Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
INFORMATIKAI BIZTONSÁG – SZAKIRÁNYÚ KÉPZÉS A BUDAPESTI MŰSZAKI FŐISKOLÁN SPECIALIZATION OF INFORMATION SECURITY ON THE BUDAPEST TECH
Póserné Oláh Valéria, Schubert Tamás Budapesti Műszaki Főiskola Neumann János Informatikai Kar Összefoglaló Az információs társadalom korában, amikor egyre több vállalat igényli az informatikai biztonság területén otthonosan mozgó szakemberek foglalkoztatását, természetes követelmény, hogy a fiatal informatikusok mélyreható ismeretekkel rendelkezzenek az informatika e területéről is. A frissen végzett mérnök informatikusoknak tehát munkájuk sikeres végzéséhez széles körű elméleti és gyakorlati ismeretre van szükségük az informatikai biztonság területéről, szükségképpen a piacképes informatikai szakemberképzésben meg kell jelennie e területtel foglalkozó ismeretek oktatásának is. Az informatikai biztonság oktatása hazánkban – különösen gyakorlati szinten – csupán néhány felsőoktatási intézményen folyik. A Budapesti Műszaki Főiskola Neumann János Informatikai Karán a Mérnök informatikus BSc szintű képzésben minden hallgató lehetőséget kap elméleti ismereteit gyakorlatban is kipróbálni laboratóriumi keretek között. Ezen túlmenően a 2006/2007-es tanévben megindult az Informatikai biztonság szakirányú oktatása is. A szerzők bemutatják az Informatikai biztonság szakirány elméleti és gyakorlati tananyagát, valamint az oktatás során szerzett tapasztalataikat.
Kulcsszavak informatikai biztonság, informatikai biztonság szakirány, informatikai biztonsági szakemberképzés
Abstract In the age of information society, when more and more company requires the employment of specialists of information security, it is a natural expectation that the young computer specialists have deep knowledge of this area of informatics. The newly graduated engineers of information technology must have large scale of theoretical and practical knowledge of the information security to do their work successfully that is why the teaching of information security is a ‘must’ in a marketable higher education institute. In Hungary – especially in practice – the teaching of information security is running only in few higher education institutes. One of these organizations is the John von Neumann Faculty of Informatics on Budapest Tech, where the BSc level students have the opportunity to practice their theoretical knowledge in the laboratory. What is more, a specialization of information security was started in the school year of 2006/2007. The authors show the theoretical and practical curriculum of the specialization of information security and their experience of teaching it.
Keywords information security, specialization of information security, training of information security specialists
1
Informatika a felsőoktatásban 2008
1.
Debrecen, 2008. augusztus 27-29.
Bevezetés
Az információs társadalom korában a korszerű informatikai technológiák az élet minden területén jelen vannak, melynek természetes következménye, hogy a fiatal informatikai szakembereknek már mélyebb ismeretekkel kell rendelkezniük az informatikai biztonság területén is. Mind több és több vállalat igényli olyan informatikus szakemberek foglalkoztatását, akik képesek megbirkózni a vállalat sikeres tevékenységét egyre nagyobb mértékben befolyásoló biztonságos informatikai rendszerek kialakításával és üzemeltetésével. A frissen végzett mérnök informatikus szakembereknek tehát munkájuk sikeres végzéséhez széleskörű ismeretre van szükségük az informatikai biztonság területéről, szükségképpen a piacképes informatikai szakemberképzésben meg kell jelennie e területtel foglalkozó ismeretek oktatásának is. Az informatikai biztonság oktatása hazánkban – különösen gyakorlati szinten – sajnálatos módon csupán néhány felsőoktatási intézményre jellemző, ami magyarázható azzal, hogy e területen számtalan jogi és technikai akadályba ütközhetünk: a támadó algoritmusok és programok nehezen hozzáférhetők, és szigetelhetők el a laboratóriumban, a biztonság kialakításának lehetőségeit megteremtő és bemutató infrastruktúra összetett és költséges, az oktatás előkészítése meglehetősen időigényes. Célunk bemutatni és az olvasóval megosztani a Budapesti Műszaki Főiskola Neumann János Informatikai Karán a Mérnök informatikus BSc szintű képzésben – először a 2006/2007. tanévben – indított Informatikai biztonság szakirány elméleti és gyakorlati tananyagának fontosabb vonatkozásait, valamint az oktatás során szerzett tapasztalatainkat. 2.
Az Informatikai biztonság szakirány
A szakirány az informatikai rendszerek elemeinek biztonságával és biztonságos üzemeltetésével foglalkozik. Tárgyalja a számítógépes rendszerek és rendszerelemeik, a számítógépek és összetevőik, az operációs rendszerek, a hálózati eszközök, a protokollok és az alkalmazások biztonsági kérdéseit. A hallgatóknak a rendszerelemek működési és együttműködési módjait érintő alapismereteire támaszkodva vizsgálja az elemek sérülékenységeit, és az ezekre támaszkodó támadási lehetőségeket. Megismerteti a hallgatókat az e támadásokat megelőző, a támadások bekövetkezéséből eredő javító, és a feltárásukat segítő vizsgálati intézkedésekkel. Bemutatja az intézményi informatikai infrastruktúrára és emberi erőforrásokra épülő biztonsági és informatikai biztonsági védelmi rendszer tervezését és megvalósítását. A szakirány tárgyainak gyakorlatai a Microsoft, a Sun, a Cisco és a Symantec cég hardver eszközeire és szoftvereire épülnek, amelyek intézményi vagy kari szerződések révén (kompetencia központok) állnak rendelkezésünkre. Szakirány választásra a mintatanterv szerint az 5. szemeszterben kerül sor. Ekkorra a hallgatók előtanulmányaiknak köszönhetően már rendelkeznek a szakirány tantárgyaihoz szükséges alapismeretekkel. Az 1. táblázatban látható, hogy mely tantárgyak ismereteire támaszkodhattunk a szakirány tantárgyprogramjainak kidolgozása során. A szakirány tantárgyait a táblázatban piros színnel kiemeltük.
2
Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
1. táblázat: Törzstárgyak, amelyekre közvetlenül építünk
Tantárgyak Számítógép hálózatok I.
3.
4.
5.
6.
7.
félév
félév
félév
félév
félév
300v4
Számítógép hálózatok II.
300v3
Számítógép hálózatok gyakorlata
002f2
Bevezetés az informatikai ellenőrzésbe I.
200v2
Operációs rendszerek és alkalmazások biztonsága
202v4
Az informatikai biztonság alapjai I.
300v3
Az informatikai biztonság alapjai II.
002f2
Számítógép hálózatok biztonsága
302v6
Operációs rendszerek I.
002f2
Operációs rendszerek II.
201v3 300v3
Az intézményi informatikai biztonság gyakorlata
002f3
3.
Az intézményi informatikai biztonság tervezése
A szakirány tantárgyai Bevezetés az informatikai ellenőrzésbe
A tárgy keretében a hallgatók megismerhetik az informatikai ellenőrzés feladatait, dokumentációs elvárásait, az aktuális magyar és európai, elsősorban az ISO / IEC szabványok/ajánlások és törvényi előírások szerinti alapkövetelményeket, az ISACA irányelveit, az információs rendszer auditálás szervezeti és irányítási szempontjait, valamint a felhasználói azonosítás, a különféle szerepkörű felhasználók ellenőrzési követelményeit. (ISACA, 2005) A tantárgyban megszerzett ismeretek segítségével a hallgatók képesek lesznek az informatikai ellenőrzés szempontjait is szem előtt tartó informatikai biztonsági rendszerek kialakítására és üzemeltetésére a vállalatok, a pénzintézetek és az államigazgatás területén. Operációs rendszerek és alkalmazások biztonsága A tantárgy keretében a hallgatók megismerhetik az operációs rendszereket, tárolt adataikat és alkalmazásaikat fenyegető támadási formákat, valamint a velük szemben támasztott biztonsági elvárásokat. Foglalkozunk az operációs rendszerek felügyeleti infrastruktúrájával, védelmi megoldásaival, a szerverszolgáltatások és az ügyfél operációs rendszerek védelmi módszereivel. Vizsgáljuk az operációs rendszerek által támogatott biztonságos kommunikáció lehetőségeit, megismertetünk sérülékenység vizsgálati eszközöket, valamint tárgyaljuk a standard felhasználói programok biztonságát érintő elvárásokat.
3
Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
Elméleti témakörök (Northrup, 2005)
Alapvető követelmények az operációs rendszerrel szemben. A biztonság tervezési elvei. A támadások összetevői. Címtárak és a fájlrendszer biztonsága. Felhasználó hitelesítés, jogosultságok, hozzáférés menedzsment. A hálózat felügyelet alapvető eszközei. Nyilvános kulcsú infrastruktúra tervezése. Tanúsítványkezelés. Intranet kommunikáció, távoli hozzáférés védelme. Operációs rendszerek behatolás védelme, sérülékenységének vizsgálata és központi menedzsmentje. Szoftverek sérülékenységéből származó kockázatok. Adatmentés-visszaállítás, adathordozók tárolása, adatkezelési ügyrend. Katasztrófa helyreállítási terv készítése. A kockázatelemzés folyamata.
Gyakorlati témakörök (Zacker, 2005)
Diagnosztikai eszközök. Active Directory létrehozása, ellenőrzése, tartományi munka. Felhasználó- és hozzáférés menedzsment. Security Management eszközök. Group Policy létrehozása, beállítása. Sablonok és biztonsági beállítások használata. Tanúsítványkezelés. Felhasználók hitelesítése, Radius szerver használata hitelesítésre. Operációs rendszerek behatolás védelme, Management Consol konfigurálása, Windows Ügynök telepítése, biztonsági szabályok létrehozása és érvényesítése ügyfél gépen. Operációs rendszerek sérülékenységének vizsgálata és központi menedzsmentje. Adatmentés-visszaállítás.
Számítógép hálózatok biztonsága A tárgy keretében a hallgatók megismerik a hálózati infrastruktúrát alkotó eszközök, a forgalomirányítók, a kapcsolók, a különféle alkalmazások és a hozzáférés menedzselését, hitelesítését, az adatforgalom támogatását intéző szerverek és egyéb megoldások, valamint a tároló rendszerek biztonságát érintő megoldásokat. A hallgatók megismerkednek a hálózaton belülről, illetve kívülről eredő támadásokkal, és ezek elhárításával a hálózati eszközök segítségével. Foglalkozunk a kifejezetten a hálózatvédelmet szolgáló eszközökkel, a tűzfalakkal, a hálózati behatolás védelmi és sérülékenységet vizsgáló eszközökkel is. A hálózati biztonság tárgyalása kiterjed mind a vezetékes, mind a vezeték nélküli hálózatokra. (Tipton, 2007) Mintaként az 1.-4. ábrán bemutatunk néhány topológiát, melyet a hallgatóknak laboratóriumi környezetben virtuális gépek segítségével meg kell valósítaniuk.
4
Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
1. ábra Site-to-Site VPN - labor topológia
2. ábra Felhasználók hitelesítése - labor topológia
3. ábra Symantec Gateway Security - Szabályok konfigurálása
5
Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
4. ábra Hálózati behatolás védelem - topológia
Az intézményi informatikai biztonság tervezése Oktatási cél a hallgatókat felkészíteni arra, hogy részt tudjanak venni egy intézmény biztonságos informatikai architektúrája kialakításában. Bemutatjuk, hogyan kell felépíteni, illetve átépíteni egy vállalat informatikai infrastruktúráját úgy, hogy a vállalat informatikai rendszere eleget tegyen az ISO/IEC 27001-es szabványban megfogalmazott követelmények, és az Informatikai Auditorok és Ellenőrök Nemzetközi Szövetsége (ISACA, Information Systems Audit and Control Association) irányelvei szellemének, és ellenálljon az intézmény informatikai rendszere ellen indított külső vagy belső támadásoknak. Az intézményi informatikai biztonság gyakorlata A tantárgyat a képzés utolsó szemeszterére ütemeztük, mivel addigra már minden szükséges ismerettel rendelkeznek a hallgatók egy komplex, életszerű feladat megoldására, kivitelezésére. Az informatikai infrastruktúra biztonsági rendszereinek ismeretére és az intézményi informatikai biztonság tervezésének módszereire építve a hallgatók kis munkacsoportokban gyakorlati feladatot oldanak meg és dokumentálnak. Egy intézményi biztonsági rendszer részletes tervezésének és kivitelezésének esettanulmány keretében történő megismerését követően különböző biztonsági elvárásoknak megfelelő biztonsági rendszert terveznek, kiviteleznek, ellenőriznek, és üzemeltetésükhöz utasítást készítenek. A tervezési és kivitelezési feladat elvégzése során a hallgatók Cisco, Microsoft, Sun és Symentec eszközöket és szoftvereket használnak. A következőkben mintaként bemutatunk egy komplex feladatot. A hallgatóknak háromfős munkacsoportokban az alábbi feladatokat kell elvégezniük: 1) Az informatikai biztonság tervezése az elvárások szerint (vírusvédelem, behatolásvédelem, hozzáférési listák, tűzfalak, stb.) 2) A hálózat felépítése az 5. ábrán vázolt topológia alapján (szerverek és munkaállomások installálása, IP címzés, összeköttetések kialakítása, forgalomirányítók konfigurálása, működőképesség tesztelése) 3) Az informatikai biztonság konfigurálása és tesztelése
6
Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
4) Dokumentálás 5) Az informatikai biztonság ellenőrzése (audit) 6) A megoldás bemutatása
5. ábra A mintafeladatban szereplő IB Rt. topológiája
A feladat végrehajtását követően véleményünk szerint hallgatóink kikerülve a munkaerőpiacra, akár közepes és nagy vállalatok, akár bankok, biztosítók rendszereinek biztonságos kialakításáról, üzemeltetéséről legyen is szó kellő alapokkal fognak rendelkezni, hogy megállják a helyüket. 4.
Összegzés
A banki, közigazgatási, védelmi szférát követően a vállalatok többsége is arra a megállapításra jutott, hogy a megállíthatatlanul terjedő korszerű információs technológiák világában kifizetődőbb jól képzett szakembereket foglalkoztatni az informatikai rendszereik biztonságának kialakítására, megóvására, mint az adott probléma bekövetkezését követő rendszer foltozgatás, helyreállítás, presztízsvesztés kockázata, stb. felvállalása. Ennek az igénynek a kielégítését céloztuk meg az informatikai biztonság szakirány indításával. Fontosnak tartjuk, hogy hallgatóink kikerülve a munkaerőpiacra ne csak elméleti ismeretekkel rendelkezzenek az informatikai rendszerek biztonságát, fenyegetettségét illetően, hanem a képzés során konkrét, életszerű gyakorlati ismeretekre is szert tegyenek. Ehhez a Kompetencia Központjaink erőforrásai is rendelkezésünkre állnak, valamint Karunk és az informatika kulcstechnológiáinak fejlesztésében élenjáró cégek közötti folyamatos kapcsolatnak köszönhetően naprakész ismeretekhez juthatunk a biztonság területén is.
7
Informatika a felsőoktatásban 2008
Debrecen, 2008. augusztus 27-29.
6. ábra 1 A BMF NIK Kompetencia Központjainak hálózata
A Karunkon működő, a 6. ábrán bemutatott Kompetencia Központok hálózatát áttekintve látható, hogy oktatási, képzési tevékenységünkben a naprakész ismeretek biztosításához szakmai segítséget nyújtanak az informatikai biztonság területén vezető szerepet betöltő cégek is, mint a Cisco és a Symantec. Irodalomjegyzék [1]
ISACA (2005) CISA Review Techical Information Manual 2007. ISACA Information Systems Audit and Control Association, Inc., Rolling Meadows, Illinois, USA, 2005
[2]
Northrup, T. (2005) Designing Security for a Microsoft Windows Server 2003 Network, Microsoft Press
[3]
Tipton, Harold F. (2007) Information Security Management Handbook. – 6th ed.
[4]
Zacker, C. (2005) Implementing and Administering Security in a Microsoft Windows Server 2003 Network, Microsoft Press
1
Forrás: BMF NIK képzési tájékoztató füzet 2007/2008
8
