Αρχιτεκτονική Ασφάλειας

Σχετικά έγγραφα
Ασφάλεια Πληροφοριακών Συστηµάτων Αρχιτεκτονική Ασφάλειας

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

8.3 Ασφάλεια ικτύων. Ερωτήσεις

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

Ασφάλεια Υπολογιστικών Συστημάτων

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Πληροφορική Ι. Μάθημα 10 ο Ασφάλεια. Τμήμα Χρηματοοικονομικής & Ελεγκτικής ΤΕΙ Ηπείρου Παράρτημα Πρέβεζας. Δρ. Γκόγκος Χρήστος

Ασφάλεια Πληροφοριακών Συστημάτων Αρχιτεκτονική Ασφάλειας

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

(Εννοιολογική θεμελίωση)

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

Πρότυπο Αναφοράς Open Systems Interconnection (OSI) Επικοινωνίες Δεδομένων Μάθημα 5 ο

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Ασφάλεια Υπολογιστικών Συστηµάτων

Ασφάλεια στο δίκτυο GSM

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ Ι. Σημειώσεις Θεωρίας

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

8.3 Ασφάλεια Δικτύου Ασφάλεια Πληροφοριών Επεξήγηση Ορολογίας Μέθοδοι Παραβίασης

1.2.1 Το μοντέλο αναφοράς για τη Διασύνδεση Ανοικτών Συστημάτων (OSI) 1 / 19

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

Τεχνολογία Δικτύων Επικοινωνιών (Ενότητα Πρωτόκολλα και Αρχιτεκτονική Δικτύου)

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Κρυπτογραφία. Κεφάλαιο 1 Γενική επισκόπηση

Ασφάλεια Πληροφοριακών Συστημάτων

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΚΕΦΑΛΑΙΟ 1.7. Πρωτόκολλα και Αρχιτεκτονική Δικτύου

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΛΟΠΟΝΝΗΣΟΥ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΠΜΣ: Προηγμένα Τηλεπικοινωνιακά Συστήματα και Δίκτυα

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

ISMS κατά ISO Δεκέμβριος 2016

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Κεφάλαιο 1. Επισκόπηση

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Αυθεντικότητα Μηνυμάτων Συναρτήσεις Hash/MAC

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Τεχνολογία Ηλεκτρονικού Εμπορίου. 6η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου (EC Security) Χρήστος Γεωργιάδης

Cryptography and Network Security Overview & Chapter 1. Fifth Edition by William Stallings

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

Security & Privacy. Overview

Ασφάλεια Υπολογιστικών Συστηµάτων

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

Σύνταξη κειμένου : Γεώργιος Μαμαλάκης, MSc Επιμέλεια κειμένου : Κωνσταντίνος Βασιλάκης, PhD

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

EΠΙΣΗΜΑΝΣΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY NOTICE)

1.8 Το μοντέλο OSI 1 / 33

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

Λειτουργικά Συστήματα (ΗΥ321)

Μάθημα 5: To Μοντέλο Αναφοράς O.S.I.

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

Κρυπτογραφία Δημόσιου Κλειδιού II Αλγόριθμος RSA

SOS Ερωτήσεις Δίκτυα Υπολογιστών ΙΙ

Φύλλο Κατανόησης 1.8

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

Κρυπτογραφία. Εργαστηριακό μάθημα 1

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Κρυπτογραφία και Ηλεκτρονικοί Υπολογιστές. ΣΥΝΤΕΛΕΣΤΕΣ: Κραβαρίτης Αλέξανδρος Μαργώνη Αγγελική Χαλιμούρδα Κων/να

Διακριτά Μαθηματικά ΙΙ Χρήστος Νομικός Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πανεπιστήμιο Ιωαννίνων 2018 Χρήστος Νομικός ( Τμήμα Μηχανικών Η/Υ Διακριτά

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

Μοντέλο OSI 1.8. Κεφάλαιο 1. ΕΠΑ.Λ. Άμφισσας Σχολικό Έτος : Τάξη. : Β Τομέα Πληροφορικής Μάθημα. : Δίκτυα Υπολογιστών I Διδάσκων

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ - ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΕΠΛ 131: ΑΡΧΕΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ I ΕΡΓΑΣΙΑ 2

Σκοπιµότητα των firewalls

9 - Ασφάλεια Ηλεκτρονικών Συναλλαγών ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ & ΑΥΤΟΔΙΟΙΚΗΣΗΣ

Ασφάλεια Πληροφοριακών Συστημάτων. Διάλεξη 5 η : Πολιτικές Ασφάλειας

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

Κεφάλαιο 2. Κρυπτογραφικά εργαλεία

ΑΣΦΑΛΕΙΑ ΣΕ ΑΣΥΡΜΑΤΑ ΔΙΚΤΥΑ ΑΙΣΘΗΤΗΡΩΝ

How does blockchain apply to cyber security

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Lab 3

Κρυπτογραφία. Κεφάλαιο 4 Αλγόριθμοι Δημοσίου Κλειδιού (ή ασύμμετροι αλγόριθμοι)

Β. Μάγκλαρης 30/11/2015

ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Προσδιορισμός απαιτήσεων Ασφάλειας (1)

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΣΥΝΑΛΛΑΓΕΣ

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

Transcript:

Αρχιτεκτονική Ασφάλειας Τμήμα Μηχανικών Πληροφορικής ΤΕΙ Κρήτης Αρχιτεκτονική Ασφάλειας 1

Ασφάλεια Πληροφοριών Η ασφάλεια ενός οποιουδήποτε συστήματος ασχολείται με την προστασία αντικειμένων που έχουν κάποια αξία, γενικά γνωστά ως αγαθά Η αξία των αγαθών μειώνεται αν υποστούν ζημιά Αν δεχτούμε ότι υπάρχουν κίνδυνοι που μπορούν να μειώσουν την αξία των αγαθών, θα πρέπει να λάβουμε τα αντίστοιχα μέτρα προστασίας τους Τα μέτρα αυτά προφανώς θα έχουν κάποιο κόστος (χρηματικό και σε κόπο) Προφανώς θα πρέπει να σταθμίσουμε το κόστος προστασίας των αγαθών με το αντίστοιχο ρίσκο αλλά και με το κόστος των ίδιων των αγαθών Αν λάβουμε μειωμένα (πλημμελή) μέτρα προστασίας, η ασφάλεια των αγαθών δεν θα είναι εξασφαλισμένη Ο ιδιοκτήτης των αγαθών είναι υπεύθυνος να σταθμίσει το κόστος προστασίας ανάλογα με το κίνδυνο και την αξία των αγαθών, και να αποφασίσει ποιο είναι το σημείο ισορροπίας Αρχιτεκτονική Ασφάλειας 2

Ασφάλεια Πληροφοριών Σε ένα πληροφοριακό σύστημα, ως αγαθά θα πρέπει να θεωρήσουμε τα δεδομένα που διακινούνται και αποθηκεύονται σε αυτό, καθώς και τους υπολογιστικούς πόρους (εξοπλισμό) που το απαρτίζουν. Ο ιδιοκτήτης έχει τη δυνατότητα να καθορίσει ποιος μπορεί να έχει χρησιμοποιήσει, να μεταβάλλει, ή να διαθέσει το αγαθό Εκτός από τους ιδιοκτήτες τα αγαθά μπορεί να χρησιμοποιούνται και από τους χρήστες, οι οποίοι μπορεί να έχουν διαφορετικούς βαθμούς πρόσβασης σε αυτά Για παράδειγμα, ο χρήστης μιας ιστοσελίδας έχει δυνατότητα να διαβάσει το περιεχόμενο ή να κατεβάσει αρχεία, αλλά δεν μπορεί να αλλάξει το περιεχόμενο τους Από το παράδειγμα μας είναι ήδη προφανές ότι ιδιοκτήτης και χρήστης ενός πληροφοριακού αγαθού, δεν είναι απαραίτητα το ίδιο άτομο Η έννοια του χρήστη δεν αναφέρεται αναγκαστικά σε κάποιο φυσικό πρόσωπο: διεργασίες που εκτελούνται μέσα στο ίδιο το σύστημα και έχουν πρόσβαση στα δεδομένα θεωρούνται επίσης χρήστες των δεδομένων Αρχιτεκτονική Ασφάλειας 3

Ασφάλεια Πληροφοριών Από τη στιγμή που υπάρχει η έννοια της ιδιοκτησίας, θα πρέπει να εισάγουμε και την έννοια της εξουσιοδότησης Εξουσιοδότηση είναι η άδεια που παρέχει ο ιδιοκτήτης σε κάποιον τρίτο (χρήστη) για τη χρήση των δεδομένων ή/και των υπολογιστικών πόρων του δικτύου Ένα από τα σημαντικότερα προβλήματα ασφάλειας είναι η εξασφάλιση ότι μόνο εξουσιοδοτημένοι χρήστες θα έχουν πρόσβαση στα δεδομένα Ένα ακόμα πρόβλημα είναι ότι οι εξουσιοδοτημένοι χρήστες μπορεί να θελήσουν να χρησιμοποιήσουν την πρόσβαση τους για να αποκτήσουν περισσότερα δικαιώματα σε σημεία του συστήματος που δεν έχουν πρόσβαση Αρχιτεκτονική Ασφάλειας 4

Υπηρεσίες Ασφάλειας Ασφάλεια Συστημάτων 4 διαστάσεις Απειλές Επιθέσεις Μηχανισμοί ασφάλειας Υπηρεσίες ασφάλειας Αρχιτεκτονική Ασφάλειας 5

Απειλές / Επιθέσεις Οι επιθέσεις είναι πράξεις που εκθέτουν ιδιωτικές πληροφορίες που ανήκουν σε άτομα / οργανισμούς Παθητικές επιθέσεις Παρακολούθηση με σκοπό την υποκλοπή δεδομένων Καταγραφή της δομής της επικοινωνίας Ενεργές επιθέσεις Πλαστοπροσωπία (masquerade) Τροποποίηση περιεχομένου μηνυμάτων (modification) Άρνηση υπηρεσίας (denial of service) Αρχιτεκτονική Ασφάλειας 6

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 7

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 8

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 9

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 10

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 11

Μηχανισμοί ασφάλειας Σχεδιασμένοι να αποτρέπουν, να εντοπίζουν, και να θεραπεύουν από απειλές εν υπάρχει ένας μοναδικός μηχανισμός που να ικανοποιεί όλες τις απαιτήσεις Οι περισσότεροι μηχανισμοί χρησιμοποιούν μεθόδους κρυπτογραφίας Παραδείγματα Κρυπτογράφηση Ψηφιακές υπογραφές Πρωτόκολλα για επαλήθευση αυθεντικότητας, κλπ. Αρχιτεκτονική Ασφάλειας 12

Μηχανισμοί ασφάλειας Έλεγχοι στο software Operating System Database Έλεγχοι στο hardware Smartcards Ελεγχόμενες διαδικασίες (Πολιτικές) Αλλαγή password Φυσικοί έλεγχοι Προσωπικό Αρχιτεκτονική Ασφάλειας 13

Υπηρεσίες ασφάλειας Σκοπός είναι να αποτρέψουν τις απειλές Χρησιμοποιούν ένα ή περισσότερους μηχανισμούς ασφάλειας Υλοποιούν διαδικασίες οι οποίες μέχρι πρόσφατα εφαρμοζόταν σε φυσικά αντικείμενα Έγγραφα (π.χ. υπογραφή και ασφαλής μεταφορά) Αρχιτεκτονική Ασφάλειας 14

Υπηρεσίες ασφάλειας ITU-T X.800 Security Architecture for OSI ISO-17799 (http://www.isosecuritysolutions.com/standardmain.html) Αυθεντικότητα (Authentication) Εμπιστευτικότητα (Data Confidentiality) Ακεραιότητα (Data Integrity) Αποτροπή άρνησης παραδοχής συμμετοχής (Non-Repudiation) Έλεγχος πρόσβασης (Access Control) ιαθεσιμότητα (Availability) Αρχιτεκτονική Ασφάλειας 15

Υπηρεσίες ασφάλειας Αυθεντικότητα Η απόδειξη της ταυτότητας του χρήστη προκειμένου να του επιτραπεί η πρόσβαση στα αγαθά που παρέχει το σύστημα Ένας γνωστός τρόπος είναι η χρήση του συνδυασμού ονόματος χρήστη/κωδικού πρόσβασης (username/password) Αρχιτεκτονική Ασφάλειας 16

Υπηρεσίες ασφάλειας Εμπιστευτικότητα Η διασφάλιση ότι η πληροφορία είναι διαθέσιμη μόνο σε αυτούς που έχουν εγκριθεί για να έχουν πρόσβαση Παραβίαση της εμπιστευτικότητας έχουμε όταν πληροφορία που θεωρείται εμπιστευτική έχει προσπελαστεί, χρησιμοποιηθεί, αντιγραφεί ή γνωστοποιηθεί σε, ή από, άτομα που δεν είναι εξουσιοδοτημένα για να έχουν πρόσβαση σε αυτήν Αρχιτεκτονική Ασφάλειας 17

Υπηρεσίες ασφάλειας Ακεραιότητα Η διαφύλαξη της ακρίβειας και της πληρότητας της πληροφορίας και των μεθόδων επεξεργασίας Πρακτικά αυτό σημαίνει ότι δεν μπορούν να δημιουργηθούν, να αλλαχτούν ή να διαγραφούν δεδομένα χωρίς εξουσιοδότηση Απώλεια ακεραιότητας έχουμε όταν για παράδειγμα ένας υπάλληλος διαγράψει κατά λάθος ή εσκεμμένα σημαντικά αρχεία δεδομένων από τον υπολογιστή του Αρχιτεκτονική Ασφάλειας 18

Υπηρεσίες ασφάλειας Μη άρνηση ταυτότητας (non-repudiation) Η δυνατότητα απόδοσης πράξεων (ευθυνών) σε κάποιο συγκεκριμένο χρήστη Πολύ απλά, η δυνατότητα να δούμε ποιος έκανε οποιαδήποτε αλλαγή στο σύστημα Αρχιτεκτονική Ασφάλειας 19

Υπηρεσίες ασφάλειας ιαθεσιμότητα Η διασφάλιση ότι οι εγκεκριμένοι χρήστες έχουν πρόσβαση στην πληροφορία και στους σχετικούς πόρους όταν αυτό απαιτείται Αποφυγή προσωρινής ή μόνιμης απώλειας πρόσβασης στις πληροφορίες από εξουσιοδοτημένους χρήστες Σε κάποιες περιπτώσεις, οι χρήστες μπορεί να πληρώνουν κάποιο αντίτιμο για να έχουν πρόσβαση στις πληροφορίες που παρέχει το σύστημα μας Είναι απαραίτητο να εξασφαλίσουμε ότι η πρόσβαση σε αυτές τις πληροφορίες θα είναι αδιάλειπτη ηλαδή, ότι η πληροφορία, τα υπολογιστικά συστήματα που χρειάζονται για την επεξεργασία της πληροφορίας και οι μηχανισμοί ασφαλείας που χρησιμοποιούνται για την προστασία της είναι διαθέσιμα και λειτουργούν σωστά όταν η πληροφορία απαιτείται Το αντίθετο ονομάζεται «Άρνηση Παροχής Υπηρεσιών» (Denial of Service DoS) Αρχιτεκτονική Ασφάλειας 20

Υπηρεσίες ασφάλειας Βασικές έννοιες στην ασφάλεια πληροφοριακών συστημάτων είναι και οι παρακάτω «Πόρος» (Resource) «Απειλή» (Threat) «Κενό Ασφάλειας» (Vulnerability) Exploit που σε ελεύθερη μετάφραση μπορεί να αποδοθεί σαν μια επίθεση που εκμεταλλεύεται ένα Κενό Ασφαλείας για να αποκτήσει πρόσβαση σε έναν Πόρο Αρχιτεκτονική Ασφάλειας 21

Υπηρεσίες ασφάλειας Πόρος (Resource) Πόρος είναι οτιδήποτε στο υπολογιστικό περιβάλλον που προσπαθούμε να προστατεύσουμε Αυτό μπορεί να περιλαμβάνει δεδομένα, εφαρμογές, διακομιστές, εξοπλισμός επικοινωνίας ακόμα και ανθρώπους Ο σκοπός της ασφάλειας Πληροφοριακών Συστημάτων είναι να προστατευτούν οι Πόροι από επιθέσεις Αρχιτεκτονική Ασφάλειας 22

Υπηρεσίες ασφάλειας Απειλή (Threat) Απειλή είναι ένα πρόσωπο ή ένα πράγμα που έχει τη δυνητική δυνατότητα να αποκτήσει πρόσβαση σε έναν πόρο και να προκαλέσει ζημιά Αναφερόμαστε σε ενέργειες ή γεγονότα που μπορούν οδηγήσουν στην κατάρρευση κάποιου από τα χαρακτηριστικά ασφαλείας που ορίσαμε προηγουμένως. Ο παρακάτω πίνακας αναφέρει διαφορετικές μορφές απειλών και μερικά παραδείγματα αυτών Είδος Απειλής Φυσικές και Υλικές Μη εσκεμμένη Εσκεμμένη Παράδειγμα Φωτιά, Νερό, Αέρας, Σεισμός, Απώλεια ρεύματος Μη-ενημερωμένοι υπάλληλοι Μη-ενημερωμένοι πελάτες Κακόβουλοι επιτιθέμενοι Τρομοκράτες Βιομηχανικοί κατάσκοποι Κυβερνήσεις Κακόβουλο λογισμικό Αρχιτεκτονική Ασφάλειας 23

Υπηρεσίες ασφάλειας Κενό Ασφαλείας (Vulnerability) Κενό ασφαλείας είναι ένα σημείο όπου ένας πόρος είναι ευάλωτος σε επίθεση Μπορεί να θεωρηθεί σαν αδυναμία Αναφερόμαστε σε σημεία του πληροφοριακού συστήματος τα οποία (ενδεχομένως λόγω κακού σχεδιασμού ή υλοποίησης) αφήνουν περιθώρια για παραβιάσεις Σε πολλές περιπτώσεις οι αδυναμίες οφείλονται σε λάθη του λογισμικού ή σε ανεπαρκή παραμετροποίηση του από το προσωπικό που το εγκατέστησε και το συντηρεί Τα κενά ασφαλείας συχνά ταξινομούνται όπως στον παρακάτω πίνακα Είδος Κενού Ασφαλείας Υλική Φυσική Λογισμικό και Hardware Μέσα Επικοινωνίας Επικοινωνία Ανθρώπινο Παράδειγμα Ξεκλείδωτες πόρτες Χαλασμένο σύστημα πυρόσβεσης Ανενημέρωτο αντι-ιικό λογισμικό Ηλεκτρικές Παρεμβολές Μη κρυπτογραφημένα πρωτόκολλα επικοινωνίας Μη ασφαλής διαδικασίες Help Desk Αρχιτεκτονική Ασφάλειας 24

Υπηρεσίες ασφάλειας Επίθεση (Exploit) Ένας πόρος μπορεί να προσπελαστεί από μια απειλή που χρησιμοποιεί ένα κενό ασφαλείας στο υπολογιστικό περιβάλλον Η προσπέλαση ενός πόρου μπορεί να γίνει με πολλούς τρόπους, μερικοί από τους πιο κοινούς παρατίθενται στον επόμενο πίνακα Είδος Exploit Exploit που εκμεταλλεύεται τεχνικό κενό ασφαλείας Παράδειγμα Brute Force Attacks, Buffer Overflows, Λανθασμένη ρύθμιση παραμέτρων, Session Hijacking Συλλογή Πληροφοριών OS Identification, Port Scanning, Service and Application Probing, Vulnerability Scanning, Social Engineering, Wireless Leak Άρνηση Παροχής Υπηρεσιών Denial of Service Καταστροφή υλικού, Αφαίρεση πόρων, Τροποποίηση πόρων, Κορεσμός πόρων Αρχιτεκτονική Ασφάλειας 25

Υπηρεσίες ασφάλειας Αρχιτεκτονική Ασφάλειας 26

Αρχιτεκτονική Ασφάλειας 27

Ευάλωτα Σημεία Αρχιτεκτονική Ασφάλειας 28

Ευάλωτα Σημεία Τοπικό δίκτυο (LAN) Ασύρματο δίκτυο (WLAN) Internet (Packet switching network) Συνδέσεις δικτύου (Network links) Κόμβοι δικτύου (Network nodes h/w, s/w) Αρχιτεκτονική Ασφάλειας 29

Ευάλωτα Σημεία Επίγειες μικροκυμματικές ζεύξεις (Terrestrial microwave links) ορυφορικές ζεύξεις (Satellite links) Ηλεκτρομαγνητική ακτινοβολία (Electromagnetic emanations) Κακοπροαίρετοι (κακόβουλοι) υπάλληλοι Φυσική προστασία Αρχιτεκτονική Ασφάλειας 30

Κρυπτογράφηση στο Δίκτυο Αρχιτεκτονική Ασφάλειας 31

Κρυπτογράφηση Σύνδεσης (Link) Το μήνυμα κωδικοποιείται/αποκωδικοποιείται σε κάθε κόμβο Η κωδικοποίηση πρέπει να γίνεται σε ΟΛΑ τα υποδίκτυα Κάθε ζευγάρι γειτονικών κόμβων μοιράζονται κλειδιά πολλά κλειδιά Απαιτεί πολλές συσκευές κωδικοποίησης Αρχιτεκτονική Ασφάλειας 32

Κρυπτογράφηση end-to-end Αποστολέας και παραλήπτης (Sender, Receiver) έχουν ένα κοινό κλειδί Είναι δυνατή η ταυτοποίηση του αποστολέα Οι ενδιάμεσοι κόμβοι δεν είναι δυνατό να δουν το περιεχόμενο του μηνύματος Τα δεδομένα είναι ασφαλή κατά τη μεταφορά αλλά η μορφή της επικοινωνίας δεν είναι Για μεγαλύτερη ασφάλεια η κωδικοποίηση και στο link και end-toend είναι απαραίτητη Αρχιτεκτονική Ασφάλειας 33

Κρυπτογράφηση Σύνδεσης end-to-end Αρχιτεκτονική Ασφάλειας 34

Κρυπτογράφηση Σύνδεσης end-to-end Αρχιτεκτονική Ασφάλειας 35

Κρυπτογράφηση στο Επίπεδο Εφαρμογών Για μερικές εφαρμογές end-to-end κωδικοποίηση είναι δυνατή μόνο στο επίπεδο εφαρμογών (application layer) Στο επίπεδο αυτό ο αριθμός των χρηστών εφαρμογών αυξάνεται αρκετά Μειονέκτημα ο μεγάλος αριθμός κλειδιών Όσο πιο ψηλά στα επίπεδα δικτύου γίνεται η κωδικοποίηση, τόσο λιγότερα δεδομένα κωδικοποιούνται Αρχιτεκτονική Ασφάλειας 36

Εμπιστευτικότητα της Μορφής Επικοινωνίας Η παρακολούθηση δίνει πληροφορίες για Αριθμό / μέγεθος μηνυμάτων σοβαρότητα Ταυτότητα χρηστών Συχνότητα επικοινωνίας Συσχετισμό με άλλα γεγονότα Μέθοδοι αποτροπής Link encryption traffic padding End-to-end encryption περιορισμένες επιλογές Αρχιτεκτονική Ασφάλειας 37

Εμπιστευτικότητα της Μορφής Επικοινωνίας Αρχιτεκτονική Ασφάλειας 38

2011-2012 (X) Αρχιτεκτονική Ασφάλειας 39

2011-2012 (X) Αρχιτεκτονική Ασφάλειας 40

Διαχείριση Κινδύνου Μία κοινή παραδοχή στην κοινότητα της ασφάλειας Πληροφοριακών Συστημάτων είναι ότι δεν υπάρχει κανένα απολύτως ασφαλές και ταυτόχρονα χρήσιμο Πληροφοριακό Σύστημα Λέγεται δε συχνά σαν αστείο ότι το μόνο ασφαλές Πληροφοριακό Σύστημα είναι αυτό που δεν είναι συνδεδεμένο σε δίκτυο και που βρίσκεται κλειδωμένο μόνο του σε ένα δωμάτιο Ως εκ τούτου, για να έχουμε ένα αποδεκτό επίπεδο ασφαλείας, πρέπει να εξετάσουμε το περιβάλλον λειτουργίας, να εκτιμήσουμε τους κινδύνους που αντιμετωπίζουμε και να διατηρήσουμε τον κίνδυνο κάτω από ένα συγκεκριμένο επίπεδο Αρχιτεκτονική Ασφάλειας 41

Διαχείριση Κινδύνου Ο κίνδυνος μειώνεται αυξάνοντας την ασφάλεια του περιβάλλοντός μας Σαν γενικός κανόνας, όσο πιο υψηλό το επίπεδο ασφάλειας, τόσο πιο ακριβό είναι στην υλοποίηση, τόσο πιο πολύπλοκο και τόσο πιο πιθανό θα είναι να υπάρχει μείωση της ευχρηστίας Επίσης, ένα σημαντικό μέρος της ιαχείρισης Κινδύνου είναι να προσδιορίσουμε την αξία αυτών που προσπαθούμε να προστατεύσουμε και να ορίσουμε ένα επίπεδο ασφαλείας κατάλληλο για αυτά Αρχιτεκτονική Ασφάλειας 42

Διαχείριση Κινδύνου Πριν προχωρήσουμε στη λήψη μέτρων ασφαλείας, θα πρέπει να εκτιμήσουμε και να υπολογίσουμε διάφορους παράγοντες Θα πρέπει αρχικά να αξιολογήσουμε ποια είναι τα αγαθά που χρήζουν προστασίας και να εντοπίσουμε τους πιθανούς κινδύνους από τους οποίους θα πρέπει να προστατευθούν Έπειτα θα πρέπει να προχωρήσουμε σε ένα αρχικό σχεδιασμό της αρχιτεκτονικής ασφαλείας που θα ακολουθήσουμε και να εκτιμήσουμε το κόστος του Το συνολικό κόστος πρέπει να περιλαμβάνει το κόστος αγοράς εξοπλισμού και λογισμικού που θα χρησιμοποιήσουμε, το κόστος εγκατάστασης του από κατάλληλο προσωπικό, αλλά και το μόνιμο λειτουργικό κόστος που θα έχει η συντήρηση και αναβάθμιση του Αρχιτεκτονική Ασφάλειας 43

Διαχείριση Κινδύνου Αν το κόστος που υπολογίσουμε υπερβαίνει τα προβλεπόμενα όρια, θα πρέπει να κάνουμε κάποιες νέες παραδοχές ή συμβιβασμούς σχετικά με το τι προβλήματα ασφαλείας και σε τι βαθμό θα καλύπτει η πολιτική ασφαλείας Με τον τρόπο αυτό αποδεχόμαστε τους εναπομείναντες κινδύνους που δεν καλύπτονται από την τελική πολιτική ασφαλείας Αρχιτεκτονική Ασφάλειας 44

Διαχείριση Κινδύνου Ο σκοπός της ανάλυσης κινδύνου είναι να προσδιοριστεί το επίπεδο άμυνας/ασφαλείας που είναι αναγκαίο για την προστασία έναντι των απειλών που μπορεί να αντιμετωπίσει το υπολογιστικό περιβάλλον Υπάρχουν τρεις κυρίως τρόποι να μειωθεί ο κίνδυνος Σύμφωνα με τα παραπάνω, κίνδυνος μπορεί να οριστεί ως ένας συγκεκριμένος συνδυασμός Πόρου, Κενού Ασφαλείας και Απειλής Ως εκ τούτου, η μείωση κινδύνου μπορεί να επιτευχτεί με: Τη μείωση της αξίας ενός Πόρου στον επιτιθέμενο Την αντιμετώπιση συγκεκριμένων Κενών Ασφαλείας Την εξουδετέρωση ή την πρόληψη επιθέσεων και Απειλών Αρχιτεκτονική Ασφάλειας 45

Διαχείριση Κινδύνου Μείωση αξίας Πόρου Η μείωση της αξίας ενός Πόρου μπορεί να φαίνεται σαν ένας μη λογικός στόχος αλλά η μείωση της αξίας αναφέρεται για τον επιτιθέμενο και όχι για τους εγκεκριμένους χρήστες Ένα τέτοιο παράδειγμα είναι η χρήση της κρυπτογράφησης για την ασφάλιση αρχείων και email Ακόμα και να υποκλαπούν από έναν εισβολέα, του είναι ουσιαστικά άχρηστα μιας και δε μπορεί να τα διαβάσει Αρχιτεκτονική Ασφάλειας 46

Διαχείριση Κινδύνου Αντιμετώπιση συγκεκριμένων Κενών Ασφαλείας Ένας άλλος τρόπος για την αντιμετώπιση κινδύνου είναι η αντιμετώπιση ή η εξάλειψη συγκεκριμένων Κενών Ασφαλείας Οι διορθωτικές εκδόσεις για τα προγράμματα αποτελούν ένα τέτοιο παράδειγμα αφού οι προγραμματιστές με την έκδοση τέτοιων διορθώσεων εξαλείφουν κάποιο Κενό Ασφαλείας στο πρόγραμμά τους Αρχιτεκτονική Ασφάλειας 47

Διαχείριση Κινδύνου Εξουδετέρωση και πρόληψη Απειλών Επιπρόσθετα με τη μείωση της Αξίας ενός Πόρου και την αντιμετώπιση Κενών Ασφαλείας μία ακόμα προσέγγιση για τη μείωση κινδύνου είναι να επικεντρωθείς στους επιτιθέμενους και στις επιθέσεις και αυτός είναι ο πιο διαδεδομένος και κοινός τρόπος μείωσης Αυτό επιτυγχάνεται για παράδειγμα με τη χρήση firewall, αντι-ιικών προγραμμάτων και την χρήση μηχανισμών ελέγχου πρόσβασης (κωδικοί πρόσβασης, smart cards, βιομετρικά συστήματα) Ο σκοπός τέτοιων μέτρων είναι να μειωθεί ο αριθμός των τρόπων επίθεσης Αρχιτεκτονική Ασφάλειας 48

Security Policy Αρχιτεκτονική Ασφάλειας 49

Security Policy Αρχιτεκτονική Ασφάλειας 50

Ορολογία Κρυπτογράφηση (Encryption) Η κρυπτογράφηση είναι η διαδικασία με την οποία μετατρέπονται τα αρχικά δεδομένα (γνωστά και ως plaintext) σε μορφή (κρυπτόγραμμα) η οποία δεν μπορεί πλέον να γίνει κατανοητή χωρίς να αποκρυπτογραφηθεί Η κρυπτογράφηση γίνεται με τη βοήθεια αλγορίθμου, το αποτέλεσμα του οποίου μπορεί να αντιστραφεί ώστε να παράγει ξανά τα αρχικά δεδομένα εισόδου Για την κρυπτογράφηση και την αποκρυπτογράφηση χρησιμοποιείται το κλειδί Αρχιτεκτονική Ασφάλειας 51

Ορολογία Αποκρυπτογράφηση (Decryption) Προφανώς η αντίστροφη διαδικασία της κρυπτογράφησης Ο αλγόριθμος δέχεται ως είσοδο τα κρυπτογραφημένα δεδομένα (κρυπτόγραμμα) και με τη βοήθεια του κλειδιού (το οποίο προφανώς είναι διαθέσιμο μόνο σε εξουσιοδοτημένα άτομα) τα μετατρέπει ξανά στα κανονικά δεδομένα Τα δεδομένα πλέον δεν είναι κωδικοποιημένα και μπορούν να χρησιμοποιηθούν κανονικά Αρχιτεκτονική Ασφάλειας 52

Ορολογία Κλειδί (Key) Στο πεδίο της κρυπτογράφησης, το κλειδί είναι ένας ψηφιακός κωδικός (ένας αριθμός από bits) ο οποίος χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση της πληροφορίας Προφανώς το κλειδί φυλάσσεται σε ασφαλές μέρος και είναι διαθέσιμο μόνο στα μέρη που επιτρέπεται να έχουν πρόσβαση στα δεδομένα Αρχιτεκτονική Ασφάλειας 53

Ορολογία Ψηφιακή Υπογραφή (Digital Signature) Η ψηφιακή υπογραφή είναι τυπικά ένας αριθμός από bit που προστίθεται στο τέλος κάποιου αρχείου και εξασφαλίζει την αυθεντικότητα ( το έστειλε πράγματι ο χρήστης Α ) και την ακεραιότητα ( το έχουμε λάβει σωστά ) ενός μηνύματος Αρχιτεκτονική Ασφάλειας 54

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια