Wiley, USA, Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφά- AUEB_ISS_Risk_Analysis_v12.pdf 2 Διάλεξη Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2003.

Transcript

1 1. Δομή και περιεχόμενο μαθήματος ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Θέμα διάλεξης Εννοιολογική Θεμελίωση: Βασικές έννοιες και ορισμοί. Σχέσεις και διαφοροποιήσεις. Ανάλυση και επεξήγηση με χρήση διαγραμμάτων E-R. Ανάλυση και Διαχείριση Επικινδυνό- τητας (risk analysis and management): Στόχοι,, δυνατότητες και περιορισμοί των τεχνικών ανάλυσης και διαχείρισης επικινδυνότητας. Παραδείγματα τεχνικών (CRAMM, COBRA κλπ.). Ελεγχος Πρόσβασης (access control): Ταυτοποίηση, αυθεντικοποίηση, αγνωστικά και πιθανοτικά πρωτόκολλα, διαχείριση ταυτότητας, βιομετρικές τεχνολογίες, διαχείριση ταυτότητας. Διάρκεια Διδακτικό Βιβλιογραφία αναφοράς και συμπληρωματικό εκπαιδευτικό υλικό (x 45 ) μέσο 1 Βιβλία, άρθρα κλπ. 3 Διάλεξη AUEB_ISS_Terminology_v20.pdf D. Gollmann, Computer Security, pp. 3-18, J. 1 Ντοκιμαντέρ Wiley, USA, Documentary: Artificial Intelligence, Robotics, Security, and Safety Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφά- AUEB_ISS_Risk_Analysis_v12.pdf λεια Πληροφοριακών Συστημάτων, σελ , AUEB_ISS_Book_Risk_Analysis.pdf Εκδόσεις Νέων Τεχνολογιών, Αθήνα Eloff J., Labuschange L., Badenhorst K., A Εργαστήρια CCTA, CCTA Risk Analysis and Manacomparative framework for risk analysis met- 4 - Μελέτες gement Methodology (CRAMM), Manual hods, Computers & Security, Vol. 12, no. 8, pp. περίπτωσης ver. 5.0, United Kingdom, , AUEB_ISS_Access_Control_v11.pdf D. Gollmann, Computer Security, pp , J. 4 Διάλεξη AUEB_ISS_540_Biometrics_General.pdf Wiley, USA, AUEB_ISS_570_Biometrics_Tech.pdf Στοιχεία Κρυπτογραφίας: 6 Διάλεξη 2 Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφά- AUEB_ISS_Cryptography_v1.pdf Εννοιολογική θεμελίωση. Στοιχεία Θεω- λεια Δικτύων Υπολογιστών, σελ , Εκδόρίας Αριθμών. Συμμετρική και ασύμμε- σεις Παπασωτηρίου, Αθήνα, τρη Κρυπτογραφία. Υποδομή Δημόσιου Επίδειξη λειτουργικότητας κρυπτοαλγόρι- 2 Εργαστήρια D. Gollmann, Computer Security, pp , Κλειδιού (PKI). Ψηφιακές υπογραφές. θμων με χρήση ειδικού λογισμικού (CAP). J. Wiley, USA, Ψηφιακά πιστοποιητικά. Υδατογραφία. 1 Από τα βιβλία αυτά θα συστηθούν προς μελέτη επιλεγμένα (ολιγοσέλιδα) τμήματα. 2 Θα διανεμηθεί δωρεάν στους φοιτητές. Σελίδα 1 από 5

2 Θέμα διάλεξης Ιομορφικό Λογισμικό (viral software): Παραδείγματα επιθέσεων. Aνάλυση ευρημάτων. Θεωρητικές αναλύσεις: Cohen (μέσω Finite State Machines), Adleman (μέσω Αριθμητικής Goedel), Kephart (μέσω κατευθυνόμενων γράφων). Δούρειοι ίπποι, αναπαραγωγοί (worms) και προγράμματα ιοί. Tεχνικές προληπτικής και κατασταλτικής αντιμετώπισης: Παρουσίαση και συγκριτική αξιολόγηση. Διάρκεια Διδακτικό (x 45 ) μέσο Βιβλιογραφία αναφοράς και συμπληρωματικό εκπαιδευτικό υλικό Βιβλία, άρθρα κλπ. Adleman L., "An Abstract Theory of Computer Viruses", in Hoffman L. (Ed.), Rogue Programmes: Viruses, Worms and Trojan Horses, Van Nostrand, pp , Cohen F., "Computational aspects of computer 3 Διάλεξη viruses", Computers and Security, Vol. 8, Νo. 4, pp , AUEB_ISS_Viral_Software_v11.pdf Kephart J., White S., "Directed graph epidemiological models of computer viruses", in Proc. of the 1991 IEEE Symposium on Research in Security and Privacy, pp , Επιθέσεις (intrusions) στο Διαδίκτυο, Hackers και Hacktivism: Ανάλυση επιθέσεων: Brute force, buffer overflow, CGI, directory traversal, format string, root shell, resource mismatch, keylogger, packet sniffing, crack, fingerprinting, grind, port scan, bounce, spoofing, passthrough, metacharacters, source rooting. Θεωρία τεσσάρων ασυνεχειών. Πολιτική ανυπακοή. Μορφότυποι hackers. Hacktivism. Προστασία Προσωπικών Δεδομένων: Ιδιωτικότητα (privacy) και προστασία προσωπικών δεδομένων. Θεσμικό πλαίσιο. Ρόλος των Πληροφορικών. Privacy Enhancing Technologies (PET). 4 Διάλεξη 2 Εργαστήρια 1 Μελέτες περίπτωσης 1 Ντοκιμαντέρ 3 Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ , Εκδόσεις Παπασωτηρίου, Αθήνα Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφά- λεια Δικτύων Υπολογιστών, Εκδόσεις Παπασω- τηρίου, Αθήνα, Robins K., Webster F., Η Εποχή του Τεχνοπολιτισμού, Καστανιώτης, Αθήνα Cheswick W, Bellovin S., Rubin A., Firewalls and Internet Security, Addison-Wesley, Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ , Εκδόσεις Νέων Τεχνολογιών, Αθήνα Νόμος 2472/1997, Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ΦΕΚ 50 Α AUEB_ISS_Internet_Attacks_v10.pdf AUEB_ISS_Hacking_v11.pdf Επίδειξη λειτουργικότητας εξειδικευμένων προϊόντων λογισμικού. AUEB_ISS_Data_Protection_v11.pdf AUEB_ISS_Book_Data_Protection.pdf ΜΠ-1: Χρήση βιομετρικών τεχνικών ΜΠ-2: Προστασία ISP platform, Documentary: DNA and personal data protection: Risks and promises" 3 Θα διανεμηθεί δωρεάν στους φοιτητές. Σελίδα 2 από 5

3 Θέμα διάλεξης Διάρκεια Διδακτικό (x 45 ) μέσο Βιβλιογραφία αναφοράς και συμπληρωματικό εκπαιδευτικό υλικό Βιβλία, άρθρα κλπ. Ασφάλεια στην Κοινωνία της Πληροφορίας (Security and Privacy in the Information Society): Νέα πεδία εφαρμογής (RFID, secure WLAN κλπ.). Ασφάλεια στη Συνεκτική Νοημοσύνη (AmI) και το Απανταχού Υ- πολογίζειν (UbiComp). Στρατηγικές προστασίας Ασφάλειας και Ιδιωτικότητας (Ευρωπαϊκή Ενωση, ΗΠΑ, Ιαπωνία, Κίνα, Ινδία). Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ , Εκδόσεις Παπασωτηρίου, 4 Διάλεξη Αθήνα Denning D., Information Warfare and Security, Addison-Wesley, USA Εuropean Commission, Future Bottlenecks in the Information Society, Institute for Prospective Technological Studies - Joint Research Center, Spain, Friedewald M., Vildjiounaite E., Wright D. (Eds.), The brave world of Ambient Intelligence: Προβολή state-of-the-art-review, SWAMI Project Consorταινίας tium, Deliverable 1, January Murakami T., Ubiquitous Networking: Business opportunities and strategic issues, NRI Papers, Paper no. 79, Nomura Research Institute, Japan, August Gritzalis D., Theoharidou M., Dritsas S., Marias G., Ambient Intelligence: The Promise, the Price and the Social Disruption, Review Report Series, AUEB/REV- 0106/v2.4, March AUEB_ISS_Secure_WLAN_v12.pdf 1 Κινηματογραφική ταινία: TBD Πρότυπα Ασφάλειας ΤΠΕ (ICT security standards): Οργανισμοί προτυποποίησης και ρόλος των προτύπων στις ΤΠΕ. Πλεονεκτήματα και μειονεκτήματα. Πρότυπα Ασφάλειας (BS 7799, ISO 17799, Common Criteria κλπ.). Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, σελ , Εκδόσεις Παπασωτηρίου, Αθήνα, ISO/IEC 17799, Information Technology - Security Techniques - Code of Practice for Information Security Management, 2 nd ed., AUEB_ISS_Security_Standards_v11.pdf AUEB_ISS_790_ISO_17799_2005.pdf Σελίδα 3 από 5

4 2. Αξιολόγηση επίδοσης φοιτητών 2.1 Θέματα υποχρεωτικών εργασιών (η παράθεση των θεμάτων και η βαρύτητα κάθε εργασίας είναι ενδεικτική, μόνο 1-2 από αυτές πρόκειται να ζητούνται ανά ακαδημαϊκό εξάμηνο). Ανάλυση και Διαχείριση Επικινδυνότητας: Να εντοπίσετε ένα μέσο ασφάλειας (security measure) που έχει πολύ υψηλή αποτελεσματικότητα, ανεξάρτητα από την τεχνολογική πλατφόρμα όπου εφαρμόζεται. Στοιχειοθετήστε τους ισχυρισμούς σας. Στοιχεία Κρυπτογραφίας: Να γράψετε (και να τεκμηριώσετε) πρόγραμμα το οποίο κρυπταναλύει, με τη βοήθεια στατιστικής ανάλυσης συχνοτήτων, ένα κείμενο που έχει κρυπτογραφηθεί με χρήση μονοαλφαβητικής αντικατάστασης. Ελεγχος Πρόσβασης: Περιγράψτε έναν Κανονισμό Χρήσης Συνθηματικών τον οποίο θα προτείνατε να ισχύσει για τα στελέχη ενός ISP. Στοιχειοθετήστε τις συστάσεις σας. Ελεγχος Πρόσβασης: Περιγράψτε ένα σύνολο κριτηρίων αξιολόγησης βιομετρικών τεχνολογιών, ως προς την αποτελεσματικότητα και την αποδοχή τους από τους χρήστες. Αναφέρατε την προτεινόμενη σχετική βαρύτητα κάθε κριτηρίου και στοιχειοθετήστε τις απόψεις σας. Ιομορφικό Λογισμικό: Να αποδείξετε ότι για κάθε Mηχανή Πεπερασμένων Καταστάσεων (FSM) μπορεί να υπάρξουν άπειρα προγράμματα ιοί (computer viruses) και άπειρα προγράμματα που δεν είναι ιοί. Ιομορφικό Λογισμικό: Περιγράψετε με ποιόν τρόπο μπορούμε να χρησιμοποιήσουμε την τεχνολογία των Νευρωνικών Δικτύων για την προληπτική αντιμετώπιση άγνωστων τύπων προγραμμάτων ιών. Ιoμορφικό Λογισμικό: Να περιγράψετε τις επιπτώσεις της θεωρητικής θεμελίωσης του ιομορφικού λογισμικού από τον Cohen - μέσω των Μηχανών Πεπερασμένων Καταστάσεων (FSM) - στη βιομηχανία παραγωγής αντι-ιομορφικού λογισμικού. Προστασία Προσωπικών Δεδομένων: Να περιγράψετε τη διαδικασία που πρέπει να ακολουθήσει ένας Πληροφορικός προκειμένου να εξασφαλίσει, για τον οργανισμό όπου εργάζεται, άδεια χρήσης βιομετρικής τεχνολογίας από την Αρχή Προστασίας Προσωπικών Δεδομένων. Διάρκεια εκπόνησης, έκταση, βαρύτητα Διάρκεια: 4 βδομάδες Βαρύτητα: 25% Εκταση: <1.500 λέξεις Σχόλια από 1-2 φοιτητές. Επιδεικνύεται στο εργαστήριο, σε πραγματικές συνθήκες. Σελίδα 4 από 5

5 2.2 Θέματα προαιρετικών-προσθετικών εργασιών (η παράθεση των θεμάτων και η βαρύτητα κάθε εργασίας είναι ενδεικτική, μόνο 1 από αυτές θα προτείνεται ανά ακαδημαϊκό εξάμηνο). Επιθέσεις στο Διαδίκτυο, Hackers και Hacktivism: Εντοπίστε και περιγράψτε τις συγκλίσεις και αποκλίσεις μεταξύ Λουδισμού (Luddism) και Τεχνολογικού Ακτιβισμού (Hacktivism). Ασφάλεια στην Κοινωνία της Πληροφορίας: Να περιγράψετε σε τι διαφοροποιείται, σε θέματα ασφάλειας και ιδιωτικότητας, το περιβάλλον του Απανταχού Υπολογίζειν (UbiComp) από αυτό του Διαδικτυακού Υπολογίζειν. Πρότυπα Ασφάλειας: Ορισμένοι πιστεύουν ότι τα πρότυπα ασφάλειας (standards) στις ΤΠΕ είναι ένα αποτελεσματικό μέσο της γραφειοκρατίας, προκειμένου να χειραγωγήσει τη δημιουργικότητα των Πληροφορικών. Να αναφέρετε και να στοιχειοθετήσετε την άποψή σας. Διάρκεια εκπόνησης, έκταση, βαρύτητα Βαρύτητα: 10% Σχόλια 2.3 Τελικές (και επαναληπτικές) εξετάσεις Βαρύτητα Σχόλια Θα ζητείται να απαντηθεί ένα σύνολο (>5-6) θεμάτων που περιλαμβάνουν (ενδεικτικά): (α). Ερωτήσεις πολλαπλών επιλογών. (β). Ερωτήσεις κρίσης. (γ). Ερωτήσεις σύγκρισης. (δ). Περιγραφή τεχνολογιών, τεχνικών, μεθόδων κλπ. Τα θέματα αυτά θα καλύπτουν εκτενές μέρος της εξεταστέας ύλης % Για να θεωρηθεί επιτυχών ένας φοιτητής θα πρέπει: (α). Να αξιολογηθεί στην τελική εξέταση με βαθμό 50% του μέγιστου βαθμού της εξέτασης. (β). Να έχει άθροισμα βαθμών από τις (υποχρεωτικές) εργασίες και την εξέταση 5 του μέγιστου βαθμού του μαθήματος. (γ). Ο βαθμός της προαιρετικής-προσθετικής εργασίας προστίθεται στο άθροισμα των βαθμών της τελικής εξέτασης και των υποχρεωτικών εργασιών, μόνον αν το άθροισμα αυτό είναι 5. Σελίδα 5 από 5