Adatbiztonság

A tantárgy angol neve: Data Security

Adatlap utolsó módosítása: 2010. augusztus 31.

Tantárgy lejárati dátuma: 2011. június 22.

Budapesti Műszaki és Gazdaságtudományi Egyetem
Villamosmérnöki és Informatikai Kar
Gazdaságinformatikus szak, MSc képzés
Gazdasági elemző informatika szakirány
Tantárgykód Szemeszter Követelmények Kredit Tantárgyfélév
VIHIM183 0,2 3/1/0/f 5  
3. A tantárgyfelelős személy és tanszék Dr. Vajda István,
4. A tantárgy előadója
 Név: Beosztás:Tanszék, Int.:
 Dr. Bencsáth Boldizsár PhDegyetemi adjunktusHálózati Rendszerek és Szolgáltatások Tanszék
 Dr. Buttyán Levente  PhD 
egyetemi docensHálózati Rendszerek és Szolgáltatások Tanszék
 Dr. Vajda István DSc
egyetemi tanár Hálózati Rendszerek és Szolgáltatások Tanszék
5. A tantárgy az alábbi témakörök ismeretére épít Matematikai alapismeretek, algoritmus elmélet, valószínűségszámítás

6. Előtanulmányi rend
Ajánlott:
Nincs.
7. A tantárgy célkitűzése A korszerű informatikai rendszerek és hálózatok által tárolt, kezelt illetve továbbított adatok integritásának és bizalmasságának védelme fontos feladat. A tárgy célja, hogy bevezetést adjon azokba az elvekbe és módszerekbe, amelyek e feladat megoldásában használhatók. Átfogó ismeretet nyújt a tárgy, amelynek keretében mind a kriptográfiai, mind a számítógépes és hálózati biztonságtechnológia, mind pedig biztonságmenedzsment alapelvekbe és módszerekbe bevezetést kap a hallgató.  A tárgyat sikeresen elvégző hallgató képes lesz a vállalati szintű biztonsági kihívások megértésére, a megoldási lehetőségek átlátására és szerzett tudásán keresztül azok menedzselésére.
8. A tantárgy részletes tematikája Előadások:

1.hét: Alapok és koncepciók: algoritmikus/fizikai/szabályzati védelem; a biztonság mint menedzsment-kihívás; algoritmikus módszerek: rejtjelezés, integritásvédelem, biztonságos azonosítás, hozzáférésvédelem, kulcsgondozás, digitális aláírás;  klasszikus rejtjelezők és analízisük; tökéletes rejtjelező; gyakorló feladatok

2.hét: Konvencionális blokk rejtjelezők: helyettesítéses-permutációs iteratív rejtjelezés (SPC), SPC tervezési kritériumok,  születésnapi paradoxon és alkalmazása (MIM támadás), blokk rejtjelező módok és analízisük; gyakorló feladatok

3.hét: Nyilvános kulcsú infrastruktúra (PKI) alapjai: Nyilvános kulcsú  blokk rejtjelezés; RSA, ElGamal. ECC (Elliptikus görbe kriptográfia); gyakorló feladatok

4. hét: Alapprotokollok I.: Digitális aláírás, kriptográfiai hash függvény: biztonsági kritériumok, iterációs hash függvény, DM kiegészítés; Partnerazonosítás: jelszó biztonsági problémák, egyirányú függvények alkalmazása jelszóvédelemben, dinamikus jelszó, kihívás és válaszvárás technika, nyilvános kulcsú rejtjelező alkalmazása partnerazonosításban, Fiat-Shamir protokoll; Hozzáférésvédelem: Kerberos protokoll; gyakorló feladatok

5. hét: Alapprotokollok II.: Kulcsgondozás, kulcscsere protokollok osztályozása, wide mouth frog, Needham-Schroeder, nyilvános kulcsú rejtjelezés alapú protokollok; nyilvános kulcsú kulcstanúsítvány, CA hierarchia, tanúsítványlánc; Integritásvédelem: CBC-MAC és analízise, kulcsolt hash; Titkomegosztás; gyakorló feladatok

6. hét: Elektronikus kereskedés biztonságának alapjai. Elektronikus kereskedelem biztonsági alapprotokolljai. Protokollhibák, tervezési alapelvek. 

7. hét: Felhasználók hitelesítése. Vállalati szintű igények. Hitelesítés technikák: jelszavas hitelesítés jelszófejtés, idő-memória trade-off technikák, biometriai azonosítás, ujjlenyomat egyezés detektálás, token alapú hiteleseítési módszerek, egyszeri jelszó generátorok, intelligens kártyák, CAPTCHA technikák

8. hét: Hozzáférésvédelem: alapfogalmak és modellek (AC matrix, AC lista), hozzáférésvédelmi problémák operációs rendszerekben (Linux, Windows), komplex hozzáférésvédelmi rendszerek (RSBAC), adatbázis biztonsági problémák. Hozzáférésvédelem illesztése a szervezeti infrastruktúrára.

9. hét Web biztonság: szerver oldali problémák (SQL injection, code injection), cross site scripting (XSS), session kezelés problémái, paraméterek manipulálása, browser biztonság (keretek, szeparáció), click fraud, page rank támadások

10. hét: Az adatvédelem szerepe a vállalat életében. Jogszabályi környezet.  Az adatvédelem technikai kérdései:  forgalom analízis (mint probléma),  anonym kommunikációs rendszerek (anonym proxyk, Tor)

11. hét: Vállalati információs infrastruktúra adatbiztonsági alap-problémái (hálózati behatolás, rosszindulatú programok, nemkívánt forgalom), és fontosabb kezelési technikái (IDS/IPS, tűzfal)

12. hét: Rosszindulatú programok: Vírusok, férgek, spyware, adware. A botnet fogalma és jelentősége a vállalati infrastruktúrában. Védekezési módszerek, szoftveres védelem lehetőségei, elvi határok.

13. hét:  Szolgáltatásmegtagadásos támadás (DoS) fogalma, alapvető védekezési technikák és azok korlátai, vállalati szintű és üzemeltetési feladatok és lehetőségek. A SPAM veszélyei, szűrésének lehetőségei.

14. hét: A biztonsági rendszerek üzemeltetési garanciái: Biztonsági minősítések (termék, folyamat), auditálás és tanúsítás, kockázatanalízis és biztonságmenedzsment, jogi háttér, informatikai hadviselés

Gyakorlatok:

1. Sérülékenységfelderítés (penetration testing), technikák és eszközök.

2. Kriptográfiai könyvtárak, kriptó módok. Full disc encryption.

3. PKI gyakorlat, a cég és a biztonsági beszállítók viszonya.

4. Kockázatanalízis gyakorlat, költségvetés tervezés

5. Biztonsági politika (policy) tervezése és felhasználása a cég életében

6. A biztonsági politika érvényre juttatása. Mentés, incidenskezelés, tűzfal konfigurálás, munkaköri hatáskörök, felelősségek.

7. Cég felkészítése tanúsításra (pl. common criteria, ISO 27002, magyar szabványok)
9. A tantárgy oktatásának módja (előadás, gyakorlat, laboratórium) előadás
10. Követelmények A szorgalmi időszakban:
3 kis zárthelyi és 1 nagy zárthelyi.
A félév teljesítésének feltétele legalább 2 sikeres kis zárthelyi és sikeres nagy zárthelyi. A jegybe a kis zárthelyik közül a kettő legjobb 20-20%-kal, a nagy zárthelyi 60%-kal számít bele.
11. Pótlási lehetőségek A nagy zárthelyi szorgalmi időszakban egy alkalommal, pótlási időszakban szintén egy alkalommal pótolható.
Kis zárthelyi nem pótolható.
12. Konzultációs lehetőségek Előadóknál előre egyeztetett időpontokban.
13. Jegyzet, tankönyv, felhasználható irodalom Buttyán L., Vajda I.: Kriptográfia és alkalmazásai, Typotex, 2005
Stallings W., Brown L.: Computer Security, Prentice Hall, 2008
14. A tantárgy elvégzéséhez átlagosan szükséges tanulmányi munka
Kontakt óra56
Félévközi készülés órákra14
Felkészülés zárthelyire20
Házi feladat elkészítése0
Kijelölt írásos tananyag elsajátítása0
Vizsgafelkészülés60
Összesen150
15. A tantárgy tematikáját kidolgozta
 Név: Beosztás:Tanszék, Int.:
 Dr. Bencsáth Boldizsár PhDegyetemi adjunktusHálózati Rendszerek és Szolgáltatások Tanszék
 Dr. Buttyán Levente  PhD 
egyetemi docensHálózati Rendszerek és Szolgáltatások Tanszék
 Dr. Vajda István DSc
egyetemi tanárHálózati Rendszerek és Szolgáltatások Tanszék