Karta Przedmiotu
| Politechnika Białostocka | Wydział Informatyki | ||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Kierunek studiów | Cyberbezpieczeństwo |
Poziom i forma studiów |
pierwszego stopnia stacjonarne |
||||||||||||||||||||||||
| Grupa przedmiotów / specjalność |
Profil kształcenia | ogólnoakademicki | |||||||||||||||||||||||||
| Nazwa przedmiotu | Bezpieczeństwo baz danych | E | Kod przedmiotu | CYB1BBD | |||||||||||||||||||||||
| Rodzaj zajęć | obowiązkowy | ||||||||||||||||||||||||||
| Formy zajęć i liczba godzin | W | Ć | L | P | Ps | T | S | Semestr | 3 | ||||||||||||||||||
| 30 | 30 | Punkty ECTS | 5 | ||||||||||||||||||||||||
| Program obowiązuje od | 2026/2027 | ||||||||||||||||||||||||||
| Przedmioty wprowadzające | Administracja systemami Linux I (CYB1LIN1), Podstawy cyberbezpieczeństwa (CYB1PCY), Sieci komputerowe I (CYB1SKO1), | ||||||||||||||||||||||||||
| Cele przedmiotu |
Przekazanie wiedzy z zakresu zagrożeń, mechanizmów ochrony i zasad bezpiecznego projektowania relacyjnych i nierelacyjnych baz danych w kontekście cyberbezpieczeństwa, ze szczególnym uwzględnieniem wymagań regulacyjnych (RODO, NIS2). Rozwój praktycznych umiejętności konfigurowania kontroli dostępu, audytu baz danych oraz wykrywania i przeciwdziałania atakom na warstwę danych. Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Bezpieczeństwo informacji (ISCO) - poziom 3 Administracja bazą danych (DBAD) - poziom 3 |
||||||||||||||||||||||||||
| Ramowe treści programowe | Zagrożenia i podatności charakterystyczne dla systemów baz danych, w tym wektory ataków na warstwę danych aplikacji. Mechanizmy kontroli dostępu, uwierzytelniania i autoryzacji w systemach zarządzania bazami danych. Szyfrowanie danych w spoczynku i w transmisji oraz zarządzanie kluczami kryptograficznymi w kontekście baz danych. Zasady bezpiecznego projektowania schematów baz danych, w tym separacja danych wrażliwych i minimalizacja ekspozycji. Audyt i rejestrowanie zdarzeń w bazach danych na potrzeby wykrywania incydentów i zgodności regulacyjnej. Zagadnienia ochrony danych osobowych i wymagań regulacyjnych dotyczących przechowywania i przetwarzania danych. Praktyczne aspekty zabezpieczania popularnych systemów RDBMS. | ||||||||||||||||||||||||||
| Inne informacje o przedmiocie | przedmiot ma związek z prowadzoną na Uczelni działalnością naukową | ||||||||||||||||||||||||||
| przedmiot kształtuje umiejętności praktyczne | |||||||||||||||||||||||||||
| Wyliczenie: | Nakład pracy studenta związany z: | Godzin ogółem |
W tym kontaktowych |
W tym praktycznych |
|||||||||||||||||||||||
| udziałem w wykładach | 30 | 30 | |||||||||||||||||||||||||
| udziałem w innych formach zajęć | 30 | 30 | 30 | ||||||||||||||||||||||||
| wykonaniem zadań i sprawozdań | 35 | 35 | |||||||||||||||||||||||||
| wykonaniem projektu | 20 | 20 | |||||||||||||||||||||||||
| przygotowaniem do egzaminu | 10 | ||||||||||||||||||||||||||
| Razem godzin: | 125 | 60 | 85 | ||||||||||||||||||||||||
| Razem punktów ECTS: | 5 | 2.4 | 3.4 | ||||||||||||||||||||||||
| Zakładane kierunkowe efekty uczenia się | Wiedza | Umiejętności | Kompetencje społeczne |
||||||||||||||||||||||||
| CYB1_W07 | CYB1_U06 | H1_K01 | |||||||||||||||||||||||||
| CYB1_W09 | CYB1_U08 | H1_K02 | |||||||||||||||||||||||||
| CYB1_W13 | CYB1_U11 | ||||||||||||||||||||||||||
| Cele i treści ramowe sformułował(a) | dr inż. Eugenia Busłowska | Data: | 08/04/2026 | ||||||||||||||||||||||||
| Realizacja w roku akademickim | 2027/2028 | ||||||||||||||||||||||||||
| Treści programowe | |||||||||||||||||||||||||||
| Wykład | |||||||||||||||||||||||||||
| 1. | Wprowadzenie do bezpieczeństwa baz danych – miejsce bazy danych w architekturze systemu ICT, cele ochrony (CIA) w kontekście danych | ||||||||||||||||||||||||||
| 2. | Anatomia ataków na bazy danych – SQL Injection (klasyczna, blind, OOB), ataki na procedury składowane, eskalacja uprawnień | ||||||||||||||||||||||||||
| 3. | Mechanizmy uwierzytelniania i autoryzacji w RDBMS – role, uprawnienia obiektowe i systemowe, zasada najmniejszych uprawnień | ||||||||||||||||||||||||||
| 4. | Szyfrowanie danych w spoczynku – TDE (Transparent Data Encryption), szyfrowanie kolumnowe, zarządzanie kluczami (KMS) | ||||||||||||||||||||||||||
| 5. | Szyfrowanie transmisji – TLS/SSL w protokołach baz danych, certyfikaty, konfiguracja bezpiecznych połączeń | ||||||||||||||||||||||||||
| 6. | Audyt baz danych – logi systemowe, mechanizmy native auditing, narzędzia DAM (Database Activity Monitoring) | ||||||||||||||||||||||||||
| 7. | Bezpieczne projektowanie schematów – normalizacja a bezpieczeństwo, separacja danych wrażliwych, pseudonimizacja i anonimizacja | ||||||||||||||||||||||||||
| 8. | Ochrona danych osobowych w bazach danych – RODO w praktyce: minimalizacja, cel przetwarzania, prawo do usunięcia | ||||||||||||||||||||||||||
| 9. | Bezpieczeństwo baz danych NoSQL – specyfika zagrożeń w MongoDB, Redis, Elasticsearch; konfiguracja uprawnień | ||||||||||||||||||||||||||
| 10. | Backup, odtwarzanie i ciągłość działania baz danych – bezpieczne procedury tworzenia kopii zapasowych, testowanie odtwarzania | ||||||||||||||||||||||||||
| 11. | Wstrzykiwanie zapytań w ORM i API – ataki drugiego rzędu, Mass Assignment, IDOR w kontekście warstwy danych | ||||||||||||||||||||||||||
| 12. | Hardening systemów RDBMS – konfiguracja bezpieczeństwa | ||||||||||||||||||||||||||
| 13. | Zarządzanie podatnościami w oprogramowaniu bazodanowym – CVE, patching, polityka aktualizacji | ||||||||||||||||||||||||||
| 14. | Narzędzia do oceny bezpieczeństwa baz danych – skanery, narzędzia pentestingowe (sqlmap, Nessus), compliance checks | ||||||||||||||||||||||||||
| 15. | Podsumowanie – case study: analiza incydentu wycieku danych z bazy danych | ||||||||||||||||||||||||||
| Pracownia specjalistyczna | |||||||||||||||||||||||||||
| 1. | Konfiguracja izolowanego środowiska | ||||||||||||||||||||||||||
| 2. | Eksploracja podatności SQL Injection - ćwiczenia na aplikacji DVWA/WebGoat: wykrywanie i eksploatacja klasyczna | ||||||||||||||||||||||||||
| 3. | SQL Injection zaawansowane - ataki blind-based i time-based; automatyzacja z sqlmap w środowisku kontrolowanym | ||||||||||||||||||||||||||
| 4. | Konfiguracja kontroli dostępu - tworzenie ról i uprawnień | ||||||||||||||||||||||||||
| 5. | Szyfrowanie bazy danych - szyfrowanie wybranych kolumn, testowanie skuteczności | ||||||||||||||||||||||||||
| 6. | Bezpieczne połączenia, weryfikacja certyfikatów, testowanie | ||||||||||||||||||||||||||
| 7. | Audyt i logowanie, analiza logów po symulowanym ataku | ||||||||||||||||||||||||||
| 8. | Anonimizacja i pseudonimizacja danych - implementacja technik maskowania danych w środowisku testowym | ||||||||||||||||||||||||||
| 9. | Testowanie bezpieczeństwa bazy danych – automatyczne skanowanie konfiguracją Lynis/sqlmap; interpretacja wyników | ||||||||||||||||||||||||||
| 10. | Backup i odtwarzanie w kontekście bezpieczeństwa – szyfrowane kopie zapasowe, testowanie przywracania, integralność | ||||||||||||||||||||||||||
| 11. | Analiza incydentu, wykrycie wycieku danych, identyfikacja podatności, dokumentacja | ||||||||||||||||||||||||||
| 12. | Projekt końcowy – audyt bezpieczeństwa przygotowanej bazy danych aplikacji webowej | ||||||||||||||||||||||||||
| 13. | Raport z rekomendacjami | ||||||||||||||||||||||||||
| 14. | Prezentacja i obrona projektów | ||||||||||||||||||||||||||
| 15. | Ocena grupowa, dyskusja wyników, wystawienie ocen | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja stacjonarna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| Ps | nauczanie problemowe, metoda przypadków, programowanie z użyciem komputera, symulacje | ||||||||||||||||||||||||||
| Metody dydaktyczne (realizacja zdalna) |
|||||||||||||||||||||||||||
| W | wykład informacyjny, wykład problemowy, wykład z prezentacją multimedialną | ||||||||||||||||||||||||||
| - | |||||||||||||||||||||||||||
| Forma zaliczenia | |||||||||||||||||||||||||||
| W | egzamin pisemny | ||||||||||||||||||||||||||
| Ps | ocena sprawozdań z wykonanych zadań oraz ocena projektu | ||||||||||||||||||||||||||
| Warunki zaliczenia | |||||||||||||||||||||||||||
| W | Uzyskanie min. 30% punktów z każdego efektu uczenia się z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Ps | Minimalne wymagania odnośnie efektów uczenia się: E4 - zastosowanie mechanizmów kontroli dostępu, szyfrowania oraz identyfikacja i usuwanie typowych błędów konfiguracji E5 - realizacja projektu na na poziomie min. 50% punktów E6 - zastosowanie techniki anonimizacji danych osobowych w bazie danych Ocena końcowa składa się z dwóch części: - część pracowni specjalistycznej: 9 sprawozdań po 10 pkt, - cześć projektowa - max. 8 pkt. + 2 pkt. za dokumentację (w sumie max. 10 pkt.) Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0 |
||||||||||||||||||||||||||
| Symbol efektu | Zakładane efekty uczenia się | Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów | |||||||||||||||||||||||||
| Wiedza | Umiejętności | Kompetencje społeczne |
|||||||||||||||||||||||||
| Wiedza: student zna i rozumie | |||||||||||||||||||||||||||
| E1 | mechanizmy ochrony danych w systemach zarządzania bazami danych, w tym kontrolę dostępu, szyfrowanie i audyt | ||||||||||||||||||||||||||
| E2 | typowe wektory ataków na bazy danych (SQL Injection, eskalacja uprawnień, błędy konfiguracyjne) oraz metody ich wykrywania i eliminacji | ||||||||||||||||||||||||||
| E3 | wymagania prawne i regulacyjne (RODO, NIS2) dotyczące ochrony danych przechowywanych w bazach danych | ||||||||||||||||||||||||||
| Umiejętności: student potrafi | |||||||||||||||||||||||||||
| E4 | skonfigurować mechanizmy kontroli dostępu, audytu i szyfrowania w wybranym systemie RDBMS oraz zidentyfikować i usunąć typowe błędy konfiguracyjne | ||||||||||||||||||||||||||
| E5 | przeprowadzić podstawowy test bezpieczeństwa bazy danych, udokumentować wyniki i sformułować rekomendacje naprawcze | ||||||||||||||||||||||||||
| E6 | zastosować techniki anonimizacji i pseudonimizacji danych osobowych w bazie danych zgodnie z wymaganiami RODO | ||||||||||||||||||||||||||
| Kompetencje społeczne: student jest gotów do | |||||||||||||||||||||||||||
| E7 | krytycznej oceny stosowanych rozwiązań zabezpieczenia danych oraz dostrzegania potrzeby ciągłego monitorowania i aktualizowania konfiguracji bezpieczeństwa baz danych | ||||||||||||||||||||||||||
| Symbol efektu | Sposób weryfikacji efektu uczenia się | Forma zajęć na której zachodzi weryfikacja | |||||||||||||||||||||||||
| E1 | egzamin pisemny | W | |||||||||||||||||||||||||
| E2 | egzamin pisemny | W | |||||||||||||||||||||||||
| E3 | egzamin pisemny | W | |||||||||||||||||||||||||
| E4 | ocena sprawozdań z wykonanych zadań | Ps | |||||||||||||||||||||||||
| E5 | ocena projektu | Ps | |||||||||||||||||||||||||
| E6 | ocena sprawozdań z wykonanych zadań | Ps | |||||||||||||||||||||||||
| E7 | ocena projektu | Ps | |||||||||||||||||||||||||
| Literatura podstawowa | |||||||||||||||||||||||||||
| 1. | M. Sajdak, M. Piosek, G. Coldwind, M. Bentkowski, M. Bentkowski, A. Czyż, R. Janicki, J. Kamiński, A. Michalczyk, M. Niezabitowski, M. Piosek, M. Sajdak, G. Trawiński, B. Widła, Bezpieczeństwo aplikacji webowych, Securitum, 2021 | ||||||||||||||||||||||||||
| 2. | J. P. Aumasson, Nowoczesna kryptografia : praktyczne wprowadzenie do szyfrowania, PWN, 2018 | ||||||||||||||||||||||||||
| 3. | K. Kenan, Kryptografia w bazach danych : ostatnia linia obrony, PWN, 2007 | ||||||||||||||||||||||||||
| 4. | C.H. Beck, Ochrona danych osobowych : RODO, 2019 | ||||||||||||||||||||||||||
| 5. | M. Chałon, Ochrona i bezpieczeństwo danych oraz tendencje rozwojowe baz danych, Oficyna Wydawnicza Politechniki Wrocławskiej, 2007 | ||||||||||||||||||||||||||
| 6. | J. Stokłosa, Bezpieczeństwo danych w systemach informatycznych, PWN, 2001 | ||||||||||||||||||||||||||
| Literatura uzupełniająca | |||||||||||||||||||||||||||
| 1. | Z. Pavlović, M. Veselica, Oracle Database 12c Security Cookbook, Packt, 2016 | ||||||||||||||||||||||||||
| 2. | A. Sharma, S. Johnson, Oracle database security, ISSN (online): 2278-0181, 2018 | ||||||||||||||||||||||||||
| 3. | J. Grubicka, E. Matuska, Bezpieczeństwo cyfrowe. Perspektywa organizacyjna, Difin, 2023 | ||||||||||||||||||||||||||
| 4. | W. Stallings, L. Brown, Bezpieczeństwo systemów informatycznych. Zasady i praktyka. Wydanie IV. Tom 2, Helion, 2019 | ||||||||||||||||||||||||||
| 5. | A. Krasuski, Ochrona danych osobowych na podstawie RODO, Wolters Kluwer Polska, 2018 | ||||||||||||||||||||||||||
| Koordynator przedmiotu: | dr inż. Eugenia Busłowska | Data: | 08/04/2026 | ||||||||||||||||||||||||