Přednášky

Následuje návrh struktury přednášek v letním semestru 2023/24. V tomto semestru má první přednášku prof. Doucek, ostatní Ing. Pavlíček.

1. Bezpečnost informací – bezpečnostní standardy, bezpečnostní strategie, analýza rizik, bezpečnostní incident, bezpečnostní architektura, právní a etické otázky, business continuity, bezpečnost aplikací,
2. Kryptografie I – Cíle kryptografie, kryptografická primitiva a kryptografické protokoly. Kerckhoffsovy principy. Substituce, transpozice, kódová kniha. Steganografie. Generátory náhodných čísel.
3. Kryptografie II – Entropie, síla zabezpečení. Hašovací funkce. Ověření integrity a MAC. Symetrické proudové šifry. Symetrické blokové šifry. Módy symetrických blokových šifer. AEAD módy.
4. Kryptografie III – Použití asymetrická kryptografie pro šifrování, podepisování a výměnu klíčů. RSA, Diffie-Hellman, eliptické křivky. Forward secrecy.
5. Certifikáty I – modely důvěry, certifikáty a PKI. Časové značky, digitální kontinuita.
6. Certifikáty II – eIDAS, kvalifikované certifikáty a pečetě. Certifikáty a TLS.
7. Řízení přístupu I – Identifikace, přiřazení identity. Autentizace, přihlašování heslem, vícefaktorová autentizace, kvalita (bezpečnost) autentizace.
8. Řízení přístupu II – Centralizovaná autentizace, Single Sign-on. SAML, OAuth2. Elektronická identita (eIDAS).
9. Řízení přístupu III – Autorizace, bezpečnostní modely, Common Criteria. Modely přístupu – Mandatory access control, ACL, RBAC.
10. Síťová bezpečnost I – Internet z hlediska bezpečnosti, hodnocení zranitelností, etické hackování, chyby v aplikacích (CVE). Útoky na webové aplikace, web application firewall.
11. Síťová bezpečnost II – Síťové firewally, proxy servery. Detekce síťových útoků, IDS, IPS. Reputace IP adres.
    Tato přednáška nebude odpřednášena, neboť o velikonočním pondělí přednášky odpadají
12. Síťová bezpečnost III – typy VPN, anonymita a Tor, Zero trust security/network.
13. Logování a zálohování – Cíle logování, SIEM. Zálohování, archivace, synchronizace dat. Typy záloh, média pro zálohování, strategie zálohování.
    Tato přednáška nebude odpřednášena, neboť 6. listopadu (inovační týden) přednášky odpadají

Následující dva úkoly se týkají všech studentů na předmětu. První je požadavek na zabezpečení předěleného serveru, pokud student nezabezpečí, tak odečítám body. Druhý je volitelný (tj. nad limit 100 bodů ze sylabu).

Do uvedeného času zakažte přihlašování heslem na svůj server (bisxxx.vse.cz). Pokud ne, tak odečtu dva body - a to za každý započatý týden, kdy bude povoleno přihlašování heslem z internetu. Postup:

• přihlaste se na svůj server, počáteční heslo najdete na bis.vse.cz ve /var/heslo,
• změňte si své heslo,
• nastavte si přihlašování klíčem,
• ověřte si, že se přihlásíte klíčem - bez odhlášení z aktuální session,
• upravte konfiguraci sshd,

Jak ověřit:

• pokud má SSH klient k dispozici libovolný klíč, tak se nejdříve zkouší přihlásit pomocí klíče - před otestováním z agenta odeberte klíče,
• na fisadm.vse.cz/xymon se testují SSH servery každé tři hodiny - chce to trpělivost

Do uvedeného času nahrajte do příslušné odevzdávárny snímek obrazovky, který prokáže, že jste se do studijního systému přihlásili pomocí identity občana a spárovali účet.

• Přihlaste se do https://insis.vse.cz/auth pomocí Identity občana a spárujte účet.
• Otevřete https://insis.vse.cz/auth/system/nia.pl a udělejte snímek obrazovky. Následuje můj příklad:
  
• Přes Identitu občana se mohou přihlásit občané ČR, dále cizinci s povolením pobytu, s vízem či s potvrzením o dočasném pobytu i občané EU se svojí národní identitou.,
• Při přihlášení k NIA se nabízí více možností přihlášení. Právně odlišné postavení má nejvíce dostupná bankovní identita - s její pomocí se lze přihlásit ke státním informačním systémům, lze jejím prostřednictvím ověřit vydání Mobilního klíče eGovermentu, ale nelze ji použít pro přihlášení k informačním systémům ostatních orgánů veřejné moci. Pomocí bankovní identity se nelze přihlásit do studijního systému.
• Mobilní klíč eGovermentu (či mojeID.cz) lze ověřit i offline- dorazíte dle návodů na CzechPoint (možná lze ověřit i na obecním úřadu, prostudujte návody). MojeID lze zřídit a ověřit i on-line přes datovou schránku.
• Pro přihlašování k soukromým informačním systémům lze použít jen bankovní identitu (je to placená služba). Příkladem může prokázání totožnosti u sázkových společností či přihlášení do pojišťoven (viz https://www.bankid.cz/en/commercial).
• Doporučuji nastavit si dva způsoby přihlášení - jeden přes bankovní identitu (pokud podporuje Vaše banka) a nějaký odlišný (Mobilní klíč eGovermentu, mojeID). Pokud využijete vysokou úroveň záruky, tak přichází v úvahu pouze občanský průkaz, mojeID s vhodným fyzickým tokenem či čipová karta.