1. tantárgy neve |
IT biztonság |
2. kódja |
IB001e-16 |
3. kreditérték |
3 |
4. heti óraszám |
2 + 0 (blokkosítva, 6 alkalommal) |
5. tantárgy típusa és értékelés módja
(előadás/gyakorlat/lab. gyakorlat/szeminárium); (Koll./gyak. jegy/aláírás) |
Típus: Előadás
Értékelés: Kollokvium |
6. felelős oktató vagy tanszék neve |
Szoftverfejlesztés Tanszék
Gergely Tamás
Török Szilárd |
7. tantárgy tematikája |
Az informatikai rendszerek egyik legalapvetőbb képessége
a biztonságos működés. Igaz ez a legkisebb beágyazott rendszerekre
és a nagyvállalatok komplex infrastruktúrájára is. A biztonsági
fenyegetések azonban folyamatosan változnak, és a webes technológiák
elterjedésével korábban sosem tapasztalt problémát jelentenek mind
az üzemeltetőknek, mind az alkalmazásfejlesztőknek. Szun Ce,
ókori kínai hadvezér írta A hadviselés törvényei című alapművében
"ha ismerjük az ellenséget és ismerjük magunkat is, akkor száz
csatában sem jutunk veszedelembe; ha azonban nem ismerjük
az ellenséget, csak magunkat ismerjük, akkor egyszer győzünk,
másszor vereséget szenvedünk; és ha sem az ellenséget, sem
magunkat nem ismerjük, akkor minden egyes csatában feltétlenül
végveszély fenyeget bennünket." Ez igaz a modern informatikára
is, ezért a tárgy célja bemutatni napjaink leggyakoribb támadásait,
azok kivédésnek módszereit, és az informatikai biztonság
tervezésének stratégiai lépéseit.
- előadás: Az információbiztonság története az ókortól,
az informatikai biztonság kialakulásának jelentős lépései.
Kulturális hatások, szemléletformáló irodalmi és filmes
alkotások. Az informatikai támadások háttere, folyamata.
- előadás: Az informatikai védelem stratégiája, alapelvei,
tervezési módszerei. Bizalmasság, sértetlenség, rendelkezésre
állás, PreDeCo védelem, adminisztratív, logikai és fizikai
kontrollok. A kockázatkezelés alapelvei.
- előadás: Támadói eszköztár: Virtuális tesztkörnyezetek
kiépítése (VMWare, OWASP eszközök), a BackTrack Live CD
bemutatása, hálózati és alkalmazás sebezhetőségek felderítése
(nmap, Nessus) és kihasználása (Metasploit Framework).
- előadás: TCP/IP fenyegetések vezetékes és vezeték
nélküli hálózatokban, internetes és intranetes környezetben,
a BackTrack eszközeivel demonstrálva. Védelmi megoldások az
elterjedt támadások ellen.
- előadás: Alaprendszerek biztonsági hiányosságai, a
megfelelő konfigurációk és frissítések használatának fontossága
a Metasploit Framework használatán keresztül. A hardening
eljárások bemutatása.
- előadás: Alkalmazás oldali hibák: injection támadások,
puffer túlcsordulások az OWASP WebGoat-ban demonstrálva.
Védelmi lehetőségek az alkalmazásfejlesztés során.
- előadás: Kliens és böngésző oldali fenyegetések: XSS
támadások, mobil kódok. Óvintézkedések az alkalmazásfejlesztő
és a felhasználó részéről.
- előadás: A hitelesítés és session kezelés fontossága az
alkalmazásfejlesztés során. Az authentikációs eljárásokat
érintő tipikus támadások. Megfelelő hitelesítési eljárások
implementálása operációs rendszer és alkalmazás szinten.
- előadás: A jogosultságkezelés lehetőségei és nehézségei
különböző operációs rendszerekben és alkalmazásokban. Az
authorizációs hibák kihasználásának eljárásai, valamint a
megfelelő védelmi kontrollok használata.
- előadás: Kriptográfiai védelem: szimmetrikus és aszimmetrikus
titkosítások, lenyomatok, valamint ezek gyengeségeinek kihasználása.
Kriptográfia az adattárolás és adatátvitel során.
- előadás: Komplex nagyvállalati védelem, a megismert védelmi
intézkedések rendszerszintű, strukturált használata. A
legfontosabb információbiztonsági szabványok bemutatása.
- előadás: Nagyvállalati IT biztonsági eszközök bemutatása
működés közben 1.
- előadás: Nagyvállalati IT biztonsági eszközök bemutatása
működés közben 2.
|
8. ajánlott irodalom |
- Bruce Schneier: Secrets & Lies. Digital Security in a
Networked World. John Wiley & Sons, 2000. ISBN
0-471-25311-1
- Harold F. Tipton (szerk.): Official (ISC)2 Guide to the
CISSP CBK, Second Edition. Auerbach Publications, 2009.
ISBN 1439809593
- Thomas Wilhelm: Professional Penetration Testing: Creating
and Operating a Formal Hacking Lab. Syngress, 2009.
ISBN 1597494259
- Stuart McClure, Joel Scambray, George Kurtz: Hacking
Exposed: Network Security Secrets and Solutions, Sixth
Edition. McGraw-Hill Osborne Media, 2009. ISBN 0071613749
- Michael E. Whitman, Herbert J. Mattord: Management
of Information Security. Course Technology, 2010.
ISBN 1435488849
|
9. a foglalkozásokon való részvétel követelményei és a távolmaradás pótlásának lehetősége |
Az előadás látogatása nem kötelező, távolmaradás esetén
a közzétett prezentációkból és a megadott szakirodalomból
lehet tájékozódni. |
10. az igazolás módja a foglalkozásokon és a vizsgán való távollét esetén |
Vizsgáról való hiányzás igazolása a TVSZ szerint. |
11. a félévközi ellenőrzések
(beszámolók, zárthelyik) száma, témaköre és időpontja,
pótlásuk és javításuk lehetősége |
Nincsen félévközi ellenőrzés. |
12. a félév teljesítésének követelményei |
A félév vizsga letételével zárul, mely a félév során kiadott
2 szorgalmi feladat sikeres teljesítésével jeles osztályzattal
kiváltható. |
13. az osztályzat kialakításának módja |
A vizsgán 50 kérdésre kell felelni feleletválasztós módon, a
zaz négy lehetséges megoldásból az egyetlen helyeset kell megtalálni.
Erre összesen 50 pont adható, melynek értékelése az alábbiak
szerint alakul.
- 0 - 25: elégtelen
- 26 - 31: elégséges
- 32 - 37: közepes
- 38 - 44: jó
- 45 - 50: jeles
|
14. a számonkérés során felhasználható segédletek, irodalom listája (ajánlott irodalom) |
A számonkérésnél kézzel írt saját jegyzet felhasználható, de
ez nem tartalmazhat előre kidolgozott vizsgakérdéseket. Ezt a
vizsga folyamán a vizsgáztató ellenőrzi. |