Adatbiztonság a gazdaságinformatikában

A tantárgy angol neve: Security in Business Informatics

Adatlap utolsó módosítása: 2023. március 15.

Budapesti Műszaki és Gazdaságtudományi Egyetem
Villamosmérnöki és Informatikai Kar
Gazdaságinformatikus szak, MSc képzés

Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
VIHIM100   3/1/0/f 5  
3. A tantárgyfelelős személy és tanszék Dr. Biczók Gergely,
4. A tantárgy előadója

Dr. Biczók Gergely, egyetemi docens, Hálózati Rendszerek és Szolgáltatások Tanszék

5. A tantárgy az alábbi témakörök ismeretére épít Matematikai alapismeretek, Valószínűségszámítás
6. Előtanulmányi rend
Kötelező:
NEM (Training.Code=("5N-A8")) VAGY
NEM (Training.Code=("5N-M8"))

A fenti forma a Neptun sajátja, ezen technikai okokból nem változtattunk.

A kötelező előtanulmányi rend az adott szak honlapján és képzési programjában található.

Ajánlott:
Nincs
7. A tantárgy célkitűzése

A tárgy célja, hogy a hallgatókat megismertesse a számítógépes rendszerek biztonságának kockázatelemzés-alapú megközelítésével. Ez a gazdaságtudományi nézőpont alkalmas a műszaki megoldásokat, a szabályzói hátteret, a gazdasági ösztönzőket és az emberi tényezőt is integráló, holisztikus IT biztonsági szemlélet kialakítására. A tárgyban az IT biztonság különböző műszaki területei mellett fontos hangsúlyt kapnak a biztonsági beruházások és ezek keresztfüggései, az információ-megosztási kérdések és a kockázat átruházásán alapuló kiberbiztosítási megoldások. 

 

8. A tantárgy részletes tematikája Előadások:

1. Bevezetés a rendszerbiztonságba: motivációk, példák, a terület felosztása, fogalmak, szereplők és biztonsági megoldások. Incidenskezelés.
2. IT kockázatmenedzsment: folyamat, ajánlások és megfontolások. Fenyegetettségek modellezése. IT biztonság és adatvédelem jogi háttere.
3. Rosszindulatú szoftverek és kiberbűnözés: rosszindulatú szoftverek típusai (vírusok, férgek, trójaiak, stb.), működésük, terjedési és rejtőzködési technikák (rootkit-ek), alkalmazások (botnetek, célzott támadások). Kiberbűnözés, feketepiac.
4. Alkalmazott kriptográfia: kialakulása, építőelemek, rejtjelezés, üzenet hitelesítés, véletlenszám generálás, kulcscsere protokollok, PKI alapok, kommunikációs protokollok. 
5. Operációs rendszerek biztonsága: Felhasználóhitelesítés, jogosultságkezelés és hozzáférésvédelem Windows és Unix/Linux rendszerekben. Megerősített operációs rendszerek.
6. Szoftverbiztonság: programozási hibákból származó biztonsági problémák típusai, a hibákat kihasználó exploit technikák működése, illusztratív példák. Programozási nyelvek sajátosságai. Biztonságos programozás: szoftverek biztonsági elemzése és tesztelése, biztonságos szoftverfejlesztési módszertanok.
7. Browserek és webes alkalmazások biztonságai: veszélyek és beépített biztonsági mechanismusok modern browserekben (DOM access control model, same origin policy, third party cookie-k kezelése, sandboxing és egyéb védelem rosszindulatú script-ek ellen). Webes alkalmazások biztonsági problémái (SQL injection, XSS, CSRF, stb.) és javasolt megoldások.
8. Hálózati behatolási módszerek, tipikus hálózati támadás fázisai, az egyes fázisokban alkalmazott módszerek és eszközök, példák. Hálózatok biztonsági tesztelése (penetration testing, etikus hacking). Hálózati védelem: határvédelem tűzfalakkal, tűzfalak típusai, működésük, tipikus konfigurációs beállítások, és tipikus hibák, példák. Behatolás detektáló és SIEM rendszerek. Logelemzés, logelemző eszközök. 
9. Haladó IT biztonsági témák: felhő rendszerek, gépi tanuló rendszerek, usable security.
10. IT biztonság gazdaságtana: közgazdasági összefoglaló, résztvevők motivációja és elcsúszott ösztönzők. Mikroökonómia, információ gazdaságtana, információs aszimmetria, externáliák.
11. IT biztonsági beruházások: Gordon-Loeb modell és kiegészítései, iterált beruházások.
12. IT biztonság keresztfüggései: összefonódó biztonság, kockázatok és függések, total effort, weakest link és best shot modellek, egyensúlyi megoldások. Információ-megosztás: modellek, ösztönzők és a biztonsági rések felfedésének hatása,  sérülékenység-piacok, phishing.
13. Kiberbiztosítás: szerepe az IT biztonsági és privacy kockázatok kezelésében, szerződéskötési folyamat, gondok és megoldások, piaci modellek, aszimmetrikus információ és korrelált események.
14. Adatvédelem és keresztfüggései: személyes információ, adatvédelmi problémái, támadások fajtái, illusztratív esettanulmányok, viselkedés-gazdaságtani vonatkozások, keresztfüggések, illusztratív példák (Facebook, Google, Android applikációk). 


Gyakorlatok:

1. Bevezető gyakorlat: Linux alapok
2. Kriptográfiai programkönyvtárak használata
3. Hozzáférésvédelem és jogosultság kezelés operációs rendszerekben
4. Webes biztonság
5. Webes biztonság: kliens-oldal
6. Etikus hacking módszerek, hálózati logelemzés
7. IT biztonság gazdaságtana
9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) előadás, gyakorlat
10. Követelmények

A szorgalmi időszakban: két zárthelyi és egy házi feladat.

A kredit megszerzésének feltétele mindkét zárthelyi (vagy pótzárthelyi) legalább elégséges szintre történő megírása, valamint a házi feladatból a pontszám minimum 40%-nak elérése. Egy zárthelyi eredményes, ha a maximális pontszám legalább 40%-t elérte a hallgató. A végső pontszámba a 2 ZH eredménye 30-30%-kal, a házi feladat 40%-kal számít bele.

11. Pótlási lehetőségek A két zárthelyi pótlására a szorgalmi időszakban egy-egy lehetőséget biztosítunk.  A házi feladat határidőn túli pótlása lehetséges a pótlási héten, csökkentett pontszámért.
12. Konzultációs lehetőségek A tárgy előadójánál online csatornákon. 
13. Jegyzet, tankönyv, felhasználható irodalom
1. Előadások anyaga on-line elérhető
2. Anderson, Ross. Security engineering: a guide to building dependable distributed systems. John Wiley & Sons, 2020.

14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
Kontakt óra56
Félévközi készülés órákra34
Felkészülés zárthelyire40
Házi feladat elkészítése20
Kijelölt írásos tananyag elsajátítása0
Vizsgafelkészülés0
Összesen150
15. A tantárgy tematikáját kidolgozta Dr. Biczók Gergely, egyetemi docens, Hálózati Rendszerek és Szolgáltatások Tanszék