Information Systems Security Management using Ontologies. Vassilis Tsoumas

Transcript

1 Information Systems Security Management using Ontologies Vassilis Tsoumas February 2007

2 ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΔΙΑΤΡΙΒΗ για την απόκτηση Διδακτορικού Διπλώματος του Τμήματος Πληροφορικής Βασιλείου Τσούμα Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων με Οντολογίες Συμβουλευτική Επιτροπή: Επιβλέπων: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Σπινέλλης Διομήδης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Αθήνα, Φεβρουάριος 2007 Εξεταστική Επιτροπή: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής, Πρόεδρος Οικονομικό Πανεπιστήμιο Αθηνών Πάγκαλος Γεώργιος, Καθηγητής Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης Κάτσικας Σωκράτης, Καθηγητής Πανεπιστήμιο Αιγαίου Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Πολύζος Γεώργιος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Σπινέλλης Διομήδης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μαυρίδης Ιωάννης, Επίκουρος Καθηγητής Πανεπιστήμιο Μακεδονίας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 2

3 "Η έγκριση διδακτορικής διατριβής υπό του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών δεν υποδηλοί αποδοχή των γνωμών του συγγραφέως". (Ν. 5343/ 1932, αρθρ. 202) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 3

4

5 ΠΡΟΛΟΓΟΣ ΚΑΙ ΕΥΧΑΡΙΣΤΙΕΣ Μετά το τέλος μιας ερευνητικής προσπάθειας με σεβαστή χρονική διάρκεια, ο δρών συνήθως δεν πιστεύει ότι ήρθε η στιγμή για τη συγγραφή αυτής της ενότητας. Εκτιμώντας ότι η παρούσα διατριβή έχει μια ελάχιστη συμβολή στο ερευνητικό αντικείμενο, και σίγουρα σοφότερος απ ότι στην αρχή αυτού του ταξιδιού, θα ήθελα να ευχαριστήσω τους συνάδελφους και φίλους που υποστήριξαν ποικιλοτρόπως αυτή την προσπάθεια. Πρώτα και κύρια, εκφράζω τις θερμές μου ευχαριστίες στον επιβλέποντα συνάδελφο, Αναπληρωτή Καθηγητή του τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου της Αθήνας (ΟΠΑ) κ. Δημήτρη Γκρίτζαλη, για την εμπιστοσύνη και τη συνεχή στήριξή του όλα αυτά τα χρόνια. Πέρα από τις επί μακρόν συζητήσεις μας για τα ουσιαστικά της έρευνας θέματα, το μεγαλύτερο κέρδος από τη συνεργασία μας ήταν η διεύρυνση της αντίληψης σε μένα της ολιστικής θέασης του αντικειμένου της ασφάλειας ΠΣ πέρα από τις τεχνικές εκφάνσεις της, κάτι που στην είσοδό μου στο χώρο κυριολεκτικά και συνειδητά αγνοούσα. Η διακριτική στήριξη των μελών της Τριμελούς Επιτροπής παρακολούθησης της διατριβής, δηλ. του Καθηγητή κ. Θεόδωρου Αποστολόπουλου και του Αναπληρωτή Καθηγητή κ. Διομήδη Σπινέλλη κύρια σε θέματα ερευνητικών κατευθύνσεων της διατριβής ήταν πολύτιμη και διαρκής. Δεν μπορώ να παραβλέψω τη συμβολή του Ομότιμου Καθηγητή κ. Ευάγγελου Κιουντούζη, για την κριτική του ματιά και την προσήλωσή του στην αξία των μεθοδολογικών προσεγγίσεων. Η φιλοσοφική του στάση απέναντι στη διδασκαλία (γενικότερα) και στην έρευνα (ειδικότερα) στάθηκε πηγή έμπνευσης και συνεχούς καλόπιστης αμφισβήτησης προς κάθε κατεύθυνση, παρέχοντας τελικά πλείστα ερεθίσματα προς βελτίωση. Από τον μακρύ κατάλογο των συναδέλφων και φίλων που επηρέασαν την έκβαση της εργασίας αυτής δεν θα μπορούσα να εξαιρέσω τα μέλη της ερευνητικής ομάδας σε Ασφάλεια Πληροφοριών και Προστασία Κρίσιμων Υποδομών του Οικονομικού Πανεπιστημίου. Ειδική μνεία γίνεται στους Κώστα Μουλίνο, Θοδωρή Τρύφωνα και Γιάννη Ηλιάδη, με τους οποίους συμπορευτήκαμε για ένα μεγάλο διάστημα σε ερευνητικό επίπεδο κατά τη διάρκεια της δικής τους διατριβής και που οι απόψεις τους με επηρέασαν βαθιά, όντες πιο ώριμοι ερευνητές και υπό διαφορετικό πρίσμα ο καθένας. Οι συζητήσεις μας ήταν πλούσιες σε νοητικά ερεθίσματα, και πιστεύω ότι κι εγώ με τη σειρά μου συνέβαλα σε ένα μικρό βαθμό στην επιτυχία των δικών τους πονημάτων. Εξαιρετικά Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 5

6 σημαντική βοήθεια προσέφεραν οι Νατάσα Μιχαηλίδου, Παναγιώτης Παπαγιαννακόπουλος και Χαράλαμπος Τριποδιανός με τους οποίους συν-υλοποιήθηκαν σημαντικά proof-of-concept μέρη της διατριβής. Ο συνάδελφος Στέλιος Δρίτσας, έχοντας σχεδόν παράλληλη χρονικά πορεία στην έρευνα, υποστήριξε έντονα, διαρκώς και με το δικό του προσωπικό τρόπο τη δουλειά μου μέχρι σήμερα. Περαιτέρω, οι Σωκράτης Κάτσικας, Κώστας Λαμπρινουδάκης, Λάζαρος Γυμνόπουλος, Μαριάνθη Θεοχαρίδου, Γιάννης Μαριάς και Αγγελική Τσώχου έχουν συμβάλλει ποικιλοτρόπως σε διάφορα στάδια της παρούσας έρευνας. Στη διαμόρφωση της διατριβής σημαντικό ρόλο έπαιξε και η εμπειρία που απέκτησα κατά την ενασχόλησή μου στο τμήμα του Ελέγχου και Ασφάλειας Πληροφοριακών Συστημάτων της Ernst & Young, αφού η καθημερινή τριβή με πρακτικά προβλήματα ελέγχου και ασφάλειας επηρέασε το ερευνητικό μου ενδιαφέρον προς αυτή την κατεύθυνση. Δράττομαι της ευκαιρίας να ευχαριστήσω όλους τους συναδέλφους του τμήματος Ελεγκτών Πληροφοριακών Συστημάτων, με ειδική αναφορά στους Χρήστο Σεφέρη και Δρ. Κυριάκο Τσιφλάκο για τις διευκολύνσεις που παρείχαν ώστε να μπορέσω να ολοκληρώσω το έργο μου. Τέλος, θα ήθελα να ευχαριστήσω τους γονείς μου Διονυσία και Νίκο για όσα μου έχουν προσφέρει μέχρι σήμερα, ο καθένας από τη δική του πλευρά και με τις δικές του δυνατότητες, και τη σύντροφό μου, Έφη, για την αγάπη, υπομονή και ανοχή της καθ όλη τη διάρκεια της εκπόνησης. Αυτή η διατριβή αφιερώνεται στη μητέρα μου η οποία μου δίδαξε αμίλητη όλα όσα δε διδάσκονται σε πανεπιστήμια και δε γράφονται σε βιβλία, αλλά είναι ότι δίνει νόημα στη ζωή και μάλιστα άνευ αντιτίμου. Αθήνα, 30 Ιανουαρίου 2007 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 6

7 Στη μητέρα μου Διονυσία We are realists. We dream the impossible. ~ Ernesto Che Guevara Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 7

8

9 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ 15 ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ 17 ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ 19 ΔΗΜΟΣΙΕΥΣΕΙΣ 21 1 Εισαγωγή Πληροφορική και Διαχείριση Ασφάλειας ΠΣ Αφορμή και Κίνητρα για την Παρούσα Έρευνα Αντικείμενο και Στόχοι της Διατριβής Δομή της Διατριβής Δομική Περιγραφή της Διατριβής Συνοπτική Περιγραφή των Κεφαλαίων Συμβολή της Παρούσας Έρευνας στο Πεδίο της Διαχείρισης Ασφάλειας ΠΣ Σχήμα Επέκτασης του CIM για Ανάλυση Επικινδυνότητας Οντολογία Ασφάλειας Ενοποίηση Ανομοιογενών Πηγών Πληροφορίας Ασφάλειας Μοντελοποίηση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας Ευρετικοί Κανόνες Παραγωγής Γνώσης Ασφάλειας Βάση Τεχνικών Μέτρων Υλοποίησης Εξειδίκευση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης Συσχέτιση Απαιτήσεων Ασφάλειας με Τεχνικά Μέτρα Υλοποίησης Λειτουργικό Μοντέλο Διαχείρισης Ασφάλειας ΠΣ Βασισμένο σε Οντολογίες 43 2 Ορισμοί και Επισκόπηση του Οργανοτεχνικού Πλαισίου Διαχείρισης Κινδύνων ΠΣ Εισαγωγή 45 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 9

10 2.2 Η Εξέλιξη της Διαχείρισης Κινδύνων ΠΣ Η Έννοια της Ασφάλειας Θεμελιώδεις Ιδιότητες της Ασφάλειας Η Διαφορετικότητα των Απαιτήσεων Ασφάλειας Η Έννοια της Απειλής Η έννοια του Αντιμέτρου Εισαγωγή στη Διαχείριση Επικινδυνότητας ΠΣ (ΔΕ) Ανάλυση Επικινδυνότητας Μείωση των Κινδύνων Αξιολόγηση του Επιπέδου Ασφάλειας Η Πολυδιάστατη Φύση της Διαχείρισης Ασφάλειας Προσεγγίσεις στη Διαχείριση Ασφάλειας ΠΣ Το Ερευνητικό Πρόβλημα και η Προτεινόμενη Προσέγγιση Σύνοψη 74 3 Παρούσα Κατάσταση και Σχετική Έρευνα Εισαγωγή Εξειδίκευση Απαιτήσεων Βάσει Στόχων Εξειδίκευση Απαιτήσεων σε Επίπεδο Πολιτικών ΠΣ Τυπικές Προσεγγίσεις στον Ορισμό Πολιτικών ΠΣ Τυπικές προσεγγίσεις Πολιτικών Ασφάλειας ΠΣ Τυπική αποτύπωση Πολιτικών Διαχείρισης Πλαίσια και Γλώσσες Πολιτικών Υψηλού Επιπέδου PMAC KaOS Rei PCIM Ponder Διαχείριση Πολιτικών και Φυσική Γλώσσα Ένα Πειραματικό Περιβάλλον Διαχείρισης Πολιτικών (ΠΔΠ) Υποστήριξη επεξεργασίας φυσικής γλώσσας στην ανάπτυξη συστημάτων λογισμικού που κατευθύνονται από πολιτικές 123 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 10

11 3.8.3 Μελέτη περίπτωσης: καθορισμός μιας πολιτικής ασφάλειας Άλλες Προσεγγίσεις Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας ΠΣ Υψηλού Επιπέδου Σύνοψη Εννοιολογικό Μοντέλο και Άξονες της Έρευνας Εισαγωγή Προδιαγραφές ενός συστήματος Διαχείρισης Ασφάλειας Εννοιολογικό Μοντέλο ΔΑΠΣ και Αντίμετρα Ασφάλειας: Απαιτήσεις Ασφάλειας και Υλοποίηση Τεχνικών Αντιμέτρων Τα Δομικά Στοιχεία της Προσέγγισης Οντολογία Ασφάλειας Βάση Τεχνικών Μέτρων Υλοποίησης Άξονας 1: Πρότυπα Διαχείρισης Κινδύνων ΠΣ Οικογένεια Προτύπων Διαχείρισης Ασφάλειας BS Το πλαίσιο Διαχείρισης Επιχειρησιακών Κινδύνων COBIT Άξονας 2: Το πρότυπο Διαχείρισης ΠΣ CIM Εισαγωγή Προδιαγραφή του Μοντέλου CIM CIM Μετα-Σχήμα (CIM Meta-Schema) CIM Σχήμα (CIM Schema) MOF (Meta-Object Facility) Άξονας 3: Το Οντολογικό Μοντέλο Αναπαράστασης Γνώσης Αναπαράσταση Γνώσης Σημασιολογικός Ιστός και Οντολογίες Άξονας 4: Εξαγωγή Πληροφοριών και Έμπειρα Συστήματα Εξαγωγή Πληροφοριών Έμπειρα Συστήματα Πηγές Γνώσης περί Ασφάλειας ΠΣ Η Συνολική Εικόνα και οι Φάσεις της Προσέγγισης Μέθοδοι, Τεχνικές και Εργαλεία Ο Επεξεργαστής Οντολογιών Protégé 199 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 11

12 Το Περιβάλλον GATE Το κέλυφος Έμπειρου Συστήματος JESS Σύνοψη Οντολογία Ασφάλειας Εισαγωγή Μέθοδοι, τεχνικές και εργαλεία Οντολογία Ασφάλειας τυπικός ορισμός Μοντελοποίηση Απαιτήσεων Ασφάλειας και Εννοιολογικά Μοντέλα Μεθοδολογία Ανάπτυξης Φάση 1: Εννοιολογικό μοντέλο ΟΑ Φάση 2: Σχήμα Επέκτασης του μοντέλου CIM για ΔΑ Φάση 3: Υλοποίηση της ΟΑ σε OWL Λογικά αξιώματα ασφάλειας για το μοντέλο ΟΑ του ISO/IEC Θέματα υλοποίησης των οντολογιών σε OWL Σύνοψη Εξειδίκευση της Οντολογίας ISO/IEC για την Υλοποίηση των Αντιμέτρων Ασφάλειας Εισαγωγή Μέθοδοι, Εργαλεία και Τεχνικές Εξειδικευμένο μοντέλο ΟΑ Διαισθητική Ανάλυση και Αρχές Καθορισμού Αντιμέτρων Μοντέλο Απαιτήσεων Ασφάλειας Αντιμέτρου Μεθοδολογία Καθορισμού Απαιτήσεων Ασφάλειας ΠΣ Συμβάσεις για την Εξαγωγή των Απαιτήσεων Ασφάλειας Συμβάσεις για τα δεδομένα εισόδου Συμβάσεις για την Επεξεργασία των Δεδομένων Εισόδου Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας Υλοποίηση Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας από Σχετικές Πηγές Υψηλού Επιπέδου Λεκτική Ανάλυση των Αντιμέτρων Υψηλού Επιπέδου 286 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 12

13 6.9.3 Εκτέλεση και Προσδιορισμός Απαιτήσεων Ασφάλειας Μελέτη περίπτωσης Ιχνηλάτηση Δικτύου και Λεκτική Ανάλυση των Αντιμέτρων Αξιολόγηση των Αποτελεσμάτων της Λεκτικής Ανάλυσης Κριτική Ανασκόπηση της Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας Σύνοψη Τεχνικά Μέτρα Υλοποίησης Εισαγωγή Περιγραφή της Προσέγγισης Συμβάσεις για την Εξειδίκευση των Απαιτήσεων Ασφάλειας Στάδια της Προσέγγισης Βασικές Αρχές της Αναπαράστασης των ΤΜΥ Εξειδίκευση Απαιτήσεων Ασφάλειας Επίπεδα Υποστηρικτικές Οντότητες Φάσεις εξειδίκευσης των Τεχνικών Αντιμέτρων Μετάβαση από Απαιτήσεις Ασφάλειας σε Αντίμετρα Μετάβαση από Αντίμετρα σε Ενέργειες Μετάβαση από Ενέργειες σε Υλοποιήσεις Μελέτη Περίπτωσης: Διασφάλιση Κρίσιμου Εξυπηρετητή Σύνοψη Σύνοψη, Συμπεράσματα και Κατευθύνσεις Περαιτέρω Έρευνας Εισαγωγή Γενική Θεώρηση της Συνολικής Προσέγγισης Πλεονεκτήματα της Συνδυαστικής Προσέγγισης Διασφάλιση Ποιότητας και Τεχνικές Αξιολόγησης Μετρικές Αξιολόγησης της Εξαγωγής Σχετικών Εννοιών Αξιολόγηση στο Περιβάλλον GATE Αξιολόγηση από Ειδικούς Ασφάλειας Σύνοψη του Προβλήματος και της Ερευνητικής Προσπάθειας Το Ερευνητικό Πρόβλημα Η Ερευνητική Προσπάθεια 342 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 13

14 8.6 Συμβολή στο Γνωστικό Αντικείμενο Αποτύπωση Εννοιολογικού Μοντέλου Αναφοράς της ΔΑΠΣ, Βασισμένου σε ΟΑ Προσδιορισμός του Μοντέλου των Απαιτήσεων Ασφάλειας Προσδιορισμός του Μοντέλου των Τεχνικών Μέτρων Υλοποίησης Προτεινόμενη Περαιτέρω Έρευνα Οντολογία Ασφάλειας Βάση ΤΜΥ Λειτουργικό Μοντέλο και Ενσωμάτωση με Άλλα Πλαίσια Διαχείρισης Κινδύνων ΠΣ Επίλογος Αναφορές και Βιβλιογραφία Στην Αγγλική Γλώσσα Στην Ελληνική Γλώσσα 381 Παράρτημα Ι Οντολογίες κατά ISO/17799 που σχετίζονται με την ΑΕ 384 Παράρτημα ΙΙ Οντολογίες κατά COBIT που σχετίζονται με την ΑΕ 392 Παράρτημα ΙΙΙ Ταξινομία Αντιμέτρων κατά CRAMM 402 Παράρτημα ΙV: Κώδικας Perl για επεξεργασία της εξόδου του nmap 404 Παράρτημα V: GATE 407 Παράρτημα VI: Σχήμα Βάσης Δεδομένων ΤΜΥ 414 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 14

15 ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ Πίνακας 2.1: Συσχέτιση απειλών κατά της ασφάλειας και τεχνικών αντιμετώπισής τους (Πηγή: [Μουλίνος, 2003]) 52 Πίνακας 2.2: Βασικές Περιοχές Ελέγχου ΠΣ (Πηγή: [Τσούμας, 2004]) 62 Πίνακας 3.1: Τα Βασικά Μέρη ενός Κανόνα Πολιτικής 104 Πίνακας 3.2: Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας Υψηλού Επιπέδου 130 Πίνακας 4.1: Θεματικές Ενότητες BS Πίνακας 4.2: Ορισμός κλάσεων και στιγμιοτύπων στη MOF 177 Πίνακας 4.3: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες - εργαλεία ανά φάση 197 Πίνακας 5.1: Οντολογία Ασφάλειας κατά ISO/IEC για την ΑΕ Συσχετίσεις Όρων 229 Πίνακας 5.2: Οντολογία Ασφάλειας κατά COBIT για την ΑΕ Συσχετίσεις Όρων 236 Πίνακας 5.3: Έννοιες της Ενοποιημένης Οντολογίας Ασφάλειας για την ΑΕ 239 Πίνακας 5.4: Ενοποιημένη Οντολογία Ασφάλειας για την ΑΕ Συσχετίσεις Όρων 240 Πίνακας 5.5: Ιδιότητες της κλάσης Αγαθό (Asset) 248 Πίνακας 5.6: Ιδιότητες της κλάσης Απειλή (Threat) 249 Πίνακας 5.7: Ιδιότητες της κλάσης Ευπάθεια (Vulnerability) 250 Πίνακας 6.1: Απαιτήσεις Ασφάλειας Αντιμέτρου (Αντίμετρο) 271 Πίνακας 6.2: Αντιστοιχία πιθανών Στόχων - ΕΕΑ 292 Πίνακας 6.3: Αντιστοίχηση Αντιμέτρων με Αναγνωριστικά Λεκτικών Προτύπων Αντιμέτρων 295 Πίνακας 6.4: Δοθέν Αντίμετρο Εισόδου στη Λεκτική Ανάλυση 297 Πίνακας 6.5: Σύγκριση των Αποτελεσμάτων της Αυτόματης Εξαγωγής Απαιτήσεων Ασφάλειας με την Ανθρώπινη Διερμηνεία 297 Πίνακας 7.1: Ρήματα Περιγραφής Ημιτυπικών Απαιτήσεων Ασφαλείας 308 Πίνακας 7.2: Υποκείμενα για τη γλώσσα περιγραφής ημι-τυπικών απαιτήσεων ασφαλείας 310 Πίνακας 7.3: Στόχοι για τη Γλώσσα Περιγραφής Ημι-τυπικών Απαιτήσεων Ασφάλειας 310 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 15

16 Πίνακας 7.4: Μοντέλο Μέτρων (Επίπεδο 1) 312 Πίνακας 7.5: Μοντέλο Ενεργειών 315 Πίνακας 7.6: Μοντέλο Υλοποιήσεων 315 Πίνακας 7.7: Μοντέλο Πράξεων 320 Πίνακας 7.8: Μοντέλο Στόχου 321 Πίνακας 7.9: Μοντέλο Προϋπόθεσης 323 Πίνακας 7.10: Τύποι Γεγονότων για την μετάβαση από Απαιτήσεις Ασφάλειας σε Αντίμετρα 324 Πίνακας 8.1: Συμβολή στο Γνωστικό Αντικείμενο ανά Κεφάλαιο / Ενότητα 343 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 16

17 ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ Σχήμα 2.1: Οι Σχέσεις Μεταξύ Απειλών, Αδυναμιών και Αγαθών (Πηγή: [Γκρίτζαλης, 2005]) 50 Σχήμα 2.2: Οι Τρεις Άξονες της Διαχείρισης Επικινδυνότητας (Πηγή: [NIST SP , 2002]) 53 Σχήμα 2.3: Αλληλεξάρτηση των Διαστάσεων της Διαχείρισης Ασφάλειας (πηγή: [Zuccato, 2005]) 67 Σχήμα 2.4: Διαχείριση Ασφάλειας Τρέχουσα Προσέγγιση 73 Σχήμα 3.1. Ορολογία Temporal Logic (Πηγή: [Manna and Pnueli, 1992]) 80 Σχήμα 3.2. Εξειδίκευση Πολιτικών: Ευρύτητα Πεδίου Εφαρμογής και Επίπεδο Αυτοματισμού 87 Σχήμα 3.3: Το Μοντέλο στο [Lück and Krumm, 2003] 97 Σχήμα 3.4: Το Μοντέλο Κλάσεων για τους Κανόνες Πολιτικών στο PCIM 118 Σχήμα 3.5: Η αρχιτεκτονική του εργαλείου NLIPT (Πηγή: [Michael et al., 2001]) 124 Σχήμα 4.1: Η διπλή Φύση των Αντιμέτρων Ασφάλειας 140 Σχήμα 4.2: Απαιτήσεις και Υλοποιήσεις Μέτρων Ασφάλειας Εννοιολογικό Μοντέλο 142 Σχήμα 4.3: Μοντέλο Διεργασιών PDCA (Πηγή: [BSI-EN, 2002]) 153 Σχήμα 4.4: Μοντέλο PDCA Μέρη Διεργασιών Πληροφορικής (Πηγή: [BSI-EN, 2002]) 154 Σχήμα 4.5: Σχέσεις Μεταξύ των Βασικών Εννοιών Ασφάλειας στην Οικογένεια BS7799 (Πηγή: [AS/NZS 4360, 1999]) 156 Σχήμα 4.6: Η Αρχιτεκτονική του Σημασιολογικού Ιστού κατά Berners-Lee 183 Σχήμα 4.7: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες Ολική Προσέγγιση196 Σχήμα 5.1:Φάσεις Μεθοδολογίας Ανάπτυξης Οντολογίας Ασφάλειας 221 Σχήμα 5.2: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά ISO/IEC 17799: Αγαθό 227 Σχήμα 5.3: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά ISO/IEC 17799: Απειλή 228 Σχήμα 5.4: Οντολογία Ασφάλειας κατά ISO/IEC για την ΑΕ 228 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 17

18 Σχήμα 5.5: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά COBIT: Πόρος Πληροφορικής (IT Resource) 234 Σχήμα 5.6: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά COBIT: Έλεγχος (Control) 235 Σχήμα 5.7: Οντολογία Ασφάλειας κατά COBIT (διεργασία PO9) για την ΑΕ 236 Σχήμα 5.8: Ενοποιημένο Εννοιολογικό Μοντέλο Οντολογίας Ασφάλειας για την ΑΕ 239 Σχήμα 5.9: Μοντελοποίηση ΠΣ ( IS ) κατά CIM 244 Σχήμα 5.10: Μοντελοποίηση ασφάλειας ΠΣ με Βάση το CIM Σύνδεση με τη CIM Μοντελοποίηση του ΠΣ 245 Σχήμα 5.11: Σύνδεση των Μοντέλων ΟΑ με το CIM 247 Σχήμα 5.12: Οντολογία Ασφάλειας κατά ISO/IEC για την ΑΕ / Ιδιότητες 248 Σχήμα 5.13: Σχέσεις Μεταξύ των Ιδιοτήτων Ασφάλειας (Πηγή: [NIST SP , 2001]) 254 Σχήμα 6.1: Οντολογία Ασφάλειας για την Υλοποίηση των Αντιμέτρων 263 Σχήμα 6.2: ΟΑ για την υλοποίηση των αντιμέτρων σύνδεση με το CIM και ιδιότητες 264 Σχήμα 6.3: Απειλές και Αντίμετρα για ένα Αγαθό. 272 Σχήμα 6.4: Σχέση Αγαθών ΠΣ, Απειλές και Αντίμετρα 276 Σχήμα 6.5: Δοκιμαστικό Δίκτυο 296 Σχήμα 7.1: Εξειδίκευση Αντιμέτρων - Δένδρο Εφαρμόσιμων Αντιμέτρων 307 Σχήμα 8.1: Διαχείριση Ασφάλειας Τρέχουσα Προσέγγιση 340 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 18

19 ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ Εικόνα 4.1: Τα Συστατικά Μέρη του COBIT 158 Εικόνα COBIT - Σκοποί και Τομείς Ελέγχου 162 Εικόνα 4.3: Αναπαράσταση Μοντέλου CIM με UML 167 Εικόνα 4.4: Το Μετα-Σχήμα του CIM 168 Εικόνα Επίπεδα Μοντέλου CIM 169 Εικόνα 4.6: Τα Κοινά Μοντέλα του CIM 170 Εικόνα 4.7: Μια ταξινόμηση των Πηγών Γνώσης Ασφάλειας (Πηγή: [Tsoumas et al., 2005] ) 191 Εικόνα 5.1: Οντολογία Ασφάλειας κατά ISO/IEC Εικόνα 5.2: Οντολογία Ασφάλειας κατά COBIT 252 Εικόνα 6.1: ΟΑ για την Υλοποίηση των Αντιμέτρων Υλοποίηση σε Protégé (μερική άποψη) 265 Εικόνα 6.2: Σύνδεση Απειλών και Αντιμέτρων σε επίπεδο Αγαθού 273 Εικόνα 6.3: Έξοδος Λογισμικού Ανίχνευσης Δικτύου 278 Εικόνα 6.4: nmap Ιχνηλάτηση Δικτύου Στοιχεία Πόρου 280 Εικόνα 6.5: Ανίχνευση με nmap - Έξοδος σε XML για τον Πόρο (μερική παράθεση) 280 Εικόνα 6.6: Επεξεργασία Εξόδου nmap - Τεχνικά Χαρακτηριστικά του Πόρου Εικόνα 6.7: Γραφική Απεικόνιση της Οντολογίας Ασφάλειας 285 Εικόνα 6.8: Εντοπισμός ιδιότητας «Κατηγοριοποίηση Αντιμέτρου» (CM_Group/ CM_SubGroup) 291 Εικόνα 6.9: Εντοπισμός Ιδιότητας «Στόχος Αντιμέτρου» (Target) 294 Εικόνα 6.10: Εντοπισμός του Λεκτικού Προτύπου του Αντίμετρου 295 Εικόνα 7.1: Το Δίκτυο Rete του Κανόνα make-secureacmatch (JESS) 330 Εικόνα 7.2: Εξειδίκευση Αντιμέτρων για τη Μελέτη Περίπτωσης 331 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 19

20

21 ΔΗΜΟΣΙΕΥΣΕΙΣ Η μέχρι στιγμής έρευνα του κ. Τσούμα που σχετίζεται με την παρούσα διατριβή έχει αποφέρει τις εξής δημοσιεύσεις: Δημοσιεύσεις σε διεθνή επιστημονικά περιοδικά με το σύστημα των κριτών 1. Gymnopoulos L., Tsoumas V., Soupionis I., Gritzalis S. (2005). A generic Grid security policy reconciliation framework. In Internet Research: Electronic Networking Applications and Policy, Vol. 15, No. 5. (January 2005), pp Moulinos K., Iliadis J., Tsoumas V. (2004). Towards Secure Sealing of Privacy Policies. In Information Management & Computer Security journal, Volume 12, No 4, MCB University Press, August 2004, selected as a Highly Commented Paper at the Literati Club Awards for Excellence Tsoumas V., Tryfonas Τ. (2004). From risk analysis to effective security management: Towards an automated approach, Information Management & Computer Security journal, Vol. 12, No 1, 2004, selected as a Highly Commented Paper at the Literati Club Awards for Excellence Εργασίες σε διεθνή συνέδρια με το σύστημα των κριτών 1. Tripodianos Ch., Tsoumas, B., Gritzalis, D. (2007). A Database of Technical Countermeasures and Refinement Techniques: A rule-based approach, Information Security and Critical Infrastructure Protection Research Group, Athens University of Economics and Business, Dept. of Informatics, January 2007 (submitted). 2. Tsoumas, B., Papagiannakopoulos, P., Dritsas, S., Gritzalis, D. (2006). Securityby-Ontology: A knowledge-centric approach. In IFIP International Information Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 21

22 Security Conference, Karlstad, Sweden, May Tsoumas B., Gritzalis, D. (2006). Towards an Ontology-based Security Management, AINA 2006, The IEEE 20th International Conference on Advanced Information Networking and Applications, April 18 20, 2006, Vienna University of Technology, Vienna, Austria. 4. Tsoumas B., Dritsas S., Gritzalis D. (2005). An ontology-based approach to information system security management. In Third International Workshop "Mathematical Methods, Models and Architectures for Computer Networks Security" (MMM_ACNS-05), September 24-28, 2005, St. Petersburg, Russia. 5. Gymnopoulos L., Tsoumas V., Soupionis J., Gritzalis S. (2005). Enhancing Security Policy Negotiation in the GRID". In Proceedings of the INC'2005 5th International Network Conference, S. Furnell and S. K. Katsikas (Eds.), July 2005, Samos, Greece, published by University of Plymouth. 6. Gritzalis, D. and Tsoumas, V. Assurance-by-ontology: An introduction and a paradigm proposal. In NATO ARW on Information Security Assurance and Security, June , Tetuan, Morocco. 7. Lambrinoudakis C., Kokolakis, S., Karyda M, Tsoumas V., Gritzalis, D., Katsikas, S. (2003). Electronic Voting Systems: Security Implications of the Administrative Workflow, DEXA 2003 (TRUSTBUS workshop), Sep. 2003, Prague. 8. Lambrinoudakis C., Tsoumas V., Karyda M, Gritzalis, D., Katsikas, S. (2003). Electronic Voting Systems: The Impact of System Actors to the Overall Security Level, 18th IFIP International Information Security Conference, May 2003, Athens, Greece. Τεχνικές Αναφορές 1. Tripodianos Ch., Tsoumas, B., Gritzalis, D. (2006). A Database of Technical Countermeasures and Refinement Techniques: A rule-based approach, Technical Report, Information Security and Critical Infrastructure Protection Research Group, Athens University of Economics and Business, Dept. of Informatics, September Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 22

23 Συμμετοχή σε Συλλογικούς Τόμους Ασφάλειας 1. Gritzalis, D., Tsoumas, V., An assurance-by-ontology paradigm proposal: Elements of security knowledge management. In Information Assurance and Computer Security (NATO Security through Science Series: Information and Communication Security, Vol. 6), pp , Johnson T., et al. (Eds.), IOS Press, Τσούμας, Β. (2004). «Ελεγκτική Πληροφοριακών Συστημάτων» (Κεφ. 13) στο Κάτσικας, Σ., Γκρίτζαλης, Δ. & Γκρίτζαλης, Σ (επιμέλεια) Ασφάλεια Πληροφοριακών Συστημάτων, Αθήνα, σελ Lambrinoudakis C., Tsoumas V., Karyda M., Ikonomopoulos S., Secure e-voting: The Current Landscape, στο βιβλίο Secure Electronic Voting: Trends and Perspectives, Capabilities and Limitations, D. Gritzalis (Ed.), Kluwer Academic Publishers, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 23

24

25 Never send a human to do a machine's job. ~ Agent Smith, The Matrix 1 Εισαγωγή 1.1 Πληροφορική και Διαχείριση Ασφάλειας ΠΣ Με την ολοένα και μεγαλύτερη διείσδυση των Τεχνολογιών Πληροφοριών και Επικοινωνιών (ΤΠΕ) στην καθημερινή μας ζωή, είμαστε μάρτυρες της σημαντικότερης ειρηνικής επανάστασης στην καταγεγραμμένη ιστορία του ανθρώπινου γένους: παρά το γεγονός ότι οι απόψεις σχετικά με την πρέπουσα χρήση των ΤΠΕ διίστανται και καλύπτουν ένα ευρύ φάσμα από την «πλήρη δαιμονοποίηση της τεχνολογίας πληροφορικής μέχρι την προσδοκία της "κοινωνίας της αφθονίας", όπου οι νοήμονες μηχανές θα απαλλάξουν τον άνθρωπο από τη δουλεία της εργασίας» [Μουλίνος, 2003], είναι γεγονός ότι η έλευση και εν πολλοίς ενσωμάτωση των ΤΠΕ στις καθημερινές μας δραστηριότητες διαθέτει κάποια ποιοτικά χαρακτηριστικά που επηρεάζουν άμεσα την καθημερινή μας ζωή: α) αφορά όλες τις πτυχές της ζωής του ανθρώπου, β) πραγματοποιείται με μεγάλη ταχύτητα και γ) τείνει να γίνει διαφανής (transparent), αφού συνήθως ενσωματώνεται στις καθημερινές δραστηριότητές μας με τη μικρότερη δυνατή εμπλοκή του τελικού χρήστη. Είναι γεγονός ότι η προσαρμοστικότητα του ανθρώπου σε αυτή την καταιγιστική διαδικασία ποικίλλει, αφού μια μερίδα βιώνει ένα πολιτισμικό σοκ [Toffler, 1991] σε διαφορετικό βαθμό έντασης, ενώ άλλοι προσαρμόζονται ηπιότερα στη νέα κατάσταση σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 25

26 κάθε περίπτωση, εκ φύσεως ο άνθρωπος δεν αποδέχεται κάτι καινούργιο χωρίς αντίδραση στην επικείμενη αλλαγή [DeMarco and Lister, 1999]. Συμπληρωματικά στην ενσωμάτωση αυτή καθ αυτή, υπάρχει έντονος προβληματισμός σχετικά με την ορθή χρήση των ΤΠΕ, τόσον όσο αφορά τη χρήση τους για σκοπούς που προάγουν την ειρήνη και το επίπεδο ζωής των κατοίκων του πλανήτη, όσο και για την ενδεχόμενη αδυναμία προστασίας της προσωπικής ζωής του ατόμου [Μουλίνος, 2003]. Οι δυνατότητες επεξεργασίας, μετάδοσης, αναζήτησης και συνδυασμού πληροφοριών που παρέχουν τα σύγχρονα πληροφοριακά συστήματα με ολοένα και μικρότερο κόστος, επιτείνει αυτούς τους προβληματισμούς [EFF, 2006], [CDT, 2006]. Σε αυτό το ευρύτατα ευέλικτο, μεταβαλλόμενο και ανταγωνιστικό περιβάλλον τα πληροφοριακά συστήματα των μοντέρνων οργανισμών ακολουθούν τις τάσεις της τεχνολογίας: εκτεταμένες δυνατότητες πρόσβασης, νέα υπολογιστικά μοντέλα (paradigms), αυξανόμενη εξωστρέφεια παραδοσιακά «κλειστών» υπολογιστικών συστημάτων (όπως τα mainframes), σύμπλεξη και ομογενοποίηση των επιχειρησιακών λειτουργιών με ολιστικά πληροφοριακά συστήματα που υποστηρίζουν κάθε πτυχή των επιχειρησιακών διαδικασιών (όπως τα συστήματα Enterprise Resource Planning, ERPs), αύξηση της υπολογιστικής δύναμης των προσωπικών υπολογιστών και σταθμών εργασίας σε συνδυασμό με τη συνεχή σύνδεση στο Διαδίκτυο, σύμπλευση των τηλεπικοινωνιών με τις ΤΠΕ, νέες εφαρμογές που στοχεύουν στην απόκτηση ή/και διατήρηση του ανταγωνιστικού πλεονεκτήματος, εκτεταμένες δυνατότητες πληροφόρησης και λήψης αποφάσεων είναι σαφές ότι η εκτεταμένη χρήση των νέων τεχνολογιών έχει φέρει τρομακτικές αλλαγές στον τρόπο ζωής του ανθρώπου, παρέχοντας σχεδόν απεριόριστες δυνατότητες αλλά και εγκυμονώντας σημαντικούς κινδύνους, οι οποίοι δεν είναι πάντοτε αντιληπτοί από τις εμπλεκόμενες οντότητες. Πιστεύουμε ότι η μόνη εφικτή λύση είναι η έλλογη δράση, με την έννοια της κατανόησης τόσο των δυνατοτήτων όσο και των εν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 26

27 δυνάμει κινδύνων. Η Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων (ΠΣ) 1 σε εννοιολογικό επίπεδο δεν διαφέρει σε τίποτα από την επένδυση σε συγκεκριμένες μετοχές του χρηματιστηρίου 2 με το λεγόμενο «υψηλό βαθμό κινδύνου»: ο επενδυτής, ανάλογα με τις γνώσεις που διαθέτει και το ιστορικό της μετοχής, το γενικότερο περιβάλλον και τη χωροχρονική συγκυρία, καταλήγει σε κάποιες αποφάσεις που μπορούν να συνοψιστούν στην εξής φράση: «Η πλήρης εξάλειψη της πραγματοποίησης των εν δυνάμει κινδύνων είναι αδύνατη το ζητούμενο είναι η ρεαλιστική διαχείριση των κινδύνων με αποδεκτό κόστος». Η ίδια τακτική στη βασική της έκφανση χρησιμοποιείται από πληθώρα οντοτήτων διαφορετικού διαμετρήματος, σκοπού ύπαρξης και μορφής, από τους χρηματοπιστωτικούς οργανισμούς κατά την επιλογή των χαρτοφυλακίων τους, έως ένα νήπιο που ετοιμάζεται να περάσει ένα ρυάκι χωρίς να βραχεί. Με αυτή την οπτική λοιπόν, η διαχείριση κινδύνων είναι έμφυτη στην ανθρώπινη φύση και συνδέεται άμεσα με το ένστικτο της 1 Σύμφωνα με το πρότυπο [ISO , 1996] ο σκοπός της Διαχείρισης Ασφάλειας ΤΠΕ είναι ο εντοπισμός των απαιτήσεων ασφάλειας και η χρήση τους στην υλοποίηση και καθημερινή διαχείριση του συστήματος. Όπως ορίζεται στο πρότυπο, είναι σημαντική η χρήση μιας συστηματικής προσέγγισης για την επίτευξη αυτού του σκοπού. 2 Με δεδομένο ότι και οι δύο περιοχές (Διαχείριση Ασφάλειας ΠΣ και χρηματιστηριακές συναλλαγές) είναι χαοτικές λόγω του εξαιρετικά μεγάλου αριθμού παραγόντων που επηρεάζουν τα γεγονότα και των μεταξύ τους πολύπλοκων διασυνδέσεων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 27

28 αυτοσυντήρησης: είναι ενδιαφέρον να παρατηρήσει κανείς ότι στον ψηφιακό κόσμο των ΤΠΕ, η επίδραση (impact) της πραγματοποίησης των εν δυνάμει υφιστάμενων κινδύνων συνήθως απέχει κάποιες τάξεις μεγέθους από την αντίστοιχη επίδραση της πραγματοποίησης των εν δυνάμει κινδύνων σε ένα χειρογραφικό πληροφοριακό σύστημα ο αναγνώστης μπορεί να θεωρήσει σαν αντιπροσωπευτικό παράδειγμα την περίπτωση της απάτης σε ένα σύστημα ηλεκτρονικής ψηφοφορίας ευρείας κλίμακας που χρησιμοποιεί το διαδίκτυο, σε αντιδιαστολή με το παραδοσιακό σύστημα εκλογών που χρησιμοποιεί τις κλασσικές ομάδες εφορευτικών επιτροπών: πιθανή διείσδυση στο υπολογιστικό σύστημα της ηλεκτρονικής ψηφοφορίας είναι πιθανό να αποφέρει αισθητή αλλαγή στο εκλογικό αποτέλεσμα, την ώρα που επίδραση ίδιας κλίμακας στο παραδοσιακό σύστημα θα απαιτούσε μια συντονισμένη λαθροχειρία από ένα σεβαστό αριθμό ατόμων. Συμπληρωματικά στο προηγούμενο παράδειγμα, η παρέμβαση στο ηλεκτρονικό σύστημα είναι πιθανό να μην απαιτεί τη φυσική παρουσία του εισβολέα, ενώ αυτός ο περιορισμός υφίσταται στο παραδοσιακό σύστημα, κάνοντας πιο δύσκολη την πραγματοποίηση της χειραγώγησης του εκλογικού αποτελέσματος [Lambrinoudakis et al., 2002], [Lambrinoudakis et al., 2003a]. Ο ακριβής καθορισμός της σειράς των επιτρεπτών πράξεων (action workflow) από τους διαχειριστές ενός τέτοιου κρίσιμου συστήματος είναι ένα ενεργό ερευνητικό αντικείμενο [Lambrinoudakis et al., 2003b] λόγω της καταλυτικής επίδρασης των προνομιούχων χρηστών στη λειτουργία του. Από αυτό το μικρό παράδειγμα συνάγεται το συμπέρασμα ότι η πραγματοποίηση των απειλών στα συστήματα που κάνουν χρήση ΤΠΕ συγκριτικά με τα παραδοσιακά / χειροκίνητα συστήματα πληροφοριών είναι σχετικά ανεξάρτητη από α) τον αριθμό των εισβολέων και β) τη φυσική παρουσία των εισβολέων, παράγοντες που επιτείνουν τη σημασία της αποτελεσματικής και αποδοτικής διαχείρισης ασφάλειας. Ο στόχος αυτής της διατριβής είναι διττός: α) η έρευνα γύρω από τη γνώση ασφάλειας που είναι διαθέσιμη από διαφορετικές πηγές και ο τρόπος με τον οποίο αυτή η γνώση αξιοποιείται, και β) η έρευνα γύρω από την αποτελεσματική και αποδοτική διαχείριση ασφάλειας του ΠΣ, που υποστηρίζουν την εύρυθμη λειτουργία του και την επίτευξη των στόχων του. Αυτές οι δύο περιοχές αποτελούν και το ερευνητικό αντικείμενο της διατριβής. Είναι πεποίθηση του γράφοντος ότι η αποτελεσματική και αποδοτική διαχείριση Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 28

29 ασφάλειας είναι η βέλτιστη λύση στα θέματα ασφάλειας αφού μπορεί να μειώσει την αβεβαιότητα και να επιλύσει την αντίφαση που προέρχεται από ελλιπή επίγνωση (και κάποιες φορές υποτίμηση) των θεμάτων ασφάλειας. Μια επιτυχής και αποτελεσματική διαχείριση ασφάλειας ΠΣ θα βελτιώσει (πιθανώς) τα ισχύοντα επιχειρησιακά μοντέλα και θα εμφυσήσει ένα αίσθημα ασφάλειας στον τελικό καταναλωτή τόσο στον άμεσα ορατό, όσο και στον μακροπρόθεσμο ορίζοντα. 1.2 Αφορμή και Κίνητρα για την Παρούσα Έρευνα Η διαχείριση ασφάλειας ΠΣ είναι ένα πολύπλοκο πεδίο, που καλύπτει ένα ευρύ φάσμα δραστηριοτήτων που σχετίζονται με τα συστατικά στοιχεία ενός ΠΣ [Κιουντούζης, 1995]. Τα κυριότερα προβλήματα τα οποία αντιμετωπίζει η διοίκηση ενός οργανισμού είναι τα εξής [Wilson et al., 1992]: Η μεγάλη συμπλοκότητα των ΠΣ που περιλαμβάνουν πολλές συνιστώσες διαφορετικής φύσης όπως το υλικό, το λογισμικό, το ανθρώπινο δυναμικό, κλπ., Η δυσκολία ελέγχου της ροής και της πρόσβασης στα δεδομένα από τα μέλη μιας κοινότητας χρηστών, Η δυσκολία διαπίστωσης πολλών περιστατικών παραβίασης της ασφάλειας (λ.χ. η παραβίαση της ακεραιότητας ή της ιδιωτικότητας των πληροφοριών), Η δυσκολία της αξιολόγησης και αποτίμησης των περιστατικών παραβίασης της ασφάλειας, ώστε να αξιολογηθούν έναντι του κόστους της υλοποίησης και εφαρμογής των μέτρων προστασίας, Το μέγεθος των ΠΣ, που συχνά στους σύγχρονους οργανισμούς καλύπτουν όλο το εύρος των δραστηριοτήτων τους. Η ασφάλεια των ΠΣ γενικά, αποτελεί ένα αδόμητο πρόβλημα για τη διοίκηση, με αποτέλεσμα να μην έχει στη διάθεσή της έτοιμες εκ των προτέρων λύσεις: η τρέχουσα πρακτική είναι η θέσπιση ενός πλαισίου διαχείρισης ασφάλειας ΠΣ, το οποίο (τελικά, και εκτός των άλλων) μεταφράζεται σε μια σειρά από συνδυαστικά αντίμετρα (countermeasures) τα οποία μειώνουν την έκθεση στον κίνδυνο σε αποδεκτά επίπεδα. Παρά τη (γενική) παραδοχή τόσο από τον ακαδημαϊκό χώρο όσο και από ειδικούς ασφάλειας για τη σημασία των πλαισίων και πολιτικών ασφάλειας στην προστασία των Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 29

30 ΠΣ των οργανισμών, η αποτελεσματικότητα της εφαρμογής πολιτικών ασφάλειας με την παρούσα μορφή τους αμφισβητείται από πολλούς ερευνητές [Wood C., 2000], [Höne and Eloff, 2002]. Η εμπειρία έχει δείξει ότι τα εν λόγω πλαίσια διαχείρισης ασφάλειας σπάνια εξαντλούν τις θεωρητικές δυνατότητές τους και συχνά αποτυγχάνουν (όπως αποτυπώνεται σε έρευνες τόσο σχετικά με τις κυρίαρχες τάσεις στην ασφάλεια πληροφοριών [Ernst & Young, 2005], όσο και σχετικά με ρήγματα ασφάλειας [Gordon et al., 2004], [DTI and Coopers, 2002] και [DTI, 2000]). Όλες οι έρευνες υπογραμμίζουν ότι, παρά το γεγονός ότι οι οργανισμοί σε επίπεδο διοίκησης αναγνωρίζουν την ανάγκη για ασφάλεια, υπάρχει έλλειψη από επαρκείς μεθοδολογίες και προσεγγίσεις για τη βελτίωση του υπάρχοντος επιπέδου ασφάλειας των ΠΣ μέσω αποτελεσματικής υλοποίησης των υψηλού επιπέδου πολιτικών ασφάλειας σε εφαρμοστέες πρακτικές. Περαιτέρω, είναι φανερό ότι η διαχείριση ασφάλειας θα πρέπει να προβλέπει κάτι παραπάνω από την εφαρμογή των τεχνικών λεπτομερειών της υλοποίησης των μέτρων: τόσο οι ερευνητικές προσπάθειες όσο και η εμπειρία καταδεικνύουν ότι μια πλειάδα διαστάσεων (ολιστικές θεωρήσεις, [Gerber and von Solms, 2005]) θα πρέπει να ληφθούν υπ όψη για την επιτυχή υλοποίηση της διαχείρισης ασφάλειας ΠΣ. Όπως αναλύεται στα επόμενα (βλ. ενότητα 2.5 και Κεφάλαιο 3), υπάρχει μια πληθώρα από (de facto / de jure) προσεγγίσεις διαχείρισης ασφάλειας (τόσο σε επίπεδο γενικού πλαισίου, όσο και σε επίπεδο υλοποίησης και εφαρμογής), οι οποίες όμως πάσχουν από τη μη αποτελεσματική και αποδοτική εκμετάλλευση των πληροφοριών ασφάλειας οι οποίες παρέχονται από το ίδιο το περιβάλλον του ΠΣ, όσο και από άλλες σχετικές πηγές πληροφοριών. Με αυτή την οπτική, θεωρούμε ότι είναι απαραίτητη μια νέα προσέγγιση στο θέμα της διαχείρισης ασφάλειας ΠΣ, η οποία θα εκμεταλλεύεται αποτελεσματικά και αποδοτικά όλες τις πηγές πληροφορίας περί ασφάλειας που είναι διαθέσιμες. Πιο συγκεκριμένα, αφορμή για την παρούσα έρευνα έδωσαν οι παρακάτω διαπιστώσεις: Α/Α Διαπίστωση Ερευνητική Αφετηρία I. Η σύνδεση των αποτελεσμάτων της ΑΕ με τα τελικώς εφαρμοστέα μέτρα ασφάλειας είναι συνήθως ανεπαρκής ή/και αποσπασματική και δεν εξαρτάται από τον ειδικό επιστήμονα που εκπόνησε την ΑΕ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 30

31 Α/Α Διαπίστωση Ερευνητική Αφετηρία II. III. IV. Τυχόν επαναχρησιμοποίηση των διαθέσιμων πληροφοριών, καθώς και της υπάρχουσας γνώσης της σχετικής με την ασφάλεια, για την επίτευξη και διατήρηση ενός επαρκούς επιπέδου ασφάλειας του ΠΣ είναι δυσχερής. Η αξιοποίηση των ποικίλλων και συνήθως ανομοιογενών πηγών πληροφοριών περί την ασφάλεια δεν μπορεί να γίνει μεθοδικά και βασίζεται σε ad hoc διαδικασίες. Η αντικειμενική κατανόηση των απαιτήσεων ασφάλειας από τον ειδικό επιστήμονα, ο οποίος καλείται να μεταφράσει τις απαιτήσεις ασφάλειας σε εφαρμόσιμα μέτρα ασφάλειας, δεν εδράζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις. V. Η σύνδεση μεταξύ των ελεγκτικών διαδικασιών (που αφορούν την αποτελεσματικότητα της εφαρμογής των αναγκαίων μέτρων ασφάλειας), με τις ίδιες τις απαιτήσεις ασφάλειας, συνήθως γίνεται με βάση ad hoc τεχνικές. VI. Η φύση της ΔΑΠΣ είναι εγγενώς κοστοβόρα και χρονοβόρα και, παράλληλα, η ενσωμάτωση μετρικών (metrics) αποτελεσματικότητάς της (ROI vs. ROSI) στη διαδικασία διασφάλισης του ΠΣ είναι δυσχερής. Στην επόμενη ενότητα ακολουθούν εκτενέστερες περιγραφές των αντίστοιχων ερευνητικών διαπιστώσεων. I. Αυτή ήταν και η γενεσιουργός αιτία του ερευνητικού προβληματισμού: μια τυπική προσέγγιση στο θέμα της διασφάλισης και προστασίας των ΠΣ είναι η κατ αρχήν διεξαγωγή μιας άσκησης Ανάλυσης Επικινδυνότητας (ΑΕ), η οποία αποτιμά τα πληροφοριακά αγαθά του οργανισμού, εντοπίζει τους κινδύνους και τις αδυναμίες και προτείνει μέτρα μείωσης του κινδύνου σε αποδεκτά επίπεδα. Η τυπική έξοδος της ΑΕ είναι μια σειρά από αντίμετρα / συστάσεις υψηλού επιπέδου, κατάλληλα για μια γενική διατύπωση των απαιτήσεων που είναι ανεξάρτητες από υλοποιήσεις και τεχνολογίες αυτή η προσέγγιση βελτιώνει την επαναχρησιμοποίηση των απαιτήσεων των αντιμέτρων, αλλά βοηθά πολύ λίγο τον ειδικό ασφάλειας. Περαιτέρω, δεν υπάρχει μια συγκεκριμένη μέθοδος για την τεχνοδιαμόρφωση τεχνολογικών υποδομών οι οποίες Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 31

32 συσχετίζονται και/ή αλληλοεξαρτώνται. II. Η γνώση σχετικά με την ασφάλεια του ΠΣ που έχει συσσωρευτεί τόσο κατά τη διάρκεια της ΑΕ όσο και από άλλες πηγές γνώσης ασφάλειας, δεν αξιοποιείται με ένα συστηματικό τρόπο για την επίτευξη και διατήρηση ενός επαρκούς επιπέδου ασφάλειας του ΠΣ. III. Ένας (σοβαρός) λόγος για τη μη αποτελεσματική αξιοποίηση της εν λόγω γνώσης είναι η ανομοιογένεια, η απουσία συγκεκριμένης δομής και οι διαφορετικές μορφές που μπορεί να λάβει αυτή η γνώση, μη παραλειπόμενης της έλλειψης αναπαράστασης σε ηλεκτρονική μορφή [Agentcities D3.4, 2003]. Ενδεικτικά, τέτοιες πηγές πληροφορίας αποτελούν οι συστάσεις υψηλού επιπέδου, τα τεχνικά δελτία ασφάλειας των κατασκευαστών (security advisories) και οι σχετικές λίστες ηλ. Ταχυδρομείου. Επιπρόσθετα, κάθε τέτοια πηγή πληροφοριών έχει κάποια ιδιαίτερα γνωρίσματα, όπως διαφορετικό ακροατήριο που απευθύνεται, διακριτό επίπεδο λεπτομέρειας, έλλειψη κοινά αποδεκτής δομής, έλλειψη κοινά αποδεκτής ταξινόμησης και αποδεκτής αποτίμησης / «βαθμολογίας» όσον αφορά την ποιότητα των πληροφοριών, κλπ. IV. Η διερμηνεία των απαιτήσεων ασφάλειας γίνεται συνήθως από κάποιον ειδικό ασφάλειας, ο οποίος καλείται να υλοποιήσει τα αντίμετρα έξοδο της ΑΕ. Η εμπειρία δείχνει ότι οι διερμηνείες των ειδικών διαφέρουν μεταξύ τους τόσο, ώστε οι βέλτιστες λύσεις να μην εφαρμόζονται πάντα και να επαφίεται η ασφάλεια του ΠΣ στην εξειδίκευση (τελικά) του ειδικού-υλοποιητή χωρίς να εδράζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις. Οι τελευταίοι υπόκεινται τόσο στους περιορισμούς των γνώσεών τους, όσο και σε προσωπικές προτιμήσεις. Επιπρόσθετα, η παρουσία ενός αριθμού οντοτήτων με νόμιμο ενδιαφέρον για την επίτευξη των επιχειρησιακών στόχων του ΠΣ (stakeholders) οι οποίες δεν κατανοούν πλήρως την πολυπλοκότητα και την αλληλεπίδραση των συνιστωσών ενός ΠΣ συμβάλλει στην δυσκολία επικοινωνίας και συμφωνίας σε μια κοινή ορολογία σχετικά με την λειτουργική διαχείριση κινδύνων ΠΣ σαν αποτέλεσμα, είναι πιθανή η παρερμηνεία των απαιτήσεων ασφάλειας και η καλλιέργεια μιας ψευδούς αντίληψης για το πραγματικό επίπεδο ασφάλειας των ΠΣ (false sense of security). V. Μετά την εφαρμογή των μέτρων, είναι απαραίτητος ο έλεγχος της αποτελεσματικότητάς τους μέχρι σήμερα, η φάση της αξιολόγησης της εφαρμογής Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 32

33 των μέτρων γίνεται με βάση ad hoc, χρονοβόρες και επιρρεπείς σε λάθη τεχνικές που δεν έχουν υποστηριχτεί αποτελεσματικά από κάποια αυτοματοποιημένη διαδικασία όπως η παραγωγή ελεγκτικών προγραμμάτων που συνδέονται με τις απαιτήσεις ασφάλειας. VI. Όλα τα παραπάνω συνάδουν στο να αναδεικνύεται η Διαχείριση Ασφάλειας ΠΣ σαν μια δύσκολη διαδικασία τόσο σχετικά με τους απαιτούμενους πόρους (κόστος και χρόνος), όσο και σχετικά με την αποδοχή από τη Διοίκηση, που έχει μάθει να σκέφτεται και να αποφασίζει με όρους ROI (Return-On-Investment) [Zuccato, 2005] [Ehrmann, 2002] και όχι ROSI (Return-On-Security-Investment) [Wei et al., 2001], ή αντίστοιχες μετρικές. Συν τοις άλλοις, η εκτενής παρουσία μη-πρότυπων σημείων αναφοράς σχετικά με τις αρχιτεκτονικές λύσεων ασφάλειας επιτείνει τη σύγχυση και υποσκάπτει την ασφαλή λειτουργία των ΠΣ. 1.3 Αντικείμενο και Στόχοι της Διατριβής Αντικείμενο της διατριβής είναι η συμβολή στην αποτελεσματικότερη και ολιστική διαχείριση της ασφάλειας των ΠΣ, προς την κατεύθυνση μιας διαχείρισης που θα βασίζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις και τις αντίστοιχες μεθοδολογίες εφαρμογής τους. Σκοπός της διατριβής είναι η ανάπτυξη μιας νέας θεωρητικής προσέγγισης της ΔΑΠΣ, η οποία θα είναι βασισμένη σε ένα λειτουργικό μοντέλο που στηρίζεται σε πληροφορίες και σε γνώση σχετικά με την ασφάλεια. Το μοντέλο που αναπτύχθηκε είναι ανεξάρτητο από τις τεχνολογίες υλοποίησης του ΠΣ και συγχρόνως είναι κατάλληλο για να αποτελέσει τη βάση ενός πολυσυλλεκτικού και ολιστικού συστήματος ΔΑΠΣ. Τα κύρια ζητήματα στα οποία επικεντρώθηκε η παρούσα διατριβή είναι: (α) Η ανάπτυξη μιας ολιστικής θεωρητικής προσέγγισης για τη ΔΑΠΣ, που να είναι βασισμένη σε γνώση, κλιμακούμενη, επεκτάσιμη και στηριγμένη σε διεθνή πρότυπα (standards). (β) Η ανάπτυξη του αντίστοιχου μοντέλου αναφοράς (reference model), καθώς και του λειτουργικού μοντέλου της εν λόγω προσέγγισης της ΔΑΠΣ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 33

34 (γ) Η πιλοτική υλοποίηση επιλεγμένων κομβικών τμημάτων της προτεινόμενης προσέγγισης ΔΑΠΣ, προκειμένου να επιδειχθεί η εφικτότητα και αποτελεσματικότητα της πρακτικής υλοποίησής της. 1.4 Δομή της Διατριβής Δομική Περιγραφή της Διατριβής Η παρούσα διατριβή χωρίζεται σε τρία μέρη και εννέα κεφάλαια. Στο πρώτο μέρος (Κεφάλαια 2 και 3) γίνεται ανασκόπηση των βασικών εννοιών της διαχείρισης ασφάλειας ΠΣ και υπογραμμίζεται η εγγενής πολυπλοκότητα της αποτελεσματικής ενσωμάτωσής της στις καθημερινές δραστηριότητες ενός οργανισμού. Επιπρόσθετα, αναδεικνύεται η έλλειψη μεθοδολογιών και μεθόδων αποτελεσματικής και αποδοτικής αντιστοίχησης των αντιμέτρων ασφάλειας υψηλού επιπέδου που προέρχονται τόσο από ασκήσεις Ανάλυσης Επικινδυνότητας όσο και από άλλες πηγές πληροφοριών σχετικές με την ασφάλεια του ΠΣ, που μοιράζονται ένα κοινό χαρακτηριστικό: αυτό της μεγάλης διακύμανσης όσον αφορά το περιεχόμενο, τη δομή, τον τρόπο έκφρασης, το επίπεδο λεπτομέρειας και το ακροατήριο που απευθύνεται. Το Κεφάλαιο 2 περαιτέρω περιγράφει το τρίπτυχο της Διαχείρισης Επικινδυνότητας (Ανάλυση Επικινδυνότητας, Μείωση των Κινδύνων και Αξιολόγηση του Επιπέδου Ασφάλειας) και τις σύγχρονες προσεγγίσεις στο σύνθετο πρόβλημα της διαχείρισης ασφάλειας ΠΣ. Στη συνέχεια εξετάζονται σε στρατηγικό επίπεδο η πολυδιάστατη φύση της Διαχείρισης Ασφάλειας και οι επικρατούσες προσεγγίσεις στην πράξη. Σε αυτό το σημείο αποκρυσταλλώνεται το ερευνητικό πρόβλημα που συνοψίζεται στην έλλειψη αποδοτικών προσεγγίσεων ΔΑΠΣ που συλλέγουν, ομογενοποιούν, ερμηνεύουν και εφαρμόζουν τις απαιτήσεις ασφάλειας στους πόρους του ΠΣ [Tsoumas and Tryfonas, 2004], [Tsoumas et al., 2005]. Στο Κεφάλαιο 3 γίνεται μια ανασκόπηση στους ερευνητικούς τομείς εκείνους, οι οποίοι σχετίζονται με την παρούσα διατριβή και πιο συγκεκριμένα η αποτύπωση των απαιτήσεων ασφάλειας όπως η εξειδίκευση απαιτήσεων βάσει στόχων και εξειδίκευση απαιτήσεων σε επίπεδο πολιτικών, αντίστοιχα. Επιπλέον, λόγω του υβριδικού χαρακτήρα της προτεινόμενης προσέγγισης, παρουσιάζεται και μια επισκόπηση των κυριότερων Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 34

35 ερευνητικών προσπαθειών σε θέματα που σχετίζονται περισσότερο ή λιγότερο με την παρούσα διατριβή όπως πλαίσια και γλώσσες πολιτικών υψηλού επιπέδου, πολιτικές ασφάλειας και φυσική γλώσσα, καθώς και μικτές προσεγγίσεις. Στο δεύτερο μέρος (Κεφάλαια 4 και 5) επιχειρείται η εννοιολογική μοντελοποίηση της συνολικής προσέγγισης και η ανάπτυξη του βασικού στοιχείου της, της Οντολογίας Ασφάλειας (ΟΑ). Στο Κεφάλαιο 4 καθορίζεται το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική της προσέγγισης που προτείνει μια αυτοματοποιημένη διαδικασία μετάβασης από τις απαιτήσεις ασφάλειας σε εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ, επιτυγχάνοντας έτσι μια ολιστική διαχείριση ασφάλειας [Tsoumas et al., 2005], [Gritzalis and Tsoumas, 2005]. Επιπρόσθετα, περιγράφονται οι τέσσερεις άξονες της έρευνας στους οποίους στηρίζεται η προσέγγιση: α) πρότυπα διαχείρισης κινδύνων ΠΣ, β) πρότυπα διαχείρισης ΠΣ, γ) μοντέλα αναπαράστασης γνώσης και οντολογίες, και δ) τεχνικές λεκτικής ανάλυσης και έμπειρα συστήματα. Στο Κεφάλαιο 5 περιγράφεται η μεθοδολογία ανάπτυξης μιας οντολογίας ασφάλειας που μοντελοποιεί τις απαιτήσεις ασφάλειας ΠΣ [Tsoumas and Gritzalis, 2006a], [Tsoumas et al., 2006b]. Η οντολογία βασίζεται στις έννοιες των προτύπων διαχείρισης κινδύνων ΠΣ (άξονας 1), επεκτείνει και συνδέεται με το μοντέλο CIM (άξονας 2) και υλοποιείται σε γλώσσα του Σημασιολογικού Ιστού (άξονας 3). Το τρίτο μέρος (Κεφάλαια 6, 7, και 8) πραγματεύεται: α) τις διαδικασίες συλλογής και ανάλυσης των απαιτήσεων ασφάλειας από όλες τις πηγές γνώσης περί την ασφάλεια που σχετίζονται με το ΠΣ και β) τις διαδικασίες αντιστοίχησης των απαιτήσεων ασφάλειας με εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ. Πιο συγκεκριμένα, το Κεφάλαιο 6 εξειδικεύει τις οντολογίες που αναπτύχθηκαν στο Κεφάλαιο 5 έτσι ώστε να επικεντρωθεί στη συλλογή και ανάλυση των αντιμέτρων από τις διαφορετικές πηγές πληροφορίας ασφάλειας. Μέσω τεχνικών λεκτικής ανάλυσης (Άξονας 4) υλοποιείται ένα πιλοτικό σύστημα εξαγωγής απαιτήσεων ασφάλειας από αντίμετρα υψηλού επιπέδου [Tsoumas et al., 2006b]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 35

36 Το Κεφάλαιο 7 θεμελιώνει μια Βάση Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ), η οποία χρησιμοποιείται για την αποθήκευση άμεσα εφαρμόσιμων αντιμέτρων στους πόρους του ΠΣ, μέσω αντιστοίχησης των απαιτήσεων ασφάλειας (οντολογία ασφάλειας) και των ΤΜΥ έτσι ώστε να καταλήξει σε μια σειρά από ατομικές ενέργειες και/ή συστάσεις προς τον υπεύθυνο της τεχνοδιαμόρφωσης των πόρων [Gritzalis and Tsoumas, 2006]. Επιπρόσθετα, θεμελιώνεται μια συμπερασματική μέθοδος εξειδίκευσης των αντιμέτρων σε ένα Δένδρο Εφαρμόσιμων Αντιμέτρων, προκειμένου να συγκεκριμενοποιηθούν τα αντίμετρα που χρήζουν εξειδίκευσης [Tripodianos et al., 2007]. Το Κεφάλαιο 8 συνοψίζει τα συμπεράσματα της έρευνας και τα ανοικτά ερευνητικά πεδία κλείνοντας την διατριβή Συνοπτική Περιγραφή των Κεφαλαίων Η ανάπτυξη της παρούσας διατριβής γίνεται σε εννέα κεφάλαια και ακολουθεί σε γενικές γραμμές τη ροή της δομικής περιγραφής που παρουσιάσθηκε. Οι βιβλιογραφικές αναφορές παρατίθενται στο κεφάλαιο 9, ενώ παράλληλα υπάρχουν επιπλέον 6 παραρτήματα στα οποία περιλαμβάνεται λεπτομερειακό υλικό απαραίτητο για την επιστημονική τεκμηρίωση της διατριβής. Στο κεφάλαιο 1 «Εισαγωγή», περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία επίλυσης του προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να προσεγγίσει η διατριβή και η συμβολή της στη γνωστική περιοχή. Στο κεφάλαιο 2 «Ορισμοί και Επισκόπηση του Οργανοτεχνικού Πλαισίου Διαχείρισης Κινδύνων ΠΣ» συνοψίζεται η παρούσα κατάσταση στο χώρο της διαχείρισης ασφάλειας, με παράθεση των βασικών ορισμών. Στη συνέχεια, γίνεται ανασκόπηση του τρίπτυχου διαχείρισης επικινδυνότητας ΠΣ. Επιπλέον, παρατίθενται οι κυριότερες προσεγγίσεις στη σύγχρονη ΔΑΠΣ. Τέλος, προσδιορίζεται λεπτομερέστερα το ερευνητικό πρόβλημα. Ο εξοικειωμένος, με τα παραπάνω ζητήματα, αναγνώστης μπορεί να διαβάσει τη σύνοψη του κεφαλαίου (βλ. 2.7) και να προχωρήσει στο επόμενο κεφάλαιο. Στο κεφάλαιο 3 «Παρούσα Κατάσταση και Σχετική Έρευνα» παρατίθεται μια ανασκόπηση στους ερευνητικούς τομείς εκείνους, οι οποίοι σχετίζονται με την παρούσα διατριβή. Πιο συγκεκριμένα, θίγονται θέματα αποτύπωσης των απαιτήσεων ασφάλειας είτε με τυπικό (formal) είτε με άτυπο τρόπο. Στη συνέχεια περιγράφονται πλαίσια και γλώσσες πολιτικών Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 36

37 υψηλού επιπέδου. Επιπλέον, παρατίθενται ερευνητικές εργασίες σχετικά με τη χρήση τεχνικών επεξεργασίας φυσικής γλώσσας στο χώρο της ασφάλειας πληροφοριών. Τέλος, εξετάζονται τα πρότυπα πλαίσια διαχείρισης ασφάλειας ΠΣ υψηλού επιπέδου. Στο κεφάλαιο 4 «Εννοιολογικό Μοντέλο και Άξονες της Έρευνας» κατ αρχήν καθορίζονται οι προδιαγραφές ενός ιδεατού συστήματος ΔΑΠΣ. Στη συνέχεια καθορίζεται το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική της προσέγγισης. Περαιτέρω, αναλύονται οι άξονες πάνω στους οποίους στηρίζεται η παρούσα έρευνα και οι αναλυτικές φάσεις της εφαρμογής του πλαισίου ΔΑΠΣ σε λειτουργικό επίπεδο. Τέλος, παρατίθενται οι βασικές μέθοδοι, τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την υλοποίηση των φάσεων της προτεινόμενης προσέγγισης. Ο εξοικειωμένος, με τα παραπάνω ζητήματα, αναγνώστης μπορεί να διαβάσει τη σύνοψη του κεφαλαίου (βλ. ενότητα 4.12) και να προχωρήσει στο επόμενο κεφάλαιο. Στο κεφάλαιο 5 «Οντολογία Ασφάλειας» αναλύεται η μεθοδολογία ανάπτυξης μιας οντολογίας που επικεντρώνεται στα χαρακτηριστικά ασφάλειας ενός ΠΣ (οντολογία ασφάλειας). Περιγράφονται οι μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για τις εργασίες του παρόντος κεφαλαίου. Στη συνέχεια δίνεται ο τυπικός (formal) ορισμός της οντολογίας ασφάλειας, ενώ επιπλέον θίγονται θέματα μοντελοποίησης απαιτήσεων ασφάλειας όπως αυτές εκφράζονται μέσα από τα πρότυπα των οικογενειών προτύπων ISO/IEC και COBIT, αντίστοιχα. Παρατίθεται η μεθοδολογία της προσέγγισης ανάπτυξης, ενώ στη συνέχεια αναλύονται ξεχωριστά οι δύο οικογένειες προτύπων. Σε κάθε φάση της μεθοδολογίας εξετάζονται και τα δύο πρότυπα που προαναφέρθηκαν και αναπτύσσονται εκ παραλλήλου δύο οντολογίες, μια για κάθε πρότυπο επιπρόσθετα, σε κάθε φάση πραγματοποιείται μια ενοποίηση των δύο οντολογιών, καταλήγοντας σε μια κοινή («ενοποιημένη») οντολογία για κάθε φάση. Στο κεφάλαιο 6 «Εξειδίκευση της Οντολογίας ISO/IEC για την Υλοποίηση των Αντιμέτρων Ασφάλειας» αναπτύσσεται μια εξειδικευμένη οντολογία με βάση το πρότυπο ISO/17799 που επικεντρώνει στην υλοποίηση των αντιμέτρων ασφάλειας από την Ανάλυση Επικινδυνότητας. Το πρώτο βήμα αφορά στην εξειδίκευση του οντολογικού μοντέλου της ΟΑ έτσι ώστε να περιλαμβάνει τις ελάχιστες απαραίτητες έννοιες που συμμετέχουν στον καθορισμό και υλοποίηση των αντιμέτρων. Ιδιαίτερο βάρος δίνεται στον ορισμό του αντίμετρου, δηλ. στο σύνολο εκείνο των χαρακτηριστικών που το Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 37

38 προσδιορίζουν. Στη συνέχεια παρουσιάζεται η μέθοδος με την οποία εξάγεται ένας αριθμός από σημαντικά χαρακτηριστικά του αντιμέτρου, σε μια προσπάθεια να γίνει όσο το δυνατό σαφέστερη η οριοθέτηση των απαιτήσεων ασφάλειας που ενσωματώνονται στην έννοια του αγαθού. Οι απαιτήσεις ασφάλειας συλλέγονται από ένα αριθμό πηγών πληροφορίας που το επίπεδο σαφήνειάς τους ποικίλλει από πληροφορίες δικτύου και χρησιμοποιούμενων τεχνολογιών ΤΠΕ (υψηλό επίπεδο σαφήνειας) έως προδιαγραφές αντιμέτρων που προκύπτουν από την Αποτίμηση Επικινδυνότητας (χαμηλό επίπεδο σαφήνειας). Ο αντικειμενικός σκοπός της ανωτέρω διαδικασίας είναι η όσο το δυνατό ακριβέστερη πλήρωση των ιδιοτήτων των αντιμέτρων για κάθε αγαθό. Τέλος, παρουσιάζεται μια πρωτόλεια μελέτη περίπτωσης κατά την οποία αναλύονται τα δεδομένα που αφορούν ένα τυπικό ΠΣ. Στο κεφάλαιο 7 «Τεχνικά Μέτρα Υλοποίησης» αναλύονται τα Τεχνικά Μέτρα Υλοποίησης (ΤΜΥ), τα οποία μοντελοποιούν τις απαιτούμενες ενέργειες για την τεχνοδιαμόρφωση των πληροφοριακών αγαθών με τρόπο έτσι ώστε να υλοποιούνται οι απαιτήσεις ασφάλειας που έχουν συλλεχθεί στην ΟΑ (Κεφ. 6). Περαιτέρω θίγονται θέματα εξειδίκευσης των τεχνικών αντιμέτρων σε περίπτωση που κάτι τέτοιο απαιτείται. Το αποτέλεσμα αυτής της διαδικασίας είναι ένα Δένδρο Εφαρμόσιμων Αντιμέτρων (Deployable Countermeasures Tree), του οποίου οι τελικοί κόμβοι αποτελούν ένα σύνολο από άμεσα εφαρμόσιμα ΤΜΥ στους πόρους του ΠΣ, ή περαιτέρω πληροφορίες σχετικές με την εφαρμογή του μέτρου για τον υπεύθυνο της τεχνοδιαμόρφωσης. Παρουσιάζεται επίσης μια μελέτη περίπτωσης η οποία αναλύει απαιτήσεις ασφάλειας που έχουν εκφραστεί σε μια ημι-τυπική μορφή, όπως οι Απαιτήσεις Ασφάλειας στην ΟΑ. Στο Κεφάλαιο 8 «Σύνοψη, Συμπεράσματα και Κατευθύνσεις Περαιτέρω Έρευνας» γίνεται μια σύνοψη του προβλήματος, παρατίθενται τα γενικά συμπεράσματα της διατριβής και σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα. Τέλος, στο Κεφάλαιο 9 «Αναφορές και Βιβλιογραφία» (σελ. 355) παρατίθεται αλφαβητικά η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η παρούσα διατριβή. Τα Παραρτήματα παρατίθενται στη συνέχεια ως εξής: Στο Παράρτημα Ι (σελ. 384) παρατίθενται τα εννοιολογικά μοντέλα των επιμέρους οντολογιών ασφάλειας κατά ISO/IEC 17799, ενώ στο Παράρτημα ΙΙ (σελ. 392) παρατίθενται τα εννοιολογικά μοντέλα των επιμέρους οντολογιών ασφάλειας κατά Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 38

39 COBIT, αντίστοιχα. Στο Παράρτημα ΙΙΙ (σελ. 402) παρατίθεται η ταξινομία των αντιμέτρων κατά CRAMM που χρησιμοποιείται στο Κεφάλαιο 6 για την εξαγωγή των απαιτήσεων ασφάλειας. Στο Παράρτημα ΙV (σελ. 404) παρατίθεται ο κώδικας Perl για επεξεργασία της εξόδου του εργαλείου ιχνηλάτησης δικτύου, για τη μοντελοποίηση των πόρων του ΠΣ. Στο Παράρτημα V (σελ. 407) παρατίθενται τα αρχεία παραμέτρων και κανόνων του GATE που απαιτούνται για την εξαγωγή των ιδιοτήτων των απαιτήσεων ασφάλειας, ενώ στο Παράρτημα VI (σελ. 414) παρατίθεται το σχήμα της βάσης δεδομένων ΤΜΥ που απαιτείται για τον καθορισμό των εφαρμόσιμων αντιμέτρων. 1.5 Συμβολή της Παρούσας Έρευνας στο Πεδίο της Διαχείρισης Ασφάλειας ΠΣ Με την παρούσα διατριβή επιχειρείται η αποτύπωση του λειτουργικού μοντέλου ενός συστήματος διαχείρισης ασφάλειας ΠΣ βασισμένο σε οντολογίες ασφάλειας. Η συνεισφορά της διατριβής εκφράζεται σε τρία επίπεδα: I. Αποτύπωση εννοιολογικού μοντέλου αναφοράς της ΔΑΠΣ, βασισμένου σε ΟΑ. Στο επίπεδο αυτό διαχωρίστηκαν οι απαιτήσεις ασφάλειας ΠΣ υψηλού επιπέδου (εκφρασμένες σε αδόμητη φυσική γλώσσα) από τα τεχνικά αντίμετρα υλοποίησής του (τις τελικές πράξεις που εφαρμόζονται κατευθείαν στους πόρους του ΠΣ). Ταυτόχρονα, καθορίστηκαν τα θεμελιώδη και τα επιμέρους τμήματα της υπό ανάπτυξη αρχιτεκτονικής, που αποσκοπεί στην υλοποίησή του. II. Προσδιορισμός του μοντέλου των απαιτήσεων ασφάλειας. Στο επίπεδο αυτό, καταρχήν προδιαγράφηκε και υλοποιήθηκε, σε UML, ένα σχήμα επέκτασης του μοντέλου CIM (CIM Extension Model) για την ΑΕ ενός ΠΣ, το οποίο βασίζεται στα πρότυπα ανάλυσης και διαχείρισης επικινδυνότητας ISO/IEC και COBIT. Στη συνέχεια έγινε η μοντελοποίηση των απαιτήσεων ασφάλειας ενός ΠΣ σε μια Οντολογία Ασφάλειας βασισμένη στο σχήμα επέκτασης του CIM. Η υλοποίηση έγινε σε OWL με χρήση του λογισμικού Protégé. Ακολούθησε η ενιαιοποίηση των ανομοιογενών πηγών πληροφοριών των σχετικών με την ασφάλεια, με στόχο την αποτελεσματικότερη Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 39

40 συλλογή δεδομένων που σχετίζονται με τις απαιτήσεις ασφάλειας. Στη συνέχεια έγινε η μοντελοποίηση των κύριων ιδιοτήτων των απαιτήσεων ασφάλειας (security requirements) και η εξαγωγή των ιδιοτήτων των απαιτήσεων ασφάλειας από ανομοιογενείς πηγές, με στόχο τον εμπλουτισμό της ΟΑ. Η υλοποίηση έγινε με open source εργαλεία, Java και GATE, ενώ για την αναγνώριση προτύπων (pattern matching) χρησιμοποιήθηκε Jape. Τέλος, αναπτύχθηκε μια σειρά ευρετικών κανόνων για την εξαγωγή των απαιτήσεων ασφάλειας και έγινε ο συσχετισμός τους για παραγωγή γνώσης περί την ασφάλεια. Η υλοποίησή τους έγινε με Java. III. Προσδιορισμός του μοντέλου των τεχνικών μέτρων υλοποίησης. Στο επίπεδο αυτό έγινε, αρχικά, η μοντελοποίηση των κύριων ιδιοτήτων των τεχνικών μέτρων υλοποίησης (ΤΜΥ). Ακολούθησε ο σχεδιασμός ενός σχήματος σχεσιακής βάσης δεδομένων με υλοποιήσιμα ΤΜΥ σε επίπεδο τεχνολογικής υποδομής. Στη συνέχεια έγινε η μοντελοποίηση της εξειδίκευσης των ΤΜΥ, με στόχο τη συγκεκριμενοποίηση των εφαρμοστέων αντιμέτρων, μέσω της αποδόμησης των τεχνικών αντιμέτρων υψηλού επιπέδου σε σαφέστερες ενέργειες. Η υλοποίηση των παραπάνω έγινε με JESS (Java Expert System Shell). Κατόπιν αναπτύχθηκε ένας αλγόριθμος συσχέτισης των απαιτήσεων ασφάλειας με τα τεχνικά μέτρα ασφάλειας. Τέλος, αναπτύχθηκε ένα λειτουργικό μοντέλο ΔΑΠΣ, βασισμένο σε οντολογίες, το οποίο βασίζεται στο εννοιολογικό μοντέλο αναφοράς και περιγράφει τις λειτουργικές μονάδες του, καθώς και τις μεταξύ τους συσχετίσεις. Εκτιμάται ότι η επίτευξη των στόχων της διατριβής: Συνεισφέρει στην αντιμετώπιση των προβληματικών παραγόντων που αναλύθηκαν, Αποτελεί προσπάθεια συνολικής αντιμετώπισης του προβλήματος της ενοποίησης και σύνδεσης των πληροφοριών που σχετίζονται με την ασφάλεια ΠΣ από ανομοιογενείς πηγές με τις διαδικασίες διαχείρισης ασφάλειας ΠΣ, και Συμβάλλει στην ανάπτυξη των γνωστικών πεδίων της ασφάλειας των ΤΠΕ. Στην επόμενη ενότητα περιγράφονται συνοπτικά τα σημεία συμβολής της παρούσας διατριβής. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 40

41 1.5.1 Σχήμα Επέκτασης του CIM για Ανάλυση Επικινδυνότητας Ορίζεται ένα Σχήμα Επέκτασης του μοντέλου CIM (CIM Extension Model) το οποίο περιγράφει την περιοχή της Ανάλυσης Επικινδυνότητας ΠΣ βασισμένη σε πρότυπα διαχείρισης ασφάλειας και αποτελεί το εννοιολογικό μοντέλο της Οντολογίας Ασφάλειας (βλ. ενότητα 1.5.2). Η περιγραφόμενη επέκταση δεν έχει προταθεί από άλλους ερευνητές (σ.σ. έως και την έκδοση 2.12 [DMTF CIM, 2001]) και έχει τη δυνατότητα σύνδεσης με άλλες οντολογίες CIM προκειμένου να επαναχρησιμοποιήσει ήδη μοντελοποιημένα ΠΣ. Το σχήμα υλοποιείται σε UML Οντολογία Ασφάλειας Προτείνεται ο σχεδιασμός και υλοποίηση της Οντολογίας Ασφάλειας (ΟΑ), δηλαδή μιας οντολογίας που επικεντρώνει στις απαιτήσεις ασφάλειας του ΠΣ, και ενσωματώνει συμπερασματικούς μηχανισμούς. Υλοποιεί το εννοιολογικό μοντέλο της ΑΕ ΠΣ που αναπτύχθηκε στην ενότητα 1.5.1, συλλέγοντας τις απαιτήσεις ασφάλειας του ΠΣ ανά πληροφοριακό αγαθό. Περαιτέρω αναπτύσσεται μια εξειδικευμένη οντολογία που επικεντρώνει στην υλοποίηση των αντιμέτρων ασφάλειας από την Ανάλυση Επικινδυνότητας. Η ΟΑ προσφέρει επεκτασιμότητα, κλιμάκωση, ενσωμάτωση με την υπάρχουσα πληροφοριακή υποδομή του οργανισμού, προσαρμογή στις διαφορετικές απαιτήσεις ασφάλειας του οργανισμού, και φιλική διεπαφή χρήσης. Η υλοποίηση έγινε σε OWL με τη χρήση του εργαλείου Protégé και κανόνων SWRL (Semantic Web Rule Language) [Horrocks et al., 2004] Ενοποίηση Ανομοιογενών Πηγών Πληροφορίας Ασφάλειας Προτείνεται ένα μοντέλο ανάλυσης ανομοιογενών πηγών πληροφορίας περί την ασφάλεια και σύνθεση σε ομογενοποιημένες δομές πληροφορίας οι οποίες είναι δυνατό να επαναχρησιμοποιηθούν από τον ειδικό ασφάλειας ή άλλες εμπλεκόμενες με τη διαχείριση ασφάλειας οντότητες Μοντελοποίηση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης Προτείνεται ένα μοντέλο ιδιοτήτων που ορίζουν μια Απαίτηση Ασφάλειας και ένα Μέτρο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 41

42 Υλοποίησης, αντίστοιχα, έτσι ώστε μέσω της συσχέτισής τους να εφαρμοστούν τελικά στο ΠΣ Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας Προτείνεται ένα πλαίσιο εξαγωγής ιδιοτήτων απαιτήσεων ασφάλειας από αδόμητες και ημιδομημένες πηγές πληροφοριών ασφάλειας όπως τα αντίμετρα που παράγουν τα αυτοματοποιημένα εργαλεία ΑΕ, πολιτικές ασφάλειας υψηλού επιπέδου και άλλες παρόμοιες πηγές. Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες Ευρετικοί Κανόνες Παραγωγής Γνώσης Ασφάλειας Προτείνεται ένα σύνολο από ευρετικούς κανόνες οι οποίοι συμβάλλουν στην παραγωγή γνώσης ασφάλειας και που είτε ενσωματώνονται στην ΟΑ είτε ενεργοποιούνται κατά την Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας. Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες Βάση Τεχνικών Μέτρων Υλοποίησης Η Βάση Τεχνικών Μέτρων Υλοποίησης μοντελοποιεί τις απαιτούμενες ενέργειες για την τεχνοδιαμόρφωση των πληροφοριακών αγαθών με τρόπο έτσι ώστε να υλοποιούνται οι απαιτήσεις ασφάλειας που έχουν συλλεχθεί στην ΟΑ. Αυτές οι ενέργειες έχουν τη μορφή ρυθμίσεων τεχνοδιαμόρφωσης, εκτελέσιμων προγραμμάτων και αρχείων φλοιού, ενώ είναι απολύτως προσανατολισμένες σε τεχνολογίες υπολογιστικών συστημάτων (λειτουργικά συστήματα, βάσεις δεδομένων, εκδόσεις λογισμικού, κ.α.). Έχει γίνει μια πιλοτική υλοποίηση σε σχεσιακή βάση δεδομένων και υποστηρίζεται η υποβολή ερωτημάτων μέσω Δομημένης Γλώσσας Ερωταποκρίσεων (Structured Query Language, SQL). Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες Εξειδίκευση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης Προτείνεται μια μέθοδος εξειδίκευσης απαιτήσεων ασφάλειας και τεχνικών μέτρων υλοποίησης μέσω διακριτών επιπέδων επεξεργασίας έτσι ώστε η υλοποίηση των πιο εξειδικευμένων αντιμέτρων να υλοποιεί αναδρομικά τα αντίμετρα των ανώτερων Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 42

43 επιπέδων. Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες Συσχέτιση Απαιτήσεων Ασφάλειας με Τεχνικά Μέτρα Υλοποίησης Προτείνεται ένας αλγόριθμος για τον συσχετισμό των απαιτήσεων ασφάλειας με τα τεχνικά μέτρα που υλοποιούν τις εν λόγω απαιτήσεις. Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες Λ ειτουργικό Μοντέλο Διαχείρισης Ασφάλειας ΠΣ Βασισμένο σε Οντολογίες Το προτεινόμενο λειτουργικό μοντέλο διαφοροποιείται σε σχέση με προηγούμενες ερευνητικές προσπάθειες στα εξής σημεία: 1. Διαχωρίζει τις απαιτήσεις ασφάλειας από τις τεχνικές υλοποιήσεις τους. 2. Συνδέει άμεσα τις απαιτήσεις ασφάλειας υψηλού επιπέδου με τα εφαρμόσιμα αντίμετρα στους πληροφοριακούς πόρους του οργανισμού. 3. Μοντελοποιεί την έννοια του αντιμέτρου. 4. Στηρίζεται σε γνωστά πρότυπα διαχείρισης πληροφοριών, διαχείρισης ασφάλειας και διαχείρισης γνώσης. 5. Χρησιμοποιεί δομές που στηρίζονται σε γνώση περί ασφάλειας. 6. Εισάγει ένα ανοικτό μοντέλο που δέχεται πληροφορίες από ανομοιογενείς πηγές πληροφορίας ασφάλειας. 7. Παρέχει μία ενοποιημένη, ανοικτή, κλιμακούμενη και επεκτάσιμη αρχιτεκτονική που είναι δυνατό να ενοποιηθεί σε ένα ολιστικό περιβάλλον διαχείρισης ασφάλειας ΠΣ. 8. Η χρήση του είναι απλή. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 43

44

45 The world is given to me only once, not one existing and one perceived. Subject and object are only one. The barrier between them cannot be said to have broken down as a result of recent experience in the physical sciences, for this barrier does not exist. ~ Erwin Schrödinger 2 Ορισμοί και Επισκόπηση του Οργανοτεχνικού Πλαισίου Διαχείρισης Κινδύνων ΠΣ 2.1 Εισαγωγή Σε αυτό το κεφάλαιο εξετάζονται τα βασικά στοιχεία της Διαχείρισης Κινδύνων ΠΣ όπως οι θεμελιώδεις έννοιες ασφάλειας, το τρίπτυχο της Διαχείρισης Επικινδυνότητας (Ανάλυση Επικινδυνότητας, Μείωση των Κινδύνων και Αξιολόγηση του Επιπέδου Ασφάλειας) και οι σύγχρονες προσεγγίσεις στο σύνθετο πρόβλημα της διαχείρισης ασφάλειας ΠΣ. Στη συνέχεια εξετάζονται σε στρατηγικό επίπεδο η πολυδιάστατη φύση της Διαχείρισης Ασφάλειας και οι επικρατούσες προσεγγίσεις στην πράξη, ενώ τέλος, διατυπώνεται το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση. 2.2 Η Εξέλιξη της Διαχείρισης Κινδύνων ΠΣ Η Έννοια της Ασφάλειας Τα πέντε συστατικά στοιχεία ενός Πληροφοριακού Συστήματος (ΠΣ) είναι το υλικό, το λογισμικό, οι διαδικασίες, οι άνθρωποι και τα δεδομένα [Κιουντούζης, 1995]. Στη Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 45

46 βιβλιογραφία υπάρχουν αρκετοί ορισμοί της ασφάλειας ΠΣ και τις διαφορετικές εκφάνσεις της. Στα πλαίσια αυτής της μελέτης θα χρησιμοποιηθούν οι κάτωθι ορισμοί ([Κιουντούζης, 2004α]: 320): Ασφάλεια ΠΣ (Information Systems Security): «ένα οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Πληροφοριακού Συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή.» Ασφάλεια Τεχνολογίας Πληροφορικής και Επικοινωνιών ΤΠΕ (Information Technology & Communications Security ITC Security): η ασφάλεια της τεχνολογικής υποδομής των ΠΣ, συμπεριλαμβανομένων και των επικοινωνιακών (υπο) συστημάτων του. Ασφάλεια Πληροφοριών (Information Security): η ασφάλεια των δεδομένων που διακινούνται, επεξεργάζονται και αποθηκεύονται στα στοιχεία του ΠΣ. Από τους παραπάνω ορισμούς είναι φανερό ότι όσον αφορά την ασφάλεια ΠΣ, υπάρχει στενή σχέση τόσο με τα τεχνικά, διαδικαστικά και οργανωσιακά μέτρα όσο και με τις κρατούσες ηθικοκοινωνικές αντιλήψεις, αρχές και παραδοχές ακόμη, είναι σαφές ότι τα εν λόγω μέτρα δεν θα πρέπει να παρεμποδίζουν την λειτουργία του ΠΣ έτσι ώστε το τελευταίο να εκπληρώνει τους σκοπούς της δημιουργίας του. Περαιτέρω, η ασφάλεια ΤΠΕ δίνει έμφαση στους τεχνικούς παράγοντες της ασφάλειας ΠΣ, ενώ η ασφάλεια πληροφοριών αναφέρεται αποκλειστικά στην προστασία των πληροφοριών που διακινούνται, επεξεργάζονται και αποθηκεύονται σε ένα ΠΣ και είναι στενότερη έννοια από αυτή της ασφάλειας ΠΣ. Τόσο η ασφάλεια ΤΠΕ, όσο και η ασφάλεια πληροφοριών προκειμένου να πετύχουν τους στόχους τους συνυπολογίζουν και το ΠΣ στα πλαίσια του οποίου υφίσταται η πληροφορία; κάθε θεώρηση της ασφάλειας ΤΠΕ ή/και της ασφάλειας πληροφοριών χωρίς να συνυπολογιστεί και το ευρύτερο περιβάλλον μέσα στο οποίο υφίσταται το ΠΣ (IS context) με όλους τους ενδο/εξωγενείς παράγοντες που προαναφέρθηκαν, είναι καταδικασμένη να καταλήξει σε μια μερική, αποσπασματική και τελικά ανεπαρκή προσέγγιση του προβλήματος της διαχείρισης των θεμάτων προστασίας, ανεξάρτητα από το επίπεδο θέασης και λεπτομέρειας που επικεντρώνει. Συνεπώς, «όταν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 46

47 αναφερόμαστε στην ασφάλεια ενός ΠΣ, η προστασία όλων των συστατικών στοιχείων που μετέχουν σε αυτό έχει ιδιαίτερη σημασία, ενώ όταν αναφερόμαστε στην ασφάλεια πληροφοριών, η ασφάλεια του υλικού μας ενδιαφέρει μόνο στο βαθμό που σχετίζεται με την προστασία των πληροφοριών» [Μουλίνος, 2003] Θεμελιώδεις Ιδιότητες της Ασφάλειας Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία των σχετικών με την ασφάλεια ιδιοτήτων της πληροφορίας. Ως θεμελιώδεις ιδιότητες ασφάλειας θεωρούνται η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα, οι οποίες ορίζονται ως εξής [Γκρίτζαλης, 1994], [BSI-EN, 2001]: Ακεραιότητα πληροφοριών (integrity): είναι η ιδιότητα των δεδομένων να υφίστανται σε προκαθορισμένο φυσικό μέσο ή χώρο και να είναι ακριβή. Δηλαδή η μη-εξουσιοδοτημένη τροποποίηση της πληροφορίας πρέπει να αποτρέπεται, ενώ κάθε αλλαγή του περιεχομένου των δεδομένων να είναι αποτέλεσμα εξουσιοδοτημένης και ελεγχόμενης ενέργειας. Εμπιστευτικότητα πληροφοριών (confidentiality): η ιδιότητα των δεδομένων να καθίστανται αναγνώσιμα μόνο από εξουσιοδοτημένα λογικά υποκείμενα, όπως φυσικές οντότητες και διεργασίες λογισμικού. Διαθεσιμότητα πληροφοριών (availability): η αποτροπή της προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας σε κάθε εξουσιοδοτημένο λογικό υποκείμενο του συστήματος. Ο [Μουλίνος, 2003] αναφέρει ότι σε αρκετές ερευνητικές εργασίες υποστηρίζεται πως οι παραπάνω τρεις ιδιότητες δεν επαρκούν, για να οριστεί η ασφάλεια πληροφοριών. Στις πρόσθετες ιδιότητες που έχουν προταθεί είναι η αυθεντικότητα (authenticity) [Parker, 1995], δηλ. η απόδειξη της προέλευσης και του ιδιοκτήτη της πληροφορίας, η εγκυρότητα (validity) [Γκρίτζαλης, 1996], δηλαδή ότι η πληροφορία αντιπροσωπεύει την πραγματικότητα και είναι επίκαιρη, ενώ σε άλλες έρευνες [BOLERO, 1995] αναφέρονται οι ιδιότητες της μοναδικότητας (uniqueness), δηλαδή η αδυναμία αντιγραφής και αναπαραγωγής της πληροφορίας χωρίς εξουσιοδότηση και η μη αποποίηση (nonrepudiation) δηλαδή η αδυναμία άρνησης των ενεργειών που έχουν εκτελεστεί για την Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 47

48 τροποποίηση, την αποστολή ή τη λήψη μίας πληροφορίας. Ο [Μουλίνος, 2003] παρατηρεί ότι: «Η ύπαρξη διαφορετικών θεωρήσεων για τις ιδιότητες της ασφάλειας δεν πρέπει να θεωρηθεί παράδοξο, καθώς στον επιστημονικό τομέα της πληροφορικής, η ασφάλεια έχει μεταφερθεί ως μία αφηρημένη έννοια, η οποία επιδέχεται ποικίλες ερμηνείες. Επίσης η έννοια της ασφάλειας στο κοινωνικό σύνολο, αντιστοιχεί ουσιαστικά σε ένα ανθρώπινο συναίσθημα. Έτσι ο όρος ασφάλεια αναφέρεται σε διάφορες ιδιότητες της πληροφορίας, ανάλογα με την οπτική του ερευνητή και το ΠΣ στο οποίο αναφέρεται. Συνεπώς, σε κάθε ειδική περίπτωση που μελετάμε πρέπει να ορίζουμε με σαφήνεια τις συγκεκριμένες ιδιότητες της πληροφορίας που καλούμαστε να προστατέψουμε». Επιπρόσθετα θα πρέπει να τονιστεί ότι, παρά τη σαφήνεια και απλότητα των τυπικών ορισμών που δίδονται για τις τρεις βασικές ιδιότητες, δεν είναι πάντα εύκολη η διάκριση του κατά πόσον οι παραπάνω ιδιότητες της ασφάλειας των πληροφοριών διατηρούνται ή έχουν παραβιαστεί ([Γκρίτζαλης, 1994]): οι εν λόγω ιδιότητες δεν είναι απόλυτα μετρήσιμες, αλλά, σε ένα βαθμό, σχετικές και εξαρτώμενες από το περιβάλλον στο οποίο λειτουργεί το ΠΣ. Ένα τυπικό παράδειγμα αποτελεί ο χρόνος απόκρισης σε ένα αίτημα του χρήστη σε ένα κρίσιμο σύστημα όπως μια στρατιωτική εφαρμογή πραγματικού χρόνου ή ένα σύστημα διαχείρισης ενός πυρηνικού εργοστασίου, η αναμονή πάνω από ένα ελάχιστο χρονικό διάστημα (όπως 10 δευτερόλεπτα) μπορεί να θεωρηθεί σαν έλλειψη διαθεσιμότητας ενώ ο ίδιος χρόνος αναμονής σε μια εφαρμογή ηλεκτρονικής διακυβέρνησης να θεωρηθεί αποδεκτός και αναμενόμενος Η Διαφορετικότητα των Απαιτήσεων Ασφάλειας Είναι σαφές ότι οι απαιτούμενες ιδιότητες ασφάλειας των δεδομένων ενός ΠΣ δεν είναι σταθερές, αλλά εξαρτώνται τόσο από τη δυναμικότητα του εν λόγω ΠΣ, αλλά και από το περιβάλλον λειτουργίας του. Αναλυτικότερα, το επίπεδο ασφάλειας που απαιτείται για να προστατευθεί ένα ΠΣ εξαρτάται από δύο παράγοντες [Μουλίνος, 2003]: (1) τη φύση των διαχειριζόμενων δεδομένων και (2) το συγκεκριμένο χωρο-χρονικό πλαίσιο. Τα υπό διαχείριση δεδομένα μπορεί να χαρακτηριστούν κάτω από συγκεκριμένες Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 48

49 συνθήκες ως άξια, ή μη, προστασίας. Τα δεδομένα που χρήζουν προστασίας από δυνητικές απειλές αποκαλούνται ευπαθή. Για παράδειγμα, τα δεδομένα που αφορούν στη στρατηγική ενός οργανισμού ή ενός στρατιωτικού σχεδίου άμυνας χρήζουν επαρκούς προστασίας, ενώ επιπρόσθετης προστασίας χρήζουν τα ευαίσθητα προσωπικά δεδομένα ([Μουλίνος, 2003]). Η διαδικασία για την αποτίμηση της ανάγκης προστασίας των δεδομένων ενός ΠΣ είναι η Κατηγοριοποίηση Πληροφοριών (Data Classification) και συνήθως διεξάγεται σαν μέρος της Αποτίμησης Επικινδυνότητας (βλ. παράγραφο 2.3.1). Το κοινωνικό περιβάλλον είναι μια άλλη διάσταση είναι που αφορά και επηρεάζει τη διαμόρφωση των απαιτήσεων ασφάλειας ορισμένων δεδομένων. Η ίδια κατηγορία δεδομένων είναι πιθανό να χρήζει προστασίας σε ένα συγκεκριμένο περιβάλλον ενώ σε ένα άλλο να μην θεωρείται ευπαθές δεδομένο λ.χ. η καταγραφή των χρηματικών συναλλαγών σε ένα εμπορικό κατάστημα δεν αποτελεί ευπαθές δεδομένο, ενώ η καταγραφή των χρηματικών συναλλαγών μεταξύ τραπεζών θεωρείται δεδομένο που χρήζει υψηλού επιπέδου ασφάλειας [Μουλίνος, 2003]. Τέλος, στο χώρο των προσωπικών δεδομένων, είναι πιθανό σε κάποιο περιβάλλον να έχει παγιωθεί ή να έχει γίνει ευρέως αποδεκτή η άποψη ότι κάποιο από τα εν λόγω δεδομένα δεν είναι ευαίσθητο και συνεπώς δεν απαιτείται η προστασία του σχετικά παραδείγματα αποτελούν η υπηκοότητα και οι καταναλωτικές συνήθειες, με συνεπικουρούμενες διαφορετικές πρακτικές ασφάλειας ανάλογα με το περιβάλλον του ΠΣ (IS context) Η Έννοια της Απειλής Κατά τον ορισμό της ασφάλειας που δόθηκε στην παράγραφο 2.2.1, η ασφάλεια έχει σκοπό την προστασία ενός ΠΣ από κάθε σκόπιμη ή τυχαία απειλή. Με τον όρο απειλή εννοείται μια πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσότερων χαρακτηριστικών της ασφάλειας του ΠΣ [Γκρίτζαλης, 1996]. Οι απειλές διακρίνονται σε δύο βασικές κατηγορίες: σκόπιμες είναι οι απειλές που προϋποθέτουν κακή πρόθεση (malicious intent) ενώ τυχαίες είναι εκείνες που προκύπτουν από ενέργειες που δεν προϋποθέτουν κακή πρόθεση (non-malicious intent). Θα πρέπει να σημειωθεί ότι οι απειλές που προέρχονται από ανθρώπινες ενέργειες μπορούν να ανήκουν και στις δύο κατηγορίες, ενώ στις απειλές που προέρχονται από μη ανθρώπινες ενέργειες δεν καταλογίζεται πρόθεση, όπως οι φυσικές καταστροφές ( acts of God ) και οι αστοχίες Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 49

50 υλικού. Σκόπιμες ή μη, οι απειλές εκμεταλλεύονται αδυναμίες ενός συστήματος για να προκαλέσουν ζημιά στα αγαθά του. Με τον όρο ζημιά νοείται η ολική ή μερική απώλεια μιας ή περισσοτέρων από τις ιδιότητες των αγαθών που χρήζουν προστασίας. Με τον όρο αδυναμία νοείται: «μια ευπάθεια στις διαδικασίες ασφάλειας, στη σχεδίαση, στην υλοποίηση ή στους εσωτερικούς μηχανισμούς ελέγχου ενός συστήματος η οποία μπορεί να γίνει αντικείμενο εκμετάλλευσης (από τυχαίο γεγονός ή σκόπιμη πράξη) με αποτέλεσμα ένα ρήγμα ασφάλειας ή μια παραβίαση της πολιτικής ασφάλειας του συστήματος» [NIST SP (2002]. Οι σχέσεις μεταξύ απειλών, αδυναμιών και αγαθών συνοψίζονται στο Σχήμα 2.1 ([Γκρίτζαλης, 2005]). Σχήμα 2.1: Οι Σχέσεις Μεταξύ Απειλών, Αδυναμιών και Αγαθών (Πηγή: [Γκρίτζαλης, 2005]) Λογισμικό και καιυλικό Απειλές Ακεραιότητα Εμπιστευτικότητα Περιεχόμενο και και εγκαταστάσεις Ευπάθειες Διαθεσιμότητα Επικοινωνίες Επιπτώσεις Ανθρωποι και και Πολιτικές Η αποτίμηση των απειλών εναντίον της ασφάλειας ενός συστήματος είναι εξαιρετικά σημαντική διότι αποτελεί το πρώτο βήμα στο οποίο πρέπει να προβεί ένας οργανισμός προκειμένου να δημιουργήσει ένα συνολικό Πλάνο Προστασίας (Protection Plan) της Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 50

51 ασφάλειας της πληροφοριακής υποδομής του. Η επιστημονική μεθοδολογία που χρησιμοποιείται για την δημιουργία αυτού του πλάνου ονομάζεται Ανάλυση Επικινδυνότητας ΑΕ (Risk Analysis RA), που περιγράφεται εκτενέστερα στην παράγραφο Η εκτίμηση των απειλών, είναι το σημείο έναρξης για κάθε μεθοδολογία ανάλυσης επικινδυνότητας Η έννοια του Αντιμέτρου Τα αντίμετρα (countermeasures) είναι τεχνικές και μηχανισμοί με τις οποίες δίνεται η δυνατότητα αντιμετώπισης των απειλών κατά της ασφάλειας. Στην βιβλιογραφία απαντώνται επίσης και οι όροι controls, measures και safeguards, για να αναφερθούν οι σημαντικότεροι. Τα αντίμετρα μπορεί να είναι διαφορετικών επιπέδων, όπως: Οργανωσιακά, όπως η αναδιαμόρφωση του οργανογράμματος του οργανισμού για τη δημιουργία τμήματος Εσωτερικού Ελέγχου, Διαδικαστικά, όπως η εισαγωγή διαδικασιών ελέγχου για τήρηση αντιγράφων ασφάλειας, Τεχνικά, όπως η επιβολή κατάλληλων κανόνων ελέγχου στους δρομολογητές (routers) και αναχώματα (firewalls) του οργανισμού προς παρεμπόδιση κακόβουλων πακέτων δικτύου (packet filtering). Οι [Denning and Denning, 1997] ταξινομούν τα αντίμετρα ως προς το χρόνο επιβολής τους στην αντιμετώπιση των απειλών, σε τρεις κατηγορίες: (α) πρόληψη (Π), (β) ανίχνευση (Α) και (γ) ανάνηψη (Αν). Στο [Μουλίνος, 2003] παρουσιάζεται μια συσχέτιση των σημαντικότερων απειλών και των αντίστοιχων αντιμέτρων σύμφωνα με την παραπάνω κατηγοριοποίηση (Πίνακας 2.1). Για μια εκτενή περιγραφή βασικών τύπων απειλών και αντιμέτρων ο αναγνώστης παραπέμπεται στο [Μουλίνος, 2003], σελ , ενώ σχετική συζήτηση παρατίθεται και στην ενότητα του παρόντος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 51

52 Πίνακας 2.1: Συσχέτιση απειλών κατά της ασφάλειας και τεχνικών αντιμετώπισής τους (Πηγή: [Μουλίνος, 2003]) Μηχανισμοί Απειλές Μη εξουσιοδοτημένη μεταβολή Κρυπτογραφία Έλεγχος αυθεντικότητας (ψηφιακές υπογραφές) Έλεγχος προσπέλασης και επίβλεψη Έλεγχος, Ανίχνευση εισβολών Αντιμετώπιση ιομορφικού λογισμικού Αντίγραφα ασφάλειας Ασφαλής σχεδιασμός Α Α Αν Π Υπερφόρτωση Π Α Π Ιομορφικό λογισμικό ΑΠ Π Α ΑΠ Π Λάθη στο σχεδιασμό Π Α Π Σπάσιμο κωδικών Π Μη εξουσιοδοτημένη πρόσβαση Π Π Α Π Ωτακουστές Π Π Πλαστοπροσωπία ΑΠ Α Π 2.3 Εισαγωγή στη Διαχείριση Επικινδυνότητας ΠΣ (ΔΕ) Υπάρχουν πολλοί ορισμοί της έννοιας του κινδύνου, κυρίως διότι η λέξη κίνδυνος (risk) έχει διαφορετική έννοια σε διαφορετικά περιβάλλοντα. Ένας από τους πιο πλήρεις και περιεκτικούς ορισμούς στην ασφάλεια πληροφοριών προέρχεται από τον Διεθνή Οργανισμό Προτυποποίησης (ISO) [ISO , 1996] και χρησιμοποιείται ευρέως στο χώρο της διαχείρισης ασφάλειας ΠΣ καθότι συνδυάζει τις έννοιες του κινδύνου, των αγαθών και των απωλειών των τελευταίων, όροι οι οποίοι είναι άμεσα αντιληπτοί από τις Διοικήσεις των ΠΣ: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 52

53 Η δυνατότητα μιας δεδομένης απειλής να εκμεταλλευτεί ευπάθειες σε ένα αγαθό ή ομάδα αυτών με συνέπεια πρόκληση απώλειας ή ζημιάς στα αγαθά. Η επίπτωση ή σχετική σοβαρότητα του κινδύνου είναι ανάλογη με την επιχειρησιακή αξία της απώλειας / ζημιάς και την εκτιμώμενη πιθανότητα εκδήλωσης της απειλής. Η ανάλυση επικινδυνότητας είναι ένα από τα μέρη του τρίπτυχου που συνθέτουν τη Διαχείριση Επικινδυνότητας (Risk Management) [τα άλλα δύο είναι η μείωση των κινδύνων και η αξιολόγηση του επιπέδου ασφάλειας μέσω του ελέγχου] [NIST SP (2002]. Στις επόμενες ενότητες θα περιγραφούν συνοπτικά οι τρεις αυτοί άξονες, που απεικονίζονται συνολικά στο Σχήμα 2.2. Σχήμα 2.2: Οι Τρεις Άξονες της Διαχείρισης Επικινδυνότητας (Πηγή: [NIST SP , 2002]) Ανάλυση Επικινδυνότητας Μείωση των Κινδύνων Αξιολόγηση του Επιπέδου Ασφάλειας Ανάλυση Επικινδυνότητας Η ανάλυση επικινδυνότητας είναι μια «οργανοτεχνική μελέτη η οποία μελετά τις απειλές, τις ευπάθειες και τα αγαθά ενός οργανισμού και προτείνει τα μέτρα ασφάλειας που πρέπει να ληφθούν για την αντιμετώπιση των προσδιορισμένων απειλών» [Μουλίνος, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 53

54 2003]. Στην πράξη, ο κίνδυνος είναι ένα μέτρο της πιθανότητας πραγματοποίησης ενός συγκεκριμένου ανεπιθύμητου γεγονότος και (συνήθως 3 ) είναι άμεσα συνδεδεμένος με ένα ή περισσότερα στοιχεία του συστήματος (βλ. και ενότητα για τα κύρια στοιχεία ενός ΠΣ). Αυτή η πιθανότητα εξαρτάται τόσο από την πιθανότητα της πραγματοποίησης της επίθεσης όσο και από την πιθανότητα επιτυχίας της, η οποία ακολούθως εξαρτάται από την επιτυχή εκμετάλλευση αδυναμιών του συστήματος. Η διαδικασία αποτίμησης του κινδύνου λαμβάνει υπόψη τόσο την πιθανότητα πραγματοποίησης της απειλής, όσο και την επίπτωση που θα έχει η τελευταία στο ΠΣ προκειμένου να εκτιμήσει το βαθμό εκείνο 3 Στα περισσότερα συστήματα διαχείρισης κινδύνων, ο κίνδυνος είναι άμεσα συνδεδεμένος με ένα ή περισσότερα στοιχεία του ΠΣ (assets) εξαίρεση αποτελούν τα πλαίσια διαχείρισης κινδύνων προσανατολισμένα σε διεργασίες πληροφορικής (όπως το COBIT) που οι κίνδυνοι συνδέονται έμμεσα με τα στοιχεία του ΠΣ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 54

55 στον οποίο ο κίνδυνος πρέπει να μειωθεί με κατάλληλα μέτρα. Η αξία της αποτίμησης βάσει του κινδύνου (risk-based reasoning) έγκειται στο ότι παρέχει κριτήρια αποφάσεων για τις απαιτήσεις ασφάλειας (security requirements) εν μέσω του επιχειρησιακού και κοινωνικού περιβάλλοντος. Η αποτίμηση κινδύνων αναγνωρίζεται καθολικά σαν η μόνη βιώσιμη μέθοδος για την τεκμηρίωση των μέτρων ασφάλειας σε όρους κόστους ωφέλειας (cost-benefit justification), ή, εναλλακτικά, για την εκλογή των αποδοτικότερων αντιμέτρων. Σαν συνέπεια, η διαχείριση κινδύνων είναι η βάση των περισσοτέρων εθνικών προτύπων για διαχείριση ασφάλειας πληροφοριών [NIST SP , 1995], [NIST SP (2002], [BSI-EN, 2002], [Alberts and Dorofee, 2001] και βέλτιστες πρακτικές [BSI-EN, 2001], [NIST SP , 1996]. Παρά την ύπαρξη διαφορετικών βαθμών ελευθερίας στην εκλογή των μεθοδολογιών για την εκπόνηση μιας μελέτης ανάλυσης επικινδυνότητας 4, τα εν λόγω πρότυπα ακολουθούν τυπικά την ίδια διαδικασία για τη διαχείριση των κινδύνων, η οποία έχει τα εξής βασικά βήματα: Ορισμός του περιβάλλοντος και των ορίων του ΠΣ, Εντοπισμός των αγαθών του ΠΣ, και ανεπιθύμητες καταστάσεις που ενδέχεται να προκύψουν σε αυτά τα αγαθά, 4 Για παράδειγμα, το πρότυπο [BSI-EN, 2002] αναφέρει μόνο την ανάγκη υιοθέτησης ενός «συστηματικού τρόπου για τη διεξαγωγή της ΑΕ», χωρίς να καθορίζει συγκεκριμένες μεθοδολογίες. Σε αντίθεση, το de facto πρότυπο του NIST [NIST SP , 2002] καθορίζει συγκεκριμένη μεθοδολογία ανάλυσης ενταγμένη στη Διαχείριση Επικινδυνότητας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 55

56 Αποτίμηση των κινδύνων κάθε απειλής για κάθε αγαθό, λαμβάνοντας υπόψη πιθανές επιθέσεις και αδυναμίες, Εκλογή κατάλληλων αντιμέτρων (εάν επιλεχθεί η προσέγγιση λήψης αντιμέτρων), Υλοποίηση, εφαρμογή και περιοδική επανα-αποτίμηση του επιπέδου κινδύνου. Οι διαφορές μεταξύ των προσεγγίσεων διαχείρισης κινδύνων περιλαμβάνουν τον τρόπο ποσοτικοποίησης των κινδύνων, τον προσανατολισμό της προσέγγισης σε αποτίμηση βασισμένη σε αγαθά (asset-based approaches) ή σε διεργασίες πληροφορικής (processbased approaches), και το επίπεδο γνώσεων και εξειδίκευσης που απαιτείται από τον ειδικό ασφάλειας για την εφαρμογή των αντιμέτρων [Chivers, 2006] Μείωση των Κινδύνων Η Μείωση των Κινδύνων, ο δεύτερος άξονας της Διαχείρισης Επικινδυνότητας είναι μια συστηματική μεθοδολογία που υιοθετείται από τη Διοίκηση προκειμένου να μειώσει το επίπεδο του κινδύνου για τον οργανισμό σε αποδεκτά επίπεδα. Αποτελείται από μια σειρά ενεργειών που εμπλέκουν θέσπιση προτεραιοτήτων, αξιολόγηση και υλοποίηση των κατάλληλων αντιμέτρων που προκύπτουν από την ανάλυση επικινδυνότητας [NIST SP , 2002]. Με δεδομένη ότι η εξάλειψη όλων των κινδύνων είναι συνήθως μηεφαρμόσιμη ή σχεδόν αδύνατη, η Διοίκηση και οι επικεφαλής των επιχειρησιακών μονάδων ενός οργανισμού έχουν την ευθύνη για την υιοθέτηση της πιο οικονομικής λύσης και την υλοποίηση των καταλληλότερων αντιμέτρων προκειμένου να μειώσουν τον κίνδυνο σε ένα αποδεκτό επίπεδο, με τη μικρότερη δυνατή επίδραση στους πόρους και τη στρατηγική αποστολή (mission) του οργανισμού. Τα κύρια θέματα της μείωσης κινδύνων είναι τα εξής: α) οι διαθέσιμες επιλογές για τη μείωση των κινδύνων (risk mitigation options), β) η στρατηγική που θα υιοθετηθεί (risk mitigation strategy), γ) η υλοποίηση των αντιμέτρων (control implementation), δ) οι διαφορετικές κατηγορίες των αντιμέτρων (control categories), η ανάλυση κόστους ωφέλειας για την αιτιολόγηση των επιλεγμένων αντιμέτρων (cost-benefit analysis) και στ) ο εναπομένων κίνδυνος (residual risk). Αυτός ο στόχος μπορεί να επιτευχθεί μέσω οποιασδήποτε από τις επόμενες επιλογές [NIST SP , 2002]: α) Αποδοχή του κινδύνου, β) αποφυγή του κινδύνου, γ) μείωση του κινδύνου, δ) κατάρτιση σχεδίου μείωσης κινδύνου, ε) έρευνα για τρόπους διόρθωσης της Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 56

57 αδυναμίας που προκαλεί τον κίνδυνο, και στ) μεταφορά του κινδύνου σε τρίτα μέρη (όπως ασφάλιση). Με δεδομένο ότι οι στόχοι ενός οργανισμού καθορίζουν και τη λειτουργία του, δεν υπάρχει ένας μόνο τρόπος για τη μείωση του κινδύνου. Οι βέλτιστες πρακτικές συνιστούν χρήση κατάλληλων τεχνολογιών από τους προμηθευτές προϊόντων ασφάλειας, σε συνδυασμό με τις βέλτιστες τεχνοδιαμορφώσεις στους πόρους ΠΣ, αλλά και με διαδικαστικά και λειτουργικά μέτρα. Μια αναλυτική συζήτηση για υλοποίηση και σχεδιασμό μέτρων ασφάλειας ΠΣ μπορεί να αναζητηθεί στα [NIST SP , 2006] και [NIST SP , 1995]. Συνοπτικά οι κυριότερες κατηγορίες των μέτρων είναι οι εξής (κάποιες δέσμες μέτρων ενδέχεται να ανήκουν σε περισσότερες από μια κατηγορίες): Τεχνικά μέτρα ασφάλειας, που στοχεύουν στα τεχνικά χαρακτηριστικά των πόρων και περαιτέρω χωρίζονται σε: a. Υποστηρικτικά (ταυτοποίηση, διαχείριση κρυπτογραφικών κλειδιών, διαχείριση ασφάλειας, βέλτιστες λειτουργικές πρακτικές), b. Προληπτικά (αυθεντικοποίηση, ταυτοποίηση, επιβολή ελέγχου πρόσβασης, μη-αποποίηση ευθύνης, προστατευμένες επικοινωνίες, μυστικότητα συναλλαγής), c. Διαγνωστικά / Διορθωτικά (έλεγχος, ανίχνευση και περιορισμός εισβολών, ακεραιότητα, σημεία επαναφοράς σε συνεπή συστημική κατάσταση, ανίχνευση και εξάλειψη ιομορφικού λογισμικού), Διαδικαστικά μέτρα ασφάλειας, που δίνουν έμφαση στην τήρηση των πολιτικών, προτύπων και διαδικασιών και περαιτέρω χωρίζονται σε: d. Προληπτικά (καθορισμός ρόλων και υπευθυνοτήτων, ανάπτυξη σχεδίων ασφάλειας, διαδικασίες πρόσβασης και διαχείρισης αλλαγών, επιμόρφωση και εκπαίδευση σε θέματα ασφάλειας), e. Διαγνωστικά (υλοποίηση μέτρων ασφάλειας για τους χρήστες, περιοδικοί έλεγχοι ασφάλειας, διαδικασίες διαχείρισης κινδύνων, διαχείριση εναπομένοντος κινδύνου), f. Ανάκτησης Λειτουργιών (συνέχεια λειτουργιών ΤΠΕ, μονάδα διαχείρισης περιστατικών ασφάλειας), Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 57

58 Λειτουργικά μέτρα ασφάλειας, που δίνουν έμφαση στην τήρηση των ελάχιστων αποδεκτών τεχνοδιαμορφώσεων (minimum baseline standards) με κατάρτιση αναλυτικών οδηγών και διαδικασιών και περαιτέρω χωρίζονται σε: g. Προληπτικά (έλεγχος πρόσβασης στα αποθηκευτικά μέσα και φυσική ασφάλεια, ιομορφικό λογισμικό, διαδικασίες πρόσβασης, διαχείριση κλειδιών και αναγνωριστικών, ασφάλεια εξοπλισμού, παροχή εναλλακτικών λύσεων ΤΠΕ, ασφάλεια φορητών υπολογιστών, κ.α.), h. Διαγνωστικά (φυσική ασφάλεια, προστασία του περιβάλλοντος λειτουργίας του ΠΣ) Αξιολόγηση του Επιπέδου Ασφάλειας Ο τρίτος άξονας της Διαχείρισης Επικινδυνότητας είναι η Αξιολόγηση του Επιπέδου Ασφάλειας, ή αλλιώς Έλεγχος Ασφάλειας ΠΣ. Όπως και στον πρώτο άξονα, η ανάλυση επικινδυνότητας 5 αποτελεί σημαντικό μέρος του σχεδιασμού του ελέγχου: μέσω του εντοπισμού κινδύνων και ευπαθειών, ο ελεγκτής (σ.σ. ειδικός ασφάλειας που συνήθως είναι διαφορετικό πρόσωπο από τον ειδικό που εκτέλεσε την αρχική ΑΕ, ενότητα 2.3.1) είναι σε θέση να προσδιορίσει τους απαραίτητους μηχανισμούς ελέγχου έτσι ώστε να περιορίσει αυτούς τους κινδύνους σε ένα αποδεκτό επίπεδο. Από την πλευρά του, ο 5 Εδώ γίνεται αναφορά στην ΑΕ που γίνεται στο αρχικό στάδιο του ελέγχου ΠΣ, προκειμένου να εντοπιστούν οι κρίσιμες περιοχές του ελέγχου. Τίποτα δεν εμποδίζει τουναντίον, προτείνεται η αρχική άσκηση ΑΕ που γίνεται για τον εντοπισμό των κυριότερων κινδύνων του ΠΣ και των σχετικών αντιμέτρων (ενότητα 2.3.1), να συνδέεται με την ΑΕ στο στάδιο του ελέγχου ΠΣ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 58

59 ελεγκτής πρέπει να είναι σε θέση να προσδιορίσει και να διακρίνει επαρκώς τους διαφορετικούς τύπους κινδύνων, όπως επίσης τη σπουδαιότητα και επάρκεια των αντίστοιχων μέτρων ασφάλειας. Η εκτίμηση αυτή δεν πρέπει να γίνεται μόνο σε τεχνικό επίπεδο αντιμέτρων, αλλά πρώτιστα και κύρια σε επίπεδο επιχειρησιακών λειτουργιών [Τσούμας, 2004]. Επιπρόσθετα, ο ελεγκτής μέσω της ανάλυσης επικινδυνότητας έχει τη δυνατότητα να κατηγοριοποιήσει και να εντοπίσει τους σημαντικότερους κινδύνους για το ΠΣ με άλλα λόγια, και τα αντικείμενα του επικείμενου ελέγχου, κάθε ένα από τα οποία είναι δυνατό να οδηγήσει και σε ξεχωριστά Προγράμματα Ελέγχου (Audit Programs). Λόγω των περιορισμένων τεχνολογικών και ανθρώπινων πόρων, συχνά είναι ανέφικτη η πραγματοποίηση ενδελεχών ελέγχων για την αντιμετώπιση όλων των πιθανών κινδύνων μοιραία λοιπόν, ο ελεγκτής οδηγείται σε μια επιλογή ελεγκτικών στόχων, τόσο ποσοτική (καθορισμός των αντικειμένων του ελέγχου) όσο και ποιοτική (σε ποιο επίπεδο λεπτομέρειας θα διεξαχθεί ο έλεγχος). Σε αυτή τη δύσκολη διαδικασία, ο ελεγκτής έχει σαν αρωγό την ανάλυση επικινδυνότητας. Από την πλευρά της Ελεγκτικής ΠΣ, η ανάλυση επικινδυνότητας έχει τα εξής πλεονεκτήματα για το σχεδιασμό του ελέγχου: α) Αποτελεσματική κατανομή των περιορισμένων ελεγκτικών πόρων β) Διαβεβαίωση ότι είναι διαθέσιμη μια αντιπροσωπευτική εικόνα του οργανισμού και του ΠΣ λαμβάνοντας πληροφορίες απ όλα τα επίπεδα του οργανισμού συμπεριλαμβανομένων των υψηλών κλιμακίων της Διοίκησης, επιτροπών, ελεγκτών ΠΣ και του χαμηλόβαθμου προσωπικού (η μεγάλη σημασία συλλογής πληροφοριών από όλα τα κλιμάκια του οργανισμού, έγκειται στην πληρότητα της εικόνας και εξακολουθητικά, στον ακριβή εντοπισμό των περιοχών υψηλού κινδύνου) γ) Παροχή μιας αφετηρίας για αποτελεσματική διαχείριση του τμήματος Εσωτερικού Ελέγχου δ) Σύνδεση του συγκεκριμένου αντικείμενου ελέγχου με τον οργανισμό εν γένει, όπως και με τα επιχειρησιακά σχέδια του οργανισμού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 59

60 Μηχανισμοί Ελέγχου ΠΣ Οι Μηχανισμοί Ελέγχου ΠΣ (IT Controls 6 ) έχουν αναπτυχθεί προκειμένου να παρέχουν μια εύλογη διαβεβαίωση ότι οι επιχειρησιακοί στόχοι (business objectives) που έχουν τεθεί από τη Διοίκηση του ΠΣ θα επιτευχθούν, όπως και ότι ανεπιθύμητα περιστατικά ασφάλειας του ΠΣ θα αποφευχθούν και/ή εντοπιστούν και διορθωθούν. Οι μηχανισμοί ελέγχου διακρίνονται σε πολιτικές, διαδικασίες, πρακτικές και οργανωσιακές δομές, και είναι τα μέσα με τα οποία υλοποιούνται οι Σκοποί του Ελέγχου ΠΣ (IT Control Objectives). Οι μηχανισμοί αυτοί λειτουργούν σε κάθε επίπεδο του ΠΣ με στόχο τη μείωση των απωλειών από εκδήλωση πιθανής απειλής και, περαιτέρω, την ευθυγράμμιση με (ή μη-παρέκκλιση από) τους επιχειρησιακούς στόχους. Η ανώτερη Διοίκηση είναι υπεύθυνη για την εμπέδωση μιας οργανωσιακής κουλτούρας με σκοπό να διευκολυνθεί η λειτουργία του Ελέγχου ΠΣ, ο οποίος δεν πρόκειται απλά για ένα σύνολο από διαδικασίες ή πολιτικές, οι οποίες ελέγχονται ή εφαρμόζονται σε (κάποιες) χρονικές στιγμές: αντίθετα, οι σύγχρονες Διοικήσεις τείνουν να υιοθετήσουν μια προσέγγιση Συνεχούς Ελέγχου (Continuous Auditing) των πληροφοριακών συστημάτων τους προκειμένου να διαχειριστούν τους επιχειρησιακούς κινδύνους [Τσούμας, 2004]. Η ποιότητα των μηχανισμών ελέγχου εξαρτάται από τον τύπο τους (Προληπτικοί, Διαγνωστικοί, Διορθωτικοί, Αποτρεπτικοί), από το βαθμό αυτοματοποίησής τους (χειροκίνητοι ή αυτοματοποιημένοι), και το βαθμό τεκμηρίωσής τους, δηλ. αν είναι τυπικά 6 Στη διεθνή βιβλιογραφία απαντάται και ο ορισμός IT Internal Controls, αφού οι μηχανισμοί ελέγχου ΠΣ θεωρούνται εσωτερικοί του οργανισμού οι δύο ορισμοί είναι ταυτόσημοι. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 60

61 ορισμένοι (καταγεγραμμένοι σε εγχειρίδια διαδικασιών ενώ επίσης διατηρούνται ενδείξεις της λειτουργίας τους), είτε αυθαίρετοι (ad hoc) Στόχοι των Μηχανισμών Ελέγχου Οι Στόχοι των Μηχανισμών Ελέγχου ΠΣ (Control IT Objectives) εκφράζονται σαν ένα σύνολο από σαφείς δηλώσεις (statements) σχετικά με τα επιθυμητά αποτελέσματα της εφαρμογής των μηχανισμών ελέγχου σε ένα ΠΣ (ή ένα υποσύστημα αυτού). Οι κύριοι στόχοι των μηχανισμών ελέγχου κατηγοριοποιούνται ως ακολούθως: Στόχοι ασφάλειας ΠΣ, όπως α) η προστασία των αγαθών του ΠΣ, β) η διαβεβαίωση της ακεραιότητας των πληροφοριακών υποσυστημάτων σε επίπεδο λειτουργικού συστήματος, συμπεριλαμβανομένων των δικτυακών διασυνδέσεών τους και γ) η διαβεβαίωση της ακεραιότητας των πληροφοριακών υποσυστημάτων σε επίπεδο εφαρμογών, συμπεριλαμβανομένων των οικονομικών και διαχειριστικών πληροφοριών (στόχοι διαχείρισης πληροφοριών). Περιλαμβάνονται έλεγχοι για την αυθεντικοποίηση της εισόδου δεδομένων, την ακρίβεια και πληρότητα της επεξεργασίας των συναλλαγών, την αξιοπιστία των διαδικασιών επεξεργασίας του ΠΣ, την ακρίβεια, πληρότητα και ασφάλεια των αποτελεσμάτων (output) του ΠΣ και την ακεραιότητα των βάσεων δεδομένων. Λειτουργικοί στόχοι, όπως διαβεβαίωση της αποτελεσματικότητας και αποδοτικότητας των λειτουργιών του ΠΣ. Στόχοι συμμόρφωσης, όπως συμφωνία με τις απαιτήσεις των χρηστών και με οργανωσιακές πολιτικές και διαδικασίες, όπως επίσης και με το σχετικό νομικό και κανονιστικό πλαίσιο. Στόχοι ανάκτησης, όπως ανάπτυξη πλάνων λήψης αντιγράφων ασφάλειας και ανάκτησης δεδομένων. Στόχοι συνέχειας, όπως ανάπτυξη πλάνων αντιμετώπισης έκτακτων καταστάσεων (π.χ. Συνέχειας Επιχειρησιακών Λειτουργιών και ανάκαμψης από καταστροφές). Τα βασικά δομικά στοιχεία μηχανισμών ελέγχου ΠΣ είναι οι Λογιστικοί, Λειτουργικοί και Διοικητικοί έλεγχοι, όπως αναλύονται παρακάτω. Οι Λογιστικοί έλεγχοι απευθύνονται κύρια σε λογιστικές λειτουργίες και σκοπεύουν στην ασφάλεια των αγαθών του ΠΣ και την αξιοπιστία των οικονομικών εγγραφών. Οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 61

62 Λειτουργικοί έλεγχοι ασχολούνται με τις καθημερινές λειτουργίες και δραστηριότητες του ΠΣ, και εξασφαλίζουν την ευθυγράμμιση της λειτουργίας του ΠΣ με τους σκοπούς του οργανισμού. Τέλος, οι Διοικητικοί έλεγχοι σχετίζονται με τη λειτουργική αποτελεσματικότητα σε συγκεκριμένα υποσυστήματα του ΠΣ και συμμόρφωση με τις πολιτικές που έχουν τεθεί από τη Διοίκηση. Οι διοικητικοί έλεγχοι υποστηρίζουν τους λειτουργικούς ελέγχους έτσι ώστε να ικανοποιούνται οι στρατηγικές του οργανισμού. Είναι σημαντικό ότι οι στόχοι ελέγχου έχουν εφαρμογή και παραμένουν οι ίδιοι σε όλα τα είδη ΠΣ, ανεξάρτητα εάν τα τελευταία είναι αυτοματοποιημένα ή μη. Αυτό που (μπορεί να) αλλάζει σε κάθε τύπο ΠΣ, είναι ο τρόπος υλοποίησης των στόχων ελέγχου (δηλ. των αντίστοιχων μηχανισμών ελέγχου). Οι στόχοι ελέγχου ΠΣ διατυπώνονται με τη μορφή προτάσεων για παράδειγμα Οι πληροφορίες σε αυτοματοποιημένα συστήματα είναι ενημερωμένες και προστατεύονται από μη-εξουσιοδοτημένη πρόσβαση, Κάθε συναλλαγή πραγματοποιείται μετά από επιτυχή ταυτοποίηση και εξουσιοδότηση, ενώ διενεργείται μόνο άπαξ, Όλες οι αλλαγές στο λογισμικό των λειτουργικών συστημάτων εγκρίνονται και ελέγχονται πριν από την εφαρμογή τους, κλπ. Για την ικανοποίηση των παραπάνω στόχων, είναι απαραίτητη η διεξαγωγή ελέγχων που ασχολούνται κυρίως με τις περιοχές που αποτυπώνονται παρακάτω (Πίνακας 2.2). Για μια αναλυτικότερη ανάλυση θεμάτων Ελεγκτικής ΠΣ, ο αναγνώστης παραπέμπεται στο [Τσούμας, 2004]. Α/Α Πίνακας 2.2: Βασικές Περιοχές Ελέγχου ΠΣ (Πηγή: [Τσούμας, 2004]) Κύριες Περιοχές Ελέγχου ΠΣ 1 Ορισμός (και διαχωρισμός) Ρόλων και Υπευθυνοτήτων (Roles & Responsibilities and Segregation of Duties) 2 Πολιτική Ασφάλειας Πληροφοριών (Information Security Policy) 3 Διαδικασίες Πρόσληψης και Εκπαίδευσης Προσωπικού σε Επιχειρησιακές Δράσεις (Recruitment Procedures and Operational Training Procedures) 4 Συστήματα Ελέγχου Λογικής Πρόσβασης (Logical Access Control Systems) 5 Συστήματα Ελέγχου Φυσικής Πρόσβασης (Physical Access Control Systems) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 62

63 Α/Α Κύριες Περιοχές Ελέγχου ΠΣ 6 Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των (υπο) συστημάτων του ΠΣ 7 Τεκμηρίωση Συστημάτων και Διαδικασιών (Systems and Procedures Documentation) 8 Διεξαγωγή ελέγχων για εξακρίβωση της ακεραιότητας των μηχανισμών αναφοράς του ΠΣ, του κώδικα του πυρήνα του λειτουργικού συστήματος (kernel), κλπ. 9 Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των εφαρμογών (applications) του ΠΣ. Στα επόμενα και χωρίς απώλεια της γενικότητας θα αναφέρεται ο όρος Διαχείριση Ασφάλειας (ΔΑ) προκειμένου για Διαχείριση Επικινδυνότητας ΤΠΕ. 2.4 Η Πολυδιάστατη Φύση της Διαχείρισης Ασφάλειας Είναι σαφές ότι η διαχείριση ασφάλειας είναι κάτι πολύ ευρύτερο από μια επισκόπηση των λεπτομερειών των τεχνικών ρυθμίσεων (technical configuration) των πληροφοριακών πόρων, καθότι κάτι τέτοιο θα περιόριζε πολύ το εύρος και ουσιαστικά θα διαστρέβλωνε / ευνούχιζε το χαρακτήρα της ΔΑ που είναι μια πολυδιάστατη δραστηριότητα. Τόσο η ακαδημαϊκή έρευνα όσο και η εμπειρία έχουν δείξει ότι η θεώρηση ενός αριθμού διαστάσεων (ολιστικές θεωρήσεις, [Gerber and von Solms, 2005]) ανταποκρίνεται πιο πιστά στην πραγματικότητα και επομένως ο συνδυασμός των πληροφοριών ασφάλειας και η συστηματική ενσωμάτωσή τους σε ένα πολυσυλλεκτικό πλαίσιο που στηρίζεται στη γνώση είναι επιτακτική και θα πρέπει να ληφθεί σοβαρά υπόψη. Στα επόμενα παρατίθενται συνοπτικά οι δέκα διαστάσεις της διαχείρισης ασφάλειας κατά [von Solms, 2001] που καταδεικνύουν την συμπλοκότητα της διαχείρισης ασφάλειας ΠΣ. Στρατηγική: η πληροφορία είναι το πολυτιμότερο αγαθό για σχεδόν κάθε οργανισμό κατά συνέπεια, η προστασία της επιχειρησιακής πληροφορίας μέσω των κατάλληλων μέτρων ασφάλειας (θα πρέπει να) είναι στρατηγικής σημασίας για τη βιωσιμότητα του οργανισμού. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 63

64 Οργανωσιακή: αυτή η διάσταση σχετίζεται με τη δομική και διαδικασιακή οργάνωση της ΔΑ, και με την οργανωσιακή συμπεριφορά που σχετίζεται με την ασφάλεια. Η σύσταση Επιτροπής Ασφάλειας, ο καθορισμός ρόλων και ο διαχωρισμός καθηκόντων, η επικοινωνία μεταξύ των ρόλων ασφάλειας, η ιεραρχία αναφορών (reporting line), και η γενικότερη εμπλοκή της διοίκησης στη ΔΑ είναι θέματα που άπτονται της οργανωσιακής διάστασης. Πολιτική: η πολιτική ασφάλειας παίζει ένα σπουδαίο ρόλο εφόσον ορίζει ποια πληροφοριακά αγαθά πρέπει να προστατευτούν και με ποιους τρόπους. Η πολιτική ασφάλειας είναι το πλαίσιο εκείνο, το οποίο χρησιμεύει σαν σημείο αναφοράς και συντονισμού προκειμένου να οριστούν και να εφαρμοστούν τα μέτρα ασφάλειας. Αυτή η διάσταση περιλαμβάνει επίσης όλες τις σχετικές υπο-πολιτικές, διαδικασίες και πρότυπα. Βέλτιστες Πρακτικές: προκειμένου να εφαρμοστεί αποτελεσματικά η διαχείριση ασφάλειας, είναι σημαντικό να στηρίζεται σε αποδεδειγμένα αποδοτικές πρακτικές. Μολοντούτο, αυτές οι πρακτικές καλύπτουν μόνο ένα περιορισμένο αριθμό διαστάσεων έτσι, είναι σημαντικό να εφαρμόζονται παράλληλα και επιλεγμένες συμπληρωματικές πρακτικές από άλλες διαστάσεις. Δεοντολογία: παρόλο που αυτή η διάσταση δεν απολαμβάνει (ακόμη) της σημασίας που της αναλογεί, αναμένεται ότι θα αποκτήσει μεγαλύτερη σημασία τα επόμενα Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 64

65 χρόνια 7. Η έρευνα δείχνει ότι η ανθρώπινη συμπεριφορά υπαγορεύεται ή επηρεάζεται από ηθικούς κανόνες από την οπτική της διαχείρισης ασφάλειας είναι λοιπόν σημαντικό να λαμβάνονται υπόψη αυτοί οι κανόνες έτσι ώστε να λειτουργούν συναγωνιστικά και όχι ανταγωνιστικά προς όφελος της αποτελεσματικότητας της ΔΑ. Πιστοποίηση: η συμβατότητα με βέλτιστες πρακτικές ασφάλειας είναι μια τάση που κερδίζει δημοτικότητα, ειδικά σε μεγάλους οργανισμούς. Προκειμένου να πιστοποιηθεί το επίπεδο συμβατότητας, διεξάγεται μια επιθεώρηση πιστοποίησης (certification audit) από εξουσιοδοτημένους φορείς και καθορίζεται ένα επίπεδο διαβεβαίωσης (assurance). Οι κύριοι λόγοι για μια πιστοποίηση είναι η σύγκριση του επιπέδου ασφάλειας με τους οργανισμούς που δραστηριοποιούνται στον ίδιο χώρο ή με έναν πιθανό συνεργάτη και η αύξηση της εμπιστοσύνης του τελικού πελάτη του οργανισμού. Ο βαθμός αποδοχής των σχημάτων πιστοποίησης και ο χρόνος που απαιτείται προκειμένου να πιστοποιηθεί ένας οργανισμός, δυσχεραίνουν σημαντικά την εξάπλωσή τους. Νομικό / Κανονιστικό Πλαίσιο: στις μοντέρνες κοινωνίες οι ανθρώπινες δραστηριότητες (και κύρια οι επιχειρηματικές) κυβερνώνται από τους νόμους και κανονισμούς, εθνικούς και διεθνείς. Όσον αφορά την ασφάλεια πληροφοριών, η εκτεταμένη νομολογία, ειδικά στην ΕΕ παίζει σημαντικό ρόλο και έτσι το σύννομο 7 Ειδικά μετά από σκάνδαλα οικονομικού εγκλήματος τύπου Enron [Enron, 2001] και WorldCom [WorldCom, 2002] όπου πολυεθνική ελεγκτική εταιρεία ορκωτών λογιστών που αναμίχθηκε στις υποθέσεις αυτές, τελικά διαλύθηκε. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 65

66 της ΔΑ είναι κρίσιμο θέμα. Από την άλλη, η ολοένα αυξανόμενη σημασία της προστασίας των προσωπικών δεδομένων θα συνεχίσει να υπογραμμίζει τη σημασία αυτής της διάστασης. Ασφάλιση: σήμερα η επένδυση σε θέματα ασφάλειας αντιμετωπίζεται από τις διοικήσεις σαν εσωτερικό κόστος που έμμεσα ανήκει στην κατηγορία των ασφαλιστήριων συμβολαίων: επενδύεται ένα μέρος των πόρων του οργανισμού για εξασφάλιση (σε κάποιο βαθμό) από κάποιους μελλοντικούς πιθανούς κινδύνους, επηρεάζοντας θετικά την εμπιστοσύνη των ασφαλιστικών εταιρειών που θα ασφαλίσουν το ΠΣ. Το ύψος αυτού του «ασφαλιστήριου συμβολαίου» εξαρτάται από μια σειρά από παράγοντες που σχετίζονται άμεσα με την αποτίμηση επικινδυνότητας και έμμεσα με την Πιστοποίηση, αφού οι ασφαλιστικές εταιρείες ενδέχεται να στηριχτούν στα αποτελέσματα της τελευταίας για τον υπολογισμό των ασφάλιστρων. Επίγνωση των θεμάτων ασφάλειας: τα αρτιότερα μέτρα ασφάλειας ενδέχεται να (και τελικά θα) αποτύχουν είναι συνεπώς σημαντικό να υπάρχει αυξημένη επίγνωση και εγρήγορση του τελικού χρήστη. Το όφελος ενός ουσιαστικού, καλά δομημένου και επικοινωνιακά άρτιου προγράμματος ενημέρωσης των χρηστών για θέματα επίγνωσης σε θέματα ασφάλειας πληροφοριών δεν πρέπει (και δεν μπορεί) να περνάει απαρατήρητο. Παρακολούθηση: λόγω της δυναμικής φύσης των σύγχρονων ΠΣ, είναι ζωτικής σημασίας η συνεχής παρακολούθηση της ασφάλειας του συστήματος. Το επίκεντρο της προσοχής σε αυτή τη διάσταση είναι η θέσπιση και τήρηση διαδικασιών παρακολούθησης, ανάκαμψης και ανάλυσης της ασφάλειας του συστήματος. Επιπρόσθετα, ο Zuccato [Zuccato, 2005] προσθέτει ακόμη μια σημαντική διάσταση. IV. Τεχνολογία: η τεχνική διάσταση σχετίζεται τόσο με τις τεχνολογικές απειλές όσο και με τα τεχνικά αντίμετρα. Οι διαστάσεις της διαχείρισης ασφάλειας και οι μεταξύ τους αλληλεξαρτήσεις κατά [von Solms, 2001], [Zuccato, 2005] απεικονίζονται στο Σχήμα 2.3. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 66

67 Σχήμα 2.3: Αλληλεξάρτηση των Διαστάσεων της Διαχείρισης Ασφάλειας (πηγή: [Zuccato, 2005]) Η ΔΑ από την πρακτική πλευρά της και προκειμένου να εφαρμοστεί στο ΠΣ, τυποποιείται και εκφράζεται σαν ένα σύνολο κανόνων οι οποίοι καθορίζουν τους αποδεκτούς τρόπους χρήσης των ΠΣ προκειμένου να επιτευχθούν οι στόχοι του. Οι κανόνες αυτοί (συνήθως) αποτυπώνονται με τυπικό τρόπο σε ένα κείμενο (ή μια σειρά από κείμενα) τα οποία επικυρώνονται από τη διοίκηση και επικοινωνούνται στους χρήστες των ΠΣ. Οι κανόνες αυτοί αναπτύσσονται με γνώμονα την προστασία συγκεκριμένων ιδιοτήτων (ακεραιότητα, εμπιστευτικότητα, διαθεσιμότητα) των στοιχείων που συνθέτουν ένα ΠΣ (δεδομένα, λογισμικό, υλισμικό, εγκαταστάσεις και άνθρωπος) η επιτυχής μεταφορά τους και εφαρμογή στο ΠΣ έτσι ώστε να επιτυγχάνεται η εξισορρόπηση της χρηστικότητας του ΠΣ από τη μια, και το αποδεκτό επίπεδο ασφάλειας από την άλλη, είναι δημοφιλές ερευνητικό θέμα και σχετίζεται άμεσα με την αποδοχή της πολιτικής ασφάλειας από τους χρήστες, την ωριμότητα της κουλτούρας τους ως προς τον ενεργό ρόλο τους στη διασφάλιση των πληροφοριακών πόρων και πάνω απ όλα στην διοικητική υποστήριξη του όλου εγχειρήματος. Από την έρευνα και την εμπειρία προκύπτει ότι η αποδοτική και αποτελεσματική διαχείριση των κινδύνων ασφάλειας με ένα αποδεκτό κόστος είναι μια επίπονη και αέναη διαδικασία, με τη βελτιστοποίησή της να αποτελεί προς το παρόν ένα πολυσχιδές και πολύπλοκο αντικείμενο που ξεπερνάει τα στενά όρια της τήρησης μιας λίστας υποχρεώσεων και συστάσεων και συσχετίζεται με ένα σύνολο παραγόντων, με κυρίαρχο ρόλο να παίζει η αντίληψη που διαμορφώνουν τα διοικητικά στελέχη του οργανισμού σχετικά με την Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 67

68 επικινδυνότητα ([Straub, 1990], [Τσώχου, 2004]). Στα πλαίσια της παρούσας διατριβής, η έρευνα θα επικεντρωθεί στην υλοποίηση των μέτρων ασφάλειας που προδιαγράφονται σε μια σειρά από κείμενα όπως η Ανάλυση Επικινδυνότητας και οι Πολιτικές Ασφάλειας, κάνοντας χρήση μιας πολυσυλλεκτικής προσέγγισης που βασίζεται στη γνώση. 2.5 Προσεγγίσεις στη Διαχείριση Ασφάλειας ΠΣ Οι παραδοσιακές προσεγγίσεις στη ΔΑ αναμφίβολα προσφέρουν σημαντικά οφέλη στους οργανισμούς που τις υιοθετούν όπως συστηματική προσέγγιση των κινδύνων και των επιπτώσεών τους, εμπειρία ετών που βοηθά στη διήθηση των πιο αποτελεσματικών τεχνικών και συσσωρευμένη εμπειρία σε επιχειρησιακές δομές και σχήματα διαχείρισης κινδύνων, για να αναφέρουμε μερικά. Σε αυτό το δύσκολο έργο, η ΑΕ είναι ένα πολύτιμο εργαλείο στα χέρια των ειδικών ασφάλειας: ώριμα εργαλεία λογισμικού που βοηθούν στην εκτέλεση ασκήσεων ΑΕ είναι διαθέσιμα ([CRAMM, 2005], [COBRA, 2006]), ενώ σε κάποια ακαδημαϊκά ιδρύματα γίνεται χρήση τους για εκπαιδευτικούς σκοπούς [Γκρίτζαλης, 2001]. Από την άλλη μεριά, είναι σαφές ότι δεν υπάρχει κάποια συστηματική προσέγγιση η οποία να καλύπτει αποτελεσματικά όλες τις διαστάσεις της ΔΑ όπως αυτές αναφέρθηκαν στην ενότητα 2.4. Σε αυτό το συμπέρασμα συνάδουν και τα αποτελέσματα από τις έρευνες ασφάλειας [Ernst & Young, 2005], [Gordon et al., 2004], [DTI and Coopers, 2002] και [DTI, 2000]. Ιστορικά, η πρώτη και απλούστερη προσέγγιση στη διαχείριση ασφάλειας ήταν η «Διαισθητική» Διαχείριση Ασφάλειας, η οποία υιοθετείται κυρίως σε οργανισμούς μικρού μεγέθους όπου επαρκείς πόροι για τη ασφάλεια δεν είναι διαθέσιμοι και δεν προβλέπονται ρόλοι και υπευθυνότητες ασφάλειας πληροφοριών. Σε ένα τέτοιο περιβάλλον, η ασφάλεια γίνεται αντικείμενο διαχείρισης «κατά περίπτωση», όταν προκύψει κάποιο περιστατικό ασφάλειας (με την προϋπόθεση ότι το τελευταίο θα γίνει αντιληπτό). Η προσέγγιση αυτή καλύπτει λίγες διαστάσεις της ΔΑ και κρίνεται εξ ορισμού ανεπαρκής. Οι πιο μοντέρνες προσεγγίσεις ΔΑ ακολουθούν γενικά την ταξινομία του [Baskerville, 1993], που προτείνει τρεις γενιές προσεγγίσεων στη σχεδίαση ασφαλών ΠΣ: I. Βασισμένες σε Λίστες Ελέγχων (Checklists), II. Βασισμένες στη Μηχανιστική Προσέγγιση (Systems Engineering), και Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 68

69 III. Βασισμένες σε Λογικούς Μετασχηματισμούς (Logical Transformations). Περαιτέρω, ο Zuccato [Zuccato, 2005] προσθέτει άλλες δύο γενιές, ως εξής: IV. Βασισμένες στην επιχειρηματική τεχνική διάσταση (Business Technical) και V. Ολιστικές προσεγγίσεις (Holistic approaches). Παρά την παλαιότητα της μελέτης του [Baskerville, 1993], τα συμπεράσματά της παραμένουν (σχετικά) επίκαιρα. Τα κυριότερα σημεία των προσεγγίσεων σχεδιασμού ασφαλών ΠΣ κατά Baskerville είναι τα εξής: Λίστες Ελέγχων (Checklists): οι λίστες ελέγχων, προερχόμενες από το χώρο της διαδικασιακής προστασίας (safety), έχουν γίνει δημοφιλείς και στην ασφάλεια πληροφοριών. Στις λίστες αυτές παρουσιάζονται είτε οι προδιαγραφές των αντιμέτρων που πρέπει να υλοποιηθούν (χωρίς πάντα άμεση σύνδεση με την υλοποίησή τους) [ISO 17799, 2005], [BSI-DE, 2003] 8, είτε έναν αριθμό από κινδύνους και / ή απειλές οι οποίοι(ες) πρέπει να περιοριστούν. Οι λίστες ελέγχων επιτρέπουν στους ειδικούς ασφάλειας την επιλογή από μια εκτεταμένο κατάλογο αντιμέτρων. Χρησιμοποιούνται τεχνικές ΑΕ για να ποσοτικοποιήσουν την αξία των αντιμέτρων και έτσι να οδηγηθούν σε μια προσέγγιση 8 Ο διαχωρισμός των προδιαγραφών των αντιμέτρων από τις εκάστοτε υλοποιήσεις τους ισχύει εν μέρει για το [BSI-DE, 2003], καθότι παρέχει επίσης και συγκεκριμένα μέτρα για συγκεκριμένες τεχνολογικές πλατφόρμες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 69

70 κόστους-ωφέλειας, ενώ τείνουν να καλύπτουν τους κυριότερους κινδύνους, χρησιμοποιώντας μια bottom-up προσέγγιση, εξετάζοντας αντίμετρα για όλα τα πιθανά στοιχεία του συστήματος [Chivers, 2006]. Οι περισσότερες προσεγγίσεις αυτής της κατηγορίας παρέχουν ένα βασικό επίπεδο ασφάλειας (baseline security level) που θεωρείται αποδεκτό για συγκεκριμένα περιβάλλοντα πληροφορικής τα οποία είναι σχετικά απομονωμένα από το περιβάλλον και η ΔΑ μπορεί να θεωρηθεί με ένα αποσπασματικό τρόπο οι πολύπλοκες επιχειρησιακές διεργασίες (business processes), η ανοικτή αρχιτεκτονική, η αυξημένη διασυνδεσιμότητα και η σύγκλιση των τεχνολογιών που αποτυπώνονται στα σύγχρονα πληροφοριακά συστήματα, καταδεικνύει τις προσεγγίσεις που στηρίζονται σε λίστες ελέγχου κατάλληλες για υποστηρικτικό ρόλο και όχι σαν τη βάση της όλης λειτουργίας της ΔΑ [Zuccato, 2005]. Οι Βέλτιστες Πρακτικές ανά Κλάδο αποτελούν μια βελτίωση των λιστών ελέγχου: αυτές οι προσεγγίσεις συντίθενται από τις συσσωρευμένες εμπειρίες των ειδικών ασφάλειας, αξιοποιώντας κατάλληλα ρυθμίσεις διαχείρισης και τεχνοδιαμόρφωσης των εν λόγω συστημάτων πληροφορικής, τόσο σε επίπεδο λειτουργικών συστημάτων, όσο και σε επίπεδο καθολικών επιχειρησιακών εφαρμογών όπως συστημάτων Enterprise Resource Planning (ERP). Αποτελούν μια βελτίωση των λιστών ελέγχου καθότι δεν παρέχουν μόνο μια σειρά από συνιστώμενες ενέργειες, αλλά και μια αδρή μεθοδολογία υλοποίησης. Παρόμοιες πρακτικές παρέχονται κύρια από εταιρείες συμβούλων πληροφορικής, οι οποίες επιπρόσθετα υποστηρίζουν και την υλοποίησή τους. Παρόλα αυτά, τέτοιες προσεγγίσεις συχνά αποδεικνύονται δεσμευτικές για τον οργανισμό και/ή απαιτούν τη χρήση συγκεκριμένων υπηρεσιών / εργαλείων τα οποία διαθέτουν οι εν λόγω προμηθευτές κατά συνέπεια, αυτές οι προσεγγίσεις ενδέχεται να συνδράμουν ουσιαστικά μόνο κατά περίπτωση στη ΔΑ δυναμικών και ευμετάβλητων συστημάτων πληροφορικής. Συστημική Προσέγγιση (Systems Engineering): Αυτές οι προσεγγίσεις εφαρμόζονται με τρόπο top-down, χρησιμοποιώντας την βασική προσέγγιση διαχείρισης επικινδυνότητας μέσω της ΑΕ (ενότητα 2.3.1) και συνήθως υποστηρίζονται από ημιαυτοματοποιημένα εργαλεία λόγω της πολυπλοκότητας του υπολογισμού της αποτίμησης κινδύνων (όπως τα CRAMM [CRAMM, 2005] και RiskWatch [RiskWatch, 2006]). Τα περισσότερα εργαλεία υποστηρίζουν βάσεις δεδομένων με αδυναμίες και αντίμετρα, ενώ κάποια υποστηρίζουν πιθανοτικά μοντέλα για παραγωγή απλών σεναρίων (What-If Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 70

71 Scenarios). Η συστημική προσέγγιση στη διαχείριση κινδύνων είναι και σήμερα η κυρίαρχη, όπως και εν πολλοίς την εποχή συγγραφής του [Baskerville, 1993]. Στην προσπάθειά τους να αποκτήσουν συμβατότητα με τα κυρίαρχα σήμερα πλαίσια διαχείρισης κινδύνων όπως το BS7799, συνδέουν τα αποτελέσματα της ΑΕ με τις ενότητες των προτύπων, διαιωνίζοντας το πρόβλημα της ασάφειας των παραγόμενων αντιμέτρων για τον ειδικό ασφάλειας που θα τα εφαρμόσει. Λογικοί Μετασχηματισμοί (Logical Transformations): η τελική γενιά του σχεδιασμού ασφαλών συστημάτων του Baskerville, περιγράφει μια προσέγγιση κατά την οποία ο σχεδιασμός συστημάτων βασίζεται σε ανάλυση κινδύνων και κινείται προς πιο αφηρημένα μοντέλα αναπαράστασης τα οποία επιτρέπουν ένα συνδυασμό σχεδιασμού ασφάλειας και ανάλυσης απαιτήσεων από τη μεριά των ιδιοκτητών, ανεξάρτητα από τη φυσική υλοποίηση: «ο βασικός στόχος της τρίτης γενιάς είναι η αφαίρεση (abstraction) των χώρων του προβλήματος και της λύσης. Το πιο αποτελεσματικό μέσο για την ανακάλυψη της βέλτιστης λύσης είναι η μοντελοποίηση των βασικών ιδιοτήτων του πληροφοριακού προβλήματος και της λύσης του» [Baskerville, 1993]). Η υλοποίηση της τελικής γενιάς σχεδιασμού συστημάτων κατά Baskerville που κάνει εκτενή χρήση της ΑΕ δεν έχει ακόμη υλοποιηθεί και αποτελεί ένα βασικό κίνητρο για την παρούσα έρευνα, καθώς θέτει το πλαίσιο για μια ριζικά βελτιωμένη, ολιστική προσέγγιση στη ΔΑ από τις ήδη υπάρχουσες, χρησιμοποιώντας αφηρημένες αναπαραστάσεις συστημάτων. Στην επόμενη ενότητα παρατίθεται το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση για την αντιμετώπισή του. 2.6 Το Ερευνητικό Πρόβλημα και η Προτεινόμενη Προσέγγιση Από την ανασκόπηση στις προσεγγίσεις διαχείρισης ασφάλειας ΠΣ που προηγήθηκε, είναι σαφές το ερευνητικό ενδιαφέρον της περιοχής: στο μεταβαλλόμενο περιβάλλον των σύγχρονων Πληροφοριακών Συστημάτων, η ανάγκη ύπαρξης διαδικασιών αποτελεσματικής και αποδοτικής Διαχείρισης της Ασφάλειας των Πληροφοριακών Συστημάτων αυτών είναι αυταπόδεικτη. Η τρέχουσα πρακτική αντιμετώπιση βασίζεται στη Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 71

72 θέσπιση ενός πλαισίου ΔΑΠΣ, το οποίο (τελικά, και εκτός των άλλων) αντιστοιχίζεται σε μια σειρά συνδυαστικών μέτρων ασφάλειας, η εφαρμογή των οποίων μειώνει την έκθεση των αγαθών του ΠΣ (risk level) σε αποδεκτά επίπεδα. Για την εκτίμηση του βαθμού έκθεσης των αγαθών σε κίνδυνο εφαρμόζεται η μεθοδολογία της Αποτίμησης Επικινδυνότητας (Risk Assessment). Η ΑΕ διεξάγεται, λόγω της πολυπλοκότητας των ΠΣ υψηλού κινδύνου (security-critical information systems), με τη βοήθεια σχετικών μεθόδων και εργαλείων λογισμικού (όπως COBRA, CRAMM κλπ.). Με τον τρόπο αυτό προκύπτουν τα τεχνικά, διαδικαστικά και οργανωτικά μέτρα τα οποία διασφαλίζουν επαρκή (adequate) ασφάλεια στο ΠΣ. Στο σημείο αυτό εδράζεται η βάση του ερευνητικού προβλήματος. Συγκεκριμένα, η ασάφεια και η γενικότητα των παραγόμενων-αναγκαίων μέτρων ασφάλειας, σε συνδυασμό με τον υποκειμενισμό του ειδικού επιστήμονα (security expert) που καλείται να τα εφαρμόσει, προκαλεί συνήθως αστοχίες (που αντιμετωπίζονται με επιπρόσθετα ad hoc ρυθμιστικά τεχνικά μέτρα ή διαδικασίες), ενώ κάποιες φορές ενδέχεται να οδηγήσει το συνολικό πλαίσιο διαχείρισης της ασφάλειας του ΠΣ ακόμη και σε αποτυχία [Tsoumas and Tryfonas, 2004], [Tsoumas et al., 2005]. Η παρούσα κατάσταση στο χώρο της ΔΑΠΣ απεικονίζεται στο Σχήμα 2.4. Το κεντρικό σημείο είναι ο Ειδικός Ασφάλειας ο οποίος δέχεται ένα καταιγισμό πληροφοριών από διάφορες πηγές πληροφορίας οι οποίες διακρίνονται σε δύο επίπεδα: τις ασαφείς πηγές πληροφορίας (με πράσινο), δηλ. οι αδόμητες και με διαφορετικό επίπεδο λεπτομέρειας στην περιγραφή του αντιμέτρου όπως τα αντίμετρα από την ΑΕ, οι δηλώσεις πολιτικών ασφάλειας, οι διοικητικές αποφάσεις, τα υψηλού επιπέδου αντίμετρα (βέλτιστες πρακτικές από γνωστά πρότυπα όπως το ISO17799 [BSI-EN, 2001], COBIT [ITGI COBIT, 2000], ITIL [ITIL, 2003] ), οι σχετικές λίστες ηλεκτρονικού ταχυδρομείου κλπ. τις σαφείς (με μαύρο), δηλ. τις μη επιδεχόμενες ερμηνεία, όπως η πληροφορία από την τεχνολογική υποδομή και ένα μέρος από τις συστάσεις τεχνοδιαμόρφωσης των προμηθευτών και τις συλλογές βέλτιστων πρακτικών. Το αναμενόμενο αποτέλεσμα από την διαδικασία της αντιστοίχησης των απαιτήσεων ασφάλειας από τις διαφορετικές πηγές πληροφορίας είναι ένα σύνολο από σαφείς οδηγίες / πράξεις οι οποίες: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 72

73 Εφαρμόζονται στις τεχνικές συνιστώσες του ΠΣ και Υλοποιούν τις απαιτήσεις ασφάλειας του ΠΣ. Σχήμα 2.4: Διαχείριση Ασφάλειας Τρέχουσα Προσέγγιση Ανάλυση Επικινδυνότητας ( CRAMM, COBRA ) Client Wireless LAN Printer Router Client Client Server Farm Database Web Server Δηλώσεις Υψηλού Επιπέδου (ΑΕ, Πολιτική Ασφάλειας, SLA ) Πληροφορία ασφάλειας Υψηλού Επιπέδου Πληροφορία Τεχνικής Υποδομής Εφαρμόσιμα Τεχνικά Αντίμετρα Διοίκηση Αποφάσεις Διοίκησης Ειδικός Ασφάλειας Βέλτιστες Πρακτικές Πρότυπα Διαχείρισης Ασφάλειας ΠΣ (ISO17799, COBIT ) Συλλογές Τεχνικών Αντιμέτρων, Συστάσεις Προμηθευτών... Η διατριβή προτείνει μια νέα προσέγγιση στο θέμα της ΔΑΠΣ, αξιοποιώντας αποτελεσματικά όλες τις πηγές που είναι διαθέσιμες και παρέχουν πληροφορίες σχετικά με την ασφάλεια του ΠΣ. Επίσης, η διατριβή παρέχει ένα τεκμηριωμένο μεθοδολογικό πλαίσιο, το οποίο επιτυγχάνει να συνδυάσει τις απαιτήσεις ασφάλειας υψηλού επιπέδου (generic security requirements) με τα εφαρμοστέα τεχνικά μέτρα ασφαλείας. Αφορμή για την παρούσα έρευνα απετέλεσαν οι παρακάτω διαπιστώσεις: Η σύνδεση των αποτελεσμάτων της ΑΕ με τα τελικώς εφαρμοστέα μέτρα ασφάλειας είναι συνήθως ανεπαρκής ή/και αποσπασματική και δεν εξαρτάται από τον ειδικό επιστήμονα που εκπόνησε την ΑΕ. Τυχόν επαναχρησιμοποίηση των διαθέσιμων πληροφοριών, καθώς και της υπάρχουσας γνώσης της σχετικής με την ασφάλεια, για την επίτευξη και διατήρηση ενός επαρκούς επιπέδου ασφάλειας του ΠΣ είναι δυσχερής. Η αξιοποίηση των ποικίλλων και συνήθως ανομοιογενών πηγών πληροφοριών περί την ασφάλεια δεν μπορεί να γίνει μεθοδικά και βασίζεται σε ad hoc διαδικασίες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 73

74 Η αντικειμενική κατανόηση των απαιτήσεων ασφάλειας από τον ειδικό επιστήμονα, ο οποίος καλείται να μεταφράσει τις απαιτήσεις ασφάλειας σε εφαρμόσιμα μέτρα ασφάλειας, δεν εδράζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις. Η σύνδεση μεταξύ των ελεγκτικών διαδικασιών (που αφορούν την αποτελεσματικότητα της εφαρμογής των αναγκαίων μέτρων ασφάλειας), με τις ίδιες τις απαιτήσεις ασφάλειας, συνήθως γίνεται με βάση ad hoc τεχνικές. Η φύση της ΔΑΠΣ είναι εγγενώς κοστοβόρα και χρονοβόρα και, παράλληλα, η ενσωμάτωση μετρικών (metrics) αποτελεσματικότητάς της (ROI vs. ROSI) στη διαδικασία διασφάλισης του ΠΣ είναι δυσχερής. 2.7 Σύνοψη Στο παρόν κεφάλαιο εξετάστηκαν τα βασικά στοιχεία της Διαχείρισης Κινδύνων ΠΣ όπως οι θεμελιώδεις έννοιες ασφάλειας, το τρίπτυχο της Διαχείρισης Επικινδυνότητας (Ανάλυση Επικινδυνότητας, Εφαρμογή των Αντιμέτρων και Αξιολόγηση του Επιπέδου Ασφάλειας) και οι σύγχρονες προσεγγίσεις στο σύνθετο πρόβλημα της διαχείρισης ασφάλειας ΠΣ. Τέλος, διατυπώθηκε το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση. Στο επόμενο κεφάλαιο γίνεται μια λεπτομερής ανασκόπηση των βασικότερων ερευνητικών προσεγγίσεων που σχετίζονται με το ερευνητικό πρόβλημα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 74

75 The scientific man does not aim at an immediate result. He does not expect that his advanced ideas will be readily taken up. His work is like that of the planter for the future. His duty is to lay the foundation for those who are to come, and point the way. He lives and labors and hopes. ~ Nikola Teslα 3 Παρούσα Κατάσταση και Σχετική Έρευνα 3.1 Εισαγωγή Στις επόμενες ενότητες θα γίνει μια ανασκόπηση στους ερευνητικούς τομείς εκείνους, οι οποίοι σχετίζονται με την παρούσα διατριβή. Ο στόχος της έρευνας είναι να ορίσει ένα σαφές και εφαρμόσιμο πλαίσιο Διαχείρισης των Απαιτήσεων Ασφάλειας ΠΣ το οποίο στηρίζεται σε οντολογίες γνώσης με έμφαση στη μοντελοποίηση και πρακτική εφαρμογή των απαιτήσεων ασφάλειας στους πληροφοριακούς πόρους του ΠΣ. Από λειτουργικής άποψης, και στο πλαίσιο του μοντέλου PDCA που συνοδεύει την έννοια του ISMS (Information Security Management System) οι απαιτήσεις ασφάλειας εκφράζονται μέσα από την πολιτική ασφάλειας του οργανισμού που (πρέπει να) συνδέεται με την Αποτίμηση Επικινδυνότητας (ΑΕ). Οι απαιτήσεις ασφάλειας εκφράζονται με τη μορφή περιγραφικών προτάσεων υψηλού επιπέδου που ενδέχεται να έχουν τη μορφή των στόχων ασφάλειας (security goals / targets / objectives / requirements), επιχειρησιακών / διοικητικών αποφάσεων και συμφωνίες σε έγγραφα Εγγυημένης Παροχής Κατώτατου Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 75

76 Επιπέδου Υπηρεσιών 9. Με δεδομένη τη συμπλοκότητα των πληροφοριακών συστημάτων, η διαχείριση της ασφάλειάς τους δεν θα μπορούσε να αποτελέσει εξαίρεση όσον αφορά την πολυδιάστατη φύση της. Επιπρόσθετα, ολοένα και περισσότερο αναγνωρίζεται η σημασία της διαχείρισης ασφάλειας ΠΣ σαν ένα ζήτημα το οποίο δεν θα πρέπει να θεωρείται αμιγώς τεχνολογικό, αλλά κύρια και πρώτιστα επιχειρησιακό [Vermeulen and von Solms, 2002]. Η τυπική αποτύπωση των απαιτήσεων ασφάλειας αποτελεί μείζον θέμα, ιδίως στην περίοδο της συνεχούς και αυξανόμενης κλιμάκωσης τόσο των ενδοεταιρικών δικτύων όσο και του Παγκόσμιου Ιστού γενικότερα. Παρόλα αυτά, η γενική διαπίστωση είναι ότι υπάρχει σχετικά μικρή πρόοδος στον τομέα αυτό τόσο λόγω του ιδιαίτερου χαρακτήρα του αντικειμένου, όσο και λόγω της έλλειψης ολιστικών προσεγγίσεων. Στις ενότητες που ακολουθούν παρουσιάζονται μερικές από τις σημαντικότερες προσπάθειες σε αυτό τον ερευνητικό χώρο, όπως η εξειδίκευση απαιτήσεων βάσει στόχων και εξειδίκευση απαιτήσεων σε επίπεδο πολιτικών, αντίστοιχα. Επιπλέον, λόγω του υβριδικού χαρακτήρα της προτεινόμενης προσέγγισης, παρουσιάζεται και μια επισκόπηση των κυριότερων ερευνητικών προσπαθειών σε θέματα που σχετίζονται περισσότερο ή λιγότερο με την παρούσα διατριβή όπως πλαίσια και γλώσσες πολιτικών υψηλού επιπέδου, πολιτικές ασφάλειας και φυσική γλώσσα, καθώς και μικτές προσεγγίσεις. Θα πρέπει επίσης να σημειωθεί ότι ένα μεγάλο μέρος της έρευνας που παρουσιάζεται ήταν σε εξέλιξη παράλληλα με την παρούσα διατριβή. 9 Ελεύθερη μετάφραση του όρου Service Level Agreement. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 76

77 Στα επόμενα προς διαφύλαξη της απλότητας του κειμένου οι έννοιες Διαχείριση Ασφάλειας ΠΣ (ΔΑ) και Διαχείριση Επικινδυνότητας ΠΣ (ΔΕ) θα χρησιμοποιούνται εναλλάξ χωρίς απώλεια της γενικότητας, εξαιρουμένης της ρητής αναφοράς σε συγκεκριμένο όρο εάν κάτι τέτοιο επιβάλλεται από τα συμφραζόμενα. 3.2 Εξειδίκευση Απαιτήσεων Βάσει Στόχων Προκειμένου να σχεδιαστεί ένα σύστημα που ικανοποιεί τις απαιτήσεις του χρήστη, η ακριβής κατανόηση των τελευταίων αποτελεί έργο ζωτικής σημασίας. Η συλλογή αυτών των πληροφοριών και η οργάνωση τους σε μια μορφή που παρέχει μια ανιχνεύσιμη σύνδεση από τις απαιτήσεις του χρήστη έως τις υπηρεσίες που προσφέρει πραγματικά το υλοποιηθέν σύστημα, είναι ένα ανοικτό ερευνητικό θέμα στον τομέα της εφαρμοσμένης μηχανικής απαιτήσεων λογισμικού (Requirements Engineering, RE). Η βάση αυτών των προσεγγίσεων είναι η ιδέα ότι οι συνιστώσες του συστήματος και οι λειτουργίες τους ικανοποιούν (αναδρομικά) κάποιο σκοπό υψηλότερου επιπέδου στο γενικό περιβάλλον του ΠΣ [Loucopoulos and Kavakli, 1995]. Οι απαιτήσεις του χρήστη περιγράφονται ως επιχειρησιακοί στόχοι, οι οποίοι μέσα από μια σειρά επαναληπτικών και συνδέσιμων εξειδικεύσεων μετατρέπονται, έτσι ώστε να μπορέσουν να χρησιμοποιηθούν ως λειτουργικές / μη-λειτουργικές απαιτήσεις συστημάτων. Οι βασικοί άξονες της έρευνας είναι τρεις: α) επεξεργασία στόχων (goal elaboration), β) ορισμός σεναρίων (scenario definition) και γ) ορισμός μη-λειτουργικών απαιτήσεων (nonfunctional requirements definition). Παρόλο που ο άξονας του ερευνητικού χώρου της μηχανικής απαιτήσεων που σχετίζεται περισσότερο με την παρούσα έρευνα είναι ο (γ), θα αναφερθεί και σχετική έρευνα από τους άλλους δύο άξονες, καθότι σχετίζονται άμεσα ή έμμεσα με τις απαιτήσεις ασφάλειας. Για μια εκτεταμένη ανασκόπηση και κριτική στις προσεγγίσεις στην εξειδίκευση απαιτήσεων βάσει στόχων, ο αναγνώστης παραπέμπεται στο [Kavakli and Loucopoulos, 2004]. Στην επεξεργασία στόχων, το πλαίσιο GBRAM [Antón, 1996], [Antón et al., 2001] προσφέρει οδηγίες και κατευθύνσεις σχετικά με την εξαγωγή στόχων από διαφορετικές πηγές σε ένα δομημένο σύνολο στόχων. Οι μετασχηματισμένοι σε λειτουργίες στόχοι, οι εμπλεκόμενες οντότητες, οι έχοντες νόμιμο συμφέρον οντότητες (stakeholders) και οι Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 77

78 αρνητικοί στόχοι (καταστάσεις που δεν πρέπει να περιέλθει το σύστημα) 10 συνδυάζονται τελικά σε ένα σύνολο από σχήματα στόχων [Antón et al., 2001]. Τα σενάρια εκφράζουν πιθανούς τρόπους εκπλήρωσης των στόχων. Στις προσεγγίσεις σχετικές με τον ορισμό σεναρίων (όπως οι [Leite et al., 1997]), οι στόχοι θεωρούνται σαν συμφραζόμενες (contextual) ιδιότητες σεναρίων χρήσης π.χ. μια ιδιότητα που σχετίζει το σενάριο με το οργανωσιακό πλαίσιο στο οποίο αυτό το σενάριο εκτελείται. Ο [Cockburn, 1995] επεκτείνει αυτή την ιδέα και προτείνει τη χρήση των στόχων για τη δόμηση κατάλληλων σεναρίων, με τη σύνδεση κάθε ενέργειας (action) σε ένα σενάριο με ένα στόχο που (με τη σειρά του) έχει ανατεθεί σε μια εμπλεκόμενη οντότητα (actor). Με παρόμοιο τρόπο, οι [Ben Achour et al., 1998] προτείνουν την ιεραρχική οργάνωση των σεναρίων αντιστοιχίζοντας στόχους σε σενάρια και οργανώνοντας τους στόχους χρησιμοποιώντας τρεις τύπους σχέσεων ([εξειδίκευση, ΚΑΙ, Η] [refine, AND, OR] αντίστοιχα), είναι δυνατό να οριστεί μια δομή διαχείρισης σεναρίων. Το ενδιαφέρον σημείο αυτής της προσέγγισης (goal-scenario coupling) είναι ότι υποστηρίζει μια σύζευξη δύο κατευθύνσεων μεταξύ στόχων σεναρίων: όπως οι στόχοι μπορούν να συνεισφέρουν στο σχηματισμό σεναρίων, αντίστροφα και τα σενάρια μπορούν να χρησιμοποιηθούν για εντοπισμό νέων στόχων. Στις προσεγγίσεις που σχετίζονται με τις μη-λειτουργικές απαιτήσεις (Non-Functional Requirements NFR), οι [Chung et al., 2000], [Mylopoulos et al., 1992] ορίζουν ένα πλαίσιο το οποίο αναπαριστά τις μη-λειτουργικές απαιτήσεις σε όρους διασυνδεόμενων 10 Στη βιβλιογραφία χρησιμοποιείται ο όρος obstacles. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 78

79 στόχων. Αυτοί οι στόχοι μπορούν να εξειδικευτούν μέσω κατάλληλων τεχνικών και να αξιολογηθούν, προκειμένου να καθοριστεί ο βαθμός της καταλληλότητάς τους για να υποστηριχτούν από τη συγκεκριμένη σχεδίαση του συστήματος στο οποίο θα ενσωματωθούν. Το μοντέλο NFR αποτελείται από: α) στόχους που αναπαριστάνουν μηλειτουργικές απαιτήσεις (NFR goals), β) σχεδιαστικές αποφάσεις για την μερική ικανοποίηση των στόχων (satisficing goals), γ) επιχειρήματα (arguments) για την υιοθέτηση ή όχι των στόχων (argumentation goals), και δ) σχέσεις στόχων (goal relationships) που συνδέουν τους στόχους του μοντέλου μεταξύ τους. Μια σειρά εργασιών [Antón, 1996], [van Lamsweerde et al., 1995] χρησιμοποιούν τεχνικές εφαρμοσμένης μηχανικής απαιτήσεων όπως τα σενάρια και οι περιπτώσεις χρήσης (scenarios and use cases) για την εξαγωγή των περιγραφών των στόχων του χρήστη. Μετά την εξαγωγή των στόχων, ακολουθεί η διατύπωσή τους με άτυπο τρόπο, απλά αποσυνθέτοντας μια περιγραφή φυσικής γλώσσας διαδοχικά σε πιο λεπτομερείς περιγραφές. Εντούτοις, αυτή η προσέγγιση δεν παύει να είναι επιρρεπής στα προβλήματα των παραδοσιακών τεχνικών εφαρμοσμένης μηχανικής απαιτήσεων, καθότι παραμένει η ανάγκη μετάφρασης αυτών των περιγραφών φυσικής γλώσσας των χαμηλού επιπέδου στόχων σε μια τεχνική προδιαγραφή του συστήματος, αφού μπορούν να προκύψουν ασάφειες και ασυνέπειες. Προκειμένου να αποφευχθεί αυτό το πρόβλημα, έχει προταθεί η χρησιμοποίηση τυπικών (formal) τεχνικών προδιαγραφών, κατά συνέπεια εξασφαλίζοντας ότι ορίζεται μια ακριβής περιγραφή του συστήματος και επιτρέποντας επίσης την ανίχνευση οποιασδήποτε ασυνέπειας χρησιμοποιώντας τις αυτοματοποιημένες τεχνικές ανάλυσης. Παρ όλο που γλώσσες τυπικών προδιαγραφών όπως οι Ζ [Spivey, 1989], Object-Z [Smith, 2000] και Β [Lano and Haughton, 1996] έχουν αναπτυχθεί ακριβώς για αυτό το λόγο, όλες έχουν το μειονέκτημα της απαίτησης ενός εμπειρογνώμονα για να καθοριστούν οι μαθηματικές αποδείξεις (proofs) που απαιτούνται για να ελέγξουν ότι το σύστημα δεν παραβιάζει οποιουσδήποτε περιορισμούς ακεραιότητας. Οι [Dardenne et al., 1993], [Darimont, 1995], [van Lamsweerde et al., 1995], [Letier & van Lamsweerde, 2002] μέσω της μεθοδολογίας KAOS υπογραμμίζουν τη σημασία της σαφούς αναπαράστασης και μοντελοποίησης των επιχειρησιακών στόχων, ενώ γίνεται προσπάθεια να οριστούν ρητά οι σχέσεις των τελευταίων με τα λειτουργικά μέρη του ΠΣ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 79

80 Η μεθοδολογία KAOS υποστηρίζει τη διαδικασία εξειδίκευσης των απαιτήσεων από τους επιχειρησιακούς στόχους προς τις λειτουργικές απαιτήσεις και περιορισμούς που θα υλοποιηθούν από το σύστημα. Η έρευνα των Darimont και van Lamsweerde χρησιμοποιεί επαναχρησιμοποιήσιμα πρότυπα (reusable patterns) για εξειδίκευση στόχων που επιτρέπουν στους στόχους υψηλού επιπέδου να εκφραστούν με τη βοήθεια ενός συνδυασμού στόχων χαμηλότερων επιπέδων, επιτυγχάνοντας έτσι την εξειδίκευση [Darimont and van Lamsweerde, (1996]. Διατυπώνοντας τους στόχους μέσω κανόνων temporal logic, καταλήγουν σε πρότυπα εξειδίκευσης (elaboration patterns), η ορθότητα των οποίων είναι αποδείξιμη. Η προσέγγιση που ακολουθείται για την απόδειξη της ορθότητας για ένα δεδομένο προσχέδιο δέχεται τη σύμβαση ότι κάθε ένας από τους υπο-στόχους ισχύει, και έπειτα αποδεικνύει ότι είναι δυνατό να συνάγει την αλήθεια του στόχου-βάσης από τη σύζευξη (ή τη διάζευξη) των τιμών των υπο-στόχων. Τα προσχέδια εξασφαλίζουν ότι κάθε στάδιο της διαδικασίας εξειδίκευσης είναι: α) ορθό, δηλ. η επίτευξη των στόχων χαμηλών επιπέδων είναι ισοδύναμη με την επίτευξη του στόχου υψηλότερου επιπέδου, β) συνεπές, που σημαίνει ότι είναι δυνατό να ικανοποιηθούν όλοι οι στόχοι χαμηλού επιπέδου και γ) βελτιστοποιημένο, δηλ. δεν υπάρχει κανένας περιττός στόχος στο εξειδικευμένο σύνολο στόχων χαμηλού επιπέδου. Οι στόχοι διατυπώνονται χρησιμοποιώντας τη γλώσσα KAOS, η οποία υποστηρίζει τόσο τον τυπικό (formal), όσο και τον άτυπο (informal) καθορισμό του συστήματος. Ο άτυπος καθορισμός διατυπώνεται σε φυσική γλώσσα ενώ ο τυπικός καθορισμός χρησιμοποιεί τη σημειολογία του temporal logic που προτάθηκε από τους [Manna and Pnueli, 1992] (Σχήμα 3.1). Σχήμα 3.1. Ορολογία Temporal Logic (Πηγή: [Manna and Pnueli, 1992]) Σε πιο πρόσφατη εργασία, ο [van Lamsweerde, 2004] προτείνει την ανάλυση των απαιτήσεων ασφαλείας με την χρήση αντί-μοντέλων. Αντί-μοντέλα ονομάζονται δένδρα Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 80

81 απειλών (threat trees) τα οποία περιγράφουν έναν αντί-στόχο, δηλαδή έναν στόχο που έχει κάποιος επιτιθέμενος. Η προτεινόμενη τεχνική ανάλυσης απαιτήσεων στοχεύει στην εκπλήρωση των παρακάτω μετά-απαιτήσεων: Έγκαιρη χρήση: Θα πρέπει η τεχνική να είναι εφαρμόσιμη όσο το δυνατόν νωρίτερα στην διαδικασία ανάλυσης απαιτήσεων. Αυξητικότητα (Incrementality): Θα πρέπει να υποστηρίζεται η εναλλαγή μεταξύ ανάπτυξης του μοντέλου και ανάλυσης. Εναλλακτικές λύσεις: Η τεχνική θα πρέπει να επιτρέπει την αναπαράσταση και αξιολόγηση εναλλακτικών λύσεων. Υψηλή επικύρωση: Η τυποκρατική ανάλυση όπου και όταν χρειάζεται θα πρέπει να επιτρέπεται από το μοντέλο. Ασφάλεια από κατασκευής: Θα πρέπει να καθοδηγείται η διαδικασία ανάλυσης απαιτήσεων έτσι ώστε να επιτυγχάνεται ικανοποιητικό επίπεδο ασφαλείας. Διαχωρισμός απαιτήσεων: Η τεχνική θα πρέπει να διαχωρίζει τις απαιτήσεις ασφαλείας από άλλου τύπου απαιτήσεις. Στην εργασία προτείνεται η δημιουργία δυο μοντέλων, επαναληπτικά και ταυτόχρονα: Ένα μοντέλο του υπό δημιουργία συστήματος, το οποίο καλύπτει τόσο το λογισμικό όσο και το περιβάλλον του και συσχετίζει στόχους, πράκτορες, αντικείμενα, διαδικασίες, απαιτήσεις και υποθέσεις Και ένα αντί-μοντέλο, παραγόμενο από το μοντέλο, το οποίο επιδεικνύει πως οι προδιαγραφές των στοιχείων του μοντέλου μπορούν να απειληθούν κακόβουλα, για ποιόν λόγο και από ποιόν. Σε αυτό το πλαίσιο, οι απαιτήσεις ασφαλείας αναλύονται συστηματικά με επανάληψη των παρακάτω βημάτων: (α) αρχικοποίηση προτύπων προδιαγραφών συσχετιζόμενων με κλάσεις ιδιοτήτων, όπως εμπιστευτικότητα, ιδιωτικότητα, ακεραιότητα, διαθεσιμότητα, αυθεντικοποίηση ή μη αποποίηση, (β) παραγωγή προδιαγραφών αντί-μοντέλου που απειλούν τις παραπάνω προδιαγραφές, (γ) παραγωγή εναλλακτικών αντιμέτρων για τις απειλές και ορισμός νέων απαιτήσεων με επιλογή εναλλακτικών που ικανοποιούν καλύτερα άλλες απαιτήσεις ποιότητας του μοντέλου. Η διαδικασία δημιουργίας του αντί-μοντέλου περιγράφεται αναλυτικότερα, και Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 81

82 παρουσιάζονται κάποια πρότυπα προδιαγραφών για απαιτήσεις ασφαλείας. Μετά την διαδικασία παραγωγής του, ακολουθεί η επιλογή αντιμέτρων. Τα αντίμετρα επιλέγονται με βάση: (α) την σοβαρότητα και πιθανότητα πραγματοποίησης της αντίστοιχης απειλής και (β) μη λειτουργικούς στόχους που έχουν εντοπιστεί στο αρχικό μοντέλο στόχων. Εναλλακτικά αντίμετρα μπορούν να παραχθούν συστηματικά με χρήση των παρακάτω τελεστών: Αντικατάσταση στόχων: Ανάπτυξη εναλλακτικής εκλέπτυνσης του στόχου-γονέα για την αποφυγή της απειλής του αρχικού στόχου από τον αντί-στόχο Αντικατάσταση πρακτόρων: Αντικατάσταση ενός ευπαθή πράκτορα σχετιζόμενου με ένα απειλούμενο στόχο με έναν λιγότερο ευπαθή σε σχέση με τον αντί-στόχο Αποδυνάμωση στόχου: Αποδυνάμωση του απειλούμενου στόχου, έτσι ώστε να παρακαμφθεί ο αντί-στόχος που τον απειλεί. Επαναφορά στόχου: Εισαγωγή νέου στόχου με κατάλληλα μέτρα για την αποφυγή της απειλής από τον αντί-στόχο Μετριασμός αντί-στόχου: Ανοχή του αντί-στόχου αλλά αποφυγή των επιπτώσεών του Πρόληψη αντί-στόχου: Προσθήκη νέου στόχου που απαιτεί την αποφυγή του αντίστόχου. Στην παραπάνω λίστα μπορούν να προστεθούν και τελεστές πιο σχετικοί με την ασφάλεια, όπως: Προστασία ευπάθειας: Λήψη μέτρων έτσι ώστε η παραγόμενη προϋπόθεση ευπάθειας να μην είναι εμφανής στον επιτιθέμενο Εξουδετέρωση απειλής: Λήψη μέτρων έτσι ώστε ο επιτιθέμενος να μην έχει έλεγχο της προϋπόθεσης της παραγόμενης αντί-απαίτησης Αποφυγή ευπάθειας: Προσθήκη νέου στόχου που απαιτεί την αποφυγή της ευπάθειας λογισμικού. Τέλος, δίνεται παράδειγμα χρήσης των αντί-μοντέλων. Στο [Sheyner et al., 2002] εξετάζονται οι γράφοι επίθεσης (attack graphs), και δίνεται μία αυτοματοποιημένη τεχνική για την δημιουργία και ανάλυσή τους, καθώς και ένα εργαλείο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 82

83 που υλοποιεί την συγκεκριμένη τεχνική. Οι γράφοι επίθεσης αναδεικνύουν τρόπους με τους οποίους ένας εισβολέας μπορεί να θέσει ένα δίκτυο σε μη ασφαλή κατάσταση. Η αυτοματοποίηση της δημιουργίας των γράφων επίθεσης επιβεβαιώνει την πληρότητα και την περιεκτικότητα τους. Πλήρης ονομάζεται ένας γράφος επίθεσης όταν περιλαμβάνει όλες τις πιθανές επιθέσεις, και περιεκτικός όταν περιέχει μόνο τις καταστάσεις δικτύου από τις οποίες ο επιτιθέμενος μπορεί να φτάσει στον στόχο του. Η διαδικασία παραγωγής και ανάλυσης των γράφων επίθεσης ακολουθεί τα παρακάτω βήματα: Μοντελοποίηση του δικτύου: Το δίκτυο μοντελοποιείται ως μηχανή πεπερασμένων καταστάσεων, όπου οι μεταβάσεις μεταξύ καταστάσεων απεικονίζουν σε ατομικές (atomic) επιθέσεις του εισβολέα. Ακόμα ορίζεται μια επιθυμητή ιδιότητα ασφαλείας. Ο στόχος του εισβολέα είναι η παραβίαση αυτής της ιδιότητας. Παραγωγή ενός γράφου επίθεσης: Χρησιμοποιώντας το μοντέλο του πρώτου βήματος, μια προσαρμοσμένη μορφή ενός εργαλείου ελέγχου μοντέλων παράγει αυτοματοποιημένα τον γράφο επίθεσης, ο οποίος και οπτικοποιείται. Ανάλυση του γράφου επίθεσης: Ένας πρωτογενής γράφος επίθεσης είναι ένα διάγραμμα μετάβασης καταστάσεων χαμηλού επιπέδου. Για να επιτραπεί η ανάλυσή του από κάποιον ειδικό, ο γράφος μετατρέπεται και αναδομούνται οι αρχικές έννοιες των μεταβλητών καταστάσεων όπως σχετίζονται με τον χώρο εισβολής δικτύων. Περιγράφονται δύο μέθοδοι ανάλυσης των γράφων επίθεσης: ένας αλγόριθμος καθορισμού του ελάχιστου αριθμού ατομικών επιθέσεων των οποίων η πρόληψη επαρκεί για την αποτυχία του επιτιθέμενου, και μια πιθανοτική ανάλυση αξιοπιστίας που υπολογίζει την πιθανότητα επιτυχίας του επιτιθέμενου. Παρέχονται αποδείξεις για την ορθότητα των προτάσεων, καθώς και παραδείγματα χρήσης. Οι περισσότερες προσεγγίσεις δίνουν σαφέστατα βάρος στην αναπαράσταση της ανάλυσης στόχων. Η NFR χρησιμοποιεί την τυπική γλώσσα Telos που υποστηρίζει οντολογικές επεκτάσεις για την αποτύπωση των απαιτήσεων. Με αυτό τον τρόπο είναι δυνατή η αποτύπωση της σημασιολογίας (semantics) ενός επιπέδου στόχων σε μεταεπίπεδα μέσα στην ίδια τη Telos, καταλήγοντας έτσι ουσιαστικά στη δημιουργία μιας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 83

84 προσαρμοσμένης γλώσσας για το συγκεκριμένο σύστημα [Greenspan et al., 1994]. Οι προσεγγίσεις που χρησιμοποιούν goal-scenario coupling προτείνουν επίσης τη χρησιμοποίηση δομημένων γλωσσών για την περιγραφή των στόχων αντί των τυπικών γλωσσών, με το επιχείρημα ότι οι δομημένες γλώσσες προσιδιάζουν σε πολλά σημεία με τις τυπικές γλώσσες ενώ είναι και ευκολότερες στην κατανόηση, με αντίτιμο τη μειωμένη ακρίβεια και σαφήνεια. Από την άλλη μεριά, οι τυπικές προσεγγίσεις στοχεύουν στην συνέπεια, σαφήνεια και ακρίβεια των παραγόμενων απαιτήσεων, ενώ έχουν και καλή υποδομή για υποστήριξη εργαλείων, μιας και διαθέτουν καλά ορισμένη σημασιολογία. Παρ όλα αυτά, οι τυπικές γλώσσες μειονεκτούν στην υποστήριξη βαθμών ελευθερίας κατά την εξειδίκευση των στόχων π.χ. δεν επιτρέπουν συγκρούσεις (conflicts) και ασυνέπειες μεταξύ στόχων, ενώ είναι εξ ορισμού πολύπλοκες, μειωμένης ευελιξίας και ελάχιστα φιλικές στο χρήστη, πλεονεκτήματα που διαθέτουν οι ημι-τυπικές προσεγγίσεις. Σαν συμπέρασμα, οι δύο σχολές αναπαράστασης (τυπικές και ημι-τυπικές) έχουν η καθεμιά τα δικά τους πλεονεκτήματα και μειονεκτήματα, ενώ μια συνδυαστική προσέγγιση φαίνεται ότι θα μπορούσε να έχει τα καλύτερα αποτελέσματα. Η προσέγγισή μας που αναλύεται στην ενότητα 4.10 συνδυάζει σε ένα βαθμό και τις δύο τάσεις κάτω από το πρίσμα της διαχείρισης γνώσης ασφάλειας μέσω οντολογιών. Περαιτέρω, παρόλο που οι σχετικές προσεγγίσεις (KAOS, GBRAM, NFR, και goalscenario coupling) κάνουν κάποιες αναφορές και δίνουν περιστασιακές κατευθύνσεις, δεν έχει δοθεί ακόμη η απαραίτητη προσοχή στον τρόπο με τον οποίο μπορεί να παραχθεί ένα σύνολο τεχνοδιαμορφώσεων και άλλων ρυθμίσεων προς εφαρμογή σε πραγματικά συστήματα. Όσον αφορά τα διαθέσιμα εργαλεία, οι προσεγγίσεις που κάνουν χρήση τυπικών αναπαραστάσεων (NFR, KAOS) υποστηρίζονται από υλοποιήσεις αναφοράς (όπως το NFR Assistant και το περιβάλλον KAOS GRAIL αντίστοιχα), τα οποία παρέχουν (σε κάποιο βαθμό) συμπερασματικές δυνατότητες όπως ελέγχους της ορθότητας των στόχων, και ελέγχους της συνέπειας (consistency) και εφικτότητας (satisfiability) των δομών αναπαράστασης των στόχων. Επιπρόσθετα, σε όλες τις παραπάνω προσεγγίσεις υπάρχουν οι εξής ελλείψεις [Kavakli and Loucopoulos, 2004]: α) δεν υπάρχει επαρκής υποστήριξη για τη συμμετοχή των stakeholders στη διαδικασία εξειδίκευσης, β) δεν υπάρχει επαρκής και συστηματική υποστήριξη σε επίπεδο επιχειρησιακών διεργασιών (business process support) με την Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 84

85 εξαίρεση της μεθόδου goal-scenario coupling [Ben Achour et al., 1998] όπου οδηγίες για την εξειδίκευση των στόχων ενσωματώνονται σαν κανόνες στο εργαλείο CREWS- L écritoire, γ) δεν υπάρχει επαρκής εμπειρία από την εφαρμογή σε πραγματικές συνθήκες. Παρά το γεγονός ότι οι εν λόγω προσεγγίσεις έχουν δοκιμαστεί σαν μελέτες περίπτωσης σε επιχειρησιακά περιβάλλοντα [van Lamsweerde et al., 1995], [Loucopoulos and Kavakli, 1995], [Rolland et al., 1999], οι πρακτικές δυσκολίες που ενδέχεται να προκύψουν κατά την εφαρμογή των προσεγγίσεων σε δρώντα περιβάλλοντα, δεν έχει αναλυθεί με επάρκεια. 3.3 Εξειδίκευση Απαιτήσεων σε Επίπεδο Πολιτικών ΠΣ Οι στόχοι ενός οργανισμού σχετικά με τα πληροφοριακά του συστήματα εκφράζονται τυπικά μέσα από ένα σύνολο πολιτικών, και η ασφάλεια δεν θα μπορούσε να αποτελέσει εξαίρεση. Συνήθως οι πολιτικές αυτές εκφράζονται σε υψηλό επίπεδο και πάσχουν από γενικότητα και αμφισημία (κάποιες φορές και πολυσημία). Η ανάγκη εξειδίκευσης των πολιτικών ασφάλειας ενός ΠΣ, μετασχηματίζοντας μια «αφηρημένη πολιτική σε υλοποιήσιμη τεχνοδιαμόρφωση» [Wies, 1995] ή, κατά άλλο ορισμό, τους στόχους υψηλού επιπέδου σε διακριτές πράξεις (λειτουργικές πολιτικές operational policies) που μπορούν να εφαρμοστούν από το σύστημα, είχε εντοπιστεί ήδη από τη δεκαετία του1990 [Moffett and Sloman, 1991], [Moffett and Sloman, 1993], [Wies, 1995]. Οι Moffett και Sloman προσδιορίζουν την εξάλειψη των ασαφειών της φυσικής γλώσσας και τον εντοπισμό των κύριων εννοιών που ενδιαφέρουν τον χρήστη, ως τις κυριότερες προκλήσεις στον τομέα της εξειδίκευσης πολιτικών (policy refinement). Σε αυτές τις εργασίες διερευνάται η διαδοχική εξειδίκευση των στόχων υψηλού επιπέδου σε μια ιεραρχία πολιτικής (policy hierarchy) και περιγράφεται μια αδρή μεθοδολογία με τα ακόλουθα βήματα [Moffett and Sloman, 1993]: Προσδιορισμός των πόρων που απαιτούνται για την ικανοποίηση των αναγκών της πολιτικής, Μετάφραση των πολιτικών υψηλού επιπέδου σε λειτουργικές πολιτικές οι οποίες μπορούν να εφαρμοστούν από το σύστημα, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 85

86 Κατάλληλη ανάλυση της πολιτικής έτσι ώστε να εξασφαλιστεί ότι οι εξειδικευμένες λειτουργικές πολιτικές ικανοποιούν τις απαιτήσεις της πολιτικής υψηλού επιπέδου για την οποία εξειδικεύτηκαν. Ένας αριθμός ερευνητικών εργασιών έχει ασχοληθεί με το σημαντικό αυτό θέμα και έχουν παρουσιαστεί αρκετές τεχνικές για την εξειδίκευση των πολιτικών. Όλες οι προσεγγίσεις χωρίς καμιά εξαίρεση προβλέπουν ένα σημαντικό αριθμό περιορισμών και συμβάσεων προκειμένου να καταλήξουν σε μια εφαρμόσιμη λύση. Το κύριο χαρακτηριστικό όλων των προσεγγίσεων είναι ότι η γενικότητα της προσέγγισης είναι αντιστρόφως ανάλογη με το βαθμό αυτοματοποίησης. Όπως απεικονίζεται στο Σχήμα 3.2, αυτό σημαίνει ότι τεχνικές με υψηλό επίπεδο αυτοματισμού τείνουν να έχουν (πολύ) περιορισμένο πεδίο εφαρμογής (γνωστικό χώρο) ενώ, αντίθετα, τεχνικές με ευρύ πεδίο εφαρμογής διαθέτουν ένα μάλλον φτωχό επίπεδο αυτοματισμού. Σε αυτή την ενότητα παρουσιάζεται ένας αριθμός από προσεγγίσεις εξειδίκευσης πολιτικών που παρέχουν διαφορετικούς συνδυασμούς αυτοματισμού και εύρους πεδίου εφαρμογής. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 86

87 Σχήμα 3.2. Εξειδίκευση Πολιτικών: Ευρύτητα Πεδίου Εφαρμογής και Επίπεδο Αυτοματισμού Προκαθορισμένα Προσχέδια (Templates) Εξειδίκευση Εξειδίκευση Στόχων Στόχων Μεγαλύτερο Επίπεδο Αυτοματισμού Μικρότερο Επίπεδο Αυτοματισμού Τεχνικές Εξειδίκευσης Πολιτικών Ισχυρή Σχέση με το Γνωστικό Χώρο (Domain) Ασθενής Σχέση με το Γνωστικό Χώρο (Domain) Αναζήτηση Αναζήτηση σε σε Πίνακες Πίνακες Βασικοί Βασικοί Συμπερασματικοί Συμπερασματικοί Μηχανισμοί Μηχανισμοί Στο [Wies, 1994] γίνεται μια προσπάθεια τυποκρατικού ορισμού των πολιτικών. Σύμφωνα με την δημοσίευση αυτή, «οι πολιτικές προκύπτουν από διοικητικούς στόχους και ορίζουν την επιθυμητή συμπεριφορά κατανεμημένων ετερογενών συστημάτων, εφαρμογών και δικτύων». Επιπλέον αναφέρεται ότι οι πολιτικές καθορίζουν μόνο την πληροφοριακή άποψη της επιθυμητής λειτουργίας, και δεν περιγράφουν πως αυτή μπορεί να επιτευχθεί. Στο άρθρο γίνεται διαχωρισμός μεταξύ δυο κύκλων ελέγχου (control cycles) γύρω από τις πολιτικές. Ο πρώτος ονομάζεται επιχειρησιακός κύκλος ελέγχου, και περιλαμβάνει την συσχέτιση του επιχειρησιακής λειτουργίας με τις πολιτικές. Εδώ, σύμφωνα με τον συγγραφέα, είναι χώρος δράσης του ανθρώπου. Ο δεύτερος κύκλος ελέγχου περιλαμβάνει την αλληλεπίδραση των πολιτικών με τους πόρους, και ονομάζεται τεχνικός κύκλος ελέγχου. Αυτός μπορεί να αυτοματοποιηθεί και τα βήματα των ενεργειών του να τυποποιηθούν. Με βάση τον τεχνικό κύκλο ελέγχου, και την εξέταση σχετικών εργασιών, προτείνεται ένα ελάχιστο σύνολο χαρακτηριστικών για τον ορισμό πολιτικών: Στόχος: Περιγραφή των στόχων της πολιτικής Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 87

88 Αντικείμενα-στόχοι: Τα αντικείμενα που επηρεάζονται άμεσα από την πολιτική Ερεθίσματα (triggers): Ο αρχικός λόγος ενεργοποίησης μιας πολιτικής, συνήθως ένα γεγονός Ενέργειες πολιτικής: Η λειτουργική άποψη της πολιτικής. Περιλαμβάνει χρονικές πληροφορίες. Αντικείμενα παρακολούθησης: Τα αντικείμενα που παρακολουθούν την καταλληλότητα, έγκαιρη λειτουργία και αποτελεσματικότητα των ενεργειών της πολιτικής, σε σχέση με τους στόχους. Στη συνέχεια του άρθρου παρέχεται μία επέκταση των Βάσεων Πληροφοριών Διαχείρισης (Management Information Base MIB), για την υποστήριξη πολιτικών. Ό Verma [Verma, 2001] για τη διαχείριση της ποιότητας παροχής υπηρεσίας (QoS Quality of Service) σε περιβάλλον DiffServ, προτείνει μετάφραση βάσει ενός συνόλου πινάκων όπου απεικονίζονται οι σχέσεις μεταξύ Χρηστών (Users), Εφαρμογών (Applications), Εξυπηρετητών (Servers), Δρομολογητών (Routers) και Κλάσεων Υπηρεσίας (Classes of Service) που υποστηρίζονται από το δίκτυο. Όταν το σύστημα μετάφρασης τροφοδοτηθεί με ένα νέο Ορισμό Επιπέδου Υπηρεσίας (Service Level Specification, SLS), εκτελείται μια απλή σειρά ανακτήσεων δεδομένων από τους πίνακες έτσι ώστε να βρεθεί η σωστή τεχνοδιαμόρφωση για τον συγκεκριμένο τρίπτυχο {χρήστης, εφαρμογή, κλάση υπηρεσίας}. Παρά την πλήρη αυτοματοποίηση που παρέχει, η εν λόγω τεχνική εξαρτάται σε απόλυτο βαθμό από τα περιεχόμενα των πινάκων, κάτι το οποίο προϋποθέτει σημαντική εμπειρία η οποία πρέπει να κωδικοποιηθεί κατάλληλα. Περαιτέρω, η προσέγγιση είναι σχετικά άκαμπτη, υποστηρίζοντας μόνο ένα πολύ συγκεκριμένο τύπο πολιτικών SLA υψηλού επιπέδου (Service Level Agreement) και αντίστοιχα ένα συγκεκριμένο τύπο πολιτικών τεχνοδιαμόρφωσης χαμηλού επιπέδου. Ερευνητές στα Hewlett-Packard Laboratories [Casassa et al., 2000] πρότειναν το POWER (POlicy Wizard Engine for Refinement), ένα περιβάλλον διαχείρισης πολιτικών που παρέχει ένα εργαλείο-οδηγό (policy wizard tool) για εξειδίκευση πολιτικών. Το πρώτο βήμα είναι ο ορισμός ενός συνόλου από πρότυπα πολιτικών (policy templates) από ένα ειδικό του χώρου τα οποία κωδικοποιούνται σε Prolog. Το προς διαχείριση σύστημα μοντελοποιείται στο ISM (information and system model). Τα εργαλεία διαχείρισης πολιτικών διαθέτουν ένα ενσωματωμένο συμπερασματικό μηχανισμό (inference engine) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 88

89 που διερμηνεύει τα Prolog προγράμματα έτσι ώστε να οδηγεί το χρήστη στην εκλογή των κατάλληλων στοιχείων από τα πρότυπα πολιτικών. Σημαντικό μειονέκτημα αποτελεί η έλλειψη κάθε δυνατότητας ανάλυσης προκειμένου να αξιολογηθεί η συνέπεια των παραγόμενων πολιτικών. Επιπρόσθετα, δεν υποστηρίζεται η αυτόματη παραγωγή των τελικών ενεργειών που περιέχονται στα πρότυπα των πολιτικών, με συνέπεια η επιτυχία της όλης προσέγγισης να εξαρτάται εξ ολοκλήρου στον ειδικό του χώρου, ο οποίος πρέπει να έχει μια λεπτομερή εικόνα όλου του συστήματος υπό διαμόρφωση, προκειμένου να δημιουργήσει πρότυπα πολιτικών που να έχουν νόημα για το συγκεκριμένο ΠΣ. Οι [Beigi et al., 2004] της ΙΒΜ προτείνουν μια συμπερασματική τεχνική βασισμένη σε σενάρια η οποία επιτρέπει τη μετάφραση των στόχων σε επίπεδο υπηρεσίας (service-level objectives), σε ρυθμίσεις τεχνοδιαμόρφωσης. Συνδυάζοντας τη γνώση από τον ειδικό του χώρου και παρατήρηση του συστήματος υπό διαχείριση, δημιουργείται μια βάση δεδομένων που περιέχει τόσο τις παραμετροποιήσιμες ρυθμίσεις του συστήματος όσο και τις επιθυμητές ιδιότητες του συστήματος. Για παράδειγμα, όταν αυτή η τεχνική εφαρμόζεται σε μια συστοιχία από εξυπηρετητές διαδικτύου (web server farm), η εν λόγω βάση μπορεί να περιέχει ένα πίνακα που περιέχει εγγραφές τύπου (#ενεργοί εξυπηρετητές, χρόνος απόκρισης), οι οποίες ορίζουν το μέσο χρόνο απόκρισης των διαδικτυακών εφαρμογών ανάλογα με τον αριθμό των ενεργών εξυπηρετητών. Η διαδικασία μετάφρασης δέχεται σαν είσοδο τις απαιτήσεις υπηρεσίας (service requirements) από το χρήστη, και αναζητά στη βάση των σεναρίων τις βέλτιστες παραμέτρους που θα ικανοποιήσουν τις απαιτήσεις. Παρόλο που διαφορετικές τεχνικές έχουν προταθεί προκειμένου να βελτιώσουν την αποδοτικότητα και ακρίβεια της αναζήτησης, αυτή η προσέγγιση είναι εφαρμόσιμη μόνο για τους συγκεκριμένους τομείς εφαρμογών για τις οποίες δημιουργήθηκε, αφού βασίζεται σε εξειδικευμένα σενάρια. Επιπρόσθετα, η ιδέα της δημιουργίας μιας βάσης σεναρίων προκειμένου να συνδεθούν οι επιθυμητοί στόχοι με τις απαιτούμενες τεχνικές ρυθμίσεις και παραμέτρους, έχει εφαρμογή μόνο σε εκείνες τις περιπτώσεις όπου οι απαιτήσεις και οι τεχνικές ρυθμίσεις / παράμετροι είναι μετρήσιμες (π.χ. διαχείριση QoS, διαχείριση τεχνοδιαμόρφωσης πόρων, κλπ.). Άλλοι περιορισμοί της εν λόγω προσέγγισης περιλαμβάνουν: α) τη στενή εξάρτησή της από τη βάση των σεναρίων, που η πληρότητά της είναι αντίστοιχη με το χρόνο συλλογής σχετικών στοιχείων για το σύστημα (αν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 89

90 υποτεθεί ότι μια παρόμοια μέθοδος είναι διαθέσιμη), β) η περιορισμένη ικανότητα χειρισμού περιπτώσεων κατά τις οποίες μια συγκεκριμένη απαίτηση υψηλού επιπέδου υλοποιείται σε διαφορετικές τεχνοδιαμορφώσεις, και γ) περιορισμένη ευελιξία καθότι η αρχιτεκτονική της προσέγγισης είναι σχετικά μονολιθική, με αποτέλεσμα η εισαγωγή νέων απαιτήσεων υψηλού επιπέδου ή/και παραμέτρων τεχνοδιαμόρφωσης στη διαδικασία της μετάφρασης να ακυρώσει μια υπάρχουσα βάση σεναρίων λόγω ασυνέπειας της βάσης. Μια άλλη εναλλακτική προσέγγιση [Bandara et al., 2004] αποτελεί ο συνδυασμός της τυπικής γλώσσας Event Calculus με τη παραλλαγή που αυτή παρουσιάστηκε στο [Russo et al., 2002], σε συνδυασμό με την μέθοδο KAOS [Darimont and van Lamsweerde, (1996]. Στην συγκεκριμένη περίπτωση το Event Calculus, αποτελείται από α) ένα σύνολο από σημεία χρόνου (time points), β) ένα σύνολο από ιδιότητες που μπορούν να αλλάξουν τιμή με την πάροδο του χρόνο και ονομάζονται fluents και γ) ένα σύνολο από κατηγορίες γεγονότων (event types). Χρησιμοποιώντας το KAOS προσδιορίζονται σαφείς στόχοι, οι οποίοι στην συνέχεια εκφράζονται τυπικά με την βοήθεια του Event Calculus. Τα μη τυπικά (γραφικά) μοντέλα βοηθούν στην υψηλού επιπέδου κατανόηση των αντικειμένων που περιγράφουν, και προσφέρονται ως μέσο επικοινωνίας μεταξύ ειδικών και μη για ένα γνωστικό πεδίο. Επιπλέον αποτελούν χρήσιμο εργαλείο για την οργάνωση και την μεθοδικότερη ανάλυση ενός πολυσύνθετου συστήματος. Μία πρόταση των Sindre και Opdahl [Sindre and Opdahl, 2000] βασίζεται στην δημοφιλή ιδέα των περιπτώσεων χρήσης (use cases). Εδώ οι συγγραφείς ορίζουν τις περιπτώσεις Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 90

91 κατάχρησης 11 (misuse cases), οι οποίες ορίζονται ως «μια σειρά ενεργειών [...] οι οποίες μπορούν να εκτελεστούν από ένα σύστημα ή άλλη οντότητα, αλληλεπιδρώντας με καταχραστές (misusers) της οντότητας και προκαλώντας ζημιά σε ενδιαφερόμενους (stakeholders) εάν η σειρά επιτραπεί να ολοκληρωθεί», ενώ ο καταχραστής ορίζεται ως «ένας ενεργών (actor) που προκαλεί ζημιά, σκόπιμα ή όχι». Οι περιπτώσεις κατάχρησης χρησιμοποιούν την ίδια σημειολογία (με αντίθετο όμως χρωματισμό) με τις περιπτώσεις χρήσης στην γραφική απεικόνιση του μοντέλου, επιτρέποντας την ταυτόχρονη απεικόνιση και των δυο. Εκτός από τις υπάρχουσες σχέσεις του μοντέλου, ορίζονται και οι εξής: Περίπτωση χρήσης που μετριάζει (mitigate) μια περίπτωση κατάχρησης. Η περίπτωση χρήσης εμφανίζεται ως αντίμετρο της περίπτωσης κατάχρησης. Περίπτωση κατάχρησης που απειλεί μια περίπτωση χρήσης. Η περίπτωση χρήσης εμποδίζεται από την περίπτωση κατάχρησης. Επιπλέον εισάγονται οι περιπτώσεις χρήσης ασφάλειας (security use cases) που μετριάζουν τις περιπτώσεις κατάχρησης, και εκφράζουν απαιτήσεις ασφαλείας. Το προτεινόμενο μοντέλο επεκτείνει τις περιγραφές (κείμενο) των περιπτώσεων χρήσης έτσι ώστε να περιλαμβάνονται και οι απειλές, και ορίζει έναν τρόπο περιγραφής των περιπτώσεων κατάχρησης. Οι συγγραφείς προτείνουν επίσης μια μεθοδολογία για την εκμαίευση των απαιτήσεων ασφαλείας με βάση τις περιπτώσεις κατάχρησης, με τις ακόλουθες φάσεις [Sindre and Opdahl, 2000]: 11 Ο όρος «κατάχρηση» προτιμήθηκε ως πιο εύηχος από την ορθότερη μετάφραση «κακή χρήση». Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 91

92 Εντοπισμός κρίσιμων αγαθών στο σύστημα: Αγαθό μπορεί να είναι πληροφορία που κατέχει ο οργανισμός, τοποθεσίες που ελέγχει ο οργανισμός, ή αυτοματοποιημένες λειτουργίες που χρησιμοποιεί ο οργανισμός. Καθορισμός των στόχων ασφάλειας για κάθε κρίσιμο αγαθό, κατά προτίμηση με χρήση διαδεδομένης τυποποίησης. Καθορισμός απειλών για κάθε στόχο ασφάλειας εντοπίζοντας ενδιαφερόμενους που μπορούν να προκαλέσουν σκόπιμα ζημιά στο σύστημα ή το περιβάλλον του και/ή εντοπίζοντας σειρές ενεργειών που μπορούν να συντελέσουν σε σκόπιμη ζημιά. Εντοπισμός και ανάλυση κινδύνων για τις απειλές με χρήση τεχνικών ανάλυσης επικινδυνότητας. Ορισμός κατάλληλων απαιτήσεων ασφάλειας (αντίμετρα) για τις απειλές σε αντιστοιχία με τους κινδύνους και τα έξοδα προστασίας. Το μοντέλο αυτό προσφέρεται για την ταχεία ενσωμάτωση των απαιτήσεων ασφαλείας στην ανάλυση ενός συστήματος, αλλά δεν παρέχει τρόπους για την μετάβαση σε απαιτήσεις ασφαλείας χαμηλότερου επιπέδου. Στο [Helmer et al., 2001] οι συγγραφείς προτείνουν την αξιοποίηση των δένδρων λαθών λογισμικού (software fault trees) για την ανάλυση των απαιτήσεων ασφαλείας, με χρήση της μεθόδου Ανάλυσης Δένδρων Λαθών Λογισμικού (Software Fault Trees Analysis). Τα δένδρα λαθών λογισμικού έχουν σαν ρίζα ένα γνωστό κίνδυνο και με την μέθοδο αυτήν, επεκτείνονται σειριακά και παράλληλα προς τους πιθανούς κόμβους γεγονότων που μπορούν να προκαλέσουν τον κίνδυνο. Κατά την ανάλυση τοποθετείται ένας κίνδυνος στην ρίζα του δένδρου, ερευνώνται οι ενέργειες που μπορούν να τον προκαλέσουν, και συνδέονται με την ρίζα με πύλες λογικού ΚΑΙ (logical AND) ή λογικού Η (logical OR). Η λειτουργία αυτή συνεχίζεται έως ότου μπορούν να ανατεθούν συγκεκριμένες πιθανότητες στις ενέργειες, είτε περαιτέρω ανάλυση δεν είναι δυνατή. Οι πύλες ΚΑΙ ικανοποιούνται όταν όλες οι είσοδοι είναι αληθείς. Γεγονότα παιδιά πυλών ΚΑΙ μπορούν να λάβουν χώρα με οποιαδήποτε σειρά. Ένα Σύνολο Αποκοπής (cut set) είναι μια σειρά γεγονότων που προκαλεί την αποτυχία του συστήματος, ενώ Ελάχιστο Σύνολο Αποκοπής ονομάζεται ένα σύνολο αποκοπής από το οποίο δεν μπορεί να αφαιρεθεί καμία ενέργεια και να εξακολουθεί να ικανοποιείται η ρίζα [Τριποδιανός, 2005]. Στο συγκεκριμένο άρθρο γίνεται εφαρμογή των δένδρων λαθών λογισμικού για την Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 92

93 περίπτωση ενός Συστήματος Ανίχνευσης Εισβολών (Intrusion Detection System IDS). Η μεγάλη πολυπλοκότητα που θα προέκυπτε από την ανάλυση μιας εισβολής με ένα μόνο δένδρο οδήγησαν στην διάσπαση του δένδρου στα επτά επιμέρους στάδια μιας εισβολής 12 : (1) Αναγνώριση, (2) Εύρεση ευπαθειών, (3) Διείσδυση, (4) Έλεγχος, (5) Ενσωμάτωση (Embedding), (6) Εξαγωγή και τροποποίηση δεδομένων, (7) Μεταπήδηση επιθέσεων (Attack relay). Ο διαχωρισμός αυτός επιτρέπει την αναγνώριση και επαναχρησιμοποίηση κοινών υποδένδρων. Οι συγγραφείς παραθέτουν την εφαρμογή της μεθόδου για δύο γνωστές επιθέσεις. Τα αποτελέσματα επιτρέπουν την εφαρμογή κατάλληλων αντιμέτρων που αποτρέπουν τις συγκεκριμένες επιθέσεις. Τα δένδρα λαθών λογισμικού για εισβολές ερευνούν τους επαρκείς συνδυασμούς γεγονότων που μπορούν να οδηγήσουν σε εκμετάλλευση κάποιων ευπαθειών. Κατά την ανάπτυξή τους υποβοηθούν σε αρκετές λειτουργίες ανακάλυψης και επιβεβαίωσης εισβολών: Ταυτοποίηση και ανάλυση απαιτήσεων: Τα δένδρα λαθών λογισμικού βοηθούν στην κατανόηση και καταγραφή του χώρου (domain), στην κατανόηση των απαιτήσεων και στην ανάλυση της δυνατότητας ανακάλυψης λαθών από το σύστημα (fault detectability analysis). Εξέλιξη απαιτήσεων και αυξανόμενη υλοποίηση: Τα δένδρα λαθών λογισμικού υποστηρίζουν τον καθορισμό προτεραιοτήτων των απαιτήσεων καθώς και την εισαγωγή νέων επιθέσεων. 12 Σύμφωνα με το Ruiu D., Cautionary tales: Stealth coordinated attack Howto, July Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 93

94 Επαλήθευση: Τα αποτελέσματα της εφαρμογής τους μπορούν να χρησιμοποιηθούν για την επαλήθευση της ορθότητας και της πληρότητας των δένδρων. Η ίδια βασική ιδέα ακολουθείται και από τον Schneier στο [Schneier, 1999]. Εδώ ο συγγραφέας προτείνει την χρήση δένδρων επίθεσης (Attack Trees), τα οποία περιγράφουν με ένα τυπικό και μεθοδικό τρόπο την ασφάλεια κάποιου συστήματος, βασισμένα σε επιθέσεις. Στα δένδρα αυτά τοποθετείται μια συγκεκριμένη επίθεση εναντίον του συστήματος στην ρίζα του δένδρου, και οι διάφοροι τρόποι επίτευξης στους κόμβους απόγονους. Και εδώ οι κόμβοι απόγονοι μπορούν να συνδέονται με τους κόμβους πρόγονους με σχέσεις λογικού KAI ή λογικού Η. Στους κόμβους μπορούν να τοποθετηθούν διάφορες τιμές, οι οποίες μπορούν να είναι είτε δυαδικές, είτε όχι. Ενδεικτικά προτείνονται οι τιμές Δυνατό και Αδύνατο, Ανάγκη χρήσης ειδικού εξοπλισμού και Μη ύπαρξης ανάγκης ειδικού εξοπλισμού, στις δυαδικές τιμές. Επίσης δίνονται παραδείγματα μη δυαδικών τιμών, όπως το χρηματικό κόστος κάθε ενέργειας. Είναι ακόμα δυνατόν να υπάρχουν περισσότερες της μίας τιμής σε κάθε κόμβο. Δίνονται παραδείγματα χρηματικών ποσών σε συνδυασμό με την ύπαρξη ανάγκης για ειδικό εξοπλισμό [Τριποδιανός, 2005]. Τα δένδρα αυτά, αφού δημιουργηθούν, μπορούν να επιλυθούν και να αναδείξουν τις δυνατές επιθέσεις, καθώς και να κατηγοριοποιήσουν τις επιθέσεις με βάση τις τιμές που έχουν χρησιμοποιηθεί. Η επίλυση των δένδρων γίνεται από τα φύλλα προς την κορφή. Όταν συναντηθεί κόμβος με λογικό ΚΑΙ, πρέπει να προστεθούν όλες οι τιμές των απογόνων του (εφόσον πρόκειται για συνεχείς τιμές) ή να πραγματοποιούνται όλοι οι κόμβοι απόγονοι (δυαδικές τιμές). Στην περίπτωση των κόμβων λογικού Η, αρκεί να ληφθεί η πλέον συμφέρουσα τιμή των κόμβων - απογόνων, εάν πρόκειται για συνεχείς τιμές, ή να πραγματοποιείται έστω ένας από τους κόμβους απόγονους. Με αυτήν την μεθοδολογία, για παράδειγμα, είναι δυνατόν να εντοπιστούν οι εφικτές επιθέσεις, καθώς και οι εφικτές επιθέσεις που δεν απαιτούν ειδικό εξοπλισμό και έχουν κόστος κάτω από κάποιο συγκεκριμένο όριο για τον επιτιθέμενο. Το πλεονέκτημα αυτής της προσέγγισης είναι η προσαρμογή των αντιμέτρων στις αναμενόμενες επιθέσεις. Ταυτόχρονα όμως απαιτείται και γνώση για τις ικανότητες και τους πόρους των επιτιθέμενων. Τα δένδρα επίθεσης που προκύπτουν είναι επαναχρησιμοποιήσιμα, και μπορούν να γίνουν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 94

95 τμήμα μεγαλύτερων δένδρων, και η χρήση ενός προϋπάρχοντος δένδρου απαιτεί μόνο την γνώση της τιμής της ρίζας του. Οι συγγραφείς του [Lück et al., 2001] προτείνουν ένα μοντέλο τριών επιπέδων για την μετάφραση πολιτικών ασφαλείας σε συγκεκριμένα τεχνικά αντίμετρα. Στην έρευνά τους χρησιμοποιούν σαν παράδειγμα την παραγωγή κανόνων για ένα ανάχωμα ασφαλείας (firewall). Η προσπάθειά τους επικεντρώθηκε στην ανάπτυξη ενός εργαλείου για την υποστήριξη, και όχι την πλήρη αυτοματοποίηση της παραγωγής των κανόνων, καθώς «η πλήρως αυτοματοποιημένη παραγωγή λεπτομερών κανόνων φιλτραρίσματος από αφηρημένες πολιτικές είναι αδύνατη, συνεπώς το εργαλείο θα πρέπει να υποστηρίζει μια διαδικασία συγκεκριμένων βημάτων, η οποία ξεκινάει από αφηρημένες προτάσεις πολιτικής, ζητάει βαθμιαία περισσότερες πληροφορίες, παράγει συνεπείς εκλεπτύνσεις της πολιτικής, και ελέγχει την πληρότητα του αποτελέσματος». Το εργαλείο αξιοποιεί την γλώσσα μοντελοποίησης UML (Unified Modeling Language) [OMG UML, 2001] για την μοντελοποίηση του συστήματος. Χρησιμοποιεί την προσέγγιση της διαχείρισης με βάση μοντέλα, η οποία υποστηρίζει την ανάπτυξη συστημάτων για αυτοματοποιημένη διαχείριση. Η ανάπτυξη αρχίζει με τον σχεδιασμό του συστήματος, συνεχίζει με την εκλέπτυνση του. Στην συνέχεια εισάγονται νέες πληροφορίες για τους στόχους διαχείρισης. Τέλος, το μοντέλο που προκύπτει χρησιμοποιείται σαν σημείο εκκίνησης για την παραγωγή των κανόνων διαχείρισης. Το μοντέλο που χρησιμοποιείται από τους συγγραφείς αποτελείται από τρία επίπεδα αφαίρεσης: α) Ρόλοι και Στόχοι (Roles and Objectives), β) Υποκείμενα και Πόροι (Subjects and Resources), και γ) Κόμβοι και Δαίμονες (Nodes and Demons). Κάθε επίπεδο είναι μια εκλέπτυνση του ανώτερου, και έτσι το ανώτερο επίπεδο περιγράφει το σύστημα από επιχειρησιακή άποψη, ενώ το κατώτερο από τεχνική άποψη. Υπάρχει και κατακόρυφος διαχωρισμός, στα αριστερά του οποίου βρίσκεται το μοντέλο καθαυτό, ενώ στα δεξιά υπάρχουν τα δικαιώματα (permissions) που αντιστοιχούν στο συγκεκριμένο επίπεδο. Η διαδραστική διαδικασία σχεδιασμού των κανόνων του αναχώματος ασφαλείας αποτελείται από τα παρακάτω στάδια: Μοντελοποίηση του συστήματος, όπου ο σχεδιαστής αναλύει το σύστημα στα τρία επίπεδα αφαίρεσης, χωρίς τις μεταξύ τους συσχετίσεις. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 95

96 Συσχέτιση μεταξύ επιπέδων αφαίρεσης, όπου ο σχεδιαστής ερευνά και δημιουργεί τις συσχετίσεις μεταξύ των οντοτήτων διαφορετικών επιπέδων. Καθορισμός ελέγχου πρόσβασης, όπου καθορίζονται οι αφηρημένοι κανόνες πρόσβασης, δημιουργώντας τριάδες Ρόλων, Αντικειμένων και Εξουσιοδοτήσεων Πρόσβασης. Παραγωγή των Εξουσιοδοτήσεων, όπου με βάση το μοντέλο που έχει δημιουργηθεί, εξάγονται αυτόματα από το εργαλείο οι κανόνες για το ανάχωμα ασφαλείας. Σε πιο πρόσφατη εργασία ([Lück and Krumm, 2003]) γίνεται διεύρυνση του πεδίου σε ολόκληρο τον χώρο των υπηρεσιών ασφάλειας. Εδώ επισημαίνεται ότι μια ολοκληρωμένη ρύθμιση των υπηρεσιών ασφαλείας πρέπει να λαμβάνει υπ όψη τους παρακάτω παράγοντες: Οι υπηρεσίες πρέπει να υποστηρίζουν τις αναγκαίες χρήσεις του πληροφοριακού συστήματος. Συνεπώς πρέπει να ενεργοποιούν λειτουργίες και διαύλους επικοινωνίας που είναι σύμφωνοι με την αφηρημένη πολιτική. Οι υπηρεσίες πρέπει να απαγορεύουν μη εξουσιοδοτημένες λειτουργίες. Το οποίο σημαίνει ότι πρέπει να απενεργοποιηθούν οι λειτουργίες και οι δίαυλοι επικοινωνίας που είτε είναι αντίθετοι με την αφηρημένη πολιτική, είτε αποκλείονται έμμεσα. Επιπλέον της προσέγγισης της διαχείρισης με βάση μοντέλα που χρησιμοποιήθηκε στην προηγούμενη εργασία τους ([Lück et al., 2001]), οι συγγραφείς εξελίσσουν το μοντέλο τους χρησιμοποιώντας και την ιδέα της διαχείρισης με βάση πολιτικές και σχετικές ιεραρχίες τους. Το νέο προτεινόμενο μοντέλο εξακολουθεί να έχει τρία επίπεδα αφαίρεσης (Ρόλοι και Αντικείμενα Roles and Objects, Υποκείμενα και Πόροι Subjects and Resources και το μετονομασμένο Διεργασίες και Κόμβοι Processes and Hosts), ενώ έχει επίσης και τρεις στήλες που διαπερνούν κάθετα τα επίπεδα αυτά (Σχήμα 3.3): Η στήλη Συστήματος, η οποία περιέχει το μοντέλο του συστήματος υπό διαχείριση Η στήλη Ελέγχου, όπου τοποθετούνται τα μοντέλα περιγραφής των χρησιμοποιούμενων στοιχείων ελέγχου, που υποστηρίζουν την αυτοματοποιημένη διοίκηση κατά την λειτουργία του συστήματος, με έμφαση στις υπηρεσίες ασφάλειας και τους μηχανισμούς προστασίας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 96

97 Η στήλη Πολιτικής, όπου μπορούν να αναπαρασταθούν με μοντέλα οι πολιτικές. Το εργαλείο που παρέχεται υποστηρίζει την αυτοματοποιημένη εκλέπτυνση των πολιτικών, με αξιοποίηση του παρεχόμενου μοντέλου. Σχήμα 3.3: Το Μοντέλο στο [Lück and Krumm, 2003] Οι παραπάνω έρευνες([lück et al., 2001], [Lück and Krumm, 2003] βασίζονται σε μεγάλο βαθμό στην δημοσίευση του Wies [Wies, 1995], η οποία προτείνει μια ταξινόμηση των πολιτικών και αναλύει την ιδέα της μετατροπής πολιτικών σε κατώτερα επίπεδα. Η ταξινόμηση των πολιτικών αποσκοπεί: Στην καλύτερη κατανόηση της έννοιας της διοικητικής πολιτικής και του τι μπορεί να επιτευχθεί με την χρήση της Στον εντοπισμό διαφορών και ομοιοτήτων μεταξύ πολιτικών για τον καθορισμό διαφορετικών κατηγοριών πολιτικών Στην παραγωγή μιας ιεραρχίας πολιτικών για την διαδικασία της μετατροπής πολιτικών Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 97

98 Στην παραγωγή και επαλήθευση των στοιχείων ενός τυπικού (formal) ορισμού των πολιτικών. Η ιεράρχηση των πολιτικών αποτελεί έναν τρόπο για τον διαχωρισμό μεγάλου αριθμού πολιτικών σε μικρότερες ομάδες διαφορετικού επιπέδου αφαίρεσης, οι οποίες μπορούν ευκολότερα να αναλυθούν σε βήματα και να μετατραπούν σε εφαρμόσιμες, χαμηλού επιπέδου πολιτικές. Ταυτόχρονα, η ιεράρχηση αυτή αναδεικνύει διαφορετικές απόψεις για τις πολιτικές, από την επιχειρησιακή έως την τεχνική. Οι συγγραφείς προτείνουν την ακόλουθη ιεραρχία: Πολιτικές υψηλού επιπέδου: Παράγονται απευθείας από επιχειρησιακούς στόχους, και συνεπώς περιλαμβάνουν απόψεις της στρατηγικής διαχείρισης της επιχείρησης. Για να γίνουν εφαρμόσιμες πρέπει να αναλυθούν περαιτέρω. Πολιτικές σχετικές με στόχους: Το πεδίο δράσης τους είναι γνωστό ως διαχείριση διαδικασιών. Καθορίζουν τον τρόπο με τον οποίο τα εργαλεία διαχείρισης αξιοποιούνται για την επίτευξη της επιθυμητής συμπεριφοράς των πόρων. Λειτουργικές πολιτικές: Λειτουργούν στο επίπεδο των λειτουργιών διαχείρισης (management functions) και καθορίζουν τον τρόπο λειτουργίας τους. Πολιτικές χαμηλού επιπέδου: Λειτουργούν στο επίπεδο των υπό διαχείριση αντικειμένων (Managed Objects) Εδώ ορίζονται ως αφηρημένες έννοιες των υπό διαχείριση πόρων του δικτύου και των συστημάτων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 98

99 Σημειώνεται ότι κάποιες πολιτικές μπορεί να είναι εφαρμόσιμες πριν φτάσουν στο χαμηλότερο επίπεδο αφαίρεσης. Ο [Wies, 1995] σημειώνει ότι η μετατροπή των πολιτικών από ένα υψηλό επίπεδο σε κάποιο χαμηλότερο μπορεί να είναι αυτοματοποιημένη, αλλά επικρατεί η άποψη της υποστηριζόμενης από υπολογιστή και καθοδηγούμενης από ειδικούς μετατροπής (computer aided intuition guided). Μια άλλη προσέγγιση θα μπορούσε να είναι η καθαρά συντακτική μετατροπή, η οποία όμως δεν λαμβάνει υπ όψη τις σημασιολογικές αλληλεξαρτήσεις, και γι αυτό δεν είναι αποδεκτή. Το τέλος της μετατροπής λαμβάνει χώρα όταν το επίπεδο λεπτομέρειας δεν αναλύεται περισσότερο, ή όταν είναι εφικτή μια συσχέτιση μεταξύ τιμών και υπό διαχείριση αντικειμένων ή λειτουργιών διαχείρισης. Γίνεται δηλαδή ένας συνδυασμός των αποτελεσμάτων μιας ανάλυσης από πάνω προς τα κάτω (η ανάλυση των πολιτικών) και μιας προσέγγισης από κάτω προς τα πάνω (η ανάλυση της διαθέσιμης διαχειριστικής λειτουργικότητας). Μια ακόμα άποψη των πολιτικών που θίγεται στο έργο του Wies είναι ο κύκλος ζωής τους. Παρουσιάζονται έξι στάδια: Μετατροπή πολιτικών: Η διαδικασία μετατροπής των πολιτικών σε χαμηλότερου επιπέδου. Εφαρμογή ενεργών πολιτικών: Οι πολιτικές ενεργοποιούνται από το σύστημα διαχείρισης ή συγκεκριμένες εφαρμογές διαχείρισης. Οι ενεργές πολιτικές πρώτα εκτελούν συγκεκριμένες ενέργειες, και στη συνέχεια παρατηρούν αλλαγές που μπορεί να πυροδοτήσουν νέες ενέργειες. Εφαρμογή πολιτικών παρατήρησης: Οι πολιτικές αυτές δεν έχουν αρχικές ενέργειες και απλά αντιδρούν σε συγκεκριμένες ενέργειες. Αναπροσαρμογή ή αλλαγή πολιτικών: Οι αλλαγές κατά την διάρκεια ζωής μιας πολιτικής αντιμετωπίζονται όπως οι αρχικές ενέργειες εφαρμογής. Αλλαγές που δημιουργούν νέες απαιτήσεις παρακολούθησης, αντίδρασης ή εφαρμογής: Σε μερικές περιπτώσεις υπάρχει η πιθανότητα να αλλάξει ριζικά η κατάσταση και να απαιτούνται νέες στρατηγικές παρακολούθησης. Διαγραφή πολιτικών: Πολιτικές μικρής και μεσαίας διάρκειας οι οποίες σε κάποια χρονική στιγμή θα καταστούν άχρηστες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 99

100 Με βάση τα παραπάνω προκύπτουν και οι απαιτήσεις για κάποιο πρότυπο πολιτικών (policy template), ένα παράδειγμα του οποίου παρουσιάζεται στο [Wies, 1995]. Μία παρόμοια προσέγγιση ακολουθείται και στο [Imamura et al., 2005]. Εδώ γίνεται χρήση των εννοιών της βασισμένης σε υπηρεσίες αρχιτεκτονικής (Service Oriented Architecture, SOA) και της βασισμένης σε μοντέλο αρχιτεκτονικής (Model Driven Architecture, MDA). Οι συγγραφείς βασίζονται σε ένα προτεινόμενο πλαίσιο της IBM, το οποίο ορίζει δύο επίπεδα, το επιχειρησιακό και το τεχνικό, το καθένα από τα οποία εμπεριέχει δύο μοντέλα. Τα μοντέλα περιγράφονται ως εξής: Στρατηγικό μοντέλο: Περιγραφή των στρατηγικών στόχων και του επιχειρησιακού σχεδιασμού ενός οργανισμού. Περιλαμβάνονται υψηλού επιπέδου κανόνες: νομοθεσία, επιχειρησιακές πρακτικές και οδηγίες υψηλού επιπέδου της επιχείρησης. Λειτουργικό μοντέλο: Μοντέλο ενεργειών που αναπαριστούν επιχειρησιακές λειτουργίες και κανόνες, ανεξάρτητο από υπολογιστικές λειτουργίες. Περιλαμβάνονται κανόνες και περιορισμοί με τους οποίους πρέπει να συμβιβάζονται οι επιχειρησιακές λειτουργίες. Μερικοί περιορισμοί μπορούν να ελεγχθούν σε αυτό το επίπεδο. Εκτελεστικό μοντέλο: Περιγραφή ανεξάρτητη πλατφόρμας εγγράφων, ροών και συνδέσμων με ανθρώπους, εφαρμογές και πηγές δεδομένων και οι σχέσεις τους. Περιλαμβάνονται κανόνες εφαρμογών και περιγραφές απαιτήσεων ασφαλείας. Μοντέλο εφαρμογής: Μοντέλο εξαρτημένο από την πλατφόρμα της πληροφοριακής υποδομής. Περιλαμβάνει την υποδομή ασφαλείας. Σε αυτό το επίπεδο γίνεται περιγραφή του τρόπου επίτευξης των απαιτήσεων ασφαλείας. Η έρευνα δεν εξετάζει το ανώτερο επίπεδο επειδή «δεν υπάρχει πρότυπο ούτε και προτεινόμενος τρόπος [...] για την περιγραφή ασφαλείας» [Τριποδιανός, 2005]. Μια γενικευμένη περιγραφή του προτεινόμενου πλαισίου για την περιγραφή και εκλέπτυνση των σχετικών με την ασφάλεια πληροφοριών είναι η εξής: Σε κάποιον χρήστη στο ανώτατο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 100

101 επίπεδο δίνεται ένα λεξικό όρων που συνήθως χρησιμοποιεί και του ζητείται να περιγράψει με αυτούς τους όρους τις απαιτήσεις ασφαλείας. Στην συνέχεια οι απαιτήσεις ασφαλείας μετατρέπονται σταδιακά σε πιο λεπτομερείς, με επικοινωνία με τους χρήστες, εξέταση επιπλέον περιορισμών του περιβάλλοντος, ή άλλους τρόπους. Όταν επιτευχθεί ένα ικανοποιητικό επίπεδο λεπτομέρειας, μπορούν να ερευνηθούν τα αντίμετρα. Εδώ οι συγγραφείς αναφέρουν την ιδέα της ανάλυσης των αντιμέτρων με τον ίδιο τρόπο που έγινε και η ανάλυση των απαιτήσεων ασφαλείας. Όταν και τα αντίμετρα φτάσουν σε ένα ικανοποιητικό επίπεδο λεπτομέρειας, περιγράφονται σε κάποια γλώσσα πολιτικών. Στο τέλος κάποιος εξουσιοδοτημένος χρήστης (λ.χ. διαχειριστής) του μοντέλου ρυθμίζει το σύστημα με βάση αυτήν την περιγραφή. Εναλλακτικά μπορεί να προκύπτει αυτόματη ρύθμιση του συστήματος. Η μετάβαση σε περιγραφές χαμηλότερου επιπέδου σε αυτήν την έρευνα, γίνεται με χρήση προτύπων (patterns). Ζητείται από κάποιον χρήστη να επιλέξει μερικά από τα πρότυπα που έχουν παραχθεί από πραγματικές περιπτώσεις χρήσης, και να τα εφαρμόσει στις απαιτήσεις ασφαλείας ή τα αντίμετρα. Κάθε πρότυπο περιγράφει μια μετατροπή από ένα ανώτερο επίπεδο σε ένα χαμηλότερο. Ο χρήστης επαναλαμβάνει την διαδικασία έως ότου προκύψουν απαιτήσεις ασφαλείας ή αντίμετρα ικανοποιητικής λεπτομέρειας. Τέλος, οι συγγραφείς δίνουν επίσης μερικά παραδείγματα προτύπων για μετατροπή απαιτήσεων ασφαλείας από το λειτουργικό στο εκτελεστικό μοντέλο. Με βάση την βασισμένη σε μοντέλα διαχείριση και συγκεκριμένα το μοντέλο που παρουσιάστηκε στο [Lück et al., 2001], προτείνεται στο [de Albuquerque et al., 2005] μια επέκταση του μοντέλου καθώς και μια μέθοδος επικύρωσης του μοντέλου. Συγκεκριμένα, οι συγγραφείς εντόπισαν προβλήματα στην περιγραφή μεγάλων συστημάτων. Σαν λύση προτείνεται το Διάγραμμα Αφηρημένων Υποσυστημάτων (Diagram of Abstract Subsystems), το οποίο αποτελεί ένα νέο επίπεδο αφαίρεσης, και προσφέρει μια αναπαράσταση του όλου συστήματος διαχωρισμένου σε Αφηρημένα Υποσυστήματα. Τα Διαγράμματα Αφηρημένων Υποσυστημάτων τοποθετείται μεταξύ των επιπέδων Υποκειμένων & Πόρων, και Διεργασιών & Κόμβων. Ο κύριος σκοπός του είναι να περιγράψει την ολική δομή του συστήματος με μια αρθρωτή μορφή, δηλαδή να διασπάσει το σύστημα στα δομικά του στοιχεία και να παρουσιάσει τις συσχετίσεις μεταξύ τους. Συνεπώς, ένα Διάγραμμα Αφηρημένων Υποσυστημάτων είναι ένας γράφος, με κόμβους Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 101

102 τα Αφηρημένα Υποσυστήματα και ακμές τις συσχετίσεις τους. Τα Αφηρημένα Υποσυστήματα είναι μια αφηρημένη άποψη ενός τμήματος του συστήματος. Συνεπώς ένα Αφηρημένο Υποσύστημα είναι ένας υπογράφος του Διαγράμματος Αφηρημένων Υποσυστημάτων, και περιλαμβάνει: Δρώντες (Actors): Σύνολα ατόμων στο σύστημα που έχουν ενεργητική συμπεριφορά, δηλαδή εκκινούν επικοινωνία και εκτελούν υποχρεωτικές λειτουργίες με βάση πολιτικές υποχρέωσης [Damianou et al., 2001]. Μεσάζοντες (Mediators): Στοιχεία που μεσολαβούν στην επικοινωνία λαμβάνοντας αιτήσεις, ελέγχοντας την κυκλοφορία, φιλτράροντας ή διαμορφώνοντας την ροή δεδομένων σύμφωνα με τις πολιτικές εξουσιοδότησης [Damianou et al., 2001]. Μπορούν ακόμα να εκτελούν υποχρεωτικές λειτουργίες, βασισμένες σε πολιτικές υποχρέωσης. Στόχοι (Targets): Παθητικά στοιχεία που περιέχουν σχετικές πληροφορίες προσβάσιμες από τους δρώντες. Σύνδεσμοι (Connectors): Αναπαριστούν τις διεπαφές μεταξύ των Αφηρημένων Υποσυστημάτων. Τα αντικείμενα στο Διάγραμμα Αφηρημένων Υποσυστημάτων αναπαριστούν σύνολα οντοτήτων, διαχωρισμένα με βάση μια άποψη του συστήματος βασισμένη στην πολιτική. Το Διάγραμμα Αφηρημένων Υποσυστημάτων προσφέρει αντίστοιχες οντότητες για την περιγραφή πολιτικών. Το προτεινόμενο μοντέλο υποστηρίζει την αυτοματοποίηση της δημιουργίας μιας ιεραρχίας πολιτικών. Κατά την διαδικασία αυτή, η ανάλυση των αντικειμένων, των σχέσεων και των πολιτικών ενός συστήματος σε ένα συγκεκριμένο επίπεδο αφαίρεσης επιτρέπει την παραγωγή πολιτικών χαμηλότερου επιπέδου, με βάση και το μοντέλο του χαμηλότερου επιπέδου, και τις σχέσεις μεταξύ των αντικειμένων των δυο επιπέδων. Η χρησιμότητα των παραγόμενων πολιτικών βασίζεται στα κριτήρια της συνέπειας και της πληρότητας. Συνεπείς ονομάζονται δυο πολιτικές γειτονικών επιπέδων όταν δεν υπάρχουν ασυνέπειες τόσο εντός του παραγόμενου συνόλου χαμηλού επιπέδου, όσο και σε σχέση με τις σχετιζόμενες πολιτικές ανώτερου επιπέδου. Η πληρότητα της διαδικασίας συνίσταται στην αποτελεσματική εφαρμογή όλων των πολιτικών ανώτερου επιπέδου στο χαμηλότερο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 102

103 επίπεδο. Η διαδικασία ελέγχου των παραπάνω κριτηρίων πρέπει να λαμβάνει χώρα για κάθε μετάβαση μεταξύ δυο επιπέδων. Οι συγγραφείς αποδεικνύουν την ισχύ των κριτηρίων της πληρότητας και της συνέπειας κατά την μετάβαση από το επίπεδο Υποκειμένων και Πόρων σε αυτό του Διαγράμματος Αφηρημένων Υποσυστημάτων, καθώς και από το Διάγραμμα Αφηρημένων Υποσυστημάτων στο επίπεδο των Διεργασιών και Οικοδεσποτών με τυπικό τρόπο. Για μια εκτενή περιγραφή μη τυπικών προσεγγίσεων εξειδίκευσης απαιτήσεων ασφάλειας, ο ενδιαφερόμενος αναγνώστης παραπέμπεται στο [Τριποδιανός, 2005]. 3.4 Τυπικές Προσεγγίσεις στον Ορισμό Πολιτικών ΠΣ Κατά τον Sloman, «οι πολιτικές είναι κανόνες που ρυθμίζουν τη συμπεριφορά ενός συστήματος» [Sloman, 1994]. Η διαχείριση συστημάτων πληροφορικής βάσει πολιτικών είναι ένα εξαιρετικά δημοφιλές ερευνητικό θέμα και υπάρχει μεγάλη κινητικότητα στον τομέα αυτό τα τελευταία χρόνια. Ανατρέχοντας στη σχετική βιβλιογραφία, συναντούμε ένα μεγάλο αριθμό προσεγγίσεων που το πεδίο της εφαρμογής τους εκτείνεται από την διαχείριση τεχνοδιαμόρφωσης (configuration management) [Burgess, 1995], [SmartFrog, 2006] έως τη διαχείριση ασφάλειας και έλεγχο πρόσβασης [Ribeiro et al., 2001]. Από την άλλη πλευρά, οι τυπικές προσεγγίσεις στον ορισμό πολιτικών οι οποίες έχουν καθιερωθεί και χρησιμοποιούνται σε ευρεία κλίμακα, είναι μετρημένες στα δάχτυλα. Το ίδιο ισχύει και για την ανάλυση και εξειδίκευση πολιτικών, όπου οι τυπικές τεχνικές παίζουν σημαντικό ρόλο. Στο [Keromytis et al. 2003] προτείνεται η αρχιτεκτονική STRONGMAN στην οποία με τη χρήση διαφορετικών μεταγλωττιστών γίνεται η μετατροπή πολιτικών από διάφορες γλώσσες περιγραφής πολιτικών υψηλού επιπέδου (και την βοήθεια επιπλέον πληροφοριών όπως η τοπολογία του δικτύου), σε διαπιστευτήρια του συστήματος KeyNote. Το συγκεκριμένο σύστημα διαχείρισης εμπιστοσύνης παρέχει και μια γλώσσα για την περιγραφή πολιτικών. Στην γλώσσα αυτή, οι ενέργειες περιγράφονται ως ζεύγη (όνομα τιμή), που ονομάζονται Σύνολο Ιδιοτήτων Ενέργειας. Οι πολιτικές μπορούν είτε να αποδέχονται, είτε να απορρίπτουν Σύνολα Ιδιοτήτων Ενεργειών. Η βασική υπηρεσία που παρέχει είναι ο έλεγχος συμβατότητας, δηλαδή ο έλεγχος ενεργειών για συμβατότητα με κάποια ισχύουσα πολιτική. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 103

104 Με βάση το συγκεκριμένο πεδίο εφαρμογής, είναι δυνατό να οριστούν διαφορετικά είδη πολιτικών [Damianou, 2002b]: α) εξουσιοδότησης (authorisation), β) υποχρέωσης (obligation) 14, γ) αποφυγής (refrain) και δ) μεταβίβασης αρμοδιοτήτων (delegation). Ένας τυπικός κανόνας πολιτικής αναφέρεται σε (και ορίζεται από) κάποιες βασικές πληροφορίες που είναι απαραίτητες και επηρεάζουν την εφαρμογή του στις συνιστώσες του συστήματος. Ο Πίνακας 3.1 παραθέτει τα κύρια μέρη ενός κανόνα πολιτικής. Σε κάποια είδη πολιτικών, τα μέρη των κανόνων μπορεί να μην είναι ρητά ορισμένα αλλά να υπονοούνται από τα συμφραζόμενα και το περιβάλλον στο οποίο ο κανόνας θα εφαρμοστεί (π.χ. οι εξουσιοδοτημένοι χρήστες για τη λειτουργία Α είναι όσοι ανήκουν στο λογιστήριο του οργανισμού). Σημαντική πτυχή αποτελεί το γεγονός ότι οι ρόλοι των Υποκειμένων και Στόχων ερμηνεύονται ανάλογα με τα συμφραζόμενα: ένας υπεύθυνος τμήματος που έχει το δικαίωμα απόδοσης δικαιωμάτων (Υποκείμενο) στους χρήστες του τμήματός του (Στόχοι) για χρήση των εκτυπωτών (Στόχος), με τη σειρά του είναι Στόχος για το Υποκείμενο του ανώτερου διαχειριστικού επιπέδου (Διευθυντής Πληροφορικής), ο οποίος είναι υπεύθυνος για την απόδοση δικαιωμάτων στους υπεύθυνους τμημάτων 15. Μέρος Κανόνα Πίνακας 3.1: Τα Βασικά Μέρη ενός Κανόνα Πολιτικής Περιγραφή Παράδειγμα Υποκείμενο (Subject) H οντότητα που θα Φυσικός χρήστης, ρόλος, 14 Στη βιβλιογραφία χρησιμοποιείται και ο όρος καθήκον (duty). Στην παρούσα διατριβή οι δύο όροι θα χρησιμοποιούνται εναλλάξ. 15 Το συγκεκριμένο παράδειγμα υπονοεί και εφαρμογή πολιτικής μεταβίβασης αρμοδιοτήτων (delegation). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 104

105 Μέρος Κανόνα Περιγραφή υλοποιήσει/εφαρμόσει τον κανόνα. Στόχος (Target) Η πληροφοριακή συνιστώσα που θα εφαρμοστεί ο κανόνας. Ενέργειες (Actions) Οι ενέργειες που επιτρέπεται (εξουσιοδότησης) ή πρέπει (υποχρέωσης) να πραγματοποιηθούν. Συνθήκες (Conditions) Οι προαπαιτούμενες συνθήκες και περιορισμοί για την εφαρμογή του κανόνα. Γεγονότα Ενεργοποίησης Γεγονότα τα οποία (Triggers) πυροδοτούν την εφαρμογή του κανόνα Παράδειγμα διεργασία του λειτουργικού συστήματος ή πράκτορας λογισμικού. Ένας ή περισσότεροι πληροφοριακοί πόροι, ένα ή περισσότερα Υποκείμενα, ένας ή περισσότεροι ρόλοι. Απόδοση δικαιωμάτων, ρύθμιση παραμέτρων τερματικού, έλεγχος των πακέτων δικτύου για επιθέσεις. Χρόνος εφαρμογής (π.χ. εντός εργασιακών ωρών), Ρόλων (μπορεί να το εφαρμόσει μόνο ο διαχειριστής του δικτύου). Αυθεντικοποίηση χρήστη: Φραγή της προσπάθειας πρόσβασης μετά από συγκεκριμένο αριθμό αποτυχημένων προσπαθειών Εκτός από τα παραπάνω στοιχεία που είναι κοινά στην πλειονότητα των προσεγγίσεων, υπάρχει και μια σειρά από παράπλευρες δομές με υποστηρικτικό ρόλο όπως οι λογαριασμοί χρηστών (accounts), τα δικαιώματα στους πόρους (rights/privileges), οι ρόλοι (roles), απαραίτητοι για τον εννοιολογικό διαχωρισμό των δικαιωμάτων από τους χρήστες και την αποτελεσματικότερη διαχείριση των πόρων, τα καθήκοντα (duties), οι ιεραρχίες Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 105

106 (hierarchies) και τα πεδία εφαρμογής (domains) 16. Η τάση να αποδίδονται ταυτόχρονα σε ένα ρόλο τόσο δικαιώματα όσο και καθήκοντα, αποτελεί χαρακτηριστικό γνώρισμα των ευρέως διαδεδομένων προσεγγίσεων πολιτικών συστημάτων σε συνδυασμό με τις οργανωσιακές δομές και ιεραρχίες [Biddle and Thomas, 1979]. Μέχρι σήμερα οι τυπικές προσεγγίσεις χρησιμοποιούνται κυρίως για τον ορισμό πολιτικών ασφάλειας [Barker, 2000], [Jajodia et al., 1997a]. Τα πλεονεκτήματά τους αφορούν στην ισχυρή και καλά ορισμένη σημασιολογία (semantics) και στην σαφήνεια των κανόνων τους. Άλλα πλεονεκτήματα είναι η υποστήριξη λογικών συμπερασματικών μηχανισμών όπως ο εντοπισμός συγκρούσεων μεταξύ κανόνων (conflict detection) και η εξειδίκευση των απαιτήσεων ασφάλειας (με περιορισμούς, βλ. και ενότητες 3.2, 3.3). Αντιπροσωπευτικές προσεγγίσεις αποτελούν η Standard Deontic Logic (SDL), η οποία επεκτείνει την modal logic με τελεστές δικαιωμάτων, υποχρεώσεων και απαγορεύσεων (prohibitions) και βρήκε πολλούς υποστηρικτές (ο αναγνώστης παραπέμπεται στην εργασία των [Wieringa and Meyer, 1998] για μια εκτεταμένη ανασκόπηση των εφαρμογών της SDL). Παρά τη δημοφιλία της, τα αξιώματα της SDL παρουσιάζουν λογικά προβλήματα σε συνδυασμό με τους κανόνες των πολιτικών, αφού συγχέει τις πολιτικές αποφυγής (refrain policies) με τις πολιτικές αρνητικής εξουσιοδότησης (negative authorisation policies). Ο Ortalo [Ortalo, 1998] περιγράφει μία τυπική γλώσσα για να εκφράσει τις πολιτικές 16 Ο αναγνώστης παραπέμπεται και στην ενότητα 3.5 για περιγραφή του μοντέλου RBAC (role-based access control). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 106

107 ασφάλειας στα πληροφοριακά συστήματα, η οποία στηρίζεται στην λογική των επιτρεπτών ενεργειών και υποχρεώσεων (permissions and obligations) και αποτελεί επέκταση της deontic logic. Το βασικό αξίωμα της συγκεκριμένης προσέγγισης είναι το αξίωμα: Pp O p δηλ. Permitted p is equivalent to not p being not obliged, το οποίο αντιβαίνει στον διαχωρισμό των πολιτικών υποχρεώσεων και εξουσιοδοτήσεων (obligation policies και authorization policies). Την παραπάνω άποψη ενισχύει και ο [Miller, 2001], στο οποίο αναφέρονται αρκετά παράδοξα της deontic logic και την καθιστούν ακατάλληλη για ορισμό τυπικών πολιτικών. Η First-Order Logic (FOL), δεν πάσχει από τα παράδοξα της SDL, και έτσι έχουν προκύψει κάποια ελπιδοφόρα ερευνητικά αποτελέσματα. Επειδή η γενικευμένη First-Order Logic είναι μη-αποφασίσιμη (undecidable), είναι απαραίτητη η χρήση ενός αποφασίσιμου υποσυνόλου της προκειμένου να προκύψουν εφαρμόσιμες πολιτικές. Η πλειονότητα των ερευνητών έχει εστιάσει σε εφαρμογές ασφάλειας [Barker, 2000], [Barker, 2001a], [Jajodia et al., 1997a], ενώ δεν λείπουν και οι εφαρμογές της FOL σε πολιτικές διαχείρισης [Chomicki et al., 2000], [Lobo et al., 1999], [Son and Lobo, 2001]. 3.5 Τυπικές προσεγγίσεις Πολιτικών Ασφάλειας ΠΣ Κατ αναλογία με τον ορισμό της πολιτικής σε επίπεδο συστήματος που δόθηκε στην ενότητα 3.4, αλλά και των βασικών εννοιών / ιδιοτήτων της ασφάλειας στην ενότητα 2.2, ο όρος πολιτική ασφάλειας, χρησιμοποιείται για να περιγράψει ένα σύνολο από κανόνες που προστατεύουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα σε ένα σύστημα οι πολιτικές ασφάλειας σε αυτό το επίπεδο είναι κανόνες ελέγχου πρόσβασης που καθορίζουν ποιες πληροφορίες είναι προσβάσιμες για ανάγνωση και από ποιον (εμπιστευτικότητα), ποιος μπορεί να μεταβάλλει τις πληροφορίες (ακεραιότητα), και η παροχή πρόσβασης στις πληροφορίες από τους εξουσιοδοτημένους χρήστες (διαθεσιμότητα). Η βιβλιογραφία παρέχει ένα μεγάλο αριθμό εργασιών σχετικά με τον έλεγχο πρόσβασης οι οποίες χρησιμοποιούν τυπικές μεθόδους και επιτρέπουν την τυπική επικύρωση των εν λόγω συστημάτων. Παραδοσιακά, οι πολιτικές ελέγχου πρόσβασης βασίστηκαν σε δύο κύρια μοντέλα: α) σε εκείνο της μεταβίβασης δικαιωμάτων από τον ιδιοκτήτη του αντικειμένου υπό εξέταση (discretionary access control model), που στοχεύει Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 107

108 κύρια στον ορισμό επαρκών κανόνων πρόσβασης στην πληροφορία, και β) σε εκείνο της κεντρικής διαχείρισης από εξουσιοδοτημένη οντότητα (mandatory access control model), που δίνει βάρος στον έλεγχο της ροής πληροφορίας μεταξύ των αντικειμένων του συστήματος. Συμπληρωματική και σημαντικότατη εξέλιξη αποτελεί ο έλεγχος πρόσβασης με βάση τις δραστηριότητες (activities) ή ρόλους (roles) των οντοτήτων του συστήματος (role-based access control ή RBAC), διευκολύνοντας σημαντικά τη διαχείριση του ελέγχου πρόσβασης [ANSI/INCITS, 2004]. Ένας RBAC ρόλος ορίζεται σαν ένα σύνολο από δικαιώματα πρόσβασης που συνδέονται με μια συγκεκριμένη θέση ή μια συγκεκριμένη αρμοδιότητα σε ένα οργανισμό. Τα μοντέλα RBAC απλοποιούν τη διαχείριση των εξουσιοδοτήσεων παρέχοντας μηχανισμούς για αντιστοίχηση δικαιωμάτων πρόσβασης και χρηστών σε ρόλους: αντί να αποδίδονται δικαιώματα πρόσβασης σε χρήστες, τα δικαιώματα πρόσβασης και οι χρήστες αντιστοιχίζονται σε ρόλους, ενώ ένας χρήστης εξασκεί τα δικαιώματα που έχουν αποδοθεί στο σύνολο των ρόλων που του έχουν αποδοθεί. Η συντριπτική πλειοψηφία των σύγχρονων συστημάτων ελέγχου πρόσβασης τόσο σε συστήματα ειδικού σκοπού (στρατιωτικά, ελέγχου πυρηνικών σταθμών ), όσο και σε συστήματα ευρείας χρήσης χρησιμοποιούν κάποιο συνδυασμό των μοντέλων (α), (β) με το RBAC. Η γλώσσα εξουσιοδοτήσεων ASL [Jajodia et al., 1997a] αποτελεί ένα παράδειγμα μιας τυπικής λογικής γλώσσας που βασίζεται σε Stratified-Clause Form Logic και παρέχει επίσης υποστήριξη για RBAC. Υποστηρίζονται: α) πολιτικές εξουσιοδοτήσεων, β) αρνητικών εξουσιοδοτήσεων, γ) ιεραρχίες εξουσιοδοτήσεων, δ) ιστορικό Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 108

109 εξουσιοδοτήσεων 17 βάσει του οποίου μπορεί να αποδοθούν (ή όχι) εξουσιοδοτήσεις στο μέλλον, ε) μια μορφή μετα-πολιτικών 18 (integrity rules) προκειμένου να οριστούν συνθήκες κατά περίπτωση (application-dependent conditions) που περιορίζουν το εύρος των πιθανών ενεργειών, και τέλος στ) από νεότερη έρευνα, διαθέτει αξιολόγηση ιεραρχικών ή άλλων σχέσεων μεταξύ αντικειμένων ενός συστήματος [Jajodia et al., 2000]. Παρά την εκφραστική της δύναμη, η ASL είναι κατάλληλη μόνο για πολιτικές πρόσβασης και όχι για πολιτικές διαχείρισης. Η επεκτασιμότητά της είναι περιορισμένη και αυτό την κάνει ακατάλληλη για εφαρμογή σε μεγάλα συστήματα, καθότι δεν διαθέτει μηχανισμούς σύνδεσης των εξουσιοδοτήσεων με ρόλους που είναι απαραίτητο σε συστήματα με χιλιάδες χρήστες και μεγάλη ποικιλία ρόλων. Τέλος, δεν παρέχει άμεσο τρόπο για μεταβίβαση αρμοδιοτήτων (delegation) και δεν υπάρχει τρόπος ορισμού κανόνων εξουσιοδότησης για ομάδες διαχειρίσιμων πόρων (target objects) οι οποίοι δεν σχετίζονται μέσω του τύπου τους. Ο Barker [Barker, 2000] ισχυρίζεται ότι η προσέγγιση της stratifiedclause form logic είναι κατάλληλη για τον ορισμό πολιτικών πρόσβασης λόγω της απλής, υψηλού επιπέδου δηλωτικής φύσης της. Ο ίδιος ερευνητής σε επόμενες εργασίες του [Barker, 2001a], [Barker, 2001b] προτείνει την αυτόματη μετάφραση των πολιτικών stratified-clause form logic σε ένα υποσύνολο της SQL (Structured Query Language) για προστασία σχεσιακών βάσεων από μη-εξουσιοδοτημένες προσπάθειες ανάκτησης (read) και μεταβολής (update) δεδομένων. Η προσέγγιση του Barker έχει τις ίδιες αδυναμίες με 17 Με γνώμονα τις ενέργειες μιας οντότητας στο παρελθόν. 18 Πολιτικές υψηλότερου επιπέδου για διαχείριση άλλων πολιτικών. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 109

110 την ASL στο ότι αδυνατεί να εντοπίσει συγκρούσεις πολιτικών (policy conflicts) σε πραγματικό χρόνο και μπορεί να χρησιμοποιηθεί μόνο για πολιτικές ελέγχου πρόσβασης. Η Γλώσσα Ορισμού Ρόλων (Role Definition Language RDL) [Hayton et al., 1998] βασίζεται σε προτάσεις Horn (Horn clauses) και ορίζεται μέσα από την αρχιτεκτονική OASIS από το πανεπιστήμιο του Cambridge. Η RDL βασίζεται σε σύνολα κανόνων που καθορίζουν τις συνθήκες κάτω από τις οποίες ένα υποκείμενο μπορεί να αποκτήσει ένα όνομα ή ένα ρόλο, όπου ο ρόλος είναι συνώνυμος με μια επώνυμη ομάδα (named group). Η αντιστοίχηση ενός υποκειμένου σε ένα ρόλο πραγματοποιείται μέσω διαπιστευτηρίων (credentials) τα οποία πιστοποιούν την καταλληλότητά του για το συγκεκριμένο ρόλο, μαζί με περιορισμούς (constraints) στις παραμέτρους αυτών των διαπιστευτηρίων. Τέλος, στο [Wojcik et al., 2005] οι συγγραφείς παρουσιάζουν την OVAL, μια γλώσσα που επιτρέπει τον έλεγχο συστημάτων για ύπαρξη αδυναμιών και προβληματικών ρυθμίσεων. Περιλαμβάνει τρία σχήματα XML (extensible Markup Language) για την τυποποίηση των τριών βασικών βημάτων στην διαδικασία ελέγχου: Σχήμα Χαρακτηριστικών Συστήματος: Για την συλλογή των χαρακτηριστικών των συστημάτων και πληροφοριών σχετικά με τις ρυθμίσεις Σχήμα Ορισμού: Για την συγγραφή ορισμών που ελέγχουν την παρουσία συγκεκριμένων αδυναμιών λογισμικού, για τον έλεγχο της συμβατότητας των ρυθμίσεων με την πολιτική του συστήματος, και για τον έλεγχο ύπαρξης επιδιορθώσεων (patches). Σχήμα Αποτελεσμάτων: Για την παρουσίαση των αποτελεσμάτων των ελέγχων. Η βάση δεδομένων της OVAL με τους ορισμούς είναι ελεύθερη, ενώ παρέχεται και ένα εργαλείο για τον έλεγχο, με βάση τις πληροφορίες της βάσης δεδομένων, για την ύπαρξη αδυναμιών σε κάποιο σύστημα. 3.6 Τυπική αποτύπωση Πολιτικών Διαχείρισης Η Policy Description Language (PDL) [Lobo et al., 1999] είναι ένα παράδειγμα χρήσης FOL για τον ορισμό πολιτικών υποχρέωσης (obligation policies). Η PDL είναι μια γλώσσα που βασίζεται σε γεγονότα (event-based) και αναπτύχθηκε από το ερευνητικό τμήμα των Bell-Labs, ενώ χρησιμοποιείται στο εργαλείο SARAS Softswitch [Virmani et al., 2000]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 110

111 Η PDL χρησιμοποιεί την προσέγγιση των τριάδων (Γεγονός-Συνθήκη-Ενέργεια) προκειμένου να οριστεί μια πολιτική σαν μια συνάρτηση που αντιστοιχίζει μια σειρά από γεγονότα σε μια σειρά ενεργειών. Η γλώσσα μπορεί να χαρακτηριστεί σαν ένα εξειδικευμένο σύστημα παραγωγής κανόνων που ορίζει πολιτικές σε πραγματικό χρόνο. Η σύνταξη της PDL είναι σχετικά απλή και οι πολιτικές περιγράφονται από δύο τύπους εκφράσεων: κανόνες πολιτικών και γεγονότα πολιτικών, τα οποία ορίζονται από τον χρήστη. Παρά την εκφραστική της δύναμη, η PDL δεν υποστηρίζει πολιτικές ελέγχου πρόσβασης, ούτε υποστηρίζει τη σύνθεση πολιτικών σε ρόλους ή άλλες δομές ομαδοποίησης. Οι [Efstratiou et al., 2002] προτείνουν μια επέκταση του Event Calculus σαν βάση για τον ορισμό πολιτικών διαχείρισης σε κινητές συσκευές. Καθώς η γλώσσα έχει τη δυνατότητα αναπαράστασης του χρόνου με τρόπο ανεξάρτητο από τα γεγονότα που μπορεί να προκύψουν στο σύστημα, είναι κατάλληλη για τον ορισμό πολιτικών σε συστήματα που καθοδηγούνται από γεγονότα (event-driven systems). Οι χρήστες ορίζουν πολιτικές υποχρέωσης (obligation policies) μέσω μιας γλώσσας υψηλού επιπέδου οι οποίες κατόπιν μετατρέπονται σε Event Calculus. Σε σχέση με την PDL, πλεονεκτεί λόγω της δυνατότητας ορισμού χρονικών σχέσεων μεταξύ γεγονότων, ενεργειών και κατάστασης (status) του υπό διαχείριση συστήματος. Στα μειονεκτήματά της συγκαταλέγονται το γεγονός ότι μπορεί να οριστούν μόνο πολιτικές υποχρέωσης καθώς και ότι δεν έχει υλοποιηθεί ο εντοπισμός συγκρούσεων πολιτικών. Τέλος, έρευνα των [Knottenbelt and Clark, 2004] σε Αντιπροσώπους Βάσει Συμβολαίων (Contract-Driven Agents) χρησιμοποιεί σαν βάση της το Event Calculus προκειμένου να διευκολύνει συστήματα πολλαπλών αντιπροσώπων στον εντοπισμό εφαρμογών Σημασιολογικού Ιστού (Semantic Web) και υπηρεσιών Web Services. Μια εκτεταμένη ανασκόπηση προσεγγίσεων πολιτικών ασφάλειας είναι διαθέσιμη στα [Damianou et al., 2002] και [Bandara, 2005]. 3.7 Πλαίσια και Γλώσσες Πολιτικών Υψηλού Επιπέδου PMAC Το πλαίσιο Policy Middleware for Autonomic Computing (PMAC) έχει αναπτυχθεί στα Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 111

112 πλαίσια της ερευνητικής δραστηριότητας της IBM για το Αυτόνομο Υπολογίζειν [Agrawal et al., 2005a]. Οι πολιτικές στο PMAC ορίζονται σαν κανόνες του τύπου Γεγονός Συνθήκη Ενέργεια (Event Condition Action, ECA), μέσω ενός XML σχήματος. Το πλαίσιο περιλαμβάνει μια γενικού σκοπού γλώσσα ορισμού περιορισμών (ομοίως σε XML), η οποία μπορεί να χρησιμοποιηθεί για τον ορισμό των περιορισμών των κανόνων. Η χρήση της XML υποστηρίζει την εισαγωγή υφιστάμενων κανόνων και περιορισμών με ήδη ορισμένη σημασιολογία, επιτυγχάνοντας ικανοποιητική επεκτασιμότητα, με το κόστος της εγγενούς φλυαρίας της XML και τη δυσκολία του χρήστη να την κατανοήσει. Το τελευταίο μειονέκτημα αμβλύνεται με την εισαγωγή μιας νέας απλής γλώσσας για πολιτικές, την Simple Policy Language (SPL), η οποία χρησιμοποιείται για τον ορισμό των κανόνων ECA. Η τεκμηρίωση της SPL είναι φτωχή, αλλά αναμένεται ότι η σύνταξή της θα είναι παρόμοια με αυτή των πολιτικών υποχρέωσης του πλαισίου Ponder. Το PMAC υποστηρίζει ανάλυση και επίλυση συγκρούσεων πολιτικών παρέχοντας μια δυνατότητα που ονομάζεται Επικύρωση Πολιτικής (Policy Ratification) [Agrawal et al., 2005b]. Ουσιαστικά πρόκειται για πληροφόρηση του διαχειριστή σχετικά με την επίδραση που θα έχει μια νέα πολιτική στις ήδη υπάρχουσες. Οι υποστηριζόμενες λειτουργίες, οι οποίες είναι γενικού σκοπού (generic) και ανεξάρτητες από το πεδίο εφαρμογής των πολιτικών (domain-independent) είναι οι εξής τέσσερεις: Έλεγχος Επικράτησης (Dominance Checking): καθορίζει εάν υπάρχουν σχέσεις εξάρτησης μεταξύ πολιτικών στο σύστημα. Γενικά μπορεί να θεωρηθεί ότι μια πολιτική Π1 εξαρτάται από μια πολιτική Π2 εάν ο περιορισμός της πολιτικής Π1 υπονοεί με λογικό τρόπο τον περιορισμό της Π2. Έλεγχος Σύγκρουσης (Conflict Checking): εντοπίζονται πολιτικές των οποίων οι περιορισμοί είναι ταυτόχρονα αληθείς, με αποτέλεσμα δυνητική σύγκρουση σε περίπτωση που οι οριζόμενες από τις πολιτικές πράξεις είναι ασύμβατες μεταξύ τους. Το PMAC απαντά σε αυτό το πρόβλημα υλοποιώντας μια σειρά από αναλυτικούς αλγόριθμους για τον έλεγχο ικανοποίησης διαφορετικών κλάσεων λογικών εκφράσεων. Αν και η αναλυτική αυτή προσέγγιση καλύπτει το θέμα της σύγκρουσης πολιτικών σε επίπεδο ορισμού των πολιτικών, από τη στιγμή που δεν χρησιμοποιεί ένα μοντέλο της συμπεριφοράς του συστήματος [Bandara, 2005], δεν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 112

113 λαμβάνει υπόψη αλλαγές στην κατάσταση του συστήματος που προέρχονται από επιβολή των πολιτικών με αποτέλεσμα ασυνεπή εφαρμογή των πολιτικών. Έλεγχος Κάλυψης (Coverage Checking): διασφαλίζει ότι για ένα δοθέν εύρος παραμέτρων εισόδου, θα υπάρχει τουλάχιστον μια εφαρμόσιμη πολιτική. Αυτό επιτυγχάνεται ελέγχοντας κατά πόσον η λογική ένωση (OR) των περιορισμών των πολιτικών υπονοεί μια λογική ένωση των παραμέτρων εισόδου των πολιτικών, προκειμένου οι πολιτικές να εφαρμοστούν. Έλεγχος Συνέπειας Προτεραιοτήτων (Consistent Priority Assignments): το πλαίσιο προβλέπει ότι προβλήματα τα οποία προκύπτουν κατά τη διενέργεια των παραπάνω λειτουργιών, θα επιλύονται από το διαχειριστή (απ)ενεργοποιώντας και αποδίδοντας διαφορετικές (σχετικές) προτεραιότητες σε πολιτικές, προκειμένου το σύνολο των ενεργών πολιτικών να παραμένει συνεπές. Ο έλεγχος συνέπειας προτεραιοτήτων αυτοματοποιεί αυτή την απόδοση προτεραιοτήτων χρησιμοποιώντας μια παραλλαγή αλγορίθμου εισαγωγής στοιχείων σε μια ταξινομημένη λίστα. Η εξειδίκευση πολιτικών επιτυγχάνεται μέσω του ορισμού κανόνων μετατροπής (transformation rules), με δυνατότητα ολικής ή μερικής αλλαγής των κανόνων: αφού οι κανόνες μετατροπής υλοποιούνται και αυτοί σαν κανόνες πολιτικής, έχουν τη δυνατότητα να εκτελεστούν από το ίδιο σύστημα εφαρμογής, σαν οποιοδήποτε άλλο κανόνα PMAC. Ένα μειονέκτημα αυτής της προσέγγισης είναι ότι οι κανόνες μετατροπής πρέπει να οριστούν χειροκίνητα από τον εκάστοτε ειδικό, ενώ δεν υπάρχει τρόπος επικύρωσης της ορθότητας των αλλαγμένων κανόνων όσον αφορά την ικανοποίηση των αρχικών στόχων του χρήστη KaOS Το KaOS είναι μία συλλογή από σύνθετες υπηρεσίες πρακτόρων, η οποία υποστηρίζει μία ποικιλία από πλατφόρμες κινητών πρακτόρων [Uszok et al., 2003]. Σε σχέση με την αρχική του έκδοση, το KaOS έχει προσαρμοστεί σε γενικού σκοπού περιβάλλοντα υπολογιστικού πλέγματος (grid computing) και Web Services. Τα κύρια στοιχεία του πλαισίου KaOS είναι οι υπηρεσίες τομέα (domain services) και οι υπηρεσίες πολιτικών. Η συνιστώσα του KaOS για τις υπηρεσίες πολιτικής είναι υπεύθυνη για τις προδιαγραφές, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 113

114 τη διαχείριση, την ανάλυση συγκρούσεων και την επιβολή των πολιτικών. Η πολιτική προδιαγραφών υιοθετεί μία προσέγγιση που βασίζεται σε οντολογίες και οι πολιτικές αναπαρίστανται σε DAML 19 [Hendler and McGuinness, 2000], [DAML, 2004]. Ο ορισμός της οντολογίας του KaOS επιτρέπει τη διάκριση μεταξύ πολιτικών εξουσιοδότησης και πολιτικών υποχρέωσης, ενώ κάθε ένας από αυτούς τους τύπους πολιτικών εξειδικεύεται περισσότερο μέσω ενός τελεστή λογικού ενδεχόμενου (modality operator 20 ). Μία θετική πολιτική εξουσιοδότησης (positive authorisation policy) ορίζει πράξεις που επιτρέπονται όταν ικανοποιούνται οι δεδομένοι περιορισμοί, ενώ μία αρνητική πολιτική εξουσιοδότησης (negative authorisation policy) ορίζει πράξεις που απαγορεύονται υπό δεδομένους περιορισμούς. Παρομοίως, οι θετικές υποχρεώσεις (positive obligations) ορίζουν μία απαίτηση εκτέλεσης μιας δεδομένης λειτουργίας, ενώ οι αρνητικές υποχρεώσεις (negative obligations) εξαλείφουν τον υποχρεωτικό χαρακτήρα εκτέλεσης της λειτουργίας (π.χ. οι πολιτικές αποφυγής Ponder, βλ. και ενότητα 3.7.5). Η βασική οντολογία πολιτικής μπορεί να επεκταθεί έτσι ώστε να υποστηρίζει συγκεκριμένα χαρακτηριστικά εφαρμογών ορίζοντας διαχειριστικές λειτουργίες και τις σχετικές παραμέτρους τους. Το πλαίσιο εργασίας παρέχει ένα εργαλείο Διαχείρισης Πολιτικής KaOS (KaOS Policy Administration Tool) και το οποίο υποστηρίζει τις λειτουργίες του ορισμού των πολιτικών, διαχείρισης των οντολογίες, εφαρμογής των πολιτικών και ανίχνευσης των συγκρούσεων μεταξύ των πολιτικών. Το εργαλείο αυτό αντιμετωπίζει το πρόβλημα της περιττολογίας 19 DARPA Agent Markup Language. 20 Η Λογική Ενδεχόμενων (Modal Logic) χειρίζεται πιθανά / δυνατά ενδεχόμενα και καταστάσεις. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 114

115 των πολιτικών που διατυπώνονται μέσω της τυπολογίας DAML+OIL, διευκολύνοντας την κατανόηση των πολιτικών από τους χρήστες. Οι υπηρεσίες πολιτικών KaOS συμπεριλαμβάνουν υποστήριξη για ανίχνευση και ανάλυση συγκρούσεων ενδεχομένων (modality conflicts), οι οποίες μπορεί να συμβούν εάν δύο πολιτικές με αντίθετα σενάρια προδιαγράφουν τις ίδιες πράξεις και επιβάλλονται ταυτόχρονα. Για τη διαχείριση συγκρούσεων το KaOS χρησιμοποιεί τις προεκτάσεις του στον ενοποιημένο μηχανισμό απόδειξης θεωρημάτων (Java Theorem Prover, JTP) που διαθέτει, εφαρμόζοντας έναν αλγόριθμο που βασίζεται στη χρήση των μηχανισμών δευτερευόντων συλλογισμών (subsumption mechanisms) μεταξύ τάξεων. Οι συγκρούσεις που εντοπίζονται επιλύονται μέσω του προσδιορισμού των προτεραιοτήτων και της αυτοματοποιημένης δημιουργίας εναρμονισμένων πολιτικών [Uszok et al., 2003]. Επειδή το πλαίσιο εργασίας του KaOS έχει έναν ενσωματωμένο μηχανισμό απόδειξης θεωρημάτων, είναι επίσης δυνατοί και άλλοι τύποι ερωτήσεων (π.χ. «ποιες οντότητες έχουν πρόσβαση ανάγνωσης / εγγραφής στη βάση δεδομένων των πελατών»). Εν τούτοις, όπως και στην περίπτωση του πλαισίου PMAC (βλ. ενότητα 3.7.1), η διαδικασία της ανάλυσης πολιτικών δεν ερμηνεύει τη συμπεριφορά του διαχειριζόμενου συστήματος και ως εκ τούτου αδυνατεί να ανιχνεύσει συγκρούσεις που προκαλούνται από μετατροπές στην κατάσταση (state) του συστήματος. Η αρχιτεκτονική της εφαρμογής πολιτικών κάνει χρήση των υπηρεσιών τομέα του KaOS (domain services) προκειμένου να προσδιορίσει τις οντότητες στις οποίες εφαρμόζεται μία πολιτική. Επιπλέον, το μοντέλο της εφαρμογής διαθέτει μία υπηρεσία καταλόγου (directory service) για την αποθήκευση πολιτικών, ενώ οντότητες φρουροί (guards) διερμηνεύουν τις πολιτικές πριν τις μεταβιβάσουν σε οντότητες υλοποιητές (enforcers), οι οποίοι μεταφράζουν τις πράξεις της πολιτικής στις εξειδικευμένες λειτουργίες για τη συγκεκριμένη πλατφόρμα. Χρησιμοποιώντας την ιδέα των εξειδικευμένων οντοτήτων για κάθε σε πραγματικό χρόνο, οι πολιτικές KaOS μπορούν να χρησιμοποιηθούν σε μία ποικιλία εφαρμογών. Πράγματι, το KaOS έχει χρησιμοποιηθεί σε ένα ευρύ φάσμα εφαρμογών που εκτείνεται από διαχείριση Web Services μέχρι υπολογιστικά πλέγματα (grid computing). Υποστηρίζει πολιτικές εξουσιοδότησης και διαχείρισης, ενώ παρέχει εργαλεία για τον καθορισμό, ανάλυση και εφαρμογή τους στο υπό διαχείριση σύστημα. Η οντολογική προσέγγιση που Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 115

116 χρησιμοποιεί επιτρέπει την εύκολη προσθήκη συγκεκριμένων πληροφοριών και διαδικασιών για το διαχειριζόμενο σύστημα. Παρόλα αυτά, ενώ η διαδικασία ανάλυσης επιτρέπει την ανίχνευση των συγκρούσεων των ενδεχομένων και τον έλεγχο άλλων στοιχείων, δεν εξηγεί την αλληλεπίδραση των πολιτικών όταν η επιβολή μίας πολιτικής προκαλεί σχετικές συγκρούσεις. Τέλος, το KaOS δεν παρέχει καμία υποστήριξη για την εξειδίκευση των πολιτικών (policy refinement) Rei Το σύστημα Rei αναπτύχθηκε από τους [Kagal et al., 2003] για να υποστηρίξει τη διαχείριση που βασίζεται σε πολιτικές για εφαρμογές Διάχυτου Υπολογίζειν (Pervasive Computing). Παρέχει τρεις γλωσσικές δομές: α) αντικείμενα πολιτικών (policy objects), β) μετα-πολιτικές (meta-policies) και γ) πράξεις λόγου (speech acts). Τα αντικείμενα πολιτικών ορίζονται ως δικαιώματα, απαγορεύσεις, υποχρεώσεις ή απαλλαγές που αντιστοιχίζονται στις θετικές / αρνητικές εξουσιοδοτήσεις και στις θετικές / αρνητικές πολιτικές υποχρέωσης που περιγράφηκαν στα KaOS και Ponder (ενότητα 3.7.5). Η πολιτική προδιαγραφών στο Rei χρησιμοποιεί μία οντολογική προσέγγιση για να αναπαραστήσει τον κάθε τύπο πολιτικής και συνεπώς οι κανόνες της πολιτικής καθορίζονται ακριβώς στην φλύαρη» αναπαράσταση της OWL [OWL, 2004a], [OWL, 2004b], η οποία είναι παρόμοια με την αναπαράσταση που χρησιμοποιείται από το KaOS. Εν τούτοις, το Rei παρέχει ακόμη μια αναπαράσταση που βασίζεται σε Prolog, η οποία είναι πιο συμπαγής και κατανοητή. Η βασική οντολογία περιλαμβάνει την περιγραφή πράξεων μέσω αναγνωριστικού πράξης (action identifier), τα αντικείμενα-στόχοι στα οποία μπορεί να εκτελεστεί η πράξη, όπως και το σύνολο των συνθηκών που απαιτούνται πριν και μετά από την εκτέλεση της πράξης. Το σύστημα Rei υποστηρίζει την επιβολή πολιτικών παρέχοντας μία γεννήτρια αποφάσεων πολιτικών (policy decision engine) η οποία εξάγει τα δικαιώματα και τις υποχρεώσεις των αντικειμένων στο διαχειριζόμενο σύστημα, με χρήση αιτήσεων κατάστασης του συστήματος. Η χρήση της Prolog στον καθορισμό των κανόνων των πολιτικών σημαίνει ότι το Rei μπορεί να χρησιμοποιήσει μία Prolog γεννήτρια συμπερασμάτων για να αναλύσει τον ακριβή καθορισμό της πολιτικής και να ανιχνεύσει συγκρούσεις ενδεχομένων. Από τη στιγμή που η γεννήτρια υποστηρίζει μόνο συμπερασματική λογική, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 116

117 μπορούν να ανιχνευτούν μόνο συγκρούσεις κατά την εκτέλεση (runtime). Με χρήση της οντολογίας για ορισμό της πληροφορίας που αφορά συγκεκριμένες πράξεις σε επίπεδο εφαρμογών, θεωρητικά η διαδικασία ανάλυσης θα μπορούσε να ανιχνεύσει συγκρούσεις συγκεκριμένων πολιτικών σε επίπεδο εφαρμογών για παράδειγμα, μία υποχρέωση κλειδώματος μιας πόρτας θα ερχόταν σε σύγκρουση με μία άλλη υποχρέωση που απαιτεί την πόρτα ανοιχτή. Εν τούτοις, στη βιβλιογραφία δεν υπάρχουν παραδείγματα ανάλυσης τέτοιων συγκρούσεων σε Rei πολιτικές. Όπως αναφέρθηκε, η γλώσσα Rei περιλαμβάνει επίσης τις έννοιες των πράξεων λόγου (speech acts) [Searle, 1969] και των μετα-πολιτικών. Οι πράξεις λόγου είναι ένας μηχανισμός που επιτρέπει σε αντικείμενα στο σύστημα να μεταφέρουν δυναμικά δικαιώματα και υποχρεώσεις σε άλλες οντότητες. Αυτό είναι παρόμοιο με την ιδέα της αντιπροσώπευσης / εξουσιοδότησης που έχει συζητηθεί εκτενώς στη βιβλιογραφία. Οι μετα-πολιτικές είναι κανόνες που αφορούν άλλες πολιτικές και χρησιμοποιούνται για την επίλυση συγκρούσεων που ανιχνεύονται από τη μηχανή πολιτικών Rei κατά την εκτέλεση (runtime). Παρόλο που η γλώσσα Rei έχει χρησιμοποιηθεί με επιτυχία σε διάφορες εφαρμογές Διάχυτου Υπολογίζειν παρέχοντας δυνατότητες ελέγχου πρόσβασης βάσει πολιτικής, έχει έναν αριθμό από περιορισμούς. Είναι γεγονός ότι εφόσον η μέθοδος ανίχνευσης συγκρούσεων εξαρτάται από τη συμπερασματική λογική, λειτουργεί μόνο όταν ένας ολοκληρωμένος ορισμός του συστήματος είναι διαθέσιμος, π.χ. κατά την εκτέλεση και όχι νωρίτερα. Ενώ αυτό είναι εν γένει χρήσιμο, τα οφέλη θα ήταν σημαντικότερα αν οι διαχειριστές είχαν τη δυνατότητα ανίχνευσης δυνητικών συγκρούσεων στις πολιτικές τους κατά το χρόνο του ορισμού τους, έτσι ώστε να ελαχιστοποιείται ο κίνδυνος ανάπτυξης μιας πολιτικής που θα προκαλέσει, πιθανά, αποτυχία του συστήματος. Άλλοι περιορισμοί είναι η έλλειψη υποστήριξης για την εξειδίκευση των πολιτικών, και η απουσία διαχειριστικών εργαλείων για τον καθορισμό κανόνων πολιτικών PCIM Το IETF Policy Core Information Model (PCIM) της IETF [Moore et al., 2001] είναι μια επέκταση του Common Information Model της Distributed Management Task Force Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 117

118 (DMTF) [DMTF CIM, 2001]. Το PCIM είναι ένα αντικειμενοστραφές μοντέλο πληροφοριών με στόχο την εύκολη ανταλλαγή πληροφοριών πολιτικής συνίσταται από δύο ιεραρχίες κλάσεων αντικειμένων η πρώτη αναπαριστάνει πληροφορία σχετική με τις πολιτικές και με τις δομές ελέγχου, ενώ η δεύτερη αναπαριστάνει τις σχέσεις μεταξύ των πολιτικών. Αυτή η προσέγγιση αντιμετωπίζει το σύστημα υπό διαχείριση σαν μια μηχανή καταστάσεων (state machine), με τις πολιτικές να αποφασίζουν σε ποια κατάσταση θα μεταβεί το σύστημα μετά την επιβολή των αντιστοίχων κανόνων πολιτικής. Οι τελευταίοι συνδέουν ένα σύνολο καταστάσεων (είσοδοι της μηχανής καταστάσεων) με ένα σύνολο ενεργειών (έξοδοι της μηχανής καταστάσεων), ενώ αλλάζει και η κατάσταση (state) του συστήματος. Στο Σχήμα 3.4 απεικονίζεται ένα απλοποιημένο μοντέλο κλάσεων για ένα κανόνα πολιτικής. Σχήμα 3.4: Το Μοντέλο Κλάσεων για τους Κανόνες Πολιτικών στο PCIM Βασικές κλάσεις του μοντέλου όπως οι PolicyAction και PolicyCondition είναι αφηρημένες (abstract), καθώς ο ενδιαφερόμενος οργανισμός που θέλει να εφαρμόσει ένα σύστημα διαχείρισης PCIM θα πρέπει να υλοποιήσει τις δικές του εκδόσεις ενεργειών και συνθηκών για να χρησιμοποιηθούν από τους κανόνες. Όσον αφορά τους υποστηριζόμενους τύπους πολιτικών, το μοντέλο PCIM υποστηρίζει μόνο (μερικώς) πολιτικές υποχρέωσης, ενώ μπορεί να συνδυαστεί με το μοντέλο CIM Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 118

119 (Common Information Model) [DMTF CIM, 2006] για διαχείριση συστημάτων. Καθότι το PCIM είναι ένα μοντέλο πληροφορίας, δεν διαθέτει δυνατότητες ανάλυσης και εξειδίκευσης πολιτικών. Παρά το γεγονός ότι παρέχει μια UML περιγραφή ενός διαχειριζόμενου συστήματος και ότι θα μπορούσε θεωρητικά να συνδυαστεί με τη γλώσσα Object Constraint Language (OCL) για ορισμό συνθηκών, το PCIM υποστηρίζει μόνο ένα είδος κανόνων, ενώ απαιτείται σημαντική βελτίωση έτσι ώστε να μπορέσει να εκφράσει όλους τους διαφορετικούς τύπους πολιτικών σε ένα σύστημα. Τέλος, οι ορισμοί πολιτικών PCIM είναι φλύαροι και θεωρούνται δύσκολοι στην κατανόηση συγκριτικά με γλώσσες πολιτικών υψηλού επιπέδου [Westerinen and Schott, 2004] όπως η Ponder [Damianou et al., 2001] και η Rei [Kagal et al., 2003] Ponder Στο πλαίσιο διαχείρισης πολιτικών που προτείνεται στο [Damianou, 2002b], παρουσιάζεται η δηλωτική (declarative) γλώσσα Ponder που είναι μια γλώσσα ημι-τυπικής αποτύπωσης των πολιτικών διαχείρισης ενός συστήματος (συμπεριλαμβανομένων και των πολιτικών ασφάλειας). Η γλώσσα Ponder είναι αντικειμενοστραφής και περιέχει επεκτάσιμες δομές για την περιγραφή των ακόλουθων βασικών τύπων πολιτικής ασφάλειας (policy types): Authorization Policies (Πολιτικές Εξουσιοδότησης), οι οποίες ορίζουν τις επιτρεπτές πράξεις στους αντικείμενα (πόρους) του συστήματος και χρησιμοποιούνται για να μορφοποιήσουν τον έλεγχο πρόσβασης (access control). Event-Triggered Obligation Policies (Πολιτικές Υποχρέωσης), οι οποίες ορίζουν ενέργειες που πρέπει να γίνουν από αντιπρόσωπους διαχείρισης (manager agents). Πρόκειται για κανόνες που εφαρμόζονται όταν λάβει χώρα ένα συγκεκριμένο γεγονός το οποίο ενεργοποιεί έναν (ή περισσότερους) αντιπρόσωπους διαχείρισης (για παράδειγμα μία παραβίαση του δικτύου). Refrain Policies (Πολιτικές Αποφυγής), οι οποίες ορίζουν ενέργειες που οι οντότητες / υποκείμενα του συστήματος πρέπει να αποφεύγουν ή δεν επιτρέπεται να πραγματοποιούν. Κλασσικό παράδειγμα αποτελεί η αποφυγή της ενεργοποίησης της υπηρεσίας μεταφοράς αρχείων (File Transfer Protocol, FTP) και αντίστοιχης πρόσβασης στις πόρτες 20 και 21 (FTP data port και flow control Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 119

120 port αντίστοιχα), σε κρίσιμους πόρους εάν δεν εξυπηρετείται κάποια βάσιμη επιχειρησιακή ανάγκη. Delegation Policies (Πολιτικές Μεταβίβασης Αρμοδιοτήτων), οι οποίες αφορούν σε μεταβίβαση αρμοδιοτήτων από μια οντότητα του συστήματος σε άλλη (για παράδειγμα, δικαίωμα εγγραφής σε ένα αρχείο που ανήκει σε ένα υψηλόβαθμο στέλεχος, σε ένα στέλεχος χαμηλότερου βαθμού). Για την δημιουργία των κανόνων που θα αποτυπώνουν την πολιτική ασφάλειας τυπικά έχουν οριστεί κάποιες υποστηρικτικές δομές δεδομένων. Αυτές είναι οι Ομάδες (Groups), τα οποία αποτελούν ένα σύνολο από αντικείμενα στα οποία εφαρμόζεται μία κοινή πολιτική ασφάλειας (για παράδειγμα όλοι οι υπολογιστές τελικών χρηστών, end-user hosts), οι Ρόλοι (Roles), οι οποίοι ορίζουν ομαδοποιήσεις πολιτικών που αφορούν σε κοινές θέσεις στο εργασιακό περιβάλλον (για παράδειγμα ο ρόλος του προγραμματιστή που αναφέρεται σε όλους τους προγραμματιστές ενός οργανισμού), οι Σχέσεις (Relationships) που ορίζουν ομαδοποιήσεις πολιτικών που αναφέρονται στις σχέσεις μεταξύ των αντικειμένων και των υποκειμένων του δικτύου και τέλος οι Περιορισμοί (Constraints) οι οποίοι αφορούν σε τυχόν περιορισμούς που υπάρχουν στην εφαρμογή των κανόνων της πολιτικής ασφάλειας. Ένα απλό παράδειγμα κανόνα πολιτικής παρατίθεται στη Λίστα Κώδικα 3.1 (για αναλυτικότερη παρουσίαση της μεθόδου ο αναγνώστης παραπέμπεται στα [Damianou, 2002b], [Damianou et al., 2001], [Lupu et. al, 2000]): Λίστα Κώδικα 3.1: Πολιτική Εξουσιοδότησης κατά Ponder type auth+ profileaccesst(subject administrators, target <userprofile> users) { action modify(), remove();} Το συγκεκριμένο παράδειγμα μίας πολιτικής εξουσιοδότησης ονομάζεται profileaccesst και ορίζει ότι οι administrators (μια ομάδα διαχειριστών) μπορούν (σύμβολο +) να αλλάξουν (modify()) και να αφαιρέσουν (remove()) αντικείμενα τύπου userprofile (αφηρημένες συλλογές δικαιωμάτων) από τη Ομάδα (group) των users (τελικοί χρήστες). 3.8 Διαχείριση Πολιτικών και Φυσική Γλώσσα Σε αυτή την ενότητα, αναφέρεται η έρευνα που ασχολείται με πολιτικές ασφάλειας και φυσική γλώσσα. Για την ανάλυση των δηλώσεων τυπικά χρησιμοποιείται κάποια παραλλαγή της Prolog ή της Lisp. Αρκετές δημοσιεύσεις έχουν γίνει από οργανισμούς που Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 120

121 σχετίζονται με εθνικούς στρατούς, δείγμα του ενδιαφέροντος για τις εξελίξεις στο χώρο Ένα Πειραματικό Περιβάλλον Διαχείρισης Πολιτικών (ΠΔΠ) Το πρώτο μέρος της έρευνας των [Sibley et al., 1992] παρουσιάζει μία ανάλυση απαιτήσεων, ένα προκαταρκτικό μοντέλο και μία υλοποίηση πρωτοτύπου μιας ενοποιημένης συλλογής εργαλείων που υποστηρίζουν την διαμόρφωση, ανάλυση και υλοποίηση πολιτικών. Αυτό το σύνολο εργαλείων, που ονομάζεται Περιβάλλον Διαχείρισης Πολιτικών (Policy Workbench) και στο εξής θα αναφέρεται ως ΠΔΠ, δημιουργήθηκε για να αποτελέσει ένα γενικού σκοπού σύστημα ορισμού και εφαρμογής πολιτικών. Το μόνο που θεωρητικά απαιτείται από το χρήστη είναι να έχει την κατάλληλη γνώση του γνωστικού πεδίου / συστήματος υπό διαχείριση (domain expertise), χωρίς να χρειάζεται εξειδικευμένες γνώσεις τυπικής αναπαράστασης συστημάτων. Το δεύτερο μέρος του άρθρου παρουσιάζει δύο μελέτες περιπτώσεων που επεξηγούν την δυνητική χρήση ενός ΠΔΠ. Το άρθρο ξεκινά με μία ανάλυση απαιτήσεων για το ΠΔΠ. Διατυπώνονται μια σειρά από παρατηρήσεις (συνοψίζονται παρακάτω) που είναι σημαντικές για οποιαδήποτε εργασία σχετική με πολιτικές. Οι πολιτικές γράφονται σε φυσική γλώσσα και γι αυτό τείνουν να είναι ανακριβείς. Οι πολιτικές είναι συχνά ανολοκλήρωτες ή ασυνεπείς. Οι πολιτικές βρίσκονται συχνά σε (αλληλο) εξάρτηση. Σε πραγματικές εφαρμογές, ένα σύνολο πολιτικών μπορεί να είναι εκτεταμένο και ευρύ. Συχνά χρειάζεται να αναπαρίσταται ο χρόνος με σχετικά πολύπλοκους τρόπους λ.χ. μπορεί να είναι απαραίτητο να αναπαρίσταται ο χρόνος σε απόλυτους όρους, όπως «...το οικονομικό έτος ξεκινά τα μεσάνυχτα της 30ης Σεπτεμβρίου...», αντίθετα με την απλή ταξινόμηση των γεγονότων. Σε κάποιες περιπτώσεις μπορεί να απαιτείται η αναπαράσταση της πρόθεσης μιας εμπλεκόμενης οντότητας (actor intention). Οι πολιτικές ποικίλλουν πολύ όσον αφορά το επίπεδο της περιεχόμενης πληροφορίας (comprehensiveness), από πολύ γενικές μέχρι πολύ εξειδικευμένες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 121

122 Το ΠΔΠ αποτελείται από τα ακόλουθα τρία βασικά στοιχεία: Αναλυτής Θεωρημάτων και Συνθηκών (Theorem and Assertion Analyzer). Το στοιχείο αυτό του ΠΔΠ επιβεβαιώνει ότι οι είσοδοι είναι συντακτικά σωστές και ότι ικανοποιούνται συγκεκριμένες εννοιολογικές συνθήκες, όπως η συνέπεια με την υπάρχουσα πολιτική. Αν μία είσοδος βρεθεί πως είναι συντακτικά σωστή και συνεπής με τις υπάρχουσες πολιτικές, ενημερώνεται η βάση δεδομένων των πολιτικών. Το στοιχείο αυτό είναι επίσης υπεύθυνο για τη διαχείριση της βάσης δεδομένων των πολιτικών. Μεταγλωττιστής Γεννήτρια Διερμηνευτής (Compiler Generator Interpreter). Το στοιχείο αυτό χρησιμοποιείται για να καθορίσει την συνέπεια των διαδικασιών και των σεναρίων με τις δηλώσεις των πολιτικών (policy statements) στη βάση δεδομένων. Επιτρέπει στο χρήστη να κάνει ερωτήσεις τύπου σεναρίων what if? όσον αφορά το σύνολο των πολιτικών. Ο χρήστης δημιουργεί κώδικα αναπαριστώντας μία διαδικασία ή ένα σενάριο με τη βοήθεια ενός CASE εργαλείου (Computer-Aided Software Engineering). Στη συνέχεια ο κώδικας αυτός συγχωνεύεται με συνθήκες που πρέπει να υφίστανται προ- και μετά- εκτέλεσης της πολιτικής (pre- and post-conditions) που αναπαριστούν τη δομή των δηλώσεων πολιτικής. Ο κώδικας που προκύπτει μπορεί να αναλυθεί -κατά τους συγγραφείς - προκειμένου να καθοριστεί εάν υπάρχει κάποια λύση στο ερώτημα ή εάν υπάρχουν ασυνέπειες. Επιλογέας πολιτικής (Policy Selector). Σκοπός του στοιχείου αυτού είναι να εξάγει για το χρήστη υποσύνολα πολιτικών από τη βάση δεδομένων των πολιτικών. Στην πρώιμη έρευνά των [Sibley et al., 1992], η ανάλυση των προ- και μετά-συνθηκών που σχετίζεται με τις δηλώσεις της βάσης δεδομένων των πολιτικών είχε σκοπό να επιτρέπει τον καθορισμό ομοιοτήτων μεταξύ δηλώσεων πολιτικών. Προκειμένου να γίνει κατανοητή η χρήση ενός ΠΔΠ, παρουσιάζεται μία μελέτη περίπτωσης που περιλαμβάνει την ανάλυση ενός συνόλου πολιτικών ασφάλειας για ένα υποθετικό χώρο εργασίας (work area). Ένα σύνολο από 21 δηλώσεις πολιτικής, 11 δεδομένα γεγονότα (real-world facts) και 9 δηλώσεις από ένα υποθετικό «εγχειρίδιο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 122

123 οδηγιών εργαζομένου» αναλύθηκαν, μετασχηματίστηκαν σε υπολογιστική μορφή και έγιναν αντικείμενο επεξεργασίας από ένα μηχανισμό απόδειξης θεωρημάτων (theorem prover). Η φάση της προκαταρκτικής ανάλυσης της πολιτικής απαιτούσε πολύ μικρή αυτοματοποιημένη υποστήριξη, καθότι περιλάμβανε τον προσδιορισμό του προβλήματος και τη θεμελίωση των δεδομένων γεγονότων που απαιτούνταν για να αυτοματοποιηθεί η επακόλουθη ανάλυση. Ωστόσο, ο έλεγχος για ασυνέπειες, ο προσδιορισμός ενός συνόλου πολιτικών σαν το ελάχιστο δυνατό (απουσία πλεονασμού) με τυπικό τρόπο, και η δημιουργία των λογικών συνεπειών των δηλώσεων της βάσης δεδομένων των πολιτικών, βασίστηκε σε μεγάλο βαθμό στο OTTER, ένα πρόγραμμα απόδειξης θεωρημάτων λογικού προγραμματισμού. Οι συγγραφείς αναφέρουν ότι η ανάλυση με τον μηχανισμό απόδειξης θεωρημάτων ήταν πολλές φορές χρονοβόρα και ότι συνεπώς οι τεχνικές για μείωση του μεγέθους του χώρου έρευνας αποτελεί ένα σημαντικό τομέα για μελλοντική έρευνα Υποστήριξη επεξεργασίας φυσικής γλώσσας στην ανάπτυξη συστημάτων λογισμικού που κατευθύνονται από πολιτικές Οι [Michael et al., 2001] περιγράφουν την αρχιτεκτονική ενός εργαλείου επεξεργασίας δεδομένων εισόδου σε φυσική γλώσσα (Natural-Language Input Processing Tool, NLIPT) και αναφέρουν πειράματα που διεξήγαν με μια πρώιμη έκδοση ενός συστατικού στοιχείου του NLIPT, τον εξολκέα (extractor). Το NLIPT, κατά τους συγγραφείς, συνδυάζεται με το ΠΔΠ από τους [Sibley et al., 1992] (ουσιαστικά χρησιμεύει σαν τον προεπεξεργαστή των δηλώσεων πολιτικής) και καλύπτει όλες τις εισόδους δεδομένων που δίνει ο χρήστης, συμπεριλαμβανομένων και δηλώσεων πολιτικών, ερωτήσεων και σεναρίων. Το NLIPT (Σχήμα 3.5) δέχεται σαν είσοδο μια δήλωση πολιτικής σε φυσική γλώσσα, δημιουργεί μια αναπαράσταση της λίστας νοημάτων / εννοιών της εισόδου και στη συνέχεια δημιουργεί ένα σύνολο από σημαντικούς όρους ευρετηρίου - ΣΟΕ (key index terms, KIT), επιλέγοντας και σταθμίζοντας τους όρους από τη λίστα νοημάτων. Οι ΣΟΕ χρησιμοποιούνται για να ανακτήσουν ένα ή περισσότερα δομικά σχήματα (structural schemata) εφαρμόσιμων εντολών πολιτικής από το Εργαλείο Αναγνώρισης Στοιχείων Πολιτικής (Policy Element Identifier Tool) του ΠΔΠ. Το δομικό σχήμα που ανακτάται περιλαμβάνει έμμεσα γεγονότα (implicit facts) και ιεραρχικές σχέσεις, τα οποία χρησιμοποιούνται από τον δομικό σχεδιαστή (ένα άλλο συστατικό στοιχείο του NLIPT) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 123

124 για να δημιουργήσει ένα εννοιολογικό σχήμα (conceptual schema) από τη λίστα νοημάτων. Στη συνέχεια, ο λογικός σχεδιαστής (logic modeler) επεξεργάζεται αυτό το εννοιολογικό σχήμα και εξάγει μέσω συμπερασματικών μηχανισμών πληροφορίες όπως ποσοτικά δεδομένα και το εύρος των δηλώσεων των πολιτικών. Το τελικό αποτέλεσμα είναι μια αναπαράσταση κατηγορηματικής λογικής πρώτης τάξεως για τη δήλωση εισόδου στο εργαλείο. Σχήμα 3.5: Η αρχιτεκτονική του εργαλείου NLIPT (Πηγή: [Michael et al., 2001]) Ο εξολκέας ταξινομεί κάθε λέξη της εισόδου σε φυσική γλώσσα και στη συνέχεια ομαδοποιεί συντακτικές ομάδες πολλαπλών λέξεων, όπως ουσιαστικά και ρηματικές φράσεις. Αυτή η ταξινομημένη και ομαδοποιημένη είσοδος μετατρέπεται σε μία σειρά κατηγορημάτων Prolog από έναν ενδιάμεσο επεξεργαστή γραμμένο σε Java. Στη συνέχεια, ένα πρόγραμμα γραμμένο σε Prolog δημιουργεί μία λίστα νοημάτων για την εισροή χρησιμοποιώντας μία γραμματική πεπερασμένων καταστάσεων (finite state grammar) η οποία είναι προσαρμοσμένη να αναγνωρίζει συχνά τυπικές δομές σε εντολές πολιτικής. Η δοκιμή του πρωτότυπου εξολκέα έγινε με την εφαρμογή του σε μία συλλογή εντολών πολιτικής για την ιστοσελίδα ενός πανεπιστημίου και αναφέρθηκε ότι το 96% των όρων στη λίστα νοημάτων που δημιούργησε ήταν σωστό, με πάνω από ένα λάθος για κάθε δύο προτάσεις. Οι συγγραφείς επισημαίνουν ότι τόσο η χρήση μίας γραμματικής εντελώς ελεύθερης από τα συμφραζόμενα (full context-free grammar) όσον αφορά τη δημιουργία της λίστας νοημάτων, όσο και η βελτίωση των μηχανισμών ταξινόμησης και ομαδοποίησης, θα μπορούσαν να επιφέρουν αύξηση της απόδοσης του NLIPT. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 124

125 Μια άλλη ερευνητική προσπάθεια που ασχολήθηκε με τυποποίηση περιεχομένου κειμένων, αυτή των [Sergot et al., 1986] αφορά την μετατροπή ενός μέρους της εθνικής νομοθεσίας των ερευνητών (νόμος για τη Βρετανική Εθνικότητα του 1981 British Nationality Act) σε μια λογική αναπαράσταση κατάλληλη για αυτοματοποιημένη επεξεργασία. Οι ερευνητές μορφοποίησαν την αναπαράστασή τους σε λογικές προτάσεις Horn (Horn clauses logic ένα υποσύνολο της FOL), η οποία, αν και μειωμένης εκφραστικότητας, είναι κατάλληλη για είσοδο σε μηχανισμούς απόδειξης θεωρημάτων (theorem provers). Περαιτέρω, η τυποποίηση της νομοθεσίας υποστήριζε μια δομή εξειδίκευσης από το γενικό στο ειδικό (top-down), με συνέπεια να υπάρχει η δυνατότητα της αποδόμησης γενικότερων εννοιών σε ειδικότερα και τελικά σε ατομικές έννοιες. Η εν λόγω τυποποίηση έγινε με χειροκίνητο τρόπο (εξαιρετικά χρονοβόρα) και τυχόν βελτιστοποιήσεις έγιναν μέσα από παρατηρήσεις των ερευνητών σχετικά με τα πρότυπα του νομικού κειμένου (ουσιαστικά ακολούθησαν την αντίθετη πορεία από τους [Michael et al., 2001], αφού η πρόθεσή τους δεν ήταν η επεξεργασία του κειμένου με ένα σύνολο λογικών κανόνων, αλλά η εύρεση των κανόνων μέσα από την παρατήρηση). Η προσπάθεια των [Sergot et al., 1986] κατέδειξε ότι υπό συγκεκριμένες προϋποθέσεις, η τυποποίηση ενός δομημένου κειμένου (όπως είναι τυπικά οι νομολογίες) είναι δυνατή εάν οριστούν οι κατάλληλοι κανόνες επεξεργασίας Μελέτη περίπτωσης: καθορισμός μιας πολιτικής ασφάλειας Η μελέτη που παρουσιάζεται από τους [Cuppens and Saurel, 1996] παρέχει σημαντικά στοιχεία για τις σχέσεις μεταξύ των εντολών πολιτικής σε φυσική γλώσσα και των ισοδύναμων κατασκευών σε υπολογιστική μορφή. Οι συγγραφείς παρουσιάζουν μία λογική γλώσσα για να εκφράσουν προτάσεις από μία πολιτική ασφάλειας σε φυσική γλώσσα και παρουσιάζουν μία σχετική μελέτη περίπτωσης για την εφαρμογή της μέσω αντιπροσώπων (agents). Στα πλαίσια της έρευνας, αναλύθηκε ένα έγγραφο ασφάλειας αποτελούμενο από 60 σελίδες κειμένου σε φυσική γλώσσα, αναγνωρίστηκαν οι κύριες λογικές έννοιες του κειμένου και, στη συνέχεια τυποποιήθηκαν στην (ανώνυμη) λογική γλώσσα. Οι συγγραφείς υποστηρίζουν ότι η εκφραστικότητα του κειμένου ασφάλειας ήταν μεγάλη και ότι εξέφραζε έννοιες όπως υποχρέωση (obligation), δικαίωμα (permission), απαγόρευση (prohibition), ευθύνη (responsibility) και μεταβίβαση δικαιωμάτων Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 125

126 (delegation). Η εν λόγω γλώσσα είχε σκοπό να επιτρέπει στους διαχειριστές ασφάλειας να ορίζουν και να τυποποιούν πολιτικές ασφάλειας για ένα συγκεκριμένο περιβάλλον υψηλού κινδύνου. Παρόλο που η μελέτη περίπτωσης που παρουσιάστηκε σ αυτό το άρθρο εστίαζε μόνο στην τυποποίηση των πολιτικών ασφάλειας, η γλώσσα που αναπτύχθηκε είχε σκοπό να παρέχει αναπαραστάσεις που θα επέτρεπαν στους διαχειριστές ασφάλειας να επιτελέσουν τα ακόλουθα καθήκοντα: Να εφαρμόσουν επερωτήσεις (queries) σε μία δεδομένη πολιτική ασφάλειας, Να επιβεβαιώσουν ότι ιδιότητες όπως συνέπεια και πληρότητα επιβάλλονται από μία δεδομένη πολιτική, Να επιβεβαιώσουν ότι μία δεδομένη κατάσταση δεν παραβαίνει τη συγκεκριμένη πολιτική, Να ερευνήσουν προβλήματα διαλειτουργικότητας μεταξύ πολιτικών ασφάλειας. Προκειμένου να αναπαραστήσουν εντολές πολιτικής όπως αυτές που υπάρχουν στο έγγραφο ασφάλειας, οι συγγραφείς ενσωμάτωσαν στη γλώσσα θεμελιώδεις δομές όπως αντικείμενα (objects), γεγονότα (events), πράξεις (actions) και αντιπρόσωπους (agents), όπως επίσης και πρόσθετες έννοιες όπως η μεταβίβαση δικαιωμάτων (delegation), η υποχρέωση (obligation), το δικαίωμα (permission) και η απαγόρευση (prohibition). Έννοιες όπως υποχρέωση, δικαίωμα και απαγόρευση είναι χαρακτηριστικές μίας deontic logic, η οποία χρησιμοποιείται για εξαγωγή συμπερασμάτων σχετικά με ιδεατές και πραγματικές συμπεριφορές [Meyer et al., 1996], και στην οποία στηρίζεται η εν λόγω προσέγγιση. Η λογική γλώσσα χρησιμοποιεί αντικείμενα τόσο σαν ένα μέσο οργάνωσης δεδομένων και των σχετικών λειτουργιών τους, όσο και για να υποστηρίξει την ιεραρχική κληρονομικότητα διαφορετικών επιπέδων αφηρημένων εννοιών. Τα γεγονότα (events) εκφράζουν τρόπους μεταβολής της κατάστασης του περιβάλλοντος. Οι πράξεις (actions) εφαρμόζονται σε αντικείμενα και εκφράζονται σαν μέθοδοι του ίδιου (ή άλλου) αντικειμένου. Τόσο τα γεγονότα όσο και οι πράξεις έχουν προσωρινές δομές που συνδέονται με αυτά: η τάξη του Γεγονότος έχει τα χαρακτηριστικά Boole (Boolean Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 126

127 attributes) [Πριν, Κατά τη Διάρκεια και Μετά], και οι πράξεις υποστηρίζουν αντίστοιχα τα τρία δυαδικά κατηγορήματα: Πριν την εκτέλεση (Before_Exec), Κατά τη Διάρκεια της Εκτέλεσης (During_Exec) και Εκτέλεση (συντόμευση της Μετά την εκτέλεση) (Exec After_Exec). Η γλώσσα παρέχει επίσης δομές για περαιτέρω δεοντολογικές εκφράσεις όπως η υποχρέωση, η συναίνεση / έγκριση / άδεια και η απαγόρευση, καθώς και για πράξεις που είναι συχνά υπονοούμενες ή έμμεσες. Για παράδειγμα, μία πολιτική που προσανατολίζεται στο στόχο, θα καθορίζει μόνο τα αποτελέσματα μιας πράξης χωρίς να καθορίζει τις ίδιες τις πράξεις. Ομοίως, μία πολιτική ασφάλειας θα μπορούσε να καθορίσει μόνο το άτομο που είναι υπεύθυνο να εγγυηθεί την εκτέλεση της πράξης, χωρίς να ορίσει τον σχετικό αντιπρόσωπο για την πραγματική εκτέλεση. Για να υποστηρίξει τέτοιες υπονοούμενες ή έμμεσες πράξεις, η γλώσσα παρέχει τον τελεστή Do. Οι συγγραφείς επισημαίνουν ότι πολλές από τις δηλώσεις του εγγράφου ασφάλειας μπορούν να πάρουν την εξής μορφή: αν κάποια συνθήκη ικανοποιείται τότε ένας συγκεκριμένος αντιπρόσωπος απαγορεύεται, επιβάλλεται ή επιτρέπεται να κάνει κάτι. Το γεγονός αυτό υποστηρίζουν πολλά παραδείγματα που δείχνουν εντολές σε φυσική γλώσσα από το έγγραφο ασφάλειας μαζί με τις αντίστοιχες υπολογιστικές αναπαραστάσεις στην τυπική γλώσσα. Εκτός λίγων εντολών πολιτικών με πολύπλοκες δομές, οι συγγραφείς αναφέρουν ότι πέτυχαν την αναπαράσταση όλων των εντολών από το έγγραφο πολιτικής στην τυπική γλώσσα που δημιούργησαν. Μεγάλο ενδιαφέρον έχουν οι δυσκολίες που αντιμετώπισαν οι συγγραφείς στην ερμηνεία και τη μετάφραση των εντολών σε φυσική γλώσσα του εγγράφου ασφάλειας. Οι συγγραφείς σημειώνουν ότι ένας μεγάλος αριθμός τέτοιων εντολών μπορούσε να ερμηνευτεί ως απλές παρατηρήσεις γεγονότων, ή ως συμβουλευτικές εντολές. Τέτοιες εντολές απορρίφθηκαν. Μια άλλη δυσκολία ήταν ότι οι εντολές ασφάλειας σε φυσική γλώσσα άφηναν πολλές φορές ακαθόριστα τα συγκεκριμένα αγαθά πληροφορικής του τομέα (domain) στα οποία εφαρμοζόταν η πολιτική, όπως επίσης και η σκόπιμη ασάφεια στο υποκείμενο έγγραφο πολιτικής, προκειμένου να μπορεί να εφαρμόζεται ο κανονισμός σε μεγάλο εύρος οργανισμών. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 127

128 3.9 Άλλες Προσεγγίσεις Το LaSCO [Hoagland, 2000] αποτελεί μία γραφική προσέγγιση για τον προσδιορισμό των περιορισμών ασφάλειας (security constraints) στα αντικείμενα, στην οποία γίνεται η θεώρηση ότι μία πολιτική απαρτίζεται από δύο μέρη : το πεδίο (domain), που περιλαμβάνει ένα αριθμό υποθέσεων σχετικά με το σύστημα, και την απαίτηση, δηλ. την ενέργεια που είναι επιτρεπτό να πραγματοποιηθεί στο εκάστοτε πεδίο. Οι πολιτικές που εμφανίζονται στο LaSCO έχουν την μορφή προτάσεων με συνθήκη για έλεγχο πρόσβασης. Η συγκεκριμένη προσέγγιση είναι πολύ περιορισμένη και δεν μπορεί να ικανοποιήσει το σύνθετο έργο της διαχείρισης των πολιτικών ασφάλειας με τυπικό τρόπο. Οι ερευνητές [Giorgini et al., 2005] από το Πανεπιστήμιο του Trento παρουσιάζουν την μεθοδολογία Secure-aware TROPOS η οποία επεκτείνει την Tropos [Giunchiglia et al., 2002] στο χώρο της μηχανικής απαιτήσεων ασφάλειας και εμπιστοσύνης. Η προσέγγιση παρέχει ένα μετα-μοντέλο ορισμού απαιτήσεων ασφάλειας με τη χρήση στόχων (softgoals) χρησιμοποιώντας συστήματα ορισμού απαιτήσεων όπως το KAOS [Uszok et al., 2003]. Το ερευνητικό πρόβλημα που συνοψίζεται στην έλλειψη αποδοτικών προσεγγίσεων ΔΑΠΣ που συλλέγουν, ομογενοποιούν, ερμηνεύουν και εφαρμόζουν τις απαιτήσεις ασφάλειας στους πόρους του ΠΣ τίθεται, εκτός των άλλων, μαζί με μια λύση σε εννοιολογικό επίπεδο, στα [Tsoumas and Tryfonas, 2004], [Tsoumas et al., 2005]. Ο Schumacher [Schumacher, 2003] προτείνει μια εφαρμογή των προτύπων (patterns) για παροχή δυνατοτήτων ασφάλειας (κυρίως σε τεχνολογία λογισμικού) και ορίζει σε σχεδιαστικό επίπεδο μια σειρά από απλές εννοιοκεντρικές δομές ασφάλειας οι οποίες δεν διαθέτουν κανένα συμπερασματικό μηχανισμό και είναι εντελώς πρωτόλειες. Οι [Clemente et al., 2005a] προτείνουν τη μοντελοποίηση του CIM σε OWL, εκφράζοντας ταυτόχρονα βασικές αποφάσεις ελέγχου πρόσβασης με χρήση λογικών κανόνων. Επιπρόσθετα, οι [Gymnopoulos et al., 2005a], [Gymnopoulos et al., 2005b] επεκτείνουν τη χρήση των οντολογιών σε περιβάλλον Grid σαν ένα γενικό πλαίσιο διαπραγμάτευσης πολιτικών ασφάλειας. Τέλος, ο Raskin και οι συνεργάτες του [Raskin et al., 2001] παρουσιάζουν μια οντολογική προσέγγιση στην ασφάλεια πληροφοριών, ισχυριζόμενοι ότι μια οντολογία ασφάλειας θα μπορούσε να οργανώσει με συστηματικό τρόπο όλα τα φαινόμενα ασφάλειας όπως τις επιθέσεις σε ΠΣ. Επιπρόσθετα, προτείνεται σε σχεδιαστικό επίπεδο μια υποθετική Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 128

129 αρχιτεκτονική που θα είχε δυνατότητες πρόβλεψης των επιθέσεων μέσω του συσχετισμού αντιμέτρων και συγκεκριμένων γνωρισμάτων των επιθέσεων Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας ΠΣ Υψηλού Επιπέδου Οι μοντέρνοι οργανισμοί στηρίζονται ολοένα και περισσότερο στην πληροφορία (information intensive organizations) προκειμένου να εκπληρώσουν τους επιχειρησιακούς τους στόχους (business objectives); η μεταβλητότητα και ο ταχύς ρυθμός εξέλιξης των πληροφοριακών συστημάτων, σε συνδυασμό με την αυξανόμενη πολυπλοκότητα και τα νέα παραδείγματα υπολογίζειν (όπως το Διεισδυτικό Υπολογίζειν Pervasive Computing, [Weiser, 1991]) αναδεικνύουν τη Διαχείριση Κινδύνων ΠΣ σε κρίσιμο παράγοντα επιτυχίας (Critical Success Factor, CSF) [ITGI COBIT OBJ, 2000] του οργανισμού. Η ανάγκη κοινών τόπων αναφοράς οδήγησε στη δημιουργία πρότυπων πλαισίων διαχείρισης ασφάλειας των πληροφοριών (τόσο de facto όσο και de jure), με σκοπό μια συμφωνία βασιζόμενη σε κοινά αποδεκτές αρχές ασφάλειας από όλους τους οργανισμούς και την επίτευξη καλύτερης και ασφαλέστερης επικοινωνίας μεταξύ τους. Οι αρχές αυτές μπορούν να χρησιμοποιηθούν από τη διοίκηση, τους εσωτερικούς ελεγκτές, τους χρήστες, τους μηχανικούς ασφαλείας και κάθε άλλη εμπλεκόμενη οντότητα σαν οδηγίες για την καλύτερη κατανόηση των βασικών απαιτήσεων ασφαλείας που θα πρέπει να ικανοποιούν τα Πληροφοριακά Συστήματα. Η προσπάθεια προτυποποίησης γίνεται από διεθνείς οργανισμούς όπως οι ISO [ISO, 2006] και ITGI [ITGI COBIT, 2000] οι οποίοι παρέχουν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 129

130 τα πλέον δημοφιλή πρότυπα διαχείρισης κινδύνων ΠΣ 21 : παρά την ευρεία αποδοχή των τελευταίων, δεν λείπουν και κάποιες αντιρρήσεις σχετικά με τη χρησιμότητα των προτύπων αυτών λ.χ. η μελέτη του NIST [NIST, 2002] αντιπροτείνει σαν βέλτιστη πρακτική ένα συνδυασμό της σειράς προτύπων ISO Χ και των συστάσεων του NIST. Παρά το γεγονός ότι αυτές οι ενστάσεις μας βρίσκουν σύμφωνους, διατηρούμε κάποιες επιφυλάξεις σχετικά με την αποτελεσματικότητα του εν λόγω συνδυασμού. Ο Πίνακας 3.2 καταγράφει τα σημαντικότερα πλαίσια διαχείρισης ασφάλειας υψηλού επιπέδου που χρησιμοποιούνται σήμερα. Οργανισμός International Organization for Standardization (ISO) International Organization for Standardization Πίνακας 3.2: Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας Υψηλού Επιπέδου Πρότυπο Αντικείμενο Προτύπου ISO/IEC 17799:2005 Διαχείριση Information technology -- ασφάλειας ΠΣ Security techniques -- Code of practice for information security management. [ISO 17799, 2005] ISO (1996). ISO/IEC TR Διαχείριση :1996 Information ασφάλειας ΠΣ technology Guidelines for the Έτος Έκδοσης Οι δύο αυτές οικογένειες προτύπων θα αναλυθούν με λεπτομέρεια στο κεφάλαιο 4. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 130

131 Οργανισμός Πρότυπο Αντικείμενο Προτύπου Έτος Έκδοσης (ISO) management of IT Security Part 1: Concepts and models for IT Security. International Organization for Standardization. [ISO , 1996] International ISO/IEC TR :1997 Διαχείριση 1997 Organization for Information technology ασφάλειας ΠΣ Standardization (ISO) Guidelines for the management of IT Security Part 2: Managing and planning IT Security. International Organization for Standardization. [ISO , 1997] International ISO/IEC TR :1998 Διαχείριση 1998 Organization for Information technology ασφάλειας ΠΣ Standardization Guidelines for the management (ISO) of IT Security Part 3: Techniques for the management of IT Security. International Organization for Standardization. [ISO , 1998] International ISO/IEC TR :2000 Διαχείριση 2000 Organization for Information technology ασφάλειας ΠΣ Standardization (ISO) Guidelines for the management of IT Security Part 4: Selection of safeguards. International Organization for Standardization. [ISO , 2000] International ISO/IEC TR :2001 Διαχείριση 2001 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 131

132 Οργανισμός Πρότυπο Αντικείμενο Προτύπου Έτος Έκδοσης Organization for Information technology ασφάλειας ΠΣ Standardization Guidelines for the management (ISO) of IT Security Part 5: Management guidance on network security. International Organization for Standardization. [ISO , 2001] International ISO (1999). Information Αποτίμηση 1999 Organization for technology Security techniques επιπέδου Standardization Evaluation criteria for IT ασφάλειας ΠΣ (ISO) security (Common Criteria). International Organization for Standardization. [ISO 15048, 1999] IT Governance Control Objectives for Διαχείριση 2000 Institute (ITGI) Information and related Επιχειρησιακών Technology (COBIT) [ITGI Κινδύνων από τη COBIT, 2000] χρήση ΠΣ 3.11 Σύνοψη Σε αυτό το κεφάλαιο αναλύθηκαν οι κυριότερες ερευνητικές προσεγγίσεις στο χώρο της διαχείρισης ασφάλειας ΠΣ και κυρίως της μοντελοποίησης των απαιτήσεων ασφάλειας. Αυτό το χάσμα που παρατηρείται μεταξύ των στόχων (απαιτήσεις ασφάλειας) και του επιθυμητού αποτελέσματος (εφαρμόσιμες τεχνικές ενέργειες στους πόρους του ΠΣ) αποτελεί ένα εξαιρετικά πολύπλοκο πρόβλημα που δεν έχει εύκολη και άμεση λύση. Είναι σαφές ότι παρά την ύπαρξη πλείστων προσεγγίσεων διαφόρων επιπέδων (από καθαρά μαθηματικά μοντέλα έως πλαίσια υψηλού επιπέδου), οι απαιτήσεις ασφάλειας εκφράζονται είτε με καθαρά λογικούς όρους, είτε με τη μορφή περιγραφικών προτάσεων Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 132

133 υψηλού επιπέδου σε επιχειρησιακά κείμενα. Και στις δύο περιπτώσεις, η σύνδεση των αρχικών απαιτήσεων με τα τελικά εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ είναι (το λιγότερο) προβληματική, ενώ η χρήση των όποιων μοντέλων που προσφέρουν εξειδίκευση απαιτήσεων είναι δύσκολη και αποθαρρύνει το χρήστη. Καμιά προσέγγιση δεν είναι πολυσυλλεκτική (δηλ. χρησιμοποιώντας πάνω από μία πηγές πληροφόρησης), ενώ οι προσεγγίσεις που χρησιμοποιούν εξαγωγή πληροφοριών δεν διαθέτουν τους κατάλληλους συμπερασματικούς μηχανισμούς προκειμένου να υποστηρίξουν ευφυείς αποφάσεις. Στο επόμενο Κεφάλαιο 4 αναλύονται οι άξονες και το εννοιολογικό μοντέλο της διατριβής που οδηγούν σε μια πολυσυλλεκτική αντιμετώπιση του προβλήματος της διαχείρισης ασφάλειας ΠΣ, με χρήση προτύπων και συμπερασματικούς μηχανισμούς υποστήριξης αποφάσεων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 133

134

135 When artists create pictures and thinkers search for laws and formulate thoughts, it is in order to salvage something from the great dance of death, to make something that lasts longer than we do. ~ Hermann Hesse 4 Εννοιολογικό Μοντέλο και Άξονες της Έρευνας 4.1 Εισαγωγή Ο σκοπός αυτού του κεφαλαίου είναι διττός, ήτοι: α) καθορίζεται το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική της προσέγγισής μας, και β) περιγράφονται οι άξονες πάνω στους οποίους στηρίζεται η παρούσα έρευνα. Το πρώτο βήμα είναι να οριστούν οι προδιαγραφές ενός επιθυμητού συστήματος ΔΑΠΣ. Η ιδιαίτερη φύση των αντίμετρων ασφάλειας συζητείται αμέσως μετά, καταλήγοντας στο εννοιολογικό μοντέλο της έρευνας που υιοθετείται για την συλλογή, εξειδίκευση και μετάφραση των αντιμέτρων υψηλού Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 135

136 επιπέδου σε εφαρμόσιμες διατάξεις 22. Τα δομικά στοιχεία της προσέγγισης ακολουθούν, δίνοντας τη γενική εικόνα στον αναγνώστη για το ρόλο κάθε στοιχείου. Το κεντρικό σημείο αποτελεί η Οντολογία Ασφάλειας (ΟΑ, ενότητα 4.4.1), η οποία λειτουργεί σαν ένας χώρος δομημένης μοντελοποίησης και αποθήκευσης των απαιτήσεων ασφάλειας, παρέχοντας και συμπερασματικές δυνατότητες. Η ΟΑ μοντελοποιείται βάσει γνωστών προτύπων ΔΑΠΣ, που αναλύονται στην Ενότητα 4.5. Όπως έχει αναφερθεί και παραπάνω, η προσέγγισή μας χρησιμοποιεί μια πλειάδα πλαισίων, προσεγγίσεων και τεχνικών προκειμένου να προσεγγίσει αποτελεσματικά το πρόβλημα της ΔΑ ΠΣ και να ικανοποιήσει τις προδιαγραφές του συστήματος ΔΑΠΣ. Έτσι, στην ενότητες 4.5 έως και 4.8 αναλύονται οι τέσσερεις άξονες της έρευνας, που είναι κατά σειρά: 1ος Άξονας: τα ευρέως αποδεκτά, de facto πρότυπα διαχείρισης κινδύνων ΠΣ με παγκόσμια αποδοχή (BS7799 και COBIT), τα οποία αποτελούν την πρωταρχική πηγή αντιμέτρων και τη βάση για το προτεινόμενο εννοιολογικό μοντέλο αναπαράστασης και διαχείρισης πληροφορίας ασφάλειας (Ενότητα 4.5). 2ος Άξονας: Το πρότυπο διαχείρισης πληροφοριακών πόρων CIM 23 το οποίο αποτελεί το συνδετικό κρίκο με άλλες υπάρχουσες αναπαραστάσεις ΠΣ (Ενότητα 4.6). 3ος Άξονας: Η οντολογική προσέγγιση αναπαράστασης γνώσης, απαραίτητη για την έκφραση των βασικών εννοιών ασφάλειας, των κυρίων ιδιοτήτων τους και των 22 Εννοούνται τα σύνολα των εφαρμόσιμων πράξεων πάνω στα στοιχεία του ΠΣ. 23 Common Information Model, βλ. και ενότητα 4.6. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 136

137 μεταξύ τους σχέσεων σε ένα πλουσιότερο γνωστικό υπόβαθρο (Ενότητα 4.7). Περιγράφονται οι τεχνολογίες σημασιολογικού ιστού, οι οποίες ενσωματώνουν τις οντολογίες με το διαδίκτυο και προσφέρουν σημασιολογική επάρκεια με υποστήριξη συμπερασματικών μηχανισμών, ουδετερότητα υλοποίησης και ευκολία στην ανταλλαγή δεδομένων. 4ος Άξονας: Οι τεχνολογίες εξαγωγής πληροφοριών (Information Extraction) και έμπειρων συστημάτων (Expert Systems) που χρησιμοποιήθηκαν στην παρούσα διατριβή (Ενότητα 4.8) για τον εντοπισμό σημαντικών πληροφοριών που σχετίζονται με τα αντίμετρα ασφάλειας. Το κεφάλαιο τελειώνει με αναφορά στις πηγές γνώσης περί ασφάλειας, τις φάσεις της μεθοδολογίας υλοποίησης της προσέγγισης σε ένα ΠΣ καθώς και οι βασικές μέθοδοι, τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την υλοποίηση των φάσεων της προτεινόμενης προσέγγισης. 4.2 Προδιαγραφές ενός συστήματος Διαχείρισης Ασφάλειας Η Διαχείριση Ασφάλειας ΠΣ είναι ένα σύμπλοκο ζήτημα που απασχολεί τόσο τον ακαδημαϊκό κόσμο όσο και την αγορά. Η ασφάλεια είναι κάτι (πολύ) περισσότερο από τις τεχνικές ρυθμίσεις των υπολογιστικών συστημάτων του ΠΣ, ενώ απαιτείται ένας προσεκτικός και ακριβής καθορισμός τόσο της συνεισφοράς του ανθρώπινου παράγοντα στην όλη διαδικασία, όσο και της ισορροπίας μεταξύ της ασφάλειας και της φιλικότητας του ΠΣ προς το χρήστη. Στα επόμενα παρατίθεται μια σειρά από επιθυμητά χαρακτηριστικά ενός ιδεατού συστήματος ΔΑΠΣ, που, χωρίς να είναι εξαντλητική, ορίζει τις βασικές κατευθύνσεις πάνω στις οποίες στηρίχτηκε η παρούσα έρευνα. Η σειρά των απαιτήσεων δεν αντικατοπτρίζει αναγκαστικά τη σημασία τους. Ιχνηλατήσιμη σύνδεση μεταξύ των Απαιτήσεων Ασφάλειας υψηλού επιπέδου από τις πολιτικές / Ανάλυση Επικινδυνότητας και των εφαρμόσιμων τεχνικών αντιμέτρων στα υπολογιστικά συστήματα του ΠΣ: η έλλειψη δομημένων προσεγγίσεων που συνδέουν τις απαιτήσεις ασφάλειας με τα εφαρμόσιμα αντίμετρα προκαλεί ασάφειες στον καθορισμό των τελευταίων και αστοχίες στη διαχείριση κινδύνων ΠΣ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 137

138 Εύκολη ανταλλαγή και επαναχρησιμοποίηση της γνώσης ασφάλειας: οι τρέχουσες προσεγγίσεις δεν κάνουν βέλτιστη χρήση της πληροφορίας ασφάλειας, γεγονός που επιτείνεται από το αδόμητο χαρακτήρα της πληροφορίας αυτής. Συνδυασμός διαφορετικών πηγών γνώσης περί ασφάλειας: η πληροφορία περί ασφάλειας είναι διάσπαρτη σε διάφορες μορφές η ανομοιογένεια, η απουσία συγκεκριμένης δομής και οι διαφορετικές μορφές που μπορεί να λάβει αυτή η γνώση, μη παραλειπόμενης της έλλειψης αναπαράστασης σε ηλεκτρονική μορφή [Agentcities D3.4, 2003], είναι βασικός λόγος μη βέλτιστης χρήσης της εν λόγω γνώσης (βλ. ενότητα 4.9 «Πηγές Γνώσης περί Ασφάλειας ΠΣ» για μια σχετική συζήτηση). Ελαχιστοποίηση του συνολικού κύκλου ζωής της Διαχείρισης Επικινδυνότητας ΠΣ: οι διεθνείς τάσεις στο χώρο της ΔΑ είναι η βελτίωση των εποπτικών και ελεγκτικών μηχανισμών σε επίπεδο πραγματικού χρόνου (real time monitoring / continuous auditing). Χωρίς ένα επαρκές πλαίσιο ΔΑΠΣ, οι στόχοι αυτοί είναι ασύμφοροι και ανέφικτοι. Σύνδεση με καθιερωμένα πρότυπα στο χώρο της διαχείρισης πληροφοριακών συστημάτων, διαχείρισης γνώσης και διαχείρισης ασφάλειας: η σύνδεση με επαρκώς ορισμένες θεωρητικές προσεγγίσεις, έχει σαν αποτέλεσμα την ομοιογένεια των μέτρων ασφάλειας και, αντικειμενική αποτίμηση του πραγματικού επιπέδου ασφάλειας. Παροχή αποτελεσματικής και αποδοτικής υποστήριξης αποφάσεων για τον ειδικό ασφάλειας και βελτιστοποίηση του κόστους των μέτρων: η εισαγωγή μετρικών αποτίμησης της αποτελεσματικότητας των μέτρων και του αντίστοιχου κόστους συμβάλλει στη βελτιστοποίηση των πόρων και την επιτυχία του προγράμματος της Διαχείρισης Επικινδυνότητας ΠΣ. Υποστήριξη δημιουργίας ελεγκτικών προγραμμάτων προς έλεγχο της αποτελεσματικότητας των αντιμέτρων μετά την εφαρμογή τους: απαιτείται η άμεση σύνδεση των ελεγκτικών διαδικασιών για την αποτελεσματικότητα των αντιμέτρων με τις απαιτήσεις ασφάλειας, κάτι το οποίο συνήθως γίνεται με βάση ad hoc τεχνικές. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 138

139 Κλιμακούμενη και επεκτάσιμη προσέγγιση, προκειμένου να υποστηρίζει ένα μεγάλο αριθμό συσκευών και διαφορετικές τεχνολογίες ΠΣ. 4.3 Εννοιολογικό Μοντέλο ΔΑΠΣ και Αντίμετρα Ασφάλειας: Απαιτήσεις Ασφάλειας και Υλοποίηση Τεχνικών Αντιμέτρων Η εγγενής πολυπλοκότητα των αντιμέτρων ασφάλειας από τον ορισμό των απαιτήσεων έως την υλοποίησή τους δηλ. τον σαφή καθορισμό των απαραίτητων πράξεων για την εφαρμογή τους στους πόρους του ΠΣ δυσχεραίνει την επιτυχή εφαρμογή των αντιμέτρων που αρχικά εκφράζονται σαν δηλώσεις / προτάσεις (statements) μιας πολιτικής ασφάλειας ή αντίμετρα που προκύπτουν από εργαλεία ΑΕ. Άλλες πηγές αντιμέτρων ασφάλειας ή βέλτιστων πρακτικών είναι διαθέσιμες είτε σαν σχετικά πρότυπα διαχείρισης κινδύνων ΠΣ ([ISO 17799, 2000], [ITGI COBIT, 2000], [ISO , 1998], [ISO , 2000]), είτε σαν σχετικές δημοσιεύσεις έγκριτων οργανισμών όπως οι SANS ([SANS SecPol, 2006]), NIST ([NIST SP , 1996], [NIST SP , 2001], [NIST SP (2002]), οι οποίες τείνουν να αποτελέσουν τα de facto πρότυπα για διαχείριση κινδύνων ΠΣ. Η πλειονότητα των εν λόγω προτύπων αποτελείται από βέλτιστες πρακτικές διαχείρισης ασφάλειας ΠΣ οι οποίες είναι ταξινομημένες ανά περιοχή (domains) και οι οποίες καλύπτουν μια σειρά από ανάγκες ασφάλειας. Η διατύπωση των αντιμέτρων σε αυτές τις δημοσιεύσεις τείνει να είναι γενική και ασαφής, κάτι που εξυπηρετεί δύο σκοπούς: Α) τη δυνατότητα εφαρμογής τους σε όλα (θεωρητικά) τα ΠΣ, αφού αποφεύγεται επιμελώς η οποιαδήποτε αναφορά σε τεχνολογίες / τοπολογίες / τεχνοδιαμορφώσεις που θα μπορούσε να μειώσει τη γενικότητα εφαρμογής τους, και Β) την (στο μέτρο του δυνατού) ενσωμάτωση της ανθρώπινης εμπειρίας που θα έλθει να συμπληρώσει τις γενικές περιγραφές των αντιμέτρων και θα τις εφαρμόσει με γνώμονα τις συγκεκριμένες απαιτήσεις ασφάλειας και τις άλλες ιδιαιτερότητες που (συνήθως) έχουν τα σύγχρονα ΠΣ. Αποσπασματικές συλλογές αντιμέτρων που τυχόν επικεντρώνονται στις τεχνικές και άλλες λεπτομέρειες υλοποίησης, τείνουν να συρρικνώνουν το κοινό που απευθύνονται μιας και προσεγγίζουν συγκεκριμένα προϊόντα πληροφορικής, με αποτέλεσμα να χάνουν τη γενικότητα της εφαρμογής (βλ. και ενότητα 2.3.2, «Μείωση των Κινδύνων» για μια λεπτομερέστερη συζήτηση). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 139

140 Με άλλα λόγια, τα αντίμετρα τα οποία προτείνονται από τα εκάστοτε πρότυπα ορίζουν τις προδιαγραφές (ή απαιτήσεις ασφάλειας) που πρέπει να ικανοποιούν τα (τελικά εφαρμόσιμα) αντίμετρα, και όχι τα ίδια τα αντίμετρα που εφαρμόζονται. Έτσι λοιπόν, τα αντίμετρα ασφάλειας έχουν μια διττή φύση, που διαφέρει ανάλογα με τη γωνία θεώρησής τους (Σχήμα 4.1): οι Απαιτήσεις Ασφάλειας εκφράζονται με αδόμητο τρόπο, έχουν μικρή συνάφεια με τις ιδιαιτερότητες του ΠΣ και έχουν μικρό βαθμό αυτοματισμού. Αντίστροφα, τα Τεχνικά Μέτρα Υλοποίησης είναι αισθητά πιο δομημένα, έχουν μεγάλη συνάφεια με τις ιδιαιτερότητες του ΠΣ και (συνήθως) έχουν μεγάλο βαθμό αυτοματισμού. Σχήμα 4.1: Η διπλή Φύση των Αντιμέτρων Ασφάλειας Το γεγονός αυτό (της διπλής φύσης των αντιμέτρων), σε συνδυασμό με την εγγενή πολυπλοκότητα της υλοποίησής τους, σε πολλές περιπτώσεις οδηγεί σε αποτυχία της εφαρμογής και σε συνολική αστοχία της εφαρμογής των αποτελεσμάτων της ΑΕ και της συνολικής Διαχείρισης Ασφάλειας του ΠΣ. Για να αντιμετωπιστεί αυτή η δέσμη προβλημάτων, στην παρούσα διατριβή προτείνεται ο εννοιολογικός διαχωρισμός των απαιτήσεων των αντιμέτρων από τις εκάστοτε υλοποιήσεις τους. Στην παρούσα έρευνα και για συντομογραφικούς λόγους η αναφορά στις προδιαγραφές («Απαιτήσεις Ασφάλειας») και στην υλοποίηση («Τεχνικά Μέτρα Υλοποίησης») του αντίμετρου θα γίνεται και με τους εξής όρους: «Απαιτήσεις Ασφάλειας»: «ΤΙ» ή WHAT, και «Τεχνικά Μέτρα Υλοποίησης»: «ΠΩΣ» ή HOW, αντίστοιχα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 140

141 Ένα άλλο σημαντικό σημείο είναι το μοντέλο της διαχείρισης της πληροφορίας ασφάλειας: η ύπαρξη πολλών διαφορετικών μοντέλων και προτύπων ασφάλειας, οι διαφορετικές εφαρμογές διαχείρισης ασφάλειας, και η έλλειψη μίας κοινής ορολογίας για τα θέματα ασφάλειας αποτελούν αρνητικούς παράγοντες για την θέσπιση ενός αποτελεσματικού πλαισίου ΔΑΠΣ. Η λύση που προτείνεται από τη διατριβή είναι η δημιουργία ενός καθολικού πλαισίου που θα ενσωματώνει όλες τις απαιτήσεις ασφάλειας των συστημάτων και των «ιδιοκτητών» τους (stakeholders) 24. Το πλαίσιο αυτό θα μπορεί να βασίζεται και να χρησιμοποιεί ήδη υπάρχουσα γνώση από ευρέως γνωστά και αποδεκτά μοντέλα διαχείρισης της πληροφορίας και πρότυπα ασφάλειας, ούτως ώστε να επαναχρησιμοποιηθεί η ήδη μοντελοποιημένη γνώση. Έτσι, με βάση τις σύγχρονες τεχνολογικές τάσεις στη διαχείριση γνώσης, κρίνεται πλέον απαραίτητη η δημιουργία μίας πλούσια σημασιολογικά δομής (οντολογίας) για την αναπαράσταση της γνώσης περί την ασφάλεια αλλά και την περαιτέρω χρήση της που να στηρίζεται σε πρότυπα διαχείρισης ΠΣ και ασφάλειας. Το Σχήμα 4.2 απεικονίζει, σε υψηλό επίπεδο, το εννοιολογικό μοντέλο της προτεινόμενης προσέγγισης που διακρίνει τις απαιτήσεις ασφάλειας από τις υλοποιήσεις τους. Οι απαιτήσεις μοντελοποιούνται και μεταφράζονται σε εφαρμόσιμα αντίμετρα μέσω μιας κατάλληλης μεθοδολογίας, που αναλύεται στα επόμενα κεφάλαια. Ένας από τους βασικούς στόχους της παρούσας διατριβής είναι να μελετηθεί ο τρόπος εντοπισμού, εισαγωγής και ενσωμάτωσης στην επαγγελματική πρακτική των μηχανικών 24 Σε άλλη διερμηνεία, οι οντότητες που έχουν έννομο συμφέρον για την απρόσκοπτη λειτουργία και την επίτευξη των σκοπών του ΠΣ. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 141

142 ασφάλειας, των δόκιμων αρχών διαχείρισης ασφάλειας πληροφοριακών συστημάτων, όπως αυτές ορίζονται από διεθνή πρότυπα. Το πρότυπο μοντέλο διαχείρισης πληροφορίας ΠΣ που θα χρησιμοποιηθεί για την αποτύπωση των βασικών αρχών της πληροφορίας ασφάλειας είναι το CIM (Common Information Model) από την DMTF ενώ τα πρότυπα διαχείρισης κινδύνων ΠΣ είναι τα ISO17799/BS7799 Part 1, BS 7799 Part 2 και COBIT. Τα πρότυπα αυτά θα αναλυθούν στις επόμενες ενότητες του κεφαλαίου. Σχήμα 4.2: Απαιτήσεις και Υλοποιήσεις Μέτρων Ασφάλειας Εννοιολογικό Μοντέλο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 142

143 Στις επόμενες ενότητες περιγράφονται αναλυτικότερα τα σημαντικότερα στοιχεία της αρχιτεκτονικής που αντιστοιχούν σε κάθε μέρος της προσέγγισης («Απαιτήσεις Ασφάλειας» ή «Τεχνικά Μέτρα Υλοποίησης», αντίστοιχα), καθώς και τα επιμέρους στοιχεία που υποστηρίζουν τα παραπάνω. 4.4 Τα Δομικά Στοιχεία της Προσέγγισης Οντολογία Ασφάλειας Οι οντολογίες είναι νοητικές κατασκευές που μοντελοποιούν ένα γνωστικό πεδίο (domain) της πραγματικότητας. Ο όρος ετυμολογικά προέρχεται από τα συνθετικά ον (μετοχή του ειμί) και λόγος δηλαδή λόγος για την οντότητα, και έλκει την καταγωγή του από τον φιλόσοφο Αριστοτέλη ο οποίος είχε ήδη προσπαθήσει να κατηγοριοποιήσει διαφορετικά είδη οντοτήτων με τη βοήθεια ενός συνόλου κατηγορημάτων. Περαιτέρω οι οντολογίες εξελίχθηκαν ως ένας τομέας της φιλοσοφίας, ο οποίος ασχολείται με τη δομή και τη διαδοχή γεγονότων της πραγματικότητας (βλ. και ενότητα 4.7 «Άξονας 3: Το Οντολογικό Μοντέλο Αναπαράστασης Γνώσης» για μια σχετική συζήτηση). Η Οντολογία Ασφάλειας (ΟΑ) ΠΣ είναι μια οντολογία που εστιάζει στα χαρακτηριστικά ασφάλειας ενός ΠΣ. Χρησιμεύει σαν μέσο συλλογής και οργάνωσης των απαιτήσεων ασφάλειας και ορίζεται σαν ένα Σχήμα Επέκτασης του μοντέλου CIM (CIM Extension Model) εμπλουτισμένο με οντολογικά χαρακτηριστικά. Η ΟΑ περιγράφει την περιοχή της Ανάλυσης Επικινδυνότητας ΠΣ και υλοποιεί ένα εννοιολογικό μοντέλο που βασίζεται σε πρότυπα διαχείρισης ασφάλειας (βλ. ενότητα 5.5.1). Η περιγραφόμενη επέκταση του CIM έχει τη δυνατότητα σύνδεσης με άλλες οντολογίες CIM προκειμένου να επαναχρησιμοποιήσει ήδη μοντελοποιημένα ΠΣ. Το εννοιολογικό σχήμα υλοποιείται σε UML. Η ΟΑ συλλέγει και οργανώνει τις απαιτήσεις ασφάλειας του ΠΣ ανά πληροφοριακό αγαθό (πόρο). Σε κάθε στιγμιότυπο των εννοιών της ΟΑ που αντιστοιχεί σε ένα πόρο του ΠΣ, γίνεται μια αντιστοίχηση μεταξύ του πόρου, των απειλών του και των αντίστοιχων αντιμέτρων. Περαιτέρω, μοντελοποιούνται οι ιδιότητες εκείνες που είναι απαραίτητες για να οριστεί το αντίμετρο που υλοποιείται στη μεριά της ΟΑ σαν Απαίτηση Ασφάλειας. Η υλοποίηση γίνεται σε OWL με τη χρήση του εργαλείου Protégé και κανόνων SWRL Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 143

144 (Semantic Web Rule Language) [Horrocks et al., 2004] (βλ. ενότητες και 5.5.4) Βάση Τεχνικών Μέτρων Υλοποίησης Η Βάση Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ) μοντελοποιεί τις απαιτούμενες ενέργειες για την τεχνοδιαμόρφωση των πληροφοριακών αγαθών με τρόπο έτσι ώστε να υλοποιούνται οι απαιτήσεις ασφάλειας που έχουν συλλεχθεί και οργανωθεί στην ΟΑ. Αντίστοιχα με την ΟΑ, έχουν μοντελοποιηθεί οι ιδιότητες του Τεχνικού Αντίμετρου, δηλ. οι ενέργειες που υλοποιούν τις απαιτήσεις ασφάλειας. Αυτές οι ενέργειες έχουν τη μορφή ρυθμίσεων τεχνοδιαμόρφωσης, εκτελέσιμων προγραμμάτων και αρχείων φλοιού, ενώ είναι απολύτως προσανατολισμένες σε τεχνολογίες υπολογιστικών συστημάτων (λειτουργικά συστήματα, βάσεις δεδομένων, εκδόσεις λογισμικού, κ.α.). Έχει γίνει μια πιλοτική υλοποίηση σε σχεσιακή βάση δεδομένων και υποστηρίζεται η υποβολή ερωτημάτων μέσω Δομημένης Γλώσσας Ερωταποκρίσεων (Structured Query Language, SQL) και εξειδίκευση των αντιμέτρων ασφάλειας. Στις επόμενες ενότητες αναλύονται οι τέσσερεις άξονες της έρευνας: 1) τα Πρότυπα Διαχείρισης Κινδύνων ΠΣ, 2) το πρότυπο διαχείρισης ΠΣ CIM, 3) το οντολογικό μοντέλο αναπαράστασης γνώσης, και 4) στοιχεία εξαγωγής πληροφοριών και έμπειρων συστημάτων. 4.5 Άξονας 1: Πρότυπα Διαχείρισης Κινδύνων ΠΣ Οι δύο σημαντικότερες οικογένειες προτύπων διαχείρισης κινδύνων ΠΣ, τα BS7799 (ISO17799/BS7799 Part 1, BS7799 Part 2) και COBIT αποτελούν το αντικείμενο των επόμενων ενοτήτων. Και τα δύο πρότυπα έχουν αναπτυχθεί από διεθνείς οργανισμούς και βρίσκονται σε διαρκή εξέλιξη, ενώ βρίσκουν διεθνή αναγνώριση από πλειάδα οργανισμών που τα εφαρμόζουν στην πράξη. Η οικογένεια προτύπων BS7799 παραδοσιακά είναι προσανατολισμένη σε πόρους πληροφορικής (IT Asset-based framework) - μολοντούτο, στις νεώτερες εκδόσεις της παρατηρείται μια στροφή προς μια υβριδική μορφή που ενσωματώνει και την έννοια της διεργασίας πληροφορικής (IT Process), μέσω του μοντέλου PDCA (ενότητα ) επιχειρώντας έτσι μια σύγκλιση προς την πλευρά των προσεγγίσεων διαχείρισης επιχειρησιακών κινδύνων. Από την άλλη, το πρότυπο COBIT είναι προσανατολισμένο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 144

145 αμιγώς σε επιχειρησιακές διεργασίες που κάνουν χρήση πληροφορικής (IT Process-based framework). Παρόλο που στη βιβλιογραφία απαντώνται διαφορετικές ερμηνείες των όρων «Διαχείριση Ασφάλειας Πληροφοριών» (οικογένεια προτύπων BS7799) και «Διαχείριση Επιχειρησιακών Κινδύνων που συνδέονται με την Τεχνολογία Πληροφορικής» (οικογένεια προτύπων COBIT) 25, είναι ευρέως αποδεκτό ότι η διαχείριση ασφάλειας είναι υποσύνολο της διαχείρισης επιχειρησιακών κινδύνων, η οποία περιλαμβάνει και κινδύνους οι οποίοι δεν σχετίζονται άμεσα με τις συνιστώσες πληροφορικής. Στα πλαίσια της διατριβής, θεωρείται ότι το εύρος των δύο προσεγγίσεων ταυτίζεται στο βαθμό που καλύπτουν τους ίδιους κινδύνους και επομένως στα επόμενα οι όροι «Διαχείριση Ασφάλειας ΠΣ» και «Διαχείριση Επιχειρησιακών Κινδύνων που συνδέονται με την Τεχνολογία Πληροφορικής» ή απλά «Διαχείριση Επιχειρησιακών Κινδύνων ΠΣ» θα χρησιμοποιούνται εναλλάξ εκτός εάν ρητώς οριστεί διαφορετικά Οικογένεια Προτύπων Διαχείρισης Ασφάλειας BS7799 Το ευρύτερα διαδεδομένο πρότυπο ΔΑ πληροφοριών που στηρίζεται σε πόρους πληροφορικής (IT Asset-based framework) είναι η οικογένεια BS 7799, το οποίο χωρίζεται σε δύο μέρη. 25 Έμμεσα γίνεται αντιληπτή και η προέλευση των δύο πλαισίων: τα πρότυπα BS7799 είναι ευρωπαϊκών καταβολών, ενώ τα πρότυπα COBIT έλκουν την καταγωγή τους από τις Ηνωμένες Πολιτείες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 145

146 BS Information technology Code of practice for information security management (Κώδικας Πρακτικών για τη Διαχείριση Ασφάλειας των Πληροφοριών) [BSI-EN, 2001]. Το πρώτο μέρος είναι επίσης γνωστό ως BS ISO/IEC το οποίο υιοθετήθηκε από τον οργανισμό ISO σχεδόν αυτούσιο [ISO 17799, 2000] και η οποία περιγράφεται σε αυτή την ενότητα. Οι (μικρές) αλλαγές που ενσωματώθηκαν στην τρέχουσα έκδοση του προτύπου το 2005 [ISO 17799, 2005], δεν επηρεάζουν στο παραμικρό την παρούσα συζήτηση ούτε το εννοιολογικό μοντέλο της οντολογίας ασφάλειας που θα αναπτυχθεί σε επόμενη ενότητα (5.5.1). BS Information Security Management Systems Specification with guidance for use (Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών). Το δεύτερο μέρος του προτύπου περιγράφει τον τρόπο οργάνωσης ενός δομημένου συστήματος ελέγχου και αναφορών (ISMS) προκειμένου να αποτιμηθεί το επίπεδο διαχείρισης ασφάλειας σε ένα πληροφοριακό σύστημα (το οποίο ακολουθεί ένα σύστημα διαχείρισης ασφάλειας). Τα μέτρα ασφάλειας που υιοθετούνται ενδέχεται να προέρχονται από το πρότυπο BS ISO/IEC 17799, χωρίς κάτι τέτοιο να είναι υποχρεωτικό. Το πρότυπο αυτό μπορεί να χρησιμοποιηθεί για σκοπούς ελέγχου και πιστοποίησης [BSI-EN, 2002]. Στα επόμενα θα περιγραφούν συνοπτικά τα πρότυπα της οικογένειας BS & BS Information Technology Το πρώτο μέρος παρέχει ένα σύνολο από βέλτιστες πρακτικές οδηγίες για την εφαρμογή ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών (Information Security Management System) ουσιαστικά παρέχει ένα σύνολο από υψηλού επιπέδου αντίμετρα, τα οποία είναι ανεξάρτητα από τεχνολογίες και υλοποιήσεις. Η περιγραφή των αντιμέτρων περιορίζεται στο επιθυμητό αποτέλεσμα της εφαρμογής του αντιμέτρου (ουσιαστικά παρέχει τις προδιαγραφές του αντιμέτρου), και όχι στον τρόπο υλοποίησής του στο συγκεκριμένο ΠΣ (σ.σ. στη σχετική βιβλιογραφία όπως και σε άλλα πρότυπα οι προδιαγραφές των αντιμέτρων απαντώνται και με τον όρο Στόχοι Αντιμέτρου ή Στόχοι Ελέγχου (Control Objectives, όπως στο COBIT [ITGI COBIT OBJ, 2000]), καθότι θεωρείται ότι οι δύο έννοιες -προδιαγραφές και στόχος αντιμέτρου/ελέγχου- ταυτίζονται). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 146

147 Το πρότυπο αυτό απέκτησε διεθνή φήμη και χρησιμοποιήθηκε από πολλούς οργανισμούς παγκοσμίως, ενώ από κάποιες χώρες θεσπίστηκε σαν εθνικό πρότυπο ασφάλειας πληροφοριών [AS/NZS 4360, 1999], με μηδαμινές αποκλίσεις από το αρχικό Βρετανικό πρότυπο. Το Δεκέμβριο του 2000 η υπεύθυνη επιτροπή του οργανισμού ISO καθιέρωσε (μέσω της διαδικασίας fast-track procedure) το BS σαν διεθνές πρότυπο με το όνομα BS ISO/IEC ([ISO 17799, 2000]). Ο ακρογωνιαίος λίθος για τον καθορισμό των επαρκών μέτρων ασφάλειας είναι η αναγνώριση των κινδύνων και των επιπτώσεών τους, οι οποίοι είναι το μόνο εύλογο κριτήριο για την ορθολογικοποίηση του κόστους της διαχείρισης κινδύνων από τη διοίκηση. Προς την επίτευξη αυτού του στόχου, σημαντικοί αρωγοί είναι η συστηματική αποτίμηση των κινδύνων ΠΣ του οργανισμού, καθώς επίσης οι νομικές και ρυθμιστικές απαιτήσεις που υπαγορεύονται από το περιβάλλον μέσα στο οποίο ο οργανισμός δραστηριοποιείται 26. Από τη στιγμή που θα αναγνωριστούν οι απαιτήσεις ασφάλειας, γίνεται μία επιλογή των αντιμέτρων τα οποία με την εφαρμογή τους μειώνουν τους κινδύνους σε ένα επιθυμητό επίπεδο. Το πρότυπο BS Information Technology παρέχει ένα ιεραρχικά δομημένο σύνολο προδιαγραφών βέλτιστων πρακτικών ασφάλειας που έχει χωριστεί σε δέκα (10) θεματικές περιοχές, κάθε μία από τις οποίες περιλαμβάνει έναν αριθμό από αντίμετρα [ISO 17799, 26 Όπως για παράδειγμα το Sarbanes-Oxley Act 404 (SOX 404), που εκδόθηκε από την Κεφαλαιαγορά των Ην. Πολιτειών (Securities and Exchange Commission SEC, το 2002 και αφορά στην ποιότητα του συστήματος εσωτερικού ελέγχου όσον αφορά τις οικονομικές καταστάσεις των εταιρειών που είναι εισηγμένες στο SEC. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 147

148 2000]. Ο επόμενος Πίνακας 4.1 συνοψίζει τις θεματικές περιοχές του προτύπου. Πίνακας 4.1: Θεματικές Ενότητες BS Πολιτική Ασφάλειας (Security Policy) Πολιτική Ασφάλειας Πληροφοριών (Information Security Policy) Στόχος Θεματικής Περιοχής: Καθοδήγηση και υποστήριξη της Διοίκησης του Οργανισμού όσον αφορά στην ασφάλεια Πληροφοριών μέσω Πολιτικής Ασφάλειας Πληροφοριών 2. Ασφάλεια Οργανισμού (Security Organization) Υποδομή Ασφάλειας Πληροφοριών (Information Security Infrastructure) Στόχος Θεματικής Περιοχής: Διαχείριση της ασφάλειας της πληροφορίας μέσα στον οργανισμό μέσα από κατάλληλες πληροφοριακές υποδομές Ασφάλεια Πρόσβασης Εξωτερικών Συνεργατών (Security of Third Party Access) Στόχος Θεματικής Περιοχής: Διατήρηση της ασφάλειας των οργανωσιακών πληροφοριών και πόρων στους οποίους έχουν πρόσβαση τρίτα μέρη Εξωτερική Ανάθεση (Outsourcing) Στόχος Θεματικής Περιοχής: Διατήρηση της ασφάλειας της πληροφορίας όταν η ευθύνη μέρους ή όλης της διεργασίας πληροφορικής έχει ανατεθεί σε εξωτερική οντότητα 3. Κατηγοριοποίηση και Έλεγχος Πόρων (Asset Classification and Control) Ευθύνη για τους Πόρους (Accountability for Assets) Στόχος Θεματικής Περιοχής: Διατήρηση της απαραίτητης προστασίας των οργανωσιακών πόρων μέσω ανάθεσης υπευθυνοτήτων ιδιοκτησίας σε χρήστες Κατηγοριοποίηση της Πληροφορίας (Information Classification) Στόχος Θεματικής Περιοχής: Θέσπιση επιπέδων σπουδαιότητας της οργανωσιακής πληροφορίας με αντίστοιχα επίπεδα προστασίας 4. Ασφάλεια Προσωπικού (Personnel Security) Καθορισμός των Θεμάτων Ασφάλειας στην Περιγραφή του Εργασιακού Ρόλου (Security in Job Definition and Resourcing) Στόχος Θεματικής Περιοχής: Ρητή περιγραφή των θεμάτων ασφάλειας στην Περιγραφή του Εργασιακού Ρόλου Εκπαίδευση Χρηστών (User Training) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 148

149 Στόχος Θεματικής Περιοχής: Διαχείριση της ενημέρωσης των χρηστών σχετικά με τις απειλές κατά της ασφάλειας των πληροφοριών και υποστήριξη της πολιτικής ασφάλειας Αντίδραση σε Περιστατικά Ασφάλειας και Δυσλειτουργίες (Responding to Security Incidents and Malfunctions) Στόχος Θεματικής Περιοχής: Ελαχιστοποίηση των ζημιών από περιστατικά ασφάλειας και δυσλειτουργίες των ΠΣ 5. Φυσική και Περιβαλλοντική Ασφάλεια (Physical and Environmental Security) Ασφάλεια Χώρων (Secure Areas) Στόχος Θεματικής Περιοχής: Μέτρα για την αποφυγή, καταγραφή και έλεγχο της μηεξουσιοδοτημένης φυσικής πρόσβασης σε χώρους του οργανισμού Ασφάλεια Εξοπλισμού (Equipment Security) Στόχος Θεματικής Περιοχής: Πρόληψη απώλειας, ζημίας και έκθεσης σε κίνδυνο των πληροφοριακών πόρων Γενικοί Έλεγχοι (General Controls) Στόχος Θεματικής Περιοχής: Πρόληψη έκθεσης σε κίνδυνο και κλοπής της πληροφορίας και των πληροφοριακών διεργασιών 6. Διαχείριση Επικοινωνιών και Λειτουργιών (Communications and Operations Management) Λειτουργικές Διαδικασίες και Ευθύνες (Operational Procedures and Responsibilities) Στόχος Θεματικής Περιοχής: Θέσπιση λειτουργικών διαδικασιών και υπευθυνοτήτων για τις καθημερινές λειτουργίες και τις επικοινωνίες Σχεδιασμός και Έγκριση Συστήματος (System Planning and Acceptance) Στόχος Θεματικής Περιοχής: Μείωση του κινδύνου βλάβης της πληροφορίας από μη ελεγχόμενη διαδικασία σχεδιασμού και αποδοχής νέων συστημάτων Προστασία έναντι σε «Κακόβουλο» Λογισμικό (Protection against Malicious Software) Στόχος Θεματικής Περιοχής: Προστασία της ακεραιότητας του λογισμικού και της πληροφορίας από κακόβουλο λογισμικό Ακεραιότητα και Διαθεσιμότητα Επεξεργασιών (Housekeeping) Στόχος Θεματικής Περιοχής: Διατήρηση της ακεραιότητας και της διαθεσιμότητας της επεξεργασίας της πληροφορίας και των υπηρεσιών επικοινωνίας μέσω καταγραφής Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 149

150 γεγονότων και διαχείριση αντιγράφων ασφάλειας Διαχείριση Δικτύων (Network Management) Στόχος Θεματικής Περιοχής: Διασφάλιση της προστασίας της πληροφορίας που διακινείται μέσω των δικτύων του οργανισμού και προστασία των δικτυακών υποδομών Ασφάλεια και Χειρισμός των Μέσων (Media Handling and Security) Στόχος Θεματικής Περιοχής: Αποφυγή των ζημιών σε πόρους και της διακοπής των επιχειρησιακών διαδικασιών λόγω ανεπαρκούς διαχείρισης των μέσων αποθήκευσης Ανταλλαγές Πληροφοριών και Λογισμικού (Exchanges of Information and Software) Στόχος Θεματικής Περιοχής: Αποφυγή απώλειας, αλλαγής και κακής διαχείρισης της πληροφορίας και του λογισμικού μέσω δυνατοτήτων ανταλλαγής και επικοινωνίας 7. Έλεγχος Πρόσβασης (Access Control) Επιχειρησιακές Απαιτήσεις για τον Έλεγχο Πρόσβασης (Business Requirements for Access Control) Στόχος Θεματικής Περιοχής: Έλεγχος πρόσβασης στις πληροφορίες σε επιχειρησιακό επίπεδο Διαχείριση της Πρόσβασης των Χρηστών (User Access Management) Στόχος Θεματικής Περιοχής: Αποφυγή μη-εξουσιοδοτημένης πρόσβασης στα πληροφοριακά συστήματα Υποχρεώσεις Χρηστών (User Responsibilities) Στόχος Θεματικής Περιοχής: Διαχείριση της γνωστοποίησης των υποχρεώσεων των τελικών χρηστών σχετικά με την ασφάλεια των ΠΣ Έλεγχος Πρόσβασης Δικτύων (Network Access Control) Στόχος Θεματικής Περιοχής: Προστασία της πρόσβασης σε δικτυακές υπηρεσίες και πόρους Έλεγχος Πρόσβασης Λειτουργικών Συστημάτων (Operating System Access Control) Στόχος Θεματικής Περιοχής: Αποφυγή μη-εξουσιοδοτημένης πρόσβασης σε επίπεδο λειτουργικών συστημάτων Έλεγχος Πρόσβασης Εφαρμογών (Application Access Control) Στόχος Θεματικής Περιοχής: Αποφυγή μη-εξουσιοδοτημένης πρόσβασης σε επίπεδο εφαρμογών Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 150

151 Παρακολούθηση του Ελέγχου Πρόσβασης και Χρήσης Συστημάτων (Monitoring System Access and Use) Στόχος Θεματικής Περιοχής: Εντοπισμός μη-εξουσιοδοτημένων ενεργειών Κινητό Υπολογίζειν και Τηλε-Εργασία (Mobile Computing and Teleworking) Στόχος Θεματικής Περιοχής: Διασφάλιση της ασφάλειας της πληροφορίας όταν γίνεται χρήση κινητών υπολογιστών και τηλε-εργασίας 8. Ανάπτυξη και Συντήρηση Συστημάτων (System Development and Maintenance) Απαιτήσεις Ασφάλειας Συστημάτων (Security Requirements of Systems) Στόχος Θεματικής Περιοχής: Διαβεβαίωση ότι τα Πληροφοριακά Συστήματα είναι ασφαλή μέσω ορισμού απαιτήσεων ασφάλειας Ασφάλεια σε Συστήματα Εφαρμογών (Security in Application Systems ) Στόχος Θεματικής Περιοχής: Αποφυγή απώλειας, αλλαγής και κατάχρησης των πληροφοριών σε συστήματα εφαρμογών Κρυπτογραφικοί Έλεγχοι (Cryptographic Controls) Στόχος Θεματικής Περιοχής: Προστασία της εμπιστευτικότητας, ακεραιότητας και αυθεντικότητας των πληροφοριών μέσω κρυπτογραφικών τεχνικών Ασφάλεια των Αρχείων του Συστήματος (Security of System Files) Στόχος Θεματικής Περιοχής: Διασφάλιση των κρίσιμων αρχείων του λειτουργικού συστήματος και των εφαρμογών Ασφάλεια στην Ανάπτυξη και Υποστήριξη των Λειτουργιών Πληροφορικής (Security in Development and Support Processes) Στόχος Θεματικής Περιοχής: Διατήρηση του επιπέδου ασφάλειας κατά την ανάπτυξη και υποστήριξη των επιχειρησιακών λειτουργιών 9. Διαχείριση Επιχειρησιακής Συνέχειας (Business Continuity Management) Θέματα Επιχειρησιακής Συνέχειας (Aspects of Business Continuity Management) Στόχος Θεματικής Περιοχής: Διασφάλιση της διαθεσιμότητας των επιχειρησιακών συστημάτων και ανάκαμψη από καταστροφές 10. Συμμόρφωση (Compliance) Συμμόρφωση με Νομικές Απαιτήσεις (Compliance with Legal Requirements) Στόχος Θεματικής Περιοχής: Συμβατότητα με το εθνικό / διεθνές δίκαιο και κανονιστικό Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 151

152 πλαίσιο Έλεγχος της Πολιτικής Ασφάλειας και της Τεχνολογικής Συμβατότητας (Reviews of Security Policy and Technical Compliance) Στόχος Θεματικής Περιοχής: Διαβεβαίωση της συμβατότητας των συστημάτων με τις πολιτικές και τα πρότυπα ασφάλειας μέσω περιοδικών ελέγχων αποτελεσματικότητας των υφιστάμενων μέτρων σε επίπεδο πολιτικών και τεχνικών μέτρων Ζητήματα Ελέγχου Συστημάτων (System Audit Considerations) Στόχος Θεματικής Περιοχής: Διαδικασίες ελέγχου σε επίπεδο συστήματος και πρόσβαση σε εργαλεία ελέγχου BS Information security management systems Το BS [BSI-EN, 2002] είναι το δεύτερο μέρος του προτύπου και παρέχει ένα πλαίσιο αναφοράς για έλεγχο και πιστοποίηση από εξωτερικούς ελεγκτές. Το πρότυπο επανεκδόθηκε το 2002 έτσι ώστε να εναρμονιστεί και με άλλα πρότυπα διαχείρισης συστημάτων, όπως είναι το ISO 9001 [ISO 9001, 2000] και το ISO [ISO 14001, 2004], ενώ βρίσκεται υπό εξέλιξη και η νέα ISO έκδοση με το όνομα ISO/IEC FDIS Το πρότυπο αυτό προωθεί την υιοθέτηση μίας διαδικαστικής προσέγγισης για την ανάπτυξη, την εφαρμογή και τη βελτίωση της αποδοτικότητας ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών (Information Security Management System) ενός οργανισμού. Ένας οργανισμός θα πρέπει να αναγνωρίζει και να διαχειρίζεται πολλές δραστηριότητες για να λειτουργεί αποδοτικά. Κατά το πρότυπο, μία διεργασία πληροφορικής ορίζεται σαν μια διαχειριζόμενη δραστηριότητα που χρησιμοποιεί πόρους πληροφορικής, ούτως ώστε να μετατρέπει τις εισόδους της επεξεργασίας σε εξόδους. Το πρότυπο εισάγει το μοντέλο Plan-Do-Check-Act (PDCA) ([BSI-EN, 2002] ως ένα μέρος μίας προσέγγισης διαχείρισης συστημάτων για την ανάπτυξη, την εφαρμογή και τη βελτίωση της αποδοτικότητας ενός ISMS (Information Security Management System), μέσα στο επιχειρησιακό πλαίσιο των κινδύνων πληροφορικής που αντιμετωπίζει ένας οργανισμός. Το μοντέλο PDCA μπορεί να εφαρμοστεί σε όλες τις διεργασίες πληροφορικής. Η εφαρμογή ενός συστήματος από διεργασίες σε έναν οργανισμό μαζί με την αναγνώριση Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 152

153 και τις αλληλεπιδράσεις αυτών των διεργασιών και η διαχείρισή τους, συνιστά μια διαδικαστική προσέγγιση (process-based approach) στο θέμα του συστήματος αναφορών και ελέγχου, η οποία δίνει έμφαση στα παρακάτω στοιχεία: Κατανόηση των επιχειρησιακών απαιτήσεων ασφάλειας και ανάγκη καθορισμού μίας πολιτικής ασφάλειας πληροφοριών, Εφαρμογή και λειτουργία των αντιμέτρων (controls) στο πλαίσιο της διαχείρισης του ολικού επιχειρησιακού ρίσκου, Έλεγχος της απόδοσης και της αποτελεσματικότητας του συστήματος διαχείρισης της ασφάλειας των πληροφοριών (ISMS), Διαρκής βελτίωση βάσει των μετρικών επίτευξης των στόχων (objective measures). Σχήμα 4.3: Μοντέλο Διεργασιών PDCA (Πηγή: [BSI-EN, 2002]) Σε κάθε φάση της διαδικασίας διαχείρισης, οι επόμενες ενέργειες λαμβάνουν χώρα (βλ. και [BSI-EN, 2002]): Plan Σχεδιασμός (Καθορισμός του πλαισίου του ISMS): Καθορισμός των πολιτικών ασφαλείας, των στόχων, των διεργασιών και των διαδικασιών σχετικών με τον έλεγχο των κινδύνων και της βελτίωσης της ασφάλειας της πληροφορίας, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 153

154 με σκοπό την παραγωγή αποτελεσμάτων εναρμονισμένων με την καθολική πολιτική και τους στόχους του οργανισμού. Do Εφαρμογή (Σχεδιασμός και Υλοποίηση): Εφαρμογή και λειτουργία των πολιτικών ασφάλειας. Check Έλεγχος (Κριτικές και Συμβουλές): Μέτρηση και αποτίμηση της απόδοσης των διεργασιών σε σχέση με τις πολιτικές, τους στόχους του οργανισμού και την πρακτική εμπειρία καθώς δημιουργία αναφοράς των αποτελεσμάτων στους υπεύθυνους. Act Δράση (Βελτίωση): Λήψη διορθωτικών και αποτρεπτικών αποφάσεων για περαιτέρω βελτίωση της απόδοσης των διεργασιών. Σχήμα 4.4: Μοντέλο PDCA Μέρη Διεργασιών Πληροφορικής (Πηγή: [BSI-EN, 2002]) Το πρότυπο αυτό είναι συμβατό με τα πρότυπα ISO 9001:2000 και ISO 14001:1996 για να υποστηρίξει την ομαλή και ενοποιημένη εφαρμογή και λειτουργία των προτύπων διαχείρισης. Προκειμένου να επιτύχει η εφαρμογή του προτύπου, η διοίκηση του οργανισμού θα πρέπει να δεσμευτεί για την ανάπτυξη και την εφαρμογή ενός ISMS με βάση τους εξής άξονες δράσης: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 154

155 Αναγνωρίζοντας τη σημασία των στόχων ασφαλείας καθώς και τις νομικές και κανονιστικές απαιτήσεις και την ανάγκη για συνεχή βελτίωση, Καθορίζοντας πολιτικές, στόχους και σχέδια ασφαλείας, Διεξάγοντας περιοδικές αποτιμήσεις της επάρκειας και αποτελεσματικότητας του ISMS, Καθορίζοντας το επίπεδο του επιτρεπτού κινδύνου. Ακολουθεί μια συζήτηση σχετικά με τα πρότυπα της οικογένειας BS Κριτική της Οικογένειας Προτύπων Διαχείρισης Ασφάλειας BS7799 Τα δύο μέρη του προτύπου είναι συμπληρωματικά, με την έννοια ότι το μεν BS παρέχει μία ταξινομία από αντίμετρα, ενώ το BS δίνει ένα σύστημα διαχείρισης και ελέγχου της αποτελεσματικότητας των αντιμέτρων. Η ιδέα πίσω από την ταξινομία του πρώτου μέρους είναι η ισορροπία που πρέπει να επιδεικνύει ένας οργανισμός στην αντιμετώπιση των κρίσιμων τομέων ασφάλειας. Η οργάνωση του BS παραπέμπει σε μια προσέγγιση λίστας αντιμέτρων οργανωμένα σε έναν αριθμό από βασικούς άξονες. Μια συχνά μνημονευόμενη αδυναμία του BS είναι η έλλειψη μιας επαρκούς διαδικασίας διαχείρισης ασφάλειας [NIST, 2002], ενώ θα πρέπει να σημειωθεί η (εσκεμμένη) γενικότητα του η οποία δεν είναι προσαρμοσμένη σε συγκεκριμένα πληροφοριακά περιβάλλοντα, με τις προδιαγραφές των αντιμέτρων να επιδέχονται κατά βούληση διερμηνεία από τους εκάστοτε υπεύθυνους/ειδικούς ασφάλειας κατά την εφαρμογή τους. Παρότι το πρότυπο BS οδηγεί σε πιστοποίηση σχετικά με το σύστημα διαχείρισης ασφάλειας, μόνο ένας πολύ μικρός σχετικά αριθμός οργανισμών έχει πιστοποιηθεί διεθνώς (2814 πιστοποιητικά Αύγουστος 2006, εκ των οποίων η συντριπτική πλειοψηφία (61%) εδρεύει στην Ιαπωνία. Παραλλήλως, προσφέρεται ένας αριθμός άτυπων πιστοποιητικών τύπου BS 7799/ISO τα οποία δεν ακολουθούν το BS και για τα οποία δεν είναι εύκολος ο καθορισμός του εύρους της πιστοποίησης κάτι που αντιτίθεται στην έννοια της προτυποποίησης όπου ο ακριβής καθορισμός του εύρους (συνήθως) είναι το ζητούμενο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 155

156 Αν συνυπολογιστεί και η εγγενής ασάφεια του προτύπου BS όσον αφορά την διασφάλιση της αποτελεσματικότητας και το εύρος του πλαισίου διαχείρισης ασφάλειας υπό πιστοποίηση, δεν είναι παράξενο που το πρότυπο αυτό, παρόλο το θεωρητικό πλεονέκτημα της προτυποποίησης και πιστοποίησης που προσφέρει, δεν έχει την πρακτική αποδοχή που ίσως του άξιζε. Το πλεονέκτημα της οικογένειας BS7799 (και των αντίστοιχων μετενσαρκώσεών τους σε πρότυπα ISO) είναι η ξεκάθαρη δομή των βασικών εννοιών ασφάλειας (βλ. Σχήμα 4.5), η οποία θα χρησιμοποιηθεί στην Ενότητα προκειμένου να μοντελοποιηθεί η Οντολογία Ασφάλειας. Σχήμα 4.5: Σχέσεις Μεταξύ των Βασικών Εννοιών Ασφάλειας στην Οικογένεια BS7799 (Πηγή: [AS/NZS 4360, 1999]) Το πλαίσιο Διαχείρισης Επιχειρησιακών Κινδύνων COBIT Εισαγωγή Η ανάγκη ενός ευρέως αποδεκτού συνόλου σκοπών ελέγχου ΠΣ και βέλτιστων πρακτικών που να μπορεί να χρησιμεύσει σαν αναφορά για κάθε πληροφοριακό σύστημα, οδήγησε στη δημιουργία του COBIT (Control Objectives for Information and related Technology), Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 156

157 [ITGI COBIT, 2000] από τους μη-κερδοσκοπικούς οργανισμούς IT Governance Institute 27 και Information Systems Audit and Control Foundation 28. Πρόκειται για ένα πλαίσιο αναφοράς για σκοπούς ελέγχου ΠΣ και σχετικές βέλτιστες πρακτικές που υποστηρίζουν την αποτελεσματική εφαρμογή της Εταιρικής Διακυβέρνησης μέσω της Πληροφορικής (βλ. ενότητα παρακάτω) μέσω αποτελεσματικών και αποδοτικών τεχνικών ελέγχου και διαβεβαίωσης ΠΣ. Το COBIT είναι ένα πλαίσιο αναφοράς που συνδυάζει και συνδέει τους οργανωσιακούς κινδύνους με μηχανισμούς ελέγχου και τεχνικά θέματα υλοποίησης των μηχανισμών αυτών. Περιλαμβάνει ένα σύνολο από 34 σκοπούς ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν αντίστοιχες διεργασίες του κύκλου ζωής ενός ΠΣ, και οι οποίοι κατανέμονται σε τέσσερις περιοχές: Σχεδιασμός και Οργάνωση (Planning and Organization), Προμήθεια και Υλοποίηση (Acquisition and Implementation), Παράδοση και Υποστήριξη (Delivery and Support), και Έλεγχος και Παρακολούθηση (Monitoring). Με την επιτυχή εφαρμογή αυτών των σκοπών ελέγχου, ο οργανισμός διασφαλίζει την ύπαρξη ενός επαρκούς συστήματος μηχανισμών ελέγχου προκειμένου τα πληροφοριακά του συστήματα να υποστηρίξουν τους οργανωσιακούς στόχους. Αυτό το σύνολο σκοπών ελέγχου υψηλού επιπέδου υποστηρίζεται από ένα σύνολο λεπτομερών σκοπών ελέγχου, οι οποίοι υπερβαίνουν τους τριακόσιους και είναι απαραίτητοι για την επίτευξη των Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 157

158 προαναφερόμενων στόχων. Το de facto αυτό πρότυπο χρησιμοποιεί σαν κύριες αναφορές περισσότερα από 36 ευρέως αναγνωρισμένα διεθνή πρότυπα και κανονιστικά πλαίσια σχετικά με πληροφοριακά συστήματα, ενώ απευθύνεται τόσο στη Διοίκηση και το προσωπικό του ΠΣ, στα τμήματα ελέγχου και επιθεώρησης, όσο και κύρια στους Ιδιοκτήτες των Επιχειρησιακών Διεργασιών (Business Process Owners) [ITGI COBIT OBJ, 2000], προκειμένου να διασφαλιστεί η εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των κρίσιμων και ευαίσθητων πληροφοριών. Το COBIT αποτελείται από μία Εκτελεστική Περίληψη, το Πλαίσιο Αναφοράς, τους Σκοπούς Ελέγχου, τις Οδηγίες Εφαρμογής προς τη Διοίκηση, τις Οδηγίες Εφαρμογής Ελέγχου και μία Εργαλειοθήκη Υλοποίησης (Εικόνα 4.1). Το COBIT ανανεώνεται περιοδικά, ακολουθώντας τις εξελίξεις στις τεχνολογίες πληροφορικής και του ελέγχου πληροφοριακών συστημάτων. Οι όροι IT (Information Technology) και IS (Information Systems) χρησιμοποιούνται με την ίδια έννοια. Εικόνα 4.1: Τα Συστατικά Μέρη του COBIT Το πρότυπο COBIT είναι σχετικά μικρό σε μέγεθος και στοχεύει κύρια στην αποτελεσματική κάλυψη των επιχειρησιακών αναγκών ενώ ταυτόχρονα είναι ανεξάρτητο από συγκεκριμένες πλατφόρμες υλοποίησης και τεχνικές λεπτομέρειες. Παρά το ότι το COBIT δεν αποκλείει οποιαδήποτε άλλα αποδεκτά πρότυπα στο πεδίο του ελέγχου Π.Σ. που μπορεί να έχουν αναδειχθεί κατά τη διάρκεια της έρευνας στο χώρο, οι κύριες πηγές αναφορών είναι: α) Τεχνικά πρότυπα (ISO, EDIFACT), κ.α., β) Οδηγίες και Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 158

159 κατευθυντήριες γραμμές από την Ευρωπαϊκή Ένωση και οργανισμούς όπως τους OECD, ISACA κ.α., γ) Κριτήρια πιστοποίησης για Π.Σ., προϊόντα και διεργασίες Π.Σ. (IT processes), όπως ITSEC, TCSEC, ISO 9000, SPICE [ISO SPICE, 2006], TickIT [TickIT, 2001], Common Criteria [ISO 15048, 1999], κ.α., δ) Διεθνή πρότυπα για εσωτερικό έλεγχο (COSO [COSO, 1992], IFAC, κλπ), ε) De Facto βέλτιστες πρακτικές που προέρχονται από τις τάσεις της αγοράς (ESF I4, και οργανισμοί που υποστηρίζονται από κυβερνήσεις (IBAG, NIST, DTI) κ.α., στ) Αναπτυσσόμενα πρότυπα και τεχνικές σε ειδικές αγορές και τομείς δραστηριότητας όπως ηλεκτρονικό εμπόριο (electronic commerce), τράπεζες, ηλεκτρονική διακυβέρνηση (e-government), κ.α. Στις επόμενες ενότητες θα περιγραφούν συνοπτικά τα κυριότερα σημεία του COBIT COBIT Πλαίσιο Αναφοράς Κομβικό σημείο και κεντρικός πόλος του προτύπου αποτελεί η έννοια της Εταιρικής Διακυβέρνησης μέσω της Πληροφορικής 29 (IT Governance), η οποία ορίζεται ως [ITGI COBIT, 2000]: Μια δομή σχέσεων και διεργασιών η οποία καθοδηγεί τον οργανισμό προκειμένου να επιτύχει τους οργανωσιακούς στόχους, με τη χρήση της Πληροφορικής. Η Εταιρική Διακυβέρνηση συνδέει τις διεργασίες των ΠΣ (IT processes), τους πόρους πληροφορικής (IT resources) και την πληροφορία με τις στρατηγικές και τους στόχους της επιχείρησης. Η αποτελεσματική και αποδοτική χρήση της Εταιρικής Διακυβέρνησης επιτρέπει στον 29 Εφεξής θα αναφέρεται με τον όρο Εταιρική Διακυβέρνηση. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 159

160 οργανισμό να προσδώσει προστιθέμενη αξία στις λειτουργίες του, ενώ επίσης μειώνει τους κινδύνους σε συνδυασμό με αύξηση της απόδοσης των ΠΣ. Είναι κοινός τόπος ότι η διάχυση της πληροφορικής στους σύγχρονους οργανισμούς σε όλα τα επίπεδα αποφάσεων και ενεργειών, καθιστά την εταιρική διακυβέρνηση τον πλέον κρίσιμο παράγοντα για την ευθυγράμμιση της λειτουργίας του ΠΣ με τους σκοπούς του οργανισμού. Το COBIT παρέχει ένα εύχρηστο εργαλείο για τη Διοίκηση του ΠΣ προκειμένου να καλύψει το κενό μεταξύ των απαιτήσεων ελέγχου, των τεχνικών θεμάτων και των επιχειρησιακών κινδύνων, ενώ ενθαρρύνεται η επικοινωνία των σχετικών θεμάτων προς τις ενδιαφερόμενες οντότητες (stakeholders) με αποτέλεσμα να βελτιώνεται το επίπεδο εμπιστοσύνης των τελευταίων προς τον οργανισμό. Το πρότυπο ορίζει τέσσερις τομείς (domains) σκοπών ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν τον κύκλο ζωής ενός ΠΣ. Σε κάθε τομέα, αντιστοιχεί ένας αριθμός Διεργασιών Πληροφορικής (IT Processes) που σχετίζονται με τον τομέα για παράδειγμα, ο Καθορισμός ενός Στρατηγικού Πλάνου για το ΠΣ είναι μια διεργασία πληροφορικής που διεξάγεται κύρια κατά τη φάση του σχεδιασμού του ΠΣ (πρώτος τομέας). Επιπρόσθετα, κάθε διεργασία πληροφορικής αναλύεται περαιτέρω σε δραστηριότητες (Activities/Tasks). Οι τομείς σκοπών ελέγχου είναι οι ακόλουθοι: Σχεδιασμός και Οργάνωση (Planning and Organization, PO). Καλύπτει τις στρατηγικές πληροφορικής και προσδιορίζει τους τρόπους με τους οποίους μπορεί να χρησιμοποιηθούν τα ΠΣ προκειμένου να υλοποιηθούν οι επιχειρησιακοί στόχοι. Ασχολείται επίσης με το σχεδιασμό, διαχείριση και διάχυση των επιχειρησιακών στρατηγικών σε όλα τα επίπεδα του οργανισμού, όπως επίσης και με την οργάνωση των υποστηρικτικών υποδομών. Προμήθεια και Υλοποίηση (Acquisition and Implementation, AI). Προσδιορίζει τα ΠΣ προς υλοποίηση και/ή προμήθεια, όπως επίσης και τις διαδικασίες ένταξής τους στις επιχειρησιακές διεργασίες. Επιπρόσθετα, καλύπτονται θέματα αλλαγών και συντήρησης των υπαρχόντων συστημάτων πληροφορικής, προκειμένου να υποστηριχθεί ο κύκλος ζωής των ΠΣ. Παράδοση και Υποστήριξη (Delivery and Support, DS). Η περιοχή αυτή ασχολείται με την παροχή των υπηρεσιών στον τελικό χρήστη. Αυτές οι υπηρεσίες ποικίλλουν από παραδοσιακές υπηρεσίες ασφάλειας και συνέχειας επιχειρησιακών Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 160

161 λειτουργιών έως εκπαίδευση και ενημέρωση, ενώ σημαντικό ρόλο παίζει η διαχείριση των υποστηρικτικών υποδομών για την τελική παροχή των υπηρεσιών. Έλεγχος και Παρακολούθηση (Monitoring, M). Ασχολείται με θέματα παρακολούθησης και ελέγχου των διεργασιών πληροφορικής μέσα στον οργανισμό, όπως επίσης και με την παροχή διαβεβαιώσεων για την απρόσκοπτη λειτουργία των ΠΣ. Θα πρέπει να σημειωθεί ότι οι σκοποί ελέγχου δεν έχουν την ίδια σπουδαιότητα για τον οργανισμό, αλλά εξαρτώνται κύρια από την αποστολή του ΠΣ, τις απαιτήσεις της Διοίκησης, τυχόν εξωγενείς περιορισμούς κλπ. Υπό αυτή την οπτική λοιπόν, ένας σκοπός ελέγχου δύναται να είναι: α) Πρωτεύων (Primary), όπου ο σκοπός ελέγχου επηρεάζει σε μεγάλο βαθμό τη διεργασία πληροφορικής, β) Δευτερεύων (Secondary), όπου ο σκοπός ελέγχου επηρεάζει τη διεργασία πληροφορικής σε μικρότερο βαθμό, και γ) Προαιρετικός 30 (Blank), όπου ο συγκεκριμένος σκοπός ελέγχου καλύπτεται από άλλους σκοπούς ελέγχου για τη συγκεκριμένη διεργασία πληροφορικής. Προκειμένου να διευκρινιστεί η σπουδαιότητα ενός σκοπού ελέγχου, η διεξαγωγή ανάλυσης επικινδυνότητας σε υψηλό επίπεδο είναι απαραίτητη. Η δομή του COBIT και οι τομείς σκοπών ελέγχου [ITGI COBIT, 2000] απεικονίζονται στην Εικόνα Αναφέρεται η απόδοση του αγγλικού όρου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 161

162 Εικόνα COBIT - Σκοποί και Τομείς Ελέγχου COBIT Σκοποί Ελέγχου Το Πλαίσιο Αναφοράς COBIT περιορίζεται (σκόπιμα) στον ορισμό σκοπών ελέγχου σε υψηλό επίπεδο, με τη μορφή μιας επιχειρησιακής ανάγκης που εντάσσεται σε κάποια συγκεκριμένη διεργασία ΠΣ. Η επίτευξη του σκοπού ελέγχου επιτυγχάνεται μέσω εν δυνάμει εφαρμόσιμων μηχανισμών ελέγχου. Η γενικότητα του ορισμού των σκοπών ελέγχου σκοπεύει στην ανεξαρτησία από τεχνικές υλοποιήσεις και λεπτομέρειες, χωρίς να παραβλέπεται το γεγονός ότι η εφαρμογή του COBIT σε ειδικά περιβάλλοντα και ΠΣ ενδέχεται να προϋποθέτει ειδικές παραδοχές εκ μέρους του ελεγκτή, όσον αφορά τους σκοπούς ελέγχου. Οι σκοποί ελέγχου στο COBIT έχουν οργανωθεί ανά διεργασία/δραστηριότητα ΠΣ, ενώ Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 162

163 παρέχεται και ένας εύχρηστος συνδυαστικός μηχανισμός πλοήγησης στους επιμέρους σκοπούς ελέγχου COBIT Οδηγίες Εφαρμογής προς τη Διοίκηση Προκειμένου να εφαρμοστεί η εταιρική διακυβέρνηση σε έναν οργανισμό, είναι απαραίτητο να οριστούν μετρικές, εργαλεία και τεχνικές τα οποία θα είναι στη διάθεση της Διοίκησης του ΠΣ και βάσει των οποίων α) θα αποτιμηθεί το επίπεδο ελέγχου του ΠΣ, β) θα επιλεχθούν οι κατάλληλοι μηχανισμοί ελέγχου, γ) θα βελτιωθεί η υποκείμενη τεχνολογική υποδομή του ΠΣ, και δ) θα μετρηθεί η απόδοση του ΠΣ σε διαφορετικά χρονικά σημεία της εφαρμογής του μοντέλου της εταιρικής διακυβέρνησης. Το πρότυπο στα πλαίσια των Οδηγιών Εφαρμογής προς τη Διοίκηση ορίζει τα ακόλουθα εργαλεία, τα οποία είναι το αποτέλεσμα των εργασιών μιας ομάδας 40 ειδικών ανά την υδρόγειο από την αγορά, πανεπιστήμια, κυβερνητικούς οργανισμούς, ειδικούς ασφάλειας ΠΣ και ελεγκτές ΠΣ: Μοντέλα Ωριμότητας (Maturity Models), τα οποία παρέχουν μια διαβάθμιση του οργανισμού ως προς το βαθμό εφαρμογής της εταιρικής διακυβέρνησης, τόσο συγκριτικά με άλλους οργανισμούς του ίδιου κλάδου/τομέα όσο και με σχετικά διεθνή πρότυπα, όπως επίσης και τους στόχους του οργανισμού όσον αφορά την εταιρική διακυβέρνηση, Κρίσιμοι Παράγοντες Επιτυχίας (Critical Success Factors), οι οποίοι ορίζουν σε διοικητικό επίπεδο τις σημαντικότερες οδηγίες υλοποίησης του ελέγχου στις διεργασίες ΠΣ, Κύριοι Δείκτες Στόχων (Key Goal Indicators), οι οποίοι είναι μετρικές για την επίτευξη των στόχων για τις διεργασίες ΠΣ (αποτελεσματικότητα) Κύριοι Δείκτες Απόδοσης (Key Performance Indicators), οι οποίοι είναι μετρικές για την απόδοση των διεργασιών ΠΣ κατά την επίτευξη των στόχων (αποδοτικότητα) COBIT Οδηγίες Εφαρμογής Ελέγχου και Εργαλειοθήκη Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 163

164 Υλοποίησης Σε αντιστοιχία με τις 34 διεργασίες/σκοπούς ελέγχου ΠΣ υψηλού επιπέδου, το πρότυπο ορίζει ένα σύνολο από Οδηγίες Εφαρμογής Ελέγχου προκειμένου να διευκολύνει την εφαρμογή του Πλαισίου Αναφοράς και των γενικών Σκοπών Ελέγχου μέσα από ελεγκτικές διαδικασίες. Ο στόχος των οδηγιών εφαρμογής ελέγχου είναι η παροχή μιας δομημένης προσέγγισης όσον αφορά τον έλεγχο και την αποτίμηση μηχανισμών ελέγχου ΠΣ, με βάση ευρέως αποδεκτές πρακτικές και τεχνικές. Οι οδηγίες εφαρμογής είναι σκόπιμα γενικές και ανεξάρτητες από τεχνολογίες και λεπτομέρειες υλοποίησης, ενώ επιτρέπουν στον ελεγκτή να αξιολογήσει τους μηχανισμούς ελέγχου του ΠΣ με βάση τους λεπτομερείς σκοπούς ελέγχου του COBIT. Επιπρόσθετα, το COBIT περιέχει μια Εργαλειοθήκη Υλοποίησης, η οποία παρέχει γνώση και εμπειρία από οργανισμούς οι οποίοι έχουν εφαρμόσει επιτυχώς το πλαίσιο COBIT. Η εργαλειοθήκη υλοποίησης περιέχει, εκτός των άλλων, δύο χρήσιμα εργαλεία: τη Διάγνωση Διοικητικού Βαθμού Επίγνωσης (Management Awareness Diagnostic), η οποία βοηθά τη Διοίκηση του ΠΣ να (επανα)προσδιορίσει την αποστολή, τους στόχους και τη σημασία του ΠΣ και τους κινδύνους που σχετίζονται με αυτό 31, και τη Διάγνωση Ελέγχου ΠΣ (IT Control Diagnostic), η οποία βοηθά στην ανάλυση των συστημάτων ελέγχου σε ένα ΠΣ. 31 Όσο και αν φαίνεται παράξενο, η επίδοση των Διοικήσεων των ΠΣ σε αυτή τη διαγνωστική δοκιμασία είναι (συνήθως) χαμηλή. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 164

165 Περιορισμοί και ιδιαιτερότητες του COBIT Η επιτυχής υλοποίηση του COBIT σε ένα οργανισμό προϋποθέτει ότι οι εμπλεκόμενες οντότητες γνωρίζουν το πρότυπο, όπως επίσης και τα δυνατά και αδύνατά του σημεία. Τα κυριότερα σημεία τα οποία πρέπει να ληφθούν υπόψη είναι τα εξής: Το COBIT απαιτεί αναδιοργάνωση της οπτικής των οντοτήτων του οργανισμού που εμπλέκονται στην εφαρμογή του (key players) μέσω ενημέρωσης και εκπαίδευσης. Αυτή η αναδιοργάνωση της κουλτούρας του οργανισμού δεν στέφεται πάντα από επιτυχία, είναι χρονοβόρα και η επιτυχημένη εφαρμογή του προτύπου δεν είναι πάντα άμεσα μετρήσιμη. Το COBIT είναι ένα πλαίσιο που πρέπει να προσαρμοστεί στον συγκεκριμένο οργανισμό για παράδειγμα, οι διεργασίες ΠΣ του COBIT πρέπει να συγκριθούν με τις υπάρχουσες διεργασίες ΠΣ του οργανισμού, να αποτιμηθούν οι κίνδυνοι και να οριστούν υπευθυνότητες για αυτές τις διεργασίες. Σαν ένα γενικό πλαίσιο εταιρικής διακυβέρνησης και ελέγχου ΠΣ, το COBIT συνιστάται να χρησιμοποιηθεί εκ παραλλήλου με άλλες ελεγκτικές προσεγγίσεις όπως το πλαίσιο AICPA/CICA SysTrust, ελεγκτικοί οδηγοί εξειδικευμένοι σε πλατφόρμες υλικού (όπως IBM και Sun), λογισμικού (όπως Novell και VMS) κλπ. Το COBIT δεν είναι μια συλλογή από μηχανισμούς και προγράμματα ελέγχου ΠΣ αντίθετα, περιέχει μια συλλογή από σκοπούς ελέγχου ΠΣ και οδηγίες ελέγχου που ενδέχεται να χρησιμοποιηθούν για την αποτίμηση της απόδοσης όσον αφορά την εφαρμογή των σκοπών ελέγχου. Επιπρόσθετα, το COBIT επιτρέπει με έμμεσο τρόπο την ταξινόμηση των κινδύνων που απειλούν την επίτευξη των επιχειρησιακών στόχων. Η ολική προσέγγιση του προτύπου η οποία στηρίζεται σε στόχους ελέγχου που είναι κοινοί στους περισσότερους οργανισμούς, καθιστά ελεγκτικές προσεγγίσεις που βασίζονται σε λίστες μηχανισμών ελέγχου (checklists) παρωχημένες και ανεπαρκείς, αφού η εμπειρία έχει καταδείξει ότι οι τελευταίες συνήθως προσθέτουν μηχανισμούς ελέγχου οι οποίοι είναι είτε μη αναγκαίοι, είτε αποτυγχάνουν να μειώσουν τους κινδύνους σε αποδεκτά επίπεδα. Οι Οδηγίες Εφαρμογής προς τη Διοίκηση είναι γενικές και παρέχουν ευρέως αποδεκτές βέλτιστες πρακτικές, ενώ σε καμία περίπτωση δεν απευθύνονται σε Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 165

166 συγκεκριμένες τεχνολογίες και υλοποιήσεις. Οι οργανισμοί που επιθυμούν να εφαρμόσουν το πρότυπο, θα πρέπει σε πολλές περιπτώσεις να προσαρμόσουν αυτό το γενικό σύνολο οδηγιών στο συγκεκριμένο περιβάλλον ΠΣ. 4.6 Άξονας 2: Το πρότυπο Διαχείρισης ΠΣ CIM Εισαγωγή Η διαχείριση πολλαπλών υποσυστημάτων σε κατανεμημένα ετερογενή περιβάλλοντα αποτελεί πλέον ανάγκη αλλά και πραγματικότητα. Δεν είναι πλέον επαρκής η μεμονωμένη διαχείριση προσωπικών υπολογιστών, υποδικτύων κλπ., αφού υπάρχουν αυξημένες ανάγκες διασυνδεσιμότητας και παροχής υπηρεσιών πληροφορικής μέσα σε έναν οργανισμό. Ο οργανισμός Distributed Management Task Force (DMTF) ηγείται της ανάπτυξης, της εφαρμογής καθώς και της ενοποίησης προτύπων και πρωτοβουλιών όσον αφορά στη διαχείριση επιχειρησιακών και δικτυακών περιβαλλόντων. Ένα τέτοιο πρότυπο, το οποίο δημιουργήθηκε για να καλύψει τις παραπάνω ανάγκες, είναι το Common Information Model (CIM). Το CIM είναι ένα εννοιολογικό πληροφοριακό μοντέλο, το οποίο χρησιμοποιείται για την περιγραφή των υπολογιστικών και επιχειρησιακών οντοτήτων σε δικτυακά και επιχειρησιακά περιβάλλοντα. Παρέχει έναν πλήρη ορισμό καθώς και μία συνεπή δομή των δεδομένων, χρησιμοποιώντας αντικειμενοστραφείς τεχνικές. Περιλαμβάνει διατυπώσεις για τα common elements, όπως είναι οι κλάσεις (classes), οι ιδιότητες (properties), οι μέθοδοι (methods), οι συσχετίσεις (associations) κ.λπ. Το μοντέλο αυτό χρησιμοποιεί ένα σύνολο από ορολογίες, οι οποίες σχετίζονται με τον αντικειμενοστραφή προγραμματισμό. Ο τυπικός ορισμός του μοντέλου διατυπώνεται σε αρχεία κειμένου με μια τυπική γλώσσα περιγραφής, τη Managed Object Format (MOF). Το CIM είναι μία ιεραρχική, αντικειμενοστραφής αρχιτεκτονική. Αποτελεί ένα πληροφοριακό μοντέλο, μία εννοιολογική όψη του περιβάλλοντος διαχείρισης που προσπαθεί να ενοποιήσει τα ήδη υπάρχοντα μοντέλα (όπως το SNMP, το DMI, το CMIP κ.λπ.) χρησιμοποιώντας αντικειμενοστραφή σχεδιασμό. Το μοντέλο αυτό δημιουργήθηκε για την περιγραφή του συνόλου της πληροφορίας για τη διαχείριση ενός δικτυακού / Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 166

167 επιχειρησιακού περιβάλλοντος. Το μοντέλο CIM αποτελείται από δύο τμήματα: από την Προδιαγραφή (Specification) και το Σχήμα (Schema). Η Προδιαγραφή καθορίζει τις λεπτομέρειες για την ολοκλήρωση με άλλα διαχειριστικά μοντέλα, καθώς αποτελεί τη γλώσσα και τη μεθοδολογία για την περιγραφή των δεδομένων διαχείρισης. Από την άλλη πλευρά, το Σχήμα παρέχει τις πραγματικές περιγραφές του μοντέλου και έτσι καθιστά δυνατή την περιγραφή των δεδομένων διαχείρισης, τα οποία προέρχονται από διαφορετικούς σχεδιαστές και βρίσκονται σε διαφορετικές πλατφόρμες με μία κοινή μορφοποίηση, έτσι ώστε να μπορούν να χρησιμοποιηθούν από ένα μεγάλο πλήθος εφαρμογών διαχείρισης. Το Σχήμα περιλαμβάνει μοντέλα για τα συστήματα (Systems), για τις εφαρμογές (Applications), για τα τοπικά δίκτυα (LAN) καθώς και για τις συσκευές (Devices). Στα επόμενα περιγράφονται συνοπτικά η Προδιαγραφή και το Σχήμα του CIM Προδιαγραφή του Μοντέλου CIM Το CIM αποτελεί μία προσέγγιση για τη διαχείριση των συστημάτων και των δικτύων, η οποία παρέχει τις βασικές κατασκευαστικές και εννοιολογικές τεχνικές για το αντικειμενοστραφές παράδειγμα (paradigm). Η προσέγγιση αυτή χρησιμοποιεί έναν ενιαίο φορμαλισμό μοντελοποίησης, που υποστηρίζει την ανάπτυξη του αντικειμενοστραφούς Σχήματος. Εικόνα 4.3: Αναπαράσταση Μοντέλου CIM με UML Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 167

168 Η Προδιαγραφή του μοντέλου CIM περιγράφει ένα μετά-μοντέλο, το οποίο βασίζεται στη Unified Modeling Language (UML). Το μοντέλο αυτό περιλαμβάνει εκφράσεις (expressions) για τα κοινά συστατικά (common elements π.χ. κλάσεις, ιδιότητες, συσχετίσεις κ.λπ.), των οποίων η έννοια θα πρέπει να αποδοθεί σωστά σε επιχειρησιακές εφαρμογές, σε συνδυασμό με τον επιχειρησιακό ρόλο (Business Purpose) του εν λόγω συστατικού. Η Προδιαγραφή καθορίζει επίσης την Managed Object Format (MOF) μία CIM γλώσσα (που χρησιμοποιείται για το συντακτικό) και βασίζεται στην Interface Definition Language (IDL) [ISO 14750, 1999]. Η Προδιαγραφή δεν περιγράφει συγκεκριμένες εφαρμογές του CIM, προγραμματιστικές διεπαφές (APIs) ή επικοινωνιακά πρωτόκολλα. Επίσης, η Προδιαγραφή δεν περιλαμβάνει τα Core και τα Common Models του μοντέλου CIM. Τα μοντέλα αυτά παράγονται ανεξάρτητα από την CIM Προδιαγραφή CIM Μετα-Σχήμα (CIM Meta-Schema) Το Μετα-Σχήμα του CIM αποτελεί τον τυπικό ορισμό του μοντέλου. Καθορίζει τους όρους που χρησιμοποιούνται για τη διατύπωση του μοντέλου καθώς και για την αναπαράσταση της σημασιολογίας του (Εικόνα 4.4). Εικόνα 4.4: Το Μετα-Σχήμα του CIM Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 168

169 Τα συστατικά του μετά-σχήματος είναι τα Σχήματα (Schemas), οι Κλάσεις (Classes), οι Ιδιότητες (Properties), και οι Μέθοδοι (Methods). Το μοντέλο επίσης, αναπαριστά τις Ενδείξεις (Indications) και τις Συσχετίσεις (Associations) ως τύπους των κλάσεων και τις Αναφορές (References) ως τύπους των ιδιοτήτων CIM Σχήμα (CIM Schema) Τα Σχήματα Διαχείρισης αποτελούν τα δομικά στοιχεία για τις πλατφόρμες και τις εφαρμογές διαχείρισης. Το CIM είναι δομημένο με τέτοιο τρόπο, έτσι ώστε το περιβάλλον διαχείρισης να μπορεί να θεωρηθεί σαν μία συλλογή από συσχετιζόμενα συστήματα, καθένα από τα οποία αποτελείται από ένα αριθμό διακριτών στοιχείων. Το CIM Σχήμα περιλαμβάνει ένα σύνολο από κλάσεις, ιδιότητες και συσχετίσεις μεταξύ τους, το οποίο παρέχει ένα κατανοητό εννοιολογικό μοντέλο με τη βοήθεια του οποίου είναι δυνατή η οργάνωση της διαθέσιμης πληροφορίας που αφορά στο περιβάλλον διαχείρισης. Το CIM Σχήμα είναι ο συνδυασμός των Core και Common Models καθώς και του Extension Schema, όπως απεικονίζεται στην Εικόνα 4.5). Εικόνα Επίπεδα Μοντέλου CIM Core Model (Βασικό Μοντέλο): Περιλαμβάνει τις έννοιες που είναι εφαρμόσιμες σε όλες τις περιοχές της διαχείρισης. Είναι ένα σύνολο από κλάσεις, συσχετίσεις και ιδιότητες, οι οποίες παρέχουν ένα βασικό λεξικό για την περιγραφή των διαχειριζόμενων συστημάτων. Common Models (Κοινά Μοντέλα): Πληροφοριακά μοντέλα, τα οποία περιλαμβάνουν έννοιες που είναι κοινές για συγκεκριμένες περιοχές διαχείρισης αλλά ανεξάρτητες από συγκεκριμένες τεχνολογίες ή εφαρμογές. Κάποια από τα Common Models αφορούν Εφαρμογές (Apps), Βάσεις δεδομένων (Database), Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 169

170 Συσκευές (Device), Γεγονότα (Event), Πολιτικές (Policy), Χρήστες (Users), κ.α. (βλ. και Εικόνα 4.6): Εικόνα 4.6: Τα Κοινά Μοντέλα του CIM Extension Schema (Σχήμα Προέκτασης): Τα σχήματα προέκτασης αναπαριστούν τεχνολογικές προεκτάσεις των Common Models. Τα σχήματα αυτά είναι συγκεκριμένα για κάποια περιβάλλοντα όπως είναι τα λειτουργικά συστήματα. Αναμένεται ότι τα Common Models θα εξελιχθούν σαν αποτέλεσμα της σταδιακής προώθησης (promotion) των αντικειμένων και των ιδιοτήτων τους, που έχουν καθοριστεί στα σχήματα προέκτασης. Στα επόμενα περιγράφονται το Βασικό Μοντέλο, τα Κοινά Μοντέλα και τα Σχήματα Επέκτασης Βασικό Μοντέλο (Core Model) Το Βασικό Μοντέλο είναι αυτό στο οποίο καθορίζεται η βασική κατηγοριοποίηση για τα βασικά συστατικά του διαχειριζόμενου περιβάλλοντος και για τις συσχετίσεις του. Η ιεραρχία των κλάσεων ξεκινά με την αφηρημένη κλάση Managed Element, η οποία με τη σειρά της έχει τις εξής υποκλάσεις: Managed System Element, Product, Setting and Configuration, Collection and the Statistical Data classes, κλπ. Από τις κλάσεις αυτές του Βασικού Μοντέλου, η προδιαγραφή επεκτείνεται σε μια σειρά κατευθύνσεων, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 170

171 απευθυνόμενο με αυτόν τον τρόπο σε πολλές προβληματικές περιοχές και συσχετίσεις μεταξύ των διαχειριζόμενων οντοτήτων. Το Βασικό Μοντέλο χωρίζεται στις παρακάτω ενότητες: Qualifiers οι ορισμοί των βασικών χαρακτηριστικών και (μετα) χαρακτηριστικών των τύπων κλάσεων Core Elements Οι έννοιες για τις βασικές κλάσεις του μοντέλου (π.χ. ManagedElement, ManagedSystemElement, LogicalElement, System, Service,...) και βασικές συσχετίσεις κλάσεων (π.χ. Dependency, Component, LogicalIdentity,...), Φυσικά Στοιχεία και Τοποθεσία (PhysicalElements & Location), Ταυτότητα Λογισμικού (SoftwareIdentity), Συσκευές Η λογική λειτουργία, διαμόρφωση και κατάσταση του υλικού (Devices - The "logical" function, configuration and state of hardware), Επεκτάσεις Αποθήκευσης (StorageExtents, υποκλάση του LogicalDevice), Πλεονάζουσα Πληροφορία Διαχείρισης (Redundancy Information, υποκλάση του LogicalDevice εναλλακτικά χρησιμοποιείται και για κατανομή φόρτου load balancing), Συλλογές (Collections), Προϊόν και FRUs (Product and FRUs), Στατιστικά (Statistics), Δυνατότητες η υπερκλάση για την περιγραφή των διαφόρων δυνατοτήτων συγκεκριμένων Διαχειριζόμενων Στοιχείων, Ρυθμίσεις και Προφίλ (Settings and Profiles), Παράμετροι Μεθόδων (Method Parameters), Διαχείριση Ισχύος (Power Management) Κοινά Μοντέλα (Common Models) Τα Κοινά Μοντέλα του CIM είναι τα ακόλουθα: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 171

172 Μοντέλο Συστημάτων (Systems Model) Το Μοντέλο Συστημάτων καθορίζει τα βασικά χαρακτηριστικά τα οποία έχουν σχέση με τα διαχειριζόμενα συστήματα. Ένα διαχειριζόμενο σύστημα μπορεί να είναι ένα λειτουργικό σύστημα, ένα σύστημα δικτύου, ένα σύστημα εφαρμογών. Στο μοντέλο αυτό καθορίζεται η κλάση CIM_ManagedSystemElement, από την οποία πρέπει να προκύπτουν μέσω κληρονομικότητας όλες οι κλάσεις του συστήματος, συμπεριλαμβανομένων των κλάσεων που καθορίζουν τις υπηρεσίες, τα αρχεία του συστήματος, τις διεργασίες κ.λ.π Μοντέλο Δικτύων (Networks Model) Το Μοντέλο Δικτύων καθορίζει μία σειρά από κλάσεις, συσχετίσεις, μεθόδους και ιδιότητες που αναπαριστούν τα χαρακτηριστικά ενός δικτυακού περιβάλλοντος. Τα χαρακτηριστικά αυτά περιλαμβάνουν πρωτόκολλα, υπηρεσίες και την τοπολογία του δικτύου Μοντέλο Συσκευών (Devices Model) Το Μοντέλο Συσκευών καθορίζει τα φυσικά και τα λογικά συστατικά που υποστηρίζουν το σύστημα. Παραδείγματα των κλάσεων που αποτελούν μέρος του μοντέλου των συσκευών είναι οι κλάσεις: CIM_POTS Modem, CIM_Processor, CIM_Printer, και CIM_DesktopMonitor Φυσικό Μοντέλο (Physical Model) Το Φυσικό Μοντέλο δεν θα πρέπει να συγχέεται με το Μοντέλο Συσκευών. Το τελευταίο καθορίζει ένα σύνολο από κλάσεις που υποστηρίζουν το διαχειριζόμενο σύστημα ενώ το Φυσικό Μοντέλο αναπαριστά το φυσικό περιβάλλον. Κάθε διαχείριση ενός από τα φυσικά συστατικά μέσα στο περιβάλλον του αποτελεί αποτέλεσμα της διαχείρισης ενός σχετικού λογικού αντικειμένου. Καθώς το φυσικό μοντέλο αναπαριστά τα φυσικά χαρακτηριστικά ενός συστήματος, οι κλάσεις που περιέχει θα διαφέρουν αισθητά, ανάλογα με το σύστημα (για παράδειγμα: οι διαφορές μεταξύ της αρχιτεκτονικής ενός HP Mainframe και ενός προσωπικού υπολογιστή). Οι κλάσεις αυτές προφανώς θα αλλάζουν για να ακολουθούν τις εξελίξεις στην τεχνολογία. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 172

173 Μοντέλο Εφαρμογών (Applications Model) Το Μοντέλο των Εφαρμογών περιγράφει τις λεπτομέρειες που απαιτούνται για τη διαχείριση ενός συνόλου εφαρμογών λογισμικού. Η ανομοιομορφία των εφαρμογών αποτελεί παράγοντα, ο οποίος απαιτεί από το μοντέλο να είναι αρκετά ευέλικτο για να περιγράφει κατανεμημένες εφαρμογές ή εφαρμογές που τρέχουν σε πολλές πλατφόρμες. Το μοντέλο αυτό δανείζεται αρκετά στοιχεία από τον κύκλο ζωής του λογισμικού εφαρμογών, ο οποίος περιγράφει τις διάφορες φάσεις του λογισμικού από τη στιγμή που αγοράζεται μέχρι τη στιγμή που εκτελείται Μοντέλο Πολιτικών (Policy Model) Το Μοντέλο Πολιτικής καθιστά δυνατή την αναπαράσταση και τη διαχείριση της πολιτικής του οργανισμού από τους προγραμματιστές εφαρμογών (application developers), τους διαχειριστές πολιτικής (policy administrators), και τους διαχειριστές δικτύων (network administrators) ανάμεσα σε μία ποικιλία από τεχνικές περιοχές που συμπεριλαμβάνουν την ασφάλεια, τα δίκτυα και τη διαχείριση συστημάτων Μοντέλο Υποστήριξης (Support Model) Το Μοντέλο Υποστήριξης περιγράφει τα αντικείμενα και τα υπομοντέλα συναλλαγής γνώσης που έχουν σχέση με υποστηρικτικές δραστηριότητες (Λύσεις Solutions). Τα υπομοντέλα των αντικειμένων και των συναλλαγών αναφέρονται ως Problem Resolution Standards ή αλλιώς PRS Μοντέλο Χρηστών (User Model) Το Μοντέλο Χρηστών παρέχει ένα σύνολο από σχέσεις μεταξύ των διαφορετικών αναπαραστάσεων των χρηστών, των διαπιστευτηρίων τους και των διαχειριζόμενων συστατικών του συστήματος που αναπαριστούν τους πόρους και τους διαχειριστές των πόρων Μοντέλο Μετρικών (Metrics Model) Το Μοντέλο Μετρικών καθορίζει τις κλάσεις που αναπαριστούν μία μονάδα εργασίας και τις σχετικές μετρικές. Για παράδειγμα μία διεργασία εκτύπωσης, θα μπορούσε να είναι μία Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 173

174 μονάδα εργασίας και ο αριθμός των σελίδων προς εκτύπωση, η μετρική της Μ οντέλο Διαλειτουργικότητας (Interop Model) Το Μοντέλο Διαλειτουργικότητας καθορίζει τις αρχιτεκτονικές και τους μηχανισμούς που επιτρέπουν στις WBEM εφαρμογές να λειτουργούν με έναν ανοιχτό και συγκεκριμένο τρόπο. Οι εφαρμογές αυτές αποτελούν ένα σύνολο από διαχειριστικές και δικτυακές τεχνολογίες που έχουν αναπτυχθεί για την ενοποίηση της διαχείρισης επιχειρησιακών υπολογιστικών περιβαλλόντων (enterprise computing environments). Οι εφαρμογές αυτού του είδους επιτρέπουν τη δημιουργία εργαλείων διαχείρισης των δικτυακών τεχνολογιών [DMTF WBEM, 2006]. Επιπρόσθετα με τα παραπάνω μοντέλα υπάρχει και ένας αριθμός από υπομοντέλα που συμπεριλαμβάνουν τα εξής: CIM Network Submodel IPsec Policy Model. Καθορίζει τον αριθμό των CIM προεκτάσεων που αναπαριστούν το μοντέλο των IP πολιτικών ασφάλειας. CIM Submodel Storage Model. Καθορίζει τις λογικές συσκευές που έχουν σχέση με την αποθήκευση των δεδομένων. CIM Device Submodel Sensor Model. Καθορίζει τις επιπλέον ιδιότητες και τις μεθόδους για τις κλάσεις CIM_Sensor και CIM_Numeric Sensor. CIM Device Submodel Printer Model. Περιγράφει τη διαχείριση της λειτουργικότητας και των πρωτοκόλλων που είναι απαραίτητα για τους εκτυπωτές. CIM Submodel Fault Tolerant Model. Καθορίζει έναν αριθμό από προεκτάσεις ανεκτικότητας σφαλμάτων στο μοντέλο CIM. CIM System Submodel Diagnostic Model. Περιγράφει περαιτέρω χαρακτηριστικά που είναι απαραίτητα για την επιτυχή διάγνωση σε λειτουργικά συστήματα που επεξεργάζονται παράλληλα πολλές διεργασίες. Οι κλάσεις, οι ιδιότητες, οι συσχετίσεις και οι μέθοδοι στα Common Models παρέχουν μία μοντελοποίηση των συστημάτων προς διαχείριση, η οποία είναι αρκετά λεπτομερής για να χρησιμοποιηθεί σαν βάση για το σχεδιασμό και μερικές φορές για την υλοποίηση ενός εκτεταμένου μοντέλου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 174

175 Σχήμα Προέκτασης (Extension Schema) Με τη χρήση των προεκτάσεων (extensions), οι σχεδιαστές μπορούν να επεκταθούν από τις κλάσεις και τις συσχετίσεις του βασικού τους μοντέλου σε ένα άλλο (συμβατικό με το προηγούμενο), για να καλύψουν την περιοχή διαχείρισης που είναι σχετική με το θέμα που πραγματεύονται. Ένα από τα πολλά πλεονεκτήματα του CIM είναι ότι αποτελεί μια εκτενή και ξεκάθαρη γλώσσα μοντελοποίησης για την αναπαράσταση των χαρακτηριστικών διαχείρισης. Τα Σχήματα Προέκτασης (Extensions Schemas) αναπαριστούν τεχνολογικές προεκτάσεις του Common Schema. Η προέκταση του CIM ή κάποιου άλλου σχήματος μπορεί να αναφέρεται σε μια πλειάδα από θέματα, όπως: Συμπλήρωση μίας ιδιότητας σε μία ήδη υπάρχουσα κλάση ή υποκλάση του CIM, Συμπλήρωση μίας καινούριας κλάσης ή ενός συνόλου από κλάσεις στο CIM, Δημιουργία καινούριου σχήματος. Παρακάτω παρατίθεται μία σειρά από τις μετατροπές που υποστηρίζονται στα σχήματα βασισμένα σε CIM μερικές από τις οποίες μπορούν να επιφέρουν αλλαγές στη συμπεριφορά της εφαρμογής που χρησιμοποιεί το σχήμα. Μια κλάση μπορεί να συμπληρωθεί ή να διαγραφεί από ένα σχήμα, Μία ιδιότητα μπορεί να συμπληρωθεί ή να διαγραφεί από μία κλάση, Μία κλάση μπορεί να προστεθεί σαν υποκλάση ή υπερκλάση μίας άλλης κλάσης, Μια μέθοδος μπορεί να προστεθεί σε μία κλάση, κ.λπ. Στον καθορισμό της προέκτασης ενός σχήματος, ο σχεδιαστής αυτού αναμένεται να εφαρμόσει τους περιορισμούς των κλάσεων που καθορίζονται στο Core Model. Προτείνεται το κάθε συστατικό που προστίθεται στο σύστημα να ορίζεται σαν υποκλάση μίας κλάσης του Core Model [DMTF CIM, 2003] MOF (Meta-Object Facility) Όπως αναφέρθηκε παραπάνω, ο τυπικός ορισμός του μοντέλου CIM διατυπώνεται με τη βοήθεια της γλώσσας Managed Object File (MOF) που βασίζεται στην Interface Definition Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 175

176 Language (IDL) [ISO 14750, 1999]. Η MOF αποτελεί μία γενικότερη υποδομή για την περιγραφή και την αναπαράσταση της μετά-πληροφορίας σε ένα περιβάλλον CORBA. Σε αυτό το πλαίσιο, ο όρος μετα-πληροφορία καλύπτει οποιαδήποτε πληροφορία, η οποία κατά μία έννοια περιγράφει άλλες πληροφορίες. Στις πληροφορίες αυτές, εκτός των άλλων, συμπεριλαμβάνονται: Ορισμοί διεπαφής για αντικείμενα τύπου CORBA και COM, Τύποι υπηρεσιών για τον CORBA Trader, Μοντέλα και πληροφορία για τη διαχείριση projects για εργαλεία ανάπτυξης λογισμικού, κ.λπ. Η MOF έχει σχεδιαστεί με τέτοιο τρόπο, ώστε να μπορεί να υποστηρίζει διαφορετικά είδη μετά-πληροφορίας. Αυτό έχει επιτευχθεί με τη διαχείριση της μετά-πληροφορίας σαν να ήταν κανονική πληροφορία και με τη μοντελοποίηση του κάθε διακριτού είδους πληροφορίας. Η προδιαγραφή MOF καθορίζει επίσης, μία IDL αντιστοίχηση που επιτρέπει στα μοντέλα (που έχουν γραφτεί σε γλώσσα MOF) να μετατρέπονται σε διαφορετικές διεπαφές CORBA. Το μοντέλο MOF βασίζεται στις έννοιες του μοντέλου οντοτήτων συσχετίσεων. Τα τρία κύρια χαρακτηριστικά για την κατασκευή του μοντέλου της μετάπληροφορίας είναι: τα Αντικείμενα Objects (αναπαρίστανται από τις MOF κλάσεις), οι Σχέσεις Links μεταξύ των αντικειμένων (αναπαρίστανται από τις MOF συσχετίσεις) και οι Τιμές Data Values (περιγράφονται από τους CORBA IDL τύπους). Τα (στιγμιότυπα) instances αυτών των δομών οργανώνονται σαν MOF Πακέτα Packages. Η γραμματική του συντακτικού της MOF περιγράφεται στο notation, το οποίο έχει καθοριστεί στο Augmented BNF για την Προδιαγραφή του Συντακτικού (Syntax Specifications). Το συντακτικό της MOF αποτελεί τρόπο για την περιγραφή των ορισμών των αντικειμένων σε μορφή κειμένου. Τα κυριότερα συστατικά της προδιαγραφής είναι οι περιγραφές (σε κείμενο) των κλάσεων, των συσχετίσεων, των ιδιοτήτων, των μεθόδων κ.λπ. Επίσης, επιτρέπονται τα σχόλια ενώ ένα αρχείο MOF μπορεί να γραφτεί είτε σε Unicode είτε σε UTF-8 μορφή. Το αρχείο MOF απαρτίζεται βασικά από έναν αριθμό κλάσεων και δηλώσεων στιγμιοτύπων (instance declarations [DMTF CIM, 2003]). Ο Πίνακας 4.2 επιδεικνύει ένα παράδειγμα MOF για ορισμό μιας τάξης (class) και του σχετικού στιγμιότυπου (instance). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 176

177 Πίνακας 4.2: Ορισμός κλάσεων και στιγμιοτύπων στη MOF Class Example [Version ("2.7.0"), Experimental, Description ( "A CIM is a type of CIM_WBEMService " "that instruments one or more aspects of the CIM Schema. " "A CIM_Provider operates at the request of the " "CIM_ObjectManager to perform operations on CIM objects. " "The properties CreationClassName, SystemCreationClassName " "and SystemName can be set to empty strings. In this case, " "the CIM Object Manager must interpret the properties with " "the local system information.") ] class CIM_Provider : CIM_WBEMService { Instance Example instance of CIM_Provider { Name = "ACME_OperatingSystemProvider"; Handle = "ACME_OperatingSystemProvider"; }; instance of CIM_ProviderCapabilities { ClassName = "CIM_OperatingSystem"; ProviderType = { 2 }; SupportedProperties = NULL; SupportedMethods = NULL; }; [Override ("Name"), Description ( "A human-readable name that uniquely " "identifies the provider within a system.") ] string Name; Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 177

178 Class Example [Required, Description ( "An implementation specific string that identifies the " "handle to the provider.") ] string Handle;}; Instance Example 4.7 Άξονας 3: Το Οντολογικό Μοντέλο Αναπαράστασης Γνώσης Αναπαράσταση Γνώσης Η γνώση (knowledge) είναι το βασικό όχημα για την κατανόηση και τελικά αποτελεσματική διαχείριση κάθε συστήματος κατασκευασμένου από τον άνθρωπο. Η κατανόηση του οποιουδήποτε γνωστικού πεδίου (domain) από τον άνθρωπο προϋποθέτει την υιοθέτηση ορισμένων βασικών νοητικών κατασκευών (ή μοντέλων) με βάση τα οποία οριοθετεί το αντικείμενο ενδιαφέροντος του προκειμένου να το μελετήσει. Ορισμένες τέτοιες βασικές κατασκευές είναι οι οντότητες / αντικείμενα που υφίστανται (και ταυτόχρονα προσδιορίζουν τα όρια) στο γνωστικό πεδίο, οι ιδιότητες και οι σχέσεις μεταξύ τους, οι νόμοι ή αξιώματα που επικρατούν και οι τρόποι με τους οποίους το όλο σύστημα μεταβαίνει από μια κατάσταση σε μια άλλη (state transition). Προκειμένου ο άνθρωπος να αντιμετωπίσει την έμφυτη πολυπλοκότητα των γνωστικών χώρων με ένα διαχειρίσιμο τρόπο που υποστηρίζει συνάμα την κατανόησή του, καταφεύγει στη μοντελοποίηση των γνωστικών χώρων: από τη μια πλευρά απεμπολεί (πιθανά) τον πλήρη πλούτο της υπάρχουσας πληροφορίας (που όμως είναι δύσκολο ή και αδύνατο να διαχειριστεί), αλλά από τη άλλη βρίσκεται με ένα σύνολο προσεγγιστικών αναπαραστάσεων με ιδιότητες, γνωρίσματα και σχέσεις που είναι διαχειρίσιμες και -πολλές φορές- μετρήσιμες. Με τον ίδιο τρόπο, το γνωστικό πεδίο της ασφάλειας ΠΣ υπόκειται στους ίδιους νόμους: προκειμένου να κατανοήσουμε το αυξημένης πολυπλοκότητας γνωστικό πεδίο της ασφάλειας ΠΣ, καταφεύγουμε στην ατελή αλλά διαχειρίσιμη αναπαράσταση της γνώσης ασφάλειας. Προχωρώντας ένα βήμα ακόμη, μπορούμε με ασφάλεια να υποθέσουμε ότι τα συστήματα που ενσωματώνουν «ευφυή» συμπεριφορά θα μπορούν να αποκτήσουν Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 178

179 μεγαλύτερο και ουσιαστικότερο έλεγχο πάνω στις αλλαγές των καταστάσεών τους συγκριτικά με τα συστήματα που θα συνεχίσουν να βασίζονται μόνο στην ανθρώπινη παρέμβαση και διαχείριση. Η αναπαράσταση της γνώσης λοιπόν είναι ένας κρίσιμος παράγοντας για τη βιωσιμότητα ενός συστήματος, συμπεριλαμβανομένων και των ΠΣ. Ένας ορισμός της Αναπαράστασης Γνώσης είναι ο εξής: «Αναπαράσταση Γνώσης είναι ο τομέας της επιστήμης που ασχολείται με τη χρήση επίσημων συμβόλων για την αναπαράσταση συνόλων από κατηγορήματα» [Stergiou and Vouros, 2003]. Η Αναπαράσταση Γνώσης έχει πέντε διακριτούς ρόλους (για μια περαιτέρω ανάλυση, ο αναγνώστης παραπέμπεται στο [Μιχαηλίδου, 2004]): Ρόλος 1ος: Η αναπαράσταση γνώσης είναι μία αναπλήρωση. Ρόλος 2ος: Η αναπαράσταση γνώσης είναι ένα σύνολο οντολογικών δεσμεύσεων. Ρόλος 3ος: Η αναπαράσταση γνώσης είναι μία αποσπασματική θεωρία ευφυούς συλλογισμού. Ρόλος 4ος: Η αναπαράσταση γνώσης είναι ένα μέσο για αποδοτικό υπολογισμό. Ρόλος 5ος: Η αναπαράσταση γνώσης είναι ένα μέσο για την ανθρώπινη έκφραση Σημασιολογικός Ιστός και Οντολογίες Το αυξανόμενο ενδιαφέρον για την αναπαράσταση γνώσης ενισχύεται και από την εξέλιξη του Σημασιολογικού Ιστού (Semantic Web), όπου: «Ο Σημασιολογικός Ιστός αποτελεί μία προέκταση του υπάρχοντος ιστού, στον οποίο η πληροφορία έχει ένα καλά ορισμένο νόημα, πράγμα το οποίο επιτρέπει στους υπολογιστές και στους ανθρώπους να επικοινωνούν καλύτερα.» [Berners-Lee et al., 2001]. Το βασικό συστατικό μίας τυπικά αποτυπωμένης γνώσης είναι η αντιληπτικότητα (conceptualization), δηλ. η «εικόνα» που προσλαμβάνεται για τα αντικείμενα, τις έννοιες και τις οντότητες που υπάρχουν σε ένα γνωστικό πεδίο καθώς και στις σχέσεις αυτών. Κατά τον Gruber, μια οντολογία είναι «ένας τυπικός και ρητός προσδιορισμός μιας κοινής αντιληπτικότητας» ( Ontology is a formal, explicit specification of a shared conceptualization ) [Gruber 1993]. O όρος είναι δανεισμένος από την φιλοσοφία, όπου μία Οντολογία είναι η συστηματική περιγραφή μίας ύπαρξης. Μία οντολογία αποτελείται Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 179

180 από ένα λεξιλόγιο όρων/εννοιών, μία ερμηνεία αυτών (πιθανοί ορισμοί) καθώς και από την αποτύπωση των σχέσεων μεταξύ των όρων αυτών. Οι οντολογίες χωρίζονται σε τέσσερις μεγάλες κατηγορίες. Ακολουθούν κατά σειρά από το γενικό προς το ειδικό [Παπαγιαννακόπουλος, 2004]: Οντολογίες Ανώτατου Επιπέδου (Top-level ontologies): Ασχολούνται με έννοιες όπως ο χώρος, ο χρόνος, γεγονότα (στην αφηρημένη έννοιά τους). Σκοπός τους είναι η μοντελοποίηση των εννοιών αυτών έτσι ώστε να χρησιμοποιούνται σε διαφορετικά πεδία ορισμού (domains) με τον ίδιο τρόπο (π.χ. εργασίες από το ANSI X3T2 Ad Hoc Group on Ontology). Οντολογίες Γνωστικών Πεδίων (Domain ontologies): Οι συγκεκριμένες οντολογίες όπως είναι φανερό και από το όνομά τους, χρησιμοποιούνται για να περιγράψουν τυπικά τα αντικείμενα και τις σχέσεις τους σε ένα πεδίο εφαρμογής (ή αλλιώς σε ένα κομμάτι του πραγματικού κόσμου). Είναι δημοφιλείς σε πεδία εφαρμογής όπως η μοριακή βιολογία, η αρχαιολογία κ.α. Συνήθως αποτελούν μία προέκταση των Οντολογιών Ανώτατου Επιπέδου. Οντολογίες Λειτουργιών (Task ontologies): Οι οντολογίες λειτουργιών ασχολούνται με τις διεργασίες που λαμβάνουν χώρα σε ένα συγκεκριμένο πεδίο εφαρμογής (λ.χ. μετακίνησης, δανεισμού, συντήρησης, εισαγωγής, διαγραφής, συντήρησης αντικειμένων) και γενικά διαχειριστικών λειτουργιών. Και αυτές με την σειρά τους αποτελούν προέκταση των Οντολογιών Ανώτατου Επιπέδου, χρησιμοποιώντας τις Οντολογίες Γνωστικών Πεδίων για αναφορές στα αντικείμενα που διαπραγματεύονται. Οντολογίες Εφαρμογής (Application ontologies): Η τελευταία κατηγορία οντολογιών είναι στην ουσία η εξειδίκευση όλων των παραπάνω κατά τέτοιο τρόπο έτσι ώστε να λύσει τυχόν προβλήματα επικοινωνίας σε μία συγκεκριμένη ομάδα ανθρώπων. Χρησιμοποιείται κατά κύριο λόγο ως «ενδιάμεσος» μεταξύ ανομοιογενών λογισμικών, που όμως έχουν με το ίδιο πεδίο ορισμού. Οι οντολογίες χρησιμοποιούνται ευρέως για τους επόμενους λόγους: Για τον διαμοιρασμό μίας κοινής αντίληψης που υπάρχει μεταξύ ανθρώπων με διαφορετική κουλτούρα αλλά και μεταξύ διαφορετικών συστημάτων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 180

181 Για την επαναχρησιμοποίηση γνώσης. Για την εξάλειψη των ασαφειών σχετικά με τους όρους και έννοιες που έχουν νόημα σε ένα γνωστικό πεδίο εφαρμογής (domain) Για να υπάρχει μία κοινή ανάλυση της γνώσης και εξαγωγή κοινών συμπερασμάτων από διαφορετικές ομάδες χρηστών. Κάποιες δημοφιλείς εφαρμογές των οντολογιών είναι: Επικοινωνία: είτε μεταξύ μεμονωμένων ατόμων είτε μεταξύ οργανισμών Διαδραστικότητα μεταξύ συστημάτων υπολογιστών: μετάφραση των μεθόδων μοντελοποίησης, κωδικοποίηση πληροφοριών από το ένα σύστημα στο άλλο κ.α. Τεχνολογία Λογισμικού: Στον τομέα της επαναχρησιμοποίησης κώδικα όπου τυπικές αποτυπώσεις μεθόδων και εργαλείων μπορούν εύκολα να υιοθετηθούν από καινούργιες ομάδες προγραμματιστών, στον τομέα της αξιοπιστίας όπου έλεγχοι συνέπειας αλλά και συνοχής του κώδικα μπορούν να γίνουν ευκολότερα, αλλά και στον τομέα των απαιτήσεων όπου μπορούν να βοηθήσουν τον αναλυτή να αποτυπώσει τις απαιτήσεις σε μία τυπική μορφή απολύτως κατανοητή και χωρίς ασάφειες για τον προγραμματιστή Τεχνικές αποτύπωσης οντολογιών Οι οντολογίες είναι πολύ δημοφιλείς στην επιστημονική κοινότητα στον τομέα της αναπαράστασης της γνώσης, κάτι που οδήγησε στη δημιουργία ενός μεγάλου αριθμού τεχνικών αποτύπωσης οντολογιών. Στην ενότητα αυτή αναφέρονται η εξέλιξη των σημαντικότερων τεχνικών, τα πλεονεκτήματα και τα μειονεκτήματα που παρουσιάζει η κάθε μία και επισημάνσεις σχετικά με τις αρχές σχεδίασης για κάθε γλώσσα. Τα πλεονεκτήματα και τα μειονεκτήματα εστιάζονται κατά κύριο λόγο στα σχεδιαστικά κριτήρια που έχει προτείνει ο οργανισμός W3C [W3C, 2006], τα οποία είναι [Heflin, 2004]: Ο Διαμοιρασμός Οντολογιών (Ontology Sharing), Η Εξέλιξη των Οντολογιών (Ontology Evolution), Η Διαλειτουργικότητα μεταξύ Οντολογιών (Ontology Interoperability), Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 181

182 Η Ανίχνευση Ασυνεπειών (Inconsistency Detection), Ισορροπία μεταξύ Εκφραστικότητας και Επεκτασιμότητας (Balance of Expressivity and Scalability) Η Ευκολία στην Χρήση (Ease of Use), Η Συμβατότητα με άλλα Πρότυπα (Compatibility with other Standards), και Η Διεθνοποίηση Υποστήριξη πολλών γλωσσών (Internationalization) Γλώσσες Αναπαράστασης Οντολογιών Οι πιο διαδεδομένες γλώσσες του σημασιολογικού ιστού (Semantic Web) είναι η RDF, η RDFS, η OIL, η DAML+OIL, και η OWL. Οι γλώσσες αυτές δεν είναι ανεξάρτητες μεταξύ τους, αλλά υπάρχει μία αρχιτεκτονική στρωμάτων (βλ. Σχήμα 4.6). Στο κατώτερο επίπεδο βρίσκεται η XML [Bray et al., 2000] η οποία χρησιμοποιείται για το συντακτικό όλων των υπερκείμενων γλωσσών. Η υπερκείμενη γλώσσα της XML, η RDF (Resource Description Framework) [Lassila and Swick, 1999], είναι μία απλή γλώσσα για αναπαράσταση μεταδεδομένων. Η RDF χρησιμοποιείται για σκοπούς υπομνηματισμού (annotation) πηγών του Web. Αμέσως μετά σε όρους εκφραστικότητας βρίσκεται η RDFS (RDF Schema) [Brickley and Guha, 2000], η οποία, όπως αναφέρει και το όνομά της, μπορεί να χρησιμοποιηθεί για δημιουργία σχημάτων που ορίζουν έννοιες καθώς και τις πιθανές σχέσεις που υπάρχουν μεταξύ των εννοιών, ενώ κάνει χρήση των κατασκευών της RDF. Ένα επίπεδο πιο πάνω (από το επίπεδο αυτό και στη συνέχεια οι γλώσσες οντολογιών αναφέρονται σαν λογικές γλώσσες) βρίσκεται η OIL [Fensel et al., 2000], [Fensel et al., 2001] και η DAML [Hendler and McGuinness, 2000], [DAML, 2004]. Η OIL (Ontology Inference Layer) αποτελεί μία γλώσσα με ισχυρή εκφραστική δύναμη για την δημιουργία οντολογιών. Η OIL αποτελεί μία προσπάθεια της αγγλικής επιστημονικής κοινότητας. Ταυτόχρονα, η αμερικανική επιστημονική κοινότητα παρουσίασε την DAML (DARPA Agent Markup Language). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 182

183 Σχήμα 4.6: Η Αρχιτεκτονική του Σημασιολογικού Ιστού κατά Berners-Lee Η πλέον πρόσφατη έκδοση και των δύο γλωσσών είναι η DAML+ OIL [DAML+OIL, 2001], η συνένωση των δύο γλωσσών σε μία προσπάθεια δημιουργίας μίας ισχυρής γλώσσας που εκμεταλλεύεται τα πλεονεκτήματα των δύο γλωσσών. Τέλος, στο τελευταίο επίπεδο βρίσκεται η OWL [Dean et al., 2004] ίσως η ισχυρότερη μεταξύ των γλωσσών. Παρακάτω ακολουθεί μία ανάλυση για την κάθε γλώσσα ξεχωριστά [Παπαγιαννακόπουλος, 2004]. RDF / RDF (S): Η πρώτη εξέλιξη στην προσπάθεια αποτύπωσης της γνώσης μετά την απλούστατη XML ήταν η RDF (Resource Description Framework) [Lassila and Swick, 1999]. Η RDF αποτελεί στην ουσία επέκταση της XML. Η εκφραστική δύναμή της είναι αρκετά περιορισμένη και οι συμπερασματικές της ικανότητες δεν είναι οι ισχυρότερες μεταξύ των διαφορετικών γλωσσών, παρέχοντας έτσι έναν περιορισμένο συμπερασματικό μηχανισμό κατάλληλο μόνο για ελέγχους περιορισμών (constraint checking). Η RDF εξελίχθηκε στην RDF-S [Brickley and Guha, 2000] η οποία παρέχει δυνατότητες ορισμού ενός σχήματος, κάτι το οποίο δεν υπήρχε στην απλή RDF. Το γεγονός αυτό και σε συνδυασμό με την πληθώρα εργαλείων και παραδειγμάτων που βρίσκονται διαθέσιμα στο κοινό, καθιστούν την γλώσσα πολύ διαδεδομένη. Οι RDF / RDF (S) υποστηρίζουν πολλές φυσικές γλώσσες και είναι συμβατή με την HTML, της οποίας θεωρείται ότι είναι υπερσύνολο (superset). H επιστημονική κοινότητα ασχολείται με την περαιτέρω ανάπτυξη και βελτίωσή της. OIL: Η εκφραστική δύναμη της OIL αποτελεί ισχυρό πλεονέκτημα έναντι της RDFS. Οι συμπερασματικές ικανότητες που προσφέρει, παρέχουν ελέγχους συνέπειας για τα Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 183

184 αντικείμενα της οντολογίας, ευκολία στην διασύνδεση ξεχωριστών οντολογιών καθώς και εντοπισμό τυχόν υπονοούμενων σχέσεων μεταξύ των αντικειμένων [Fensel et al., 2000], [Fensel et al., 2001]. Η OIL επιτρέπει μερικώς την δημιουργία κανόνων απεικόνισης 32 των αντικειμένων. Επιπλέον, υποστηρίζει διάφορες φυσικές γλώσσες γεγονός που την καθιστά φιλική και εύχρηστη για τον χρήστη, ενώ υπάρχουν αρκετά σχετικά εργαλεία καθώς και αρκετό υλικό με αναλυτικά παραδείγματα δημόσια προσβάσιμο. Όσον αφορά στην συμβατότητα η OIL είναι βασισμένη στη Description Logics όσο και στην F-Logic (Frame Based Logics). Η Description Logics περιγράφει τις σχέσεις που μπορεί να υπάρχουν μεταξύ στιγμιοτύπων (instances) των τάξεων μίας οντολογίας. Η F-Logic αποτελεί στην ουσία μεταφορά των αρχών του αντικειμενοστραφούς προγραμματισμού στο χώρο των οντολογιών, δηλ. παρέχει δυνατότητες κληρονομικότητας και ιεραρχίας των τάξεων. Κάτι που αξίζει να σημειωθεί είναι το γεγονός ότι το βασικό τμήμα της OIL συμπίπτει με αυτό της RDFS εκτός από την δυνατότητα αναπαράστασης αφηρημένων κλάσεων, κάτι που δεν παρέχει η OIL, η οποία δεν αναπτύσσεται πλέον. DAML+OIL: Οι συμπερασματικοί μηχανισμοί (inference mechanisms) που παρέχει είναι αρκετά χρήσιμοι σε περιπτώσεις κοινής χρήσης οντολογιών. Όσον αφορά στην διαλειτουργικότητα, η DAML+OIL επιτρέπει δημιουργία περιορισμένων κανόνων αποτύπωσης. Οι συμπερασματικοί μηχανισμοί στηρίζονται περισσότερο στις δυνατότητες Description Logics ενώ η εκφραστική της δύναμη είναι αρκετά βελτιωμένη σε σχέση με 32 Οι κανόνες απεικόνισης βοηθούν στην αντιστοίχηση εννοιών του πραγματικού κόσμου (έννοιες από ένα λεξικό, από μία βάση δεδομένων κ.ο.κ.) με τις τάξεις της οντολογίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 184

185 τους προγόνους της. Είναι αρκετά εύκολη στην χρήση και σε ότι αφορά τη συμβατότητα με άλλες γλώσσες Σημασιολογικού Ιστού, παρέχει σημαντικές ευκολίες μιας και υποστηρίζει πλήρως XML και RDF σχήματα[daml+oil, 2001]. OWL: H OWL, όπως προαναφέρθηκε, αποτελεί την πιο πρόσφατα αναπτυγμένη γλώσσα σημασιολογικού ιστού. Υπάρχουν τρεις εκδόσεις της γλώσσας αυτής [OWL, 2004a], [OWL, 2004b] (Lite, DL και Full) ανάλογα με τις απαιτήσεις του εκάστοτε μοντέλου. Κάθε μία από τις παρακάτω εκδόσεις αποτελεί προέκταση του προγόνου της. Έτσι, η OWL Full αποτελεί υπερσύνολο της OWL DL, η οποία με την σειρά της αποτελεί υπερσύνολο της OWL Lite. OWL Lite: Η απλούστερη έκδοση από τις τρεις συνολικά της OWL. Η OWL Lite υποστηρίζει μία απλή δημιουργία ιεραρχίας τάξεων καθώς και τον προσδιορισμό των μεταξύ τους σχέσεων. Επιπλέον μπορούν να οριστούν περιορισμοί μόνο όσον αφορά στο κομμάτι του πλήθους των στιγμιότυπων των τάξεων (πλήθος 0 ή 1). Η έκδοση αυτή χρησιμοποιείται κατά κύριο λόγο σε συστήματα όπου το μέγεθος της οντολογίας δεν είναι μεγάλο, καθώς και σε απλές ταξινομίες αλλά και θησαυρούς. OWL DL: Ίσως η πιο διαδεδομένη έκδοση της OWL. Υποστηρίζει πιο απαιτητικούς χρήστες οι οποίοι θέλουν να εκμεταλλευτούν στο μέγιστο την εκφραστική δύναμη της OWL, χωρίς όμως να θυσιάσουν την υπολογιστική πληρότητα (όλες οι συνεπαγωγές είναι εγγυημένο ότι μπορούν να υπολογιστούν) και την πολυπλοκότητα (όλες οι υπολογισμοί θα τελειώσουν σε κάποιο πεπερασμένο διάστημα χρόνου) των μηχανισμών αιτιολόγησης. Η συγκεκριμένη έκδοση της OWL βασίζεται σε Description Logics, από όπου πήρε και το όνομά της (DL). OWL Full: Η τελευταία έκδοση της OWL αποτελεί το πληρέστερο αλλά και συνάμα πιο πολύπλοκο κομμάτι της. Απευθύνεται σε απαιτητικούς χρήστες οι οποίοι απαιτούν ισχυρή εκφραστική δύναμη και ταυτόχρονα την πλήρη συντακτική ελευθερία της RDF (όπως ήδη έχει αναφερθεί, η OWL έχει δημιουργηθεί βάση του συντακτικού της RDF). Το μεγάλο της μειονέκτημα έγκειται στο γεγονός ότι δεν παρέχει υπολογιστικές εγγυήσεις. Συνήθως χρησιμοποιείται για μεγάλου μεγέθους οντολογίες, όπως οι Οντολογίες Ανώτατου Επιπέδου (Top-Level Ontologies), είτε Οντολογίες Γνωστικών Πεδίων (Domain Ontologies) (όπως αυτές ορίστηκαν στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 185

186 παράγραφο 4.7.2) όταν το εύρος του γνωστικού πεδίου είναι αρκετά μεγάλο (λ.χ. ιατρικές οντολογίες πρωτεϊνών). Το βασικό μειονέκτημα της OWL Full είναι το γεγονός ότι δεν είναι ακόμη ώριμη γλώσσα (βρίσκεται ακόμα υπό ενεργή ανάπτυξη), και σε συνδυασμό με την πλούσια εκφραστική δύναμη της (που όμως είναι πολύ κοστοβόρα), καθιστά δύσκολη την εύρεση ενός αιτιολογικού λογισμικού που θα μπορεί να υποστηρίξει πλήρως τις δυνατότητες της γλώσσας. 4.8 Άξονας 4: Εξαγωγή Πληροφοριών και Έμπειρα Συστήματα Σε αυτή την ενότητα παρατίθενται βασικά στοιχεία για δύο γνωστικές περιοχές που παίζουν σημαντικό ρόλο στην παρούσα διατριβή, δηλαδή: α) την εξαγωγή πληροφοριών μέσα από επεξεργασία φυσικής γλώσσας (ενότητα 4.8.1) και β) εξαγωγή παραγωγικών (ή επαγωγικών) συμπερασμάτων με χρήση έμπειρων συστημάτων (ενότητα 4.8.2) Εξαγωγή Πληροφοριών Η μέθοδος που παρουσιάζεται χρησιμοποιεί τεχνικές από δύο μεγάλους κλάδους της επιστήμης των υπολογιστών, της Επεξεργασίας Φυσικής Γλώσσας (Natural Language Processing, NLP) και της Εξαγωγής Πληροφοριών (Information Extraction, IE). Με τον όρο φυσική γλώσσα εννοείται το σύνολο των λέξεων ή φράσεων που χρησιμοποιούνται από τους ανθρώπους για την προφορική ή γραπτή τους επικοινωνία. Η επεξεργασία φυσικής γλώσσας ορίζεται ως η χρήση των υπολογιστών για επεξεργασία προφορικής ή γραπτής γλώσσας για κάποιο πρακτικό λόγο, όπως μετάφραση κειμένου, εξαγωγή πληροφοριών από τον Παγκόσμιο Ιστό, διεξαγωγή διαλόγων είτε με ανθρώπους είτε με μηχανές, και πολλές άλλες εφαρμογές. Πιο εξειδικευμένες εφαρμογές περιλαμβάνουν για παράδειγμα την απόφαση ενός υπολογιστή για το αν δύο άρθρα σε διαφορετικές εφημερίδες είναι το ένα αντιγραφή του άλλου. Σε αυτές τις περιπτώσεις ο υπολογιστής πρέπει να είναι σε θέση να κατανοήσει (με κάποιο τρόπο) το νόημα του κειμένου, διαδικασία πιο σύνθετη από τις προαναφερθείσες. Πιο αναλυτικά ο τομέας του NLP περιλαμβάνει : Σύνθεση ομιλίας: Η σύνθεση ομιλίας αποτελεί ένα από τους βασικούς τομείς του NLP. Οι περιπτώσεις όπου ο στόχος είναι απλά η δημιουργία προτάσεων που να έχουν νόημα Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 186

187 για τους ανθρώπους θεωρούνται σχετικά απλές. Όμως σε καταστάσεις όπου πρέπει να δημιουργηθούν προτάσεις βάση κάποιας προηγούμενης έτσι ώστε να υπάρχει αλληλουχία νοημάτων θεωρούνται εξαιρετικά δύσκολες λόγω της μεγάλης πολυπλοκότητας της ανθρώπινης γλώσσας αλλά και της ανθρώπινης σκέψης (μεταφορές, ιδιωματισμοί κ.α.) Αναγνώριση ομιλίας: Στην ουσία ο διαχωρισμός ενός συνεχόμενου κύματος ήχου σε λέξεις. Ίσως ο πιο προχωρημένος τομέας στον κλάδο της επεξεργασίας φυσικής γλώσσας. Πολλά πακέτα φωνητικής πληκτρολόγησης διατίθενται ήδη στο εμπόριο. Τα συστήματα αυτά μπορούν να διαχωριστούν ανάλογα με το αν απαιτούν εκπαίδευση από τον χρήστη προκειμένου να αναγνωρίζουν προσωπικούς τόνους και άλλα γνωρίσματα ομιλίας, ή αν είναι ανεξάρτητα από την εκάστοτε φωνή. Κατανόηση Ομιλίας: Σε πολλές περιπτώσεις η αναγνώριση ομιλίας συγχέεται με την κατανόησή της. Στόχος του τομέα αυτού είναι η απόδοση του σωστού νοήματος των λέξεων και όχι η απλή μετατροπή τους από κάποιο ηχητικό σήμα σε μία άλλη μορφή αναπαράστασης όπως γίνεται στην αναγνώριση ομιλίας. Ο υπολογιστής πρέπει να είναι σε θέση ανάλογα με την δομή της πρότασης αλλά και ανάλογα με την χρήση των λέξεων να αντιλαμβάνεται μεταφορές, ιδιωματισμούς και άλλα. Ανάκτηση Πληροφοριών: Η Ανάκτηση Πληροφοριών (Information Retrieval IR) είναι ο κλάδος του NLP που ασχολείται με την αναζήτηση πληροφοριών σε έγγραφα, με αναζήτηση αυτούσιων εγγράφων σχετικά με ένα συγκεκριμένο θέμα και με την αναζήτηση μεταδεδομένων. Επιπλέον ασχολείται με την αναζήτηση πληροφοριών σε βάσεις δεδομένων που περιεχόμενά τους μπορεί να είναι εικόνες, ήχος, ή και κείμενα. Εξαγωγή Πληροφοριών: Η Εξαγωγή Πληροφοριών (Information Extraction IE) είναι ένας κλάδος της Ανάκτησης Πληροφοριών. Στόχος της είναι η αυτόματη εξαγωγή δομημένων ή ημιδομημένων πληροφοριών από κείμενα αναγνώσιμα από υπολογιστές. Μία πολύ βασική εφαρμογή του IE είναι η σάρωση πλήθους εγγράφων σε φυσική γλώσσα και η αποθήκευση των εξαγομένων πληροφοριών σε βάση δεδομένων. Τεχνικές Εξαγωγής Πληροφοριών θα χρησιμοποιηθούν στα επόμενες ενότητες. Πιο αναλυτικά μπορούμε να πούμε ότι η IR απλά βρίσκει κείμενα από διάφορες πηγές και τα παρουσιάζει στον χρήστη. Οι τυπικές IE εφαρμογές αναλύουν ένα κείμενο και παρουσιάζουν μόνο τις πληροφορίες που θέλει να δει ο χρήστης. Σύμφωνα με τον Cunningham [Cunningham, 1999], η Εξαγωγή Πληροφοριών ορίζεται ως «η διαδικασία Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 187

188 της οποίας είσοδος είναι κείμενα σε φυσική γλώσσα και έξοδός της είναι δεδομένα σε συγκεκριμένη μορφή και μη-διφορούμενα». Τα δεδομένα αυτά μπορούν απευθείας να παρουσιαστούν για επίδειξη στον χρήστη ή μπορούν να αποθηκευτούν για περαιτέρω ανάλυση ή να χρησιμοποιηθούν για ευρετηριακούς λόγους σε εφαρμογές Ανάκτησης Πληροφοριών. Υπάρχουν πέντε περιοχές εξαγωγής πληροφοριών που βρίσκονται υπό ενεργό έρευνα (όπως αυτά καθορίστηκαν από το μεγαλύτερο forum στον τομέα αυτό, το Message Understanding Forum): Named Entity Recognition (NE): Εύρεση και ταξινόμηση ονομάτων, τοποθεσιών και άλλων γνωστών οντοτήτων και εννοιών. Coreference Resolution (CO): Αναγνώριση των σχέσεων μεταξύ των οντοτήτων που βρέθηκαν από την ΝΕ. Template Element Construction (ΤΕ): Συλλογή περιγραφικών πληροφοριών που σχετίζονται με τα αποτελέσματα της NE (χρησιμοποιώντας την CO) και συλλέγονται σε ένα σταθερό πρότυπο (template). Template Relation Construction (TR): Εύρεση σχέσεων μεταξύ των οντοτήτων του ΤΕ. Scenario Template Production (ST): Αντιστοιχίζει τα αποτελέσματα των ΤΕ και TR σε συγκεκριμένα σενάρια γεγονότων Έμπειρα Συστήματα Τα έμπειρα συστήματα έχουν χρησιμοποιηθεί παραδοσιακά για την αυτοματοποίηση διαδικασιών ανάλυσης που προϋποθέτουν κάποιο είδος συμπερασματικού συλλογισμού (deductive reasoning). Σύμφωνα με τον ορισμό που δίνεται στο [Βλαχάβας κ.α., 2002], ένα έμπειρο σύστημα είναι «ένα πρόγραμμα υπολογιστή το οποίο κωδικοποιεί και χειρίζεται τη γνώση και τη συλλογιστική ενός ανθρώπου ειδικού σε έναν εξειδικευμένο τομέα, με σκοπό την επίλυση προβλημάτων, ή / και την παροχή συμβουλών στον συγκεκριμένο τομέα». Ένα έμπειρο σύστημα διαχωρίζει την γνώση που έχει για το γνωστικό πεδίο (την οποία αποθηκεύει σε μια βάση γνώσης) από τη μεθοδολογία εξαγωγής συμπερασμάτων, γεγονός το οποίο δίνει μεγάλη ευελιξία και επιτρέπει την συνεχή επέκταση τόσο της βάσης γνώσης, όσο και της μεθοδολογίας εξαγωγής συμπερασμάτων. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 188

189 Αναλυτικότερα, ένα έμπειρο σύστημα αποτελείται συνήθως από [Τριποδιανός, 2005]: Βάση Γνώσης (Knowledge Base): Αποτελείται από δυο τμήματα: i. Στατική βάση γνώσης: Εδώ καταγράφονται με την μορφή κανόνων (συνήθως) οι περιγραφές της γνώσης που χρειάζεται στον χώρο του προβλήματος. Ονομάζεται στατική επειδή δεν αλλάζει κατά την διάρκεια εκτέλεσης του προγράμματος. j. Δυναμική βάση γνώσης: Περιέχει τα μερικά συμπεράσματα που προκύπτουν κατά την εκτέλεση του προγράμματος, καθώς και την τελική λύση του προβλήματος. Ονομάζεται και μνήμη εργασίας (working memory). Κέλυφος Έμπειρου Συστήματος (Expert System Shell): Περιλαμβάνει τους μηχανισμούς που αξιοποιούν την βάση γνώσης και είναι το λειτουργικό κομμάτι του προγράμματος. Αποτελείται από: k. Γεννήτρια εξαγωγής συμπερασμάτων (inference engine): Είναι ο πυρήνας του συστήματος. Χρησιμοποιεί τους κανόνες της στατικής βάσης γνώσης, καθώς και την τρέχουσα κατάσταση που υπάρχει στην δυναμική βάση γνώσης, για να εξάγει συμπεράσματα. l. Σύστημα επεξήγησης (προαιρετικό): Εξηγεί στον χρήστη τον λόγο για τον οποίο εξάγει κάθε συμπέρασμα. m. Επεξεργαστής βάσης γνώσης (προαιρετικό): Παρέχει ένα εύχρηστο τρόπο εισαγωγής της γνώσης στη βάση. n. Διεπαφή χρήστη: Ο μηχανισμός με τον οποίο αλληλεπιδρά το κέλυφος με τον χρήστη. Ο τύπος της γνώσης που αποθηκεύεται στην στατική βάση γνώσης είναι ένα άλλο σημαντικό θέμα. Ο διαχωρισμός της γνώσης που χρησιμοποιείται συνήθως είναι αυτός μεταξύ Άμεσης (Explicit) και Έμμεσης (Implicit) γνώσης [Τριποδιανός, 2005] και [Polanyi, 1962]: H άμεση γνώση περιγράφεται με κανόνες, μοντέλα και μεθόδους, ενώ Η έμμεση γνώση περιλαμβάνει νοητικά μοντέλα και εμπειρίες του ατόμου. Το έμπειρο σύστημα μπορεί να ενσωματώσει και να επεξεργαστεί μόνο άμεση γνώση με την αξιοποίηση όμως ενός ειδικού του συγκεκριμένου γνωστικού αντικειμένου, καθώς και Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 189

190 ενός μηχανικού γνώσης, είναι εφικτό να εκμαιευτεί τμήμα της έμμεσης γνώσης του ειδικού και να τυποποιηθεί ως άμεση γνώση. Για την αξιοποίηση ενός τέτοιου συστήματος απαιτείται μια μοντελοποίηση της κατάστασης του συστήματος, αλλά και κυρίως, της γνώσης των ειδικών (μηχανικών ασφάλειας στην συγκεκριμένη περίπτωση). 4.9 Πηγές Γνώσης περί Ασφάλειας ΠΣ Ο ειδικός ασφάλειας έχει στη διάθεσή του μια σειρά από πηγές γνώσης περί ασφάλειας οι οποίες επηρεάζουν τις αποφάσεις για την υλοποίηση των αντιμέτρων και που σχετίζονται άμεσα ή έμμεσα με το συγκεκριμένο ΠΣ [Tsoumas et al., 2005]. Άμεσες πηγές αποτελούν οι σχετικές πολιτικές ασφάλειας του οργανισμού, συμβάσεις παροχής επιπέδου υπηρεσιών (Service Level Agreements, SLAs), και πληροφορίες για την τεχνική υποδομή του ΠΣ (τοπολογίες δικτύων, λεπτομέρειες τεχνοδιαμόρφωσης, προσφερόμενες υπηρεσίες από το ΠΣ, σημεία παροχής υπηρεσιών). Από την άλλη μεριά, παραδείγματα έμμεσων πηγών αποτελούν τα πρότυπα διαχείρισης κινδύνων, οι βέλτιστες πρακτικές σε τεχνικό επίπεδο, τα τεχνικά δελτία και ανακοινώσεις ασφάλειας από τους κατασκευαστές (security advisories), οι ειδικευμένοι σε ασφάλεια δικτυακοί τόποι (security portals), οι σχετικές λίστες Ηλ. Ταχυδρομείου και οι κατάλογοι ευπαθειών όπως η Common Vulnerabilities and Exposures (CVE) 33. Σε αυτές τις πηγές θα πρέπει να προστεθούν και οι αποφάσεις που λαμβάνονται σε διοικητικό / επιχειρησιακό επίπεδο (π.χ. «τα συστήματα πληροφορικής θα πρέπει να υποστηρίζουν το τμήμα πωλήσεων»), οι οποίες σε ένα χαμηλότερο (και 33 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 190

191 σαφέστερο) επίπεδο ενδέχεται να εγείρουν θέματα ασφάλειας (π.χ. «η εφαρμογή των πωλήσεων πρέπει να είναι προσβάσιμη από τους συνεργάτες πωλητές με κινητούς υπολογιστές (laptops) μέσω ασύρματων συνδέσεων κατά τη διάρκεια του εργασιακού ωραρίου». Εικόνα 4.7: Μια ταξινόμηση των Πηγών Γνώσης Ασφάλειας (Πηγή: [Tsoumas et al., 2005] ) High Security and Risk Management Standards Organization Policy Stakeholders Decisions Ambiguity Risk Analysis (RA) output Vulnerability Catalogues (CVE) SLA Technical Best Practices, Security Mailing Lists, Security Advisories Low Infrastructure Information Low IS Relevance High Περαιτέρω, αυτές οι πηγές πληροφοριών για την ασφάλεια μπορούν να ταξινομηθούν με βάση ένα αριθμό από άλλα κριτήρια όπως τη σαφήνεια της περιεχόμενης πληροφορίας, το βαθμό εξειδίκευσης για το συγκεκριμένο περιβάλλον ΠΣ, τη φύση της περιεχόμενης πληροφορίας, το Εύρος Εφαρμογής Του Αντίμετρου (Domain Of Applicability, βλ. και ενότητα 5.5.4) ανάλογα με το σύνολο των πληροφοριακών πόρων που το αντίμετρο εφαρμόζεται, κ.α. Η Εικόνα 4.7 απεικονίζει μια ταξινόμηση των βασικών πηγών γνώσης για την ασφάλεια με βάση τα δύο πρώτα κριτήρια, δηλ. α) το βαθμό ασάφειας της περιεχόμενης πληροφορίας (ambiguity of contained information) και β) το βαθμό εξειδίκευσης για το συγκεκριμένο περιβάλλον ΠΣ (relevance to the specific IS environment). Η θέση των εν λόγω πηγών γνώσης ασφάλειας εκφράζει μέχρι ένα βαθμό τόσο τη μεγάλη ποικιλία ως προς το επίπεδο της σαφήνειας, όσο και την παρουσία πληροφοριών οι οποίες ναι μεν είναι σαφείς, αλλά είναι άσχετες με τις συγκεκριμένες Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 191

192 τεχνολογίες που αναφέρεται η πηγή κάτι τέτοιο είναι συνηθισμένο φαινόμενο στα μηνύματα των λιστών ασφάλειας και υπογραμμίζει την ποικιλία των τεχνολογιών που περιγράφονται μέσα από αυτά τα μηνύματα. Επιπρόσθετα, κάθε τέτοια πηγή πληροφοριών έχει κάποια ιδιαίτερα γνωρίσματα, όπως διαφορετικό ακροατήριο που απευθύνεται, επίπεδο λεπτομέρειας, έλλειψη κοινά αποδεκτής δομής, έλλειψη κοινά αποδεκτής ταξινόμησης και αποδεκτής αποτίμησης / «βαθμολογίας» όσον αφορά την ποιότητα των πληροφοριών, κλπ.). Από τα παραπάνω συνάγεται ότι η εγγενής πολυπλοκότητα, ο διαφορετικός τρόπος αναπαράστασης και η ποικιλία του χαρακτήρα των διαφορετικών πηγών πληροφορίας, δυσχεραίνει σημαντικά το έργο του ειδικού ασφάλειας. Η προτεινόμενη προσέγγιση που οργανώνει αυτή την πλούσια, αλλά αδόμητη γνώση, υποστηρίζει το έργο του ειδικού ασφάλειας και μπορεί να αποτελέσει ένα πολύτιμο βοηθό για τη λειτουργική πλευρά της διαχείρισης ασφάλειας των ΠΣ. Η συνολική προσέγγιση της έρευνας και οι επιμέρους φάσεις της αναλύονται στην επόμενη ενότητα Η Συνολική Εικόνα και οι Φάσεις της Προσέγγισης Η προτεινόμενη προσέγγιση για τη ΔΑΠΣ μέσω του καθορισμού εφαρμόσιμων αντιμέτρων στους πόρους του ΠΣ συνδυάζει μια σειρά από μεθοδολογίες και τεχνικές όπως παρουσιάστηκαν παραπάνω (ενότητες 4.5 έως και 4.8). Σε αυτή την ενότητα θα δοθεί η γενική εικόνα της προσέγγισης (η πρωτόλεια σύλληψη της οποίας παρατίθεται στο [Tsoumas and Tryfonas, 2004]), ενώ ανάλυση των σημαντικότερων στοιχείων της θα γίνει σε επόμενες ενότητες. Συνοπτικά προτείνεται η θεμελίωση ενός συστήματος ΔΑΠΣ που στηρίζεται σε οντολογίες, απομονώνει τις απαιτήσεις ασφάλειας από τις πρακτικές τους υλοποιήσεις και εκμεταλλεύεται μια σειρά από πηγές πληροφοριών ασφάλειας προκειμένου να εντοπίσει τα προτεινόμενα αντίμετρα που θα εφαρμοστούν τελικά στους πόρους του ΠΣ. Η συνολική προσέγγιση απεικονίζεται στο Σχήμα 4.7 (σελ. 196), όπου οι αριθμοί υπονοούν σειρά εκτέλεσης των βημάτων. Ο διακεκομμένος κύκλος συμβολίζει επανάληψη των σχετικών ενεργειών έως ότου ένα αποδεκτό αποτέλεσμα (σ.σ. απαιτήσεις ασφάλειας) είναι εφικτό. Οι φάσεις έχουν ως εξής (σε παρένθεση οι αριθμοί των βημάτων από το Σχήμα 4.7 που αντιστοιχούν σε κάθε φάση): Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 192

193 Φάση Α (Βήμα 1): Ανάπτυξη της Οντολογίας Ασφάλειας για το συγκεκριμένο ΠΣ. I. Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ: συλλέγονται τεχνικά χαρακτηριστικά των πόρων του ΠΣ (όπως τοπολογία δικτύου, λειτουργικά συστήματα, διαθέσιμες υπηρεσίες και θύρες), με τη χρήση ανιχνευτών δικτύου όπως το nmap [Fyodor, 2006]. II. Δημιουργία στιγμιοτύπων εννοιών ΟΑ: δημιουργία στιγμιοτύπων των κατάλληλων εννοιών της οντολογίας και πλήρωσή τους με τα δεδομένα που συλλέχθηκαν από το βήμα I μέσω API κλήσεων των Protégé [Protégé 2005] και Protégé-OWL [Protégé- OWL, 2006]. Φάση Β (Βήματα 2, 3 και 4): Συλλογή και Αξιολόγηση των Απαιτήσεων Ασφάλειας. III. Εξαγωγή απαιτήσεων ασφάλειας από τις δηλώσεις υψηλού επιπέδου: επεξεργασία της εξόδου της ΑΕ (αντίμετρα ασφάλειας), πολιτικών ασφάλειας με χρήση λεκτικών αναλυτών και τεχνικών Εξαγωγής Πληροφορίας με χρήση εργαλείων όπως το GATE [Cunningham et al., 2002]. Τα στιγμιότυπα της οντολογίας από τη Φάση Α συμπληρώνονται με τα δεδομένα που προκύπτουν από αυτό το βήμα. Το αποτέλεσμα αυτού του βήματος είναι μια οντολογία ασφάλειας που περιέχει τις απαιτήσεις ασφάλειας που περιγράφονται από τις δηλώσεις υψηλού επιπέδου (βλ. και βήμα V). IV. Συλλογή επιχειρησιακών απαιτήσεων από τη Διοίκηση: οι διοικητικές αποφάσεις που άπτονται (άμεσα ή έμμεσα) με τα ΠΣ, συλλέγονται και αξιολογούνται όσον αφορά κατ αρχήν την εφικτότητα (feasibility) και κατόπιν την επίδραση (impact) που επιφέρει η πραγματοποίησή τους στο ΠΣ. Αυτές οι αποφάσεις που κατευθύνονται από επιχειρησιακούς σκοπούς και στόχους, έχουν δύο κύριους άξονες / μοχλούς πίεσης: α) την αύξηση της λειτουργικότητας και β) το θεσμικό / κανονιστικό πλαίσιο λειτουργίας του οργανισμού. Αυτές οι αποφάσεις ενδέχεται να επηρεάσουν δραματικά τις απαιτήσεις ασφάλειας του ΠΣ λόγω των αλλαγών που (πιθανά) επιφέρουν σε τεχνολογικές υποδομές, διαδικασίες λειτουργίας και οργανωτικές δομές. Για παράδειγμα, η επιχειρησιακή απαίτηση «οι πωλητές με φορητούς υπολογιστές (laptops) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 193

194 θα πρέπει να έχουν ασύρματη πρόσβαση στην εφαρμογή πωλήσεων κατά τη διάρκεια του Σαββατοκύριακου», ενδέχεται να επηρεάσει σημαντικά τόσο θέματα τοπολογίας δικτύων (γιατί θα πρέπει να δημιουργηθεί ένας αντιπρόσωπος / proxy ο οποίος θα πρέπει να τεθεί στο DMZ δίκτυο του οργανισμού και να χειρίζεται τις αιτήσεις των πωλητών), τεχνοδιαμορφώσεων των σχετικών συσκευών (θα πρέπει να αλλάξουν οι ρυθμίσεις των δρομολογητών/αναχωμάτων), διαδικασιών και ρόλων (θα πρέπει να δημιουργηθούν διαδικασίες ελέγχου της πρόσβασης, και περιοδικού ελέγχου της αποτελεσματικότητας των μέτρων), και άλλες πιθανές επιπτώσεις που δεν αναφέρονται εδώ λόγω χώρου. Συμπερασματικά λοιπόν, οι διοικητικές αποφάσεις θα πρέπει να εκτιμηθούν σωστά και να συνυπολογιστούν στην όλη διαδικασία διαχείρισης ασφάλειας του ΠΣ. Το αποτέλεσμα αυτού του βήματος είναι ένα σύνολο υποψήφιων απαιτήσεων ασφάλειας που αξιολογούνται περαιτέρω στο επόμενο βήμα (V). Οι εν λόγω απαιτήσεις μπορούν να εισαχθούν στην οντολογία μέσω κατάλληλα διαμορφωμένης διεπαφής. V. Παρουσίαση των επεξεργασμένων απαιτήσεων ασφάλειας σε μια κοινή Ομάδα Ελέγχου που απαρτίζεται από μέλη της Διοίκησης και Ειδικούς Ασφάλειας για αξιολόγηση και δέσμευση: οι απαιτήσεις ασφάλειας που προκύπτουν από τα παραπάνω βήματα συνδυάζουν τόσο τις επιχειρησιακές ανάγκες, όσο και τις απαιτήσεις της διαχείρισης κινδύνων ΠΣ. Εάν κριθεί απαραίτητο, οι απαιτήσεις ασφάλειας τυγχάνουν περαιτέρω επεξεργασίας ενώ σε περίπτωση που οι απαιτήσεις θεωρούνται ανεπαρκείς (λόγω ελλιπούς πληροφορίας, ποιότητας των πληροφοριών εισόδου, αισθήματος ανασφάλειας της Ομάδας Ελέγχου), τα αντίμετρα συμπληρώνονται από μια Βάση Προτύπων Διαχείρισης Κινδύνων ΠΣ, η οποία ουσιαστικά παρέχει έτοιμα αντίμετρα προς χρήση στη μορφή που απαιτείται από την προσέγγιση (βλ. ενότητα 6.5 για μια συζήτηση σχετικά με τη μορφή και τις ιδιότητες των αντιμέτρων). Το αποτέλεσμα αυτού του βήματος είναι μια οντολογία ασφάλειας που περιγράφει τις απαιτήσεις ασφάλειας του ΠΣ (βλ. ενότητα και Κεφάλαιο 6 για μια υλοποίηση). Φάση Γ (Βήματα 5 και 6): Καθορισμός των Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 194

195 VI. Αντιστοίχηση των Απαιτήσεων Ασφάλειας («ΤΙ») με Τεχνικά Μέτρα Υλοποίησης («ΠΩΣ»): με χρήση των πληροφοριών που έχουν προκύψει από τα βήματα (I)-(V), ένας αλγόριθμος αντιστοιχίζει τις απαιτήσεις ασφάλειας (που έχουν συλλεχθεί στην ΟΑ) με τα τεχνικά μέτρα υλοποίησης (από τη βάση Τεχνικών Μέτρων Υλοποίησης ΤΜΥ). Η βάση ΤΜΥ περιέχει εξειδικευμένα αντίμετρα ανά τεχνολογική πλατφόρμα, τα οποία είναι έτοιμα προς εφαρμογή στους πόρους του ΠΣ (σ.σ. τα στιγμιότυπα της οντολογίας διαθέτουν την απαραίτητη πληροφορία για την διάκριση μεταξύ των διαφορετικών τεχνολογιών από το βήμα (Ι). Το αποτέλεσμα αυτού του βήματος είναι ένα σύνολο από άμεσα εφαρμόσιμα ΤΜΥ στους πόρους του ΠΣ. Εάν απαιτείται περαιτέρω επεξεργασία, τότε εκτελείται το επόμενο βήμα (VII). VII. Προαιρετικό] Εξειδίκευση των Τεχνικών Μέτρων Υλοποίησης: Σε περίπτωση που απαιτείται περαιτέρω εξειδίκευση των τεχνικών μέτρων που επιλέχτηκαν στο βήμα (VI), εκτελείται μια διαδικασία εξειδίκευσης των ΤΜΥ η οποία καταλήγει σε ένα σύνολο Ν εγγραφών της μορφής (Αγαθόi, Ενέργεια1,, Ενέργειαm) όπου Ν είναι το σύνολο των αγαθών που έχει προσδιοριστεί κατά την ΑΕ, 1 i Ν και m ο αριθμός των ατομικών Πράξεων (Actions) που υλοποιούν τις απαιτήσεις ασφάλειας για το αγαθό Αγαθόi. VIII. ετατροπή των εφαρμόσιμων πράξεων σε μορφή συμβατή με πλαίσια διαχείρισης συστημάτων: οι πράξεις που προσδιορίστηκαν μετατρέπονται σε είσοδο κατάλληλη για διατάξεις και πλαίσια διαχείρισης συστημάτων βάσει πολιτικών (policy based management systems), τα οποία επιβάλλουν πολιτικές σε πόρους του υποκείμενου ΠΣ (βλ. και ενότητα 3.7). Το αποτέλεσμα αυτού του βήματος είναι η μορφοποιημένη είσοδος σε ένα πλαίσιο διαχείρισης συστημάτων όπως το σύστημα Ponder (ενότητα 3.7.5, [Damianou et. al, 2001]), το οποίο μπορεί να τροφοδοτηθεί με τα αποτελέσματα του βήματος VII μέσω ενός κατάλληλου μηχανισμού μετάφρασης και διεπαφής [Damianou, 2002b], [Westerinen and Schott, 2004]. [ Μ Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 195

196 Φάση Δ (Βήμα 7): Διαχρονική Επίβλεψη Εφαρμογής και Επανεκτίμηση των Απαιτήσεων Ασφάλειας. IX. Εφαρμογή των ΤΜΥ στο ΠΣ: με τη βοήθεια του πλαισίου διαχείρισης συστημάτων οι ρυθμίσεις που υλοποιούν τις απαιτήσεις ασφάλειας εφαρμόζονται στους πόρους του ΠΣ. X. Επανάληψη από το Βήμα I σε περιοδική βάση: προκειμένου οι απαιτήσεις ασφάλειας και τα σχετικά ΤΜΥ να παραμένουν επικαιροποιημένα και ευθυγραμμισμένα με τις αλλαγές των πληροφοριακών συστημάτων και των εκάστοτε πολιτικών / ασκήσεων ΑΕ, η όλη διαδικασία επαναλαμβάνεται σε μια περιοδική βάση. Σχήμα 4.7: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες Ολική Προσέγγιση Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 196

197 4.11 Μέθοδοι, Τεχνικές και Εργαλεία Στην παρούσα ενότητα συνοψίζονται οι βασικές μέθοδοι, τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την υλοποίηση των φάσεων της προτεινόμενης προσέγγισης ΔΑΠΣ, όπου απαιτείται. Ο Πίνακας 4.3 καταγράφει τις βασικές μεθόδους, τεχνικές και εργαλεία που χρησιμοποιήθηκαν ανά φάση (η Φάση / Βήμα «Προετοιμασία» περιλαμβάνει και τις δραστηριότητες κατά το σχεδιασμό και ανάπτυξη της γενικής οντολογίας ασφάλειας, που καλύπτεται στο Κεφάλαιο 5). Φάση / Βήμα Πίνακας 4.3: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες - εργαλεία ανά φάση Ενέργεια Εργαλεία και τεχνικές Προετοιμασία Εννοιολογικό μοντέλο Συνεργατική προσέγγιση για οντολογίας ασφάλειας σχεδίαση οντολογιών [Holsapple and Joshi, 2002] Προετοιμασία Σχεδίαση οντολογίας UML (Unified Model ασφάλειας Language) [OMG UML, 2001] Προετοιμασία Επεξεργασία οντολογιών Επεξεργαστής οντολογιών Protégé [Protégé 2005] Προετοιμασία Υποστήριξη συμπερασματικών RACER reasoner [RACER, 2006] μηχανισμών και ελέγχων ορθότητας οντολογίας I Ανίχνευση δικτύου για τον nmap [Fyodor, 2006], εντοπισμό πληροφοριών Netstumbler [Netstumbler, σχετικά με τους πόρους του 2006], GFi LANguard ΠΣ [GFiLANguard, 2006] I Επεξεργασία της εξόδου των εργαλείων ανίχνευσης δικτύου Nmap::Parser module σε Perl [Persaud, 2005] II Επεξεργασία οντολογιών Επεξεργαστής οντολογιών Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 197

198 Protégé [Protégé 2005] II Προγραμματισμός με Protégé API [Protégé 2005], βιβλιοθήκες οντολογιών Protégé-OWL API [Protégé- OWL, 2006] II, III Υποστήριξη συμπερασματικών RACER reasoner [RACER, 2006] μηχανισμών και ελέγχων ορθότητας οντολογίας II, III Λογικοί κανόνες οντολογίας Γεννήτρια κανόνων SWRL [Protégé-OWL, 2006] I, II, III, VI, VII Προγραμματισμός σε Java και Eclipse IDE [Eclipse, 2006] Perl III Λεκτική ανάλυση αντιμέτρων GATE (a General υψηλού επιπέδου Architecture for Text Engineering) [Cunningham et al., 2002], [Cunningham et al., 2006] API και IDE. III Γεννήτρια ανίχνευσης JAPE (a Java Annotation προτύπων (pattern matching) Patterns Engine) [Cunningham et al., 2002] II, III, VII Εξειδίκευση ΤΜΥ JESS (Java Expert Shell System) [Friedman-Hill, 2005] VI, VII Σχεσιακή βάση δεδομένων για αποθήκευση των ΤΜΥ MS Access Στις επόμενες παραγράφους θα παρουσιαστούν τα τρία βασικά εργαλεία που χρησιμοποιήθηκαν με σκοπό την υλοποίηση της μεθόδου που προαναφέρθηκε στην ενότητα 4.10, δηλ. α) το Protégé από το πανεπιστήμιο του Stanford για επεξεργασία οντολογιών, β) το GATE (a General Architecture for Text Engineering) από το πανεπιστήμιο του Sheffield για λεκτική ανάλυση των αντιμέτρων υψηλού επιπέδου και γ) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 198

199 το JESS, από τα εργαστήρια Sandia National Laboratories 34 για διενέργεια παραγωγικών συλλογισμών (deductive reasoning). Ακολουθεί μία βασική περιγραφή των τριών εργαλείων Ο Επεξεργαστής Οντολογιών Protégé Το Protégé είναι καρπός ενός επιστημονικού προγράμματος του Stanford για τη δημιουργία ενός λογισμικού που θα μπορεί να διαχειρίζεται ιατρικά δεδομένα και να μπορεί να παρέχει απαντήσεις σε σχετικά ερωτήματα, όπως για παράδειγμα σύνδεση συγκεκριμένων συμπτωμάτων με μια ασθένεια. Ταυτόχρονα όμως η αποτύπωση της τυπικής γνώσης έπρεπε να γίνει κατά τέτοιο τρόπο ώστε να μπορεί να υπάρξει ένα κοινό πλαίσιο ορισμών έτσι ώστε να είναι δυνατή η επέκταση του μοντέλου από οποιονδήποτε ενδιαφερόμενο, κάτι το οποίο παρέχεται από τις οντολογίες. Η ερευνητική κοινότητα υιοθέτησε την προσέγγιση και έτσι το Protégé άρχισε να χρησιμοποιείται για την δημιουργία και επεξεργασία οντολογιών και άλλων τύπων, πέραν των ιατρικών [Παπαγιαννακόπουλος, 2004]. Το Protégé, διαθέτει εύχρηστη γραφική διεπαφή και ένα ολοκληρωμένο περιβάλλον ανάπτυξης (Integrated Development Environment, IDE) η οποία καθιστά την χρήση του σχετικά εύκολη. Η γραφική διεπαφή είναι βασισμένη στις καρτέλες (tabs) η οποία επιτρέπει στον χρήστη: 34 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 199

200 Να δημιουργήσει και να διαχειριστεί ένα μοντέλο οντολογίας, το οποίο αποτελείται από έννοιες (τάξεις) που περιγράφουν ένα ορισμένο πεδίο γνώσης. Η οντολογία όπως ήδη έχει αναφερθεί (βλ. ενότητα 4.7), ορίζει ένα σύνολο από έννοιες καθώς και τις μεταξύ τους σχέσεις, Να δημιουργήσει ένα εργαλείο για την διαχείριση της γνώσης που αφορά στο συγκεκριμένο πεδίο εφαρμογής. Το εργαλείο αυτό βοηθά τους ειδικούς μίας περιοχής γνώσης να εισάγουν και να διαμοιράζουν την γνώση τους με εύκολο τρόπο. Οι ειδικοί εισάγουν στιγμιότυπα των τάξεων / εννοιών στην οντολογία (μαζί με ιδιότητες και σχέσεις μεταξύ των τελευταίων), τα οποία στην συνέχεια μπορούν να χρησιμοποιηθούν για την επίλυση προβλημάτων. Να δημιουργήσει και να εκτελέσει εφαρμογές, οι οποίες αποτελούν και το τελικό προϊόν που δημιουργείται όταν η οντολογία χρησιμοποιείται για την επίλυση προβλημάτων, για την δημιουργία έμπειρων συστημάτων κ.α. Ένα ακόμη μεγάλο πλεονέκτημα του Protégé είναι το γεγονός ότι είναι ανεξάρτητο από συγκεκριμένες πλατφόρμες, καθότι έχει υλοποιηθεί σε Java και είναι ανοιχτού κώδικα. Το τελευταίο χαρακτηριστικό προσδίδει στο Protégé ένα ακόμη πλεονέκτημα (πιθανά το πιο σημαντικό) που είναι η επεκτασιμότητα από τον εκάστοτε χρήστη: ο τελευταίος έχει τη δυνατότητα να προσθέσει λειτουργικότητα με την συγγραφή κώδικα και την ενσωμάτωσή του στο Protégé (plugins). Ταυτόχρονα το Protégé, παρέχει προγραμματιστική διεπαφή (API Application Programming Interface) γεγονός που το καθιστά εύκολο και στην ενσωμάτωσή του από άλλες εφαρμογές. Έτσι ενώ αρχικά η αποτύπωση των οντολογιών γινόταν μόνο σε μία μορφή (συγκεκριμένη μορφή του πυρήνα του Protégé), τώρα είναι δυνατή η αποτύπωση οντολογιών σε RDF, XML αλλά και OWL (για μια συζήτηση σχετικά με τους τρόπους αναπαράστασης οντολογιών βλ. ενότητα αλλά και [Μιχαηλίδου, 2004], [Παπαγιαννακόπουλος, 2004]). Για την υλοποίηση της μεθόδου χρησιμοποιήθηκε η έκδοση 3.2 beta του Protégé (build 324) σε συνδυασμό με το OWL plug-in (version 2.2). Η γραφική διεπαφή του Protégé χρησιμοποιήθηκε για την δημιουργία της οντολογίας, ενώ στην συνέχεια μέσω της προγραμματιστικής διεπαφής (API), τόσο του Protégé όσο και του OWL plug-in, έγινε εφικτός ο συνδυασμός των δυνατοτήτων του Protégé με το GATE, το οποίο περιγράφεται συνοπτικά στην επόμενη παράγραφο. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 200

201 Τ ο Περιβάλλον GATE Η εξαγωγή πληροφοριών ασφάλειας έγινε μέσω λεκτικής ανάλυσης των αντιμέτρων υψηλού επιπέδου. Αρωγός σε αυτή την προσπάθεια είναι το εργαλείο GATE (General Architecture for Text Engineering), από το πανεπιστήμιο του Sheffield [Cunningham et al., 2002], [Cunningham et al., 2006] το οποίο έχει χρησιμοποιηθεί σε ένα πλήθος ερευνητικών δραστηριοτήτων αλλά και λοιπών έργων [Maynard et al., 2000] 35. Η πρώτη έκδοση του GATE έγινε διαθέσιμη το 1996 και χρησιμοποιήθηκε σε αρκετές εφαρμογές λεκτικής ανάλυσης αλλά κυρίως σε εφαρμογές εξαγωγής γνώσης (Information Extraction) [Cunningham, 1999], [Appelt, 1999]. Το GATE είναι «μια αρχιτεκτονική, ένα πλαίσιο εργασίας (framework), και ένα περιβάλλον ανάπτυξης» [Cunningham et al., 2002]: Αρχιτεκτονική, διότι ορίζει την δομή και λειτουργία ενός προγράμματος γλωσσικής επεξεργασίας και αναθέτει στα διάφορα συστατικά μέρη τις δραστηριότητες που πρέπει το κάθε ένα να εκτελέσει. Πλαίσιο εργασίας, διότι παρέχει επαναχρησιμοποιήσιμες βιβλιοθήκες για προγράμματα τύπου LE (Language Engineering), βοηθώντας έτσι τους προγραμματιστές να χρησιμοποιήσουν έτοιμο κώδικα, να τον βελτιώσουν αλλά και 35 Ο αναγνώστης παραπέμπεται και στην ενημερωμένη σχετική ιστοσελίδα ( Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 201

202 να τον ενσωματώσουν σε μεγαλύτερες εφαρμογές όπου ένα κομμάτι τους είναι το LE. Περιβάλλον ανάπτυξης, διότι βοηθά τους χρήστες να ελαχιστοποιήσουν τον χρόνο που ξοδεύουν στο να τροποποιήσουν υπάρχοντα συστατικά ή να δημιουργήσουν καινούργια, παρέχοντας τεχνικές αποσφαλμάτωσης (debugging) αλλά και εργαλεία χρήσιμα στην συγγραφή κώδικα. Ένα βασικό πλεονέκτημα του περιβάλλοντος είναι το γεγονός ότι τα διάφορα στοιχεία του GATE (components) μπορούν να εφαρμοστούν σε οποιαδήποτε γλώσσα προγραμματισμού και σε οποιαδήποτε βάση δεδομένων. Σε κάθε περίπτωση η αρχιτεκτονική του GATE είναι ορατή στο χρήστη ως μία ιεραρχία κλάσεων σε Java η οποία μπορεί να κληθεί από ένα εξωτερικό πρόγραμμα κάνοντας χρήση των υπηρεσιών που εξάγει (export). Η διεπαφή του GATE με τρόπους αποθήκευσης σε μαγνητικά μέσα παρέχει διασυνδεσιμότητα με δύο βάσεις δεδομένων (Oracle και PostgreSQL), ενώ υποστηρίζει και Java serialization (απλά αρχεία που χρησιμοποιούνται για την αποθήκευση δεδομένων με την χρήση βιβλιοθηκών της Java). Τέλος παρέχεται η δυνατότητα στον ίδιο το χρήστη να δημιουργήσει ένα δικό του συστατικό (component) με το οποίο μπορεί να αποθηκεύει τις πληροφορίες του σε οποιαδήποτε βάση δεδομένων επιθυμεί. Τέλος, το GATE διαθέτει ενσωματωμένο γραφικό περιβάλλον (Graphic User Interface, GUI) γεγονός που καθιστά ακόμα πιο εύκολη την χρήση του [GATE, 2006]. Οι τρεις βασικές κατηγορίες των συστατικών του GATE, είναι οι εξής Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 202

203 [Παπαγιαννακόπουλος, 2004] 36 : Language Resources (LRs): Αντιπροσωπεύουν έννοιες όπως λεξικά, κείμενα, συλλογές από έγγραφα αλλά και οντολογίες. Γενικότερα με τον όρο «LR» περιγράφονται τα λεκτικά δεδομένα προς επεξεργασία. Processing Resources (PRs): Αντιπροσωπεύουν οντότητες οι οποίες είναι κατά κύριο λόγο αλγόριθμοι. Μερικά παραδείγματα είναι οι σαρωτές κειμένου (parsers), αναλυτές γραμματικής (grammar analyzers), αναλυτές συνωνύμων και άλλα. Γενικότερα με τον όρο «PR» ονομάζονται τα στοιχεία εκείνα με την βοήθεια των οποίων γίνεται η επεξεργασία των LR. Visual Resources (VRs): Αντιπροσωπεύουν μέρη του γραφικού περιβάλλοντος του GATE (GUI). Δεν προσθέτουν λειτουργικότητα στην αρχιτεκτονική του GATE, αλλά διευκολύνουν τη χρήση του. Όλα τα παραπάνω στοιχεία μπορούν να βρίσκονται εγκατεστημένα είτε τοπικά σε έναν υπολογιστή είτε δικτυακά (διαθέσιμων μέσω HTTP πρωτοκόλλου). Ο κατανεμημένος τρόπος λειτουργίας του, προσθέτει άλλο ένα πλεονέκτημα στην χρήση του. Επιπλέον ένα ακόμη σημαντικό πλεονέκτημα είναι ο διαχωρισμός των στοιχείων του GATE όπως αυτός αναλύθηκε παραπάνω. Τόσο οι αλγόριθμοι (PRs) όσο και τα λεκτικά δεδομένα (LRs) μπορούν να αναπτυχθούν ξεχωριστά από διαφορετικές ομάδες ειδικών (όπως προγραμματιστές και γλωσσολόγοι, αντίστοιχα). Επιπλέον, ο διαχωρισμός του γραφικού 36 σ.σ.: Σε αυτό το σημείο και για όποιους από τους αγγλικούς όρους κρίθηκε ανεπιτυχής μια προσεγγιστική απόδοση της ορολογίας στην ελληνική, θα διατηρηθεί ο αγγλικός όρος. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 203

204 περιβάλλοντος από τα υπόλοιπα στοιχεία καθιστά εύκολη τη βελτίωση ακόμη και τη δημιουργία νέων αλγορίθμων χωρίς να απαιτείται από τον χρήστη να τροποποιήσει το γραφικό περιβάλλον, αλλά και το αντίστροφο. Ένα σύνολο από PRs το οποίο διατίθεται ενσωματωμένο με την έκδοση του GATE και τα οποία χρησιμεύουν για τις κυριότερες εφαρμογές Επεξεργασίας Φυσικού Λόγου (Natural Language Processing, NLP), περιγράφονται στα επόμενα. Προφανώς κανένα από τα PRs δεν είναι υποχρεωτικά στην χρήση τους. Ο κάθε χρήστης μπορεί να επιλέξει ποια του είναι χρήσιμα αλλά και να αντικαταστήσει όποια θέλει με δικά του PRs. Τα παρακάτω PRs σχηματίζουν την ANNIE (A Nearly-New Information Extraction system) [Cunningham et al., 2002], μπορούν όμως να χρησιμοποιηθούν και ανεξάρτητα από το σύστημα αυτό. Η ANNIE απαρτίζεται από τα εξής βασικά μέρη (PRs): τον Tokenizer, τον Sentence Splitter, τον POS Tagger, τον Gazetteer, τον Semantic Tagger ή αλλιώς Named Entity (ΝΕ) Transducer, και τον Orthomatcher. Μια μικρή περιγραφή ακολουθεί για το κάθε μέρος, από το [Παπαγιαννακόπουλος, 2004]: Ο Tokenizer χωρίζει το κείμενο σε απλά ατομικά μορφώματα (tokens ή atoms), όπως αριθμοί, σύμβολα στίξης και λέξεις ουσιαστικά είναι τα ατομικά στοιχεία που αποτελούν μια πρόταση ή φράση. Η πρώτη ενέργεια που πρέπει να γίνει σε οποιοδήποτε κείμενο που θα υποστεί κάποιου είδους λεκτική ανάλυση, είναι ο χωρισμός του κειμένου σε tokens. Το βάρος της ανάλυσης μπορεί να δοθεί στην συνέχεια σε κάποιο στοιχείο που κάνει γραμματική ανάλυση χωρίς να επιβαρυνθεί και με τον ορισμό των tokens. Οι τύποι των tokens που παράγει ο Tokenizer μπορεί να είναι: Word (Λέξη): Λέξη ορίζεται μία σειρά από σύμβολα, είτε κεφαλαία είτε μικρά, τα οποία περιέχουν τουλάχιστον ένα φωνήεν. Number (Αριθμός): Αριθμός είναι ένας οποιοσδήποτε συνδυασμός από συνεχόμενα ψηφία. Symbol (Σύμβολο): Τα σύμβολα χωρίζονται σε δύο κατηγορίες, οικονομικά σύμβολα όπως, $ και στα γενικά σύμβολα όπως *,&,#,@. Punctuation (Στίξη): Το GATE χωρίζει τα σύμβολα της στίξης σε τρεις κατηγορίες. Στίξη έναρξης, για παράδειγμα (, «, Στίξη τέλους, για παράδειγμα ),!,.,» και σε γενικά σύμβολα στίξης όπως :, ;. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 204

205 Space Token (Κενός χαρακτήρας): Οι κενοί χαρακτήρες χωρίζονται σε δύο κατηγορίες. Η πρώτη αφορά στα κενά μεταξύ των λέξεων και η δεύτερη αφορά στους χαρακτήρες ελέγχου (control characters) όπως είναι για παράδειγμα ο χαρακτήρας αλλαγής γραμμής. Ο Sentence Splitter χωρίζει το κείμενο σε προτάσεις, όπως άλλωστε φανερώνει και το όνομά του. Το συγκεκριμένο στοιχείο είναι απαραίτητο για τον POS Tagger ο οποίος παρουσιάζεται παρακάτω. Πρόταση θεωρείται μία σειρά από tokens η οποία τερματίζει με ένα σύμβολο όπως η τελεία, αλλά και από πολλαπλά σύμβολα στίξης (όπως?!?!?!). Ο POS (Part-of-Speech) tagger έχει αναπτυχθεί από τον Hepple [Hepple, 2000]. Αποτελεί το στοιχείο εκείνο που ευθύνεται για την γραμματική ανάλυση ενός κειμένου. Με την βοήθεια του Sentence Splitter το κείμενο χωρίζεται σε προτάσεις. Στην συνέχεια ο POS tagger αναλύει την κάθε πρόταση στα βασικά συστατικά που αποτελούν μία πρόταση όπως ρήματα, ουσιαστικά, επιρρήματα και άλλα. Το στοιχείο αυτό χρησιμοποιεί ένα λεξικό (lexicon) και ένα σύνολο από γραμματικούς κανόνες. Τόσο το λεξικό όσο και οι κανόνες έχουν προκύψει από την ανάλυση εκατοντάδων κειμένων της Wall Street Journal. Και τα δύο συστατικά μπορούν να παραμετροποιηθούν κατά βούληση. Το στοιχείο Gazetteer αποτελείται από λίστες ονομάτων τα οποία είναι χωρισμένα ανάλογα με μία κοινή τους ιδιότητα. Έτσι για παράδειγμα υπάρχει μία λίστα η οποία έχει ονόματα πόλεων (όπως Paris, Athens, New York), μία λίστα με ονόματα οργανισμών όπως (AUEB, Microsoft, AMD, Intel) αλλά και λίστες από ονόματα ανθρώπων όπως (John, Paul, Nick) κ.ο.κ. Μετά την ανάλυση ενός κειμένου από τον Gazetteer οι λέξεις υπομνηματίζονται (annotated) από την ιδιότητά τους ως πόλεις, οργανισμοί, άτομα κ.α. Το στοιχείο Named Entity (NE) Transducer (Semantic Tagger), αποτελείται από κανόνες ταιριάσματος λεξικών προτύπων (pattern matching) οι οποίοι είναι γραμμένοι σε JAPE (Java Annotation Pattern Engine), μια παραλλαγή της CPSL (Common Pattern Specification Language) [Appelt, 1996]. Με την βοήθεια των κανόνων αυτών, μπορούν να προσδοθούν ιδιότητες σε φράσεις που ταιριάζουν σε ένα συγκεκριμένο πρότυπο (pattern). Ένα παράδειγμα που θα βοηθήσει στην καλύτερη κατανόηση τη χρήση των κανόνων αυτών, είναι η αναγνώριση μίας δικτυακής (IP) διεύθυνσης: η τελευταία αποτελείται από τέσσερις αριθμούς και τρία σημεία στίξης. Με την βοήθεια των JAPE κανόνων μπορεί να δηλωθεί ότι η ακολουθία ΑΤΑΤΑΤΑ αποτελεί μία IP διεύθυνση, όπου Α είναι ένας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 205

206 αριθμός και Τ είναι η τελεία. Στους κανόνες αυτούς μπορούν να χρησιμοποιηθούν υπομνηματισμένες (annotated) λέξεις που έχουν βρεθεί από τον Gazetteer στο προηγούμενο στάδιο. Άλλα παραδείγματα αποτελούν η αναγνώριση λεξικά έγκυρων διευθύνσεων ηλεκτρονικού ταχυδρομείου ( address). Χωρίς τους JAPE κανόνες, μία διεύθυνση δεν θα αναγνωριζόταν συνολικά σαν διεύθυνση ηλ. Ταχυδρομείου, παρά μόνο ατομικά η λέξη bts ως όνομα, η λέξη aueb ως οργανισμός, και η τελεία (. ) ως σύμβολα, και η λέξη gr ως αρκτικόλεξο (με δεδομένο ότι οι παραπάνω λέξεις και στίξεις θα έχουν δηλωθεί στις αντίστοιχες παραμέτρους του στοιχείου Gazetteer). Με τους JAPE κανόνες όλη η φράση θα αναγνωριστεί ως μία διεύθυνση ηλεκτρονικού ταχυδρομείου. Ένα ακόμη στοιχείο της ANNIE είναι ο Orthographic Coreference (Orthomatcher), ο οποίος αποτελεί προαιρετικό στοιχείο του GATE και κύριος σκοπός του είναι η προσθήκη σχέσεων μεταξύ των οντοτήτων που έχουν βρεθεί από τον Semantic Tagger. Οι σχέσεις δημιουργούνται μεταξύ αντικειμένων που έχουν κοινό χαρακτηρισμό, για παράδειγμα Οργανισμοί, ή σε περίπτωση όπου μία από τις δύο έννοιες δεν έχει κάποιο χαρακτηρισμό (έχει χαρακτηριστεί ως Άγνωστος Unknown) σε προηγούμενη επεξεργασία. Στην τελευταία περίπτωση, ο Orthomatcher αλλάζει τον Unknown σε Χ, όπου Χ είναι ο χαρακτηρισμός μίας άλλης έννοιας με την οποία υπάρχει σχέση. Ένα παράδειγμα είναι οι λέξεις U.S.A. και U.S. βρίσκονται στο κείμενό και για κάποιο λόγο η πρώτη έχει αναγνωριστεί ως τύπου Τοποθεσία (Location) ενώ η δεύτερη ως τύπου Unknown. Τότε ο Orthomatcher θα συσχετίσει τα δύο αντικείμενα σαν αναφορές στην ίδια οντότητα και θα υπομνηματίσει τη λέξη U.S. με τον υπομνηματισμό της λέξης U.S.A., δηλαδή Location. Για την υλοποίηση της μεθόδου που παρουσιάστηκε, χρησιμοποιήθηκε το σύστημα της ANNIE και συγκεκριμένα οι Tokenizer, Sentence Splitter, POS Tagger, Gazetteer, Named Entity Transducer, και ο Orthomatcher. Τα συγκεκριμένα εργαλεία και οι παράμετροί τους τροποποιήθηκαν ανάλογα με τις απαιτήσεις της μεθόδου. Για μια πιο λεπτομερή ανάλυση της αρχιτεκτονικής και των δυνατοτήτων του GATE ο ενδιαφερόμενος αναγνώστης παραπέμπεται στο σχετικό ιστότοπο ([GATE, 2006]) Τ Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 206

207 ο κέλυφος Έμπειρου Συστήματος JESS Το Κέλυφος Έμπειρου Συστήματος JESS [Friedman-Hill, 2005], χρησιμοποιείται για παραγωγή συμπερασμάτων. Οι λόγοι για τους οποίους προτιμήθηκε το συγκεκριμένο Κέλυφος Έμπειρου Συστήματος είναι: Παρέχει εκτεταμένη διασύνδεση με την γλώσσα προγραμματισμού Java, γεγονός που το καθιστά ιδιαίτερα ευέλικτο, Δεν είναι απαιτητικό σε πόρους, Είναι ταχύ, Παρέχει πολλαπλές δυνατότητες, Μπορεί να εκτελεστεί σε όσες πλατφόρμες υποστηρίζουν την Java, Είναι δωρεάν για εκπαιδευτικούς σκοπούς Σύνοψη Στο παρόν κεφάλαιο καθορίστηκε το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική της προσέγγισής μας, η οποία διακρίνει τις απαιτήσεις ασφάλειας από τις υλοποιήσεις τους, ενώ σκιαγραφούνται τα βασικά στοιχεία της αρχιτεκτονικής, η Οντολογία Ασφάλειας (ΟΑ) και η Βάση Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ), τα οποία περιγράφονται εκτενέστερα στα επόμενα κεφάλαια. Επιπρόσθετα, περιγράφονται οι άξονες πάνω στους οποίους στηρίζεται η παρούσα έρευνα: α) τα ευρέως αποδεκτά πρότυπα διαχείρισης κινδύνων ΠΣ (BS7799 και COBIT), τα οποία αποτελούν την πρωταρχική πηγή αντιμέτρων και τη βάση για το προτεινόμενο εννοιολογικό μοντέλο αναπαράστασης και διαχείρισης πληροφορίας ασφάλειας, β) Το πρότυπο διαχείρισης πληροφοριακών πόρων CIM το οποίο αποτελεί το συνδετικό κρίκο με άλλες υπάρχουσες αναπαραστάσεις ΠΣ, γ) στοιχεία της οντολογικής προσέγγισης αναπαράστασης γνώσης, που είναι απαραίτητη για την έκφραση των βασικών εννοιών ασφάλειας, των κυρίων ιδιοτήτων τους και των μεταξύ τους σχέσεων σε ένα πλουσιότερο γνωστικό υπόβαθρο, και δ) οι τεχνολογίες εξαγωγής πληροφοριών (Information Extraction) και έμπειρων συστημάτων (Expert Systems) που χρησιμοποιήθηκαν για τον εντοπισμό σημαντικών πληροφοριών που σχετίζονται με τα αντίμετρα ασφάλειας. Στη συνέχεια, γίνεται μια επισκόπηση των πηγών γνώσης περί ασφάλειας, και μια Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 207

208 συνολική αναφορά των φάσεων της μεθοδολογίας υλοποίησης της προσέγγισης σε ένα ΠΣ, προκειμένου να δοθεί η ολική εικόνα της εφαρμογής του πλαισίου ΔΑΠΣ. Τέλος, παρατίθενται οι βασικές μέθοδοι, τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την υλοποίηση των φάσεων της προτεινόμενης προσέγγισης που στηρίζεται σε οντολογίες. Το επόμενο Κεφάλαιο 5 αναλύει την μεθοδολογία ανάπτυξης της οντολογίας ασφάλειας με βάση τους άξονες που αναλύθηκαν παραπάνω. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 208

209 The farther you go, the less you know. ~ Lao Tsze, Tao Te Ching 5 Οντολογία Ασφάλειας 5.1 Εισαγωγή Στο παρόν κεφάλαιο αναλύεται η μεθοδολογία ανάπτυξης μιας οντολογίας που επικεντρώνεται στα χαρακτηριστικά ασφάλειας ενός ΠΣ ( Οντολογία Ασφάλειας ΟΑ). Η πολυπλοκότητα των θεμάτων ασφάλειας που αντιμετωπίζουν καθημερινά τόσο οι χρήστες όσο και οι διαχειριστές των συστημάτων πληροφορικής είναι αξιοσημείωτη, ενώ είναι έκδηλη η ανάγκη για αποτελεσματική διαχείριση των πληροφοριών ασφάλειας των ΠΣ με τις οντολογίες να αποτελούν μια πολλά υποσχόμενη προσέγγιση στο θέμα της διαχείρισης γνώσης (γενικότερα) και της ασφάλειας (ειδικότερα). Οι γλώσσες οντολογιών όπως η OWL [Dean et al., 2004], [OWL, 2004a], [OWL, 2004b] παρέχουν δυνατότητες τυπικής λογικής για παράδειγμα η έκδοση OWL-DL ενσωματώνει δυνατότητες Description Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 209

210 Logics 37, η οποία έχει κατάλληλες υπολογιστικές δυνατότητες για υποστήριξη συμπερασματικών μηχανισμών. Παρά τους (σχετικούς) περιορισμούς της συγκριτικά με τα καθαρά τυπικά μοντέλα λογικών αναπαραστάσεων για την έκφραση μοντέλων ασφάλειας (μειονέκτημα το οποίο αναμένεται να εκλείψει με την έλευση εργαλείων που υποστηρίζουν την πλήρη έκδοση OWL Full), η OWL-DL αντιπαραθέτει τα εξής πλεονεκτήματα: Ο τρόπος με τον οποίο οι οντολογίες αναπαριστούν μοντέλα του πραγματικού κόσμου είναι πολύ κοντά στον ανθρώπινο τρόπο αντίληψης, σε αντίθεση με τις τυπικές γλώσσες που παρά την εκφραστικότητά τους είναι δυσνόητες και δύσχρηστες από τον άνθρωπο. Τα τυπικά μοντέλα ασχολούνται κυρίως με θέματα ελέγχου πρόσβασης τα οποία μπορούν να εκφραστούν με μαθηματικό τρόπο ενώ δεν διαθέτουν μηχανισμούς για λιγότερο τυπικές εκφάνσεις της ΔΑ όπως η επιλογή αντιμέτρων. Συγκριτικά με τις τυπικές γλώσσες, οι οντολογίες είναι πιο κατάλληλες για την αναπαράσταση προσεγγίσεων (approximations) και τη συμμετοχή σε συστήματα υποστήριξης μέσω της σημασιολογικής διάστασης και των συμπερασματικών μηχανισμών τους. Διαθέτει μηχανισμό επερωτήσεων (queries) που μπορεί να εφαρμοστεί στις οντολογίες OWL. Αυτό το κεφάλαιο είναι οργανωμένο ως ακολούθως: στην ενότητα 5.2 περιγράφονται οι 37 Ένα συγκεκριμένο αποφασίσιμο (decidable) υποσύνολο του λογικού συστήματος First Order Logic. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 210

211 μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για τις εργασίες του παρόντος κεφαλαίου. Στην ενότητα 5.3 δίνεται ένας τυπικός (formal) ορισμός της οντολογίας ασφάλειας, ενώ στην ενότητα 5.4 θίγονται θέματα μοντελοποίησης απαιτήσεων ασφάλειας όπως αυτές εκφράζονται μέσα από σχετικά de facto και de jure πρότυπα, και πιο συγκεκριμένα από τα πρότυπα των οικογενειών προτύπων ISO/IEC και COBIT, αντίστοιχα. Η μεθοδολογία της προσέγγισης ανάπτυξης παρατίθεται συνολικά στην ενότητα 5.5, ενώ είναι σημαντικό να σημειώσει ο αναγνώστης ότι στη συνέχεια αναλύονται ξεχωριστά οι δύο οικογένειες προτύπων, αφού προσεγγίζουν το ζήτημα της διαχείρισης κινδύνων πληροφορικής από διακριτές οπτικές. Σε κάθε φάση της μεθοδολογίας εξετάζονται και τα δύο πρότυπα που προαναφέρθηκαν και αναπτύσσονται εκ παραλλήλου δύο οντολογίες, μια για κάθε πρότυπο επιπρόσθετα, σε κάθε φάση πραγματοποιείται μια ενοποίηση των δύο οντολογιών, καταλήγοντας σε μια κοινή («ενοποιημένη») οντολογία για κάθε φάση. Η σημαντικότερη φάση είναι, κατά τον γράφοντα, ο ορισμός του εννοιολογικού μοντέλου και στην οποία δόθηκε το μεγαλύτερο βάρος, ενώ οι άλλες δύο είναι σχετικά απλούστερες. Η μεθοδολογία ορίζει τρεις κύριες φάσεις: α) τον ορισμό του εννοιολογικού μοντέλου της ΟΑ στην ενότητα 5.5.1, β) τη σύνδεση της ΟΑ με το μοντέλο CIM δημιουργώντας ένα σχήμα επέκτασης του CIM το οποίο χρησιμεύει σαν το βασικό μοντέλο πληροφοριών διαχείρισης ΠΣ (IS management information container) στην ενότητα 5.5.2, και γ) την υλοποίηση του σχήματος επέκτασης στη γλώσσα OWL του Σημασιολογικού Ιστού (Semantic Web), με παράλληλο εμπλουτισμό του μοντέλου ISO/IEC με οντολογικά χαρακτηριστικά (ενότητα 5.5.3). Σημαντικά είναι τα εξής σημεία: Κατά τη διάρκεια της έρευνας τα εν λόγω πρότυπα αναλύθηκαν ενδελεχώς και οι οντολογίες αναπτύχθηκαν σε λεπτομερή βαθμό λ.χ. η ανάλυση των προτύπων της οικογένειας ISO/IEC κάλυψε και τα δέκα γνωστικά πεδία ασφάλειας (domains) που ορίζει το πρότυπο ενώ το ίδιο έγινε και για την οικογένεια COBIT με αποτέλεσμα η αναπαράσταση των οντολογιών με τις συνδεόμενες έννοιες και το πλήθος των εννοιών να μην είναι εύκολα κατανοητή σε ένα ολικό σχήμα. Με αυτή την παραδοχή, σε αυτή την εργασία λόγω χώρου και προς βελτίωση της Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 211

212 κατανόησης των εννοιών και των σχέσεων μεταξύ τους έχει γίνει μια επιλογή των σημαντικότερων σημείων προκειμένου να υποστηριχτεί η καλύτερη κατανόηση της προσέγγισης και να επικεντρωθεί η διατριβή στα σημαντικότερα σημεία της έρευνας. Τα εννοιολογικά μοντέλα των σχετικών με ΑΕ οντολογιών είναι διαθέσιμα στα Παραρτήματα Ι και ΙΙ. Η οντολογία που επιλέχτηκε για περαιτέρω έρευνα είναι η οντολογία με βάση το ISO/IEC 17799, καθότι το πρότυπο είναι πιο ώριμο και πιο εύκολα κατανοητό στη σημερινή πραγματικότητα της διαχείρισης ασφάλειας ΠΣ. Αυτό δε σημαίνει ότι η έρευνα η σχετική με το COBIT και την ενοποιημένη ΟΑ είναι άκυρη, αφού αποτελεί παρακαταθήκη για μελλοντική έρευνα. Υπό αυτή την οπτική λοιπόν, μόνο η οντολογία κατά ISO/IEC εμπλουτίστηκε με οντολογικά χαρακτηριστικά. Επιπλέον, εφόσον ένας στόχος της παρούσας διατριβής είναι η διαχείριση των αποτελεσμάτων της Αποτίμησης Επικινδυνότητας (ΑΕ), ένα συγκεκριμένο υποσύνολο της τελικής οντολογίας κατά ISO/IEC επιλέχτηκε για να αποτελέσει τη βάση για τα επόμενα κεφάλαια, επικεντρώνοντας στα προτεινόμενα αντίμετρα από την αποτίμηση επικινδυνότητας. Το αποτέλεσμα των εργασιών του κεφαλαίου αυτού είναι τρεις πλήρεις οντολογίες ασφάλειας (κατά ISO/IEC 17799, κατά COBIT και ενοποιημένη οντολογία ασφάλειας), συνδεδεμένες με το μοντέλο CIM. 5.2 Μέθοδοι, τεχνικές και εργαλεία Οι βασικές μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για την υλοποίηση των εργασιών που περιγράφονται στο παρόν κεφάλαιο είναι τα εξής: Ενέργεια Εργαλεία και τεχνικές Εννοιολογικό μοντέλο οντολογίας Συνεργατική προσέγγιση για σχεδίαση ασφάλειας οντολογιών [Holsapple and Joshi, 2002] Σχεδίαση οντολογίας ασφάλειας UML (Unified Model Language) [OMG UML, 2001] Επεξεργασία οντολογιών Επεξεργαστής οντολογιών Protégé Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 212

213 Ενέργεια Υποστήριξη συμπερασματικών μηχανισμών και ελέγχων ορθότητας οντολογίας Εργαλεία και τεχνικές [Protégé 2005] RACER reasoner [RACER, 2006] 5.3 Οντολογία Ασφάλειας τυπικός ορισμός Σε αυτή την ενότητα ορίζεται η οντολογία ασφάλειας (ΟΑ) με τυπικό τρόπο με βάση τον ορισμό της οντολογίας από το [Bozsak et al., 2002], όπου οι ιδιότητες RBAC (Role Based Access Control) ακολουθούν τις έννοιες που αναλύονται στο [ANSI/INCITS, 2004]. Ορίζονται κατά σειρά: το σχήμα ελέγχου πρόσβασης στα αγαθά ΠΣ βάσει ρόλων, οι ιεραρχίες των εννοιών και σχέσεων της οντολογίας, τα λογικά αξιώματα και η βάση γνώσης ασφάλειας της οντολογίας όπως επίσης και θέματα που αφορούν τα στιγμιότυπα (instances) των εννοιών και τα λεξικά όρων (vocabularies) που περιγράφουν το πεδίο δραστηριότητας (domain) της διαχείρισης ασφάλειας ΠΣ. Η οντολογία ασφάλειας στα επόμενα αναφέρεται συντομογραφικά σαν OA ή SO. Ορισμός 0. Ένα σχήμα ελέγχου πρόσβασης που βασίζεται σε RBAC για την SO (SO RBAC ) είναι μια δομή, η οποία ορίζεται ως ακολούθως: Οι ΟΝΤΟΤΗΤΕΣ (ENTITIES), ΡΟΛΟΙ (ROLES), ΛΕΙΤΟΥΡΓΙΕΣ (OPERATIONS OPS) και ΠΟΡΟΙ (RESOURCES) είναι σύνολα από Οντότητες, Λειτουργίες και Πόρους ΠΣ, αντίστοιχα. Οι Αναθέσεις σε Οντότητες ή Entity Assignments (EA) είναι ένα σύνολο που τα στοιχεία του ικανοποιούν μια σχέση αντιστοίχησης πολλά προς πολλά (Μ:Μ) από οντότητες σε ρόλους τυπικά: EA ENTITIES ROLES και assigned _ entities : ( r : ROLES ) 2 ENTITIES που ορίζει την αντιστοίχηση του ρόλου r σε ένα σύνολο από οντότητες (ENTITIES). Το σύνολο των οντοτήτων assigned_entities στις οποίες έχει αποδοθεί ένας ρόλος r ορίζεται Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 213

214 σαν: assigned _ entities( r) e ENTITIES ( e, r) EA, ενώ το σύνολο των δικαιωμάτων PRMS που μπορεί να αποδοθεί, ορίζεται σαν PRMS ( OPS RESOURCES ) 2. Οι Αναθέσεις Δικαιωμάτων ή Permission Assignments (PA) είναι ένα σύνολο PA με PA PRMS ROLES, που τα στοιχεία του ικανοποιούν μια σχέση αντιστοίχησης assigned_permissions πολλά προς πολλά (Μ:Μ) από ρόλους σε δικαιώματα τυπικά: assigned _ permissions( r : ROLES ) 2 PERMS ενώ τα δικαιώματα που αποδίδονται σε ένα ρόλο ορίζονται σαν: assigned _ permissions( r) { p PRMS, ( p, r) PA}. Η αντιστοίχηση των δικαιωμάτων σε λειτουργίες ορίζεται με τη σχέση: op( p : PRMS ) { op OPS}, η οποία δίνει το σύνολο των λειτουργιών που συνδέονται με το δικαίωμα p. Η αντιστοίχηση των δικαιωμάτων σε πόρους ορίζεται με τη σχέση: res( p : PRMS ) res RESOURCES}. Το σύνολο των Συνόδων (Sessions) ορίζεται ως SESSIONS. Η αντιστοίχηση της συνόδου s στην αντίστοιχη οντότητα ορίζεται με τη σχέση: session _ entities( s : SESSIONS ) ENTITIES, ενώ η αντιστοίχηση της συνόδου s σε ένα σύνολο ρόλων (session_roles) ορίζεται με τη σχέση: session _ roles( s : SESSIONS ) 2 ROLES. Τυπικά, οι επιτρεπτοί ρόλοι ανά σύνοδο ορίζονται σαν: session _ roles( si ) { r ROLES session _ entities( si ), r) EA}, ενώ τα δικαιώματα που είναι διαθέσιμα σε μια σύνοδο ορίζονται από τη σχέση: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 214

215 avail _ session _ perms( s : SESSIONS ) 2 PRMS. Τέλος, τα δικαιώματα που είναι διαθέσιμα σε μια σύνοδο για μια συγκεκριμένη οντότητα εκφράζονται σαν την ένωση των επιτρεπτών δικαιωμάτων ανά ρόλο r, όπου ο ρόλος r ανήκει στους ρόλους της συνόδου s: assigned _ permissions( r) r session _ roles ( s). Ορισμός 1. Μια βασική Οντολογία Ασφάλειας (ΟΑ ή Security Ontology SO) είναι μια δομή τύπου: SO : RBAC ) ( SC, SC, SR,, SR, SO, που αποτελείται από: Δύο ξένα μεταξύ τους σύνολα SC και SR, των οποίων τα μέλη καλούνται Αναγνωριστές Εννοιών Ασφάλειας (Security Concept Identifiers) και Αναγνωριστές Σχέσεων Ασφάλειας (Security Relation Identifiers), αντίστοιχα, Μια μερική διάταξη (partial order) SC του SC, που καλείται ιεραρχία εννοιών ασφάλειας (security concept hierarchy) ή ταξινομία (taxonomy), Μια συνάρτηση signature), : SR SC, που καλείται υπογραφή ασφάλειας (security Μια μερική διάταξη SR του SR, που καλείται ιεραρχία σχέσεων ασφάλειας (security relation hierarchy), όπου η έκφραση sr1 sr2 υπονοεί ότι ( sr1) ( sr2) και ( ( sr1)) ( ( sr2)), για κάθε 1 i ( sr1). Μια δομή SO RBAC όπως ορίζεται στον Ορισμό 0. i SC Για λόγους απλότητας οι Αναγνωριστές Εννοιών Ασφάλειας και οι Αναγνωριστές Σχέσεων Ασφάλειας θα αναφέρονται στα επόμενα ως Έννοιες (Concepts) και Σχέσεις (Relations), αντίστοιχα. i SR Ορισμός 2. Για μια σχέση ασφάλειας sr SR με ( sr) 2, ορίζονται το Πεδίο Ορισμού (Domain) και το Πεδίο Τιμών (Range) ως dom( sr) : 1( ( sr)) και range( sr) : 2( ( sr)), αντίστοιχα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 215

216 Εάν sc1 sc2, με sc1, sc2 SC, τότε η έννοια sc1 είναι μια υπό-έννοια (sub-concept) SC της sc2, και αντίστοιχα η έννοια sc2 είναι μια υπέρ-έννοια (super-concept) της έννοιας sc1. Στο επίπεδο των σχέσεων, εάν sr1 sr2, με sr1, sr2 SR, τότε η σχέση sr1 είναι μια SR υπό-σχέση (sub-relation) της sr2, και η sr2 είναι μια υπέρ-σχέση (super-relation) της sr1. Περαιτέρω, εάν η έννοια sc1 είναι μια υπό-έννοια της έννοιας sc2 ( sc1 sc2 ) και δεν υπάρχει κάποια έννοια sc3 που να παρεμβάλλεται στην ιεραρχία των εννοιών sc1 και sc2 (τυπικά: το σύνολο των εννοιών που ικανοποιούν τη σχέση sc1 sc3 sc2, με sc1, sc2, sc3 SC είναι μηδενικό), τότε η έννοια sc1 είναι μια άμεση υπό-έννοια της έννοιας sc2, και αντίστοιχα η έννοια sc2 μια άμεση υπέρ-έννοια της έννοιας sc1. Συνοπτικά η παραπάνω σχέση παριστάνεται ως sc1 sc2. Άμεσες υπέρ-σχέσεις και άμεσες υπόσχέσεις ορίζονται με ανάλογο τρόπο ( sr1 sr2 ). SC SC SC Ορισμός 3. Έστω L μια λογική γλώσσα. Ένα σύστημα αξιωμάτων βασισμένο στην L (Laxioms system, ή L-αξιώματα) για μια οντολογία ασφάλειας SO ( SC,, SR,, ), : SC SR είναι ένα ζεύγος A : ( SAI, ) όπου: SAI είναι ένα σύνολο Αναγνωριστών Αξιωμάτων Ασφάλειας (Security Axiom Identifiers) και a : SAI L είναι μια αντιστοίχηση από το σύνολο SAI στη λογική γλώσσα L. Τα στοιχεία που ικανοποιούν τα σχέση A : a( SAI ), καλούνται Αξιώματα Ασφάλειας (Security Axioms). Μια οντολογία ασφάλειας με αξιώματα βασισμένα στην L (L-axioms SO) είναι ένα ζεύγος που αποτελείται από μια Οντολογία Ασφάλειας (SO) και ένα σύστημα L-αξιωμάτων (Α) για την οντολογία SO. Ορισμός 4. Μια οντολογία ασφάλειας με L-αξιώματα (SO, A) είναι συνεπής (consistent), εάν τα L-αξιώματα, οι ιεραρχίες των εννοιών και των σχέσεων είναι συνεπείς δηλ. τυπικά εάν η ακόλουθη σχέση είναι συνεπής: A { x : x sc1 x sc2 sc1 sc2} { x : x sr1 x sr2 sr1 sr2}. Στα επόμενα, ο όρος οντολογία ασφάλειας ισχύει τόσο για μια βασική οντολογία ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 216

217 (SO), όσο και για μια οντολογία ασφάλειας με L-αξιώματα (SO, A). Ορισμός 5. Ένα Λεξικό Όρων Ασφάλειας (Security Lexicon) για μια οντολογία ασφάλειας SO : ( SC,, SR SC,, SR) ορίζεται σαν μια δομή Lex ( SS, SS, Re f, Re f ) που αποτελείται από: : SC SR SC SR δύο σύνολα SS SC και SS SR αποτελούμενα από σύμβολα ασφάλειας (security signs) για έννοιες και σχέσεις, αντίστοιχα, Μια σχέση Re f SS SC η οποία καλείται Λεξική Αναφορά για Έννοιες SC SC Ασφάλειας (Lexical Reference for Security Concepts), όπου η σχέση ( sc, sc) Re ισχύει για όλες τις έννοιες που ικανοποιούν τη σχέση f SC sc SC, SS SC Μια σχέση Re f SS SR η οποία καλείται Λεξική Αναφορά για Σχέσεις SR SR Ασφάλειας (Lexical Reference for Security Relations), όπου η σχέση ( sr, sr) Re ισχύει για όλες τις σχέσεις που ικανοποιούν τη σχέση f SR sr SR. SS SR Μια οντολογία ασφάλειας με λεξικό ασφάλειας ορίζεται ως ένα ζεύγος (SO, Lex) όπου η SO είναι μια οντολογία ασφάλειας και το Lex είναι ένα λεξικό ασφάλειας για την SO. Η απαίτηση για την υποστήριξη προτυποποιημένων λεξιλογίων ικανοποιείται μέσω της χρήσης ευρέως αποδεκτών λεξικών όρων ασφάλειας όπως τα γλωσσάρια όρων ασφάλειας και διαβεβαίωσης ΠΣ από τους οργανισμούς SANS (SANS Glossary of Terms [SANS, 2006]), CNSS (CNSS National Information Assurance Glossary [CNSS, 2006]), ή αντίστοιχους. Ορισμός 6. Μια Βάση Γνώσης Ασφάλειας (Security Knowledge Base, SKB) είναι μια δομή SKB : ( SCSKB, SRSKB, SI, sisc, sisr), η οποία αποτελείται από: Δύο σύνολα εννοιών και σχέσεων ασφάλειας SC SKB και SR SKB, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 217

218 Ένα σύνολο SI, με μέλη Αναγνωριστές Στιγμιοτύπων Ασφάλειας (Security Instance Identifiers SII, στιγμιότυπα ή αντικείμενα ασφάλειας στα επόμενα), Μια συνάρτηση sisc : SCSKB B( SI) που καλείται Δημιουργία Στιγμιότυπων Εννοιών Ασφάλειας (Security Concept Instantiation), και Μια συνάρτηση sisr : SRSKB B( SI ) που καλείται Δημιουργία Στιγμιότυπων Σχέσεων Ασφάλειας (Security Relation Instantiation). Ορισμός 7. Ένα Λεξικό Στιγμιότυπων Ασφάλειας (Security Instance Lexicon) για μια Βάση Γνώσης Ασφάλειας (Security Knowledge Base) SKB : ( SCSKB, SRSKB, SI, sisc, sisr), ορίζεται σαν ένα ζεύγος SIL ( SS SI, SR ) που αποτελείται από: : SI Ένα σύνολο SS SI με μέλη Σύμβολα Ασφάλειας για τα στιγμιότυπα, Μια σχέση ασφάλειας SR που καλείται Λεξική Αναφορά για Στιγμιότυπα SS SI SI Ασφάλειας (Lexical Reference for Security Instances). Μια Βάση Γνώσης Ασφάλειας με Λεξικό Ασφάλειας (Security Knowledge Base with Security Lexicon) ορίζεται σαν ένα ζεύγος (SKB, SIL) όπου η SKB είναι μια Βάση Γνώσης Ασφάλειας και το SIL είναι ένα Λεξικό Στιγμιότυπων Ασφάλειας για την SKB. 5.4 Μοντελοποίηση Απαιτήσεων Ασφάλειας και Εννοιολογικά Μοντέλα Οι απαιτήσεις ασφάλειας εκφράζουν τις απόψεις των εμπλεκομένων οντοτήτων (stakeholders) και όπως αναφέρθηκε και σε άλλες ενότητες (4.9) διαφέρουν όσον αφορά τον τρόπο περιγραφής, έκφρασης και επιπέδου λεπτομέρειας της ενυπάρχουσας πληροφορίας, ενώ συνδυάζονται και με άλλες πηγές γνώσης ασφάλειας. Σε αυτή την ενότητα παρουσιάζεται μια μοντελοποίηση των απαιτήσεων ασφάλειας σε εννοιολογικό επίπεδο προκειμένου να εντοπιστούν οι σημαντικότερες έννοιες (concepts) ασφάλειας, οι ιδιότητές τους και οι μεταξύ τους σχέσεις. Πηγές για τη δημιουργία του εννοιολογικού μοντέλου αποτελούν καθιερωμένα πρότυπα διαχείρισης κινδύνων ΠΣ όπως τα πρότυπα των οικογενειών BS7799 [ISO 17799, 2000], [BSI-EN, 2001], [BSI-EN, 2002] και COBIT Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 218

219 [ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000], αντίστοιχα. Η κύρια διαφορά των δύο προσεγγίσεων είναι η θεώρησή τους σχετικά με τους κινδύνους σχετικά με τη χρήση των ΠΣ: τα πρότυπα BS7799 επικεντρώνονται στα συστατικά μέρη των ΠΣ (asset-based approach) και στη Διαχείριση Ασφάλειας ΠΣ με τη στενότερη έννοια, ενώ το COBIT δίνει μεγαλύτερη σημασία στις διεργασίες πληροφορικής (IT Process-based approach) και στη Διαχείριση του Επιχειρησιακού Κινδύνου που απορρέει από τη χρήση ΠΣ 38. Η ενοποίηση των δύο προσεγγίσεων σε ένα ολικό εννοιολογικό μοντέλο αποτελεί ένα από τα αποτελέσματα της έρευνας που περιγράφεται σε αυτό το κεφάλαιο. Η μεθοδολογία της προσέγγισης για τη δημιουργία των κύριων εννοιολογικών μοντέλων (κατά ISO/IEC BS7799 και COBIT, αντίστοιχα) παρατίθεται στην επόμενη ενότητα. 5.5 Μεθοδολογία Ανάπτυξης Η Οντολογία Ασφάλειας που παρουσιάζεται σε αυτή την ενότητα επεκτείνει το μετάμοντέλο του CIM με σκοπό τη μοντελοποίηση των πληροφοριών διαχείρισης που σχετίζονται με τις απαιτήσεις ασφάλειας ενός ΠΣ. Η ΟΑ είναι μια επέκταση του μοντέλου CIM (extension schema) εμπλουτισμένη με οντολογικά χαρακτηριστικά, μοντελοποιώντας τις απαιτήσεις ασφάλειας («Στόχοι Ασφάλειας») του ΠΣ προς διαχείριση. Επιπρόσθετα, η ΟΑ έχει δυνατότητα διασύνδεσης με ήδη υπάρχουσες οντολογίες ΠΣ εκφρασμένων σε 38 Για μια εκτενέστερη ανάλυση των δύο προσεγγίσεων, ο αναγνώστης παραπέμπεται στην ενότητα 4.2 «Προδιαγραφές ενός συστήματος Διαχείρισης Ασφάλειας». Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 219

220 μοντέλα CIM, προκειμένου να επαναχρησιμοποιήσει την πληροφορία διαχείρισης που έχει ήδη μοντελοποιηθεί σε άλλες υλοποιήσεις. Η ΟΑ ενεργεί σαν ένα μέσο συλλογής και αποθήκευσης των απαιτήσεων ασφάλειας του ΠΣ, όπως αυτές μπορούν να εξαχθούν από τις διάφορες πληροφοριακές πηγές που αναφέρθηκαν στην ενότητα 4.9. Σε αυτή τη διαδικασία χρησιμοποιήθηκαν συνδυαστικά μια σειρά από πρότυπα από διαφορετικούς, αλλά συμπληρωματικούς χώρους (βλ. και ενότητες για τους άξονες της έρευνας). Παρά την απουσία πρότυπων μεθόδων για τη δημιουργία μιας οντολογίας [Noy and McGuiness, 2001], υιοθετήθηκε η συνεργατική προσέγγιση για σχεδίαση οντολογιών ([Holsapple and Joshi, 2002]) δημιουργώντας μια οντολογία από μια ομάδα ειδικών μέσω ενός επαναληπτικού μοντέλου βελτιώνοντας το αποτέλεσμα σε κάθε επανάληψη. Η συνολική μεθοδολογία ανάπτυξης έχει τρεις διακριτές φάσεις [Tsoumas et al., 2005]: Φάση 1: Δημιουργία εννοιολογικού μοντέλου της ΟΑ χρησιμοποιώντας το πλαίσιο που περιγράφεται στο [Holsapple and Joshi, 2002] και καθιερωμένα πρότυπα διαχείρισης ασφάλειας και κινδύνων ΠΣ. Το αποτέλεσμα αυτής της φάσης είναι τρία εννοιολογικά μοντέλα ΔΑ ΠΣ (κατά BS7799, κατά COBIT και Ενοποιημένο Μοντέλο). Φάση 2: Δημιουργία Σχήματος Επέκτασης του μοντέλου CIM για τη ΔΑ, συνδέοντας τα εννοιολογικά μοντέλα ΟΑ της προηγούμενης φάσης με τις πρότυπες έννοιες κλάσεις του μοντέλου CIM. Περαιτέρω, τα νέα σχήματα επέκτασης εμπλουτίζονται με χαρακτηριστικά διαχείρισης ασφάλειας και κινδύνων από τα προαναφερθέντα πρότυπα ([ISO 17799, 2000], [BSI-EN, 2001], [BSI-EN, 2002], [AS/NZS 4360, 1999], [ITGI COBIT, 2000], [CRAMM, 2005]). Το αποτέλεσμα αυτής της φάσης είναι τρία σχήματα επέκτασης του CIM για ΔΑ, εμπλουτισμένα με χαρακτηριστικά διαχείρισης ασφάλειας και κινδύνων ΠΣ (κατά BS7799, κατά COBIT και το Ενοποιημένο Μοντέλο αντίστοιχα). Φάση 3: Υλοποίηση της ΟΑ σε γλώσσα Σημασιολογικού Ιστού (OWL) με χρήση του περιβάλλοντος ανάπτυξης Protégé και του ενσωματωμένου OWL plug-in [Protégé- OWL, 2006]. Το αποτέλεσμα αυτής της φάσης είναι τρεις ΟΑ που αφορούν σε Αποτίμηση Επικινδυνότητας ΠΣ (κατά BS7799, κατά COBIT και Ενοποιημένο Μοντέλο). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 220

221 Οι φάσεις της μεθοδολογίας ανάπτυξης απεικονίζονται στο Σχήμα 5.1. Σχήμα 5.1:Φάσεις Μεθοδολογίας Ανάπτυξης Οντολογίας Ασφάλειας Πρότυπα Διαχείρισης Κινδύνων ΠΣ (BS7799, COBIT, ) Μοντέλα ΑΕ (CRAMM, COBRA, ) Άλλες CIM Οντολογίες ΠΣ.... Πρότυπες κλάσεις CIM.... Φάση 1: Δημιουργία εννοιολογικού μοντέλου ΟΑ Φάση 2: Δημιουργία Σχήματος Επέκτασης CIM ΔΑ Φάση 3: Υλοποίηση της ΟΑ σε OWL.... Οντολογία Ασφάλειας Στις επόμενες ενότητες περιγράφονται αναλυτικά οι φάσεις της ανάπτυξης της ΟΑ. Οι οντολογίες που σχετίζονται με την ΑΕ παρατίθενται στο Παράρτημα Ι (BS7799) και Παράρτημα ΙΙ (COBIT ) Φάση 1: Εννοιολογικό μοντέλο ΟΑ Το αντικείμενο αυτής της φάσης είναι ο εντοπισμός και αναπαράσταση των βασικών αρχών που διέπουν τη διαχείριση της ασφάλειας των ΠΣ, και ειδικότερα των απαιτήσεων ασφάλειας που προκύπτουν από την αποτίμηση της επικινδυνότητας, όπως αυτή ορίζεται Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 221

222 από τις οικογένειες των διεθνών προτύπων BS7799 και COBIT. Προκειμένου να εξαχθούν οι βασικές έννοιες κινδύνων και των μεταξύ τους σχέσεων χρησιμοποιήθηκαν τα πρότυπα διαχείρισης ασφάλειας και κινδύνων ΠΣ BS7799 [BSI-EN, 2001], [BSI-EN, 2002], [AS/NZS 4360, 1999] και COBIT [ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000], ενώ λήφθηκαν υπόψη τα σχετικά μοντέλα εννοιών των Common Criteria (CC) [ISO 15048, 1999] και των μεθόδων CRAMM [CRAMM, 2005] και COBRA [COBRA, 2006]. Σαν πλαίσιο της ανάπτυξης υιοθετήθηκε η συνεργατική προσέγγιση για σχεδίαση οντολογιών [Holsapple and Joshi, 2002] βάσει της οποίας μια ομάδα ειδικών δημιουργεί με επαναληπτικό τρόπο μια οντολογία, ενώ επιπρόσθετα λήφθηκαν υπόψη τα κριτήρια σχεδίασης του [Gruber 1993]. Εδώ θα πρέπει να σημειωθεί ότι παρά το γεγονός ότι η μεθοδολογία ανάπτυξης ήταν κοινή, η διαφορετικότητα των προτύπων όσον αφορά την θεώρησή τους ως προς τα πληροφοριακά συστήματα και τη θέση τους μέσα στον οργανισμό, οδήγησε στη δημιουργία δύο διαφορετικών εννοιολογικών μοντέλων (κατά BS7799 και COBIT, αντίστοιχα). Αναφορά σε συγκεκριμένα εννοιολογικά μοντέλα θα γίνεται όταν θεωρείται απαραίτητο. Τα βήματα της δημιουργίας του εννοιολογικού μοντέλου είναι τα ακόλουθα: Βήμα 1: Υιοθέτηση των κριτηρίων του Gruber [Gruber 1993] σαν γενικό πλαίσιο της διαδικασίας ανάπτυξης του εννοιολογικού μοντέλου. Βήμα 2: Εντοπισμός των βασικών εννοιών ασφάλειας από τα πρότυπα διαχείρισης κινδύνων ΠΣ και τις βέλτιστες πρακτικές: από μελέτη και ανάλυση της σχετικής βιβλιογραφίας όπως τα πρότυπα της οικογένειας BS7799 και των συγγενών τους ([BSI-EN, 2001], [BSI-EN, 2002], [AS/NZS 4360, 1999]), της οικογένειας COBIT ([ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000]) και των CC [ISO 15048, 1999], προκύπτει ότι υπάρχουν κοινές και επαναλαμβανόμενες έννοιες όπως Απειλή, Αδυναμία, Κίνδυνος, Αντίμετρο, Αγαθό, Επίπτωση, Διεργασία Πληροφορικής, Δραστηριότητα, και Επιχειρησιακός Στόχος. Αυτές οι έννοιες εμπλουτισμένες με ιδιότητες ασφάλειας αποτελούν το λεξιλόγιο ασφάλειας (security vocabulary) της ΟΑ. Βήμα 3: Κανονικοποίηση του λεξιλογίου ασφάλειας της ΟΑ: παρά τη χρήση κοινών όρων και εννοιών ασφάλειας και διαχείρισης κινδύνων, το λεξικό ασφάλειας δεν είναι πάντα συνεπές, ενώ οι απαντώμενοι όροι συχνά δεν έχουν μια σχέση Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 222

223 αντιστοίχησης ένα-προς-ένα (1-1). Περαιτέρω, σε διαφορετικά πρότυπα υπάρχουν διαφορετικές σχέσεις μεταξύ των ίδιων εννοιών λ.χ. στο πρότυπο AS/NZS 4360 οι Αδυναμίες συνδέονται ευθέως με τα Αγαθά, ενώ στα Common Criteria [ISO 15048, 1999] οι Αδυναμίες συνδέονται έμμεσα με τα Αγαθά μέσω των Κινδύνων από την άλλη μεριά, στο COBIT τα Αντίμετρα επενεργούν έμμεσα στους Πόρους Πληροφορικής (IT Resources) μέσω των Διεργασιών Πληροφορικής (Processes). Με αυτή τη λογική, σε αυτό το βήμα πραγματοποιείται η ομογενοποίηση των εννοιών ασφάλειας και των μεταξύ τους σχέσεων που θα χρησιμοποιηθούν στα επόμενα βήματα. Βήμα 4: Ανάπτυξη εννοιοκεντρικών υπό-οντολογιών: σε αυτό το βήμα δημιουργούνται μερικές (partial) οντολογίες οι οποίες απεικονίζουν μόνο μια κεντρική έννοια και τους άμεσους γείτονές της (βλ. ενότητες και , αντίστοιχα). Ο σκοπός αυτού του βήματος είναι η θεώρηση των εννοιών της ΔΑ κάτω από διαφορετικές οπτικές προκειμένου να υποστηριχτεί η κατανόηση και καλύτερη αναπαράσταση του γνωστικού πεδίου της ασφάλειας (IT security and risk domain). Βήμα 5: Ολοκλήρωση των εννοιοκεντρικών υπό-οντολογιών σε ένα πρωτότυπο: οι υπό-οντολογίες ενοποιούνται σε μεγαλύτερες με παράλληλη επέκταση του μοντέλου με βοηθητικές έννοιες, ιδιότητες και κανόνες, εάν απαιτείται. Βήμα 6: Εξειδίκευση του λεξιλογίου ασφάλειας και κανονικοποίηση του πρωτότυπου: επανεξέταση του λεξιλογίου και κατάλληλη μορφοποίηση των ιδιοτήτων και σχέσεων των εννοιών προκειμένου να αποφευχθούν επαναλήψεις. Βήμα 7: Αξιολόγηση και αλληλεπίδραση με την ομάδα σχεδίασης: το ενοποιημένο μοντέλο της ΟΑ αξιολογείται μέσα από συζητήσεις με τη συμμετοχή των μελών της ομάδας σχεδίασης. Βήμα 8: Επανάληψη της διαδικασίας από το Βήμα 2, εάν η ΟΑ δεν θεωρείται ότι περιγράφει ικανοποιητικά το χώρο της ΔΑ ΠΣ. Αντιπροσωπευτικά παραδείγματα των ενδιάμεσων υπό-οντολογιών καθώς και οι τελικές ΟΑ για την αποτίμηση επικινδυνότητας (με βάση την οικογένεια BS7799 και COBIT) θα παρατεθούν εκτενέστερα στις ενότητες και , αντίστοιχα. Οι οντολογίες που σχετίζονται με την ΑΕ παρατίθενται στα Παραρτήματα Ι (BS7799) και ΙΙ (COBIT). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 223

224 Στην επόμενη ενότητα αναπτύσσεται το εννοιολογικό μοντέλο της ΟΑ με βάση το πρότυπο ISO/IEC Εννοιολογικό Μοντέλο ΟΑ για ΑΕ με βάση το ISO/IEC Λεξιλόγιο της ΟΑ Η αποτίμηση της επικινδυνότητας όπως καθορίζεται από τα πρότυπα της οικογένειας BS7799 είναι η αποτίμηση των απειλών, των επιπτώσεων και των αδυναμιών των πληροφοριών και των πληροφοριακών επεξεργασιών καθώς και η πιθανότητα πραγματοποίησής τους [ISO 17799, 2000], [BSI-EN, 2001], [BSI-EN, 2002]. Η σύνδεση των απειλών της πληροφορίας με τις απειλές κατά των πόρων που συνθέτουν ένα ΠΣ είναι λογική συνέπεια της ύπαρξης ενός περιβάλλοντος μέσα στο οποίο η πληροφορία μεταδίδεται, αποθηκεύεται, επεξεργάζεται και τέλος αποκτά νόημα μέσω της σημασιολογίας των δεδομένων. Έτσι λοιπόν ο κίνδυνος ή ρίσκο αποτελεί συνάρτηση των απειλών και των αδυναμιών στους πόρους των πληροφοριακών συστημάτων [Γκρίτζαλης, 1996]. Τα πρότυπα της οικογένειας BS7799 είναι προσανατολισμένα σε θέματα ασφάλειας πληροφοριών και όχι σε θέματα ευρύτερου επιχειρησιακού κινδύνου από τη χρήση της πληροφορικής, όπως το COBIT (βλ. και ενότητα 4.5.2). Ο συγγραφέας δεν διατείνεται ότι η ΟΑ είναι πλήρης, αλλά υπό τη θεώρηση της μεθοδολογίας ανάπτυξης (βλ. ενότητα 5.5.1) υπάρχει η δυνατότητα επέκτασής της (και μάλιστα κάτι τέτοιο ενθαρρύνεται) με νέες έννοιες, ιδιότητες και σχέσεις μεταξύ των εννοιών. Οι κύριοι όροι του ISO/IEC που χρησιμοποιούνται στην ΟΑ και ορίζουν το λεξιλόγιο της, παρατίθενται παρακάτω [Μιχαηλίδου, 2004], [Tsoumas et al., 2005]: Αγαθό (Asset): Πληροφορίες, δεδομένα ή υπολογιστικοί πόροι που έχουν αξία για τους ιδιοκτήτες του συστήματος, Ιδιοκτήτης (Stakeholder): Οντότητα η οποία έχει έννομο συμφέρον για την καλή λειτουργία του συστήματος τυπικά αυτός ο όρος αναφέρεται στον ιδιοκτήτη, χρήστη ή πελάτη του συστήματος (σ.σ. προς χάριν της απλότητας χρησιμοποιείται συνολικά ο όρος Ιδιοκτήτης). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 224

225 Αδυναμία (Vulnerability): Ένα σημείο ενός πληροφοριακού συστήματος που μπορεί να προσφέρεται για παραβίαση, η οποία προσβάλλει μία ή περισσότερες από τις βασικές ιδιότητες ασφάλειας πληροφοριών (Διαθεσιμότητα, Εμπιστευτικότητα, Ακεραιότητα, Αυθεντικότητα και Εγκυρότητα). Απειλή (Threat): Μία πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσότερων χαρακτηριστικών της ασφάλειας ενός πληροφοριακού συστήματος. Αίτιο (Πηγή) Απειλής (Threat Agent): Ένα πιθανό αίτιο το οποίο μπορεί να προκαλέσει την εκδήλωση μιας απειλής η οποία με τη σειρά της μπορεί να προκαλέσει ζημία στον οργανισμό και τους πόρους του. Παραδείγματα πηγών απειλών αποτελούν τόσο φυσικές δυνάμεις (φυσικές καταστροφές ), όσο και ο ανθρώπινος παράγοντας (hackers, ιομορφικό λογισμικό, κακόβουλοι χρήστες ). Επικινδυνότητα (Risk): Το γινόμενο της επίπτωσης επί την επισφάλεια ή με άλλα λόγια η πιθανότητα πραγματοποίησης μίας συγκεκριμένης απειλής, η οποία θα εκμεταλλευτεί τις αδυναμίες του συστήματος και θα προκαλέσει την απώλεια ή ζημία σε έναν πόρο του συστήματος. Επίθεση (Attack): Προσπάθεια απόκτησης μη εξουσιοδοτημένης πρόσβασης σε υπηρεσίες, πόρους ή πληροφορίες ενός πληροφοριακού συστήματος, Ανεπιθύμητο Περιστατικό (Unwanted Incident): Ένα γεγονός που ενδέχεται να συμβεί λόγω της υλοποίησης μίας απειλής. Επίπτωση (Impact): Η ανεπιθύμητη απώλεια της αξίας του συνόλου ή μέρους του ΠΣ, η αύξηση του κόστους ή άλλη απώλεια που θα μπορούσε να προκύψει σαν συνέπεια μίας συγκεκριμένης παραβίασης. Αντίμετρα (Security Countermeasures): Πράξεις, συσκευές, διαδικασίες ή τεχνικές που έχουν σαν σκοπό τη μείωση των αδυναμιών ενός πληροφοριακού συστήματος σε ένα αποδεκτό επίπεδο. Πολιτική Ασφαλείας (Security Policy): Ένα σύνολο κανόνων ή κανονισμών, το οποίο έχει θεσπιστεί από τον ιδιοκτήτη του συστήματος και έχει σχέση με την διατήρηση του αποδεκτού επιπέδου ασφάλειας του συστήματος. Μία πολιτική ασφάλειας παρέχει βασικές κατευθύνσεις για τη διατήρηση του επιπέδου ασφάλειας σε ένα αποδεκτό επίπεδο ενώ επίσης παρέχει κατευθύνσεις για την αποτίμηση της επικινδυνότητας. Περαιτέρω η Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 225

226 πολιτική ασφάλειας εξειδικεύεται σε Πρότυπα (Standards), Διαδικασίες (Procedures) και Οδηγίες Εφαρμογής (Guidelines). Αντίμετρα / Έλεγχοι (Controls): Σύνολο από προδιαγραφές του προτύπου ISO/IEC βάσει των θεματικών περιοχών του προτύπου (βλ. Ενότητα 4.5.1). Τα αντίμετρα και οι προτεινόμενες οδηγίες εφαρμογής μπορεί να ρυθμίζονται ανά τακτά χρονικά διαστήματα ή να ορίζονται από την αρχή από τον διαχειριστή περαιτέρω, ενδέχεται να ελέγχεται η αποτελεσματικότητα της εφαρμογής τους μέσω του ελέγχου (βλ. Ενότητα 2.3). Τα αντίμετρα μπορεί να είναι προληπτικά (preventive controls), διαγνωστικά (detective controls), διορθωτικά (corrective controls) ή αποτρεπτικά (deterrent controls). Το κάθε αντίμετρο έχει σαν στόχο είτε τον εντοπισμό / ανακάλυψη των επιθέσεων, είτε την ελαχιστοποίηση των επιπτώσεων, είτε τη μείωση της πιθανότητας των επιθέσεων [Γκρίτζαλης, 2001], [ISO , 1996]. Μετά από τον καθορισμό των βασικών εννοιών της οντολογίας, καθορίζονται οι μεταξύ τους σχέσεις στην επόμενη παράγραφο Σχέσεις μεταξύ των βασικών εννοιών του ISO/IEC και Εννοιολογικό Μοντέλο Αναλύοντας περαιτέρω το Βήμα 4 της μεθοδολογίας ανάπτυξης της ΟΑ, και προκειμένου για τα πρότυπα της οικογένειας ISO/IEC 17799, στα επόμενα θα παρατεθούν κάποιες βασικές υπό-οντολογίες οι οποίες έχουν οριστεί κατά τη διάρκεια του βήματος. Η διαδικασία αυτή υποστηρίζει την καλύτερη κατανόηση του γνωστικού πεδίου και την ανταλλαγή απόψεων σχετικά με τη βέλτιστη μορφή της οντολογίας ασφάλειας. Κάθε υπόοντολογία περιστρέφεται γύρω από μια κεντρική έννοια και περιλαμβάνει τις άμεσες γειτονικές της έννοιες. Αξίζει να παρατηρήσει κανείς ότι οι σχέσεις μεταξύ των εννοιών μπορεί να είναι και αμφίδρομες. Στη συνέχεια παρατίθενται δύο ενδεικτικά παραδείγματα σε υψηλό επίπεδο (με βάση τις έννοιες Αγαθό και Απειλή) προκειμένου να επιδειχθεί η προσέγγιση. Στο Σχήμα 5.2 απεικονίζεται η υπό-οντολογία με κεντρικό άξονα την έννοια Αγαθό (Asset): ένα Αγαθό απειλείται από μια Απειλή (Threat), η οποία εκμεταλλεύεται μια Αδυναμία (Vulnerability) η οποία με τη σειρά της εάν πραγματοποιηθεί εκθέτει το Αγαθό σε ένα Κίνδυνο (Risk) με μια συγκεκριμένη Επίπτωση (Impact). Το Αντίμετρο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 226

227 (Countermeasure) προφυλάσσει το Αγαθό, στοχεύει στην αντιμετώπιση της Απειλής και μειώνει την Επίπτωση και την έκθεση στην Αδυναμία. Στο Σχήμα 5.3 απεικονίζεται η υπόοντολογία για την έννοια Απειλή (Threat), ακολουθώντας την ίδια λογική. Άλλες υπόοντολογίες με βάση τον Κίνδυνο (Risk), το Αντίμετρο (Countermeasure), την Ευπάθεια (Vulnerability) και το Ανεπιθύμητο Περιστατικό (Unwanted Incident) είναι διαθέσιμες στο Παράρτημα Ι. Σχήμα 5.2: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά ISO/IEC 17799: Αγαθό Reduces (Vul) Exploits(Vul) Threat Has Target(Asset) Targets(Threat) Countermeasure Causes (Risk) Protects Vulnerability Asset Exposes(Asset) Enables (Risk) Risk Targets(Asset) Targets(Asset) Impact Decreases(Impact) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 227

228 Σχήμα 5.3: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά ISO/IEC 17799: Απειλή Mitigates(Threat) Threat Agent Initiates(Threat) Threat Causes (Risk) Exploits(Vul) 1 HasTarget(Asset) Asset Exposes(Asset) Risk Protects (Asset) Countermeasure * Attack HasTarget(Asset) Vulnerability Enables (Risk) Reduces (Vul) Το τελικό εννοιολογικό μοντέλο της ΟΑ για την αποτίμηση επικινδυνότητας κατά ISO/IEC (σε υψηλό επίπεδο) απεικονίζεται στο Σχήμα 5.4. Σχήμα 5.4: Οντολογία Ασφάλειας κατά ISO/IEC για την ΑΕ Threat Agent Initiates Mitigates(Threat) Causes (Risk) Owns(Asset) Stakeholder Exploits(Vul) Threat HasTarget(Asset) Owns(SecPol) * 1 Asset Exposes(Asset) Risk SecurityPolicy Attack Includes Leads (Unwanted Incident) Results In(Unwanted Incident) HasTarget (Asset) Protects Countermeasure Exposes(Asset) Unwanted Incident Leads (Impact) Reduces (Vul) Vulnerability Initiates(Unwanted Incident) Include (Count) Impact HasTarget (Asset) Controls Enables (Risk) Decreases(Impact) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 228

229 Ο Πίνακας 5.1 συνοψίζει τις συσχετίσεις μεταξύ των βασικών όρων του ISO/IEC που αναλύθηκαν στην ενότητα (οι όροι αναγράφονται στα αγγλικά καθώς ακολουθεί σχετική υλοποίηση σε OWL στην ενότητα 5.5.3): Πίνακας 5.1: Οντολογία Ασφάλειας κατά ISO/IEC για την ΑΕ Συσχετίσεις Όρων Έννοια της ΟΑ Threat agent Threat Attack Vulnerability Risk Countermeasure Unwanted Incident Stakeholder Security policy Controls Συσχετίσεις με άλλες Έννοιες της ΟΑ Initiates Threat Exploits Vulnerability Causes Unwanted Incident Causes Risk Targets Asset Arises from Threat Enables unwanted incident Enables risk Exposes Asset Targets Asset Protects Asset Reduces Vulnerabilities Reduces Impact of an Undesirable Event Targets Threat Targets Asset Has Impact Owns Asset Owns Security policy Includes Controls Include Countermeasures Εννοιολογικό Μοντέλο ΟΑ για ΑΕ με βάση το COBIT Λεξιλόγιο της ΟΑ Στην ενότητα 4.5.2, «Το πλαίσιο Διαχείρισης Επιχειρησιακών Κινδύνων COBIT» Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 229

230 αποτυπώθηκε συνοπτικά το μοντέλο διαχείρισης επιχειρησιακών κινδύνων COBIT, το οποίο προσανατολίζεται σε θέματα διαχείρισης επιχειρησιακού κινδύνου που προκύπτουν από τη χρήση ΠΣ [ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000]. Το πεδίο εφαρμογής του προτύπου είναι ευρύτερο από τη διαχείριση ασφάλειας ΠΣ, αφού είναι συνδέεται άρρηκτα με την επιχειρησιακή αποτελεσματικότητα και την εξασφάλιση των επιχειρησιακών στόχων [ITGI COBIT, 2000]. Το πρότυπο COBIT είναι προσανατολισμένο στη διαχείριση των κινδύνων μέσω των αντίστοιχων ελέγχων (controls) 39 στις διεργασίες πληροφορικής. Οι βασικοί όροι που προκύπτουν από τη μελέτη του μοντέλου και ορίζουν το λεξιλόγιο της ΟΑ είναι οι εξής [Μιχαηλίδου, 2004], [Gritzalis and Tsoumas, 2005], [Gritzalis and Tsoumas, 2006]: Περιοχή (Domain): Το πρότυπο ορίζει τέσσερις περιοχές / τομείς (domains) σκοπών ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν τον κύκλο ζωής ενός πληροφοριακού συστήματος, ως εξής (βλ. και ενότητα 4.5.2): Σχεδιασμός και Οργάνωση (Planning and Organization, PO), Προμήθεια και Υλοποίηση (Acquisition and Implementation, AI), Παράδοση και Υποστήριξη (Delivery and Support, DS), και Έλεγχος και Παρακολούθηση (Monitoring, M). 39 Σε αυστηρά θεωρητικό και εννοιολογικό επίπεδο, οι έννοιες Αντίμετρο και Έλεγχος είναι συγγενείς αλλά διακριτές έννοιες στο περιβάλλον του COBIT το Αντίμετρο αποτελείται από (μια σειρά από) Ελέγχους προκειμένου να διαπιστωθεί η συμφωνία με τους Στόχους Ελέγχου (Control Objectives), με συνέπεια να θεωρούνται πανομοιότυπες έννοιες. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 230

231 Διεργασία (Process): Σε κάθε τομέα αντιστοιχεί ένας αριθμός Διεργασιών Πληροφορικής (IT Processes) που σχετίζονται με αυτόν για παράδειγμα, ο Καθορισμός ενός Στρατηγικού Πλάνου για τα πληροφοριακά συστήματα είναι μια διεργασία πληροφορικής που διεξάγεται κυρίως κατά τη φάση του σχεδιασμού του πληροφοριακού συστήματος (τομέας PO). Για να είναι σε θέση ο οργανισμός να διαθέτει την κατάλληλη πληροφορία με βάση την οποία θα επιτευχθούν οι στόχοι του, αυτές οι διεργασίες θα πρέπει να διαχειρίζονται αποτελεσματικά τους πληροφοριακούς του πόρους, Ερέθισμα (Trigger): Η έννοια αυτή αναπαριστά τη σχέση μεταξύ διαφορετικών διεργασιών και το γεγονός ότι μία διεργασία (ή το αποτέλεσμά της) μπορεί να αποτελέσει το έναυσμα για μία άλλη διεργασία (συνήθως μέσω κάποιου γεγονότος), Δραστηριότητα (Activity): Κάθε διεργασία πληροφορικής αναλύεται περαιτέρω σε δραστηριότητες (Activities/Tasks), εξειδικεύοντας τις απαιτούμενες ενέργειες σε μικρότερα και πιο διαχειρίσιμα μέρη με το δικό τους κύκλο ζωής, Πληροφοριακός Πόρος (IT Resource): Οι πληροφοριακοί πόροι που αναγνωρίζονται από το πρότυπο COBIT είναι οι εξής: Δεδομένα (Data): αντικείμενα με την ευρύτερη έννοια του όρου, δομημένα ή αδόμητα Συστήματα Εφαρμογών (Application Systems): χειροκίνητες και αυτοματοποιημένες διαδικασίες Τεχνολογία (Technology): υλικό, λειτουργικά συστήματα, συστήματα διαχείρισης βάσεων δεδομένων, δίκτυα κ.λπ. Άνθρωποι (People): η εμπειρία, η επιδεξιότητα, η παραγωγικότητα κ.λπ. των υπάλληλων του οργανισμού για το σχεδιασμό, την οργάνωση, την προμήθεια και την υλοποίηση, την παράδοση, υποστήριξη, τον έλεγχο και την παρακολούθηση των συστημάτων και των υπηρεσιών. Υπηρεσίες (Facilities): όλοι οι πόροι που υποστηρίζουν τα πληροφοριακά συστήματα. Πληροφορία (Information): Η πληροφορία που διακινείται, αποθηκεύεται και μεταδίδεται μέσα στον οργανισμό, Επιχειρησιακός Στόχος (Business Objective): Οι στόχοι που πρέπει να εκπληρώσει ένας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 231

232 οργανισμός για να αποκτήσει ανταγωνιστικό πλεονέκτημα στο χώρο δραστηριοποίησής του. Αποτελεί προϋπόθεση για την ανάπτυξη της στρατηγικής ενός οργανισμού. Η μέτρηση της απόδοσης των επιχειρησιακών στόχων γίνεται συνήθως με ποιοτικά κριτήρια επιτυχίας / αποτυχίας παρά με ποσοτικά κριτήρια, Σκοπός Ελέγχου Υψηλού Επιπέδου (High-Level Control Objective): Δήλωση του επιθυμητού αποτελέσματος ή σκοπού που πρέπει να επιτευχθεί με την υλοποίηση διαδικασιών ελέγχου σε μία συγκεκριμένη Δραστηριότητα Πληροφορικής (IT activity). Στο πλαίσιο COBIT καθορίζονται 34 σκοποί-ελέγχου υψηλού επιπέδου (IT Control Objectives), ένας για κάθε διεργασία, οι οποίοι ομαδοποιούνται σε 4 περιοχές [ITGI COBIT OBJ, 2000]. Το πρότυπο προβλέπει τρία διαφορετικά επίπεδα όσον αφορά στη σπουδαιότητα των σκοπών ελέγχου. Υπό αυτή την οπτική λοιπόν, ένας σκοπός ελέγχου δύναται να είναι: α) Πρωτεύων (Primary), όπου ο σκοπός ελέγχου επηρεάζει σε μεγάλο βαθμό τη διεργασία πληροφορικής, β) Δευτερεύων (Secondary), όπου ο σκοπός ελέγχου επηρεάζει τη διεργασία πληροφορικής σε μικρότερο βαθμό, και γ) Προαιρετικός (Blank), όπου ο σκοπός ελέγχου καλύπτεται από άλλους σκοπούς ελέγχου για τη συγκεκριμένη διεργασία πληροφορικής. Λεπτομερείς Σκοποί Ελέγχου (Detailed Control Objectives): Με την επιτυχή εφαρμογή αυτών των παραπάνω σκοπών ελέγχου, ο οργανισμός διασφαλίζει την ύπαρξη ενός επαρκούς συστήματος μηχανισμών ελέγχου, προκειμένου τα πληροφοριακά του συστήματα να υποστηρίξουν τους οργανωσιακούς στόχους. Αυτό το σύνολο σκοπών ελέγχου υψηλού επιπέδου αναλύονται σε ένα σύνολο λεπτομερών σκοπών ελέγχου, οι οποίοι υπερβαίνουν τους τριακόσιους και είναι απαραίτητοι για την επίτευξη των προαναφερόμενων στόχων, Οδηγίες Εφαρμογής Ελέγχου (Audit Guidelines): Οι οδηγίες εφαρμογής ελέγχου χρησιμοποιούνται τόσο για την αποτελεσματική σύνδεση των διεργασιών με τους λεπτομερείς στόχους ελέγχου όσο και για τη διασφάλιση της αποτελεσματικής εφαρμογής των σκοπών ελέγχου. Και εδώ υπάρχει μια ιεραρχία στόχων ελέγχου, εξειδικεύοντας στόχους ελέγχου υψηλού επιπέδου σε χαμηλότερα επίπεδα μεγαλύτερης λεπτομέρειας για Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 232

233 την ελεγχόμενη ενσωμάτωση του ελέγχου σε κάθε διεργασία και για την τεκμηρίωση των επιχειρησιακών στόχων, Έλεγχος (Control): οι πολιτικές, οι διαδικασίες, οι πρακτικές και οι οργανωσιακές δομές που έχουν σχεδιαστεί με τέτοιο τρόπο για να παρέχουν διαβεβαίωση ότι οι επιχειρησιακοί στόχοι θα επιτευχθούν ενώ τα δυσάρεστα γεγονότα θα αποτραπούν (είτε η επίδρασή τους θα μειωθεί στο ελάχιστο δυνατό). Οι έλεγχοι ικανοποιούν τα Πληροφοριακά Κριτήρια (Information Criteria, βλ. επόμενα). Οι έλεγχοι υλοποιούν τους σκοπούς ελέγχου υψηλού επιπέδου, Κίνδυνος (Risk): Η πιθανότητα μία συγκεκριμένη απειλή να εκμεταλλευτεί τις αδυναμίες του συστήματος και να προκαλέσει την απώλεια ή ζημία σε έναν πόρο του συστήματος. Για να ικανοποιηθούν οι επιχειρησιακοί στόχοι, η πληροφορία θα πρέπει να ικανοποιεί συγκεκριμένες απαιτήσεις Πληροφοριακά Κριτήρια (Information Criteria): Απαιτήσεις Ποιότητας (Quality Requirements): Ποιότητα, κόστος και μεταφορά της πληροφορίας, Απαιτήσεις Ασφάλειας (Security Requirements): Εμπιστευτικότητα (Confidentiality), Ακεραιότητα (Integrity), Διαθεσιμότητα (Availability). Απαιτήσεις «Εμπιστοσύνης» (Fiduciary Requirements): Αποτελεσματικότητα και αποδοτικότητα λειτουργιών, αξιοπιστία πληροφορίας και συμμόρφωση στους νόμους και τους κανονισμούς. Εκτός από την πληροφορία, στις απαιτήσεις αυτές θα πρέπει να συμμορφώνονται και οι άλλοι πόροι του οργανισμού (IT resources). Για τον έλεγχο των διεργασιών πληροφορικής το πρότυπο COBIT παρέχει επίσης τα ακόλουθα εργαλεία και τεχνικές: Μοντέλα Ωριμότητας (Maturity Models): τα οποία παρέχουν μια διαβάθμιση του οργανισμού ως προς το βαθμό εφαρμογής της εταιρικής διακυβέρνησης, τόσο συγκριτικά με άλλους οργανισμούς του ίδιου κλάδου / τομέα δραστηριοποίησης όσο και με σχετικά διεθνή πρότυπα, όπως επίσης και τους στόχους του οργανισμού όσον αφορά την εταιρική διακυβέρνηση, Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 233

234 Κρίσιμοι Παράγοντες Επιτυχίας (Critical Success Factors): οι οποίοι ορίζουν σε διοικητικό επίπεδο τις σημαντικότερες οδηγίες υλοποίησης του ελέγχου στις διεργασίες Π.Σ., Κύριοι Δείκτες Στόχων (Key Goal Indicators), οι οποίοι είναι μετρικές για την επίτευξη των στόχων για τις διεργασίες ΠΣ (αποτελεσματικότητα), και Κύριοι Δείκτες Απόδοσης (Key Performance Indicators), οι οποίοι είναι μετρικές για την απόδοση των διεργασιών ΠΣ κατά την επίτευξη των στόχων (αποδοτικότητα) Σχέσεις μεταξύ των βασικών εννοιών του COBIT και Εννοιολογικό Μοντέλο Η διεργασία PO9 (Planning and Organization PO9) του COBIT στοχεύει στην αποτίμηση επικινδυνότητας και επιλέχθηκε για να αναλυθεί και στη συνέχεια να μετασχηματιστεί στο εννοιολογικό μοντέλο της ΟΑ για τη ΑΕ κατά COBIT. Με αντίστοιχη προσέγγιση με εκείνη που υιοθετήθηκε για την ΟΑ κατά ISO/IEC 17799, στα επόμενα περιγράφονται δύο βασικές υπό-οντολογίες του COBIT (σε υψηλό επίπεδο), με κεντρικές έννοιες τον Πληροφοριακό Πόρο (IT Resource, Σχήμα 5.5) και τον Έλεγχο (Control, Σχήμα 5.6). Σχήμα 5.5: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά COBIT: Πόρος Πληροφορικής (IT Resource) manages (IT Resource) Process IT Resource conforms (Inf. Criteria) protects (IT Resource) Control satisfies (Inf. Criteria) Information Criteria Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 234

235 Σχήμα 5.6: Εννοιοκεντρική υπό-οντολογία Ασφάλειας κατά COBIT: Έλεγχος (Control) Information IT Resource conform conform Risk High-Level Control Objective implement (Control Objective) Control prevent (risk) satisfies (Inf. Criteria) Maturity Models uses Information Criteria Policy Practice Organisational Structure Procedure Το τελικό εννοιολογικό μοντέλο της ΟΑ για την αποτίμηση επικινδυνότητας κατά COBIT (σε υψηλό επίπεδο) απεικονίζεται στο Σχήμα 5.7 με τις λευκές κλάσεις να αναλύονται περαιτέρω σε επιμέρους οντολογίες, όπως «Κίνδυνοι και Σκοποί Ελέγχου» («Risk vs. Control Objectives ) και «Σενάρια Απειλών» ( Threat Scenarios ) και είναι διαθέσιμες στο Παράρτημα ΙΙ [Gritzalis and Tsoumas, 2005]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 235

236 Σχήμα 5.7: Οντολογία Ασφάλειας κατά COBIT (διεργασία PO9) για την ΑΕ Safeguard Risk Action Plan Threat -probability -frequency Information Process of Assessing Risks -measure 1 * Trigger Business Objective Vulnerability IT Resources Planning& Organisation Risk -factor Control -degree satisfies Risk Assessment Detailed Control Objective Policy Information Criteria Business Risk Assessment Doc Operating Risk Assessment Doc Risk Assessment Procedure Security Requirements -type Audit Guideline IT Risk Assessment Doc Risk Assessment Document -type Confidentiality Integrity Availability Title : PO9: Assess Risks Page 1 : Risk Assessment Overview Page 2 : Risk vs. Control Objectives Page 3 : Threat Scenarios Ο Πίνακας 5.2 συνοψίζει τις συσχετίσεις μεταξύ των βασικών όρων του COBIT που αναλύθηκαν στην ενότητα , είναι οι εξής (οι όροι αναγράφονται στα αγγλικά καθώς ακολουθεί σχετική υλοποίηση σε OWL στην ενότητα 5.5.3): Πίνακας 5.2: Οντολογία Ασφάλειας κατά COBIT για την ΑΕ Συσχετίσεις Όρων Έννοια της ΟΑ Domain Συσχετίσεις με άλλες Έννοιες της ΟΑ Has Control Objective Consists of Process Process Manage Information Manage IT Resources Conform to Audit Guidelines Satisfy Business Objectives Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 236

237 Έννοια της ΟΑ Trigger IT Resource Information High-Level Control Objective Audit Guideline Control Συσχετίσεις με άλλες Έννοιες της ΟΑ Consists of Activities Target Process Has Source Process Conform to Information Criteria Conform to Information Criteria Has Detailed Control Objectives Documents Business Objectives Apply to Process Uses Critical Success Factors (CSF) Has Detailed Control Objectives Uses Maturity Models Protects Information Protects IT Resources Satisfies Information Criteria Implements Control Objectives Prevent Risk Assure Business Objectives Ενοποιημένο Εννοιολογικό Μοντέλο ΟΑ για ΑΕ Στην ενότητα αυτή παρουσιάζεται το ενοποιημένο μοντέλο της οντολογίας για Διαχείρισης Κινδύνων Πληροφορικής με βάση τις οντολογίες που παρουσιάστηκαν στις ενότητες και (ISO/IEC και COBIT, αντίστοιχα). Τα πρότυπα της οικογένειας BS7799 προσεγγίζουν την ασφάλεια από την οπτική γωνία της τεχνολογίας των υπολογιστών (IT Technology IT), και μεταφράζεται σε κινδύνους IT (IT Risks) και σε ασφάλεια IT (IT Security) από την άλλη πλευρά, το πρότυπο COBIT παρότι χρησιμοποιεί παρεμφερή ορολογία, επικεντρώνει στη διαχείριση κινδύνων που πηγάζουν από τη χρήση της πληροφορικής σε επιχειρησιακό επίπεδο. Με αυτή την οπτική, θεωρούμε ότι η διαδικασία της διαχείρισης του επιχειρησιακού Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 237

238 κινδύνου (COBIT) εμπερικλείει την έννοια της διαχείρισης της ασφάλειας ΠΣ (ISO/IEC 17799) με αποτέλεσμα η οντολογία του COBIT να εμπεριέχει εννοιολογικά την οντολογία του ISO/IEC 17799, επιτυγχάνοντας έτσι μια ενοποίηση των δύο οντολογιών Λεξιλόγιο της ΟΑ Κάποιες από τις έννοιες / κλάσεις των δύο επιμέρους εννοιολογικών μοντέλων είναι κοινές ή με παραπλήσια σημασία. Για το λόγο αυτό και προκειμένου να οριστεί το λεξιλόγιο της ενοποιημένης ΟΑ, κάποιες έννοιες συγχωνεύθηκαν ως εξής: IT Safeguard / Countermeasure: η κλάση Countermeasure ανήκει στο υπομοντέλο ΑΕ κατά ISO/IEC και μοντελοποιεί την έννοια των μέτρων ασφάλειας που περιορίζουν τις επιπτώσεις των κινδύνων ενώ η κλάση IT Safeguard ανήκει στο υπομοντέλο κατά COBIT. Αν και η έννοια Safeguard είναι πιο γενική από την έννοια Countermeasure, στο ενοποιημένο μοντέλο υιοθετήθηκε η τελευταία έννοια καθότι αναφέρεται σε πιο συγκεκριμένα μέτρα αντιμετώπισης κινδύνων πληροφορικής. Threat: έχει ακριβώς το ίδιο νόημα και στα δύο υπομοντέλα. Vulnerability: έχει ακριβώς το ίδιο νόημα και στα δύο υπομοντέλα. Security Policy / Policy: έχουν ακριβώς το ίδιο νόημα. Στο ενοποιημένο μοντέλο χρησιμοποιείται ο όρος Policy. Asset / IT Resource: η κλάση Asset (υπομοντέλο ISO/IEC 17799) μοντελοποιεί την έννοια του πληροφοριακού πόρου, όπως και η κλάση IT Resource (υπομοντέλο COBIT) έχοντας το ίδιο νόημα. Στο ενοποιημένο μοντέλο θα χρησιμοποιηθεί ο όρος IT Resources καθώς είναι πιο περιεκτικός. Risk: έχει ακριβώς το ίδιο νόημα και στα δύο υπομοντέλα Κανονικοποίηση της ενοποιημένης ΟΑ και Εννοιολογικό Μοντέλο Στο Σχήμα 5.8 απεικονίζεται η ενοποιημένη οντολογία ΑΕ (σε εννοιολογικό επίπεδο) που έχει σα βασικό στόχο την αναπαράσταση της γνώσης ασφάλειας βάσει της σύγκλισης των μεθόδων αποτίμησης της επικινδυνότητας που βασίζονται σε αποτίμηση αγαθών (assetbased ISO/IEC 17799) με αυτές που βασίζονται σε αποτίμηση επιχειρησιακών διαδικασιών (process-based COBIT). Η λεπτομερής ενοποιημένη οντολογία ασφάλειας για την Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 238

239 ΑΕ ακολουθεί τη λογική των οντολογιών που παρατίθενται στα παραρτήματα Ι (BS7799) και ΙΙ (COBIT). Σχήμα 5.8: Ενοποιημένο Εννοιολογικό Μοντέλο Οντολογίας Ασφάλειας για την ΑΕ IT Governance Risk consists of(process) Vulnerability satisfy (business objective) Process target -source Trigger exploits manage (resource) targets IT Resource conform 1 * apply (process) document (bus obj) Business Objective causes Threat consists of(activity) prevent (risk) Control uses causes satisfies (inf cri) implement (con obj) Unwanted Incident activity High-Level Control Objective Has(Control Obj) Domain Has(Detailed Obj) assure (business obj) Policy Maturity Models Information Criteria Countermeasure Detailed Control Objective Procedure Organisational Structure Practice Quality Requirements Security Requirements Fiduciary Requirements CSF Audit Guideline include(obj) use (CSF) Το ενοποιημένο μοντέλο προέκυψε από την ένωση των δύο βασικών μοντέλων αποτίμησης της επικινδυνότητας που δημιουργήθηκαν σύμφωνα με τα πρότυπα ISO/IEC (ενότητα ) και COBIT (ενότητα ), αντίστοιχα. Οι έννοιες που προέρχονται από το ISO/IEC απεικονίζονται με ροζ χρώμα, ενώ οι έννοιες που προέρχονται από το COBIT απεικονίζονται με μπλε χρώμα. Η συνεισφορά των μοντέλων είναι η ακόλουθη (Πίνακας 5.3): Πίνακας 5.3: Έννοιες της Ενοποιημένης Οντολογίας Ασφάλειας για την ΑΕ Έννοια της ενοποιημένης οντολογίας ασφάλειας για ΑΕ Πρότυπο Vulnerability ISO/IEC Threat ISO/IEC Unwanted Incident ISO/IEC Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 239

240 Έννοια της ενοποιημένης οντολογίας ασφάλειας για ΑΕ Πρότυπο Countermeasure ISO/IEC IT Governance COBIT Risk COBIT IT Resources COBIT Process COBIT Trigger COBIT Business Objective COBIT High Level Control Objective COBIT Activity COBIT Domain COBIT Detailed Control Objective COBIT Audit Guideline COBIT Critical Success Factor COBIT Information Criteria COBIT Ο Πίνακας 5.4 συνοψίζει τις συσχετίσεις μεταξύ των βασικών όρων της ενοποιημένης οντολογίας ασφάλειας (οι όροι αναγράφονται στα αγγλικά σε συνάφεια με τις προηγούμενες οντολογίες και ): Έννοια της ΟΑ Domain Πίνακας 5.4: Ενοποιημένη Οντολογία Ασφάλειας για την ΑΕ Συσχετίσεις Όρων Συσχετίσεις με άλλες Έννοιες της ΟΑ Has Control Objective(s) Consists of Processes Process Manage Information Manage IT Resources Conforms to Audit Guidelines Satisfies Business Objectives Consists of Activities Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 240

241 Έννοια της ΟΑ Trigger IT Resource Information High-Level Objective Audit Guideline Control Threat Vulnerability Risk Countermeasure Unwanted Incident Control Συσχετίσεις με άλλες Έννοιες της ΟΑ Targets Process Has Source Process Conforms to Information Criteria Conforms to Information Criteria Has Detailed Control Objectives Documents Business Objectives Applies to Process Has Countermeasures Uses Critical Success Factors (CSF) Has Detailed Control Objectives Uses Maturity Models Protects Information Protects IT Resources Satisfies Information Criteria Implements Control Objectives Prevents Risk Assures Business Objectives Exploits Vulnerability Causes Unwanted Incident Causes Risk Targets Asset Enables unwanted incident Enables Risk Exposes Asset Targets Asset Reduces Vulnerabilities Targets Threat Targets Asset Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 241

242 Στην επόμενη ενότητα περιγράφεται η δημιουργία του σχήματος επέκτασης του CIM για την ΑΕ και η σύνδεσή του με υπάρχουσες υλοποιήσεις ΠΣ σε CIM Φάση 2: Σχήμα Επέκτασης του μοντέλου CIM για ΔΑ Γενική προσέγγιση Οι οντολογίες ασφάλειας που μοντελοποιήθηκαν στην προηγούμενη φάση δεν αναφέρονται σε ένα συγκεκριμένο ΠΣ αντίθετα, απευθύνονται στις απαιτήσεις ασφάλειας όπως αυτές εκφράζονται μέσα από την αποτίμηση επικινδυνότητας. Θα πρέπει να σημειωθεί ότι η επόμενη συζήτηση αφορά σε όλα τα εννοιολογικά μοντέλα που προσδιορίστηκαν στην προηγούμενη φάση (κατά ISO/IEC 17799, κατά COBIT και ενοποιημένο μοντέλο, αντίστοιχα) και ως εκ τούτου για απλότητα θα γίνεται αναφορά σε ενικό αριθμό χωρίς απώλεια της γενικότητας. Οι απαιτήσεις ασφάλειας αναφέρονται ευθέως σε πόρους ή διεργασίες πληροφορικής οι οποίες ενδέχεται να έχουν μοντελοποιηθεί κατά το παρελθόν με το CIM. Προκειμένου να επαναχρησιμοποιηθεί η όποια πληροφορία διαχείρισης ΠΣ που έχει μοντελοποιηθεί σε άλλες υλοποιήσεις, το εννοιολογικό μοντέλο της ΟΑ: συνδέεται με το πρότυπο μοντέλο του CIM μέσω αναφορών (references) επιτυγχάνοντας έτσι πρόσβαση στη συνολική ιεραρχία των εννοιών CIM, αλλά και σε όλες τις υλοποιήσεις ΠΣ οι οποίες επίσης έχουν κληρονομική σχέση με κάποια έννοια του CIM (συμπεριλαμβανομένης και της υπέρ-κλάσης του CIM, ManagedElement). συνδέεται με άλλα CIM μοντέλα μέσω αναφορών (references) από τις έννοιες της ΟΑ προς τις κατάλληλες έννοιες των άλλων υλοποιήσεων CIM, αντίστοιχα. Με αυτό τον τρόπο, το μοντέλο αποκτά τα επόμενα πλεονεκτήματα: Η ΟΑ αναπαριστάνει μόνο τις απαιτήσεις ασφάλειας πληροφοριακών συστημάτων που έχουν ήδη μοντελοποιηθεί σε CIM, μειώνοντας έτσι την επανάληψη πληροφορίας διαχείρισης και βελτιστοποιώντας το μοντέλο, το οποίο σε υλοποιήσεις ΠΣ μεγάλων οργανισμών ενδέχεται να έχει δεκάδες εκατοντάδων έννοιες (concepts) και χιλιάδες στιγμιότυπα (instances). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 242

243 Η ΟΑ έχει πρόσβαση σε άλλες ιδιότητες του ΠΣ που έχουν ήδη μοντελοποιηθεί, μέσω των αναφορών που δημιουργούνται από έννοιες της ΟΑ προς έννοιες του μοντελοποιημένου ΠΣ. Η ΟΑ έχει πρόσβαση στις έννοιες και ιδιότητες του κύριου μοντέλου CIM (core CIM), μέσω της σύνδεσής της με το κύριο μοντέλο. Ένα παράδειγμα θα βοηθήσει στην επεξήγηση των σημαντικών αυτών πτυχών της οντολογίας ασφάλειας, χωρίς να υπεισέλθουμε σε λεπτομέρειες υλοποίησης του CIM στην πράξη. Έστω ότι το πληροφοριακό σύστημα IS έχει μοντελοποιηθεί με βάση το CIM (βλ. Σχήμα 5.9): το IS διαθέτει κάποιους πόρους πληροφορικής οι οποίοι έχουν μοντελοποιηθεί σαν στιγμιότυπα (instances) των κατάλληλων κλάσεων (classes) του μοντέλου CIM. Έτσι λοιπόν, εάν το ΠΣ IS διαθέτει ένα εξυπηρετητή βάσης δεδομένων ( DB ) και έναν εξυπηρετητή διαδικτύου ( WEB ) αντίστοιχα, ένα δρομολογητή και ένα αριθμό από τερματικούς σταθμούς εργασίας (σ.σ. η συζήτηση αφορά μόνο τους δύο εξυπηρετητές του IS για λόγους απλότητας και καλύτερης κατανόησης η ίδια προσέγγιση ακολουθείται για όλους τους πόρους του ΠΣ), ο μεν πόρος DB μοντελοποιείται σαν ένα στιγμιότυπο της αντίστοιχης κλάσης CIM_DatabaseSystem, ο δε πόρος WEB σε ένα αντίστοιχο στιγμιότυπο της κλάσης του CIM CIM_ApplicationSystem. Αξίζει να σημειωθεί ότι αφού το IS έχει μοντελοποιηθεί με βάση το CIM, οι κλάσεις του IS κληρονομούνται από την υπερκλάση του CIM (CIM_ ManagedElement), με αποτέλεσμα οι παραγόμενες κλάσεις/στιγμιότυπα που αναπαριστούν το IS να έχουν πρόσβαση τόσο στις ιδιότητες (attributes) όσο και στις συναρτήσεις (functions) όλων των κλάσεων / στιγμιοτύπων που παράγονται από την κλάση CIM_ ManagedElement (ουσιαστικά σε όλες τις κλάσεις / στιγμιότυπα του μοντέλου CIM). Η μοντελοποίηση του IS σε CIM αποτυπώνεται στο Σχήμα 5.9. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 243

244 Σχήμα 5.9: Μοντελοποίηση ΠΣ ( IS ) κατά CIM Client Wireless LAN Router Client Client Printer Πληροφοριακό Σύστημα IS Database Web Server Μοντέλο του IS με βάση το CIM CIM_ManagedElement Πληροφορία διαχείρισης CIM_DatabaseSystem (στιγμιότυπο) Πληροφορία διαχείρισης CIM_ApplicationSystem (κλάση) CIM κλάση CIM στιγμιότυπο CIM_DatabaseSystem (κλάση) CIM_ApplicationSystem (στιγμιότυπο) Από την άλλη μεριά, το εννοιολογικό μοντέλο της οντολογίας ασφάλειας ( SO ) αποτυπώνει τις απαιτήσεις ασφάλειας των πληροφοριακών πόρων που συνθέτουν το IS, δημιουργεί ένα Σχήμα Επέκτασης του CIM (βλ. ενότητα ), ενώ τα στιγμιότυπα της SO συνδέονται με τα αντίστοιχα στιγμιότυπα του IS μέσω κατάλληλων αναφορών διατηρώντας παράλληλα την ιεραρχική τους σχέση με την αρχική κλάση του CIM μέσω της ιεραρχίας κλάσεων της SO. Αξίζει να σημειωθεί ότι στην SO μοντελοποιούνται σαν στιγμιότυπα οι πόροι του IS οι οποίοι είναι αντικείμενο της αποτίμησης επικινδυνότητας, οι οποίοι μπορεί να είναι υποσύνολο του συνολικού αριθμού των στιγμιοτύπων των πόρων του IS τυπικά: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 244

245 (IS NODES SO NODES Με άλλα λόγια, η SO μοντελοποιεί μόνο εκείνους τους πόρους του IS οι οποίοι είναι αντικείμενο της ΑΕ, ενώ συνδέεται με αυτούς μέσω αναφορών των στιγμιοτύπων της. Αυτή η σχέση αποτυπώνεται στο Σχήμα Σχήμα 5.10: Μοντελοποίηση ασφάλειας ΠΣ με Βάση το CIM Σύνδεση με τη CIM Μοντελοποίηση του ΠΣ IS μοντέλο με βάση το CIM SO μοντέλο με βάση το CIM CIM_ManagedElement CIM_ManagedElement SO IT Asset (στιγμιότυπο) SO IT Asset (κλάση) Αναφορά στο στιγμιότυπο του μοντέλου IS Αναφορά CIM_ApplicationSystem (κλάση) Αναφορά SO Threat instance CIM κλάση CIM_ApplicationSystem (στιγμιότυπο) SO Countermeasure (κλάση) CIM στιγμιότυπο SO Countermeasure (στιγμιότυπο) Για κάθε πόρο που συμμετέχει στην ΑΕ, δημιουργείται ένα στιγμιότυπο της αντίστοιχης κλάσης στην SO και το οποίο σε επόμενη φάση συμπληρώνεται με τις κατάλληλες πληροφορίες από ένα αριθμό πηγών ασφάλειας σχετικά με το IS (αποτελέσματα της ΑΕ, πρότυπα ασφάλειας, πολιτικές ασφάλειας, κλπ. περισσότερα για αυτό το θέμα στην Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 245

246 ενότητα 6.9 «Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας» ). Η αναφορά του στιγμιοτύπου του IS (το στιγμιότυπο CIM_ApplicationSystem στην πλευρά του IS που μοντελοποιεί τον εξυπηρετητή διαδικτύου του IS, βλ. και Σχήμα 5.9) δεν είναι απαραίτητη για τη δημιουργία και λειτουργία της οντολογίας ασφάλειας, αλλά παρέχεται για άμεση σύνδεση στις πληροφορίες διαχείρισης του εξυπηρετητή που δεν περιλαμβάνονται στην SO. Με αυτό τον τρόπο, οποιεσδήποτε αλλαγές στις πληροφορίες διαχείρισης που ενδέχεται να επηρεάσουν τις απαιτήσεις ασφάλειας του συγκεκριμένου πόρου είναι άμεσα προσβάσιμες σε πραγματικό χρόνο από το στιγμιότυπο του πόρου της οντολογίας. Επιπρόσθετα, η ίδια η SO συνδέεται μέσω ιεραρχικών σχέσεων με την υπερκλάση του CIM CIM_ManagedElement, εκμεταλλευόμενη αντίστοιχα πλεονεκτήματα με τις μοντελοποιήσεις των αμιγώς πληροφοριακών συστημάτων. Και οι τρεις οντολογίες που ορίστηκαν (ISO/IEC 7799, COBIT και ενοποιημένο μοντέλο, αντίστοιχα) ακολουθούν την ίδια λογική, υλοποιώντας τις βασικές έννοιες που παρουσιάστηκαν στις σχετικές ενότητες. Σε όλες τις οντολογίες προστίθενται κάποιες βασικές κλάσεις τα κύρια βήματα της διαδικασίας αυτής περιγράφονται στις επόμενες παραγράφους Σύνδεση εννοιολογικού μοντέλου ΟΑ με το CIM Προκειμένου η οντολογία ασφάλειας να συνδεθεί με το CIM, και προκειμένου να υπάρχει μια γονική κλάση της οντολογίας ασφάλειας για ευκολότερη διαχείριση και κεντρική αναφορά, εισάγεται η κλάση Security_Managed_Element. Η τελευταία αποτελεί ειδίκευση της υπερκλάσης CIM_ManagedElement, του CIM Core Model. Η νέα κλάση Security_Managed_Element αποτελεί την υπερκλάση του (οντολογικού) υποδένδρου που αφορά τη διαχείριση ασφάλειας, ενώ κληρονομεί τις ιδιότητες και λειτουργίες της κλάσης CIM_ManagedElement. Με τον ίδιο τρόπο, προκειμένου να υπάρχει μια γονική κλάση της οντολογίας ασφάλειας για ΑΕ κατά ISO/IEC 17799, εισάγεται η κλάση Risk_Assessment ενώ για το μοντέλα του COBIT και το ενοποιημένο μοντέλο η κλάση IT Governance ομαδοποιεί δικαιωματικά τη διαχείριση των κινδύνων και έτσι δεν απαιτείται συμπληρωματική κλάση. Τα παραπάνω απεικονίζονται στο Σχήμα Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 246

247 Σχήμα 5.11: Σύνδεση των Μοντέλων ΟΑ με το CIM CIM_ManagedElement CIM_ManagedElement Security_Managed_Element Security_Managed_Element Risk Assessment IT Governance Άλλες κλάσεις ΟΑ (ISO/IEC 17799) Άλλες κλάσεις ΟΑ (COBIT/ Ενοποιημένη ΟΑ) Σε αυτό το σημείο, έχοντας δημιουργήσει το σχήμα επέκτασης του CIM, παραθέτουμε στο Σχήμα 5.12 το πλήρες εννοιολογικό μοντέλο της ΑΕ κατά ISO/IEC με τις σχετικές ιδιότητες των κλάσεών του με βάση τα [DMTF, 06], [CSE 1996], [Soldal et al., 2003] (βλ. και Σχήμα 5.4). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 247

248 Σχήμα 5.12: Οντολογία Ασφάλειας κατά ISO/IEC για την ΑΕ / Ιδιότητες Risk Assessment Security_Managed_Element CIM_Managed_Element Threat Agent -threat_agent_name -threat_agent_category -capability -opportunity -motivation -level_of_effort * Attack -attack_id -attack_name -attack_type Vulnerability -vulnerability_id -access_control_right -access_control_rule Threat -threat_type -threat_name -threat_id -posibility -frequency -severity 1 Asset -asset_id -asset_value -asset_type -confidentiality -integrity -availability -authenticity -non-repudiation -compliance -sensitivity_level -replacement_cost -intrinsic_value -compromise_impact Unwanted Incident -unwanted_incident_id -unwanted_incident_cost -importance_level Impact -impact_id -importance_level -asset_cost_decrease Risk -risk_id -risk_value -internal -external -criticality -impact -likelihood -frequency Countermeasure -countermeasure_id -countermeasure_type -subject -constraint -effectiveness -availability -versatility -strength -correctness -level_of_assurance -operational_cost -acquisition_cost -installation_cost -access_control_rule -access_control_right -CIM_credential -cryptographic_key Stakeholder -stakeholder_id SecurityPolicy -update_time -priority Controls -BS7799control_id Ενδεικτικά, στα επόμενα αναφέρονται οι κυριότερες ιδιότητες των κλάσεων Αγαθό (Asset), Απειλή (Threat) και Αδυναμία (Vulnerability). Τα πλήρη εννοιολογικά μοντέλα των οντολογιών είναι διαθέσιμα στο Παράρτημα Ι. Asset Πίνακας 5.5: Ιδιότητες της κλάσης Αγαθό (Asset) Όνομα Περιγραφή Τύπος asset_id Ο κωδικός του Integer πόρου asset_value Η αξία του πόρου Δείκτης στην κλάση Asset Value σε άλλο υπομοντέλο asset_τype τύπος του πόρου String confidentiality εμπιστευτικότητα πόρου δείκτης στην κλάση Confidentiality σε άλλο υπομοντέλο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 248

249 Asset Όνομα Περιγραφή Τύπος integrity Ακεραιότητα πόρου Δείκτης στην κλάση Integrity σε άλλο υπομοντέλο availability Διαθεσιμότητα πόρου Δείκτης στην κλάση Availability σε άλλο υπομοντέλο authenticity Αυθεντικοποίηση String ταυτότητας πόρου non-repudiation Μη-αποποίηση String ευθύνης compliance Επίπεδο String Συμμόρφωσης sensitivity_level Επίπεδο String Κρισιμότητας replacement_cost Κόστος Decimal Αντικατάστασης intrinsic_value Αξία Αγαθού Decimal compromise_impact Επίπτωση Decimal Η κλάση Απειλή (Threat) διαθέτει τις εξής ιδιότητες: Threat Πίνακας 5.6: Ιδιότητες της κλάσης Απειλή (Threat) Όνομα Περιγραφή Τύπος threat_id Ο κωδικός της απειλής String threat_name Το όνομα της απειλής String threat_type Ο τύπος της απειλής String possibility Η πιθανότητα να συμβεί η απειλή Decimal frequency Η συχνότητα πραγματοποίησης της Decimal απειλής Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 249

250 Threat Όνομα Περιγραφή Τύπος severity Η σοβαρότητα πραγματοποίησης της Decimal απειλής Η κλάση Ευπάθεια (Vulnerability) διαθέτει τις εξής ιδιότητες: Vulnerability Πίνακας 5.7: Ιδιότητες της κλάσης Ευπάθεια (Vulnerability) Όνομα Περιγραφή Τύπος vulnerability_id ο κωδικός της ευπάθειας String access_control_right το δικαίωμα πρόσβασης που String απαιτείται για την εκδήλωση της αδυναμίας access_control_rule Κανόνας ελέγχου πρόσβασης (αν String υπάρχει) που σχετίζεται με το access_control_right Φάση 3: Υλοποίηση της ΟΑ σε OWL Μετά τον ορισμό του εννοιολογικού μοντέλου της ΟΑ και τη σύνδεσή του με το CIM ακολουθεί η υλοποίησή της στη γλώσσα OWL του Σημασιολογικού Ιστού. Όπως αναφέρθηκε και στην εισαγωγή του κεφαλαίου, ένας βασικός στόχος της έρευνας είναι η διαχείριση των αποτελεσμάτων της Αποτίμησης Επικινδυνότητας (αντίμετρα ασφάλειας) έχοντας σαν μοντέλο την οντολογία ασφάλειας κατά ISO/IEC και η οποία θα γίνει αντικείμενο μελέτης στα επόμενα κεφάλαια. Έτσι λοιπόν σε αυτή τη φάση έγιναν οι ακόλουθες επιλογές: Υλοποίηση των οντολογιών ασφάλειας ISO/IEC και COBIT σε OWL με χρήση του εργαλείου Protégé [Protégé 2005]. Όσον αφορά στην οντολογία Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 250

251 ασφάλειας ISO/IEC 17799, υλοποιήθηκαν τα μοντέλα όλων των γνωστικών τομέων (domains) του προτύπου, ενώ ειδικά για το μοντέλο της αποτίμησης επικινδυνότητας (ενότητα , Σχήμα 5.4), ορίστηκαν και τα λογικά αξιώματα ασφάλειας για το μοντέλο ISO/IEC Ορισμός βασικών αξιωμάτων λογικής σχετικών με τις έννοιες ασφάλειας όπως αυτές ορίζονται στο ISO/IEC αντίστοιχα λογικά αξιώματα με παρόμοια λογική είναι εφικτό να οριστούν και για την οντολογία COBIT αλλά και για το ενοποιημένο μοντέλο. Οι οντολογίες ασφάλειας κατά ISO/IEC και COBIT σε υψηλό επίπεδο υλοποιημένες σε Protégé 40 απεικονίζονται παρακάτω (Εικόνα 5.1 και Εικόνα 5.2, αντίστοιχα) ενώ στην ενότητα παρατίθενται τα λογικά αξιώματα που ορίστηκαν για την οντολογία ISO/IEC Τα εννοιολογικά μοντέλα της οντολογίας κατά ISO/IEC είναι διαθέσιμες στο Παράρτημα Ι. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 251

252 Εικόνα 5.1: Οντολογία Ασφάλειας κατά ISO/IEC Εικόνα 5.2: Οντολογία Ασφάλειας κατά COBIT Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 252

253 5.5.4 Λογικά αξιώματα ασφάλειας για το μοντέλο ΟΑ του ISO/IEC Προκειμένου να διευκολυνθεί όσο το δυνατό η εξαγωγή συμπερασμάτων που αφορούν θέματα ασφάλειας, εισάγεται ένας αριθμός από λογικές σχέσεις («αξιώματα») μεταξύ των εννοιών της οντολογίας. Τα αξιώματα διευκολύνουν την λήψη αποφάσεων και μοντελοποιούν ένα κομμάτι της υποκείμενης γνώσης η οποία δεν είναι άμεσα ορατή από την παράθεση των πληροφοριών ασφάλειας και μόνο. Παραδείγματα τέτοιων αξιωμάτων σε υψηλό επίπεδο αποτελούν τα κάτωθι (με παράθεση ψευδοκώδικα σε συγκεκριμένες περιπτώσεις): Σχέσεις μεταξύ των βασικών εννοιών ασφάλειας: Οι ιδιότητες Εμπιστευτικότητα, Ακεραιότητα, Διαθεσιμότητα και Απόδοση Ευθυνών (Confidentiality, Integrity, Availability και Accountability) των Αγαθών ΠΣ συνδέονται με τις εξής σχέσεις [NIST SP , 2001], όπως απεικονίζεται και στο Σχήμα 5.13: o Η Εμπιστευτικότητα στηρίζεται στην ύπαρξη της Ακεραιότητας, o Η Ακεραιότητα στηρίζεται στην ύπαρξη της Εμπιστευτικότητας, o Η Διαθεσιμότητα στηρίζεται στην ύπαρξη της Ακεραιότητας και της Εμπιστευτικότητας, o Η Απόδοση Ευθυνών στηρίζεται στην ύπαρξη της Ακεραιότητας και της Εμπιστευτικότητας, o Η Διαβεβαίωση του επιπέδου ασφάλειας ενός ΠΣ στηρίζεται σε όλες τις παραπάνω σχέσεις. Λίστα Ψευδοκώδικα 5.1: Σχέσεις βασικών εννοιών ασφάλειας ΠΣ (1) IFF (ASSET->INTEGRITY) THEN ASSET->CONFIDENTIALITY); END IFF (2) IFF (ASSET->CONFIDENTIALITY) THEN ASSET->INTEGRITY); END IFF Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 253

254 (3) IFF (ASSET->INTEGRITY && ASSET->CONFIDENTIALITY) THEN ASSET->AVAILABILITY); END IFF (4) IFF (ASSET->INTEGRITY && ASSET->CONFIDENTIALITY) THEN ASSET->ACCOUNTABILITY); END IFF (5) IFF ((1) && (2) && (3) && (4)) THEN ASSET->ASSURANCE); END IFF Σχήμα 5.13: Σχέσεις Μεταξύ των Ιδιοτήτων Ασφάλειας (Πηγή: [NIST SP , 2001]) Αγαθό ΠΣ προς προστασία: Όταν δεν είναι δυνατό να εντοπιστεί ρητά το Αγαθό ΠΣ από τις πληροφορίες ασφάλειας, τότε σαν αντικείμενο προς προστασία υπονοείται η πληροφορία που αποθηκεύεται, επεξεργάζεται και διακινείται από, μέσω και προς του ΠΣ. Λίστα Ψευδοκώδικα 5.2: Αγαθό ΠΣ προς προστασία IFF (ASSET!= DEFINED) THEN ASSET = INFORMATION) END IFF Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 254

255 Πεδίο Εφαρμογής του Αντίμετρου: το σύνολο των Αγαθών ΠΣ τα οποία υπόκεινται στην εφαρμογή του συγκεκριμένου αντίμετρου ορίζεται σαν το Εύρος Εφαρμογής του Αντίμετρου ΕΕΑ (Domain of Applicability - DOA). Σύμφωνα με την αρχή του ισομορφισμού, εάν το εύρος εφαρμογής του αντιμέτρου δεν είναι δυνατό να καθοριστεί, τότε στο ΕΕΑ ανήκουν όλα εκείνα τα αγαθά ΠΣ που ανήκουν στην ίδια κατηγορία με το Αγαθό στο οποίο αναφέρεται το αντίμετρο 41. Ο παρακάτω ψευδοκώδικας περιγράφει το αξίωμα: Λίστα Ψευδοκώδικα 5.3: Πεδίο Εφαρμογής του Αντίμετρου IFF (Countermeasure->DOA!= {ASSET}) THEN Countermeasure->DOA = issetof(getsimilarassets(asset))end IFF Κατηγοριοποίηση Απειλών και Αντιμέτρων: Απειλές και αντίμετρα συνδέονται μέσω των Ομάδων / Υποομάδων Αντιμέτρων (CM Group / Subgroup), που ακολουθούν την κατηγοριοποίηση της CRAMM (Παράρτημα ΙΙΙ). Λίστα Ψευδοκώδικα 5.4: Κατηγοριοποίηση Απειλών και Αντιμέτρων IFF Countermeasure->has(Group, Subgroup) THEN THREAT->has(Group, Subgroup); END IFF 41 Υπονοείται ότι είναι γνωστή μια ταξινομία των Αγαθών ΠΣ, η οποία μπορεί να προέλθει από την ιχνηλάτηση του δικτύου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 255

256 Δικτυακή κίνηση ελεγχόμενη πρόσβαση: Εάν ανιχνευθεί έλεγχος δικτυακής κίνησης (packet filtering), τότε πρέπει να αναζητηθεί ένα Αγαθό ΠΣ το οποίο να παρεμβάλλεται και να πραγματοποιεί αυτό τον έλεγχο πρόσβασης σε υπηρεσίες (services) και θύρες (ports) και προς κάποια ορισμένη κατεύθυνση (IN/OUT/BOTH) επιπρόσθετα, εάν δεν υπάρχει άλλος κανόνας για το DOA, τότε το DOA είναι η πληροφορία κάθε αυτή. Λίστα Ψευδοκώδικα 5.5: Έλεγχος δικτυακής κίνησης IFF isfilteringenabled(asset) THEN filteringrules2apply := getfilteringrules(cm); filteringasset := searchfor(assetadjacent2(asset)); setfilteringrules(filteringasset); setdoa(cm, filteringasset->getdomain()); END IFF Αντίμετρα, Απειλές και Κίνδυνοι: Εάν όλα τα αντίμετρα που αντιστοιχούν σε ένα πόρο εφαρμοστούν, τότε: o το επίπεδο ασφάλειας του πόρου τίθεται στο επιθυμητό επίπεδο, o η πιθανότητα εμφάνισης της απειλής και / είτε οι συνέπειες από την πραγματοποίησή της μειώνεται σε ένα αποδεκτό επίπεδο, o το επίπεδο του κινδύνου τίθεται στο αποδεκτό επίπεδο του εναπομείναντος κινδύνου. Λίστα Ψευδοκώδικα 5.6: Σχέσεις Αντιμέτρων, Απειλών και Κινδύνων IFF FOREACH Countermeasure IN ASSET-> Countermeasures[] // apply selected countermeasure to the asset applycountermeasure(asset, Countermeasure) THEN // set asset security level to the acceptable one ASSET->SecurityLevel := getacceptablesecuritylevel(asset); // set threat realization possibility to the acceptable one ASSET->Threat[i]->Possibility:= getacceptablethreatrealizationpossibility(asset, ASSET->Threat[i]); END FOREACH END IFF Υπονοούμενες υπηρεσίες και λειτουργίες: Εάν ανιχνευθούν έννοιες που παραπέμπουν σε ψηφιακές υπογραφές, μια Υποδομή Δημοσίου Κλειδιού (ΥΔΚ) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 256

257 είναι προαπαιτούμενη (σ.σ. έμμεση αναφορά σε μια σειρά από άλλες υπηρεσίες και λειτουργίες πληροφορικής). Λίστα Ψευδοκώδικα 5.7: Υπονοούμενες υπηρεσίες και λειτουργίες IFF Countermeasure->PKI_CONCEPT()THEN // if a PKI-related concept found, then a PKI is in place PKI->exists(); END IFF Βέλτιστες Πρακτικές: Όροι όπως «ισχυρά» ή «επαρκή μέτρα ασφάλειας», «αποδεκτό επίπεδο ασφάλειας» ( strong, appropriate, reasonable ), παραπέμπουν σε βέλτιστες πρακτικές και όχι σε συγκεκριμένα αντίμετρα που μπορούν να εξαχθούν (ή να υπονοηθούν) από την έξοδο της ΑΕ. Λίστα Ψευδοκώδικα 5.8: Βέλτιστες Πρακτικές IFF bestpracticetermfound(countermeasure) THEN // if a best-practice term is found, then assume that // a best practice scenario should be implemented for the specific asset applycountermeasure(asset, getbestpracice(asset, Countermeasure)); END IFF Θέματα υλοποίησης των οντολογιών σε OWL Η γλώσσα του Σημασιολογικού Ιστού (σ.σ. OWL) που επιλέχτηκε για την υλοποίηση των οντολογιών που αναπτύχθηκαν παραπάνω, υπαγορεύει μια σειρά από συμβάσεις και κατάλληλες κωδικοποιήσεις των απαιτούμενων ιδιοτήτων και σχέσεων. Υπό αυτή την οπτική, θα παρουσιαστούν στα επόμενα οι τεχνικές με τις οποίες αναπαραστάθηκαν στην OWL οι συγκεκριμένες απαιτήσεις των εννοιών (κλάσεων) των οντολογιών. Σε αυτό το σημείο θα πρέπει να αναφερθεί και μια σημαντική παράμετρος που αφορά τη συμπερασματική προσέγγιση του λογικού μοντέλου της OWL: η Υπόθεση του Ανοικτού Κόσμου (Open World Assumption, OWA), η οποία θεωρεί δεδομένο ότι η αδυναμία απόδειξης μιας πρότασης δεν συνεπάγεται αυτόματα και την αλήθεια της αντίστροφης πρότασης. Η αντίστροφη προσέγγιση, η Υπόθεση του Κλειστού Κόσμου (Closed World Assumption, CWA) υποθέτει ότι μια πρόταση είναι αληθής όταν η άρνησή της δεν μπορεί να αποδειχθεί. Το αποτέλεσμα της υιοθέτησης της υπόθεσης OWA, είναι ότι προκειμένου μια πρόταση Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 257

258 να ισχύει, αυτή θα πρέπει να έχει ρητά δηλωθεί ή αποδειχθεί σε αντίθετη περίπτωση, δηλ. όταν δεν υπάρχει αρκετή πληροφορία για μια πρόταση, η αποτίμηση της τελευταίας όσον αφορά την εγκυρότητά της παραμένει ασαφής. Κάποιοι ερευνητές [Heflin and Munoz-Avila, 2002] προτείνουν την ενοποίηση των δύο προσεγγίσεων με την εισαγωγή πληροφορίας για ομάδες εννοιών με περιορισμένο εύρος, ενώ επιτρέπεται η διαχείριση άλλων πληροφοριών σαν ημιτελείς (Local Closed World, LCW). Στα πλαίσια της διατριβής έχει υιοθετηθεί η κλασσική προσέγγιση του OWA. Με δεδομένο ότι η φιλοσοφία της αναπαράστασης των εννοιών ασφάλειας -η οποία προσδιορίζεται και από τις ιδιαιτερότητες της συγκεκριμένης γλώσσας- παραμένει η ίδια σε όλες τις κλάσεις, θα περιγραφεί η υλοποίηση των σημαντικών στοιχείων της έννοιας «Αγαθό» ( Asset ) και κάποια παραδείγματα κανόνων του μοντέλου που είναι βασισμένο στο ISO/IEC 17799, χωρίς να γίνει εξαντλητική αναφορά σε όλες τις έννοιες των οντολογιών. Τα εννοιολογικά μοντέλα των οντολογιών είναι διαθέσιμα στο Παράρτημα Ι (ISO/IEC 17799) και Παράρτημα ΙΙ (COBIT). Για τις ιδιότητες της έννοιας Αγαθό (Asset) ισχύουν οι παρακάτω κανόνες (βλ. και ενότητα , για τη δομή της έννοιας): Κάθε αγαθό έχει ένα μοναδικό κωδικό αριθμό (asset_id). Αυτό στην OWL μεταφράζεται σαν cardinality=1. Δηλαδή, ένα στιγμιότυπο της έννοιας Asset μπορεί να έχει ακριβώς μία σχέση με τη δομή asset_id. Κάθε αγαθό έχει μία αξία (asset_value). Αυτό στην OWL μεταφράζεται σαν ένας καθολικός περιορισμός (universal restriction), δηλ. η ιδιότητα που αναπαριστά τη σχέση μεταξύ του αγαθού και της αξίας αντιστοιχεί μοναδικά στιγμιότυπα της κλάσης «αγαθό» με στιγμιότυπα της κλάσης «αξία». Κάθε αγαθό έχει έναν τουλάχιστον τύπο (asset_type). Σε όρους OWL αυτός ο κανόνας μεταφράζεται σαν μία ιδιότητα η οποία είναι τύπου δεδομένου (datatype property). Το γεγονός ότι κάθε αγαθό έχει τουλάχιστον ένα τύπο, μπορεί να αναπαρασταθεί με τη δημιουργία ενός περιορισμού ύπαρξης (existential restriction), δηλ. υπάρχει τουλάχιστον μία ιδιότητα που σχετίζει τις κλάσεις αγαθό και τύπος_αγαθού (asset_type). Η ιδιότητα αυτή αναπαριστά τη σχέση μέσω της ιδιότητας has_value_type του αγαθού με μία τιμή που μπορεί να πάρει η έννοια value_type. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 258

259 Κάποια ακόμα παραδείγματα κανόνων στο υπάρχον μοντέλο ακολουθούν: Αποτελεί ικανή και αναγκαία συνθήκη (Necessary and Sufficient Condition) για μια πηγή απειλής (threat_agent) να προκαλεί μια απειλή (threat). Σε όρους OWL η παραπάνω συνθήκη σημαίνει ότι εάν ένα στιγμιότυπο είναι μέλος της κλάσης threat_agent όχι μόνο θα πρέπει να ικανοποιεί τη συνθήκη, αλλά αν κάποιο στιγμιότυπο ικανοποιεί αυτή τη συνθήκη τότε θα ανήκει στην κλάση Threat_Agent. Επιπρόσθετα τα στιγμιότυπα της κλάσης threat_agent μπορούν να έχουν σχέση μόνο με στιγμιότυπα της κλάσης Threat μέσω της ιδιότητας «προκαλεί». Αποτελεί ικανή και αναγκαία συνθήκη (Necessary and Sufficient Condition) για μια Απειλή (Threat) να εκμεταλλεύεται μια Αδυναμία (Vulnerability). Σε όρους OWL η παραπάνω συνθήκη σημαίνει ότι ένα στιγμιότυπο της έννοιας Απειλή όχι μόνο θα πρέπει να ικανοποιεί την εν λόγω συνθήκη, αλλά, αντίστροφα, εάν υπάρχει κάποιο στιγμιότυπο που ικανοποιεί αυτή τη συνθήκη, τότε θα ανήκει στην κλάση Threat. Επίσης, τα στιγμιότυπα της κλάσης Threat μπορούν να έχουν σχέση μόνο με στιγμιότυπα της κλάσης Vulnerability μέσω της ιδιότητας «εκμεταλλεύεται» - δηλ. σε αυτή τη σχέση ισχύει ένας καθολικός περιορισμός. Αποτελεί αναγκαία συνθήκη (Necessary Condition) για μια απειλή (threat) να στοχεύει ένα αγαθό (asset), που σημαίνει ότι αν ένα στιγμιότυπο είναι μέλος της κλάσης Απειλή τότε πρέπει να ικανοποιεί την παραπάνω συνθήκη. Αποτελεί αναγκαία συνθήκη (Necessary Condition) για μια απειλή (threat) να προκαλεί ένα κίνδυνο (risk), δηλ. κάθε στιγμιότυπο της κλάσης Απειλή πρέπει να ικανοποιεί την παραπάνω συνθήκη. Επίσης, αποτελεί αναγκαία συνθήκη για ένα κίνδυνο (risk) να προκαλεί ένα ανεπιθύμητο περιστατικό (unwanted_incident). Με άλλα λόγια, σε όρους OWL τα παραπάνω σημαίνουν ότι εάν ένα στιγμιότυπο είναι μέλος της κλάσης Κίνδυνος τότε θα πρέπει να ικανοποιεί την παραπάνω συνθήκη. Όμως, μεταβατικά μια Απειλή μπορεί να προκαλέσει ένα ανεπιθύμητο περιστατικό, που σημαίνει ότι η ιδιότητα «προκαλεί» (causes) είναι μεταβατική (transitive property). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 259

260 Αποτελεί αναγκαία συνθήκη για ένα κίνδυνο να στοχεύει ένα αγαθό, δηλ. εάν ένα στιγμιότυπο είναι μέλος της κλάσης Risk τότε πρέπει να ικανοποιεί την παραπάνω συνθήκη. 5.6 Σύνοψη Σε αυτό το κεφάλαιο θεμελιώθηκε η Οντολογία Ασφάλειας, που είναι το βασικό μέσο διαχείρισης των Απαιτήσεων Ασφάλειας. Μελετήθηκαν και αναλύθηκαν δύο βασικά πρότυπα διαχείρισης κινδύνων ΠΣ, το ISO/17799 και το COBIT, ενώ δημιουργήθηκαν τρεις οντολογίες ασφάλειας (κατά ISO/17799, κατά COBIT και το ενοποιημένο μοντέλο) που επεκτείνουν το μοντέλο CIM στο χώρο της διαχείρισης ασφάλειας ΠΣ με βάση τη δομημένη μεθοδολογία που παρουσιάστηκε στα προηγούμενα. Το επόμενο κεφάλαιο εξειδικεύει την οντολογία κατά ISO/17799 προκειμένου να επικεντρωθεί η έρευνα στον εντοπισμό και διαχείριση των απαιτήσεων ασφάλειας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 260

261 Not everything that counts can be counted and not everything that can be counted counts. ~ Albert Einstein 6 Εξειδίκευση της Οντολογίας ISO/IEC για την Υλοποίηση των Αντιμέτρων Ασφάλειας 6.1 Εισαγωγή Σε αυτό το κεφάλαιο θα αναπτυχθεί μια εξειδικευμένη οντολογία που επικεντρώνει στην υλοποίηση των αντιμέτρων ασφάλειας από την Ανάλυση Επικινδυνότητας. Παρά το γεγονός ότι ο κεντρικός άξονας της έρευνας προσδιορίζεται στον καθορισμό και εφαρμογή των αντιμέτρων από την ΑΕ, η συγκεκριμένη τεχνική μπορεί να επεκταθεί σε όλες τις πηγές πληροφορίας ασφάλειας που αναφέρθηκαν στην ενότητα 4.9. Το πρώτο βήμα αφορά στην εξειδίκευση του οντολογικού μοντέλου της ΟΑ έτσι ώστε να περιλαμβάνει τις ελάχιστες απαραίτητες έννοιες που συμμετέχουν στον καθορισμό και υλοποίηση των αντιμέτρων. Ιδιαίτερο βάρος δίνεται στον ορισμό του αντίμετρου, δηλ. στο σύνολο εκείνο των χαρακτηριστικών που το προσδιορίζουν, προκειμένου το αντίμετρο να εφαρμοστεί (τελικά) στους πόρους του ΠΣ. Στη συνέχεια παρουσιάζεται η μέθοδος με την οποία εξάγεται ένας αριθμός από σημαντικά χαρακτηριστικά του αντιμέτρου, σε μια προσπάθεια να γίνει όσο το δυνατό σαφέστερη η οριοθέτηση των απαιτήσεων ασφάλειας που ενσωματώνονται στην έννοια του αγαθού. Οι απαιτήσεις ασφάλειας συλλέγονται από ένα αριθμό πηγών πληροφορίας που το επίπεδο σαφήνειάς τους ποικίλλει από πληροφορίες δικτύου και χρησιμοποιούμενων τεχνολογιών ΤΠΕ (υψηλό επίπεδο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 261

262 σαφήνειας) έως προδιαγραφές αντιμέτρων που προκύπτουν από την Αποτίμηση Επικινδυνότητας (χαμηλό επίπεδο σαφήνειας). Ο αντικειμενικός σκοπός της ανωτέρω διαδικασίας είναι η όσο το δυνατό ακριβέστερη πλήρωση των ιδιοτήτων των αντιμέτρων για κάθε αγαθό. Τέλος, παρουσιάζεται μια πρωτόλεια μελέτη περίπτωσης κατά την οποία αναλύονται τα δεδομένα που αφορούν ένα τυπικό ΠΣ. 6.2 Μέθοδοι, Εργαλεία και Τεχνικές Οι βασικές μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για την υλοποίηση των εργασιών που περιγράφονται στο παρόν κεφάλαιο είναι τα εξής: Ενέργεια Εργαλεία και τεχνικές Ανίχνευση δικτύου για τον εντοπισμό nmap [Fyodor, 2006], Netstumbler πληροφοριών σχετικά με τους πόρους του [Netstumbler, 2006], GFi LANguard ΠΣ [GFiLANguard, 2006] Επεξεργασία της εξόδου των εργαλείων ανίχνευσης δικτύου Nmap::Parser module σε Perl [Persaud, 2005] Επεξεργασία οντολογιών Επεξεργαστής οντολογιών Protégé [Protégé 2005] Προγραμματισμός με βιβλιοθήκες Protégé API [Protégé 2005], Protégé-OWL οντολογιών API [Protégé-OWL, 2006] Υποστήριξη συμπερασματικών RACER reasoner [RACER, 2006] μηχανισμών και ελέγχων ορθότητας οντολογίας Λογικοί κανόνες οντολογίας Γεννήτρια κανόνων SWRL [Protégé- OWL, 2006] Προγραμματισμός σε Java και Perl Eclipse IDE [Eclipse, 2006] Λεκτική ανάλυση αντιμέτρων υψηλού επιπέδου GATE (a General Architecture for Text Engineering) [Cunningham et al., 2002], [Cunningham et al., 2006] API και IDE. Γεννήτρια ανίχνευσης προτύπων (pattern matching) JAPE (a Java Annotation Patterns Engine) [Cunningham et al., 2002] Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 262

263 6.3 Εξειδικευμένο μοντέλο ΟΑ Παρά το γεγονός ότι έχουν αναπτυχθεί πλήρη οντολογικά μοντέλα για όλα τα γνωστικά πεδία ασφάλειας (security domains) που ορίζει το ISO/IEC 17799, σε αυτό το σημείο η έρευνα θα επικεντρωθεί σε ένα συγκεκριμένο εννοιολογικό υπο-μοντέλο της οντολογίας (βλ. Σχήμα 5.4) το οποίο είναι εξαιρετικά σημαντικό για τον καθορισμό και την εφαρμογή των αντιμέτρων που προκύπτουν από την αποτίμηση επικινδυνότητας (εφεξής «Οντολογία Ασφάλειας για την υλοποίηση των Αντιμέτρων»). Οι έννοιες αυτές είναι οι εξής: Αγαθό (Asset), Ιδιοκτήτης (Stakeholder), Απειλή (Threat), Ευπάθεια (Vulnerability), και Αντίμετρο (Countermeasure). Το υπο-μοντέλο της οντολογίας αποτυπώνεται εννοιολογικά στο Σχήμα 6.1. Σχήμα 6.1: Οντολογία Ασφάλειας για την Υλοποίηση των Αντιμέτρων Stakeholder Threat Έχει ως στόχο (Asset) Asset Κατέχει (Asset) Αξιοποιεί (Vulnerability) Εκθέτει (Asset) Προστατεύει (Asset) Vulnerability Countermeasure Μειώνει (Vulnerability) Στοχεύει (Threat) Η σύνδεση με το μοντέλο CIM επιτυγχάνεται με τον ίδιο τρόπο όπως και η αντίστοιχη πλήρης οντολογία με χρήση των κλάσεων Risk Assessment και Security_Managed_Element. Οι έννοιες με τις ιδιότητές τους απεικονίζονται συνολικά στο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 263

264 Σχήμα 6.2. Σημαντικές προσθήκες αποτελούν οι εξής ιδιότητες: Το Εύρος Εφαρμογής του Αντίμετρου ΕΕΑ (Domain of Applicability - DOA), που ανήκει στην έννοια Αντίμετρο (Countermeasure) και εκφράζει το σύνολο των πόρων του ΠΣ οι οποίοι υπόκεινται στην εφαρμογή του συγκεκριμένου αντίμετρου (βλ. και ενότητα όπου το DOA συμμετέχει σε λογικούς κανόνες ασφάλειας). Η δομή Απειλές Αντίμετρα (Threats-CMs) που ανήκει στην έννοια Αγαθό (Asset) και μοντελοποιεί την αλληλουχία των απειλών και των αντίστοιχων αντιμέτρων για ένα αγαθό. Η εν λόγω δομή ορίζεται αναλυτικότερα στην ενότητα 6.5. Σχήμα 6.2: ΟΑ για την υλοποίηση των αντιμέτρων σύνδεση με το CIM και ιδιότητες Risk_Assessment Security_Managed_Element CIM_ManagedElement Vulnerability -vulnerability_id -access_control_right -access_control_rule Threat -threat_id -threat_type -threat_name -posibility -frequency -severity Asset -asset_id -asset_value -asset_type -confidentiality -integrity -availability -authenticity -non-repudiation -compliance -sensitivity_level -replacement_cost -intrinsic_value -compromise_impact -Threats-CMs[ ] Countermeasure -countermeasure_id -countermeasure_type -subject -constraint -effectiveness -availability -versatility -strength -correctness -level_of_assurance -operational_cost -acquisition_cost -installation_cost -access_control_rule -access_control_right -CIM_credential -cryptographic_key -DOA Stakeholder -stakeholder_id Η υλοποιημένη οντολογία σε Protégé απεικονίζεται (μερικώς) στην Εικόνα 6.1, με τις κύριες έννοιες του Αγαθού (Asset) και Αντίμετρο (Countermeasure) οι οποίες θα αποτελέσουν το επίκεντρο της έρευνας στα επόμενα. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 264

265 Εικόνα 6.1: ΟΑ για την Υλοποίηση των Αντιμέτρων Υλοποίηση σε Protégé (μερική άποψη) 6.4 Διαισθητική Ανάλυση και Αρχές Καθορισμού Αντιμέτρων Οι προτάσεις που αποτελούν τα αντίμετρα ασφάλειας υψηλού επιπέδου είναι κατάλληλες για την εμπέδωση γενικών αρχών και την καλλιέργεια ενός θετικού κλίματος και κουλτούρας σε θέματα ασφάλειας, αλλά είναι μάλλον ακατάλληλα για αυτοματοποίηση και άμεση εφαρμογή στους πόρους του ΠΣ. Ο ειδικός ασφάλειας θα πρέπει να χρησιμοποιήσει τις γνώσεις και την εμπειρία του, να συνυπολογίσει την αποστολή και το σκοπό του ΠΣ, το γενικότερο περιβάλλον πληροφορικής, το θεσμικό και νομικό πλαίσιο καθώς και την εφικτότητα των μέτρων που προτείνονται. Είναι σαφές λοιπόν ότι η υλοποίηση των αντιμέτρων της ΑΕ και άλλων κειμένων υψηλού επιπέδου (πολιτικές ασφάλειας, SLAs κλπ.) είναι μια σύνθετη διαδικασία με ένα πλήθος από παράγοντες που επηρεάζουν τις τελικές αποφάσεις. Σε αυτή την ενότητα δεν θα επιχειρηθεί μια λεπτομερής περιγραφή των ενεργειών του ειδικού ασφάλειας, ούτε μια αναλυτική παράθεση της αλληλουχίας των σκέψεων και προθέσεων του τελευταίου με στόχο μια ολική αυτοματοποίηση, κάτι που με την παρούσα κατάσταση στις επιστήμες της Γνωστικής (Cognitive Science), της Τεχνητής Νοημοσύνης (Artificial Intelligence) και της Γλωσσολογίας (Linguistics) δεν είναι εφικτό. Στα παραπάνω συνάδει και η έμφυτη ατέλεια Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 265

266 και εντροπία των ανθρώπινων γλωσσών που προάγει την ασάφεια και το πλήθος των διαφορετικών ερμηνειών που στηρίζονται, εκτός των άλλων, στα συμφραζόμενα (context) και στην έμμεση γνώση (implicit knowledge) η οποία συνήθως δεν είναι διαθέσιμη ή δεν είναι διαχειρίσιμη σε αυτοματοποιημένες διατάξεις. Με αυτή την οπτική, η συζήτηση θα περιοριστεί σε κάποιες βασικές παρατηρήσεις από την καθημερινή εμπειρία όσον αφορά τη δομή και τα συμπεράσματα που ενδέχεται να εξαχθούν από την παρατήρηση κάποιων τυπικών αντιμέτρων. Μια σημαντική παράμετρος των συστημάτων υποστήριξης αποφάσεων σε θέματα ασφάλειας είναι η αναγνώριση κάποιων σημαντικών παραμέτρων που αφορούν τα αντίμετρα. Στα επόμενα ορίζεται ένας αριθμός από αρχές οι οποίες υποβοηθούν στον ορισμό των παραμέτρων αυτών. Οι αρχές αυτές, που ονομάζονται συλλήβδην Αρχές Καθορισμού Αντιμέτρων 42 (Countermeasures Definition Principles), είναι οι ακόλουθες: Πόρος Εφαρμογής Αντιμέτρου (Countermeasure Enforcement Asset CEA): ο πόρος του ΠΣ ο οποίος επιτρέπει την εφαρμογή του αντιμέτρου. Συνήθως ο πόρος αυτός είναι ένα στιγμιότυπο μιας έννοιας της ΟΑ και συνδέεται άμεσα με μια CIM ιεραρχία που περιγράφει το ΠΣ (βλ. και ενότητα , Σχήμα 5.10). Ο εν λόγω πόρος ανήκει σε μια από τις δύο παρακάτω κατηγορίες: Πόρος που έχει υλική υπόσταση, όπως ένας δρομολογητής ή ένα ανάχωμα, Πόρος που είναι άϋλος, όπως μια διαδικασία πληροφορικής η οποία ορίζει κάποιες απαιτήσεις ασφάλειας και θέτει ένα αριθμό από περιορισμούς όπως η ελάχιστη 42 Ελλείψει πιο δόκιμης ονομασίας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 266

267 περίοδος ελέγχου μέσα στην οποία θα πρέπει να ελέγχεται η αποτελεσματικότητα της εφαρμογής του αντιμέτρου. Σε αυτή την κατηγορία ανήκει και η πληροφορία που κινείται, επεξεργάζεται και αποθηκεύεται από το ΠΣ. Αυθυπαρξία του Πόρου Εφαρμογής (CEA Existence): εξετάζεται η αυτονομία του πόρου εφαρμογής, όπως ένας εξυπηρετητής ο οποίος έχει συγκεκριμένες ιδιότητες που τον προσδιορίζουν (όνομα και διεύθυνση δικτύου, τομέα δικτύου που ανήκει, μάσκα δικτύου για δικτυακή διευθυνσιοδότηση (subnetting), υπηρεσίες και θύρες δικτύου, κλπ.). Σε περίπτωση που ο πόρος δεν μπορεί να προσδιοριστεί, τότε σαν αυθύπαρκτος πόρος θεωρείται η πληροφορία του ΠΣ. Πολυπλοκότητα του Πόρου Εφαρμογής (CEA Complexity): εξετάζεται ο βαθμός σύνθεσης του πόρου από άλλους, δηλ. εάν ο εν λόγω πόρος είναι ατομικός (π.χ. εξυπηρετητής, δρομολογητής, υπηρεσία, ) ή κατά πόσον αναλύεται σε περαιτέρω πόρους όπως ένα υποσύστημα ενός ΠΣ. Στην περίπτωση της μοντελοποίησης σε CIM, ο πόρος αυτός μπορεί να αναλύεται σε μια σειρά στιγμιοτύπων μεμονωμένων πόρων, που αναδρομικά συνθέτουν τον σύνθετο αρχικό πόρο. Εύρος Εφαρμογής του Αντίμετρου ΕΕΑ (Domain of Applicability DOA): εξετάζεται το σύνολο των πόρων του ΠΣ τα οποία υπόκεινται στην εφαρμογή του συγκεκριμένου αντίμετρου, εκτός από τον συγκεκριμένο πόρο. Σύμφωνα με την αρχή του ισομορφισμού, εάν το εύρος εφαρμογής του αντιμέτρου δεν είναι δυνατό να καθοριστεί, τότε στο ΕΕΑ ανήκουν όλοι εκείνοι οι πόροι του ΠΣ που ανήκουν στην ίδια κατηγορία με τον πόρο στο οποίο αναφέρεται το αντίμετρο. Το ΕΕΑ δεν αναφέρεται μόνο σε υλικούς, αλλά και σε άϋλους πόρους. Κανόνες Πρόσβασης στον Πόρο (Asset Access Control): εξετάζονται οι απαραίτητοι κανόνες πρόσβασης στον πόρο, έτσι ώστε η εφαρμογή του αντιμέτρου να γίνει με βάση τις βασικές αρχές ασφάλειας α) Διαχωρισμός Καθηκόντων (Segregation of Duties, SoD) και β) Ελάχιστα Απαιτούμενα Δικαιώματα (Least Privilege). Τοπολογική Οριοθέτηση Πόρου (Asset Topological Inclusion): εξετάζεται η θέση του πόρου ως προς το ΠΣ, δηλ. εάν πρόκειται για ένα πόρο ο οποίος είναι: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 267

268 Εσωτερικός ως προς το ΠΣ (ανήκει σε εσωτερικό υποδίκτυο κυριότητας του οργανισμού που η δικτυακή κίνησή του υπόκειται σε έλεγχο πρόσβασης από σχετική συσκευή), Προσβάσιμος εν μέρει από άλλα ΠΣ και από το διαδίκτυο (είναι μέρος ενός DMZ), Ανήκει σε τρίτο φορέα ο οποίος έχει μια μορφή νόμιμης πρόσβασης στους πόρους και στο ΠΣ του οργανισμού (Τρίτες Οντότητες Third Parties), Ανήκει σε τρίτο φορέα ο οποίος δεν έχει καμία μορφή νόμιμης πρόσβασης στους εταιρικούς πόρους (ευρύ κοινό). Κατεύθυνση και Ροή της Πληροφορίας (Information Flow Direction): εξετάζεται κατά πόσον: Η ροή της πληροφορίας είναι από/προς τον πόρο, Η πληροφορία κινείται εντός του ΠΣ ή ανταλλάσσεται πληροφορία με κάποια Τρίτη Οντότητα, Ικανοποιείται το νομικό πλαίσιο της Προστασίας Δεδομένων ως προς τον χειρισμό των δεδομένων υπό επεξεργασία, αποθήκευση και μετάδοση. Σχετικές Τεχνολογίες (Relevant Technologies): εξετάζεται κατά πόσον εντοπίζονται γνωστές τεχνολογίες που προϋποθέτουν μια σειρά από άλλες συνθήκες (π.χ. η ύπαρξη ψηφιακών υπογραφών προϋποθέτει την ύπαρξη μιας Υποδομής Δημοσίου Κλειδιού PKI). Είναι σαφές ότι η λίστα των παραπάνω κριτηρίων δεν είναι πλήρης, όπως επίσης και το εύρος της εφαρμογής τους μπορεί να διαφέρει από ένα πληροφοριακό σύστημα σε ένα άλλο. Το σημαντικό σημείο είναι το γενικό συμπέρασμα ότι με τις παρούσες συνθήκες η προσομοίωση των πράξεων και σκέψεων του ειδικού που καλείται να εφαρμόσει τα αντίμετρα ασφάλειας είναι ανέφικτη αντ αυτού, η παρούσα έρευνα προτείνει την υιοθέτηση ενός απλούστερου μοντέλου καταγραφής των απαιτήσεων των αντιμέτρων, το οποίο σε συνδυασμό με τη χρήση μιας Βάσης Γεγονότων (Facts Database) αναφορικά με την ασφάλεια του ΠΣ να δίνει τη δυνατότητα στον ειδικό ασφάλειας να μπορεί να υλοποιεί άμεσα έναν αριθμό από τα αντίμετρα, ενώ παράλληλα να παρέχει πολύτιμη βοήθεια για την επιλογή των αντιμέτρων τα οποία είναι δύσκολο να υλοποιηθούν με Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 268

269 αυτοματοποιημένους τρόπους. Οι παραπάνω αρχές είναι άρρηκτα συνδεδεμένες με το μοντέλο απαιτήσεων ασφάλειας αντιμέτρου, που παρουσιάζεται στη συνέχεια. 6.5 Μοντέλο Απαιτήσεων Ασφάλειας Αντιμέτρου Η τυπική αποτύπωση των απαιτήσεων ασφάλειας ενός ΠΣ αφορά στην πληροφορία που αφορά στο ΤΙ και όχι στο ΠΩΣ των απαιτήσεων ασφάλειας (βλ. και ενότητα 4.3 για μια σχετική συζήτηση). Για να καταστεί δυνατή η τυπική αποτύπωση πρέπει να οριστεί ένας τρόπος αναπαράστασης και αποθήκευσης της αναγκαίας πληροφορίας έτσι ώστε οι απαιτήσεις ασφάλειας του αντίμετρου να καταγραφούν όσο το δυνατόν πληρέστερα και ακριβέστερα. Ο αναγνώστης θα αναγνωρίσει όρους που απαντώνται στο χώρο της έρευνας σε διαχείριση συστημάτων βάσει πολιτικών (policy-based management) προκειμένου να υπάρχει μια σύνδεση με σχετικές πλατφόρμες εφαρμογής πολιτικών σε ΠΣ (ενότητα 3.7). Σε αυτή την ενότητα η έρευνα επικεντρώνεται σε συγκεκριμένες ιδιότητες του αντιμέτρου που το χαρακτηρίζουν, χωρίς να ακυρώνεται η προηγούμενη συζήτηση. Η επικέντρωση αυτή γίνεται για λόγους αποτελεσματικότητας ενώ οι κάτωθι ιδιότητες έχουν επιλεγεί με βάση τη σπουδαιότητά τους για τον ορισμό του αντιμέτρου και τη μετέπειτα εφαρμογή του στους πόρους του ΠΣ. Ένα βασικό δεδομένο που πρέπει να καταγραφεί αφορά το στόχο (target) του αντίμετρου. Με τον όρο στόχο εννοούμε τον πόρο εκείνο (ή την ομάδα πόρων) στον οποίο εφαρμόζεται το αντίμετρο. Αν για παράδειγμα ένα αντίμετρο έχει την εξής μορφή: Configure routers to only accept packets from defined external sources τότε ο στόχος αυτού του αντίμετρου είναι όλοι οι δρομολογητές (ή, ακριβέστερα, όλα τα στιγμιότυπα της τάξης δρομολογητής (router) της οντολογίας) με άλλα λόγια, το ΕΕΑ (DOA) είναι όλοι οι δρομολογητές του ΠΣ. Ένα άλλο στοιχείο που πρέπει να υπάρχει σε μία τέτοια δομή είναι το υποκείμενο (subject) που θα εφαρμόσει το αντίμετρο. Το υποκείμενο είναι ένας ρόλος, όπως για παράδειγμα ο διαχειριστής του ΠΣ ή κάποια διεργασία / δαίμονας ο οποίος εκτελείται ανά τακτά χρονικά διαστήματα. Κάθε αντίμετρο ταξινομείται σε μια Ομάδα Αντιμέτρου (CM_Group) το οποίο βοηθά στην εύρεση κοινών πρακτικών για την εφαρμογή του. Μια περαιτέρω υπο-ταξινόμηση οδηγεί στην έννοια της Υπο-Ομάδας Αντιμέτρου (CM_SubGroup). Στην προτεινόμενη μέθοδο Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 269

270 υιοθετήθηκε η ταξινομία των ομάδων / υποομάδων αντιμέτρων της CRAMM [CRAMM, 2005]. Αντιπροσωπευτικές κατηγορίες αντιμέτρων αφορούν σε Δικτυακό Έλεγχο Πρόσβασης (Network Access Controls), σε Ακεραιότητα των Δεδομένων σε Μετάδοση Μέσω Δικτύου (Data Integrity over Network) και σε Ακεραιότητα και Αυθεντικοποίηση (Integrity and Authentication), για να αναφερθούν κάποιες από τις κατηγορίες. Ο πλήρης κατάλογος των ομάδων /υποομάδων αντιμέτρων της παρούσης διατριβής παρατίθεται στο Παράρτημα ΙΙΙ. Στα παραπάνω πεδία προστίθεται το πεδίο Ενέργεια (Action). Αποτελεί το βασικό τμήμα των απαιτήσεων ασφάλειας του αντιμέτρου, αφού περιγράφει τις απαραίτητες ενέργειες για την εφαρμογή του. Τέλος, υπάρχουν περιπτώσεις κατά τις οποίες η εφαρμογή ενός αντίμετρου δεν είναι καθολική, αλλά υπάρχουν περιορισμοί (constraints) είτε στο πεδίο εφαρμογής είτε στην έννοια του χρόνου, είτε του χώρου, είτε των απαιτούμενων ρόλων των οντοτήτων. Έτσι το αντίμετρο: Configure filtering routers so that it is not possible for external hosts to communicate with internal hosts, except mail servers and web servers δεν θα εφαρμοστεί συνολικά για όλους τους πόρους του ΠΣ, αλλά θα υπάρξει η εξαίρεση των εξυπηρετητών αλληλογραφίας (mail servers) και των εξυπηρετητών ιστού (web servers). Στο αντίμετρο αυτό, ο περιορισμός έγκειται στον προσδιορισμό ενός περιορισμένου ΕΕΑ αντίθετα, για το επόμενο αντίμετρο οι περιορισμοί είναι χρονικοί (βλ. υπογράμμιση) «σύνδεση στα επιχειρησιακά συστήματα κατά τη διάρκεια των εργάσιμων ωρών» (επιπρόσθετα, εδώ υπονοείται η γνώση των «εργάσιμων ωρών», η οποία πρέπει να τροφοδοτηθεί στη Βάση των Γεγονότων προκειμένου ο όρος «εργάσιμες ώρες» να αποκτήσει νόημα). Allow users to connect to the business systems only through strong authentication means and during working hours Ο Πίνακας 6.1 περιγράφει την ολοκληρωμένη δομή των απαιτήσεων ασφάλειας του αντίμετρου (ή απλά «Αντίμετρο») [Tsoumas et al., 2006b]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 270

271 Ιδιότητα Στόχος (Target) Υποκείμενο (Subject) Ομάδα Αντίμετρου (CM_Group) Υποομάδα Αντίμετρου (CM_SubGroup) Ενέργεια (Action) Περιορισμοί (Constraints) Επίπεδο Εφαρμογής Αντιμέτρου (Level of CM Applicability) Ιδιότητες Ασφάλειας (Security Attributes) Τύπος Αντιμέτρου (CM Type) Επίπεδο Εναπομείναντος Κινδύνου (Residual Risk) Σκοπός Αντιμέτρου ΕΕΑ (DOA) Πίνακας 6.1: Απαιτήσεις Ασφάλειας Αντιμέτρου (Αντίμετρο) Περιγραφή Το Αγαθό στο οποίο θα εφαρμοστεί το Αντίμετρο. Περιλαμβάνει ιδιότητες όπως IP διεύθυνση, λειτουργικό σύστημα, ενεργές υπηρεσίες και θύρες δικτύου, κλπ.), ή είναι ένας δείκτης σε στιγμιότυπο της αντίστοιχης έννοιας σε υπάρχουσα υλοποίηση ΠΣ κατά CIM. Η οντότητα (σε επίπεδο ρόλου) η οποία θα εφαρμόσει το Αντίμετρο στον Στόχο. Κατηγοριοποίηση του αντίμετρου σε μια ομάδα κοινών αντιμέτρων, κατά CRAMM. Κατηγοριοποίηση του αντίμετρου σε μια υποομάδα κοινών αντιμέτρων, κατά CRAMM. Ενέργειες για την εφαρμογή του Αντίμετρου. Αφορά σε τυχόν περιορισμούς Χρόνου, Τόπου και Υποκειμένου που μπορεί να έχει η εφαρμογή του αντίμετρου όσον αφορά τον χρόνο (εντός εργασιακών ορών), την τοποθεσία (πρόσβαση μόνο από υπολογιστή εντός δικτύου), και τους απαιτούμενους ρόλους (εφαρμογή μόνο από το διαχειριστή του δικτύου). [Διοικητικό Διαδικαστικό Τεχνικό] [Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα ] [Προληπτικό Διαγνωστικό Διορθωτικό Αποθαρρυντικό] [Υψηλό Μεσαίο Χαμηλό] [Ασφάλεια ΠΣ Έλεγχος ΠΣ] Εύρος Εφαρμογής Αντιμέτρου Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 271

272 Ένα βασικό σημείο της προσέγγισης (βλ. και Σχήμα 6.2) αποτελεί η ιδιότητα Threats- CMs[ ], η οποία έχει υλοποιηθεί στην έννοια Αγαθό σαν ένας πίνακας δύο διαστάσεων. Είναι σαφές ότι κάθε αγαθό ανάλογα με την κατηγορία στην οποία ανήκει (για παράδειγμα φυσικό ή λογικό αγαθό) υπόκειται σε ένα αριθμό από απειλές. Ο στόχος του πεδίου αυτού είναι η καταγραφή των απειλών για κάθε αγαθό σε συνδυασμό με τα αντίστοιχα αντίμετρα για κάθε απειλή. Κάθε γραμμή του πίνακα Threats-CMs συνδέει μια απειλή για το συγκεκριμένο αγαθό με μια σειρά από αντίμετρα. Κάθε απειλή ακολουθεί τη δομή που περιγράφει ο Πίνακας 5.6 στην ενότητα , ενώ το αντίμετρο ακολουθεί τη δομή που περιγράφει ο Πίνακας 6.1. Μέσω της κληρονομικότητας, η ιδιότητα Threats-CMs θα μεταφερθεί σε όλες τις έννοιες που είναι απόγονοι της κλάσης Αγαθό, με αποτέλεσμα κάθε στιγμιότυπο αγαθού να διαθέτει ένα πίνακα που να περιγράφει τις απειλές του και τα αντίστοιχα αντίμετρα. Το Σχήμα 6.3 απεικονίζει τη μοντελοποίηση των απειλών και των αντίστοιχων αντιμέτρων (δομή Threats-CMs) για ένα αγαθό, ενώ η Εικόνα 6.2 καταγράφει την παραπάνω σχέση σε επίπεδο οντολογίας. Σχήμα 6.3: Απειλές και Αντίμετρα για ένα Αγαθό. Threats CMs Αντίμετρα για την Απειλή Threat2" Αντίμετρο CM_2 Threat1 CMs CM_1 Subject Threat2 Threat... CMs CMs CM_2 CM... Target Actions ThreatN CMs CM_M... DOA Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 272

273 Εικόνα 6.2: Σύνδεση Απειλών και Αντιμέτρων σε επίπεδο Αγαθού 6.6 Μεθοδολογία Καθορισμού Απαιτήσεων Ασφάλειας ΠΣ Η διαδικασία καθορισμού των απαιτήσεων ασφάλειας από τις δηλώσεις υψηλού επιπέδου ακολουθεί μια δομημένη προσέγγιση προκειμένου να συλλέξει τις απαιτήσεις ασφάλειας για κάθε πόρο. Συνοπτικά, η μεθοδολογία καθορισμού απαιτήσεων ασφάλειας από δηλώσεις υψηλού επιπέδου που περιγράφεται στα επόμενα (η οποία αποτελεί μέρος της ευρύτερης μεθοδολογίας διαχείρισης ασφάλειας με χρήση οντολογιών καλύπτοντας τις σχετικές φάσεις 1 και 2, όπως ορίστηκε στην ενότητα 4.10), αποτελείται από τα εξής βήματα: Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ (ενότητα 6.8), Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας και πλήρωση των ιδιοτήτων των αντίστοιχων αντιμέτρων για κάθε πόρο (ενότητα 6.9). Θα πρέπει να σημειωθεί ότι τα στάδια IV και V του πλαισίου ΔΑΠΣ (ενότητα 4.10) δεν καλύπτονται εκτενώς στην παρούσα έρευνα, γιατί πρόκειται για διαδικαστικά θέματα που άπτονται της γενικότερης μεθοδολογίας. Για τη σχετική συζήτηση, ο αναγνώστης παραπέμπεται στην ενότητα Ακολουθούν οι συμβάσεις που υιοθετήθηκαν για την εξαγωγή των απαιτήσεων ασφάλειας από τα αντίμετρα υψηλού επιπέδου. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 273

274 6.7 Συμβάσεις για την Εξαγωγή των Απαιτήσεων Ασφάλειας Στην παρούσα ενότητα παρουσιάζεται ένας αριθμός συμβάσεων που αφορούν στη διαδικασία της εξαγωγής των απαιτήσεων ασφάλειας, προκειμένου η διατριβή να επικεντρωθεί στις σημαντικότερες πτυχές της έρευνας. Το κύριο βάρος έχει δοθεί στη βασική συνεισφορά της διατριβής (εξαγωγή των απαιτήσεων από δηλώσεις υψηλού επιπέδου), ενώ σκόπιμα δεν δίνεται σημαντικό βάρος σε διεκπεραιωτικά θέματα τα οποία ναι μεν ενδέχεται να επηρεάζουν την ευκολία χρήσης της προσέγγισης σε πρακτικό επίπεδο, αλλά δεν αποτελούν αντικείμενα της διατριβής λόγω του μειωμένου ερευνητικού τους ενδιαφέροντος. Τέτοια θέματα είναι η μορφοποίηση των δεδομένων εισόδου στο λογισμικό εξαγωγής, η επιλογή των παραδειγμάτων πολιτικών και εξόδων από εργαλεία ΑΕ, όπως επίσης η εγκυρότητα και ακρίβεια των δεδομένων εισόδου. Οι συμβάσεις αυτές παρουσιάζονται στις επόμενες παραγράφους, και αφορούν α) τη μορφή των δεδομένων εισόδου, και β) την επεξεργασία των δεδομένων αυτών Συμβάσεις για τα δεδομένα εισόδου Όπως έχει αναφερθεί σε αρκετά σημεία της διατριβής μέχρι τώρα, οι πηγές των πληροφοριών ασφάλειας είναι ανομοιογενείς με διαφορετικό επίπεδο λεπτομέρειας και σαφήνειας ως προς το περιεχόμενό τους. Προκειμένου να περιοριστεί το εύρος των εξεταζόμενων μορφών έκφρασης των πληροφοριών αυτών, και να διατηρηθεί η πολυπλοκότητα της υλοποίησης σε ένα διαχειρίσιμο επίπεδο χωρίς να βλάπτεται η γενικότητα της προσέγγισης, εφεξής θα υιοθετηθεί ένας αριθμός από συμβάσεις σχετικά με τα δεδομένα εισόδου στη διαδικασία εξαγωγής των απαιτήσεων ασφάλειας. Οι συμβάσεις αυτές είναι οι εξής: Οι δηλώσεις υψηλού επιπέδου των αντιμέτρων ή της πολιτικής είναι αντίστοιχες με αυτές που προκύπτουν από ημι-αυτοματοποιημένα εργαλεία ΑΕ όπως CRAMM [CRAMM, 2005], COBRA [COBRA, 2006] κλπ. Εναλλακτικές πηγές δηλώσεων είναι γενικευμένα (generic) παραδείγματα πολιτικών, όπως αυτά στο σχετικό ιστότοπο του οργανισμού SANS [SANS SecPol, 2006] ή πιο σαφείς πολιτικές / αντίμετρα για συγκεκριμένες τεχνολογίες [Karygiannis and Owens, 2002]. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 274

275 Η παρούσα διατριβή ασχολείται μόνο με το μέρος εκείνο της εξόδου των εργαλείων ΑΕ / πολιτικών ασφάλειας στο οποίο περιγράφονται τα αντίμετρα: πεδία και ενότητες των πολιτικών όπως εισαγωγή, συγγραφέας και άλλα στοιχεία είναι εκτός του εύρους της έρευνας. Αν και η οντολογία ασφάλειας μπορεί να εκφράσει αντίμετρα όλων των ειδών (βλ. ενότητα για μια κατηγοριοποίηση), στο εφεξής μεγαλύτερο βάρος έχει δοθεί σε εκείνα τα αντίμετρα τα οποία μπορούν να εφαρμοστούν απευθείας στις υποκείμενες συσκευές/αγαθά του ΠΣ. Αντίμετρα και πολιτικές ασφάλειας οι οποίες αφορούν σε διαδικαστικά (procedural), ή οργανωσιακά (organizational) θέματα δεν εξετάζονται σε βάθος, παρά το γεγονός ότι υπάρχει η δυνατότητα επεξεργασίας και αυτών των κατηγοριών αντιμέτρων. Η οντολογία δεν είναι πλήρης, με την έννοια ότι δεν (είναι δυνατό να) καλύπτει κάθε πιθανή ιδιότητα του αντιμέτρου ασφάλειας που θα είχε νόημα για τον εκάστοτε χρήστη της προσέγγισης. Σκοπός της έρευνας δεν είναι μόνο η δημιουργία μίας οντολογίας ικανής να αναπαραστήσει οποιαδήποτε έννοια στον τομέα της ασφάλειας των πληροφοριακών συστημάτων, αλλά και η εμβάθυνση στο σημαντικό τομέα του καθορισμού εφαρμόσιμων αντίμετρων. Η δημιουργία της έχει στηριχθεί σε βέλτιστες πρακτικές (best practices) στον τομέα της ασφάλειας και σε κοινά αποδεκτά πρότυπα (standards). Πληροφορία που απαιτείται από τη μέθοδο εκτός από τα αντίμετρα υψηλού επιπέδου (π.χ. δεδομένα τοπολογίας του δικτύου), θεωρείται δεδομένη και ακριβής. Η πληροφορία αυτή γίνεται αντικείμενο προεπεξεργασίας όπως περιγράφεται στην ενότητα 6.8. Τα αντίμετρα προς επεξεργασία στη μελέτη περίπτωσης που ακολουθεί (ενότητα 6.9.1) αποτελούν ένα υποσύνολο των αντιμέτρων της CRAMM. Στα επόμενα, θα θεωρηθεί για απλότητα ότι από τις προτάσεις υψηλού επιπέδου προκύπτει μια αντιστοίχηση μεταξύ του αγαθού, των σχετικών απειλών (ποικίλης κρισιμότητας) και των αντίστοιχων αντιμέτρων, η οποία είναι διαθέσιμη στο λογισμικό υλοποίησης (Αγαθό Απειλή Ένα ή περισσότερα Αντίμετρα). Η ως άνω σχέση των αγαθών με τις απειλές και τα αντίμετρα απεικονίζεται στο Σχήμα 6.4. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 275

276 Σχήμα 6.4: Σχέση Αγαθών ΠΣ, Απειλές και Αντίμετρα Συμβάσεις για την Επεξεργασία των Δεδομένων Εισόδου Τέλος, στην παράγραφο αυτή παρουσιάζονται συμβάσεις που αφορούν στην επεξεργασία των δεδομένων εισόδου. Έχουν υιοθετηθεί κάποιες απλές ευρετικές αρχές (heuristics) σχετικά με την εξαγωγή της γνώσης, όπως: Όποιο πληροφοριακό αγαθό δεν μπορεί να εντοπιστεί ρητώς με τους κανόνες που έχουν θεσπιστεί, πχ σαφής αναφορά σε εξυπηρετητές δρομολογητές κτλ, θα θεωρείται ότι αναφέρεται στην πληροφορία ως αγαθό που χρήζει προστασίας. Μια βελτιωμένη έκδοση της άνω σύμβασης είναι ο εντοπισμός του πληροφοριακού αγαθού το οποίο περιέχει την εν λόγω πληροφορία (λ.χ., για το αντίμετρο «Use asymmetric algorithms for signatures» το πληροφοριακό αγαθό θα είναι η πληροφορία σε μορφή μηνύματος, ενώ ο περιέχων πόρος της πληροφορίας (information container) θα εννοείται ο πελάτης / εξυπηρετητής από τον οποίο μεταδίδεται η πληροφορία). Επιπλέον, όταν δεν ορίζεται σαφώς ποιο είναι το υποκείμενο που υλοποιεί το αντίμετρο, τότε θα θεωρείται ότι το αντίμετρο εφαρμόζεται από κάποιο εξουσιοδοτημένο πρόσωπο/ρόλο, όπως για παράδειγμα οι διαχειριστές του δικτύου. Για παράδειγμα στην πρόταση: Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 276

277 «Passwords to be at least 6 characters long» υποθέτουμε ότι το υποκείμενο που θα εφαρμόσει το αντίμετρο είναι οι διαχειριστές του δικτύου (administrators). Ταυτόχρονα όταν δεν είναι εφικτός ο προσδιορισμός των τυχών περιορισμών που μπορεί να έχει ένα αντίμετρο τότε θεωρείται ότι δεν υπάρχει κανένας περιορισμός στην εφαρμογή του. Παρατηρώντας την δομή του συνόλου των αντιμέτρων που χρησιμοποιήθηκαν από την μέθοδο CRAMM, μπορεί να συμπεράνει κανείς ότι ακολουθούν κάποιο κοινό πρότυπο (pattern) στον τρόπο γραφής τους. Υιοθετείται η υπόθεση ότι δεν υπάρχουν προτάσεις που να αντιβαίνουν στα αναγνωρισμένα πρότυπα. Η εξαγωγή της γνώσης στηρίζεται στα πρότυπα αυτά αν και πολλές φορές υπάρχουν εξαιρέσεις που δυσχεραίνουν το έργο της εξαγωγής. Για να γίνει πιο κατανοητή η έννοια του προτύπου του αντιμέτρου (Countermeasure Pattern) παρατίθεται το ακόλουθο πρότυπο: <Something1> to <Verb> <Something2> Παράδειγμα πρότασης που ακολουθεί το πρότυπο αυτό είναι το αντίμετρο: «Passwords to be at least six characters long» Έτσι στις προτάσεις αυτής της μορφής μπορούμε να συμπεράνουμε ότι η λέξη/φράση <Something1> είναι το πληροφοριακό αγαθό και η φράση <Verb><Something2> είναι το TI (σ.σ. η Ενέργεια) που πρέπει να γίνει/υλοποιηθεί. 6.8 Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ Σε αυτό το βήμα πραγματοποιείται η συλλογή πληροφοριών τεχνολογικής υποδομής και μοντελοποίηση των πόρων του ΠΣ. Το πρώτο βήμα στην προτεινόμενη μέθοδο είναι η συλλογή των απαραίτητων στοιχείων εισόδου. Ένα στοιχείο από αυτά είναι τα πληροφοριακά αγαθά σε επίπεδο υλικού που απαρτίζουν το δίκτυο προς εξέταση. Αν και η αποτύπωση των αγαθών αυτών θα μπορούσε να πραγματοποιηθεί και χειροκίνητα, εντούτοις υπάρχουν αρκετά εργαλεία διαθέσιμα (τόσο ελεύθερο όσο και εμπορικό λογισμικό) τα οποία μπορούν να χαρτογραφήσουν το δίκτυο και επιπλέον να προσδώσουν πρόσθετα χαρακτηριστικά στον κάθε πόρο όπως για παράδειγμα λειτουργικό σύστημα, ενημερωμένες εκδόσεις κ.α. Υποψήφια εργαλεία είναι οι σαρωτές / ανιχνευτές δικτύου Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 277

278 όπως το γνωστό nmap [Fyodor, 2006], το Netstumbler [Netstumbler, 2006] και το LANguard [GFiLANguard, 2006]. Τα εργαλεία που μπορεί κάποιος να χρησιμοποιήσει είναι πολλά, και (συνήθως) ενημερώνονται συνεχώς με νέες δυνατότητες, ιδίως εκείνα που διατίθενται ελεύθερα στο διαδίκτυο. Αυτά τα εργαλεία είναι σε θέση να παράγουν έξοδο σε μορφή απλού κειμένου ή σε άλλες πιο δομημένες μορφές (όπως XML), η οποία περιέχει την απαραίτητη πληροφορία για το δίκτυο. Παράδειγμα τέτοιας εξόδου λογισμικού ανίχνευσης αποτελεί η ακόλουθη Εικόνα 6.3, το οποίο αποτελεί χαρτογράφηση ενός εξοπλισμού που περιέχει τόσο ενσύρματους όσο και ασύρματους πόρους (έξοδος σε απλό κείμενο). Εικόνα 6.3: Έξοδος Λογισμικού Ανίχνευσης Δικτύου Network: " " BSSID: "00:02:2D:00:34:57" CDP Broadcast Device 1 Device ID : KENTPUR Capability: Interface : FastEthernet0 IP : Platform : cisco 1720 Software : Cisco Internetwork Operating System Software IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(1), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Tue 14-Mar-00 16:40 by cmong CDP Broadcast Device 2 Device ID : Kent_County Capability: Interface : Ethernet0 IP : Platform : cisco 2500 Software : Cisco Internetwork Operating System Software IOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Mon 05-Aug-96 11:48 by mkamson CDP Broadcast Device 3 Device ID : Kentres Capability: Interface : Ethernet0 IP : Platform : cisco 1602 Software : Cisco Internetwork Operating System Software IOS (tm) 1600 Software (C1600-Y-M), Version 12.0(3), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Mon 08-Feb-99 20:15 by phanguye CDP Broadcast Device 4 Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 278

279 Device ID : kent390 Capability: Interface : Ethernet0 IP : Platform : cisco 1604 Software : Cisco Internetwork Operating System Software IOS (tm) 1600 Software (C1600-Y-L), Version 12.0(3), RELEASE SOFTWARE (fc1) Copyright (c) by Cisco Systems, Inc. Compiled Mon 08-Feb-99 19:32 by phanguye Στην παραπάνω έξοδο του εργαλείου ιχνηλάτησης έχουν καταγραφεί σημαντικές πληροφορίες για τις συσκευές δικτυακού εξοπλισμού όπως δικτυακή διεύθυνση (IP address), λειτουργικό σύστημα (operating system), έκδοση λειτουργικού συστήματος (operating system version) και άλλες πληροφορίες. Σε ένα άλλο παράδειγμα, δίδεται η (μερική) έξοδος του εργαλείου nmap σε ιχνηλάτηση ενός πραγματικού δικτύου για ένα πόρο του με διεύθυνση (Εικόνα 6.4). Σε αυτό το απόσπασμα εξόδου, το εργαλείο καταγράφει τη διεύθυνση δικτύου, τις διαθέσιμες θύρες (ports), τις υπηρεσίες του πόρου, καθώς και την κατάσταση (state) της υπηρεσίας. Η τελευταία πληροφορία μπορεί να λάβει τις τιμές [OPEN, FILTERED, CLOSED] και μπορεί να χρησιμεύσει για την ανίχνευση συσκευών δικτυακού ελέγχου πρόσβασης (δρομολογητές, αναχώματα κλπ.), όπως επίσης και να δώσει κάποιες κατευθύνσεις για την κατεύθυνση της ροής της πληροφορίας (Αρχή της Κατεύθυνσης και Ροής της Πληροφορίας Information Flow Direction, ενότητα 6.4). Στα πλαίσια της εργασίας επιλέχτηκε η μορφοποίηση της εξόδου του nmap κατά XML, η οποία είναι δυνατό να γίνει αντικείμενο επεξεργασίας μέσω ειδικών βιβλιοθηκών σε Perl (Nmap:: Parser) [Persaud, 2005]. Για να γίνει πιο κατανοητή η διαδικασία, η (μερική) έξοδος του nmap για τον πόρο σε XML για την διεύθυνση του πόρου και τις πέντε πρώτες υπηρεσίες απεικονίζεται στην Εικόνα 6.5. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 279

280 Εικόνα 6.4: nmap Ιχνηλάτηση Δικτύου Στοιχεία Πόρου Εικόνα 6.5: Ανίχνευση με nmap - Έξοδος σε XML για τον Πόρο (μερική παράθεση) <host><status state="up" /> <address addr=" " addrtype="ipv4" /> <hostnames><hostname name="xxx.ccc.vv" type="ptr" /></hostnames> <ports><extraports state="closed" count="1211" /> <port protocol="tcp" portid="21"><state state="open" /><service name="tcpwrapped" method="probed" conf="8" /></port> <port protocol="tcp" portid="49"><state state="open" /><service name="tcpwrapped" method="probed" conf="8" /></port> <port protocol="tcp" portid="53"><state state="open" /><service name="domain" product="microsoft DNS" ostype="windows" method="probed" conf="10" /></port> <port protocol="tcp" portid="80"><state state="open" /><service name="http" product="microsoft IIS webserver" version="6.0" ostype="windows" method="probed" conf="10" /></port> <port protocol="tcp" portid="88"><state state="open" /><service name="kerberos-sec" product="microsoft Windows kerberos-sec" ostype="windows" method="probed" conf="10" /></port> Μετά την επεξεργασία της εξόδου του nmap, παράγεται μια λίστα των σημαντικών στοιχείων του πόρου η Εικόνα 6.6 δείχνει τα στοιχεία που εντοπίστηκαν για τον πόρο και που αφορούν τεχνικά χαρακτηριστικά (για τον πλήρη κώδικα σε Perl ο αναγνώστης παραπέμπεται στο Παράρτημα ΙV): Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 280

281 Εικόνα 6.6: Επεξεργασία Εξόδου nmap - Τεχνικά Χαρακτηριστικά του Πόρου HostNo:10 IPaddr: OSname: OSfamily:Linux OSgen: OStype:webcam OSvendor:AXIS PortNumber:21 PortService:tcpwrapped PortNumber:49 PortService:tcpwrapped PortNumber:53 PortService:domain PortNumber:80 PortService:http PortNumber:88 PortService:kerberos-sec PortNumber:135 PortService:msrpc PortNumber:139 PortService:netbios-ssn PortNumber:389 PortService:ldap PortNumber:445 PortService:microsoft-ds PortNumber:464 PortService:kpasswd5 PortNumber:593 PortService:ncacn_http PortNumber:636 PortService:ssl PortNumber:1025 PortService:msrpc PortNumber:1030 PortService:ncacn_http PortNumber:2000 PortService:callbook PortNumber:2001 PortService:dc PortNumber:2002 PortService:http PortNumber:3389 PortService:microsoft-rdp PortNumber:6050 PortService:arcserve Το επόμενο βήμα είναι η δημιουργία στιγμιοτύπων εννοιών της οντολογίας ασφάλειας, η οποία είναι αποθηκευμένη σαν αρχείο OWL (αρχείο κειμένου με κατάληξη.owl). Με Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 281

282 χρήση των API 43 βιβλιοθηκών που παρέχει η OWL επέκταση του Protégé, δημιουργούνται τα κατάλληλα στιγμιότυπα στην ιεραρχία της οντολογίας που αναπαριστάνουν τον συγκεκριμένο πόρο και συμπληρώνονται τα τεχνικά στοιχεία που συλλέχθηκαν από την ανίχνευση του δικτύου. Το αποτέλεσμα αυτού του βήματος είναι λειτουργικά στιγμιότυπα των πόρων του ΠΣ, με συμπληρωμένα τα τεχνικά χαρακτηριστικά που εντοπίστηκαν από την ανίχνευση του δικτύου. Το επόμενο βήμα εντοπίζει την πληροφορία από τις δηλώσεις υψηλού επιπέδου και τις συνδέει με τους αντίστοιχους πόρους προκειμένου να μοντελοποιήσει τις απαιτήσεις ασφάλειας. 6.9 Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας Σε αυτό το βήμα γίνεται ανάλυση των πηγών πληροφοριών ασφάλειας υψηλού επιπέδου (δηλώσεων πολιτικών, έξοδος ΑΕ, διοικητικές αποφάσεις, ) για την εξαγωγή χρήσιμων χαρακτηριστικών των αντιμέτρων που αφορούν κάθε αγαθό. Ο στόχος του βήματος είναι η δημιουργία εγγραφών για τον πίνακα Threats-CMs[ ] του κάθε στιγμιότυπου αγαθού που έχει δημιουργηθεί από το προηγούμενο βήμα (ενότητα 6.8), έτσι ώστε να προσδιοριστούν οι ιδιότητες του κάθε αντίμετρου (Σχήμα 6.3 και Εικόνα 6.2). Προκειμένου να γίνει αυτό εφικτό, πρέπει να αναλυθεί η πληροφορία που είναι διαθέσιμη από τις δηλώσεις υψηλού επιπέδου (βήμα II από τη μεθοδολογία εφαρμογής της ΔΑΠΣ στην ενότητα 4.10). Έχοντας εντοπίσει τις κύριες οντότητες του προς εξέταση δικτύου μπορούμε να συμπληρώσουμε για κάθε μία από αυτές τις γνωστές απειλές ασφάλειας που έχει (οι 43 Application Program Interface. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 282

283 απειλές χαρακτηρίζονται ως «γνωστές» γιατί προϋπάρχουν στην αντίληψη του ειδικού ασφάλειας πριν ακόμα αναγνωριστούν οι οντότητες του δικτύου. Οι απειλές αυτές έχουν προκύψει από την Ανάλυση Επικινδυνότητας και/ή την μελέτη προτύπων και μοντέλων ασφαλείας και έχουν εισαχθεί στην οντολογία ως στιγμιότυπα της τάξης Threats (βλ. ενότητα για τις συμβάσεις που υιοθετήθηκαν). Στη συνέχεια χρησιμοποιώντας τεχνικές επεξεργασίας φυσικής γλώσσας, εξάγεται πληροφορία που αφορά στα αντίμετρα. Το είδος της πληροφορίας που ενδιαφέρει την έρευνα παρουσιάστηκε παραπάνω (ενότητα 6.5). Στη συνέχεια. το κάθε αντίμετρο που βρέθηκε και αναγνωρίστηκε επιτυχώς, πρέπει να ταξινομηθεί σε κάθε απειλή που μπορεί να βρει εφαρμογή (βλ. ενότητα για τις συμβάσεις που υιοθετήθηκαν). Για τον σκοπό αυτό, χρησιμοποιούμε το πεδίο CM_Group για να ενταχθεί το αντίμετρο σε μία ομάδα αντιμέτρων και να εντοπιστούν οι απειλές που μπορεί να έχει εφαρμογή. Έτσι, για παράδειγμα, είναι φανερό ότι αν το αντίμετρο έχει χαρακτηριστεί ότι ανήκει στην ομάδα Identification and Authentication (Ταυτοποίηση και Αυθεντικοποίηση), δεν μπορεί να χρησιμοποιηθεί π.χ. για τη λογιστική χρέωση των χρηστών για ένα αγαθό όπως τον ΕκτυπωτήςΑ. Το επόμενο στάδιο αφορά στην διαχειριστική πληροφορία που προέρχεται από τα επιχειρησιακά στελέχη (βήμα IV από τη μεθοδολογία εφαρμογής της ΔΑΠΣ στην ενότητα 4.10). Σε αρκετές περιπτώσεις, μετά την ολοκλήρωση των διαδικασιών για την δημιουργία μιας Πολιτικής Ασφάλειας, πραγματοποιούνται αρκετά στάδια εκλέπτυνσης αυτών έως ότου «συμμορφωθεί» πλήρως με τις ανάγκες του οργανισμού. Η πληροφορία αυτή είναι αδύνατον να συλλεχθεί με οποιονδήποτε άλλο τρόπο εκτός από συνεντεύξεις και διαλογικές διαδικασίες. Συνεπώς η πληροφορία αυτή θα ενταχθεί στην οντολογία με μη-αυτοματοποιημένο τρόπο, ο οποίος δεν είναι στα όρια της παρούσης διατριβής. Τέλος υπάρχουν περιπτώσεις όπου για λόγους ελλιπούς ανάλυσης επικινδυνότητας για πολλά αγαθά δεν υπάρχουν αντίμετρα, ή αυτά δεν κρίνονται επαρκή. Έτσι λοιπόν, στο τελευταίο βήμα επεξεργασίας των πηγών εισόδου (βήμα V από τη μεθοδολογία εφαρμογής της ΔΑΠΣ) εντοπίζονται για την κάθε απειλή ενός αγαθού βέλτιστες πολιτικές ασφάλειας και κοινές πρακτικές από κοινά αποδεκτές συλλογές / βάσεις αντιμέτρων και Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 283

284 ενσωματώνεται η πληροφορία αυτή στο εκάστοτε πεδίο CM του πίνακα Threats-CMs [ ] 44. Ολοκληρώνοντας και το στάδιο αυτό έχει δημιουργηθεί (κατά το δυνατό, και ανάλογα με την ποσότητα και ποιότητα της πληροφορίας που θα έχει συλλεχθεί) το μοντέλο της οντολογίας με την απαραίτητη πληροφορία για τη μοντελοποίηση των πόρων του ΠΣ. Η επόμενη ενότητα αφορά την υλοποίηση της εξαγωγής των απαιτήσεων ασφάλειας από την έξοδο της ΑΕ και λοιπές πηγές ασφάλειας υψηλού επιπέδου Υλοποίηση Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας από Σχετικές Πηγές Υψηλού Επιπέδου Για τη δοκιμή της προτεινόμενης μεθόδου χρησιμοποιήθηκαν ένας αριθμός από αντίμετρα σε φυσική γλώσσα. Τόσο η μορφή όσο και το περιεχόμενο των αντίμετρων δεν ακολουθεί κάποιο συγκεκριμένο πρότυπο. Και τα δύο είναι άμεσα συνδεδεμένα με τον συγγραφέα του αντίμετρου, είτε είναι κάποια φυσική οντότητα (διαχειριστής / αναλυτής ασφάλειας πληροφοριακών συστημάτων) είτε είναι κάποιο λογισμικό. Η μέθοδος που παρουσιάζεται στηρίζεται μόνο στα αντίμετρα τα οποία προκύπτουν από κάποιο λογισμικό και συγκεκριμένα από την CRAMM. Με τον τρόπο αυτό είναι δυνατή η εφαρμογή κάποιας αλγοριθμικής μεθόδου επάνω στα αντίμετρα με σκοπό τον εντοπισμό των βασικών τους ιδιοτήτων (ενότητα 6.5). Επιπλέον, η ευρεία διάδοση της CRAMM αποτέλεσε ένα ακόμα ισχυρό κίνητρο για την υιοθέτηση των εν λόγω αντιμέτρων. Το κείμενο με τα αντίμετρα το οποίο χρησιμοποιήθηκε για την επίδειξη της μεθόδου είναι το ακόλουθο: 44 Η υλοποίηση της εν λόγω βάσης βέλτιστων πρακτικών, είναι εκτός του εύρους της παρούσας έρευνας. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 284

285 Use asymmetric algorithms for signatures. Use filters to restrict the level of access between internal and external hosts. Use filters to control which systems are permitted connections with the Internet. Passwords to be at least 6 characters long. Τέλος, το τελευταίο στοιχείο προς είσοδο στην εφαρμογή είναι η ίδια η οντολογία ασφάλειας. Μετά την τελική επεξεργασία των αντίμετρων απαιτείται η σύνδεση των απαιτήσεων ασφάλειας με το κατάλληλο στιγμιότυπο της οντολογίας με απώτερο σκοπό την πλήρωση του πεδίου Threats-CMs το οποίο αποτελεί πεδίο της τάξης Asset. Η οντολογία είναι προσπελάσιμη τόσο με την βοήθεια της προγραμματιστικής διεπαφής που παρέχει το Protégé, αλλά και της προγραμματιστικής διεπαφής (API) του OWL Plugin. Παρακάτω ακολουθεί ένα μέρος της οντολογίας που χρησιμοποιείται (παρουσιάζεται ένα μέρος της για λόγους οικονομίας χώρου). Η γραφική αποτύπωση της οντολογίας (Εικόνα 6.7) προέκυψε από την χρήση ενός επιπλέον plugin του Protégé, του OWLViz. Η μέθοδος τυπικής αποτύπωσης. αναλύεται στην επόμενη παράγραφο. Εικόνα 6.7: Γραφική Απεικόνιση της Οντολογίας Ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 285

286 6.9.2 Λεκτική Ανάλυση των Αντιμέτρων Υψηλού Επιπέδου Στο σημείο αυτό παρουσιάζεται η μέθοδος καθώς και τα βασικά αλγοριθμικά βήματα τα οποία ακολουθήθηκαν με σκοπό την πλήρωση της οντολογίας. Η όλη διαδικασία στηρίχθηκε σε τεχνικές επεξεργασίας φυσικής γλώσσας [Tsoumas et al., 2006b], [Παπαγιαννακόπουλος, 2004]. Το εργαλείο που χρησιμοποιήθηκε είναι το GATE [Cunningham et al., 2002], [Cunningham et al., 2006]. Όπως ήδη έχει αναφερθεί και στην περιγραφή του εργαλείου (ενότητα ), το GATE προσφέρει μία ενσωματωμένη σειρά Υπολογιστικών Οντοτήτων (Processing Resources, PRs) για επεξεργασία φυσικής γλώσσας, το ΑΝΝΙΕ. Τα υπολογιστικά στοιχεία αυτά υποστηρίζουν την ανάλυση της εισόδου έτσι ώστε να γίνει δυνατός ο εντοπισμός των σημαντικών παραμέτρων των απαιτήσεων ασφάλειας, που περιγράφονται παρακάτω. Αναγνώριση λέξεων/φράσεων με κοινές ιδιότητες: Ένα από τα πρώτα στάδια του ANNIE είναι ο Gazetteer. Ο τελευταίος περιέχει αρχεία τα οποία με την σειρά τους περιέχουν λίστες από λέξεις / φράσεις (για συντομία λέξεις στα επόμενα), μία ανά γραμμή. Το κάθε αρχείο αντιπροσωπεύει ένα σύνολο από ονόματα, πόλεις, επαγγέλματα κ.α. Όταν μία λέξη αναγνωριστεί από τον Gazetteer στο κείμενο, υπομνηματίζεται (annotated) με ένα προκαθορισμένο χαρακτηρισμό (Lookup) καθώς και με δύο επιπλέον χαρακτηριστικά όπου αυτά έχουν οριστεί. Τα τελευταία αποτελούν τον «μέγιστο τύπο» και τον «ελάχιστο τύπο» (majortype and minortype) της εκάστοτε λέξης. Οι τύποι αυτοί χρησιμοποιούνται για την περαιτέρω επεξεργασία των λέξεων αυτών καθώς και τον τελικό υπομνηματισμό τους σε σύνολα Πόλεων, Οργανισμών, Επαγγελμάτων κ.α. Στην μέθοδο που παρουσιάζεται το πρώτο στάδιο ήταν η δημιουργία τέτοιων αρχείων τα οποία θα περιγράφουν κοινές έννοιες (και που ουσιαστικά αποτελούν το λεξιλόγιο της ΟΑ). Εξετάζοντας τα αντίμετρα εισόδου, παρατηρούμε ότι υπάρχουν λέξεις που μας παραπέμπουν σε συγκεκριμένες κατηγορίες αντιμέτρων όπως για παράδειγμα η λέξη firewall (τείχος προστασίας), η οποία φανερώνει την κατηγορία που ανήκει το αντίμετρο. Ο Gazetteer βοηθά στην κατηγοριοποίηση του αντίμετρου (λ.χ. αν αναγνωριστεί η λέξη firewall μέσα στο αντίμετρο τότε αυτό κατά ένα μεγάλο ποσοστό ανήκει στην κατηγορία «Network Access Controls» με υποκατηγορία «Firewalls»). Τόσο οι κατηγορίες όσο και οι υποκατηγορίες των αντιμέτρων ακολουθούν την ταξινομία της CRAMM. Συνεπώς Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 286

287 μέσω αυτής της διαδικασίας αναγνώρισης λέξεων κλειδιών είναι δυνατή η κατηγοριοποίηση του αντίμετρου (σ.σ. χαρακτηριστικό CM_Group από την δομή του αντίμετρου όπως αυτή παρουσιάστηκε στην ενότητα 6.5). Στο Παράρτημα V παρουσιάζονται όλες τα αρχεία που δέχεται σαν είσοδο ο Gazetteer και τα οποία ορίστηκαν με σκοπό την αναγνώριση λέξεων ή φράσεων με κοινές ιδιότητες. Ο εντοπισμός αυτών των σημαντικών εννοιών υποβοηθά πολύ την ανάλυση γιατί είναι δυνατό να εφαρμοστούν περαιτέρω σημασιολογικοί κανόνες. Στόχος: Το επόμενο στάδιο είναι η εύρεση του πεδίου Στόχος (Target, βλ. δομή αντίμετρου, ενότητα 6.5). Παρόμοια με το προηγούμενο στάδιο, μέσω λεκτικής αναζήτησης, προσπαθούμε να αναγνωρίσουμε λέξεις κλειδιά οι οποίες θα φανερώνουν τον πόρο στον οποίο θα εφαρμοστεί το αντίμετρο. Έτσι για παράδειγμα στην εύρεση λέξεων ή και φράσεων όπως server, application server κ.τ.λ., είναι πολύ πιθανό το αντίμετρο να εφαρμόζεται σε όλα τα στιγμιότυπα της κλάσης Server (ή μόνο σε αυτά της κλάσης Application Server αν αναγνωριστεί η φράση application server ). Ταυτόχρονα απαιτείται ο ευρύτερος έλεγχος του πλαισίου στο οποίο γίνονται αναφορές σε τέτοιες λέξεις/φράσεις για να επιλυθούν προβλήματα πολυπλοκότητας και ασάφειας όπως για παράδειγμα η αναφορά τόσο σε server όσο και σε clients. Σε προτάσεις αυτού του είδους απαιτείται περαιτέρω επεξεργασία και αναγνώριση κατά το δυνατόν των συμφραζομένων (context) της πρότασης για την τελική εξαγωγή του αντικειμένου εφαρμογής του αντίμετρου. Ενέργεια, Υποκείμενο και Περιορισμοί: Για τον εντοπισμό αυτών των στοιχείων, υιοθετείται η ανάλυση με χρήση προτύπων γραφής (patterns), των αντιμέτρων. Μελετώντας τα αντίμετρα, παρατηρείται ότι είναι δυνατή η κατηγοριοποίηση αυτών με βάση την δομή της πρότασης. Για παράδειγμα οι προτάσεις: «Passwords to be changed at least once every 12 months» «Passwords to be at least 6 characters long» έχουν μία κοινή δομή. Ξεκινούν με ένα ουσιαστικό (noun), το οποίο είναι και ο στόχος του αντίμετρου και συνεχίζουν με την λέξη «to» ακολουθούμενη από ένα ρήμα καθώς και κάποιες παραμέτρους. Στο άνωθεν παράδειγμα, η ενέργεια που πρέπει να αποτυπωθεί Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 287

288 συνάγεται από το ρήμα ( change )και έπειτα από τα συμφραζόμενα ( to be at least 6 characters long ), ενώ ο Στόχος είναι το Συνθηματικό (Passwords). Με χρήση ευρετικών μηχανισμών και χρήση των συμφραζομένων και του περιβάλλοντος του ΠΣ μπορούμε να συμπεράνουμε ότι τα συνθηματικά αφορούν υπολογιστές και συνεπώς ο Στόχος είναι όλα τα συνθηματικά με τα οποία παρέχεται πρόσβαση σε υπηρεσίες και πόρους, δηλ. σε όλους τους υπολογιστικούς πόρους ΤΠΕ. Το ίδιο ισχύει και για το ΕΕΑ (Εύρος Εφαρμογής Αντιμέτρου), δηλ. το σύνολο των πόρων που θα εφαρμοστεί το αντίμετρο. Η εύρεση των προτύπων πραγματοποιείται με την βοήθεια του POS Tagger, που είναι μια Υπολογιστική Οντότητα του ANNIE. Σαν είσοδό του έχει μία βάση με λέξεις καθώς και την πληροφορία του μέρους του λόγου που ανήκει η κάθε λέξη (ουσιαστικό, ρήμα, ). Κατά την εκτέλεσή του αποθηκεύεται το μέρος του λόγου της κάθε λέξης σαν χαρακτηριστικό αυτής. Σε περίπτωση που μία λέξη μπορεί να είναι παραπάνω από ένα μέρος του λόγου, χρησιμοποιούνται πρότυπα (patterns) για να αναγνωρίσει τελικά τις ιδιότητες της εκάστοτε λέξης. Παράδειγμα τέτοιας λέξης είναι η λέξη use, η οποία μπορεί να είναι ουσιαστικό ή ρήμα. Σε περίπτωση εύρεσης της φράσης «the use of» τότε βάσει του προτύπου <the> <verb> <of>, μπορεί να συμπεράνει ότι είναι ουσιαστικό. Στη συνέχεια παρουσιάζονται τα λεκτικά πρότυπα τα οποία χρησιμοποιούνται για την εξαγωγή της γνώσης των παραπάνω πληροφοριών καθώς και το χειρισμό του κάθε προτύπου. Πρότυπο 1: <Noun> <to> <Verb> <Something> Στην περίπτωση αυτή ο Στόχος είναι το ουσιαστικό (noun) και η Ενέργεια είναι το υπόλοιπο μέρος του αντίμετρου («<to> <Verb> <Something>»). Ο Στόχος μπορεί όμως να έχει οριστεί και από τον Gazetteer, στην προηγούμενη φάση. Σε αυτή την περίπτωση τα δύο αντικείμενα εφαρμογής που βρέθηκαν συνδυάζονται για να προκύψει ένας πιο ακριβής Στόχος. Τόσο το Υποκείμενο (Subject) όσο και οι Περιορισμοί (Constraints) θεωρούνται τα προκαθορισμένα (βλ. ενότητα 6.7.2). Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 288

289 Πρότυπο 2: <Verb> <Something> <Preposition (πρόθεση)> <Something> Σε αυτή την περίπτωση η Ενέργεια του αντίμετρου εκφράζεται σαν το «<Verb> <Something>». Επίσης, όσον αφορά στο Υποκείμενο που θα εκτελέσει το αντίμετρο καθώς και στους Περιορισμούς που μπορεί να έχει το αντίμετρο, το προαναφερθέν πρότυπο δεν φανερώνει κάτι τέτοιο, οπότε και θεωρείται ότι οι δύο αυτές ιδιότητες προσλαμβάνουν τις προκαθορισμένες τιμές. Πρότυπο 3: <Verb> <Something> <to> <Something> <Preposition (πρόθεση)><something> Το συγκεκριμένο πρότυπο, είναι ίσως και το πιο δύσκολο από τα εξεταζόμενα. Στην συγκεκριμένη περίπτωση η Ενέργεια θα είναι «<Verb> <Something>» και το Υποκείμενο το προκαθορισμένο. Όμως στην συγκεκριμένη περίπτωση υπάρχει άλλη μία πρόθεση στην πρόταση εκτός από την λέξη <to>. Η τελευταία τις περισσότερες φορές χρησιμοποιείται για να υποδηλώσει κάποιο περιορισμό στην εφαρμογή του αντιμέτρου. Για παράδειγμα μία πρόταση η οποία εμπίπτει στον κανόνα αυτό είναι η «Use filters to restrict the level of access between internal and external hosts». Η Ενέργεια «Use filters» δεν πρέπει να εφαρμοστεί σε όλους τους υπολογιστικούς πόρους αλλά μόνο σε εκείνους οι οποίοι συνδέονται με εξωτερικά συστήματα. Ακόμη πιο εξειδικευμένα, εγκατάσταση φίλτρων απαιτείται μόνο στους δρομολογητές εκείνους που δρομολογούν συνδέσεις μεταξύ εσωτερικών και εξωτερικών κόμβων. Άρα λοιπόν ο Περιορισμός σε αυτές τις περιπτώσεις είναι το <Preposition (πρόθεση)><something>. Το τελευταίο πρότυπο που αναφέρθηκε παρουσιάζει μερικές ιδιαιτερότητες. Υπάρχουν περιπτώσεις στις οποίες το λήμμα <Preposition (πρόθεση)> χρησιμοποιείται απλά για διευκρινήσεις στην φράση <Something> που ακολουθεί την λέξη <to>. Σε αυτές τις περιπτώσεις δεν υπάρχει κανένας περιορισμός και ως εκ τούτου πρέπει να υπάρξει ένα διαχωρισμός μεταξύ των δύο περιπτώσεων. Μια πρόθεση που τις περισσότερες φορές, αν όχι όλες, υποδηλώνει κάποιο περιορισμό, είναι η λέξη between. Συνεπώς το παραπάνω Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 289

290 πρότυπο εκλεπτύνεται περισσότερο και χωρίζεται σε δύο πρότυπα [Παπαγιαννακόπουλος, 2004]. Το πρώτο παραμένει το ίδιο με την μόνη διαφορά ότι ορίζεται μία λίστα από προθέσεις η οποία υποδηλώνει ύπαρξη περιορισμού και το δεύτερο το οποίο δεν ελέγχει την ύπαρξη πρόθεσης μιας και αυτή απλά διευκρινίζει προηγούμενες έννοιες. Σχηματικά λοιπόν είναι το επιπλέον πρότυπο έχει ως εξής: Πρότυπο 4: <Verb> <Something> <to> <Something> <Λίστα από προθέσεις><something> και <Verb> <Something> <to> <Something> όπου στην «λίστα από προθέσεις» περιλαμβάνεται η λέξη between. Αξίζει να σημειωθεί ότι τα συγκεκριμένα πρότυπα είναι απλά ένα δείγμα από το σύνολο των προτύπων που πιθανά να υπάρχουν και προκύπτουν από την εμπειρική μελέτη του συνόλου των αντιμέτρων. Το αρχείο των αντιμέτρων ( countermeasures.txt, βλ. Παράρτημα V) περιέχει αντιπροσωπευτικά δείγματα από κάθε πρότυπο έτσι ώστε να γίνει πιο κατανοητή η εφαρμογή των προτύπων στο κείμενο των αντιμέτρων. Στην επόμενη παράγραφο, τα παραπάνω πρότυπα εφαρμόζονται στο αρχείο των αντιμέτρων προκειμένου να εξαχθεί η απαραίτητη γνώση μέσω τον κανόνων που ορίστηκαν παραπάνω. Ο πηγαίος κώδικας σε Java ο οποίος υλοποιεί τα προαναφερθέντα είναι διαθέσιμος Εκτέλεση και Προσδιορισμός Απαιτήσεων Ασφάλειας Στην παρούσα ενότητα θα εφαρμοστούν οι τεχνικές που αναφέρθηκαν παραπάνω στα αντίμετρα υψηλού επιπέδου ανάλογα με εκείνα που παρουσιάστηκαν στην παράγραφο Υπάρχουν δύο βασικοί (και συμπληρωματικοί) τρόποι εργασίας, ένας μέσω του ολοκληρωμένου περιβάλλοντος GATE και της αντίστοιχης προγραμματιστικής διεπαφής (API). Μετά την εφαρμογή της μεθόδου θα παρουσιαστούν τα αποτελέσματα τα οποία προέκυψαν, τόσο στο γραφικό περιβάλλον του GATE όσο και στο περιβάλλον κονσόλας μέσω εκτέλεσης του προγράμματος σε JAVA που δημιουργήθηκε για τους σκοπούς της έρευνας και στηρίζεται στις κλήσεις API που παρέχει το GATE [Cunningham et al., 2002]. Στο γραφικό περιβάλλον δεν απεικονίζεται η εξαχθείσα γνώση για κάθε πεδίο, αφού αυτή Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 290

291 προκύπτει από την υλοποίηση στο περιβάλλον κονσόλας. Συγκεκριμένα στο γραφικό περιβάλλον παρουσιάζονται η Κατηγοριοποίηση Αντιμέτρου (CM_Group), οι πιθανοί Στόχοι (αντικείμενο εφαρμογής του αντίμετρου, Targets), καθώς και ένας χαρακτηρισμός της πρότασης σχετικά με το ποιο συντακτικό πρότυπο ακολουθεί έτσι ώστε να είναι δυνατή η επεξεργασία της από το πρόγραμμα που δημιουργήθηκε. Οι λέξεις / φράσεις οι οποίες δίνουν κάποιες ενδείξεις για την κατηγοριοποίηση του εκάστοτε αντιμέτρου, παρουσιάζονται στην Εικόνα 6.8 μέσω του GATE. Στο δεξί μέρος της εικόνας φαίνονται οι κατηγοριοποιήσεις των λέξεων και οι ετικέτες του υπομνηματισμού των φράσεων. Στο κάτω μέρος βρίσκεται το κείμενο, στο οποίο έχουν χωριστεί οι λέξεις / φράσεις ανάλογα με την επιλογή του κατάλληλου συνόλου υπομνηματισμού (στο δεξί μέρος του περιβάλλοντος) και τέλος πάνω από το κείμενο βρίσκονται λεπτομέρειες και επιπλέον χαρακτηριστικά για την κάθε λέξη / φράση που απεικονίζεται με διαφορετικό χρώμα, ανάλογα πάλι με το σύνολο υπομνηματισμού που έχει επιλεγεί. Εικόνα 6.8: Εντοπισμός ιδιότητας «Κατηγοριοποίηση Αντιμέτρου» (CM_Group/ CM_SubGroup) Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 291

292 Εντοπισμός Ομάδας / Υπο-Ομάδας Αντίμετρου: Τα επιπλέον χαρακτηριστικά που ορίστηκαν είναι η Ομάδα Αντιμέτρου (CM_Group) στο οποίο ανήκει το αντίμετρο (μέσω του majort=networkaccesscontrol) καθώς και η Υπο-Ομάδα Αντιμέτρου (CM_SubGroup) αυτού, όπου αυτό έχει οριστεί (μέσω του minort=firewalls). Παρατηρείται λοιπόν (Εικόνα 6.8) ότι για την φράση asymmetric algorithms το σύστημα κατηγοριοποίησε την λέξη ως Message Security με υποκατηγορία Delivery Checking, την λέξη filters ως NetworkAccessControl με υποκατηγορία Firewalls, τη λέξη Passwords ως Identification and Authentication και τέλος την λέξη long ως Identification and Authentication με υποκατηγορία Password Length (με έλεγχο των συμφραζομένων του κειμένου στο οποίο βρέθηκε η λέξη). Οι παρατηρήσεις αυτές θα είναι χρήσιμες στη συνέχεια όπου βάσει αυτών θα είναι εφικτή η πλήρωση του πεδίου CM_Group (δομή αντίμετρου) σε περισσότερα αντίμετρα. Εντοπισμός Στόχου και ΕΕΑ του Αντίμετρου: η αναζήτηση του Στόχου (ο πόρος στον οποίο θα εφαρμοστεί το αντίμετρο) και του ΕΕΑ (Εύρος Εφαρμογής του Αντίμετρου) είναι δυο λειτουργίες που σχετίζονται άμεσα. Οι λέξεις οι οποίες είναι πιθανό να οδηγήσουν σε ένα συμπέρασμα σχετικά με τον στόχο του αντίμετρου, υπομνηματίζονται σαν Target (Εικόνα 6.9). Μια άλλη σημαντική ιδιότητα αποτελεί το γνώρισμα kind, το οποίο δίνει ενδείξεις για το σύνολο των πόρων που τελικά θα εφαρμοστεί το αντίμετρο ουσιαστικά το γνώρισμα kind ταυτίζεται με το ΕΕΑ. Έτσι οι λέξεις που έχουν αναγνωριστεί ως πιθανοί στόχοι (targets) με το αντίστοιχο γνώρισμα ΕΕΑ είναι οι εξής (Πίνακας 6.2): Πιθανός Στόχος Asymmetric Algorithms Filters Passwords Hosts Long Πίνακας 6.2: Αντιστοιχία πιθανών Στόχων - ΕΕΑ ΕΕΑ Data AllSystems AllSystems Clients AllSystems Αξίζει να σημειωθεί ότι ενώ η λέξη passwords θεωρητικά παραπέμπει σε πρόσβαση Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 292

293 δεδομένων (data access), εντούτοις αποτελεί μία ρύθμιση των εφαρμογών λογισμικού 45 των οποίων είναι επιθυμητή η προστασία με στοιχειώδεις μηχανισμούς πρόσβασης. Έτσι σε περίπτωση αναγνώρισης τέτοιου ειδών λέξεων / φράσεων το αντικείμενο εφαρμογής της οντολογίας θα είναι όλες οι εφαρμογές λογισμικού που απαιτούν ταυτοποίηση και αυθεντικοποίηση για πρόσβαση στις εκάστοτε λειτουργίες τους. Επιπρόσθετα, κατά την υλοποίηση της μεθόδου χάριν της απλότητας έγινε η παραδοχή ότι η εφαρμογή τυχόν αναχωμάτων / τειχών προστασίας (firewalls) μπορεί να γίνει σε οποιοδήποτε μηχάνημα και όχι αποκλειστικά σε δρομολογητές (ή γενικότερα σε συσκευές ελέγχου δικτυακής πρόσβασης). Για τον λόγο αυτό σε πιθανή εύρεση λέξεων που να υποδηλώνουν ύπαρξη firewall, υποθέτουμε ότι το αντίμετρο έχει εφαρμογή σε όλα τα συστήματα (kind=allsystems). 45 Θεωρείται ότι η πρόσβαση στις μηχανές του ΠΣ και στις κονσόλες διαχείρισης των εφαρμογών υποδομής (όπως οι βάσεις δεδομένων) γίνεται μέσω του λειτουργικού τους συστήματος ή του αντίστοιχης διεπαφής σε διαχειριστικές λειτουργίες σε κάθε περίπτωση, τα εν λόγω κελύφη / διεπαφές θεωρούνται (και είναι) λογισμικό. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 293

294 Εικόνα 6.9: Εντοπισμός Ιδιότητας «Στόχος Αντιμέτρου» (Target) Εντοπισμός Λεκτικού Προτύπου του Αντίμετρου (Pattern): Κατά την εκτέλεση των Υπολογιστικών οντοτήτων που διαθέτει το ANNIE, ένα ακόμα στοιχείο το οποίο παρουσιάζει ενδιαφέρον είναι ο χαρακτηρισμός του Λεκτικού Προτύπου (Pattern). Η κάθε πρόταση με βάση τη δομή της, χαρακτηρίζεται ανάλογα έτσι ώστε στην μετέπειτα επεξεργασία από τον κώδικα που αναπτύχθηκε να μπορέσουμε από κάθε πρόταση να εξάγουμε την κάθε απαραίτητη πληροφορία. Έτσι λοιπόν, όπως φαίνεται και στην Εικόνα 6.10 κάτω από τον υπομνηματισμό Pattern υπάρχει ένα επιπλέον πεδίο, το Pattern.kind το οποίο λαμβάνει αριθμητικές τιμές, ανάλογα με το πρότυπο που έχει αντιστοιχιστεί στον κάθε αριθμό. Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 294

295 Εικόνα 6.10: Εντοπισμός του Λεκτικού Προτύπου του Αντίμετρου Στη συνέχεια, η εξέταση του πεδίου αυτού κατηγοριοποιεί το συγκεκριμένο αντίμετρο σε κάποιο λεκτικό πρότυπο έτσι ώστε να διευκολυνθεί η εξαγωγή συμπερασμάτων κατά τη συζήτηση στην ενότητα O Πίνακας 6.3 καταγράφει τις αντιστοιχίσεις των αντιμέτρων με τα λεκτικά πρότυπα που έχουν εντοπιστεί [Παπαγιαννακόπουλος, 2004]. Πίνακας 6.3: Αντιστοίχηση Αντιμέτρων με Αναγνωριστικά Λεκτικών Προτύπων Αντιμέτρων Αναγνωριστικό No Λεκτικό Πρότυπο Γραφής Αντιμέτρου (Pattern) 1 <Verb> <Something> <Preposition (πρόθεση)> <Something> 2 <Verb> <Something> <to> <Something> 3 <Verb> <Something> <to> <Something> <Λίστα από προθέσεις> <Something> Οικονομικό Πανεπιστήμιο Αθηνών Σελ. 295