Ασφάλεια πληροφοριακών συστημάτων: Διαφορά μεταξύ των αναθεωρήσεων

Περιεχόμενο που διαγράφηκε Περιεχόμενο που προστέθηκε
μ μκρδρθ
Γραμμή 1:
Η '''ασφάλεια πληροφοριακών συστημάτων''' είναι κλάδος της επιστήμης της [[πληροφορική|πληροφορικής]] που ασχολείται με την προστασία των υπολογιστών, των δικτύων που τους συνδέουν και των δεδομένων σε αυτά τα συστήματα, αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση ή χρήση τους. Ανάμεσα στιςστους αδερφικέςαδερφικούς τομείς της ασφάλειας πληροφοριακών συστημάτων συμπεριλαμβάνονται η ψηφιακή [[εγκληματολογία]] και η εφαρμοσμένη [[κρυπτογραφία]].
 
== Βασικές αρχές ==
 
Η ασφάλεια πληροφοριακών συστημάτων στηρίζεται σε τρεις βασικές ιδέες.<ref>Handbook of Information Security Management, κεφαλαίο 1-1-2 [http://www.cccure.org/Documents/HISM/ewtoc.html]</ref>
 
=== Ακεραιότητα ===
Η [[ακεραιότητα]] αναφέρεται στηνστη διατήρηση των δεδομένων ενός [[πληροφοριακό σύστημα|πληροφοριακού συστήματος]] σε μια γνωστή κατάσταση χωρίς ανεπιθύμητες τροποποιήσεις, αφαιρέσεις ή προσθήκες από μη εξουσιοδοτημένα άτομα, καθώς και την αποτροπή της πρόσβασης ή/και χρήσης των υπολογιστών και δικτύων του συστήματος από άτομα χωρίς άδεια.
 
Για παράδειγμα, μια εφημερίδα που δημοσιεύει τα άρθρα της και στο Διαδίκτυο θα ήθελε αυτά τα άρθρα να είναι ασφαλή από μετατροπές ενός χάκερ που επιθυμεί να εισάγει λανθασμένες πληροφορίες στα κείμενα. Ακριβώς αυτό συνέβη το [[1995]], όταν άγνωστα άτομα κατάφεραν να εξουδετερώσουν τα μέτρα ασφάλειας της [[Ελευθεροτυπία|Ελευθεροτυπίας]] και να εισαγάγουν ως πρωτοσέλιδες ειδήσεις άρθρο για τον πρόωρο θάνατο του [[Ανδρέας Παπανδρέου|Ανδρέα Παπανδρέου]], που εκείνη τη στιγμή νοσηλευόταν στο Ωνάσειο.<ref>Οι Πειρατές στο Ίντερνετ Ξαναχτυπούν, ΜΠΕ, 7 Οκτωβρίου 1996 [http://www.hri.org/info/articles/96-10-07.elot.html]</ref>
Η [[ακεραιότητα]] αναφέρεται στην διατήρηση των δεδομένων ενός [[πληροφοριακό σύστημα|πληροφοριακού συστήματος]] σε μια γνωστή κατάσταση χωρίς ανεπιθύμητες τροποποιήσεις, αφαιρέσεις ή προσθήκες από μη εξουσιοδοτημένα άτομα, καθώς και την αποτροπή της πρόσβασης ή/και χρήσης των υπολογιστών και δικτύων του συστήματος από άτομα χωρίς άδεια.
 
Για παράδειγμα, μια εφημερίδα που δημοσιεύει τα άρθρα της και στο Διαδίκτυο θα ήθελε αυτά τα άρθρα να είναι ασφαλή από μετατροπές ενός χάκερ που επιθυμεί να εισάγει λανθασμένες πληροφορίες στα κείμενα. Ακριβώς αυτό συνέβη το 1995, όταν άγνωστα άτομα κατάφεραν να εξουδετερώσουν τα μέτρα ασφάλειας της [[Ελευθεροτυπία|Ελευθεροτυπίας]] και να εισαγάγουν ως πρωτοσέλιδες ειδήσεις άρθρο για τον πρόωρο θάνατο του [[Ανδρέας Παπανδρέου|Ανδρέα Παπανδρέου]], που εκείνη τη στιγμή νοσηλευόταν στο Ωνάσειο.<ref>Οι Πειρατές στο Ίντερνετ Ξαναχτυπούν, ΜΠΕ, 7 Οκτωβρίου 1996 [http://www.hri.org/info/articles/96-10-07.elot.html]</ref>
 
=== Διαθεσιμότητα ===
 
Η [[διαθεσιμότητα]] των δεδομένων και των υπολογιστικών πόρων είναι η εξασφάλιση ότι οι υπολογιστές, τα δίκτυα και τα δεδομένα θα είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.
 
Γραμμή 18 ⟶ 15 :
 
=== Εμπιστευτικότητα ===
Η [[εμπιστευτικότητα]] σημαίνει ότι ευαίσθητες πληροφορίες δεν θα έπρεπε να ανακαλύπτονται σε μη εξουσιοδοτημένα άτομα.
 
Η διαρροή ευαίσθητων πληροφοριών μπορεί να γίνει με πιο παραδοσιακές μεθόδους από την ψηφιακή υποκλοπή, πχπ.χ. με την κλοπή φορητών υπολογιστών από τοντο κατάλληλο τμήμα μιας εταιρίας. Το [[2006]] μια μελέτη με τη συνεργασία 480 εταιριών έδειχνε ότι 80% των εταιριών είχε πρόβλημα με διαρροή πληροφοριών λόγο κλοπής φορητού.<ref>Αναζητώντας τις αιτίες, ΣΚΑΪ, 23 Νοεμβρίου 2007 [http://www.skai.gr/master_story.php?id=66453]</ref>
 
== Ιστορικές εξελίξεις ==
Η ασφάλεια πληροφοριακών συστημάτων πρώτα μελετήθηκε τις αρχές της δεκαετίας του 1970.<ref>Computer Security Archives Project, University of California, Davis [http://seclab.cs.ucdavis.edu/projects/history/]</ref> Η πρώτη σχετική δημοσίευση, από την Ομάδα Εργασίας του Συμβουλίου Αμυντικής Επιστήμης του [[Υπουργείο Άμυνας των ΗΠΑ|υπουργείου Άμυνας των ΗΠΑ]], εξέτασε το πρόβληλμαπρόβλημα της χρήσης υπολογιστών εξ αποστάσεως (μέσω τερματικών). Προηγουμένως, η πρόσβαση στους υπολογιστικούς πόρους προϋπέθετε την φυσική παρουσία και πρόσβαση του χρήστη ή του διαχειριστή στον [[κεντρικός υπολογιστής|κεντρικό υπολογιστή]]. Η προσέγγιση στη λύση των προβλημάτων ασφάλειας μέχρι τότε βασιζόταν στην φυσική απομόνωση και προστασία του κεντρικού υπολογιστή καθώς και στον έλεγχο πρόσβασης σε αυτόν.<ref>Security Controls for Computer Systems: Report of Defense Science Board Task Force on Computer Security, W. Ware, 1970 [http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf]</ref> Ένα από τα συμπεράσματα της αναφοράς ήταν ότι ο χρήστης δεν θα έπρεπε να δημιουργήσει το δικό του κωδικό πρόσβασης, κάτι που δεν υιοθετήθηκε ευρεία σήμερα.<ref>W. Ware, σελίδες 31-32</ref> Η αρχή της ισορροπίας μεταξύ της ευκολίας της δουλειάς του χρήστη και της προστασίας των πληροφοριών σημειώθηκε επίσης, μια αρχή που είναι θεμελιώδης σήμερα στη δημιουργία πολιτικών ασφάλειας.
 
Ο πρώτος [[Ιός (υπολογιστές)|ιός]], το Creeper, εμφανίστηκε επίσης στις αρχές της δεκαετίας του 1970 στο [[ARPANET]]<ref>Viruslist, 2008 [http://www.viruslist.com/en/viruses/encyclopedia?chapter=153310937]</ref>, και το πρώτο δικτυακό "σκουλήκι", το [[Morris σκουλήκι]], κυκλοφόρησε το 1998. Εκτιμάται ότι 6.000 συστήματα εισβλήθηκεπροσβλήθηκαν από το σκουλήκι.<ref>The Internet Worm Program: An Analysis, Eugene Spafford, 1998 [homes.cerias.purdue.edu/~spaf/tech-reps/823.pdf</ref> Το 2007, περισσότεροι από 711.000 καινούργιους ιούς ανακαλύφτηκαν.<ref>Number of computer viruses tops one million, The Times Online, 10 Απριλίου 2008 [http://technology.timesonline.co.uk/tol/news/tech_and_web/article3721556.ece?print=yes&randnum=1212927892676]</ref>
Η ασφάλεια πληροφοριακών συστημάτων πρώτα μελετήθηκε τις αρχές της δεκαετίας του 1970.<ref>Computer Security Archives Project, University of California, Davis [http://seclab.cs.ucdavis.edu/projects/history/]</ref> Η πρώτη σχετική δημοσίευση, από την Ομάδα Εργασίας του Συμβουλίου Αμυντικής Επιστήμης του [[Υπουργείο Άμυνας των ΗΠΑ|υπουργείου Άμυνας των ΗΠΑ]], εξέτασε το πρόβληλμα της χρήσης υπολογιστών εξ αποστάσεως (μέσω τερματικών). Προηγουμένως, η πρόσβαση στους υπολογιστικούς πόρους προϋπέθετε την φυσική παρουσία και πρόσβαση του χρήστη ή του διαχειριστή στον [[κεντρικός υπολογιστής|κεντρικό υπολογιστή]]. Η προσέγγιση στη λύση των προβλημάτων ασφάλειας μέχρι τότε βασιζόταν στην φυσική απομόνωση και προστασία του κεντρικού υπολογιστή καθώς και στον έλεγχο πρόσβασης σε αυτόν.<ref>Security Controls for Computer Systems: Report of Defense Science Board Task Force on Computer Security, W. Ware, 1970 [http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf]</ref> Ένα από τα συμπεράσματα της αναφοράς ήταν ότι ο χρήστης δεν θα έπρεπε να δημιουργήσει το δικό του κωδικό πρόσβασης, κάτι που δεν υιοθετήθηκε ευρεία σήμερα.<ref>W. Ware, σελίδες 31-32</ref> Η αρχή της ισορροπίας μεταξύ της ευκολίας της δουλειάς του χρήστη και της προστασίας των πληροφοριών σημειώθηκε επίσης, μια αρχή που είναι θεμελιώδης σήμερα στη δημιουργία πολιτικών ασφάλειας.
 
Ο πρώτος [[Ιός (υπολογιστές)|ιός]], το Creeper, εμφανίστηκε επίσης στις αρχές της δεκαετίας του 1970 στο [[ARPANET]]<ref>Viruslist, 2008 [http://www.viruslist.com/en/viruses/encyclopedia?chapter=153310937]</ref>, και το πρώτο δικτυακό "σκουλήκι", το [[Morris σκουλήκι]], κυκλοφόρησε το 1998. Εκτιμάται ότι 6.000 συστήματα εισβλήθηκε από το σκουλήκι.<ref>The Internet Worm Program: An Analysis, Eugene Spafford, 1998 [homes.cerias.purdue.edu/~spaf/tech-reps/823.pdf</ref> Το 2007, περισσότεροι από 711.000 καινούργιους ιούς ανακαλύφτηκαν.<ref>Number of computer viruses tops one million, The Times Online, 10 Απριλίου 2008 [http://technology.timesonline.co.uk/tol/news/tech_and_web/article3721556.ece?print=yes&randnum=1212927892676]</ref>
 
Παρόλο που ο πρώτος υπολογιστής με το λειτουργικό σύστημα [[Multics]] εγκαταστάθηκε το 1967, με κωδικό πρόσβασης για χρήστες και με άλλα μέτρα ασφάλειας στο σχεδιασμό του, και δύο από τους δημιουργούς του, ο [[Ken Thompson]] και ο [[Dennis Ritchie]], έπαιξαν κρίσιμο ρόλο στην ανάπτυξη του [[Unix]], η πρώτη έκδοση του Unix δεν είχε κωδικούς. Εκείνη η λειτουργία προστέθηκε αργότερα, το 1973.<ref>Net Insecurity: Then and Now (1969-1998), Peter Salus, 1998 [http://www.nluug.nl/events/sane98/aftermath/salus.html]</ref> Σήμερα η χρήση αδύναμων κωδικών πρόσβασης παραμένει μία από τις κυριότερες δυσκολίες που αντιμετωπίζει ο επαγγελματίας στον τομέα.<ref>MySpace Passwords Aren't So Dumb, Bruce Schneier, 2006 [http://www.wired.com/print/politics/security/commentary/securitymatters/2006/12/72300]</ref> Άλλες μέθοδοι [[αυθεντικοποίηση|αυθεντικοποίησης]], για παράδειγμα οι [[έξυπνη κάρτα|έξυπνες κάρτες]], χρησιμοποιούνται αλλά μόνο σε περιορισμένες παραστάσεις.
<!-- συνεχίζεται... -->
== Παραπομπές ==
 
<references/>
 
Γραμμή 42 ⟶ 36 :
 
== Βιβλιογραφία ==
 
* Security Engineering, Ross Anderson, 2001 [http://www.cl.cam.ac.uk/~rja14/book.html]
* Early Computer Security Papers, NIST, 2001 [http://csrc.nist.gov/publications/history/]