E π A π π ª π ÚÔÛÙ Û Î È AÛÊ ÏÂÈ ÛÙËÌ ÙˆÓ YappleÔÏÔÁÈÛÙÒÓ TfiÌÔ A' ˆÎÚ ÙË K ÙÛÈÎ AÛÊ ÏÂÈ YappleÔÏÔÁÈÛÙÒÓ
ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA E OMENΩN KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος A' Aσφάλεια Yπολογιστών ΣΩΚΡΑΤΗΣ KΑΤΣΙΚΑΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου ΠATPA 2001
ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA E OMENΩN KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος A' Aσφάλεια Yπολογιστών Συγγραφή ΣΩKPATHΣ KATΣIKAΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου Κριτική Ανάγνωση HMHTPIOΣ ΓKPITZAΛHΣ Eπίκ. Kαθηγητής Tµήµατος Πληροφορικής Oικονοµικού Πανεπιστηµίου Aθηνών Ακαδηµαϊκός Υπεύθυνος για την επιστηµονική επιµέλεια του τόµου ΠAYΛOΣ ΣΠYPAKHΣ Καθηγητής Tµήµατος Mηχανικών H/Y & Πληροφορικής Πανεπιστηµίου Πατρών Επιµέλεια στη µέθοδο της εκπαίδευσης από απόσταση AXIΛΛEAΣ KAMEAΣ Γλωσσική Επιµέλεια IΩANNHΣ ΓAΛANOΠOYΛOΣ Τεχνική Επιµέλεια EΣΠI EK OTIKH EΠE Καλλιτεχνική Επιµέλεια, Σελιδοποίηση TYPORAMA Συντονισµός ανάπτυξης εκπαιδευτικού υλικού και γενική επιµέλεια των εκδόσεων ΟΜΑ Α ΕΚΤΕΛΕΣΗΣ ΕΡΓΟΥ ΕΑΠ / 1997 2001 ISBN: 960 538 226 1 Kωδικός Έκδοσης: ΠΛH 35/1 Copyright 2000 για την Ελλάδα και όλο τον κόσµο ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Οδός Παπαφλέσσα & Υψηλάντη, 26222 Πάτρα Τηλ: (0610) 314094, 314206 Φαξ: (0610) 317244 Σύµφωνα µε το Ν. 2121/1993, απαγορεύεται η συνολική ή αποσπασµατική αναδηµοσίευση του βιβλίου αυτού ή η αναπαραγωγή του µε οποιοδήποτε µέσο χωρίς την άδεια του εκδότη.
ÂÚÈÂ fiìâó Πρόλογος... 11 K º π 1 Ó ÁÎË appleúôûù Û ÙˆÓ appleïëúôêôúèòó Eισαγωγικές παρατηρήσεις... 13 1.1 Η οικονοµική σηµασία της πληροφορίας... 16 1.1.1 Πληροφορία και παγκοσµιοποίηση της οικονοµίας... 16 1.1.2 Η πληροφορία ως αγαθό... 16 1.1.3 Η αξία της πληροφορίας... 18 1.2 Η κοινωνική σηµασία της πληροφορίας... 21 1.3 Ένα πλαίσιο για την προστασία των πληροφοριών... 24 1.3.1 Θεσµικές ρυθµίσεις... 24 1.3.2 Οργανωσιακές ρυθµίσεις... 33 1.3.3 Κοινωνικές δράσεις... 34 Σύνοψη... 37 Bιβλιογραφία κεφαλαίου... 38 K º π 2 H AÛÊ ÏÂÈ ÏËÚÔÊÔÚÈÒÓ ÛÙ A ÙÔÌ ÙÔappleÔÈËÌ Ó ÏËÚÔÊÔÚÈ Î ÛÙ Ì Ù Eισαγωγικές παρατηρήσεις... 41 2.1 Οµαδοποίηση εννοιών... 43 2.2 Οµάδα εννοιών «αγαθά»... 44 2.2.1 Ένα παράδειγµα... 46 2.3 Οµάδα εννοιών «ιδιοκτήτης και χρήστης»... 48 2.4 Οµάδα εννοιών «ιδιότητες»... 48
6 A ºA EIA Y O O I TøN 2.5 Οµάδα εννοιών «κίνδυνοι»... 49 2.6 Οµάδα εννοιών «στόχοι»... 51 2.7 Οµάδα εννοιών «εξασφάλιση»... 54 2.8 Οµάδα εννοιών «µέτρα προστασίας»... 54 Σύνοψη... 57 Bιβλιογραφία κεφαλαίου... 58 K º π 3 TÔ ÈÔ AÛÊ ÏÂÈ Eισαγωγικές παρατηρήσεις... 59 3.1 Ο κύκλος ζωής του σχεδίου ασφάλειας... 61 3.1.1 Φάση σχεδιασµού... 61 3.1.2 Φάση υλοποίησης... 61 3.1.3 Φάση συντήρησης... 63 3.2 ιαχείριση κινδύνων... 66 3.2.1 Ο ρόλος και η αναγκαιότητα της διαχείρισης κινδύνων... 68 3.2.2 Η διαχείριση κινδύνων ως επιστηµονική µέθοδος και ως τεχνική επικοινωνίας... 69 3.2.3 Μεθοδολογίες διαχείρισης κινδύνων... 71 3.2.4 Ένα παράδειγµα... 73 3.3 Πολιτικές ασφάλειας... 87 3.3.1 Η δοµή µιας πολιτικής ασφάλειας: κανόνες, πρότυπα και διαδικασίες... 87 3.3.2 Τα περιεχόµενα µιας πολιτικής ασφάλειας... 89 Σύνοψη... 91 Bιβλιογραφία κεφαλαίου... 92
EPIEXOMENA 7 K º π 4 ÙÔappleÔ ËÛË Î È A ıâóùèîôappleô ËÛË Eισαγωγικές παρατηρήσεις... 95 4.1 Εξακρίβωση ταυτότητας... 98 4.1.1 Tαυτοποίηση... 98 4.1.2 Αυθεντικοποίηση... 99 4.2 Συνθηµατικά... 102 4.2.1 Εικασία συνθηµατικών... 104 4.2.2 Υποκλοπή συνθηµατικών... 110 4.2.3 Παραβίαση αρχείου συνθηµατικών... 112 4.2.4 Η διαχείριση του µηχανισµού συνθηµατικών... 116 Σύνοψη... 116 Bιβλιογραφία κεφαλαίου... 117 K º π 5 ŒÏÂÁ Ô ÚÔÛapple Ï ÛË Eισαγωγικές παρατηρήσεις... 119 5.1 Υποκείµενα και αντικείµενα... 121 5.2 Πολιτικές ελέγχου προσπέλασης... 124 5.3 Μοντέλα ελέγχου προσπέλασης... 130 5.3.1 ικτυώµατα... 130 5.3.2 Μοντέλο Bell-LaPadula... 130 5.3.3 Μοντέλο Biba... 131 5.3.4 Μοντέλο Σινικού Τείχους... 131 5.3.5 Μοντέλο Clark-Wilson... 132 5.3.6 Μοντέλα πολιτικών RBAC... 134 5.3.7 Μοντέλο Graham-Denning... 135
8 A ºA EIA Y O O I TøN 5.3.8 Μοντέλο Harrison-Ruzzo-Ullman... 135 5.3.9 Μοντέλο ανάκλησης-παραχώρησης... 136 5.4 Μηχανισµοί ελέγχου προσπέλασης... 138 5.4.1 Ευρετήρια... 138 5.4.2 Λίστες ελέγχου προσπέλασης... 141 5.4.3 Πίνακας ελέγχου προσπέλασης... 142 5.4.4 υνατότητες... 143 5.4.5 Έλεγχος προσπέλασης µέσω διαδικασίας... 145 Σύνοψη... 147 Bιβλιογραφία κεφαλαίου... 148 K º π 6 AÛÊ ÏÂÈ ÂÈÙÔ ÚÁÈÎÒÓ ÛÙËÌ ÙˆÓ Eισαγωγικές παρατηρήσεις... 149 6.1 Μηχανισµοί προστασίας... 151 6.1.1 ιεργασίες... 151 6.1.2 Προστασία της µνήµης... 156 6.1.3 Προστασία Εισόδου/Εξόδου... 160 6.1.4 Προστασία αρχείων... 161 6.1.5 Οι πυρήνες ασφάλειας... 162 6.2 Η ασφάλεια του Unix... 163 6.2.1 Ταυτοποίηση και αυθεντικοποίηση χρηστών... 164 6.2.2 Έλεγχος προσπέλασης... 165 6.2.3 Ίχνος ελέγχου... 170 6.2.4 Περικαλύµµατα... 171 6.2.5 Οι περιορισµοί ασφάλειας του παραδοσιακού Unix... 173 6.3 Η ασφάλεια των Windows NT... 175 6.3.1 Ταυτοποίηση και αυθεντικοποίηση... 175
EPIEXOMENA 9 6.3.2 Έλεγχος προσπέλασης... 176 Σύνοψη... 179 Bιβλιογραφία κεφαλαίου... 179 K º π 7 K Îfi Ô ÏÔ ÔÁÈÛÌÈÎfi Eισαγωγικές παρατηρήσεις... 181 7.1 Ιοµορφικό λογισµικό... 183 7.1.1 οµή ιών... 185 7.1.2 Τύποι ιών... 189 7.1.3 Μακρο-ιοί... 190 7.1.4 Προστασία... 192 7.2 Μη ιοµορφικό κακόβουλο λογισµικό... 200 7.2.1 Κερκόπορτες... 200 7.2.2 Λογικές βόµβες... 201 7.2.3 ούρειοι Ίπποι... 201 7.2.4 Έλικες... 202 7.2.5 Βακτήρια... 203 Σύνοψη... 204 Bιβλιογραφία κεφαλαίου... 205 Bιβλιογραφικές προτάσεις... 207 Bιβλιογραφία... 208 Eπίλογος... 213 Απαντήσεις ασκήσεων αυτοαξιολόγησης... 215 Aπαντήσεις δραστηριοτήτων... 227 Γλωσσάριο... 245