Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

Samankaltaiset tiedostot
Palvelunestohyökkäykset

Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Ohjelmistoprosessit ja ohjelmistojen laatu Kevät Ohjelmistoprosessit ja ohjelmistojen laatu. Projektinhallinnan laadunvarmistus

Käytettävyyslaatumallin rakentaminen web-sivustolle. Oulun yliopisto tietojenkäsittelytieteiden laitos pro gradu -suunnitelma Timo Laapotti 28.9.

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Hyökkäysten havainnoinnin tulevaisuus?

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Yritysturvallisuuden perusteet

Tietojenkäsittelytieteiden koulutusohjelma. Tietojenkäsittelytieteiden laitos Department of Information Processing Science

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

in condition monitoring

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

Smart cities - nyt ja huomenna

Orientation week program WMMI19KP

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Vesihuolto päivät #vesihuolto2018

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tutkimus web-palveluista (1996)

Kyberturvaaja-hanke - Tietoturvakoulutusta yrityksille / Jarkko Paavola

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Älä menetä domainiasi alle 10 minuutissa (Sisältäen kahvitauon) Ympäristön automaattinen suojaaminen ja valvonta

CMMI CMMI CMM -> CMMI. CMM Capability Maturity Model. Sami Kollanus TJTA330 Ohjelmistotuotanto

Diplomityöseminaari

punainen lanka - Kehitysjohtaja Mcompetence Oy markokesti.com Työhyvinvoinnin kohtaamispaikka Sykettätyöhön.

Kasva tietoturvallisena yrityksenä

Mullistavat tulostusratkaisut

- Yleistä. - EA ad-hoc group - FINAS S21/ Keskustelua

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Globaalisti Hajautettu Ohjelmistokehitys Mitä, Miksi & Miten? Maria Paasivaara

WP5: Järjestelmäintegraatio. Ilkka Tikanmäki ja Ville Roisko

SC7 Interim, Hoboken, USA WG 7 ja 10 kokoukset, marraskuu Keskeiset työkohteet ja tulokset. Timo Varkoi, Senior Advisor FiSMA

A new model of regional development work in habilitation of children - Good habilitation in functional networks

Tietoturvallisuuden ja tietoturvaammattilaisen

IEC Sähköisten/eletronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus

TEEMME KYBERTURVASTA TOTTA

Tietoturva - toiminnan peruskivi. Tietoyhteiskunta- ja tietoturvaseminaari, Jan Mickos

TEEMME KYBERTURVASTA TOTTA

Tietoturvallinen ohjelmistojen kehitys. Käytäntöjä tietoturvallisuuden huomioimiseen ohjelmistokehitysprosessin eri vaiheissa

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Luottamuksen ja maineen rooli palveluperustaisten yhteisöjen muodostamisessa

MAAILMAT YHTYY MITEN YLITTÄÄ KUILU TURVALLISESTI

Ti Tietoturvan Perusteet

CMM Capability Maturity Model. Software Engineering Institute (SEI) Perustettu vuonna 1984 Carnegie Mellon University

CMMI CMM -> CMMI. CMM Capability Maturity Model. Sami Kollanus TJTA330 Ohjelmistotuotanto Software Engineering Institute (SEI)

Sulautettu tietotekniikka Ubiquitous Real World Real Time for First Lives

Sähköinen palvelusetelijärjestelmä Keskitetty vai hajautettu

Hakkerin henkilökuva. [Avaa linkki valmiiksi ja poista presentaatiosta]

Langattomien verkkojen tietosuojapalvelut

Verkostoautomaatiojärjestelmien tietoturva

IBM Iptorin pilven reunalla

Making use of BIM in energy management

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

WLAN-turvallisuus. Juha Niemi

Informaatioteknologia. Turvallisuus. Tietoturvallisuuden hallintajärjestelmät. ISO/IEC standardiperhe

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Langattomien laitteiden ja sovellusten tietoturva

RAIN RAKENTAMISEN INTEGRAATIOKYVYKKYYS

Verkostoautomaatiojärjestelmien tietoturva

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Tärkeimpien ICS- tietoturvastandardien soveltaminen Fortumissa. Tietoturvaa teollisuusautomaatioon (TITAN) Seminaari,

Esitykset jaetaan tilaisuuden jälkeen, saat linkin sähköpostiisi. Toivottavasti vastaat myös muutamaan kysymykseen tapahtumasta Have a lot of fun!

Local and comprehensive schemes with renewable energy. Mika Kallio One1 Oy

European Certificate for Quality in Internationalisation. Mafi Saarilammi Korkeakoulujen arviointineuvosto

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

NESTE ENGINEERING SOLUTIONS

EVASERVE. Moduuli: Tietopalveluiden tietoturvana arviointi

Setup Utility (Tietokoneen asetukset) -apuohjelma. Oppaan osanumero:

FPGA-piirien käyttökohteet nyt ja tulevaisuudessa Tomi Norolampi

XML-tutkimus Jyväskylän yliopistossa

Agora Center - Monitieteiset projektit

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

TIETOLIIKENNEVERKKOJEN OPISKELU TTY:llä

Kyberturvallisuus kiinteistöautomaatiossa

Tietoturvapäivä. Tietoturva nyt ja tulevaisuudessa Mitä uusi tietosuoja-asetus tarkoittaa? Fiarone Oy

SMART BUSINESS ARCHITECTURE

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Standardisoitua toimintaa Veikkauksessa

Building Information Model (BIM) promoting safety in the construction site process. SafetyBIM research project 10/2007 2/2009. (TurvaBIM in Finnish)

Teollisuusautomaation tietoturvaseminaari

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Kyberturvallisuuden implementointi

Käyttöjärjestelmät(CT50A2602)

TEEMME KYBERTURVASTA TOTTA

Tietoturvakonsulttina työskentely KPMG:llä

SUSEtoberfest muistilista Huomaa Wif Sitä saa mitä tilaa esiintyjinä hankkeita toteuttaneita asiantuntijoita ja aiheina

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

TeliaSonera. John Saario. IT viikon seminaari Managed Services liiketoiminta ja Identity Management

Page 1 of 9. Ryhmä/group: L = luento, lecture H = harjoitus, exercises A, ATK = atk-harjoitukset, computer exercises

IPv6 ja Esineiden Internet

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Tietojärjestelmätieteen ohjelmat

VKYH Ammattikorkeakoulujen vieraskielisten yhteishaku HAKIJA- JA ALOITUSPAIKKATILASTO ( 8) Koko maa

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Älykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj IBM Corporation

Transkriptio:

Seminaariaiheet Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

1. BS7799 / ISO 17799 Perustava tietoturvastandardi Kaksiosainen Mikä on BS7799 / ISO17799? Mihin se antaa vastaukset? Mihin se ei anna vastauksia?

2. ISF Standard of Good Practices Toisenlainen tietoturvaohjeisto http://www.securityforum.org/ Mikä tämä ohjeisto on? Mihin tämä antaa vastauksia? Mihin se ei anna vastauksia? Mikä ero on tällä ja BS7799:llä?

3. Common Criteria Tietoturvakomponenttien evaluointijärjestelmä http://www.commoncriteria.org/ Mikä Common Criteria on? Mitä sillä voi saada aikaan ja miten? Mitä on otettava huomioon, jos myyntiargumenttina on CC-sertifiointi?

4. Riskianalyysimenetelmät Riskianalyysi on tietoturvallisuuden perustyökalu Esim. Herzog, A., Shahmehri N. "Towards Secure E-Services: Risk analysis of a Home Automation Service". NordSec'01. Millä eri tavalla riskianalyysi voidaan tehdä. Mitä hyviä ja huonoja puolia kussakin on. Mikä menetelmä sopii mihinkin tilanteeseen/kohteeseen?

5. Jonkin teknisen järjestelmän riskianalyysi Herzog, A., Shahmehri N. "Towards Secure E- Services: Risk analysis of a Home Automation Service". NordSec'01. Suoritetaan em. mallin (tai jonkun muun) mukaisesti kevyt riskianalyysi johonkin sopivaan tekniseen järjestelmään Sopii parityöksi edellisen aiheen kanssa.

6. Ohjelmistoprojektin riskianalyysi Ks. esim. Royce: Software Project Management. Addison-Wesley, 1998. Ja muu ohjelmistoprojektikirjallisuus. Milloin ohjelmistoprojektissa pitäisi tehdä riskianalyysiä? Miten se pitäisi tehdä? Mihin kysymyksiin se antaa vastauksia ja mihin ei?

7. Tietojärjestelmämurron käsittely Vähemmän perinteinen aihe, tavanomaista tieteellistä kirjallisuutta ei juurikaan ole Mitä pitää teknisesti tehdä, jos havaitaan tietomurto. Mitä pitää tehdä Suomessa, jos haluaa nostaa asiasta oikeusjutun? Keille kaikille pitää/tulisi ilmoittaa? Tarvitaan haastattelut esim. paikallispoliisin, KRP:n ja viestintäviraston edustajilta

8. Tietoturvapolitiikat Ks. esim. IFIP TC11 17th International Conference on Information Security (SEC2002) ja Siponen: Policies for Construction of Information Systems' Security Guidelines Mikä on tietoturvapolitiikka? Millä tasoilla tulisi tietoturvapolitiikkoja olla? Minkälaisia tietoturvapolitiikkojen tulisi olla? Miten tietoturvapolitiikkoja tulisi tehdä? Mikä on turvapolitiikkojen suhde erilaisiin käyttösuosituksiin ja toimintaohjeisiin?

9. SSE-CMM Systems Security Engineering Capability Maturity Model Mikä on SSE-CMM? Miten se eroaa muista CMM-malleista? Mitä vastauksia se antaa järjestelmien tietoturvalle? Miten se eroaa esim. Common Criteriasta?

10. Puskurin ylivuotohyökkäykset Aleph One: Smashing The Stack For Fun And Profit. Phrack 49. Miten puskurin ylivuotohyökkäykset toimivat? Millaisissa tilanteissa sellainen voidaan saada aikaan? Mitä ominaisuuksia tarvitaan käyttöjärjestelmältä/laitteistolta, että tämä hyökkäys toimii? Toimisiko se oudommissa käyttöjärjestelmissä (esim. VMS)? Voidaanko tällaiset hyökkäykset estää?

11. Ohjelmointivirheiden automaattinen etsiminen Ohjelmistovirheet ovat jatkuvasti riesa. Ks. Protos ja Ghosh et al "An automated approach for Identifying Potential vulnerabilities in software". IEEE Symposium on Security and Privacy, 1998. Missä ohjelmistokehityksen vaiheissa virheitä voidaan automatisoidusti etsiä? Miten niitä voidaan etsiä? Mitä hyviä ja huonoja puolia tällä olisi?

12. Turvallinen ohjelmistosuunnittelu Alkuun Siponen: Designing secure information systems and software, Voidaanko ohjelmistosuunnittelulla saada aikaan turvallisempia ohjelmia? Miten?

13. Julkisen avaimen infrastruktuuri (PKI) PKI:n tulosta ja tulemattomuudesta on puhuttu pitkään. Alkuun pääsee esim. X.509-standardilla ja Nikander, Viljanen: Storing and Retrieving Internet Certificates. NordSec'98. Mihin PKI:tä tarvitaan? Mitä sillä yritetään saada aikaan, mihin sitä käytetään? Mitä eri teknisiä vaihtoehtoja on? Ketkä siitä hyötyvät?

14. Digi-TV:n MHP:n turvallisuus Digi-TV:n MHP on nyt kuuma puheenaihe. Ks. http://www.mhp.org/ ja sieltä tekninen informaatio Miten MHP toimii? Mihin sen tietoturva perustuu? Millaisia tietoturvaan vaikuttavia ulkoisia osia MHP:ssä on (operaattorit, jakelukanavat jne) ja miten ne muuttavat kuviota?

15. WLAN-turvallisuus WLANin eli IEEE 802.11:n turvattomuudesta on puhuttu pitkään Stubblefield et al: "Using the Fluhrer, Mantin and Shamir attack to break WEP." Mihin perus-wlanin turvallisuus perustuu? Mihin turvallisuus kompastui? Miten turvallisuusongelmat voidaan teknisesti kiertää? Millaisia uusia turvaominaisuuksia WLANstandardointiryhmä on nyt kehittänyt?

16. Bluetooth-turvallisuus Hyvä lähtökohta Gehrmann, Nyberg: "Enhancements to Bluetooth baseband security". Nordsec'01. Mihin Bluetoothin turvallisuus perustuu? Mitä on tehty oikein verrattuna WLANin turvallisuuteen?

17. Palvelunestohyökkäykset DoS ja DDos ovat jatkuvasti erilaisten ilkiöiden työkalupakissa millaisia palvelunestohyökkäyksiä on miten niiltä voi suojautua, vai voiko? Verkkopuolelta yksi lähde esim. Leiwo, Aura, Nikander: "Towards network denial of Service resistant protocols". IFIP TC11 16th Annual Working Conference on Information Security, 2000.

18. Tunkeutumisen havaitseminen IDS-järjestelmät alkavat nyt olla aika jokapäiväistä kauraa organisaatioissa. Useita artikkeleita esim. Proc. of IEEE ACSAC'01 ja RAID konferenssipaperit. Millaisia erilaisia IDS-järjestelmiä on? Miten ne toimivat? Mitä muuta tarvitaan kuin toimivat IDS-sensorit?

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute