Bezpečnost a bezpečné programování
| Kód | Zakončení | Kredity | Rozsah | Jazyk výuky |
|---|---|---|---|---|
| MI-BPR | Z,ZK | 4 | 2P+1C | česky |
- Přednášející:
- Cvičící:
- Předmět zajišťuje:
- katedra počítačových systémů
- Anotace:
-
Studenti se naučí posuzovat a zohledňovat bezpečnostní rizika při návrhu svého kódu a řešení v běžné inženýrské praxi. Od teorie modelování bezpečnostních rizik přistoupí k praxi, ve které si vyzkouší běh programů pod nižšími oprávněními a jak tato oprávnění stanovovat, protože ne každý program musí nutně běžet s administrátorským oprávněním. Dále se studenti budou krátce věnovat zabezpečení dat a jak toto zabezpečení souvisí s databázovými systémy, webem, vzdáleným voláním procedur a sokety obecně. V závěru se budou věnovat útokům typu DoS (Denial of Service) a obraně proti nim.
- Požadavky:
-
Programování v C, znalost základních programových rozhraních a architektur počítačových systémů.
- Osnova přednášek:
-
1. Úvod do bezpečnosti programování, současná bezpečnost.
2. Modelování bezpečnostních rizik.
3. Přetečení bufferu.
4. Psaní bezpečnějšího kódu v C.
5. Úrovně bezpečnostních oprávnění, ACL.
6. Běh programu při nízkých oprávněních.
7. Zabezpečení a integrita dat.
8. Datový vstup, kánonická reprezentace a bezpečnost.
9. Databáze a bezpečnost.
10. Bezpečnost webových aplikací.
11. Sokety, RPC a bezpečnost.
12. Ochrana proti DoS útokům.
13. Závěrečná přednáška, shrnutí, opakování
- Osnova cvičení:
-
1. Modelování bezpečnostních rizik.
2. Přetečení bufferu.
3. Běh programu při nízkých oprávněních.
4. Databáze a bezpečnost.
5. Bezpečnost webových aplikací.
6. DoS útoky.
- Cíle studia:
-
Cílem předmětu je studenty naučit myslet na bezpečnostní faktory při návrhu svých aplikací a řešení, které jsou dnes nepostradatelné. To budou studenti provádět modelováním bezpečnostních rizik, které posléze uvedou v praxi na úrovni programů v C. Studenti se naučí určit minimální privilegia pro běh programu. Dále se naučí, jak ve svých programech zabezpečit data, datovou komunikaci, vzdálené volání procedur a web.
- Studijní materiály:
-
Howard, M., LeBlanc, D. ''Writing Secure Code (2nd Edition)''. Microsoft Press, 2003. ISBN 0735617228.
Howard, M., LeBlanc, D. „Writing Secure Code for Windows Vista“. Microsoft Press, 2007.
http://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
- Poznámka:
-
Rozsah=prednasky+proseminare+cviceni2p+1c
- Další informace:
- Pro tento předmět se rozvrh nepřipravuje
- Předmět je součástí následujících studijních plánů:
-
- Zaměření Systémové programování, verze 2014, 2015 (povinný předmět zaměření, volitelný předmět)
- Zaměření Webové inženýrství - verze pro ty, kteří se zapsali v roce 2014 a 2015 (volitelný předmět)
- Znalostní inženýrství - verze pro ty, kteří se zapsali v roce 2015 (volitelný předmět)
- Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v letech 2015 (VO, volitelný předmět)
- Znalostní inženýrství, verze 2016 a 2017 (volitelný předmět)
- Počítačová bezpečnost, verze 2016, 2017 a 2018 (volitelný předmět)
- Počítačové systémy a sítě, verze 2016, 2017 a 2018 (volitelný předmět)
- Návrh a programování vestavných systémů, verze 2016, 2017 a 2018 (volitelný předmět)
- Zaměření Informační systémy a management, verze 2016, 2017 a 2018 (volitelný předmět)
- Zaměření Softwarové inženýrství, verze 2016, 2017 a 2018 (volitelný předmět)
- Zaměření Webové inženýrství, verze 2016, 2017 a 2018 (volitelný předmět)
- Společný magisterský plán před přiřazením do oboru, verze 2016, 2017 a 2018 (VO)
- Zaměření Teoretická informatika, verze 2016-2017 (volitelný předmět)
- Znalostní inženýrství, verze 2018 (volitelný předmět)