Datu aizsardzība un drošība

Kurss "Datu aizsardzība un drošība" ir paredzēts studentiem, kuri vēlas apgūt datorsistēmu un datortīklu drošības pamatus. Kursa apguvei jābūt pieredzējušam datoru lietotājam ar programmēšanas iemaņām un vispārīgam priekšstatam par operētājsistēmu un datu pārraides tīklu darbību.

• Par šo kursu
• Patstāvīgie darbi
  
• Kontakti
• Jautājumi un atbildes

Lekciju saturs

• 1. lekcija: Informācijas drošības pamati
• 2. lekcija: Simetriskās šifrēšanas metodes
• 3. lekcija: Asimetriskās šifrēšanas metodes un autentifikācija
• 4. lekcija: Operētājsistēmu drošība
• 5. lekcija: Programmatūras ievainojamības
• 6. lekcija: Ļaunatūra
• 7. lekcija: Interneta drošība
• 8. lekcija: Perimetra aizsardzība
• 9. lekcija: Uzticamas skaitļošanas standarts
• 10. lekcija: IT resursu fiziskā drošība
• 11. lekcija: Lietotāju datu privātums
• 12. lekcija: Drošības cilvēciskais faktors

1. lekcija: Informācijas drošības pamati

Informācijas drošības galvenie raksturotāji: uzticamība, pieejamība un slepenība. Informācijas drošības galvenie riski: ļaunatūra (vīrusi, trojāņi, tārpi), pakalpojumatteices uzbrukumi un uzlaušana. Informācijas drošības ekonomiskie, tehnoloģiskie un cilvēciskie faktori. Drošības relativitāte un risku pārvaldība.

Security01.odp

Praktiskie darbi

1. Atrast un pārrunāt nesenākos IT drošības incidentus dažādās organizācijās:
   1. privātās kompānijās,
   2. valsts vai pašvaldību institūcijās.
2. Atrast nesenākos drošības incidentus dažādām IT platformām:
   1. personālajiem datoriem,
   2. serveriem,
   3. mobilajām platformām,
   4. IT pakalpojumiem.
3. Noteikt:
   1. kas vainojams attiecīgā incidenta izraisīšanā,
   2. cik liels bija šo incidentu risks,
   3. kādas ir šo incidentu sekas (un vai tās jūtamas joprojām).

2. lekcija: Simetriskās šifrēšanas metodes

Kriptogrāfija. Kriptogrāfijas mērķi: konfidencialitāte (slepenība) un integritāte/autentiskums (patiesums). Kriptogrāfija, kriptoanalīze un kriptoloģija. Kriptogrāfijas vēsture, klasiskās šifrēšanas metodes. Teorētiskais drošības novērtējums, statistiskās metodes un šifru "stiprums". Vienreizlietojamie šifri, straumes šifri un bloku šifri, pseidogadījumskaitļu ģeneratori.
Bloku šifrēšanas DES, AES, ECB, CBC funkciju apraksts. Jaucējfunkcijas, sadursmes. MD5, SHA1, SHA2 jaucējfunkciju principi. "Varavīksnes tabulas", jaucējfunkcijas "sāls", spēka metodes aizliegšana, paroļu stipruma likumi.

Security02.odp

Praktiskie darbi

1. tr izmantošana vienkāršai datu šifrēšanai
2. Šifrēšana un atširēšana ar ROT13
3. md5sum, sha1sum un sha256sum lietošana

Papildu informācija

• DES Explained
• AES Explained

3. lekcija: Asimetriskās šifrēšanas metodes un autentifikācija

Publiskās atslēgas kriptogrāfija. Publiskās atslēgas attīstības vēsture un šifrēšanas algoritmi. RSA, DSA. Digitālais paraksts. Publisko atslēgu pārvaldība. Sertifikātu reģistri. X.509 sertifikāti. Digitālā paraksta izmantošanas iespējas elektroniskajā balsošanā. E-vēlēšanas un i-vēlēšanas.

Lietotāju autentifikācijas veidi: ko tu zini, kas tev pieder, kas tu esi. Autentifikācijas riski: servera uzlaušana, klienta uzlaušana, "vīrs pa vidu", paroļu vājums un sociālā inženierija. Divu faktoru autentifikācija un vienreiz lietojamās paroles.

Security03.odp

Praktiskie darbi

1. SSH pieteikšanās bez paroles
2. Apache SSL sertifikāta izveide ar OpenSSL
3. GnuPG lietošana

Papildu informācija

• RSA Explained with Excel

4. lekcija: Operētājsistēmu drošība

Datorsistēmu slāņi: aparatūra, operētājsistēma, lietotne, lietotāji. Kodola telpa un lietotāja telpa. Atmiņas aizsardzība, procesora režīmi, lietotāju autentificēšana un failu pieejas tiesību pārvaldība. Žurnalēšana un auditēšana, ielaušanās atklāšana un atkopšanās.
Sadalītais piekļuves pārvaldības saraksts (ACL) un mandātu piekļuves pārvaldība (MAC). Daudzlīmeņu drošības pārvaldība. Minimālo pieejas tiesību princips.
Subjekti (lietotāji, grupas, procesi) objekti (fails, atmiņa), tiesības (lasīt, rakstīt, izpildīt, papildu biti).

UNIX sistēmu (BSD, MacOS, iOS, Linux) pieejas tiesību pārvaldība.
Windows/VMS pieejas tiesību pārvaldība.

Security04.odp

Praktiskie darbi

1. Failu pieejas tiesību pārvaldība. chown, chmod, chattr komandas
2. Lietotāju pārvaldība useradd, usermod un userdel komandas

5. lekcija: Programmatūras ievainojamības

Bufera pārpildīšana, izdrukas kļūdas, tipu pārveidošana. Ieejas datu validācija, bufera pārpildīšana, vides mainīgie, mainīgo tipu pārveidošana.

Tīmekļa drošība. Tīmekļa darbības pamatprincipi. Iframe, SQL injekcijas, CSRF un XSS injekcijas. Tīmekļa lietotņu serveri. Sīkfaili, sesijas un sesiju pārvaldība. Tīmekļa izstrādātāju rīki. Firebug, Tamper Data, Selenium IDE.

Security05.odp

Praktiskie darbi
Linux HeartBleed un ShellShock kļūdu analīze.

6. lekcija: Ļaunatūra

Lūka (trapdoor), loģiskā bumba, Trojas zirgi, vīrusi, tārpi. Zombiji un botu tīkls, sīkrīki (gadgets) un sistēmlaužņi (rootkit). Spiegprogramma (spyware), biedinātājprogramma (scareware) u.c.

Security06.odp

Praktiskie darbi

1. OpenVAS uzstādīšana un lietošana

7. lekcija: Interneta drošība

Internets un citi tīkli. Interneta tīkla slāņi. Interneta ievainojamības: pakešu ostīšana, sesiju pārņemšana, maršrutēšanas un ARP uzbrukumi, pakalpojumatteices uzbrukumi, DNS indēšana. Spoguļošana, DoS uzbrukumi, DNS drošība.

Security07.odp

Praktiskie darbi

• W3af lietošana
• Tamperdata lietošana

8. lekcija: Perimetra aizsardzība

Perimetra un iekšējā aizsardzība. Ugunssienas, robežmaršrutētāji. Ielaušanās noteikšanas sistēmas. Demilitarizētā zona (DMZ) un virtuālie privātie tīkli (VPN). Bezstāvokļu un stāvokļu pakešu filtri. Seklā un dziļā pakešu pārbaude, satura filtrēšana.

Security08.odp

Praktiskie darbi

• ip lietošana
• Pakešu filtrēšana ar iptables

9. lekcija: Uzticamas skaitļošanas standarts

Sistēmas integritātes nodrošināšana: Bella-Lapadulas, Biba(sa), Klārka-Vilsona un Ķīniešu sienas drošības modeļi. Pastiprinātās drošības Linux. SELinux, AppArmor, Cgroups. UMIP modelis.
ISO/IEC 27000 drošības standarti. IT drošības plāns, IT resursu, to ievainojamību un risku noteikšana, incidentu pārvaldība. Drošības auditi.

Security09.odp

10. lekcija: IT resursu fiziskā drošība

Resursu fiziskā aizsardzība un norobežošana. Resursu novērošana un pārraudzība. Automātiskās trauksmes sistēmas. Fiziskās pieejas pārvaldība piekļuves idetifikācija, autentifikācija un notikumu žurnalēšana.

Security10.odp

Praktiskie darbi

• Žurnāla failu izpēte

11. lekcija: Lietotāju datu privātums

Kas ir privātums, un kā tas saistās ar drošību un slepenību. Privātuma uzlabošanas tehnoloģijas.

Security11.odp

Praktiskie darbi

1. Tīmekļa lietotnes (pārlūku drošība, sesijas, kukiji, HTTPS)
   2. E-pasts (GPG)
   3. Balss/video saziņa (Skype)

12. lekcija: Drošības cilvēciskais faktors

Drošības cilvēciskie faktori. Digitālie pārkāpumi un digitālā izmeklēšana. IT drošības ētika.

Security12.odp

Saites

• CS 450/650 Fundamentals of Integrated Computer Security
• CS155: Computer and Network Security
• William Stallings, Lawrie Brown, "Computer Security: Principles and Practice"