# Tehnologii ale Securitatii Informationale - Tematici pentru Lectii de Curs

**Durata cursului:** 3 luni, 2 ore/saptamana (24-30 ore total)
**Destinatar:** Studenti de licenta, Anul II, Semestrul IV
**Credite:** 4 ECTS

---

## Tema 1: Fundamentele Securitatii Informationale

### 1.1 Concepte de Baza si Terminologie
- Definirea securitatii informationale vs securitatea cibernetica
- Triada CID: Confidentialitate, Integritate, Disponibilitate
- Proprietati suplimentare de securitate: Autentificare, Non-repudiere, Responsabilitate
- Active, amenintari, vulnerabilitati si riscuri
- Incidente de securitate vs brese de securitate
- Principiul apararii in profunzime
- Securitate prin proiectare si securitate prin configurare implicita

### 1.2 Peisajul Amenintarilor si Vectori de Atac
- Clasificarea actorilor de amenintare: state-natiune, infractori cibernetici, hacktivisti, persoane din interior
- Caracteristicile Amenintarilor Persistente Avansate (APT)
- Vectori de atac: retea, aplicatie, fizic, social
- Ciclul de viata al vulnerabilitatilor si divulgarea responsabila
- Vulnerabilitati si Expuneri Comune (CVE) si scorul CVSS
- Cadrul MITRE ATT&CK pentru informatii despre amenintari
- Atacuri bazate pe IA si descoperirea automatizata a vulnerabilitatilor
- Amenintari de calcul cuantic: atacuri "colecteaza acum, decripteaza mai tarziu"
- Atacuri asupra lantului de aprovizionare si Lista Materialelor Software (SBOM)

---

## Tema 2: Software Malitios si Inginerie Sociala

### 2.1 Software Malitios
- Taxonomia programelor malitioase: virusi, viermi, troieni, ransomware, spyware, rootkit-uri, bootkit-uri
- Malware fara fisiere si tehnici "living-off-the-land"
- Vectori de infectie si metode de propagare
- Modele de afaceri ransomware: RaaS (Ransomware-ca-Serviciu), extorcare dubla
- Bazele analizei statice si dinamice a malware-ului
- Tehnologii antivirus: detectie bazata pe semnaturi, euristica, comportamentala, bazata pe ML
- Tehnici de evitare a sandbox-ului

### 2.2 Inginerie Sociala si Factorul Uman
- Psihologia atacurilor de inginerie sociala
- Variante de phishing: spear phishing, whaling, vishing, smishing, quishing (phishing prin cod QR)
- Pretext, momeala si tailgating
- Compromiterea E-mailului de Afaceri (BEC) si frauda CEO
- Continut phishing generat de IA folosind modele lingvistice mari
- Atacuri deepfake: clonare vocala, substituire video
- IA adversariala: atacuri care vizeaza sistemele de securitate bazate pe ML
- Instruire pentru constientizarea securitatii si simulari de phishing

---

## Tema 3: Control al Accesului si Gestionarea Identitatii

### 3.1 Modele de Control al Accesului
- Concepte de identificare, autentificare, autorizare
- Control Discretionar al Accesului (DAC)
- Control Obligatoriu al Accesului (MAC) si etichete de securitate
- Control al Accesului Bazat pe Roluri (RBAC)
- Control al Accesului Bazat pe Atribute (ABAC)
- Control al Accesului Bazat pe Politici (PBAC)
- Principiul privilegiului minim si necesitatea de a cunoaste
- Separarea responsabilitatilor

### 3.2 Autentificare si Gestionarea Conturilor
- Factori de autentificare: cunoastere, posesie, inerenta, locatie, comportament
- Implementarea autentificarii multi-factor (MFA)
- Politici de parole, manageri de parole, atacuri de tip credential stuffing
- Autentificare fara parola: standarde FIDO2/WebAuthn, chei de acces (passkeys)
- Autentificare unica (SSO) si identitate federata (SAML, OAuth 2.0, OpenID Connect)
- Gestionarea Accesului Privilegiat (PAM) si acces just-in-time
- Gestionarea ciclului de viata al conturilor si dezactivare
- Arhitectura Zero Trust: "niciodata nu ai incredere, verifica intotdeauna", autentificare continua
- Identitate descentralizata si acreditari verificabile
- Detectia si Raspunsul la Amenintari de Identitate (ITDR)

---

## Tema 4: Tehnologii de Securitate si Protectia Infrastructurii

### 4.1 Tehnologii de Securitate a Retelelor
- Tipuri de firewall: filtrare de pachete, cu stare, la nivel de aplicatie, de noua generatie (NGFW)
- Firewall-uri pentru Aplicatii Web (WAF)
- Retele Private Virtuale: IPSec, SSL/TLS VPN, OpenVPN
- WireGuard: VPN modern folosind ChaCha20-Poly1305, Curve25519, BLAKE2
- Sisteme de Detectie a Intruziunilor (IDS) si Sisteme de Prevenire a Intruziunilor (IPS)
- Segmentarea retelei, VLAN-uri si arhitectura DMZ
- Microsegmentare pentru retele zero trust
- Gestionarea Informatiilor si Evenimentelor de Securitate (SIEM)
- Detectie si Raspuns Extins (XDR)
- Orchestrare, Automatizare si Raspuns de Securitate (SOAR)

### 4.2 Protectia Punctelor Terminale si a Sistemelor
- Detectie si Raspuns la Punctele Terminale (EDR)
- Detectia intruziunilor bazata pe gazda (HIDS) si prevenire (HIPS)
- Intarirea sistemului de operare si linii de baza pentru configurare securizata
- Strategii de gestionare a patch-urilor si gestionarea vulnerabilitatilor
- Securitatea dispozitivelor mobile si Gestionarea Dispozitivelor Mobile (MDM)
- Prevenirea Pierderii Datelor (DLP)
- Serviciu de Acces Securizat la Margine (SASE)
- Instrumente de securitate alimentate de IA/ML si analiza comportamentala
- Lista alba de aplicatii si sandboxing

---

## Tema 5: Criptografie - Simetrica si Asimetrica

### 5.1 Criptografie Simetrica
- Principii ale criptarii simetrice, confuzie si difuzie
- Cifruri bloc vs cifruri flux
- Standard de Criptare a Datelor (DES) si Triple DES (invechit, importanta istorica)
- Standard Avansat de Criptare (AES-128, AES-192, AES-256)
- Moduri de operare AES: ECB (nesigur), CBC, CTR, OFB, CFB
- Criptare autentificata cu date asociate (AEAD): AES-GCM, AES-CCM
- AES-GCM-SIV: mod rezistent la reutilizarea nonce-ului
- ChaCha20: cifru flux alternativ la AES
- ChaCha20-Poly1305: cifru AEAD utilizat in TLS 1.3 (RFC 8439)
- XChaCha20: varianta cu nonce extins pentru criptare la scara mare
- Ascon: standard NIST pentru criptografie usoara (2023) pentru IoT/dispozitive incorporate
- Provocari in gestionarea cheilor si functii de derivare a cheilor (HKDF, PBKDF2)

### 5.2 Criptografie Asimetrica
- Principii ale criptografiei cu cheie publica si fundamente matematice
- Algoritmul RSA: generarea cheilor, criptare, semnare (RSA-2048, RSA-4096)
- Scheme de completare RSA: OAEP pentru criptare, PSS pentru semnaturi
- Criptografie pe Curbe Eliptice (ECC): curbe NIST (P-256, P-384, P-521)
- Curve25519/X25519: curba eliptica de mare viteza pentru schimb de chei
- Ed25519/EdDSA: semnaturi digitale rapide si deterministe
- X448/Ed448: variante de curba cu securitate mai mare (securitate de 224 biti)
- Schimb de chei Diffie-Hellman: DH clasic, ECDH, X25519
- Scheme de criptare hibride combinand simetric si asimetric
- Criptografie Post-Cuantica (PQC) si amenintarile calculului cuantic
- Amenintarea algoritmului Shor pentru RSA/ECC, impactul algoritmului Grover asupra criptografiei simetrice
- Standarde NIST PQC (FIPS 203, 204, 205 - 2024):
  - ML-KEM (CRYSTALS-Kyber): incapsulare de chei bazata pe retele
  - ML-DSA (CRYSTALS-Dilithium): semnaturi digitale bazate pe retele
  - SLH-DSA (SPHINCS+): semnaturi bazate pe hash, fara stare
- Algoritmi PQC suplimentari: FALCON, BIKE, HQC, Classic McEliece
- Agilitate criptografica: proiectarea sistemelor pentru migrarea algoritmilor
- Scheme hibride clasice/PQC: X25519+ML-KEM pentru securitate tranzitorie

---

## Tema 6: Integritatea Datelor, Semnaturi Digitale si PKI

### 6.1 Hashing si Integritatea Datelor
- Proprietatile functiilor hash criptografice: rezistenta la coliziuni, rezistenta la preimagine, efectul avalansa
- Atacul zilei de nastere si probabilitatea coliziunilor hash
- Hash-uri invechite: MD5, SHA-1 (depreciate, atacuri de coliziune demonstrate)
- Familia SHA-2: SHA-256, SHA-384, SHA-512, SHA-512/256
- SHA-3 (Keccak): SHA3-256, SHA3-512, constructie sponge
- Functii cu Iesire Extensibila SHA-3 (XOF): SHAKE128, SHAKE256
- BLAKE2 (BLAKE2b, BLAKE2s): mai rapid decat SHA-3, utilizat pe scara larga
- BLAKE3: paralelizabil, algoritm unic pentru hashing/MAC/KDF/XOF
- Coduri de Autentificare a Mesajelor: HMAC-SHA256, HMAC-SHA3, KMAC, Poly1305
- Verificarea integritatii bazata pe hash si sume de control
- Hashing de parole: bcrypt, scrypt, Argon2id (functii cu utilizare intensiva a memoriei)
- Variante Argon2 si ajustarea parametrilor (cost memorie, cost timp, paralelism)

### 6.2 Semnaturi Digitale si Certificate
- Scheme de semnatura digitala si proprietatile lor de securitate
- Semnaturi RSA: PKCS#1 v1.5 (invechit), RSA-PSS (recomandat)
- DSA si ECDSA (P-256, P-384)
- EdDSA (Ed25519, Ed448): deterministic, verificare rapida
- Semnaturi Schnorr si semnaturi BLS (agregabile, aplicatii blockchain)
- Semnaturi cu prag si multi-semnaturi
- Semnaturi post-cuantice: ML-DSA (Dilithium), SLH-DSA (SPHINCS+), FALCON
- Componentele Infrastructurii cu Cheie Publica (PKI) si modele de incredere
- Ierarhia Autoritatilor de Certificare (CA) si certificarea incrucisata
- Structura certificatelor X.509, extensii si validare
- Ciclul de viata al certificatelor: emitere, reinnoire, revocare (CRL, OCSP)
- Jurnale de Transparenta a Certificatelor (CT) pentru detectarea emiterii eronate
- Gestionarea Automatizata a Certificatelor: protocolul ACME, Let's Encrypt
- Protocolul TLS 1.3: strangere de mana imbunatatita, confidentialitate perfecta obligatorie
- Autentificare Bazata pe DNS (DANE) si inregistrari TLSA
- Semnarea codului, integritatea software-ului si securitatea lantului de aprovizionare (Sigstore, SLSA)
- Tehnologii criptografice emergente: criptare homomorfica, MPC, dovezi cu cunoastere zero

---

## Tema 7: Securitatea Cloud si Protectia Infrastructurii

### 7.1 Fundamente ale Securitatii Cloud
- Modele de servicii cloud: responsabilitati de securitate IaaS, PaaS, SaaS
- Modelul responsabilitatii partajate pe furnizor de cloud
- Matricea de Controale Cloud a Cloud Security Alliance (CSA)
- Gestionarea Identitatii si Accesului in cloud: politici IAM, conturi de serviciu
- Criptarea datelor in tranzit (TLS) si in repaus (criptare envelope)
- Servicii de gestionare a cheilor si chei gestionate de client
- Certificari de conformitate cloud: SOC 2, ISO 27001, FedRAMP
- Securitate multi-cloud: politici consistente pe AWS, Azure, GCP
- Securitatea containerelor: intarirea Docker, scanarea imaginilor, protectie la executie
- Securitatea Kubernetes: RBAC, politici de retea, standarde de securitate pentru pod-uri
- Securitate serverless: permisiuni pentru functii, vulnerabilitati de pornire la rece
- Scanarea securitatii Infrastructurii ca Cod (IaC): Terraform, CloudFormation
- Platforma de Protectie a Aplicatiilor Native in Cloud (CNAPP)
- Securitatea API: gateway-uri API, limitarea ratei, OAuth 2.0, protectie impotriva amenintarilor API

### 7.2 Rezilienta Retelelor si Infrastructurii
- Concepte de disponibilitate: uptime, SLA-uri, "noua de disponibilitate"
- Modele de redundanta: activ-pasiv, activ-activ, N+1
- Recuperare in caz de dezastru: RTO, RPO, site-uri calde/caldute/reci
- Planificarea continuitatii afacerii si testare
- Strategii de backup: regula 3-2-1, backup-uri imuabile, backup-uri izolate
- Arhitecturi de inalta disponibilitate si echilibrarea incarcarii
- Tipuri de atacuri DDoS si atenuare: volumetrice, de protocol, la nivelul aplicatiei
- Retele de Distribuire a Continutului (CDN) pentru protectie si performanta
- Raspuns la incidente in medii cloud
- Inginerie haos si testarea rezilienta

---

## Tema 8: Gestionarea Riscurilor, Politici si Conformitate

### 8.1 Gestionarea Riscurilor de Securitate
- Ciclul de viata al gestionarii riscurilor: identificare, evaluare, tratare, monitorizare
- Metodologii de evaluare a riscurilor: cantitativ vs calitativ
- Identificarea si clasificarea activelor
- Modelarea amenintarilor: STRIDE, PASTA, arbori de atac
- Instrumente de evaluare a vulnerabilitatilor si testare de penetrare
- Calculul riscului: matrici probabilitate x impact
- Optiuni de tratare a riscului: acceptare, atenuare, transfer (asigurare), evitare
- Apetitul pentru risc si toleranta la risc
- Metrici de securitate, KPI-uri si KRI-uri
- Cadrul de gestionare a riscurilor ISO 27005
- Gestionarea riscurilor de la terti si evaluarea furnizorilor
- Monitorizare continua a riscurilor si scanare automatizata
- Asigurare cibernetica: tipuri de acoperire, cerinte, limitari

### 8.2 Politici si Standarde de Securitate
- Ierarhia politicilor de securitate: politici, standarde, proceduri, ghiduri
- ISO/IEC 27001 Sistemul de Management al Securitatii Informatiilor (SMSI)
- Cadrul de Securitate Cibernetica NIST 2.0 si cele cinci functii ale sale
- Controale CIS si benchmark-uri de securitate
- Guvernanta securitatii: roluri (CISO, DPO), comitete, raportare
- Tipuri de audit de securitate: intern, extern, certificare
- Verificarea conformitatii si colectarea dovezilor
- Planificarea raspunsului la incidente: pregatire, detectie, izolare, eradicare, recuperare, lectii invatate
- Modele si maturitate ale Centrului de Operatiuni de Securitate (SOC)
- Regulamente UE: Directiva NIS2, DORA (sectorul financiar), Actul privind Rezilienta Cibernetica
- Implicatiile Actului UE privind IA pentru sistemele de securitate
- GDPR si reglementari privind confidentialitatea: transfer de date transfrontalier, notificare a bresei
- Conformitate specifica industriei: PCI DSS, HIPAA, SOX

---

## Alinierea Lucrarilor de Laborator

| Lab | Subiect | Ore |
|-----|---------|-----|
| LL1 | Analiza incidentelor de securitate, studii de caz privind brese majore | 2 |
| LL2 | Explorarea tehnicilor de inginerie sociala | 2 |
| LL3 | Configurarea mediului securizat, intarire | 2 |
| LL4 | Politici locale de securitate in Windows/Linux | 2 |
| LL5 | Configurarea firewall-ului, configurarea VPN | 4 |
| LL6 | Autentificare, autorizare, contabilizare (AAA) | 2 |
| LL7 | Instrumente de criptare a fisierelor si datelor | 2 |
| LL8 | Implementarea criptarii simetrice | 2 |
| LL9 | Verificarea integritatii datelor, hashing | 2 |
| LL10 | Implementarea semnaturilor digitale | 2 |
| LL11 | Identificarea activelor informationale, scanarea vulnerabilitatilor | 2 |
| LL12 | Evaluarea riscurilor, planificarea tratarii riscurilor | 2 |
| LL13 | Dezvoltarea SMSI pentru organizatie | 2 |
| LL14 | Crearea politicilor de securitate | 2 |

---

## Standarde si Referinte (2024-2026)

### Standarde ISO/IEC
- ISO/IEC 27001:2022 - Sisteme de Management al Securitatii Informatiilor
- ISO/IEC 27002:2022 - Controale de Securitate a Informatiilor
- ISO/IEC 27005:2022 - Gestionarea Riscurilor de Securitate a Informatiilor
- ISO/IEC 27017:2023 - Controale de Securitate Cloud
- ISO/IEC 27701:2019 - Gestionarea Informatiilor Private

### Publicatii NIST
- NIST FIPS 203 (2024) - ML-KEM (Mecanism de Incapsulare a Cheilor Bazat pe Retele Modulare)
- NIST FIPS 204 (2024) - ML-DSA (Algoritm de Semnatura Digitala Bazat pe Retele Modulare)
- NIST FIPS 205 (2024) - SLH-DSA (Algoritm de Semnatura Digitala Bazat pe Hash, Fara Stare)
- NIST SP 800-207 - Arhitectura Zero Trust
- Cadrul de Securitate Cibernetica NIST 2.0 (2024)
- NIST SP 800-63B - Ghiduri pentru Identitatea Digitala (Autentificare)

### Regulamente si Directive UE (2024-2026)
- Directiva NIS2 (UE 2022/2555) - Securitatea Retelelor si Informatiilor
- DORA (UE 2022/2554) - Actul privind Rezilienta Operationala Digitala
- Actul UE privind IA (2024) - Reglementarea Inteligentei Artificiale
- Actul UE privind Rezilienta Cibernetica (2024)

### Cadre si Rapoarte din Industrie
- Cadrul MITRE ATT&CK (actualizat trimestrial)
- Raportul ENISA privind Peisajul Amenintarilor (anual)
- Cloud Security Alliance (CSA) - Matricea de Controale Cloud v4
- OWASP Top 10 (2021, actualizare asteptata 2025)
- Controale CIS v8.1

### Standarde Criptografice
- RFC 8446 - TLS 1.3
- RFC 8439 - ChaCha20-Poly1305
- RFC 7748 - Curbe Eliptice pentru Securitate (X25519, X448)
- RFC 8032 - EdDSA (Ed25519, Ed448)
- RFC 9180 - Criptare Hibrida cu Cheie Publica (HPKE)

---

## Structura Evaluarii

| Componenta | Pondere |
|------------|---------|
| Evaluare Periodica 1 (Temele 1-4) | 15% |
| Evaluare Periodica 2 (Temele 5-8) | 15% |
| Lucrari de Laborator | 15% |
| Studiu Individual (harti conceptuale, politici de securitate) | 15% |
| Examen Final | 40% |

---

*Curs pregatit pentru Universitatea Tehnica a Moldovei, Facultatea de Calculatoare, Informatica si Microelectronica, Asistent universitar Masiutin Maxim*