Budapest University of Technology and Economics, Faculty of Electrical Engineering and Informatics

    Belépés
    címtáras azonosítással

    vissza a tantárgylistához   nyomtatható verzió    

    Adatbiztonság a gazdaságinformatikában

    A tantárgy angol neve: Security in Business Informatics

    Adatlap utolsó módosítása: 2017. július 3.

    Budapesti Műszaki és Gazdaságtudományi Egyetem
    Villamosmérnöki és Informatikai Kar
    Gazdaságinformatikus szak, MSc képzés

    Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
    VIHIM100   3/1/0/f 5  
    3. A tantárgyfelelős személy és tanszék Dr. Vajda István, Hálózati Rendszerek és Szolgáltatások Tanszék
    4. A tantárgy előadója

     Név:             Beosztás:        Tanszék, Int.:
     Izsó Tamás    tud. smts.    Hálózati Rendszerek és Szolgáltatások Tanszék
     Dr. Vajda István DSc         egyetemi tanár     Hálózati Rendszerek és Szolgáltatások Tanszék

    5. A tantárgy az alábbi témakörök ismeretére épít Matematikai alapismeretek, Algoritmus elmélet, Valószínűségszámítás
    6. Előtanulmányi rend
    Kötelező:
    NEM (Training.Code=("5N-A8")) VAGY
    NEM (Training.Code=("5N-M8"))

    A fenti forma a Neptun sajátja, ezen technikai okokból nem változtattunk.

    A kötelező előtanulmányi rendek grafikus formában itt láthatók.

    Ajánlott:
    Nincs
    7. A tantárgy célkitűzése A korszerű informatikai rendszerek és hálózatok által tárolt, kezelt illetve továbbított adatok integritásának és bizalmasságának védelme fontos feladat. A tárgy célja, hogy bevezetést adjon azokba az elvekbe és módszerekbe, amelyek e feladat megoldásában használhatók. Átfogó ismeretet nyújt a tárgy, amelynek keretében mind a kriptográfiai, mind a számítógépes és hálózati biztonságtechnológia, mind pedig biztonságmenedzsment alapelvekbe és módszerekbe bevezetést kap a hallgató.  A tárgyat sikeresen elvégző hallgató képes lesz a vállalati szintű biztonsági kihívások megértésére, a megoldási lehetőségek átlátására és szerzett tudásán keresztül azok menedzselésére.
    8. A tantárgy részletes tematikája Előadások:

    1.hét: Elméleti alapok 1.: Alapok és koncepciók: algoritmikus/fizikai/szabályzati védelem; a biztonság mint menedzsment-kihívás; algoritmikus biztonsági szolgáltatások. Gyakorló feladatok.

    2.hét: Elméleti alapok 2.: Konfidentalitás. Szimmetrikus és aszimmetrikus kulcsú blokk rejtjelezők alapelvei, típusai, biztonsági problémái. Alkalmazási területeik, gyakorló feladatok.

    3.hét: Elméleti alapok 3.: Hitelesség. Kriptográfiai lenyomatképzés módszerei. Gyakorló feladatok.

    4. hét: Elméleti alapok 4.: Kriptográfiai alapprotokollok: digitális aláírás, partnerazonosítás, hozzáférésvédelem. Alkalmazási területeik.  Példaprotokollok.

    5. hét: Elméleti alapok 5.: Kriptográfiai alapprotokollok: kulcsgondozás, integritásvédelem, Alkalmazási területeik. Példaprotokollok.

    6. hét: Vállalati biztonsági alrendszerek háttere 1.:Elektronikus kereskedelem biztonságának alapjai. Elektronikus kereskedelem biztonsági alapprotokolljai, tervezési alapelvek, protokollhibák

    7. hét: Vállalati biztonsági alrendszerek háttere 2.: Felhasználók hitelesítése. Vállalati szintű igények. Single-Sign On. Hitelesítés technikák: jelszavas hitelesítés, jelszófejtés, idő-memória trade-off technikák, biometriai azonosítás, ujjlenyomat egyezés detektálás, token alapú hiteleseítési módszerek, egyszeri jelszó generátorok, intelligens kártyák, CAPTCHA technikák

    8. hét: Vállalati biztonsági alrendszerek háttere 3.: Hozzáférésvédelem: alapfogalmak és modellek (AC matrix, AC lista, DAC, MAC, RBAC), hozzáférésvédelmi problémák operációs rendszerekben (Unix, Windows), komplex hozzáférésvédelmi rendszerek (RSBAC), adatbázis biztonsági problémák. Hozzáférésvédelem illesztése a szervezeti infrastruktúrára.

    9. hét: Tipikus vállalati sebezhetőségek, támadások és védekezési lehetőségek 1.: Vállalati információs infrastruktúra adatbiztonsági alap-problémái (hálózati behatolás, rosszindulatú programok, nemkívánt forgalom), és fontosabb kezelési technikái (IDS/IPS, tűzfal)

    10. hét: Tipikus vállalati sebezhetőségek, támadások és védekezési lehetőségek 2.:  Rosszindulatú programok: Vírusok, férgek, malware, botnet. Fogalmi magyarázat és jelentőségének bemutatása a vállalati infrastruktúrában. Célzott támadások a vállalati infrastruktúra ellen. Védekezési módszerek, szoftveres védelem lehetőségei, elvi határok.

    11. hét: Tipikus vállalati sebezhetőségek, támadások és védekezési lehetőségek 3.: Kritikus infrastruktúra védelme és sérülékenysége. Szolgáltatásmegtagadásos támadás (DoS) fogalma, alapvető védekezési technikák és azok korlátai, vállalati szintű és üzemeltetési feladatok és lehetőségek. A SPAM veszélyei, szűrésének lehetőségei, vállalati jelentősége.

    12. hét Tipikus vállalati sebezhetőségek, támadások és védekezési lehetőségek 4.: Web alapú rendszerek biztonsága: szerver oldali problémák (SQL injection, code injection), cross site scripting (XSS), session kezelés problémái, paraméterek manipulálása, browser biztonság (keretek, szeparáció), click fraud, page rank támadások. Definíciók, védekezés lehetőségei, biztonságos rendszerek tervezésének alapelvei.

    13. hét: Adatbiztonság szabályozási, ellenőrzési, jogi környezete 1.: Az adatvédelem szerepe a vállalat életében. Jogszabályi környezet.  Az adatvédelem technikai kérdései:  forgalom analízis (mint probléma),  anoním kommunikációs rendszerek

    14. hét: Adatbiztonság szabályozási, ellenőrzési, jogi környezete 2.: A biztonsági rendszerek üzemeltetési garanciái, biztonsági minősítések (termék, folyamat), auditálás és tanúsítás, kockázatanalízis és biztonságmenedzsment, jogi háttér, informatikai hadviselés

    Gyakorlatok:

    1. Sérülékenységfelderítés (penetration testing), technikák és eszközök.

    2. Kriptográfiai könyvtárak, kriptó módok. Full disc encryption.

    3. PKI gyakorlat, a cég és a biztonsági beszállítók viszonya.

    4. Kockázatanalízis gyakorlat, költségvetés tervezés

    5. Biztonsági politika (policy) tervezése és felhasználása a cég életében

    6. A biztonsági politika érvényre juttatása. Mentés, incidenskezelés, tűzfal konfigurálás, munkaköri hatáskörök, felelősségek.

    7. Cég felkészítése tanúsításra (pl. common criteria, ISO 27002, magyar szabványok)
    9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) előadás, gyakorlat, laboratórium előadás
    10. Követelmények A szorgalmi időszakban: 3 kis zárthelyi és 1 nagy zárthelyi.
    A félév teljesítésének feltétele legalább 2 sikeres kis zárthelyi és sikeres nagy zárthelyi.
    A jegybe a kis zárthelyik közül a kettő legjobb 20-20%-kal, a nagy zárthelyi 60%-kal számít bele.
    11. Pótlási lehetőségek A nagy zárthelyi szorgalmi időszakban egy alkalommal, pótlási időszakban szintén egy alkalommal pótolható.
    Kis zárthelyi nem pótolható.
    12. Konzultációs lehetőségek Előadóknál előre egyeztetett időpontokban.
    13. Jegyzet, tankönyv, felhasználható irodalom Buttyán L., Vajda I.: Kriptográfia és alkalmazásai, Typotex, 2005
    Stallings W., Brown L.: Computer Security, Prentice Hall, 2008 14.
    14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
    Kontakt óra56
    Félévközi készülés órákra35
    Felkészülés zárthelyire29
    Házi feladat elkészítése0
    Kijelölt írásos tananyag elsajátítása30
    Vizsgafelkészülés0
    Összesen150
    15. A tantárgy tematikáját kidolgozta  Név:     Beosztás:    Tanszék, Int.:
     Izsó Tamás    tud. smts.    Hálózati Rendszerek és Szolgáltatások Tanszék
     Dr. Vajda István DSc     egyetemi tanár    Hálózati Rendszerek és Szolgáltatások Tanszék