Ασφάλεια Πληροφοριακών Συστημάτων Διάλεξη 5 η : Πολιτικές Ασφάλειας
Πληροφορικά Συστήματα και Απειλές Απειλή (threat): ο,τιδήποτε μπορεί να προκαλέσει βλάβη! Διαρρήκτης, ιός, σεισμός, απρόσεκτος χρήστης κτλ. Όχι απαραίτητα επιβλαβής εκτός εάν: Ευπάθεια (vulnerability): αδυναμία, ο,τιδήποτε δεν είναι προστατευμένο Ένας ξεκλείδωτο αυτοκίνητο (ή υπολογιστής) Δεν έχει νόημα εκτός εάν υπάρχει απειλή (αλλά πάντα κλειδώνουμε!)
Μορφές Απειλών Βαθμός Επικινδυνότητας: πόση βλάβη μπορεί να προκαλέσει μία απειλή; -> Eάν οι πιθανές απειλές είναι πολλές θα πρέπει να μπουν προτεραιότητες Ίσως γιατί είναι ακριβό να αντιμετωπιστούν όλες μαζί Δεν είναι τεχνικά ή χρονικά εφικτό! Παράδειγμα: Ποια είναι η πιο πιθανή απειλή: 1. Σεισμός; 2. Ιός; 3. Διαρρήκτης; - Ποια είναι η πιο βλαβερή;
Μορφές Απωλειών Απώλεια δεδομένων Απώλεια ιδιωτικότητας Απώλεια φυσικού μέσου Αποτελέσματα: Απώλεια δυνατότητας λειτουργίας επιχείρησης Απώλεια φήμης Αντίμετρα (Cunter Measures) Κάθε βήμα που λαμβάνεται για να αποκρουστεί μία απειλή Παραδείγματα: Λογισμικό Antivirus Firewall Λογαριασμοί χρηστών
Πληροφοριακό Σύστημα & Δεδομένα Το ΠΣ αποθηκεύει όλη τη σημαντική πληροφορία ενός οργανισμού! Παραδείγματα: Students Web: όλο το φοιτητολόγιο του ΤΕΙ ΤΑΧΙS net: φορολογικά στοιχεία Ποιές είναι οι απειλές για αυτά τα ΠΣ; ΠΣ: ένας μηχανισμός για τη συλλογή, αποθήκευση, οργάνωση, επεξεργασία και διαχείριση δεδομένων.
Παραδείγματα ΠΣ
Παραδείγματα ΠΣ
Παραδείγματα ΠΣ
Παραδείγματα ΠΣ
ΠΣ: λογισμικό και υλικό: ΑΤΜ Τι θα γίνει εάν: Κοπεί το ρεύμα κατά τη διάρκεια μίας ανάληψης; Κοπεί το δίκτυο; Πάθει βλάβη του υλικό του ΑΤΜ; Κλέψουν το ΑΤΜ;
Bασικά στοιχεία των ΠΣ και Ασφάλεια 1. Φυσικό μέσο για αποθήκευση δεδομένων Έντυπα αρχεία SAN 2. Διαδικασίες για την ακεραιότητα των δεδομένων Εξάλειψη διπλών εγγραφών Ακρίβεια Αποφυγή απώλειας 3. Χρήση και διανομή δεδομένων Διαβαθμισμένη πρόσβαση τύπος, είδος, χρόνος διάθεσης
Παραδείγματα διαμόρφωσης ΠΣ
Παραδείγματα διαμόρφωσης ΠΣ
Υλικό
Backup
Tεχνολογίες ΠΣ και Ασφάλεια Τα ΠΣ χρησιμοποιούν 3 βασικές τεχνολογίες: Τηλεπικοινωνίες Αποθήκευση Δεδομένων Πληροφορική Άρα θα πρέπει να αντιμετωπιστούν απειλές: Ξεχωριστά για το καθένα Συνδυαστικά!
Τηλεπικοινωνίες Ιntranet: εσωτερικό δίκτυο επιχείρησης Σύνδεση με το Internet Τείχος προστασίας (firewall)
Firewall Kάποια συσκευή ή πρόγραμμα που είναι έτσι ρυθμισμένο ούτως ώστε να επιτρέπει ή να απορρίπτει πακέτα δεδομένων που περνούν από ένα δίκτυο υπολογιστών σε ένα άλλο. Σκοπός: η πρόληψη επιθέσεων στο τοπικό δίκτυο και η αντιμετώπισή τους. Ρύμθιση: απορρίπτει όλες τις συνδέσεις εκτός αυτών που επιτρέπει ο διαχειριστής του δικτύου (default-deny). ο διαχειριστής του δικτύου να έχει μία ολοκληρωμένη εικόνα για τις ανάγκες του δικτύου και επίσης να διαθέτει πολύ καλές γνώσεις πάνω στα δίκτυα υπολογιστών.
Είδη 1 η Γενιά Packet Filtering Διαβάζουν τα πακέτα δεδομένων που διακινούνται από το ένα δίκτυο στο άλλο και, εάν κάποιο πακέτο ταιριάζει με κάποιο συγκεκριμένο κανόνα, τότε το απορρίπτουν διεύθυνση IP προέλευσης, διεύθυνση IP προορισμού, πρωτόκολλο, αριθμός θύρας κοκ μπορεί να ξεχωρίσει τα πακέτα που αφορούν διάφορες λειτουργίες, όπως για παράδειγμα το email, την μεταφορά αρχείων, την περιήγηση στο Διαδίκτυο
Firewall 2η Γενιά Statefull firewalls Eξετάζουν και την κατάσταση (state) του κάθε πακέτου, δηλαδή την σύνδεση από την οποία προήλθε. Kρατούν ανά πάσα στιγμή πληροφορίες για τον αριθμό και το είδος των συνδέσεων μεταξύ των δύο δικτύων μπορούν να ξεχωρίσουν εάν ένα πακέτο αποτελεί την αρχή ή το τέλος μία νέας σύνδεσης ή μέρος μίας ήδη υπάρχουσας.
Statefull firewall
Firewall 3η Γενιά Επίπεδο ΟS
Firewalls!
Kανόνες Prts Web (HTTP) - prt 80, FTP server - prt 21. Συνήθως η 21 είναι κλειστή σε όλα τα PC εκτός από 1. Remte lgin Φίλτρο λέξεων κλειδιών: έρευνα κάθε πακέτου (sniff) για συγκεκριμένες λέξεις που απαγορευονται: Π.χ. "X-rated"! Δεν θα πιάσει "X rated"! DMZ (Demilitarized Zne) Web site Online business FTP dwnlad and uplad area
Kανόνες
Extranet 2 Ιντρανετς συνδέονται μέσω διαδικτύου!
Iδεατά Ιδιωτικά Δίκτυα (VPN) Ασφαλής σύνδεση διαφορετικών κομματιών του εταιρικού δικτύου μέσω Internet Τunneling: Δύο άκρες Authenticatin Eνθυλάκωση πακέτων και κρυπτογράφηση Ένας χρήστης VPN αντιμετωπίζει συνήθως το κεντρικό δίκτυο με τρόπο που είναι ταυτόσημος με το να συνδέεται άμεσα με το κεντρικό δίκτυο
Iδεατά Ιδιωτικά Δίκτυα (VPN)
Παράδειγμα VPN: Tunnel Blick
Αποθήκευση Δεδομένων Δίσκοι RAID (Redundant Array f Independed Disks) 1. Tα δεδομένα χωρίζονται σε λογικές μονάδες που αποθηκεύονται σε ξεχωριστά φυσικά μέσα! 2. Eικονικοί δίσκοι: το OS βλέπει 1 HDD Πλεονεκτήματα: Ασφάλεια Απόδοση Ο τρόπος κατανομής ονομάζεται RAID level Επηρεάζει την απόδοση!
Διαμορφώσεις RAID RAID 0: χαμηλό επίπεδο ασφάλειας! Redundancy: 0 Perfrmance: gd Fault Tlerance: 0
Διαμορφώσεις RAID RAID 1: καλό επίπεδο ασφάλειας! Χαμηλή απόδοση Redundancy: ναι (Χ2) Perfrmance: read από το γρήγορο HDD, write και στα 2 Fault Tlerance: αρκεί να λειτουργεί το 1 Ht Swap!
Διαμορφώσεις RAID RAID 2,3,4: θεωρητικά μόνο! Κάθε επόμενο bit, byte, blck αποθηκεύεται στον επόμενο δίσκο! Οι δίσκοι συγχρονίζονται ως προς την περιστροφή!
RAID 5 Tα blck σε διαφορετικούς δίσκους Τα δεδομένα parity σε διαφορετικούς δίσκους Ν-1 HDD για λειτουργία (HDD failure masked)
Διαμορφώσεις RAID
User Plicy Επίπεδα χρηστών Admin, rt Super User Guest Ειδικές κατηγορίες Δικαιώματα Read, write, access, mdify, delete
User plicies
Μελέτη Περίπτωσης: BSCW Μελέτες Περιπτώσεων BSCW Συνεργατικό σύστημα διαχείρισης πληροφοριών
Β