Εφαρμογή του πρότυπου ISO27001 για την ασφάλεια των Mobile Agents

Χατζηκυριάκου, Γεώργιος

View/Open

ΑΥΔ-2019-00030.pdf (2.541Mb)

Date

2019-05

Author

Χατζηκυριάκου, Γεώργιος

Metadata

Show full item record

Abstract

Οι mobile agents είναι μια μορφή mobile code που έχουν την δυνατότητα να κινούνται αυτόνομα σε μια προκαθορισμένη ή δυναμική διαδρομή από host σε host και να εκτελούν προκαθορισμένο κώδικα, χρησιμοποιώντας πόρους του εκάστοτε host. Το γεγονός ότι έχουν την δυνατότητα να κινούνται αυτόνομα μεταφέροντας τον κώδικα προς εκτέλεση, δεδομένα αλλά και την κατάσταση της εκτέλεσης τους, τους καθιστά ευάλωτους σε διάφορους τύπους επιθέσεων. Ο σκοπός αυτής της διατριβής είναι να εξεταστεί κατά πόσο οι απαιτήσεις του διεθνούς πρότυπου ISO 27001 μπορεί να χρησιμοποιηθούν για την ασφάλεια των mobile agents. Για τον σκοπό αυτό, δημιουργήσαμε έναν οργανισμό-μοντέλο και τοποθετήσαμε μέσα σε αυτό το πλαίσιο, μεταξύ άλλων περιουσιακών στοιχείων και τους mobile agents. Στην συνέχεια υλοποιήσαμε τις απαιτήσεις του προτύπου παράγραφο προς παράγραφο για να δημιουργήσουμε στο τέλος ένα σύστημα διαχείρισης ασφάλειας πληροφοριών (ΣΔΑΠ). Μέσα από την διαδικασία της διαχείρισης κινδύνων και με την βοήθεια μελετών άλλων ερευνητών, μπορέσαμε να προσδιορίσουμε τους κινδύνους που μπορούν να απειλήσουν τους mobile agents και να εφαρμόσουμε τους κατάλληλους ελέγχους, για τον μετριασμό των επιπτώσεων. Μέσω αυτών των ελέγχων, δημιουργήσαμε πολιτικές και διαδικασίες ασφαλείας για να διασφαλίσουμε την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των περιουσιακών στοιχείων του οργανισμού και κατά συνέπεια των mobile agents. Τέλος, δημιουργήσαμε τέσσερα ρεαλιστικά σενάρια σχετικά με την ασφάλεια των mobile agents και μελετήσαμε ορισμένες περιπτώσεις ώστε να δοκιμάσουμε την αποτελεσματικότητα του ΣΔΑΠ και να απαντήσουμε στα ερευνητικά ερωτήματα που θέσαμε. Διαπιστώσαμε ότι όλες οι απαιτήσεις του προτύπου συμβάλλουν άμεσα ή έμμεσα στην ασφάλεια των mobile agents. Απαιτήσεις όπως για παράδειγμα: α) η διαχείριση κινδύνων, β) ο καθορισμός και η τήρηση πολιτικών ασφαλείας, γ) η ευαισθητοποίηση του προσωπικού, δ) η διαδικασία εσωτερικού ελέγχου του ΣΔΑΠ αλλά και ε) η συνεχής βελτίωση του ΣΔΑΠ, μπορούν να προσθέσουν όπως θα δούμε, ένα επιπλέον επίπεδο προστασίας στους mobile agents και τις πλατφόρμες τους.

URI

http://hdl.handle.net/11128/4149

Collections

Ασφάλεια Υπολογιστών και Δικτύων (ΕΛΛ) / Computer and Network Security (in Greek)