Μεταπτυχιακή Διατριβή Εργαστήριο Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών Λιβέρη Δήμητρα 3080026 Επιβλέπων: Γκρίτζαλης Δημήτρης Εξωτερικό Κριτής: Τσούμας Βασίλης Συνεπιβλέποντες: Θεοχαρίδου Μαριάνθη, Βιρβίλης Νικόλαος Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Δομή Παρουσίασης Εννοιολογική Θεμελίωση Ανασκόπηση Πεδίου έρευνας Γνωστικό Υπόβαθρο Διάθρωση Περιεχομένου Εργαστηριακού Προγράμματος Μελλοντική Έρευνα Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Αξιολόγηση του Προγράμματος Στόχοι Προδιαγραφές Τεκμηριωμένου Εργαστηρίου Α.Π.Σ. Υλικοτεχνική Υποδομή Περιεχόμενο Εργαστηριακού Υλικού και Καθορισμός Ασκήσεων Πλήρης Κάλυψη Ενοτήτων Γνωστικού Περιεχόμενού Κατανομή σε όλα τα πεδία γνώσεων των φοιτητών Αξιολόγηση του Προγράμματος Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Οργάνωση Έρευνας Μ.Π.Σ. στα Πληροφοριακά Συστήματα Μελέτη Γνωστικού Περιεχομένου Επισκόπηση του Ερευνητικού Πεδίου Ταξινόμηση Ασκήσεων Μελέτη Εργαλείων Σύνθεση Ασκήσεων Υλικές Προδιαγραφές Εργαστηρίου Αξιολόγηση Ασκήσεων Μ.Π.Σ. στα Πληροφοριακά Συστήματα

2007 Multimedia Security Lab References Review (1997 – 2007) 2000 2009 1990 2004 Παν. Μόσχας + Microsoft Εργασ. ΑΠΣ και καθορισμός γνωστικού περιεχομένου 2003 ACM Workshop on Education in Computer Security , IFIP World Information Security Education Στρατιωτικές Σχολές που οργανώνουν τα πρώτα μαθήματα Ασφάλειας Πληροφοριών 2001 Απομονωμένα Δίκτυα για εργαστηριακά πρόγρ. Παν. Texas A&M Uni. 2005 Εργαστήριο Δικανικής υπολογιστών σε Παν. 1998 Πρώτο Συνέδριο για την Ασφάλεια ΠΣ στην Εκπαίδευση 2006 Ασφάλεια ΒΔ. Uni Kennesaw 2007 Multimedia Security Lab 2004 Brigham Young University Ασφάλεια Δικτύων- Security Group Σχεδιασμός Εργαστηρ. Εγκατ. ΑΠΣ σε MIT, California 2005 Un Houston Απομονωμένο, εικονικό και κατανεμημένο εργαστήριο. 2007 Ελεγκτική ΠΣ 2002 Techn. Symposium on C.S.E. Νέα Θέματα διαχείριση επικινδυνότητας, εντοπισμός ευπαθειών και η διαχείριση της Ασφάλειας 2004 Ασκήσεις Κυβερνοπολέμου Uni. Winsconsin Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Συμπεράσματα Μ.Π.Σ. στα Πληροφοριακά Συστήματα

References Review (2007- 2009) 2009 2007 2007 Προστασία ΚΥ, οι έννοιες προστίθενται στο γνωστικό περιεχ. 2008 Οργανισμοί πιστοποιήσεων, αναδιαμόρφωση θεματικών ενοτήτων (έλεγχος προσπέλασης, ανάλυση επικινδυνότητας) 2009 Άσκηση στο 13ο CISSE, προτείνεται CBK (8 θεμ. ενότητες) με ΚΥ ΤΠΕ. 2008 CBK σε ISCIP 2007-08 ACM curricula recommendations 2009 Darthmouth project Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Γενική Ομάδα Ασφάλειας Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Ταξινόμηση των Ασκήσεων (1) Common Body of Knowledge: Τομέας 1: Προαπαιτούμενες γνώσεις, Βασικές Έννοιες και Μοντέλα Ασφάλειας. Τομέας 2: Ηθικά, Κοινωνικά, Ψυχολογικά και Νομικά Θέματα. Τομέας 3: Κρυπτογραφία. Τομέας 4: Ασφάλεια Λογισμικού Τομέας 5: Έλεγχος πρόσβασης και Αυθεντικοποίηση Χρηστών Τομέας 6: Ασφάλεια Δικτύων, Ιστού και Επικοινωνιών Τομέας 7: Ασφάλεια Βάσεων Δεδομένων Τομέας 8: Δικανική Πληροφορική Τομέας 9: Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων. Τομέας 10: Φυσική Ασφάλεια και Προστασία Κρίσιμων Υποδομών. Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Κριτήρια Ταξινόμησης Ασκήσεων (2) Άσκηση 2.3 Εισαγωγή στη στεγανογραφία Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Εργαστήριο Προστασίας Κρίσιμων Υποδομών ΤΠΕ?? Παρουσίαση Ασκήσεων Ενότητα Επίπεδο 1 Επίπεδο 2 Επίπεδο 3 2 Νομική Υπόθεση Κώδικας Δεοντολ. Κοινωνική μηχανική 3 Κρυπτανάλυση Brute Force Attack Στεγανογραφία 4 Ευπάθειες Λογισμικού Ανάλυση Κώδικα Buffer Overflow 5 Αρχεία Προσπέλασης Brute Force/Rainbow tables Βιομετρικά Συστήματα Προσπέλασης 6 Αναγνώριση Δικτύου Man In The Middle Metasploit Client Side Attack Wireless Attack 7 Πολιτική Ασφάλειας ΒΔ Επίθεση Εμβόλιμου Κώδικα Security Methods 8 Ανάλυση Επικινδυνότητας Ελεγκτική ΠΣ Έλεγχος Λειτουργικών Συστημάτων 9 Πρότυπα ΚΥ Σχέδιο Ανάνηψης Βιομετρικά Συστήματα Εργαστήριο Προστασίας Κρίσιμων Υποδομών ΤΠΕ?? Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Εργαστήριο Προστασίας ΚΥ Ασφάλεια Πληροφοριακών Συστημάτων Ασκήσεις βασισμένες σε τεχνικές και υπάρχοντα πρότυπα Όχι Φυσική Ασφάλειας Θεωρητικό επίπεδο ανάλυσης Προστασία Κρίσιμων Υποδομών Οι επιπτώσεις μπορούν σε μικρό χρονικό διάστημα να εξομαλυνθούν Οι διαδικασίες καθορίζονται από Πρότυπα Εργαλεία, κατανεμημένα ανάλογα με το είδος της τεχνικής που υιοθετούν. Μέγεθος της επίπτωσης ενός περιστατικού Δυσχέρεια ποσοτικοποίησης των επιπτώσεων Μεγάλη διασπορά των απειλών Η ανάλυσης επικινδυνότητας εξαρτάται από αστάθμητους παράγοντες, συχνά μη μετρίσιμους Χρησιμοποιούνται τα ίδια χωρίς να αποδίδουν σε άριστη απόδοση και με πλήρη επιτυχία Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Αξιολόγηση Απόδοση Διδασκομένων Αξιολόγηση Ασκήσεων (Αποδοτικότητα) Απόδοση Διδασκομένων Τεχνικές και μέθοδοι ανάλογα με το είδος της άσκησης Αξιολόγηση με βάση το Περιεχόμενο Δυνατότητα Απόδοσης από τους διδάσκοντες Σύνθεση Οδηγιών για τη διεξαγωγή τους Αξιολόγηση Εργαστηριακών Υποδομών Εξοπλισμός Εργαλεία Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Άσκηση 7.2 Ανάκτηση δεδομένων από Ενότητα Δικανικής Υπολογιστών ΕΠΙΔΕΙΞΗ Άσκηση 7.2 Ανάκτηση δεδομένων από Ενότητα Δικανικής Υπολογιστών Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Συμπεράσματα - Συνεισφορά Απευθύνεται σε Μελλοντικά Σχέδια Διδακτικό Προσωπικό (Δημιουργία / Αναδιάρθρωση Εργαστηρίου) Εργαζόμενους / Φορείς Πιστοποίησης (εκμάθηση στο εργαστηριακό πρόγραμμα) Αυτοματοποιημένες Μέθοδοι Αξιολόγησης Ευελιξία προγράμματος και τροποποιήσεις και εξειδικευμένα εργαλεία για βελτιστοποίηση Δημιουργία Εργαστηριακού προγράμματος για κάθε θεματική ενότητα (εξειδικευμένο πρόγραμμα σπουδών) Προστασία ΚΥ εξοπλισμένο εργαστήριο και συνεργασίες με ιδιωτικούς φορείς Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Ευχαριστώ για την Προσοχή σας! Ερωτήσεις? Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Επιπρόσθετες Διαφάνειες Ασκήσεις Προτεινόμενου Εργαστηριακού Προγράμματος (ανάλυσης μίας από κάθε τομέα) Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Ασκήσεις Προγράμματος (1/2) Ενότητα 2: (2) Νομικά Θέματα – Κώδικας Δεοντολογίας Πρότυπος κώδικας δεοντολογίας για το εργαστήριο Ρόλος Διαχειριστή Ακεραιότητα Συστήματος και Προσωπικού, Ιδιωτικότητα, Εκπαίδευση, Επικοινωνία, Κοινωνική ευθύνη Ενότητα 3: (3) Στεγανογραφία Σύνθεση ενός στεγανογραφημένου αρχείου Προσθήκη ιομορφικού λογισμικού Χρήση εργαλείων για εντοπισμό Ενότητα 4: (2) Εργαλεία Ανάλυσης πηγαίου κώδικα Γνώση εργαλείων κώδικα για ανίχνευση ευπαθειών, Εμβόλιμος Κώδικας, Υπερχειλίσεις Ομάδες (CTF) Αξιολόγηση με βάση τα αποτελέσματα (αυτοματοποιημένη μέθοδος) Ενότητα 5: (3) Βιομετρικά Συστήματα Πρόσβασης Αναπαράσταση τεχνικών, υλικοτεχνικός εξοπλισμός και λογισμικό ανίχνευσης αποτυπωμάτων, αναγνώρισης προσώπου, έξυπνες κάρτες. προσομοίωση μιας επίθεσης σε smart card μέσω SIM cloning Ενότητα 6: (4) Client Side Attack Δυνατότητα εισβολής στον υπολογιστή του πελάτη μέσω των ευπαθειών που παρουσιάζει το λογισμικό Μήνυμα, που περιέχει μολυσμένο αρχείο (είτε εικόνας είτε έγγραφο). Μόλις το ανοίξει ο παραλήπτης και κατεβάσει το αρχείο ξεκινάει η διαδικασία της επίθεσης Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Ασκήσεις Προγράμματος (2/2) Ενότητα 7:(3) Μέθοδοι διασφάλισης της ακεραιότητας μιας Βάσης Δεδομένων Μέθοδοι για το σχεδιασμό και την κατασκευή μιας ασφαλούς ΒΔ. Εφαρμογή των μεθόδων σε ομαδικές ΒΔ και επιθέσεις ώστε να αποδειχτεί η ανθεκτικότητά τους. Ενότητα 8: (1)Απαιτήσεις ενός Εργαστηρίου Δικανικής Πληροφορικής Οργανωμένο και δικτυακά απομονωμένο εργαστήριο Απαραίτητοι κανονισμοί, ανάλυση απαιτήσεων , κατάλληλοι μηχανισμοί προστασίας Ενότητα 9: (1) Ανάλυση επικινδυνότητας Ο σκοπός της άσκησης είναι να μπουν οι φοιτητές στη διαδικασία αναγνώρισης της πιο κρίσιμης εφαρμογής και υποδομής ενός συστήματος . Χρήση εργαλείου ανάλυσης ευπαθειών και επικινδυνότητας Ενότητα 10: (2) Πλάνο Ανάνηψης (Ανάκαμψης) από Καταστροφή Σημαντικό έγγραφο για κάθε οργανισμό και υποδομή. Κάλυψη από φυσικά αίτια, τον ανθρώπινο παράγοντα και τα προσχεδιασμένα αίτια Σχέδιο για άμεση αντίδραση σε έκτακτο περιστατικό , συνέχιση διεργασιών, αξιολόγηση ζημιών, έλεγχος και δοκιμή του σχεδίου Μ.Π.Σ. στα Πληροφοριακά Συστήματα

Βιβλιογραφία Μ.Π.Σ. στα Πληροφοριακά Συστήματα [1] Theoharidou M. , Xidara D., Gritzalis D. , “A CBK for Information Security and Critical Information and Communication Infrastructure Protection”, International Journal of critical infrastructure protection, Vol. 1, Issue 1, Elsevier, 2008, pp. 81-96. [2] Bishop M., “The State of INFOSEC Education in Academia: Present and Future,” in Proc. Information Systems Security Education National Colloquium, 1997, pp. 19-33. [3] Wagner P., Wudi J., “Designing and Implementing a Cyberwar Laboratory Exercise for a Computer Security Course,” in Proc. 35th SIGCSE Technical Symposium on Computer Science Education, ACM, 2004, pp. 402-406. [4] Yasinsac A.E., Marks R.F., Pollitt D.G., Sommer M.M., “Computer Forensics Education,” IEEE Security and Privacy, vol. 1, no. 4, 2003, pp. 15-23. [5] Wagner P., Wudi J., “Designing and Implementing a Cyberwar Laboratory Exercise for a Computer Security Course,” in Proc. 35th SIGCSE Technical Symposium on Computer Science Education, ACM, 2004, pp. 402-406. [6] Guimaraes M., “New challenges in teaching database security,” in Proc. 3rd annual conference on Information Security Curriculum Development, ACM 2006, pp. 64 – 67. [7] Hay B., Dodge R., Nance K., “Using Virtualization to Create and Deploy Computer Security Lab Exercises” in Proc. The Ifip Tc 11 23rd International Information Security Conference, Springer Boston, 2008. [8] Dodge R., Nance K., Hay B., Wrubel J., Burd S., Seazzu A., “Replicating and Sharing Computer Security Laboratory Environments,” in Proc. Proceedings of the 42nd Hawaii International Conference on System Sciences, IEEE Computer Society, 2009, pp. 1- 10. [9] Chouchane M.R., “Injecting Information Security in Core CS Courses: Methods, Challenges, and Impact,” in Proc. 13th Colloquium for Information Systems Security Education, 2009, pp. 38-44. [10] Schmitz W., “Simulation and test: Instruments for Critical Infrastructure Protection (CIP)”, Elsevier , 170HInformation Security Technical Report, 171HVol. 12, Issue 1, 2007, pp. 2-15 [11] Goldstein A., Bucciero D., “The Dartmouth Cyber Security Initiative”, IEEE Security and Privacy, Vol. 7, Issue 6, 2009, pp. 57- 59. [12] A. Bialas, “Information security systems vs. critical information infrastructure protection systems - Similarities and differences”, Proceedings of the International Conference on Dependability of Computer Systems , pp. 60-67, 2006. [13] Wrobel L., Wrobel S., “Disaster Recovery Planning for communications and Critical Infrastructure”, 1st edition, Artech house, 2009. Μ.Π.Σ. στα Πληροφοριακά Συστήματα