1. Δομή και περιεχόμενο μαθήματος ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Θέμα διάλεξης Βιβλία 1, άρθρα κλπ. Εννοιολογική Θεμελίωση: Βασικές έννοιες και ορισμοί. Σχέσεις και διαφοροποιήσεις. Ανάλυση και επεξήγηση με χρήση διαγραμμάτων E-R. Ανάλυση και Διαχείριση Επικινδυνότητας (risk analysis and management): Στόχοι, δυνατότητες και περιορισμοί των τεχνικών ανάλυσης και διαχείρισης επικινδυνότητας. Παραδείγματα τεχνικών (CRAMM, COBRA κλπ.). AUEB_ISS_Terminology_v20.pdf D. Gollmann, Computer Security, pp. 3-18, J. 1 Ντοκιμαντέρ Wiley, USA, 1999. Documentary: Artificial Intelligence, Robotics, Security, and Safety (BBC) 4 Εργαστήρια - Μελέτες Περίπτωσης Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ. 335-75, Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2003. Eloff J., Labuschange L., Badenhorst K., A comparative framework for risk analysis methods, Computers & Security, Vol. 12, no. 8, pp. 597-603, 1993. AUEB_ISS_Risk_Analysis_v12.pdf AUEB_ISS_Book_Risk_Analysis.pdf CCTA, CCTA Risk Analysis and Management Methodology (CRAMM), Manual ver. 5.0, United Kingdom, 2004. Ελεγχος Πρόσβασης (access control): Ταυτοποίηση, αυθεντικοποίηση, αγνωστικά και πιθανοτικά πρωτόκολλα, διαχείριση ταυτότητας, βιομετρικές τεχνολογίες, διαχείριση ταυτότητας. 4 Διάλεξη D. Gollmann, Computer Security, pp. 19-44, J. Wiley, USA, 1999. AUEB_ISS_Access_Control_v11.pdf AUEB_ISS_540_Biometrics_General.pdf AUEB_ISS_570_Biometrics_Tech.pdf Στοιχεία Κρυπτογραφίας: Εννοιολογική θεμελίωση. Στοιχεία Θεωρίας Αριθμών. Συμμετρική και ασύμμετρη Κρυπτογραφία. Υποδομή Δημόσιου Κλειδιού (PKI). Ψηφιακές υπογραφές. Ψηφιακά πιστοποιητικά. Υδατογραφία. 6 Διάλεξη 2 Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια AUEB_ISS_Cryptography_v1.pdf Δικτύων Υπολογιστών, σελ. 69-141, Εκδό- 2 Εργαστήρια σεις Παπασωτηρίου, Αθήνα, 2004. Επίδειξη λειτουργικότητας κρυπτοαλγόριθμων με χρήση ειδικού λογισμικού (CAP). D. Gollmann, Computer Security, pp. 200-222, J. Wiley, USA, 1999. 1 Από τα βιβλία αυτά θα συστηθούν προς μελέτη επιλεγμένα (ολιγοσέλιδα) τμήματα. 2 Θα διανεμηθεί δωρεάν στους φοιτητές. Σελίδα 1 από 5
Θέμα διάλεξης Ιομορφικό Λογισμικό (viral software): Παραδείγματα επιθέσεων. Aνάλυση ευρημάτων. Θεωρητικές αναλύσεις: Cohen (μέσω Finite State Machines), Adleman (μέσω Αριθμητικής Goedel), Kephart (μέσω κατευθυνόμενων γράφων). Δούρειοι ίπποι, αναπαραγωγοί (worms) και προγράμματα ιοί. Tεχνικές προληπτικής και κατασταλτικής αντιμετώπισης: Παρουσίαση και συγκριτική αξιολόγηση. Βιβλία, άρθρα κλπ. Adleman L., "An Abstract Theory of Computer Viruses", in Hoffman L. (Ed.), Rogue Programmes: Viruses, Worms and Trojan Horses, Van Nostrand, pp. 307-323, 1990. Cohen F., "Computational aspects of computer viruses", Computers and Security, Vol. 8, Νo. 4, pp. 325-344, 1989. Kephart J., White S., "Directed graph epidemiological models of computer viruses", in Proc. of the 1991 IEEE Symposium on Research in Security and Privacy, pp. 343-359, 1991. AUEB_ISS_Viral_Software_v11.pdf Επιθέσεις (intrusions) στο Διαδίκτυο, Hackers και Hacktivism: Ανάλυση επιθέσεων: Brute force, buffer overflow, CGI, directory traversal, format string, root shell, resource mismatch, keylogger, packet sniffing, crack, fingerprinting, grind, port scan, bounce, spoofing, passthrough, metacharacters, source rooting. Θεωρία τεσσάρων ασυνεχειών. Πολιτική ανυπακοή. Μορφότυποι hackers. Hacktivism. 2 Εργαστήρια 3 Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 295-365, Εκδόσεις Παπασωτηρίου, Αθήνα 2004. Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, Εκδόσεις Παπασωτηρίου, Αθήνα, 2004. Robins K., Webster F., Η Εποχή του Τεχνοπολιτισμού, Καστανιώτης, Αθήνα 2002. Cheswick W, Bellovin S., Rubin A., Firewalls and Internet Security, Addison-Wesley, 2003. AUEB_ISS_Internet_Attacks_v10.pdf AUEB_ISS_Hacking_v11.pdf Επίδειξη λειτουργικότητας εξειδικευμένων προϊόντων λογισμικού. Προστασία Προσωπικών Δεδομένων: Ιδιωτικότητα (privacy) και προστασία προσωπικών δεδομένων. Θεσμικό πλαίσιο. Ρόλος των Πληροφορικών. Privacy Enhancing Technologies (PET). 1 Μελέτες Περίπτωσης 1 Ντοκιμαντέρ Κάτσικα Σ., Γκρίτζαλη Δ., Γκρίτζαλη Σ., Ασφάλεια Πληροφοριακών Συστημάτων, σελ. 443-518, Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2003. Νόμος 2472/1997, Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ΦΕΚ 50 Α, 10.04.1997. AUEB_ISS_Data_Protection_v11.pdf AUEB_ISS_Book_Data_Protection.pdf ΜΠ-1: Χρήση βιομετρικών τεχνικών ΜΠ-2: Προστασία ISP platform Documentary: DNA and personal data protection: Risks and promises" (BBC) 3 Θα διανεμηθεί δωρεάν στους φοιτητές. Σελίδα 2 από 5
Θέμα διάλεξης Βιβλία, άρθρα κλπ. Ασφάλεια στην Κοινωνία της Πληροφορίας (Security and Privacy in the Information Society): Νέα πεδία εφαρμογής (RFID, secure WLAN κλπ.). Ασφάλεια στη Συνεκτική Νοημοσύνη (AmI) και το Απανταχού Υ- πολογίζειν (UbiComp). Στρατηγικές προστασίας Ασφάλειας και Ιδιωτικότητας (Ευρωπαϊκή Ενωση, ΗΠΑ, Ιαπωνία). 3 Προβολή ντοκιμαντέρ και ταινίας Γκρίτζαλη Δ., Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 85-199, Εκδόσεις Παπασωτηρίου, Αθήνα 2004. Denning D., Information Warfare and Security, Addison-Wesley, USA 1999. Εuropean Commission, Future Bottlenecks in the Information Society, Institute for Prospective Technological Studies - Joint Research Center, Spain, 2001. Friedewald M., Vildjiounaite E., Wright D. (Eds.), The brave world of Ambient Intelligence: state-of-the-art-review, SWAMI Project Consortium, Deliverable 1, January 2006. Murakami T., Ubiquitous Networking: Business opportunities and strategic issues, NRI Papers, Paper no. 79, Nomura Research Institute, Japan, August 2004. Gritzalis D., Theoharidou M., Dritsas S., Marias G., Ambient Intelligence: The Promise, the Price and the Social Disruption, Review Report Series, AUEB/REV- 0106/v2.4, March 2006. AUEB_ISS_Secure_WLAN_v12.pdf Documentary: 2057 - Ο κόσμος σε 50 χρόνια (ZDF) Κινηματογραφική ταινία: The China Syndrome Πρότυπα Ασφάλειας ΤΠΕ (ICT security standards): Οργανισμοί προτυποποίησης, πρότυπα στις ΤΠΕ. Πλεονεκτήματα και μειονεκτήματα. Πρότυπα Ασφάλειας (ISO 17799, ISO 27001, Common Criteria κλπ.). Γκρίτζαλη Σ., Κάτσικα Σ., Γκρίτζαλη Δ., Ασφάλεια Δικτύων Υπολογιστών, σελ. 899-952, Εκδόσεις Παπασωτηρίου, Αθήνα, 2003. ISO/IEC 17799, Information Technology - Security Techniques - Code of Practice for Information Security Management, 2 nd ed., 2005. AUEB_ISS_Security_Standards_v11.pdf AUEB_ISS_790_ISO_17799_2005.pdf Σελίδα 3 από 5
2. Αξιολόγηση επίδοσης φοιτητών 2.1 Ενδεικτικά θέματα υποχρεωτικών εργασιών (η παράθεση των θεμάτων και η βαρύτητα κάθε εργασίας είναι ενδεικτική, μόνο 1-2 από αυτές θα ζητείται, ανά εξάμηνο). Στοιχεία Κρυπτογραφίας: Να γράψετε (και να τεκμηριώσετε) πρόγραμμα το οποίο κρυπταναλύει, με τη βοήθεια στατιστικής ανάλυσης συχνοτήτων, ένα κείμενο που έχει κρυπτογραφηθεί με χρήση μονοαλφαβητικής αντικατάστασης. Ελεγχος Πρόσβασης: Περιγράψτε ένα σύνολο κριτηρίων αξιολόγησης βιομετρικών τεχνολογιών, ως προς την αποτελεσματικότητα και την αποδοχή τους από τους χρήστες. Αναφέρατε την προτεινόμενη σχετική βαρύτητα κάθε κριτηρίου και στοιχειοθετήστε τις απόψεις σας. Ιομορφικό Λογισμικό: Περιγράψετε με ποιόν τρόπο μπορούμε να χρησιμοποιήσουμε την τεχνολογία των Νευρωνικών Δικτύων για την προληπτική αντιμετώπιση άγνωστων τύπων προγραμμάτων ιών. Προστασία Προσωπικών Δεδομένων: Να περιγράψετε τη διαδικασία που πρέπει να ακολουθήσει ένας Πληροφορικός προκειμένου να εξασφαλίσει, για τον οργανισμό όπου εργάζεται, άδεια χρήσης βιομετρικής τεχνολογίας από την Αρχή Προστασίας Προσωπικών Δεδομένων. εκπόνησης, έκταση, βαρύτητα : 4 βδομάδες Βαρύτητα: 40% Βαρύτητα: 30% : 2 βδομάδες Εκταση: <1.500 λέξεις Βαρύτητα: 35% : 2 βδομάδες Εκταση: <1.500 λέξεις Βαρύτητα: 30% Σχόλια από 1-2 φοιτητές. Επιδεικνύεται στο εργαστήριο, σε πραγματικές συνθήκες. 2.2 Ενδεικτικά θέματα προαιρετικών-προσθετικών εργασιών (η παράθεση των θεμάτων και η βαρύτητα κάθε εργασίας είναι ενδεικτική, μόνο 1 θα προτείνεται ανά εξάμηνο). Επιθέσεις στο Διαδίκτυο, Hackers και Hacktivism: Εντοπίστε και περιγράψτε τις συγκλίσεις και αποκλίσεις μεταξύ Λουδισμού (Luddism) και Τεχνολογικού Ακτιβισμού (Hacktivism). Ασφάλεια στην Κοινωνία της Πληροφορίας: Να περιγράψετε σε τι διαφοροποιείται, σε θέματα ασφάλειας και ιδιωτικότητας, το περιβάλλον του Απανταχού Υπολογίζειν (UbiComp) από αυτό του Διαδικτυακού Υπολογίζειν. εκπόνησης, έκταση, βαρύτητα Βαρύτητα: 20% Βαρύτητα: 20% Σχόλια Η εργασία είναι προσθετική-προαιρετική. Εκπονείται από 1 φοιτητή. Υποβάλλεται η Η εργασία είναι προσθετική-προαιρετική. Εκπονείται από 1 φοιτητή. Υποβάλλεται η Σελίδα 4 από 5
2.3 Τελικές (και επαναληπτικές) εξετάσεις Βαρύτητα Σχόλια Θα ζητείται να απαντηθεί ένα σύνολο (>5-6) θεμάτων που περιλαμβάνουν (ενδεικτικά): (α). Ερωτήσεις πολλαπλών επιλογών. (β). Ερωτήσεις κρίσης. (γ). Ερωτήσεις σύγκρισης. (δ). Περιγραφή τεχνολογιών, τεχνικών, μεθόδων κλπ. Τα θέματα αυτά θα καλύπτουν ένα ιδιαίτερα εκτενές μέρος της εξεταστέας ύλης. 50-70% Για να θεωρηθεί επιτυχών ένας φοιτητής θα πρέπει: (α). Να αξιολογηθεί στην τελική εξέταση με βαθμό 50% του μέγιστου βαθμού της εξέτασης. (β). Να έχει άθροισμα βαθμών από τις (υποχρεωτικές) εργασίες και την εξέταση 5 του μέγιστου βαθμού του μαθήματος. (γ). Ο βαθμός της προαιρετικής-προσθετικής εργασίας προστίθεται στο άθροισμα των βαθμών της τελικής εξέτασης και των υποχρεωτικών εργασιών, μόνον αν το άθροισμα αυτό είναι 5. Σελίδα 5 από 5