Ασφάλεια Πληροφορίας και Συστημάτων

Σκοπός μαθήματος

Σκοπός του μαθήματος είναι η δημιουργία ενός προχωρημένου πλαισίου θεωρητικών και πρακτικών γνώσεων σε θέματα Ασφάλειας στην Τεχνολογία της Πληροφορίας, το οποίο θα αποτελέσει για το μεταπτυχιακό φοιτητή εφόδιο στην αγορά εργασίας σε αντίστοιχα εξειδικευμένα αντικείμενα.

Στόχοι μαθήματος

Με την ολοκλήρωση του μαθήματος αυτού, ο μεταπτυχιακός φοιτητής:

  • θα αναγνωρίζει τα προβλήματα ασφάλειας και τις ευπάθειες των πληροφοριακών και επικοινωνιακών συστημάτων,
  • θα είναι σε θέση να εφαρμόσει βασικές αρχές σχεδιασμού πολιτικών ασφαλείας,
  • θα είναι ικανός να προσδιορίζει τα χαρακτηριστικά και τους μηχανισμούς ασφαλείας που υλοποιούν τις πολιτικές αυτές,
  • θα είναι ικανός να υλοποιήσει και να εφαρμόσει μηχανισμούς ασφάλειας σε διαφορετικά λειτουργικά συστήματα.
  • Θα έχει τις απαιτούμενες γνώσεις για να αναλάβει πιο εξειδικευμένες θέσεις εργασίας άμεσα συνδεδεμένες με την περιοχή της Ασφάλειας στην Τεχνολογία της Πληροφορίας.
  • Θα μπορεί να συνεχίσει τις σπουδές του σε επόμενο επίπεδο προς την κατεύθυνση της Ασφάλειας στην Τεχνολογία της Πληροφορίας.

Περιγραφή μαθήματος

Το μάθημα καλύπτει γενικά και ειδικά θέματα Ασφάλειας Πληροφοριών και Συστημάτων (Information and System Security). Το περίγραμμα του μαθήματος περιλαμβάνει θεμελειώδεις έννοιες και ορολογία στην Ασφάλεια, θέματα κλασικής (συμμετρικής: 3DES, AES) και ασφαλούς Κρυπτογράφησης (ασύμμετρης: RSA), ανεκτικότητα κρυπτογραφικών αλγόριθμων, προστασία Λειτουργικών Συστημάτων, ασφάλεια προγράμματος, ασφάλεια Βάσεων Δεδομένων, Έλεγχο Πρόσβασης, ασφάλεια Δικτύων και Κατανεμημένων Συστημάτων, ασφάλεια στο Διαδίκτυο, Ανίχνευση Επιθέσεων, Ανάλυση Επικινδυνότητας, Διαχείριση Ασφάλειας και Νομικά Θέματα, Computer Forensics, Firewalls, Πολιτικές Ασφάλειας στο διαδίκτυο (XML).

Περίγραμμα μαθήματος

  1. Θεμελειώδεις έννοιες

    • Επιτιθέμενοι και ειδικές κατηγορίες (εσωτερικά επιτιθέμενοι)
    • Ευπάθειες Εφαρμογών και Συστημάτων
    • Είδη Απειλών και Μέθοδοι Επίθεσης
    • Υπηρεσίες και Μηχανισμοί Ασφάλειας (Έλεγχοι)
  2. Κρυπτογραφία

    • Κλασσικά Κρυπτοσυστήματα (Αντικατάστασης, Μετάθεσης, DES, AES)
    • Κρυπτογράφηση δημοσίου κλειδιού (Diffie-Hellman, RSA)
    • Ανεκτικότητα κρυπτογραφικών αλγορίθμων
    • Τεχνικές κρυπτανάλυσης
    • Διαχείριση κλειδιών
    • Ψηφιακές Υπογραφές
    • PKI και ψηφιακά πιστοποιητικά
    • Stream και Block Ciphers
    • Αλγόριθμοι Hash
    • Κρυπτογραφικά πρωτόκολλα δικτύων (Secure Sockets Layer – SSL και Transport Layer Security – TLS)
  3. Προστασία Λειτουργικών Συστημάτων

    • Αντικείμενα και μέθοδοι προστασίας
    • Προστασία μνήμης και διευθυνσιοδότησης
    • Μηχανισμοί Ελέγχου Πρόσβασης

      • Πίνακας Ελέγχου Πρόσβασης
      • Directory
      • Λίστα Ελέγχου Πρόσβασης
      • Capabilities
      • Ring-based Έλεγχος Πρόσβασης
    • Μηχανισμοί προστασίας αρχείων
    • Μηχανισμοί Αυθεντικοποίησης

      • Συνθηματικά
      • Επιθέσεις σε συνθηματικά (Εξαντλητική επίθεση, επίθεση λεξικού)
      • Συνθηματικά One-Time
      • Μηχανισμοί Βιομετρικών χαρακτηριστικών
    • Περιβάλλοντα απομόνωσης

      • Virtual Machines
      • Sandboxes
  4. Ασφάλεια Προγράμματος

    • Ιοί και κακόβουλα προγράμματα
    • Στοχευμένα κακόβουλα προγράμματα
    • Μηχανισμοί ασφάλειας για απειλές προγράμματος
    • Υπερχειλίσεις (Overflows)
    • Injection
    • Ασφάλεια μνήμης
  5. Ασφάλεια Βάσεων Δεδομένων

    • Απαιτήσεις ασφάλειας
    • Αξιοπιστία και ακεραιότητα ΒΔ
    • Ευαίσθητα δεδομένα
    • Το πρόβλημα λήψης πληροφοριών
  6. Ασφάλεια Δικτύων και Κατανεμημένων Συστημάτων

    • Απειλές στα δίκτυα

      • Υποκλοπές
      • Πλαστοπροσωπία
      • Παράβαση εμπιστευτικότητας μηνύματος
      • Παράβαση ακεραιότητας μηνύματος
      • Hacking
      • Άρνηση Υπηρεσιών
    • Μηχανισμοί Ασφάλειας (έλεγχοι) στα δίκτυα

      • Κρυπτογραφία
      • Έλεγχος πρόσβασης
      • Αυθεντικοποίηση στα Κατανεμημένα Συστήματα
      • Έλεγχος κίνησης
      • Ακεραιότητα δεδομένων
      • Ανωνυμία στον παγκόσμιο ιστό
    • Firewalls

      • Τι είναι ένα firewall
      • Σχεδιασμός των firewalls
      • Τύποι των firewalls
      • Screening Router
      • Proxy Gateway
      • Σύγκριση των τύπων των firewalls
      • Παραδείγματα  χρήσης
      • Τι μπορούν να κάνουν και τι όχι
  7. Ασφάλεια στο Cloud Computing

    • Μοντέλα διανομής

      • Software as a Service (SaaS)
      • Platform as a Service (PaaS)
      • Infrastructure as a Service (IaaS)
    • Cloud types (public, private, hybrid)
    • Έλεγχος και αξιολόγηση για το cloud
    • Ασφάλεια Δεδομένων στο cloud
    • Διαχείριση ταυτοτήτων και πρόσβασης (Identity and Access Management -IAM)
    • Ανάκτηση καταστροφής και σχειασμός συνέχισης επιχειρήσεων στο cloud (DR/BCP)
    • Ανίχνευση εισβολών και incident response στο cloud
  8. Ανίχνευση Εισβολών

    • Τεχνικές Ανίχνευσης Εισβολών
    • Συστήματα Ανίχνευσης Εισβολών (Intrusion Detection Systems – IDSs)
    • Κατηγορίες IDSs
    • Παραδείγματα IDSs

      • ΙDES
      • MIDAS
      • Haystack
      • NIDES/STAT
      • EMERALD
      • Bro
      • Snort
    • Εργαλεία, μέθοδοι και τεχνολογίες που χρησιμοποιούνται
    • Η Ανίχνευση Εισβολών και η Θεωρία των Παιγνίων
    • Προβλήματα και περιορισμοί στα IDSs
  9. Ανάλυση Επικινδυνότητας

    • Λόγοι που οδηγούν σε Ανάλυση Επικινδυνότητας
    • Βήματα της Ανάλυσης Επικινδυνότητας

      • Αναγνώριση των περιουσιακών στοιχείων (assets)
      • Καθορισμός αδυναμιών
      • Εκτίμηση πιθανότητας εκμετάλλευσης
      • Υπολογισμός αναμενόμενης ετήσιας απώλειας (ζημιάς)
      • Διερεύνηση εφαρμόσιμων ελέγχων και του κόστους τους
      • Ετήσια εξοικονόμηση προγράμματος του ελέγχου
    • Εξοικονόμηση προγράμματος.
    • Λόγοι κατά της Ανάλυσης Επικινδυνότητας
  10. Πολιτικές Ασφάλειας

    • Τύποι
    • Εμπιστοσύνη
    • Γλώσσες Πολιτικής
    • Πολιτικές εμπιστευτικότητας (The Bell-LaPadula Model)
    • Πολιτικές ακεραιότητας (The Biba Model)
    • Υβριδικές Πολιτικές
    • Πολιτικές ασφάλειας στο διαδίκτυο
  11. Computer Forensics

    • Η περιοχή του Incident Response
    • Νομικό Πλαίσιο Ευρώπης και Αμερικής
    • Κύριες αρχές
    • Απαιτήσεις για Computer Forensics
    • Μεθοδολογία εφαρμογής
    • Εργαλεία λήψης μέσων
    • Εργαλεία αναζήτησης
    • Ολοκληρωμένες λύσεις
    • Διαδικασία λήψης δεδομένων
    • Διαδικασία εξέτασης
    • Περιορισμοί

Βιβλιογραφία

  1. Γκρίτζαλης Σ., Κάτσικας Σ., Γκρίτζαλης Δ., Ασφάλεια ΔικτύωνΥπολογιστών, Παπασωτηρίου, 2003
  2. Κάτσικας Σ.Κ., Γκρίτζαλης Δ., Γκρίτζαλης Σ., ΑσφάλειαΠληροφοριακών Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, 2004
  3. Bishop M., Computer Security – Art and Science, Addison-Wesley,2003
  4. Bishop M., Introduction to Computer Security, Addison-Wesley,2005
  5. Buchmann J., Introduction to Cyptography, 2nd Ed., Springer,2004
  6. Casey E., Handbook of Computer Crime Investigation – Forensic Tools and Technology, Academic Press, 2002
  7. Fourouzan B., “Cryptography and Network Security”, 2008, Mc Graw-Hill
  8. Menezes A., Van Oorschot P., Vanstone S., Handbook of Applied Cryptography, HAC (free)
  9. Mitnick K.D., Simon W.L., The Art of Deception, John Wiley & Sons, 2002
  10. Oppliger R., Security Technologies for the World Wide Web, Artech House Inc., 2000
  11. Pfleeger C.P., Lawrence Pfleeger S., Security in Computing, Prentice Hall, 2003
  12. Pieprzyk J., Hardjono T., Seberry J., Fundamentals of Computer Security, Springer, 2003
  13. Proctor P.E., The Practical Intrusion Detection Handbook, Prentice Hall, 2001
  14. Riggs G., Network Perimeter Security – Building Defense In-Depth, Auerbach, 2004
  15. Schultz E.E., Shumway R., Incident Response – A Strategic Guide to Handling System and Network Security Breaches, New Riders Publishing, 2002
  16. Spitzner L., Honeypots – Tracking Hackers, Addison Wisley, 2003
  17. Stallings William, Cryptography and Network Security: Principles and Practice, 5/E (free), 2012, Prentice Hall
  18. Stallings William, Κρυπτογραφία & Ασφάλεια Δικτύων – Αρχές & Εφαρμογές, 5/E (1η ελληνική έκδοση), 2012, Εκδόσεις ΙΩΝ
  19. Young S., Aitel D., The Hacker’s Handbook – The Strategy behind Breaking into and Defending Networks, Auerbach, 2004