slide1 l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
ΤΗΛΕΡΓΑΣΙΑ - 2000 PowerPoint Presentation
Download Presentation
ΤΗΛΕΡΓΑΣΙΑ - 2000

Loading in 2 Seconds...

play fullscreen
1 / 27

ΤΗΛΕΡΓΑΣΙΑ - 2000 - PowerPoint PPT Presentation


  • 190 Views
  • Uploaded on

ΤΗΛΕΡΓΑΣΙΑ - 2000. ΑΝΘΡΩΠΙΝΑ ΔΙΚΤΥΑ ΔΙΑΔΟΣΗΣ ΤΗΣ Ε+Τ ΓΝΩΣΗΣ ΓΙΑ ΤΗΝ ΤΗΛΕΡΓΑΣΙΑ Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων Σύρος 26/05/2000 Κ. Λαμπρινουδάκης Τμήμα Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου. Περιεχόμενα. Ασφάλεια Πληροφοριακού Συστήματος

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'ΤΗΛΕΡΓΑΣΙΑ - 2000' - Gabriel


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
ΤΗΛΕΡΓΑΣΙΑ - 2000

ΑΝΘΡΩΠΙΝΑ ΔΙΚΤΥΑ ΔΙΑΔΟΣΗΣ ΤΗΣ Ε+Τ ΓΝΩΣΗΣ ΓΙΑ ΤΗΝ ΤΗΛΕΡΓΑΣΙΑ

Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων

Σύρος 26/05/2000

Κ. Λαμπρινουδάκης

Τμήμα Πληροφοριακών και Επικοινωνιακών Συστημάτων

Πανεπιστήμιο Αιγαίου

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide2
Περιεχόμενα
  • Ασφάλεια Πληροφοριακού Συστήματος
  • Απαιτήσεις για Ασφάλεια
  • Προστασία Προσωπικών Δεδομένων (Ν. 2472/97)
  • Απειλές και η Αντιμετώπιση τους
  • Οικονομική Θεώρηση
  • Πολιτικές και Διαδικασίες Ασφάλειας
  • Τα 10 Σοβαρότερα Προβλήματα

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide3
Ασφάλεια Πληροφοριακού Συστήματος
  • Οι νέες δυνατότητες που απορρέουν από την αλματώδη πρόοδο της τεχνολογίας έχουν επιτρέψει την ανάπτυξη υπηρεσιών όπως η «Τηλεργασία», αλλά συγχρόνως επιφέρουν νέους κινδύνους όπως:
    • μη εξουσιοδοτημένη πρόσβαση στις υπηρεσίες
    • απώλεια των δεδομένων
    • τροποποίηση των δεμένων
    • αποκάλυψη των δεδομένων
    • απώλεια της διαθεσιμότητας των υπηρεσιών
    • κ.λ.π.
  • Αυτό είναι αποτέλεσμα της επέκτασης του συμβατικού ΠΣ πέραν του εργασιακού χώρου

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide4
Ασφάλεια Πληροφοριακού Συστήματος
  • Η επίτευξη των στόχων ενός οργανισμού εξαρτάται σε μεγάλο βαθμό από τη δυνατότητα του οργανισμού να εξασφαλίσει τις προϋποθέσεις για την αποτελεσματική λειτουργία του, δηλαδή να αναπτύξει τους μηχανισμούς προστασίας των περιουσιακών στοιχείων και πόρων που απαιτούνται για τη λειτουργία του
  • Δεν υπάρχει ΠΣ που να είναι 100% ασφαλές

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide5
Ασφάλεια Πληροφοριακού Συστήματος

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide6
Απαιτήσεις για Ασφάλεια
  • Προσδιορισμός των απαιτήσεων που σχετίζονται με τα χαρακτηριστικά ασφάλειας των δεδομένων που διαχειρίζεται το σύστημα(αρχεία κειμένου, βάσεις δεδομένων, προσωπικά στοιχεία προσωπικού κ.λ.π.).
  • Τα σημαντικότερα χαρακτηριστικά ασφάλειας είναι:
    • Ακεραιότητα: Αποφυγή μη εξουσιοδοτημένης μεταβολής των δεδομένων
    • Διαθεσιμότητα: Αποφυγή μη εξουσιοδοτημένης παρακράτησης των δεδομένων
    • Εμπιστευτικότητα: Αποφυγή μη εξουσιοδοτημένης αποκάλυψης των δεδομένων

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide7

Security Concern/Threat

Impact

Information Disclosure

(Loss of Confidentiality)

Customer’s embarrassment; Loss of trust; Legal consequences; Loss of reputation.

Withholding Information or Services

(Loss of Availability)

Poor quality of services; Legal claims; Financial impact.

Modification of Information

(Loss of Integrity)

Insufficient or inappropriate customer service; Poor management; Financial loss.

Repudiation

Financial loss; Lack of accountability; Loss of reputation.

Non-Auditability

Poor management; Inability to claim penalties and take legal action.

Απαιτήσεις για Ασφάλεια
  • Το σύστημα θα πρέπει πάντα να προστατεύεται από ηθελημένες ή τυχαίες ενέργειες

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide8
Απαιτήσεις για Ασφάλεια
  • Η Επικινδυνότητα(Risk) ενός ΠΣ ορίζεται ως συνάρτηση τριών παραγόντων, που είναι:
    • Οι Απειλές που αντιμετωπίζει το ΠΣ
    • οι πιθανές Αδυναμίες του και
    • οι Επιπτώσεις που θα υπάρξουν από την πραγματοποίηση των Aπειλών
  • ΗΑνάλυση Επικινδυνότητας αφορά, ακριβώς, τον προσδιορισμό της Επικινδυνότητας του ΠΣ και την εκτίμηση του μεγέθους της. Επιτρέπει την επιλογή των μέσων προστασίας που προσφέρουν ασφάλεια αντίστοιχη της αξίας ενός πληροφοριακού συστήματος και των κινδύνων που αντιμετωπίζει.

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide9
Απαιτήσεις για Ασφάλεια
  • ΗΑνάλυση Επικινδυνότηταςπεριλαμβάνει:
      • Την ανάπτυξη ενός μοντέλου του υπό μελέτη πληροφοριακού συστήματος και το σαφή προσδιορισμό των ορίων του.
      • Την καταγραφή και αποτίμηση των στοιχείων του πληροφοριακού συστήματος.
      • Την ανάλυση των αδυναμιών του συστήματος και των απειλών που αντιμετωπίζει.
      • Τον υπολογισμό της συνολικής επικινδυνότητας.
      • Την επιλογή των αντιμέτρων (μέσων προστασίας) που περιορίζουν τη συνολική επικινδυνότητα σε ανεκτά επίπεδα.

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

2472 97
Προστασία Προσωπικών Δεδομένων(Ν. 2472.97)
  • Σύμφωνα με τον Ελληνικό Νόμο περί Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ο Παροχέας της Υπηρεσίας υποχρεούται να αιτηθεί αδείας από την ΑΠΠΔ
  • Ο αιτών πρέπει να προσδιορίσει επακριβώς τον τρόπο και σκοπό για τον οποίο συλλέγει τα δεδομένα, όπως επίσης και τα χαρακτηριστικά πιθανής επεξεργασίας των.
  • Ο αιτών πρέπει να παρουσιάσει τα μέτρα ασφάλειας τα οποία έχει υλοποιήσει για την ασφάλεια των δεδομένων που διαχειρίζεται.
  • Τα μέτρα ασφάλειας θα πρέπει να αντικατοπτρίζουν την ευαισθησία των δεδομένων.

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide11
Απειλές και η Αντιμετώπιση τους
  • Θέματα Υλικού
    • Φυσικοί κίνδυνοι
      • Θερμοκρασία και υγρασία
      • Φωτιά
      • Νερό
      • Σεισμοί
  • Ηλεκτρικά προβλήματα
  • Φυσική πρόσβαση ατόμων
  • Πρόσβαση από το δίκτυο
  • Η/Μ ακτινοβολία

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide12
Απειλές και η Αντιμετώπιση τους
  • Αυθεντικοποίηση Ατόμων
    • Καθόλου
    • Επαναχρησιμοποιήσιμοι κωδικοί (reusable passwords)(κάτι που ξέρω)
    • Κωδικοί μιας χρήσης
    • Μέθοδοι βασισμένες σε υλικό (κάτι που έχω)
    • Βιομετρικές μέθοδοι (κάτι που είμαι)

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide13
Απειλές και η Αντιμετώπιση τους
  • Προστασία Λογισμικού και Δεδομένων ...
  • Διαθεσιμότητα (availability)
      • Αρχεία εφεδρείας (backup files)
      • Τεχνολογίες RAID
  • Ακεραιότητα (integrity)
      • Αμετάβλητα μέσα (immutable media)
      • Λογισμικό
      • Κρυπτογραφία
  • Εμπιστευτικότητα (confidentiality)
      • Έλεγχος πρόσβασης κατά την κρίση του χρήστη (discretionary access control)
      • Υποχρεωτικός έλεγχος πρόσβασης (mandatory access control)
      • Κρυπτογραφία (cryptography)

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide14
Απειλές και η Αντιμετώπιση τους
  • .....Προστασία Λογισμικού και Δεδομένων
    • Ημερολόγια ελέγχου (audit logs)
    • Επικίνδυνα προγράμματα
      • Ιός (virus)
      • Σκουλήκι (Worm)
      • Δούρειος ίππος (Trojan horse)
      • Προστασία
    • Το WEB

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide15
Απειλές και η Αντιμετώπιση τους
  • Προστασία Δικτύων
    • Έλεγχος Σύνδεσης
      • Απεριόριστη σύνδεση
      • Περιορισμένη (firewall)
      • Διπλή και διαχωρισμένη σύνδεση
    • Κρυπτογραφία
    • Θέματα Παροχέων
      • Προστασία των συστημάτων του παροχέα
      • Προστασία των δεδομένων των χρηστών
      • Αυθεντικοποίηση

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide16
Απειλές και η Αντιμετώπιση τους
  • Εκπαίδευση Χρηστών στην Ασφάλεια
    • Εκπαίδευση
    • Γνώση των υπευθύνων των πληροφοριακών συστημάτων
    • Σύστημα έγκαιρης προειδοποίησης συνεργατών
    • Περιοδικοί έλεγχοι

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide17
Οικονομική Θεώρηση
  • Προσδιορισμός των Στοιχείων του Συστήματος....
    • Φυσικά στοιχεία
      • Υπολογιστές
      • Δίκτυο
      • Μέσα αποθήκευσης
      • Κτιριακές εγκαταστάσεις
    • Πνευματική ιδιοκτησία
      • Προγράμματα και τεκμηρίωσή τους
      • Δεδομένα
      • Σελίδες Web
      • Βάσεις δεδομένων
      • Σχέδια

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide18
Οικονομική Θεώρηση
  • ...Προσδιορισμός των Στοιχείων του Συστήματος
    • Άυλα Στοιχεία
      • Φήμη
      • Ηθικό των συνεργατών
      • Ιδιωτική σφαίρα των χρηστών
      • Εμπιστευτικότητα πληροφοριών
    • Υπηρεσίες και Διεργασίες
      • Αποθηκευτικός χώρος
      • Υπολογιστική ισχύς
      • Συγκεκριμένες υπηρεσίες
      • Προσωπικό

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide19
Οικονομική Θεώρηση
  • Προσδιορισμός των Απειλών.....
    • Σκόπιμες από Ανθρώπους
      • Προσωποποίηση (impersonation)
      • Εύρεση κωδικού
      • Αδυναμίες δικτύου
      • Αδυναμίες του λειτουργικού συστήματος
      • Κακή χρήση των πόρων (Doom)
      • Μη εξουσιοδοτημένη ανάγνωση
      • Προβληματικά προγράμματα
      • Προσωποποίηση συστήματος
      • Κλοπή
      • Απάτη
      • Βανδαλισμός
      • Εμπρησμός
      • Απεργία

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide20
Οικονομική Θεώρηση
  • ....Προσδιορισμός των Απειλών
    • Μη Σκόπιμες από Ανθρώπους
      • Λανθασμένη εφαρμογή διαδικασιών συστήματος
      • Λάθη προγραμμάτων
      • Μη σκόπιμη αποκάλυψη δεδομένων
      • Μη σκόπιμη καταστροφή εξοπλισμού
    • Περιβάλλοντος
      • Πλημμύρα
      • Καταιγίδα
      • Σεισμός
      • Καύσωνας
      • Κεραυνός
      • Προβλήματα κλιματισμού
      • Προβλήματα ηλεκτρικά

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide21
Οικονομική Θεώρηση
  • Συχνότητα και Αποτελέσματα των Απειλών
    • Στατιστικές τεχνικές
    • Αποτελέσματα ελέγχων
    • Αποτίμηση άυλων αγαθών

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide22
Οικονομική Θεώρηση
  • Αξιολόγηση και Έλεγχος των Μέτρων Ασφάλειας
    • Αποτίμηση Φυσικής Προστασίας
      • Είσοδος στο κτίριο
      • Έλεγχοι προσωπικού
      • Κλειδωμένοι χώροι
      • Χρήση ταυτοτήτων
    • Αποτίμηση Διαδικασιών
      • Υπάρχουν διαδικασίες αντιμετώπισης περιστατικών;
      • Υπάρχει ομάδα αντιμετώπισης περιστατικών (incident response team);
      • Υπάρχουν καθορισμένοι ρόλοι αντιμετώπισης περιστατικών;
      • Γνωρίζει η ομάδα αντιμετώπισης περιστατικών ποια δεδομένα να καταγράψει και να ακολουθήσει;
    • Πλασματικές Δοκιμές

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide23
Οικονομική Θεώρηση
  • Σχέδιο για Πρόσθετη Ασφάλεια
    • Αποτίμηση αποτελεσματικότητας αντιμέτρων
    • Καθορισμός προτεραιοτήτων
    • Οικονομικές μέθοδοι
      • Διαδικασίες
      • Εργαλεία
      • Εκπαίδευση

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide24
Πολιτικές και Διαδικασίες Ασφάλειας
  • Πολιτικές Ασφάλειας
    • Παράμετροι
      • Πόσο συγκεκριμένη θα είναι;
      • Πόσο έλεγχο θα προσδιορίζει;
      • Ποια είναι η κατάλληλη δομή;
    • Θέματα
      • Πολιτική αποδεκτής χρήσης (acceptable use policy)
      • Πολιτική λογαριασμών χρηστών (user account policy)
      • Πολιτική απομακρυσμένης χρήσης (remote access policy)
      • Πολιτική προστασίας δεδομένων (data protection policy)
      • Πολιτική για σύνδεση στο δίκτυο (network connection policy)
      • Πολιτική για ειδική πρόσβαση (special access policy)

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide25
Πολιτικές και Διαδικασίες Ασφάλειας
  • Μοντέλα Εμπιστοσύνης
    • Εμπιστοσύνη σε συστήματα
      • Ασφάλεια (security)
      • Διαθεσιμότητα (availability)
    • Εμπιστοσύνη σε Ανθρώπους
      • Όλους πάντα
      • Μερικούς κατά περίπτωση
      • Αυτούς που απαιτείται μόνο όσο απαιτείται
    • Ανασκόπηση σε τακτά Διαστήματα
      • Από τρίτο άτομο
      • Ανασκόπηση των λόγων που οδήγησαν σε αποφάσεις
      • Νομικές προεκτάσεις
      • Χρήση εργαλείων
      • Ενημέρωση σύμφωνα με νέα προβλήματα που ανακαλύφθηκαν

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide26
Πολιτικές και Διαδικασίες Ασφάλειας
  • Περιστατικά: Προετοιμασία και Αντίδραση
    • Διαδικασία Αντίδρασης σε Περιστατικά
  • Καταστροφές: Σχεδιασμός και Ανάκτηση
    • Αντίδραση από το προσωπικό ασφαλείας
    • Ανάλυση της ζημιάς
    • Μετάβαση σε λειτουργία έκτακτης ανάγκης
    • Αποκατάσταση της κανονικής λειτουργίας

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

slide27
Τα 10 Σοβαρότερα Προβλήματα
  • Έλλειψη μέσων
  • Έλλειψη υποστήριξης ή δικαιοδοσίας
  • Προβληματικά συστήματα λογισμικού
  • Μη εγκατάσταση διορθώσεων των προμηθευτών
  • Μη κρυπτογραφημένοι επαναχρησιμοποιήσιμοι κωδικοί πρόσβασης
  • Ελλιπή μέτρα προστασίας εξωτερικής πρόσβασης μέσω τηλεφώνου
  • Ανοιχτή πρόσβαση στο δίκτυο
  • Προβλήματα στην εγκατάσταση κωδικών
  • Ελλιπής έλεγχος και λήξη κωδικών χρηστών
  • Νέα συστήματα με προβληματική διαμόρφωση ή ελλιπή έλεγχο

Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»