Πρακτικές οδηγίες υλοποίησης

Διομήδης Σπινέλλης
Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας
Οικονομικό Πανεπιστήμιο Αθηνών
dds@aueb.gr

Υλοποίηση

Συμφωνία και υποστήριξη της διοίκησης
Ανάλυση κινδύνων και προσδιορισμός ενεργειών αντιμέτρων
Ανασκόπηση υπαρχόντων πολιτικών και υλοποίηση νέων
Υλοποίηση των πολιτικών
Συνεχής συντήρηση και εκπαίδευση

Συντήρηση

Έλεγχοι εγκατάστασης νέων συστημάτων
Αυτόματοι έλεγχοι
Τυχαίοι έλεγχοι
Τακτικοί νυκτερινοί έλεγχοι
Έλεγχοι δραστηριότητας χρηστών
Έλεγχοι του λειτουργικού συστήματος

Τα 10 σοβαρότερα προβλήματα

(Από το David L. Oppenheimer and David A. Wagner and Michele D. Crabb System Security: A Management Perspective Short Topics in System Administration USENIX Association Berkeley, CA, USA. 1997)

Έλλειψη μέσων
Έλλειψη υποστήριξης ή δικαιοδοσίας
Προβληματικά συστήματα λογισμικού
Μη εγκατάσταση διορθώσεων των προμηθευτών
Μη κρυπτογραφημένοι επαναχρησιμοποιήσιμοι κωδικοί πρόσβασης
Ελλιπή μέτρα προστασίας εξωτερικής πρόσβασης μέσω τηλεφώνου
Ανοιχτή πρόσβαση στο δίκτυο
Προβλήματα στην εγκατάσταση κωδικών
Ελλιπής έλεγχος και λήξη κωδικών χρηστών
Νέα συστήματα με προβληματική διαμόρφωση ή ελλιπή έλεγχο

Βιβλιογραφία

Andrew S. Tanenbaum Σύγχρονα λειτουργικά συστήματα. σ. 248-278 Εκδόσεις Παπασωτηρίου, 1993.
Δημήτρης Γκρίτζαλης και Στέφανος Γκρίτζαλης Ασφάλεια λειτουργικών συστημάτων. Εκδόσεις ΜΙΤ Εκπαιδευτική - Αναπτυξιακή, 1993.

Friedrich L. Bauer. Decrypted Secrets: Methods and Maxims of Cryptology. Springer Verlag, 1997.
Tina Darmohray, editor. Job Descriptions for System Administrators. Short Topics in System Administration. USENIX Association, Berkeley, CA, USA, 1997.
Dorothy Elizabeth Robling Denning. Cryptography and Data Security. Addison-Wesley, 1983.
Peter J. Denning. Computers Under Attack: Intruders, Worms, and Viruses. Addison-Wesley, 1990.
Tom Forester and Perry Morrison. Computer Ethics: Cautionary Tales and Ethical Dilemmas in Computing. MIT Press, 1990.
F. T. Grampp and R. H. Morris. UNIX operating system security. Bell System Technical Journal, 63(8), October 1984.
Stefanos Gritzalis and Diomidis Spinellis. Addressing threats and security issues in World Wide Web technology. In Proceedings CMS '97 3rd IFIP TC6/TC11 International joint working Conference on Communications and Multimedia Security, pages 33–46, Athens, Greece, September 1997. IFIP, Chapman & Hall.
Stefanos Gritzalis and Diomidis Spinellis. Cryptographic protocols over open distributed systems: A taxonomy of flaws and related protocol analysis tools. In 16th International Conference on Computer Safety, Reliability and Security: SAFECOMP '97, pages 123–137, York, UK, September 1997. European Workshop on Industrial Computer Systems: TC-7, Springer Verlag.
P. Holbrook and J. Reynolds. RFC 1244: Site security handbook, July 1991. See also 8 [STD0008].
David Kahn. The Codebreakers: The Story of Secret Writing. Scribner, New York, NY, USA, 1996.
Robert Morris. Password security: A case history. Communications of the ACM, 22(11):594–597, November 1979.
Peter G. Neumann. Computer Related Risks. Addison-Wesley, 1995.
David L. Oppenheimer, David A. Wagner, and Michele D. Crabb. System Security: A Management Perspective. Short Topics in System Administration. USENIX Association, Berkeley, CA, USA, 1997.
Charles Pfleeger. Security in Computing. Prentice-Hall, 1996.
Dennis M. Ritchie. On the security of UNIX. In UNIX Programmer's manual: Supplementary Documents, volume 2, pages 592–594. Holt, Rinehart and Winston, seventh edition, 1982.
Aviel D. Rubin, Daniel Geer, and Marcus J. Ranum. Web Security Sourcebook. John Wiley & Sons, 1997.
Bruce Schneier. Applied Cryptography. Wiley, second edition, 1996.
Eugene H. Spafford. The internet worm program: An analysis. Technical Report CSD-TR-823, Purdue University, West Lafayette, IN 47907-2004, November 1988.
Ken L. Thompson. Reflections on trusting trust. Communications of the ACM, 27(8):761–763, 1984.

Περιεχόμενα