Ασφάλεια των Πληροφοριακών Συστημάτων · 7.2 ©2007 by prentice...
TRANSCRIPT
71 copy 2007 by Prentice Hall
Κεφάλαιο 7
Ασφάλεια των
Πληροφοριακών
Συστημάτων
72 copy 2007 by Prentice Hall
ΜΑΘΗΣΙΑΚΟΙ ΣΤΟΧΟΙ
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Γιατί τα πληροφοριακά συστήματα είναι ευπαθή σε
καταστροφή σφάλματα και κακή χρήση
Ποια είναι η επιχειρηματική αξία της ασφάλειας και
του ελέγχου
Ποια είναι τα συστατικά στοιχεία ενός οργανωσιακού
πλαισίου δράσης για την ασφάλεια και τον έλεγχο
Αξιολογήστε τα πιο σημαντικά εργαλεία και
τεχνολογίες για τη διασφάλιση των πληροφοριακών
πόρων
73 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πρόβλημα Απειλή επιθέσεων από χάκερ για να κλέψουν πληροφορίες ή laquoπεριουσιακά στοιχείαraquo των παιχνιδιών
Λύσεις Εφαρμογή ενός προηγμένου συστήματος ασφάλειας για εντοπισμό απειλών και μείωση των αποπειρών των χάκερ
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
74 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Η αντιπυρική ζώνη NC-2000 AG της NetContinuum
και η υπηρεσία ClickToSecure της Cenzic
εργάζονται σε συνδυασμό για να ελαχιστοποιήσουν
τις πιθανότητες παραβίασης της ασφάλειας
Αυτό δείχνει το ρόλο της ΤΠ στην καταπολέμηση
των κακόβουλων επιθέσεων
Παρουσιάζει επίσης το ρόλο της ψηφιακής
τεχνολογίας στην επίτευξη ασφάλειας στον Ιστό
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
75 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
76 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Ένας απροστάτευτος υπολογιστής συνδεδεμένος
στο Διαδίκτυο μπορεί να απενεργοποιηθεί σε λίγα
δευτερόλεπτα
Ασφάλεια
bull Πολιτικές διαδικασίες και τεχνικά μέτρα που χρησιμοποιούνται
για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης την
αλλοίωση κλοπή ή φυσική ζημιά των πληροφοριακών
συστημάτων
Έλεγχοι
bull Μέθοδοι πολιτικές και οργανωσιακές διαδικασίες που εγγυώνται
την ασφάλεια των περιουσιακών στοιχείων του οργανισμού την
ακρίβεια και αξιοπιστία των λογιστικών εγγραφών του και τη
λειτουργική συμμόρφωση προς τους κανόνες διαχείρισης
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
72 copy 2007 by Prentice Hall
ΜΑΘΗΣΙΑΚΟΙ ΣΤΟΧΟΙ
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Γιατί τα πληροφοριακά συστήματα είναι ευπαθή σε
καταστροφή σφάλματα και κακή χρήση
Ποια είναι η επιχειρηματική αξία της ασφάλειας και
του ελέγχου
Ποια είναι τα συστατικά στοιχεία ενός οργανωσιακού
πλαισίου δράσης για την ασφάλεια και τον έλεγχο
Αξιολογήστε τα πιο σημαντικά εργαλεία και
τεχνολογίες για τη διασφάλιση των πληροφοριακών
πόρων
73 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πρόβλημα Απειλή επιθέσεων από χάκερ για να κλέψουν πληροφορίες ή laquoπεριουσιακά στοιχείαraquo των παιχνιδιών
Λύσεις Εφαρμογή ενός προηγμένου συστήματος ασφάλειας για εντοπισμό απειλών και μείωση των αποπειρών των χάκερ
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
74 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Η αντιπυρική ζώνη NC-2000 AG της NetContinuum
και η υπηρεσία ClickToSecure της Cenzic
εργάζονται σε συνδυασμό για να ελαχιστοποιήσουν
τις πιθανότητες παραβίασης της ασφάλειας
Αυτό δείχνει το ρόλο της ΤΠ στην καταπολέμηση
των κακόβουλων επιθέσεων
Παρουσιάζει επίσης το ρόλο της ψηφιακής
τεχνολογίας στην επίτευξη ασφάλειας στον Ιστό
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
75 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
76 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Ένας απροστάτευτος υπολογιστής συνδεδεμένος
στο Διαδίκτυο μπορεί να απενεργοποιηθεί σε λίγα
δευτερόλεπτα
Ασφάλεια
bull Πολιτικές διαδικασίες και τεχνικά μέτρα που χρησιμοποιούνται
για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης την
αλλοίωση κλοπή ή φυσική ζημιά των πληροφοριακών
συστημάτων
Έλεγχοι
bull Μέθοδοι πολιτικές και οργανωσιακές διαδικασίες που εγγυώνται
την ασφάλεια των περιουσιακών στοιχείων του οργανισμού την
ακρίβεια και αξιοπιστία των λογιστικών εγγραφών του και τη
λειτουργική συμμόρφωση προς τους κανόνες διαχείρισης
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
73 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πρόβλημα Απειλή επιθέσεων από χάκερ για να κλέψουν πληροφορίες ή laquoπεριουσιακά στοιχείαraquo των παιχνιδιών
Λύσεις Εφαρμογή ενός προηγμένου συστήματος ασφάλειας για εντοπισμό απειλών και μείωση των αποπειρών των χάκερ
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
74 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Η αντιπυρική ζώνη NC-2000 AG της NetContinuum
και η υπηρεσία ClickToSecure της Cenzic
εργάζονται σε συνδυασμό για να ελαχιστοποιήσουν
τις πιθανότητες παραβίασης της ασφάλειας
Αυτό δείχνει το ρόλο της ΤΠ στην καταπολέμηση
των κακόβουλων επιθέσεων
Παρουσιάζει επίσης το ρόλο της ψηφιακής
τεχνολογίας στην επίτευξη ασφάλειας στον Ιστό
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
75 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
76 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Ένας απροστάτευτος υπολογιστής συνδεδεμένος
στο Διαδίκτυο μπορεί να απενεργοποιηθεί σε λίγα
δευτερόλεπτα
Ασφάλεια
bull Πολιτικές διαδικασίες και τεχνικά μέτρα που χρησιμοποιούνται
για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης την
αλλοίωση κλοπή ή φυσική ζημιά των πληροφοριακών
συστημάτων
Έλεγχοι
bull Μέθοδοι πολιτικές και οργανωσιακές διαδικασίες που εγγυώνται
την ασφάλεια των περιουσιακών στοιχείων του οργανισμού την
ακρίβεια και αξιοπιστία των λογιστικών εγγραφών του και τη
λειτουργική συμμόρφωση προς τους κανόνες διαχείρισης
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
74 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Η αντιπυρική ζώνη NC-2000 AG της NetContinuum
και η υπηρεσία ClickToSecure της Cenzic
εργάζονται σε συνδυασμό για να ελαχιστοποιήσουν
τις πιθανότητες παραβίασης της ασφάλειας
Αυτό δείχνει το ρόλο της ΤΠ στην καταπολέμηση
των κακόβουλων επιθέσεων
Παρουσιάζει επίσης το ρόλο της ψηφιακής
τεχνολογίας στην επίτευξη ασφάλειας στον Ιστό
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
75 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
76 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Ένας απροστάτευτος υπολογιστής συνδεδεμένος
στο Διαδίκτυο μπορεί να απενεργοποιηθεί σε λίγα
δευτερόλεπτα
Ασφάλεια
bull Πολιτικές διαδικασίες και τεχνικά μέτρα που χρησιμοποιούνται
για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης την
αλλοίωση κλοπή ή φυσική ζημιά των πληροφοριακών
συστημάτων
Έλεγχοι
bull Μέθοδοι πολιτικές και οργανωσιακές διαδικασίες που εγγυώνται
την ασφάλεια των περιουσιακών στοιχείων του οργανισμού την
ακρίβεια και αξιοπιστία των λογιστικών εγγραφών του και τη
λειτουργική συμμόρφωση προς τους κανόνες διαχείρισης
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
75 copy 2007 by Prentice Hall
Και τα Παιχνίδια στο Διαδίκτυο χρειάζονται Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
76 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Ένας απροστάτευτος υπολογιστής συνδεδεμένος
στο Διαδίκτυο μπορεί να απενεργοποιηθεί σε λίγα
δευτερόλεπτα
Ασφάλεια
bull Πολιτικές διαδικασίες και τεχνικά μέτρα που χρησιμοποιούνται
για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης την
αλλοίωση κλοπή ή φυσική ζημιά των πληροφοριακών
συστημάτων
Έλεγχοι
bull Μέθοδοι πολιτικές και οργανωσιακές διαδικασίες που εγγυώνται
την ασφάλεια των περιουσιακών στοιχείων του οργανισμού την
ακρίβεια και αξιοπιστία των λογιστικών εγγραφών του και τη
λειτουργική συμμόρφωση προς τους κανόνες διαχείρισης
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
76 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Ένας απροστάτευτος υπολογιστής συνδεδεμένος
στο Διαδίκτυο μπορεί να απενεργοποιηθεί σε λίγα
δευτερόλεπτα
Ασφάλεια
bull Πολιτικές διαδικασίες και τεχνικά μέτρα που χρησιμοποιούνται
για την αποτροπή της μη εξουσιοδοτημένης πρόσβασης την
αλλοίωση κλοπή ή φυσική ζημιά των πληροφοριακών
συστημάτων
Έλεγχοι
bull Μέθοδοι πολιτικές και οργανωσιακές διαδικασίες που εγγυώνται
την ασφάλεια των περιουσιακών στοιχείων του οργανισμού την
ακρίβεια και αξιοπιστία των λογιστικών εγγραφών του και τη
λειτουργική συμμόρφωση προς τους κανόνες διαχείρισης
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
77 copy 2007 by Prentice Hall
Γιατί είναι Τρωτά τα Συστήματα
Προβλήματα υλικού
bull Βλάβες σφάλματα διευθέτησης ζημιές από ακατάλληλη ή
εγκληματική χρήση
Προβλήματα λογισμικού
bull Σφάλματα προγραμματισμού ή εγκατάστασης μη
εξουσιοδοτημένες μετατροπές
Ζημιές
bull Διακοπές ρεύματος πλημμύρες πυρκαγιές κλπ
Χρήση δικτύων υπολογιστών εκτός του ελέγχου της
επιχείρησης
bull πχ με εγχώριους ή εξωχώριους προμηθευτές
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
78 copy 2007 by Prentice Hall
Σύγχρονες Προκλήσεις για την Ασφάλεια και Αδύνατα Σημεία
Εικόνα 7-1
Η αρχιτεκτονική μιας ιστοπαγούς εφαρμογής περιλαμβάνει κατά κανόνα έναν πελάτη Ιστού ένα διακομιστή και εταιρικά πληροφοριακά συστήματα
συνδεδεμένα με βάσεις δεδομένων Το καθένα από αυτά τα στοιχεία περιλαμβάνει προκλήσεις για την ασφάλεια και αδύνατα σημεία Πλημμύρες
πυρκαγιές διακοπές ρεύματος και άλλα προβλήματα με την τροφοδοσία ηλεκτρισμού μπορούν να προκαλέσουν διαταραχές σε οποιοδήποτε
σημείο του δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
79 copy 2007 by Prentice Hall
Αδύνατα σημεία στο Διαδίκτυο
bull Δίκτυο ανοιχτό στον καθένα
bull Το μέγεθος του Διαδικτύου σημαίνει ότι ο αντίκτυπος της
κακής χρήσης μπορεί να είναι τεράστιος
bull Οι σταθερές διευθύνσεις Διαδικτύου με διαρκή σύνδεση σε
αυτό διευκολύνουν τον εντοπισμό τους από τους χάκερ
bull Συνημμένα στο ηλεκτρονικό ταχυδρομείο
bull Μετάδοση εμπορικών μυστικών μέσω ηλεκτρονικού
ταχυδρομείου
bull Τα άμεσα μηνύματα δεν είναι ασφαλή και μπορούν να
υποκλαπούν εύκολα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
710 copy 2007 by Prentice Hall
Προβλήματα ασφάλειας σε ασύρματα δίκτυαbull Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα
bull Τα αναγνωριστικά συνόλου υπηρεσιών (SSID)
Προσδιορίζουν τα σημεία πρόσβασης
Μεταδίδονται πολλές φορές
bull Περιπολία εντοπισμού (War driving)
Οι ωτακουστές περνούν δίπλα από κτίρια και προσπαθούν να παρέμβουν στην κυκλοφορία ασύρματων δικτύων
Όταν ο χάκερ αποκτήσει πρόσβαση στο SSID μπορεί να προσπελάσει πόρους του δικτύου
bull Προστασία ισοδύναμη με των ενσύρματων δικτύων (WEP)
Πρότυπο ασφάλειας για το 80211
Οι βασικές προδιαγραφές προβλέπουν κοινό κωδικό πρόσβασης για τους χρήστες και το σημείο πρόσβασης
Οι χρήστες αμελούν συχνά τη χρήση διατάξεων ασφάλειας
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
711 copy 2007 by Prentice Hall
Προβλήματα Ασφάλειας σε Δίκτυα Wi-Fi
Εικόνα 7-2
Πολλά δίκτυα Wi-Fi
είναι εύκολη λεία για
εισβολείς που
χρησιμοποιούν
προγράμματα
εντοπισμού για να
αποκτήσουν μια
διεύθυνση από την
οποία μπορούν να
έχουν λαθραία
πρόσβαση στους
πόρους ενός δικτύου
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
712 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό
bull Ιός
Παρασιτικό λογισμικό που προσκολλάται σε άλλα
προγράμματα ή αρχεία δεδομένων για να εκτελεστεί
bull Σκουλήκια
Ανεξάρτητα προγράμματα υπολογιστών που αντιγράφουν τον
εαυτό τους από έναν υπολογιστή σε άλλους μέσω δικτύου
bull Δούρειος ίππος
Πρόγραμμα λογισμικού που εμφανίζεται ακίνδυνο αλλά κάνει
κάτι διαφορετικό από το αναμενόμενο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
713 copy 2007 by Prentice Hall
Κακόβουλο Λογισμικό Ιοί Σκουλήκια Δούρειοι
Ίπποι και Κατασκοπευτικό Λογισμικό
Κακόβουλο λογισμικό (συνέχεια)
bull Κατασκοπευτικό λογισμικό (spyware)
Μικρά προγράμματα που εγκαθίστανται λαθραία σε
υπολογιστές και παρακολουθούν τη δραστηριότητα
περιήγησης του χρήστη στον Ιστό και παρουσιάζουν
διαφημίσεις
bull Καταγραφείς πληκτρολογήσεων (Key loggers)
Καταγράφουν κάθε πληκτρολόγηση του χρήστη για να
κλέψουν σειριακούς αριθμούς κωδικούς πρόσβασης ή να
εξαπολύσουν επιθέσεις στο Διαδίκτυο
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
714 copy 2007 by Prentice Hall
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το κακόβουλο λογισμικό έχει
εξαπλωθεί σε ολόκληρο τον
κόσμο Τα τρία διαγράμματα
δείχνουν την περιφερειακή
κατανομή σκουληκιών και ιών
υπολογιστή παγκοσμίως όπως
αναφέρεται από την Trend Micro
για περιόδους 24 ωρών 7
ημερών και 30 ημερών Ο
αριθμός των ιών αντιπροσωπεύει
τον αριθμό των μολυσμένων
αρχείων ενώ το ποσοστό δείχνει
τη σχετική συχνότητα κάθε
περιοχής σε σύγκριση με τα
παγκόσμια στατιστικά στοιχεία για
κάθε περίοδο μέτρησης
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
715 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Χάκερ και κράκερ
Οι δραστηριότητές τους είναι
bull Εισβολή σε συστήματα
bull Ζημιές σε συστήματα
bull Κυβερνοβανδαλισμός
Σκόπιμη διατάραξη αλλοίωση ή καταστροφή
τοποθεσίας Ιστού ή εταιρικού πληροφοριακού
συστήματος
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
716 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Spoofing)
bull Παραπλανητική αντιπροσώπευση κάποιου με τη χρήση πλαστών
διευθύνσεων ηλεκτρονικού ταχυδρομείου ή παριστάνοντας
κάποιον άλλο
bull Ανακατεύθυνση συνδέσμου Ιστού σε διεύθυνση διαφορετική από
την επιδιωκόμενη όπου η τοποθεσία μοιάζει με την επιδιωκόμενη
Εντοπιστής (Sniffer)
bull Πρόγραμμα που παρακολουθεί τις πληροφορίες που διακινούνται
σε ένα δίκτυο
bull Επιτρέπει στους χάκερ να κλέβουν αποκλειστικές πληροφορίες
όπως ηλεκτρονικά μηνύματα εταιρικά αρχεία κλπ
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
717 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επιθέσεις άρνησης εξυπηρέτησης (DoS)
bull Κατακλύζουν ένα διακομιστή με χιλιάδες ψευδή αιτήματα ώστε να
καταρρεύσει το δίκτυο
Κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης
(DDoS)
bull Χρήση πολλών υπολογιστών για να κατακλύσουν ένα δίκτυο
bull Δίκτυα ρομπότ (Botnets)
Δίκτυα laquoζόμπιraquo υπολογιστών τρίτων μολυσμένων με
κακόβουλο λογισμικό
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
718 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ηλεκτρονική εγκληματικότητα
bull Ορίζεται ως laquoκάθε παραβίαση του ποινικού δικαίου που
περιλαμβάνει γνώση της τεχνολογίας υπολογιστών για να
διαπραχθεί να ερευνηθεί ή να ασκηθεί δίωξηraquo
bull Υπολογιστής ως στόχος εγκλήματος πχ
Παραβίαση απορρήτου προστατευμένων
μηχανογραφημένων δεδομένων
Μη εξουσιοδοτημένη πρόσβαση σε σύστημα υπολογιστών
bull Υπολογιστής ως όργανο εγκλήματος πχ
Κλοπή εμπορικών μυστικών
Χρήση ηλεκτρονικού ταχυδρομείου για απειλές ή ενόχληση
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
719 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Κλοπή ταυτότητας
bull Κλοπή προσωπικών πληροφοριών (αριθμούς μητρώου κοινωνικής ασφάλισης αριθμούς αδειών οδήγησης ή πιστωτικών καρτών) με σκοπό να υποδυθεί κάποιον άλλο
Ηλεκτρονικό ψάρεμα (Phishing)
bull Δημιουργία πλαστών τοποθεσιών Ιστού ή αποστολή ηλεκτρονικών μηνυμάτων που μοιάζουν να προέρχονται από νόμιμες επιχειρήσεις και ζητούν από τους χρήστες εμπιστευτικά προσωπικά δεδομένα
Πονηροί δίδυμοι (Evil twins)
bull Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν φερέγγυες συνδέσεις Wi-Fi με το Διαδίκτυο
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
720 copy 2007 by Prentice Hall
Χάκερ και Ηλεκτρονική Εγκληματικότητα
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Παραπλάνηση (Pharming)
bull Ανακατευθύνει τους χρήστες σε μια πλαστή ιστοσελίδα
ακόμη και αν ο χρήστης πληκτρολογεί τη σωστή
διεύθυνση στον φυλλομετρητή του
Απάτη των κλικ
bull Συμβαίνει όταν κάποιο άτομο ή πρόγραμμα υπολογιστή
επιλέγει μια διαφήμιση με δόλιο σκοπό χωρίς να έχει
πρόθεση να μάθει περισσότερα για τον διαφημιζόμενο ή
να αγοράσει κάτι
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
721 copy 2007 by Prentice Hall
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Ποιος είναι ο αντίκτυπος των δικτύων ρομπότ στην επιχειρηματική δραστηριότητα
bull Ποιους ανθρώπινους οργανωσιακούς και τεχνολογικούς παράγοντες θα πρέπει να αντιμετωπίζει ένα σχέδιο πρόληψης επιθέσεων από δίκτυα ρομπότ
bull Πόσο εύκολο θα ήταν για μια μικρή επιχείρηση να καταπολεμήσει επιθέσεις δικτύων ρομπότ Μια μεγάλη επιχείρηση
bull Πώς μπορείτε να καταλάβετε αν ο υπολογιστής σας είναι τμήμα δικτύου ρομπότ Εξηγήστε την απάντησή σας
Μελέτη Περίπτωσης Τεχνολογία
Στρατιές Ρομπότ Εξαπολύουν Ψηφιακή Πολιορκία
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
722 copy 2007 by Prentice Hall
Εσωτερικές Απειλές Προσωπικό
Προβλήματα ασφάλειας ξεκινούν συχνά από το
εσωτερικό ενός οργανισμού
bull Εσωτερική γνώση
bull Ανεπαρκείς διαδικασίες ασφάλειας
Έλλειψη γνώσεων εκ μέρους των χρηστών
bull Κοινωνική μηχανική (Social engineering)
Εξαπάτηση εργαζομένων ώστε να αποκαλύψουν κωδικούς
πρόσβασής τους προσποιούμενοι ότι είναι νόμιμα μέλη της
εταιρείας που χρειάζονται πληροφορίες
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
723 copy 2007 by Prentice Hall
Ευπάθεια Λογισμικού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Το εμπορικό λογισμικό περιέχει σφάλματα που δημιουργούν προβλήματα ασφάλειας
bull Κρυφά σφάλματα (ελαττώματα στον κώδικα του προγράμματος)
Τα μηδενικά σφάλματα είναι ανέφικτος στόχος σε μεγάλα προγράμματα γιατί η πλήρης δοκιμή τους είναι αδύνατη
bull Τα ελαττώματα μπορούν να ανοίγουν τα δίκτυα σε εισβολείς
Διορθωτικές εκδόσεις (Patches)
bull Οι προμηθευτές εκδίδουν μικρά τμήματα λογισμικού που διορθώνουν τα ευπαθή σημεία
bull Ωστόσο η ποσότητα του λογισμικού σε χρήση μπορεί να σημαίνει ότι οι παραβιάσεις γίνονται πιο γρήγορα από την έκδοση και εγκατάσταση των διορθωτικών εκδόσεων
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
724 copy 2007 by Prentice Hall
Η διακοπή των συστημάτων υπολογιστών μπορεί
να οδηγήσει σε σημαντικές ή ολικές ζημιές την
επιχείρηση
Οι επιχειρήσεις είναι τώρα πιο ευπαθείς από ποτέ
Μια παραβίαση της ασφάλειας μπορεί να μειώσει
την αγοραία αξία της επιχείρησης σχεδόν αμέσως
Η ανεπάρκεια στην ασφάλεια και τον έλεγχο εγείρει
επίσης ζητήματα νομικής ευθύνης
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
725 copy 2007 by Prentice Hall
Νομικές και Κανονιστικές Απαιτήσεις για τη
Διαχείριση Ηλεκτρονικών Εγγραφών
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Οι επιχειρήσεις αντιμετωπίζουν νέες νομικές υποχρεώσεις (ΗΠΑ) για την τήρηση και αποθήκευση ηλεκτρονικών εγγραφών και την προστασία του προσωπικού απορρήτου
bull Νόμος HIPAA Κανόνες και διαδικασίες για την ιατρική ασφάλεια και το προσωπικό απόρρητο
bull Νόμος Gramm-Leach-Bliley Απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν ασφάλεια και εμπιστευτικότητα στα δεδομένα των πελατών
bull Νόμος Sarbanes-Oxley Επιβάλλει την ευθύνη των εταιρειών και των διευθυντικών στελεχών τους για την διασφάλιση της ακρίβειας και ακεραιότητας των χρηματοοικονομικών πληροφοριών που χρησιμοποιούν εσωτερικά και δημοσιεύουν εξωτερικά
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
726 copy 2007 by Prentice Hall
Ηλεκτρονικές Αποδείξεις και Εγκληματολογία
Αποδείξεις εγκληματικών ενεργειών υπαλλήλων
βρίσκονται συχνά σε ψηφιακή μορφή
bull Δεδομένα αποθηκευμένα σε συσκευές υπολογιστών ηλεκτρονικά
μηνύματα άμεσα μηνύματα συναλλαγές ηλεκτρονικού εμπορίου
Ο κατάλληλος έλεγχος των δεδομένων μπορεί να
εξοικονομεί κόστος για την απάντηση σε αίτημα
δικαστικής έρευνας
Ηλεκτρονική εγκληματολογία
bull Επιστημονική συλλογή εξέταση πιστοποίηση διατήρηση και
ανάλυση δεδομένων από αποθηκευτικά μέσα υπολογιστών για
χρήση σε δικαστήριο
bull Περιλαμβάνει ανάκτηση περιβαλλόντων και κρυφών δεδομένων
Η Επιχειρηματική Αξία της Ασφάλειας και του Ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
727 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι πληροφοριακών συστημάτων
bull Γενικοί έλεγχοι
Αφορούν το σχεδιασμό την ασφάλεια και τη
χρήση προγραμμάτων υπολογιστών καθώς και τη
γενική ασφάλεια αρχείων δεδομένων σε ολόκληρο
τον οργανισμό
Εφαρμόζονται σε όλες τις μηχανογραφημένες
εφαρμογές
Συνδυασμός υλικού λογισμικού και χειρόγραφων
διαδικασιών για τη δημιουργία συνολικού
περιβάλλοντος ελέγχου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
728 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Τύποι γενικών ελέγχων
bull Έλεγχοι λογισμικού
bull Έλεγχοι υλικού
bull Έλεγχοι λειτουργίας υπολογιστών
bull Έλεγχοι ασφάλειας δεδομένων
bull Έλεγχοι υλοποίησης
bull Διαχειριστικοί έλεγχοι
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
729 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Έλεγχοι εφαρμογής
bull Ειδικοί έλεγχοι για κάθε μηχανογραφημένη εφαρμογή
όπως μισθοδοσία ή επεξεργασία παραγγελιών
bull Περιλαμβάνουν αυτόματες και μη διαδικασίες
bull Διασφαλίζουν ότι η εφαρμογή επεξεργάζεται πλήρως
και με ακρίβεια μόνον εγκεκριμένα δεδομένα
bull Περιλαμβάνουν
Ελέγχους εισόδου
Ελέγχους επεξεργασίας
Ελέγχους εξόδου
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
730 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Εκτίμηση επικινδυνότητας
bull Προσδιορίζει το επίπεδο κινδύνου για μια επιχείρηση αν μια
ορισμένη δραστηριότητα ή διεργασία δεν ελέγχεται επαρκώς
Τύποι απειλών
Πιθανότητα εμφάνισης στη διάρκεια του έτους
Πιθανές ζημιές αξία απειλής
Ενδεχόμενη ετήσια ζημιά
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Επικίνδυνο
γεγονός
Πιθανότητα
γεγονότος
Εύρος ζημιάς Ενδεχόμενη
ετήσια ζημιά
Διακοπή
ρεύματος
30 $5000 ndash $200000 $30750
Κατάχρηση 5 $1000 ndash $50000 $1275
Σφάλμα χρήστη 98 $200 ndash $40000 $19698
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
731 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πολιτική ασφάλειας
bull Ιεραρχεί κινδύνους πληροφοριών καθορίζει αποδεκτούς
στόχους ασφάλειας και προσδιορίζει μηχανισμούς για την
επίτευξη αυτών των στόχων
bull Καθοδηγεί άλλες πολιτικές
Πολιτική αποδεκτής χρήσης (AUP)
Ορίζει αποδεκτές χρήσεις των πληροφοριακών πόρων
και του υπολογιστικού εξοπλισμού της επιχείρησης
Πολιτικές εξουσιοδότησης
Ορίζει τα διαφορετικά επίπεδα προσβασιμότητας
χρηστών στις πληροφορίες
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
732 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Συστήματα διαχείρισης εξουσιοδότησης
bull Ορίζουν πού και πότε επιτρέπεται σε ένα χρήστη να
προσπελάζει ορισμένα τμήματα μιας τοποθεσίας
Ιστού ή μια εταιρική βάση δεδομένων
bull Επιτρέπουν σε κάθε χρήστη την πρόσβαση σε εκείνα
μόνο τα τμήματα του συστήματος που επιτρέπεται να
προσπελάζει με βάση τις πληροφορίες που ορίζονται
από ένα σύνολο κανόνων πρόσβασης (προφίλ
ασφάλειας)
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
733 copy 2007 by Prentice Hall
Προφίλ Ασφάλειας για ένα Σύστημα Προσωπικού
Εικόνα 7-3Τα δύο αυτά
παραδείγματα
αντιπροσωπεύουν δύο
προφίλ ασφάλειας ή
πρότυπα ασφάλειας
δεδομένων που μπορεί
να υπάρχουν σε ένα
σύστημα προσωπικού
Ανάλογα με το προφίλ
ασφάλειάς του ένας
χρήστης έχει ορισμένους
περιορισμούς
πρόσβασης σε διάφορα
συστήματα τοποθεσίες ή
δεδομένα ενός
οργανισμού
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
734 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Σχεδιασμός ανάκαμψης από καταστροφή Επινοεί σχέδια για την αποκατάσταση των υπηρεσιών που αποδιοργανώθηκαν
Σχεδιασμός επιχειρηματικής συνέχειας Εστιάζεται στην αποκατάσταση των λειτουργιών της επιχείρησης μετά από καταστροφή
bull Και οι δύο τύποι σχεδίων πρέπει να εντοπίζουν τα πιο καίρια συστήματα της επιχείρησης
bull Ανάλυση επιχειρηματικών συνεπειών για τον προσδιορισμό των επιπτώσεων μιας διακοπής λειτουργίας
bull Το μάνατζμεντ πρέπει να ορίσει ποια συστήματα πρέπει να αποκατασταθούν πρώτα
Σχεδιασμός ανάκαμψης από καταστροφή και
επιχειρηματικής συνέχειας
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
735 copy 2007 by Prentice Hall
Δημιουργία Πλαισίου Ενεργειών για την Ασφάλεια και τον Έλεγχο
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Ο Ρόλος της Ελεγκτικής Εξέτασης
Ελεγκτική εξέταση πληροφοριακών συστημάτων διοίκησης (MIS audit)
bull Εξετάζει το συνολικό περιβάλλον ασφάλειας της επιχείρησης καθώς και όλους τους ελέγχους των επιμέρους πληροφοριακών συστημάτων
bull Εξετάζει τεχνολογίες διαδικασίες τεκμηρίωση εκπαίδευση και προσωπικό
bull Μπορεί ακόμη να προσομοιώσει μια καταστροφή για να ελέγξει την απόκριση της τεχνολογίας του προσωπικού των συστημάτων και των άλλων υπαλλήλων
bull Απαριθμεί και ιεραρχεί όλες τις αδυναμίες ελέγχου και εκτιμά τις πιθανότητες να συμβούν ζημιές
bull Εκτιμά τον οικονομικό και οργανωσιακό αντίκτυπο κάθε απειλής
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
736 copy 2007 by Prentice Hall
Παράδειγμα Καταγραφής Αδυναμιών Ελέγχου από Ελεγκτή
Εικόνα 7-4
Αυτός ο πίνακας είναι μια
σελίδα από την αναφορά
ελεγκτικής εξέτασης για
ένα σύστημα παροχής
δανείων από μια εμπορική
τράπεζα Αυτή η μορφή
αναφοράς βοηθά τους
ελεγκτές να καταγράφουν
και να αξιολογούν τις
αδυναμίες ελέγχου και
δείχνει τα συμπεράσματα
των συζητήσεων γιrsquo αυτές
με τα διευθυντικά στελέχη
καθώς και τις διορθωτικές
ενέργειες του μάνατζμεντ
Τρωτά συστήματα και κατάχρηση
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
737 copy 2007 by Prentice Hall
Έλεγχος Πρόσβασης
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πολιτικές και διαδικασίες για την αποτροπή της
αθέμιτης πρόσβασης σε συστήματα από μη
εξουσιοδοτημένα άτομα εντός και εκτός μιας
επιχείρησης
bull Εξουσιοδότηση
bull Πιστοποίηση ταυτότητας
Συστήματα κωδικών πρόσβασης
Αναγνωριστικά (Tokens)
Έξυπνες κάρτες (Smart cards)
Βιομετρική πιστοποίηση ταυτότητας
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
738 copy 2007 by Prentice Hall
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
Αυτός ο NEC PC έχει
βιομετρική μονάδα
ανάγνωσης δακτυλικών
αποτυπωμάτων για
γρήγορη και ασφαλή
πρόσβαση σε αρχεία και
δίκτυα Τα νέα μοντέλα
προσωπικών
υπολογιστών αρχίζουν
να χρησιμοποιούν
βιομετρική αναγνώριση
για την πιστοποίηση της
ταυτότητας των
χρηστών
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
739 copy 2007 by Prentice Hall
Αντιπυρικές ζώνες
bull Συνδυασμός υλικού και λογισμικού για την
αποτροπή της πρόσβασης μη εξουσιοδοτημένων
χρηστών σε ιδιωτικά δίκτυα
bull Οι τεχνολογίες περιλαμβάνουν
Στατικό φιλτράρισμα πακέτων (Static packet filtering)
Μετάφραση διευθύνσεων δικτύου (NAT)
Φιλτράρισμα εφαρμογών με διαμεσολαβητή (Application
proxy filtering)
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
740 copy 2007 by Prentice Hall
Μια Eταιρική Aντιπυρική Zώνη
Εικόνα 7-5
Η αντιπυρική ζώνη τοποθετείται ανάμεσα στο ιδιωτικό δίκτυο μιας εταιρείας και στο δημόσιο
Διαδίκτυο ή άλλο μη έμπιστο δίκτυο για την προστασία από μη εξουσιοδοτημένη κυκλοφορία
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
741 copy 2007 by Prentice Hall
Συστήματα ανίχνευσης εισβολής
bull Παρακολουθούν τα σημεία πρόσβασης των εταιρικών
δικτύων για να ανιχνεύουν και να αποτρέπουν
εισβολείς
bull Εξετάζουν γεγονότα τη στιγμή που συμβαίνουν για να
ανακαλύψουν επιθέσεις που βρίσκονται σε εξέλιξη
Λογισμικό κατά των ιών και αντικατασκοπευτικό
bull Ελέγχει υπολογιστές για την παρουσία κακόβουλου
λογισμικού το οποίο μπορεί συνήθως να εξαλείφει
bull Προϋποθέτει συνεχή ενημέρωση
Αντιπυρικές Ζώνες Συστήματα Ανίχνευσης
Εισβολής Λογισμικό κατά των Ιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
742 copy 2007 by Prentice Hall
Το σύστημα ασφάλειας WEP μπορεί να βελτιωθεί
bull Ενεργοποιώντας το
bull Αποδίδοντας μοναδικό όνομα στο SSID του δικτύου
bull Χρησιμοποιώντας το με την τεχνολογία VPN
Η ομάδα Wi-Fi Alliance οριστικοποίησε το πρότυπο WAP2 αντικαθιστώντας το WEP με ισχυρότερες προδιαγραφές
bull Κλειδιά που αλλάζουν συνεχώς
bull Κρυπτογραφημένο σύστημα πιστοποίησης ταυτότητας με τον κεντρικό διακομιστή
Ασφάλιση Ασύρματων Δικτύων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
743 copy 2007 by Prentice Hall
Κρυπτογράφηση
bull Μετασχηματισμός κειμένου ή δεδομένων σε
κρυπτογραφημένο κείμενο που δεν μπορεί να
διαβαστεί από μη προβλεπόμενους παραλήπτες
bull Δύο μέθοδοι κρυπτογράφησης σε δίκτυα
Ασφαλές Επίπεδο Υποδοχής (Secure Sockets Layer
SSL) και το διάδοχό του πρωτόκολλο Ασφάλειας
Επιπέδου Μεταφοράς (Transport Layer Security TLS)
Ασφαλές Πρωτόκολλο Μεταφοράς Υπερ-κειμένου (Secure
Hypertext Transfer Protocol S-HTTP)
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
744 copy 2007 by Prentice Hall
Δύο μέθοδοι κρυπτογράφησης
bull Κρυπτογράφηση με συμμετρικό κλειδί
Αποστολέας και παραλήπτης χρησιμοποιούν ένα κοινό κλειδί
bull Κρυπτογράφηση με δημόσιο κλειδί
Χρησιμοποιεί δύο μαθηματικά σχετικά κλειδιά ένα δημόσιο
και ένα ιδιωτικό
Ο αποστολέας κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί
του παραλήπτη
Ο παραλήπτης το αποκρυπτογραφεί με το ιδιωτικό κλειδί
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
745 copy 2007 by Prentice Hall
Κρυπτογράφηση με Δημόσιο Κλειδί
Εικόνα 7-6
Ένα σύστημα κρυπτογράφησης με δημόσιο κλειδί μπορεί να θεωρηθεί ως μία σειρά δημόσιων και ιδιωτικών
κλειδιών τα οποία κλειδώνουν τα δεδομένα όταν αυτά μεταδίδονται και τα ξεκλειδώνουν κατά την παραλαβή τους
Ο αποστολέας εντοπίζει το δημόσιο κλειδί του παραλήπτη σε έναν κατάλογο και το χρησιμοποιεί για να
κρυπτογραφήσει ένα μήνυμα Το μήνυμα στέλνεται κρυπτογραφημένο μέσω του Διαδικτύου ή ενός ιδιωτικού
δικτύου Όταν φτάσει στον προορισμό του ο παραλήπτης αποκρυπτογραφεί τα δεδομένα με το δικό του ιδιωτικό
κλειδί και διαβάζει το μήνυμα
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
746 copy 2007 by Prentice Hall
Ψηφιακό πιστοποιητικό bull Αρχείο δεδομένων που χρησιμοποιείται για την εξακρίβωση της
ταυτότητας χρηστών και ηλεκτρονικών πόρων για την προστασία των ηλεκτρονικών συναλλαγών
bull Χρησιμοποιεί έναν έμπιστο τρίτο ndash αρχή πιστοποίησης (CA) ndash για την επαλήθευση της ταυτότητας του χρήστη
bull Η αρχή αυτή επαληθεύει την ταυτότητα του χρήστη αποθηκεύει τις πληροφορίες σε ένα διακομιστή της ο οποίος δημιουργεί ένα ψηφιακό πιστοποιητικό που περιέχει πληροφορίες αναγνώρισης του κατόχου και ένα αντίγραφο του δημοσίου κλειδιού του
Υποδομή δημοσίων κλειδιών (PKI)bull Χρήση κρυπτογράφησης δημοσίου κλειδιού σε συνεργασία με μια
αρχή πιστοποίησης
bull Χρησιμοποιείται ευρέως στο ηλεκτρονικό εμπόριο
Κρυπτογράφηση και Υποδομή Δημοσίων Κλειδιών
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
747 copy 2007 by Prentice Hall
Ψηφιακά Πιστοποιητικά
Εικόνα 7-7
Τα ψηφιακά
πιστοποιητικά μπορούν
να χρησιμοποιηθούν για
να εξακριβωθεί η
ταυτότητα ανθρώπων ή
ψηφιακών πόρων
Προστατεύουν
ηλεκτρονικές συναλλαγές
προσφέροντας ασφαλείς
κρυπτογραφημένες
ηλεκτρονικές
επικοινωνίες
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
748 copy 2007 by Prentice Hall
Η ηλεκτρονική επεξεργασία συναλλαγών απαιτεί
διαθεσιμότητα 100 και καθόλου νεκρό χρόνο
Συστήματα υπολογιστών ανεκτικά σε βλάβες
bull Για συνεχή και αδιάλειπτη υπηρεσία πχ χρηματιστήρια
bull Περιέχουν εφεδρικό υλικό και λογισμικό και παροχή ηλεκτρικού
ρεύματος που δημιουργούν περιβάλλον συνεχούς και
αδιάλειπτης λειτουργίας
Υπολογιστική υψηλής διαθεσιμότητας
bull Βοηθάει στη γρήγορη ανάκαμψη από κατάρρευση
bull Ελαχιστοποιεί αλλά δεν καταργεί τον νεκρό χρόνο
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
749 copy 2007 by Prentice Hall
Υπολογιστική προσανατολισμένη στην
ανάκαμψη (Recovery-oriented computing)
bull Σχεδιασμός συστημάτων που να μπορούν να ανακάμπτουν
γρήγορα με δυνατότητες να βοηθούν τους χειριστές να
εντοπίζουν και να διορθώνουν τις βλάβες σε συστήματα με
πολλά μέρη και εξαρτήματα
Έλεγχος κυκλοφορίας δικτύου
bull Επιθεώρηση πακέτων σε βάθος (DPI) (αποκλεισμός
αρχείων μουσικής και βίντεο)
Εξωτερική ανάθεση ασφάλειας
bull Πάροχοι υπηρεσιών ασφάλειας (MSSP)
Εξασφάλιση Διαθεσιμότητας Συστημάτων
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
750 copy 2007 by Prentice Hall
Μετρήσεις λογισμικού Αντικειμενικές αξιολογήσεις συστήματος με
τη μορφή ποσοτικών μετρήσεων
bull Αριθμός συναλλαγών
bull Χρόνος απόκρισης μέσω δικτύου
bull Εντολές πληρωμής μισθοδοσίας που τυπώνονται ανά ώρα
bull Αριθμός γνωστών σφαλμάτων ανά εκατό γραμμές κώδικα
Έγκαιρες και τακτικές δοκιμές
Περιήγηση (Walkthrough) Ανασκόπηση εγγράφων
προδιαγραφών ή σχεδιασμού από μικρή ομάδα πεπειραμένων
ανθρώπων
Αποσφαλμάτωση (Debugging) Διεργασία διόρθωσης σφαλμάτων
Διασφάλιση Ποιότητας Λογισμικού
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-
751 copy 2007 by Prentice Hall
Μελέτη Περίπτωσης Οργανισμοί
Μπορεί η Salesforcecom να διατηρήσει τη ζήτησή της
Διαβάστε τη Μελέτη Περίπτωσης και συζητήστε τα ακόλουθα ερωτήματα
bull Πώς επηρέασαν την επιχειρηματική δραστηριότητα της Salesforcecom τα προβλήματα που συνάντησε
bull Πώς επηρέασαν αυτά τα προβλήματα τους πελάτες της
bull Ποια μέτρα πήρε η Salesforcecom για να λύσει τα προβλήματα Ήταν επαρκή αυτά τα μέτρα
bull Απαριθμήστε και περιγράψτε άλλα σημεία ευπάθειας που συζητήθηκαν σε αυτό το κεφάλαιο τα οποία θα μπορούσαν να προκαλέσουν διακοπές λειτουργίας στη Salesforcecom καθώς και τα μέτρα προστασίας από αυτά
Τεχνολογίες και Εργαλεία για την Ασφάλεια
Πληροφοριακά Συστήματα ΔιοίκησηςΚεφάλαιο 7 Ασφάλεια των Πληροφοριακών Συστημάτων
- Slide 1
- Slide 2
- Slide 3
- Slide 4
- Slide 5
- Slide 6
- Slide 7
- Slide 8
- Slide 9
- Slide 10
- Slide 11
- Slide 12
- Slide 13
- Slide 14
- Slide 15
- Slide 16
- Slide 17
- Slide 18
- Slide 19
- Slide 20
- Slide 21
- Slide 22
- Slide 23
- Slide 24
- Slide 25
- Slide 26
- Slide 27
- Slide 28
- Slide 29
- Slide 30
- Slide 31
- Slide 32
- Slide 33
- Slide 34
- Slide 35
- Slide 36
- Slide 37
- Slide 38
- Slide 39
- Slide 40
- Slide 41
- Slide 42
- Slide 43
- Slide 44
- Slide 45
- Slide 46
- Slide 47
- Slide 48
- Slide 49
- Slide 50
- Slide 51
-