TDDD36 - Säkerhet

Läsanvisningarna anger vilken litteratur som bör läsas inför respektive föreläsning, och som sedan examineras. Föreläsningarna är inte heltäckande, så det är nödvändigt att noggrannt läsa anvisat material!

Föreläsningar

1. Introduktion till säkerhet
   Varför säkerhet är viktigt. Begreppen "hot", "sårbarhet", "policy", "assurance", "asset" och "risk", och hur de relaterar till säkerhet. Andra koncept i säkerhet. Fysisk säkerhet och mänskliga faktorer. Confidentiality, integrity och availability och hur de relaterar till de grundläggande begreppen. Authorization och accountability. Audit. Grundläggande principer för säkerhet.
   Läsanvisning: Bishop, kapitel 1
   
   OH-bilder:PDF
   
   
2. Riskanalys
   Vad risk- och hotanalys är, och varför man gör det. En konkret metod för riskanalys.
   Läsanvisning: Bishop, kapitel 13
   Practical Risk Analysis
   Risk Management Framework
   Architectural Risk Analysis
   OH-bilder: PDF
   
   
3. Accesskontroll
   Access control matrix. Discretionary, mandatory, role-based access control. Formella modeller: Bell-LaPadula confidentiality model, Biba integrity model, Clark-Wilson model. Permission bits, access control lists, capabilities.
   Läsanvisning: Bishop, kapitel 2, 4-7, 15
   OH-bilder: PDF
   
   
4. Kryptoteknik
   Vad är kryptering och vad har det för tillämpningar. Begrepp: nyckel, symmetrisk, assymetrisk, stream, block, cryptographic hash, signature, MAC, HMAC. Exempel på algoritmer: AES, RSA, MD5, SHA. Nyckelhantering. Diffie-Hellman Key Exchange. PKI.
   Läsanvisning: Bishop, kapitel 9-11
   OH-bilder: PDF
   
   
5. Identifiering och autenticering
   Begrepp: authentication, authorization, identity. Something you know, something you are, something you own. Multi-factor authentication. Biometrics. PKI. Certifikat och challenge-response-protokoll.
   Läsanvisning: Bishop, kapitel 12, 14
   OH-bilder: PDF
   
   
6. Reserv
   

Litteratur

• M. Bishop. Computer Security: Art and Science. Addison-Wesley. 2002.
  4 exemplar finns på TekNat-biblioteket, varav 1 referensexemplar och 1 elektroniskt. Se läsanvisningarna nedan.
• P. Hope, S. Lavenhar, G. Peterson. Architectural Risk Analysis. Cigital. 2005. On-line: https://buildsecurityin.us-cert.gov/daisy/bsi/10-BSI.html
• G. McGraw. Risk Management Framework. Cigital. 2005. On-line: https://buildsecurityin.us-cert.gov/daisy/bsi/250-BSI.html
• M. Bauer. Practical Threat Analysis and Risk Management. Linux Journal. 2002. On-line: http://www.linuxjournal.com/article/5567

Läsanvisningar, Bishop

Till säkerhetstentan förväntas man kunna kapitel 1, 2, 4-7, 9-15 med nedanstående undantag. "Bara översiktligt" innebär att man förväntas känna till begreppen som tas upp och hur de relaterar till andra begrepp i materialet, men inte detaljer (särskilt inte implementationsdetaljer).

Kapitel 2:

• Avsnitt 2.3 bara översiktligt

Kapitel 4:

• Behöver inte kunna specifika policyspråk
• Avsnitt 4.6 bara översiktligt

Kapitel 5:

• Avsnitt 5.2.2 krävs inte
• Avsnitt 5.2.3 bara översiktligt, bevisen krävs ej
• Avsnitt 5.2.4 krävs inte
• Avsnitt 5.4.2 bara översiktligt

Kapitel 7:

• Avsnitt 7.1.2 bara översiktligt
• Avsnitt 7.2 krävs inte

Kapitel 9:

• Avsnitt 9.2.2.1 bara begreppet polyalfabetisk substitution
• Avsnitt 9.2.3 ej detaljer om funktionen f
• Avsnitt 9.2.3 krävs inte

Kapitel 10:

• Avsnitt 10.2.2 krävs inte
• Avsnitt 10.4.1 bara översiktligt
• Avsnitt 10.4.2.2 krävs inte
• Avsnitt 10.5.1.2 bara översiktligt
• Avsnitt 10.5.1.3 krävs inte
• Avsnitt 10.5.1.4 krävs inte

Kapitel 11:

• Avsnitt 11.2.1.1 krävs inte
• Avsnitt 11.2.1.2 krävs inte
• Avsnitt 11.4.1 krävs inte
• Avsnitt 11.4.2 behöver inte kunna detaljer om alla meddelanden

Kapitel 14:

• Avsnitt 14.6 krävs inte

Kapitel 15:

• Avsnitt 15.1.4 krävs inte
• Avsnitt 15.2.1 endast översiktligt
• Avsnitt 15.3.1 krävs inte
• Avsnitt 15.4 endast översiktligt
• Avsnitt 15.5 endast översiktligt

Sidansvarig: Nahid Shahmehri
Senast uppdaterad: 2012-09-03