IT biztonság

A tantárgy angol neve: IT Security

Adatlap utolsó módosítása: 2019. június 7.

Budapesti Műszaki és Gazdaságtudományi Egyetem
Villamosmérnöki és Informatikai Kar

Mérnök informatikus szak, BSc képzés

Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
VIHIAC01 6 3/0/0/f 3  
3. A tantárgyfelelős személy és tanszék Dr. Buttyán Levente, Hálózati Rendszerek és Szolgáltatások Tanszék
4. A tantárgy előadója
Név:
Beosztás:
Tanszék, Int.:
Dr. Buttyán Levente
egyetemi docens
HIT
Dr. Bencsáth Boldizsár
egyetemi adjunktus
HIT
Dr. Holczer Tamás
egyetemi adjunktus
HIT

 Az előadók eléréséhez szükséges adatok a tanszék honlapján megtalálhatók:

https://www.hit.bme.hu/portal/args/munkatarsak/oktatok_kutatok

6. Előtanulmányi rend
Kötelező:
((TargyEredmeny("BMEVIHIAB00" , "jegy" , _ ) >= 2 VAGY
TargyEredmeny("BMEVIHIA209" , "jegy" , _ ) >= 2 )
ÉS
(TargyEredmeny("BMEVIHIAB01" , "jegy" , _ ) >= 2 VAGY
TargyEredmeny("BMEVIHIA215" , "jegy" , _ ) >= 2 )
ÉS
(TargyEredmeny("BMEVIMIAB00" , "jegy" , _ ) >= 2 VAGY
TargyEredmeny("BMEVIMIA219" , "jegy" , _ ) >= 2 )

VAGY Szakirany("AMImédiainf", _) )

ÉS
NEM ( TárgyEredmény( "BMEVIHIM102" , "jegy" , _ ) >= 2
VAGY
TárgyEredmény("BMEVIHIM102", "FELVETEL", AktualisFelev()) > 0
VAGY
TárgyEredmény( "BMEVITMA378" , "jegy" , _ ) >= 2
VAGY
TárgyEredmény("BMEVITMA378", "FELVETEL", AktualisFelev()) > 0)

ÉS (Training.Code=("5N-A8") VAGY Training.Code=("5NAA8"))

A fenti forma a Neptun sajátja, ezen technikai okokból nem változtattunk.

A kötelező előtanulmányi rendek grafikus formában itt láthatók.

Ajánlott:
VIEEAA00 A programozás alapjai 1. és VIIIAA00 A programozás alapjai 2. tárgyak meghallgatása az IT biztonság tárgy felvétele előtt.
7. A tantárgy célkitűzése A tárgy áttekintést nyújt az IT biztonság különböző területeiről,  az egyes területek bevezető szintű bemutatásával, és ezzel növeli a mérnök-informatikus hallgatók biztonság-tudatosságát, formálja szemléletüket. A tárgy felkészíti a BSc hallgatókat az IT biztonsággal kapcsolatos kihívásokra, melyekkel későbbi munkájuk során találkozhatnak, és egyúttal alapozást nyújt azon hallgatók számára, akik IT biztonsággal kapcsolatos ismereteiket az MSc program keretében szeretnék elmélyíteni. Fontos hangsúlyt kap a biztonságos szoftverek fejlesztésének kérdésköre, a biztonságos programozás gyakorlati kérdései.
8. A tantárgy részletes tematikája 1. hét: Bevezetés
Motivációk, példák, a terület felosztása.

2. hét: Rosszindulatú szoftverek (malware)
Rosszindulatú szoftverek típusai (vírusok, férgek, trójaiak, stb.), működésük, terjedési és rejtőzködési technikák (rootkit-ek), alkalmazások (kiberbűnözés, botnetek, célzott támadások). Malware fertőzések detektálása, incidens kezelés, rosszindulatú programok analízise (reverse engineering).

3. hét: Szoftverbiztonság
Programozási hibákból származó biztonsági problémák típusai, a hibákat kihasználó exploit technikák működése, illusztratív példák (buffer overflow, heap overflow, format string, hibakezelés, race conditions, ROP, stb.).  Különböző programozási nyelvek (C/C++, Java, script nyelvek) és keretrendszerek sajátosságai szoftverbiztonsági hibák szempontjából.

4. hét: Biztonságos programozás
Szoftverek biztonsági elemzése és tesztelése (code review, architekturális kockázatelemzés, software penetration testing, fuzzing), néhány tesztelést segítő eszköz bemutatása. Biztonságos szoftverfejlesztési módszertanok, illusztratív példák.

5. hét: Operációs rendszerek biztonsága
Felhasználóhitelesítés, jogosultságkezelés és hozzáférésvédelem Windows és Unix/Linux rendszerekben. Kernel integritás, process izoláció, memória védelem (pl. ASLR). Megerősített operációs rendszerek, Linux Security Modules, Microsoft EMET.

6. hét: Browserek és webes alkalmazások biztonsága
Biztonsági veszélyek és beépített biztonsági mechanismusok modern browserekben (DOM access control model, same origin policy, third party cookie-k kezelése, sandboxing és egyéb védelem rosszindulatú script-ek ellen). Beépülő modulok biztonsági veszélyei. Webes alkalmazások biztonsági problémái (SQL injection, XSS, CSRF, stb.) és javasolt megoldások. CMS rendszerek tipikus hibái (backdoor-ok telepítése, tetszőleges kód futtatás a szerveren) és javasolt megoldások.

7. hét: Mobile platformok és felhő alapú rendszerek biztonsága
Android és iOS platformok biztonsági architektúrája, alkalmazás permission modellek. Mobil malware-ek típusai, működésük. Egyéb biztonsági és privacy problémák mobil környezetben.  Cloud alapú rendszerek biztonsági kihívásai, felhőben tárolt adatok védelme, hardware virtualizáció biztonsági kérdései, a felhő infrastruktúra védelme rosszindulatú guest-ek ellen.

8. hét: Hálózati behatolási módszerek
Tipikus hálózati támadás fázisai (felderítés, behatolás, backdoor telepítés, lateral movement és priviledge escalation, root-ra törés), az egyes fázisokban alkalmazott módszerek és eszközök, illusztratív példák. Hálózatok biztonsági tesztelése (penetration testing, etikus hacking).

9. hét: Tűzfalak és behatolás detektáló rendszerek
Határvédelem tűzfalakkal, tűzfalak típusai, működésük, tipikus konfigurációs beállítások, és tipikus hibák, illusztratív példák. Néhány konkrét tűzfal termék bemutatása. Behatolás detektáló és SIEM rendszerek fajtái, működésük, konfiguráció. Néhány konkrét IDS és SIEM termék bemutatása. Logelemzés, logelemző eszközök.

10. hét: Kriptográfiai algoritmusok és alapprotokollok
Kriptográfiai építőelemek áttekintése (ismétlés jelleggel). Blokkrejtjelezési módok, üzenet hitelesítés, véletlenszám generálás, kulcscsere protokollok működése és elemzése, PKI alapok.

11. hét: Biztonságos kommunikációs protokollok
Gyakorlatban használt biztonsági protokollok (TLS, IPsec, WPA2) működésének ismertetése, és a protokollok biztonsági analízise, néhány ismert támadás.

12. hét: Privátszféra védelem
Webes nyomonkövetési technikák (pl. browser fingerprinting, third party cookie-k). Privacy problémák közösségi hálózatokban. Anonim kommunikációs rendszerek (pl. Tor) működése, alkalmazási területek.

13. hét: Kockázatmenedzsment és IT biztonsági ajánlások
Biztonsági kockázatmenedzsment alapelvei, folyamata, és alkalmazott módszerek. IT biztonsággal kapcsolatos fontosabb szabványok és ajánlások (pl. ISO 27000 sorozat, ISO 17799, COBIT, Common Criteria framework, fontosabb RFC-k és NIST ajánlások)

14. hét: Enterprise architektúra biztonsága
Az előadások során elhangzott ismeretek összefoglalása egy integráló példán keresztül, melyben bemutatjuk egy tipikus vállalati IT infrastruktúra biztonsági architektúrájának megtervezését és mechanizmusainak kialakítását.

9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) Előadás.
10. Követelmények A szorgalmi időszakban:
1 NZH és 1 NHF sikeres teljesítése.
A félévközi jegy meghatározásában a NZH és a NHF eredménye 50-50%-ban számít.

A NZH sikeres teljesítésének feltétele a megszerezhető pontszám min. 40%-ának elérése.

A NHF a folyamatos tanulást szolgálja úgy, hogy 5-10 témakörből a tárgy tematikus előrehaladásával összhangban meghatározott határidőkkel kell témakörönként egymással összefüggő feladatokat megoldani.

A NHF sikerességéhez a feladatok minimum felét kell megoldani (pl. 10 feladat esetén minimum 5 sikeres megoldás szükséges).

A NHF feladatok kidolgozása késedelmesen a szorgalmi időszak utolsó munkanapján déli 12 óráig adható be. Egy feladat kidolgozásának késedelmes beadása az elért pontszám 20%-ának levonásával jár.
A késedelmes leadással járó pontlevonás a feladat megoldása sikerességének megítélését nem befolyásolja (pl. 10 feladat esetén 5 késedelmesen leadott sikeres megoldás is elegendő a NHF teljesítéséhez, csak 20%-kal kevesebb pontot ér), csak a félévközi jegy meghatározásakor figyelembe vett pontszámot.


A vizsgaidőszakban: nincs.

11. Pótlási lehetőségek

A félév során  lehetőséget adunk a meg nem írt vagy sikertelen nagyzárthelyi pótlására a szorgalmi időszakban.
A sikertelen pótzárthelyi a pótlási időszakban ismételten pótolható.
A házi feladat különeljárási díj megfizetésével a pótlási hét végéig (utolsó munkanap 12 óra) leadható.

12. Konzultációs lehetőségek Előadókkal külön egyeztetett időpontban.
13. Jegyzet, tankönyv, felhasználható irodalom Előadások anyaga on-line elérhető, minden témakörhöz külön irodalomjegyzékkel ellátva.
14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
Kontakt óra42
Félévközi készülés előadásokra16
Felkészülés zárthelyire12
Házi feladat elkészítése20
Kijelölt írásos tananyag elsajátítása0
Vizsgafelkészülés0
Összesen90
15. A tantárgy tematikáját kidolgozta
Név:
Beosztás:
Tanszék, Int.:
Dr. Buttyán Levente
egyetemi docens
HIT
IMSc tematika és módszer

IMSc tematika és módszer

IMSc pontot szerezni a NHF keretében megoldott többletfeladattal lehet.

 

IMSc pontozás

IMSc pontozás

Szerezhető IMSc pont összesen: 15

A HF feladatain túl a hallgatók plusz feladatokat oldhatnak meg IMSc pontokért.

IMSc pontot az szerezhet a házi feladat kapcsán, aki a normál feladatok megoldásával a jeles szintet elérte.

Az IMSc pontok megszerzésének lehetősége a programban részt nem vevő hallgatók számára is biztosított.