Ασφάλεια Πληροφοριακών Συστηµάτων Αρχιτεκτονική Ασφάλειας

Σχετικά έγγραφα
Αρχιτεκτονική Ασφάλειας

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

8.3 Ασφάλεια ικτύων. Ερωτήσεις

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Πληροφορική Ι. Μάθημα 10 ο Ασφάλεια. Τμήμα Χρηματοοικονομικής & Ελεγκτικής ΤΕΙ Ηπείρου Παράρτημα Πρέβεζας. Δρ. Γκόγκος Χρήστος

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

(Εννοιολογική θεμελίωση)

Ασφάλεια Υπολογιστικών Συστηµάτων

Ασφάλεια Πληροφοριακών Συστημάτων

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

ISMS κατά ISO Δεκέμβριος 2016

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ Ι. Σημειώσεις Θεωρίας

ΚΕΦΑΛΑΙΟ 1.7. Πρωτόκολλα και Αρχιτεκτονική Δικτύου

Ασφάλεια στο δίκτυο GSM

1.2.1 Το μοντέλο αναφοράς για τη Διασύνδεση Ανοικτών Συστημάτων (OSI) 1 / 19

Τεχνολογία Δικτύων Επικοινωνιών (Ενότητα Πρωτόκολλα και Αρχιτεκτονική Δικτύου)

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

Αυθεντικότητα Μηνυμάτων Συναρτήσεις Hash/MAC

Ασφάλεια Πληροφοριακών Συστηµάτων. Αυθεντικότητα Μηνυµάτων 1

Ασφάλεια Υπολογιστικών Συστημάτων

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Κρυπτογραφία Δημόσιου Κλειδιού II Αλγόριθμος RSA

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Ασφάλεια Υπολογιστικών Συστηµάτων

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

Πρότυπο Αναφοράς Open Systems Interconnection (OSI) Επικοινωνίες Δεδομένων Μάθημα 5 ο

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ Lab 3

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Διακριτά Μαθηματικά ΙΙ Χρήστος Νομικός Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πανεπιστήμιο Ιωαννίνων 2018 Χρήστος Νομικός ( Τμήμα Μηχανικών Η/Υ Διακριτά

ΑΠΟΦΑΣΗ. (αριθμ.: 53 /2009)

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Πρότυπα εξασφάλισης του απορρήτου των δεδομένων ( vs Patient Link)

Ασφάλεια Πληροφοριακών Συστημάτων Αρχιτεκτονική Ασφάλειας

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

ΑΣΥΜΜΕΤΡΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

EΠΙΣΗΜΑΝΣΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY NOTICE)

Security & Privacy. Overview

ΟΡΟΙ & ΠΡΟΥΠΟΘΕΣΕΙΣ Α. ΓΕΝΙΚΟΙ ΟΡΟΙ

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΣΥΝΑΛΛΑΓΕΣ

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

SOS Ερωτήσεις Δίκτυα Υπολογιστών ΙΙ

Κεφάλαιο 1. Επισκόπηση

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

8.3 Ασφάλεια Δικτύου Ασφάλεια Πληροφοριών Επεξήγηση Ορολογίας Μέθοδοι Παραβίασης

Ασφαλίστε τις εμπιστευτικές πληροφορίες σας.

1.8 Το μοντέλο OSI 1 / 33

Κρυπτογραφία. Κεφάλαιο 1 Γενική επισκόπηση

Μάθημα 5: To Μοντέλο Αναφοράς O.S.I.

ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΣΧΕΔΙΟ

Λειτουργικά Συστήματα (ΗΥ321)

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

Ασφάλεια Πληροφοριακών Συστημάτων. Διάλεξη 5 η : Πολιτικές Ασφάλειας

How does blockchain apply to cyber security

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΚΗ

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 6 ΣΕΛΙΔΕΣ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

ΕΚΦΩΝΗΣΕΙΣ ΘΕΜΑ Α. α. Πριν εμφανιστεί η τεχνολογία ISDN οι υπηρεσίες φωνής, εικόνας και δεδομένων απαιτούσαν διαφορετικά δίκτυα.

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. Συναρτήσεις Κατακερματισμού

Προδιαγραφή και Επαλήθευση Πρωτοκόλλων Ασφαλείας Συστημάτων Κινητών Επικοινωνιών με Χρήση Τυπικών Μεθόδων

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΛΟΠΟΝΝΗΣΟΥ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΠΜΣ: Προηγμένα Τηλεπικοινωνιακά Συστήματα και Δίκτυα

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Τεχνολογίες & Εφαρμογές Πληροφορικής Ενότητα 10: Ασφάλεια στο Διαδίκτυο

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ 1 ο ΚΕΦΑΛΑΙΟ

Κρυπτογραφία και Ηλεκτρονικοί Υπολογιστές. ΣΥΝΤΕΛΕΣΤΕΣ: Κραβαρίτης Αλέξανδρος Μαργώνη Αγγελική Χαλιμούρδα Κων/να

Πρωτόκολλα Ασφάλειας IΙ

Cryptography and Network Security Overview & Chapter 1. Fifth Edition by William Stallings

Σκοπιµότητα των firewalls

Λιβανός Γιώργος Εξάμηνο 2017Β

Σύνταξη κειμένου : Γεώργιος Μαμαλάκης, MSc Επιμέλεια κειμένου : Κωνσταντίνος Βασιλάκης, PhD

ΑΣΦΑΛΕΙΑ ΣΕ ΑΣΥΡΜΑΤΑ ΔΙΚΤΥΑ ΑΙΣΘΗΤΗΡΩΝ

ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ - ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΕΠΛ 131: ΑΡΧΕΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ I ΕΡΓΑΣΙΑ 2

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

Κωδικός: ΠΑ Έκδοση :1 Ημερ/νια: 16/5/2018 Σελίδα 1 από 7 ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ. Με την παρούσα Πολιτική Απορρήτου θέλουμε να σας ενημερώσουμε:

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

ΔΙΑΚΗΡΥΞΗ ΔΗΜΟΠΡΑΣΙΑΣ ΜΕ ΑΡΙΘΜΟ ΔΔ-...

ΑΠΟΦΑΣΗ. (αριθμ.: 52 /2009)

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

Transcript:

Αρχιτεκτονική Ασφάλειας Τμήμα Μηχανικών Πληροφορικής ΤΕΙ Κρήτης Αρχιτεκτονική Ασφάλειας 1

Ασφάλεια Πληροφοριών Η ασφάλεια ενός οποιουδήποτε συστήµατος, ασχολείται µε την προστασία αντικειµένων που έχουν κάποια αξία, γενικά γνωστά ως αγαθά Η αξία των αγαθών µειώνεται αν υποστούν ζηµιά Αν δεχτούµε ότι υπάρχουν κίνδυνοι που µπορούν να µειώσουν την αξία των αγαθών, θα πρέπει να λάβουµε τα αντίστοιχα µέτρα προστασίας τους Τα µέτρα αυτά προφανώς θα έχουν κάποιο κόστος (χρηµατικό και σε κόπο) Προφανώς θα πρέπει να σταθµίσουµε το κόστος προστασίας των αγαθών µε το αντίστοιχο ρίσκο αλλά και µε το κόστος των ίδιων των αγαθών Αν λάβουµε µειωµένα (πληµµελή) µέτρα προστασίας, η ασφάλεια των αγαθών δεν θα είναι εξασφαλισµένη Ο ιδιοκτήτης των αγαθών είναι υπεύθυνος να σταθµίσει το κόστος προστασίας ανάλογα µε το κίνδυνο και την αξία των αγαθών, και να αποφασίσει ποιο είναι το σηµείο ισορροπίας Αρχιτεκτονική Ασφάλειας 2

Ασφάλεια Πληροφοριών Σε ένα πληροφοριακό σύστημα, ως αγαθά θα πρέπει να θεωρήσουμε τα δεδομένα που διακινούνται και αποθηκεύονται σε αυτό, καθώς και τους υπολογιστικούς πόρους (εξοπλισμό) που το απαρτίζουν. Ο ιδιοκτήτης έχει τη δυνατότητα να καθορίσει ποιος μπορεί να έχει χρησιμοποιήσει, να μεταβάλλει, ή να διαθέσει το αγαθό Εκτός από τους ιδιοκτήτες τα αγαθά μπορεί να χρησιμοποιούνται και από τους χρήστες, οι οποίοι μπορεί να έχουν διαφορετικούς βαθμούς πρόσβασης σε αυτά Για παράδειγμα, ο χρήστης μιας ιστοσελίδας έχει δυνατότητα να διαβάσει το περιεχόμενο ή να κατεβάσει αρχεία, αλλά δεν μπορεί να αλλάξει το περιεχόμενο τους Από το παράδειγμα μας είναι ήδη προφανές ότι ιδιοκτήτης και χρήστης ενός πληροφοριακού αγαθού, δεν είναι απαραίτητα το ίδιο άτομο Η έννοια του χρήστη δεν αναφέρεται αναγκαστικά σε κάποιο φυσικό πρόσωπο: διεργασίες που εκτελούνται μέσα στο ίδιο το σύστημα και έχουν πρόσβαση στα δεδομένα θεωρούνται επίσης χρήστες των δεδομένων Αρχιτεκτονική Ασφάλειας 3

Ασφάλεια Πληροφοριών Από τη στιγμή που υπάρχει η έννοια της ιδιοκτησίας, θα πρέπει να εισάγουμε και την έννοια της εξουσιοδότησης Εξουσιοδότηση είναι η άδεια που παρέχει ο ιδιοκτήτης σε κάποιον τρίτο (χρήστη) για τη χρήση των δεδομένων ή/και των υπολογιστικών πόρων του δικτύου Ένα από τα σημαντικότερα προβλήματα ασφάλειας είναι η εξασφάλιση ότι μόνο εξουσιοδοτημένοι χρήστες θα έχουν πρόσβαση στα δεδομένα Ένα ακόμα πρόβλημα είναι ότι οι εξουσιοδοτημένοι χρήστες μπορεί να θελήσουν να χρησιμοποιήσουν την πρόσβαση τους για να αποκτήσουν περισσότερα δικαιώματα σε σημεία του συστήματος που δεν έχουν πρόσβαση Αρχιτεκτονική Ασφάλειας 4

Υπηρεσίες Ασφάλειας Ασφάλεια Συστημάτων 4 διαστάσεις Απειλές Επιθέσεις Μηχανισμοί ασφάλειας Υπηρεσίες ασφάλειας Αρχιτεκτονική Ασφάλειας 5

Απειλές / Επιθέσεις Οι επιθέσεις είναι πράξεις που εκθέτουν ιδιωτικές πληροφορίες που ανήκουν σε άτομα / οργανισμούς Παθητικές επιθέσεις Παρακολούθηση με σκοπό την υποκλοπή δεδομένων Καταγραφή της δομής της επικοινωνίας Ενεργές επιθέσεις Πλαστοπροσωπία (masuerade) Τροποποίηση περιεχομένου μηνυμάτων (modificatio) Άρνηση υπηρεσίας (deial of service) Αρχιτεκτονική Ασφάλειας 6

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 7

Απειλές / Επιθέσεις Αρχιτεκτονική Ασφάλειας 8

Μηχανισµοί ασφάλειας Σχεδιασμένοι να αποτρέπουν, να εντοπίζουν, και να θεραπεύουν από απειλές εν υπάρχει ένας μοναδικός μηχανισμός που να ικανοποιεί όλες τις απαιτήσεις Οι περισσότεροι μηχανισμοί χρησιμοποιούν μεθόδους κρυπτογραφίας Παραδείγματα Κρυπτογράφηση Ψηφιακές υπογραφές Πρωτόκολλα για επαλήθευση αυθεντικότητας, κλπ. Αρχιτεκτονική Ασφάλειας 9

Μηχανισµοί ασφάλειας Έλεγχοι στο software Operatig System Database Έλεγχοι στο hardware Smartcards Ελεγχόμενες διαδικασίες (Πολιτικές) Αλλαγή password Φυσικοί έλεγχοι Προσωπικό Αρχιτεκτονική Ασφάλειας 10

Υπηρεσίες ασφάλειας Σκοπός είναι να αποτρέψουν τις απειλές Χρησιμοποιούν ένα ή περισσότερους μηχανισμούς ασφάλειας Υλοποιούν διαδικασίες οι οποίες μέχρι πρόσφατα εφαρμοζόταν σε φυσικά αντικείμενα Έγγραφα (π.χ. υπογραφή και ασφαλής μεταφορά) Αρχιτεκτονική Ασφάλειας 11

Υπηρεσίες ασφάλειας ITU-T X.800 Security Architecture for OSI ISO-17799 (http://www.isosecuritysolutios.com/stadardmai.html) Αυθεντικότητα (Autheticatio) Εμπιστευτικότητα (Data Cofidetiality) Ακεραιότητα (Data Itegrity) Αποτροπή άρνησης παραδοχής συμμετοχής (No-Repudiatio) Έλεγχος πρόσβασης (Access Cotrol) ιαθεσιμότητα (Availability) Αρχιτεκτονική Ασφάλειας 12

Υπηρεσίες ασφάλειας Αυθεντικότητα Η απόδειξη της ταυτότητας του χρήστη προκειμένου να του επιτραπεί η πρόσβαση στα αγαθά που παρέχει το σύστημα Ένας γνωστός τρόπος είναι η χρήση του συνδυασμού ονόματος χρήστη/κωδικού πρόσβασης (userame/password) Αρχιτεκτονική Ασφάλειας 13

Υπηρεσίες ασφάλειας Εμπιστευτικότητα Η διασφάλιση ότι η πληροφορία είναι διαθέσιμη μόνο σε αυτούς που έχουν εγκριθεί για να έχουν πρόσβαση Παραβίαση της εμπιστευτικότητας έχουμε όταν πληροφορία που θεωρείται εμπιστευτική έχει προσπελαστεί, χρησιμοποιηθεί, αντιγραφεί ή γνωστοποιηθεί σε, ή από, άτομα που δεν είναι εξουσιοδοτημένα για να έχουν πρόσβαση σε αυτήν Αρχιτεκτονική Ασφάλειας 14

Υπηρεσίες ασφάλειας Ακεραιότητα Η διαφύλαξη της ακρίβειας και της πληρότητας της πληροφορίας και των μεθόδων επεξεργασίας Πρακτικά αυτό σημαίνει ότι δεν μπορούν να δημιουργηθούν, να αλλαχτούν ή να διαγραφούν δεδομένα χωρίς εξουσιοδότηση Απώλεια ακεραιότητας έχουμε όταν για παράδειγμα ένας υπάλληλος διαγράψει κατά λάθος ή εσκεμμένα σημαντικά αρχεία δεδομένων από τον υπολογιστή του Αρχιτεκτονική Ασφάλειας 15

Υπηρεσίες ασφάλειας Μη άρνηση ταυτότητας (o-repudiatio) Η δυνατότητα απόδοσης πράξεων (ευθυνών) σε κάποιο συγκεκριμένο χρήστη Πολύ απλά, η δυνατότητα να δούμε ποιος έκανε οποιαδήποτε αλλαγή στο σύστημα Αρχιτεκτονική Ασφάλειας 16

Υπηρεσίες ασφάλειας ιαθεσιμότητα Η διασφάλιση ότι οι εγκεκριμένοι χρήστες έχουν πρόσβαση στην πληροφορία και στους σχετικούς πόρους όταν αυτό απαιτείται Αποφυγή προσωρινής ή μόνιμης απώλειας πρόσβασης στις πληροφορίες από εξουσιοδοτημένους χρήστες Σε κάποιες περιπτώσεις, οι χρήστες μπορεί να πληρώνουν κάποιο αντίτιμο για να έχουν πρόσβαση στις πληροφορίες που παρέχει το σύστημα μας. Είναι απαραίτητο να εξασφαλίσουμε ότι η πρόσβαση σε αυτές τις πληροφορίες θα είναι αδιάλειπτη ηλαδή, ότι η πληροφορία, τα υπολογιστικά συστήματα που χρειάζονται για την επεξεργασία της πληροφορίας και οι μηχανισμοί ασφαλείας που χρησιμοποιούνται για την προστασία της είναι διαθέσιμα και λειτουργούν σωστά όταν η πληροφορία απαιτείται Το αντίθετο ονομάζεται «Άρνηση Παροχής Υπηρεσιών» (Deial of Service DoS) Αρχιτεκτονική Ασφάλειας 17

Υπηρεσίες ασφάλειας Βασικές έννοιες στην ασφάλεια πληροφοριακών συστημάτων είναι και οι παρακάτω «Πόρος» (Resource) «Απειλή» (Threat) «Κενό Ασφάλειας» (Vulerability) Exploit που σε ελεύθερη μετάφραση μπορεί να αποδοθεί σαν μια επίθεση που εκμεταλλεύεται ένα Κενό Ασφαλείας για να αποκτήσει πρόσβαση σε έναν Πόρο Αρχιτεκτονική Ασφάλειας 18

Υπηρεσίες ασφάλειας Πόρος (Resource) Πόρος είναι οτιδήποτε στο υπολογιστικό περιβάλλον που προσπαθούμε να προστατεύσουμε Αυτό μπορεί να περιλαμβάνει δεδομένα, εφαρμογές, διακομιστές, εξοπλισμός επικοινωνίας ακόμα και ανθρώπους Ο σκοπός της ασφάλειας Πληροφοριακών Συστημάτων είναι να προστατευτούν οι Πόροι από επιθέσεις Αρχιτεκτονική Ασφάλειας 19

Υπηρεσίες ασφάλειας Απειλή (Threat) Απειλή είναι ένα πρόσωπο ή ένα πράγμα που έχει τη δυνητική δυνατότητα να αποκτήσει πρόσβαση σε έναν πόρο και να προκαλέσει ζημιά Αναφερόμαστε σε ενέργειες ή γεγονότα που μπορούν οδηγήσουν στην κατάρρευση κάποιου από τα χαρακτηριστικά ασφαλείας που ορίσαμε προηγουμένως. Ο παρακάτω πίνακας αναφέρει διαφορετικές μορφές απειλών και μερικά παραδείγματα αυτών Είδος Απειλής Φυσικές και Υλικές Μη εσκεµµένη Εσκεµµένη Παράδειγµα Φωτιά, Νερό, Αέρας, Σεισµός, Απώλεια ρεύµατος Μη-ενηµερωµένοι υπάλληλοι Μη-ενηµερωµένοι πελάτες Κακόβουλοι επιτιθέµενοι Τροµοκράτες Βιοµηχανικοί κατάσκοποι Κυβερνήσεις Κακόβουλο λογισµικό Αρχιτεκτονική Ασφάλειας 20

Υπηρεσίες ασφάλειας Κενό Ασφαλείας (Vulerability) Κενό ασφαλείας είναι ένα σημείο όπου ένας πόρος είναι ευάλωτος σε επίθεση Μπορεί να θεωρηθεί σαν αδυναμία Αναφερόμαστε σε σημεία του πληροφοριακού συστήματος τα οποία (ενδεχομένως λόγω κακού σχεδιασμού ή υλοποίησης) αφήνουν περιθώρια για παραβιάσεις Σε πολλές περιπτώσεις οι αδυναμίες οφείλονται σε λάθη του λογισμικού ή σε ανεπαρκή παραμετροποίηση του από το προσωπικό που το εγκατέστησε και το συντηρεί Τα κενά ασφαλείας συχνά ταξινομούνται όπως στον παρακάτω πίνακα Είδος Κενού Ασφαλείας Υλική Φυσική Λογισµικό και Hardware Μέσα Επικοινωνίας Επικοινωνία Ανθρώπινο Παράδειγµα Ξεκλείδωτες πόρτες Χαλασµένο σύστηµα πυρόσβεσης Ανενηµέρωτο αντι-ιικό λογισµικό Ηλεκτρικές Παρεµβολές Μη κρυπτογραφηµένα πρωτόκολλα επικοινωνίας Μη ασφαλής διαδικασίες Help Desk Αρχιτεκτονική Ασφάλειας 21

Υπηρεσίες ασφάλειας Επίθεση (Exploit) Ένας πόρος μπορεί να προσπελαστεί από μια απειλή που χρησιμοποιεί ένα κενό ασφαλείας στο υπολογιστικό περιβάλλον Η προσπέλαση ενός πόρου μπορεί να γίνει με πολλούς τρόπους, μερικοί από τους πιο κοινούς παρατίθενται στον επόμενο πίνακα Είδος Exploit Exploit που εκµεταλλεύεται τεχνικό κενό ασφαλείας Παράδειγµα Brute Force Attacks, Buffer Overflows, Λανθασµένη ρύθµιση παραµέτρων, Sessio Hijackig Συλλογή Πληροφοριών OS Idetificatio, Port Scaig, Service ad Applicatio Probig, Vulerability Scaig, Social Egieerig, Wireless Leak Άρνηση Παροχής Υπηρεσιών Deial of Service Καταστροφή υλικού, Αφαίρεση πόρων, Τροποποίηση πόρων, Κορεσµός πόρων Αρχιτεκτονική Ασφάλειας 22

Υπηρεσίες ασφάλειας Αρχιτεκτονική Ασφάλειας 23

Αρχιτεκτονική Ασφάλειας 24

Ευάλωτα Σηµεία Αρχιτεκτονική Ασφάλειας 25

Ευάλωτα Σηµεία Τοπικό δίκτυο (LAN) Ασύρματο δίκτυο (WLAN) Iteret (Packet switchig etwork) Συνδέσεις δικτύου (Network liks) Κόμβοι δικτύου (Network odes h/w, s/w) Αρχιτεκτονική Ασφάλειας 26

Ευάλωτα Σηµεία Επίγειες μικροκυμματικές ζεύξεις (Terrestrial microwave liks) ορυφορικές ζεύξεις (Satellite liks) Ηλεκτρομαγνητική ακτινοβολία (Electromagetic emaatios) Κακοπροαίρετοι (κακόβουλοι) υπάλληλοι Φυσική προστασία Αρχιτεκτονική Ασφάλειας 27

Κρυπτογράφηση στο Δίκτυο Αρχιτεκτονική Ασφάλειας 28

Κρυπτογράφηση Σύνδεσης (Lik) Το μήνυμα κωδικοποιείται/αποκωδικοποιείται σε κάθε κόμβο Η κωδικοποίηση πρέπει να γίνεται σε ΟΛΑ τα υποδίκτυα Κάθε ζευγάρι γειτονικών κόμβων μοιράζονται κλειδιά è πολλά κλειδιά Απαιτεί πολλές συσκευές κωδικοποίησης Αρχιτεκτονική Ασφάλειας 29

Κρυπτογράφηση ed-to-ed Αποστολέας και παραλήπτης (Seder, Receiver) έχουν ένα κοινό κλειδί Είναι δυνατή η ταυτοποίηση του αποστολέα Οι ενδιάμεσοι κόμβοι δεν είναι δυνατό να δουν το περιεχόμενο του μηνύματος Τα δεδομένα είναι ασφαλή κατά τη μεταφορά αλλά η μορφή της επικοινωνίας δεν είναι Για μεγαλύτερη ασφάλεια η κωδικοποίηση και στο lik και ed-toed είναι απαραίτητη Αρχιτεκτονική Ασφάλειας 30

Κρυπτογράφηση Σύνδεσης ed-to-ed Αρχιτεκτονική Ασφάλειας 31

Κρυπτογράφηση Σύνδεσης ed-to-ed Αρχιτεκτονική Ασφάλειας 32

Κρυπτογράφηση στο Επίπεδο Εφαρµογών Για μερικές εφαρμογές ed-to-ed κωδικοποίηση είναι δυνατή μόνο στο επίπεδο εφαρμογών (applicatio layer) Στο επίπεδο αυτό ο αριθμός των χρηστών εφαρμογών αυξάνεται αρκετά Μειονέκτημα ο μεγάλος αριθμός κλειδιών Όσο πιο ψηλά στα επίπεδα δικτύου γίνεται η κωδικοποίηση, τόσο λιγότερα δεδομένα κωδικοποιούνται Αρχιτεκτονική Ασφάλειας 33

Εµπιστευτικότητα της Μορφής Επικοινωνίας Η παρακολούθηση δίνει πληροφορίες για Αριθμό / μέγεθος μηνυμάτων è σοβαρότητα Ταυτότητα χρηστών Συχνότητα επικοινωνίας Συσχετισμό με άλλα γεγονότα Μέθοδοι αποτροπής Lik ecryptio è traffic paddig Ed-to-ed ecryptio è περιορισμένες επιλογές Αρχιτεκτονική Ασφάλειας 34

Εµπιστευτικότητα της Μορφής Επικοινωνίας Αρχιτεκτονική Ασφάλειας 35

Αρχιτεκτονική Ασφάλειας 36

Αρχιτεκτονική Ασφάλειας 37

Διαχείριση Κινδύνου Μία κοινή παραδοχή στην κοινότητα της ασφάλειας Πληροφοριακών Συστημάτων είναι ότι δεν υπάρχει κανένα απολύτως ασφαλές και ταυτόχρονα χρήσιμο Πληροφοριακό Σύστημα Λέγεται δε συχνά σαν αστείο ότι το μόνο ασφαλές Πληροφοριακό Σύστημα είναι αυτό που δεν είναι συνδεδεμένο σε δίκτυο και που βρίσκεται κλειδωμένο μόνο του σε ένα δωμάτιο Ως εκ τούτου, για να έχουμε ένα αποδεκτό επίπεδο ασφαλείας, πρέπει να εξετάσουμε το περιβάλλον λειτουργίας, να εκτιμήσουμε τους κινδύνους που αντιμετωπίζουμε και να διατηρήσουμε τον κίνδυνο κάτω από ένα συγκεκριμένο επίπεδο Αρχιτεκτονική Ασφάλειας 38

Διαχείριση Κινδύνου Ο κίνδυνος μειώνεται αυξάνοντας την ασφάλεια του περιβάλλοντός μας Σαν γενικός κανόνας, όσο πιο υψηλό το επίπεδο ασφάλειας, τόσο πιο ακριβό είναι στην υλοποίηση, τόσο πιο πολύπλοκο και τόσο πιο πιθανό θα είναι να υπάρχει μείωση της ευχρηστίας Επίσης, ένα σημαντικό μέρος της ιαχείρισης Κινδύνου είναι να προσδιορίσουμε την αξία αυτών που προσπαθούμε να προστατεύσουμε και να ορίσουμε ένα επίπεδο ασφαλείας κατάλληλο για αυτά Αρχιτεκτονική Ασφάλειας 39

Διαχείριση Κινδύνου Πριν προχωρήσουμε στη λήψη μέτρων ασφαλείας, θα πρέπει να εκτιμήσουμε και να υπολογίσουμε διάφορους παράγοντες Θα πρέπει αρχικά να αξιολογήσουμε ποια είναι τα αγαθά που χρήζουν προστασίας και να εντοπίσουμε τους πιθανούς κινδύνους από τους οποίους θα πρέπει να προστατευθούν Έπειτα θα πρέπει να προχωρήσουμε σε ένα αρχικό σχεδιασμό της αρχιτεκτονικής ασφαλείας που θα ακολουθήσουμε και να εκτιμήσουμε το κόστος του Το συνολικό κόστος πρέπει να περιλαμβάνει το κόστος αγοράς εξοπλισμού και λογισμικού που θα χρησιμοποιήσουμε, το κόστος εγκατάστασης του από κατάλληλο προσωπικό, αλλά και το μόνιμο λειτουργικό κόστος που θα έχει η συντήρηση και αναβάθμιση του Αρχιτεκτονική Ασφάλειας 40

Διαχείριση Κινδύνου Αν το κόστος που υπολογίσουμε υπερβαίνει τα προβλεπόμενα όρια, θα πρέπει να κάνουμε κάποιες νέες παραδοχές ή συμβιβασμούς σχετικά με το τι προβλήματα ασφαλείας και σε τι βαθμό θα καλύπτει η πολιτική ασφαλείας Με τον τρόπο αυτό αποδεχόμαστε τους εναπομείναντες κινδύνους που δεν καλύπτονται από την τελική πολιτική ασφαλείας Αρχιτεκτονική Ασφάλειας 41

Διαχείριση Κινδύνου Ο σκοπός της ανάλυσης κινδύνου είναι να προσδιοριστεί το επίπεδο άμυνας/ασφαλείας που είναι αναγκαίο για την προστασία έναντι των απειλών που μπορεί να αντιμετωπίσει το υπολογιστικό περιβάλλον Υπάρχουν τρεις κυρίως τρόποι να μειωθεί ο κίνδυνος Σύμφωνα με τα παραπάνω, κίνδυνος μπορεί να οριστεί ως ένας συγκεκριμένος συνδυασμός Πόρου, Κενού Ασφαλείας και Απειλής Ως εκ τούτου, η μείωση κινδύνου μπορεί να επιτευχτεί με: Τη μείωση της αξίας ενός Πόρου στον επιτιθέμενο Την αντιμετώπιση συγκεκριμένων Κενών Ασφαλείας Την εξουδετέρωση ή την πρόληψη επιθέσεων και Απειλών Αρχιτεκτονική Ασφάλειας 42

Διαχείριση Κινδύνου Μείωση αξίας Πόρου Η μείωση της αξίας ενός Πόρου μπορεί να φαίνεται σαν ένας μη λογικός στόχος αλλά η μείωση της αξίας αναφέρεται για τον επιτιθέμενο και όχι για τους εγκεκριμένους χρήστες Ένα τέτοιο παράδειγμα είναι η χρήση της κρυπτογράφησης για την ασφάλιση αρχείων και email Ακόμα και να υποκλαπούν από έναν εισβολέα, του είναι ουσιαστικά άχρηστα μιας και δε μπορεί να τα διαβάσει Αρχιτεκτονική Ασφάλειας 43

Διαχείριση Κινδύνου Αντιμετώπιση συγκεκριμένων Κενών Ασφαλείας Ένας άλλος τρόπος για την αντιμετώπιση κινδύνου είναι η αντιμετώπιση ή η εξάλειψη συγκεκριμένων Κενών Ασφαλείας Οι διορθωτικές εκδόσεις για τα προγράμματα αποτελούν ένα τέτοιο παράδειγμα αφού οι προγραμματιστές με την έκδοση τέτοιων διορθώσεων εξαλείφουν κάποιο Κενό Ασφαλείας στο πρόγραμμά τους Αρχιτεκτονική Ασφάλειας 44

Διαχείριση Κινδύνου Εξουδετέρωση και πρόληψη Απειλών Επιπρόσθετα με τη μείωση της Αξίας ενός Πόρου και την αντιμετώπιση Κενών Ασφαλείας μία ακόμα προσέγγιση για τη μείωση κινδύνου είναι να επικεντρωθείς στους επιτιθέμενους και στις επιθέσεις και αυτός είναι ο πιο διαδεδομένος και κοινός τρόπος μείωσης Αυτό επιτυγχάνεται για παράδειγμα με τη χρήση firewall, αντι-ιικών προγραμμάτων και την χρήση μηχανισμών ελέγχου πρόσβασης (κωδικοί πρόσβασης, smart cards, βιομετρικά συστήματα) Ο σκοπός τέτοιων μέτρων είναι να μειωθεί ο αριθμός των τρόπων επίθεσης Αρχιτεκτονική Ασφάλειας 45

Security Policy Αρχιτεκτονική Ασφάλειας 46

Security Policy Αρχιτεκτονική Ασφάλειας 47

Ορολογία Κρυπτογράφηση (Ecryptio) Η κρυπτογράφηση είναι η διαδικασία με την οποία μετατρέπονται τα αρχικά δεδομένα (γνωστά και ως plaitext) σε μορφή (κρυπτόγραμμα) η οποία δεν μπορεί πλέον να γίνει κατανοητή χωρίς να αποκρυπτογραφηθεί Η κρυπτογράφηση γίνεται με τη βοήθεια αλγορίθμου, το αποτέλεσμα του οποίου μπορεί να αντιστραφεί ώστε να παράγει ξανά τα αρχικά δεδομένα εισόδου Για την κρυπτογράφηση και την αποκρυπτογράφηση χρησιμοποιείται το κλειδί Αρχιτεκτονική Ασφάλειας 48

Ορολογία Αποκρυπτογράφηση (Decryptio) Προφανώς η αντίστροφη διαδικασία της κρυπτογράφησης Ο αλγόριθμος δέχεται ως είσοδο τα κρυπτογραφημένα δεδομένα (κρυπτόγραμμα) και με τη βοήθεια του κλειδιού (το οποίο προφανώς είναι διαθέσιμο μόνο σε εξουσιοδοτημένα άτομα) τα μετατρέπει ξανά στα κανονικά δεδομένα Τα δεδομένα πλέον δεν είναι κωδικοποιημένα και μπορούν να χρησιμοποιηθούν κανονικά Αρχιτεκτονική Ασφάλειας 49

Ορολογία Κλειδί (Key) Στο πεδίο της κρυπτογράφησης, το κλειδί είναι ένας ψηφιακός κωδικός (ένας αριθμός από bits) ο οποίος χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση της πληροφορίας Προφανώς το κλειδί φυλάσσεται σε ασφαλές μέρος και είναι διαθέσιμο μόνο στα μέρη που επιτρέπεται να έχουν πρόσβαση στα δεδομένα Αρχιτεκτονική Ασφάλειας 50

Ορολογία Ψηφιακή Υπογραφή (Digital Sigature) Η ψηφιακή υπογραφή είναι τυπικά ένας αριθμός από bit που προστίθεται στο τέλος κάποιου αρχείου και εξασφαλίζει την αυθεντικότητα ( το έστειλε πράγματι ο χρήστης Α ) και την ακεραιότητα ( το έχουμε λάβει σωστά ) ενός μηνύματος Αρχιτεκτονική Ασφάλειας 51

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια