|
1. Τι είναι
Computer Security
Computer security
είναι η διαδικασία πρόληψης
και ανίχνευσης αναρμόδιας
χρήσης του υπολογιστή σας.
Τα μέτρα πρόληψης βοηθούν
για να σταματήσουν τους
αναρμόδιους χρήστες (επίσης
γνωστούς ως "εισβολείς") από
την πρόσβαση σε οποιουδήποτε
μέρους του συγκροτήματος
ηλεκτρονικών υπολογιστών σας
ή του δικτύου σας. Η
ανίχνευση βοηθά για να
καθορίσουμε εάν κάποιος
προσπάθησε ή όχι, να
σπάσει/εισχωρήσει στο
σύστημά σας, εάν ήταν
επιτυχείς, και τι «κινήσεις»
μπορεί να είχαν κάνει σε
αυτό.
2. Γιατί θα έπρεπε να
φροντίσω για την ασφάλεια
υπολογιστών;
Στη σημερινή εποχή,
χρησιμοποιούμε υπολογιστές
σχεδόν για τα πάντα είτε
τραπεζικές εργασίες,
ενημέρωση για προιόντα και
αγορές, για επικοινωνία με
άλλους μέσω των προγραμμάτων
ηλεκτρονικού ταχυδρομείου (email)
ή συνομιλίας (chat).
Αν και δεν μπορείτε να
θεωρήσετε τις επικοινωνίες
σας το "κορυφαίο μυστικό,"
πιθανώς δεν θέλετε ξένους να
διαβάζουν το ηλεκτρονικό
ταχυδρομείο σας, να
χρησιμοποιούν τον υπολογιστή
σας για να επιτεθούν σε άλλα
συστήματα, να στέλνουν
παράνομα ηλεκτρονικό
μηνύματα
μέσω του ηλεκτρονικού
ταχυδρομείου από τον
υπολογιστή σας ή να
εξετάζουν τις προσωπικές
πληροφορίες που
αποθηκεύονται στον
υπολογιστή σας (όπως οι
οικονομικές δηλώσεις κλπ).
3. Ποιος θα ήθελε να
εισχωρήσει στον υπολογιστή
μου;
Οι εισβολείς (επίσης
καλούμενοι ως χάκερ,
επιτιθέμενοι, ή
crackers)
ίσως δεν ενδιαφέρονται για
τη ταυτότητά σας. Συχνά
θέλουν να κερδίσουν τον
έλεγχο του υπολογιστή σας
έτσι ώστε να μπορούν να τον
χρησιμοποιήσουν για να
προωθήσουν τις επιθέσεις σε
άλλα δίκτυα-συγκροτήματα
ηλεκτρονικών υπολογιστών. Η
κατοχή ελέγχου του
υπολογιστή σας τους δίνει τη
δυνατότητα να κρύψει την
αληθινή θέση τους δεδομένου
ότι προωθούν τις επιθέσεις,
συχνά ενάντια σε υψηλού
προφίλ δίκτυα-συγκροτήματα
ηλεκτρονικών υπολογιστών
όπως
κυβερνητικά ή σε οικονομικά
συστήματα. Ακόμα κι αν
συνδέετε έναν υπολογιστή με
το Διαδίκτυο μόνο για να
στείλετε ηλεκτρονικό
ταχυδρομείο σε φίλους ή και
στην οικογένεια σας, ο
υπολογιστής σας μπορεί να
υπάρξει στόχος. Οι εισβολείς
είναι σε θέση να γνωρίζουν
όλες τις ενέργειές σας στον
υπολογιστή ή να προκαλέσουν
τη ζημία στον υπολογιστή σας
με την επαναμορφοποίηση του
σκληρού δίσκου σας ή την
αλλαγή των στοιχείων σας.
4. Πόσο εύκολο είναι για να
εισχωρήσει στους
υπολογιστές;
Δυστυχώς, οι εισβολείς
ανακαλύπτουν πάντα νέες
ευπάθειες των συστημάτων
(ανεπίσημα αποκαλούμενες
"τρύπες") για να
εκμεταλλευτούν το λογισμικό
των υπολογιστών. Η
πολυπλοκότητα του λογισμικού
το καθιστά όλο και
περισσότερο δύσκολο να
εξετάσει λεπτομερώς την
ασφάλεια των
δικτύων-συγκροτημάτων
ηλεκτρονικών υπολογιστών.
Όταν οι «τρύπες»
ανακαλύπτονται, οι
προμηθευτές υπολογιστών θα
αναπτύξουν συνήθως
«μπαλώματα» (patches)
για να ξεπεράσουν το
πρόβλημα. Εντούτοις,
εξαρτάται από σας, τον
χρήστη, να ληφθούν και να
εγκατασταθούν τα
«μπαλώματα», ή να
διαμορφωθεί σωστά το
λογισμικό για να
λειτουργήσει ασφαλέστερα. Οι
περισσότερες από τις
συναφείς εκθέσεις των
διαρρήξεων υπολογιστών που
παραλήφθηκαν στο
CERT/CC
(Computer
Emergency Response
Team Coordination
Center.
CERT was started in December
1988 by the Defense Advanced
Research Projects Agency,
which was part of the U.S.
Department of Defense, after
the Morris Worm disabled
about 10% of all computers
connected to the
Internet.
CERT/CC is located at the
Software Engineering
Institute, a federally
funded research center
operated by
Carnegie
Mellon
University.)
θα μπορούσαν να έχουν
αποτραπεί εάν οι υπεύθυνοι
συστημάτων τηρούσαν τους
υπολογιστές τους ενήμερους
για τα νέα διαθέσιμα
«μπαλώματα»
και τις αποτυπώσεις
ασφάλειας
(security
fixes).
Επίσης, μερικές εφαρμογές
λογισμικού έχουν
τοποθετήσεις προεπιλογής (default
settings)
που επιτρέπουν σε άλλους
χρήστες να έχουν πρόσβαση
στον υπολογιστή σας εκτός αν
αλλάξετε τις τοποθετήσεις
αυτές ώστε να είστε
ασφαλέστεροι. Σχετικά
παραδείγματα περιλαμβάνουν
τα προγράμματα συνομιλίας
που άφησαν ξένους να
εκτελέσουν τις εντολές στους
ξεφυλλιστές σας (web
browsers)
υπολογιστών ή Ιστού που θα
μπορούσαν να επιτρέψουν σε
κάποιο να τοποθετήσει
επιβλαβή προγράμματα στους
υπολογιστές σας.
Κίνδυνοι ασφάλειας
υπολογιστών
1.
Τι διατρέχει κίνδυνο;
Η
ασφάλεια πληροφοριών
ενδιαφέρεται για τρεις
κύριες περιοχές:
Εμπιστευτικότητα
- οι πληροφορίες πρέπει να
είναι διαθέσιμες μόνο
χρήστες που έχουν δικαίως
πρόσβαση σε αυτές.
Ακεραιότητα
-- οι πληροφορίες πρέπει να
τροποποιούνται μόνο από
εξουσιοδοτημένους χρήστες
Διαθεσιμότητα
-- οι πληροφορίες πρέπει να
είναι διαθέσιμες και
προσιτές στους χρήστες που
τις χρειάζονται, όταν τις
χρειάζονται
Αυτές οι έννοιες ισχύουν για
τους χρήστες υπολογιστών,
ακριβώς όπως σε οποιοδήποτε
περιβάλλον εταιρικό ή
κυβερνητικό δίκτυο. Πιθανώς
δεν θα αφήνατε έναν ξένο να
κοιτάξει μέσω των σημαντικών
εγγράφων σας. Με τον ίδιο
τρόπο, μπορείτε να θελήσετε
να κρατήσετε τις κινήσεις
που κάνετε στον υπολογιστή
σας εμπιστευτικές. Επίσης,
πρέπει να έχετε κάποια
διαβεβαίωση ότι οι
πληροφορίες που εισάγετε
στον υπολογιστή σας
παραμένουν άθικτες και είναι
διαθέσιμες όταν την
χρειάζεστε. Μερικοί κίνδυνοι
ασφάλειας προκύπτουν από τη
δυνατότητα της σκόπιμης
κακής χρήσης του υπολογιστή
σας από τους εισβολείς μέσω
του Διαδικτύου. Αλλοι
πιθανοί κίνδυνοι που θα
αντιμετωπίζατε αποτυχίες
ακόμα κι αν δεν συνδεθήκατε
με το Διαδίκτυο (π.χ.
σκληρών δίσκων, κλοπή,
διακοπές λειτουργίας
δύναμης). Κακή είδηση είναι
ότι δεν μπορείτε πιθανώς να
προγραμματίσετε και να
ελέγξετε κάθε πιθανό
κίνδυνο. Καλή είδηση είναι
ότι μπορείτε να λάβετε
μερικά απλά μέτρα για να
μειώσετε την πιθανότητα
επηρεασμού των συστημάτων
σας από κοινές απειλές --
και μερικών από τη βοήθεια
εκείνων των βημάτων και με
σκόπιμους και τυχαίους
κινδύνους που είναι πιθανό
να αντιμετωπίσετε. Προτού να
φτάσουμε σε αυτό το σημείο
μπορείτε να προστατεύσετε το
δίκτυό των υπολογιστών σας,
ρίξτε μια πιό στενή ματιά σε
μερικούς απο τους πιθανούς
κινδύνους.
Prevention of Losses + Risk
Control + Security
Managing
Emergency Procedures, Fire
Protection Plan, Safety &
Health Program Evacuation
Plan, Environmental
Policies, Security
Procedures, Risk Management
Plan, Threat Analysis,
Vulnerability Analysis,
Impact Analysis,
Continuity Plan, Disaster
Recovery Plan, Vital Records
Management, Standard
Operating Procedures,
Facility Closing Policy,
Employee Manual, Multilayer
Security,
Business Espionage Controls
& Countermeasures.
Risk Control
Risk Control
leads to the prevention and
elimination of human,
material and financial loss
through the use of one of 4
basic strategies to control
risks:
Avoidance, Transference,
Mitigation, Acceptance.
Once a control strategy has
been selected & implemented,
the effectiveness of
controls should be monitored
& measured on an ongoing
basis to determine its
effectiveness.
Prevention of Losses
Organization must be able to
place a dollar value on each
tangible or intangible asset
it owns, based on:
-
How much did it cost to
create or acquire?
-
How much would it cost
to recreate or recover?
-
How much does it cost to
maintain?
-
How much is it worth to
the organization?
-
How much is it worth to
the competition?
Security readiness audit.
(Physical, Organizational,
Administrational, Logical
etc)
Security Readiness Audit
addresses the manner in
which security programs are
established in any
corporaration, in
Physical, Organizational,
Administrational, and
Logical
and indicates whether these
programs are obtaining the
desired purpose and value.
-
Development of Security
plans, policies,
procedures, etc
-
Security Audits &
Assessments (Physical,
Organizational,
Administrational,
Logical, etc)
-
Threat, Vulnerability
and Impact analyses
-
Risk analysis and Risk
Management
-
IT
Security (environmental
controls, physical,
logical, real time
monitoring and
penetration tests, etc)
-
Advance Information
Security products
-
Business Continuity and
Recovery plans
-
Business Espionage
Controls &
Countermeasures
-
Operations Security
Procedures
-
Mitigation Strategies
Presentation of Information
Security Services
|
