Οδηγός Ενίσχυσης και Ελέγχου Ασφάλειας σε Επιχειρησιακά Πληροφοριακά και Δικτυακά Περιβάλλοντα: Αντιμετώπιση Τρωτών-Επιθέσεων και Πρακτικές Ενίσχυσης της Ασφάλειας
Ασφάλεια Πληροφοριακών Συστημάτων | Κατηγορίες επιθέσεων | Έλεγχος τρωτότητας | Ενίσχυση ασφάλειας | Πολιτική Ασφάλειας | Enterprise Information and Network Environments | Vulnerabilities | Types of attacks | Penetration testing | System hardening | Security policy
1
16
54
Περιέχει : πίνακες, σχήματα, εικόνες
Η παρούσα πτυχιακή εργασία ασχολείται με το θέμα της ασφάλειας σε επιχειρησιακά πληροφοριακά και δικτυακά περιβάλλοντα και προτείνει κατάλληλα μέτρα για τον έλεγχο και την ενίσχυσή της.
Συγκεκριμένα παρουσιάζονται τα δομικά στοιχεία των επιχειρησιακών πληροφοριακών συστημάτων και δικτύων, τα σημεία στα οποία είναι ευάλωτα σε επιθέσεις, ενώ αναλύονται και επεξηγούνται οι επιμέρους αδυναμίες στη διαμόρφωση που δημιουργούν προβλήματα. Επιπλέον περιγράφονται διαδικασίες κατάλληλες για τον έλεγχο του επιπέδου ασφάλειας των συστημάτων και δικτύων, αλλά και μέθοδοι για την ενίσχυση της ασφάλειας.
Ειδικότερα στο πρώτο κεφάλαιο παρέχεται μια εισαγωγή στα επιχειρησιακά πληροφοριακά και δικτυακά περιβάλλοντα και την εξάπλωσή τους, στις αρχιτεκτονικές αρχές σχεδίασης αυτών των συστημάτων, καθώς και στα δομικά στοιχεία που τα απαρτίζουν.
Στο δεύτερο κεφάλαιο θίγονται γενικά ζητήματα ασφάλειας, όπως η καταγραφή των κρίσιμων πόρων και οι απαιτήσεις ασφάλειας για την προστασία τους, η ανάλυση κινδύνου, οι βασικές αρχές για την κατάστρωση μιας αποτελεσματικής πολιτικής ασφάλειας για το υπό προστασία περιβάλλον και η περιγραφή της υφιστάμενης κατάστασής του από την σκοπιά της ασφάλειας.
Στο τρίτο κεφάλαιο εξετάζονται οι πιο συχνές διαχρονικά κατηγορίες επιθέσεων και οι κίνδυνοι που αυτές συνεπάγονται, τόσο σε επιθέσεις υπολογιστικών και δικτυακών συστημάτων, όσο και σε επιθέσεις διαδικτυακών εφαρμογών.
Στο τέταρτο κεφάλαιο περιγράφονται οι δοκιμές διείσδυσης (penetration testing) ως ελεγχόμενες προσομοιώσεις επίθεσης σε πληροφοριακά συστήματα με σκοπό την αξιολόγηση της ασφάλειάς τους. Οι δοκιμές διείσδυσης αποσκοπούν στο να εντοπισθούν οι αδυναμίες των συστημάτων/εφαρμογών, καθώς και να εκτιμηθεί για κάθε ευπάθεια η σοβαρότητα του κινδύνου. Στα πλαίσια των ελέγχων σχεδιάζονται σενάρια επιθέσεων και γίνεται εκμετάλλευση των αδυναμιών είτε συνδυασμού αυτών όπου είναι εφικτό.
Στο πέμπτο κεφάλαιο αναλύονται οι βέλτιστες πρακτικές και μεθοδολογίες για την ενίσχυση της ασφάλειας (hardening), που έχουν ως σκοπό να μειώσουν την επιφάνεια επίθεσης (attack surface) και να αυξήσουν την «ανθεκτικότητα» των συστημάτων σε επιθέσεις.
Τέλος, στο έκτο κεφάλαιο αναπτύσσονται οι τρόποι ανάλυσης και διαχείρισης της επικινδυνότητας, καθώς επίσης η σκοπιμότητα και οι τομείς μιας πολιτικής ασφάλειας.
This diploma thesis deals with the issue of security in business information and network environments and proposes appropriate measures in order to audit and strengthen it.
Specifically, we will present the structural elements of the enterprise information systems and networks, showcase their vulnerable points to attacks, and explore and depict the individual weaknesses in their configuration that may cause problems. Additionally, we will analyze the procedures that need to be followed in order to control the level of security of systems and networks, as well as methods to enhance their security.
In particular, the first chapter provides an introduction to enterprise information and network environments and their dissemination, the architectural principles implemented in designing these systems and a presentation of the building blocks that consist them.
The second chapter addresses security issues in general, such as the identification of critical resources and security requirements needed for their protection, risk analysis, the basic principles followed in designing an effective security policy for the protected environment in question and finally, a description of the network’s current security situation.
The third chapter examines the most common types of attacks and their associated risks, attacks made not only on computing and networking systems, but also attacks made on web applications and supervisory control and data acquisition (SCADA) systems.
In the fourth chapter, we will showcase the implementation of a penetration testing, used in the form of controlled simulations of attacks on information systems and analyze how they can assist us in assessing the system’s security level. Penetration tests are designed to identify weaknesses in systems/applications and assess and estimate the risk severity regarding each detected vulnerability. Part of implementing security checks, is the designing of the attack scenarios, as well as the exploitation of the system’s weaknesses or a combination of both practices, where possible.
In the fifth chapter, we will suggest best practices and methodologies to adopt in order to enhance security (hardening), aiming to reduce the attack surface and increase the "resilience" of systems in attacks.
Finally, in the sixth chapter we will analyze how to assess and manage the results of a risk analysis and assessment, as well as the expediency and impacts of the different domains of a security policy.
Hellenic Open University
Items in Apothesis are protected by copyright, with all rights reserved, unless otherwise indicated.
Κύρια Αρχεία Διατριβής
Οδηγός Ενίσχυσης και Ελέγχου Ασφάλειας σε Επιχειρησιακά Πληροφοριακά και Δικτυακά Περιβάλλοντα: Αντιμετώπιση Τρωτών-Επιθέσεων και Πρακτικές Ενίσχυσης της Ασφάλειας Περιγραφή: PE296.pdf (pdf)
Book Reader Πληροφορίες: Κυρίως σώμα διπλωματικής Μέγεθος: 8.6 MB
Οδηγός Ενίσχυσης και Ελέγχου Ασφάλειας σε Επιχειρησιακά Πληροφοριακά και Δικτυακά Περιβάλλοντα: Αντιμετώπιση Τρωτών-Επιθέσεων και Πρακτικές Ενίσχυσης της Ασφάλειας - Identifier: 72495
Internal display of the 72495 entity interconnections (Node labels correspond to identifiers)
Οδηγός Ενίσχυσης και Ελέγχου Ασφάλειας σε Επιχειρησιακά Πληροφοριακά και Δικτυακά Περιβάλλοντα: Αντιμετώπιση Τρωτών-Επιθέσεων και Πρακτικές Ενίσχυσης της Ασφάλειας