Διοικητικά θέματα ασφάλειας πληροφοριακών συστημάτων

Απειλές και η αντιμετώπισή τους

Θέματα υλικού

• Φυσικοί κίνδυνοι
  • Θερμοκρασία και υγρασία
  • Φωτιά
  • Νερό
  • Σεισμοί
• Ηλεκτρικά προβλήματα
• Φυσική πρόσβαση ατόμων
• Πρόσβαση από το δίκτυο
• Η/Μ ακτινοβολία

Επικύρωση ατόμων

Απειλές

• Παθητική επίθεση
• Ενεργητική επίθεση

Αυθεντικοποίηση

• Καθόλου
• Επαναχρησιμοποιήσιμοι κωδικοί (reusable passwords)(κάτι που ξέρω)
• Κωδικοί μιας χρήσης
• Μέθοδοι βασισμένες σε υλικό (κάτι που έχω)
• Βιομετρικές μέθοδοι (κάτι που είμαι)

Προστασία λογισμικού και δεδομένων

• Διαθεσιμότητα (availability)
  • Αρχεία εφεδρείας (backup files)
  • Τεχνολογίες RAID
• Ακεραιότητα (integrity)
  • Αμετάβλητα μέσα (immutable media)
  • Λογισμικό
  • Κρυπτογραφία
• Εμπιστευτικότητα (confidentiality)
  • Έλεγχος πρόσβασης κατά την κρίση του χρήστη (discretionary access control)
  • Υποχρεωτικός έλεγχος πρόσβασης (mandatory access control)
  • Κρυπτογραφία (cryptography)
• Ημερολόγια ελέγχου (audit logs)
• Επικίνδυνα προγράμματα
  • Ιός (virus)
  • Σκουλήκι (Worm) (αν και ο όρος αυτός έχει επικρατήσει, η ορθή απόδοση θα ήταν ταινία, η μολυσματική ασθένεια που οφείλεται στον κεστοειδή σκώληκα και που στα αγγλικά λέγεται tapeworm).
  • Δούρειος ίππος (Trojan horse)
  • Προστασία
• To Web

Προστασία δικτύων

• Έλεγχος σύνδεσης
  • Απεριόριστη σύνδεση (π.χ. πανεπιστήμιο)
  • Καθόλου (π.χ. Windows NT C2)
  • Περιορισμένη (firewall)
  • Διπλή και διαχωρισμένη σύνδεση
• Κρυπτογραφία
• Θέματα παροχέων
  • Προστασία των συστημάτων του παροχέα
  • Προστασία των δεδομένων των χρηστών
  • Αυθεντικοποίηση

Εκπαίδευση χρηστών

• Εκπαίδευση
• Τηλεφωνική και ηλεκτρονική αυθεντικοποίηση
• Γνώση των υπευθύνων των πληροφοριακών συστημάτων
• Σύστημα έγκαιρης προειδοποίησης συνεργατών
• Περιοδικοί έλεγχοι
• Προσοχή στην υπερβολική ασφάλεια

Οικονομική θεώρηση

Προσδιορισμός των στοιχείων του συστήματος

• Φυσικά στοιχεία
  • Υπολογιστές
  • Δίκτυο
  • Μέσα αποθήκευσης
  • Κτιριακές εγκαταστάσεις
• Πνευματική ιδιοκτησία
  • Προγράμματα και τεκμηρίωσή τους
  • Δεδομένα
  • Σελίδες Web
  • Βάσεις δεδομένων
  • Σχέδια
• Άυλα στοιχεία
  • Φήμη
  • Ηθικό των συνεργατών
  • Ιδιωτική σφαίρα των χρηστών
  • Εμπιστευτικότητα πληροφοριών
• Υπηρεσίες και διεργασίες
  • Αποθηκευτικός χώρος
  • Υπολογιστική ισχύς
  • Συγκεκριμένες υπηρεσίες
  • Προσωπικό

Προσδιορισμός των απειλών

• Σκόπιμες από ανθρώπους
  • Προσωποποίηση (impersonation)
  • Εύρεση κωδικού
  • Αδυναμίες δικτύου
  • Αδυναμίες του λειτουργικού συστήματος
  • Κακή χρήση των πόρων (Doom)
  • Μη εξουσιοδοτημένη ανάγνωση
  • Προβληματικά προγράμματα
  • Προσωποποίηση συστήματος
  • Κλοπή
  • Απάτη
  • Βανδαλισμός
  • Εμπρησμός
  • Απεργία
• Μη σκόπιμες από ανθρώπους
  • Λανθασμένη εφαρμογή διαδικασιών συστήματος
  • Λάθη προγραμμάτων
  • Μη σκόπιμη αποκάλυψη δεδομένων
  • Μη σκόπιμη καταστροφή εξοπλισμού
• Περιβάλλοντος
  • Πλημμύρα
  • Καταιγίδα
  • Σεισμός
  • Καύσωνας
  • Κεραυνός
  • Προβλήματα κλιματισμού
  • Προβλήματα ηλεκτρικά
  • Προβλήματα δικτύου

Συχνότητα και αποτελέσματα των απειλών

• Στατιστικές τεχνικές
• Αποτελέσματα ελέγχων
• Αποτίμηση άυλων αγαθών

Αξιολόγηση και έλεγχος των μέτρων ασφαλείας

• Αποτίμηση φυσικής προστασίας
  • Είσοδος στο κτήριο
  • Έλεγχοι προσωπικού
  • Κλειδωμένοι χώροι
  • Χρήση ταυτοτήτων
• Αποτίμηση διαδικασιών
  • Υπάρχουν διαδικασίες αντιμετώπισης περιστατικών;
  • Υπάρχει ομάδα αντιμετώπισης περιστατικών (incident response team);
  • Υπάρχουν καθορισμένοι ρόλοι αντιμετώπισης περιστατικών;
  • Γνωρίζει η ομάδα αντιμετώπισης περιστατικών ποια δεδομένα να καταγράψει και να ακολουθήσει;
• Πλασματικές δοκιμές

Σχέδιο για πρόσθετη ασφάλεια

• Αποτίμηση αποτελεσματικότητας αντιμέτρων
• Καθορισμός προτεραιοτήτων
• Οικονομικές μέθοδοι
  • Διαδικασίες
  • Εργαλεία
  • Εκπαίδευση

Πολιτικές και διαδικασίες ασφάλειας

Πολιτικές ασφάλειας

Παράμετροι

• Πόσο συγκεκριμένη θα είναι;
• Πόσο έλεγχο θα προσδιορίζει;
• Ποια είναι η κατάλληλη δομή;

Θέματα

• Πολιτική αποδεκτής χρήσης (acceptable use policy)
• Πολιτική λογαριασμών χρηστών (user account policy)
• Πολιτική απομακρυσμένης χρήσης (remote access policy)
• Πολιτική προστασίας δεδομένων (data protection policy)
• Πολιτική για σύνδεση στο δίκτυο (network connection policy)
• Πολιτική για ειδική πρόσβαση (special access policy)

Μοντέλα εμπιστοσύνης

• Εμπιστοσύνη σε συστήματα
  • Ασφάλεια (security)
  • Διαθεσιμότητα (availability)
• Εμπιστοσύνη σε ανθρώπους
  • Όλους πάντα
  • Μερικούς κατά περίπτωση
  • Αυτούς που απαιτείται μόνο όσο απαιτείται
• Ανασκόπηση σε τακτά διαστήματα

Υλοποίηση

• Δεν απαιτείται μεσολάβηση της διοίκησης
• Συντονίζει τις ενέργειες διαφορετικών τμημάτων
• Διαδικασίες διανομής
• Υπεύθυνος ασφάλειας πληροφοριακών συστημάτων (computer security officer)

Ανασκόπηση

• Από τρίτο άτομο
• Ανασκόπηση των λόγων που οδήγησαν σε αποφάσεις
• Νομικές προεκτάσεις
• Χρήση εργαλείων
• Ενημέρωση σύμφωνα με νέα προβλήματα που ανακαλύφθηκαν

Διασφάλιση

• Έλεγχος κατά πόσο τα μέσα για την ασφάλεια υπάρχουν και συνεχίζουν να υπάρχουν
• Αντίμαχες απαιτήσεις με τη λειτουργικότητα των μέσων

Μερικοί τρόποι διασφάλισης

• Διασφάλιση ποιότητας, μέθοδοι τεχνολογίας λογισμικού
• Απλότητα στην υλοποίηση
• Αρχιτεκτονική με αρθρώματα
• Έλεγχος των υποθέσεων και των αποτελεσμάτων τους
• Ιστορικά στοιχεία προβλημάτων και της αντιμετώπισής τους
• Συντηρητισμός
• Ετοιμότητα για μη αναμενόμενες βλάβες
• Αποφυγή μοναδικών σημείων βλάβης (single failure points)
• Πολλαπλά επίπεδα προστασίας
• Διαφορετικοί μηχανισμοί προστασίας
• Αρχή των ελαχίστων προνομίων
• Τα λάθη να οδηγούν σε μειωμένες υπηρεσίες και όχι μειωμένη ασφάλεια
• Απαγόρευση όσων δεν επιτρέπονται
• Προσοχή στον ασθενέστερο κρίκο
• Προσοχή στις εσωτερικές παραβάσεις

Περιστατικά: προετοιμασία και αντίδραση

Κατηγορίες περιστατικών

• Ιοί και σκουλήκια
• Δοκιμές από το Internet
• Μη εξουσιοδοτημένη πρόσβαση από το Internet
• Εσωτερική μη εξουσιοδοτημένη πρόσβαση

Διαδικασία αντίδρασης σε περιστατικά

1. Απομόνωση του συστήματος ή του δικτύου
2. Αναγνώριση του προβλήματος
3. Περιχάραξη του προβλήματος
4. Τερματισμός της επίθεσης
5. Απομάκρυνση της αδυναμίας
6. Επαναλειτουργία των υπηρεσιών
7. Ανάλυση του περιστατικού
8. Ενημέρωση

Καταστροφές: σχεδιασμός και ανάκτηση

1. Αντίδραση από το προσωπικό ασφαλείας
2. Ανάλυση της ζημιάς
3. Μετάβαση σε λειτουργία έκτακτης ανάγκης
4. Αποκατάσταση της κανονικής λειτουργίας

Προσλήψεις

• Προσοχή σε σημάδια των βιογραφικών (π.χ. μέλος ένωσης hacker)
• Έλεγχος των συστάσεων
• Έλεγχοι του περιβάλλοντος
• Υπογραφή συμφωνητικού
• Εκπαίδευση

Νομικά θέματα

• ΠΚ 370 γ
• N. 2472/97 (προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα
• N. 2121/93 (αντιγραφή προγραμμάτων)
• N. 2251/94 (προστασία των καταναλωτών)
• N. 1599/86 (σχέσεις κράτους και πολίτη (π.χ. δικαίωμα λήψης αντιγράφων εγγράφων))
• N. 2465/97 Άδειες τηλεπικοινωνίας

Πρακτικές οδηγίες υλοποίησης

Υλοποίηση

1. Συμφωνία και υποστήριξη της διοίκησης
2. Ανάλυση κινδύνων και προσδιορισμός ενεργειών αντιμέτρων
3. Ανασκόπηση υπαρχόντων πολιτικών και υλοποίηση νέων
4. Υλοποίηση των πολιτικών
5. Συνεχής συντήρηση και εκπαίδευση

Συντήρηση

• Έλεγχοι εγκατάστασης νέων συστημάτων
• Αυτόματοι έλεγχοι
• Τυχαίοι έλεγχοι
• Τακτικοί νυκτερινοί έλεγχοι
• Έλεγχοι δραστηριότητας χρηστών
• Έλεγχοι του λειτουργικού συστήματος

Τα 10 σοβαρότερα προβλήματα

1. Έλλειψη μέσων
2. Έλλειψη υποστήριξης ή δικαιοδοσίας
3. Προβληματικά συστήματα λογισμικού
4. Μη εγκατάσταση διορθώσεων των προμηθευτών
5. Μη κρυπτογραφημένοι επαναχρησιμοποιήσιμοι κωδικοί πρόσβασης
6. Ελλιπή μέτρα προστασίας εξωτερικής πρόσβασης μέσω τηλεφώνου
7. Ανοιχτή πρόσβαση στο δίκτυο
8. Προβλήματα στην εγκατάσταση κωδικών
9. Ελλιπής έλεγχος και λήξη κωδικών χρηστών
10. Νέα συστήματα με προβληματική διαμόρφωση ή ελλιπή έλεγχο

Βιβλιογραφία

• Andrew S. Tanenbaum Σύγχρονα λειτουργικά συστήματα. σ. 248-278 Εκδόσεις Παπασωτηρίου, 1993.

• Δημήτρης Γκρίτζαλης και Στέφανος Γκρίτζαλης Ασφάλεια λειτουργικών συστημάτων. Εκδόσεις ΜΙΤ Εκπαιδευτική - Αναπτυξιακή, 1993.

• Friedrich L. Bauer. Decrypted Secrets: Methods and Maxims of Cryptology. Springer Verlag, 1997.
• Tina Darmohray, editor. Job Descriptions for System Administrators. Short Topics in System Administration. USENIX Association, Berkeley, CA, USA, 1997.
• Dorothy Elizabeth Robling Denning. Cryptography and Data Security. Addison-Wesley, 1983.
• Peter J. Denning. Computers Under Attack: Intruders, Worms, and Viruses. Addison-Wesley, 1990.
• Tom Forester and Perry Morrison. Computer Ethics: Cautionary Tales and Ethical Dilemmas in Computing. MIT Press, 1990.
• F. T. Grampp and R. H. Morris. UNIX operating system security. Bell System Technical Journal, 63(8), October 1984.
• Stefanos Gritzalis and Diomidis Spinellis. Addressing threats and security issues in World Wide Web technology. In Proceedings CMS '97 3rd IFIP TC6/TC11 International joint working Conference on Communications and Multimedia Security, pages 33–46, Athens, Greece, September 1997. IFIP, Chapman & Hall.
• Stefanos Gritzalis and Diomidis Spinellis. Cryptographic protocols over open distributed systems: A taxonomy of flaws and related protocol analysis tools. In 16th International Conference on Computer Safety, Reliability and Security: SAFECOMP '97, pages 123–137, York, UK, September 1997. European Workshop on Industrial Computer Systems: TC-7, Springer Verlag.
• P. Holbrook and J. Reynolds. RFC 1244: Site security handbook, July 1991. See also 8 [STD0008].
• David Kahn. The Codebreakers: The Story of Secret Writing. Scribner, New York, NY, USA, 1996.
• Robert Morris. Password security: A case history. Communications of the ACM, 22(11):594–597, November 1979.
• Peter G. Neumann. Computer Related Risks. Addison-Wesley, 1995.
• David L. Oppenheimer, David A. Wagner, and Michele D. Crabb. System Security: A Management Perspective. Short Topics in System Administration. USENIX Association, Berkeley, CA, USA, 1997.
• Charles Pfleeger. Security in Computing. Prentice-Hall, 1996.
• Dennis M. Ritchie. On the security of UNIX. In UNIX Programmer's manual: Supplementary Documents, volume 2, pages 592–594. Holt, Rinehart and Winston, seventh edition, 1982.
• Aviel D. Rubin, Daniel Geer, and Marcus J. Ranum. Web Security Sourcebook. John Wiley & Sons, 1997.
• Bruce Schneier. Applied Cryptography. Wiley, second edition, 1996.
• Eugene H. Spafford. The internet worm program: An analysis. Technical Report CSD-TR-823, Purdue University, West Lafayette, IN 47907-2004, November 1988.
• Ken L. Thompson. Reflections on trusting trust. Communications of the ACM, 27(8):761–763, 1984.

• Περιεχόμενα

 Τελευταία αλλαγή: Τρίτη, 19 Σεπτεμβρίου 2006 6:29 μμ
 Εκτός αν αναφέρεται κάτι διαφορετικό, όλο το πρωτότυπο υλικό της σελίδας αυτής του οποίου δημιουργός είναι ο Διομήδης Σπινέλλης παρέχεται σύμφωνα με τους όρους της άδειας «Creative Commons Attribution-Share Alike 3.0 Greece License».