подготовки.
Программа курса
1. Общие проблемы информационной безопасности.
Информация и информационные технологии. Актуальность проблемы обеспечения безопасности информационных технологий. Основные термины и определения. Субъекты информационных отношений, их интересы и безопасность. Конфиденциальность, целостность, доступность. Пути нанесения ущерба. Цели и объекты защиты.
2. Угрозы информационной безопасности.
Понятие угрозы. Виды проникновения или «нарушителей». Анализ угроз информационной безопасности. Классификация видов угроз информационной безопасности по различным признакам. Каналы утечки информации и их характеристика.
3. Вредоносные программы. Методы профилактики и защиты.
Общие сведения о вредоносных программах. Классификация по среде обитания, поражаемой операционной системе, особенностям алгоритма работы. Принципы функционирования, жизненный цикл и среда обитания компьютерных вирусов. Симптомы заражения и вызываемые вирусами эффекты. Полиморфные и стелс-вирусы. Вирусы-макросы для Microsoft Word и Microsoft Excel. Вирусы-черви. Профилактика заражения. Программные антивирусные средства. Определения и общие принципы функционирования фагов, детекторов, ревизоров, вакцин, сторожей. Структура антивирусной программы. Виды антивирусных программ.
4. Правовые основы обеспечения информационной безопасности.
Законодательство в информационной сфере. Виды защищаемой информации. Государственная тайна как особый вид защищаемой информации; система защиты государственной тайны; правовой режим защиты государственной тайны. Конфиденциальная информация. Лицензионная и сертификационная деятельность в области защиты информации. Основные законы и другие нормативно-правовые документы, регламентирующие деятельность организации в области защиты информации. Защита информации ограниченного доступа. Ответственность за нарушение законодательства в информационной сфере. Информация как объект преступных посягательств. Информация как средство совершения преступлений. Отечественные и зарубежные стандарты в области информационной безопасности.
5. Современные методы защиты информации в автоматизированных системах обработки данных.
Обзор современных методов защиты информации. Основные сервисы безопасности: идентификация и аутентификация, управление доступом, протоколирование и аудит. Криптографическое преобразование информации. История криптографии; простейшие шифры и их свойства. Принципы построения криптографических алгоритмов с симметричными и несимметричными ключами. Электронная цифровая подпись. Контроль целостности; экранирование; анализ защищённости; обеспечение отказоустойчивости; обеспечение безопасного восстановления.
6. Технические и организационные методы защиты информации.
Технические средства охраны объектов (физическая защита доступа, противопожарные меры). Защита от утечки информации (перехвата данных, электростатических и электромагнитных излучений и др.). Технические средства противодействия несанкционированному съёму информации по возможным каналам её утечки. Организационные меры защиты. Определение круга лиц, ответственных за информационную безопасность, обеспечение надёжной и экономичной защиты. Требования к обслуживающему персоналу.
7. Защита информации в компьютерных сетях.
Примеры взломов сетей и веб-сайтов. Причины уязвимости сети Интернет. Цели, функции и задачи защиты информации в компьютерных сетях. Безопасность в сети Интернет. Методы атак, используемые злоумышлиниками для получения или уничтожения интересующей информации через Интернет. Способы отделения интрасети от глобальных сетей. Фильтрующий маршрутизатор, программный фильтр и т.д.
8. Проблемы информационно–психологической безопасности личности.
Определение понятия информационно-психологической безопасности. Основные виды информационно-психологических воздействий. Виртуальная реальность и её воздействие на нравственное, духовное, эмоциональное и физическое здоровье школьников. Игромания, компьютерные манипуляции, фишинг, киберугрозы и пропаганда других опасных явлений в Интернете. Способы Защиты от нежелательной информации в Интернете. Нравственно-этические проблемы информационного общества.
К данной программе можно предложить следующий календарный план.
Поурочное планирование
Номер урока | Тема урока | Вид урока |
1. Общие проблемы информационной безопасности – 2 часа. | ||
1 | Основные понятия информационной безопасности. | лекция |
2 | Актуальность проблемы обеспечения безопасности ИТ. | лекция |
2. Угрозы информационной безопасности – 3 часа. | ||
3 | Понятие угрозы информационной безопасности. | лекция |
4 | Классификация видов угроз информационной безопасности по различным признакам. | лекция |
5 | Каналы утечки информации. | лекция |
6 | Общие сведения о вредоносных программах. Компьютерные вирусы. | лекция |
7 | Профилактика заражения. Методы защиты компьютеров от вредоносных программ. Восстановление информации. | лекция + практическая работа |
8 | Программные антивирусные средства. Антивирусные программы. | лекция + практическая работа |
4. Правовые основы обеспечения информационной безопасности – 5 часов | ||
9 | Законодательство в области защиты информации. | лекция |
10 | Защита информации ограниченного доступа. Государственная тайна как особый вид защищаемой информации; система защиты государственной тайны; правовой режим защиты государственной тайны. | лекция |
11 | Конфиденциальная информация и её защита. | лекция + практическая работа |
12 | Преступление и наказание в сфере информационных технологий. | лекция |
13 | Отечественные и зарубежные стандарты в области информационных технологий. | лекция |
5. Современные методы защиты информации в автоматизированных системах обработки данных – 8 часов. | ||
14 | Основные сервисы безопасности. Правила создания и замены паролей. | лекция |
15 | Идентификация и аутентификация. | лекция |
16 | Управление доступом. Протоколирование и аудит. | лекция + практическая работа |
17 | Криптография. Криптографическая защита. История криптографии. | лекция |
18 | Принципы построения криптографических алгоритмов с симметричными и несимметричными ключами. Электронная цифровая подпись. | лекция + практическая работа |
19 | Криптографические методы защиты информации. | практическая работа |
20 | Контроль целостности; экранирование; анализ защищённости. | лекция |
21 | Обеспечение отказоустойчивости и безопасного восстановления. | лекция + практическая работа |
6.Технические и организационные методы хранения информации – 2 часа. | ||
22 | Технические средства защиты информации. | лекция |
23 | Организационные меры защиты. | лекция + практическая работа |
7. Защита информации в компьютерных сетях – 5 часов. | ||
24 | Защита информации в компьютерных сетях. | лекция |
25 | Безопасность в сети Интернет. | лекция |
26 | Защита электронного обмена данных в Интернете. | лекция + практическая работа |
27 | Способы отделения интрасети от глобальных сетей. | лекция |
28 | Фильтрующий маршрутизатор, программный фильтр, системы типа FireWall (брандмауэр, экранирующий фильтр) и т.д. | лекция |
8. Проблемы информационно–психологической безопасности личности –6 часов. | ||
29 | Информационно–психологическая безопасность личности в информационном обществе. | лекция |
30 | Виртуальная реальность и её воздействие на нравственное, духовное, эмоциональное и физическое здоровье школьников. | лекция |
31 | Способы защиты от нежелательной информации в Интернете. | лекция + практическая работа |
32 | Нравственно–этические проблемы информационного общества. | лекция |
33 | Работа над проектом «Перспективные направления в области обеспечения информационной безопасности». | практическая работа |
34 | Итоговое занятие. Защита проектов. | практическая работа |
После прохождения курса, должен быть достигнут следующий перечень знаний, умений и навыков учащихся.
Учащиеся должны знать:
· основные понятия и определения из области обеспечения информационной безопасности;
· методы и средства борьбы с угрозами информационной безопасности;
· классификацию вредоносных программ и их влияние на целостность информации; порядок заражения файлов;
· методы проведения профилактики, защиты и восстановления пораженных вредоносными программами объектов;
· нормативные руководящие документы, касающиеся защиты информации, существующие стандарты информационной безопасности;
· принципы выбора пароля, аппаратные и программные средства для аутентификации по паролю;
· основные понятия криптографических методов защиты информации, механизмы цифровой электронной подписи;
· существующие программные продукты, предназначенные для защиты электронного обмена данными в Интернете, способы отделения интрасети от глобальных сетей;
· нормы информационной этики и права.
Учащиеся должны уметь:
· объяснять необходимость изучения проблемы информационной безопасности;
· применять методы профилактики и защиты информационных ресурсов от вредоносного программного обеспечения;
· восстанавливать повреждённую информация;
· соблюдать права интеллектуальной собственности на информацию;
· применять методы ограничения, контроля, разграничения доступа, идентификации и аутентификации;
· использовать современные методы программирования для разработки сервисов безопасности;
· производить простейшие криптографические преобразования информации;
· планировать организационные мероприятия, проводимые при защите информации;
· применять методы защиты информации в компьютерных сетях;
· различать основные виды информационно-психологических воздействий в виртуальной реальности;
· соблюдать требования информационной безопасности, этики и права;
· искать и обрабатывать информацию из различных источников, приводить собственные примеры явлений и тенденций, связанных с безопасностью информационного общества;
· интерпретировать изучаемые явления и процессы, давать им сущностные характеристики, высказывать критическую точку зрения и свои суждения по проблемным вопросам;
· сравнивать, анализировать и систематизировать имеющийся учебный материал;
· участвовать в групповой работе и дискуссиях, решении задач в игровых ситуациях и проектной деятельности;
· представлять результаты учебных исследовательских проектов с использованием информационно-коммуникационных технологий.
Заключение
Обеспечение информационной безопасности современных информационных систем требует комплексного подхода. Оно невозможно без применения широкого спектра защитных средств, объединенных в продуманную архитектуру. Далеко не все эти средства получили достаточное распространение, некоторые находятся в стадии становления.
В этих условиях позиция по отношению к информационной безопасности должна быть особенно динамичной. Теоретические воззрения, стандарты, сложившиеся порядки необходимо постоянно сверять с требованиями практики. Реальная безопасность нуждается в каждодневной работе всех заинтересованных сторон.
Литература
1. Гостехкомиссия России. Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения. – М.: ГТК 1992.
2. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. – М.: Издательство Агентства «Яхтсмен», 1996.
3. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. – М.: Радио и связь, 2000.
4. Казарин О.В. Безопасность программного обеспечения компьютерных систем. Монография. – М.: МГУЛ, 2003. – 212 с.
5. Новиков А.А., Устинов Г.Н. Уязвимость и информационная безопасность телекоммуникационных технологий: Учебное пособие. – М. «Радио и связь» 2003.
6. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. –МЦНМО, 2003.
7. Введение в криптографию. – Сб. под ред. В.В.Ященко. МЦНМО, 1999.
8. Спесивцев А.В., Вегнер В.А., Крутяков А.Ю. и др. Защита информации в персональных ЭВМ. – М. «Радио и связь», Веста, 1992.
Приложения
Приложение 1
Тема урока: Основные понятия информационной безопасности.
Цели урока:
· познакомить учащихся с понятием информационной безопасности;
· рассмотреть действия, которые могут нанести ущерб информационной безопасности;
· воспитывать негативное отношение к созданию и распространению вредоносных программ;
· формировать навыки самостоятельной работы.
Оборудование: компьютеры.
Программное обеспечение: PowerPoint.
Ход урока