Γενικές έννοιες (1) ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ. Γενικές έννοιες. Γενικές έννοιες (2) ΑΣΦΑΛΕΙΑ Ή ΙΑΧΕΙΡΙΣΗ ΚΙΝ ΥΝΩΝ; ΕΠΙΣΚΟΠΗΣΗ

Σχετικά έγγραφα
ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ

Ασφάλεια Υπολογιστικών Συστηµάτων

ΕΘΝΙΚΟ ΚΑΙ ΚΑΠΟ ΙΣΤΡΙΑΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ TMHMA ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Ασφάλεια Υπολογιστικών Συστηµάτων

Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (Α.Π..Π.Χ.) ΚΑΙ Η ΑΡΧΗ ΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ

ENOTHTA 9 AΣΦAΛEIA KAI ΠPOΣTAΣIA

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

Λιβανός Γιώργος Εξάμηνο 2017Β

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Εισαγωγή. Κατανεµηµένα Συστήµατα 01-1

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Κακόβουλο Λογισμικό)

Ασφάλεια Υπολογιστικών Συστηµάτων

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Διαχείριση Πολιτισμικών Δεδομένων

Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης

Security & Privacy. Overview

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΣΥΝΑΛΛΑΓΕΣ

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

ΕΡΓΑΣΙΑ. (στο µάθηµα: Τεχνολογίες Εφαρµογών ιαδικτύου του Η εξαµήνου σπουδών του Τµήµατος Πληροφορικής & Τηλ/νιών)

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Ασφαλίστε τις εμπιστευτικές πληροφορίες σας.

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Μηχανισμοί Ελέγχου Προσπέλασης)

Εισαγωγή στο λειτουργικό σύστηµα Unix

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

ΕΙΣΑΓΩΓΗ ΣΤΙΣ Β ΣΕ Ε Σ Ι ΟΜΕΝ

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

8.3 Ασφάλεια ικτύων. Ερωτήσεις

(Εννοιολογική θεμελίωση)

1. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και επεξεργαζόμαστε

Σχολή Προγραµµατιστών Ηλεκτρονικών Υπολογιστών (ΣΠΗΥ) Τµήµα Προγραµµατιστών Σειρά 112

ΞΕΚΛΕΙΔΩΤΕΣ ΠΟΡΤΕΣ ΈΡΕΥΝΑ ΔΕΊΧΝΕΙ ΌΤΙ ΟΙ ΕΚΤΥΠΩΤΈΣ ΜΈΝΟΥΝ ΕΥΆΛΩΤΟΙ ΣΕ ΚΥΒΕΡΝΟΕΠΙΘΈΣΕΙΣ

Δήλωση περί Απορρήτου Προσωπικών Δεδομένων της επιχείρησης PRAGMASSI Μ.Ι.Κ.Ε. (Privacy Notice)

Ασφάλεια στο ιαδίκτυο. Ασφάλεια στο διαδίκτυο. Λόγοι αύξησης περιστατικών. Επιθέσεις µέσω ηλεκτρονικού ταχυδροµείου. Πρώτο µείζον πρόβληµα: 1988

ΑΣΦΑΛΕΙΑ. Το περιβάλλον ασφάλειας Απειλές

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Πολιτική Προστασίας Δεδομένων

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

Αριστοµένης Μακρής Εργαστήρια Η/Υ

ΟΙΚΟΝΟΜΙΚΗ ΠΡΟΣΦΟΡΑ ΣΧΕ ΙΑΣΗΣ ΚΑΙ ΚΑΤΑΣΚΕΥΗΣ web εφαρµογής - ηλεκτρονικού κατατήµατος για έξυπνα κινητά

Σεµινάρια για Προσωπικό. Αρµοδιότητες της Α ΑΕ. Αθήνα, 14 Φεβρουαρίου 5 Μαρτίου

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Βασικές έννοιες Ασφάλειας α) ιαθεσιµότητα: άµεσα προσπελάσιµες υπηρεσίες ενός δικτύου υπολογιστών για τους εξουσιοδοτηµένους χρήστες β) Εµπιστευτικότη

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Εισβολείς. Προτεινόµενες ιστοσελίδες. Τεχνικές εισβολής Προστασία µε συνθηµατικό Στρατηγικές επιλογής συνθηµατικών Εντοπισµός εισβολών

ΣΥΝΟΠΤΙΚΕΣ Ο ΗΓΙΕΣ ΛΕΙΤΟΥΡΓΙΑΣ ΓΙΑ Ο ΗΓΟΥΣ - DTCO

ΜΑΘΗΣΙΑΚΗ ΕΝΟΤΗΤΑ 4: ΜΕΤΑΒΑΣΗ ΣΤΟ ΥΠΟΛΟΓΙΣΤΙΚΟ ΝΕΦΟΣ: Ο ΙΚΟΣ ΧΑΡΤΗΣ

Ασφάλεια Υπολογιστικών Συστηµάτων

Κατανεµηµένασυστήµατα αρχείων

Τεχνολογικά Επιτεύγµατα. Πλεονεκτήµατα. Ορισµός Κατανεµηµένου Συστήµατος. Μειονεκτήµατα. E-03: Λειτουργικά Συστήµατα ΙΙ 6. Εαρινό Εξάµηνο

Πολιτική Απορρήτου. Παρακαλούμε, διαβάστε την παρούσα Πολιτική Απορρήτου προσεκτικά.

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Ασφάλεια Πληροφοριακών Συστημάτων

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ταυτοποίηση και Αυθεντικοποίηση)

Για παράδειγµα ένα µήνυµα το οποίο θα ενηµερώνει τον καταναλωτή ότι πρόκειται να λήξει η πίστωσή του δε θα σβήνεται από την οθόνη, αλλά ένα µήνυµα

Λειτουργικά Συστήματα. Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-207

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

ΣΥΣΚΕΥΕΣ ΑΠΟΘΗΚΕΥΣΗΣ (ΜΝΗΜΗ)

Γεωγραφικά Πληροφοριακά Συστήµατα (Geographical Information Systems GIS)

XEROX - ΕΛΤΙΟ ΑΣΦΑΛΕΙΑΣ XRX05-003

Παραβίαση της ασφάλειας των προσωπικών δεδομένων

Παρουσίαση Μεταπτυχιακής Εργασίας

Οδηγίες Ηλεκτρονικής Υποβολής Προτάσεων

Εισαγωγικό Μάθημα Βασικές Έννοιες - Ανάλυση Απαιτήσεων

ΟΙΚΟΝΟΜΙΚΗ ΠΡΟΣΦΟΡΑ ΣΧΕ ΙΑΣΗΣ ΚΑΙ ΚΑΤΑΣΚΕΥΗΣ ΙΑ ΙΚΤΥΑΚΟΥ ΠΛΗΡΟΦΟΡΙΑΚΟΎ ΣΥΣΤΗΜΑΤΟΣ. Τρίτη, 7 Φεβρουαρίου 2012

Ασφάλεια προσωπικών δεδομένων

ΑΣΚΗΣΗ 1.1. ωστε παραδειγµατα απαιτησεων εµπιστευτικοτητας, ακεραιοτητας και διαθεσιµοτητας που υπαρχουν στο συγκεκριµενο συστηµα.

Βάσεις Περιβαλλοντικών Δεδομένων

ΤΕΧΝΟΛΟΓΙΑ ΛΟΓΙΣΜΙΚΟΥ

Επεξεργασία πραγµατικού χρόνου Κατάτµηση της µνήµης

Βασικές Έννοιες της Πληροφορικής

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

Ολοκληρωµένο Σύστηµα ιαχείρισης Ασφαλισµένου

ENOTHTA 8 IAXEIPIΣH KAI ΣYΣTHMATA APXEIΩN

Ντίνα Καµπουράκη. Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων Πανεπιστήµιο Αιγαίου. Αντικείµενο µελέτης

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

Πολιτική απορρήτου. Το EURid είναι υπεύθυνο για την επεξεργασία των προσωπικών δεδομένων σας.

Ενότητα 1η. Εισαγωγή στην Πληροφορική

Πολιτική Προστασίας Προσωπικών Δεδομένων 2019

Περιεχόµενα. Μέρος I Βασικά στοιχεία των Microsoft Windows XP Professional. Ευχαριστίες Εισαγωγή... 19

Cubitech Hellas Ακροπόλεως 24, Καλλιθέα, Αθήνα Τ.Κ , Ελλάδα, Τηλ Φαξ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Πολιτική Προστασίας Προσωπικών Δεδομένων Πολιτική Απορρήτου

Beazley Global Breach Solution. Beazley Global Breach Solution 1

ΕΙΣΑΓΩΓΗ ΣΤΗ ΙΑ ΙΚΑΣΙΑ ΜΕΤΑΒΑΣΗΣ ΣΤΟ CLOUD COMPUTING. Κεφάλαιο 2: Από την οπτική εκείνων που λαµβάνουν αποφάσεις (decision makers)

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

Τεχνική Ανάλυση των η-υπογραφών & των η-πιστοποιητικών

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Διαχείριση Πολιτισμικών Δεδομένων

Transcript:

ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ Η προστασία πόρων (δεδοµένων και προγραµµάτων) από συµπτωµατική ή κακόβουλη τροποποίηση, καταστροφή ή διαρροή Ακεραιότητα Αυθεντικότητα Εγκυρότητα Εµπιστευτικότητα ιαθεσιµότητα Γενικές έννοιες (1) Αγαθό οτιδήποτε χρήζει προστασίας, υλικό ή λογισµικό Ιδιοκτήτης ο νόµιµος κάτοχος ενός αγαθού Εξουσιοδότηση παροχή δικαιώµατος χρήσης από τον ιδιοκτήτη σε φυσικό πρόσωπο ή διαδικασία Χρήστης (εξουσιοδοτηµένος ή µη) αυτός που χρησιµοποιεί το αγαθό Αξία µέτρο έκφρασης της σπουδαιότητας του αγαθού Επίπτωση οι συνέπειες που µπορεί να έχει η απώλεια ή βλάβη του αγαθού Γενικές έννοιες (2) Γενικές έννοιες Ρήγµα ασφάλειας (breach) ή παραβίαση (violation) συµβάν κατά το οποίο το αγαθό υφίσταται ζηµιά Αδυναµία (vulnerability) χαρακτηριστικό που είναι δυνατόν να επιτρέψει µια παραβίαση Απειλή (threat) παράγων που µπορεί να προξενήσει ζηµιά Μέσο προστασίας (safeguard) ενέργειες και µηχανισµοί για τον περιορισµό των κινδύνων Πρόληψη, ανίχνευση, επανόρθωση εφαρµογή µέσων προστασίας για να µη συµβεί παραβίαση Ανίχνευση εντοπισµός του ότι έγινε παραβίαση Επανόρθωση αποκατάσταση των επιπτώσεων της παραβίασης Κόστος Σε χρήµα, υποβάθµιση απόδοσης, δυσαρέσκεια για να προστατεύσουµεκάποιααγαθά που έχουν συγκεκριµένη αξία και να µην υποστούµετιςεπιπτώσεις που θα έχει µία παραβίαση πουθατααφορά, θα πρέπει να χρησιµοποιήσουµε κάποιαµέσα προστασίας που έχουν κάποιο κόστος Πιθανόν να επιλέξει οιδιοκτήτηςενόςπληροφοριακού συστήµατος να µην εφαρµόσει κάποια µέσα προστασίας, διότι εκτιµά ότι το κόστος τους είναι υπερβολικό, σε σχέση µε την αξία τους και τους κινδύνους που διατρέχουν ΑΣΦΑΛΕΙΑ Ή ΙΑΧΕΙΡΙΣΗ ΚΙΝ ΥΝΩΝ; Υπάρχει ασφαλές σύστηµα; Η εφαρµογή µέσων προστασίας έχει κόστος Τα αγαθά έχουν αξία Το κόστος προστασίας οφείλει να είναι ανάλογο της προστατευόµενης αξίας Το κόστος παραβίασης πρέπει να είναι υψηλότερο του οφέλους του εισβολέα από την παραβίαση ΕΠΙΣΚΟΠΗΣΗ Παραδείγµατα συνηθισµένων απειλών Κατηγοριοποίηση των απειλών Μηχανισµοί προστασίας Τεχνικές διασφάλισης της ασφάλειας των συστηµάτων Ασφάλεια δικτύων 1

(1) Αποκάλυψη συνθηµατικών Εξαντλητική αναζήτηση Λίστες συχνά χρησιµοποιούµενων συνθηµατικών Προκαθορισµένα συνθηµατικά Οι «κακοί» διευκολύνονται από τους γρήγορους υπολογιστές και τα δίκτυα (2) Πλοήγηση Μετά την επιτυχία της πρώτης εισβολής, συλλέγονται δεδοµένα και πληροφορίες για επίθεση ευρύτερης κλίµακας Αναζήτηση σε σελίδες µνήµης ή σε µπλοκ δίσκου για χρήσιµες πληροφορίες Αντιποίηση (spoofing): Ο χρήστης πιστεύει ότι αλληλεπιδρά µε το σύστηµα ή τον προτιθέµενο δικτυακό τόπο Υποκλοπείς συνθηµατικών Παραφθαρµένα ονόµατα δικτυακών τόπων» https://www.amason.com/online-shop/cart?item=20 Πλαστές δικτυακές διευθύνσεις ούρειοι Ίπποι Προγράµµατα µε «περισσότερη λειτουργικότητα» απ ό,τι υπόσχονται» Κειµενογράφοι που θέτουν τα αρχεία να είναι αναγνώσιµα-εγγράψιµα από όλους» Προγράµµατα υποκλοπής διευθύνσεων, συνθηµατικών, στοιχείων του υπολογιστή» Κάθε πρόγραµµα είναι τόσο «ύποπτο» όσο ο συγγραφέας του ή το δίκτυο διανοµής του ούρειοι ίπποι Παραπόρτια (trapdoors) Τροποποιήσεις συστηµάτων που εγκαθίστανται από εισβολείς και που δίνουν πρόσβαση στους εισβολείς» Προγράµµατα login που δίνουν δικαιώµατα υπερχρήστη για συγκεκριµένα ονόµατα σύνδεσης» Back Orifice Ενίοτε εγκαθίστανται από τους κατασκευαστές εδοµένα 2

Ιοί Προγράµµατα που «µολύνουν» άλλα προγράµµατα, ενσωµατώνοντας σ αυτά -πιθανώς εξελιγµένα- αντίγραφα του εαυτού τους» Βλάβες: διαγραφή/αλλοίωση αρχείων, υποβάθµιση απόδοσης, κατανάλωση χώρου, ενόχληση» Βασικοί τρόποι διάδοσης: τοµείς εκκίνησης, εκτέλεση µολυσµένου προγράµµατος, εκτέλεση δικτυακής εφαρµογής, άνοιγµα «παραλλαγµένου» συνηµµένου αρχείου, χρήση διαµοιρασµένου πόρου ιαρροή πληροφοριών ιεργασίες που είναι εξουσιοδοτηµένες να προσπελαύνουν δεδοµένα τα αποκαλύπτουν σε χρήστες που δεν είναι εξουσιοδοτηµένοι Συµπερασµός δεδοµένων Η συσχέτιση φαινοµενικά άσχετων δεδοµένων οδηγεί σε εξαγωγή πληροφοριών Στατιστικές βάσεις δεδοµένων Οι στατιστικές βάσεις δεδοµένων δίνουν πληροφορίες για οµάδες πληθυσµού, αλλά όχι για µεµονωµένα άτοµα Με κατάλληλες ερωτήσεις είναι δυνατόν να εξαχθούν ατοµικές πληροφορίες «Πλήθος και µέσος µισθός των ανδρών µε ηλικία µικρότερη των 35 ετών» (10, 2000) «Πλήθος και µέσος µισθός των ανδρών µε ηλικία µικρότερη των 34 ετών» (9, 1800) Πλαστογράφηση Η µη εξουσιοδοτηµένη τροποποίηση δεδοµένων» Αποθηκευµένα δεδοµένα» Μεταδιδόµενα δεδοµένα Παρεµπόδιση παροχής υπηρεσιών Υποβάθµιση απόδοσης ή ολική αποτροπή της πρόσβασης των εξουσιοδοτηµένων χρηστών Μη ηθεληµένη καταστροφή Εξουσιοδοτηµένοι χρήστες πραγµατοποιούν ατυχείς ενέργειες Προβλήµατα στην ασφάλεια δεν αναφέρονται Η αναφορά ενός προβλήµατος δίνει ιδέες σε άλλους επίδοξους εισβολείς Η αρνητική δηµοσιότητα διώχνει πελάτες και δυσαρεστεί τους µετόχους Πολλές φορές η σηµασία ενός συµβάντος υποβαθµίζεται ιαστάσεις της ασφάλειας (1) Εµπιστευτικότητα: οι πληροφορίες είναι προσπελάσιµες µόνο από εξουσιοδοτηµένους χρήστες Ακεραιότητα: τα δεδοµένα και τα προγράµµατα τροποποιούνται και καταστρέφονται µόνο µε καλά καθορισµένους τρόπους και µε κατάλληλη εξουσιοδότηση ιαθεσιµότητα: Οι εξουσιοδοτηµένοι χρήστες θα µπορούν να χρησιµοποιήσουν δεδοµένα, προγράµµατα και υπηρεσίες όταν το επιθυµήσουν 3

ιαστάσεις της ασφάλειας (2) Αυθεντικότητα: εξασφάλιση ότι τα δεδοµένα είναι απαλλαγµένα ατελειών και ανακριβειών κατά τις εξουσιοδοτηµένες τροποποιήσεις Εγκυρότητα: εξασφάλιση ότι τα δεδοµένα είναι ακριβή και πλήρη Ασφάλεια σε δικτυακό περιβάλλον ίκτυο: ένα σύνολο διασυνδεδεµένων υπολογιστών Οι υπολογιστές παρέχουν υπηρεσίες και αποθηκεύουν πληροφορίες Οι χρήστες προσπελαύνουν υπηρεσίες και ανταλλάσσουν ή/και αποθηκεύουν πληροφορίες Απαίτηση: Να εξασφαλιστεί η εµπιστευτικότητα, η ακεραιότητα και η διαθεσιµότητα Ασφάλεια σε δικτυακό περιβάλλον - Προσεγγίσεις Ισχυρή διακρίβωση ταυτότητας των ενεχόµενων µερών (χρηστών-συστηµάτων) Αξιόπιστοι µηχανισµοί ελέγχου εξουσιοδότησης/προσπέλασης Αποτελεσµατικοί έλεγχοι κατάχρησης δικαιωµάτων Άψογα πρωτόκολλα, λειτουργικά συστήµατα, εφαρµογές Τέλειες πολιτικές, απαράβατη εφαρµογή τους Κάθε χρήστης είναι ειδικός στην ασφάλεια ικτυακή ασφάλεια η πραγµατικότητα εν εφαρµόζονται αποτελεσµατικοί µέθοδοι προστασίας εν εγκαθίστανται οι επιδιορθώσεις που παρέχονται από τους κατασκευαστές λογισµικού Η δικτυακή πρόσβαση δεν απαιτεί επαρκή πιστοποίηση, η πρόσβαση στους «εσωτερικούς» υπολογιστές δεν παρακολουθείται και δεν ελέγχεται εν διατίθεται προσωπικό για ζητήµατα ασφάλειας εν εφαρµόζονται πολιτικές «Ωχ αδελφέ, δεν θα το βρουν» Ποιοι και πώς επιτίθενται Προσεγγίσεις στην ασφάλεια Ορισµός ασφαλών διαδικασιών Μηχανισµοί για επιβολή των µέτρων ασφαλείας ιασφάλιση µέσω ανάλυσης-επαλήθευσης 4

Μηχανισµοί προστασίας ιακρίβωση ταυτότητας Έλεγχος προσπέλασης ιακρίβωση ταυτότητας Το σύστηµα προσπαθεί να εξακριβώσει µε ποιον συνδιαλλάσσεται εξετάζοντας: αν ο χρήστης γνωρίζει κάτι (κάποιο µυστικό, συνθηµατικό, προσωπικό αριθµό αναγνώρισης κ.λπ.) αν ο χρήστης κατέχει κάτι (έξυπνη κάρτα, κάρτα αυτόµατων συναλλαγών κ.ά.) αν ο χρήστης έχει κάποιο βιοµετρικό χαρακτηριστικό (δακτυλικά αποτυπώµατα, ίριδα µατιού κ.ο.κ.) ιακρίβωση ταυτότητας µέσω στοιχείων που ο χρήστης γνωρίζει Συνήθως ζητάται κάποια ταυτότητα και κάποιο συνθηµατικό Στη γενική περίπτωση οι ταυτότητες είναι δηµόσια γνωστές, τα συνθηµατικά όχι Το συνθηµατικό συγκρίνεται µε αυτό που έχει το σύστηµα αποθηκευµένο στο αρχείο συνθηµατικών Αξιολόγηση προσέγγισης Θετικά οκιµασµένη τεχνική Εύκολα κατανοητή από τους χρήστες Ενσωµατωµένη στα περισσότερα λειτουργικά συστήµατα Αρνητικά Τα συνθηµατικά µπορεί να «µαντευθούν» Οι χρήστες µπορεί να διαµοιράζονται τα συνθηµατικά Τα συνθηµατικά µπορεί να υποκλαπούν Μπορεί να εξαχθούν πληροφορίες από το αρχείο συνθηµατικών Αποφυγή µαντέµατος συνθηµατικών Είναι σκόπιµο να αποφεύγονται: Κενά συνθηµατικά Ονόµατα, επώνυµα, ηµεροµηνίες γέννησης, αριθµοί ταυτότητας, τηλέφωνα, διευθύνσεις Το όνοµα χρήστη Τα παραπάνω γραµµένα ανάποδα, ή µε µείγµατα πεζώνκεφαλαίων χαρακτήρων Ονόµατα οδών, πόλεων, «υπαρκτές» λέξεις Είναι σκόπιµο να: χρησιµοποιούνται συνθηµατικά µε µεγάλο πλήθος χαρακτήρων» υνατοί συνδυασµοί: 96πλήθος χαρακτήρων Να αλλάζουν σε τακτά χρονικά διαστήµατα Αρκετοί κανόνες είναι δυνατόν να εφαρµόζονται από το σύστηµα Αποφυγή διαµοιρασµού εν αποκαλύπτουµε το συνθηµατικό σε συναδέλφους, φίλους κ.λπ., ούτε σε άτοµα που δηλώνουν «υπεύθυνοι ασφάλειας» εν γράφουµε το συνθηµατικό, ειδικότερα σε προφανή σηµεία 5

Αποφυγή υποκλοπής Τα συνθηµατικά υποκλέπτονται: σε κανάλια επικοινωνίας» ασφαλή κανάλια»«κρυπτογράφηση µίας φοράς» όταν ο χρήστης τα εισάγει σε προγράµµατα που αναπαράγουν τη διεπαφή του συστήµατος» Πλήκτρα ενεργοποίησης διαδικασίας σύνδεσης Αποτρέπει προσπάθειες αντιποίησης Εγγυάται ασφαλή πρόσβαση στο σύστηµα Ο χρήστης πρέπει να τα χρησιµοποιήσει Αποφυγή διαρροής του αρχείου συνθηµατικών Απλοϊκή προσέγγιση Αποθηκεύω το συνθηµατικό σε προστατευµένο αρχείο, συγκρίνω µε αυτό που δίνει ο χρήστης Καλύτερη προσέγγιση Κρυπτογραφώ το συνθηµατικό µε µονόδροµη συνάρτηση, το αποθηκεύω σε προσβάσιµο αρχείο. Κρυπτογραφώ και αυτό που δίνει ο χρήστης και συγκρίνω Επιθέσεις µε λεξικά ή «ωµή βία» Ακόµη καλύτερη προσέγγιση Όπως στη δεύτερη περίπτωση, αλλά το αρχείο αποθήκευσης συνθηµατικών είναι προστατευµένο ιακρίβωση ταυτότητας µέσω στοιχείων που ο χρήστης κατέχει Ο χρήστης πρέπει να έχει στην κατοχή του ένα διακριτικό (token), το οποίο παρουσιάζει στο σύστηµα Συνήθως συνδυάζεται µε κάτι που ο χρήστης γνωρίζει (προσωπικός αριθµός αναγνώρισης) ύο τύποι: διακριτικά µνήµης έξυπνα διακριτικά ιακριτικά µνήµης Συνήθως κάρτες µε µαγνητική ταινία όπου αποθηκεύεται η ταυτότητα του χρήστη Στη γενική περίπτωση ζητάται κάτι που ο χρήστης γνωρίζει, εκτός από συστήµατα ελέγχου φυσικής πρόσβασης Γράφονται και διαβάζονται από εξειδικευµένες συσκευές για τη χρήση του απαιτείται µόνο συσκευή ανάγνωσης Αξιολόγηση διακριτικών µνήµης Πιο ασφαλή από το συνδυασµό ταυτότητα-συνθηµατικό ιευκολύνουν την παραγωγή αρχείων καταγραφής Αν χρησιµοποιείται το ίδιο διακριτικό για φυσική πρόσβαση και πρόσβαση στον υπολογιστή, αποκλείεται να αφήσει κάποιος χρήστης τον υπολογιστή του όντας συνδεδεµένος Απαιτούν εξειδικευµένες συσκευές ανάγνωσης ιαχειριστικό και οικονοµικό κόστος, καθώς και απώλεια πρόσβασης όταν χάνεται το διακριτικό Οι χρήστες δεν το αποδέχονται πάντα Έξυπνα διακριτικά Ένα έξυπνο διακριτικό αποτελείται από: ένα διακριτικό µνήµης ολοκληρωµένα κυκλώµατα επεξεργασίας διεπαφή για επικοινωνία µε ανθρώπους ή µηχανές 6

Έξυπνα διακριτικά Τρόπος λειτουργίας Ο χρήστης πιστοποιεί τον εαυτό του στο έξυπνο διακριτικό, εισάγοντας ένα συνθηµατικό ή έναν προσωπικό αριθµό αναγνώρισης Το υπολογιστικό σύστηµα ανταλλάσσει ταυτότητες µε το διακριτικό και στέλνει στο διακριτικό έναν κωδικό, τον οποίο το διακριτικό επεξεργάζεται και επιστρέφει την απάντηση στο σύστηµα Το σύστηµα ελέγχει αν πρόκειται για παραδεκτή απάντηση από το συγκεκριµένο διακριτικό. Αν ναι, η ταυτότητα του χρήστη έχει διακριβωθεί Είναι πιθανόν κάποια τµήµατα να γίνονται από τον ίδιο τον χρήστη Αξιολόγηση έξυπνων διακριτικών Μεγαλύτερη ασφάλεια σε σχέση µε τα διακριτικά µνήµης Συνθηµατικά µίας χρήσης ελαττωµένος κίνδυνος παραχάραξης η µνήµη διαβάζεται µόνο αν έχει πιστοποιηθεί ο χρήστης στο διακριτικό πολύπλοκα κυκλώµατα = δύσκολη κατασκευή πλαστών διακριτικών Μεγαλύτερη ευελιξία Χρήση µε πολλά υπολογιστικά συστήµατα το διακριτικό περιέχει τη λογική συνδιαλλαγής µε το καθένα, ο χρήστης πιστοποιεί τον εαυτό του στο διακριτικό Αυξηµένο διαχειριστικό και οικονοµικό κόστος, καθώς και απώλεια πρόσβασης όταν χάνεται το διακριτικό Οι χρήστες δεν το αποδέχονται πάντα, ειδικότερα όταν πρέπει να πληκτρολογούν εκτενείς συµβολοσειρές ιακρίβωση ταυτότητας βάσει βιοµετρικών χαρακτηριστικών Ανάγνωση βιοµετρικών χαρακτηριστικών του ανθρώπου που είναι µοναδικά δακτυλικά αποτυπώµατα ίριδα µατιού χροιά φωνής Σύγκριση του χαρακτηριστικού µε το πρότυπο που εγνωσµένα ανήκει στον χρήστη Όχι ώριµη τεχνολογία πιθανά σφάλµατα (π.χ. η χροιά της φωνής αλλάζει λόγω κρυολογήµατος) Μεγάλο κόστος Σηµαντικά προβλήµατα αποδοχής από τους χρήστες Αν δουλέψει, παρέχει πολύ καλή ασφάλεια Έλεγχος προσπέλασης Ο περιορισµός της πρόσβασης του χρήστη µόνο στα αντικείµενα που δικαιούται Έννοιες Υποκείµενα: Οι ενεργές οντότητες στο σύστηµα (χρήστες, διεργασίες, υπηρεσίες) Αντικείµενα: Οι πόροι ή οι παθητικές οντότητες στο σύστηµα (αρχεία, συσκευές, προγράµµατα) Τρόπος προσπέλασης: ανάγνωση, εγγραφή, εκτέλεση, αναφορά ιδιοχαρακτηριστικών Ελέγχουµε αν το υποκείµενο έχει δικαίωµα για τον συγκεκριµένο τρόπο προσπέλασης στο αντικείµενο Είδη ελέγχου προσπέλασης Κατ επιλογήν Ο ιδιοκτήτης του κάθε αντικειµένου αποφασίζει ποιο υποκείµενο έχει δικαίωµα να το προσπελάσει και πώς Υποχρεωτικός Το σύστηµα αποφασίζει ποιο υποκείµενο να προσπελάσει κάθε αντικείµενο και τους επιτρεπτούς τρόπους Η απόφαση βασίζεται στα ιδιοχαρακτηριστικά του χρήστη και του πόρου Παραδείγµατα κατ επιλογήν ελέγχου προσπέλασης Συνθηµατικά για πρόσβαση αρχείων Bits WX του Unix για ιδιοκτήτη, οµάδα, λοιπούς Πίνακες ελέγχου προσπέλασης µε µορφή: λιστών ελέγχου προσπέλασης λιστών προσδιοριστών δικαιωµάτων 7

Bits WX Πίνακες ελέγχου πρόσβασης W X W X W X Αντικείµενα Ιδιοκτήτης Οµάδα Λοιποί Α1 Α2 Α3 Α4 Α5 Υ1 WD Εύκολη υλοποίηση από άποψης συστήµατος Σχετικά κατανοητό από τους χρήστες ύσκαµπτο για λεπτοµερή ανάθεση δικαιωµάτων Υποκείµενα Υ2 Υ3 X XD W X Υ4 W XD Λίστες ελέγχου προσπέλασης & προσδιοριστών δικαιωµάτων Υποχρεωτικός Έλεγχος Προσπέλασης Υ1 Υ2 Υ3 Υ3 Α1 Α2 X XD Α3 W Α4 X Α5 Λίστα προσδιοριστών δικαιωµάτων Κάθε υποκείµενο έχει ένα επίπεδο ασφάλειας Κάθε αντικείµενο έχει ένα επίπεδο ασφάλειας Το κάθε επίπεδο ασφάλειας αποτελείται από µια διαβάθµιση και ένα σύνολο κατηγοριών Στην πρόσβαση συγκρίνονται τα επίπεδα ασφάλειας ίσο, µεγαλύτερο, µικρότερο, µη συγκρίσιµο Λίστα ελέγχου προσπέλασης Υποχρεωτικός Έλεγχος Προσπέλασης - Παράδειγµα Τρία επίπεδα ασφάλειας αδιαβάθµητο, εµπιστευτικό, απόρρητο Τρεις κατηγορίες ασφάλειας προµήθειες, λογιστήριο, διοίκηση εµπιστευτικό/(προµήθειες) = εµπιστευτικό/(προµήθειες) απόρρητο/(προµήθειες) > εµπιστευτικό/(προµήθειες) εµπιστευτικό/(προµήθειες) < εµπιστευτικό(προµήθειες, λογιστήριο) απόρρητο(προµήθειες) µη συγκρίσιµο απόρρητο(λογιστήριο) Υποχρεωτικός Έλεγχος Προσπέλασης - Εφαρµογή Η ανάγνωση επιτρέπεται αν το υποκείµενο έχει µεγαλύτερο ή ίσο επίπεδο ασφάλειας από το αντικείµενο (no read-up) Η εγγραφή επιτρέπεται αν το υποκείµενο έχει µικρότερο ή ίσο επίπεδο ασφάλειας από το αντικείµενο (no write-down) 8

Επόπτης αναφορών Πυρήνας ασφάλειας Ελέγχει όλες τις αναφορές για να εγγυηθεί ότι εφαρµόζονται οι κανόνες Υποκείµενα Επόπτης αναφορών Αντικείµενα Χρήστες Εφαρµογές Λειτουργικό Σύστηµα Υλικό Χρήστες Εφαρµογές Υλικό Έµπιστες οντότητες Πυρήνας ασφάλειας + Λοιπό Λειτουργικό Σύστηµα Στοιχεία εξουσιοδοτήσεων, ταυτοτήτων, δικαιωµάτων κ.λπ. Πρέπει να µην µπορεί να παρακαµφθεί, να ξεγελαστεί, να έχει δυνατότητα καταγραφής και να µπορεί να αποδειχθεί η ορθότητά του Υπεύθυνος για την υλοποίηση όλων των µηχανισµών ασφάλειας του Λ.Σ. και σε όλα τα επίπεδα (υλικό, εφαρµογές, χρήστες κ.λπ.) Υπέρ: ιαχωρισµός, ενοποίηση, συντηρησιµότητα, επαλήθευση Κατά: Υποβάθµιση απόδοσης, µέγεθος, δυσκολία ενσωµάτωσης σε υπάρχοντα λειτουργικά συστήµατα (άλλη δοµή) Οι έµπιστες οντότητες επιτρέπεται να εκτελέσουν ενέργειες πέρα από τις δικαιοδοσίες τους ΑΛΛΑ πρέπει να µπορούν να παρακολουθηθούν/επαληθευθούν 9

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια