Learning outcomes

The system security course aims to provide the fundamental knowledge necessary for specifying and analyzing security policies designed depending on the features of the system to protect, and on the information to protect.
In particular, the course proposes an initial overview of the basic concepts, and then focalizes on the security of operating systems, with particular attention to authentication and authorization, on software security, on software vulnerabilities in presence of malware, and on security databases.
Finally will be treated security management and legal aspects of computer security.

Program

Il corso svilupperà i seguenti argomenti:
1) Introduction:
- Notion of security and tasks of security (confidentiality, integrity and availability)
- Risk and assets analysis
- Vulnerabilities (hardware, software, data and comunication)
- Defenses
- Principles of information security
2) Classical Models
- Policies and models
- Policies: confidentiality vs integrity
- Access control (Autentication vs Autorization)
- DAC models (Harrison-Ruzzo-Ullmann, Graham-Denning, take-grant)
- Multilevel security (MAC)
- Classical models (Bell-LaPadula, Biba, Clark-Wilson, Chinese Wall)
- RBAC
- Non interference
3) Standard Meccanisms
- Autentication
- Autentication vs Identification
- Autentication (password-based, token-based, biometric)
- Attacks and protection
- Meccanisms for access control
- Intrusion detection systems
- Execution monitors
4) Data base security
- Relational data base security
- Access control and SQL
- Statistical data base security (Aggregation, inference and kind of attacks)
- Multilevel data base security
- Security and Data mining
5) Software
- SW Vulnerabilities
- Input management: errors vs attacks
- Store management: Buffer overflow
- Other kind of SW attacks
- Malware
- Kinds of malware
- Virus (Definitions, propagation methods, defence methods)
- Worm
- Backdoor (trapdoor), Troian horses and other malware kinds
- Models
- Defenses
6) Legal aspects of security
- Privacy and computer science
- Cyber crimes
- Ethical aspects
7) Security management
- Physical manaces to security
- Pianification and human issue
- Economical aspects of security

Examination Methods

L'esame sarà strutturato in due parti e può essere espletato in due modi:
- Scritto + Progetto
- Scritto + Orale (opzionale)
In particolare:
Scritto: Insieme domande e semplici esercizi si valuterà la preparazione dello studente sull'intero programma del corso. La valutazione verrà data in due modi per dare allo studente la possibilità di scegliere come completare l'esame. Tale valutazione sarà espressa sia in 30esimi (in tal caso si è ammessi alla registrazione/orale se la valutazione è maggiore o uguale a 18/30) che come bonus da 0 a 4 (in tal caso si è ammessi a sostenere il progetto se la valutazione è maggiore o uguale a 1)
- Progetto/approfondimento fatto da gruppi di massimo due persone il cui argomento può essere anche proposto al docente da parte del gruppo stesso. Tale progetto sarà presentato sottoforma di una relazione scritta e di una presentazione orale.
Il risultato dell'esame sarà poi ottenuto dando una valutazione in 30esimi (rapportato poi a 24 + 2 punti per la presentazione) al progetto;
- Orale: Esame sull'intero programma del corso. In caso di voto superiore al 26/30 allo scritto l'orale diventa obbligatorio per poter anche solo confermare il voto, altrimenti si può registrare massimo un 26.

Sintetizzando:
- Voto scritto su 4 minore di 1: Ripetere lo scritto;
- Voto scritto su 4 tra 1 e 2,4 (inferiore a 18/30): Fare progetto OPPURE ripetere lo scritto;
- Voto scritto su 4 tra 2,4 e 3,4 (tra 18/30 e 26/30): Fare progetto (in tal caso vale il voto su 4) OPPURE registrare OPPURE fare orale (in questi casi vale il voto in 30esimi)
- Voto scritto maggiore di 3,4 (maggiore di 26/30): Fare progetto (in tal caso vale il voto su 4) OPPURE fare orale OPPURE registrare 26/30.