PYXIDA Institutional Repository
and Digital Library
 Home
Collections :

Title :Εργαστήριο Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών
Creator :Λιβέρη, Δήμητρα
Contributor :Γκρίτζαλης, Δημήτριος (Επιβλέπων καθηγητής)
Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής (Degree granting institution)
Type :Text
Extent :144σ.
Language :el
Abstract :Η ανάγκη για προστασία των δεδομένων είχε ήδη γίνει αντιληπτή εδώ και αρκετές δεκαετίες και η έρευνα πάνω σε τεχνικές, υλικό και λογισμικό συνεχίζει να παράγει νέα εργαλεία και να προτείνει νέες λύσεις. Η ανάπτυξη είναι ραγδαία και τα αποτελέσματα εμφανή, καθώς πλέον το μεγαλύτερο ποσοστό των επιθέσεων αντιμετωπίζεται και οι δράστες ανιχνεύονται. Μέχρι τότε η ασφάλεια ήταν όντως μια ανάγκη όμως δεν αποτελούσε πρώτιστη προτεραιότητα. Η μεταστροφή στον τρόπο σκέψης γίνεται ορατή μέσω των αλλαγών στην ερευνητική κοινότητα, καθώς και στο εκπαιδευτικό περιεχόμενο των πανεπιστημιακών ιδρυμάτων. Η συγκεκριμένη μεταπτυχιακή διατριβή αποτελεί τη συνέχεια μιας έρευνας ετών που ξεκίνησε σε αρχικό στάδιο από τη μελέτη και ανασκόπηση όλων των θεματικών κύκλων τους οποίους εμπεριέχει η ασφάλεια, την ομαδοποίησή τους και την κατανομή τους σε θεματικές περιοχές ανάλογα με το τομέα που πραγματεύονται. Κεντρικό άξονα αποτελεί η Ασφάλεια ΠΣ, που Η σχετίζεται με το σύνολο της εσωτερικής υποδομής, της οργάνωσης, του προσωπικού και των συνιστωσών που συλλέγουν, επεξεργάζονται, αποθηκεύουν, μεταβιβάζουν και εκθέτουν πληροφορίες. Ουσιαστικός της στόχος είναι η σύνθεση πειραματικών εργαστηριακών ασκήσεων, βασισμένες στις θεματικές ενότητες που έχουν ήδη προταθεί στα πλαίσια διαμόρφωσης του εκπαιδευτικού γνωστικού υποβάθρου. Όσον αφορά την επίτευξη του εργαστηριακού προγράμματος προτείνεται ένα πρότυπο σχέδιο καταμερισμού αρχικά του εξοπλισμού που χρειάζεται για την υποστήριξή του, εν συνεχεία των ατόμων που συμμετέχουν σε αυτό καθώς και των διακριτών ρόλων τους και εν τέλει του περιεχομένου των ασκήσεων. Έτσι, καταγράφεται ο πλήρης προγραμματισμός εργαστηριακών ασκήσεων για την πρακτική εξάσκηση των φοιτητών στο εργαστήριο, παράλληλα με το γνωστικό περιεχόμενο. Απώτερος σκοπός είναι μέσω των ασκήσεων αυτών οι φοιτητές να εμβαθύνουν στη γνώση τους και να επεκτείνουν τις δεξιότητές τους. Οι εργαστηριακές ασκήσεις πρέπει συνεχώς να επικαιροποιούνται ανάλογα με την εξέλιξη της γνωστικής περιοχής και τη διαθέσιμη υλικοτεχνική υποδομή. Η πρωτοτυπία αυτής της εργασίας εκτός των άλλων είναι η εφαρμογή πρακτικών ασκήσεων όσον αφορά τον τομέα της ασφάλειας που σχετίζεται με την Προστασία Κρίσιμων Υποδομών. Η Ασφάλεια Πληροφοριακών Συστημάτων και η Προστασία Κρίσιμων Υποδομών είναι ανεξάρτητες έννοιες και στα πλαίσια της εργασίας, κρίνεται αναγκαίο να ξεκαθαριστούν τόσο οι συγκλίσεις όσο και οι διαφορές τους. Έτσι κατά την έκταση της εργασίας οι δυσχέρειες που αφορούν την έλλειψη προτύπων για τις ΚΥ, τη μεγάλη διασπορά των απειλών καθώς και τις έντονες αλληλεξαρτήσεις που οξύνουν τις επιπτώσεις των καταστροφικών περιστατικών, διαφαίνονται και ενισχύουν την άποψη της επιτακτικής ανάγκης ενίσχυσης των ΚΥ και τη δυσκολία οργάνωσης ενός εργαστηρίου με πλήρη εξοπλισμό.Οι ανεπαρκείς μέθοδοι προστασίας και ασφάλειας που χρησιμοποιούνταν παλαιότερα, αύξαναν την ευπάθεια που παρουσίαζαν οργανισμοί και άτομα σε δραστηριότητες όπως οικονομικές απάτες μέσω υπολογιστικών συστημάτων, κατάχρηση των τηλεπικοινωνιακών συστημάτων και μη εξουσιοδοτημένη αποκάλυψη στοιχείων, τροποποίηση ή καταστροφή πληροφοριών. Πλήθος ερευνητικών ομάδων συνειδητοποίησαν ότι τα πληροφοριακά συστήματα δεν θα αποτελέσουν ένα αξιόπιστο μέσο συνδιαλλαγής και αποθήκευσης δεδομένων, εκτός αν εφαρμοστεί ένα συνεκτικό και ολοκληρωμένο πρόγραμμα εκπαίδευσης Ασφάλειας Πληροφοριακών Συστημάτων σε πανεπιστήμια και ανώτερες ιδιωτικές σχολές. Η ανασκόπηση όλων των ερευνητικών δημοσιευμάτων που διεξήχθη κατέληξε στα εξής συμπεράσματα. Αρχικά, η έρευνα και ακόμα περισσότερο οι εργαστηριακές δοκιμές είναι θεμελιώδεις για την εισήγηση ενός μαθήματος Ασφάλειας Π.Σ., όπως και για την πλειοψηφία των τεχνικών μαθημάτων της Επιστήμης των Υπολογιστών. Υπήρχαν δύο απόψεις, οι μεν εστίαζαν στην ασφάλεια ως μέρος μιας θεματικής ενότητας, άρα ένας περιορισμένος αριθμός διαλέξεων στο μάθημα των Δικτύων Υπολογιστών. Την άλλη άποψη συμμερίζονταν μερικά πανεπιστημιακά ιδρύματα που αντιμετώπιζαν την Ασφάλεια Π.Σ. στην οριζόντια μορφή της, δηλαδή αυτής που εφάπτεται σε κάθε τομέα του επιστητού (Ασφάλεια Δικτύων, Ασφάλεια Λογισμικού, Ασφάλεια Εφαρμογών, Ασφάλεια Υπολογιστών), χωρίς να προσφέρεται ένα ολοκληρωμένο μάθημα που να περιέχει όλες αυτές τις επιμέρους γνώσεις. Η έρευνα και ακόμα περισσότερο οι εργαστηριακές δοκιμές είναι θεμελιώδεις για την εισήγηση ενός μαθήματος Ασφάλειας Π.Σ., όπως και για την πλειοψηφία των τεχνικών μαθημάτων της Επιστήμης των Υπολογιστών. Ενώ στα περισσότερα πανεπιστήμια είχαν συνειδητοποιήσει τη σημαντικότητα ενός άρτια εξοπλισμένου εργαστηρίου για πειραματικές εφαρμογές, η χρηματοδότησή του αποτελούσε τέλμα στο οποίο βυθιζόταν κάθε σχέδιο κατασκευής του. Στον τομέα της εκπαίδευσης, γίνονται ιδιαίτερες προσεγγίσεις για την ένταξη της Ασφάλειας Πληροφοριακών Συστημάτων ως βασικού μαθήματος στο πρόγραμμα σπουδών και για την προδιαγραφή ενός εργαστηρίου. Η ένταξη της θεματικής ενότητας για την Προστασία ΚΥ είναι ο επικείμενος στόχος. Χαρακτηριστικό είναι ότι στις περισσότερες μελέτες τα θέματα που διδάσκονται στα εκπαιδευτικά ιδρύματα καλύπτουν μεγάλο εύρος της γνωστικής περιοχής, χωρίς όμως να προδιαγράφεται μια συγκεκριμένη δομή και ακολουθία. Είναι χαρακτηριστικό και διαφαίνεται κατά τη ροή της εργασίας ότι οι κρατικοί μηχανισμοί ενεργοποιούνται και μεριμνούν ώστε το εργαστήριο Ασφάλειας ΠΣ να μην είναι μια απομακρυσμένη προοπτική. Η κατευθυντήρια γραμμή για την ανάπτυξη του εργαστηριακού προγράμματος που προτείνεται σε αυτή τη διατριβή, περιλαμβάνεται στο γενικό πλαίσιο της έρευνας της Ομάδας Ασφάλειας ΠΣ του Οικονομικού Πανεπιστημίου Αθηνών, και αφορά και αναλύει το γνωστικό περιεχόμενο του μαθήματος. Η αναζήτηση μια ολοκληρωμένης και άρτιας ταξονομίας όλων των θεμάτων που πραγματεύεται η Ασφάλεια Π.Σ. και η ενσωμάτωσή τους στο διδακτικό πρόγραμμα, ειδικά μετά από τόσες προτάσεις και τόσα διαφορετικά αντικείμενα που δύναται να διδαχθούν, αποτελεί λύση για προβλήματα ανομοιογένειας που παρουσιάζονται στο διδακτικό περιεχόμενο των πανεπιστημιακών ιδρυμάτων. Στην έρευνα έχουν ήδη εξεταστεί τα υπάρχοντα γνωστικά περιεχόμενα και η τελική πρόταση καλύπτει όλες τις ήδη υπάρχουσες διαχωρίζοντας σε δέκα θεματικές περιοχές όλη τη γνώση που πρέπει να παρέχεται στην Ασφάλεια ΠΣ. Πριν τη παρουσίαση των ασκήσεων εξετάζονται περαιτέρω παράμετροι.Το θέμα της σύνθεσης του εργαστηρίου σε ότι αφορά την τεχνική υποδομή, την τοπολογία του δικτύου, το λογισμικού που θα εγκατασταθεί όπως και τα εργαλεία που θα χρησιμοποιηθούν κατά τη διάρκεια των εργαστηριακών ασκήσεων, έχουν αποτελέσει πηγή ενδιαφέροντος για αρκετές έρευνες και τα τεχνικά αποτελέσματα που προτείνονται είναι άκρως ενδιαφέροντα. Τα βασικά χαρακτηριστικά είναι η απομόνωση του δικτύου και η χρήση εικονικών μηχανημάτων που θα το επανδρώσουν. Επόμενο βήμα είναι το προσωπικό που διαχειρίζεται το εργαστήριο. Για να γίνουν περισσότερο ενεργητικοί οι φοιτητές προτείνεται η σύνταξη μιας ομάδας Ασφάλειας. Η ομάδα αυτή υπόκεινται στους εισηγητές του μαθήματος και εννοείται, στον καθηγητή, όμως βρίσκεται μια βαθμίδα πιο πάνω από την υπόλοιπη τάξη. Οι αρμοδιότητες που αποδίδονται δεν τοποθετούν τους φοιτητές σε θέση υψηλής ευθύνης, αλλά τους βοηθά – αφού έγιναν οικειοθελώς μέλη - στην εμβάθυνση στο γνωστικό αντικείμενο που τους ενδιαφέρει. Οι ασκήσεις είναι ταξινομημένες σύμφωνα με συγκεκριμένα κριτήρια:1. Γνωστικό Επίπεδο: Απευθύνονται στους φοιτητές ανάλογα το υπόβαθρο και τις γνώσεις τους σε θέματα ασφάλειας. Έχουν δημιουργηθεί τρία επίπεδα αυξανόμενης δυσκολίας, χωρίζοντας τους εκπαιδευόμενους σε αρχάριους, μεσαίους και προχωρημένους/έμπειρους. Για τον εισηγητή, η εφαρμογή των ασκήσεων εξαρτάται από τις γνώσεις του, από τον εξοπλισμό του εργαστηρίου, από την προετοιμασία του και σαφώς από τις γνώσεις των φοιτητών. Κατ’ αυτό τον τρόπο διαφοροποιείται το γνωστικό επίπεδο από τις απαιτήσεις διδασκαλίας. 2. Βαθμός Δυσκολίας: Κάθε άσκηση που περιλαμβάνεται στο εργαστηριακό πρόγραμμα ενέχει βαθμό δυσκολίας για τον φοιτητή ώστε να αφομοιώσει τις επιμέρους έννοιες, καθώς επίσης και απαιτήσεις διδασκαλίας για τον εισηγητή που χρειάζεται να μεταδώσει τις γνώσεις του για το θέμα που διδάσκεται. Σε μια κλίμακα από 1-5 οι ασκήσεις χαρακτηρίζονται εύκολες όταν ο δείκτης είναι 1 και πολύ απαιτητικές όταν είναι 5. Κατ’ αυτό τον τρόπο ο εισηγητής ενημερώνεται για την προετοιμασία που χρειάζεται να κάνει, ανάλογα την άσκηση, είτε είναι θεωρητική είτε τεχνική.3. Προσανατολισμός Άσκησης: Οι τεχνικές ασκήσεις που προτείνονται δεν έχουν για κάθε επίπεδο συγκεκριμένο χαρακτήρα, χωρίζονται σε επιθετικές και αμυντικές. Σκοπός αυτού του διαχωρισμού είναι να αφομοιώσουν οι εκπαιδευόμενοι την έννοια της Ασφάλειας Πληροφοριακών Συστημάτων καθολικά, από την πλευρά του επιτιθέμενου και από την πλευρά του χρήστη που αμύνεται στην επίθεση.4. Τύπος Άσκησης: Ο τύπος της άσκησης έχει σχέση με τον τρόπο που επιλέγεται να εφαρμοστεί κάθε μια. Ενδεχομένως κάποια από τις προτεινόμενες εργαστηριακές ασκήσεις να μπορεί να πραγματοποιηθεί σε τεχνικό επίπεδο με τη χρήση συγκεκριμένων εργαλείων, είτε ως θεωρητική άσκηση όπου μελετούνται λύσεις για ένα πρόβλημα.5. Συμμετοχή: Το τελευταίο κριτήριο ταξινόμησης των ασκήσεων είναι ο διαχωρισμός των φοιτητών που αναλαμβάνουν να λύσουν τις προτεινόμενες ασκήσεις.Έτσι, παρουσιάζονται οι ασκήσεις που περιέχονται στο προτεινόμενο εργαστηριακό πρόγραμμα. Συνολικά παρουσιάζονται αναλυτικά τρεις (3) ασκήσεις για κάθε μία από τις εννέα (9) θεματικές ενότητες. Σε κάθε άσκηση ακολουθεί ένας πίνακας των προαπαιτούμενων μαθημάτων που χρειάζεται να έχει ήδη παρακολουθήσει ο φοιτητής ώστε να έχει μεγαλύτερη άνεση με τα θέματα που συζητούνται στο εργαστήριο. Προτείνονται για τους φοιτητές που ενδεχομένως επιθυμούν να έχουν μια πιο καθολική εικόνα για το συγκεκριμένο θέμα και προκύπτουν από τη μελέτη όλων των εμπλεκόμενων θεμάτων που απαρτίζουν τη συγκεκριμένη ενότητα. Κατά τη μελέτη των επιμέρους γνωστικών περιοχών ο αναγνώστης παρατηρεί ότι εμφανίζονται ισχυροί δεσμοί με άλλα επιστημονικά πεδία.Καθώς το εργαστηριακό πρόγραμμα που αναπτύχθηκε αποτελεί σύνθεση εκπαιδευτικών μεθόδων, διαδικασιών και γνωστών τεχνικών, η αξιολόγησή του εξαρτάται από επιμέρους παράγοντες. Ως εκ τούτου δεν δύναται να πραγματοποιηθεί η αξιολόγηση μόνο μέσω σύγκρισης με τις υπάρχουσες προτεινόμενες λύσεις (έρευνες που έχουν ήδη δημοσιευθεί). Άρα, θεωρείται θεμελιώδης ο σχεδιασμός της αξιολόγησης των φοιτητών σε ότι αφορά στην κατανόηση και αφομοίωση των εννοιών που καλύπτονται σε όλο το φάσμα του γνωστικού υποβάθρου. Εν κατακλείδι, η εργασία ολοκληρώνεται με προτεινόμενη αξιολόγηση ανά άσκηση, με τη συνολική συνεισφορά της εργασίας στην ακαδημαϊκή – και όχι μόνο- κοινότητα και τα βήματα της μελλοντικής έρευνας.
The need for data protection has already been identified since several decades. Research on specific techniques, equipment and software is continuously producing new tools and suggest new methodologies/ policies which are unfortunately inadequate to serve their purpose. In the past, attackers had such a strong, asymmetric advantage over defenders and deterrence was so weak that it seemed on a matter of time before a cyber catastrophe occured. Attackers might use automated techniques that take effect at cyber speeds whereas defenders have few tools to achieve responses at more than human speeds. Despite the vast number of threats, scientists acknowledge the existence of a set of vulnerabilities, which critically require mitigation. The “change of minds” is visible through changes in the research community and the educational content issued by university communities. The target of this “movement” is the amelioration of the education curricula through radical changes. This M.Sc. Thesis is a continues a previous research effort which included the study and review of all thematic courses of Information Systems Security, grouping and dividing them into subject areas according to the sector addressed. The main objective is the synthesis of an experimental, laboratory set of exercises based on the themes proposed in an educational common body of knowledge (CBK). This thesis attempts to specify the lab’s network topology, the human components structure and the exercises’ decisive criteria. Thus, we draw an organizational chart of the laboratory program in order to assist students’ practical work in the lab, along with the specifications of an extensible system that simply embraces new technology. The aim is, through such exercises, to allow students to deepen their knowledge and expand their skills. The students obtain experience in real world, hands-on problem solving. The originality of this work lays in the implementation of practical exercises for the new field of Critical Infrastructure Protection. Recent terrorist events show that a vast number of inherent vulnerabilities and escalating threats frame the CIs. Lack of comprehensive reporting of security incidents impedes quantification of risks and benefits, and hides the information essential to built secure, resilient systems. The aim is to transform the cyber infrastructure to be resistant to attack so that critical national interests are protected from catastrophic damage and society can confidently adopt new technological advances. Despite the fact that critical infrastructures affect the society’s well being, they pose additional challenges due to their increased level of interdependency. Information Systems Security and Critical Infrastructure Protection are independent concepts and it is necessary to clear up the distinguishing differences or their convergence. The lack of standards for CI, the vast proliferation of threats and the strong interactions which amplify the effects of catastrophic events, reinforce the emerging view of an urgent need to strengthen the CI and also pose difficulty in organizing a fully equipped workshop. Inadequate methods of protection and security, which were formerly used, increase the vulnerability of individuals and organizations, resulting in activities such as financial fraud through computer systems, telecommunications systems, misuse and unauthorized disclosure, modification or destruction of information.Numerous research groups have realized that information systems will not be a reliable means of conciliation and storage, unless a coherent and integrated training program is applied in Information Systems Security at universities and private higher schools. Efforts to solve the problems of the day, although laudable, can’t result in incremental progress toward a fundamentally safer status quo. The review of all research publications reached the following conclusions. Initially, the research and further laboratory tests are essential for proposing a course IS Security and for most technical courses in computer science. There were two opinions, the first one proposed that the course remains focused on security as part of a module (a limited number of lectures in the course of Computer Networks) and the other view, shared by few other universities facing IS Security, is the horizontal form, i.e. which is adjacent to each field of knowledge without offering a comprehensive course that contains all of these individual skills. While most universities have realized the importance of a fully equipped laboratory for experimental studies, the financing aspect appears as a quagmire in which any project’s construction was sinking. During the Master Thesis, the guideline for the development of the IS Security laboratory initiative, is the search for a comprehensive and whole taxonomy of all issues addressed by the IS Security and their integration in the curriculum, especially after so many suggestions and many different subjects that can be taught, it forms a solution to problems of heterogeneity shown in curricula of universities. The survey examined the already existing knowledge content and the final proposal covers all its aspects, separating the common body of knowledge into ten thematic areas.The composition of the laboratory in terms of technical infrastructure, network topology, the software which will be installed as well as the tools used during the laboratory exercises, have been a source of interest for several research and technical results suggested are extremely interesting. The main features are the isolation of network and the use of virtual technologies. Next step is the staff that manages the lab. In order for the students to be more active, the formation of an IS Security Group is proposed. The group is subject to the rapporteurs of the course and the teacher, but is a step above the rest of the class. The main material suggested is the set of exercises. We propose tree types of exercises for each of the nine domains, differentiated according to the following criteria:1. Expertise Level: Addressed to students depending on the background and knowledge on security issues. We have created three levels of increasing difficulty, dividing the students into beginner, medium and advanced / expert.2. Difficulty: Each exercise set in the laboratory program poses difficulty for the student to assimilate the individual concepts, and teaching requirements for the instructor is needed to impart knowledge on the subject being taught. On a scale from 1-5 exercises identified easy when the index is 1 and very demanding when it is 5.3. Exercise Orientation: Technical exercises that are suggested for each level of this nature, divided into offensive and defensive.4. Exercise Type: The type of exercise is related to the way chosen to implement each. Possibly some of the proposed laboratory exercises can be done at technical level with the use of specific tools, either as a theoretical exercise by studying solutions to a problem.5. Participation: The final criterion for classification exercises is the separation of students who undertake to solve the proposed exercises.Each exercise is followed by a list of prerequisite courses, which the student needs to have already attended in order to be in greater comfort with the issues discussed in the workshop. It’s recommended for students who may wish to have a more universal view, resulting from the study all relevant issues that make up this section. As the laboratory program forms a synthesis of educational methods, procedures and known techniques, the assessment depends on various factors. Therefore assessment solely through use of existing proposals (research already published) may not be enough. It is essential to design the evaluation of students with regard to understanding and assimilation of the concepts covered across the knowledge base. In conclusion, the work resumes by each proposed evaluation exercise, the overall contribution to the academic - and not only-community and future research.
Subject :Εργαστήριο Ασφάλειας Πληροφοριακών Συστημάτων
Προστασία κρίσιμων υποδομών
Γνωστικό περιεχόμενο
Εργαστηριακές ασκήσεις
Μέθοδος αξιολόγησης
Γενική Ομάδα Ασφάλειας
Informational Systems Security Laboratory
Critical Information Protection
Common Body of Knowledge
Laboratory Exercises
Exercises Evaluation Methods
Security Group
Date :31-12-2009
Licence :

File: liveri_2009.pdf

Type: application/pdf
File: parousiasi.ppsx

Type: application/pdf