Sicurezza dei sistemi (2012/2013)

Codice insegnamento
4S02799
Docente
Isabella Mastroeni
Coordinatore
Isabella Mastroeni
crediti
6
Settore disciplinare
ING-INF/05 - SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
Lingua di erogazione
Italiano
Periodo
II semestre dal 4-mar-2013 al 14-giu-2013.

Orario lezioni

II semestre
Giorno Ora Tipo Luogo Note
giovedì 9.30 - 11.30 lezione Aula C  
venerdì 9.30 - 11.30 lezione Aula I dal 7-mar-2013  al 21-mar-2013
venerdì 9.30 - 11.30 lezione Aula B dal 22-mar-2013  al 14-giu-2013

Obiettivi formativi

Il corso di sicurezza dei sistemi ha come obiettivi quelli di fornire agli studenti le conoscenze di base che permettano di specificare e analizzare politiche di sicurezza in funzione delle caratteristiche del sistema da proteggere e delle informazioni che si vogliono proteggere.
In particolare, oltre ad una panoramica dei concetti fondamentali, il corso si focalizzerà sulla sicurezza dei sistemi operativi, con particolare attenzione ai problemi di autenticazione e autorizzazione, del software, allo studio delle vulnerabilità del software in presenza di malware, e delle basi di dati.
Verranno infine trattati gli aspetti di gestione della sicurezza e aspetti legali, importanti nella fase di progettazione di un meccanismo di sicurezza.

Programma

Il corso svilupperà i seguenti argomenti:
1) Introduzione alla sicurezza dei sistemi informatici:
- Concetto di sicurezza, obiettivi della sicurezza intesi come confidenzialità, integrità e disponibilità
- Vulnerabilità (hardware, software, dei dati e delle comunicazioni)
- Analisi dei rischi e delle minacce
- Metodi di difesa
- Principi della sicurezza informatica
2) Modelli classici
- Politiche e modelli
- Politiche: confidenzialità vs integrità, militari vs commerciali
- Controllo degli accessi (Autenticazione vs Autorizzazione)
- Modelli DAC (modello Harrison-Ruzzo-Ullmann, modello Graham-Denning, sistemi take-grant)
- Sicurezza multilivello (MAC)
- Modelli classici (Bell-LaPadula, Biba, Clark-Wilson, Chinese Wall)
- RBAC
- Non interferenza
3) Meccanismi standard
- Autenticazione
- Autenticazione vs Identificazione
- Autenticazione (mediante password, basata su token, biometrica)
- Attacchi e protezione
- Meccanismi per il controllo degli accessi
- Intrusion detection systems
- Execution monitors
4) Sicurezza delle Basi di Dati
- Sicurezza nelle basi di dati relazionali
- Controllo degli accessi e SQL
- Sicurezza nelle basi di dati statistiche (Aggregazione, inferenza e tipi di attacchi)
- Sicurezza nelle basi di dati multilivello
- Sicurezza e Data mining
5) Software
- Vulnerabilità del software
- Gestione dell'input: errori vs attacchi
- Gestione della memoria: Buffer overflow
- Altri tipi di attacco al software
- Malware (definizioni e modelli)
- Panoramica sui tipi di malware
- Virus (Definizioni, metodi di propagazione, metodi di difesa)
- Worm
- Backdoor (dette anche trapdoor), Cavalli di Troia e altri tipi di malware
- Modelli
- Difese
6) Aspetti legali della sicurezza
- Privacy e informatica
- Crimini e Accessi abusivi
- Aspetti etici
7) Amministrazione della sicurezza
- Minacce fisiche alla sicurezza
- Pianificazione e fattore umano
- Aspetti economici della sicurezza

Modalità d'esame

L'esame sarà strutturato in due parti e può essere espletato in due modi:
Scritto+Progetto
- Uno scritto nel quale mediante domande e semplici esercizi si valuterà la preparazione dello studente sull'intero programma del corso.
- Un progetto/approfondimento fatto da gruppi di massimo due persone il cui argomento può essere anche proposto al docente da parte del gruppo stesso. Tale progetto sarà presentato sottoforma di una relazione scritta e di una presentazione orale.
Il risultato dell'esame sarà poi ottenuto dando una valutazione in 30esimi (rapportato poi a 24 + 2 punti per la presentazione) al progetto e una valutazione allo scritto in termini di bonus (valutazione insufficiente=ripetere lo scritto, scritto sufficiente=da 1 a 4 punti da sommare alla valutazione del progetto in funzione della qualità dello scritto)
Scritto+Orale (facoltativo)
- Uno scritto nel quale mediante domande e semplici esercizi si valuterà la preparazione dello studente sull'intero programma del corso.
- Un orale sull'intero programma del corso. In caso di voto superiore al 26/30 allo scritto l'orale diventa obbligatorio per poter anche solo confermare il voto, altrimenti si può registrare massimo un 26.

Statistiche per i requisiti di trasparenza (Attuazione Art. 2 del D.M. 31/10/2007, n. 544)

I dati relativi all'AA 2012/2013 non sono ancora disponibili