Secure Corporate Networks

Piotr Pacyna

Department of Telecommunications pacyna@kt.agh.edu.pl

Bezpieczeństwo sieci korporacyjnych

Opis przedmiotu:

https://syllabuskrk.agh.edu.pl/2018-2019/pl/magnesite/study_plans/stacjonarne-teleinformatyka--2/module/ite-2-103-s-letni-bezpieczenstwo-sieci-korporacyjnych

1 rok, 1 semestr, 30W / 20L, 72 os., 5 ECTS, bez egz. - zaliczenie

Wykład: poniedziałek 17:50-19:20 (2 godz.), D5 Sala 1

Plan zajęć BSK dla Teleinf.

3

Purpose of the lecture

• Discuss enterprise architecture and enterprise-grade security.

• Discuss enterprise governance, incl. IT governance and security governance.

• Discuss risk management.

• Discuss security standards.

• Discuss network- and application-layer security mechanisms and schemes in use in corporate systems (a few scenarios – mostly in the lab.)

Organizacja roku 2018 / 2019

2018/2019

January February March

Su Mo Tu We Th Fr Sa Su Mo Tu We Th Fr Sa Su Mo Tu We Th Fr Sa

1 2 3 4 5 1 2 1 2

6 7 8 9 10 11 12 3 4 5 6 7 8 9 3 4 5 6 7 8 9

13 14 15 16 17 18 19 10 11 12 13 14 15 16 10 11 12 13 14 15 16

20 21 22 23 24 25 26 17 18 19 20 21 22 23 17 18 19 20 21 22 23

27 28 29 30 31 24 25 26 27 28 24 25 26 27 28 29 30

31

April May June

Su Mo Tu We Th Fr Sa Su Mo Tu We Th Fr Sa Su Mo Tu We Th Fr Sa

1 2 3 4 5 6 1 2 3 4 1

7 8 9 10 11 12 13 5 6 7 8 9 10 11 2 3 4 5 6 7 8

14 15 16 17 18 19 20 12 13 14 15 16 17 18 9 10 11 12 13 14 15

21 22 23 24 25 26 27 19 20 21 22 23 24 25 16 17 18 19 20 21 22

28 29 30 26 27 28 29 30 31 23 24 25 26 27 28 29

30

6

Communications with the teachers

• Responsible persons: Piotr Pacyna

Katarzyna Kosek-Szott

Contact with the teachers: – by e-mail

– in person • after lecture

• after laboratory sessions

• during consultation hours (on prior appointment)

Architektura korporacyjna - Wprowadzenie do architektury korporacyjnej

- Zarządzanie i kierowanie przedsiębiorstwem (enterprise governance, IT governance)

- Identyfikacja procesowa, proces a zasób

- Modele działania przedsiębiorstw

- Warstwowy model procesów i systemów IT

Geneza architektury korporacyjnej.

Koncepcja i przeznacznie architektury korporacyjnej.

Motywacja dla wprowadzenia arch. korpo. i cele jej wprowadzania w organizacji.

Korzyści z rozwijania arch. korporacyjnej.

Sposoby realizacji celu nadrzędnego dla architektury korporacyjnej.

Integracja i standaryzacja.

Budowanie fundamentu działalności przedsiębiorstwa.

Priorytety i cele zarządzania w ujęciu: enterprise governance, IT governance, IT management, sec. mgmt.

Synergia business-IT.

Modele operacyjne przedsiębiorstw.

Architektura korporacyjna jako sposób wprowadzania zmian.

Business-IT alignment.

Ład korporacyjny.

Warstwowy model przedsiębiorstwa.

Architektura ramowa (framework architecture).

Przeznaczenie metodyki TOGAF.

Architecture Development Method (ADM).

Rozwijanie systemu bezpieczeństwa w ramach architektury korporacyjnej.

7

Lecture plan (1/3)

Zarządzanie ryzykiem - Pojęcie ryzyka w zarządzaniu przedsiębiorstwem.

- Cele zarządzania bezpieczeństwem.

- Polityka bezpieczeństwa. Strategia bezpieczeństwa.

- Zarządzanie ciągłością działania (business continuity)

- Przywracanie ciągłości (disaster recovery)

- Standard ISO 31000:

- przeznaczenie standardu,

- koncepcja i znaczenie zarządzania ryzykiem w przedsiębiorstwie;

- ogólna struktura i organizacja systemu zarządzania ryzykiem;

- pryncypia zarządzania ryzykiem w przedsiębiorstwie;

- ramy organizacyjne do zarządzania ryzykiem w przedsiębiorstwie.

- System zarządzania bezpieczeństwem informacji (SZBI)

- Polityka

- Procedury

- Role

Standardy i normy dot. bezpieczeństwa - ISO 31000, ISO 22301, ISO 27000, NIST SP 800-53.

- Zawartość. Przeznaczenie. Korzyści. Stosowalność.

8

Lecture plan (2/3)

Role osobowe w zarządzaniu bezpieczeństwem - CIO, CISO, CTO – role, obowiązki.

- Relacje do innych ról/osób odpowiedzialnych za utrzymanie bezpieczeństwa w przedsiębiorstwie.

Charakterystyka przedsiębiorstw przemysłowych - Industry 4.0.

- Infrastruktury krytyczne.

- Istotne cechy IT i OT.

- Różnice z perspektywy zarządzania bezpieczeństwem.

9

Lecture plan (3/3)

Zajęcia laboratoryjne

1. Przegląd możliwości zapory Fortinet - interfejs administratora.

2. Konfiguracja zapory – kontrola dostępu do zasobów intranetu -

uwierzytelnianie użytkowników oraz identyfikacja urządzeń. BYOD.

3. Konfiguracja zapory - zapobieganie utracie danych (DLP).

4. Konfiguracja zapory - obrony usługi www przed atakiem DoS.

5. Konfiguracja zapory - obrona usługi www w strefie DMZ.

6. Konfiguracja zapory – tryb high availability.

10

Zasady zaliczania zajęć lab: uczestnictwo w zajęciach będzie oceniane (aktywność, zaangażowanie, rezultaty).

Zasady zaliczania zajęć z przedmiotu

1. Na koniec zajęć odbędzie się kolokwium końcowe z wykładu oraz z materiałów do samodzielnego studiowania.

2. Materiał do kolokwium będzie obejmował:

– tematy z wykładów

– tematy z materiałów do samodzielnego studiowania. (tematy te będą bezpośrednio powiązane z treścią wykładów)

3. Ocena końcowa będzie oparta na 2 składnikach:

- wynik z zajęć lab.

- wynik z kolokwium w części dot. mat. z wykładu, w tym z mat. z samodzielnego studiowania.

11

12

13

Magazines

Magazines (cont.)

Magazines (cont.)

Security and Communication

Networks

16

Thomas Hardjono, Lakshminath R. Dondeti, “Security in Wireless LANs and MANs”, Artech House, ISBN 10:1-58053-755-3.

Books - recommended reading (1)

17

• Praphul Chandra, “Bulletproof Wireless Security, GSM, UMTS, 802.11 and Ad Hoc Security”, Elsevier, ISBN 0-7506-7746-5.

Books - recommended reading (2)

18

Books

- see web page for a full list of books