Budapest University of Technology and Economics, Faculty of Electrical Engineering and Informatics

    Belépés
    címtáras azonosítással

    vissza a tantárgylistához   nyomtatható verzió    

    IT biztonság

    A tantárgy angol neve: IT Security

    Adatlap utolsó módosítása: 2017. június 28.

    Budapesti Műszaki és Gazdaságtudományi Egyetem
    Villamosmérnöki és Informatikai Kar

    Mérnök informatikus szak, BSc képzés

    Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
    VIHIAC01 6 3/0/0/f 3  
    3. A tantárgyfelelős személy és tanszék Dr. Buttyán Levente, Hálózati Rendszerek és Szolgáltatások Tanszék
    4. A tantárgy előadója
    Név:
    Beosztás:
    Tanszék, Int.:
    Dr. Buttyán Levente
    egyetemi docens
    HIT
    Dr. Bencsáth Boldizsár
    egyetemi adjunktus
    HIT
    Dr. Holczer Tamás
    egyetemi adjunktus
    HIT

     Az előadók eléréséhez szükséges adatok a tanszék honlapján megtalálhatók:

    https://www.hit.bme.hu/portal/args/munkatarsak/oktatok_kutatok

    6. Előtanulmányi rend
    Kötelező:
    ((TargyEredmeny("BMEVIHIAB00" , "jegy" , _ ) >= 2 VAGY
    TargyEredmeny("BMEVIHIA209" , "jegy" , _ ) >= 2 )
    ÉS
    (TargyEredmeny("BMEVIHIAB01" , "jegy" , _ ) >= 2 VAGY
    TargyEredmeny("BMEVIHIA215" , "jegy" , _ ) >= 2 )
    ÉS
    (TargyEredmeny("BMEVIMIAB00" , "jegy" , _ ) >= 2 VAGY
    TargyEredmeny("BMEVIMIA219" , "jegy" , _ ) >= 2 )

    VAGY Szakirany("AMImédiainf", _) )

    ÉS
    NEM ( TárgyEredmény( "BMEVIHIM102" , "jegy" , _ ) >= 2
    VAGY
    TárgyEredmény("BMEVIHIM102", "FELVETEL", AktualisFelev()) > 0
    VAGY
    TárgyEredmény( "BMEVITMA378" , "jegy" , _ ) >= 2
    VAGY
    TárgyEredmény("BMEVITMA378", "FELVETEL", AktualisFelev()) > 0)

    A fenti forma a Neptun sajátja, ezen technikai okokból nem változtattunk.

    A kötelező előtanulmányi rendek grafikus formában itt láthatók.

    Ajánlott:
    VIEEAA00 A programozás alapjai 1. és VIIIAA00 A programozás alapjai 2. tárgyak meghallgatása az IT biztonság tárgy felvétele előtt.
    7. A tantárgy célkitűzése A tárgy áttekintést nyújt az IT biztonság különböző területeiről,  az egyes területek bevezető szintű bemutatásával, és ezzel növeli a mérnök-informatikus hallgatók biztonság-tudatosságát, formálja szemléletüket. A tárgy felkészíti a BSc hallgatókat az IT biztonsággal kapcsolatos kihívásokra, melyekkel későbbi munkájuk során találkozhatnak, és egyúttal alapozást nyújt azon hallgatók számára, akik IT biztonsággal kapcsolatos ismereteiket az MSc program keretében szeretnék elmélyíteni. Fontos hangsúlyt kap a biztonságos szoftverek fejlesztésének kérdésköre, a biztonságos programozás gyakorlati kérdései.
    8. A tantárgy részletes tematikája 1. hét: Bevezetés
    Motivációk, példák, a terület felosztása.

    2. hét: Rosszindulatú szoftverek (malware)
    Rosszindulatú szoftverek típusai (vírusok, férgek, trójaiak, stb.), működésük, terjedési és rejtőzködési technikák (rootkit-ek), alkalmazások (kiberbűnözés, botnetek, célzott támadások). Malware fertőzések detektálása, incidens kezelés, rosszindulatú programok analízise (reverse engineering).

    3. hét: Szoftverbiztonság
    Programozási hibákból származó biztonsági problémák típusai, a hibákat kihasználó exploit technikák működése, illusztratív példák (buffer overflow, heap overflow, format string, hibakezelés, race conditions, ROP, stb.).  Különböző programozási nyelvek (C/C++, Java, script nyelvek) és keretrendszerek sajátosságai szoftverbiztonsági hibák szempontjából.

    4. hét: Biztonságos programozás
    Szoftverek biztonsági elemzése és tesztelése (code review, architekturális kockázatelemzés, software penetration testing, fuzzing), néhány tesztelést segítő eszköz bemutatása. Biztonságos szoftverfejlesztési módszertanok, illusztratív példák.

    5. hét: Operációs rendszerek biztonsága
    Felhasználóhitelesítés, jogosultságkezelés és hozzáférésvédelem Windows és Unix/Linux rendszerekben. Kernel integritás, process izoláció, memória védelem (pl. ASLR). Megerősített operációs rendszerek, Linux Security Modules, Microsoft EMET.

    6. hét: Browserek és webes alkalmazások biztonsága
    Biztonsági veszélyek és beépített biztonsági mechanismusok modern browserekben (DOM access control model, same origin policy, third party cookie-k kezelése, sandboxing és egyéb védelem rosszindulatú script-ek ellen). Beépülő modulok biztonsági veszélyei. Webes alkalmazások biztonsági problémái (SQL injection, XSS, CSRF, stb.) és javasolt megoldások. CMS rendszerek tipikus hibái (backdoor-ok telepítése, tetszőleges kód futtatás a szerveren) és javasolt megoldások.

    7. hét: Mobile platformok és felhő alapú rendszerek biztonsága
    Android és iOS platformok biztonsági architektúrája, alkalmazás permission modellek. Mobil malware-ek típusai, működésük. Egyéb biztonsági és privacy problémák mobil környezetben.  Cloud alapú rendszerek biztonsági kihívásai, felhőben tárolt adatok védelme, hardware virtualizáció biztonsági kérdései, a felhő infrastruktúra védelme rosszindulatú guest-ek ellen.

    8. hét: Hálózati behatolási módszerek
    Tipikus hálózati támadás fázisai (felderítés, behatolás, backdoor telepítés, lateral movement és priviledge escalation, root-ra törés), az egyes fázisokban alkalmazott módszerek és eszközök, illusztratív példák. Hálózatok biztonsági tesztelése (penetration testing, etikus hacking).

    9. hét: Tűzfalak és behatolás detektáló rendszerek
    Határvédelem tűzfalakkal, tűzfalak típusai, működésük, tipikus konfigurációs beállítások, és tipikus hibák, illusztratív példák. Néhány konkrét tűzfal termék bemutatása. Behatolás detektáló és SIEM rendszerek fajtái, működésük, konfiguráció. Néhány konkrét IDS és SIEM termék bemutatása. Logelemzés, logelemző eszközök.

    10. hét: Kriptográfiai algoritmusok és alapprotokollok
    Kriptográfiai építőelemek áttekintése (ismétlés jelleggel). Blokkrejtjelezési módok, üzenet hitelesítés, véletlenszám generálás, kulcscsere protokollok működése és elemzése, PKI alapok.

    11. hét: Biztonságos kommunikációs protokollok
    Gyakorlatban használt biztonsági protokollok (TLS, IPsec, WPA2) működésének ismertetése, és a protokollok biztonsági analízise, néhány ismert támadás.

    12. hét: Privátszféra védelem
    Webes nyomonkövetési technikák (pl. browser fingerprinting, third party cookie-k). Privacy problémák közösségi hálózatokban. Anonim kommunikációs rendszerek (pl. Tor) működése, alkalmazási területek.

    13. hét: Kockázatmenedzsment és IT biztonsági ajánlások
    Biztonsági kockázatmenedzsment alapelvei, folyamata, és alkalmazott módszerek. IT biztonsággal kapcsolatos fontosabb szabványok és ajánlások (pl. ISO 27000 sorozat, ISO 17799, COBIT, Common Criteria framework, fontosabb RFC-k és NIST ajánlások)

    14. hét: Enterprise architektúra biztonsága
    Az előadások során elhangzott ismeretek összefoglalása egy integráló példán keresztül, melyben bemutatjuk egy tipikus vállalati IT infrastruktúra biztonsági architektúrájának megtervezését és mechanizmusainak kialakítását.

    9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) Előadás.
    10. Követelmények A szorgalmi időszakban:
    1 NZH és 1 NHF sikeres teljesítése.
    A félévközi jegy meghatározásában a NZH és a NHF eredménye 50-50%-ban számít.

    A NZH sikeres teljesítésének feltétele a megszerezhető pontszám min. 40%-ának elérése.

    A NHF a folyamatos tanulást szolgálja úgy, hogy 5-10 témakörből a tárgy tematikus előrehaladásával összhangban meghatározott határidőkkel kell témakörönként egymással összefüggő feladatokat megoldani.

    A NHF sikerességéhez a feladatok minimum felét kell megoldani (pl. 10 feladat esetén minimum 5 sikeres megoldás szükséges).

    A NHF feladatok kidolgozása késedelmesen a szorgalmi időszak utolsó munkanapján déli 12 óráig adható be. Egy feladat kidolgozásának késedelmes beadása az elért pontszám 20%-ának levonásával jár.
    A késedelmes leadással járó pontlevonás a feladat megoldása sikerességének megítélését nem befolyásolja (pl. 10 feladat esetén 5 késedelmesen leadott sikeres megoldás is elegendő a NHF teljesítéséhez, csak 20%-kal kevesebb pontot ér), csak a félévközi jegy meghatározásakor figyelembe vett pontszámot.


    A vizsgaidőszakban: nincs.

    11. Pótlási lehetőségek

    A félév során  lehetőséget adunk a meg nem írt vagy sikertelen nagyzárthelyi pótlására a szorgalmi időszakban.
    A sikertelen pótzárthelyi a pótlási időszakban ismételten pótolható.
    A házi feladat különeljárási díj megfizetésével a pótlási hét végéig (utolsó munkanap 12 óra) leadható.

    12. Konzultációs lehetőségek Előadókkal külön egyeztetett időpontban.
    13. Jegyzet, tankönyv, felhasználható irodalom Előadások anyaga on-line elérhető, minden témakörhöz külön irodalomjegyzékkel ellátva.
    14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
    Kontakt óra42
    Félévközi készülés előadásokra16
    Felkészülés zárthelyire12
    Házi feladat elkészítése20
    Kijelölt írásos tananyag elsajátítása0
    Vizsgafelkészülés0
    Összesen90
    15. A tantárgy tematikáját kidolgozta
    Név:
    Beosztás:
    Tanszék, Int.:
    Dr. Buttyán Levente
    egyetemi docens
    HIT