Bezpieczeństwo systemów komputerowych

Student powinien posiadać podstawową wiedzę i umiejętności z zakresu:

- działania systemów operacyjnych i sieci komputerowych,

- programowania w języku Python (lub innym języku wysokiego poziomu),

- korzystania z systemu operacyjnego Linux na poziomie użytkownika technicznego,

- podstawowych zasad projektowania aplikacji webowych i działania protokołu HTTP.

Wskazana jest również ogólna orientacja w obszarze architektury systemów informatycznych oraz podstawach matematyki dyskretnej (logika, zbiory, funkcje, relacje), które są pomocne przy rozumieniu pojęć związanych z kryptografią i bezpieczeństwem informacji.

1. Godziny kontaktowe z nauczycielem akademickim:

- udział w wykładach 30,0 godz.

- zajęcia praktyczne - udział w laboratoriach 30,0 godz.

Razem: 60 godzin - 2.4 pkt ECTS

2. Samodzielna praca studenta:

- przygotowanie do egzaminu 10 godzin,

- przygotowanie do laboratorium 15 godzin,

- przygotowanie do kolokwiów 10 godzin,

- samodzielne studiowanie literatury przedmiotu 5 godzin.

Razem: 40 godzin = 1.6 pkt ECTS

OGÓŁEM: 100,0 godzin

liczba punktów ECTS = 100,00 godz.: 25,00 godz./ECTS = 4,00 ECTS

- w tym liczba punktów ECTS za godziny kontaktowe z bezpośrednim udziałem nauczyciela akademickiego - 2.4 punktów ECTS,

- w tym liczba punktów ECTS za godziny realizowane w formie samodzielnej pracy studenta - 1.6 punktów ECTS.

Weryfikacja efektów kształcenia:

- Kolokwium śródsemestralne (U1, U2, U3, U4): Praktyczne zadania sprawdzające umiejętność wykorzystania mechanizmów kryptograficznych oraz podstawowych narzędzi systemu Linux, realizowane w środowisku analogicznym do wykorzystywanego na zajęciach.

- Test zaliczeniowy (U1, U2, U3, U4): Test wielokrotnego wyboru obejmujący zagadnienia teoretyczne oraz elementy praktyczne nieobjęte kolokwium.

- Praca na zajęciach i aktywność (K1, K2, K3): Ocena ciągła na podstawie:

- obserwacji samodzielności i systematyczności studenta w rozwiązywaniu zadań praktycznych,

- umiejętności współpracy z innymi studentami oraz konstruktywnego udziału we wspólnym rozwiązywaniu problemów,

- zdolności do krytycznej oceny własnych rozwiązań i identyfikowania luk w swojej wiedzy oraz odpowiedzialnego i etycznego podejścia do realizacji ćwiczeń z zakresu technik ofensywnych, w tym świadomości konsekwencji prawnych i społecznych.

Ocena końcowa z laboratorium ustalana jest na podstawie sumy punktów zdobytych we wszystkich formach weryfikacji wiedzy i umiejętności, zgodnie z obowiązującą skalą ocen punktowych. Na końcowa ocenę może mieć wpływ szczególne zaangażowanie studenta podczas zajęć laboratoryjnych.

Wykład:

- Egzamin końcowy (W1, W2, W3, W4, W5): Egzamin pisemny w formie testu wielokrotnego wyboru (około 25 pytań), obejmujący całość materiału omawianego na wykładach.

Celem przedmiotu jest nabycie wiedzy, kompetencji i praktycznych umiejętności w zakresie analizy zagrożeń, zabezpieczania systemów informatycznych oraz stosowania mechanizmów kryptograficznych i kontroli dostępu. Kurs obejmuje zarówno fundamenty teoretyczne, jak i techniczne aspekty bezpieczeństwa informacji, uwzględniając współczesne zagrożenia i aktualne standardy branżowe.

Zakres tematyczny wykładów:

1. Wprowadzenie do bezpieczeństwa systemów informatycznych - podstawowe pojęcia, triada CIA, modele bezpieczeństwa, klasyfikacja zasobów i zagrożeń.

2. Podstawy kryptografii - cele kryptografii, kryptografia symetryczna i asymetryczna, funkcje skrótu, podpisy cyfrowe, infrastruktura klucza publicznego (PKI).

3. Protokoły i aplikacje kryptograficzne - TLS/SSL, S/MIME, PGP, Kerberos, standard X.509.

4. Bezpieczeństwo systemów operacyjnych - uwierzytelnianie użytkowników, kontrola dostępu (DAC, MAC, RBAC, ABAC), zarządzanie kontami, bezpieczeństwo systemów plików.

5. Zagrożenia i ataki - złośliwe oprogramowanie (malware), ataki typu DoS i DDoS, backdoory, rootkity, keyloggery.

6. Bezpieczeństwo aplikacji webowych - podatności typu SQL Injection i XSS, mechanizmy ochronne, zasady bezpiecznego kodowania, aspekty prawne testowania aplikacji.

7. Zarządzanie bezpieczeństwem informacji - ocena ryzyka, polityki bezpieczeństwa, planowanie ciągłości działania, aspekty prawne i etyczne (w tym Kodeks Karny i regulacje dotyczące cyberprzestępczości).

Literatura podstawowa

1. William Stallings, Lawrie Brown - Bezpieczeństwo systemów informatycznych. Zasady i praktyka. Wydanie IV. Tom 1, Helion 2019

2. William Stallings, Lawrie Brown - Bezpieczeństwo systemów informatycznych. Zasady i praktyka. Wydanie IV. Tom 2, Helion 2019

3. Wprowadzenie do bezpieczeństwa IT. T. 1 i 2, redakcja Michał Sajdak, Securitum, Kraków 2024

4. Bezpieczeństwo aplikacji webowych, redakcja Michał Sajdak, Securitum, Kraków 2019

Literatura uzupełniająca:

1. Bogdan Księżopolski, Audyt bezpieczeństwa systemów IT – Ćwiczenia, Wydawnictwo UMCS, 2012

2. William Stallings, Kryptografia i bezpieczeństwo sieci komputerowych. Koncepcje i metody bezpiecznej komunikacji, Helion 2012

3. Official (ISC)²® Guide to the CISSP® CBK®, Fourth Edition, CRC Press 2015

Wiedza — student zna i rozumie:

- W1. Klasyfikuje podstawowe i zaawansowane zagrożenia bezpieczeństwa w systemach operacyjnych, sieciach komputerowych i aplikacjach webowych, analizując ich potencjalny wpływ na integralność, dostępność i poufność zasobów informacyjnych. (K_W01, K_W08, K_W10)

- W2. Wyjaśnia kluczowe pojęcia z zakresu bezpieczeństwa informacji, takie jak poufność, integralność, dostępność, uwierzytelnianie, rozliczalność i niezaprzeczalność, wraz z ich wzajemnymi powiązaniami. (K_W08)

- W3. Opisuje zasadę działania i obszary zastosowań wybranych mechanizmów kryptograficznych, w tym algorytmów symetrycznych, asymetrycznych, funkcji skrótu oraz podpisów cyfrowych. (K_W08)

- W4. Charakteryzuje i porównuje metody, techniki i narzędzia stosowane w zabezpieczaniu systemów informatycznych, uwzględniając ich skuteczność, ograniczenia oraz zgodność z aktualnymi standardami i regulacjami. (K_W08, K_W12)

- W5. Identyfikuje aktualne trendy w obszarze bezpieczeństwa informacji, ze szczególnym uwzględnieniem nowych technologii, zagrożeń, rozwiązań organizacyjnych i zmian legislacyjnych. (K_W12, K_W14)

Umiejętności — student potrafi:

- U1. Stosuje narzędzia analizy bezpieczeństwa systemów, takie jak hashcat, John the Ripper, czy testery podatności, do identyfikacji luk i oceny poziomu ochrony. (K_U01, K_U03)

- U2. Wdraża podstawowe zabezpieczenia systemów informatycznych, w tym mechanizmy kontroli dostępu, szyfrowanie danych oraz monitorowanie aktywności użytkowników. (K_U01, K_U03)

- U3. Przeprowadza testy podatności aplikacji na ataki typu SQL Injection i XSS w środowiskach testowych, dokumentuje wyniki i rekomenduje działania zaradcze. (K_U01, K_U02)

- U4. Korzysta z dokumentacji technicznej, raportów bezpieczeństwa i branżowych baz danych (np. OWASP, CVE), samodzielnie aktualizując wiedzę o nowych zagrożeniach. (K_U02, K_U07, K_U10)

Kompetencje społeczne — student:

- K1. Krytycznie analizuje własną wiedzę i umiejętności w zakresie bezpieczeństwa systemów komputerowych, identyfikując obszary wymagające dalszego doskonalenia. (K_K01)

- K2. Współpracuje z innymi przy realizacji zadań związanych z bezpieczeństwem IT, konsultuje problemy specjalistyczne z ekspertami. (K_K02)

- K3. Działa odpowiedzialnie i etycznie podczas analizy i testowania systemów, rozumiejąc konsekwencje prawne i społeczne swojej aktywności w obszarze bezpieczeństwa informacji. (K_K03, K_K06)