Ασφάλεια πληροφοριακών συστημάτων: Διαφορά μεταξύ των αναθεωρήσεων

Η '''ασφάλεια πληροφοριακών συστημάτων''' είναι κλάδος της επιστήμης της [[πληροφορική|πληροφορικής]]ς που ασχολείται με την προστασία των υπολογιστών, των δικτύων που τους συνδέουν και των δεδομένων σε αυτά τα συστήματα, αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση ή χρήση τους. Ανάμεσα στους συγγενικούς τομείς της ασφάλειας πληροφοριακών συστημάτων συμπεριλαμβάνονται η ψηφιακή [[εγκληματολογία]] και η εφαρμοσμένη [[κρυπτογραφία]].

Η ασφάλεια πληροφοριακών συστημάτων στηρίζεται σε τρεις βασικές ιδέες.<ref>Handbook of Information Security Management, κεφαλαίο 1-1-2 [http://www.cccure.org/Documents/HISM/ewtoc.html Handbook of Information Security Management, κεφαλαίο 1-1-2]</ref>

Για παράδειγμα, μια εφημερίδα που δημοσιεύει τα άρθρα της και στο Διαδίκτυο θα ήθελε αυτά τα άρθρα να είναι ασφαλή από μετατροπές ενός χάκερ που επιθυμεί να εισάγει λανθασμένες πληροφορίες στα κείμενα. Ακριβώς αυτό συνέβη το [[1995]], όταν άγνωστα άτομα κατάφεραν να εξουδετερώσουν τα μέτρα ασφάλειας της [[Ελευθεροτυπία|Ελευθεροτυπίας]]ς και να εισαγάγουν πρωτοσέλιδο άρθρο για τον πρόωρο θάνατο του [[Ανδρέας Παπανδρέου|Ανδρέα Παπανδρέου]], που εκείνη τη στιγμή νοσηλευόταν στο Ωνάσειο.<ref>Οι Πειρατές στο Ίντερνετ Ξαναχτυπούν, ΜΠΕ, 7 Οκτωβρίου 1996 [http://www.hri.org/info/articles/96-10-07.elot.html Οι Πειρατές στο Ίντερνετ Ξαναχτυπούν, ΜΠΕ, 7 Οκτωβρίου 1996]</ref>

Μία τυπική απειλή που αντιμετωπίζουν τα σύγχρονα πληροφοριακά συστήματα είναι η επίθεση άρνησης υπηρεσιών ([[DOS attack]]), που έχει ως σκοπό να τεθούν εκτός λειτουργίας οι στοχευμένοι πόροι είτε προσωρινά είτε μόνιμα. Η άρνηση υπηρεσιών δεν προκαλείται αναγκαία από εχθρική επίθεση. Το [[φαινόμενο Slashdot]], κατά το οποίο ένας σύνδεσμος προς μια ιστοσελίδα φιλοξενούμενη σε διακομιστή με σύνδεση χαμηλής χωρητικότητας δημοσιεύεται σε δημοφιλή ιστότοπο, με συνέπεια εκατοντάδες χιλιάδες αναγνώστες να υπερφορτώσουν τη σύνδεση της αναφερομένης ιστοσελίδας, προκαλεί το ίδιο αποτέλεσμα.<ref>Slashdot FAQ [http://slashdot.org/faq/slashmeta.shtml#sm600 Slashdot FAQ]</ref>

Η διαρροή ευαίσθητων πληροφοριών μπορεί να γίνει με πιο παραδοσιακές μεθόδους από την ψηφιακή υποκλοπή, π.χ. με την κλοπή φορητών υπολογιστών από το κατάλληλο τμήμα μιας εταιρίας. Το [[2006]] μια μελέτη με τη συνεργασία 480 εταιριών έδειχνε ότι 80% των εταιριών είχε πρόβλημα με διαρροή πληροφοριών λόγο κλοπής φορητού.<ref>Αναζητώντας τις αιτίες, ΣΚΑΪ, 23 Νοεμβρίου 2007 [http://www.skai.gr/master_story.php?id=66453 Αναζητώντας τις αιτίες, ΣΚΑΪ, 23 Νοεμβρίου 2007]</ref>

Η ασφάλεια πληροφοριακών συστημάτων μελετήθηκε για πρώτη φορά στις αρχές της δεκαετίας του 1970.<ref>Computer Security Archives Project, University of California, Davis [http://seclab.cs.ucdavis.edu/projects/history/ Computer Security Archives Project, University of California, Davis]</ref> Η πρώτη σχετική δημοσίευση, από την Ομάδα Εργασίας του Συμβουλίου Αμυντικής Επιστήμης του [[Υπουργείο Άμυνας των ΗΠΑ|υπουργείου Άμυνας των ΗΠΑ]], εξέτασε το πρόβλημα της χρήσης υπολογιστών εξ αποστάσεως (μέσω τερματικών). Προηγουμένως, η πρόσβαση στους υπολογιστικούς πόρους προϋπέθετε την φυσική παρουσία και πρόσβαση του χρήστη ή του διαχειριστή στον [[κεντρικός υπολογιστής|κεντρικό υπολογιστή]]. Η προσέγγιση στην λύση των προβλημάτων ασφάλειας μέχρι τότε βασιζόταν στην φυσική απομόνωση και προστασία του κεντρικού υπολογιστή καθώς και στον έλεγχο πρόσβασης σε αυτόν.<ref>Security Controls for Computer Systems: Report of Defense Science Board Task Force on Computer Security, W. Ware, 1970 [http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf]</ref> Ένα από τα συμπεράσματα στην αναφορά της Ομάδας Εργασίας ήταν ότι ο χρήστης δεν θα έπρεπε να δημιουργήσει το δικό του κωδικό πρόσβασης, μια πρόταση που ποτέ δεν υιοθετήθηκε ευρέως.<ref>W. Ware, σελίδες 31-32</ref> Άλλες καινοτόμες ιδέες που εκφράστηκαν στην ανάλυση είχαν μεγαλύτερη απήχηση. Για παράδειγμα, αναγνωρίστηκε από τους ερευνητές η αρχή της ισορροπίας μεταξύ της ευκολίας της εργασίας του χρήστη και της προστασίας των πληροφοριών και σήμερα έχει καταλήξει θεμέλιος λίθος στη δημιουργία πολιτικών ασφάλειας.

Ο πρώτος [[Ιός (υπολογιστές)|ιός]], ο ''Creeper'', εμφανίστηκε επίσης στις αρχές της δεκαετίας του 1970 στο [[ARPANET]]<ref>Viruslist, 2008 [http://www.viruslist.com/en/viruses/encyclopedia?chapter=153310937 Viruslist, 2008]</ref>, και το πρώτο δικτυακό "σκουλήκι" (worm), το [[σκουλήκι Morris]], κυκλοφόρησε το 1998. Εκτιμάται ότι 6.000 συστήματα προσβλήθηκαν από το "σκουλήκι".<ref>The Internet Worm Program: An Analysis, Eugene Spafford, 1998 [http://homes.cerias.purdue.edu/~spaf/tech-reps/823.pdf The Internet Worm Program: An Analysis, Eugene Spafford, 1998]</ref> Το 2007 ανακαλύφθηκαν περισσότεροι από 711.000 καινούργιοι ιοί.<ref>Number of computer viruses tops one million, The Times Online, 10 Απριλίου 2008 [http://technology.timesonline.co.uk/tol/news/tech_and_web/article3721556.ece?print=yes&randnum=1212927892676]</ref>

Παρόλο που ο πρώτος υπολογιστής με το λειτουργικό σύστημα [[Multics]] εγκαταστάθηκε το 1967 με κωδικό πρόσβασης για χρήστες και με άλλα μέτρα ασφάλειας στο σχεδιασμό του, και δύο από τους δημιουργούς του, ο [[Ken Thompson]] και ο [[Dennis Ritchie]], έπαιξαν κρίσιμο ρόλο στην ανάπτυξη του [[Unix]], η πρώτη έκδοση του Unix δεν διέθετε κωδικούς. Η λειτουργία αυτή προστέθηκε αργότερα, το 1973.<ref>[http://www.nluug.nl/events/sane98/aftermath/salus.html Net Insecurity: Then and Now (1969-1998), Peter Salus, 1998 [http://www.nluug.nl/events/sane98/aftermath/salus.html]</ref> Σήμερα η χρήση αδύναμων κωδικών πρόσβασης παραμένει μία από τις κυριότερες δυσκολίες που αντιμετωπίζει ο επαγγελματίας στον τομέα.<ref>MySpace Passwords Aren't So Dumb, Bruce Schneier, 2006 [http://www.wired.com/print/politics/security/commentary/securitymatters/2006/12/72300 MySpace Passwords Aren't So Dumb, Bruce Schneier, 2006]</ref> Χρησιμοποιούνται και άλλες μέθοδοι [[αυθεντικοποίηση|αυθεντικοποίησης]]ς, για παράδειγμα οι [[έξυπνη κάρτα|έξυπνες κάρτες]], αλλά μόνο σε συγκεκριμένους τομείς.