1 / 27

ΤΗΛΕΡΓΑΣΙΑ - 2000

ΤΗΛΕΡΓΑΣΙΑ - 2000. ΑΝΘΡΩΠΙΝΑ ΔΙΚΤΥΑ ΔΙΑΔΟΣΗΣ ΤΗΣ Ε+Τ ΓΝΩΣΗΣ ΓΙΑ ΤΗΝ ΤΗΛΕΡΓΑΣΙΑ Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων Σύρος 26/05/2000 Κ. Λαμπρινουδάκης Τμήμα Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου. Περιεχόμενα. Ασφάλεια Πληροφοριακού Συστήματος

Gabriel
Download Presentation

ΤΗΛΕΡΓΑΣΙΑ - 2000

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ΤΗΛΕΡΓΑΣΙΑ - 2000 ΑΝΘΡΩΠΙΝΑ ΔΙΚΤΥΑ ΔΙΑΔΟΣΗΣ ΤΗΣ Ε+Τ ΓΝΩΣΗΣ ΓΙΑ ΤΗΝ ΤΗΛΕΡΓΑΣΙΑ Ασφάλεια Πληροφοριακών Συστημάτων και Δικτύων Σύρος 26/05/2000 Κ. Λαμπρινουδάκης Τμήμα Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  2. Περιεχόμενα • Ασφάλεια Πληροφοριακού Συστήματος • Απαιτήσεις για Ασφάλεια • Προστασία Προσωπικών Δεδομένων (Ν. 2472/97) • Απειλές και η Αντιμετώπιση τους • Οικονομική Θεώρηση • Πολιτικές και Διαδικασίες Ασφάλειας • Τα 10 Σοβαρότερα Προβλήματα Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  3. Ασφάλεια Πληροφοριακού Συστήματος • Οι νέες δυνατότητες που απορρέουν από την αλματώδη πρόοδο της τεχνολογίας έχουν επιτρέψει την ανάπτυξη υπηρεσιών όπως η «Τηλεργασία», αλλά συγχρόνως επιφέρουν νέους κινδύνους όπως: • μη εξουσιοδοτημένη πρόσβαση στις υπηρεσίες • απώλεια των δεδομένων • τροποποίηση των δεμένων • αποκάλυψη των δεδομένων • απώλεια της διαθεσιμότητας των υπηρεσιών • κ.λ.π. • Αυτό είναι αποτέλεσμα της επέκτασης του συμβατικού ΠΣ πέραν του εργασιακού χώρου Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  4. Ασφάλεια Πληροφοριακού Συστήματος • Η επίτευξη των στόχων ενός οργανισμού εξαρτάται σε μεγάλο βαθμό από τη δυνατότητα του οργανισμού να εξασφαλίσει τις προϋποθέσεις για την αποτελεσματική λειτουργία του, δηλαδή να αναπτύξει τους μηχανισμούς προστασίας των περιουσιακών στοιχείων και πόρων που απαιτούνται για τη λειτουργία του • Δεν υπάρχει ΠΣ που να είναι 100% ασφαλές Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  5. Ασφάλεια Πληροφοριακού Συστήματος Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  6. Απαιτήσεις για Ασφάλεια • Προσδιορισμός των απαιτήσεων που σχετίζονται με τα χαρακτηριστικά ασφάλειας των δεδομένων που διαχειρίζεται το σύστημα(αρχεία κειμένου, βάσεις δεδομένων, προσωπικά στοιχεία προσωπικού κ.λ.π.). • Τα σημαντικότερα χαρακτηριστικά ασφάλειας είναι: • Ακεραιότητα: Αποφυγή μη εξουσιοδοτημένης μεταβολής των δεδομένων • Διαθεσιμότητα: Αποφυγή μη εξουσιοδοτημένης παρακράτησης των δεδομένων • Εμπιστευτικότητα: Αποφυγή μη εξουσιοδοτημένης αποκάλυψης των δεδομένων Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  7. Security Concern/Threat Impact Information Disclosure (Loss of Confidentiality) Customer’s embarrassment; Loss of trust; Legal consequences; Loss of reputation. Withholding Information or Services (Loss of Availability) Poor quality of services; Legal claims; Financial impact. Modification of Information (Loss of Integrity) Insufficient or inappropriate customer service; Poor management; Financial loss. Repudiation Financial loss; Lack of accountability; Loss of reputation. Non-Auditability Poor management; Inability to claim penalties and take legal action. Απαιτήσεις για Ασφάλεια • Το σύστημα θα πρέπει πάντα να προστατεύεται από ηθελημένες ή τυχαίες ενέργειες Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  8. Απαιτήσεις για Ασφάλεια • Η Επικινδυνότητα(Risk) ενός ΠΣ ορίζεται ως συνάρτηση τριών παραγόντων, που είναι: • Οι Απειλές που αντιμετωπίζει το ΠΣ • οι πιθανές Αδυναμίες του και • οι Επιπτώσεις που θα υπάρξουν από την πραγματοποίηση των Aπειλών • ΗΑνάλυση Επικινδυνότητας αφορά, ακριβώς, τον προσδιορισμό της Επικινδυνότητας του ΠΣ και την εκτίμηση του μεγέθους της. Επιτρέπει την επιλογή των μέσων προστασίας που προσφέρουν ασφάλεια αντίστοιχη της αξίας ενός πληροφοριακού συστήματος και των κινδύνων που αντιμετωπίζει. Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  9. Απαιτήσεις για Ασφάλεια • ΗΑνάλυση Επικινδυνότηταςπεριλαμβάνει: • Την ανάπτυξη ενός μοντέλου του υπό μελέτη πληροφοριακού συστήματος και το σαφή προσδιορισμό των ορίων του. • Την καταγραφή και αποτίμηση των στοιχείων του πληροφοριακού συστήματος. • Την ανάλυση των αδυναμιών του συστήματος και των απειλών που αντιμετωπίζει. • Τον υπολογισμό της συνολικής επικινδυνότητας. • Την επιλογή των αντιμέτρων (μέσων προστασίας) που περιορίζουν τη συνολική επικινδυνότητα σε ανεκτά επίπεδα. Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  10. Προστασία Προσωπικών Δεδομένων(Ν. 2472.97) • Σύμφωνα με τον Ελληνικό Νόμο περί Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ο Παροχέας της Υπηρεσίας υποχρεούται να αιτηθεί αδείας από την ΑΠΠΔ • Ο αιτών πρέπει να προσδιορίσει επακριβώς τον τρόπο και σκοπό για τον οποίο συλλέγει τα δεδομένα, όπως επίσης και τα χαρακτηριστικά πιθανής επεξεργασίας των. • Ο αιτών πρέπει να παρουσιάσει τα μέτρα ασφάλειας τα οποία έχει υλοποιήσει για την ασφάλεια των δεδομένων που διαχειρίζεται. • Τα μέτρα ασφάλειας θα πρέπει να αντικατοπτρίζουν την ευαισθησία των δεδομένων. Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  11. Απειλές και η Αντιμετώπιση τους • Θέματα Υλικού • Φυσικοί κίνδυνοι • Θερμοκρασία και υγρασία • Φωτιά • Νερό • Σεισμοί • Ηλεκτρικά προβλήματα • Φυσική πρόσβαση ατόμων • Πρόσβαση από το δίκτυο • Η/Μ ακτινοβολία Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  12. Απειλές και η Αντιμετώπιση τους • Αυθεντικοποίηση Ατόμων • Καθόλου • Επαναχρησιμοποιήσιμοι κωδικοί (reusable passwords)(κάτι που ξέρω) • Κωδικοί μιας χρήσης • Μέθοδοι βασισμένες σε υλικό (κάτι που έχω) • Βιομετρικές μέθοδοι (κάτι που είμαι) Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  13. Απειλές και η Αντιμετώπιση τους • Προστασία Λογισμικού και Δεδομένων ... • Διαθεσιμότητα (availability) • Αρχεία εφεδρείας (backup files) • Τεχνολογίες RAID • Ακεραιότητα (integrity) • Αμετάβλητα μέσα (immutable media) • Λογισμικό • Κρυπτογραφία • Εμπιστευτικότητα (confidentiality) • Έλεγχος πρόσβασης κατά την κρίση του χρήστη (discretionary access control) • Υποχρεωτικός έλεγχος πρόσβασης (mandatory access control) • Κρυπτογραφία (cryptography) Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  14. Απειλές και η Αντιμετώπιση τους • .....Προστασία Λογισμικού και Δεδομένων • Ημερολόγια ελέγχου (audit logs) • Επικίνδυνα προγράμματα • Ιός (virus) • Σκουλήκι (Worm) • Δούρειος ίππος (Trojan horse) • Προστασία • Το WEB Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  15. Απειλές και η Αντιμετώπιση τους • Προστασία Δικτύων • Έλεγχος Σύνδεσης • Απεριόριστη σύνδεση • Περιορισμένη (firewall) • Διπλή και διαχωρισμένη σύνδεση • Κρυπτογραφία • Θέματα Παροχέων • Προστασία των συστημάτων του παροχέα • Προστασία των δεδομένων των χρηστών • Αυθεντικοποίηση Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  16. Απειλές και η Αντιμετώπιση τους • Εκπαίδευση Χρηστών στην Ασφάλεια • Εκπαίδευση • Γνώση των υπευθύνων των πληροφοριακών συστημάτων • Σύστημα έγκαιρης προειδοποίησης συνεργατών • Περιοδικοί έλεγχοι Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  17. Οικονομική Θεώρηση • Προσδιορισμός των Στοιχείων του Συστήματος.... • Φυσικά στοιχεία • Υπολογιστές • Δίκτυο • Μέσα αποθήκευσης • Κτιριακές εγκαταστάσεις • Πνευματική ιδιοκτησία • Προγράμματα και τεκμηρίωσή τους • Δεδομένα • Σελίδες Web • Βάσεις δεδομένων • Σχέδια Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  18. Οικονομική Θεώρηση • ...Προσδιορισμός των Στοιχείων του Συστήματος • Άυλα Στοιχεία • Φήμη • Ηθικό των συνεργατών • Ιδιωτική σφαίρα των χρηστών • Εμπιστευτικότητα πληροφοριών • Υπηρεσίες και Διεργασίες • Αποθηκευτικός χώρος • Υπολογιστική ισχύς • Συγκεκριμένες υπηρεσίες • Προσωπικό Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  19. Οικονομική Θεώρηση • Προσδιορισμός των Απειλών..... • Σκόπιμες από Ανθρώπους • Προσωποποίηση (impersonation) • Εύρεση κωδικού • Αδυναμίες δικτύου • Αδυναμίες του λειτουργικού συστήματος • Κακή χρήση των πόρων (Doom) • Μη εξουσιοδοτημένη ανάγνωση • Προβληματικά προγράμματα • Προσωποποίηση συστήματος • Κλοπή • Απάτη • Βανδαλισμός • Εμπρησμός • Απεργία Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  20. Οικονομική Θεώρηση • ....Προσδιορισμός των Απειλών • Μη Σκόπιμες από Ανθρώπους • Λανθασμένη εφαρμογή διαδικασιών συστήματος • Λάθη προγραμμάτων • Μη σκόπιμη αποκάλυψη δεδομένων • Μη σκόπιμη καταστροφή εξοπλισμού • Περιβάλλοντος • Πλημμύρα • Καταιγίδα • Σεισμός • Καύσωνας • Κεραυνός • Προβλήματα κλιματισμού • Προβλήματα ηλεκτρικά Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  21. Οικονομική Θεώρηση • Συχνότητα και Αποτελέσματα των Απειλών • Στατιστικές τεχνικές • Αποτελέσματα ελέγχων • Αποτίμηση άυλων αγαθών Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  22. Οικονομική Θεώρηση • Αξιολόγηση και Έλεγχος των Μέτρων Ασφάλειας • Αποτίμηση Φυσικής Προστασίας • Είσοδος στο κτίριο • Έλεγχοι προσωπικού • Κλειδωμένοι χώροι • Χρήση ταυτοτήτων • Αποτίμηση Διαδικασιών • Υπάρχουν διαδικασίες αντιμετώπισης περιστατικών; • Υπάρχει ομάδα αντιμετώπισης περιστατικών (incident response team); • Υπάρχουν καθορισμένοι ρόλοι αντιμετώπισης περιστατικών; • Γνωρίζει η ομάδα αντιμετώπισης περιστατικών ποια δεδομένα να καταγράψει και να ακολουθήσει; • Πλασματικές Δοκιμές Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  23. Οικονομική Θεώρηση • Σχέδιο για Πρόσθετη Ασφάλεια • Αποτίμηση αποτελεσματικότητας αντιμέτρων • Καθορισμός προτεραιοτήτων • Οικονομικές μέθοδοι • Διαδικασίες • Εργαλεία • Εκπαίδευση Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  24. Πολιτικές και Διαδικασίες Ασφάλειας • Πολιτικές Ασφάλειας • Παράμετροι • Πόσο συγκεκριμένη θα είναι; • Πόσο έλεγχο θα προσδιορίζει; • Ποια είναι η κατάλληλη δομή; • Θέματα • Πολιτική αποδεκτής χρήσης (acceptable use policy) • Πολιτική λογαριασμών χρηστών (user account policy) • Πολιτική απομακρυσμένης χρήσης (remote access policy) • Πολιτική προστασίας δεδομένων (data protection policy) • Πολιτική για σύνδεση στο δίκτυο (network connection policy) • Πολιτική για ειδική πρόσβαση (special access policy) Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  25. Πολιτικές και Διαδικασίες Ασφάλειας • Μοντέλα Εμπιστοσύνης • Εμπιστοσύνη σε συστήματα • Ασφάλεια (security) • Διαθεσιμότητα (availability) • Εμπιστοσύνη σε Ανθρώπους • Όλους πάντα • Μερικούς κατά περίπτωση • Αυτούς που απαιτείται μόνο όσο απαιτείται • Ανασκόπηση σε τακτά Διαστήματα • Από τρίτο άτομο • Ανασκόπηση των λόγων που οδήγησαν σε αποφάσεις • Νομικές προεκτάσεις • Χρήση εργαλείων • Ενημέρωση σύμφωνα με νέα προβλήματα που ανακαλύφθηκαν Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  26. Πολιτικές και Διαδικασίες Ασφάλειας • Περιστατικά: Προετοιμασία και Αντίδραση • Διαδικασία Αντίδρασης σε Περιστατικά • Καταστροφές: Σχεδιασμός και Ανάκτηση • Αντίδραση από το προσωπικό ασφαλείας • Ανάλυση της ζημιάς • Μετάβαση σε λειτουργία έκτακτης ανάγκης • Αποκατάσταση της κανονικής λειτουργίας Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

  27. Τα 10 Σοβαρότερα Προβλήματα • Έλλειψη μέσων • Έλλειψη υποστήριξης ή δικαιοδοσίας • Προβληματικά συστήματα λογισμικού • Μη εγκατάσταση διορθώσεων των προμηθευτών • Μη κρυπτογραφημένοι επαναχρησιμοποιήσιμοι κωδικοί πρόσβασης • Ελλιπή μέτρα προστασίας εξωτερικής πρόσβασης μέσω τηλεφώνου • Ανοιχτή πρόσβαση στο δίκτυο • Προβλήματα στην εγκατάσταση κωδικών • Ελλιπής έλεγχος και λήξη κωδικών χρηστών • Νέα συστήματα με προβληματική διαμόρφωση ή ελλιπή έλεγχο Συνάντηση Έργου «ΤΗΛΕΡΓΑΣΙΑ-2000»

More Related