Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
ΔημοσίευσεἌρης Λειβαδάς Τροποποιήθηκε πριν 7 χρόνια
0
Απάτες στο Ηλεκτρονικό Εμπόριο και Ασφάλεια Ηλεκτρονικού Εμπορίου
Κεφάλαιο 10 Απάτες στο Ηλεκτρονικό Εμπόριο και Ασφάλεια Ηλεκτρονικού Εμπορίου
1
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Στόχοι Εκμάθησης Να κατανοήσετε την σημαντικότητα και την εμβέλεια της ασφάλειας των πληροφοριακών συστημάτων για το ΗΕ. Να περιγράψετε τις κύριες αρχές και την ορολογία της ασφάλειας ΗΕ. Να μάθετε για τις κύριες απειλές ασφάλειας, τις τρωτότητες και τους κινδύνους του ΗΕ. Να κατανοήσετε το phishing και την σχέση του με τα οικονομικά εγκλήματα. Να περιγράψετε τις αρχές της διασφάλισης της ασφάλειας των πληροφοριών. Να αναγνωρίσετε και να αποτιμήσετε τις βασικές τεχνολογίες και μεθόδους για την διασφάλιση των επικοινωνιών ΗΕ. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
2
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Στόχοι Εκμάθησης 7. Να περιγράψετε τις κύριες τεχνολογίες για προστασία δικτύων ΗΕ. 8. Να περιγράψετε τους διάφορους τύπους μηχανισμών ελέγχου και ειδικών μηχανισμών άμυνας. 9. Να περιγράψετε τον ρόλο της αποκατάστασης της λειτουργίας μιας επιχείρησης και τον σχεδιασμό της ανάκτησης από καταστροφή. 10. Να συζητήσετε τα ζητήματα υλοποίησης της ασφάλειας ΗΕ σε όλη την επιχείρηση. 11. Να κατανοήσετε γιατί δεν είναι δυνατό να σταματήσετε τα εγκλήματα υπολογιστών. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
3
Το Πρόβλημα της Ασφάλειας των Πληροφοριών
Τι Είναι Ασφάλεια ΗΕ; Η ασφάλεια υπολογιστών αναφέρεται στην προστασία δεδομένων, δικτύων, προγραμμάτων υπολογιστών, ισχύος υπολογιστών και άλλων στοιχείων ενός υπολογιστικού πληροφοριακού συστήματος. Έκθεση του CSI για Εγκλήματα και Ασφάλεια Υπολογιστών Ετήσια έκθεση για θέματα ασφάλειας εταιρειών, κυβερνητικών υπηρεσιών, χρηματοοικονομικών και ιατρικών ινστιτούτων και πανεπιστημίων των Η.Π.Α. που διεξάγεται από κοινού από το FBI και το Ινστιτούτο Ασφάλειας Υπολογιστών. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
4
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
5
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
6
Το Πρόβλημα της Ασφάλειας των Πληροφοριών
Οι Παράγοντες που Δημιουργούν Προβλήματα Ασφάλειας ΗΕ Η Τρωτή Σχεδίαση του Internet σύστημα ονομάτων τομέων (DNS) Μεταφράζει (μετατρέπει) ονόματα τομέων στις αριθμητικές τους διευθύνσεις ΙΡ. διεύθυνση ΙΡ Μια διεύθυνση που αναγνωρίζει μοναδικά κάθε υπολογιστή που συνδέεται σε ένα δίκτυο ή στο Internet. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
7
Το Πρόβλημα της Ασφάλειας των Πληροφοριών
Η Αλλαγή Κατεύθυνσης σε Εγκλήματα με Κίνητρο το Κέρδος Η Αντεργκράουντ Οικονομία του Internet Ηλεκτρονικές θέσεις αγορών για κλεμμένες πληροφορίες, που αποτελούνται από χιλιάδες ιστοθέσεις, οι οποίες πωλούν αριθμούς πιστωτικών καρτών, αριθμούς κοινωνικής ασφάλισης, άλλα δεδομένα όπως είναι οι αριθμοί τραπεζικών λογαριασμών, ταυτότητες κοινωνικών δικτύων, κωδικούς πρόσβασης και πολλά άλλα στοιχεία. καταγραφή πληκτρολογήσεων Μια μέθοδος σύλληψης και καταγραφής πληκτρολογήσεων χρηστών. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
8
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου Η Βασική Ορολογία της Ασφάλειας σχέδιο αποκατάστασης λειτουργίας επιχείρησης Ένα σχέδιο, που κρατά την επιχείρηση σε λειτουργία μετά μια καταστροφή. Κάθε λειτουργία μέσα στην επιχείρηση πρέπει να έχει ένα έγκυρο σχέδιο ανάκτησης. κυβερνοέγκλημα Εκούσια εγκλήματα, που γίνονται στο Internet. έκθεση Το εκτιμώμενο κόστος, απώλεια ή καταστροφή που μπορεί να προκύψει, αν μια απειλή εκμεταλλευθεί μια τρωτότητα. απάτη Κάθε επιχειρηματική δραστηριότητα που χρησιμοποιεί δόλιες πρακτικές ή συσκευές για να αφαιρέσει την ιδιοκτησία ή άλλα δικαιώματα ενός ατόμου. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
9
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου κακόβουλο λογισμικό Ένας γενικός όρος για κακόβουλο λογισμικό. phishing Μια τεχνική εγκληματικού λογισμικού, που χρησιμοποιείται για κλοπή της ταυτότητας μιας εταιρείας στόχου, για να πάρει τις ταυτότητες των πελατών της. κίνδυνος Η πιθανότητα μια τρωτότητα να γίνει γνωστή και να χρησιμοποιηθεί. κοινωνική τεχνολογία Ένας τύπος μη τεχνικής επίθεσης, που χρησιμοποιεί κοινωνικές πιέσεις για να παραπλανήσει χρήστες υπολογιστών, ώστε να αποκαλύψουν πληροφορίες ή να κάνουν μια ενέργεια που εκθέτει σε κίνδυνο ένα υπολογιστή ή ένα δίκτυο. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
10
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου spam Το ηλεκτρονικό ισοδύναμο της αλληλογραφίας "σκουπίδια". τρωτότητα Αδυναμία στο λογισμικό ή σε ένα άλλο μηχανισμό, που απειλεί την εμπιστευτικότητα, την ακεραιότητα ή την διαθεσιμότητα ενός αγαθού (θυμηθείτε το μοντέλο της CΙΑ). Μπορεί να χρησιμοποιηθεί απευθείας από ένα εισβολέα, για να επιτύχει την πρόσβαση σε ένα σύστημα ή σε ένα δίκτυο. ζόμπι Υπολογιστές που μολύνονται με κακόβουλο λογισμικό, το οποίο είναι υπό τον έλεγχο ενός αποστολέα ενοχλητικής αλληλογραφίας, ενός εισβολέα ή κάποιου άλλου εγκληματία. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
11
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
12
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου Σενάρια και Απαιτήσεις Ασφάλειας στο Ηλεκτρονικό Εμπόριο Απαιτήσεις Ασφάλειας ΗΕ πιστοποίηση αυθεντικότητας Διεργασία επαλήθευσης (διασφάλισης) της πραγματικής ταυτότητας ενός ατόμου, ενός υπολογιστή, ενός προγράμματος υπολογιστή ή μιας ιστοθέσης ΗΕ. εξουσιοδότηση Διεργασία που καθορίζει τι επιτρέπεται να προσπελάσει και ποιες λειτουργίες επιτρέπεται να εκτελέσει μια πιστοποιημένη οντότητα. μη αποκήρυξη Διασφάλιση ότι οι ηλεκτρονικοί πελάτες ή οι εμπορικοί εταίροι δεν μπορούν να αρνηθούν (αποκηρύξουν) ψευδώς την αγορά ή την συναλλαγή τους. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
13
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου Η Άμυνα: Αμυνόμενοι και η Στρατηγική τους στρατηγική ασφάλειας ΗΕ Μια στρατηγική που θεωρεί την ασφάλεια ΗΕ σαν την διεργασία παρεμπόδισης και ανίχνευσης μη εξουσιοδοτημένης χρήσης του ονόματος, της ταυτότητας, της ιστοθέσης, του , των πληροφοριών ή άλλων πόρων μιας εταιρείας και των προσπαθειών εξαπάτησης της εταιρείας, των πελατών της και των υπαλλήλων της. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
14
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου μέτρα αναχαίτισης Ενέργειες που θα κάνουν τους εγκληματίες να εγκαταλείψουν την ιδέα να επιτεθούν σε ένα συγκεκριμένο σύστημα (π.χ., για υπαλλήλους, η πιθανότητα απώλειας της εργασίας τους). μέτρα παρεμπόδισης Τρόποι που βοηθούν την παρεμπόδιση μη εξουσιοδοτημένων χρηστών (επίσης γνωστών ως "εισβολέων") να προσπελάσουν οποιοδήποτε τμήμα του συστήματος ΗΕ. μέτρα ανίχνευσης Τρόποι καθορισμού του αν εισβολείς προσπάθησαν να παραβιάσουν ένα σύστημα ΗΕ, αν επέτυχαν και τι μπορεί να έκαναν. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
15
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Βασικά Ζητήματα Ασφάλειας και Τοπίο της Ασφάλειας του Ηλεκτρονικού Εμπορίου Διασφάλιση Πληροφοριών, ΔΠ Η προστασία πληροφοριακών συστημάτων από μη εξουσιοδοτημένη πρόσβασή τους ή τροποποίηση πληροφοριών, που είναι αποθηκευμένες, τυχαίνουν επεξεργασίας ή είναι διαβατικές, προστασία από άρνηση παροχής υπηρεσίας σε εξουσιοδοτημένους χρήστες και τα μέτρα που είναι απαραίτητα για ανίχνευση, τεκμηρίωση και αντιμετώπιση των απειλών. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
16
Μέθοδοι Τεχνικής Επίθεσης
ιός Ένα τμήμα κώδικα λογισμικού που εισάγει τον εαυτό του μέσα σε ένα ξενιστή, περιλαμβανομένων λειτουργικών συστημάτων, με σκοπό να διαδοθεί. Απαιτεί να εκτελεστεί το πρόγραμμα ξενιστή για να ενεργοποιηθεί. σκουλήκι Ένα πρόγραμμα λογισμικού που εκτελείται ανεξάρτητα, καταναλώνοντας τους πόρους του ξενιστή του, για να συντηρηθεί και είναι σε θέση να διαδώσει μια πλήρη έκδοσή του σε ένα άλλο σύστημα. ιός μακροεντολής ή σκουλήκι μακροεντολή Ένας ιός ή ένα σκουλήκι που εκτελείται όταν ανοίγει ένα αντικείμενο εφαρμογής που περιέχει την μακροεντολή ή εκτελείται μια συγκεκριμένη διαδικασία. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
17
Μέθοδοι Τεχνικής Επίθεσης
Δούρειος ίππος Ένα πρόγραμμα που φαίνεται να εκτελεί μια χρήσιμη λειτουργία, αλλά περιέχει μια κρυμμένη συνάρτηση που αποτελεί ένα κίνδυνο ασφάλειας. τραπεζικός Δούρειος Ίππος Ένας Δούρειος Ίππος που ζωντανεύει όταν οι ιδιοκτήτες του υπολογιστή επισκέπτεται μια από τις πολλές τραπεζικές ιστοθέσεις ηλεκτρονικού εμπορίου. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
18
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
19
Μέθοδοι Τεχνικής Επίθεσης
επίθεση άρνησης παροχής υπηρεσιών Μια επίθεση σε μια ιστοθέση, κατά την οποία ένας επιτιθέμενος χρησιμοποιεί εξειδικευμένο λογισμικό για να στείλει μια πλημμύρα πακέτων δεδομένων στον υπολογιστή στόχου με σκοπό να υπερφορτώσει τους πόρους του. botnet Ένας τεράστιος αριθμός (π.χ., εκατοντάδες χιλιάδες) υπολογιστών στο Internet, που έχουν υποστεί πειρατεία, οι οποίοι έχουν διαμορφωθεί έτσι ώστε να προωθούν κίνηση, περιλαμβανομένης ενοχλητικής αλληλογραφίας και ιών, σε άλλους υπολογιστές στο Internet. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
20
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
21
Phishing, Οικονομική Απάτη και Spam
universal man-in-the-middle phishing kit Ένα εργαλείο που χρησιμοποιείται από phishers για να καθορίσουν ένα URL, το οποίο μπορεί να αλληλεπιδράσει σε πραγματικό χρόνο με το περιβάλλον μιας νόμιμης ιστοθέσης, π.χ., μιας ιστοθέσης τράπεζας ή ΗΕ, για να υποκλαπούν δεδομένα που εισάγονται από καταναλωτές στις σελίδες εισόδου ή εξόδου στις ιστοθέσεις. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
22
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
23
Phishing, Οικονομική Απάτη και Spam
Απάτη στο Internet απάτη κλικ Τύπος απάτης που εμφανίζεται σε διαφημίσεις με πληρωμή ανά κλικ, όταν ένα άτομο, ένα αυτοματοποιημένο σύστημα ή ένα πρόγραμμα υπολογιστή προσομοιώνει κλικ σε μια διαφημιστική αφίσα ή σε άλλες μεθόδους ηλεκτρονικής διαφήμισης. κλοπή ταυτότητας Απάτη που περιλαμβάνει την κλοπή της ταυτότητας ενός ατόμου και την κατόπιν χρήση της από κάποιον, που προσποιείται ότι είναι κάποιος άλλος, για να κλέψει χρήματα ή για να αποκομίσει άλλα οφέλη. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
24
Phishing, Οικονομική Απάτη και Spam
spam Ένα υποσύνολο το spam, που περιλαμβάνει σχεδόν πανομοιότυπα μηνύματα, που στέλνονται σε πολλούς παραλήπτες με . spam μηχανής αναζήτησης Σελίδες που δημιουργούνται ηθελημένα για να εξαπατούν την μηχανή αναζήτησης, ώστε να προσφέρει ακατάλληλα, πλεονάζοντα ή κακής ποιότητας αποτελέσματα αναζήτησης. ιστοθέση spam Σελίδα που χρησιμοποιεί τεχνικές, οι οποίες ηθελημένα υπονομεύουν τους αλγορίθμους μιας μηχανής αναζήτησης, ώστε να βελτιώσει τεχνητά την κατάταξη της σελίδας. splog Ακρωνύμιο των όρων spam blog. Μια ιστοθέση που δημιουργείται αποκλειστικά για σκοπούς μάρκετινγκ. λογισμικό κατασκοπίας Λογισμικό που συλλέγει πληροφορίες για τον χρήστη, μέσω μιας σύνδεσης Internet, χωρίς να το γνωρίζει ο χρήστης. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
25
Το Μοντέλο Διασφάλισης Πληροφοριών και η Στρατηγική Άμυνας
τριάδα ασφάλειας CIA (τριάδα CIA) Τρεις αρχές ασφάλειας, που είναι σημαντικές για τις πληροφορίες στο Internet: εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. εμπιστευτικότητα Διασφάλιση απορρήτου και ακρίβειας δεδομένων. Η μη αποκάλυψη ιδιωτικών ή ευαίσθητων πληροφοριών σε μη εξουσιοδοτημένα άτομα, οντότητες ή διεργασίες. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
26
Το Μοντέλο Διασφάλισης Πληροφοριών και η Στρατηγική Άμυνας
ακεραιότητα Διασφάλιση ότι τα αποθηκευμένα δεδομένα δεν έχουν τροποποιηθεί χωρίς εξουσιοδότηση και ότι ένα μήνυμα που στάλθηκε είναι το ίδιο με αυτό που παραλήφθηκε. διαθεσιμότητα Διασφάλιση ότι η πρόσβαση στα δεδομένα, στην ιστοθέση ή σε άλλες υπηρεσίες δεδομένων ΗΕ είναι έγκαιρη, διαθέσιμη, αξιόπιστη και περιορίζεται σε εξουσιοδοτημένους χρήστες. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
27
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
28
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
29
Το Μοντέλο Διασφάλισης Πληροφοριών και η Στρατηγική Άμυνας
Η Στρατηγική Άμυνας Παρεμπόδιση και αναχαίτιση Ανίχνευση Περιορισμός Ανάκτηση Διόρθωση Ενημερότητα και συμμόρφωση προγράμματα ασφάλειας ΗΕ Όλες οι πολιτικές, οι διαδικασίες, τα έγγραφα, τα πρότυπα, το υλικό, το λογισμικό, η εκπαίδευση και το προσωπικό που συνεργάζονται για να προστατεύσουν τις πληροφορίες, την δυνατότητα διεξαγωγής επιχειρηματικών συναλλαγών και άλλους πόρους. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
30
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Η Άμυνα Ι: Έλεγχος Πρόσβασης, Κρυπτογράφηση και Υποδομή Δημόσιου Κλειδιού έλεγχος πρόσβασης Μηχανισμός που καθορίζει ποιος μπορεί να χρησιμοποιήσει νόμιμα ένα πόρο δικτύου. παθητικά αδειοδοτικά Συσκευές αποθήκευσης (π.χ. μαγνητικές ταινίες), που χρησιμοποιούνται σε ένα σύστημα διπαραγοντικής πιστοποίησης αυθεντικότητας, οι οποίες περιέχουν ένα μυστικό κωδικό. ενεργητικά αδειοδοτικά Μικρές, αυτόνομες ηλεκτρονικές συσκευές σε ένα σύστημα διπαραγοντικής πιστοποίησης αυθεντικότητας, που παράγουν κωδικούς πρόσβασης μιας φοράς. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
31
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Η Άμυνα Ι: Έλεγχος Πρόσβασης, Κρυπτογράφηση και Υποδομή Δημόσιου Κλειδιού βιομετρικός έλεγχος Μια αυτοματοποιημένη μέθοδος για επαλήθευση της ταυτότητας ενός χρήστη με βάση φυσικά ή συμπεριφορικά χαρακτηριστικά. βιομετρικά συστήματα Συστήματα πιστοποίησης αυθεντικότητας, τα οποία αναγνωρίζουν ένα άτομο μετρώντας ένα βιολογικό του χαρακτηριστικό, π.χ., ένα δακτυλικό αποτύπωμα, την ίριδα του ματιού, χαρακτηριστικά του προσώπου ή φωνή. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
32
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Η Άμυνα Ι: Έλεγχος Πρόσβασης, Κρυπτογράφηση και Υποδομή Δημόσιου Κλειδιού Κρυπτογράφηση και το Σύστημα Ενός Κλειδιού (Συμμετρικό) κρυπτογράφηση Η διαδικασία παραμόρφωσης ενός μηνύματος με ένα τέτοιο τρόπο ώστε να είναι δύσκολο, ακριβό ή χρονοβόρο για ένα μη εξουσιοδοτημένο άτομο να το αποκρυπτογραφήσει. κρυπτογράφηση συμμετρικού (ιδιωτικού) κλειδιού Ένα σύστημα κρυπτογράφησης που χρησιμοποιεί το ίδιο κλειδί για κρυπτογράφηση και αποκρυπτογράφηση του μηνύματος. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
33
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
34
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Η Άμυνα Ι: Έλεγχος Πρόσβασης, Κρυπτογράφηση και Υποδομή Δημόσιου Κλειδιού υποδομή δημόσιου κλειδιού Ένα σχήμα για την διασφάλιση ηλεκτρονικών πληρωμών, που χρησιμοποιεί κρυπτογράφηση δημόσιου κλειδιού και διάφορα τεχνικά συστατικά. κρυπτογράφηση δημόσιου (ασύμμετρου) κλειδιού Μέθοδος κρυπτογράφησης που χρησιμοποιεί ένα ζεύγος κλειδιών – ένα δημόσιο κλειδί για κρυπτογράφηση ενός μηνύματος και ένα ιδιωτικό κλειδί για αποκρυπτογράφησή του, ή το αντίστροφο. δημόσιο κλειδί Κωδικός κρυπτογράφησης που είναι δημόσια διαθέσιμος σε όλους. ιδιωτικό κλειδί Κωδικός κρυπτογράφησης που είναι γνωστός μόνο στον ιδιοκτήτη του. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
35
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Η Άμυνα Ι: Έλεγχος Πρόσβασης, Κρυπτογράφηση και Υποδομή Δημόσιου Κλειδιού ψηφιακή υπογραφή ή ψηφιακό πιστοποιητικό Επικυρώνει τον αποστολέα και την χρονοσφραγίδα μιας συναλλαγής, έτσι ώστε να μην μπορεί να ισχύσει αργότερα ο ισχυρισμός ότι η συναλλαγή δεν ήταν εξουσιοδοτημένη ή δεν ήταν έγκυρη. κατατεμαχισμός Ένας μαθηματικός υπολογισμός που εφαρμόζεται σε ένα μήνυμα, χρησιμοποιώντας ένα ιδιωτικό κλειδί, για κρυπτογράφηση του μηνύματος. σύνοψη μηνύματος Μια περίληψη ενός μηνύματος, μετατρεμμένη σε μια σειρά ψηφίων, μετά την εφαρμογή του κατατεμαχισμού. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
36
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
37
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Η Άμυνα Ι: Έλεγχος Πρόσβασης, Κρυπτογράφηση και Υποδομή Δημόσιου Κλειδιού ψηφιακός φάκελος Ο συνδυασμός του κρυπτογραφημένου αρχικού μηνύματος και της ψηφιακής υπογραφής, χρησιμοποιώντας το δημόσιο κλειδί του παραλήπτη. αρχές πιστοποίησης, (ΑΠ) Τρίτα μέρη που εκδίδουν ψηφιακά πιστοποιητικά. Secure Socket Layer (SSL) Πρωτόκολλο που χρησιμοποιεί πρότυπα πιστοποιητικά για πιστοποίηση της αυθεντικότητας και για κρυπτογράφηση δεδομένων, για να επιβεβαιώσει ότι υπάρχει διασφάλιση του απορρήτου ή εμπιστευτικότητα. Transport Layer Security (TLS) Από το 1996, ένα άλλο όνομα για το πρωτόκολλο SSL. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
38
Η Άμυνα ΙΙ: Διασφάλιση Δικτύων ΗΕ
firewall Ένα σημείο ανάμεσα σε δύο ή περισσότερα δίκτυα, από όπου πρέπει να περάσει όλη η κίνηση (σημείο πνιγμού). Η συσκευή αυτή πιστοποιεί, ελέγχει και καταγράφει όλη την κίνηση. αποστρατικοποιημένη ζώνη Περιοχή του δικτύου που βρίσκεται ανάμεσα στο εσωτερικό δίκτυο μιας επιχείρησης και σε ένα εξωτερικό δίκτυο (Internet), που παρέχει φυσική απομόνωση ανάμεσα στα δύο δίκτυα, και η οποία ελέγχεται από κανόνες που επιβάλλονται από ένα firewall. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
39
Η Άμυνα ΙΙ: Διασφάλιση Δικτύων ΗΕ
εικονικό ιδιωτικό δίκτυο, ΕΙΔ Ένα δίκτυο που χρησιμοποιεί το δημόσιο Internet για να μεταφέρει πληροφορίες, αλλά παραμένει ιδιωτικό, χρησιμοποιώντας κρυπτογράφηση για να παραμορφώσει τις επικοινωνίες, πιστοποίηση αυθεντικότητας για να σιγουρέψει ότι οι πληροφορίες δεν αλλοιώνονται και έλεγχο προσπέλασης για να επαληθεύσει την ταυτότητα οποιουδήποτε χρησιμοποιεί το δίκτυο. συστήματα ανίχνευσης εισβολής Μια ειδική κατηγορία λογισμικού, που μπορεί να παρακολουθεί την δραστηριότητα επάνω σε ένα δίκτυο ή σε ένα ξενιστή υπολογιστή, να παρατηρεί ύποπτη δραστηριότητα και να ενεργεί αυτόματα με βάση αυτά που παρατηρεί. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
40
Η Άμυνα ΙΙ: Διασφάλιση Δικτύων ΗΕ
δίκτυο παγίδα Ένα δίκτυο με θέσεις παγίδες. θέσεις παγίδες Συστήματα παραγωγής (π.χ., firewalls, δρομολογητές, διακομιστές Web, διακομιστές βάσεων δεδομένων), σχεδιασμένα έτσι ώστε να φαίνεται ότι κάνουν πραγματική δουλειά, αλλά τα οποία δρουν σαν δολώματα και παρακολουθούνται για να μελετούν πώς γίνονται οι εισβολές σε δίκτυα. έλεγχος διείσδυσης Μια μέθοδος αξιολόγησης της ασφάλειας ενός συστήματος υπολογιστών ή ενός δικτύου, προσομοιώνοντας μια επίθεση από μια κακόβουλη πηγή (π.χ., ένα κακόβουλο εισβολέα). Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
41
Η Άμυνα ΙΙΙ: Γενικοί Έλεγχοι και Άλλοι Μηχανισμοί Άμυνας
γενικοί έλεγχοι Έλεγχοι που καθορίζονται για να προστατεύουν το σύστημα, ανεξάρτητα από κάποια συγκεκριμένη εφαρμογή. Για παράδειγμα, η προστασία του υλικού και ο έλεγχος της προσπέλασης στο κέντρο δεδομένων είναι ανεξάρτητα από την συγκεκριμένη εφαρμογή. έλεγχοι εφαρμογής Έλεγχοι που στοχεύουν να προστατέψουν συγκεκριμένες εφαρμογές. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
42
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
43
Η Άμυνα ΙΙΙ: Γενικοί Έλεγχοι και Άλλοι Μηχανισμοί Άμυνας
ευφυείς πράκτορες Εφαρμογές λογισμικού που έχουν κάποιο βαθμό αντίδρασης, αυτονομίας και προσαρμοστικότητας – που χρειάζονται σε απρόβλεπτες καταστάσεις επιθέσεων. Ένας πράκτορας μπορεί να προσαρμοστεί με βάση τις αλλαγές, που συμβαίνουν μέσα στο περιβάλλον του. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
44
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
45
Η Άμυνα ΙΙΙ: Γενικοί Έλεγχοι και Άλλοι Μηχανισμοί Άμυνας
περιβάλλον εσωτερικού ελέγχου Η ατμόσφαιρα του εργασιακού περιβάλλοντος που καθορίζει μια εταιρεία για τους υπαλλήλους της. Προστασία από Spam Νόμος Περί Προσβολής από Απρόσκλητη Πορνογραφία ή Μάρκετινγκ Νόμος που θεωρεί αδίκημα την αποστολή εμπορικών μηνυμάτων με λανθασμένους η παραπλανητικούς τίτλους ή παραπλανητικές γραμμές θέματος. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
46
Η Άμυνα ΙΙΙ: Γενικοί Έλεγχοι και Άλλοι Μηχανισμοί Άμυνας
Προστασία από Splogs εργαλείο Captcha Πλήρως Αυτοματοποιημένος Δημόσιος έλεγχος Turing για Διαχωρισμό Υπολογιστών από Ανθρώπους (Completely Automated Public Turing test to tell Computers and Humans Apart), το οποίο χρησιμοποιεί ένα έλεγχο επαλήθευσης σε σελίδες σχολίων, για να σταματήσει την αυτόματη δημοσίευση από scripts. Προστασία από Αναδυόμενα Παράθυρα Προστασία από Phishing Προστασία από Λογισμικό Κατασκοπίας Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
47
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Αποκατάσταση Λειτουργίας Επιχείρησης, Επιθεώρηση Ασφάλειας και Διαχείριση Κινδύνου Σχεδιασμός Αποκατάστασης Λειτουργίας και Ανάκτησης από Καταστροφή της Επιχείρησης Ο σκοπός ενός σχεδίου αποκατάστασης της λειτουργίας μιας επιχείρησης είναι να διατηρήσει την επιχείρηση σε λειτουργία μετά την εμφάνιση μιας καταστροφής. Ο σχεδιασμός της ανάκτησης από καταστροφή είναι κομμάτι της προστασίας πόρων. αποφυγή καταστροφής Μια προσέγγιση που προσανατολίζεται προς την αποτροπή. Η ιδέα είναι να ελαχιστοποιήσετε την πιθανότητα εμφάνισης καταστροφών, οι οποίες μπορούν να αποφευχθούν (όπως είναι η πυρκαγιά και άλλες απειλές που προκαλούνται από ανθρώπους). Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
48
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
49
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Αποκατάσταση Λειτουργίας Επιχείρησης, Επιθεώρηση Ασφάλειας και Διαχείριση Κινδύνου Επιθεώρηση Πληροφοριακών Συστημάτων επιθεώρηση Ένα σημαντικό κομμάτι κάθε συστήματος ελέγχου. Η επιθεώρηση μπορεί να θεωρηθεί σαν ένα πρόσθετο επίπεδο ελέγχων ή μέτρων προστασίας. Θεωρείται σαν μια αναχαίτιση σε εγκληματικές ενέργειες, ειδικά από εσωτερικούς κινδύνους. Διαχείριση Κινδύνου και Ανάλυση Κόστους-Οφέλους Ανάλυση Διαχείρισης Κινδύνου Ηθικά Ζητήματα Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
50
Υλοποίηση Ασφάλειας ΗΕ σε Όλη την Επιχείρηση
Δέσμευση και Υποστήριξη της Ανώτατης Διοίκησης Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
51
Υλοποίηση Ασφάλειας ΗΕ σε Όλη την Επιχείρηση
Πολιτικές Ασφάλειας ΗΕ και Εκπαίδευση αποδεκτή πολιτική χρήσης, ΑΠΧ Πολιτική που πληροφορεί τους χρήστες για τις ευθύνες τους, όταν χρησιμοποιούν εταιρικά δίκτυα, ασύρματες συσκευές, δεδομένα πελατών κοκ. Διαδικασίες και Επιβολή Ασφάλειας ΗΕ ανάλυση επίπτωσης στην επιχείρηση, ΑΕΕ Μια άσκηση που καθορίζει την επίπτωση που θα έχει η απώλεια της υποστήριξης ενός πόρου ΗΕ σε ένα οργανισμό, εκτιμά πώς θα κλιμακωθεί αυτή η απώλεια μέσα στον χρόνο, αναγνωρίζει τους ελάχιστους πόρους που χρειάζονται για ανάκτηση από την απώλεια, και ιεραρχεί τα βήματα που απαιτούνται για την ανάκτηση των διεργασιών και των συστημάτων υποστήριξης. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
52
Υλοποίηση Ασφάλειας ΗΕ σε Όλη την Επιχείρηση
Αγνόηση των Βέλτιστων Πρακτικών Ασφάλειας ΗΕ Computing Technology Industry Association (CompTIA) Μη κερδοσκοπική εμπορική ομάδα που παρέχει έρευνα και βέλτιστες πρακτικές για το θέμα της ασφάλειας πληροφοριών. Έλλειψη Οφειλόμενης Προσοχής σε Επιχειρησιακές Πρακτικές πρότυπη οφειλόμενη προσοχή Λελογισμένη προσοχή που πρέπει να επιδείξει μια εταιρεία, με βάση τους κινδύνους που επηρεάζουν τις δραστηριότητές της ΗΕ και τις ηλεκτρονικές συναλλαγές της. Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
53
Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Θέματα Διοίκησης Γιατί απαιτούνται μια στρατηγική ΗΕ και μια προσέγγιση κύκλου ζωής; Ποια είναι η στρατηγική ασφάλειας ΗΕ της εταιρείας σας; Είναι επαρκής ο προϋπολογισμός για την ασφάλεια της ΤΠ; Ποια βήματα πρέπει να ακολουθήσει μια επιχείρηση για να καθορίσει ένα σχέδιο ασφάλειας; Πρέπει να ασχολούνται οι επιχειρήσεις με εσωτερικές απειλές στην ασφάλεια; Ποιο είναι ο παράγοντας κλειδί για τον καθορισμό ισχυρής ασφάλειας ηλεκτρονικού εμπορίου; Copyright © 2010 Pearson Education, Inc. Publishing as Prentice Hall
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.