ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ

Σχετικά έγγραφα
Γενικές έννοιες (1) ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ. Γενικές έννοιες. Γενικές έννοιες (2) ΑΣΦΑΛΕΙΑ Ή ΙΑΧΕΙΡΙΣΗ ΚΙΝ ΥΝΩΝ; ΕΠΙΣΚΟΠΗΣΗ

Ασφάλεια Υπολογιστικών Συστηµάτων

ΕΘΝΙΚΟ ΚΑΙ ΚΑΠΟ ΙΣΤΡΙΑΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ TMHMA ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Ασφάλεια Υπολογιστικών Συστηµάτων

Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (Α.Π..Π.Χ.) ΚΑΙ Η ΑΡΧΗ ΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ

ENOTHTA 9 AΣΦAΛEIA KAI ΠPOΣTAΣIA

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

Ασφάλεια Υπολογιστικών Συστηµάτων

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

Λιβανός Γιώργος Εξάμηνο 2017Β

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Κακόβουλο Λογισμικό)

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΣΥΝΑΛΛΑΓΕΣ

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης

Security & Privacy. Overview

Εισαγωγή. Κατανεµηµένα Συστήµατα 01-1

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ

8.3 Ασφάλεια ικτύων. Ερωτήσεις

Διαχείριση Πολιτισμικών Δεδομένων

Ασφαλίστε τις εμπιστευτικές πληροφορίες σας.

(Εννοιολογική θεμελίωση)

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

ΕΡΓΑΣΙΑ. (στο µάθηµα: Τεχνολογίες Εφαρµογών ιαδικτύου του Η εξαµήνου σπουδών του Τµήµατος Πληροφορικής & Τηλ/νιών)

ΕΙΣΑΓΩΓΗ ΣΤΙΣ Β ΣΕ Ε Σ Ι ΟΜΕΝ

Ασφάλεια Υπολογιστικών Συστηµάτων

ΜΑΘΗΣΙΑΚΗ ΕΝΟΤΗΤΑ 4: ΜΕΤΑΒΑΣΗ ΣΤΟ ΥΠΟΛΟΓΙΣΤΙΚΟ ΝΕΦΟΣ: Ο ΙΚΟΣ ΧΑΡΤΗΣ

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Μηχανισμοί Ελέγχου Προσπέλασης)

Εισαγωγή στο λειτουργικό σύστηµα Unix

ΞΕΚΛΕΙΔΩΤΕΣ ΠΟΡΤΕΣ ΈΡΕΥΝΑ ΔΕΊΧΝΕΙ ΌΤΙ ΟΙ ΕΚΤΥΠΩΤΈΣ ΜΈΝΟΥΝ ΕΥΆΛΩΤΟΙ ΣΕ ΚΥΒΕΡΝΟΕΠΙΘΈΣΕΙΣ

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

ΑΣΦΑΛΕΙΑ. Το περιβάλλον ασφάλειας Απειλές

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Αριστοµένης Μακρής Εργαστήρια Η/Υ

1. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και επεξεργαζόμαστε

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

Σχολή Προγραµµατιστών Ηλεκτρονικών Υπολογιστών (ΣΠΗΥ) Τµήµα Προγραµµατιστών Σειρά 112

Ασφάλεια Πληροφοριακών Συστημάτων

Εισβολείς. Προτεινόµενες ιστοσελίδες. Τεχνικές εισβολής Προστασία µε συνθηµατικό Στρατηγικές επιλογής συνθηµατικών Εντοπισµός εισβολών

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Σεµινάρια για Προσωπικό. Αρµοδιότητες της Α ΑΕ. Αθήνα, 14 Φεβρουαρίου 5 Μαρτίου

Βασικές έννοιες Ασφάλειας α) ιαθεσιµότητα: άµεσα προσπελάσιµες υπηρεσίες ενός δικτύου υπολογιστών για τους εξουσιοδοτηµένους χρήστες β) Εµπιστευτικότη

Δήλωση περί Απορρήτου Προσωπικών Δεδομένων της επιχείρησης PRAGMASSI Μ.Ι.Κ.Ε. (Privacy Notice)

Ασφάλεια στο ιαδίκτυο. Ασφάλεια στο διαδίκτυο. Λόγοι αύξησης περιστατικών. Επιθέσεις µέσω ηλεκτρονικού ταχυδροµείου. Πρώτο µείζον πρόβληµα: 1988

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Ταυτοποίηση και Αυθεντικοποίηση)

Πολιτική Προστασίας Δεδομένων

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΟΙΚΟΝΟΜΙΚΗ ΠΡΟΣΦΟΡΑ ΣΧΕ ΙΑΣΗΣ ΚΑΙ ΚΑΤΑΣΚΕΥΗΣ web εφαρµογής - ηλεκτρονικού κατατήµατος για έξυπνα κινητά

ΑΣΚΗΣΗ 1.1. ωστε παραδειγµατα απαιτησεων εµπιστευτικοτητας, ακεραιοτητας και διαθεσιµοτητας που υπαρχουν στο συγκεκριµενο συστηµα.

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

Γεωγραφικά Πληροφοριακά Συστήµατα (Geographical Information Systems GIS)

ΣΥΝΟΠΤΙΚΕΣ Ο ΗΓΙΕΣ ΛΕΙΤΟΥΡΓΙΑΣ ΓΙΑ Ο ΗΓΟΥΣ - DTCO

Ντίνα Καµπουράκη. Τµήµα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστηµάτων Πανεπιστήµιο Αιγαίου. Αντικείµενο µελέτης

Παρουσίαση Μεταπτυχιακής Εργασίας

Κατανεµηµένασυστήµατα αρχείων

Πολιτική Απορρήτου. Παρακαλούμε, διαβάστε την παρούσα Πολιτική Απορρήτου προσεκτικά.

Τεχνολογικά Επιτεύγµατα. Πλεονεκτήµατα. Ορισµός Κατανεµηµένου Συστήµατος. Μειονεκτήµατα. E-03: Λειτουργικά Συστήµατα ΙΙ 6. Εαρινό Εξάµηνο

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Εισαγωγικό Μάθημα Βασικές Έννοιες - Ανάλυση Απαιτήσεων

Οδηγίες Ηλεκτρονικής Υποβολής Προτάσεων

Ασφάλεια προσωπικών δεδομένων

ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΟ ΝΕΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (GDPR) ΥΠΟΧΡΕΩΣΕΙΣ ΟΔΟΝΤΙΑΤΡΩΝ

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ. Ο χρόνος και ο τρόπος τήρησης των αρχείων περιγράφεται στη διδικασία Δ.550, Έλεγχος και τήρηση αρχείων και μητρώων.

ΟΙΚΟΝΟΜΙΚΗ ΠΡΟΣΦΟΡΑ ΣΧΕ ΙΑΣΗΣ ΚΑΙ ΚΑΤΑΣΚΕΥΗΣ ΙΑ ΙΚΤΥΑΚΟΥ ΠΛΗΡΟΦΟΡΙΑΚΟΎ ΣΥΣΤΗΜΑΤΟΣ. Τρίτη, 7 Φεβρουαρίου 2012

Υπηρεσίες Πληροφόρησης στην Ψηφιακή Εποχή: Ζητήματα Ασφάλειας και Προστασίας Ιδιωτικότητας

Περιεχόµενα. Μέρος I Βασικά στοιχεία των Microsoft Windows XP Professional. Ευχαριστίες Εισαγωγή... 19

Πολιτική Προστασίας Προσωπικών Δεδομένων 2019

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Λειτουργικά Συστήματα. Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα

Για παράδειγµα ένα µήνυµα το οποίο θα ενηµερώνει τον καταναλωτή ότι πρόκειται να λήξει η πίστωσή του δε θα σβήνεται από την οθόνη, αλλά ένα µήνυµα

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-207

ΕΙΣΑΓΩΓΗ ΣΤΗ ΙΑ ΙΚΑΣΙΑ ΜΕΤΑΒΑΣΗΣ ΣΤΟ CLOUD COMPUTING. Κεφάλαιο 2: Από την οπτική εκείνων που λαµβάνουν αποφάσεις (decision makers)

ΣΥΣΚΕΥΕΣ ΑΠΟΘΗΚΕΥΣΗΣ (ΜΝΗΜΗ)

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

XEROX - ΕΛΤΙΟ ΑΣΦΑΛΕΙΑΣ XRX05-003

Παραβίαση της ασφάλειας των προσωπικών δεδομένων

Τεχνική Ανάλυση των η-υπογραφών & των η-πιστοποιητικών

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

Ιδιωτικό ιατρείο στα χρόνια του GDPR. Φελεκίδης Αναστάσιος. Ιατρός Οφθαλμίατρος, Ιατρικός Σύλλογος Ξάνθης

Βάσεις Περιβαλλοντικών Δεδομένων

ΤΕΧΝΟΛΟΓΙΑ ΛΟΓΙΣΜΙΚΟΥ

Διαχείριση Πολιτισμικών Δεδομένων

Επεξεργασία πραγµατικού χρόνου Κατάτµηση της µνήµης

Βασικές Έννοιες της Πληροφορικής

Ολοκληρωµένο Σύστηµα ιαχείρισης Ασφαλισµένου

Ενότητα 1η. Εισαγωγή στην Πληροφορική

ENOTHTA 8 IAXEIPIΣH KAI ΣYΣTHMATA APXEIΩN

Σκοπιµότητα των firewalls

Πολιτική απορρήτου. Το EURid είναι υπεύθυνο για την επεξεργασία των προσωπικών δεδομένων σας.

Transcript:

ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ Η προστασία πόρων (δεδοµένων και προγραµµάτων) από συµπτωµατική ή κακόβουλη τροποποίηση, καταστροφή ή διαρροή Ακεραιότητα Αυθεντικότητα Εγκυρότητα Εµπιστευτικότητα ιαθεσιµότητα

Γενικές έννοιες (1) Αγαθό οτιδήποτε χρήζει προστασίας, υλικό ή λογισµικό Ιδιοκτήτης ο νόµιµος κάτοχος ενός αγαθού Εξουσιοδότηση παροχή δικαιώµατος χρήσης από τον ιδιοκτήτη σε φυσικό πρόσωπο ή διαδικασία Χρήστης (εξουσιοδοτηµένος ή µη) αυτός που χρησιµοποιεί το αγαθό Αξία µέτρο έκφρασης της σπουδαιότητας του αγαθού Επίπτωση οι συνέπειες που µπορεί να έχει η απώλεια ή βλάβη του αγαθού

Γενικές έννοιες (2) Ρήγµα ασφάλειας (breach)( ή παραβίαση (violation)( συµβάν κατά το οποίο το αγαθό υφίσταται ζηµιά Αδυναµία (vulnerability) χαρακτηριστικό που είναι δυνατόν να επιτρέψει µια παραβίαση Απειλή (threat)( παράγων που µπορεί να προξενήσει ζηµιά Μέσο προστασίας (safeguard)( ενέργειες και µηχανισµοί για τον περιορισµό των κινδύνων Πρόληψη, ανίχνευση, επανόρθωση εφαρµογή µέσων προστασίας για να µη συµβεί παραβίαση Ανίχνευση εντοπισµός του ότι έγινε παραβίαση Επανόρθωση αποκατάσταση των επιπτώσεων της παραβίασης Κόστος Σε χρήµα, υποβάθµιση απόδοσης, δυσαρέσκεια

Γενικές έννοιες για να προστατεύσουµε κάποια αγαθά που έχουν συγκεκριµένη αξία και να µην υποστούµε τις επιπτώσεις που θα έχει µία παραβίαση που θα τα αφορά, θα πρέπει να χρησιµοποιήσουµε κάποια µέσα προστασίας που έχουν κάποιο κόστος Πιθανόν να επιλέξει ο ιδιοκτήτης ενός πληροφοριακού συστήµατος να µην εφαρµόσει κάποια µέσα προστασίας, διότι εκτιµά ότι το κόστος τους είναι υπερβολικό, σε σχέση µε την αξία τους και τους κινδύνους που διατρέχουν

ΑΣΦΑΛΕΙΑ Ή ΙΑΧΕΙΡΙΣΗ ΚΙΝ ΥΝΩΝ; Υπάρχει ασφαλές σύστηµα; Η εφαρµογή µέσων προστασίας έχει κόστος Τα αγαθά έχουν αξία Το κόστος προστασίας οφείλει να είναι ανάλογο της προστατευόµενης αξίας Το κόστος παραβίασης πρέπει να είναι υψηλότερο του οφέλους του εισβολέα από την παραβίαση

ΕΠΙΣΚΟΠΗΣΗ Παραδείγµατα συνηθισµένων απειλών Κατηγοριοποίηση των απειλών Μηχανισµοί προστασίας Τεχνικές διασφάλισης της ασφάλειας των συστηµάτων Ασφάλεια δικτύων

Συνηθισµένες απειλές (1) Αποκάλυψη συνθηµατικών Εξαντλητική αναζήτηση Λίστες συχνά χρησιµοποιούµενων συνθηµατικών Προκαθορισµένα συνθηµατικά Οι «κακοί» διευκολύνονται από τους γρήγορους υπολογιστές και τα δίκτυα

Συνηθισµένες απειλές (2) Πλοήγηση Μετά την επιτυχία της πρώτης εισβολής, συλλέγονται δεδοµένα και πληροφορίες για επίθεση ευρύτερης κλίµακας Αναζήτηση σε σελίδες µνήµης ή σε µπλοκ δίσκου για χρήσιµες πληροφορίες

Συνηθισµένες απειλές Αντιποίηση (spoofing)( spoofing): : Ο χρήστης πιστεύει ότι αλληλεπιδρά µε το σύστηµα ή τον προτιθέµενο δικτυακό τόπο Υποκλοπείς συνθηµατικών Παραφθαρµένα ονόµατα δικτυακών τόπων» https://www.amason amason.com/online-shop/cart?item=20 Πλαστές δικτυακές διευθύνσεις

Συνηθισµένες απειλές ούρειοι Ίπποι Προγράµµατα µε «περισσότερη λειτουργικότητα» απ ό,τι υπόσχονται» Κειµενογράφοι που θέτουν τα αρχεία να είναι αναγνώσιµα-εγγράψιµα από όλους» Προγράµµατα υποκλοπής διευθύνσεων, συνθηµατικών, στοιχείων του υπολογιστή» Κάθε πρόγραµµα είναι τόσο «ύποπτο» όσο ο συγγραφέας του ή το δίκτυο διανοµής του

Συνηθισµένες απειλές ούρειοι ίπποι εδοµένα

Συνηθισµένες απειλές Παραπόρτια (trapdoors( trapdoors) Τροποποιήσεις συστηµάτων που εγκαθίστανται από εισβολείς και που δίνουν πρόσβαση στους εισβολείς» Προγράµµατα login που δίνουν δικαιώµατα υπερχρήστη για συγκεκριµένα ονόµατα σύνδεσης» Back Orifice Ενίοτε εγκαθίστανται από τους κατασκευαστές

Συνηθισµένες απειλές Ιοί Προγράµµατα που «µολύνουν» άλλα προγράµµατα, ενσωµατώνοντας σ αυτά -πιθανώς εξελιγµένα- αντίγραφα του εαυτού τους» Βλάβες: διαγραφή/αλλοίωση αρχείων, υποβάθµιση απόδοσης, κατανάλωση χώρου, ενόχληση» Βασικοί τρόποι διάδοσης: τοµείς εκκίνησης, εκτέλεση µολυσµένου προγράµµατος, εκτέλεση δικτυακής εφαρµογής, άνοιγµα «παραλλαγµένου» συνηµµένου αρχείου, χρήση διαµοιρασµένου πόρου

Συνηθισµένες απειλές ιαρροή πληροφοριών ιεργασίες που είναι εξουσιοδοτηµένες να προσπελαύνουν δεδοµένα τα αποκαλύπτουν σε χρήστες που δεν είναι εξουσιοδοτηµένοι Συµπερασµός δεδοµένων Η συσχέτιση φαινοµενικά άσχετων δεδοµένων οδηγεί σε εξαγωγή πληροφοριών

Στατιστικές βάσεις δεδοµένων Οι στατιστικές βάσεις δεδοµένων δίνουν πληροφορίες για οµάδες πληθυσµού, αλλά όχι για µεµονωµένα άτοµα Με κατάλληλες ερωτήσεις είναι δυνατόν να εξαχθούν ατοµικές πληροφορίες «Πλήθος Πλήθος και µέσος µισθός των ανδρών µε ηλικία µικρότερη των 35 ετών» (10, 2000) «Πλήθος και µέσος µισθός των ανδρών µε ηλικία µικρότερη των 34 ετών» (9, 1800)

Συνηθισµένες απειλές Πλαστογράφηση Η µη εξουσιοδοτηµένη τροποποίηση δεδοµένων» Αποθηκευµένα δεδοµένα» Μεταδιδόµενα δεδοµένα Παρεµπόδιση παροχής υπηρεσιών Υποβάθµιση απόδοσης ή ολική αποτροπή της πρόσβασης των εξουσιοδοτηµένων χρηστών Μη ηθεληµένη καταστροφή Εξουσιοδοτηµένοι χρήστες πραγµατοποιούν ατυχείς ενέργειες

Προβλήµατα στην ασφάλεια δεν αναφέρονται Η αναφορά ενός προβλήµατος δίνει ιδέες σε άλλους επίδοξους εισβολείς Η αρνητική δηµοσιότητα διώχνει πελάτες και δυσαρεστεί τους µετόχους Πολλές φορές η σηµασία ενός συµβάντος υποβαθµίζεται

ιαστάσεις της ασφάλειας (1) Εµπιστευτικότητα: : οι πληροφορίες είναι προσπελάσιµες µόνο από εξουσιοδοτηµένους χρήστες Ακεραιότητα: : τα δεδοµένα και τα προγράµµατα τροποποιούνται και καταστρέφονται µόνο µε καλά καθορισµένους τρόπους και µε κατάλληλη εξουσιοδότηση ιαθεσιµότητα: : Οι εξουσιοδοτηµένοι χρήστες θα µπορούν να χρησιµοποιήσουν δεδοµένα, προγράµµατα και υπηρεσίες όταν το επιθυµήσουν

ιαστάσεις της ασφάλειας (2) Αυθεντικότητα: : εξασφάλιση ότι τα δεδοµένα είναι απαλλαγµένα ατελειών και ανακριβειών κατά τις εξουσιοδοτηµένες τροποποιήσεις Εγκυρότητα: : εξασφάλιση ότι τα δεδοµένα είναι ακριβή και πλήρη

Ασφάλεια σε δικτυακό περιβάλλον ίκτυο: ένα σύνολο διασυνδεδεµένων υπολογιστών Οι υπολογιστές παρέχουν υπηρεσίες και αποθηκεύουν πληροφορίες Οι χρήστες προσπελαύνουν υπηρεσίες και ανταλλάσσουν ή/και αποθηκεύουν πληροφορίες Απαίτηση: Να εξασφαλιστεί η εµπιστευτικότητα, η ακεραιότητα και η διαθεσιµότητα

Ασφάλεια σε δικτυακό περιβάλλον - Προσεγγίσεις Ισχυρή διακρίβωση ταυτότητας των ενεχόµενων µερών (χρηστών-συστηµάτων) συστηµάτων) Αξιόπιστοι µηχανισµοί ελέγχου εξουσιοδότησης/προσπέλασης Αποτελεσµατικοί έλεγχοι κατάχρησης δικαιωµάτων Άψογα πρωτόκολλα, λειτουργικά συστήµατα, εφαρµογές Τέλειες πολιτικές, απαράβατη εφαρµογή τους Κάθε χρήστης είναι ειδικός στην ασφάλεια

ικτυακή ασφάλεια η πραγµατικότητα εν εφαρµόζονται αποτελεσµατικοί µέθοδοι προστασίας εν εγκαθίστανται οι επιδιορθώσεις που παρέχονται από τους κατασκευαστές λογισµικού Η δικτυακή πρόσβαση δεν απαιτεί επαρκή πιστοποίηση, η πρόσβαση στους «εσωτερικούς» υπολογιστές δεν παρακολουθείται και δεν ελέγχεται εν διατίθεται προσωπικό για ζητήµατα ασφάλειας εν εφαρµόζονται πολιτικές «Ωχ αδελφέ, δεν θα το βρουν»

Ποιοι και πώς επιτίθενται

Προσεγγίσεις στην ασφάλεια Ορισµός ασφαλών διαδικασιών Μηχανισµοί για επιβολή των µέτρων ασφαλείας ιασφάλιση µέσω ανάλυσης-επαλήθευσης

Μηχανισµοί προστασίας ιακρίβωση ταυτότητας Έλεγχος προσπέλασης

ιακρίβωση ταυτότητας Το σύστηµα προσπαθεί να εξακριβώσει µε ποιον συνδιαλλάσσεται εξετάζοντας: αν ο χρήστης γνωρίζει κάτι (κάποιο µυστικό, συνθηµατικό, προσωπικό αριθµό αναγνώρισης κ.λπ λπ.) αν ο χρήστης κατέχει κάτι (έξυπνη κάρτα, κάρτα αυτόµατων συναλλαγών κ.ά.) αν ο χρήστης έχει κάποιο βιοµετρικό χαρακτηριστικό (δακτυλικά αποτυπώµατα, ίριδα µατιού κ.ο.κ.)

ιακρίβωση ταυτότητας µέσω στοιχείων που ο χρήστης γνωρίζει Συνήθως ζητάται κάποια ταυτότητα και κάποιο συνθηµατικό Στη γενική περίπτωση οι ταυτότητες είναι δηµόσια γνωστές, τα συνθηµατικά όχι Το συνθηµατικό συγκρίνεται µε αυτό που έχει το σύστηµα αποθηκευµένο στο αρχείο συνθηµατικών

Αξιολόγηση προσέγγισης Θετικά οκιµασµένη τεχνική Εύκολα κατανοητή από τους χρήστες Ενσωµατωµένη στα περισσότερα λειτουργικά συστήµατα Αρνητικά Τα συνθηµατικά µπορεί να «µαντευθούν«µαντευθούν» Οι χρήστες µπορεί να διαµοιράζονται τα συνθηµατικά Τα συνθηµατικά µπορεί να υποκλαπούν Μπορεί να εξαχθούν πληροφορίες από το αρχείο συνθηµατικών

Αποφυγή µαντέµατος συνθηµατικών Είναι σκόπιµο να αποφεύγονται: Κενά συνθηµατικά Ονόµατα, επώνυµα, ηµεροµηνίες γέννησης, αριθµοί ταυτότητας, τηλέφωνα, διευθύνσεις Το όνοµα χρήστη Τα παραπάνω γραµµένα ανάποδα, ή µε µείγµατα πεζών- κεφαλαίων χαρακτήρων Ονόµατα οδών, πόλεων, «υπαρκτές» λέξεις Είναι σκόπιµο να: χρησιµοποιούνται συνθηµατικά µε µεγάλο πλήθος χαρακτήρων» υνατοί συνδυασµοί: 96 πλήθος χαρακτήρων Να αλλάζουν σε τακτά χρονικά διαστήµατα Αρκετοί κανόνες είναι δυνατόν να εφαρµόζονται από το σύστηµα

Αποφυγή διαµοιρασµού εν αποκαλύπτουµε το συνθηµατικό σε συναδέλφους, φίλους κ.λπ λπ., ούτε σε άτοµα που δηλώνουν «υπεύθυνοι ασφάλειας» εν γράφουµε το συνθηµατικό, ειδικότερα σε προφανή σηµεία

Αποφυγή υποκλοπής Τα συνθηµατικά υποκλέπτονται: σε κανάλια επικοινωνίας» ασφαλή κανάλια» «κρυπτογράφηση µίας φοράς» όταν ο χρήστης τα εισάγει σε προγράµµατα που αναπαράγουν τη διεπαφή του συστήµατος» Πλήκτρα ενεργοποίησης διαδικασίας σύνδεσης Αποτρέπει προσπάθειες αντιποίησης Εγγυάται ασφαλή πρόσβαση στο σύστηµα Ο χρήστης πρέπει να τα χρησιµοποιήσει

Αποφυγή διαρροής του αρχείου Απλοϊκή προσέγγιση συνθηµατικών Αποθηκεύω το συνθηµατικό σε προστατευµένο αρχείο, συγκρίνω µε αυτό που δίνει ο χρήστης Καλύτερη προσέγγιση Κρυπτογραφώ το συνθηµατικό µε µονόδροµη συνάρτηση, το αποθηκεύω σε προσβάσιµο αρχείο. Κρυπτογραφώ και αυτό που δίνει ο χρήστης και συγκρίνω Επιθέσεις µε λεξικά ή «ωµή βία» Ακόµη καλύτερη προσέγγιση Όπως στη δεύτερη περίπτωση, αλλά το αρχείο αποθήκευσης συνθηµατικών είναι προστατευµένο

ιακρίβωση ταυτότητας µέσω στοιχείων που ο χρήστης κατέχει Ο χρήστης πρέπει να έχει στην κατοχή του ένα διακριτικό (token), το οποίο παρουσιάζει στο σύστηµα Συνήθως συνδυάζεται µε κάτι που ο χρήστης γνωρίζει (προσωπικός αριθµός αναγνώρισης) ύο τύποι: διακριτικά µνήµης έξυπνα διακριτικά

ιακριτικά µνήµης Συνήθως κάρτες µε µαγνητική ταινία όπου αποθηκεύεται η ταυτότητα του χρήστη Στη γενική περίπτωση ζητάται κάτι που ο χρήστης γνωρίζει, εκτός από συστήµατα ελέγχου φυσικής πρόσβασης Γράφονται και διαβάζονται από εξειδικευµένες συσκευές για τη χρήση του απαιτείται µόνο συσκευή ανάγνωσης

Αξιολόγηση διακριτικών µνήµης Πιο ασφαλή από το συνδυασµό ταυτότητα-συνθηµατικό ιευκολύνουν την παραγωγή αρχείων καταγραφής Αν χρησιµοποιείται το ίδιο διακριτικό για φυσική πρόσβαση και πρόσβαση στον υπολογιστή, αποκλείεται να αφήσει κάποιος χρήστης τον υπολογιστή του όντας συνδεδεµένος Απαιτούν εξειδικευµένες συσκευές ανάγνωσης ιαχειριστικό και οικονοµικό κόστος, καθώς και απώλεια πρόσβασης όταν χάνεται το διακριτικό Οι χρήστες δεν το αποδέχονται πάντα

Έξυπνα διακριτικά Ένα έξυπνο διακριτικό αποτελείται από: ένα διακριτικό µνήµης ολοκληρωµένα κυκλώµατα επεξεργασίας διεπαφή για επικοινωνία µε ανθρώπους ή µηχανές

Έξυπνα διακριτικά Τρόπος λειτουργίας Ο χρήστης πιστοποιεί τον εαυτό του στο έξυπνο διακριτικό, εισάγοντας ένα συνθηµατικό ή έναν προσωπικό αριθµό αναγνώρισης Το υπολογιστικό σύστηµα ανταλλάσσει ταυτότητες µε το διακριτικό και στέλνει στο διακριτικό έναν κωδικό, τον οποίο το διακριτικό επεξεργάζεται και επιστρέφει την απάντηση στο σύστηµα Το σύστηµα ελέγχει αν πρόκειται για παραδεκτή απάντηση από το συγκεκριµένο διακριτικό. Αν ναι, η ταυτότητα του χρήστη έχει διακριβωθεί Είναι πιθανόν κάποια τµήµατα να γίνονται από τον ίδιο τον χρήστη

Αξιολόγηση έξυπνων διακριτικών Μεγαλύτερη ασφάλεια σε σχέση µε τα διακριτικά µνήµης Συνθηµατικά µίας χρήσης ελαττωµένος κίνδυνος παραχάραξης η µνήµη διαβάζεται µόνο αν έχει πιστοποιηθεί ο χρήστης στο διακριτικό ιτικό πολύπλοκα κυκλώµατα = δύσκολη κατασκευή πλαστών διακριτικών Μεγαλύτερη ευελιξία Χρήση µε πολλά υπολογιστικά συστήµατα το διακριτικό περιέχει τη λογική συνδιαλλαγής µε το καθένα, ο χρήστης πιστοποιεί τον εαυτό του στο διακριτικό Αυξηµένο διαχειριστικό και οικονοµικό κόστος, καθώς και απώλεια πρόσβασης όταν χάνεται το διακριτικό Οι χρήστες δεν το αποδέχονται πάντα, ειδικότερα όταν πρέπει να πληκτρολογούν εκτενείς συµβολοσειρές

ιακρίβωση ταυτότητας βάσει βιοµετρικών χαρακτηριστικών Ανάγνωση βιοµετρικών χαρακτηριστικών του ανθρώπου που είναι µοναδικά δακτυλικά αποτυπώµατα ίριδα µατιού χροιά φωνής Σύγκριση του χαρακτηριστικού µε το πρότυπο που εγνωσµένα ανήκει στον χρήστη Όχι ώριµη τεχνολογία πιθανά σφάλµατα (π.χ. η χροιά της φωνής αλλάζει λόγω κρυολογήµατος) Μεγάλο κόστος Σηµαντικά προβλήµατα αποδοχής από τους χρήστες Αν δουλέψει, παρέχει πολύ καλή ασφάλεια

Έλεγχος προσπέλασης Ο περιορισµός της πρόσβασης του χρήστη µόνο στα αντικείµενα που δικαιούται Έννοιες Υποκείµενα: : Οι ενεργές οντότητες στο σύστηµα (χρήστες, διεργασίες, υπηρεσίες) Αντικείµενα: : Οι πόροι ή οι παθητικές οντότητες στο σύστηµα (αρχεία, συσκευές, προγράµµατα) Τρόπος προσπέλασης: : ανάγνωση, εγγραφή, εκτέλεση, αναφορά ιδιοχαρακτηριστικών Ελέγχουµε αν το υποκείµενο έχει δικαίωµα για τον συγκεκριµένο τρόπο προσπέλασης στο αντικείµενο

Είδη ελέγχου προσπέλασης Κατ επιλογήν Ο ιδιοκτήτης του κάθε αντικειµένου αποφασίζει ποιο υποκείµενο έχει δικαίωµα να το προσπελάσει και πώς Υποχρεωτικός Το σύστηµα αποφασίζει ποιο υποκείµενο να προσπελάσει κάθε αντικείµενο και τους επιτρεπτούς τρόπους Η απόφαση βασίζεται στα ιδιοχαρακτηριστικά του χρήστη και του πόρου

Παραδείγµατα κατ επιλογήν ελέγχου προσπέλασης Συνθηµατικά για πρόσβαση αρχείων Bits RWX του Unix για ιδιοκτήτη, οµάδα, λοιπούς Πίνακες ελέγχου προσπέλασης µε µορφή: λιστών ελέγχου προσπέλασης λιστών προσδιοριστών δικαιωµάτων

Bits RWX R W X R W X R W X Ιδιοκτήτης Οµάδα Λοιποί Εύκολη υλοποίηση από άποψης συστήµατος Σχετικά κατανοητό από τους χρήστες ύσκαµπτο για λεπτοµερή ανάθεση δικαιωµάτων

Πίνακες ελέγχου πρόσβασης Αντικείµενα Α1 Α2 Α3 Α4 Α5 Υ1 R RWD R Υποκείµενα Υ2 Υ3 R X RXD W R X Υ4 RW R XD

Λίστες ελέγχου προσπέλασης & προσδιοριστών δικαιωµάτων Α1 Α2 Α3 Α4 Α5 Υ1 Υ2 Υ3 X RXD W X Λίστα προσδιοριστών δικαιωµάτων Υ3 Λίστα ελέγχου προσπέλασης

Υποχρεωτικός Έλεγχος Προσπέλασης Κάθε υποκείµενο έχει ένα επίπεδο ασφάλειας Κάθε αντικείµενο έχει ένα επίπεδο ασφάλειας Το κάθε επίπεδο ασφάλειας αποτελείται από µια διαβάθµιση και ένα σύνολο κατηγοριών Στην πρόσβαση συγκρίνονται τα επίπεδα ασφάλειας ίσο, µεγαλύτερο, µικρότερο, µη συγκρίσιµο

Υποχρεωτικός Έλεγχος Προσπέλασης - Παράδειγµα Τρία επίπεδα ασφάλειας αδιαβάθµητο,, εµπιστευτικό, απόρρητο Τρεις κατηγορίες ασφάλειας προµήθειες, λογιστήριο, διοίκηση εµπιστευτικό/(προµήθειες) = εµπιστευτικό/(προµήθειες) απόρρητο/(προµήθειες) > εµπιστευτικό/(προµήθειες) εµπιστευτικό/(προµήθειες) < εµπιστευτικό(προµήθειες, λογιστήριο) απόρρητο(προµήθειες) µη συγκρίσιµο απόρρητο(λογιστήριο)

Υποχρεωτικός Έλεγχος Προσπέλασης - Εφαρµογή Η ανάγνωση επιτρέπεται αν το υποκείµενο έχει µεγαλύτερο ή ίσο επίπεδο ασφάλειας από το αντικείµενο (no( read-up) Η εγγραφή επιτρέπεται αν το υποκείµενο έχει µικρότερο ή ίσο επίπεδο ασφάλειας από το αντικείµενο (no( write-down)

Επόπτης αναφορών Ελέγχει όλες τις αναφορές για να εγγυηθεί ότι εφαρµόζονται οι κανόνες Υποκείµενα Επόπτης αναφορών Αντικείµενα Στοιχεία εξουσιοδοτήσεων, ταυτοτήτων, δικαιωµάτων κ.λπ. Πρέπει να µην µπορεί να παρακαµφθεί, να ξεγελαστεί, να έχει δυνατότητα καταγραφής και να µπορεί να αποδειχθεί η ορθότητά του

Πυρήνας ασφάλειας Χρήστες Εφαρµογές Λειτουργικό Σύστηµα Υλικό Χρήστες Εφαρµογές Πυρήνας ασφάλειας + Λοιπό Λειτουργικό Σύστηµα Υλικό Έµπιστες οντότητες Υπεύθυνος για την υλοποίηση όλων των µηχανισµών ασφάλειας του Λ.Σ. και σε όλα τα επίπεδα (υλικό, εφαρµογές, χρήστες κ.λπ λπ.) Υπέρ: ιαχωρισµός, ενοποίηση, συντηρησιµότητα,, επαλήθευση Κατά: Υποβάθµιση απόδοσης, µέγεθος, δυσκολία ενσωµάτωσης σε υπάρχοντα λειτουργικά συστήµατα (άλλη δοµή) Οι έµπιστες οντότητες επιτρέπεται να εκτελέσουν ενέργειες πέρα από α τις δικαιοδοσίες τους ΑΛΛΑ πρέπει να µπορούν να παρακολουθηθούν/επαληθευθούν

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια