НИРС ГСЭ - задания
.pdf
|
|
Материалы к дисциплине НИРС ГСЭ |
|
|
|
№ |
|
Содержание раздела |
п/п |
|
|
1. |
|
Цели и задачи курса. Место дисциплины в учебном процессе. Методические рекомендации по |
|
|
изучению курса. Требований на зачет. Задачи дисциплины. Назначение ВРИО капитанов |
|
|
команд (руководителей предприятий). Выборы кандидатов в капитаны команд. Обсуждение |
|
|
методики выборов капитанов команд (капитанам зачет автоматом), требование - выборы |
|
|
капитанов на 2-м занятии единогласно, занятие продолжается до принятия единогласного |
|
|
решения. Обсуждение направлений исследований. |
2. |
|
Выборы капитанов команд и «председателей профсоюзов». Разбиение группы на 2-3 команды |
|
|
(конкурирующие предприятия). Обсуждение исследовательских проектов. Предварительная |
|
|
фиксация проектов исследования. Предварительное разделение студентов по проектам. |
|
|
Распределение заданий на следующую неделю. Задание на дом: определение списков команд, |
|
|
предварительное определение тем исследовательских проектов. |
3. |
|
Отчет за неделю. Фиксация списков команд и распределение ролей в проектах. Доклады |
|
|
минигрупп по проектам. Обсуждение сильных и слабых сторон докладов. Рекомендации. |
|
|
Обсуждение методов поиска информации. Уточнение планов исследований. Задание на дом: |
|
|
Поиск всех электронных (электронных аналогов бумажных изданий) периодических изданий |
|
|
(ресурсов) по информационным технологиям, изложение проекта плана по регулярному обзору |
|
|
интересных публикаций силами команд. |
4. |
|
Отчет за неделю. Доклады «Ораторское искусство», «Психология успешности». Доклад : |
|
|
проект «Обзор интересных публикаций за месяц (неделю)». Проект «Страничка 1-курсника» на |
|
|
сайте кафедры. Обсуждение, замечания и рекомендации. |
5. |
|
Отчет за неделю. Отчеты о ходе выполнения проектов. Доклады «Командообразование» и |
|
|
«корпоративная этика». Доклад «Как развить память. Техника запоминания, рекомендации для |
|
|
развития памяти». Задание на дом: поиск англоязычных ресурсов по информационным |
|
|
технологиям для регулярного чтения и подготовки обзоров. |
6. |
|
Отчет за неделю. Доклады. Доклад-проект «Рекомендации по самостоятельному изучению |
|
|
англ. языка для чтения литературы по информационным технологиям». Сдача подробного |
|
|
плана исследований по каждому проекту и планов по развитию малой компании. |
7. |
|
Отчет за неделю. Сдача 150-200 терминов по ИБ. Отчеты о ходе выполнения проектов. |
|
|
Представление материалов по проекту. |
8. |
|
Отчет за неделю. Сдача 70-100 английских слов (сокращений) из области информационных |
|
|
технологий. Чтение и перевод контрольного текста. Сдача предложений по проведению |
|
|
посвящения в информационный спецназ в следующем году. |
9. |
|
Защита проектов. Сдача командных отчетов и черновиков публикаций на конференцию МГУ. |
|
|
Подведение итогов. Анонимная оценка преподавателя. |
Требования на зачет к члену команды
1.150-200 терминов по ИБ
2.Умение переводить англоязычный текст (8 стр. Glossary of Key Information Security Terms) +120 английских слов (сокращений) из области информационных технологий
3.Составление генеалогического дерева семьи. В отчете – дата 1-го упоминания о предках, 0.5 стр. – описание заслуг одного из предков.
4.Участие в одном из проектов, умение описать личный вклад в проект.
5.Отчет команды (7-8 чел.) 35-40 стр. Вклад каждого не менее 5 стр.
6.С каждой команды не менее 1 исследовательского проекта и не менее 1 проекта доклада на международную молодежную конференцию «Молодежь. Наука. Инновации.»
Требования к зачету для капитанов команд
1.Подготовка минимум одной работы на конференцию «Молодежь. Наука. Инновации.»
2.Реализация минимум одного социального развивающего проекта.
3.Составление планов по развитию малой компании (2-3 стр. , грамотно и подробно)
4.Выставление оценки капитану коллективом команды
5.Организация подготовки и проведения членами команды минимум 2 докладов из следующего перечня (возможны инициативные доклады):
Развитие памяти, техника запоминания, скорочтение
Российские и международные конкурсы по информационным технологиям интересные для студентов группы
Ораторское искусство (материалы Радислава Гандопаса)
Молодежные конкурсы по информационным технологиям
Системы сертификации по английскому языку
Международные системы сертификации по информационным технологиям
Психология успешности
Использование видео-и аудиоматериалов для изучения английского языка
Страничка 1-курсника на сайте кафедры.
Обзор интересных публикаций за месяц (проект в рамках группы)
Техника подготовки доклада
Поиск научной информации.
Рекомендации по самостоятельному изучению англ. языка для чтения литературы по информационным технологиям
Командообразование
Корпоративная этика
Лидерство
Риторика
Для преподавателя:
1. Выставление каждым анонимных оценок преподавателю за данный курс.
Каждая команда готовит общий отчет команды объемом не менее 50 стр. (не менее 5 стр. на человека).
Структура отчета:
1.Титульный лист
2.Содержание отчета
3.Используемые термины и сокращения
4.Введение. Введение в деловую игру. Описание основных проектов, в которых участвовали члены команды
5.Основная часть. Здесь описываются работы и исследования, проведенные членами команд, полезные для студентов группы. Отдельные разделы:
а). Подготовка докладов (приводятся тезисы докладов, в сжатом виде материалы действительно полезные для студентов группы); б). Социальные проекты (изучение английского, проект «средство информации группы по вопросам
IT-технологий», участие в отряде вожатых и т.д.);
в). Научно-исследовательские проекты (BCI, защита водной акватории, система подготовки к участию в ACM и т.д.)
г). Черновик(и) публикации на международную конференцию студентов и аспирантов «Молодежь, наука, инновации.» (объем статьи 2-3 стр.)
6.Заключение. Подведение итогов работы. Задачи, переходящие на следующий семестр. Основные результаты.
Замечания.
Отчет по отдельному проекту (например, защита акватории) оформляется отдельным параграфом, подписывается участниками проекта с указанием используемой литературы. Каждый из членов команды должен участвовать в подготовке как минимум одного частного отчета.
Итоговый контроль – зачёт.
Генеалогическое дерево.
Люди, не помнящие родства, в среднем менее мотивированы на серьезные долговременные проекты, значимые для крупных социальных групп.
Если человек гордится своими предками, хочет стать не менее достойным человеком и приносить серьезную пользу обществу, знает несколько предыдущих поколений, то из таких людей значительно чаще вырастают личности с Большой буквы.
Задание на семестр.
Составить генеалогическое дерево своей семьи. Составить краткое описание своих предков.
Представить мне начальных представителей вашего генеалогического дерева (о ком имеется хоть какая информация). Краткое описание жизни 1-2 своих предков, которыми вы, ваша семья гордитесь, на которых вы хотели бы быть похожи. (0.5-1 стр.)
«Запуск и раскрутка коммерческого проекта (компании)».
У вас 3 команды. Каждая команда выбирает индивидуальное задание – сделать успешной свою компанию. Начальное условие. Вас 3 товарища - грамотных выпускника, имеющие неплохое образование и определенные навыки в выбранном направлении деятельности и высокую мотивацию. Вы решаете создать свою коммерческую структуру компанию в г. Владивостоке, которая должна стать успешной, лучшей (или единственной) в своей нише.
-софтверная компания (создание программных продуктов),
-компания, работающая на рынке информационной безопасности,
-интернет-магазин,
-компания на рынке коммерческих образовательных услуг в области IT-технологий,
-заработки с использованием технологии BCI (brain computer interface – интерфейс мозг компьютер), направления: игровое, инновационное (управление движущимися объектами), передача информации, разработка библиотеки подпрограмм, медицинское направление – реабилитация работы мозга,
-компания в области использования web-технологий,
…
Составить подробный план действий по достижению успешности функционирования компании.
Приложения
1. Планы по развитию Кафедра БИТС 2010, осень. (в качестве примера развития
структуры)
Начальные условия.
Я. Новый человек в МГУ им. Г.И.Невельского – практически никого не знаю, профессионал в криптографии, имею неплохое представление об образовании в области ИБ, но и только.
Студенты. Последние 2 года проходной балл 112-117 баллов из 300 возможных. Средний балл поступивших порядка 160 баллов (из 300). Плохая посещаемость, значительное количество задолженностей по дисциплинам у студентов.
Задача. Поднять престиж кафедры, добиться, чтобы по-настоящему грамотные абитуриенты края стремились попасть учиться на кафедру.
Грубый план.
1.Составление образовательной программы для кафедры для нового образовательного стандарта, акцент в программе на компьютерные технологии.
2.Активная грамотная агитационная деятельность.
3.Поиск новых преподавателей по новым востребованным направлениям (дисциплинам)
4.Развитие лабораторной базы
5.Развитие научной деятельности среди студентов и преподавателей.
6.Развитие образования в аспирантуре
7.Студенческое творчество. Увлечение студентов, выход на высокоуровневые проекты.
8.Создание выигрышных моментов для привлечения сильных абитуриентов.
Подробный план.
1.Знакомство с преподавателями кафедры, формирование команды.
2.Разобраться какие знания и навыки, близкие к специальности ИБТКС, наиболее востребованы для успешного трудоустройства в Приморском крае.
3.Составление «проекта» будущей кафедры (что новое должно появиться).
4.Открытие обучения на военной кафедре для студентов кафедры БИТС. Далее надо устанавливать и расширять связи кафедры с силовыми структурами.
5.Каждые 2 недели стараться заводить новое знакомство с интересными людьми в МГУ.
6.Переговоры со знакомыми профессионалами в области IT-технологий с целью привлечения их к преподаванию на кафедре.
7.Разработка новых дисциплин самому и введение новых дисциплин под знакомых «классных» специалистов-практиков
8.Помощь выпускникам в трудоустройстве в силовых структурах.
9.Серьезно стараться (составить план и его выполнять) заводить знакомства в компаниях, работающих в области обеспечения информационной безопасности.
10.Развивать знакомства в области высшего образования и науки в городе.
11.Составление личного плана самосовершенствования в области ИБ и заведования кафедрой, какие книги прочитать, с какими программами познакомиться, какие планы, отчеты, программы и т.д. разрабатывает зав. кафедрой ежегодно.
12.Поиск и структурированное хранение электронной литературы по всем направлениям информационной безопасности, отдельно (высококачественно) по криптографии, поиск и изучение научных докладов на наиболее известных международных конференциях по криптографии (10-15 конференций мирового уровня). Знакомство с лучшими образовательными практиками в России и за рубежом.
13.Лично участвовать в Пленумах учебно-методического объединения России по информационной безопасности, заводить знакомства, приятельские отношения с заведующими кафедр, профессорами из других регионов.
14.Командировка в Томск в ТУСУР для знакомства с их опытом, технологиями обучения студентов по специальностям информационной безопасности.
15.Личное выступление с докладами на Всероссийских и международных конференциях.
16.Подготовка студентов и аспирантов к участию во всероссийских конкурсах по информационной безопасности. Сибинфо, IT-планета.
17.Повышение уровня дипломных проектов
18. Достаточно жесткие пороговые требования на госэкзаменах и особенно к уровню подготовки дипломных проектов. Недостаточный уровень дипломного проекта – отчисление.
19.Постепенный выход на выполнение требования – 3 задолженности у студента – отчисление.
20.Развитие материальной базы кафедры. Добиваться расширения площадей, появление новых помещений. Организация лабораторий технических средств защиты информации и аппаратно-программных средств защиты информации (аудитории, ставки работников, оборудование, стенды).
21.Повышение уровня преподавания по английскому языку, изучение английского 5 лет, поиск увлеченных квалифицированных преподавателей английского для студентов кафедры, совместная отработка системы языковой подготовки для студентов кафедры.
22.Активизация работы с аспирантами. Подготовка диссертаций, публикации в реферируемых журналах.
23.Долговременная работа над образовательными программными комплексами : «Криптополигон», «InfoSec»
24.Библиотека кафедры, организация работы электронной библиотеки
25.Налаживание связи с Томском, Хабаровском, Таганрогом, Пензой и т.д.
26.Разработка тестов для проверки знаний терминологии и не только (компьютерные и телекоммуникационные сети, информбезопасность и т.д. )
27.Получение сотрудниками кафедры сертификатов по сетям и безопасности
28.Разработка методичек и учебных пособий сотрудниками кафедры
29.Ежегодная поездка на конференцию по информбезопасности
30.Система студенческой научно-практической деятельности
-1-2 курс – эссе
-4- курс – междисциплинарная курсовая работа
-6-курс – диплом
31.Разработка кафедрального теста по ИБ (на основе CISSP, минимум 500 вопросов), с выдачей сертификата кафедры с печатью
32.Деньги на развитие кафедры. Получение грантов, попытки заключения хоздоговоров, набор платных студентов, дополнительные платные образовательные услуги (краткосрочные курсы).
Рекламно-агитационная работа по привлечению абитуриентов.
1.Агитация по школам (сначала лучшие школы города – ТШЛ, №41, №23, №1, интернат №2, затем другие), знакомство с директорами, завучами и учителями. Агитация и преподавание физики в лицее МГУ. Переписка со школами края – Кировка, Находка, Арсеньев, Артем. Агитационные поездки по краю.
2.Разработка вариантов выступления перед школьниками – 15 мин, 5 мин, 3 мин.
3.Разработка и запуск сайта кафедры (проект, автор, дизайн, заполнение, поддержание, регулярное обновление, деньги на оплату сайта)
4.Подготовка и проведение дней открытых дверей, организация экскурсий, разработка банеров.
5.Личное участие в проведении краевой олимпиады по математике, агитация среди участников.
6.Разработка рекламной продукции, дизайн, текст.
7.Личные звонки 30-40 лучшим абитуриентам.
8.Личные беседы с лучшими абитуриентами.
Создание традиций кафедры.
1.Разработка герба кафедры
2.Разработка гимна кафедры.
3.Разработка посвящения в информационный спецназ. Сценарий процедуры посвящения. Использование символики – меч, магический напиток, магический огонь, гранит науки. Капустник, подготовка номеров в каждой группе.
4.Проведение психологических тренингов перед началом занятий.
5.Организация команд из студентов кафедры, участвующих в студенческих конкурсах и олимпиадах российского и международного уровня. Совместная подготовка к RuCTF студентов МГУ и ДВФУ. Отработка лидерских, волевых качеств.
6.Внедрение традиции – 2-й курс готовит курс молодого кибербойца (миниCTF) для 1-го курса.
«Фишки» кафедры БИТС.
1.Наличие обучения на военной кафедре. Выпуск офицеров запаса.
2.Контакты с силовыми структурами, 2-5 выпускников – трудоустройство в силовые структуры
3.Контакты с ДВО РАН
4.Научно исследовательская работа в области Brain computer interface (с помощью работы мозга управление и передача информации, выработка секретного ключа, медицинское направление).
5.Достижения студентов – медали, успехи во всероссийских и международных мероприятиях. Отдельно участие команды в международных и российских конкурсах по информационной безопасности и хакерству.
6.Ежегодное проведение секции информационной безопасности на международной молодежной научной конференции.
7.Аспирантура по информационной безопасности
8.Посвящение в информационный спецназ
9.По английскому языку – участие в программе Global understanding, регулярные контакты с американским консульством, просмотр видеофильмов с последующим обсуждением
10.Проведение психологического тренинга для знакомства и командообразования.
11.Подготовка команд и участие в ACM (всемирные соревнования по командному программированию).
12.Семинар по подводной робототехнике, подготовка команды.
13.5 договоров с ведущими российскими компаниями в области информбезопасности о бесплатной поставке оборудования.
14.Бесплатные занятия и онлайн-тестирование на получение сертификатов компании «Инфотекс».
Что сделано за 1-й год решения задачи повышение имиджа кафедры
(1.6.2011-1.6.2012)
1.Проведен набор 21 студента на 1-й курс (180-237 баллов, среднее-200 баллов), годом ранее 112-193 балла. По конкурсу 3-е место в университете, по баллам 2-е.
2.Организована и проведена секция по ИБ в рамках международной конференции МГУ (15 работ, 9 под моим руководством).
3.Проведено празднование дня защиты информации и посвящение в информационный спецназ (порядка 12 номеров), высокий уровень.
4.Привлечено 3 новых преподавателя с практическим опытом из сторонних организаций.
5.В состав кафедры формально включены еще 2 лаборатории: технических средств защиты и программно аппаратных средств. Начато реальное обустройство лаборатории технических средств защиты информации.
6.Защита дипломов на высоком уровне. (У 9-рых дипломников я научный руководитель(это сложно и тяжело)).
7.4 выпускника поступили в аспирантуру.
8.4 статьи в Вестник МГУ им. Г.И.Невельского (объем 30 стр.).
9.3 статьи в Докладах ТУСУРа, 3 доклада на конференции в Новосибирске.
10.2 статьи в англоязычном сборнике МГУ им. Г.И.Невельского.
11.Подготовка команд в RuCTF , 12место по России в общем зачете и 5-е среди студенческих команд (мое участие - организация процесса, основные организаторы – Александров, Сахаров, Цепелев).
12.Организовано проведение 3 студенческих научно-практических семинаров (факультативов): Аудит инфокоммуникационных систем, BCI, Разработка WEB-сайтов.
13.Разработан пакет документов для аспирантуры по специальности 05.13.19.
14.Участие в подготовке PH-days и DV CTF во Владивостоке. На DV CTF 1-й курс кафедры БИТС – 1- е место (увлеченность, драйв, задел на будущее).
15.Внедрены в учебный процесс 2 авторских курса: «Введение в специальность», НИРС ГСЭ. У первого - высокое качество курса, эффективность; у 2-го – нестандартность, высокий уровень эффективности и увлечения студентов.
16.Контакт с отделом «К» МВД. Контакты по проведению экспертизы сотрудниками кафедры в интересах МВД и прокуратуры.
17.Контакты с компанией «Инфотекс». Внедрен курс по «VipNet», разработанный Рубаном, получена договоренность о проведении бесплатных online-экзаменов по «VipNet».
18.Участие в проведении краевой олимпиады по математике (2 дня).
19.Проведение занятий для победителей физико-математических областных олимпиад из азиатской части России на смене «Интеллект» в центре «Океан».
20.Агитация школьников в ТШЛ, 23-й школе, сменах «Интеллект» в «Океане»
21.Боршевников проходит обучение на курсе криптографии в Стэндфордском университете. Задача развивать традицию в МГУ.
22.2 студента 1-го курса заслуженно получили мой авторский сертификат (балл 4.8 и выше).
23.Разработан новый сайт кафедры на новом сервере. Подготовлено 6 статей.
24.Выступление с 1-курсниками на Дне физика в ДВФУ. Уровень достаточно высокий.
25.Контакт с компанией «Информационный Центром», организация авторизованных курсов «Инфотекс» в МГУ Невельского.
26.Контакт с компанией «Сервер-центр», работа над электронным изданием.
2. Материалы для минизачета по владению основами английского языка
Glossary of Key Information Security Terms
We have received numerous requests to provide a summary glossary for our publications and other relevant sources, and to make the glossary available to practitioners. As a result of these requests, this glossary of common security terms has been extracted from NIST Federal Information Processing Standards (FIPS), the Special Publication (SP) 800 series, NIST Interagency Reports (NISTIRs), and from the Committee for National Security Systems Instruction 4009 (CNSSI-4009). The glossary includes most of the terms in the NIST publications. It also contains nearly all of the terms and definitions from CNSSI-4009. The glossary provides a central resource of terms and definitions most commonly used in NIST information security publications and in CNSS information assurance publications. For a given term, we do not include all definitions in NIST documents – especially not from the older NIST publications. Since draft documents are not stable, we do not refer to terms/definitions in them.
It is our intention to keep the glossary current by providing updates online. New definitions will be added to the glossary as required, and updated versions will be posted on the Computer Security Resource Center (CSRC) Web site at http://csrc.nist.gov/.
Access – |
Ability to make use of any information system (IS) resource. |
|
Ability and means to communicate with or otherwise interact with a system, to use system |
|
resources to handle information, to gain knowledge of the information the system contains, or to |
|
control system components and functions. |
|
|
Access Control – |
The process of granting or denying specific requests to: 1) obtain and use information and |
|
related information processing services; and 2) enter specific physical facilities (e.g., federal |
|
buildings, military establishments, border crossing entrances). |
Active Attack – |
An attack that alters a system or data. |
Active Security |
Security testing that involves direct interaction with a target, such as sending packets to a target. |
Testing – |
|
Activities – |
An assessment object that includes specific protection-related |
|
pursuits or actions supporting an information system that involve people (e.g., conducting |
|
system backup operations, monitoring network traffic). |
Advanced |
The Advanced Encryption Standard specifies a U.S. government-approved cryptographic |
Encryption |
algorithm that can be used to protect electronic data. The AES algorithm is a symmetric block |
Standard – |
cipher that can encrypt (encipher) and decrypt (decipher) information. This standard specifies |
(AES) |
the Rijndael algorithm, a symmetric block cipher that can process data blocks of 128 bit |
|
A U.S. government-approved cryptographic algorithm that can be used to protect electronic |
|
data. The AES algorithm is a symmetric block cipher that can encrypt (encipher) and decrypt |
|
(decipher) information. |
Agent – |
A program used in distributed denial of service (DDoS) attacks that send malicious traffic to |
|
hosts based on the instructions of a handler. Also known as a bot. |
|
A program acting on behalf of a person or organization. |
Alert – |
Notification that a specific attack has been directed at an organization’s information systems. |
|
|
Anomaly-Based |
The process of comparing definitions of what activity is considered normal against observed |
Detection – |
events to identify significant deviations. |
|
|
Anti-jam – |
Countermeasures ensuring that transmitted information can be received despite deliberate |
|
jamming attempts. |
|
|
Anti-spoof – |
Countermeasures taken to prevent the unauthorized use of legitimate Identification & |
|
Authentication (I&A) data, however it was obtained, to mimic a subject different from the |
|
attacker. |
|
|
Application – |
A software program hosted by an information system. |
|
|
Asset – |
A major application, general support system, high impact program, physical plant, mission |
|
critical system, personnel, equipment, or a logically related group of systems. |
Asymmetric |
See Public Key Cryptography. |
Cryptography – |
|
Asymmetric Keys – |
Two related keys, a public key and a private key that are used to perform complementary |
|
operations, such as encryption and decryption or signature generation and signature verification |
|
|
Attack – |
An attempt to gain unauthorized access to system services, resources, or information, or an |
|
attempt to compromise system integrity. |
|
Any kind of malicious activity that attempts to collect, disrupt, deny, degrade, or destroy |
|
information system resources or the information itself. |
|
|
Audit – |
Independent review and examination of records and activities to assess the adequacy of system |
|
controls, to ensure compliance with established policies and operational procedures. |
|
|
Audit Data – |
Chronological record of system activities to enable the reconstruction and examination of the |
|
sequence of events and changes in an event. |
|
|
Audit Log – |
A chronological record of system activities. Includes records of system accesses and operations |
|
performed in a given period. |
Authenticate – |
To confirm the identity of an entity when that identity is presented. |
|
To verify the identity of a user, user device, or other entity. |
Authentication – |
Verifying the identity of a user, process, or device, often as a prerequisite to allowing access to |
|
resources in an information system. |
Authentication – |
The process of establishing confidence of authenticity. |
|
|
Authentication – |
Encompasses identity verification, message origin authentication, and message content |
|
authentication. |
Authentication – |
A process that establishes the origin of information or determines an entity’s identity. The |
|
process of verifying the identity or other attributes claimed by or assumed of an entity (user, |
|
process, or device), or to verify the source and integrity of data. |
Authority – |
Person(s) or established bodies with rights and responsibilities to exert control in an |
|
administrative sphere |
Authorization – |
Access privileges granted to a user, program, or process or the act of granting those privileges. |
Autonomous |
One or more routers under a single administration operating the same routing policy. |
System (AS) – |
|
Availability – |
Ensuring timely and reliable access to and use of information. |
Back Door – |
Typically unauthorized hidden software or hardware mechanism used to circumvent security |
|
controls. |
Backdoor – |
An undocumented way of gaining access to a computer system. |
|
|
Backup – |
A copy of files and programs made to facilitate recovery, if necessary. |
|
|
Biometric – |
A physical or behavioral characteristic of a human being. |
Biometric – |
A measurable physical characteristic or personal behavioral trait used to recognize the identity, |
|
or verify the claimed identity, of an applicant. Facial images, fingerprints, and iris scan samples |
|
are all examples of biometrics. |
Block Cipher – |
A symmetric key cryptographic algorithm that transforms a block of information at a time using |
|
a cryptographic key. For a block cipher algorithm, the length of the input block is the same as |
|
the length of the output block. |
Boundary – |
Physical or logical perimeter of a system. |
Boundary |
Monitoring and control of communications at the external boundary of an information system to |
Protection – |
prevent and detect malicious and other unauthorized communication, through the use of |
|
boundary protection devices (e.g., proxies, gateways, routers, firewalls, guards, encrypted |
|
tunnels). |
Brute Force |
A method of accessing an obstructed device through attempting multiple combinations of |
Password Attack – |
numeric and/or alphanumeric passwords. |
Certificate – |
A digital representation of information which at least |
|
1) identifies the certification authority issuing it, |
|
2) names or identifies its subscriber, |
|
3) contains the subscriber's public key, |
|
4) identifies its operational period, and |
|
5) is digitally signed by the certification authority issuing it. |
Certificate |
Process whereby certificates (as defined above) are generated, stored, protected, transferred, |
Management – |
loaded, used, and destroyed. |
Certificate Revocation |
A list of revoked public key certificates created and digitally signed by a Certification |
List (CRL) – |
Authority. |
Certification |
A trusted entity that issues and revokes public key certificates. |
Authority |
|
Cipher – |
Series of transformations that converts plaintext to ciphertext using the Cipher KeyAny |
|
cryptographic system in which arbitrary symbols or groups of symbols, represent units of plain |
|
text, or in which units of plain text are rearranged, or both. |
Cipher Suite – |
Negotiated algorithm identifiers. Cipher suites are identified in human-readable form using a |
|
pneumonic code. |
Ciphertext – |
Data output from the Cipher or input to the Inverse Cipher. Data in its enciphered form. |
Clear Text – |
Information that is not encrypted. |
Clearing – |
Removal of data from an information system, its storage devices, and other peripheral devices |
|
with storage capacity, in such a way that the data may not be reconstructed using common |
|
system capabilities (i.e., through the keyboard); |
Cloud Computing – |
A model for enabling on-demand network access to a shared pool of configurable IT |
|
capabilities/ resources (e.g., networks, servers, storage, applications, and services) that can be |
|
rapidly provisioned and released with minimal management effort or service provider |
|
interaction. It allows users to access technology-based services from the network cloud without |
|
knowledge of, expertise with, or control over the technology infrastructure that supports them. |
|
This cloud model is composed of five essential characteristics (on-demand self-service, |
|
ubiquitous network access, location independent resource pooling, rapid elasticity, and |
|
measured service); three service delivery models (Cloud Software as a Service [SaaS], Cloud |
|
Platform as a Service [PaaS], and Cloud Infrastructure as a Service [IaaS]); and four models for |
|
enterprise access (Private cloud, Community cloud, Public cloud, and Hybrid cloud). |
Code – |
System of communication in which arbitrary groups of letters, numbers, or symbols represent |
|
units of plain text of varying length. |
Compromise – |
Disclosure of information to unauthorized persons, or a violation of the security policy of a |
|
system in which unauthorized intentional or unintentional disclosure, modification, destruction, |
|
or loss of an object may have occurred. |
Computer Security |
Measures and controls that ensure confidentiality, integrity, and availability of information |
(COMPUSEC) – |
system assets including hardware, software, firmware, and information being processed, stored, |
|
and communicated. |
Confidentiality – |
The property that sensitive information is not disclosed to unauthorized individuals, entities, or |
|
processes. |
Countermeasures – |
Actions, devices, procedures, techniques, or other measures that reduce the vulnerability of an |
|
information system. Synonymous with security controls and safeguards. |
Cryptography – |
The discipline that embodies principles, means, and methods for providing information security, |
|
including confidentiality, data integrity, non-repudiation, and authenticity. |
|
Art or science concerning the principles, means, and methods for rendering plain information |
|
unintelligible and for restoring encrypted information to intelligible form. |
|
|
Cryptology – |
The science that deals with hidden, disguised, or encrypted communications. It includes |
|
communications security and communications. |
|
The mathematical science that deals with cryptanalysis and cryptography. intelligence. |
Data – |
A subset of information in an electronic format that allows it to be retrieved or transmitted. |
|
|
Data Encryption |
Cryptographic algorithm designed for the protection of unclassified data and published by the |
Standard (DES) – |
National Institute of Standards and Technology (NIST) in Federal Information Processing |
|
Standard (FIPS) Publication 46. (FIPS 46-3 withdrawn 19 May 2005) See Triple DES. |
Decode – |
Convert encoded text to plain text by means of a code. |
|
|
Decryption – |
The process of transforming ciphertext into plaintext. |
|
|
Decryption – |
The process of changing ciphertext into plaintext using a cryptographic algorithm and key. |
|
|
Decryption – |
Conversion of ciphertext to plaintext through the use |
|
of a cryptographic algorithm. |
Denial of Service |
An attack that prevents or impairs the authorized use of networks, systems, or applications by |
(DoS) – |
exhausting resources. |
|
The prevention of authorized access to resources or the delaying of time-critical operations. |
|
(Time-critical may be milliseconds or it may be hours, depending upon the service provided.) |
Digital Signature – |
An asymmetric key operation where the private key is used to digitally sign an electronic |
|
|
document and the public key is used to verify the signature. Digital signatures provide |
|
|
authentication and integrity protection. |
|
Digital Signature – |
The result of a cryptographic transformation of data which, when properly implemented, |
|
|
provides the services of: |
|
|
1. |
origin authentication, |
|
2. |
data integrity, and |
|
3. |
signer non-repudiation. |
Disaster Recovery |
A written plan for recovering one or more information systems at an alternate facility in |
|
Plan (DRP) – |
response to a major hardware or software failure or destruction of facilities. |
|
|
Management policy and procedures used to guide an enterprise response to a major loss of |
|
|
enterprise capability or damage to its facilities. The DRP is the second plan needed by the |
|
|
enterprise risk managers and is used when the enterprise must recover (at its original facilities) |
|
|
from a loss of capability over a period of hours or days. |
|
Encryption – |
Conversion of plaintext to ciphertext through the use of a cryptographic algorithm. |
|
|
|
|
Entity – |
Either a subject (an active element that operates on information or the system state) or an object |
|
|
(a passive element that contains or receives information). |
|
|
|
|
Entity – |
An active element in an open system. |
|
Event – |
Any observable occurrence in a network or system. Any observable occurrence in a system |
|
|
and/or network. Events sometimes provide indication that an incident is occurring. |
|
|
|
|
False Acceptance |
The probability that a biometric system will incorrectly identify an individual or will fail to |
|
Rate (FAR) – |
reject an impostor. The rate given normally assumes passive impostor attempts. |
|
|
The measure of the likelihood that the biometric security system will incorrectly accept an |
|
|
access attempt by an unauthorized user. A system’s false acceptance rate typically is stated as |
|
|
the ratio of the number of false acceptances divided by the number of identification attempts. |
|
False Rejection |
The probability that a biometric system will fail to identify an applicant, or verify the legitimate |
|
Rate (FRR) – |
claimed identity of an applicant. |
|
|
The measure of the likelihood that the biometric security system will incorrectly reject an access |
|
|
attempt by an authorized user. A system’s false rejection rate typically is stated as the ratio of |
|
|
the number of false rejections divided by the number of identification attempts. |
|
Firewall – |
A hardware/software capability that limits access between networks and/or systems in |
|
|
accordance with a specific security policy. |
|
Flooding – |
An attack that attempts to cause a failure in a system by providing more input than the system |
|
|
can process properly. |
|
Gateway – |
Interface providing compatibility between networks by converting transmission speeds, |
|
|
protocols, codes, or security measures. |
|
Hardware – |
The physical components of an information system. See software and firmware. |
|
Hash Function – |
A function that maps a bit string of arbitrary length to a fixed length bit string. Approved hash |
|
|
functions satisfy the following properties: |
|
|
1) One-Way. It is computationally infeasible to find any input that maps to any prespecified |
|
|
output. |
|
|
2) Collision Resistant. It is computationally infeasible to find any two distinct inputs that map to |
|
|
the same output. |
|
Hashing – |
The process of using a mathematical algorithm against data to produce a numeric value that is |
|
|
representative of that data. |
|
Identification – |
The process of verifying the identity of a user, process, or device, usually as a prerequisite for |
|
|
granting access to resources in an IT system. |
|
Identification – |
The process of discovering the true identity (i.e., origin, initial history) of a person or item from |
|
|
the entire collection of similar persons or items. |
|
Incident – |
A violation or imminent threat of violation of computer security policies, acceptable use |
|
|
policies, or standard security practices. |
|
Information – |
An instance of an information type. |
|
|
Any communication or representation of knowledge such as facts, data, or opinions in any |
|
|
medium or form, including textual, numerical, graphic, cartographic, narrative, or audiovisual. |
|
Information |
The protection of information and information systems from unauthorized access, use, |
|
Security – |
disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, |
|
|
and availability. |
|
|
|
|
Information |
Protecting information and information systems from unauthorized access, use, disclosure, |
|
Security – |
disruption, modification, or destruction in order to provide— |
|
|
1) integrity, which means guarding against improper information modification or destruction, |
|