Πρακτικές οδηγίες υλοποίησης
Διομήδης Σπινέλλης
Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας
Οικονομικό Πανεπιστήμιο Αθηνών
dds@aueb.gr
Υλοποίηση
- Συμφωνία και υποστήριξη της διοίκησης
- Ανάλυση κινδύνων και προσδιορισμός ενεργειών αντιμέτρων
- Ανασκόπηση υπαρχόντων πολιτικών και υλοποίηση νέων
- Υλοποίηση των πολιτικών
- Συνεχής συντήρηση και εκπαίδευση
Συντήρηση
- Έλεγχοι εγκατάστασης νέων συστημάτων
- Αυτόματοι έλεγχοι
- Τυχαίοι έλεγχοι
- Τακτικοί νυκτερινοί έλεγχοι
- Έλεγχοι δραστηριότητας χρηστών
- Έλεγχοι του λειτουργικού συστήματος
Τα 10 σοβαρότερα προβλήματα
(Από το David L. Oppenheimer and David A. Wagner and Michele D. Crabb
System Security: A Management Perspective
Short Topics in System Administration
USENIX Association
Berkeley, CA, USA. 1997)
- Έλλειψη μέσων
- Έλλειψη υποστήριξης ή δικαιοδοσίας
- Προβληματικά συστήματα λογισμικού
- Μη εγκατάσταση διορθώσεων των προμηθευτών
- Μη κρυπτογραφημένοι επαναχρησιμοποιήσιμοι κωδικοί πρόσβασης
- Ελλιπή μέτρα προστασίας εξωτερικής πρόσβασης μέσω τηλεφώνου
- Ανοιχτή πρόσβαση στο δίκτυο
- Προβλήματα στην εγκατάσταση κωδικών
- Ελλιπής έλεγχος και λήξη κωδικών χρηστών
- Νέα συστήματα με προβληματική διαμόρφωση ή ελλιπή έλεγχο
Βιβλιογραφία
- Andrew S. Tanenbaum
Σύγχρονα λειτουργικά συστήματα. σ. 248-278
Εκδόσεις Παπασωτηρίου, 1993.
- Δημήτρης Γκρίτζαλης και Στέφανος Γκρίτζαλης
Ασφάλεια λειτουργικών συστημάτων.
Εκδόσεις ΜΙΤ Εκπαιδευτική - Αναπτυξιακή, 1993.
- Friedrich L. Bauer.
Decrypted Secrets: Methods and Maxims of Cryptology.
Springer Verlag, 1997.
- Tina Darmohray, editor.
Job
Descriptions for System Administrators.
Short Topics in System Administration. USENIX Association, Berkeley, CA, USA,
1997.
- Dorothy Elizabeth Robling
Denning.
Cryptography and Data Security.
Addison-Wesley, 1983.
- Peter J. Denning.
Computers Under Attack: Intruders, Worms, and Viruses.
Addison-Wesley, 1990.
- Tom Forester and
Perry Morrison.
Computer Ethics: Cautionary Tales and Ethical Dilemmas in
Computing.
MIT Press, 1990.
- F. T. Grampp and R. H.
Morris.
UNIX operating system security.
Bell System Technical Journal, 63(8), October 1984.
- Stefanos
Gritzalis and Diomidis Spinellis.
Addressing threats
and security issues in World Wide Web technology.
In Proceedings CMS '97 3rd IFIP TC6/TC11 International joint working
Conference on Communications and Multimedia Security, pages 33–46,
Athens, Greece, September 1997. IFIP, Chapman & Hall.
- Stefanos
Gritzalis and Diomidis Spinellis.
Cryptographic
protocols over open distributed systems: A taxonomy of flaws and related
protocol analysis tools.
In 16th International Conference on Computer Safety, Reliability and
Security: SAFECOMP '97, pages 123–137, York, UK, September 1997.
European Workshop on Industrial Computer Systems: TC-7, Springer
Verlag.
- P. Holbrook and
J. Reynolds.
RFC 1244: Site security
handbook, July 1991.
See also 8 [STD0008].
- David Kahn.
The
Codebreakers: The Story of Secret Writing.
Scribner, New York, NY, USA, 1996.
- Robert Morris.
Password security: A case history.
Communications of the ACM, 22(11):594–597, November 1979.
- Peter G. Neumann.
Computer Related Risks.
Addison-Wesley, 1995.
- David L.
Oppenheimer, David A. Wagner, and Michele D. Crabb.
System Security: A Management Perspective.
Short Topics in System Administration. USENIX Association, Berkeley, CA, USA,
1997.
- Charles Pfleeger.
Security in Computing.
Prentice-Hall, 1996.
- Dennis M. Ritchie.
On the
security of UNIX.
In UNIX Programmer's manual: Supplementary Documents, volume 2,
pages 592–594. Holt, Rinehart and Winston, seventh edition, 1982.
- Aviel D. Rubin, Daniel
Geer, and Marcus J. Ranum.
Web
Security Sourcebook.
John Wiley & Sons, 1997.
- Bruce Schneier.
Applied Cryptography.
Wiley, second edition, 1996.
- Eugene H. Spafford.
The internet worm program: An analysis.
Technical Report CSD-TR-823, Purdue University, West Lafayette, IN 47907-2004,
November 1988.
- Ken L. Thompson.
Reflections on trusting trust.
Communications of the ACM, 27(8):761–763, 1984.