Predno pričnemo urejati varnostno vprašanje na organizacijskem nivoju, moramo zagotoviti ustrezno tehnično varnost. Postopek vpeljave varnostnega standarda BS 7799 / ISO 17799 lahko traja dlje časa, zato moramo pred tem zavarovati naš sistem in odpraviti pomanjkljivosti. Tečaj tehnična varnost pokriva celotno področje tehničnega varovanja informacijskih sistemov.

Po tem tečaju ne boste nikoli več trdili, da je sistem dovolj varen, ko ima instaliran požarni zid. V prvih dneh tečaja boste spoznali, da je nevarnosti mnogo več, kot bi v najbolj drzni napovedi upali trditi. Spoznali boste tudi izgube, ki jih nizek nivo varnosti informacijskih sistemov lahko prinese podjetju.

Predstavljeni bodo vdori v informacijske sisteme, kjer vidite na kakšene načine vdirajo napadalci. Dobili boste teoretično osnovo, ki jo v drugem delu dopolnite s praktičnim znanjem.

Iz vsebine:

1. SPLOŠNI VARNOSTNI POJMI

• Kontrola dostopa

• koncepti kontrole dostopa
• modeli in vrste kontrole dostopa
• MAC ,DAC ,RBAC

• Avtentikacija, overitev

• principi avtentikacije
• Kerberos
• CHAP, PAP
• certifikati in ključi
• gesla
• overilni žetoni
• multi-faktor overitev
• medsebojna avtentikacija
• biometrika

• Napadi

• grožnje ki pretijo informacijskim sistemom
• DOS, DDOS
• mrežni napadi
• zadnja vrata (backdoor)
• napad s sleparenjem s naslovi (spoofing)
• ”man in the middle"
• napad s ponovitvijo
• TCP/IP ugrabitev (hijacking)
• prekratki-slabi kjuči
• ”mathematical”
• družbeni inžiniring (social engineering)

• Upravljanje z gesli

• ”krekanje”, otkrivanje gesel
• uveljevljanje politike za uporabo gesel

  2. KOMUNIKACIJSKA VARNOST

• Oddaljeni dostop

• 802.1x
• VPN lastnosti, tehnologije in
  

• Implementacije

• RADIUS
• TACACS+
• ssh
• IPSec

• E-pošta

• S/MIME
• PGP
• spam, virusi, hoax
• pop3, imap

• Web

• SSL/TLS
• HTTP/S
• istant messaging
• ranljivosti

• Ostali protokoli

• Brezžični dostop

• 802.11x ,802.16 WiMax
• WTLS
• WEP/WAP
• ranljivosti in načini zaščite

3. INFRASTRUKTURNA VARNOST

• Naprave

• požarni zidovi
• proxy, socks
• usmerjevalniki (router)
• preklopniki (switch)
• brezžična tehnologija
• modemi
• RAS
• PBX, telefonija
• VPN
• IDS
• mrežna diagnostika

• Mediji 
  

• Topologije mreže z vatnostnega vidika

• požarni zid in varnostna področja, DMZ,
  

• Intranet, extranet

• VLAN, NAT

• Odkrivanje vdora in IDS

• IDS in analiza
• mrežni in host IDS
• implementacija IDS
• IDS in uveljavljanje varnostnih politike

4. VARNOST V OPERACIJSKIH SISTEMIH

• Linux/Unix
• Microsoft NT/2000/XP

5. OSNOVE KRIPTOGRAFIJE

• Allgoritmi

• hashing, zgoščevanje
• simetrični in asimetrični algoritmi

• Koncepti uporabe kriptografije

• zaupnost
• celovitost
• overovitev
• ne-tajenje (non-repudiation)
• nadzor dostopa

• Infrastruktura javnih ključev
• Standardi in protokoli
• Upravljanje s ključi

6. OPERATIVA IN ORGANIZACIJSKA VARNOST

• Zakaj potreba po celovitem sistemu organizacije informacijske varnosti
• Standardi

• ISO27000
• ITIL
• Cobit

• Fizična varnost
• Načrti okrevanja po katastrofi
• Plan poslovne kontinuitete
• Analiza vpliva na poslovanje
• Varnostne politike, postopki in procedure
• Upravljanje s privilegiji
• Forenzične tehnike
  
• Upravljanje s tveganji
  

• Identifikacija informacijskih sredstev
• Vrednotenje vpliva sredstev na delovni

• Proces, varnostna matrika

• identifikacija ranljivosti in groženj
• analiza tveganja
• izbira mer

• Izobraževanje
• Sistem dokumentacije

7. VARNOST V OKOLJU WINDOWS IN LINUX

Trajanje: 10 dni, 50 šolskih ur
Cena: 1.370 EUR + DDV

Doplačilo za certifikacijo CompTIA Security+ 330 EUR + DDV

Termini

• 03.10.2011 -> 10.11.2011

Prijava na tečaje je možna samo za registrirane uporabnike.

Rezultat tečaja bo znanje s katerim boste znali planirati in vzdrževati varnost informacijskega sistema podjetja. Razumeli in prepoznavali boste informacijsko tehnologijo. Logična posledica je znižanje stroškov vzdrževanja sistema hkrati pa boste pripomogli k boljši organizaciji podjetja.

Komu je namenjen?

Tečaj je namenjen informatikom, ki se v praksi ukvarjajo z načrtovanjem, izgradnjo, planiranjem in/ali skrbništvom varnih informacijskih sistemov. Še posebno ga priporočamo tistim informatikom, ki dnevno skrbijo za različne naprave in sisteme pri katerih se dnevno srečujejo tudi s problemom varovanja IS. Priporočamo ga tudi vsem, prihajajo iz okolja kjer o vprašanju varnosti že razmišljajo in jo nameravajo v prihodnosti tudi vpeljati, ne glede na to ali bodo to opravili sami ali s pomočjo zunanjih svetovalcev.

Metode dela

Predavanje, dvakrat tedensko.

Cilj

Pridobitev znanja za planiranje in vzdrževanje varnega informacijskega sistema organizacije. Posledično se znižajo stroški vzdrževanja informacijskega oddelka.

Pogoji

Ni posebnih pogojev. Priporočamo pa osnovno znanje o informacijskih sistemih.

Literatura

CompTIA Security+
Michael Pastore
Sybex Inc., izdano
21. februar 2003, 656 strani

 

• Priporočamo tudi...

 

• Secrets and Lies: Digital Security in a Networked World (svetovna uspešnica, najbolj prodajana knjiga o varnosti l. 2000), Schneier, John Wiley, Izdano avgust 2000, 412 strani

 

• Hacking Exposed, Second Edition, Scambray, McClure, McGraw Hill, 2. izdaja, Izdano oktober 2000, 703 strani.