Ασφάλεια ικτύων και Ηλεκτρονικών Συναλλαγών

Transcript

1 DERN - Ασφάλεια ικτύων και Ηλεκτρονικών Συναλλαγών Εισαγωγικές Έννοιες DERN - Περιεχόμενα Βασικοί Ορισμοί Ασφάλειας Ασφάλεια Πληροφοριακού Συστήματος Απαιτήσεις για Ασφάλεια Απειλές και η Αντιμετώπιση τους Γενικό Πλαίσιο Ασφάλειας Πολιτικές και ιαδικασίες Ασφάλειας Σχεδιασμός Συνέχειας και Ανάκαμψης 2 1

2 DERN - Τι είναι Ασφάλεια; Security Safety Insurance = Ασφάλεια Assurance Digital Police Enterprise Research Network Fuse 3 DERN - Ορισμοί της Ασφάλειας Η κατάσταση στην οποία δεν υπάρχουν κίνδυνοι, όπου αισθάνεται κανείς ότι δεν απειλείται Η αποτροπή κινδύνου ή απειλής, ηεξασφάλιση σιγουριάς και βεβαιότητας Υπηρεσία Digital της Enterprise Αστυνομίας Research Network Ηλεκτρική διάταξη που αποτρέπει πιθανά ατυχήματα Μηχανισμός στην πόρτα αυτοκινήτου Συμφωνία μεταξύ ασφαλιστικής εταιρείας και πελάτη Ιατροφαρμακευτική περίθαλψη 4 2

3 DERN - Πρακτική προσέγγιση Ασφάλειας Η προστασία των αγαθών Μέτρα προστασίας Πρόληψης (prevention) Ανίχνευσης (detection) Αποκατάστασης (recovery) Παραδείγματα Φυσική ασφάλεια του σπιτιού μας Ασφάλεια πιστωτικής κάρτας σε ηλεκτρονικές αγορές Ασφάλεια ηλεκτρονικών συναλλαγών Πρακτικός Στόχος Ασφάλειας Τεχνολογίας Πληροφορίας και Επικοινωνιών (ΤΠΕ): Προστασία Επιχειρησιακών Λειτουργιών 5 DERN - Τεχνική προσέγγιση Ασφάλειας Ασφάλεια Τεχνολογίας Πληροφορίας και Επικοινωνιών (ΤΠΕ) (Information & Communication Technology Security ICT Security) Ασφάλεια Υπολογιστικών Συστημάτων και Εφαρμογών Ασφάλεια ικτύων και Υποδομών Ασφάλεια Πληροφοριών 6 3

4 DERN - Ασφάλεια Υπολογιστικών Συστημάτων και Εφαρμογών Η προστασία του υπολογιστικού συστήματος/ εφαρμογής και η ορθή λειτουργία του Η προστασία από μη εξουσιοδοτημένη πρόσβαση Κακόβουλη εκτέλεση εντολών Η προστασία από λανθασμένες ή κακόβουλες ενέργειες Η διαθεσιμότητα των συστημάτων/ εφαρμογών από λανθασμένη χρήση ή από την έλλειψη προσωπικού Η φυσική προστασία των συστημάτων 7 DERN - Ασφάλεια Υπολογιστικών ικτύων και Υποδομών Προστασία από μη εξουσιοδοτημένη λογική πρόσβαση Προστασία από τροποποίηση της διάρθρωσης του συστήματος Προστασία από κακόβουλη ή λανθασμένη χρήση Προστασία από διακοπή λειτουργίας Φυσική προστασία των υπολογιστικών συστημάτων 8 4

5 DERN - Ασφάλεια ικτύων και Υποδομών Προστασία από μη εξουσιοδοτημένη λογική πρόσβαση σε ένα δίκτυο Προστασία από παράκαμψη ή τροποποίηση των κανόνων δρομολόγησης στο δίκτυο, Προστασία Digital από Enterprise παρακολούθηση Research τουnetwork μέσου επικοινωνίας ιακοπή της επικοινωνίας Φυσική προστασία των υποδομών επικοινωνίας 9 DERN - Ασφάλεια Πληροφοριών Προστασία των δεδομένων ως προς την Εμπιστευτικότητα (confidentiality) Η αποφυγή μη εξουσιοδοτημένης αποκάλυψης της πληροφορίας Ακεραιότητα (integrity) Digital πληροφορίας Enterprise Research Network ιαθεσιμότητα (availability) Η αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας Η αποφυγή μη εξουσιοδοτημένης προσωρινής ή μόνιμης παρακράτησης μιας πληροφορίας 10 5

6 DERN - Ασφάλεια ΤΠΕ ΑΣΦΑΛΕΙΑ ΤΠΕ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΙΚΤΥΩΝ ΚΑΙ ΥΠΟ ΟΜΩΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΙΑΘΕΣΙΜΟΤΗΤΑ ΙΑΘΕΣΙΜΟΤΗΤΑ 11 DERN - Ιδιότητες Ασφάλειας ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΚΕΡΑΙΡΟΤΗΤΑ ΙΑΘΕΣΙΜΟΤΗΤΑ ΑΥΘΕΝΤΙΚΟΤΗΤΑ ΠΗΓΗΣ / ΠΡΟΟΡΙΣΜΟΥ ΑΚΕΡΑΙΟΤΗΤΑ Ε ΟΜΕΝΩΝ ΜΗ ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΗΣ 12 6

7 DERN - Σκοπός ΤΠΕ Υποστήριξη επιχειρησιακών λειτουργιών ενός οργανισμού Παραδείγματα Μια τράπεζα Digital Ένας δημόσιος Enterprise οργανισμός Research Network Μία βιομηχανική μονάδα Πρακτικός στόχος Ασφάλειας ΤΠΕ Επαρκής προστασία επιχειρηματικών λειτουργιών Επειδή ασφάλεια ΤΠΕ συνεπάγεται κόστος, οι ΤΠΕ προστατεύονται ανάλογα με την κρισιμότητα των επιχειρησιακών λειτουργιών που υποστηρίζουν 13 DERN - Κύκλος Ζωής Ασφάλειας ΤΠΕ 14 7

8 DERN - ιαχείριση Ασφάλειας (Security Management) 1/2 Ανάλυση απαιτήσεων ασφάλειας των ΤΠΕ συστημάτων, εφαρμογών, υποδομών και πληροφοριών Digital Enterprise ενός οργανισμού Research Network Εντοπισμός των ευαίσθητων από πλευράς ασφάλειας σημείων ανάλογα με βαθμό κρισιμότητας των επιχειρηματικών λειτουργιών που υποστηρίζουν Καθορισμός των γενικών κατευθύνσεων και της στρατηγικής ασφάλειας του οργανισμού για την επαρκή προστασία των ΤΠΕ. 15 DERN - ιαχείριση Ασφάλειας (Security Management) 2/2 Στη φάση της ιαχείρισης της Ασφάλειας ανήκουν δραστηριότητες όπως: 1. ιενέργεια Ανάλυσης και Αποτίμησης Κινδύνου (Risk Analysis and Risk Assessment) 2. Σύνταξη Πολιτικής Ασφάλειας (Security Policy) 3. Σύνταξη Σχεδίου Συνέχειας Λειτουργιών (Business Continuity Plan) 4. Σύνταξη Σχεδίου Ανάκαμψης Συστημάτων (Disaster Recovery Plan) 16 8

9 DERN - Σχεδιασμός και Αρχιτεκτονική Ασφάλειας (Security Design and Architecture) 1/2 Σχεδιασμός και προδιαγραφές τεχνικών ή άλλων λύσεων που απαιτούνται για την τεχνική υλοποίηση των απαιτήσεων ασφάλειας. Σχεδιασμός της αρχιτεκτονικής ασφάλειας του δικτύου τοπολογία του δικτύου καθορισμός των σημείων εισόδου και εξόδου σχεδιασμός του ελέγχου πρόσβασης διαχωρισμός του δικτύου σε εικονικά ιδιωτικά δίκτυα (VPN) ή ανεξάρτητες ζώνες 17 DERN - Σχεδιασμός και Αρχιτεκτονική Ασφάλειας (Security Design and Architecture) 2/2 Καθορισμός προδιαγραφών του δικτυακού και λοιπού εξοπλισμού ασφάλειας, όπως: Firewall, ρομολογητές, Σημεία ασύρματης πρόσβασης, Modem, Υποδομές διαχείρισης κρυπτογραφικών κλειδιών 18 9

10 DERN - Κύκλος Ζωής Ασφάλειας ΤΠΕ 19 DERN - Υλοποίηση Μέτρων Ασφάλειας (Security Implementation) 1/2 Σε αυτή τη φάση θα πρέπει να υλοποιηθούν, εγκατασταθούν, τεθούν σε λειτουργία οι τεχνικές Digital ή άλλης Enterprise μορφής Research λύσεις που Network έχουν επιλεγεί στην προηγούμενη φάση ηλαδή θα γίνει η εγκατάσταση του απαιτούμενου εξοπλισμού, θα πραγματοποιηθούν οι κατάλληλες τροποποιήσεις στο δίκτυο, και τα συστήματα, θα τροποποιηθούν τα αρχεία διαμόρφωσης κτλ

11 DERN - Υλοποίηση Μέτρων Ασφάλειας (Security Implementation) 2/2 Εδώ περιλαμβάνονται εργασίες όπως: η εγκατάσταση και παραμετροποίηση των firewall και των συστημάτων ανίχνευσης εισβολών (IDS), η παραμετροποίηση των εφαρμογών, ηdigital διαμόρφωση Enterprise των χρηστών Research και των δικαιωμάτων Networkπρόσβασης των λειτουργικών συστημάτων, η εγκατάσταση των κρυπτογραφικών μηχανισμών και υποδομών κλειδιού κτλ. 21 DERN - Κύκλος Ζωής Ασφάλειας ΤΠΕ 22 11

12 DERN - Παρακολούθηση Ασφάλειας (Security Monitoring) Περιλαμβάνει εργασίες όπως: την παρακολούθηση αρχείων καταγραφής (log files) την παρακολούθηση των εξειδικευμένων μηχανισμών εντοπισμού πιθανών προβλημάτων ασφάλειας όπως firewall alerts, Digital IDS, Enterprise Research Network anti-virus κτλ την παρακολούθηση της τακτικής ανανέωσης / ενημέρωσης αυτών των εφαρμογών και συστημάτων, κανόνων πρόσβασης του firewall, IDS ενημέρωση του anti-virus server, IDS, κτλ. 23 DERN - Κύκλος Ζωής Ασφάλειας ΤΠΕ 24 12

13 DERN - Επιβεβαίωση και Αναθεώρηση Ασφάλειας (Security Assurance) 1/2 Στο στάδιο αυτό πραγματοποιούνται έλεγχοι για: την διασφάλιση της πλήρους και ορθής εφαρμογής των επιλεγμένων μέτρων τηςαποτελεσματικότηταςτωνμέτρωννααντιμετωπίσουντα πραγματικά Digital Enterprise και πιθανώς μεταβαλλόμενα Research Network προβλήματα ασφάλειας Οι έλεγχοι αυτοί μπορεί να είναι εσωτερικοί (internal audits) ή εξωτερικοί έλεγχοι από ανεξάρτητους φορείς (external or independent audits) 25 DERN - Επιβεβαίωση και Αναθεώρηση Ασφάλειας (Security Assurance) 2/2 Η διεξαγωγή των ελέγχων μπορεί να στηρίζεται σε ερωτηματολόγια ελέγχου (checklists) ή/και σε τεχνικούς ελέγχους Penetration tests κτλ. Ανάλογα Digital με Enterprise τα αποτελέσματα Research των ελέγχων Network ενδέχεται να προκύψει η ανάγκη για επανεξέταση των ευαίσθητων σημείων και της ακολουθούμενης στρατηγικής ασφάλειας. Ο έλεγχος της αναθεώρησης θα πρέπει να πραγματοποιείται ανεξάρτητα από το εάν θα γίνουν τελικά οι αλλαγές ή όχι

14 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ -1/8 Αγαθό (Asset) Κάθε αντικείμενο ή πόρος το οποίο αξίζει να προστατευθεί Φυσικά Αγαθά (Physical Assets): Κτίρια, Υπολογιστές, ικτυακή Υποδομή, Έπιπλα, κτλ Αγαθά εδομένων (Data Assets): Αρχεία (ηλεκτρονικά, έντυπα) Αγαθά Λογισμικού (Software Assets): Λογισμικό Εφαρμογών, Λειτουργικά Συστήματα, κτλ 27 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ 2/8 Συνέπεια (Impact) Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού Άμεσες Συνέπειες π.χ. Kόστος επαναγοράς και διαμόρφωσης Έμμεσες Συνέπειες π.χ. Πρόκληση δυσφήμησης Νομικές συνέπειες Απώλειες από διακοπή ή παρεμπόδιση λειτουργιών Κοινωνικές συνέπειες 28 14

15 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ 3/8 Απειλή (Threat) Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό Φυσικές Απειλές: Φωτιά, Σεισμός, Πλημμύρα, Ανθρώπινες Εσκεμμένες: Κλοπή, Βανδαλισμός, Αλλοίωση, Digital Αποκάλυψη Enterprise ΠληροφορίαςResearch Network Ανθρώπινες Τυχαίες: Κακή χρήση πόρου, πρόκληση ζημιάς, τυχαία αποκάλυψη πληροφορίας κτλ 29 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ 4/8 Αδυναμία (Vulnerability) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό σε κάποια απειλή, δηλαδή αυξάνουν την πιθανότητα εκδήλωσης της απειλής Π.χ: εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται, το Digital αρχείο έχει Enterprise μεγάλη αδυναμία Research στην απειλήnetwork της κλοπής Οτιδήποτε μεγιστοποιεί τις συνέπειες από την εκδήλωση μίας απειλής Π.χ: εάν δεν υπάρχει σύστημα αυτόματης πυρόσβεσης σε ένα χώρο, η συνέπειες από μία πιθανή πυρκαγιά θα είναι πολύ μεγάλες 30 15

16 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ 5/8 Ιδιοκτήτης αγαθού ή πληροφορίας (asset owner/ data owner / business process owner) ονομάζεται το φυσικό ή νομικό πρόσωπο που έχει την ευθύνη και αρμοδιότητα για τη σωστή χρήση του αγαθού. Π.χ. ο ιευθυντής Πληροφορικής είναι ο Ιδιοκτήτης των δεδομένων Digital που διαχειρίζεται Enterprise η ιεύθυνση Research Πληροφορικής Network Χρήστης Αγαθού (User) Το φυσικό πρόσωπο που επεξεργάζεται ένα αγαθό, με την καθοδήγηση και εξουσιοδότηση του Ιδιοκτήτη του αγαθού 31 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ 6/8 Μέτρο προστασίας (ή έλεγχος ασφάλειας) (safeguard, countermeasure) Οι ενέργειες οι οποίες περιορίζουν τον κίνδυνο να υποστεί ζημιά ένα αγαθό Προληπτικά (preventive): στοχεύουν στο να αποτρέψουν διάφορους κινδύνους από το να προσβάλουν τα αγαθά. Π.χ, η χρήση ενός συστήματος firewall σε ένα δίκτυο αποτρέπει τη μη εξουσιοδοτημένη είσοδο πακέτων σε ένα δίκτυο. Ανίχνευσης (detective): αποσκοπούν στο να εντοπίσουν την πηγή μίας προσβολής σε ένα αγαθό, εφόσον το αγαθό αυτό έχει προσβληθεί από κάποιο κίνδυνο. Για παράδειγμα, η χρήση ενός Συστήματος Ανίχνευσης Εισβολών (Intrusion Detection System IDS) σε ένα δίκτυο 32 16

17 DERN - Βασικοί όροι στην Ασφάλεια ΤΠΕ 7/8 Αποκατάστασης (recovery): στοχεύουν στο να μειώσουν τον απαιτούμενο χρόνο για την ανάκαμψη μετά από την εκδήλωση μίας προσβολής σε ένα αγαθό. Π.χ., η λήψη εφεδρικών αρχείων σε ένα υπολογιστικό σύστημα ελαχιστοποιεί τον χρόνο ανάκαμψης ενός συστήματος από μία πιθανή διακοπή λειτουργίας. Κόστος (cost) η οποιαδήποτε επιβάρυνση προκύπτει από τη χρήση ενός μέτρου προστασίας Ιδιότητα ή απαίτηση ασφάλειας (attribute) το συγκεκριμένο χαρακτηριστικό ενός αγαθού, το οποίο πρέπει να προστατευθεί Φυσική υπόσταση του αγαθού Μη αποκάλυψη του αγαθού Μη τροποποίηση του αγαθού Μη διαθεσιμότητα του αγαθού 33 DERN - Στόχος της Ασφάλειας Στόχος της ασφάλειας Ο αντικειμενικός σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού, να καθορίσει την επιθυμητή ισορροπία μεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά Κόστος Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόμενο Όφελος 34 17

18 DERN - Στόχος Ασφάλειας ΠΣ Συνέπειες παραβίασης ιατήρηση των ιδιοτήτων ασφάλειας σε αποδεκτό επίπεδο Περιοχή αποδεκτού κόστους Πιθανότητα παραβίασης 35 DERN - Λειτουργική Σύνδεση Όρων Ασφάλειας Απειλές εκμεταλλεύονται Αδυναμίες προστατεύουν από αυξάνουν αυξάνου ν εκθέτουν Μέτρα Ασφάλειας μειώνουν Κίνδυνοι Ασφάλειας Αγαθά ικανοποιούνται από προσδιορίζουν αυξάνουν έχουν Απαιτήσεις Ασφάλειας Αξία Αγαθών & Πιθανές Συνέπειες 36 18

19 DERN - Αξία Πληροφοριακού Συστήματος ΠΛΗΡΟΦΟΡΙΑΚΟ ΣΥΣΤΗΜΑ ΥΠΟΛΟΓΙΣΤΙΚΟ ΣΥΣΤΗΜΑ + ΠΛΗΡΟΦΟΡΙΕΣ Digital Enterprise Research ΑΝΘΡΩΠΙΝΟΙ Network ΠΟΡΟΙ ΠΕΡΙΒΑΛΛΟΝ ΚΑΙ ΣΚΟΠΟΣ + ΥΠΟΛΟΓΙΣΤΙΚΟ ΣΥΓΚΡΟΤΗΜΑ Ε ΟΜΕΝΑ + ΝΟΗΜΑ ΚΑΙ ΣΥΜΒΑΣΕΙΣ ΥΠΟΛΟΓΙΣΤΙΚΟΙ ΠΟΡΟΙ 37 DERN - Πως εκτιμάται η αξία της πληροφορίας; Επιχειρησιακή σημασία Επιπτώσεις αποκάλυψης Επιπτώσεις απώλειας / καταστροφής Επιπτώσεις τροποποίησης Επιπτώσεις μη διαθεσιμότητας Κόστος συλλογής, δημιουργίας ή συντήρησης Νομική ευθύνη Φήμη του οργανισμού Οικονομικό περιεχόμενο Κοινωνική σημασία 38 19

20 DERN - Σχέση Ιδιοκτήτη και Χρήστη Ι ΙΟΚΤΗΤΗΣ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΠΟΡΩΝ ΠΛΗΡΟΦΟΡΙΩΝ Digital Enterprise Research αποτελούν Network ίνει εν δίνει άδεια άδεια ΑΓΑΘΟ χρησιμοποιεί ΧΡΗΣΤΗΣ ΜΗ ΕΞΟΥΣΙΟ Ο- ΤΗΜΕΝΟΣ ΕΞΟΥΣΙΟ- ΟΤΗΜΕΝΟΣ 39 DERN - Απαιτήσεις για Ασφάλεια 1/3 Προσδιορισμός συγκεκριμένων απαιτήσεων ασφάλειας γιαταδεδομένατουσυστήματος αρχεία βάσεις δεδομένων στοιχεία προσωπικού Τα σημαντικότερα χαρακτηριστικά ασφάλειας είναι: Ακεραιότητα ιαθεσιμότητα Εμπιστευτικότητα 40 20

21 DERN - Απαιτήσεις για Ασφάλεια 2/3 Η Επικινδυνότητα ή ο Κίνδυνος (Risk) ενός ΠΣ ορίζεται ως συνάρτηση τριών παραγόντων, που είναι: 1. Οι Απειλές που αντιμετωπίζει το ΠΣ 2. οι πιθανές Αδυναμίες του και 3. οι Συνέπειες ή Επιπτώσεις που θα υπάρξουν από την πραγματοποίηση Digital Enterprise των Απειλών Research Network Η Ανάλυση Επικινδυνότητας αφορά τον προσδιορισμό του κινδύνου του ΠΣ και την εκτίμηση του μεγέθους του. Επιτρέπει την επιλογή των κατάλληλων μέτρων προστασίας. 41 DERN - Απαιτήσεις για Ασφάλεια 3/3 Προσδιορισμός Απειλών και Συνεπειών Απειλή Ασφάλειας Συνέπειες Αποκάλυψη πληροφορίας (Απώλεια Εμπιστευτικότητας) Απώλεια Εμπιστοσύνης, Νομικές Συνέπειες, Δυσφήμηση Παρακράτηση πληροφορίας ή υπηρεσίας (Μη Διαθεσιμότητα) Χαμηλή ποιότητα υπηρεσιών, Νομικές συνέπειες, Οικονομικές Συνέπειες Τροποποίηση πληροφορίας (Απώλεια Ακεραιότητας) Αποποίηση Ευθύνης Μη Καταγραφή Λανθασμένη Εξυπηρέτηση, Οικονομικές Απώλειες Οικονομικές Απώλειες, Έλλειψη Εμπιστοσύνης, Νομικές Συνέπειες Αδυναμία λήψης διοικητικών ή νομικών μέτρων 42 21

22 DERN - Απειλές και η Μέτρα Ασφάλειας 1/2 Φυσικές Απειλές (για το Υλικό) Θερμοκρασία και υγρασία Φωτιά Νερό Σεισμοί Ηλεκτρικά Digital προβλήματα Enterprise Research Network Φυσική πρόσβαση ατόμων Πρόσβασηαπότοδίκτυο Η/Μ ακτινοβολία 43 DERN - Απειλές και Μέτρα Ασφάλειας 2/2 Μη εξουσιοδοτημένη λογική πρόσβαση Πιθανά μέτρα Κωδικοί ασφαλείας (password) Κωδικοί μιας χρήσης (one-time password) Ψηφιακές Digital υπογραφές Enterprise και πιστοποιητικά Research Network Χρήση έξυπνων καρτών (κάτι που έχω) Βιομετρικές μέθοδοι (κάτι που είμαι) 44 22

23 DERN - Απειλές και Μέτρα Προστασίας 1/6 Μη διαθεσιμότητα (unavailability) Πιθανά μέτρα Εφεδρικά αρχεία (backup files) Συστήματα αυτοματοποιημένης λήψης εφεδρικών αρχείων (mirroring) Τεχνολογίες RAID Εφεδρικά συστήματα Συστοιχίες συστημάτων (server farms) 45 DERN - Απειλές και Μέτρα Προστασίας 2/6 Τροποποίηση δεδομένων ή συστημάτων Πιθανά μέτρα Εφεδρικά αρχεία (backup files) Χρήση μη τροποποιήσιμων μέσων αποθήκευσης (Write Once Read Many WORM) Κρυπτογραφικές λύσεις ελέγχου ακεραιότητας Συναρτήσεις Hashing (π.χ. MD5, SHA-1) Χρήση αρχείων καταγραφής (Log files) για έλεγχο τροποποιήσεων σε συστήματα 46 23

24 DERN - Απειλές και Μέτρα Προστασίας 3/6 Αποκάλυψη δεδομένων Πιθανά μέτρα Κρυπτογράφηση δεδομένων Συμμετρικοί αλγόριθμοι (π.χ. 3DES, AES) Digital Ασύμμετροι Enterprise αλγόριθμοι Research (π.χ. RSA, D-H) Network Έλεγχος πρόσβασης Υποχρεωτικός έλεγχος πρόσβασης (mandatory access control) ιακριτός έλεγχος πρόσβασης (discretionary access control) Έλεγχος πρόσβασης βασισμένος σε ρόλους (role based access control) 47 DERN - Απειλές και Μέτρα Προστασίας 4/6 Κακόβουλο λογισμικό (π.χ. virus, worms, Trojan horses, junk mail) Πιθανά μέτρα Antivirus Personal firewall Antispyware Antispam 48 24

25 DERN - Απειλές και Μέτρα Προστασίας 5/6 Παραβίαση επικοινωνίας Πιθανά μέτρα Έλεγχος Σύνδεσης Απεριόριστη σύνδεση Περιορισμένη (firewall) ιπλή και διαχωρισμένη σύνδεση Κρυπτογραφία Θέματα Παρόχων Προστασία των συστημάτων του παρόχου Προστασία των δεδομένων των χρηστών Αυθεντικοποίηση 49 DERN - Απειλές και Μέτρα Προστασίας 6/6 Ελλιπής Εκπαίδευση Χρηστών στην Ασφάλεια Πιθανά μέτρα Εκπαίδευση ενημέρωση χρηστών Γνώση Digital των υπευθύνων Enterprise τωνresearch πληροφοριακών Network συστημάτων Σύστημα έγκαιρης προειδοποίησης συνεργατών Περιοδικοί έλεγχοι 50 25

26 DERN - Γενικό πλαίσιο ασφάλειας 1/7 Προσδιορισμός των Στοιχείων του Συστήματος... Φυσικά αγαθά Υπολογιστές ίκτυο Μέσα αποθήκευσης Κτιριακές εγκαταστάσεις Άυλα αγαθά Φήμη Ηθικό συνεργατών Προστασία δικαιωμάτων χρηστών Προστασία απόρρητων προσωπικών δεδομένων 51 DERN - Γενικό πλαίσιο ασφάλειας 2/7...Προσδιορισμός των Στοιχείων του Συστήματος Αγαθά Λογισμικού Προγράμματα και τεκμηρίωσή τους Λογισμικό εφαρμογών Αγαθά εδομένων Λειτουργικά συστήματα και διαμόρφωσή τους Έντυπα αρχεία Ηλεκτρονικά αρχεία Βάσεις δεδομένων 52 26

27 DERN - Γενικό πλαίσιο ασφάλειας 3/7 Προσδιορισμός των Απειλών... Σκόπιμες, προερχόμενες από ανθρώπους Προσωποποίηση Εύρεση κωδικού Αδυναμίες δικτύου Αδυναμίες του λειτουργικού συστήματος Κακή χρήση των πόρων Μη εξουσιοδοτημένη ανάγνωση Προβληματικά προγράμματα Προσωποποίηση συστήματος Κλοπή Απάτη Βανδαλισμός Εμπρησμός Απεργία 53 DERN - Γενικό πλαίσιο ασφάλειας 4/7...Προσδιορισμός των Απειλών Μη Σκόπιμες (τυχαίες) από ανθρώπους Λανθασμένη εφαρμογή διαδικασιών συστήματος Λάθη προγραμμάτων Μη σκόπιμη αποκάλυψη δεδομένων Digital Μη σκόπιμη Enterprise καταστροφήresearch εξοπλισμού Network Φυσικές / περιβαλλοντικές Πλημμύρα Καταιγίδα Σεισμός Καύσωνας Κεραυνός Προβλήματα κλιματισμού Προβλήματα ηλεκτρικά 54 27

28 DERN - Γενικό πλαίσιο ασφάλειας 5/7 Συχνότητα και Αποτελέσματα των Απειλών Στατιστικές τεχνικές Αποτελέσματα ελέγχων Αποτίμηση υλικών και άυλων αγαθών 55 DERN - Γενικό πλαίσιο ασφάλειας 6/7 Αξιολόγηση και Έλεγχος των Υπαρχόντων Μέτρων Ασφάλειας Αποτίμηση Φυσικής Προστασίας Είσοδος στο κτίριο Έλεγχοι προσωπικού Κλειδωμένοι χώροι Χρήση ταυτοτήτων Αποτίμηση ιαδικασιών Υπάρχουν διαδικασίες αντιμετώπισης περιστατικών; Υπάρχει ομάδα αντιμετώπισης περιστατικών (incident response team); Υπάρχουν καθορισμένοι ρόλοι αντιμετώπισης περιστατικών; Γνωρίζει η ομάδα αντιμετώπισης περιστατικών ποια δεδομένα να καταγράψει και να ακολουθήσει; Πλασματικές οκιμές 56 28

29 DERN - Γενικό πλαίσιο ασφάλειας 7/7 Σχέδιο για Πρόσθετη Ασφάλεια Αποτίμηση αποτελεσματικότητας αντιμέτρων Καθορισμός προτεραιοτήτων Πολιτική Ασφάλειας ιαδικασίες Digital Ασφάλειας Enterprise Research Network 57 DERN - Πολιτικές και ιαδικασίες Ασφάλειας (1/4) Η Πολιτική Ασφάλειας καθορίζει σε γενικές γραμμές, τι επιτρέπεται και τι απαγορεύεται Σε μία εγκατάσταση ένα σύστημα μία εφαρμογή κτλ. Οι πολιτικές υπαγορεύουν μέτρα ασφάλειας Τα μέτρα ασφάλειας υλοποιούνται με μηχανισμούς ασφάλειας Σύνθεση πολιτικών Σε περίπτωση αντικρουόμενων πολιτικών, χρειάζεται μηχανισμός επίλυσης διαφορών 58 29

30 DERN - Πολιτικές και ιαδικασίες Ασφάλειας (2/4) Πολιτικές Ασφάλειας Παράμετροι Πόσο συγκεκριμένη θα είναι; Πόσο έλεγχο θα προσδιορίζει; Ποια είναι η κατάλληλη δομή; Θέματα Πολιτική αποδεκτής χρήσης (acceptable use policy) Πολιτική λογαριασμών χρηστών (user account policy) Πολιτική απομακρυσμένης χρήσης (remote access policy) Πολιτική προστασίας δεδομένων (data protection policy) Πολιτική για σύνδεση στο δίκτυο (network connection policy) Πολιτική για ειδική πρόσβαση (special access policy) 59 DERN - Πολιτικές και ιαδικασίες Ασφάλειας (3/4) Μοντέλα Εμπιστοσύνης Εμπιστοσύνη σε συστήματα Εμπιστοσύνη σε ανθρώπους Όλους πάντα Μερικούς κατά περίπτωση Αυτούς που απαιτείται και μόνο όσο απαιτείται Ανασκόπηση σε τακτά ιαστήματα Από τρίτο άτομο Ανασκόπηση των λόγων που οδήγησαν σε αποφάσεις Νομικές προεκτάσεις Χρήση εργαλείων Ενημέρωση σύμφωνα με νέα προβλήματα που ανακαλύφθηκαν 60 30

31 DERN - Πολιτικές και ιαδικασίες Ασφάλειας (4/4) ιαδικασίες ασφάλειας: Συγκεκριμένα βήματα που εκτελούνται από καθορισμένα άτομα ιαδικασία ελέγχου πρόσβασης ιαδικασία αντιμετώπισης περιστατικών Digital ιαδικασίαenterprise εγκατάστασηςresearch εξοπλισμούnetwork 61 DERN - Σχεδιασμός Συνέχειας και Ανάκαμψης Καταστροφές μη αναμενόμενα γεγονότα (π.χ. απειλές που εκδηλώθηκαν στο σύστημα) τα οποία προκαλούν διακοπή ή παρεμπόδιση λειτουργίας Σχεδιασμός Digital και Enterprise Ανάκαμψη Research Network Σχεδιασμός στρατηγικής ανάκαμψης συστημάτων Ανάλυση της ζημιάς Αντίδραση από το προσωπικό ασφαλείας Μετάβαση σε λειτουργία εναλλακτικής ανάγκης Αποκατάσταση της κανονικής λειτουργίας Στόχος: Επίτευξη Συνέχειας Λειτουργίας 62 31