ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ … thesis tsoumas...

Διαχείριση Ασφάλειας ΠΣ με Οντολογίες

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ

ΔΙΑΤΡΙΒΗ

για την απόκτηση Διδακτορικού Διπλώματος

του Τμήματος Πληροφορικής

Βασιλείου Τσούμα

Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων με

Οντολογίες

Συμβουλευτική Επιτροπή:

Επιβλέπων: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Σπινέλλης Διομήδης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών

Αθήνα, Φεβρουάριος 2007

Εξεταστική Επιτροπή: Γκρίτζαλης Δημήτρης, Αναπληρωτής Καθηγητής, Πρόεδρος Οικονομικό Πανεπιστήμιο Αθηνών Πάγκαλος Γεώργιος, Καθηγητής Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης Κάτσικας Σωκράτης, Καθηγητής Πανεπιστήμιο Αιγαίου Αποστολόπουλος Θεόδωρος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Πολύζος Γεώργιος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Σπινέλλης Διομήδης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μαυρίδης Ιωάννης, Επίκουρος Καθηγητής Πανεπιστήμιο Μακεδονίας


Οικονομικό Πανεπιστήμιο Αθηνών

Σελ. 2

"Η έγκριση διδακτορικής διατριβής υπό του Τμήματος Πληροφορικής του Οικονομικού

Πανεπιστημίου Αθηνών δεν υποδηλοί αποδοχή των γνωμών του συγγραφέως".

(Ν. 5343/ 1932, αρθρ. 202)



Σελ. 3

ΠΡΟΛΟΓΟΣ ΚΑΙ ΕΥΧΑΡΙΣΤΙΕΣ Μετά το τέλος μιας ερευνητικής προσπάθειας με σεβαστή χρονική διάρκεια, ο δρών

συνήθως δεν πιστεύει ότι ήρθε η στιγμή για τη συγγραφή αυτής της ενότητας.

Εκτιμώντας ότι η παρούσα διατριβή έχει μια ελάχιστη συμβολή στο ερευνητικό

αντικείμενο, και σίγουρα σοφότερος απ’ ότι στην αρχή αυτού του ταξιδιού, θα ήθελα να

ευχαριστήσω τους συνάδελφους και φίλους που υποστήριξαν ποικιλοτρόπως αυτή την

προσπάθεια. Πρώτα και κύρια, εκφράζω τις θερμές μου ευχαριστίες στον επιβλέποντα

συνάδελφο, Αναπληρωτή Καθηγητή του τμήματος Πληροφορικής του Οικονομικού

Πανεπιστημίου της Αθήνας (ΟΠΑ) κ. Δημήτρη Γκρίτζαλη, για την εμπιστοσύνη και τη

συνεχή στήριξή του όλα αυτά τα χρόνια. Πέρα από τις επί μακρόν συζητήσεις μας για τα

ουσιαστικά της έρευνας θέματα, το μεγαλύτερο κέρδος από τη συνεργασία μας ήταν η

διεύρυνση της αντίληψης σε μένα της ολιστικής θέασης του αντικειμένου της ασφάλειας

ΠΣ πέρα από τις τεχνικές εκφάνσεις της, κάτι που στην είσοδό μου στο χώρο

κυριολεκτικά –και συνειδητά– αγνοούσα. Η διακριτική στήριξη των μελών της

Τριμελούς Επιτροπής παρακολούθησης της διατριβής, δηλ. του Καθηγητή κ. Θεόδωρου

Αποστολόπουλου και του Αναπληρωτή Καθηγητή κ. Διομήδη Σπινέλλη κύρια σε θέματα

ερευνητικών κατευθύνσεων της διατριβής ήταν πολύτιμη και διαρκής. Δεν μπορώ να

παραβλέψω τη συμβολή του Ομότιμου Καθηγητή κ. Ευάγγελου Κιουντούζη, για την

κριτική του ματιά και την προσήλωσή του στην αξία των μεθοδολογικών προσεγγίσεων.

Η φιλοσοφική του στάση απέναντι στη διδασκαλία (γενικότερα) και στην έρευνα

(ειδικότερα) στάθηκε πηγή έμπνευσης και συνεχούς καλόπιστης αμφισβήτησης προς

κάθε κατεύθυνση, παρέχοντας τελικά πλείστα ερεθίσματα προς βελτίωση.

Από τον μακρύ κατάλογο των συναδέλφων και φίλων που επηρέασαν την έκβαση της

εργασίας αυτής δεν θα μπορούσα να εξαιρέσω τα μέλη της ερευνητικής ομάδας σε

Ασφάλεια Πληροφοριών και Προστασία Κρίσιμων Υποδομών του Οικονομικού

Πανεπιστημίου. Ειδική μνεία γίνεται στους Κώστα Μουλίνο, Θοδωρή Τρύφωνα και

Γιάννη Ηλιάδη, με τους οποίους συμπορευτήκαμε για ένα μεγάλο διάστημα σε

ερευνητικό επίπεδο κατά τη διάρκεια της δικής τους διατριβής και που οι απόψεις τους

με επηρέασαν βαθιά, όντες πιο ώριμοι ερευνητές και υπό διαφορετικό πρίσμα ο καθένας.

Οι συζητήσεις μας ήταν πλούσιες σε νοητικά ερεθίσματα, και πιστεύω ότι κι εγώ με τη

σειρά μου συνέβαλα σε ένα μικρό βαθμό στην επιτυχία των δικών τους πονημάτων.



Σελ. 4

Εξαιρετικά σημαντική βοήθεια προσέφεραν οι Νατάσα Μιχαηλίδου, Παναγιώτης

Παπαγιαννακόπουλος και Χαράλαμπος Τριποδιανός με τους οποίους συν-υλοποιήθηκαν

σημαντικά proof-of-concept μέρη της διατριβής. Ο συνάδελφος Στέλιος Δρίτσας, έχοντας

σχεδόν παράλληλη χρονικά πορεία στην έρευνα, υποστήριξε έντονα, διαρκώς και με το

δικό του προσωπικό τρόπο τη δουλειά μου μέχρι σήμερα. Περαιτέρω, οι Σωκράτης

Κάτσικας, Κώστας Λαμπρινουδάκης, Λάζαρος Γυμνόπουλος, Μαριάνθη Θεοχαρίδου,

Γιάννης Μαριάς και Αγγελική Τσώχου έχουν συμβάλλει ποικιλοτρόπως σε διάφορα

στάδια της παρούσας έρευνας.

Στη διαμόρφωση της διατριβής σημαντικό ρόλο έπαιξε και η εμπειρία που απέκτησα

κατά την ενασχόλησή μου στο τμήμα του Ελέγχου και Ασφάλειας Πληροφοριακών

Συστημάτων της Ernst & Young, αφού η καθημερινή τριβή με πρακτικά προβλήματα

ελέγχου και ασφάλειας επηρέασε το ερευνητικό μου ενδιαφέρον προς αυτή την

κατεύθυνση. Δράττομαι της ευκαιρίας να ευχαριστήσω όλους τους συναδέλφους του

τμήματος Ελεγκτών Πληροφοριακών Συστημάτων, με ειδική αναφορά στους Χρήστο

Σεφέρη και Δρ. Κυριάκο Τσιφλάκο για τις διευκολύνσεις που παρείχαν ώστε να

μπορέσω να ολοκληρώσω το έργο μου.

Τέλος, θα ήθελα να ευχαριστήσω τους γονείς μου Διονυσία και Νίκο για όσα μου έχουν

προσφέρει μέχρι σήμερα, ο καθένας από τη δική του πλευρά και με τις δικές του

δυνατότητες, και τη σύντροφό μου, Έφη, για την αγάπη, υπομονή και ανοχή της καθ’

όλη τη διάρκεια της εκπόνησης. Αυτή η διατριβή αφιερώνεται στη μητέρα μου η οποία

μου δίδαξε αμίλητη όλα όσα δε διδάσκονται σε πανεπιστήμια και δε γράφονται σε

βιβλία, αλλά είναι ότι δίνει νόημα στη ζωή – και μάλιστα άνευ αντιτίμου.

Αθήνα, 30 Ιανουαρίου 2007



Σελ. 5

Στη μητέρα μου Διονυσία

We are realists. We dream the impossible.

~ Ernesto “Che” Guevara



Σελ. 7

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ

ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ _______________________________________________ 15

ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ _____________________________________________ 17

ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ _______________________________________________ 19

ΔΗΜΟΣΙΕΥΣΕΙΣ ______________________________________________________ 21

1 Εισαγωγή _________________________________________________________ 25

1.1 Πληροφορική και Διαχείριση Ασφάλειας ΠΣ __________________________ 25

1.2 Αφορμή και Κίνητρα για την Παρούσα Έρευνα ________________________ 29

1.3 Αντικείμενο και Στόχοι της Διατριβής________________________________ 33

1.4 Δομή της Διατριβής ______________________________________________ 34

1.4.1 Δομική Περιγραφή της Διατριβής _________________________________ 34

1.4.2 Συνοπτική Περιγραφή των Κεφαλαίων _____________________________ 36

1.5 Συμβολή της Παρούσας Έρευνας στο Πεδίο της Διαχείρισης Ασφάλειας ΠΣ 39

1.5.1 Σχήμα Επέκτασης του CIM για Ανάλυση Επικινδυνότητας ____________ 40

1.5.2 Οντολογία Ασφάλειας ___________________________________________ 41

1.5.3 Ενοποίηση Ανομοιογενών Πηγών Πληροφορίας Ασφάλειας ____________ 41

1.5.4 Μοντελοποίηση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης

41

1.5.5 Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας ________________________ 42

1.5.6 Ευρετικοί Κανόνες Παραγωγής Γνώσης Ασφάλειας___________________ 42

1.5.7 Βάση Τεχνικών Μέτρων Υλοποίησης ______________________________ 42

1.5.8 Εξειδίκευση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης _ 42

1.5.9 Συσχέτιση Απαιτήσεων Ασφάλειας με Τεχνικά Μέτρα Υλοποίησης ______ 42



Σελ. 8

1.5.10 Λειτουργικό Μοντέλο Διαχείρισης Ασφάλειας ΠΣ Βασισμένο σε Οντολογίες

43

2 Ορισμοί και Επισκόπηση του Οργανοτεχνικού Πλαισίου Διαχείρισης Κινδύνων

ΠΣ 45

2.1 Εισαγωγή _______________________________________________________ 45

2.2 Η Εξέλιξη της Διαχείρισης Κινδύνων ΠΣ _____________________________ 46

2.2.1 Η Έννοια της Ασφάλειας ________________________________________ 46

2.2.2 Θεμελιώδεις Ιδιότητες της Ασφάλειας _____________________________ 47

2.2.3 Η Διαφορετικότητα των Απαιτήσεων Ασφάλειας_____________________ 48

2.2.4 Η Έννοια της Απειλής___________________________________________ 49

2.2.5 Η έννοια του Αντιμέτρου ________________________________________ 51

2.3 Εισαγωγή στη Διαχείριση Επικινδυνότητας ΠΣ (ΔΕ) ___________________ 53

2.3.1 Ανάλυση Επικινδυνότητας _______________________________________ 54

2.3.2 Μείωση των Κινδύνων __________________________________________ 56

2.3.3 Αξιολόγηση του Επιπέδου Ασφάλειας ______________________________ 58

2.4 Η Πολυδιάστατη Φύση της Διαχείρισης Ασφάλειας ____________________ 63

2.5 Προσεγγίσεις στη Διαχείριση Ασφάλειας ΠΣ __________________________ 68

2.6 Το Ερευνητικό Πρόβλημα και η Προτεινόμενη Προσέγγιση ______________ 71

2.7 Σύνοψη_________________________________________________________ 74

3 Παρούσα Κατάσταση και Σχετική Έρευνα ______________________________ 75

3.1 Εισαγωγή _______________________________________________________ 75

3.2 Εξειδίκευση Απαιτήσεων Βάσει Στόχων ______________________________ 77

3.3 Εξειδίκευση Απαιτήσεων σε Επίπεδο Πολιτικών ΠΣ____________________ 85

3.4 Τυπικές Προσεγγίσεις στον Ορισμό Πολιτικών ΠΣ ____________________ 102



Σελ. 9

3.5 Τυπικές προσεγγίσεις Πολιτικών Ασφάλειας ΠΣ ______________________ 106

3.6 Τυπική αποτύπωση Πολιτικών Διαχείρισης __________________________ 109

3.7 Πλαίσια και Γλώσσες Πολιτικών Υψηλού Επιπέδου ___________________ 110

3.7.1 PMAC ______________________________________________________ 110

3.7.2 KaOS _______________________________________________________ 112

3.7.3 Rei _________________________________________________________ 114

3.7.4 PCIM _______________________________________________________ 116

3.7.5 Ponder ______________________________________________________ 118

3.8 Διαχείριση Πολιτικών και Φυσική Γλώσσα __________________________ 119

3.8.1 Ένα Πειραματικό Περιβάλλον Διαχείρισης Πολιτικών (ΠΔΠ) _________ 119

3.8.2 Υποστήριξη επεξεργασίας φυσικής γλώσσας στην ανάπτυξη συστημάτων

λογισμικού που κατευθύνονται από πολιτικές _______________________________ 122

3.8.3 Μελέτη περίπτωσης: καθορισμός μιας πολιτικής ασφάλειας __________ 124

3.9 Άλλες Προσεγγίσεις______________________________________________ 126

3.10 Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας ΠΣ Υψηλού Επιπέδου_________ 128

3.11 Σύνοψη________________________________________________________ 131

4 Εννοιολογικό Μοντέλο και Άξονες της Έρευνας_________________________ 133

4.1 Εισαγωγή ______________________________________________________ 133

4.2 Προδιαγραφές ενός συστήματος Διαχείρισης Ασφάλειας _______________ 135

4.3 Εννοιολογικό Μοντέλο ΔΑΠΣ και Αντίμετρα Ασφάλειας: Απαιτήσεις

Ασφάλειας και Υλοποίηση Τεχνικών Αντιμέτρων____________________________ 136

4.4 Τα Δομικά Στοιχεία της Προσέγγισης _______________________________ 141

4.4.1 Οντολογία Ασφάλειας __________________________________________ 141

4.4.2 Βάση Τεχνικών Μέτρων Υλοποίησης _____________________________ 141



Σελ. 10

4.5 Άξονας 1: Πρότυπα Διαχείρισης Κινδύνων ΠΣ________________________ 142

4.5.1 Οικογένεια Προτύπων Διαχείρισης Ασφάλειας BS7799 _______________ 143

4.5.2 Το πλαίσιο Διαχείρισης Επιχειρησιακών Κινδύνων COBIT____________ 155

4.6 Άξονας 2: Το πρότυπο Διαχείρισης ΠΣ CIM _________________________ 165

4.6.1 Εισαγωγή ____________________________________________________ 165

4.6.2 Προδιαγραφή του Μοντέλου CIM ________________________________ 166

4.6.3 CIM Μετα-Σχήμα (CIM Meta-Schema) ___________________________ 167

4.6.4 CIM Σχήμα (CIM Schema) _____________________________________ 168

4.6.5 MOF (Meta-Object Facility)_____________________________________ 174

4.7 Άξονας 3: Το Οντολογικό Μοντέλο Αναπαράστασης Γνώσης ____________ 177

4.7.1 Αναπαράσταση Γνώσης ________________________________________ 177

4.7.2 Σημασιολογικός Ιστός και Οντολογίες_____________________________ 178

4.8 Άξονας 4: Εξαγωγή Πληροφοριών και Έμπειρα Συστήματα_____________ 185

4.8.1 Εξαγωγή Πληροφοριών ________________________________________ 185

4.8.2 Έμπειρα Συστήματα ___________________________________________ 187

4.9 Πηγές Γνώσης περί Ασφάλειας ΠΣ _________________________________ 189

4.10 Η Συνολική Εικόνα και οι Φάσεις της Προσέγγισης ___________________ 191

4.11 Μέθοδοι, Τεχνικές και Εργαλεία ___________________________________ 195

4.11.1 Ο Επεξεργαστής Οντολογιών Protégé _____________________________ 198

4.11.2 Το Περιβάλλον GATE __________________________________________ 199

4.11.3 Το κέλυφος Έμπειρου Συστήματος JESS __________________________ 205

4.12 Σύνοψη________________________________________________________ 205

5 Οντολογία Ασφάλειας ______________________________________________ 207

5.1 Εισαγωγή ______________________________________________________ 207



Σελ. 11

5.2 Μέθοδοι, τεχνικές και εργαλεία ____________________________________ 210

5.3 Οντολογία Ασφάλειας – τυπικός ορισμός ____________________________ 211

5.4 Μοντελοποίηση Απαιτήσεων Ασφάλειας και Εννοιολογικά Μοντέλα ______ 216

5.5 Μεθοδολογία Ανάπτυξης _________________________________________ 217

5.5.1 Φάση 1: Εννοιολογικό μοντέλο ΟΑ _______________________________ 219

5.5.2 Φάση 2: Σχήμα Επέκτασης του μοντέλου CIM για ΔΑ _______________ 243

5.5.3 Φάση 3: Υλοποίηση της ΟΑ σε OWL______________________________ 252

5.5.4 Λογικά αξιώματα ασφάλειας για το μοντέλο ΟΑ του ISO/IEC 17799 ____ 254

5.5.5 Θέματα υλοποίησης των οντολογιών σε OWL ______________________ 259

5.6 Σύνοψη________________________________________________________ 261

6 Εξειδίκευση της Οντολογίας ISO/IEC 17799 για την Υλοποίηση των Αντιμέτρων

Ασφάλειας ___________________________________________________________ 263

6.1 Εισαγωγή ______________________________________________________ 263

6.2 Μέθοδοι, Εργαλεία και Τεχνικές ___________________________________ 264

6.3 Εξειδικευμένο μοντέλο ΟΑ ________________________________________ 265

6.4 Διαισθητική Ανάλυση και Αρχές Καθορισμού Αντιμέτρων ______________ 268

6.5 Μοντέλο Απαιτήσεων Ασφάλειας Αντιμέτρου_________________________ 271

6.6 Μεθοδολογία Καθορισμού Απαιτήσεων Ασφάλειας ΠΣ _________________ 276

6.7 Συμβάσεις για την Εξαγωγή των Απαιτήσεων Ασφάλειας _______________ 277

6.7.1 Συμβάσεις για τα δεδομένα εισόδου_______________________________ 278

6.7.2 Συμβάσεις για την Επεξεργασία των Δεδομένων Εισόδου _____________ 280

6.8 Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ ___ 281

6.9 Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας ______________ 285

6.9.1 Υλοποίηση Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας από Σχετικές Πηγές



Σελ. 12

Υψηλού Επιπέδου _____________________________________________________ 287

6.9.2 Λεκτική Ανάλυση των Αντιμέτρων Υψηλού Επιπέδου ________________ 289

6.9.3 Εκτέλεση και Προσδιορισμός Απαιτήσεων Ασφάλειας _______________ 293

6.9.4 Μελέτη περίπτωσης – Ιχνηλάτηση Δικτύου και Λεκτική Ανάλυση των

Αντιμέτρων __________________________________________________________ 299

6.9.5 Αξιολόγηση των Αποτελεσμάτων της Λεκτικής Ανάλυσης ____________ 301

6.10 Κριτική Ανασκόπηση της Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας____ 302

6.11 Σύνοψη________________________________________________________ 304

7 Τεχνικά Μέτρα Υλοποίησης _________________________________________ 307

7.1 Εισαγωγή ______________________________________________________ 307

7.2 Περιγραφή της Προσέγγισης ______________________________________ 308

7.3 Συμβάσεις για την Εξειδίκευση των Απαιτήσεων Ασφάλειας ____________ 309

7.4 Στάδια της Προσέγγισης__________________________________________ 310

7.5 Βασικές Αρχές της Αναπαράστασης των ΤΜΥ________________________ 312

7.5.1 Εξειδίκευση Απαιτήσεων Ασφάλειας – Επίπεδα_____________________ 317

7.6 Υποστηρικτικές Οντότητες________________________________________ 327

7.7 Φάσεις εξειδίκευσης των Τεχνικών Αντιμέτρων_______________________ 330

7.7.1 Μετάβαση από Απαιτήσεις Ασφάλειας σε Αντίμετρα_________________ 331

7.7.2 Μετάβαση από Αντίμετρα σε Ενέργειες____________________________ 333

7.7.3 Μετάβαση από Ενέργειες σε Υλοποιήσεις __________________________ 333

7.8 Μελέτη Περίπτωσης: Διασφάλιση Κρίσιμου Εξυπηρετητή ______________ 333

7.9 Σύνοψη________________________________________________________ 340

8 Σύνοψη, Συμπεράσματα και Κατευθύνσεις Περαιτέρω Έρευνας ___________ 343

8.1 Εισαγωγή ______________________________________________________ 343



Σελ. 13

8.2 Γενική Θεώρηση της Συνολικής Προσέγγισης ________________________ 343

8.3 Πλεονεκτήματα της Συνδυαστικής Προσέγγισης ______________________ 345

8.4 Διασφάλιση Ποιότητας και Τεχνικές Αξιολόγησης_____________________ 346

8.4.1 Μετρικές Αξιολόγησης της Εξαγωγής Σχετικών Εννοιών _____________ 346

8.4.2 Αξιολόγηση στο Περιβάλλον GATE _______________________________ 347

8.4.3 Αξιολόγηση από Ειδικούς Ασφάλειας _____________________________ 348

8.5 Σύνοψη του Προβλήματος και της Ερευνητικής Προσπάθειας___________ 349

8.5.1 Το Ερευνητικό Πρόβλημα ______________________________________ 349

8.5.2 Η Ερευνητική Προσπάθεια _____________________________________ 352

8.6 Συμβολή στο Γνωστικό Αντικείμενο ________________________________ 354

8.6.1 Αποτύπωση Εννοιολογικού Μοντέλου Αναφοράς της ΔΑΠΣ, Βασισμένου σε

ΟΑ 355

8.6.2 Προσδιορισμός του Μοντέλου των Απαιτήσεων Ασφάλειας ___________ 356

8.6.3 Προσδιορισμός του Μοντέλου των Τεχνικών Μέτρων Υλοποίησης _____ 357

8.7 Προτεινόμενη Περαιτέρω Έρευνα __________________________________ 358

8.7.1 Οντολογία Ασφάλειας __________________________________________ 359

8.7.2 Βάση ΤΜΥ ___________________________________________________ 361

8.7.3 Λειτουργικό Μοντέλο και Ενσωμάτωση με Άλλα Πλαίσια Διαχείρισης

Κινδύνων ΠΣ _________________________________________________________ 362

8.8 Επίλογος_______________________________________________________ 364

9 Αναφορές και Βιβλιογραφία _________________________________________ 367

9.1 Στην Αγγλική Γλώσσα____________________________________________ 367

9.2 Στην Ελληνική Γλώσσα __________________________________________ 399

Παράρτημα Ι – Οντολογίες κατά ISO/17799 που σχετίζονται με την ΑΕ _________ 402



Σελ. 14

Παράρτημα ΙΙ – Οντολογίες κατά COBIT που σχετίζονται με την ΑΕ ___________ 410

Παράρτημα ΙΙΙ – Ταξινομία Αντιμέτρων κατά CRAMM______________________ 421

Παράρτημα ΙV: Κώδικας Perl για επεξεργασία της εξόδου του nmap ___________ 425

Παράρτημα V: GATE __________________________________________________ 428

Παράρτημα VI: Σχήμα Βάσης Δεδομένων ΤΜΥ ____________________________ 435



Σελ. 15

ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ

Πίνακας 2.1: Συσχέτιση απειλών κατά της ασφάλειας και τεχνικών αντιμετώπισής τους

(Πηγή: [Μουλίνος, 2003])................................................................................................. 52

Πίνακας 2.2: Βασικές Περιοχές Ελέγχου ΠΣ (Πηγή: [Τσούμας, 2004]).......................... 62

Πίνακας 3.1: Τα Βασικά Μέρη ενός Κανόνα Πολιτικής ................................................ 103

Πίνακας 3.2: Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας Υψηλού Επιπέδου................. 129

Πίνακας 4.1: Θεματικές Ενότητες BS7799-1 ................................................................. 145

Πίνακας 4.2: Ορισμός κλάσεων και στιγμιοτύπων στη MOF ........................................ 176

Πίνακας 4.3: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες - εργαλεία ανά φάση .............. 196

Πίνακας 5.1: Οντολογία Ασφάλειας κατά ISO/IEC 17799 για την ΑΕ – Συσχετίσεις

Όρων ............................................................................................................................... 227

Πίνακας 5.2: Οντολογία Ασφάλειας κατά COBIT για την ΑΕ – Συσχετίσεις Όρων ..... 235

Πίνακας 5.3: Έννοιες της Ενοποιημένης Οντολογίας Ασφάλειας για την ΑΕ ............... 239

Πίνακας 5.4: Ενοποιημένη Οντολογία Ασφάλειας για την ΑΕ – Συσχετίσεις Όρων..... 241

Πίνακας 5.5: Ιδιότητες της κλάσης Αγαθό (Asset)......................................................... 249

Πίνακας 5.6: Ιδιότητες της κλάσης Απειλή (Threat) ...................................................... 251

Πίνακας 5.7: Ιδιότητες της κλάσης Ευπάθεια (Vulnerability)........................................ 251

Πίνακας 6.1: Απαιτήσεις Ασφάλειας Αντιμέτρου (Αντίμετρο)...................................... 273

Πίνακας 6.2: Αντιστοιχία πιθανών Στόχων - ΕΕΑ ......................................................... 296

Πίνακας 6.3: Αντιστοίχηση Αντιμέτρων με Αναγνωριστικά Λεκτικών Προτύπων

Αντιμέτρων...................................................................................................................... 298

Πίνακας 6.4: Δοθέν Αντίμετρο Εισόδου στη Λεκτική Ανάλυση.................................... 300

Πίνακας 6.5: Σύγκριση των Αποτελεσμάτων της Αυτόματης Εξαγωγής Απαιτήσεων

Ασφάλειας με την Ανθρώπινη Διερμηνεία ..................................................................... 300

Πίνακας 7.1: Ρήματα Περιγραφής Ημιτυπικών Απαιτήσεων Ασφαλείας ...................... 313

Πίνακας 7.2: Υποκείμενα για τη γλώσσα περιγραφής ημι-τυπικών απαιτήσεων

ασφαλείας........................................................................................................................ 315

Πίνακας 7.3: Στόχοι για τη Γλώσσα Περιγραφής Ημι-τυπικών Απαιτήσεων Ασφάλειας

......................................................................................................................................... 316



Σελ. 16

Πίνακας 7.4: Μοντέλο Μέτρων (Επίπεδο 1) .................................................................. 318

Πίνακας 7.5: Μοντέλο Ενεργειών................................................................................... 321

Πίνακας 7.6: Μοντέλο Υλοποιήσεων ............................................................................. 322

Πίνακας 7.7: Μοντέλο Πράξεων..................................................................................... 326

Πίνακας 7.8: Μοντέλο Στόχου ........................................................................................ 328

Πίνακας 7.9: Μοντέλο Προϋπόθεσης ............................................................................. 330

Πίνακας 7.10: Τύποι Γεγονότων για την μετάβαση από Απαιτήσεις Ασφάλειας σε

Αντίμετρα ........................................................................................................................ 331

Πίνακας 8.1: Συμβολή στο Γνωστικό Αντικείμενο ανά Κεφάλαιο / Ενότητα................ 354



Σελ. 17

ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ

Σχήμα 2.1: Οι Σχέσεις Μεταξύ Απειλών, Αδυναμιών και Αγαθών (Πηγή: [Γκρίτζαλης,

2005]) ................................................................................................................................ 50

Σχήμα 2.2: Οι Τρεις Άξονες της Διαχείρισης Επικινδυνότητας (Πηγή: [NIST SP 800-30,

2002]) ................................................................................................................................ 54

Σχήμα 2.3: Αλληλεξάρτηση των Διαστάσεων της Διαχείρισης Ασφάλειας (πηγή:

[Zuccato, 2005])................................................................................................................ 67

Σχήμα 2.4: Διαχείριση Ασφάλειας – Τρέχουσα Προσέγγιση ........................................... 73

Σχήμα 3.1. Ορολογία Temporal Logic (Πηγή: [Manna and Pnueli, 1992]) ..................... 80

Σχήμα 3.2. Εξειδίκευση Πολιτικών: Ευρύτητα Πεδίου Εφαρμογής και Επίπεδο

Αυτοματισμού ................................................................................................................... 86

Σχήμα 3.3: Το Μοντέλο στο [Lück and Krumm, 2003] ................................................... 96

Σχήμα 3.4: Το Μοντέλο Κλάσεων για τους Κανόνες Πολιτικών στο PCIM ................. 117

Σχήμα 3.5: Η αρχιτεκτονική του εργαλείου NLIPT (Πηγή: [Michael et al., 2001]) ...... 123

Σχήμα 4.1: Η διπλή Φύση των Αντιμέτρων Ασφάλειας ................................................. 138

Σχήμα 4.2: Απαιτήσεις και Υλοποιήσεις Μέτρων Ασφάλειας – Εννοιολογικό Μοντέλο

......................................................................................................................................... 140

Σχήμα 4.3: Μοντέλο Διεργασιών PDCA (Πηγή: [BSI-EN, 2002])................................ 152

Σχήμα 4.4: Μοντέλο PDCA – Μέρη Διεργασιών Πληροφορικής (Πηγή: [BSI-EN, 2002])

......................................................................................................................................... 153

Σχήμα 4.5: Σχέσεις Μεταξύ των Βασικών Εννοιών Ασφάλειας στην Οικογένεια BS7799

(Πηγή: [AS/NZS 4360, 1999])........................................................................................ 155

Σχήμα 4.6: Η Αρχιτεκτονική του Σημασιολογικού Ιστού κατά Berners-Lee................. 182

Σχήμα 4.7: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες – Ολική Προσέγγιση................. 195

Σχήμα 5.1:Φάσεις Μεθοδολογίας Ανάπτυξης Οντολογίας Ασφάλειας.......................... 219

Σχήμα 5.2: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά ISO/IEC 17799: Αγαθό . 225

Σχήμα 5.3: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά ISO/IEC 17799: Απειλή 226

Σχήμα 5.4: Οντολογία Ασφάλειας κατά ISO/IEC 17799 για την ΑΕ............................. 226

Σχήμα 5.5: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά COBIT: Πόρος



Σελ. 18

Πληροφορικής (IT Resource) ......................................................................................... 233

Σχήμα 5.6: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά COBIT: Έλεγχος (Control)

......................................................................................................................................... 234

Σχήμα 5.7: Οντολογία Ασφάλειας κατά COBIT (διεργασία PO9) για την ΑΕ .............. 235

Σχήμα 5.8: Ενοποιημένο Εννοιολογικό Μοντέλο Οντολογίας Ασφάλειας για την ΑΕ . 239

Σχήμα 5.9: Μοντελοποίηση ΠΣ (“IS”) κατά CIM.......................................................... 245

Σχήμα 5.10: Μοντελοποίηση ασφάλειας ΠΣ με Βάση το CIM – Σύνδεση με τη CIM

Μοντελοποίηση του ΠΣ .................................................................................................. 246

Σχήμα 5.11: Σύνδεση των Μοντέλων ΟΑ με το CIM .................................................... 248

Σχήμα 5.12: Οντολογία Ασφάλειας κατά ISO/IEC 17799 για την ΑΕ / Ιδιότητες......... 249

Σχήμα 5.13: Σχέσεις Μεταξύ των Ιδιοτήτων Ασφάλειας (Πηγή: [NIST SP 800-33, 2001])

......................................................................................................................................... 256

Σχήμα 6.1: Οντολογία Ασφάλειας για την Υλοποίηση των Αντιμέτρων ....................... 266

Σχήμα 6.2: ΟΑ για την υλοποίηση των αντιμέτρων – σύνδεση με το CIM και ιδιότητες

......................................................................................................................................... 267

Σχήμα 6.3: Απειλές και Αντίμετρα για ένα Αγαθό. ........................................................ 276

Σχήμα 6.4: Σχέση Αγαθών ΠΣ, Απειλές και Αντίμετρα ................................................. 279

Σχήμα 6.5: Δοκιμαστικό Δίκτυο ..................................................................................... 299

Σχήμα 7.1: Εξειδίκευση Αντιμέτρων - Δένδρο Εφαρμόσιμων Αντιμέτρων ................... 312

Σχήμα 8.1: Διαχείριση Ασφάλειας – Τρέχουσα Προσέγγιση ......................................... 351



Σελ. 19

ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ

Εικόνα 4.1: Τα Συστατικά Μέρη του COBIT................................................................. 157

Εικόνα 4.2 - COBIT - Σκοποί και Τομείς Ελέγχου......................................................... 161

Εικόνα 4.3: Αναπαράσταση Μοντέλου CIM με UML ................................................... 166

Εικόνα 4.4: Το Μετα-Σχήμα του CIM............................................................................ 167

Εικόνα 4.5 - Επίπεδα Μοντέλου CIM............................................................................. 168

Εικόνα 4.6: Τα Κοινά Μοντέλα του CIM....................................................................... 169

Εικόνα 4.7: Μια ταξινόμηση των Πηγών Γνώσης Ασφάλειας (Πηγή: [Tsoumas et al.,

2005] ) ............................................................................................................................. 190

Εικόνα 5.1: Οντολογία Ασφάλειας κατά ISO/IEC 17799 .............................................. 253

Εικόνα 5.2: Οντολογία Ασφάλειας κατά COBIT ........................................................... 254

Εικόνα 6.1: ΟΑ για την Υλοποίηση των Αντιμέτρων – Υλοποίηση σε Protégé (μερική

άποψη)............................................................................................................................. 268

Εικόνα 6.2: Σύνδεση Απειλών και Αντιμέτρων σε επίπεδο Αγαθού .............................. 276

Εικόνα 6.3: Έξοδος Λογισμικού Ανίχνευσης Δικτύου ................................................... 281

Εικόνα 6.4: nmap – Ιχνηλάτηση Δικτύου – Στοιχεία Πόρου.......................................... 283

Εικόνα 6.5: Ανίχνευση με nmap - Έξοδος σε XML για τον Πόρο 192.168.0.13 (μερική

παράθεση) ....................................................................................................................... 283

Εικόνα 6.6: Επεξεργασία Εξόδου nmap - Τεχνικά Χαρακτηριστικά του Πόρου

192.168.0.13.................................................................................................................... 284

Εικόνα 6.7: Γραφική Απεικόνιση της Οντολογίας Ασφάλειας....................................... 288

Εικόνα 6.8: Εντοπισμός ιδιότητας «Κατηγοριοποίηση Αντιμέτρου» (CM_Group/

CM_SubGroup)............................................................................................................... 295

Εικόνα 6.9: Εντοπισμός Ιδιότητας «Στόχος Αντιμέτρου» (Target) ................................ 297

Εικόνα 6.10: Εντοπισμός του Λεκτικού Προτύπου του Αντίμετρου.............................. 298

Εικόνα 7.1: Το Δίκτυο Rete του Κανόνα make-SECUREACmatch (JESS) .................. 339

Εικόνα 7.2: Εξειδίκευση Αντιμέτρων για τη Μελέτη Περίπτωσης ................................ 340



Σελ. 21

ΔΗΜΟΣΙΕΥΣΕΙΣ

Η μέχρι στιγμής έρευνα του κ. Τσούμα που σχετίζεται με την παρούσα διατριβή έχει

αποφέρει τις εξής δημοσιεύσεις:

Δημοσιεύσεις σε διεθνή επιστημονικά περιοδικά με το σύστημα των κριτών

1. Gymnopoulos L., Tsoumas V., Soupionis I., Gritzalis S. (2005). “A generic Grid

security policy reconciliation framework”. In Internet Research: Electronic

Networking Applications and Policy, Vol. 15, No. 5. (January 2005), pp. 508-517.

2. Moulinos K., Iliadis J., Tsoumas V. (2004). “Towards Secure Sealing of Privacy

Policies”. In Information Management & Computer Security journal, Volume 12,

No 4, MCB University Press, August 2004, selected as a Highly Commented

Paper at the Literati Club Awards for Excellence 2005.

3. Tsoumas V., Tryfonas Τ. (2004). “From risk analysis to effective security

management: Towards an automated approach”, Information Management &

Computer Security journal, Vol. 12, No 1, 2004, selected as a Highly Commented

Paper at the Literati Club Awards for Excellence 2005.

Εργασίες σε διεθνή συνέδρια με το σύστημα των κριτών

1. Tripodianos Ch., Tsoumas, B., Gritzalis, D. (2007). “A Database of Technical

Countermeasures and Refinement Techniques: A rule-based approach”,

Information Security and Critical Infrastructure Protection Research Group,

Athens University of Economics and Business, Dept. of Informatics, January

2007 (submitted).

2. Tripodianos Ch., Tsoumas, B., Gritzalis, D. (2006). “A Database of Technical

Countermeasures and Refinement Techniques: A rule-based approach”, Technical

Report, Information Security and Critical Infrastructure Protection Research

Group, Athens University of Economics and Business, Dept. of Informatics,



Σελ. 22

September 2006.

3. Tsoumas, B., Papagiannakopoulos, P., Dritsas, S., Gritzalis, D. (2006). “Security-

by-Ontology: A knowledge-centric approach”. In IFIP International Information

Security Conference, Karlstad, Sweden, 22-24 May 2006.

4. Tsoumas B., Gritzalis, D. (2006). “Towards an Ontology-based Security

Management”, AINA 2006, The IEEE 20th International Conference on

Advanced Information Networking and Applications, April 18 – 20, 2006, Vienna

University of Technology, Vienna, Austria.

5. Tsoumas B., Dritsas S., Gritzalis D. (2005). “An ontology-based approach to

information system security management”. In Third International Workshop

"Mathematical Methods, Models and Architectures for Computer Networks

Security" (MMM_ACNS-05), September 24-28, 2005, St. Petersburg, Russia.

6. Gymnopoulos L., Tsoumas V., Soupionis J., Gritzalis S. (2005). “Enhancing

Security Policy Negotiation in the GRID". In Proceedings of the INC'2005 5th

International Network Conference, S. Furnell and S. K. Katsikas (Eds.), July

2005, Samos, Greece, published by University of Plymouth.

7. Gritzalis, D. and Tsoumas, V. “Assurance-by-ontology: An introduction and a

paradigm proposal”. In NATO ARW on Information Security Assurance and

Security, June 3-4 2005, Tetuan, Morocco.

8. Lambrinoudakis C., Kokolakis, S., Karyda M, Tsoumas V., Gritzalis, D.,

Katsikas, S. (2003). “Electronic Voting Systems: Security Implications of the

Administrative Workflow”, DEXA 2003 (TRUSTBUS workshop), Sep. 2003,

Prague.

9. Lambrinoudakis C., Tsoumas V., Karyda M, Gritzalis, D., Katsikas, S. (2003).

“Electronic Voting Systems: The Impact of System Actors to the Overall Security

Level”, 18th IFIP International Information Security Conference, May 2003,

Athens, Greece.

Συμμετοχή σε Συλλογικούς Τόμους Ασφάλειας

1. Gritzalis, D., Tsoumas, V., “An assurance-by-ontology paradigm proposal:



Σελ. 23

Elements of security knowledge management”. In Information Assurance and

Computer Security (NATO Security through Science Series: Information and

Communication Security, Vol. 6), pp. 15-30, Johnson T., et al. (Eds.), IOS Press,

2006.

2. Τσούμας, Β. (2004). «Ελεγκτική Πληροφοριακών Συστημάτων» (Κεφ. 13) στο

Κάτσικας, Σ., Γκρίτζαλης, Δ. & Γκρίτζαλης, Σ. 2004 (επιμέλεια) Ασφάλεια

Πληροφοριακών Συστημάτων, Αθήνα, σελ. 422 – 429

3. Lambrinoudakis C., Tsoumas V., Karyda M., Ikonomopoulos S., “Secure e-

Voting: The Current Landscape”, στο βιβλίο Secure Electronic Voting: Trends

and Perspectives, Capabilities and Limitations, D. Gritzalis (Ed.), Kluwer

Academic Publishers, 2002.



Σελ. 25

Never send a human to do a machine's job.

~ Agent Smith, The Matrix

1 Εισαγωγή

1.1 Πληροφορική και Διαχείριση Ασφάλειας ΠΣ

Με την ολοένα και μεγαλύτερη διείσδυση των Τεχνολογιών Πληροφοριών και

Επικοινωνιών (ΤΠΕ) στην καθημερινή μας ζωή, είμαστε μάρτυρες της σημαντικότερης

ειρηνικής επανάστασης στην καταγεγραμμένη ιστορία του ανθρώπινου γένους: παρά το

γεγονός ότι οι απόψεις σχετικά με την πρέπουσα χρήση των ΤΠΕ διίστανται και

καλύπτουν ένα ευρύ φάσμα από την «…πλήρη δαιμονοποίηση της τεχνολογίας

πληροφορικής μέχρι την προσδοκία της "κοινωνίας της αφθονίας", όπου οι νοήμονες

μηχανές θα απαλλάξουν τον άνθρωπο από τη δουλεία της εργασίας» [Μουλίνος, 2003],

είναι γεγονός ότι η έλευση και εν πολλοίς ενσωμάτωση των ΤΠΕ στις καθημερινές μας

δραστηριότητες διαθέτει κάποια ποιοτικά χαρακτηριστικά που επηρεάζουν άμεσα την

καθημερινή μας ζωή: α) αφορά όλες τις πτυχές της ζωής του ανθρώπου, β)

πραγματοποιείται με μεγάλη ταχύτητα και γ) τείνει να γίνει διαφανής (transparent), αφού

συνήθως ενσωματώνεται στις καθημερινές δραστηριότητές μας με τη μικρότερη δυνατή



Σελ. 26

εμπλοκή του τελικού χρήστη.

Είναι γεγονός ότι η προσαρμοστικότητα του ανθρώπου σε αυτή την καταιγιστική

διαδικασία ποικίλλει, αφού μια μερίδα βιώνει ένα πολιτισμικό σοκ [Toffler, 1991] σε

διαφορετικό βαθμό έντασης, ενώ άλλοι προσαρμόζονται ηπιότερα στη νέα κατάσταση·

σε κάθε περίπτωση, εκ φύσεως ο άνθρωπος δεν αποδέχεται κάτι καινούργιο χωρίς

αντίδραση στην επικείμενη αλλαγή [DeMarco and Lister, 1999]. Συμπληρωματικά στην

ενσωμάτωση αυτή καθ’ αυτή, υπάρχει έντονος προβληματισμός σχετικά με την ορθή

χρήση των ΤΠΕ, τόσον όσο αφορά τη χρήση τους για σκοπούς που προάγουν την ειρήνη

και το επίπεδο ζωής των κατοίκων του πλανήτη, όσο και για την ενδεχόμενη αδυναμία

προστασίας της προσωπικής ζωής του ατόμου [Μουλίνος, 2003]. Οι δυνατότητες

επεξεργασίας, μετάδοσης, αναζήτησης και συνδυασμού πληροφοριών που παρέχουν τα

σύγχρονα πληροφοριακά συστήματα με ολοένα και μικρότερο κόστος, επιτείνει αυτούς

τους προβληματισμούς [EFF, 2006], [CDT, 2006].

Σε αυτό το ευρύτατα ευέλικτο, μεταβαλλόμενο και ανταγωνιστικό περιβάλλον τα

πληροφοριακά συστήματα των μοντέρνων οργανισμών ακολουθούν τις τάσεις της

τεχνολογίας: εκτεταμένες δυνατότητες πρόσβασης, νέα υπολογιστικά μοντέλα

(paradigms), αυξανόμενη εξωστρέφεια παραδοσιακά «κλειστών» υπολογιστικών

συστημάτων (όπως τα mainframes), σύμπλεξη και ομογενοποίηση των επιχειρησιακών

λειτουργιών με ολιστικά πληροφοριακά συστήματα που υποστηρίζουν κάθε πτυχή των

επιχειρησιακών διαδικασιών (όπως τα συστήματα Enterprise Resource Planning, ERPs),

αύξηση της υπολογιστικής δύναμης των προσωπικών υπολογιστών και σταθμών

εργασίας σε συνδυασμό με τη συνεχή σύνδεση στο Διαδίκτυο, σύμπλευση των

τηλεπικοινωνιών με τις ΤΠΕ, νέες εφαρμογές που στοχεύουν στην απόκτηση ή/και

διατήρηση του ανταγωνιστικού πλεονεκτήματος, εκτεταμένες δυνατότητες

πληροφόρησης και λήψης αποφάσεων· είναι σαφές ότι η εκτεταμένη χρήση των νέων

τεχνολογιών έχει φέρει τρομακτικές αλλαγές στον τρόπο ζωής του ανθρώπου,

παρέχοντας σχεδόν απεριόριστες δυνατότητες αλλά και εγκυμονώντας σημαντικούς

κινδύνους, οι οποίοι δεν είναι πάντοτε αντιληπτοί από τις εμπλεκόμενες οντότητες.



Σελ. 27

Πιστεύουμε ότι η μόνη εφικτή λύση είναι η έλλογη δράση, με την έννοια της κατανόησης

τόσο των δυνατοτήτων όσο και των εν δυνάμει κινδύνων. Η Διαχείριση Ασφάλειας

Πληροφοριακών Συστημάτων (ΠΣ)1 σε εννοιολογικό επίπεδο δεν διαφέρει σε τίποτα από

την επένδυση σε συγκεκριμένες μετοχές του χρηματιστηρίου2 με το λεγόμενο «υψηλό

βαθμό κινδύνου»: ο επενδυτής, ανάλογα με τις γνώσεις που διαθέτει και το ιστορικό της

μετοχής, το γενικότερο περιβάλλον και τη χωροχρονική συγκυρία, καταλήγει σε κάποιες

αποφάσεις που μπορούν να συνοψιστούν στην εξής φράση:

«Η πλήρης εξάλειψη της πραγματοποίησης των εν δυνάμει κινδύνων είναι αδύνατη· το

ζητούμενο είναι η ρεαλιστική διαχείριση των κινδύνων με αποδεκτό κόστος».

Η ίδια τακτική στη βασική της έκφανση χρησιμοποιείται από πληθώρα οντοτήτων

διαφορετικού διαμετρήματος, σκοπού ύπαρξης και μορφής, από τους

χρηματοπιστωτικούς οργανισμούς κατά την επιλογή των χαρτοφυλακίων τους, έως ένα

νήπιο που ετοιμάζεται να περάσει ένα ρυάκι χωρίς να βραχεί. Με αυτή την οπτική

λοιπόν, η διαχείριση κινδύνων είναι έμφυτη στην ανθρώπινη φύση και συνδέεται άμεσα

με το ένστικτο της αυτοσυντήρησης: είναι ενδιαφέρον να παρατηρήσει κανείς ότι στον

ψηφιακό κόσμο των ΤΠΕ, η επίδραση (impact) της πραγματοποίησης των εν δυνάμει

υφιστάμενων κινδύνων συνήθως απέχει κάποιες τάξεις μεγέθους από την αντίστοιχη

επίδραση της πραγματοποίησης των εν δυνάμει κινδύνων σε ένα χειρογραφικό

πληροφοριακό σύστημα – ο αναγνώστης μπορεί να θεωρήσει σαν αντιπροσωπευτικό

παράδειγμα την περίπτωση της απάτης σε ένα σύστημα ηλεκτρονικής ψηφοφορίας

1 Σύμφωνα με το πρότυπο [ISO 13335-1, 1996] ο σκοπός της ”Διαχείρισης Ασφάλειας ΤΠΕ” είναι ο

εντοπισμός των απαιτήσεων ασφάλειας και η χρήση τους στην υλοποίηση και καθημερινή διαχείριση του

συστήματος. Όπως ορίζεται στο πρότυπο, είναι σημαντική η χρήση μιας συστηματικής προσέγγισης για

την επίτευξη αυτού του σκοπού. 2 Με δεδομένο ότι και οι δύο περιοχές (Διαχείριση Ασφάλειας ΠΣ και χρηματιστηριακές συναλλαγές) είναι

χαοτικές λόγω του εξαιρετικά μεγάλου αριθμού παραγόντων που επηρεάζουν τα γεγονότα και των μεταξύ

τους πολύπλοκων διασυνδέσεων.



Σελ. 28

ευρείας κλίμακας που χρησιμοποιεί το διαδίκτυο, σε αντιδιαστολή με το παραδοσιακό

σύστημα εκλογών που χρησιμοποιεί τις κλασσικές ομάδες εφορευτικών επιτροπών:

πιθανή διείσδυση στο υπολογιστικό σύστημα της ηλεκτρονικής ψηφοφορίας είναι πιθανό

να αποφέρει αισθητή αλλαγή στο εκλογικό αποτέλεσμα, την ώρα που επίδραση ίδιας

κλίμακας στο παραδοσιακό σύστημα θα απαιτούσε μια συντονισμένη λαθροχειρία από

ένα σεβαστό αριθμό ατόμων. Συμπληρωματικά στο προηγούμενο παράδειγμα, η

παρέμβαση στο ηλεκτρονικό σύστημα είναι πιθανό να μην απαιτεί τη φυσική παρουσία

του εισβολέα, ενώ αυτός ο περιορισμός υφίσταται στο παραδοσιακό σύστημα, κάνοντας

πιο δύσκολη την πραγματοποίηση της χειραγώγησης του εκλογικού αποτελέσματος

[Lambrinoudakis et al., 2002], [Lambrinoudakis et al., 2003a]. Ο ακριβής καθορισμός

της σειράς των επιτρεπτών πράξεων (action workflow) από τους διαχειριστές ενός

τέτοιου κρίσιμου συστήματος είναι ένα ενεργό ερευνητικό αντικείμενο [Lambrinoudakis

et al., 2003b] λόγω της καταλυτικής επίδρασης των προνομιούχων χρηστών στη

λειτουργία του. Από αυτό το μικρό παράδειγμα συνάγεται το συμπέρασμα ότι η

πραγματοποίηση των απειλών στα συστήματα που κάνουν χρήση ΤΠΕ συγκριτικά με τα

παραδοσιακά / χειροκίνητα συστήματα πληροφοριών είναι σχετικά ανεξάρτητη από α)

τον αριθμό των εισβολέων και β) τη φυσική παρουσία των εισβολέων, παράγοντες που

επιτείνουν τη σημασία της αποτελεσματικής και αποδοτικής διαχείρισης ασφάλειας.

Ο στόχος αυτής της διατριβής είναι διττός: α) η έρευνα γύρω από τη γνώση ασφάλειας

που είναι διαθέσιμη από διαφορετικές πηγές και ο τρόπος με τον οποίο αυτή η γνώση

αξιοποιείται, και β) η έρευνα γύρω από την αποτελεσματική και αποδοτική διαχείριση

ασφάλειας του ΠΣ, που υποστηρίζουν την εύρυθμη λειτουργία του και την επίτευξη των

στόχων του. Αυτές οι δύο περιοχές αποτελούν και το ερευνητικό αντικείμενο της

διατριβής.

Είναι πεποίθηση του γράφοντος ότι η αποτελεσματική και αποδοτική διαχείριση

ασφάλειας είναι η βέλτιστη λύση στα θέματα ασφάλειας αφού μπορεί να μειώσει την

αβεβαιότητα και να επιλύσει την αντίφαση που προέρχεται από ελλιπή επίγνωση (και

κάποιες φορές υποτίμηση) των θεμάτων ασφάλειας. Μια επιτυχής και αποτελεσματική

διαχείριση ασφάλειας ΠΣ θα βελτιώσει (πιθανώς) τα ισχύοντα επιχειρησιακά μοντέλα

και θα εμφυσήσει ένα αίσθημα ασφάλειας στον τελικό καταναλωτή τόσο στον άμεσα

ορατό, όσο και στον μακροπρόθεσμο ορίζοντα.



Σελ. 29

1.2 Αφορμή και Κίνητρα για την Παρούσα Έρευνα

Η διαχείριση ασφάλειας ΠΣ είναι ένα πολύπλοκο πεδίο, που καλύπτει ένα ευρύ φάσμα

δραστηριοτήτων που σχετίζονται με τα συστατικά στοιχεία ενός ΠΣ [Κιουντούζης,

1995]. Τα κυριότερα προβλήματα τα οποία αντιμετωπίζει η διοίκηση ενός οργανισμού

είναι τα εξής [Wilson et al., 1992]:

Ø Η μεγάλη συμπλοκότητα των ΠΣ που περιλαμβάνουν πολλές συνιστώσες

διαφορετικής φύσης όπως το υλικό, το λογισμικό, το ανθρώπινο δυναμικό, κλπ.,

Ø Η δυσκολία ελέγχου της ροής και της πρόσβασης στα δεδομένα από τα μέλη μιας

κοινότητας χρηστών,

Ø Η δυσκολία διαπίστωσης πολλών περιστατικών παραβίασης της ασφάλειας (λ.χ. η

παραβίαση της ακεραιότητας ή της ιδιωτικότητας των πληροφοριών),

Ø Η δυσκολία της αξιολόγησης και αποτίμησης των περιστατικών παραβίασης της

ασφάλειας, ώστε να αξιολογηθούν έναντι του κόστους της υλοποίησης και

εφαρμογής των μέτρων προστασίας,

Ø Το μέγεθος των ΠΣ, που συχνά στους σύγχρονους οργανισμούς καλύπτουν όλο το

εύρος των δραστηριοτήτων τους.

Η ασφάλεια των ΠΣ γενικά, αποτελεί ένα αδόμητο πρόβλημα για τη διοίκηση, με

αποτέλεσμα να μην έχει στη διάθεσή της έτοιμες εκ των προτέρων λύσεις: η τρέχουσα

πρακτική είναι η θέσπιση ενός πλαισίου διαχείρισης ασφάλειας ΠΣ, το οποίο (τελικά, και

εκτός των άλλων) μεταφράζεται σε μια σειρά από συνδυαστικά αντίμετρα

(countermeasures) τα οποία μειώνουν την έκθεση στον κίνδυνο σε αποδεκτά επίπεδα.

Παρά τη (γενική) παραδοχή τόσο από τον ακαδημαϊκό χώρο όσο και από ειδικούς

ασφάλειας για τη σημασία των πλαισίων και πολιτικών ασφάλειας στην προστασία των

ΠΣ των οργανισμών, η αποτελεσματικότητα της εφαρμογής πολιτικών ασφάλειας με την

παρούσα μορφή τους αμφισβητείται από πολλούς ερευνητές [Wood C., 2000], [Höne and

Eloff, 2002].

Η εμπειρία έχει δείξει ότι τα εν λόγω πλαίσια διαχείρισης ασφάλειας σπάνια εξαντλούν

τις θεωρητικές δυνατότητές τους και συχνά αποτυγχάνουν (όπως αποτυπώνεται σε

έρευνες τόσο σχετικά με τις κυρίαρχες τάσεις στην ασφάλεια πληροφοριών [Ernst &

Young, 2005], όσο και σχετικά με ρήγματα ασφάλειας [Gordon et al., 2004], [DTI and



Σελ. 30

Coopers, 2002] και [DTI, 2000]). Όλες οι έρευνες υπογραμμίζουν ότι, παρά το γεγονός

ότι οι οργανισμοί σε επίπεδο διοίκησης αναγνωρίζουν την ανάγκη για ασφάλεια, υπάρχει

έλλειψη από επαρκείς μεθοδολογίες και προσεγγίσεις για τη βελτίωση του υπάρχοντος

επιπέδου ασφάλειας των ΠΣ μέσω αποτελεσματικής υλοποίησης των υψηλού επιπέδου

πολιτικών ασφάλειας σε εφαρμοστέες πρακτικές.

Περαιτέρω, είναι φανερό ότι η διαχείριση ασφάλειας θα πρέπει να προβλέπει κάτι

παραπάνω από την εφαρμογή των τεχνικών λεπτομερειών της υλοποίησης των μέτρων:

τόσο οι ερευνητικές προσπάθειες όσο και η εμπειρία καταδεικνύουν ότι μια πλειάδα

διαστάσεων (ολιστικές θεωρήσεις, [Gerber and von Solms, 2005]) θα πρέπει να ληφθούν

υπ’ όψη για την επιτυχή υλοποίηση της διαχείρισης ασφάλειας ΠΣ. Όπως αναλύεται στα

επόμενα (βλ. ενότητα 2.5 και Κεφάλαιο 3), υπάρχει μια πληθώρα από (de facto / de jure)

προσεγγίσεις διαχείρισης ασφάλειας (τόσο σε επίπεδο γενικού πλαισίου, όσο και σε

επίπεδο υλοποίησης και εφαρμογής), οι οποίες όμως πάσχουν από τη μη αποτελεσματική

και αποδοτική εκμετάλλευση των πληροφοριών ασφάλειας οι οποίες παρέχονται από το

ίδιο το περιβάλλον του ΠΣ, όσο και από άλλες σχετικές πηγές πληροφοριών. Με αυτή

την οπτική, θεωρούμε ότι είναι απαραίτητη μια νέα προσέγγιση στο θέμα της διαχείρισης

ασφάλειας ΠΣ, η οποία θα εκμεταλλεύεται αποτελεσματικά και αποδοτικά όλες τις πηγές

πληροφορίας περί ασφάλειας που είναι διαθέσιμες.

Πιο συγκεκριμένα, αφορμή για την παρούσα έρευνα έδωσαν οι παρακάτω διαπιστώσεις:

Α/Α Διαπίστωση – Ερευνητική Αφετηρία

I. Η σύνδεση των αποτελεσμάτων της ΑΕ με τα τελικώς εφαρμοστέα μέτρα

ασφάλειας είναι συνήθως ανεπαρκής ή/και αποσπασματική και δεν εξαρτάται από

τον ειδικό επιστήμονα που εκπόνησε την ΑΕ.

II. Τυχόν επαναχρησιμοποίηση των διαθέσιμων πληροφοριών, καθώς και της υπάρ-

χουσας γνώσης της σχετικής με την ασφάλεια, για την επίτευξη και διατήρηση

ενός επαρκούς επιπέδου ασφάλειας του ΠΣ είναι δυσχερής.

III. Η αξιοποίηση των ποικίλλων και συνήθως ανομοιογενών πηγών πληροφοριών

περί την ασφάλεια δεν μπορεί να γίνει μεθοδικά και βασίζεται σε ad hoc



Σελ. 31

Α/Α Διαπίστωση – Ερευνητική Αφετηρία

διαδικασίες.

IV. Η “αντικειμενική” κατανόηση των απαιτήσεων ασφάλειας από τον ειδικό επιστή-

μονα, ο οποίος καλείται να μεταφράσει τις απαιτήσεις ασφάλειας σε εφαρμόσιμα

μέτρα ασφάλειας, δεν εδράζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις.

V. Η σύνδεση μεταξύ των ελεγκτικών διαδικασιών (που αφορούν την αποτελεσματι-

κότητα της εφαρμογής των αναγκαίων μέτρων ασφάλειας), με τις ίδιες τις

απαιτήσεις ασφάλειας, συνήθως γίνεται με βάση ad hoc τεχνικές.

VI. Η φύση της ΔΑΠΣ είναι εγγενώς κοστοβόρα και χρονοβόρα και, παράλληλα, η εν-

σωμάτωση μετρικών (metrics) αποτελεσματικότητάς της (ROI vs. ROSI) στη δια-

δικασία διασφάλισης του ΠΣ είναι δυσχερής.

Στην επόμενη ενότητα ακολουθούν εκτενέστερες περιγραφές των αντίστοιχων

ερευνητικών διαπιστώσεων.

I. Αυτή ήταν και η γενεσιουργός αιτία του ερευνητικού προβληματισμού: μια τυπική

προσέγγιση στο θέμα της διασφάλισης και προστασίας των ΠΣ είναι η κατ’ αρχήν

διεξαγωγή μιας άσκησης Ανάλυσης Επικινδυνότητας (ΑΕ), η οποία αποτιμά τα

πληροφοριακά αγαθά του οργανισμού, εντοπίζει τους κινδύνους και τις αδυναμίες και

προτείνει μέτρα μείωσης του κινδύνου σε αποδεκτά επίπεδα. Η τυπική έξοδος της ΑΕ

είναι μια σειρά από αντίμετρα / συστάσεις υψηλού επιπέδου, κατάλληλα για μια

γενική διατύπωση των απαιτήσεων που είναι ανεξάρτητες από υλοποιήσεις και

τεχνολογίες· αυτή η προσέγγιση βελτιώνει την επαναχρησιμοποίηση των απαιτήσεων

των αντιμέτρων, αλλά βοηθά πολύ λίγο τον ειδικό ασφάλειας. Περαιτέρω, δεν

υπάρχει μια συγκεκριμένη μέθοδος για την τεχνοδιαμόρφωση τεχνολογικών

υποδομών οι οποίες συσχετίζονται και/ή αλληλοεξαρτώνται.

II. Η γνώση σχετικά με την ασφάλεια του ΠΣ που έχει συσσωρευτεί τόσο κατά τη

διάρκεια της ΑΕ όσο και από άλλες πηγές γνώσης ασφάλειας, δεν αξιοποιείται με ένα



Σελ. 32

συστηματικό τρόπο για την επίτευξη και διατήρηση ενός επαρκούς επιπέδου

ασφάλειας του ΠΣ.

III. Ένας (σοβαρός) λόγος για τη μη αποτελεσματική αξιοποίηση της εν λόγω γνώσης

είναι η ανομοιογένεια, η απουσία συγκεκριμένης δομής και οι διαφορετικές μορφές

που μπορεί να λάβει αυτή η γνώση, μη παραλειπόμενης της έλλειψης αναπαράστασης

σε ηλεκτρονική μορφή [Agentcities D3.4, 2003]. Ενδεικτικά, τέτοιες πηγές

πληροφορίας αποτελούν οι συστάσεις υψηλού επιπέδου, τα τεχνικά δελτία ασφάλειας

των κατασκευαστών (security advisories) και οι σχετικές λίστες ηλ. Ταχυδρομείου.

Επιπρόσθετα, κάθε τέτοια πηγή πληροφοριών έχει κάποια ιδιαίτερα γνωρίσματα,

όπως διαφορετικό ακροατήριο που απευθύνεται, διακριτό επίπεδο λεπτομέρειας,

έλλειψη κοινά αποδεκτής δομής, έλλειψη κοινά αποδεκτής ταξινόμησης και

αποδεκτής αποτίμησης / «βαθμολογίας» όσον αφορά την ποιότητα των πληροφοριών,

κλπ.

IV. Η διερμηνεία των απαιτήσεων ασφάλειας γίνεται συνήθως από κάποιον ειδικό

ασφάλειας, ο οποίος καλείται να υλοποιήσει τα αντίμετρα – έξοδο της ΑΕ. Η

εμπειρία δείχνει ότι οι διερμηνείες των ειδικών διαφέρουν μεταξύ τους τόσο, ώστε οι

βέλτιστες λύσεις να μην εφαρμόζονται πάντα και να επαφίεται η ασφάλεια του ΠΣ

στην εξειδίκευση (τελικά) του ειδικού-υλοποιητή χωρίς να εδράζεται σε επαρκώς

ορισμένες θεωρητικές προσεγγίσεις. Οι τελευταίοι υπόκεινται τόσο στους

περιορισμούς των γνώσεών τους, όσο και σε προσωπικές προτιμήσεις. Επιπρόσθετα,

η παρουσία ενός αριθμού οντοτήτων με νόμιμο ενδιαφέρον για την επίτευξη των

επιχειρησιακών στόχων του ΠΣ (stakeholders) οι οποίες δεν κατανοούν πλήρως την

πολυπλοκότητα και την αλληλεπίδραση των συνιστωσών ενός ΠΣ συμβάλλει στην

δυσκολία επικοινωνίας και συμφωνίας σε μια κοινή ορολογία σχετικά με την

λειτουργική διαχείριση κινδύνων ΠΣ· σαν αποτέλεσμα, είναι πιθανή η παρερμηνεία

των απαιτήσεων ασφάλειας και η καλλιέργεια μιας ψευδούς αντίληψης για το

πραγματικό επίπεδο ασφάλειας των ΠΣ (false sense of security).

V. Μετά την εφαρμογή των μέτρων, είναι απαραίτητος ο έλεγχος της

αποτελεσματικότητάς τους· μέχρι σήμερα, η φάση της αξιολόγησης της εφαρμογής

των μέτρων γίνεται με βάση ad hoc, χρονοβόρες και επιρρεπείς σε λάθη τεχνικές που

δεν έχουν υποστηριχτεί αποτελεσματικά από κάποια αυτοματοποιημένη διαδικασία



Σελ. 33

όπως η παραγωγή ελεγκτικών προγραμμάτων που συνδέονται με τις απαιτήσεις

ασφάλειας.

VI. Όλα τα παραπάνω συνάδουν στο να αναδεικνύεται η Διαχείριση Ασφάλειας ΠΣ σαν

μια δύσκολη διαδικασία τόσο σχετικά με τους απαιτούμενους πόρους (κόστος και

χρόνος), όσο και σχετικά με την αποδοχή από τη Διοίκηση, που έχει μάθει να

σκέφτεται και να αποφασίζει με όρους ROI (Return-On-Investment) [Zuccato, 2005]

– [Ehrmann, 2002] και όχι ROSI (Return-On-Security-Investment) [Wei et al., 2001],

ή αντίστοιχες μετρικές. Συν τοις άλλοις, η εκτενής παρουσία μη-πρότυπων σημείων

αναφοράς σχετικά με τις αρχιτεκτονικές λύσεων ασφάλειας επιτείνει τη σύγχυση και

υποσκάπτει την ασφαλή λειτουργία των ΠΣ.

1.3 Αντικείμενο και Στόχοι της Διατριβής

Αντικείμενο της διατριβής είναι η συμβολή στην αποτελεσματικότερη και ολιστική δια-

χείριση της ασφάλειας των ΠΣ, προς την κατεύθυνση μιας διαχείρισης που θα βασίζεται

σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις και τις αντίστοιχες μεθοδολογίες εφαρ-

μογής τους.

Σκοπός της διατριβής είναι η ανάπτυξη μιας νέας θεωρητικής προσέγγισης της ΔΑΠΣ, η

οποία θα είναι βασισμένη σε ένα λειτουργικό μοντέλο που στηρίζεται σε πληροφορίες

και σε γνώση σχετικά με την ασφάλεια.

Το μοντέλο που αναπτύχθηκε είναι ανεξάρτητο από τις τεχνολογίες υλοποίησης του ΠΣ

και συγχρόνως είναι κατάλληλο για να αποτελέσει τη βάση ενός πολυσυλλεκτικού και

ολιστικού συστήματος ΔΑΠΣ.

Τα κύρια ζητήματα στα οποία επικεντρώθηκε η παρούσα διατριβή είναι:

(α) Η ανάπτυξη μιας ολιστικής θεωρητικής προσέγγισης για τη ΔΑΠΣ, που να είναι βα-

σισμένη σε γνώση, κλιμακούμενη, επεκτάσιμη και στηριγμένη σε διεθνή πρότυπα (stan-

dards).

(β) Η ανάπτυξη του αντίστοιχου μοντέλου αναφοράς (reference model), καθώς και του

λειτουργικού μοντέλου της εν λόγω προσέγγισης της ΔΑΠΣ.

(γ) Η πιλοτική υλοποίηση επιλεγμένων κομβικών τμημάτων της προτεινόμενης προσέγ-

γισης ΔΑΠΣ, προκειμένου να επιδειχθεί η εφικτότητα και αποτελεσματικότητα της

πρακτικής υλοποίησής της.



Σελ. 34

1.4 Δομή της Διατριβής

1.4.1 Δομική Περιγραφή της Διατριβής

Η παρούσα διατριβή χωρίζεται σε τρία μέρη και εννέα κεφάλαια. Στο πρώτο μέρος

(Κεφάλαια 2 και 3) γίνεται ανασκόπηση των βασικών εννοιών της διαχείρισης

ασφάλειας ΠΣ και υπογραμμίζεται η εγγενής πολυπλοκότητα της αποτελεσματικής

ενσωμάτωσής της στις καθημερινές δραστηριότητες ενός οργανισμού. Επιπρόσθετα,

αναδεικνύεται η έλλειψη μεθοδολογιών και μεθόδων αποτελεσματικής και αποδοτικής

αντιστοίχησης των αντιμέτρων ασφάλειας υψηλού επιπέδου που προέρχονται τόσο από

ασκήσεις Ανάλυσης Επικινδυνότητας όσο και από άλλες πηγές πληροφοριών σχετικές με

την ασφάλεια του ΠΣ, που μοιράζονται ένα κοινό χαρακτηριστικό: αυτό της μεγάλης

διακύμανσης όσον αφορά το περιεχόμενο, τη δομή, τον τρόπο έκφρασης, το επίπεδο

λεπτομέρειας και το ακροατήριο που απευθύνεται.

Το Κεφάλαιο 2 περαιτέρω περιγράφει το τρίπτυχο της Διαχείρισης Επικινδυνότητας

(Ανάλυση Επικινδυνότητας, Μείωση των Κινδύνων και Αξιολόγηση του Επιπέδου

Ασφάλειας) και τις σύγχρονες προσεγγίσεις στο σύνθετο πρόβλημα της διαχείρισης

ασφάλειας ΠΣ. Στη συνέχεια εξετάζονται σε στρατηγικό επίπεδο η πολυδιάστατη φύση

της Διαχείρισης Ασφάλειας και οι επικρατούσες προσεγγίσεις στην πράξη. Σε αυτό το

σημείο αποκρυσταλλώνεται το ερευνητικό πρόβλημα που συνοψίζεται στην έλλειψη

αποδοτικών προσεγγίσεων ΔΑΠΣ που συλλέγουν, ομογενοποιούν, ερμηνεύουν και

εφαρμόζουν τις απαιτήσεις ασφάλειας στους πόρους του ΠΣ [Tsoumas and Tryfonas,

2004], [Tsoumas et al., 2005].

Στο Κεφάλαιο 3 γίνεται μια ανασκόπηση στους ερευνητικούς τομείς εκείνους, οι οποίοι

σχετίζονται με την παρούσα διατριβή και πιο συγκεκριμένα η αποτύπωση των

απαιτήσεων ασφάλειας όπως η εξειδίκευση απαιτήσεων βάσει στόχων και εξειδίκευση

απαιτήσεων σε επίπεδο πολιτικών, αντίστοιχα. Επιπλέον, λόγω του υβριδικού χαρακτήρα

της προτεινόμενης προσέγγισης, παρουσιάζεται και μια επισκόπηση των κυριότερων

ερευνητικών προσπαθειών σε θέματα που σχετίζονται περισσότερο ή λιγότερο με την

παρούσα διατριβή όπως πλαίσια και γλώσσες πολιτικών υψηλού επιπέδου, πολιτικές

ασφάλειας και φυσική γλώσσα, καθώς και μικτές προσεγγίσεις.

Στο δεύτερο μέρος (Κεφάλαια 4 και 5) επιχειρείται η εννοιολογική μοντελοποίηση της



Σελ. 35

συνολικής προσέγγισης και η ανάπτυξη του βασικού στοιχείου της, της Οντολογίας

Ασφάλειας (ΟΑ).

Στο Κεφάλαιο 4 καθορίζεται το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική της

προσέγγισης που προτείνει μια αυτοματοποιημένη διαδικασία μετάβασης από τις

απαιτήσεις ασφάλειας σε εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ, επιτυγχάνοντας

έτσι μια ολιστική διαχείριση ασφάλειας [Tsoumas et al., 2005], [Gritzalis and Tsoumas,

2005]. Επιπρόσθετα, περιγράφονται οι τέσσερεις άξονες της έρευνας στους οποίους

στηρίζεται η προσέγγιση:

α) πρότυπα διαχείρισης κινδύνων ΠΣ,

β) πρότυπα διαχείρισης ΠΣ,

γ) μοντέλα αναπαράστασης γνώσης και οντολογίες, και

δ) τεχνικές λεκτικής ανάλυσης και έμπειρα συστήματα.

Στο Κεφάλαιο 5 περιγράφεται η μεθοδολογία ανάπτυξης μιας οντολογίας ασφάλειας που

μοντελοποιεί τις απαιτήσεις ασφάλειας ΠΣ [Tsoumas and Gritzalis, 2006a], [Tsoumas et

al., 2006b]. Η οντολογία βασίζεται στις έννοιες των προτύπων διαχείρισης κινδύνων ΠΣ

(άξονας 1), επεκτείνει και συνδέεται με το μοντέλο CIM (άξονας 2) και υλοποιείται σε

γλώσσα του Σημασιολογικού Ιστού (άξονας 3).

Το τρίτο μέρος (Κεφάλαια 6, 7, και 8) πραγματεύεται: α) τις διαδικασίες συλλογής και

ανάλυσης των απαιτήσεων ασφάλειας από όλες τις πηγές γνώσης περί την ασφάλεια που

σχετίζονται με το ΠΣ και β) τις διαδικασίες αντιστοίχησης των απαιτήσεων ασφάλειας με

εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ.

Πιο συγκεκριμένα, το Κεφάλαιο 6 εξειδικεύει τις οντολογίες που αναπτύχθηκαν στο

Κεφάλαιο 5 έτσι ώστε να επικεντρωθεί στη συλλογή και ανάλυση των αντιμέτρων από

τις διαφορετικές πηγές πληροφορίας ασφάλειας. Μέσω τεχνικών λεκτικής ανάλυσης

(Άξονας 4) υλοποιείται ένα πιλοτικό σύστημα εξαγωγής απαιτήσεων ασφάλειας από

αντίμετρα υψηλού επιπέδου [Tsoumas et al., 2006b].

Το Κεφάλαιο 7 θεμελιώνει μια Βάση Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ), η οποία

χρησιμοποιείται για την αποθήκευση άμεσα εφαρμόσιμων αντιμέτρων στους πόρους του

ΠΣ, μέσω αντιστοίχησης των απαιτήσεων ασφάλειας (οντολογία ασφάλειας) και των

ΤΜΥ έτσι ώστε να καταλήξει σε μια σειρά από ατομικές ενέργειες και/ή συστάσεις προς



Σελ. 36

τον υπεύθυνο της τεχνοδιαμόρφωσης των πόρων [Gritzalis and Tsoumas, 2006].

Επιπρόσθετα, θεμελιώνεται μια συμπερασματική μέθοδος εξειδίκευσης των αντιμέτρων

σε ένα Δένδρο Εφαρμόσιμων Αντιμέτρων, προκειμένου να συγκεκριμενοποιηθούν τα

αντίμετρα που χρήζουν εξειδίκευσης [Tripodianos et al., 2007].

Το Κεφάλαιο 8 συνοψίζει τα συμπεράσματα της έρευνας και τα ανοικτά ερευνητικά

πεδία κλείνοντας την διατριβή.

1.4.2 Συνοπτική Περιγραφή των Κεφαλαίων

Η ανάπτυξη της παρούσας διατριβής γίνεται σε εννέα κεφάλαια και ακολουθεί σε γενικές

γραμμές τη ροή της δομικής περιγραφής που παρουσιάσθηκε. Οι βιβλιογραφικές

αναφορές παρατίθενται στο κεφάλαιο 9, ενώ παράλληλα υπάρχουν επιπλέον 6

παραρτήματα στα οποία περιλαμβάνεται λεπτομερειακό υλικό απαραίτητο για την

επιστημονική τεκμηρίωση της διατριβής.

Στο κεφάλαιο 1 «Εισαγωγή», περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία

επίλυσης του προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να

προσεγγίσει η διατριβή και συμβολή της στη γνωστική περιοχή.

Στο κεφάλαιο 2 «Ορισμοί και Επισκόπηση του Οργανοτεχνικού Πλαισίου Διαχείρισης

Κινδύνων ΠΣ» συνοψίζεται η παρούσα κατάσταση στο χώρο της διαχείρισης ασφάλειας,

με παράθεση των βασικών ορισμών. Στη συνέχεια, γίνεται ανασκόπηση του τρίπτυχου

διαχείρισης επικινδυνότητας ΠΣ. Επιπλέον, παρατίθενται οι κυριότερες προσεγγίσεις στη

σύγχρονη ΔΑΠΣ. Τέλος, προσδιορίζεται λεπτομερέστερα το ερευνητικό πρόβλημα. Ο

εξοικειωμένος, με τα παραπάνω ζητήματα, αναγνώστης μπορεί να διαβάσει τη σύνοψη

του κεφαλαίου (βλ. § 2.7) και να προχωρήσει στο επόμενο κεφάλαιο.

Στο κεφάλαιο 3 «Παρούσα Κατάσταση και Σχετική Έρευνα» παρατίθεται μια

ανασκόπηση στους ερευνητικούς τομείς εκείνους, οι οποίοι σχετίζονται με την παρούσα

διατριβή. Πιο συγκεκριμένα, θίγονται θέματα αποτύπωσης των απαιτήσεων ασφάλειας

είτε με τυπικό (formal) είτε με άτυπο τρόπο. Στη συνέχεια περιγράφονται πλαίσια και

γλώσσες πολιτικών υψηλού επιπέδου. Επιπλέον, παρατίθενται ερευνητικές εργασίες

σχετικά με τη χρήση τεχνικών επεξεργασίας φυσικής γλώσσας στο χώρο της ασφάλειας

πληροφοριών. Τέλος, εξετάζονται τα πρότυπα πλαίσια διαχείρισης ασφάλειας ΠΣ

υψηλού επιπέδου.



Σελ. 37

Στο κεφάλαιο 4 «Εννοιολογικό Μοντέλο και Άξονες της Έρευνας» κατ’ αρχήν

καθορίζονται οι προδιαγραφές ενός ιδεατού συστήματος ΔΑΠΣ. Στη συνέχεια

καθορίζεται το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική της προσέγγισης.

Περαιτέρω, αναλύονται οι άξονες πάνω στους οποίους στηρίζεται η παρούσα έρευνα και

οι αναλυτικές φάσεις της εφαρμογής του πλαισίου ΔΑΠΣ σε λειτουργικό επίπεδο. Τέλος,

παρατίθενται οι βασικές μέθοδοι, τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την

υλοποίηση των φάσεων της προτεινόμενης προσέγγισης. Ο εξοικειωμένος, με τα

παραπάνω ζητήματα, αναγνώστης μπορεί να διαβάσει τη σύνοψη του κεφαλαίου (βλ.

ενότητα 4.12) και να προχωρήσει στο επόμενο κεφάλαιο.

Στο κεφάλαιο 5 «Οντολογία Ασφάλειας» αναλύεται η μεθοδολογία ανάπτυξης μιας

οντολογίας που επικεντρώνεται στα χαρακτηριστικά ασφάλειας ενός ΠΣ (οντολογία

ασφάλειας). Περιγράφονται οι μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για

τις εργασίες του παρόντος κεφαλαίου. Στη συνέχεια δίνεται ο τυπικός (formal) ορισμός

της οντολογίας ασφάλειας, ενώ επιπλέον θίγονται θέματα μοντελοποίησης απαιτήσεων

ασφάλειας όπως αυτές εκφράζονται μέσα από τα πρότυπα των οικογενειών προτύπων

ISO/IEC 17799 και COBIT, αντίστοιχα. Παρατίθεται η μεθοδολογία της προσέγγισης

ανάπτυξης, ενώ στη συνέχεια αναλύονται ξεχωριστά οι δύο οικογένειες προτύπων. Σε

κάθε φάση της μεθοδολογίας εξετάζονται και τα δύο πρότυπα που προαναφέρθηκαν και

αναπτύσσονται εκ παραλλήλου δύο οντολογίες, μια για κάθε πρότυπο· επιπρόσθετα, σε

κάθε φάση πραγματοποιείται μια ενοποίηση των δύο οντολογιών, καταλήγοντας σε μια

κοινή («ενοποιημένη») οντολογία για κάθε φάση.

Στο κεφάλαιο 6 «Εξειδίκευση της Οντολογίας ISO/IEC 17799 για την Υλοποίηση των

Αντιμέτρων Ασφάλειας» αναπτύσσεται μια εξειδικευμένη οντολογία με βάση το πρότυπο

ISO/17799 που επικεντρώνει στην υλοποίηση των αντιμέτρων ασφάλειας από την

Ανάλυση Επικινδυνότητας. Το πρώτο βήμα αφορά στην εξειδίκευση του οντολογικού

μοντέλου της ΟΑ έτσι ώστε να περιλαμβάνει τις ελάχιστες απαραίτητες έννοιες που

συμμετέχουν στον καθορισμό και υλοποίηση των αντιμέτρων. Ιδιαίτερο βάρος δίνεται

στον ορισμό του αντίμετρου, δηλ. στο σύνολο εκείνο των χαρακτηριστικών που το

προσδιορίζουν. Στη συνέχεια παρουσιάζεται η μέθοδος με την οποία εξάγεται ένας

αριθμός από σημαντικά χαρακτηριστικά του αντιμέτρου, σε μια προσπάθεια να γίνει όσο

το δυνατό σαφέστερη η οριοθέτηση των απαιτήσεων ασφάλειας που ενσωματώνονται



Σελ. 38

στην έννοια του αγαθού. Οι απαιτήσεις ασφάλειας συλλέγονται από ένα αριθμό πηγών

πληροφορίας που το επίπεδο σαφήνειάς τους ποικίλλει από πληροφορίες δικτύου και

χρησιμοποιούμενων τεχνολογιών ΤΠΕ (υψηλό επίπεδο σαφήνειας) έως προδιαγραφές

αντιμέτρων που προκύπτουν από την Αποτίμηση Επικινδυνότητας (χαμηλό επίπεδο

σαφήνειας). Ο αντικειμενικός σκοπός της ανωτέρω διαδικασίας είναι η όσο το δυνατό

ακριβέστερη πλήρωση των ιδιοτήτων των αντιμέτρων για κάθε αγαθό. Τέλος,

παρουσιάζεται μια πρωτόλεια μελέτη περίπτωσης κατά την οποία αναλύονται τα

δεδομένα που αφορούν ένα τυπικό ΠΣ.

Στο κεφάλαιο 7 «Τεχνικά Μέτρα Υλοποίησης» αναλύονται τα Τεχνικά Μέτρα

Υλοποίησης (ΤΜΥ), τα οποία μοντελοποιούν τις απαιτούμενες ενέργειες για την

τεχνοδιαμόρφωση των πληροφοριακών αγαθών με τρόπο έτσι ώστε να υλοποιούνται οι

απαιτήσεις ασφάλειας που έχουν συλλεχθεί στην ΟΑ (Κεφ. 6). Περαιτέρω θίγονται

θέματα εξειδίκευσης των τεχνικών αντιμέτρων σε περίπτωση που κάτι τέτοιο απαιτείται.

Το αποτέλεσμα αυτής της διαδικασίας είναι ένα Δένδρο Εφαρμόσιμων Αντιμέτρων

(Deployable Countermeasures Tree), του οποίου οι τελικοί κόμβοι αποτελούν ένα

σύνολο από άμεσα εφαρμόσιμα ΤΜΥ στους πόρους του ΠΣ, ή περαιτέρω πληροφορίες

σχετικές με την εφαρμογή του μέτρου για τον υπεύθυνο της τεχνοδιαμόρφωσης.

Παρουσιάζεται επίσης μια μελέτη περίπτωσης η οποία αναλύει απαιτήσεις ασφάλειας

που έχουν εκφραστεί σε μια ημι-τυπική μορφή, όπως οι Απαιτήσεις Ασφάλειας στην ΟΑ.

Στο Κεφάλαιο 8 «Σύνοψη, Συμπεράσματα και Κατευθύνσεις Περαιτέρω Έρευνας»

γίνεται μια σύνοψη του προβλήματος, παρατίθενται τα γενικά συμπεράσματα της

διατριβής και σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα.

Τέλος, στο Κεφάλαιο 9 «Αναφορές και Βιβλιογραφία» (σελ. 367) παρατίθεται

αλφαβητικά η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η

παρούσα διατριβή.

Τα Παραρτήματα παρατίθενται στη συνέχεια ως εξής:

Στο Παράρτημα Ι (σελ. 402) παρατίθενται τα εννοιολογικά μοντέλα των επιμέρους

οντολογιών ασφάλειας κατά ISO/IEC 17799, ενώ στο Παράρτημα ΙΙ (σελ. 410)

παρατίθενται τα εννοιολογικά μοντέλα των επιμέρους οντολογιών ασφάλειας κατά

COBIT, αντίστοιχα.

Στο Παράρτημα ΙΙΙ (σελ. 421) παρατίθεται η ταξινομία των αντιμέτρων κατά CRAMM



Σελ. 39

που χρησιμοποιείται στο Κεφάλαιο 6 για την εξαγωγή των απαιτήσεων ασφάλειας.

Στο Παράρτημα ΙV (σελ. 425) παρατίθεται ο κώδικας Perl για επεξεργασία της εξόδου

του εργαλείου ιχνηλάτησης δικτύου, για τη μοντελοποίηση των πόρων του ΠΣ.

Στο Παράρτημα V (σελ. 428) παρατίθενται τα αρχεία παραμέτρων και κανόνων του

GATE που απαιτούνται για την εξαγωγή των ιδιοτήτων των απαιτήσεων ασφάλειας, ενώ

στο Παράρτημα VI (σελ. 435) παρατίθεται το σχήμα της βάσης δεδομένων ΤΜΥ που

απαιτείται για τον καθορισμό των εφαρμόσιμων αντιμέτρων.

1.5 Συμβολή της Παρούσας Έρευνας στο Πεδίο της Διαχείρισης Ασφάλειας ΠΣ

Με την παρούσα διατριβή επιχειρείται η αποτύπωση του λειτουργικού μοντέλου ενός

συστήματος διαχείρισης ασφάλειας ΠΣ βασισμένο σε οντολογίες ασφάλειας. Η

συνεισφορά της διατριβής εκφράζεται σε τρία επίπεδα:

I. Αποτύπωση εννοιολογικού μοντέλου αναφοράς της ΔΑΠΣ, βασισμένου σε ΟΑ.

Στο επίπεδο αυτό διαχωρίστηκαν οι απαιτήσεις ασφάλειας ΠΣ υψηλού επιπέδου

(εκφρασμένες σε αδόμητη φυσική γλώσσα) από τα τεχνικά αντίμετρα υλοποίησής του

(τις τελικές πράξεις που εφαρμόζονται κατευθείαν στους πόρους του ΠΣ).

Ταυτόχρονα, καθορίστηκαν τα θεμελιώδη και τα επιμέρους τμήματα της υπό ανάπτυξη

αρχιτεκτονικής, που αποσκοπεί στην υλοποίησή του.

II. Προσδιορισμός του μοντέλου των απαιτήσεων ασφάλειας.

Στο επίπεδο αυτό, καταρχήν προδιαγράφηκε και υλοποιήθηκε, σε UML, ένα σχήμα

επέκτασης του μοντέλου CIM (CIM Extension Model) για την ΑΕ ενός ΠΣ, το οποίο

βασίζεται στα πρότυπα ανάλυσης και διαχείρισης επικινδυνότητας ISO/IEC 17799 και

COBIT. Στη συνέχεια έγινε η μοντελοποίηση των απαιτήσεων ασφάλειας ενός ΠΣ σε μια

Οντολογία Ασφάλειας βασισμένη στο σχήμα επέκτασης του CIM. Η υλοποίηση έγινε σε

OWL με χρήση του λογισμικού Protégé. Ακολούθησε η ενιαιοποίηση των ανομοιογενών

πηγών πληροφοριών των σχετικών με την ασφάλεια, με στόχο την αποτελεσματικότερη

συλλογή δεδομένων που σχετίζονται με τις απαιτήσεις ασφάλειας.

Στη συνέχεια έγινε η μοντελοποίηση των κύριων ιδιοτήτων των απαιτήσεων ασφάλειας



Σελ. 40

(security requirements) και η εξαγωγή των ιδιοτήτων των απαιτήσεων ασφάλειας από

ανομοιογενείς πηγές, με στόχο τον εμπλουτισμό της ΟΑ. Η υλοποίηση έγινε με open

source εργαλεία, Java και GATE, ενώ για την αναγνώριση προτύπων (pattern matching)

χρησιμοποιήθηκε Jape. Τέλος, αναπτύχθηκε μια σειρά ευρετικών κανόνων για την

εξαγωγή των απαιτήσεων ασφάλειας και έγινε ο συσχετισμός τους για παραγωγή γνώσης

περί την ασφάλεια. Η υλοποίησή τους έγινε με Java.

III. Προσδιορισμός του μοντέλου των τεχνικών μέτρων υλοποίησης.

Στο επίπεδο αυτό έγινε, αρχικά, η μοντελοποίηση των κύριων ιδιοτήτων των τεχνικών

μέτρων υλοποίησης (ΤΜΥ). Ακολούθησε ο σχεδιασμός ενός σχήματος σχεσιακής βάσης

δεδομένων με υλοποιήσιμα ΤΜΥ σε επίπεδο τεχνολογικής υποδομής. Στη συνέχεια έγινε

η μοντελοποίηση της εξειδίκευσης των ΤΜΥ, με στόχο τη συγκεκριμενοποίηση των

εφαρμοστέων αντιμέτρων, μέσω της αποδόμησης των τεχνικών αντιμέτρων υψηλού

επιπέδου σε σαφέστερες ενέργειες. Η υλοποίηση των παραπάνω έγινε με JESS (Java

Expert System Shell).

Κατόπιν αναπτύχθηκε ένας αλγόριθμος συσχέτισης των απαιτήσεων ασφάλειας με τα

τεχνικά μέτρα ασφάλειας. Τέλος, αναπτύχθηκε ένα λειτουργικό μοντέλο ΔΑΠΣ,

βασισμένο σε οντολογίες, το οποίο βασίζεται στο εννοιολογικό μοντέλο αναφοράς και

περιγράφει τις λειτουργικές μονάδες του, καθώς και τις μεταξύ τους συσχετίσεις.

Εκτιμάται ότι η επίτευξη των στόχων της διατριβής:

Ø Συνεισφέρει στην αντιμετώπιση των προβληματικών παραγόντων που

αναλύθηκαν,

Ø Αποτελεί προσπάθεια συνολικής αντιμετώπισης του προβλήματος της ενοποίησης

και σύνδεσης των πληροφοριών που σχετίζονται με την ασφάλεια ΠΣ από

ανομοιογενείς πηγές με τις διαδικασίες διαχείρισης ασφάλειας ΠΣ, και

Ø Συμβάλλει στην ανάπτυξη των γνωστικών πεδίων της ασφάλειας των ΤΠΕ.

Στην επόμενη ενότητα περιγράφονται συνοπτικά τα σημεία συμβολής της παρούσας

διατριβής.

1.5.1 Σχήμα Επέκτασης του CIM για Ανάλυση Επικινδυνότητας

Ορίζεται ένα Σχήμα Επέκτασης του μοντέλου CIM (CIM Extension Model) το οποίο



Σελ. 41

περιγράφει την περιοχή της Ανάλυσης Επικινδυνότητας ΠΣ βασισμένη σε πρότυπα

διαχείρισης ασφάλειας και αποτελεί το εννοιολογικό μοντέλο της Οντολογίας Ασφάλειας

(βλ. ενότητα 1.5.2). Η περιγραφόμενη επέκταση δεν έχει προταθεί από άλλους ερευνητές

(σ.σ. έως και την έκδοση 2.12 [DMTF CIM, 2001]) και έχει τη δυνατότητα σύνδεσης με

άλλες οντολογίες CIM προκειμένου να επαναχρησιμοποιήσει ήδη μοντελοποιημένα ΠΣ.

Το σχήμα υλοποιείται σε UML.

1.5.2 Οντολογία Ασφάλειας

Προτείνεται ο σχεδιασμός και υλοποίηση της Οντολογίας Ασφάλειας (ΟΑ), δηλαδή μιας

οντολογίας που επικεντρώνει στις απαιτήσεις ασφάλειας του ΠΣ, και ενσωματώνει

συμπερασματικούς μηχανισμούς. Υλοποιεί το εννοιολογικό μοντέλο της ΑΕ ΠΣ που

αναπτύχθηκε στην ενότητα 1.5.1, συλλέγοντας τις απαιτήσεις ασφάλειας του ΠΣ ανά

πληροφοριακό αγαθό. Περαιτέρω αναπτύσσεται μια εξειδικευμένη οντολογία που

επικεντρώνει στην υλοποίηση των αντιμέτρων ασφάλειας από την Ανάλυση

Επικινδυνότητας. Η ΟΑ προσφέρει επεκτασιμότητα, κλιμάκωση, ενσωμάτωση με την

υπάρχουσα πληροφοριακή υποδομή του οργανισμού, προσαρμογή στις διαφορετικές

απαιτήσεις ασφάλειας του οργανισμού, και φιλική διεπαφή χρήσης. Η υλοποίηση έγινε

σε OWL με τη χρήση του εργαλείου Protégé και κανόνων SWRL (Semantic Web Rule

Language) [Horrocks et al., 2004].

1.5.3 Ενοποίηση Ανομοιογενών Πηγών Πληροφορίας Ασφάλειας

Προτείνεται ένα μοντέλο ανάλυσης ανομοιογενών πηγών πληροφορίας περί την

ασφάλεια και σύνθεση σε ομογενοποιημένες δομές πληροφορίας οι οποίες είναι δυνατό

να επαναχρησιμοποιηθούν από τον ειδικό ασφάλειας ή άλλες εμπλεκόμενες με τη

διαχείριση ασφάλειας οντότητες.

1.5.4 Μοντελοποίηση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Υλοποίησης

Προτείνεται ένα μοντέλο ιδιοτήτων που ορίζουν μια Απαίτηση Ασφάλειας και ένα

Μέτρο Υλοποίησης, αντίστοιχα, έτσι ώστε μέσω της συσχέτισής τους να εφαρμοστούν

τελικά στο ΠΣ.



Σελ. 42

1.5.5 Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας

Προτείνεται ένα πλαίσιο εξαγωγής ιδιοτήτων απαιτήσεων ασφάλειας από αδόμητες και

ημιδομημένες πηγές πληροφοριών ασφάλειας όπως τα αντίμετρα που παράγουν τα

αυτοματοποιημένα εργαλεία ΑΕ, πολιτικές ασφάλειας υψηλού επιπέδου και άλλες

παρόμοιες πηγές. Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες.

1.5.6 Ευρετικοί Κανόνες Παραγωγής Γνώσης Ασφάλειας

Προτείνεται ένα σύνολο από ευρετικούς κανόνες οι οποίοι συμβάλλουν στην παραγωγή

γνώσης ασφάλειας και που είτε ενσωματώνονται στην ΟΑ είτε ενεργοποιούνται κατά την

Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας. Δεν έχει προταθεί κάτι ανάλογο από άλλες

ερευνητικές εργασίες.

1.5.7 Βάση Τεχνικών Μέτρων Υλοποίησης

Η Βάση Τεχνικών Μέτρων Υλοποίησης μοντελοποιεί τις απαιτούμενες ενέργειες για την


απαιτήσεις ασφάλειας που έχουν συλλεχθεί στην ΟΑ. Αυτές οι ενέργειες έχουν τη μορφή

ρυθμίσεων τεχνοδιαμόρφωσης, εκτελέσιμων προγραμμάτων και αρχείων φλοιού, ενώ

είναι απολύτως προσανατολισμένες σε τεχνολογίες υπολογιστικών συστημάτων

(λειτουργικά συστήματα, βάσεις δεδομένων, εκδόσεις λογισμικού, κ.α.). Έχει γίνει μια

πιλοτική υλοποίηση σε σχεσιακή βάση δεδομένων και υποστηρίζεται η υποβολή

ερωτημάτων μέσω Δομημένης Γλώσσας Ερωταποκρίσεων (Structured Query Language,

SQL). Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες.

1.5.8 Εξειδίκευση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων

Υλοποίησης

Προτείνεται μια μέθοδος εξειδίκευσης απαιτήσεων ασφάλειας και τεχνικών μέτρων

υλοποίησης μέσω διακριτών επιπέδων επεξεργασίας έτσι ώστε η υλοποίηση των πιο

εξειδικευμένων αντιμέτρων να υλοποιεί αναδρομικά τα αντίμετρα των ανώτερων

επιπέδων. Δεν έχει προταθεί κάτι ανάλογο από άλλες ερευνητικές εργασίες.

1.5.9 Συσχέτιση Απαιτήσεων Ασφάλειας με Τεχνικά Μέτρα



Σελ. 43


Προτείνεται ένας αλγόριθμος για τον συσχετισμό των απαιτήσεων ασφάλειας με τα

τεχνικά μέτρα που υλοποιούν τις εν λόγω απαιτήσεις. Δεν έχει προταθεί κάτι ανάλογο

από άλλες ερευνητικές εργασίες.

1.5.10 Λειτουργικό Μοντέλο Διαχείρισης Ασφάλειας ΠΣ Βασισμένο σε Οντολογίες

Το προτεινόμενο λειτουργικό μοντέλο διαφοροποιείται σε σχέση με προηγούμενες

ερευνητικές προσπάθειες στα εξής σημεία:

1. Διαχωρίζει τις απαιτήσεις ασφάλειας από τις τεχνικές υλοποιήσεις τους.

2. Συνδέει άμεσα τις απαιτήσεις ασφάλειας υψηλού επιπέδου με τα εφαρμόσιμα

αντίμετρα στους πληροφοριακούς πόρους του οργανισμού.

3. Μοντελοποιεί την έννοια του αντιμέτρου.

4. Στηρίζεται σε γνωστά πρότυπα διαχείρισης πληροφοριών, διαχείρισης ασφάλειας και

διαχείρισης γνώσης.

5. Χρησιμοποιεί δομές που στηρίζονται σε γνώση περί ασφάλειας.

6. Εισάγει ένα ανοικτό μοντέλο που δέχεται πληροφορίες από ανομοιογενείς πηγές

πληροφορίας ασφάλειας.

7. Παρέχει μία ενοποιημένη, ανοικτή, κλιμακούμενη και επεκτάσιμη αρχιτεκτονική που

είναι δυνατό να ενοποιηθεί σε ένα ολιστικό περιβάλλον διαχείρισης ασφάλειας ΠΣ.

8. Η χρήση του είναι απλή.



Σελ. 45

The world is given to me only once, not one existing and one perceived. Subject and

object are only one. The barrier between them cannot be said to have broken down as a

result of recent experience in the physical sciences, for this barrier does not exist.

~ Erwin Schrödinger

2 Ορισμοί και Επισκόπηση του Οργανοτεχνικού Πλαισίου Διαχείρισης Κινδύνων ΠΣ

2.1 Εισαγωγή

Σε αυτό το κεφάλαιο εξετάζονται τα βασικά στοιχεία της Διαχείρισης Κινδύνων ΠΣ

όπως οι θεμελιώδεις έννοιες ασφάλειας, το τρίπτυχο της Διαχείρισης Επικινδυνότητας

(Ανάλυση Επικινδυνότητας, Μείωση των Κινδύνων και Αξιολόγηση του Επιπέδου

Ασφάλειας) και οι σύγχρονες προσεγγίσεις στο σύνθετο πρόβλημα της διαχείρισης

ασφάλειας ΠΣ. Στη συνέχεια εξετάζονται σε στρατηγικό επίπεδο η πολυδιάστατη φύση

της Διαχείρισης Ασφάλειας και οι επικρατούσες προσεγγίσεις στην πράξη, ενώ τέλος,

διατυπώνεται το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση.



Σελ. 46

2.2 Η Εξέλιξη της Διαχείρισης Κινδύνων ΠΣ

2.2.1 Η Έννοια της Ασφάλειας

Τα πέντε συστατικά στοιχεία ενός Πληροφοριακού Συστήματος (ΠΣ) είναι το υλικό, το

λογισμικό, οι διαδικασίες, οι άνθρωποι και τα δεδομένα [Κιουντούζης, 1995]. Στη

βιβλιογραφία υπάρχουν αρκετοί ορισμοί της ασφάλειας ΠΣ και τις διαφορετικές

εκφάνσεις της. Στα πλαίσια αυτής της μελέτης θα χρησιμοποιηθούν οι κάτωθι ορισμοί

([Κιουντούζης, 2004α]: 320):

Ø Ασφάλεια ΠΣ (Information Systems Security): «…ένα οργανωμένο πλαίσιο από

έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που

απαιτούνται για να προστατευθούν τα στοιχεία του Πληροφοριακού Συστήματος,

αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή.»

Ø Ασφάλεια Τεχνολογίας Πληροφορικής και Επικοινωνιών – ΤΠΕ (Information

Technology & Communications Security – ITC Security): η ασφάλεια της

τεχνολογικής υποδομής των ΠΣ, συμπεριλαμβανομένων και των επικοινωνιακών

(υπο) συστημάτων του.

Ø Ασφάλεια Πληροφοριών (Information Security): η ασφάλεια των δεδομένων που

διακινούνται, επεξεργάζονται και αποθηκεύονται στα στοιχεία του ΠΣ.

Από τους παραπάνω ορισμούς είναι φανερό ότι όσον αφορά την ασφάλεια ΠΣ, υπάρχει

στενή σχέση τόσο με τα τεχνικά, διαδικαστικά και οργανωσιακά μέτρα όσο και με τις

κρατούσες ηθικοκοινωνικές αντιλήψεις, αρχές και παραδοχές· ακόμη, είναι σαφές ότι τα

εν λόγω μέτρα δεν θα πρέπει να παρεμποδίζουν την λειτουργία του ΠΣ έτσι ώστε το

τελευταίο να εκπληρώνει τους σκοπούς της δημιουργίας του. Περαιτέρω, η ασφάλεια

ΤΠΕ δίνει έμφαση στους τεχνικούς παράγοντες της ασφάλειας ΠΣ, ενώ η ασφάλεια

πληροφοριών αναφέρεται αποκλειστικά στην προστασία των πληροφοριών που

διακινούνται, επεξεργάζονται και αποθηκεύονται σε ένα ΠΣ και είναι στενότερη έννοια

από αυτή της ασφάλειας ΠΣ. Τόσο η ασφάλεια ΤΠΕ, όσο και η ασφάλεια πληροφοριών

προκειμένου να πετύχουν τους στόχους τους συνυπολογίζουν και το ΠΣ στα πλαίσια του

οποίου υφίσταται η πληροφορία; κάθε θεώρηση της ασφάλειας ΤΠΕ ή/και της ασφάλειας



Σελ. 47

πληροφοριών χωρίς να συνυπολογιστεί και το ευρύτερο περιβάλλον μέσα στο οποίο

υφίσταται το ΠΣ (IS context) με όλους τους ενδο/εξωγενείς παράγοντες που

προαναφέρθηκαν, είναι καταδικασμένη να καταλήξει σε μια μερική, αποσπασματική και

τελικά ανεπαρκή προσέγγιση του προβλήματος της διαχείρισης των θεμάτων

προστασίας, ανεξάρτητα από το επίπεδο θέασης και λεπτομέρειας που επικεντρώνει.

Συνεπώς, «…όταν αναφερόμαστε στην ασφάλεια ενός ΠΣ, η προστασία όλων των

συστατικών στοιχείων που μετέχουν σε αυτό έχει ιδιαίτερη σημασία, ενώ όταν

αναφερόμαστε στην ασφάλεια πληροφοριών, η ασφάλεια του υλικού μας ενδιαφέρει μόνο

στο βαθμό που σχετίζεται με την προστασία των πληροφοριών» [Μουλίνος, 2003].

2.2.2 Θεμελιώδεις Ιδιότητες της Ασφάλειας

Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία των σχετικών με την

ασφάλεια ιδιοτήτων της πληροφορίας. Ως θεμελιώδεις ιδιότητες ασφάλειας θεωρούνται η

ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα, οι οποίες ορίζονται ως εξής

[Γκρίτζαλης, 1994], [BSI-EN, 2001]:

Ø Ακεραιότητα πληροφοριών (integrity): είναι η ιδιότητα των δεδομένων να

υφίστανται σε προκαθορισμένο φυσικό μέσο ή χώρο και να είναι ακριβή. Δηλαδή

η μη-εξουσιοδοτημένη τροποποίηση της πληροφορίας πρέπει να αποτρέπεται,

ενώ κάθε αλλαγή του περιεχομένου των δεδομένων να είναι αποτέλεσμα

εξουσιοδοτημένης και ελεγχόμενης ενέργειας.

Ø Εμπιστευτικότητα πληροφοριών (confidentiality): η ιδιότητα των δεδομένων να

καθίστανται αναγνώσιμα μόνο από εξουσιοδοτημένα λογικά υποκείμενα, όπως

φυσικές οντότητες και διεργασίες λογισμικού.

Ø Διαθεσιμότητα πληροφοριών (availability): η αποτροπή της προσωρινής ή

μόνιμης άρνησης διάθεσης της πληροφορίας σε κάθε εξουσιοδοτημένο λογικό

υποκείμενο του συστήματος.

Ο [Μουλίνος, 2003] αναφέρει ότι σε αρκετές ερευνητικές εργασίες υποστηρίζεται πως οι

παραπάνω τρεις ιδιότητες δεν επαρκούν, για να οριστεί η ασφάλεια πληροφοριών. Στις

πρόσθετες ιδιότητες που έχουν προταθεί είναι η αυθεντικότητα (authenticity) [Parker,

1995], δηλ. η απόδειξη της προέλευσης και του ιδιοκτήτη της πληροφορίας, η εγκυρότητα



Σελ. 48

(validity) [Γκρίτζαλης, 1996], δηλαδή ότι η πληροφορία αντιπροσωπεύει την

πραγματικότητα και είναι επίκαιρη, ενώ σε άλλες έρευνες [BOLERO, 1995]

αναφέρονται οι ιδιότητες της μοναδικότητας (uniqueness), δηλαδή η αδυναμία

αντιγραφής και αναπαραγωγής της πληροφορίας χωρίς εξουσιοδότηση και η μη

αποποίηση (non-repudiation) δηλαδή η αδυναμία άρνησης των ενεργειών που έχουν

εκτελεστεί για την τροποποίηση, την αποστολή ή τη λήψη μίας πληροφορίας.

Ο [Μουλίνος, 2003] παρατηρεί ότι:

«…Η ύπαρξη διαφορετικών θεωρήσεων για τις ιδιότητες της ασφάλειας δεν πρέπει να

θεωρηθεί παράδοξο, καθώς στον επιστημονικό τομέα της πληροφορικής, η ασφάλεια έχει

μεταφερθεί ως μία αφηρημένη έννοια, η οποία επιδέχεται ποικίλες ερμηνείες. Επίσης η

έννοια της ασφάλειας στο κοινωνικό σύνολο, αντιστοιχεί ουσιαστικά σε ένα ανθρώπινο

συναίσθημα. Έτσι ο όρος ασφάλεια αναφέρεται σε διάφορες ιδιότητες της πληροφορίας,

ανάλογα με την οπτική του ερευνητή και το ΠΣ στο οποίο αναφέρεται. Συνεπώς, σε κάθε

ειδική περίπτωση που μελετάμε πρέπει να ορίζουμε με σαφήνεια τις συγκεκριμένες

ιδιότητες της πληροφορίας που καλούμαστε να προστατέψουμε…».

Επιπρόσθετα θα πρέπει να τονιστεί ότι, παρά τη σαφήνεια και απλότητα των τυπικών

ορισμών που δίδονται για τις τρεις βασικές ιδιότητες, δεν είναι πάντα εύκολη η διάκριση

του κατά πόσον οι παραπάνω ιδιότητες της ασφάλειας των πληροφοριών διατηρούνται ή

έχουν παραβιαστεί ([Γκρίτζαλης, 1994]): οι εν λόγω ιδιότητες δεν είναι απόλυτα

μετρήσιμες, αλλά, σε ένα βαθμό, σχετικές και εξαρτώμενες από το περιβάλλον στο οποίο

λειτουργεί το ΠΣ. Ένα τυπικό παράδειγμα αποτελεί ο χρόνος απόκρισης σε ένα αίτημα

του χρήστη – σε ένα κρίσιμο σύστημα όπως μια στρατιωτική εφαρμογή πραγματικού

χρόνου ή ένα σύστημα διαχείρισης ενός πυρηνικού εργοστασίου, η αναμονή πάνω από

ένα ελάχιστο χρονικό διάστημα (όπως 10 δευτερόλεπτα) μπορεί να θεωρηθεί σαν

έλλειψη διαθεσιμότητας ενώ ο ίδιος χρόνος αναμονής σε μια εφαρμογή ηλεκτρονικής

διακυβέρνησης να θεωρηθεί αποδεκτός και αναμενόμενος.

2.2.3 Η Διαφορετικότητα των Απαιτήσεων Ασφάλειας

Είναι σαφές ότι οι απαιτούμενες ιδιότητες ασφάλειας των δεδομένων ενός ΠΣ δεν είναι



Σελ. 49

σταθερές, αλλά εξαρτώνται τόσο από τη δυναμικότητα του εν λόγω ΠΣ, αλλά και από το

περιβάλλον λειτουργίας του. Αναλυτικότερα, το επίπεδο ασφάλειας που απαιτείται για

να προστατευθεί ένα ΠΣ εξαρτάται από δύο παράγοντες [Μουλίνος, 2003]: (1) τη φύση

των διαχειριζόμενων δεδομένων και (2) το συγκεκριμένο χωρο-χρονικό πλαίσιο.

Τα υπό διαχείριση δεδομένα μπορεί να χαρακτηριστούν κάτω από συγκεκριμένες

συνθήκες ως άξια, ή μη, προστασίας. Τα δεδομένα που χρήζουν προστασίας από

δυνητικές απειλές αποκαλούνται ευπαθή. Για παράδειγμα, τα δεδομένα που αφορούν στη

στρατηγική ενός οργανισμού ή ενός στρατιωτικού σχεδίου άμυνας χρήζουν επαρκούς

προστασίας, ενώ επιπρόσθετης προστασίας χρήζουν τα ευαίσθητα προσωπικά δεδομένα

([Μουλίνος, 2003]). Η διαδικασία για την αποτίμηση της ανάγκης προστασίας των

δεδομένων ενός ΠΣ είναι η Κατηγοριοποίηση Πληροφοριών (Data Classification) και

συνήθως διεξάγεται σαν μέρος της Αποτίμησης Επικινδυνότητας (βλ. παράγραφο 2.3.1).

Το κοινωνικό περιβάλλον είναι μια άλλη διάσταση είναι που αφορά και επηρεάζει τη

διαμόρφωση των απαιτήσεων ασφάλειας ορισμένων δεδομένων. Η ίδια κατηγορία

δεδομένων είναι πιθανό να χρήζει προστασίας σε ένα συγκεκριμένο περιβάλλον ενώ σε

ένα άλλο να μην θεωρείται ευπαθές δεδομένο – λ.χ. η καταγραφή των χρηματικών

συναλλαγών σε ένα εμπορικό κατάστημα δεν αποτελεί ευπαθές δεδομένο, ενώ η

καταγραφή των χρηματικών συναλλαγών μεταξύ τραπεζών θεωρείται δεδομένο που

χρήζει υψηλού επιπέδου ασφάλειας [Μουλίνος, 2003]. Τέλος, στο χώρο των προσωπικών

δεδομένων, είναι πιθανό σε κάποιο περιβάλλον να έχει παγιωθεί ή να έχει γίνει ευρέως

αποδεκτή η άποψη ότι κάποιο από τα εν λόγω δεδομένα δεν είναι ευαίσθητο και συνεπώς

δεν απαιτείται η προστασία του· σχετικά παραδείγματα αποτελούν η υπηκοότητα και οι

καταναλωτικές συνήθειες, με συνεπικουρούμενες διαφορετικές πρακτικές ασφάλειας

ανάλογα με το περιβάλλον του ΠΣ (IS context).

2.2.4 Η Έννοια της Απειλής

Κατά τον ορισμό της ασφάλειας που δόθηκε στην παράγραφο 2.2.1, η ασφάλεια έχει

σκοπό την προστασία ενός ΠΣ από κάθε σκόπιμη ή τυχαία απειλή. Με τον όρο απειλή

εννοείται μια πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός

ή περισσότερων χαρακτηριστικών της ασφάλειας του ΠΣ [Γκρίτζαλης, 1996]. Οι απειλές

διακρίνονται σε δύο βασικές κατηγορίες: σκόπιμες είναι οι απειλές που προϋποθέτουν



Σελ. 50

κακή πρόθεση (malicious intent) ενώ τυχαίες είναι εκείνες που προκύπτουν από ενέργειες

που δεν προϋποθέτουν κακή πρόθεση (non-malicious intent). Θα πρέπει να σημειωθεί ότι

οι απειλές που προέρχονται από ανθρώπινες ενέργειες μπορούν να ανήκουν και στις δύο

κατηγορίες, ενώ στις απειλές που προέρχονται από μη ανθρώπινες ενέργειες δεν

καταλογίζεται πρόθεση, όπως οι φυσικές καταστροφές (”acts of God”) και οι αστοχίες

υλικού.

Σκόπιμες ή μη, οι απειλές εκμεταλλεύονται αδυναμίες ενός συστήματος για να

προκαλέσουν ζημιά στα αγαθά του. Με τον όρο ζημιά νοείται η ολική ή μερική απώλεια

μιας ή περισσοτέρων από τις ιδιότητες των αγαθών που χρήζουν προστασίας. Με τον όρο

αδυναμία νοείται:

«…μια ευπάθεια στις διαδικασίες ασφάλειας, στη σχεδίαση, στην υλοποίηση ή στους

εσωτερικούς μηχανισμούς ελέγχου ενός συστήματος η οποία μπορεί να γίνει αντικείμενο

εκμετάλλευσης (από τυχαίο γεγονός ή σκόπιμη πράξη) με αποτέλεσμα ένα ρήγμα ασφάλειας

ή μια παραβίαση της πολιτικής ασφάλειας του συστήματος» [NIST SP 800-30 (2002].

Οι σχέσεις μεταξύ απειλών, αδυναμιών και αγαθών συνοψίζονται στο Σχήμα 2.1

([Γκρίτζαλης, 2005]).

Σχήμα 2.1: Οι Σχέσεις Μεταξύ Απειλών, Αδυναμιών και Αγαθών (Πηγή: [Γκρίτζαλης, 2005])

ΕπικοινωνίεςΕπικοινωνίες

Λογισμικόκαι ΥλικόΛογισμικόκαι Υλικό Περιεχόμενο και

εγκαταστάσειςΠεριεχόμενο καιεγκαταστάσεις

Ανθρωποι καιΠολιτικές

Ανθρωποι καιΠολιτικές

ΑπειλέςΑπειλές

ΕυπάθειεςΕυπάθειες

ΕπιπτώσειςΕπιπτώσεις

Ακεραιότητα Εμπιστευτικότητα

Διαθεσιμότητα



Σελ. 51

Η αποτίμηση των απειλών εναντίον της ασφάλειας ενός συστήματος είναι εξαιρετικά

σημαντική διότι αποτελεί το πρώτο βήμα στο οποίο πρέπει να προβεί ένας οργανισμός

προκειμένου να δημιουργήσει ένα συνολικό Πλάνο Προστασίας (Protection Plan) της

ασφάλειας της πληροφοριακής υποδομής του. Η επιστημονική μεθοδολογία που

χρησιμοποιείται για την δημιουργία αυτού του πλάνου ονομάζεται Ανάλυση

Επικινδυνότητας – ΑΕ (Risk Analysis – RA), που περιγράφεται εκτενέστερα στην

παράγραφο 2.3.1. Η εκτίμηση των απειλών, είναι το σημείο έναρξης για κάθε

μεθοδολογία ανάλυσης επικινδυνότητας.

2.2.5 Η έννοια του Αντιμέτρου

Τα αντίμετρα (countermeasures) είναι τεχνικές και μηχανισμοί με τις οποίες δίνεται η

δυνατότητα αντιμετώπισης των απειλών κατά της ασφάλειας. Στην βιβλιογραφία

απαντώνται επίσης και οι όροι controls, measures και safeguards, για να αναφερθούν οι

σημαντικότεροι. Τα αντίμετρα μπορεί να είναι διαφορετικών επιπέδων, όπως:

Ø Οργανωσιακά, όπως η αναδιαμόρφωση του οργανογράμματος του οργανισμού

για τη δημιουργία τμήματος Εσωτερικού Ελέγχου,

Ø Διαδικαστικά, όπως η εισαγωγή διαδικασιών ελέγχου για τήρηση αντιγράφων

ασφάλειας,

Ø Τεχνικά, όπως η επιβολή κατάλληλων κανόνων ελέγχου στους δρομολογητές

(routers) και αναχώματα (firewalls) του οργανισμού προς παρεμπόδιση

κακόβουλων πακέτων δικτύου (packet filtering).

Οι [Denning and Denning, 1997] ταξινομούν τα αντίμετρα ως προς το χρόνο επιβολής

τους στην αντιμετώπιση των απειλών, σε τρεις κατηγορίες: (α) πρόληψη (Π), (β)

ανίχνευση (Α) και (γ) ανάνηψη (Αν). Στο [Μουλίνος, 2003] παρουσιάζεται μια

συσχέτιση των σημαντικότερων απειλών και των αντίστοιχων αντιμέτρων σύμφωνα με

την παραπάνω κατηγοριοποίηση (Πίνακας 2.1). Για μια εκτενή περιγραφή βασικών



Σελ. 52

τύπων απειλών και αντιμέτρων ο αναγνώστης παραπέμπεται στο [Μουλίνος, 2003], σελ.

41-64, ενώ σχετική συζήτηση παρατίθεται και στην ενότητα 2.3.2 του παρόντος.

Πίνακας 2.1: Συσχέτιση απειλών κατά της ασφάλειας και τεχνικών αντιμετώπισής τους (Πηγή: [Μουλίνος, 2003])

Μηχανισμοί

Απειλές

Κρυπτογραφία

Έλεγχος

αυθεντικότητας

(ψηφιακές υπογραφές)

Έλεγχος

προσπέλασης

και επίβλεψη

Έλεγχος

,

Ανίχνευση

εισβολών

Αντιμετώπιση

ιομορφικού

λογισμικού

Αντίγραφα

ασφάλειας

Ασφαλής

σχεδιασμός

Μη

εξουσιοδοτημ

ένη μεταβολή

Α Α Αν Π

Υπερφόρτωση Π Α Π

Ιομορφικό

λογισμικό ΑΠ Π Α ΑΠ Π

Λάθη στο

σχεδιασμό Π Α Π

Σπάσιμο

κωδικών Π

Μη

εξουσιοδοτημΠ Π Α Π



Σελ. 53

Μηχανισμοί

Απειλές

Κρυπτογραφία

Έλεγχος

αυθεντικότητας

(ψηφιακές υπογραφές)

Έλεγχος

προσπέλασης

και επίβλεψη

Έλεγχος

,

Ανίχνευση

εισβολών

Αντιμετώπιση

ιομορφικού

λογισμικού

Αντίγραφα

ασφάλειας

Ασφαλής

σχεδιασμός

ένη πρόσβαση

Ωτακουστές Π Π

Πλαστοπροσω

πία ΑΠ Α Π

2.3 Εισαγωγή στη Διαχείριση Επικινδυνότητας ΠΣ (ΔΕ)

Υπάρχουν πολλοί ορισμοί της έννοιας του κινδύνου, κυρίως διότι η λέξη κίνδυνος (risk)

έχει διαφορετική έννοια σε διαφορετικά περιβάλλοντα. Ένας από τους πιο πλήρεις και

περιεκτικούς ορισμούς στην ασφάλεια πληροφοριών προέρχεται από τον Διεθνή

Οργανισμό Προτυποποίησης (ISO) [ISO 13335-1, 1996] και χρησιμοποιείται ευρέως στο

χώρο της διαχείρισης ασφάλειας ΠΣ καθότι συνδυάζει τις έννοιες του κινδύνου, των

αγαθών και των απωλειών των τελευταίων, όροι οι οποίοι είναι άμεσα αντιληπτοί από τις

Διοικήσεις των ΠΣ:

“Η δυνατότητα μιας δεδομένης απειλής να εκμεταλλευτεί ευπάθειες σε ένα αγαθό ή ομάδα

αυτών με συνέπεια πρόκληση απώλειας ή ζημιάς στα αγαθά. Η επίπτωση ή σχετική

σοβαρότητα του κινδύνου είναι ανάλογη με την επιχειρησιακή αξία της απώλειας / ζημιάς

και την εκτιμώμενη πιθανότητα εκδήλωσης της απειλής.”



Σελ. 54

Η ανάλυση επικινδυνότητας είναι ένα από τα μέρη του τρίπτυχου που συνθέτουν τη

Διαχείριση Επικινδυνότητας (Risk Management) [τα άλλα δύο είναι η μείωση των

κινδύνων και η αξιολόγηση του επιπέδου ασφάλειας μέσω του ελέγχου] [NIST SP 800-

30 (2002]. Στις επόμενες ενότητες θα περιγραφούν συνοπτικά οι τρεις αυτοί άξονες, που

απεικονίζονται συνολικά στο Σχήμα 2.2.

Σχήμα 2.2: Οι Τρεις Άξονες της Διαχείρισης Επικινδυνότητας (Πηγή: [NIST SP 800-30, 2002])

Ανάλυση Επικινδυνότητας

Μείωση των Κινδύνων

Αξιολόγηση του Επιπέδου Ασφάλειας

2.3.1 Ανάλυση Επικινδυνότητας

Η ανάλυση επικινδυνότητας είναι μια «…οργανοτεχνική μελέτη η οποία μελετά τις

απειλές, τις ευπάθειες και τα αγαθά ενός οργανισμού και προτείνει τα μέτρα ασφάλειας που

πρέπει να ληφθούν για την αντιμετώπιση των προσδιορισμένων απειλών» [Μουλίνος,



Σελ. 55

2003]. Στην πράξη, ο κίνδυνος είναι ένα μέτρο της πιθανότητας πραγματοποίησης ενός

συγκεκριμένου ανεπιθύμητου γεγονότος και (συνήθως3) είναι άμεσα συνδεδεμένος με

ένα ή περισσότερα στοιχεία του συστήματος (βλ. και ενότητα 2.2.1 για τα κύρια στοιχεία

ενός ΠΣ). Αυτή η πιθανότητα εξαρτάται τόσο από την πιθανότητα της πραγματοποίησης

της επίθεσης όσο και από την πιθανότητα επιτυχίας της, η οποία ακολούθως εξαρτάται

από την επιτυχή εκμετάλλευση αδυναμιών του συστήματος. Η διαδικασία αποτίμησης

του κινδύνου λαμβάνει υπόψη τόσο την πιθανότητα πραγματοποίησης της απειλής, όσο

και την επίπτωση που θα έχει η τελευταία στο ΠΣ προκειμένου να εκτιμήσει το βαθμό

εκείνο στον οποίο ο κίνδυνος πρέπει να μειωθεί με κατάλληλα μέτρα. Η αξία της

αποτίμησης βάσει του κινδύνου (risk-based reasoning) έγκειται στο ότι παρέχει κριτήρια

αποφάσεων για τις απαιτήσεις ασφάλειας (security requirements) εν μέσω του

επιχειρησιακού και κοινωνικού περιβάλλοντος. Η αποτίμηση κινδύνων αναγνωρίζεται

καθολικά σαν η μόνη βιώσιμη μέθοδος για την τεκμηρίωση των μέτρων ασφάλειας σε

όρους κόστους – ωφέλειας (cost-benefit justification), ή, εναλλακτικά, για την εκλογή

των αποδοτικότερων αντιμέτρων. Σαν συνέπεια, η διαχείριση κινδύνων είναι η βάση των

περισσοτέρων εθνικών προτύπων για διαχείριση ασφάλειας πληροφοριών [NIST SP 800-

12, 1995], [NIST SP 800-30 (2002], [BSI-EN, 2002], [Alberts and Dorofee, 2001] και

βέλτιστες πρακτικές [BSI-EN, 2001], [NIST SP 800-14, 1996]. Παρά την ύπαρξη

διαφορετικών βαθμών ελευθερίας στην εκλογή των μεθοδολογιών για την εκπόνηση μιας

μελέτης ανάλυσης επικινδυνότητας4, τα εν λόγω πρότυπα ακολουθούν τυπικά την ίδια

διαδικασία για τη διαχείριση των κινδύνων, η οποία έχει τα εξής βασικά βήματα:

3 Στα περισσότερα συστήματα διαχείρισης κινδύνων, ο κίνδυνος είναι άμεσα συνδεδεμένος με ένα ή

περισσότερα στοιχεία του ΠΣ (assets) – εξαίρεση αποτελούν τα πλαίσια διαχείρισης κινδύνων

προσανατολισμένα σε διεργασίες πληροφορικής (όπως το COBIT) που οι κίνδυνοι συνδέονται έμμεσα με

τα στοιχεία του ΠΣ. 4 Για παράδειγμα, το πρότυπο [BSI-EN, 2002] αναφέρει μόνο την ανάγκη υιοθέτησης ενός «συστηματικού

τρόπου για τη διεξαγωγή της ΑΕ», χωρίς να καθορίζει συγκεκριμένες μεθοδολογίες. Σε αντίθεση, το de

facto πρότυπο 800-30 του NIST [NIST SP 800-30, 2002] καθορίζει συγκεκριμένη μεθοδολογία ανάλυσης

ενταγμένη στη Διαχείριση Επικινδυνότητας.



Σελ. 56

Ø Ορισμός του περιβάλλοντος και των ορίων του ΠΣ,

Ø Εντοπισμός των αγαθών του ΠΣ, και ανεπιθύμητες καταστάσεις που ενδέχεται να

προκύψουν σε αυτά τα αγαθά,

Ø Αποτίμηση των κινδύνων κάθε απειλής για κάθε αγαθό, λαμβάνοντας υπόψη

πιθανές επιθέσεις και αδυναμίες,

Ø Εκλογή κατάλληλων αντιμέτρων (εάν επιλεχθεί η προσέγγιση λήψης

αντιμέτρων),

Ø Υλοποίηση, εφαρμογή και περιοδική επανα-αποτίμηση του επιπέδου κινδύνου.

Οι διαφορές μεταξύ των προσεγγίσεων διαχείρισης κινδύνων περιλαμβάνουν τον τρόπο

ποσοτικοποίησης των κινδύνων, τον προσανατολισμό της προσέγγισης σε αποτίμηση

βασισμένη σε αγαθά (asset-based approaches) ή σε διεργασίες πληροφορικής (process-

based approaches), και το επίπεδο γνώσεων και εξειδίκευσης που απαιτείται από τον

ειδικό ασφάλειας για την εφαρμογή των αντιμέτρων [Chivers, 2006].

2.3.2 Μείωση των Κινδύνων

Η Μείωση των Κινδύνων, ο δεύτερος άξονας της Διαχείρισης Επικινδυνότητας είναι μια

συστηματική μεθοδολογία που υιοθετείται από τη Διοίκηση προκειμένου να μειώσει το

επίπεδο του κινδύνου για τον οργανισμό σε αποδεκτά επίπεδα. Αποτελείται από μια

σειρά ενεργειών που εμπλέκουν θέσπιση προτεραιοτήτων, αξιολόγηση και υλοποίηση

των κατάλληλων αντιμέτρων που προκύπτουν από την ανάλυση επικινδυνότητας [NIST

SP 800-30, 2002]. Με δεδομένη ότι η εξάλειψη όλων των κινδύνων είναι συνήθως μη-

εφαρμόσιμη ή σχεδόν αδύνατη, η Διοίκηση και οι επικεφαλής των επιχειρησιακών

μονάδων ενός οργανισμού έχουν την ευθύνη για την υιοθέτηση της πιο οικονομικής

λύσης και την υλοποίηση των καταλληλότερων αντιμέτρων προκειμένου να μειώσουν

τον κίνδυνο σε ένα αποδεκτό επίπεδο, με τη μικρότερη δυνατή επίδραση στους πόρους

και τη στρατηγική αποστολή (mission) του οργανισμού. Τα κύρια θέματα της μείωσης

κινδύνων είναι τα εξής: α) οι διαθέσιμες επιλογές για τη μείωση των κινδύνων (risk

mitigation options), β) η στρατηγική που θα υιοθετηθεί (risk mitigation strategy), γ) η

υλοποίηση των αντιμέτρων (control implementation), δ) οι διαφορετικές κατηγορίες των



Σελ. 57

αντιμέτρων (control categories), η ανάλυση κόστους – ωφέλειας για την αιτιολόγηση των

επιλεγμένων αντιμέτρων (cost-benefit analysis) και στ) ο εναπομένων κίνδυνος (residual

risk).

Αυτός ο στόχος μπορεί να επιτευχθεί μέσω οποιασδήποτε από τις επόμενες επιλογές

[NIST SP 800-30, 2002]: α) Αποδοχή του κινδύνου, β) αποφυγή του κινδύνου, γ) μείωση

του κινδύνου, δ) κατάρτιση σχεδίου μείωσης κινδύνου, ε) έρευνα για τρόπους διόρθωσης

της αδυναμίας που προκαλεί τον κίνδυνο, και στ) μεταφορά του κινδύνου σε τρίτα μέρη

(όπως ασφάλιση). Με δεδομένο ότι οι στόχοι ενός οργανισμού καθορίζουν και τη

λειτουργία του, δεν υπάρχει ένας μόνο τρόπος για τη μείωση του κινδύνου. Οι βέλτιστες

πρακτικές συνιστούν χρήση κατάλληλων τεχνολογιών από τους προμηθευτές προϊόντων

ασφάλειας, σε συνδυασμό με τις βέλτιστες τεχνοδιαμορφώσεις στους πόρους ΠΣ, αλλά

και με διαδικαστικά και λειτουργικά μέτρα. Μια αναλυτική συζήτηση για υλοποίηση και

σχεδιασμό μέτρων ασφάλειας ΠΣ μπορεί να αναζητηθεί στα [NIST SP – 800-18, 2006]

και [NIST SP 800-12, 1995]. Συνοπτικά οι κυριότερες κατηγορίες των μέτρων είναι οι

εξής (κάποιες δέσμες μέτρων ενδέχεται να ανήκουν σε περισσότερες από μια

κατηγορίες):

Ø Τεχνικά μέτρα ασφάλειας, που στοχεύουν στα τεχνικά χαρακτηριστικά των

πόρων και περαιτέρω χωρίζονται σε:

a. Υποστηρικτικά (ταυτοποίηση, διαχείριση κρυπτογραφικών κλειδιών,

διαχείριση ασφάλειας, βέλτιστες λειτουργικές πρακτικές),

b. Προληπτικά (αυθεντικοποίηση, ταυτοποίηση, επιβολή ελέγχου

πρόσβασης, μη-αποποίηση ευθύνης, προστατευμένες επικοινωνίες,

μυστικότητα συναλλαγής),

c. Διαγνωστικά / Διορθωτικά (έλεγχος, ανίχνευση και περιορισμός εισβολών,

ακεραιότητα, σημεία επαναφοράς σε συνεπή συστημική κατάσταση,

ανίχνευση και εξάλειψη ιομορφικού λογισμικού),

Ø Διαδικαστικά μέτρα ασφάλειας, που δίνουν έμφαση στην τήρηση των πολιτικών,

προτύπων και διαδικασιών και περαιτέρω χωρίζονται σε:



Σελ. 58

d. Προληπτικά (καθορισμός ρόλων και υπευθυνοτήτων, ανάπτυξη σχεδίων

ασφάλειας, διαδικασίες πρόσβασης και διαχείρισης αλλαγών, επιμόρφωση

και εκπαίδευση σε θέματα ασφάλειας),

e. Διαγνωστικά (υλοποίηση μέτρων ασφάλειας για τους χρήστες, περιοδικοί

έλεγχοι ασφάλειας, διαδικασίες διαχείρισης κινδύνων, διαχείριση

εναπομένοντος κινδύνου),

f. Ανάκτησης Λειτουργιών (συνέχεια λειτουργιών ΤΠΕ, μονάδα διαχείρισης

περιστατικών ασφάλειας),

Ø Λειτουργικά μέτρα ασφάλειας, που δίνουν έμφαση στην τήρηση των ελάχιστων

αποδεκτών τεχνοδιαμορφώσεων (minimum baseline standards) με κατάρτιση

αναλυτικών οδηγών και διαδικασιών και περαιτέρω χωρίζονται σε:

g. Προληπτικά (έλεγχος πρόσβασης στα αποθηκευτικά μέσα και φυσική

ασφάλεια, ιομορφικό λογισμικό, διαδικασίες πρόσβασης, διαχείριση

κλειδιών και αναγνωριστικών, ασφάλεια εξοπλισμού, παροχή

εναλλακτικών λύσεων ΤΠΕ, ασφάλεια φορητών υπολογιστών, κ.α.),

h. Διαγνωστικά (φυσική ασφάλεια, προστασία του περιβάλλοντος

λειτουργίας του ΠΣ).

2.3.3 Αξιολόγηση του Επιπέδου Ασφάλειας

Ο τρίτος άξονας της Διαχείρισης Επικινδυνότητας είναι η Αξιολόγηση του Επιπέδου

Ασφάλειας, ή αλλιώς Έλεγχος Ασφάλειας ΠΣ. Όπως και στον πρώτο άξονα, η ανάλυση

επικινδυνότητας5 αποτελεί σημαντικό μέρος του σχεδιασμού του ελέγχου: μέσω του

εντοπισμού κινδύνων και ευπαθειών, ο ελεγκτής (σ.σ. ειδικός ασφάλειας που συνήθως

είναι διαφορετικό πρόσωπο από τον ειδικό που εκτέλεσε την αρχική ΑΕ, ενότητα 2.3.1)

5 Εδώ γίνεται αναφορά στην ΑΕ που γίνεται στο αρχικό στάδιο του ελέγχου ΠΣ, προκειμένου να

εντοπιστούν οι κρίσιμες περιοχές του ελέγχου. Τίποτα δεν εμποδίζει – τουναντίον, προτείνεται – η αρχική

άσκηση ΑΕ που γίνεται για τον εντοπισμό των κυριότερων κινδύνων του ΠΣ και των σχετικών αντιμέτρων

(ενότητα 2.3.1), να συνδέεται με την ΑΕ στο στάδιο του ελέγχου ΠΣ.



Σελ. 59

είναι σε θέση να προσδιορίσει τους απαραίτητους μηχανισμούς ελέγχου έτσι ώστε να

περιορίσει αυτούς τους κινδύνους σε ένα αποδεκτό επίπεδο. Από την πλευρά του, ο

ελεγκτής πρέπει να είναι σε θέση να προσδιορίσει και να διακρίνει επαρκώς τους

διαφορετικούς τύπους κινδύνων, όπως επίσης τη σπουδαιότητα και επάρκεια των

αντίστοιχων μέτρων ασφάλειας. Η εκτίμηση αυτή δεν πρέπει να γίνεται μόνο σε τεχνικό

επίπεδο αντιμέτρων, αλλά πρώτιστα και κύρια σε επίπεδο επιχειρησιακών λειτουργιών

[Τσούμας, 2004].

Επιπρόσθετα, ο ελεγκτής μέσω της ανάλυσης επικινδυνότητας έχει τη δυνατότητα να

κατηγοριοποιήσει και να εντοπίσει τους σημαντικότερους κινδύνους για το ΠΣ – με άλλα

λόγια, και τα αντικείμενα του επικείμενου ελέγχου, κάθε ένα από τα οποία είναι δυνατό

να οδηγήσει και σε ξεχωριστά Προγράμματα Ελέγχου (Audit Programs). Λόγω των

περιορισμένων τεχνολογικών και ανθρώπινων πόρων, συχνά είναι ανέφικτη η

πραγματοποίηση ενδελεχών ελέγχων για την αντιμετώπιση όλων των πιθανών κινδύνων

– μοιραία λοιπόν, ο ελεγκτής οδηγείται σε μια επιλογή ελεγκτικών στόχων, τόσο

ποσοτική (καθορισμός των αντικειμένων του ελέγχου) όσο και ποιοτική (σε ποιο επίπεδο

λεπτομέρειας θα διεξαχθεί ο έλεγχος). Σε αυτή τη δύσκολη διαδικασία, ο ελεγκτής έχει

σαν αρωγό την ανάλυση επικινδυνότητας.

Από την πλευρά της Ελεγκτικής ΠΣ, η ανάλυση επικινδυνότητας έχει τα εξής

πλεονεκτήματα για το σχεδιασμό του ελέγχου: α) Αποτελεσματική κατανομή των

περιορισμένων ελεγκτικών πόρων β) Διαβεβαίωση ότι είναι διαθέσιμη μια

αντιπροσωπευτική εικόνα του οργανισμού και του ΠΣ λαμβάνοντας πληροφορίες απ΄

όλα τα επίπεδα του οργανισμού συμπεριλαμβανομένων των υψηλών κλιμακίων της

Διοίκησης, επιτροπών, ελεγκτών ΠΣ και του χαμηλόβαθμου προσωπικού (η μεγάλη

σημασία συλλογής πληροφοριών από όλα τα κλιμάκια του οργανισμού, έγκειται στην

πληρότητα της εικόνας και εξακολουθητικά, στον ακριβή εντοπισμό των περιοχών

υψηλού κινδύνου) γ) Παροχή μιας αφετηρίας για αποτελεσματική διαχείριση του

τμήματος Εσωτερικού Ελέγχου δ) Σύνδεση του συγκεκριμένου αντικείμενου ελέγχου με



Σελ. 60

τον οργανισμό εν γένει, όπως και με τα επιχειρησιακά σχέδια του οργανισμού.

2.3.3.1 Μηχανισμοί Ελέγχου ΠΣ

Οι Μηχανισμοί Ελέγχου ΠΣ (IT Controls6) έχουν αναπτυχθεί προκειμένου να παρέχουν

μια εύλογη διαβεβαίωση ότι οι επιχειρησιακοί στόχοι (business objectives) που έχουν

τεθεί από τη Διοίκηση του ΠΣ θα επιτευχθούν, όπως και ότι ανεπιθύμητα περιστατικά

ασφάλειας του ΠΣ θα αποφευχθούν και/ή εντοπιστούν και διορθωθούν.

Οι μηχανισμοί ελέγχου διακρίνονται σε πολιτικές, διαδικασίες, πρακτικές και

οργανωσιακές δομές, και είναι τα μέσα με τα οποία υλοποιούνται οι Σκοποί του Ελέγχου

ΠΣ (IT Control Objectives). Οι μηχανισμοί αυτοί λειτουργούν σε κάθε επίπεδο του ΠΣ

με στόχο τη μείωση των απωλειών από εκδήλωση πιθανής απειλής και, περαιτέρω, την

ευθυγράμμιση με (ή μη-παρέκκλιση από) τους επιχειρησιακούς στόχους. Η ανώτερη

Διοίκηση είναι υπεύθυνη για την εμπέδωση μιας οργανωσιακής κουλτούρας με σκοπό να

διευκολυνθεί η λειτουργία του Ελέγχου ΠΣ, ο οποίος δεν πρόκειται απλά για ένα σύνολο

από διαδικασίες ή πολιτικές, οι οποίες ελέγχονται ή εφαρμόζονται σε (κάποιες) χρονικές

στιγμές: αντίθετα, οι σύγχρονες Διοικήσεις τείνουν να υιοθετήσουν μια προσέγγιση

Συνεχούς Ελέγχου (Continuous Auditing) των πληροφοριακών συστημάτων τους

προκειμένου να διαχειριστούν τους επιχειρησιακούς κινδύνους [Τσούμας, 2004]. Η

ποιότητα των μηχανισμών ελέγχου εξαρτάται από τον τύπο τους (Προληπτικοί,

Διαγνωστικοί, Διορθωτικοί, Αποτρεπτικοί), από το βαθμό αυτοματοποίησής τους

(χειροκίνητοι ή αυτοματοποιημένοι), και το βαθμό τεκμηρίωσής τους, δηλ. αν είναι τυπικά

ορισμένοι (καταγεγραμμένοι σε εγχειρίδια διαδικασιών ενώ επίσης διατηρούνται

ενδείξεις της λειτουργίας τους), είτε αυθαίρετοι (ad hoc).

2.3.3.2 Στόχοι των Μηχανισμών Ελέγχου

Οι Στόχοι των Μηχανισμών Ελέγχου ΠΣ (Control IT Objectives) εκφράζονται σαν ένα

6 Στη διεθνή βιβλιογραφία απαντάται και ο ορισμός “IT Internal Controls”, αφού οι μηχανισμοί ελέγχου

ΠΣ θεωρούνται εσωτερικοί του οργανισμού – οι δύο ορισμοί είναι ταυτόσημοι.



Σελ. 61

σύνολο από σαφείς δηλώσεις (statements) σχετικά με τα επιθυμητά αποτελέσματα της

εφαρμογής των μηχανισμών ελέγχου σε ένα ΠΣ (ή ένα υποσύστημα αυτού). Οι κύριοι

στόχοι των μηχανισμών ελέγχου κατηγοριοποιούνται ως ακολούθως:

Στόχοι ασφάλειας ΠΣ, όπως α) η προστασία των αγαθών του ΠΣ, β) η διαβεβαίωση της

ακεραιότητας των πληροφοριακών υποσυστημάτων σε επίπεδο λειτουργικού

συστήματος, συμπεριλαμβανομένων των δικτυακών διασυνδέσεών τους και γ) η

διαβεβαίωση της ακεραιότητας των πληροφοριακών υποσυστημάτων σε επίπεδο

εφαρμογών, συμπεριλαμβανομένων των οικονομικών και διαχειριστικών πληροφοριών

(στόχοι διαχείρισης πληροφοριών). Περιλαμβάνονται έλεγχοι για την αυθεντικοποίηση

της εισόδου δεδομένων, την ακρίβεια και πληρότητα της επεξεργασίας των συναλλαγών,

την αξιοπιστία των διαδικασιών επεξεργασίας του ΠΣ, την ακρίβεια, πληρότητα και

ασφάλεια των αποτελεσμάτων (output) του ΠΣ και την ακεραιότητα των βάσεων

δεδομένων.

Λειτουργικοί στόχοι, όπως διαβεβαίωση της αποτελεσματικότητας και αποδοτικότητας

των λειτουργιών του ΠΣ.

Στόχοι συμμόρφωσης, όπως συμφωνία με τις απαιτήσεις των χρηστών και με

οργανωσιακές πολιτικές και διαδικασίες, όπως επίσης και με το σχετικό νομικό και

κανονιστικό πλαίσιο.

Στόχοι ανάκτησης, όπως ανάπτυξη πλάνων λήψης αντιγράφων ασφάλειας και ανάκτησης

δεδομένων.

Στόχοι συνέχειας, όπως ανάπτυξη πλάνων αντιμετώπισης έκτακτων καταστάσεων (π.χ.

Συνέχειας Επιχειρησιακών Λειτουργιών και ανάκαμψης από καταστροφές).

Τα βασικά δομικά στοιχεία μηχανισμών ελέγχου ΠΣ είναι οι Λογιστικοί, Λειτουργικοί και

Διοικητικοί έλεγχοι, όπως αναλύονται παρακάτω.

Οι Λογιστικοί έλεγχοι απευθύνονται κύρια σε λογιστικές λειτουργίες και σκοπεύουν στην

ασφάλεια των αγαθών του ΠΣ και την αξιοπιστία των οικονομικών εγγραφών. Οι

Λειτουργικοί έλεγχοι ασχολούνται με τις καθημερινές λειτουργίες και δραστηριότητες

του ΠΣ, και εξασφαλίζουν την ευθυγράμμιση της λειτουργίας του ΠΣ με τους σκοπούς

του οργανισμού. Τέλος, οι Διοικητικοί έλεγχοι σχετίζονται με τη λειτουργική

αποτελεσματικότητα σε συγκεκριμένα υποσυστήματα του ΠΣ και συμμόρφωση με τις



Σελ. 62

πολιτικές που έχουν τεθεί από τη Διοίκηση. Οι διοικητικοί έλεγχοι υποστηρίζουν τους

λειτουργικούς ελέγχους έτσι ώστε να ικανοποιούνται οι στρατηγικές του οργανισμού.

Είναι σημαντικό ότι οι στόχοι ελέγχου έχουν εφαρμογή και παραμένουν οι ίδιοι σε όλα

τα είδη ΠΣ, ανεξάρτητα εάν τα τελευταία είναι αυτοματοποιημένα ή μη. Αυτό που

(μπορεί να) αλλάζει σε κάθε τύπο ΠΣ, είναι ο τρόπος υλοποίησης των στόχων ελέγχου

(δηλ. των αντίστοιχων μηχανισμών ελέγχου).

Οι στόχοι ελέγχου ΠΣ διατυπώνονται με τη μορφή προτάσεων – για παράδειγμα “Οι

πληροφορίες σε αυτοματοποιημένα συστήματα είναι ενημερωμένες και προστατεύονται

από μη-εξουσιοδοτημένη πρόσβαση”, “Κάθε συναλλαγή πραγματοποιείται μετά από

επιτυχή ταυτοποίηση και εξουσιοδότηση, ενώ διενεργείται μόνο άπαξ”, “Όλες οι αλλαγές

στο λογισμικό των λειτουργικών συστημάτων εγκρίνονται και ελέγχονται πριν από την

εφαρμογή τους”, κλπ.

Για την ικανοποίηση των παραπάνω στόχων, είναι απαραίτητη η διεξαγωγή ελέγχων που

ασχολούνται κυρίως με τις περιοχές που αποτυπώνονται παρακάτω (Πίνακας 2.2). Για

μια αναλυτικότερη ανάλυση θεμάτων Ελεγκτικής ΠΣ, ο αναγνώστης παραπέμπεται στο

[Τσούμας, 2004].

Πίνακας 2.2: Βασικές Περιοχές Ελέγχου ΠΣ (Πηγή: [Τσούμας, 2004])

Α/Α Κύριες Περιοχές Ελέγχου ΠΣ

1 Ορισμός (και διαχωρισμός) Ρόλων και Υπευθυνοτήτων (Roles &

Responsibilities and Segregation of Duties)

2 Πολιτική Ασφάλειας Πληροφοριών (Information Security Policy)

3 Διαδικασίες Πρόσληψης και Εκπαίδευσης Προσωπικού σε Επιχειρησιακές

Δράσεις (Recruitment Procedures and Operational Training Procedures)

4 Συστήματα Ελέγχου Λογικής Πρόσβασης (Logical Access Control Systems)

5 Συστήματα Ελέγχου Φυσικής Πρόσβασης (Physical Access Control Systems)



Σελ. 63

Α/Α Κύριες Περιοχές Ελέγχου ΠΣ

6 Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των

(υπο) συστημάτων του ΠΣ

7 Τεκμηρίωση Συστημάτων και Διαδικασιών (Systems and Procedures

Documentation)

8 Διεξαγωγή ελέγχων για εξακρίβωση της ακεραιότητας των μηχανισμών

αναφοράς του ΠΣ, του κώδικα του πυρήνα του λειτουργικού συστήματος

(kernel), κλπ.

9 Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των

εφαρμογών (applications) του ΠΣ.

Στα επόμενα και χωρίς απώλεια της γενικότητας θα αναφέρεται ο όρος Διαχείριση

Ασφάλειας (ΔΑ) προκειμένου για Διαχείριση Επικινδυνότητας ΤΠΕ.

2.4 Η Πολυδιάστατη Φύση της Διαχείρισης Ασφάλειας

Είναι σαφές ότι η διαχείριση ασφάλειας είναι κάτι πολύ ευρύτερο από μια επισκόπηση

των λεπτομερειών των τεχνικών ρυθμίσεων (technical configuration) των

πληροφοριακών πόρων, καθότι κάτι τέτοιο θα περιόριζε πολύ το εύρος και ουσιαστικά

θα διαστρέβλωνε / ευνούχιζε το χαρακτήρα της ΔΑ που είναι μια πολυδιάστατη

δραστηριότητα. Τόσο η ακαδημαϊκή έρευνα όσο και η εμπειρία έχουν δείξει ότι η

θεώρηση ενός αριθμού διαστάσεων (ολιστικές θεωρήσεις, [Gerber and von Solms,

2005]) ανταποκρίνεται πιο πιστά στην πραγματικότητα και επομένως ο συνδυασμός των

πληροφοριών ασφάλειας και η συστηματική ενσωμάτωσή τους σε ένα πολυσυλλεκτικό

πλαίσιο που στηρίζεται στη γνώση είναι επιτακτική και θα πρέπει να ληφθεί σοβαρά

υπόψη.

Στα επόμενα παρατίθενται συνοπτικά οι δέκα διαστάσεις της διαχείρισης ασφάλειας

κατά [von Solms, 2001] που καταδεικνύουν την συμπλοκότητα της διαχείρισης



Σελ. 64

ασφάλειας ΠΣ.

Ø Στρατηγική: η πληροφορία είναι το πολυτιμότερο αγαθό για σχεδόν κάθε

οργανισμό· κατά συνέπεια, η προστασία της επιχειρησιακής πληροφορίας μέσω

των κατάλληλων μέτρων ασφάλειας (θα πρέπει να) είναι στρατηγικής σημασίας

για τη βιωσιμότητα του οργανισμού.

Ø Οργανωσιακή: αυτή η διάσταση σχετίζεται με τη δομική και διαδικασιακή

οργάνωση της ΔΑ, και με την οργανωσιακή συμπεριφορά που σχετίζεται με την

ασφάλεια. Η σύσταση Επιτροπής Ασφάλειας, ο καθορισμός ρόλων και ο

διαχωρισμός καθηκόντων, η επικοινωνία μεταξύ των ρόλων ασφάλειας, η

ιεραρχία αναφορών (reporting line), και η γενικότερη εμπλοκή της διοίκησης στη

ΔΑ είναι θέματα που άπτονται της οργανωσιακής διάστασης.

Ø Πολιτική: η πολιτική ασφάλειας παίζει ένα σπουδαίο ρόλο εφόσον ορίζει ποια

πληροφοριακά αγαθά πρέπει να προστατευτούν και με ποιους τρόπους. Η

πολιτική ασφάλειας είναι το πλαίσιο εκείνο, το οποίο χρησιμεύει σαν σημείο

αναφοράς και συντονισμού προκειμένου να οριστούν και να εφαρμοστούν τα

μέτρα ασφάλειας. Αυτή η διάσταση περιλαμβάνει επίσης όλες τις σχετικές υπο-

πολιτικές, διαδικασίες και πρότυπα.

Ø Βέλτιστες Πρακτικές: προκειμένου να εφαρμοστεί αποτελεσματικά η διαχείριση

ασφάλειας, είναι σημαντικό να στηρίζεται σε αποδεδειγμένα αποδοτικές

πρακτικές. Μολοντούτο, αυτές οι πρακτικές καλύπτουν μόνο ένα περιορισμένο

αριθμό διαστάσεων – έτσι, είναι σημαντικό να εφαρμόζονται παράλληλα και

επιλεγμένες συμπληρωματικές πρακτικές από άλλες διαστάσεις.

Ø Δεοντολογία: παρόλο που αυτή η διάσταση δεν απολαμβάνει (ακόμη) της

σημασίας που της αναλογεί, αναμένεται ότι θα αποκτήσει μεγαλύτερη σημασία

τα επόμενα χρόνια7. Η έρευνα δείχνει ότι η ανθρώπινη συμπεριφορά

7 Ειδικά μετά από σκάνδαλα οικονομικού εγκλήματος τύπου Enron [Enron, 2001] και WorldCom

[WorldCom, 2002] όπου πολυεθνική ελεγκτική εταιρεία ορκωτών λογιστών που αναμίχθηκε στις



Σελ. 65

υπαγορεύεται ή επηρεάζεται από ηθικούς κανόνες· από την οπτική της

διαχείρισης ασφάλειας είναι λοιπόν σημαντικό να λαμβάνονται υπόψη αυτοί οι

κανόνες έτσι ώστε να λειτουργούν συναγωνιστικά και όχι ανταγωνιστικά προς

όφελος της αποτελεσματικότητας της ΔΑ.

Ø Πιστοποίηση: η συμβατότητα με βέλτιστες πρακτικές ασφάλειας είναι μια τάση

που κερδίζει δημοτικότητα, ειδικά σε μεγάλους οργανισμούς. Προκειμένου να

πιστοποιηθεί το επίπεδο συμβατότητας, διεξάγεται μια επιθεώρηση πιστοποίησης

(certification audit) από εξουσιοδοτημένους φορείς και καθορίζεται ένα επίπεδο

διαβεβαίωσης (assurance). Οι κύριοι λόγοι για μια πιστοποίηση είναι η σύγκριση

του επιπέδου ασφάλειας με τους οργανισμούς που δραστηριοποιούνται στον ίδιο

χώρο ή με έναν πιθανό συνεργάτη και η αύξηση της εμπιστοσύνης του τελικού

πελάτη του οργανισμού. Ο βαθμός αποδοχής των σχημάτων πιστοποίησης και ο

χρόνος που απαιτείται προκειμένου να πιστοποιηθεί ένας οργανισμός,

δυσχεραίνουν σημαντικά την εξάπλωσή τους.

Ø Νομικό / Κανονιστικό Πλαίσιο: στις μοντέρνες κοινωνίες οι ανθρώπινες

δραστηριότητες (και κύρια οι επιχειρηματικές) κυβερνώνται από τους νόμους και

κανονισμούς, εθνικούς και διεθνείς. Όσον αφορά την ασφάλεια πληροφοριών, η

εκτεταμένη νομολογία, ειδικά στην ΕΕ παίζει σημαντικό ρόλο και έτσι το

σύννομο της ΔΑ είναι κρίσιμο θέμα. Από την άλλη, η ολοένα αυξανόμενη

σημασία της προστασίας των προσωπικών δεδομένων θα συνεχίσει να

υπογραμμίζει τη σημασία αυτής της διάστασης.

Ø Ασφάλιση: σήμερα η επένδυση σε θέματα ασφάλειας αντιμετωπίζεται από τις

διοικήσεις σαν εσωτερικό κόστος που έμμεσα ανήκει στην κατηγορία των

ασφαλιστήριων συμβολαίων: επενδύεται ένα μέρος των πόρων του οργανισμού

για εξασφάλιση (σε κάποιο βαθμό) από κάποιους μελλοντικούς πιθανούς

κινδύνους, επηρεάζοντας θετικά την εμπιστοσύνη των ασφαλιστικών εταιρειών

που θα ασφαλίσουν το ΠΣ. Το ύψος αυτού του «ασφαλιστήριου συμβολαίου»

υποθέσεις αυτές, τελικά διαλύθηκε.



Σελ. 66

εξαρτάται από μια σειρά από παράγοντες που σχετίζονται άμεσα με την

αποτίμηση επικινδυνότητας και έμμεσα με την Πιστοποίηση, αφού οι

ασφαλιστικές εταιρείες ενδέχεται να στηριχτούν στα αποτελέσματα της

τελευταίας για τον υπολογισμό των ασφάλιστρων.

Ø Επίγνωση των θεμάτων ασφάλειας: τα αρτιότερα μέτρα ασφάλειας ενδέχεται

να (και τελικά θα) αποτύχουν· είναι συνεπώς σημαντικό να υπάρχει αυξημένη

επίγνωση και εγρήγορση του τελικού χρήστη. Το όφελος ενός ουσιαστικού, καλά

δομημένου και επικοινωνιακά άρτιου προγράμματος ενημέρωσης των χρηστών

για θέματα επίγνωσης σε θέματα ασφάλειας πληροφοριών δεν πρέπει (και δεν

μπορεί) να περνάει απαρατήρητο.

Ø Παρακολούθηση: λόγω της δυναμικής φύσης των σύγχρονων ΠΣ, είναι ζωτικής

σημασίας η συνεχής παρακολούθηση της ασφάλειας του συστήματος. Το

επίκεντρο της προσοχής σε αυτή τη διάσταση είναι η θέσπιση και τήρηση

διαδικασιών παρακολούθησης, ανάκαμψης και ανάλυσης της ασφάλειας του

συστήματος.

Επιπρόσθετα, ο Zuccato [Zuccato, 2005] προσθέτει ακόμη μια σημαντική διάσταση.

IV. Τεχνολογία: η τεχνική διάσταση σχετίζεται τόσο με τις τεχνολογικές απειλές όσο και

με τα τεχνικά αντίμετρα.

Οι διαστάσεις της διαχείρισης ασφάλειας και οι μεταξύ τους αλληλεξαρτήσεις κατά [von

Solms, 2001], [Zuccato, 2005] απεικονίζονται στο Σχήμα 2.3.



Σελ. 67

Σχήμα 2.3: Αλληλεξάρτηση των Διαστάσεων της Διαχείρισης Ασφάλειας (πηγή: [Zuccato, 2005])

Η ΔΑ από την πρακτική πλευρά της και προκειμένου να εφαρμοστεί στο ΠΣ,

τυποποιείται και εκφράζεται σαν ένα σύνολο κανόνων οι οποίοι καθορίζουν τους

αποδεκτούς τρόπους χρήσης των ΠΣ προκειμένου να επιτευχθούν οι στόχοι του. Οι

κανόνες αυτοί (συνήθως) αποτυπώνονται με τυπικό τρόπο σε ένα κείμενο (ή μια σειρά

από κείμενα) τα οποία επικυρώνονται από τη διοίκηση και επικοινωνούνται στους

χρήστες των ΠΣ. Οι κανόνες αυτοί αναπτύσσονται με γνώμονα την προστασία

συγκεκριμένων ιδιοτήτων (ακεραιότητα, εμπιστευτικότητα, διαθεσιμότητα) των στοιχείων

που συνθέτουν ένα ΠΣ (δεδομένα, λογισμικό, υλισμικό, εγκαταστάσεις και άνθρωπος)· η

επιτυχής μεταφορά τους και εφαρμογή στο ΠΣ έτσι ώστε να επιτυγχάνεται η

εξισορρόπηση της χρηστικότητας του ΠΣ από τη μια, και το αποδεκτό επίπεδο

ασφάλειας από την άλλη, είναι δημοφιλές ερευνητικό θέμα και σχετίζεται άμεσα με την

αποδοχή της πολιτικής ασφάλειας από τους χρήστες, την ωριμότητα της κουλτούρας

τους ως προς τον ενεργό ρόλο τους στη διασφάλιση των πληροφοριακών πόρων και

πάνω απ’ όλα στην διοικητική υποστήριξη του όλου εγχειρήματος.

Από την έρευνα και την εμπειρία προκύπτει ότι η αποδοτική και αποτελεσματική

διαχείριση των κινδύνων ασφάλειας με ένα αποδεκτό κόστος είναι μια επίπονη και αέναη

διαδικασία, με τη βελτιστοποίησή της να αποτελεί προς το παρόν ένα πολυσχιδές και

πολύπλοκο αντικείμενο που ξεπερνάει τα στενά όρια της τήρησης μιας λίστας

υποχρεώσεων και συστάσεων και συσχετίζεται με ένα σύνολο παραγόντων, με κυρίαρχο



Σελ. 68

ρόλο να παίζει η αντίληψη που διαμορφώνουν τα διοικητικά στελέχη του οργανισμού

σχετικά με την επικινδυνότητα ([Straub, 1990], [Τσώχου, 2004]). Στα πλαίσια της

παρούσας διατριβής, η έρευνα θα επικεντρωθεί στην υλοποίηση των μέτρων ασφάλειας

που προδιαγράφονται σε μια σειρά από κείμενα όπως η Ανάλυση Επικινδυνότητας και οι

Πολιτικές Ασφάλειας, κάνοντας χρήση μιας πολυσυλλεκτικής προσέγγισης που

βασίζεται στη γνώση.

2.5 Προσεγγίσεις στη Διαχείριση Ασφάλειας ΠΣ

Οι παραδοσιακές προσεγγίσεις στη ΔΑ αναμφίβολα προσφέρουν σημαντικά οφέλη στους

οργανισμούς που τις υιοθετούν όπως συστηματική προσέγγιση των κινδύνων και των

επιπτώσεών τους, εμπειρία ετών που βοηθά στη διήθηση των πιο αποτελεσματικών

τεχνικών και συσσωρευμένη εμπειρία σε επιχειρησιακές δομές και σχήματα διαχείρισης

κινδύνων, για να αναφέρουμε μερικά. Σε αυτό το δύσκολο έργο, η ΑΕ είναι ένα πολύτιμο

εργαλείο στα χέρια των ειδικών ασφάλειας: ώριμα εργαλεία λογισμικού που βοηθούν

στην εκτέλεση ασκήσεων ΑΕ είναι διαθέσιμα ([CRAMM, 2005], [COBRA, 2006]), ενώ

σε κάποια ακαδημαϊκά ιδρύματα γίνεται χρήση τους για εκπαιδευτικούς σκοπούς

[Γκρίτζαλης, 2001]. Από την άλλη μεριά, είναι σαφές ότι δεν υπάρχει κάποια

συστηματική προσέγγιση η οποία να καλύπτει αποτελεσματικά όλες τις διαστάσεις της

ΔΑ όπως αυτές αναφέρθηκαν στην ενότητα 2.4. Σε αυτό το συμπέρασμα συνάδουν και

τα αποτελέσματα από τις έρευνες ασφάλειας [Ernst & Young, 2005], [Gordon et al.,

2004], [DTI and Coopers, 2002] και [DTI, 2000].

Ιστορικά, η πρώτη και απλούστερη προσέγγιση στη διαχείριση ασφάλειας ήταν η

«Διαισθητική» Διαχείριση Ασφάλειας, η οποία υιοθετείται κυρίως σε οργανισμούς

μικρού μεγέθους όπου επαρκείς πόροι για τη ασφάλεια δεν είναι διαθέσιμοι και δεν

προβλέπονται ρόλοι και υπευθυνότητες ασφάλειας πληροφοριών. Σε ένα τέτοιο

περιβάλλον, η ασφάλεια γίνεται αντικείμενο διαχείρισης «κατά περίπτωση», όταν

προκύψει κάποιο περιστατικό ασφάλειας (με την προϋπόθεση ότι το τελευταίο θα γίνει

αντιληπτό). Η προσέγγιση αυτή καλύπτει λίγες διαστάσεις της ΔΑ και κρίνεται εξ’

ορισμού ανεπαρκής.

Οι πιο μοντέρνες προσεγγίσεις ΔΑ ακολουθούν γενικά την ταξινομία του [Baskerville,

1993], που προτείνει τρεις γενιές προσεγγίσεων στη σχεδίαση ασφαλών ΠΣ:



Σελ. 69

I. Βασισμένες σε Λίστες Ελέγχων (Checklists),

II. Βασισμένες στη Μηχανιστική Προσέγγιση (Systems Engineering), και

III. Βασισμένες σε Λογικούς Μετασχηματισμούς (Logical Transformations).

Περαιτέρω, ο Zuccato [Zuccato, 2005] προσθέτει άλλες δύο γενιές, ως εξής:

IV. Βασισμένες στην επιχειρηματική – τεχνική διάσταση (Business – Technical) και

V. Ολιστικές προσεγγίσεις (Holistic approaches).

Παρά την παλαιότητα της μελέτης του [Baskerville, 1993], τα συμπεράσματά της

παραμένουν (σχετικά) επίκαιρα. Τα κυριότερα σημεία των προσεγγίσεων σχεδιασμού

ασφαλών ΠΣ κατά Baskerville είναι τα εξής:

Λίστες Ελέγχων (Checklists): οι λίστες ελέγχων, προερχόμενες από το χώρο της

διαδικασιακής προστασίας (safety), έχουν γίνει δημοφιλείς και στην ασφάλεια

πληροφοριών. Στις λίστες αυτές παρουσιάζονται είτε οι προδιαγραφές των αντιμέτρων

που πρέπει να υλοποιηθούν (χωρίς πάντα άμεση σύνδεση με την υλοποίησή τους) [ISO

17799, 2005], [BSI-DE, 2003]8, είτε έναν αριθμό από κινδύνους και / ή απειλές οι

οποίοι(ες) πρέπει να περιοριστούν. Οι λίστες ελέγχων επιτρέπουν στους ειδικούς

ασφάλειας την επιλογή από μια εκτεταμένο κατάλογο αντιμέτρων. Χρησιμοποιούνται

τεχνικές ΑΕ για να ποσοτικοποιήσουν την αξία των αντιμέτρων και έτσι να οδηγηθούν

σε μια προσέγγιση κόστους-ωφέλειας, ενώ τείνουν να καλύπτουν τους κυριότερους

κινδύνους, χρησιμοποιώντας μια bottom-up προσέγγιση, εξετάζοντας αντίμετρα για όλα

τα πιθανά στοιχεία του συστήματος [Chivers, 2006]. Οι περισσότερες προσεγγίσεις

αυτής της κατηγορίας παρέχουν ένα βασικό επίπεδο ασφάλειας (baseline security level)

που θεωρείται αποδεκτό για συγκεκριμένα περιβάλλοντα πληροφορικής τα οποία είναι

8 Ο διαχωρισμός των προδιαγραφών των αντιμέτρων από τις εκάστοτε υλοποιήσεις τους ισχύει εν μέρει για

το [BSI-DE, 2003], καθότι παρέχει επίσης και συγκεκριμένα μέτρα για συγκεκριμένες τεχνολογικές

πλατφόρμες.



Σελ. 70

σχετικά απομονωμένα από το περιβάλλον και η ΔΑ μπορεί να θεωρηθεί με ένα

αποσπασματικό τρόπο· οι πολύπλοκες επιχειρησιακές διεργασίες (business processes), η

ανοικτή αρχιτεκτονική, η αυξημένη διασυνδεσιμότητα και η σύγκλιση των τεχνολογιών

που αποτυπώνονται στα σύγχρονα πληροφοριακά συστήματα, καταδεικνύει τις

προσεγγίσεις που στηρίζονται σε λίστες ελέγχου κατάλληλες για υποστηρικτικό ρόλο και

όχι σαν τη βάση της όλης λειτουργίας της ΔΑ [Zuccato, 2005].

Οι Βέλτιστες Πρακτικές ανά Κλάδο αποτελούν μια βελτίωση των λιστών ελέγχου:

αυτές οι προσεγγίσεις συντίθενται από τις συσσωρευμένες εμπειρίες των ειδικών

ασφάλειας, αξιοποιώντας κατάλληλα ρυθμίσεις διαχείρισης και τεχνοδιαμόρφωσης των

εν λόγω συστημάτων πληροφορικής, τόσο σε επίπεδο λειτουργικών συστημάτων, όσο

και σε επίπεδο καθολικών επιχειρησιακών εφαρμογών όπως συστημάτων Enterprise

Resource Planning (ERP). Αποτελούν μια βελτίωση των λιστών ελέγχου καθότι δεν

παρέχουν μόνο μια σειρά από συνιστώμενες ενέργειες, αλλά και μια αδρή μεθοδολογία

υλοποίησης. Παρόμοιες πρακτικές παρέχονται κύρια από εταιρείες συμβούλων

πληροφορικής, οι οποίες επιπρόσθετα υποστηρίζουν και την υλοποίησή τους. Παρόλα

αυτά, τέτοιες προσεγγίσεις συχνά αποδεικνύονται δεσμευτικές για τον οργανισμό και/ή

απαιτούν τη χρήση συγκεκριμένων υπηρεσιών / εργαλείων τα οποία διαθέτουν οι εν

λόγω προμηθευτές· κατά συνέπεια, αυτές οι προσεγγίσεις ενδέχεται να συνδράμουν

ουσιαστικά μόνο κατά περίπτωση στη ΔΑ δυναμικών και ευμετάβλητων συστημάτων

πληροφορικής.

Συστημική Προσέγγιση (Systems Engineering): Αυτές οι προσεγγίσεις εφαρμόζονται

με τρόπο top-down, χρησιμοποιώντας την βασική προσέγγιση διαχείρισης

επικινδυνότητας μέσω της ΑΕ (ενότητα 2.3.1) και συνήθως υποστηρίζονται από ημι-

αυτοματοποιημένα εργαλεία λόγω της πολυπλοκότητας του υπολογισμού της

αποτίμησης κινδύνων (όπως τα CRAMM [CRAMM, 2005] και RiskWatch [RiskWatch,

2006]). Τα περισσότερα εργαλεία υποστηρίζουν βάσεις δεδομένων με αδυναμίες και

αντίμετρα, ενώ κάποια υποστηρίζουν πιθανοτικά μοντέλα για παραγωγή απλών σεναρίων

(What-If Scenarios). Η συστημική προσέγγιση στη διαχείριση κινδύνων είναι και σήμερα

η κυρίαρχη, όπως και εν πολλοίς την εποχή συγγραφής του [Baskerville, 1993]. Στην

προσπάθειά τους να αποκτήσουν συμβατότητα με τα κυρίαρχα σήμερα πλαίσια

διαχείρισης κινδύνων όπως το BS7799, συνδέουν τα αποτελέσματα της ΑΕ με τις



Σελ. 71

ενότητες των προτύπων, διαιωνίζοντας το πρόβλημα της ασάφειας των παραγόμενων

αντιμέτρων για τον ειδικό ασφάλειας που θα τα εφαρμόσει.

Λογικοί Μετασχηματισμοί (Logical Transformations): η τελική γενιά του σχεδιασμού

ασφαλών συστημάτων του Baskerville, περιγράφει μια προσέγγιση κατά την οποία ο

σχεδιασμός συστημάτων βασίζεται σε ανάλυση κινδύνων και κινείται προς πιο

αφηρημένα μοντέλα αναπαράστασης τα οποία επιτρέπουν ένα συνδυασμό σχεδιασμού

ασφάλειας και ανάλυσης απαιτήσεων από τη μεριά των ιδιοκτητών, ανεξάρτητα από τη

φυσική υλοποίηση:

«…ο βασικός στόχος της τρίτης γενιάς είναι η αφαίρεση (abstraction) των χώρων του

προβλήματος και της λύσης. Το πιο αποτελεσματικό μέσο για την ανακάλυψη της βέλτιστης

λύσης είναι η μοντελοποίηση των βασικών ιδιοτήτων του πληροφοριακού προβλήματος και

της λύσης του» [Baskerville, 1993]).

Η υλοποίηση της τελικής γενιάς σχεδιασμού συστημάτων κατά Baskerville που κάνει

εκτενή χρήση της ΑΕ δεν έχει ακόμη υλοποιηθεί και αποτελεί ένα βασικό κίνητρο για

την παρούσα έρευνα, καθώς θέτει το πλαίσιο για μια ριζικά βελτιωμένη, ολιστική

προσέγγιση στη ΔΑ από τις ήδη υπάρχουσες, χρησιμοποιώντας αφηρημένες

αναπαραστάσεις συστημάτων.

Στην επόμενη ενότητα παρατίθεται το ερευνητικό πρόβλημα της διατριβής και η

προτεινόμενη προσέγγιση για την αντιμετώπισή του.

2.6 Το Ερευνητικό Πρόβλημα και η Προτεινόμενη Προσέγγιση

Από την ανασκόπηση στις προσεγγίσεις διαχείρισης ασφάλειας ΠΣ που προηγήθηκε,

είναι σαφές το ερευνητικό ενδιαφέρον της περιοχής: στο μεταβαλλόμενο περιβάλλον των

σύγχρονων Πληροφοριακών Συστημάτων, η ανάγκη ύπαρξης διαδικασιών

αποτελεσματικής και αποδοτικής Διαχείρισης της Ασφάλειας των Πληροφοριακών Συ-

στημάτων αυτών είναι αυταπόδεικτη. Η τρέχουσα πρακτική αντιμετώπιση βασίζεται στη

θέσπιση ενός πλαισίου ΔΑΠΣ, το οποίο (τελικά, και εκτός των άλλων) αντιστοιχίζεται σε

μια σειρά συνδυαστικών μέτρων ασφάλειας, η εφαρμογή των οποίων μειώνει την έκθεση

των αγαθών του ΠΣ (risk level) σε αποδεκτά επίπεδα.

Για την εκτίμηση του βαθμού έκθεσης των αγαθών σε κίνδυνο εφαρμόζεται η μεθο-



Σελ. 72

δολογία της Αποτίμησης Επικινδυνότητας (Risk Assessment). Η ΑΕ διεξάγεται, λόγω

της πολυπλοκότητας των ΠΣ υψηλού κινδύνου (security-critical information systems), με

τη βοήθεια σχετικών μεθόδων και εργαλείων λογισμικού (όπως COBRA, CRAMM

κλπ.). Με τον τρόπο αυτό προκύπτουν τα τεχνικά, διαδικαστικά και οργανωτικά μέτρα

τα οποία διασφαλίζουν επαρκή (adequate) ασφάλεια στο ΠΣ. Στο σημείο αυτό εδράζεται

η βάση του ερευνητικού προβλήματος. Συγκεκριμένα, η ασάφεια και η γενικότητα των

παραγόμενων-αναγκαίων μέτρων ασφάλειας, σε συνδυασμό με τον υποκειμενισμό του

ειδικού επιστήμονα (security expert) που καλείται να τα εφαρμόσει, προκαλεί συνήθως α-

στοχίες (που αντιμετωπίζονται με επιπρόσθετα ad hoc ρυθμιστικά τεχνικά μέτρα ή

διαδικασίες), ενώ κάποιες φορές ενδέχεται να οδηγήσει το συνολικό πλαίσιο διαχείρισης

της ασφάλειας του ΠΣ ακόμη και σε αποτυχία [Tsoumas and Tryfonas, 2004], [Tsoumas

et al., 2005].

Η παρούσα κατάσταση στο χώρο της ΔΑΠΣ απεικονίζεται στο Σχήμα 2.4. Το κεντρικό

σημείο είναι ο Ειδικός Ασφάλειας ο οποίος δέχεται ένα καταιγισμό πληροφοριών από

διάφορες πηγές πληροφορίας οι οποίες διακρίνονται σε δύο επίπεδα:

Ø τις ασαφείς πηγές πληροφορίας (με πράσινο), δηλ. οι αδόμητες και με διαφορετικό

επίπεδο λεπτομέρειας στην περιγραφή του αντιμέτρου όπως τα αντίμετρα από την

ΑΕ, οι δηλώσεις πολιτικών ασφάλειας, οι διοικητικές αποφάσεις, τα υψηλού

επιπέδου αντίμετρα (βέλτιστες πρακτικές από γνωστά πρότυπα όπως το

ISO17799 [BSI-EN, 2001], COBIT [ITGI COBIT, 2000], ITIL [ITIL, 2003]…),

οι σχετικές λίστες ηλεκτρονικού ταχυδρομείου κλπ.

Ø τις σαφείς (με μαύρο), δηλ. τις μη επιδεχόμενες ερμηνεία, όπως η πληροφορία

από την τεχνολογική υποδομή και ένα μέρος από τις συστάσεις

τεχνοδιαμόρφωσης των προμηθευτών και τις συλλογές βέλτιστων πρακτικών.

Το αναμενόμενο αποτέλεσμα από την διαδικασία της αντιστοίχησης των απαιτήσεων

ασφάλειας από τις διαφορετικές πηγές πληροφορίας είναι ένα σύνολο από σαφείς οδηγίες

/ πράξεις οι οποίες:

Ø Εφαρμόζονται στις τεχνικές συνιστώσες του ΠΣ και

Ø Υλοποιούν τις απαιτήσεις ασφάλειας του ΠΣ.



Σελ. 73

Σχήμα 2.4: Διαχείριση Ασφάλειας – Τρέχουσα Προσέγγιση

Η διατριβή προτείνει μια νέα προσέγγιση στο θέμα της ΔΑΠΣ, αξιοποιώντας

αποτελεσματικά όλες τις πηγές που είναι διαθέσιμες και παρέχουν πληροφορίες σχετικά

με την ασφάλεια του ΠΣ. Επίσης, η διατριβή παρέχει ένα τεκμηριωμένο μεθοδολογικό

πλαίσιο, το οποίο επιτυγχάνει να συνδυάσει τις απαιτήσεις ασφάλειας υψηλού επιπέδου

(generic security requirements) με τα εφαρμοστέα τεχνικά μέτρα ασφαλείας.

Αφορμή για την παρούσα έρευνα απετέλεσαν οι παρακάτω διαπιστώσεις:

Ø Η σύνδεση των αποτελεσμάτων της ΑΕ με τα τελικώς εφαρμοστέα μέτρα



Ø Τυχόν επαναχρησιμοποίηση των διαθέσιμων πληροφοριών, καθώς και της υπάρ-



Ø Η αξιοποίηση των ποικίλλων και συνήθως ανομοιογενών πηγών πληροφοριών





Σελ. 74

Ø Η “αντικειμενική” κατανόηση των απαιτήσεων ασφάλειας από τον ειδικό επιστή-



Ø Η σύνδεση μεταξύ των ελεγκτικών διαδικασιών (που αφορούν την αποτελεσματι-



Ø Η φύση της ΔΑΠΣ είναι εγγενώς κοστοβόρα και χρονοβόρα και, παράλληλα, η

ενσωμάτωση μετρικών (metrics) αποτελεσματικότητάς της (ROI vs. ROSI) στη

διαδικασία διασφάλισης του ΠΣ είναι δυσχερής.

2.7 Σύνοψη

Στο παρόν κεφάλαιο εξετάστηκαν τα βασικά στοιχεία της Διαχείρισης Κινδύνων ΠΣ

όπως οι θεμελιώδεις έννοιες ασφάλειας, το τρίπτυχο της Διαχείρισης Επικινδυνότητας

(Ανάλυση Επικινδυνότητας, Εφαρμογή των Αντιμέτρων και Αξιολόγηση του Επιπέδου

Ασφάλειας) και οι σύγχρονες προσεγγίσεις στο σύνθετο πρόβλημα της διαχείρισης

ασφάλειας ΠΣ. Τέλος, διατυπώθηκε το ερευνητικό πρόβλημα της διατριβής και η

προτεινόμενη προσέγγιση. Στο επόμενο κεφάλαιο γίνεται μια λεπτομερής ανασκόπηση

των βασικότερων ερευνητικών προσεγγίσεων που σχετίζονται με το ερευνητικό

πρόβλημα.



Σελ. 75

The scientific man does not aim at an immediate result. He does not expect that his

advanced ideas will be readily taken up. His work is like that of the planter — for the

future. His duty is to lay the foundation for those who are to come, and point the way. He

lives and labors and hopes.

~ Nikola Teslα

3 Παρούσα Κατάσταση και Σχετική Έρευνα


Στις επόμενες ενότητες θα γίνει μια ανασκόπηση στους ερευνητικούς τομείς εκείνους, οι

οποίοι σχετίζονται με την παρούσα διατριβή. Ο στόχος της έρευνας είναι να ορίσει ένα

σαφές και εφαρμόσιμο πλαίσιο Διαχείρισης των Απαιτήσεων Ασφάλειας ΠΣ το οποίο

στηρίζεται σε οντολογίες γνώσης με έμφαση στη μοντελοποίηση και πρακτική εφαρμογή

των απαιτήσεων ασφάλειας στους πληροφοριακούς πόρους του ΠΣ.

Από λειτουργικής άποψης, και στο πλαίσιο του μοντέλου PDCA που συνοδεύει την

έννοια του ISMS (Information Security Management System) οι απαιτήσεις ασφάλειας

εκφράζονται μέσα από την πολιτική ασφάλειας του οργανισμού που (πρέπει να)

συνδέεται με την Αποτίμηση Επικινδυνότητας (ΑΕ). Οι απαιτήσεις ασφάλειας



Σελ. 76

εκφράζονται με τη μορφή περιγραφικών προτάσεων υψηλού επιπέδου που ενδέχεται να

έχουν τη μορφή των στόχων ασφάλειας (security goals / targets / objectives /

requirements), επιχειρησιακών / διοικητικών αποφάσεων και συμφωνίες σε έγγραφα

Εγγυημένης Παροχής Κατώτατου Επιπέδου Υπηρεσιών9. Με δεδομένη τη συμπλοκότητα

των πληροφοριακών συστημάτων, η διαχείριση της ασφάλειάς τους δεν θα μπορούσε να

αποτελέσει εξαίρεση όσον αφορά την πολυδιάστατη φύση της.

Επιπρόσθετα, ολοένα και περισσότερο αναγνωρίζεται η σημασία της διαχείρισης

ασφάλειας ΠΣ σαν ένα ζήτημα το οποίο δεν θα πρέπει να θεωρείται αμιγώς τεχνολογικό,

αλλά κύρια και πρώτιστα επιχειρησιακό [Vermeulen and von Solms, 2002]. Η τυπική

αποτύπωση των απαιτήσεων ασφάλειας αποτελεί μείζον θέμα, ιδίως στην περίοδο της

συνεχούς και αυξανόμενης κλιμάκωσης τόσο των ενδοεταιρικών δικτύων όσο και του

Παγκόσμιου Ιστού γενικότερα. Παρόλα αυτά, η γενική διαπίστωση είναι ότι υπάρχει

σχετικά μικρή πρόοδος στον τομέα αυτό τόσο λόγω του ιδιαίτερου χαρακτήρα του

αντικειμένου, όσο και λόγω της έλλειψης ολιστικών προσεγγίσεων.

Στις ενότητες που ακολουθούν παρουσιάζονται μερικές από τις σημαντικότερες

προσπάθειες σε αυτό τον ερευνητικό χώρο, όπως η εξειδίκευση απαιτήσεων βάσει

στόχων και εξειδίκευση απαιτήσεων σε επίπεδο πολιτικών, αντίστοιχα. Επιπλέον, λόγω

του υβριδικού χαρακτήρα της προτεινόμενης προσέγγισης, παρουσιάζεται και μια

επισκόπηση των κυριότερων ερευνητικών προσπαθειών σε θέματα που σχετίζονται

περισσότερο ή λιγότερο με την παρούσα διατριβή όπως πλαίσια και γλώσσες πολιτικών

υψηλού επιπέδου, πολιτικές ασφάλειας και φυσική γλώσσα, καθώς και μικτές

προσεγγίσεις. Θα πρέπει επίσης να σημειωθεί ότι ένα μεγάλο μέρος της έρευνας που

παρουσιάζεται ήταν σε εξέλιξη παράλληλα με την παρούσα διατριβή.

Στα επόμενα προς διαφύλαξη της απλότητας του κειμένου οι έννοιες Διαχείριση

Ασφάλειας ΠΣ (ΔΑ) και Διαχείριση Επικινδυνότητας ΠΣ (ΔΕ) θα χρησιμοποιούνται

εναλλάξ χωρίς απώλεια της γενικότητας, εξαιρουμένης της ρητής αναφοράς σε

συγκεκριμένο όρο εάν κάτι τέτοιο επιβάλλεται από τα συμφραζόμενα.

9 Ελεύθερη μετάφραση του όρου “Service Level Agreement”.



Σελ. 77

3.2 Εξειδίκευση Απαιτήσεων Βάσει Στόχων

Προκειμένου να σχεδιαστεί ένα σύστημα που ικανοποιεί τις απαιτήσεις του χρήστη, η

ακριβής κατανόηση των τελευταίων αποτελεί έργο ζωτικής σημασίας. Η συλλογή αυτών

των πληροφοριών και η οργάνωση τους σε μια μορφή που παρέχει μια ανιχνεύσιμη

σύνδεση από τις απαιτήσεις του χρήστη έως τις υπηρεσίες που προσφέρει πραγματικά το

υλοποιηθέν σύστημα, είναι ένα ανοικτό ερευνητικό θέμα στον τομέα της εφαρμοσμένης

μηχανικής απαιτήσεων λογισμικού (Requirements Engineering, RE). Η βάση αυτών των

προσεγγίσεων είναι η ιδέα ότι οι συνιστώσες του συστήματος και οι λειτουργίες τους

ικανοποιούν (αναδρομικά) κάποιο σκοπό υψηλότερου επιπέδου στο γενικό περιβάλλον

του ΠΣ [Loucopoulos and Kavakli, 1995]. Οι απαιτήσεις του χρήστη περιγράφονται ως

επιχειρησιακοί στόχοι, οι οποίοι μέσα από μια σειρά επαναληπτικών και συνδέσιμων

εξειδικεύσεων μετατρέπονται, έτσι ώστε να μπορέσουν να χρησιμοποιηθούν ως

λειτουργικές / μη-λειτουργικές απαιτήσεις συστημάτων.

Οι βασικοί άξονες της έρευνας είναι τρεις: α) επεξεργασία στόχων (goal elaboration), β)

ορισμός σεναρίων (scenario definition) και γ) ορισμός μη-λειτουργικών απαιτήσεων

(non-functional requirements definition). Παρόλο που ο άξονας του ερευνητικού χώρου

της μηχανικής απαιτήσεων που σχετίζεται περισσότερο με την παρούσα έρευνα είναι ο

(γ), θα αναφερθεί και σχετική έρευνα από τους άλλους δύο άξονες, καθότι σχετίζονται

άμεσα ή έμμεσα με τις απαιτήσεις ασφάλειας. Για μια εκτεταμένη ανασκόπηση και

κριτική στις προσεγγίσεις στην εξειδίκευση απαιτήσεων βάσει στόχων, ο αναγνώστης

παραπέμπεται στο [Kavakli and Loucopoulos, 2004].

Στην επεξεργασία στόχων, το πλαίσιο GBRAM [Antón, 1996], [Antón et al., 2001]

προσφέρει οδηγίες και κατευθύνσεις σχετικά με την εξαγωγή στόχων από διαφορετικές

πηγές σε ένα δομημένο σύνολο στόχων. Οι μετασχηματισμένοι σε λειτουργίες στόχοι, οι

εμπλεκόμενες οντότητες, οι έχοντες νόμιμο συμφέρον οντότητες (stakeholders) και οι

αρνητικοί στόχοι (καταστάσεις που δεν πρέπει να περιέλθει το σύστημα)10 συνδυάζονται

10 Στη βιβλιογραφία χρησιμοποιείται ο όρος ”obstacles”.



Σελ. 78

τελικά σε ένα σύνολο από σχήματα στόχων [Antón et al., 2001].

Τα σενάρια εκφράζουν πιθανούς τρόπους εκπλήρωσης των στόχων. Στις προσεγγίσεις

σχετικές με τον ορισμό σεναρίων (όπως οι [Leite et al., 1997]), οι στόχοι θεωρούνται σαν

συμφραζόμενες (contextual) ιδιότητες σεναρίων χρήσης – π.χ. μια ιδιότητα που σχετίζει

το σενάριο με το οργανωσιακό πλαίσιο στο οποίο αυτό το σενάριο εκτελείται. Ο

[Cockburn, 1995] επεκτείνει αυτή την ιδέα και προτείνει τη χρήση των στόχων για τη

δόμηση κατάλληλων σεναρίων, με τη σύνδεση κάθε ενέργειας (action) σε ένα σενάριο με

ένα στόχο που (με τη σειρά του) έχει ανατεθεί σε μια εμπλεκόμενη οντότητα (actor). Με

παρόμοιο τρόπο, οι [Ben Achour et al., 1998] προτείνουν την ιεραρχική οργάνωση των

σεναρίων· αντιστοιχίζοντας στόχους σε σενάρια και οργανώνοντας τους στόχους

χρησιμοποιώντας τρεις τύπους σχέσεων ([εξειδίκευση, ΚΑΙ, Η] – [refine, AND, OR]

αντίστοιχα), είναι δυνατό να οριστεί μια δομή διαχείρισης σεναρίων. Το ενδιαφέρον

σημείο αυτής της προσέγγισης (goal-scenario coupling) είναι ότι υποστηρίζει μια

σύζευξη δύο κατευθύνσεων μεταξύ στόχων – σεναρίων: όπως οι στόχοι μπορούν να

συνεισφέρουν στο σχηματισμό σεναρίων, αντίστροφα και τα σενάρια μπορούν να

χρησιμοποιηθούν για εντοπισμό νέων στόχων.

Στις προσεγγίσεις που σχετίζονται με τις μη-λειτουργικές απαιτήσεις (Non-Functional

Requirements – NFR), οι [Chung et al., 2000], [Mylopoulos et al., 1992] ορίζουν ένα

πλαίσιο το οποίο αναπαριστά τις μη-λειτουργικές απαιτήσεις σε όρους διασυνδεόμενων

στόχων. Αυτοί οι στόχοι μπορούν να εξειδικευτούν μέσω κατάλληλων τεχνικών και να

αξιολογηθούν, προκειμένου να καθοριστεί ο βαθμός της καταλληλότητάς τους για να

υποστηριχτούν από τη συγκεκριμένη σχεδίαση του συστήματος στο οποίο θα

ενσωματωθούν. Το μοντέλο NFR αποτελείται από: α) στόχους που αναπαριστάνουν μη-

λειτουργικές απαιτήσεις (NFR goals), β) σχεδιαστικές αποφάσεις για την μερική

ικανοποίηση των στόχων (satisficing goals), γ) επιχειρήματα (arguments) για την

υιοθέτηση ή όχι των στόχων (argumentation goals), και δ) σχέσεις στόχων (goal

relationships) που συνδέουν τους στόχους του μοντέλου μεταξύ τους.

Μια σειρά εργασιών [Antón, 1996], [van Lamsweerde et al., 1995] χρησιμοποιούν

τεχνικές εφαρμοσμένης μηχανικής απαιτήσεων όπως τα σενάρια και οι περιπτώσεις

χρήσης (scenarios and use cases) για την εξαγωγή των περιγραφών των στόχων του

χρήστη. Μετά την εξαγωγή των στόχων, ακολουθεί η διατύπωσή τους με άτυπο τρόπο,



Σελ. 79

απλά αποσυνθέτοντας μια περιγραφή φυσικής γλώσσας διαδοχικά σε πιο λεπτομερείς

περιγραφές. Εντούτοις, αυτή η προσέγγιση δεν παύει να είναι επιρρεπής στα προβλήματα

των παραδοσιακών τεχνικών εφαρμοσμένης μηχανικής απαιτήσεων, καθότι παραμένει η

ανάγκη μετάφρασης αυτών των περιγραφών φυσικής γλώσσας των χαμηλού επιπέδου

στόχων σε μια τεχνική προδιαγραφή του συστήματος, αφού μπορούν να προκύψουν

ασάφειες και ασυνέπειες.

Προκειμένου να αποφευχθεί αυτό το πρόβλημα, έχει προταθεί η χρησιμοποίηση τυπικών

(formal) τεχνικών προδιαγραφών, κατά συνέπεια εξασφαλίζοντας ότι ορίζεται μια

ακριβής περιγραφή του συστήματος και επιτρέποντας επίσης την ανίχνευση

οποιασδήποτε ασυνέπειας χρησιμοποιώντας τις αυτοματοποιημένες τεχνικές ανάλυσης.

Παρ’ όλο που γλώσσες τυπικών προδιαγραφών όπως οι Ζ [Spivey, 1989], Object-Z

[Smith, 2000] και Β [Lano and Haughton, 1996] έχουν αναπτυχθεί ακριβώς για αυτό το

λόγο, όλες έχουν το μειονέκτημα της απαίτησης ενός εμπειρογνώμονα για να

καθοριστούν οι μαθηματικές αποδείξεις (proofs) που απαιτούνται για να ελέγξουν ότι το

σύστημα δεν παραβιάζει οποιουσδήποτε περιορισμούς ακεραιότητας.

Οι [Dardenne et al., 1993], [Darimont, 1995], [van Lamsweerde et al., 1995], [Letier &

van Lamsweerde, 2002] μέσω της μεθοδολογίας KAOS υπογραμμίζουν τη σημασία της

σαφούς αναπαράστασης και μοντελοποίησης των επιχειρησιακών στόχων, ενώ γίνεται

προσπάθεια να οριστούν ρητά οι σχέσεις των τελευταίων με τα λειτουργικά μέρη του

ΠΣ. Η μεθοδολογία KAOS υποστηρίζει τη διαδικασία εξειδίκευσης των απαιτήσεων από

τους επιχειρησιακούς στόχους προς τις λειτουργικές απαιτήσεις και περιορισμούς που θα

υλοποιηθούν από το σύστημα.

Η έρευνα των Darimont και van Lamsweerde χρησιμοποιεί επαναχρησιμοποιήσιμα

πρότυπα (reusable patterns) για εξειδίκευση στόχων που επιτρέπουν στους στόχους

υψηλού επιπέδου να εκφραστούν με τη βοήθεια ενός συνδυασμού στόχων χαμηλότερων

επιπέδων, επιτυγχάνοντας έτσι την εξειδίκευση [Darimont and van Lamsweerde, (1996].

Διατυπώνοντας τους στόχους μέσω κανόνων temporal logic, καταλήγουν σε πρότυπα

εξειδίκευσης (elaboration patterns), η ορθότητα των οποίων είναι αποδείξιμη.

Η προσέγγιση που ακολουθείται για την απόδειξη της ορθότητας για ένα δεδομένο

προσχέδιο δέχεται τη σύμβαση ότι κάθε ένας από τους υπο-στόχους ισχύει, και έπειτα

αποδεικνύει ότι είναι δυνατό να συνάγει την αλήθεια του στόχου-βάσης από τη σύζευξη



Σελ. 80

(ή τη διάζευξη) των τιμών των υπο-στόχων. Τα προσχέδια εξασφαλίζουν ότι κάθε στάδιο

της διαδικασίας εξειδίκευσης είναι: α) ορθό, δηλ. η επίτευξη των στόχων χαμηλών

επιπέδων είναι ισοδύναμη με την επίτευξη του στόχου υψηλότερου επιπέδου, β) συνεπές,

που σημαίνει ότι είναι δυνατό να ικανοποιηθούν όλοι οι στόχοι χαμηλού επιπέδου και γ)

βελτιστοποιημένο, δηλ. δεν υπάρχει κανένας περιττός στόχος στο εξειδικευμένο σύνολο

στόχων χαμηλού επιπέδου. Οι στόχοι διατυπώνονται χρησιμοποιώντας τη γλώσσα

KAOS, η οποία υποστηρίζει τόσο τον τυπικό (formal), όσο και τον άτυπο (informal)

καθορισμό του συστήματος. Ο άτυπος καθορισμός διατυπώνεται σε φυσική γλώσσα ενώ

ο τυπικός καθορισμός χρησιμοποιεί τη σημειολογία του temporal logic που προτάθηκε

από τους [Manna and Pnueli, 1992] (Σχήμα 3.1).

Σχήμα 3.1. Ορολογία Temporal Logic (Πηγή: [Manna and Pnueli, 1992])

Σε πιο πρόσφατη εργασία, ο [van Lamsweerde, 2004] προτείνει την ανάλυση των

απαιτήσεων ασφαλείας με την χρήση αντί-μοντέλων. Αντί-μοντέλα ονομάζονται δένδρα

απειλών (threat trees) τα οποία περιγράφουν έναν αντί-στόχο, δηλαδή έναν στόχο που

έχει κάποιος επιτιθέμενος. Η προτεινόμενη τεχνική ανάλυσης απαιτήσεων στοχεύει στην

εκπλήρωση των παρακάτω μετά-απαιτήσεων:

Ø Έγκαιρη χρήση: Θα πρέπει η τεχνική να είναι εφαρμόσιμη όσο το δυνατόν

νωρίτερα στην διαδικασία ανάλυσης απαιτήσεων.

Ø Αυξητικότητα (Incrementality): Θα πρέπει να υποστηρίζεται η εναλλαγή μεταξύ

ανάπτυξης του μοντέλου και ανάλυσης.

Ø Εναλλακτικές λύσεις: Η τεχνική θα πρέπει να επιτρέπει την αναπαράσταση και

αξιολόγηση εναλλακτικών λύσεων.

Ø Υψηλή επικύρωση: Η τυποκρατική ανάλυση όπου και όταν χρειάζεται θα πρέπει

να επιτρέπεται από το μοντέλο.



Σελ. 81

Ø Ασφάλεια από κατασκευής: Θα πρέπει να καθοδηγείται η διαδικασία ανάλυσης

απαιτήσεων έτσι ώστε να επιτυγχάνεται ικανοποιητικό επίπεδο ασφαλείας.

Ø Διαχωρισμός απαιτήσεων: Η τεχνική θα πρέπει να διαχωρίζει τις απαιτήσεις

ασφαλείας από άλλου τύπου απαιτήσεις.

Στην εργασία προτείνεται η δημιουργία δυο μοντέλων, επαναληπτικά και ταυτόχρονα:

Ø Ένα μοντέλο του υπό δημιουργία συστήματος, το οποίο καλύπτει τόσο το

λογισμικό όσο και το περιβάλλον του και συσχετίζει στόχους, πράκτορες,

αντικείμενα, διαδικασίες, απαιτήσεις και υποθέσεις

Ø Και ένα αντί-μοντέλο, παραγόμενο από το μοντέλο, το οποίο επιδεικνύει πως οι

προδιαγραφές των στοιχείων του μοντέλου μπορούν να απειληθούν κακόβουλα,

για ποιόν λόγο και από ποιόν.

Σε αυτό το πλαίσιο, οι απαιτήσεις ασφαλείας αναλύονται συστηματικά με επανάληψη

των παρακάτω βημάτων: (α) αρχικοποίηση προτύπων προδιαγραφών συσχετιζόμενων με

κλάσεις ιδιοτήτων, όπως εμπιστευτικότητα, ιδιωτικότητα, ακεραιότητα, διαθεσιμότητα,

αυθεντικοποίηση ή μη αποποίηση, (β) παραγωγή προδιαγραφών αντί-μοντέλου που

απειλούν τις παραπάνω προδιαγραφές, (γ) παραγωγή εναλλακτικών αντιμέτρων για τις

απειλές και ορισμός νέων απαιτήσεων με επιλογή εναλλακτικών που ικανοποιούν

καλύτερα άλλες απαιτήσεις ποιότητας του μοντέλου.

Η διαδικασία δημιουργίας του αντί-μοντέλου περιγράφεται αναλυτικότερα, και

παρουσιάζονται κάποια πρότυπα προδιαγραφών για απαιτήσεις ασφαλείας. Μετά την

διαδικασία παραγωγής του, ακολουθεί η επιλογή αντιμέτρων. Τα αντίμετρα επιλέγονται

με βάση: (α) την σοβαρότητα και πιθανότητα πραγματοποίησης της αντίστοιχης απειλής

και (β) μη λειτουργικούς στόχους που έχουν εντοπιστεί στο αρχικό μοντέλο στόχων.

Εναλλακτικά αντίμετρα μπορούν να παραχθούν συστηματικά με χρήση των παρακάτω

τελεστών:

Ø Αντικατάσταση στόχων: Ανάπτυξη εναλλακτικής εκλέπτυνσης του στόχου-γονέα

για την αποφυγή της απειλής του αρχικού στόχου από τον αντί-στόχο

Ø Αντικατάσταση πρακτόρων: Αντικατάσταση ενός ευπαθή πράκτορα σχετιζόμενου

με ένα απειλούμενο στόχο με έναν λιγότερο ευπαθή σε σχέση με τον αντί-στόχο



Σελ. 82

Ø Αποδυνάμωση στόχου: Αποδυνάμωση του απειλούμενου στόχου, έτσι ώστε να

παρακαμφθεί ο αντί-στόχος που τον απειλεί.

Ø Επαναφορά στόχου: Εισαγωγή νέου στόχου με κατάλληλα μέτρα για την αποφυγή

της απειλής από τον αντί-στόχο

Ø Μετριασμός αντί-στόχου: Ανοχή του αντί-στόχου αλλά αποφυγή των επιπτώσεών

του

Ø Πρόληψη αντί-στόχου: Προσθήκη νέου στόχου που απαιτεί την αποφυγή του αντί-

στόχου.

Στην παραπάνω λίστα μπορούν να προστεθούν και τελεστές πιο σχετικοί με την

ασφάλεια, όπως:

Ø Προστασία ευπάθειας: Λήψη μέτρων έτσι ώστε η παραγόμενη προϋπόθεση

ευπάθειας να μην είναι εμφανής στον επιτιθέμενο

Ø Εξουδετέρωση απειλής: Λήψη μέτρων έτσι ώστε ο επιτιθέμενος να μην έχει

έλεγχο της προϋπόθεσης της παραγόμενης αντί-απαίτησης

Ø Αποφυγή ευπάθειας: Προσθήκη νέου στόχου που απαιτεί την αποφυγή της

ευπάθειας λογισμικού.

Τέλος, δίνεται παράδειγμα χρήσης των αντί-μοντέλων.

Στο [Sheyner et al., 2002] εξετάζονται οι γράφοι επίθεσης (attack graphs), και δίνεται μία

αυτοματοποιημένη τεχνική για την δημιουργία και ανάλυσή τους, καθώς και ένα

εργαλείο που υλοποιεί την συγκεκριμένη τεχνική. Οι γράφοι επίθεσης αναδεικνύουν

τρόπους με τους οποίους ένας εισβολέας μπορεί να θέσει ένα δίκτυο σε μη ασφαλή

κατάσταση. Η αυτοματοποίηση της δημιουργίας των γράφων επίθεσης επιβεβαιώνει την

πληρότητα και την περιεκτικότητα τους. Πλήρης ονομάζεται ένας γράφος επίθεσης όταν

περιλαμβάνει όλες τις πιθανές επιθέσεις, και περιεκτικός όταν περιέχει μόνο τις

καταστάσεις δικτύου από τις οποίες ο επιτιθέμενος μπορεί να φτάσει στον στόχο του. Η

διαδικασία παραγωγής και ανάλυσης των γράφων επίθεσης ακολουθεί τα παρακάτω

βήματα:



Σελ. 83

Ø Μοντελοποίηση του δικτύου: Το δίκτυο μοντελοποιείται ως μηχανή

πεπερασμένων καταστάσεων, όπου οι μεταβάσεις μεταξύ καταστάσεων

απεικονίζουν σε ατομικές (atomic) επιθέσεις του εισβολέα. Ακόμα ορίζεται μια

επιθυμητή ιδιότητα ασφαλείας. Ο στόχος του εισβολέα είναι η παραβίαση αυτής

της ιδιότητας.

Ø Παραγωγή ενός γράφου επίθεσης: Χρησιμοποιώντας το μοντέλο του πρώτου

βήματος, μια προσαρμοσμένη μορφή ενός εργαλείου ελέγχου μοντέλων παράγει

αυτοματοποιημένα τον γράφο επίθεσης, ο οποίος και οπτικοποιείται.

Ø Ανάλυση του γράφου επίθεσης: Ένας πρωτογενής γράφος επίθεσης είναι ένα

διάγραμμα μετάβασης καταστάσεων χαμηλού επιπέδου. Για να επιτραπεί η

ανάλυσή του από κάποιον ειδικό, ο γράφος μετατρέπεται και αναδομούνται οι

αρχικές έννοιες των μεταβλητών καταστάσεων όπως σχετίζονται με τον χώρο

εισβολής δικτύων.

Περιγράφονται δύο μέθοδοι ανάλυσης των γράφων επίθεσης: ένας αλγόριθμος

καθορισμού του ελάχιστου αριθμού ατομικών επιθέσεων των οποίων η πρόληψη επαρκεί

για την αποτυχία του επιτιθέμενου, και μια πιθανοτική ανάλυση αξιοπιστίας που

υπολογίζει την πιθανότητα επιτυχίας του επιτιθέμενου. Παρέχονται αποδείξεις για την

ορθότητα των προτάσεων, καθώς και παραδείγματα χρήσης.

Οι περισσότερες προσεγγίσεις δίνουν σαφέστατα βάρος στην αναπαράσταση της

ανάλυσης στόχων. Η NFR χρησιμοποιεί την τυπική γλώσσα Telos που υποστηρίζει

οντολογικές επεκτάσεις για την αποτύπωση των απαιτήσεων. Με αυτό τον τρόπο είναι

δυνατή η αποτύπωση της σημασιολογίας (semantics) ενός επιπέδου στόχων σε μετα-

επίπεδα μέσα στην ίδια τη Telos, καταλήγοντας έτσι ουσιαστικά στη δημιουργία μιας

προσαρμοσμένης γλώσσας για το συγκεκριμένο σύστημα [Greenspan et al., 1994]. Οι

προσεγγίσεις που χρησιμοποιούν goal-scenario coupling προτείνουν επίσης τη

χρησιμοποίηση δομημένων γλωσσών για την περιγραφή των στόχων αντί των τυπικών

γλωσσών, με το επιχείρημα ότι οι δομημένες γλώσσες προσιδιάζουν σε πολλά σημεία με

τις τυπικές γλώσσες ενώ είναι και ευκολότερες στην κατανόηση, με αντίτιμο τη

μειωμένη ακρίβεια και σαφήνεια. Από την άλλη μεριά, οι τυπικές προσεγγίσεις

στοχεύουν στην συνέπεια, σαφήνεια και ακρίβεια των παραγόμενων απαιτήσεων, ενώ



Σελ. 84

έχουν και καλή υποδομή για υποστήριξη εργαλείων, μιας και διαθέτουν καλά ορισμένη

σημασιολογία. Παρ’ όλα αυτά, οι τυπικές γλώσσες μειονεκτούν στην υποστήριξη

βαθμών ελευθερίας κατά την εξειδίκευση των στόχων – π.χ. δεν επιτρέπουν συγκρούσεις

(conflicts) και ασυνέπειες μεταξύ στόχων, ενώ είναι εξ’ ορισμού πολύπλοκες, μειωμένης

ευελιξίας και ελάχιστα φιλικές στο χρήστη, πλεονεκτήματα που διαθέτουν οι ημι-τυπικές

προσεγγίσεις. Σαν συμπέρασμα, οι δύο σχολές αναπαράστασης (τυπικές και ημι-τυπικές)

έχουν η καθεμιά τα δικά τους πλεονεκτήματα και μειονεκτήματα, ενώ μια συνδυαστική

προσέγγιση φαίνεται ότι θα μπορούσε να έχει τα καλύτερα αποτελέσματα. Η προσέγγισή

μας που αναλύεται στην ενότητα 4.10 συνδυάζει σε ένα βαθμό και τις δύο τάσεις κάτω

από το πρίσμα της διαχείρισης γνώσης ασφάλειας μέσω οντολογιών.

Περαιτέρω, παρόλο που οι σχετικές προσεγγίσεις (KAOS, GBRAM, NFR, και goal-

scenario coupling) κάνουν κάποιες αναφορές και δίνουν περιστασιακές κατευθύνσεις,

δεν έχει δοθεί ακόμη η απαραίτητη προσοχή στον τρόπο με τον οποίο μπορεί να

παραχθεί ένα σύνολο τεχνοδιαμορφώσεων και άλλων ρυθμίσεων προς εφαρμογή σε

πραγματικά συστήματα. Όσον αφορά τα διαθέσιμα εργαλεία, οι προσεγγίσεις που

κάνουν χρήση τυπικών αναπαραστάσεων (NFR, KAOS) υποστηρίζονται από

υλοποιήσεις αναφοράς (όπως το NFR Assistant και το περιβάλλον KAOS GRAIL

αντίστοιχα), τα οποία παρέχουν (σε κάποιο βαθμό) συμπερασματικές δυνατότητες όπως

ελέγχους της ορθότητας των στόχων, και ελέγχους της συνέπειας (consistency) και

εφικτότητας (satisfiability) των δομών αναπαράστασης των στόχων.

Επιπρόσθετα, σε όλες τις παραπάνω προσεγγίσεις υπάρχουν οι εξής ελλείψεις [Kavakli

and Loucopoulos, 2004]: α) δεν υπάρχει επαρκής υποστήριξη για τη συμμετοχή των

stakeholders στη διαδικασία εξειδίκευσης, β) δεν υπάρχει επαρκής και συστηματική

υποστήριξη σε επίπεδο επιχειρησιακών διεργασιών (business process support) με την

εξαίρεση της μεθόδου goal-scenario coupling [Ben Achour et al., 1998] όπου οδηγίες για

την εξειδίκευση των στόχων ενσωματώνονται σαν κανόνες στο εργαλείο CREWS-

L’écritoire, γ) δεν υπάρχει επαρκής εμπειρία από την εφαρμογή σε πραγματικές

συνθήκες. Παρά το γεγονός ότι οι εν λόγω προσεγγίσεις έχουν δοκιμαστεί σαν μελέτες

περίπτωσης σε επιχειρησιακά περιβάλλοντα [van Lamsweerde et al., 1995],

[Loucopoulos and Kavakli, 1995], [Rolland et al., 1999], οι πρακτικές δυσκολίες που

ενδέχεται να προκύψουν κατά την εφαρμογή των προσεγγίσεων σε δρώντα



Σελ. 85

περιβάλλοντα, δεν έχει αναλυθεί με επάρκεια.

3.3 Εξειδίκευση Απαιτήσεων σε Επίπεδο Πολιτικών ΠΣ

Οι στόχοι ενός οργανισμού σχετικά με τα πληροφοριακά του συστήματα εκφράζονται

τυπικά μέσα από ένα σύνολο πολιτικών, και η ασφάλεια δεν θα μπορούσε να αποτελέσει

εξαίρεση. Συνήθως οι πολιτικές αυτές εκφράζονται σε υψηλό επίπεδο και πάσχουν από

γενικότητα και αμφισημία (κάποιες φορές και πολυσημία). Η ανάγκη εξειδίκευσης των

πολιτικών ασφάλειας ενός ΠΣ, μετασχηματίζοντας μια «αφηρημένη πολιτική σε

υλοποιήσιμη τεχνοδιαμόρφωση» [Wies, 1995] ή, κατά άλλο ορισμό, τους στόχους

υψηλού επιπέδου σε διακριτές πράξεις (λειτουργικές πολιτικές – operational policies) που

μπορούν να εφαρμοστούν από το σύστημα, είχε εντοπιστεί ήδη από τη δεκαετία του1990

[Moffett and Sloman, 1991], [Moffett and Sloman, 1993], [Wies, 1995].

Οι Moffett και Sloman προσδιορίζουν την εξάλειψη των ασαφειών της φυσικής

γλώσσας και τον εντοπισμό των κύριων εννοιών που ενδιαφέρουν τον χρήστη, ως τις

κυριότερες προκλήσεις στον τομέα της εξειδίκευσης πολιτικών (policy refinement). Σε

αυτές τις εργασίες διερευνάται η διαδοχική εξειδίκευση των στόχων υψηλού επιπέδου σε

μια ιεραρχία πολιτικής (policy hierarchy) και περιγράφεται μια αδρή μεθοδολογία με τα

ακόλουθα βήματα [Moffett and Sloman, 1993]:

Ø Προσδιορισμός των πόρων που απαιτούνται για την ικανοποίηση των αναγκών

της πολιτικής,

Ø Μετάφραση των πολιτικών υψηλού επιπέδου σε λειτουργικές πολιτικές οι οποίες

μπορούν να εφαρμοστούν από το σύστημα,

Ø Κατάλληλη ανάλυση της πολιτικής έτσι ώστε να εξασφαλιστεί ότι οι

εξειδικευμένες λειτουργικές πολιτικές ικανοποιούν τις απαιτήσεις της πολιτικής

υψηλού επιπέδου για την οποία εξειδικεύτηκαν.

Ένας αριθμός ερευνητικών εργασιών έχει ασχοληθεί με το σημαντικό αυτό θέμα και

έχουν παρουσιαστεί αρκετές τεχνικές για την εξειδίκευση των πολιτικών. Όλες οι

προσεγγίσεις χωρίς καμιά εξαίρεση προβλέπουν ένα σημαντικό αριθμό περιορισμών και

συμβάσεων προκειμένου να καταλήξουν σε μια εφαρμόσιμη λύση. Το κύριο



Σελ. 86

χαρακτηριστικό όλων των προσεγγίσεων είναι ότι η γενικότητα της προσέγγισης είναι

αντιστρόφως ανάλογη με το βαθμό αυτοματοποίησης. Όπως απεικονίζεται στο Σχήμα 3.2,

αυτό σημαίνει ότι τεχνικές με υψηλό επίπεδο αυτοματισμού τείνουν να έχουν (πολύ)

περιορισμένο πεδίο εφαρμογής (γνωστικό χώρο) ενώ, αντίθετα, τεχνικές με ευρύ πεδίο

εφαρμογής διαθέτουν ένα μάλλον φτωχό επίπεδο αυτοματισμού. Σε αυτή την ενότητα

παρουσιάζεται ένας αριθμός από προσεγγίσεις εξειδίκευσης πολιτικών που παρέχουν

διαφορετικούς συνδυασμούς αυτοματισμού και εύρους πεδίου εφαρμογής.

Σχήμα 3.2. Εξειδίκευση Πολιτικών: Ευρύτητα Πεδίου Εφαρμογής και Επίπεδο Αυτοματισμού

Στο [Wies, 1994] γίνεται μια προσπάθεια τυποκρατικού ορισμού των πολιτικών.

Σύμφωνα με την δημοσίευση αυτή, «οι πολιτικές προκύπτουν από διοικητικούς στόχους

και ορίζουν την επιθυμητή συμπεριφορά κατανεμημένων ετερογενών συστημάτων,

εφαρμογών και δικτύων». Επιπλέον αναφέρεται ότι οι πολιτικές καθορίζουν μόνο την

πληροφοριακή άποψη της επιθυμητής λειτουργίας, και δεν περιγράφουν πως αυτή μπορεί

να επιτευχθεί.



Σελ. 87

Στο άρθρο γίνεται διαχωρισμός μεταξύ δυο κύκλων ελέγχου (control cycles) γύρω από

τις πολιτικές. Ο πρώτος ονομάζεται επιχειρησιακός κύκλος ελέγχου, και περιλαμβάνει την

συσχέτιση του επιχειρησιακής λειτουργίας με τις πολιτικές. Εδώ, σύμφωνα με τον

συγγραφέα, είναι χώρος δράσης του ανθρώπου. Ο δεύτερος κύκλος ελέγχου

περιλαμβάνει την αλληλεπίδραση των πολιτικών με τους πόρους, και ονομάζεται τεχνικός

κύκλος ελέγχου. Αυτός μπορεί να αυτοματοποιηθεί και τα βήματα των ενεργειών του να

τυποποιηθούν.

Με βάση τον τεχνικό κύκλο ελέγχου, και την εξέταση σχετικών εργασιών, προτείνεται

ένα ελάχιστο σύνολο χαρακτηριστικών για τον ορισμό πολιτικών:

Ø Στόχος: Περιγραφή των στόχων της πολιτικής

Ø Αντικείμενα-στόχοι: Τα αντικείμενα που επηρεάζονται άμεσα από την πολιτική

Ø Ερεθίσματα (triggers): Ο αρχικός λόγος ενεργοποίησης μιας πολιτικής, συνήθως

ένα γεγονός

Ø Ενέργειες πολιτικής: Η λειτουργική άποψη της πολιτικής. Περιλαμβάνει χρονικές

πληροφορίες.

Ø Αντικείμενα παρακολούθησης: Τα αντικείμενα που παρακολουθούν την

καταλληλότητα, έγκαιρη λειτουργία και αποτελεσματικότητα των ενεργειών της

πολιτικής, σε σχέση με τους στόχους.

Στη συνέχεια του άρθρου παρέχεται μία επέκταση των Βάσεων Πληροφοριών

Διαχείρισης (Management Information Base – MIB), για την υποστήριξη πολιτικών.

Ό Verma [Verma, 2001] για τη διαχείριση της ποιότητας παροχής υπηρεσίας (QoS –

Quality of Service) σε περιβάλλον DiffServ, προτείνει μετάφραση βάσει ενός συνόλου

πινάκων όπου απεικονίζονται οι σχέσεις μεταξύ Χρηστών (Users), Εφαρμογών

(Applications), Εξυπηρετητών (Servers), Δρομολογητών (Routers) και Κλάσεων

Υπηρεσίας (Classes of Service) που υποστηρίζονται από το δίκτυο. Όταν το σύστημα

μετάφρασης τροφοδοτηθεί με ένα νέο Ορισμό Επιπέδου Υπηρεσίας (Service Level

Specification, SLS), εκτελείται μια απλή σειρά ανακτήσεων δεδομένων από τους πίνακες

έτσι ώστε να βρεθεί η σωστή τεχνοδιαμόρφωση για τον συγκεκριμένο τρίπτυχο

{χρήστης, εφαρμογή, κλάση υπηρεσίας}. Παρά την πλήρη αυτοματοποίηση που παρέχει,

η εν λόγω τεχνική εξαρτάται σε απόλυτο βαθμό από τα περιεχόμενα των πινάκων, κάτι



Σελ. 88

το οποίο προϋποθέτει σημαντική εμπειρία η οποία πρέπει να κωδικοποιηθεί κατάλληλα.

Περαιτέρω, η προσέγγιση είναι σχετικά άκαμπτη, υποστηρίζοντας μόνο ένα πολύ

συγκεκριμένο τύπο πολιτικών SLA υψηλού επιπέδου (Service Level Agreement) και

αντίστοιχα ένα συγκεκριμένο τύπο πολιτικών τεχνοδιαμόρφωσης χαμηλού επιπέδου.

Ερευνητές στα Hewlett-Packard Laboratories [Casassa et al., 2000] πρότειναν το

POWER (POlicy Wizard Engine for Refinement), ένα περιβάλλον διαχείρισης

πολιτικών που παρέχει ένα εργαλείο-οδηγό (policy wizard tool) για εξειδίκευση

πολιτικών. Το πρώτο βήμα είναι ο ορισμός ενός συνόλου από πρότυπα πολιτικών (policy

templates) από ένα ειδικό του χώρου τα οποία κωδικοποιούνται σε Prolog. Το προς

διαχείριση σύστημα μοντελοποιείται στο ISM (information and system model). Τα

εργαλεία διαχείρισης πολιτικών διαθέτουν ένα ενσωματωμένο συμπερασματικό

μηχανισμό (inference engine) που διερμηνεύει τα Prolog προγράμματα έτσι ώστε να

οδηγεί το χρήστη στην εκλογή των κατάλληλων στοιχείων από τα πρότυπα πολιτικών.

Σημαντικό μειονέκτημα αποτελεί η έλλειψη κάθε δυνατότητας ανάλυσης προκειμένου να

αξιολογηθεί η συνέπεια των παραγόμενων πολιτικών. Επιπρόσθετα, δεν υποστηρίζεται η

αυτόματη παραγωγή των τελικών ενεργειών που περιέχονται στα πρότυπα των

πολιτικών, με συνέπεια η επιτυχία της όλης προσέγγισης να εξαρτάται εξ’ ολοκλήρου

στον ειδικό του χώρου, ο οποίος πρέπει να έχει μια λεπτομερή εικόνα όλου του

συστήματος υπό διαμόρφωση, προκειμένου να δημιουργήσει πρότυπα πολιτικών που να

έχουν νόημα για το συγκεκριμένο ΠΣ.

Οι [Beigi et al., 2004] της ΙΒΜ προτείνουν μια συμπερασματική τεχνική βασισμένη σε

σενάρια η οποία επιτρέπει τη μετάφραση των στόχων σε επίπεδο υπηρεσίας (service-level

objectives), σε ρυθμίσεις τεχνοδιαμόρφωσης. Συνδυάζοντας τη γνώση από τον ειδικό του

χώρου και παρατήρηση του συστήματος υπό διαχείριση, δημιουργείται μια βάση

δεδομένων που περιέχει τόσο τις παραμετροποιήσιμες ρυθμίσεις του συστήματος όσο και

τις επιθυμητές ιδιότητες του συστήματος. Για παράδειγμα, όταν αυτή η τεχνική

εφαρμόζεται σε μια συστοιχία από εξυπηρετητές διαδικτύου (web server farm), η εν

λόγω βάση μπορεί να περιέχει ένα πίνακα που περιέχει εγγραφές τύπου (#ενεργοί

εξυπηρετητές, χρόνος απόκρισης), οι οποίες ορίζουν το μέσο χρόνο απόκρισης των

διαδικτυακών εφαρμογών ανάλογα με τον αριθμό των ενεργών εξυπηρετητών. Η

διαδικασία μετάφρασης δέχεται σαν είσοδο τις απαιτήσεις υπηρεσίας (service



Σελ. 89

requirements) από το χρήστη, και αναζητά στη βάση των σεναρίων τις βέλτιστες

παραμέτρους που θα ικανοποιήσουν τις απαιτήσεις.

Παρόλο που διαφορετικές τεχνικές έχουν προταθεί προκειμένου να βελτιώσουν την

αποδοτικότητα και ακρίβεια της αναζήτησης, αυτή η προσέγγιση είναι εφαρμόσιμη μόνο

για τους συγκεκριμένους τομείς εφαρμογών για τις οποίες δημιουργήθηκε, αφού

βασίζεται σε εξειδικευμένα σενάρια. Επιπρόσθετα, η ιδέα της δημιουργίας μιας βάσης

σεναρίων προκειμένου να συνδεθούν οι επιθυμητοί στόχοι με τις απαιτούμενες τεχνικές

ρυθμίσεις και παραμέτρους, έχει εφαρμογή μόνο σε εκείνες τις περιπτώσεις όπου οι

απαιτήσεις και οι τεχνικές ρυθμίσεις / παράμετροι είναι μετρήσιμες (π.χ. διαχείριση QoS,

διαχείριση τεχνοδιαμόρφωσης πόρων, κλπ.). Άλλοι περιορισμοί της εν λόγω προσέγγισης

περιλαμβάνουν: α) τη στενή εξάρτησή της από τη βάση των σεναρίων, που η πληρότητά

της είναι αντίστοιχη με το χρόνο συλλογής σχετικών στοιχείων για το σύστημα (αν

υποτεθεί ότι μια παρόμοια μέθοδος είναι διαθέσιμη), β) η περιορισμένη ικανότητα

χειρισμού περιπτώσεων κατά τις οποίες μια συγκεκριμένη απαίτηση υψηλού επιπέδου

υλοποιείται σε διαφορετικές τεχνοδιαμορφώσεις, και γ) περιορισμένη ευελιξία καθότι η

αρχιτεκτονική της προσέγγισης είναι σχετικά μονολιθική, με αποτέλεσμα η εισαγωγή

νέων απαιτήσεων υψηλού επιπέδου ή/και παραμέτρων τεχνοδιαμόρφωσης στη

διαδικασία της μετάφρασης να ακυρώσει μια υπάρχουσα βάση σεναρίων λόγω

ασυνέπειας της βάσης.

Μια άλλη εναλλακτική προσέγγιση [Bandara et al., 2004] αποτελεί ο συνδυασμός της

τυπικής γλώσσας Event Calculus με τη παραλλαγή που αυτή παρουσιάστηκε στο [Russo

et al., 2002], σε συνδυασμό με την μέθοδο KAOS [Darimont and van Lamsweerde,

(1996]. Στην συγκεκριμένη περίπτωση το Event Calculus, αποτελείται από α) ένα σύνολο

από σημεία χρόνου (time points), β) ένα σύνολο από ιδιότητες που μπορούν να αλλάξουν

τιμή με την πάροδο του χρόνο και ονομάζονται fluents και γ) ένα σύνολο από κατηγορίες

γεγονότων (event types). Χρησιμοποιώντας το KAOS προσδιορίζονται σαφείς στόχοι, οι

οποίοι στην συνέχεια εκφράζονται τυπικά με την βοήθεια του Event Calculus.

Τα μη τυπικά (γραφικά) μοντέλα βοηθούν στην υψηλού επιπέδου κατανόηση των

αντικειμένων που περιγράφουν, και προσφέρονται ως μέσο επικοινωνίας μεταξύ ειδικών

και μη για ένα γνωστικό πεδίο. Επιπλέον αποτελούν χρήσιμο εργαλείο για την οργάνωση



Σελ. 90

και την μεθοδικότερη ανάλυση ενός πολυσύνθετου συστήματος.

Μία πρόταση των Sindre και Opdahl [Sindre and Opdahl, 2000] βασίζεται στην

δημοφιλή ιδέα των περιπτώσεων χρήσης (use cases). Εδώ οι συγγραφείς ορίζουν τις

περιπτώσεις κατάχρησης11 (misuse cases), οι οποίες ορίζονται ως «μια σειρά ενεργειών

[...] οι οποίες μπορούν να εκτελεστούν από ένα σύστημα ή άλλη οντότητα,

αλληλεπιδρώντας με καταχραστές (misusers) της οντότητας και προκαλώντας ζημιά σε

ενδιαφερόμενους (stakeholders) εάν η σειρά επιτραπεί να ολοκληρωθεί», ενώ ο

καταχραστής ορίζεται ως «ένας ενεργών (actor) που προκαλεί ζημιά, σκόπιμα ή όχι». Οι

περιπτώσεις κατάχρησης χρησιμοποιούν την ίδια σημειολογία (με αντίθετο όμως

χρωματισμό) με τις περιπτώσεις χρήσης στην γραφική απεικόνιση του μοντέλου,

επιτρέποντας την ταυτόχρονη απεικόνιση και των δυο. Εκτός από τις υπάρχουσες

σχέσεις του μοντέλου, ορίζονται και οι εξής:

Ø Περίπτωση χρήσης που μετριάζει (mitigate) μια περίπτωση κατάχρησης. Η

περίπτωση χρήσης εμφανίζεται ως αντίμετρο της περίπτωσης κατάχρησης.

Ø Περίπτωση κατάχρησης που απειλεί μια περίπτωση χρήσης. Η περίπτωση χρήσης

εμποδίζεται από την περίπτωση κατάχρησης.

Επιπλέον εισάγονται οι περιπτώσεις χρήσης ασφάλειας (security use cases) που

μετριάζουν τις περιπτώσεις κατάχρησης, και εκφράζουν απαιτήσεις ασφαλείας. Το

προτεινόμενο μοντέλο επεκτείνει τις περιγραφές (κείμενο) των περιπτώσεων χρήσης έτσι

ώστε να περιλαμβάνονται και οι απειλές, και ορίζει έναν τρόπο περιγραφής των

περιπτώσεων κατάχρησης. Οι συγγραφείς προτείνουν επίσης μια μεθοδολογία για την

εκμαίευση των απαιτήσεων ασφαλείας με βάση τις περιπτώσεις κατάχρησης, με τις

ακόλουθες φάσεις [Sindre and Opdahl, 2000]:

11 Ο όρος «κατάχρηση» προτιμήθηκε ως πιο εύηχος από την ορθότερη μετάφραση «κακή χρήση».



Σελ. 91

Ø Εντοπισμός κρίσιμων αγαθών στο σύστημα: Αγαθό μπορεί να είναι πληροφορία

που κατέχει ο οργανισμός, τοποθεσίες που ελέγχει ο οργανισμός, ή

αυτοματοποιημένες λειτουργίες που χρησιμοποιεί ο οργανισμός.

Ø Καθορισμός των στόχων ασφάλειας για κάθε κρίσιμο αγαθό, κατά προτίμηση με

χρήση διαδεδομένης τυποποίησης.

Ø Καθορισμός απειλών για κάθε στόχο ασφάλειας εντοπίζοντας ενδιαφερόμενους

που μπορούν να προκαλέσουν σκόπιμα ζημιά στο σύστημα ή το περιβάλλον του

και/ή εντοπίζοντας σειρές ενεργειών που μπορούν να συντελέσουν σε σκόπιμη

ζημιά.

Ø Εντοπισμός και ανάλυση κινδύνων για τις απειλές με χρήση τεχνικών ανάλυσης

επικινδυνότητας.

Ø Ορισμός κατάλληλων απαιτήσεων ασφάλειας (αντίμετρα) για τις απειλές σε

αντιστοιχία με τους κινδύνους και τα έξοδα προστασίας.

Το μοντέλο αυτό προσφέρεται για την ταχεία ενσωμάτωση των απαιτήσεων ασφαλείας

στην ανάλυση ενός συστήματος, αλλά δεν παρέχει τρόπους για την μετάβαση σε

απαιτήσεις ασφαλείας χαμηλότερου επιπέδου.

Στο [Helmer et al., 2001] οι συγγραφείς προτείνουν την αξιοποίηση των δένδρων λαθών

λογισμικού (software fault trees) για την ανάλυση των απαιτήσεων ασφαλείας, με χρήση

της μεθόδου Ανάλυσης Δένδρων Λαθών Λογισμικού (Software Fault Trees Analysis). Τα

δένδρα λαθών λογισμικού έχουν σαν ρίζα ένα γνωστό κίνδυνο και με την μέθοδο αυτήν,

επεκτείνονται σειριακά και παράλληλα προς τους πιθανούς κόμβους γεγονότων που

μπορούν να προκαλέσουν τον κίνδυνο. Κατά την ανάλυση τοποθετείται ένας κίνδυνος

στην ρίζα του δένδρου, ερευνώνται οι ενέργειες που μπορούν να τον προκαλέσουν, και

συνδέονται με την ρίζα με πύλες λογικού ΚΑΙ (logical AND) ή λογικού Η (logical OR).

Η λειτουργία αυτή συνεχίζεται έως ότου μπορούν να ανατεθούν συγκεκριμένες

πιθανότητες στις ενέργειες, είτε περαιτέρω ανάλυση δεν είναι δυνατή. Οι πύλες ΚΑΙ

ικανοποιούνται όταν όλες οι είσοδοι είναι αληθείς. Γεγονότα – παιδιά πυλών ΚΑΙ

μπορούν να λάβουν χώρα με οποιαδήποτε σειρά. Ένα Σύνολο Αποκοπής (cut set) είναι

μια σειρά γεγονότων που προκαλεί την αποτυχία του συστήματος, ενώ Ελάχιστο Σύνολο

Αποκοπής ονομάζεται ένα σύνολο αποκοπής από το οποίο δεν μπορεί να αφαιρεθεί καμία



Σελ. 92

ενέργεια και να εξακολουθεί να ικανοποιείται η ρίζα [Τριποδιανός, 2005].

Στο συγκεκριμένο άρθρο γίνεται εφαρμογή των δένδρων λαθών λογισμικού για την

περίπτωση ενός Συστήματος Ανίχνευσης Εισβολών (Intrusion Detection System – IDS).

Η μεγάλη πολυπλοκότητα που θα προέκυπτε από την ανάλυση μιας εισβολής με ένα

μόνο δένδρο οδήγησαν στην διάσπαση του δένδρου στα επτά επιμέρους στάδια μιας

εισβολής12: (1) Αναγνώριση, (2) Εύρεση ευπαθειών, (3) Διείσδυση, (4) Έλεγχος, (5)

Ενσωμάτωση (Embedding), (6) Εξαγωγή και τροποποίηση δεδομένων, (7) Μεταπήδηση

επιθέσεων (Attack relay). Ο διαχωρισμός αυτός επιτρέπει την αναγνώριση και

επαναχρησιμοποίηση κοινών υποδένδρων. Οι συγγραφείς παραθέτουν την εφαρμογή της

μεθόδου για δύο γνωστές επιθέσεις. Τα αποτελέσματα επιτρέπουν την εφαρμογή

κατάλληλων αντιμέτρων που αποτρέπουν τις συγκεκριμένες επιθέσεις.

Τα δένδρα λαθών λογισμικού για εισβολές ερευνούν τους επαρκείς συνδυασμούς

γεγονότων που μπορούν να οδηγήσουν σε εκμετάλλευση κάποιων ευπαθειών. Κατά την

ανάπτυξή τους υποβοηθούν σε αρκετές λειτουργίες ανακάλυψης και επιβεβαίωσης

εισβολών:

Ø Ταυτοποίηση και ανάλυση απαιτήσεων: Τα δένδρα λαθών λογισμικού βοηθούν

στην κατανόηση και καταγραφή του χώρου (domain), στην κατανόηση των

απαιτήσεων και στην ανάλυση της δυνατότητας ανακάλυψης λαθών από το

σύστημα (fault detectability analysis).

Ø Εξέλιξη απαιτήσεων και αυξανόμενη υλοποίηση: Τα δένδρα λαθών λογισμικού

υποστηρίζουν τον καθορισμό προτεραιοτήτων των απαιτήσεων καθώς και την

εισαγωγή νέων επιθέσεων.

Ø Επαλήθευση: Τα αποτελέσματα της εφαρμογής τους μπορούν να

χρησιμοποιηθούν για την επαλήθευση της ορθότητας και της πληρότητας των

δένδρων.

Η ίδια βασική ιδέα ακολουθείται και από τον Schneier στο [Schneier, 1999]. Εδώ ο

12 Σύμφωνα με το Ruiu D., “Cautionary tales: Stealth coordinated attack Howto”, July 1999.



Σελ. 93

συγγραφέας προτείνει την χρήση δένδρων επίθεσης (Attack Trees), τα οποία περιγράφουν

με ένα τυπικό και μεθοδικό τρόπο την ασφάλεια κάποιου συστήματος, βασισμένα σε

επιθέσεις. Στα δένδρα αυτά τοποθετείται μια συγκεκριμένη επίθεση εναντίον του

συστήματος στην ρίζα του δένδρου, και οι διάφοροι τρόποι επίτευξης στους κόμβους –

απόγονους. Και εδώ οι κόμβοι – απόγονοι μπορούν να συνδέονται με τους κόμβους –

πρόγονους με σχέσεις λογικού KAI ή λογικού Η. Στους κόμβους μπορούν να

τοποθετηθούν διάφορες τιμές, οι οποίες μπορούν να είναι είτε δυαδικές, είτε όχι.

Ενδεικτικά προτείνονται οι τιμές Δυνατό και Αδύνατο, Ανάγκη χρήσης ειδικού εξοπλισμού

και Μη ύπαρξης ανάγκης ειδικού εξοπλισμού, στις δυαδικές τιμές. Επίσης δίνονται

παραδείγματα μη δυαδικών τιμών, όπως το χρηματικό κόστος κάθε ενέργειας. Είναι

ακόμα δυνατόν να υπάρχουν περισσότερες της μίας τιμής σε κάθε κόμβο. Δίνονται

παραδείγματα χρηματικών ποσών σε συνδυασμό με την ύπαρξη ανάγκης για ειδικό

εξοπλισμό [Τριποδιανός, 2005].

Τα δένδρα αυτά, αφού δημιουργηθούν, μπορούν να επιλυθούν και να αναδείξουν τις

δυνατές επιθέσεις, καθώς και να κατηγοριοποιήσουν τις επιθέσεις με βάση τις τιμές που

έχουν χρησιμοποιηθεί. Η επίλυση των δένδρων γίνεται από τα φύλλα προς την κορφή.

Όταν συναντηθεί κόμβος με λογικό ΚΑΙ, πρέπει να προστεθούν όλες οι τιμές των

απογόνων του (εφόσον πρόκειται για συνεχείς τιμές) ή να πραγματοποιούνται όλοι οι

κόμβοι – απόγονοι (δυαδικές τιμές). Στην περίπτωση των κόμβων λογικού Η, αρκεί να

ληφθεί η πλέον συμφέρουσα τιμή των κόμβων - απογόνων, εάν πρόκειται για συνεχείς

τιμές, ή να πραγματοποιείται έστω ένας από τους κόμβους – απόγονους.

Με αυτήν την μεθοδολογία, για παράδειγμα, είναι δυνατόν να εντοπιστούν οι εφικτές

επιθέσεις, καθώς και οι εφικτές επιθέσεις που δεν απαιτούν ειδικό εξοπλισμό και έχουν

κόστος κάτω από κάποιο συγκεκριμένο όριο για τον επιτιθέμενο. Το πλεονέκτημα αυτής

της προσέγγισης είναι η προσαρμογή των αντιμέτρων στις αναμενόμενες επιθέσεις.

Ταυτόχρονα όμως απαιτείται και γνώση για τις ικανότητες και τους πόρους των

επιτιθέμενων.

Τα δένδρα επίθεσης που προκύπτουν είναι επαναχρησιμοποιήσιμα, και μπορούν να

γίνουν τμήμα μεγαλύτερων δένδρων, και η χρήση ενός προϋπάρχοντος δένδρου απαιτεί

μόνο την γνώση της τιμής της ρίζας του.

Οι συγγραφείς του [Lück et al., 2001] προτείνουν ένα μοντέλο τριών επιπέδων για την



Σελ. 94

μετάφραση πολιτικών ασφαλείας σε συγκεκριμένα τεχνικά αντίμετρα. Στην έρευνά τους

χρησιμοποιούν σαν παράδειγμα την παραγωγή κανόνων για ένα ανάχωμα ασφαλείας

(firewall). Η προσπάθειά τους επικεντρώθηκε στην ανάπτυξη ενός εργαλείου για την

υποστήριξη, και όχι την πλήρη αυτοματοποίηση της παραγωγής των κανόνων, καθώς «η

πλήρως αυτοματοποιημένη παραγωγή λεπτομερών κανόνων φιλτραρίσματος από

αφηρημένες πολιτικές είναι αδύνατη, συνεπώς το εργαλείο θα πρέπει να υποστηρίζει μια

διαδικασία συγκεκριμένων βημάτων, η οποία ξεκινάει από αφηρημένες προτάσεις

πολιτικής, ζητάει βαθμιαία περισσότερες πληροφορίες, παράγει συνεπείς εκλεπτύνσεις της

πολιτικής, και ελέγχει την πληρότητα του αποτελέσματος». Το εργαλείο αξιοποιεί την

γλώσσα μοντελοποίησης UML (Unified Modeling Language) [OMG UML, 2001] για

την μοντελοποίηση του συστήματος. Χρησιμοποιεί την προσέγγιση της διαχείρισης με

βάση μοντέλα, η οποία υποστηρίζει την ανάπτυξη συστημάτων για αυτοματοποιημένη

διαχείριση. Η ανάπτυξη αρχίζει με τον σχεδιασμό του συστήματος, συνεχίζει με την

εκλέπτυνση του. Στην συνέχεια εισάγονται νέες πληροφορίες για τους στόχους

διαχείρισης. Τέλος, το μοντέλο που προκύπτει χρησιμοποιείται σαν σημείο εκκίνησης για

την παραγωγή των κανόνων διαχείρισης.

Το μοντέλο που χρησιμοποιείται από τους συγγραφείς αποτελείται από τρία επίπεδα

αφαίρεσης: α) Ρόλοι και Στόχοι (Roles and Objectives), β) Υποκείμενα και Πόροι

(Subjects and Resources), και γ) Κόμβοι και Δαίμονες (Nodes and Demons). Κάθε

επίπεδο είναι μια εκλέπτυνση του ανώτερου, και έτσι το ανώτερο επίπεδο περιγράφει το

σύστημα από επιχειρησιακή άποψη, ενώ το κατώτερο από τεχνική άποψη. Υπάρχει και

κατακόρυφος διαχωρισμός, στα αριστερά του οποίου βρίσκεται το μοντέλο καθαυτό, ενώ

στα δεξιά υπάρχουν τα δικαιώματα (permissions) που αντιστοιχούν στο συγκεκριμένο

επίπεδο.

Η διαδραστική διαδικασία σχεδιασμού των κανόνων του αναχώματος ασφαλείας

αποτελείται από τα παρακάτω στάδια:

Ø Μοντελοποίηση του συστήματος, όπου ο σχεδιαστής αναλύει το σύστημα στα τρία

επίπεδα αφαίρεσης, χωρίς τις μεταξύ τους συσχετίσεις.



Σελ. 95

Ø Συσχέτιση μεταξύ επιπέδων αφαίρεσης, όπου ο σχεδιαστής ερευνά και δημιουργεί

τις συσχετίσεις μεταξύ των οντοτήτων διαφορετικών επιπέδων.

Ø Καθορισμός ελέγχου πρόσβασης, όπου καθορίζονται οι αφηρημένοι κανόνες

πρόσβασης, δημιουργώντας τριάδες Ρόλων, Αντικειμένων και Εξουσιοδοτήσεων

Πρόσβασης.

Ø Παραγωγή των Εξουσιοδοτήσεων, όπου με βάση το μοντέλο που έχει

δημιουργηθεί, εξάγονται αυτόματα από το εργαλείο οι κανόνες για το ανάχωμα

ασφαλείας.

Σε πιο πρόσφατη εργασία ([Lück and Krumm, 2003]) γίνεται διεύρυνση του πεδίου σε

ολόκληρο τον χώρο των υπηρεσιών ασφάλειας. Εδώ επισημαίνεται ότι μια

ολοκληρωμένη ρύθμιση των υπηρεσιών ασφαλείας πρέπει να λαμβάνει υπ’ όψη τους

παρακάτω παράγοντες:

Ø Οι υπηρεσίες πρέπει να υποστηρίζουν τις αναγκαίες χρήσεις του πληροφοριακού

συστήματος. Συνεπώς πρέπει να ενεργοποιούν λειτουργίες και διαύλους

επικοινωνίας που είναι σύμφωνοι με την αφηρημένη πολιτική.

Ø Οι υπηρεσίες πρέπει να απαγορεύουν μη εξουσιοδοτημένες λειτουργίες. Το οποίο

σημαίνει ότι πρέπει να απενεργοποιηθούν οι λειτουργίες και οι δίαυλοι

επικοινωνίας που είτε είναι αντίθετοι με την αφηρημένη πολιτική, είτε

αποκλείονται έμμεσα.

Επιπλέον της προσέγγισης της διαχείρισης με βάση μοντέλα που χρησιμοποιήθηκε στην

προηγούμενη εργασία τους ([Lück et al., 2001]), οι συγγραφείς εξελίσσουν το μοντέλο

τους χρησιμοποιώντας και την ιδέα της διαχείρισης με βάση πολιτικές και σχετικές

ιεραρχίες τους. Το νέο προτεινόμενο μοντέλο εξακολουθεί να έχει τρία επίπεδα

αφαίρεσης (Ρόλοι και Αντικείμενα – Roles and Objects, Υποκείμενα και Πόροι –

Subjects and Resources και το μετονομασμένο Διεργασίες και Κόμβοι – Processes and

Hosts), ενώ έχει επίσης και τρεις στήλες που διαπερνούν κάθετα τα επίπεδα αυτά (Σχήμα

3.3):

Ø Η στήλη Συστήματος, η οποία περιέχει το μοντέλο του συστήματος υπό

διαχείριση



Σελ. 96

Ø Η στήλη Ελέγχου, όπου τοποθετούνται τα μοντέλα περιγραφής των

χρησιμοποιούμενων στοιχείων ελέγχου, που υποστηρίζουν την

αυτοματοποιημένη διοίκηση κατά την λειτουργία του συστήματος, με έμφαση

στις υπηρεσίες ασφάλειας και τους μηχανισμούς προστασίας

Ø Η στήλη Πολιτικής, όπου μπορούν να αναπαρασταθούν με μοντέλα οι πολιτικές.

Το εργαλείο που παρέχεται υποστηρίζει την αυτοματοποιημένη εκλέπτυνση των

πολιτικών, με αξιοποίηση του παρεχόμενου μοντέλου.

Σχήμα 3.3: Το Μοντέλο στο [Lück and Krumm, 2003]

Οι παραπάνω έρευνες([Lück et al., 2001], [Lück and Krumm, 2003] βασίζονται σε

μεγάλο βαθμό στην δημοσίευση του Wies [Wies, 1995], η οποία προτείνει μια

ταξινόμηση των πολιτικών και αναλύει την ιδέα της μετατροπής πολιτικών σε κατώτερα

επίπεδα. Η ταξινόμηση των πολιτικών αποσκοπεί:

Ø Στην καλύτερη κατανόηση της έννοιας της διοικητικής πολιτικής και του τι

μπορεί να επιτευχθεί με την χρήση της



Σελ. 97

Ø Στον εντοπισμό διαφορών και ομοιοτήτων μεταξύ πολιτικών για τον καθορισμό

διαφορετικών κατηγοριών πολιτικών

Ø Στην παραγωγή μιας ιεραρχίας πολιτικών για την διαδικασία της μετατροπής

πολιτικών

Ø Στην παραγωγή και επαλήθευση των στοιχείων ενός τυπικού (formal) ορισμού

των πολιτικών.

Η ιεράρχηση των πολιτικών αποτελεί έναν τρόπο για τον διαχωρισμό μεγάλου αριθμού

πολιτικών σε μικρότερες ομάδες διαφορετικού επιπέδου αφαίρεσης, οι οποίες μπορούν

ευκολότερα να αναλυθούν σε βήματα και να μετατραπούν σε εφαρμόσιμες, χαμηλού

επιπέδου πολιτικές. Ταυτόχρονα, η ιεράρχηση αυτή αναδεικνύει διαφορετικές απόψεις

για τις πολιτικές, από την επιχειρησιακή έως την τεχνική. Οι συγγραφείς προτείνουν την

ακόλουθη ιεραρχία:

Ø Πολιτικές υψηλού επιπέδου: Παράγονται απευθείας από επιχειρησιακούς στόχους,

και συνεπώς περιλαμβάνουν απόψεις της στρατηγικής διαχείρισης της

επιχείρησης. Για να γίνουν εφαρμόσιμες πρέπει να αναλυθούν περαιτέρω.

Ø Πολιτικές σχετικές με στόχους: Το πεδίο δράσης τους είναι γνωστό ως διαχείριση

διαδικασιών. Καθορίζουν τον τρόπο με τον οποίο τα εργαλεία διαχείρισης

αξιοποιούνται για την επίτευξη της επιθυμητής συμπεριφοράς των πόρων.

Ø Λειτουργικές πολιτικές: Λειτουργούν στο επίπεδο των λειτουργιών διαχείρισης

(management functions) και καθορίζουν τον τρόπο λειτουργίας τους.

Ø Πολιτικές χαμηλού επιπέδου: Λειτουργούν στο επίπεδο των υπό διαχείριση

αντικειμένων (Managed Objects)13.

Σημειώνεται ότι κάποιες πολιτικές μπορεί να είναι εφαρμόσιμες πριν φτάσουν στο

χαμηλότερο επίπεδο αφαίρεσης.

Ο [Wies, 1995] σημειώνει ότι η μετατροπή των πολιτικών από ένα υψηλό επίπεδο σε

13 Εδώ ορίζονται ως αφηρημένες έννοιες των υπό διαχείριση πόρων του δικτύου και των συστημάτων.



Σελ. 98

κάποιο χαμηλότερο μπορεί να είναι αυτοματοποιημένη, αλλά επικρατεί η άποψη της

υποστηριζόμενης από υπολογιστή και καθοδηγούμενης από ειδικούς μετατροπής (computer

– aided intuition – guided). Μια άλλη προσέγγιση θα μπορούσε να είναι η καθαρά

συντακτική μετατροπή, η οποία όμως δεν λαμβάνει υπ’ όψη τις σημασιολογικές

αλληλεξαρτήσεις, και γι’ αυτό δεν είναι αποδεκτή. Το τέλος της μετατροπής λαμβάνει

χώρα όταν το επίπεδο λεπτομέρειας δεν αναλύεται περισσότερο, ή όταν είναι εφικτή μια

συσχέτιση μεταξύ τιμών και υπό διαχείριση αντικειμένων ή λειτουργιών διαχείρισης.

Γίνεται δηλαδή ένας συνδυασμός των αποτελεσμάτων μιας ανάλυσης από πάνω προς τα

κάτω (η ανάλυση των πολιτικών) και μιας προσέγγισης από κάτω προς τα πάνω (η

ανάλυση της διαθέσιμης διαχειριστικής λειτουργικότητας).

Μια ακόμα άποψη των πολιτικών που θίγεται στο έργο του Wies είναι ο κύκλος ζωής

τους. Παρουσιάζονται έξι στάδια:

Ø Μετατροπή πολιτικών: Η διαδικασία μετατροπής των πολιτικών σε χαμηλότερου

επιπέδου.

Ø Εφαρμογή ενεργών πολιτικών: Οι πολιτικές ενεργοποιούνται από το σύστημα

διαχείρισης ή συγκεκριμένες εφαρμογές διαχείρισης. Οι ενεργές πολιτικές πρώτα

εκτελούν συγκεκριμένες ενέργειες, και στη συνέχεια παρατηρούν αλλαγές που

μπορεί να πυροδοτήσουν νέες ενέργειες.

Ø Εφαρμογή πολιτικών παρατήρησης: Οι πολιτικές αυτές δεν έχουν αρχικές

ενέργειες και απλά αντιδρούν σε συγκεκριμένες ενέργειες.

Ø Αναπροσαρμογή ή αλλαγή πολιτικών: Οι αλλαγές κατά την διάρκεια ζωής μιας

πολιτικής αντιμετωπίζονται όπως οι αρχικές ενέργειες εφαρμογής.

Ø Αλλαγές που δημιουργούν νέες απαιτήσεις παρακολούθησης, αντίδρασης ή

εφαρμογής: Σε μερικές περιπτώσεις υπάρχει η πιθανότητα να αλλάξει ριζικά η

κατάσταση και να απαιτούνται νέες στρατηγικές παρακολούθησης.

Ø Διαγραφή πολιτικών: Πολιτικές μικρής και μεσαίας διάρκειας οι οποίες σε κάποια

χρονική στιγμή θα καταστούν άχρηστες.

Με βάση τα παραπάνω προκύπτουν και οι απαιτήσεις για κάποιο πρότυπο πολιτικών

(policy template), ένα παράδειγμα του οποίου παρουσιάζεται στο [Wies, 1995].



Σελ. 99

Μία παρόμοια προσέγγιση ακολουθείται και στο [Imamura et al., 2005]. Εδώ γίνεται

χρήση των εννοιών της βασισμένης σε υπηρεσίες αρχιτεκτονικής (Service Oriented

Architecture, SOA) και της βασισμένης σε μοντέλο αρχιτεκτονικής (Model Driven

Architecture, MDA). Οι συγγραφείς βασίζονται σε ένα προτεινόμενο πλαίσιο της IBM,

το οποίο ορίζει δύο επίπεδα, το επιχειρησιακό και το τεχνικό, το καθένα από τα οποία

εμπεριέχει δύο μοντέλα. Τα μοντέλα περιγράφονται ως εξής:

Ø Στρατηγικό μοντέλο: Περιγραφή των στρατηγικών στόχων και του επιχειρησιακού

σχεδιασμού ενός οργανισμού. Περιλαμβάνονται υψηλού επιπέδου κανόνες:

νομοθεσία, επιχειρησιακές πρακτικές και οδηγίες υψηλού επιπέδου της

επιχείρησης.

Ø Λειτουργικό μοντέλο: Μοντέλο ενεργειών που αναπαριστούν επιχειρησιακές

λειτουργίες και κανόνες, ανεξάρτητο από υπολογιστικές λειτουργίες.

Περιλαμβάνονται κανόνες και περιορισμοί με τους οποίους πρέπει να

συμβιβάζονται οι επιχειρησιακές λειτουργίες. Μερικοί περιορισμοί μπορούν να

ελεγχθούν σε αυτό το επίπεδο.

Ø Εκτελεστικό μοντέλο: Περιγραφή ανεξάρτητη πλατφόρμας εγγράφων, ροών και

συνδέσμων με ανθρώπους, εφαρμογές και πηγές δεδομένων και οι σχέσεις τους.

Περιλαμβάνονται κανόνες εφαρμογών και περιγραφές απαιτήσεων ασφαλείας.

Ø Μοντέλο εφαρμογής: Μοντέλο εξαρτημένο από την πλατφόρμα της

πληροφοριακής υποδομής. Περιλαμβάνει την υποδομή ασφαλείας. Σε αυτό το

επίπεδο γίνεται περιγραφή του τρόπου επίτευξης των απαιτήσεων ασφαλείας.

Η έρευνα δεν εξετάζει το ανώτερο επίπεδο επειδή «δεν υπάρχει πρότυπο ούτε και

προτεινόμενος τρόπος [...] για την περιγραφή ασφαλείας» [Τριποδιανός, 2005]. Μια

γενικευμένη περιγραφή του προτεινόμενου πλαισίου για την περιγραφή και εκλέπτυνση

των σχετικών με την ασφάλεια πληροφοριών είναι η εξής: Σε κάποιον χρήστη στο

ανώτατο επίπεδο δίνεται ένα λεξικό όρων που συνήθως χρησιμοποιεί και του ζητείται να

περιγράψει με αυτούς τους όρους τις απαιτήσεις ασφαλείας. Στην συνέχεια οι απαιτήσεις

ασφαλείας μετατρέπονται σταδιακά σε πιο λεπτομερείς, με επικοινωνία με τους χρήστες,



Σελ. 100

εξέταση επιπλέον περιορισμών του περιβάλλοντος, ή άλλους τρόπους. Όταν επιτευχθεί

ένα ικανοποιητικό επίπεδο λεπτομέρειας, μπορούν να ερευνηθούν τα αντίμετρα. Εδώ οι

συγγραφείς αναφέρουν την ιδέα της ανάλυσης των αντιμέτρων με τον ίδιο τρόπο που

έγινε και η ανάλυση των απαιτήσεων ασφαλείας. Όταν και τα αντίμετρα φτάσουν σε ένα

ικανοποιητικό επίπεδο λεπτομέρειας, περιγράφονται σε κάποια γλώσσα πολιτικών. Στο

τέλος κάποιος εξουσιοδοτημένος χρήστης (λ.χ. διαχειριστής) του μοντέλου ρυθμίζει το

σύστημα με βάση αυτήν την περιγραφή. Εναλλακτικά μπορεί να προκύπτει αυτόματη

ρύθμιση του συστήματος.

Η μετάβαση σε περιγραφές χαμηλότερου επιπέδου σε αυτήν την έρευνα, γίνεται με

χρήση προτύπων (patterns). Ζητείται από κάποιον χρήστη να επιλέξει μερικά από τα

πρότυπα που έχουν παραχθεί από πραγματικές περιπτώσεις χρήσης, και να τα εφαρμόσει

στις απαιτήσεις ασφαλείας ή τα αντίμετρα. Κάθε πρότυπο περιγράφει μια μετατροπή από

ένα ανώτερο επίπεδο σε ένα χαμηλότερο. Ο χρήστης επαναλαμβάνει την διαδικασία έως

ότου προκύψουν απαιτήσεις ασφαλείας ή αντίμετρα ικανοποιητικής λεπτομέρειας.

Τέλος, οι συγγραφείς δίνουν επίσης μερικά παραδείγματα προτύπων για μετατροπή

απαιτήσεων ασφαλείας από το λειτουργικό στο εκτελεστικό μοντέλο.

Με βάση την βασισμένη σε μοντέλα διαχείριση και συγκεκριμένα το μοντέλο που

παρουσιάστηκε στο [Lück et al., 2001], προτείνεται στο [de Albuquerque et al., 2005]

μια επέκταση του μοντέλου καθώς και μια μέθοδος επικύρωσης του μοντέλου.

Συγκεκριμένα, οι συγγραφείς εντόπισαν προβλήματα στην περιγραφή μεγάλων

συστημάτων. Σαν λύση προτείνεται το Διάγραμμα Αφηρημένων Υποσυστημάτων

(Diagram of Abstract Subsystems), το οποίο αποτελεί ένα νέο επίπεδο αφαίρεσης, και

προσφέρει μια αναπαράσταση του όλου συστήματος διαχωρισμένου σε Αφηρημένα

Υποσυστήματα. Τα Διαγράμματα Αφηρημένων Υποσυστημάτων τοποθετείται μεταξύ των

επιπέδων Υποκειμένων & Πόρων, και Διεργασιών & Κόμβων. Ο κύριος σκοπός του

είναι να περιγράψει την ολική δομή του συστήματος με μια αρθρωτή μορφή, δηλαδή να

διασπάσει το σύστημα στα δομικά του στοιχεία και να παρουσιάσει τις συσχετίσεις

μεταξύ τους. Συνεπώς, ένα Διάγραμμα Αφηρημένων Υποσυστημάτων είναι ένας γράφος,

με κόμβους τα Αφηρημένα Υποσυστήματα και ακμές τις συσχετίσεις τους. Τα

Αφηρημένα Υποσυστήματα είναι μια αφηρημένη άποψη ενός τμήματος του συστήματος.

Συνεπώς ένα Αφηρημένο Υποσύστημα είναι ένας υπογράφος του Διαγράμματος



Σελ. 101

Αφηρημένων Υποσυστημάτων, και περιλαμβάνει:

Ø Δρώντες (Actors): Σύνολα ατόμων στο σύστημα που έχουν ενεργητική

συμπεριφορά, δηλαδή εκκινούν επικοινωνία και εκτελούν υποχρεωτικές

λειτουργίες με βάση πολιτικές υποχρέωσης [Damianou et al., 2001].

Ø Μεσάζοντες (Mediators): Στοιχεία που μεσολαβούν στην επικοινωνία

λαμβάνοντας αιτήσεις, ελέγχοντας την κυκλοφορία, φιλτράροντας ή

διαμορφώνοντας την ροή δεδομένων σύμφωνα με τις πολιτικές εξουσιοδότησης

[Damianou et al., 2001]. Μπορούν ακόμα να εκτελούν υποχρεωτικές λειτουργίες,

βασισμένες σε πολιτικές υποχρέωσης.

Ø Στόχοι (Targets): Παθητικά στοιχεία που περιέχουν σχετικές πληροφορίες

προσβάσιμες από τους δρώντες.

Ø Σύνδεσμοι (Connectors): Αναπαριστούν τις διεπαφές μεταξύ των Αφηρημένων

Υποσυστημάτων.

Τα αντικείμενα στο Διάγραμμα Αφηρημένων Υποσυστημάτων αναπαριστούν σύνολα

οντοτήτων, διαχωρισμένα με βάση μια άποψη του συστήματος βασισμένη στην πολιτική.

Το Διάγραμμα Αφηρημένων Υποσυστημάτων προσφέρει αντίστοιχες οντότητες για την

περιγραφή πολιτικών.

Το προτεινόμενο μοντέλο υποστηρίζει την αυτοματοποίηση της δημιουργίας μιας

ιεραρχίας πολιτικών. Κατά την διαδικασία αυτή, η ανάλυση των αντικειμένων, των

σχέσεων και των πολιτικών ενός συστήματος σε ένα συγκεκριμένο επίπεδο αφαίρεσης

επιτρέπει την παραγωγή πολιτικών χαμηλότερου επιπέδου, με βάση και το μοντέλο του

χαμηλότερου επιπέδου, και τις σχέσεις μεταξύ των αντικειμένων των δυο επιπέδων.

Η χρησιμότητα των παραγόμενων πολιτικών βασίζεται στα κριτήρια της συνέπειας και

της πληρότητας. Συνεπείς ονομάζονται δυο πολιτικές γειτονικών επιπέδων όταν δεν

υπάρχουν ασυνέπειες τόσο εντός του παραγόμενου συνόλου χαμηλού επιπέδου, όσο και

σε σχέση με τις σχετιζόμενες πολιτικές ανώτερου επιπέδου. Η πληρότητα της διαδικασίας

συνίσταται στην αποτελεσματική εφαρμογή όλων των πολιτικών ανώτερου επιπέδου στο

χαμηλότερο επίπεδο. Η διαδικασία ελέγχου των παραπάνω κριτηρίων πρέπει να

λαμβάνει χώρα για κάθε μετάβαση μεταξύ δυο επιπέδων.

Οι συγγραφείς αποδεικνύουν την ισχύ των κριτηρίων της πληρότητας και της συνέπειας



Σελ. 102

κατά την μετάβαση από το επίπεδο Υποκειμένων και Πόρων σε αυτό του Διαγράμματος

Αφηρημένων Υποσυστημάτων, καθώς και από το Διάγραμμα Αφηρημένων

Υποσυστημάτων στο επίπεδο των Διεργασιών και Οικοδεσποτών με τυπικό τρόπο.

Για μια εκτενή περιγραφή μη τυπικών προσεγγίσεων εξειδίκευσης απαιτήσεων

ασφάλειας, ο ενδιαφερόμενος αναγνώστης παραπέμπεται στο [Τριποδιανός, 2005].

3.4 Τυπικές Προσεγγίσεις στον Ορισμό Πολιτικών ΠΣ

Κατά τον Sloman, «…οι πολιτικές είναι κανόνες που ρυθμίζουν τη συμπεριφορά ενός

συστήματος» [Sloman, 1994]. Η διαχείριση συστημάτων πληροφορικής βάσει πολιτικών

είναι ένα εξαιρετικά δημοφιλές ερευνητικό θέμα και υπάρχει μεγάλη κινητικότητα στον

τομέα αυτό τα τελευταία χρόνια. Ανατρέχοντας στη σχετική βιβλιογραφία, συναντούμε

ένα μεγάλο αριθμό προσεγγίσεων που το πεδίο της εφαρμογής τους εκτείνεται από την

διαχείριση τεχνοδιαμόρφωσης (configuration management) [Burgess, 1995], [SmartFrog,

2006] έως τη διαχείριση ασφάλειας και έλεγχο πρόσβασης [Ribeiro et al., 2001]. Από την

άλλη πλευρά, οι τυπικές προσεγγίσεις στον ορισμό πολιτικών οι οποίες έχουν καθιερωθεί

και χρησιμοποιούνται σε ευρεία κλίμακα, είναι μετρημένες στα δάχτυλα. Το ίδιο ισχύει

και για την ανάλυση και εξειδίκευση πολιτικών, όπου οι τυπικές τεχνικές παίζουν

σημαντικό ρόλο.

Στο [Keromytis et al. 2003] προτείνεται η αρχιτεκτονική STRONGMAN στην οποία με

τη χρήση διαφορετικών μεταγλωττιστών γίνεται η μετατροπή πολιτικών από διάφορες

γλώσσες περιγραφής πολιτικών υψηλού επιπέδου (και την βοήθεια επιπλέον

πληροφοριών όπως η τοπολογία του δικτύου), σε διαπιστευτήρια του συστήματος

KeyNote. Το συγκεκριμένο σύστημα διαχείρισης εμπιστοσύνης παρέχει και μια γλώσσα

για την περιγραφή πολιτικών. Στην γλώσσα αυτή, οι ενέργειες περιγράφονται ως ζεύγη

(όνομα – τιμή), που ονομάζονται Σύνολο Ιδιοτήτων Ενέργειας. Οι πολιτικές μπορούν είτε

να αποδέχονται, είτε να απορρίπτουν Σύνολα Ιδιοτήτων Ενεργειών. Η βασική υπηρεσία

που παρέχει είναι ο έλεγχος συμβατότητας, δηλαδή ο έλεγχος ενεργειών για



Σελ. 103

συμβατότητα με κάποια ισχύουσα πολιτική.

Με βάση το συγκεκριμένο πεδίο εφαρμογής, είναι δυνατό να οριστούν διαφορετικά είδη

πολιτικών [Damianou, 2002b]: α) εξουσιοδότησης (authorisation), β) υποχρέωσης

(obligation)14, γ) αποφυγής (refrain) και δ) μεταβίβασης αρμοδιοτήτων (delegation).

Ένας τυπικός κανόνας πολιτικής αναφέρεται σε (και ορίζεται από) κάποιες βασικές

πληροφορίες που είναι απαραίτητες και επηρεάζουν την εφαρμογή του στις συνιστώσες

του συστήματος. Ο Πίνακας 3.1 παραθέτει τα κύρια μέρη ενός κανόνα πολιτικής. Σε

κάποια είδη πολιτικών, τα μέρη των κανόνων μπορεί να μην είναι ρητά ορισμένα αλλά

να υπονοούνται από τα συμφραζόμενα και το περιβάλλον στο οποίο ο κανόνας θα

εφαρμοστεί (π.χ. οι εξουσιοδοτημένοι χρήστες για τη λειτουργία Α είναι όσοι ανήκουν στο

λογιστήριο του οργανισμού). Σημαντική πτυχή αποτελεί το γεγονός ότι οι ρόλοι των

Υποκειμένων και Στόχων ερμηνεύονται ανάλογα με τα συμφραζόμενα: ένας υπεύθυνος

τμήματος που έχει το δικαίωμα απόδοσης δικαιωμάτων (Υποκείμενο) στους χρήστες του

τμήματός του (Στόχοι) για χρήση των εκτυπωτών (Στόχος), με τη σειρά του είναι Στόχος

για το Υποκείμενο του ανώτερου διαχειριστικού επιπέδου (Διευθυντής Πληροφορικής), ο

οποίος είναι υπεύθυνος για την απόδοση δικαιωμάτων στους υπεύθυνους τμημάτων15.

Πίνακας 3.1: Τα Βασικά Μέρη ενός Κανόνα Πολιτικής

Μέρος Κανόνα Περιγραφή Παράδειγμα

Υποκείμενο (Subject) H οντότητα που θα

υλοποιήσει/εφαρμόσει τον

κανόνα.

Φυσικός χρήστης, ρόλος,

διεργασία του λειτουργικού

συστήματος ή πράκτορας

λογισμικού.

14 Στη βιβλιογραφία χρησιμοποιείται και ο όρος καθήκον (duty). Στην παρούσα διατριβή οι δύο όροι θα

χρησιμοποιούνται εναλλάξ. 15 Το συγκεκριμένο παράδειγμα υπονοεί και εφαρμογή πολιτικής μεταβίβασης αρμοδιοτήτων (delegation).



Σελ. 104

Μέρος Κανόνα Περιγραφή Παράδειγμα

Στόχος (Target) Η πληροφοριακή

συνιστώσα που θα

εφαρμοστεί ο κανόνας.

Ένας ή περισσότεροι

πληροφοριακοί πόροι, ένα ή

περισσότερα Υποκείμενα,

ένας ή περισσότεροι ρόλοι.

Ενέργειες (Actions) Οι ενέργειες που

επιτρέπεται

(εξουσιοδότησης) ή πρέπει

(υποχρέωσης) να

πραγματοποιηθούν.

Απόδοση δικαιωμάτων,

ρύθμιση παραμέτρων

τερματικού, έλεγχος των

πακέτων δικτύου για

επιθέσεις.

Συνθήκες (Conditions) Οι προαπαιτούμενες

συνθήκες και περιορισμοί

για την εφαρμογή του

κανόνα.

Χρόνος εφαρμογής (π.χ.

εντός εργασιακών ωρών),

Ρόλων (μπορεί να το

εφαρμόσει μόνο ο

διαχειριστής του δικτύου).

Γεγονότα Ενεργοποίησης

(Triggers)

Γεγονότα τα οποία

πυροδοτούν την εφαρμογή

του κανόνα

Αυθεντικοποίηση χρήστη:

Φραγή της προσπάθειας

πρόσβασης μετά από

συγκεκριμένο αριθμό

αποτυχημένων

προσπαθειών

Εκτός από τα παραπάνω στοιχεία που είναι κοινά στην πλειονότητα των προσεγγίσεων,

υπάρχει και μια σειρά από παράπλευρες δομές με υποστηρικτικό ρόλο όπως οι

λογαριασμοί χρηστών (accounts), τα δικαιώματα στους πόρους (rights/privileges), οι

ρόλοι (roles), απαραίτητοι για τον εννοιολογικό διαχωρισμό των δικαιωμάτων από τους

χρήστες και την αποτελεσματικότερη διαχείριση των πόρων, τα καθήκοντα (duties), οι



Σελ. 105

pOPp ¬¬=

ιεραρχίες (hierarchies) και τα πεδία εφαρμογής (domains)16. Η τάση να αποδίδονται

ταυτόχρονα σε ένα ρόλο τόσο δικαιώματα όσο και καθήκοντα, αποτελεί χαρακτηριστικό

γνώρισμα των ευρέως διαδεδομένων προσεγγίσεων πολιτικών συστημάτων σε

συνδυασμό με τις οργανωσιακές δομές και ιεραρχίες [Biddle and Thomas, 1979].

Μέχρι σήμερα οι τυπικές προσεγγίσεις χρησιμοποιούνται κυρίως για τον ορισμό

πολιτικών ασφάλειας [Barker, 2000], [Jajodia et al., 1997a]. Τα πλεονεκτήματά τους

αφορούν στην ισχυρή και καλά ορισμένη σημασιολογία (semantics) και στην σαφήνεια

των κανόνων τους. Άλλα πλεονεκτήματα είναι η υποστήριξη λογικών συμπερασματικών

μηχανισμών όπως ο εντοπισμός συγκρούσεων μεταξύ κανόνων (conflict detection) και η

εξειδίκευση των απαιτήσεων ασφάλειας (με περιορισμούς, βλ. και ενότητες 3.2, 3.3).

Αντιπροσωπευτικές προσεγγίσεις αποτελούν η Standard Deontic Logic (SDL), η οποία

επεκτείνει την modal logic με τελεστές δικαιωμάτων, υποχρεώσεων και απαγορεύσεων

(prohibitions) και βρήκε πολλούς υποστηρικτές (ο αναγνώστης παραπέμπεται στην

εργασία των [Wieringa and Meyer, 1998] για μια εκτεταμένη ανασκόπηση των

εφαρμογών της SDL). Παρά τη δημοφιλία της, τα αξιώματα της SDL παρουσιάζουν

λογικά προβλήματα σε συνδυασμό με τους κανόνες των πολιτικών, αφού συγχέει τις

πολιτικές αποφυγής (refrain policies) με τις πολιτικές αρνητικής εξουσιοδότησης

(negative authorisation policies).

Ο Ortalo [Ortalo, 1998] περιγράφει μία τυπική γλώσσα για να εκφράσει τις πολιτικές

ασφάλειας στα πληροφοριακά συστήματα, η οποία στηρίζεται στην λογική των

επιτρεπτών ενεργειών και υποχρεώσεων (permissions and obligations) και αποτελεί

επέκταση της deontic logic. Το βασικό αξίωμα της συγκεκριμένης προσέγγισης είναι το

αξίωμα:

δηλ. “Permitted p is equivalent to not p being not obliged”, το οποίο αντιβαίνει στον

διαχωρισμό των πολιτικών υποχρεώσεων και εξουσιοδοτήσεων (obligation policies και

16 Ο αναγνώστης παραπέμπεται και στην ενότητα 3.5 για περιγραφή του μοντέλου RBAC (role-based

access control).



Σελ. 106

authorization policies). Την παραπάνω άποψη ενισχύει και ο [Miller, 2001], στο οποίο

αναφέρονται αρκετά παράδοξα της deontic logic και την καθιστούν ακατάλληλη για

ορισμό τυπικών πολιτικών.

Η First-Order Logic (FOL), δεν πάσχει από τα παράδοξα της SDL, και έτσι έχουν

προκύψει κάποια ελπιδοφόρα ερευνητικά αποτελέσματα. Επειδή η γενικευμένη First-

Order Logic είναι μη-αποφασίσιμη (undecidable), είναι απαραίτητη η χρήση ενός

αποφασίσιμου υποσυνόλου της προκειμένου να προκύψουν εφαρμόσιμες πολιτικές. Η

πλειονότητα των ερευνητών έχει εστιάσει σε εφαρμογές ασφάλειας [Barker, 2000],

[Barker, 2001a], [Jajodia et al., 1997a], ενώ δεν λείπουν και οι εφαρμογές της FOL σε

πολιτικές διαχείρισης [Chomicki et al., 2000], [Lobo et al., 1999], [Son and Lobo, 2001].

3.5 Τυπικές προσεγγίσεις Πολιτικών Ασφάλειας ΠΣ

Κατ’ αναλογία με τον ορισμό της πολιτικής σε επίπεδο συστήματος που δόθηκε στην

ενότητα 3.4, αλλά και των βασικών εννοιών / ιδιοτήτων της ασφάλειας στην ενότητα 2.2,

ο όρος πολιτική ασφάλειας, χρησιμοποιείται για να περιγράψει ένα σύνολο από κανόνες

που προστατεύουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα σε ένα

σύστημα· οι πολιτικές ασφάλειας σε αυτό το επίπεδο είναι κανόνες ελέγχου πρόσβασης

που καθορίζουν ποιες πληροφορίες είναι προσβάσιμες για ανάγνωση και από ποιον

(εμπιστευτικότητα), ποιος μπορεί να μεταβάλλει τις πληροφορίες (ακεραιότητα), και η

παροχή πρόσβασης στις πληροφορίες από τους εξουσιοδοτημένους χρήστες

(διαθεσιμότητα). Η βιβλιογραφία παρέχει ένα μεγάλο αριθμό εργασιών σχετικά με τον

έλεγχο πρόσβασης οι οποίες χρησιμοποιούν τυπικές μεθόδους και επιτρέπουν την τυπική

επικύρωση των εν λόγω συστημάτων. Παραδοσιακά, οι πολιτικές ελέγχου πρόσβασης

βασίστηκαν σε δύο κύρια μοντέλα: α) σε εκείνο της μεταβίβασης δικαιωμάτων από τον

ιδιοκτήτη του αντικειμένου υπό εξέταση (discretionary access control model), που

στοχεύει κύρια στον ορισμό επαρκών κανόνων πρόσβασης στην πληροφορία, και β) σε

εκείνο της κεντρικής διαχείρισης από εξουσιοδοτημένη οντότητα (mandatory access

control model), που δίνει βάρος στον έλεγχο της ροής πληροφορίας μεταξύ των

αντικειμένων του συστήματος.

Συμπληρωματική και σημαντικότατη εξέλιξη αποτελεί ο έλεγχος πρόσβασης με βάση τις

δραστηριότητες (activities) ή ρόλους (roles) των οντοτήτων του συστήματος (role-based



Σελ. 107

access control ή RBAC), διευκολύνοντας σημαντικά τη διαχείριση του ελέγχου

πρόσβασης [ANSI/INCITS, 2004]. Ένας RBAC ρόλος ορίζεται σαν ένα σύνολο από

δικαιώματα πρόσβασης που συνδέονται με μια συγκεκριμένη θέση ή μια συγκεκριμένη

αρμοδιότητα σε ένα οργανισμό. Τα μοντέλα RBAC απλοποιούν τη διαχείριση των

εξουσιοδοτήσεων παρέχοντας μηχανισμούς για αντιστοίχηση δικαιωμάτων πρόσβασης

και χρηστών σε ρόλους: αντί να αποδίδονται δικαιώματα πρόσβασης σε χρήστες, τα

δικαιώματα πρόσβασης και οι χρήστες αντιστοιχίζονται σε ρόλους, ενώ ένας χρήστης

εξασκεί τα δικαιώματα που έχουν αποδοθεί στο σύνολο των ρόλων που του έχουν

αποδοθεί. Η συντριπτική πλειοψηφία των σύγχρονων συστημάτων ελέγχου πρόσβασης

τόσο σε συστήματα ειδικού σκοπού (στρατιωτικά, ελέγχου πυρηνικών σταθμών…), όσο

και σε συστήματα ευρείας χρήσης χρησιμοποιούν κάποιο συνδυασμό των μοντέλων (α),

(β) με το RBAC.

Η γλώσσα εξουσιοδοτήσεων ASL [Jajodia et al., 1997a] αποτελεί ένα παράδειγμα μιας

τυπικής λογικής γλώσσας που βασίζεται σε Stratified-Clause Form Logic και παρέχει

επίσης υποστήριξη για RBAC. Υποστηρίζονται: α) πολιτικές εξουσιοδοτήσεων, β)

αρνητικών εξουσιοδοτήσεων, γ) ιεραρχίες εξουσιοδοτήσεων, δ) ιστορικό

εξουσιοδοτήσεων17 βάσει του οποίου μπορεί να αποδοθούν (ή όχι) εξουσιοδοτήσεις στο

μέλλον, ε) μια μορφή μετα-πολιτικών18 (integrity rules) προκειμένου να οριστούν

συνθήκες κατά περίπτωση (application-dependent conditions) που περιορίζουν το εύρος

των πιθανών ενεργειών, και τέλος στ) από νεότερη έρευνα, διαθέτει αξιολόγηση

ιεραρχικών ή άλλων σχέσεων μεταξύ αντικειμένων ενός συστήματος [Jajodia et al.,

2000].

Παρά την εκφραστική της δύναμη, η ASL είναι κατάλληλη μόνο για πολιτικές

πρόσβασης και όχι για πολιτικές διαχείρισης. Η επεκτασιμότητά της είναι περιορισμένη

και αυτό την κάνει ακατάλληλη για εφαρμογή σε μεγάλα συστήματα, καθότι δεν διαθέτει

μηχανισμούς σύνδεσης των εξουσιοδοτήσεων με ρόλους που είναι απαραίτητο σε

17 Με γνώμονα τις ενέργειες μιας οντότητας στο παρελθόν. 18 Πολιτικές υψηλότερου επιπέδου για διαχείριση άλλων πολιτικών.



Σελ. 108

συστήματα με χιλιάδες χρήστες και μεγάλη ποικιλία ρόλων. Τέλος, δεν παρέχει άμεσο

τρόπο για μεταβίβαση αρμοδιοτήτων (delegation) και δεν υπάρχει τρόπος ορισμού

κανόνων εξουσιοδότησης για ομάδες διαχειρίσιμων πόρων (target objects) οι οποίοι δεν

σχετίζονται μέσω του τύπου τους. Ο Barker [Barker, 2000] ισχυρίζεται ότι η προσέγγιση

της stratified-clause form logic είναι κατάλληλη για τον ορισμό πολιτικών πρόσβασης

λόγω της απλής, υψηλού επιπέδου δηλωτικής φύσης της. Ο ίδιος ερευνητής σε επόμενες

εργασίες του [Barker, 2001a], [Barker, 2001b] προτείνει την αυτόματη μετάφραση των

πολιτικών stratified-clause form logic σε ένα υποσύνολο της SQL (Structured Query

Language) για προστασία σχεσιακών βάσεων από μη-εξουσιοδοτημένες προσπάθειες

ανάκτησης (read) και μεταβολής (update) δεδομένων. Η προσέγγιση του Barker έχει τις

ίδιες αδυναμίες με την ASL στο ότι αδυνατεί να εντοπίσει συγκρούσεις πολιτικών (policy

conflicts) σε πραγματικό χρόνο και μπορεί να χρησιμοποιηθεί μόνο για πολιτικές ελέγχου

πρόσβασης.

Η Γλώσσα Ορισμού Ρόλων (Role Definition Language – RDL) [Hayton et al., 1998]

βασίζεται σε προτάσεις Horn (Horn clauses) και ορίζεται μέσα από την αρχιτεκτονική

OASIS από το πανεπιστήμιο του Cambridge. Η RDL βασίζεται σε σύνολα κανόνων που

καθορίζουν τις συνθήκες κάτω από τις οποίες ένα υποκείμενο μπορεί να αποκτήσει ένα

όνομα ή ένα ρόλο, όπου ο ρόλος είναι συνώνυμος με μια επώνυμη ομάδα (named group).

Η αντιστοίχηση ενός υποκειμένου σε ένα ρόλο πραγματοποιείται μέσω διαπιστευτηρίων

(credentials) τα οποία πιστοποιούν την καταλληλότητά του για το συγκεκριμένο ρόλο,

μαζί με περιορισμούς (constraints) στις παραμέτρους αυτών των διαπιστευτηρίων.

Τέλος, στο [Wojcik et al., 2005] οι συγγραφείς παρουσιάζουν την OVAL, μια γλώσσα

που επιτρέπει τον έλεγχο συστημάτων για ύπαρξη αδυναμιών και προβληματικών

ρυθμίσεων. Περιλαμβάνει τρία σχήματα XML (eXtensible Markup Language) για την

τυποποίηση των τριών βασικών βημάτων στην διαδικασία ελέγχου:

Ø Σχήμα Χαρακτηριστικών Συστήματος: Για την συλλογή των χαρακτηριστικών των

συστημάτων και πληροφοριών σχετικά με τις ρυθμίσεις

Ø Σχήμα Ορισμού: Για την συγγραφή ορισμών που ελέγχουν την παρουσία

συγκεκριμένων αδυναμιών λογισμικού, για τον έλεγχο της συμβατότητας των



Σελ. 109

ρυθμίσεων με την πολιτική του συστήματος, και για τον έλεγχο ύπαρξης

επιδιορθώσεων (patches).

Ø Σχήμα Αποτελεσμάτων: Για την παρουσίαση των αποτελεσμάτων των ελέγχων.

Η βάση δεδομένων της OVAL με τους ορισμούς είναι ελεύθερη, ενώ παρέχεται και ένα

εργαλείο για τον έλεγχο, με βάση τις πληροφορίες της βάσης δεδομένων, για την ύπαρξη

αδυναμιών σε κάποιο σύστημα.

3.6 Τυπική αποτύπωση Πολιτικών Διαχείρισης

Η Policy Description Language (PDL) [Lobo et al., 1999] είναι ένα παράδειγμα χρήσης

FOL για τον ορισμό πολιτικών υποχρέωσης (obligation policies). Η PDL είναι μια

γλώσσα που βασίζεται σε γεγονότα (event-based) και αναπτύχθηκε από το ερευνητικό

τμήμα των Bell-Labs, ενώ χρησιμοποιείται στο εργαλείο SARAS Softswitch [Virmani et

al., 2000]. Η PDL χρησιμοποιεί την προσέγγιση των τριάδων (Γεγονός-Συνθήκη-

Ενέργεια) προκειμένου να οριστεί μια πολιτική σαν μια συνάρτηση που αντιστοιχίζει μια

σειρά από γεγονότα σε μια σειρά ενεργειών. Η γλώσσα μπορεί να χαρακτηριστεί σαν ένα

εξειδικευμένο σύστημα παραγωγής κανόνων που ορίζει πολιτικές σε πραγματικό χρόνο.

Η σύνταξη της PDL είναι σχετικά απλή και οι πολιτικές περιγράφονται από δύο τύπους

εκφράσεων: κανόνες πολιτικών και γεγονότα πολιτικών, τα οποία ορίζονται από τον

χρήστη. Παρά την εκφραστική της δύναμη, η PDL δεν υποστηρίζει πολιτικές ελέγχου

πρόσβασης, ούτε υποστηρίζει τη σύνθεση πολιτικών σε ρόλους ή άλλες δομές

ομαδοποίησης.

Οι [Efstratiou et al., 2002] προτείνουν μια επέκταση του Event Calculus σαν βάση για

τον ορισμό πολιτικών διαχείρισης σε κινητές συσκευές. Καθώς η γλώσσα έχει τη

δυνατότητα αναπαράστασης του χρόνου με τρόπο ανεξάρτητο από τα γεγονότα που

μπορεί να προκύψουν στο σύστημα, είναι κατάλληλη για τον ορισμό πολιτικών σε

συστήματα που καθοδηγούνται από γεγονότα (event-driven systems). Οι χρήστες ορίζουν

πολιτικές υποχρέωσης (obligation policies) μέσω μιας γλώσσας υψηλού επιπέδου οι

οποίες κατόπιν μετατρέπονται σε Event Calculus. Σε σχέση με την PDL, πλεονεκτεί

λόγω της δυνατότητας ορισμού χρονικών σχέσεων μεταξύ γεγονότων, ενεργειών και

κατάστασης (status) του υπό διαχείριση συστήματος. Στα μειονεκτήματά της



Σελ. 110

συγκαταλέγονται το γεγονός ότι μπορεί να οριστούν μόνο πολιτικές υποχρέωσης καθώς

και ότι δεν έχει υλοποιηθεί ο εντοπισμός συγκρούσεων πολιτικών.

Τέλος, έρευνα των [Knottenbelt and Clark, 2004] σε Αντιπροσώπους Βάσει Συμβολαίων

(Contract-Driven Agents) χρησιμοποιεί σαν βάση της το Event Calculus προκειμένου να

διευκολύνει συστήματα πολλαπλών αντιπροσώπων στον εντοπισμό εφαρμογών

Σημασιολογικού Ιστού (Semantic Web) και υπηρεσιών Web Services.

Μια εκτεταμένη ανασκόπηση προσεγγίσεων πολιτικών ασφάλειας είναι διαθέσιμη στα

[Damianou et al., 2002] και [Bandara, 2005].

3.7 Πλαίσια και Γλώσσες Πολιτικών Υψηλού Επιπέδου

3.7.1 PMAC

Το πλαίσιο Policy Middleware for Autonomic Computing (PMAC) έχει αναπτυχθεί στα

πλαίσια της ερευνητικής δραστηριότητας της IBM για το Αυτόνομο Υπολογίζειν

[Agrawal et al., 2005a]. Οι πολιτικές στο PMAC ορίζονται σαν κανόνες του τύπου

Γεγονός – Συνθήκη – Ενέργεια (Event – Condition – Action, ECA), μέσω ενός XML

σχήματος. Το πλαίσιο περιλαμβάνει μια γενικού σκοπού γλώσσα ορισμού περιορισμών

(ομοίως σε XML), η οποία μπορεί να χρησιμοποιηθεί για τον ορισμό των περιορισμών

των κανόνων. Η χρήση της XML υποστηρίζει την εισαγωγή υφιστάμενων κανόνων και

περιορισμών με ήδη ορισμένη σημασιολογία, επιτυγχάνοντας ικανοποιητική

επεκτασιμότητα, με το κόστος της εγγενούς φλυαρίας της XML και τη δυσκολία του

χρήστη να την κατανοήσει. Το τελευταίο μειονέκτημα αμβλύνεται με την εισαγωγή μιας

νέας απλής γλώσσας για πολιτικές, την Simple Policy Language (SPL), η οποία

χρησιμοποιείται για τον ορισμό των κανόνων ECA. Η τεκμηρίωση της SPL είναι φτωχή,

αλλά αναμένεται ότι η σύνταξή της θα είναι παρόμοια με αυτή των πολιτικών

υποχρέωσης του πλαισίου Ponder.

Το PMAC υποστηρίζει ανάλυση και επίλυση συγκρούσεων πολιτικών παρέχοντας μια

δυνατότητα που ονομάζεται Επικύρωση Πολιτικής (Policy Ratification) [Agrawal et al.,

2005b]. Ουσιαστικά πρόκειται για πληροφόρηση του διαχειριστή σχετικά με την

επίδραση που θα έχει μια νέα πολιτική στις ήδη υπάρχουσες. Οι υποστηριζόμενες

λειτουργίες, οι οποίες είναι γενικού σκοπού (generic) και ανεξάρτητες από το πεδίο



Σελ. 111

εφαρμογής των πολιτικών (domain-independent) είναι οι εξής τέσσερεις:

Ø Έλεγχος Επικράτησης (Dominance Checking): καθορίζει εάν υπάρχουν σχέσεις

εξάρτησης μεταξύ πολιτικών στο σύστημα. Γενικά μπορεί να θεωρηθεί ότι μια

πολιτική Π1 εξαρτάται από μια πολιτική Π2 εάν ο περιορισμός της πολιτικής Π1

υπονοεί με λογικό τρόπο τον περιορισμό της Π2.

Ø Έλεγχος Σύγκρουσης (Conflict Checking): εντοπίζονται πολιτικές των οποίων οι

περιορισμοί είναι ταυτόχρονα αληθείς, με αποτέλεσμα δυνητική σύγκρουση σε

περίπτωση που οι οριζόμενες από τις πολιτικές πράξεις είναι ασύμβατες μεταξύ

τους. Το PMAC απαντά σε αυτό το πρόβλημα υλοποιώντας μια σειρά από

αναλυτικούς αλγόριθμους για τον έλεγχο ικανοποίησης διαφορετικών κλάσεων

λογικών εκφράσεων. Αν και η αναλυτική αυτή προσέγγιση καλύπτει το θέμα της

σύγκρουσης πολιτικών σε επίπεδο ορισμού των πολιτικών, από τη στιγμή που δεν

χρησιμοποιεί ένα μοντέλο της συμπεριφοράς του συστήματος [Bandara, 2005],

δεν λαμβάνει υπόψη αλλαγές στην κατάσταση του συστήματος που προέρχονται

από επιβολή των πολιτικών με αποτέλεσμα ασυνεπή εφαρμογή των πολιτικών.

Ø Έλεγχος Κάλυψης (Coverage Checking): διασφαλίζει ότι για ένα δοθέν εύρος

παραμέτρων εισόδου, θα υπάρχει τουλάχιστον μια εφαρμόσιμη πολιτική. Αυτό

επιτυγχάνεται ελέγχοντας κατά πόσον η λογική ένωση (OR) των περιορισμών

των πολιτικών υπονοεί μια λογική ένωση των παραμέτρων εισόδου των

πολιτικών, προκειμένου οι πολιτικές να εφαρμοστούν.

Ø Έλεγχος Συνέπειας Προτεραιοτήτων (Consistent Priority Assignments): το πλαίσιο

προβλέπει ότι προβλήματα τα οποία προκύπτουν κατά τη διενέργεια των

παραπάνω λειτουργιών, θα επιλύονται από το διαχειριστή (απ)ενεργοποιώντας

και αποδίδοντας διαφορετικές (σχετικές) προτεραιότητες σε πολιτικές,

προκειμένου το σύνολο των ενεργών πολιτικών να παραμένει συνεπές. Ο έλεγχος

συνέπειας προτεραιοτήτων αυτοματοποιεί αυτή την απόδοση προτεραιοτήτων

χρησιμοποιώντας μια παραλλαγή αλγορίθμου εισαγωγής στοιχείων σε μια

ταξινομημένη λίστα.

Η εξειδίκευση πολιτικών επιτυγχάνεται μέσω του ορισμού κανόνων μετατροπής

(transformation rules), με δυνατότητα ολικής ή μερικής αλλαγής των κανόνων: αφού οι



Σελ. 112

κανόνες μετατροπής υλοποιούνται και αυτοί σαν κανόνες πολιτικής, έχουν τη

δυνατότητα να εκτελεστούν από το ίδιο σύστημα εφαρμογής, σαν οποιοδήποτε άλλο

κανόνα PMAC. Ένα μειονέκτημα αυτής της προσέγγισης είναι ότι οι κανόνες

μετατροπής πρέπει να οριστούν χειροκίνητα από τον εκάστοτε ειδικό, ενώ δεν υπάρχει

τρόπος επικύρωσης της ορθότητας των αλλαγμένων κανόνων όσον αφορά την

ικανοποίηση των αρχικών στόχων του χρήστη.

3.7.2 KaOS

Το KaOS είναι μία συλλογή από σύνθετες υπηρεσίες πρακτόρων, η οποία υποστηρίζει

μία ποικιλία από πλατφόρμες κινητών πρακτόρων [Uszok et al., 2003]. Σε σχέση με την

αρχική του έκδοση, το KaOS έχει προσαρμοστεί σε γενικού σκοπού περιβάλλοντα

υπολογιστικού πλέγματος (grid computing) και Web Services. Τα κύρια στοιχεία του

πλαισίου KaOS είναι οι υπηρεσίες τομέα (domain services) και οι υπηρεσίες πολιτικών.

Η συνιστώσα του KaOS για τις υπηρεσίες πολιτικής είναι υπεύθυνη για τις

προδιαγραφές, τη διαχείριση, την ανάλυση συγκρούσεων και την επιβολή των πολιτικών.

Η πολιτική προδιαγραφών υιοθετεί μία προσέγγιση που βασίζεται σε οντολογίες και οι

πολιτικές αναπαρίστανται σε DAML19 [Hendler and McGuinness, 2000], [DAML, 2004].

Ο ορισμός της οντολογίας του KaOS επιτρέπει τη διάκριση μεταξύ πολιτικών

εξουσιοδότησης και πολιτικών υποχρέωσης, ενώ κάθε ένας από αυτούς τους τύπους

πολιτικών εξειδικεύεται περισσότερο μέσω ενός τελεστή λογικού ενδεχόμενου (modality

operator20). Μία θετική πολιτική εξουσιοδότησης (positive authorisation policy) ορίζει

πράξεις που επιτρέπονται όταν ικανοποιούνται οι δεδομένοι περιορισμοί, ενώ μία

αρνητική πολιτική εξουσιοδότησης (negative authorisation policy) ορίζει πράξεις που

απαγορεύονται υπό δεδομένους περιορισμούς. Παρομοίως, οι θετικές υποχρεώσεις

(positive obligations) ορίζουν μία απαίτηση εκτέλεσης μιας δεδομένης λειτουργίας, ενώ

οι αρνητικές υποχρεώσεις (negative obligations) εξαλείφουν τον υποχρεωτικό χαρακτήρα

19 DARPA Agent Markup Language. 20 Η Λογική Ενδεχόμενων (Modal Logic) χειρίζεται πιθανά / δυνατά ενδεχόμενα και καταστάσεις.



Σελ. 113

εκτέλεσης της λειτουργίας (π.χ. οι πολιτικές αποφυγής Ponder, βλ. και ενότητα 3.7.5). Η

βασική οντολογία πολιτικής μπορεί να επεκταθεί έτσι ώστε να υποστηρίζει συγκεκριμένα

χαρακτηριστικά εφαρμογών ορίζοντας διαχειριστικές λειτουργίες και τις σχετικές

παραμέτρους τους.

Το πλαίσιο εργασίας παρέχει ένα εργαλείο Διαχείρισης Πολιτικής KaOS (KaOS Policy

Administration Tool) και το οποίο υποστηρίζει τις λειτουργίες του ορισμού των

πολιτικών, διαχείρισης των οντολογίες, εφαρμογής των πολιτικών και ανίχνευσης των

συγκρούσεων μεταξύ των πολιτικών. Το εργαλείο αυτό αντιμετωπίζει το πρόβλημα της

περιττολογίας των πολιτικών που διατυπώνονται μέσω της τυπολογίας DAML+OIL,

διευκολύνοντας την κατανόηση των πολιτικών από τους χρήστες.

Οι υπηρεσίες πολιτικών KaOS συμπεριλαμβάνουν υποστήριξη για ανίχνευση και

ανάλυση συγκρούσεων ενδεχομένων (modality conflicts), οι οποίες μπορεί να συμβούν

εάν δύο πολιτικές με αντίθετα σενάρια προδιαγράφουν τις ίδιες πράξεις και επιβάλλονται

ταυτόχρονα. Για τη διαχείριση συγκρούσεων το KaOS χρησιμοποιεί τις προεκτάσεις του

στον ενοποιημένο μηχανισμό απόδειξης θεωρημάτων (Java Theorem Prover, JTP) που

διαθέτει, εφαρμόζοντας έναν αλγόριθμο που βασίζεται στη χρήση των μηχανισμών

δευτερευόντων συλλογισμών (subsumption mechanisms) μεταξύ τάξεων. Οι συγκρούσεις

που εντοπίζονται επιλύονται μέσω του προσδιορισμού των προτεραιοτήτων και της

αυτοματοποιημένης δημιουργίας εναρμονισμένων πολιτικών [Uszok et al., 2003].

Επειδή το πλαίσιο εργασίας του KaOS έχει έναν ενσωματωμένο μηχανισμό απόδειξης

θεωρημάτων, είναι επίσης δυνατοί και άλλοι τύποι ερωτήσεων (π.χ. «ποιες οντότητες

έχουν πρόσβαση ανάγνωσης / εγγραφής στη βάση δεδομένων των πελατών»).

Εν τούτοις, όπως και στην περίπτωση του πλαισίου PMAC (βλ. ενότητα 3.7.1), η

διαδικασία της ανάλυσης πολιτικών δεν ερμηνεύει τη συμπεριφορά του διαχειριζόμενου

συστήματος και ως εκ τούτου αδυνατεί να ανιχνεύσει συγκρούσεις που προκαλούνται

από μετατροπές στην κατάσταση (state) του συστήματος.

Η αρχιτεκτονική της εφαρμογής πολιτικών κάνει χρήση των υπηρεσιών τομέα του KaOS

(domain services) προκειμένου να προσδιορίσει τις οντότητες στις οποίες εφαρμόζεται

μία πολιτική. Επιπλέον, το μοντέλο της εφαρμογής διαθέτει μία υπηρεσία καταλόγου

(directory service) για την αποθήκευση πολιτικών, ενώ οντότητες – φρουροί (guards)

διερμηνεύουν τις πολιτικές πριν τις μεταβιβάσουν σε οντότητες – υλοποιητές (enforcers),



Σελ. 114

οι οποίοι μεταφράζουν τις πράξεις της πολιτικής στις εξειδικευμένες λειτουργίες για τη

συγκεκριμένη πλατφόρμα.

Χρησιμοποιώντας την ιδέα των εξειδικευμένων οντοτήτων για κάθε σε πραγματικό

χρόνο, οι πολιτικές KaOS μπορούν να χρησιμοποιηθούν σε μία ποικιλία εφαρμογών.

Πράγματι, το KaOS έχει χρησιμοποιηθεί σε ένα ευρύ φάσμα εφαρμογών που εκτείνεται

από διαχείριση Web Services μέχρι υπολογιστικά πλέγματα (grid computing).

Υποστηρίζει πολιτικές εξουσιοδότησης και διαχείρισης, ενώ παρέχει εργαλεία για τον

καθορισμό, ανάλυση και εφαρμογή τους στο υπό διαχείριση σύστημα. Η οντολογική

προσέγγιση που χρησιμοποιεί επιτρέπει την εύκολη προσθήκη συγκεκριμένων

πληροφοριών και διαδικασιών για το διαχειριζόμενο σύστημα.

Παρόλα αυτά, ενώ η διαδικασία ανάλυσης επιτρέπει την ανίχνευση των συγκρούσεων

των ενδεχομένων και τον έλεγχο άλλων στοιχείων, δεν εξηγεί την αλληλεπίδραση των

πολιτικών όταν η επιβολή μίας πολιτικής προκαλεί σχετικές συγκρούσεις. Τέλος, το

KaOS δεν παρέχει καμία υποστήριξη για την εξειδίκευση των πολιτικών (policy

refinement).

3.7.3 Rei

Το σύστημα Rei αναπτύχθηκε από τους [Kagal et al., 2003] για να υποστηρίξει τη

διαχείριση που βασίζεται σε πολιτικές για εφαρμογές Διάχυτου Υπολογίζειν (Pervasive

Computing). Παρέχει τρεις γλωσσικές δομές: α) αντικείμενα πολιτικών (policy objects),

β) μετα-πολιτικές (meta-policies) και γ) πράξεις λόγου (speech acts). Τα αντικείμενα

πολιτικών ορίζονται ως δικαιώματα, απαγορεύσεις, υποχρεώσεις ή απαλλαγές που

αντιστοιχίζονται στις θετικές / αρνητικές εξουσιοδοτήσεις και στις θετικές / αρνητικές

πολιτικές υποχρέωσης που περιγράφηκαν στα KaOS και Ponder (ενότητα 3.7.5).

Η πολιτική προδιαγραφών στο Rei χρησιμοποιεί μία οντολογική προσέγγιση για να

αναπαραστήσει τον κάθε τύπο πολιτικής και συνεπώς οι κανόνες της πολιτικής

καθορίζονται ακριβώς στην φλύαρη» αναπαράσταση της OWL [OWL, 2004a], [OWL,

2004b], η οποία είναι παρόμοια με την αναπαράσταση που χρησιμοποιείται από το

KaOS. Εν τούτοις, το Rei παρέχει ακόμη μια αναπαράσταση που βασίζεται σε Prolog, η

οποία είναι πιο συμπαγής και κατανοητή. Η βασική οντολογία περιλαμβάνει την

περιγραφή πράξεων μέσω αναγνωριστικού πράξης (action identifier), τα αντικείμενα-



Σελ. 115

στόχοι στα οποία μπορεί να εκτελεστεί η πράξη, όπως και το σύνολο των συνθηκών που

απαιτούνται πριν και μετά από την εκτέλεση της πράξης.

Το σύστημα Rei υποστηρίζει την επιβολή πολιτικών παρέχοντας μία γεννήτρια

αποφάσεων πολιτικών (policy decision engine) η οποία εξάγει τα δικαιώματα και τις

υποχρεώσεις των αντικειμένων στο διαχειριζόμενο σύστημα, με χρήση αιτήσεων

κατάστασης του συστήματος. Η χρήση της Prolog στον καθορισμό των κανόνων των

πολιτικών σημαίνει ότι το Rei μπορεί να χρησιμοποιήσει μία Prolog γεννήτρια

συμπερασμάτων για να αναλύσει τον ακριβή καθορισμό της πολιτικής και να ανιχνεύσει

συγκρούσεις ενδεχομένων. Από τη στιγμή που η γεννήτρια υποστηρίζει μόνο

συμπερασματική λογική, μπορούν να ανιχνευτούν μόνο συγκρούσεις κατά την εκτέλεση

(runtime). Με χρήση της οντολογίας για ορισμό της πληροφορίας που αφορά

συγκεκριμένες πράξεις σε επίπεδο εφαρμογών, θεωρητικά η διαδικασία ανάλυσης θα

μπορούσε να ανιχνεύσει συγκρούσεις συγκεκριμένων πολιτικών σε επίπεδο εφαρμογών –

για παράδειγμα, μία υποχρέωση κλειδώματος μιας πόρτας θα ερχόταν σε σύγκρουση με

μία άλλη υποχρέωση που απαιτεί την πόρτα ανοιχτή. Εν τούτοις, στη βιβλιογραφία δεν

υπάρχουν παραδείγματα ανάλυσης τέτοιων συγκρούσεων σε Rei πολιτικές. Όπως

αναφέρθηκε, η γλώσσα Rei περιλαμβάνει επίσης τις έννοιες των πράξεων λόγου (speech

acts) [Searle, 1969] και των μετα-πολιτικών.

Ø Οι πράξεις λόγου είναι ένας μηχανισμός που επιτρέπει σε αντικείμενα στο

σύστημα να μεταφέρουν δυναμικά δικαιώματα και υποχρεώσεις σε άλλες

οντότητες. Αυτό είναι παρόμοιο με την ιδέα της αντιπροσώπευσης /

εξουσιοδότησης που έχει συζητηθεί εκτενώς στη βιβλιογραφία.

Ø Οι μετα-πολιτικές είναι κανόνες που αφορούν άλλες πολιτικές και

χρησιμοποιούνται για την επίλυση συγκρούσεων που ανιχνεύονται από τη

μηχανή πολιτικών Rei κατά την εκτέλεση (runtime).

Παρόλο που η γλώσσα Rei έχει χρησιμοποιηθεί με επιτυχία σε διάφορες εφαρμογές

Διάχυτου Υπολογίζειν παρέχοντας δυνατότητες ελέγχου πρόσβασης βάσει πολιτικής,

έχει έναν αριθμό από περιορισμούς. Είναι γεγονός ότι εφόσον η μέθοδος ανίχνευσης

συγκρούσεων εξαρτάται από τη συμπερασματική λογική, λειτουργεί μόνο όταν ένας

ολοκληρωμένος ορισμός του συστήματος είναι διαθέσιμος, π.χ. κατά την εκτέλεση και



Σελ. 116

όχι νωρίτερα. Ενώ αυτό είναι εν γένει χρήσιμο, τα οφέλη θα ήταν σημαντικότερα αν οι

διαχειριστές είχαν τη δυνατότητα ανίχνευσης δυνητικών συγκρούσεων στις πολιτικές

τους κατά το χρόνο του ορισμού τους, έτσι ώστε να ελαχιστοποιείται ο κίνδυνος

ανάπτυξης μιας πολιτικής που θα προκαλέσει, πιθανά, αποτυχία του συστήματος. Άλλοι

περιορισμοί είναι η έλλειψη υποστήριξης για την εξειδίκευση των πολιτικών, και η

απουσία διαχειριστικών εργαλείων για τον καθορισμό κανόνων πολιτικών.

3.7.4 PCIM

Το IETF Policy Core Information Model (PCIM) της IETF [Moore et al., 2001] είναι μια

επέκταση του Common Information Model της Distributed Management Task Force

(DMTF) [DMTF CIM, 2001]. Το PCIM είναι ένα αντικειμενοστραφές μοντέλο

πληροφοριών με στόχο την εύκολη ανταλλαγή πληροφοριών πολιτικής συνίσταται από

δύο ιεραρχίες κλάσεων αντικειμένων – η πρώτη αναπαριστάνει πληροφορία σχετική με τις

πολιτικές και με τις δομές ελέγχου, ενώ η δεύτερη αναπαριστάνει τις σχέσεις μεταξύ των

πολιτικών. Αυτή η προσέγγιση αντιμετωπίζει το σύστημα υπό διαχείριση σαν μια μηχανή

καταστάσεων (state machine), με τις πολιτικές να αποφασίζουν σε ποια κατάσταση θα

μεταβεί το σύστημα μετά την επιβολή των αντιστοίχων κανόνων πολιτικής. Οι τελευταίοι

συνδέουν ένα σύνολο καταστάσεων (είσοδοι της μηχανής καταστάσεων) με ένα σύνολο

ενεργειών (έξοδοι της μηχανής καταστάσεων), ενώ αλλάζει και η κατάσταση (state) του

συστήματος. Στο Σχήμα 3.4 απεικονίζεται ένα απλοποιημένο μοντέλο κλάσεων για ένα

κανόνα πολιτικής.



Σελ. 117

Σχήμα 3.4: Το Μοντέλο Κλάσεων για τους Κανόνες Πολιτικών στο PCIM

Βασικές κλάσεις του μοντέλου όπως οι PolicyAction και PolicyCondition είναι

αφηρημένες (abstract), καθώς ο ενδιαφερόμενος οργανισμός που θέλει να εφαρμόσει ένα

σύστημα διαχείρισης PCIM θα πρέπει να υλοποιήσει τις δικές του εκδόσεις ενεργειών

και συνθηκών για να χρησιμοποιηθούν από τους κανόνες.

Όσον αφορά τους υποστηριζόμενους τύπους πολιτικών, το μοντέλο PCIM υποστηρίζει

μόνο (μερικώς) πολιτικές υποχρέωσης, ενώ μπορεί να συνδυαστεί με το μοντέλο CIM

(Common Information Model) [DMTF CIM, 2006] για διαχείριση συστημάτων. Καθότι

το PCIM είναι ένα μοντέλο πληροφορίας, δεν διαθέτει δυνατότητες ανάλυσης και

εξειδίκευσης πολιτικών. Παρά το γεγονός ότι παρέχει μια UML περιγραφή ενός

διαχειριζόμενου συστήματος και ότι θα μπορούσε θεωρητικά να συνδυαστεί με τη

γλώσσα Object Constraint Language (OCL) για ορισμό συνθηκών, το PCIM υποστηρίζει

μόνο ένα είδος κανόνων, ενώ απαιτείται σημαντική βελτίωση έτσι ώστε να μπορέσει να

εκφράσει όλους τους διαφορετικούς τύπους πολιτικών σε ένα σύστημα. Τέλος, οι

ορισμοί πολιτικών PCIM είναι φλύαροι και θεωρούνται δύσκολοι στην κατανόηση

συγκριτικά με γλώσσες πολιτικών υψηλού επιπέδου [Westerinen and Schott, 2004] όπως

η Ponder [Damianou et al., 2001] και η Rei [Kagal et al., 2003].



Σελ. 118

3.7.5 Ponder

Στο πλαίσιο διαχείρισης πολιτικών που προτείνεται στο [Damianou, 2002b],

παρουσιάζεται η δηλωτική (declarative) γλώσσα Ponder που είναι μια γλώσσα ημι-

τυπικής αποτύπωσης των πολιτικών διαχείρισης ενός συστήματος

(συμπεριλαμβανομένων και των πολιτικών ασφάλειας). Η γλώσσα Ponder είναι

αντικειμενοστραφής και περιέχει επεκτάσιμες δομές για την περιγραφή των ακόλουθων

βασικών τύπων πολιτικής ασφάλειας (policy types):

Ø Authorization Policies (Πολιτικές Εξουσιοδότησης), οι οποίες ορίζουν τις

επιτρεπτές πράξεις στους αντικείμενα (πόρους) του συστήματος και

χρησιμοποιούνται για να μορφοποιήσουν τον έλεγχο πρόσβασης (access control).

Ø Event-Triggered Obligation Policies (Πολιτικές Υποχρέωσης), οι οποίες ορίζουν

ενέργειες που πρέπει να γίνουν από αντιπρόσωπους διαχείρισης (manager agents).

Πρόκειται για κανόνες που εφαρμόζονται όταν λάβει χώρα ένα συγκεκριμένο

γεγονός το οποίο ενεργοποιεί έναν (ή περισσότερους) αντιπρόσωπους διαχείρισης

(για παράδειγμα μία παραβίαση του δικτύου).

Ø Refrain Policies (Πολιτικές Αποφυγής), οι οποίες ορίζουν ενέργειες που οι

οντότητες / υποκείμενα του συστήματος πρέπει να αποφεύγουν ή δεν επιτρέπεται

να πραγματοποιούν. Κλασσικό παράδειγμα αποτελεί η αποφυγή της

ενεργοποίησης της υπηρεσίας μεταφοράς αρχείων (File Transfer Protocol, FTP)

και αντίστοιχης πρόσβασης στις πόρτες 20 και 21 (FTP data port και flow control

port αντίστοιχα), σε κρίσιμους πόρους εάν δεν εξυπηρετείται κάποια βάσιμη

επιχειρησιακή ανάγκη.

Ø Delegation Policies (Πολιτικές Μεταβίβασης Αρμοδιοτήτων), οι οποίες αφορούν

σε μεταβίβαση αρμοδιοτήτων από μια οντότητα του συστήματος σε άλλη (για

παράδειγμα, δικαίωμα εγγραφής σε ένα αρχείο που ανήκει σε ένα υψηλόβαθμο

στέλεχος, σε ένα στέλεχος χαμηλότερου βαθμού).

Για την δημιουργία των κανόνων που θα αποτυπώνουν την πολιτική ασφάλειας τυπικά

έχουν οριστεί κάποιες υποστηρικτικές δομές δεδομένων. Αυτές είναι οι Ομάδες

(Groups), τα οποία αποτελούν ένα σύνολο από αντικείμενα στα οποία εφαρμόζεται μία

κοινή πολιτική ασφάλειας (για παράδειγμα όλοι οι υπολογιστές τελικών χρηστών, end-



Σελ. 119

user hosts), οι Ρόλοι (Roles), οι οποίοι ορίζουν ομαδοποιήσεις πολιτικών που αφορούν σε

κοινές θέσεις στο εργασιακό περιβάλλον (για παράδειγμα ο ρόλος του προγραμματιστή

που αναφέρεται σε όλους τους προγραμματιστές ενός οργανισμού), οι Σχέσεις

(Relationships) που ορίζουν ομαδοποιήσεις πολιτικών που αναφέρονται στις σχέσεις

μεταξύ των αντικειμένων και των υποκειμένων του δικτύου και τέλος οι Περιορισμοί

(Constraints) οι οποίοι αφορούν σε τυχόν περιορισμούς που υπάρχουν στην εφαρμογή

των κανόνων της πολιτικής ασφάλειας. Ένα απλό παράδειγμα κανόνα πολιτικής

παρατίθεται στη Λίστα Κώδικα 3.1 (για αναλυτικότερη παρουσίαση της μεθόδου ο

αναγνώστης παραπέμπεται στα [Damianou, 2002b], [Damianou et al., 2001], [Lupu et. al,

2000]):

Λίστα Κώδικα 3.1: Πολιτική Εξουσιοδότησης κατά Ponder type auth+ profileAccessT(subject administrators, target <userProfile> users) { action modify(), remove();}

Το συγκεκριμένο παράδειγμα μίας πολιτικής εξουσιοδότησης ονομάζεται profileAccessT

και ορίζει ότι οι administrators (μια ομάδα διαχειριστών) μπορούν (σύμβολο +) να

αλλάξουν (modify()) και να αφαιρέσουν (remove()) αντικείμενα τύπου userProfile

(αφηρημένες συλλογές δικαιωμάτων) από τη Ομάδα (group) των users (τελικοί χρήστες).

3.8 Διαχείριση Πολιτικών και Φυσική Γλώσσα

Σε αυτή την ενότητα, αναφέρεται η έρευνα που ασχολείται με πολιτικές ασφάλειας και

φυσική γλώσσα. Για την ανάλυση των δηλώσεων τυπικά χρησιμοποιείται κάποια

παραλλαγή της Prolog ή της Lisp. Αρκετές δημοσιεύσεις έχουν γίνει από οργανισμούς

που σχετίζονται με εθνικούς στρατούς, δείγμα του ενδιαφέροντος για τις εξελίξεις στο

χώρο.

3.8.1 Ένα Πειραματικό Περιβάλλον Διαχείρισης Πολιτικών (ΠΔΠ)

Το πρώτο μέρος της έρευνας των [Sibley et al., 1992] παρουσιάζει μία ανάλυση

απαιτήσεων, ένα προκαταρκτικό μοντέλο και μία υλοποίηση πρωτοτύπου μιας

ενοποιημένης συλλογής εργαλείων που υποστηρίζουν την διαμόρφωση, ανάλυση και

υλοποίηση πολιτικών. Αυτό το σύνολο εργαλείων, που ονομάζεται Περιβάλλον

Διαχείρισης Πολιτικών (Policy Workbench) και στο εξής θα αναφέρεται ως ΠΔΠ,



Σελ. 120

δημιουργήθηκε για να αποτελέσει ένα γενικού σκοπού σύστημα ορισμού και εφαρμογής

πολιτικών. Το μόνο που θεωρητικά απαιτείται από το χρήστη είναι να έχει την

κατάλληλη γνώση του γνωστικού πεδίου / συστήματος υπό διαχείριση (domain expertise),

χωρίς να χρειάζεται εξειδικευμένες γνώσεις τυπικής αναπαράστασης συστημάτων. Το

δεύτερο μέρος του άρθρου παρουσιάζει δύο μελέτες περιπτώσεων που επεξηγούν την

δυνητική χρήση ενός ΠΔΠ. Το άρθρο ξεκινά με μία ανάλυση απαιτήσεων για το ΠΔΠ.

Διατυπώνονται μια σειρά από παρατηρήσεις (συνοψίζονται παρακάτω) που είναι

σημαντικές για οποιαδήποτε εργασία σχετική με πολιτικές.

Ø Οι πολιτικές γράφονται σε φυσική γλώσσα και γι’ αυτό τείνουν να είναι

ανακριβείς.

Ø Οι πολιτικές είναι συχνά ανολοκλήρωτες ή ασυνεπείς.

Ø Οι πολιτικές βρίσκονται συχνά σε (αλληλο) εξάρτηση.

Ø Σε πραγματικές εφαρμογές, ένα σύνολο πολιτικών μπορεί να είναι εκτεταμένο

και ευρύ.

Ø Συχνά χρειάζεται να αναπαρίσταται ο χρόνος με σχετικά πολύπλοκους τρόπους –

λ.χ. μπορεί να είναι απαραίτητο να αναπαρίσταται ο χρόνος σε απόλυτους όρους,

όπως «...το οικονομικό έτος ξεκινά τα μεσάνυχτα της 30ης Σεπτεμβρίου...»,

αντίθετα με την απλή ταξινόμηση των γεγονότων.

Ø Σε κάποιες περιπτώσεις μπορεί να απαιτείται η αναπαράσταση της πρόθεσης μιας

εμπλεκόμενης οντότητας (actor intention).

Ø Οι πολιτικές ποικίλλουν πολύ όσον αφορά το επίπεδο της περιεχόμενης

πληροφορίας (comprehensiveness), από πολύ γενικές μέχρι πολύ εξειδικευμένες.

Το ΠΔΠ αποτελείται από τα ακόλουθα τρία βασικά στοιχεία:

Ø Αναλυτής Θεωρημάτων και Συνθηκών (Theorem and Assertion Analyzer). Το

στοιχείο αυτό του ΠΔΠ επιβεβαιώνει ότι οι είσοδοι είναι συντακτικά σωστές και

ότι ικανοποιούνται συγκεκριμένες εννοιολογικές συνθήκες, όπως η συνέπεια με

την υπάρχουσα πολιτική. Αν μία είσοδος βρεθεί πως είναι συντακτικά σωστή και

συνεπής με τις υπάρχουσες πολιτικές, ενημερώνεται η βάση δεδομένων των



Σελ. 121

πολιτικών. Το στοιχείο αυτό είναι επίσης υπεύθυνο για τη διαχείριση της βάσης

δεδομένων των πολιτικών.

Ø Μεταγλωττιστής – Γεννήτρια – Διερμηνευτής (Compiler – Generator –

Interpreter). Το στοιχείο αυτό χρησιμοποιείται για να καθορίσει την συνέπεια

των διαδικασιών και των σεναρίων με τις δηλώσεις των πολιτικών (policy

statements) στη βάση δεδομένων. Επιτρέπει στο χρήστη να κάνει ερωτήσεις

τύπου σεναρίων “what if?” όσον αφορά το σύνολο των πολιτικών. Ο χρήστης

δημιουργεί κώδικα αναπαριστώντας μία διαδικασία ή ένα σενάριο με τη βοήθεια

ενός CASE εργαλείου (Computer-Aided Software Engineering). Στη συνέχεια ο

κώδικας αυτός συγχωνεύεται με συνθήκες που πρέπει να υφίστανται προ- και

μετά- εκτέλεσης της πολιτικής (pre- and post-conditions) που αναπαριστούν τη

δομή των δηλώσεων πολιτικής. Ο κώδικας που προκύπτει μπορεί να αναλυθεί -

κατά τους συγγραφείς - προκειμένου να καθοριστεί εάν υπάρχει κάποια λύση στο

ερώτημα ή εάν υπάρχουν ασυνέπειες.

Ø Επιλογέας πολιτικής (Policy Selector). Σκοπός του στοιχείου αυτού είναι να

εξάγει για το χρήστη υποσύνολα πολιτικών από τη βάση δεδομένων των

πολιτικών. Στην πρώιμη έρευνά των [Sibley et al., 1992], η ανάλυση των προ- και

μετά-συνθηκών που σχετίζεται με τις δηλώσεις της βάσης δεδομένων των

πολιτικών είχε σκοπό να επιτρέπει τον καθορισμό ομοιοτήτων μεταξύ δηλώσεων

πολιτικών.

Προκειμένου να γίνει κατανοητή η χρήση ενός ΠΔΠ, παρουσιάζεται μία μελέτη

περίπτωσης που περιλαμβάνει την ανάλυση ενός συνόλου πολιτικών ασφάλειας για ένα

υποθετικό χώρο εργασίας (work area). Ένα σύνολο από 21 δηλώσεις πολιτικής, 11

δεδομένα γεγονότα (real-world facts) και 9 δηλώσεις από ένα υποθετικό «εγχειρίδιο

οδηγιών εργαζομένου» αναλύθηκαν, μετασχηματίστηκαν σε υπολογιστική μορφή και

έγιναν αντικείμενο επεξεργασίας από ένα μηχανισμό απόδειξης θεωρημάτων (theorem

prover). Η φάση της προκαταρκτικής ανάλυσης της πολιτικής απαιτούσε πολύ μικρή

αυτοματοποιημένη υποστήριξη, καθότι περιλάμβανε τον προσδιορισμό του προβλήματος

και τη θεμελίωση των δεδομένων γεγονότων που απαιτούνταν για να αυτοματοποιηθεί η

επακόλουθη ανάλυση. Ωστόσο, ο έλεγχος για ασυνέπειες, ο προσδιορισμός ενός συνόλου



Σελ. 122

πολιτικών σαν το ελάχιστο δυνατό (απουσία πλεονασμού) με τυπικό τρόπο, και η

δημιουργία των λογικών συνεπειών των δηλώσεων της βάσης δεδομένων των πολιτικών,

βασίστηκε σε μεγάλο βαθμό στο OTTER, ένα πρόγραμμα απόδειξης θεωρημάτων

λογικού προγραμματισμού. Οι συγγραφείς αναφέρουν ότι η ανάλυση με τον μηχανισμό

απόδειξης θεωρημάτων ήταν πολλές φορές χρονοβόρα και ότι συνεπώς οι τεχνικές για

μείωση του μεγέθους του χώρου έρευνας αποτελεί ένα σημαντικό τομέα για μελλοντική

έρευνα.

3.8.2 Υποστήριξη επεξεργασίας φυσικής γλώσσας στην ανάπτυξη συστημάτων λογισμικού που κατευθύνονται από πολιτικές

Οι [Michael et al., 2001] περιγράφουν την αρχιτεκτονική ενός εργαλείου επεξεργασίας

δεδομένων εισόδου σε φυσική γλώσσα (Natural-Language Input Processing Tool, NLIPT)

και αναφέρουν πειράματα που διεξήγαν με μια πρώιμη έκδοση ενός συστατικού

στοιχείου του NLIPT, τον εξολκέα (extractor). Το NLIPT, κατά τους συγγραφείς,

συνδυάζεται με το ΠΔΠ από τους [Sibley et al., 1992] (ουσιαστικά χρησιμεύει σαν τον

προεπεξεργαστή των δηλώσεων πολιτικής) και καλύπτει όλες τις εισόδους δεδομένων

που δίνει ο χρήστης, συμπεριλαμβανομένων και δηλώσεων πολιτικών, ερωτήσεων και

σεναρίων.

Το NLIPT (Σχήμα 3.5) δέχεται σαν είσοδο μια δήλωση πολιτικής σε φυσική γλώσσα,

δημιουργεί μια αναπαράσταση της λίστας νοημάτων / εννοιών της εισόδου και στη

συνέχεια δημιουργεί ένα σύνολο από σημαντικούς όρους ευρετηρίου - ΣΟΕ (key index

terms, KIT), επιλέγοντας και σταθμίζοντας τους όρους από τη λίστα νοημάτων. Οι ΣΟΕ

χρησιμοποιούνται για να ανακτήσουν ένα ή περισσότερα δομικά σχήματα (structural

schemata) εφαρμόσιμων εντολών πολιτικής από το Εργαλείο Αναγνώρισης Στοιχείων

Πολιτικής (Policy Element Identifier Tool) του ΠΔΠ. Το δομικό σχήμα που ανακτάται

περιλαμβάνει έμμεσα γεγονότα (implicit facts) και ιεραρχικές σχέσεις, τα οποία

χρησιμοποιούνται από τον δομικό σχεδιαστή (ένα άλλο συστατικό στοιχείο του NLIPT)

για να δημιουργήσει ένα εννοιολογικό σχήμα (conceptual schema) από τη λίστα

νοημάτων. Στη συνέχεια, ο λογικός σχεδιαστής (logic modeler) επεξεργάζεται αυτό το

εννοιολογικό σχήμα και εξάγει μέσω συμπερασματικών μηχανισμών πληροφορίες όπως

ποσοτικά δεδομένα και το εύρος των δηλώσεων των πολιτικών. Το τελικό αποτέλεσμα



Σελ. 123

είναι μια αναπαράσταση κατηγορηματικής λογικής πρώτης τάξεως για τη δήλωση

εισόδου στο εργαλείο.

Σχήμα 3.5: Η αρχιτεκτονική του εργαλείου NLIPT (Πηγή: [Michael et al., 2001])

Ο εξολκέας ταξινομεί κάθε λέξη της εισόδου σε φυσική γλώσσα και στη συνέχεια

ομαδοποιεί συντακτικές ομάδες πολλαπλών λέξεων, όπως ουσιαστικά και ρηματικές

φράσεις. Αυτή η ταξινομημένη και ομαδοποιημένη είσοδος μετατρέπεται σε μία σειρά

κατηγορημάτων Prolog από έναν ενδιάμεσο επεξεργαστή γραμμένο σε Java. Στη

συνέχεια, ένα πρόγραμμα γραμμένο σε Prolog δημιουργεί μία λίστα νοημάτων για την

εισροή χρησιμοποιώντας μία γραμματική πεπερασμένων καταστάσεων (finite state

grammar) η οποία είναι προσαρμοσμένη να αναγνωρίζει συχνά τυπικές δομές σε εντολές

πολιτικής.

Η δοκιμή του πρωτότυπου εξολκέα έγινε με την εφαρμογή του σε μία συλλογή εντολών

πολιτικής για την ιστοσελίδα ενός πανεπιστημίου και αναφέρθηκε ότι το 96% των όρων

στη λίστα νοημάτων που δημιούργησε ήταν σωστό, με πάνω από ένα λάθος για κάθε δύο

προτάσεις. Οι συγγραφείς επισημαίνουν ότι τόσο η χρήση μίας γραμματικής εντελώς

ελεύθερης από τα συμφραζόμενα (full context-free grammar) όσον αφορά τη δημιουργία

της λίστας νοημάτων, όσο και η βελτίωση των μηχανισμών ταξινόμησης και

ομαδοποίησης, θα μπορούσαν να επιφέρουν αύξηση της απόδοσης του NLIPT.

Μια άλλη ερευνητική προσπάθεια που ασχολήθηκε με τυποποίηση περιεχομένου

κειμένων, αυτή των [Sergot et al., 1986] αφορά την μετατροπή ενός μέρους της εθνικής

νομοθεσίας των ερευνητών (νόμος για τη Βρετανική Εθνικότητα του 1981 – British



Σελ. 124

Nationality Act) σε μια λογική αναπαράσταση κατάλληλη για αυτοματοποιημένη

επεξεργασία. Οι ερευνητές μορφοποίησαν την αναπαράστασή τους σε λογικές προτάσεις

Horn (Horn clauses logic – ένα υποσύνολο της FOL), η οποία, αν και μειωμένης

εκφραστικότητας, είναι κατάλληλη για είσοδο σε μηχανισμούς απόδειξης θεωρημάτων

(theorem provers). Περαιτέρω, η τυποποίηση της νομοθεσίας υποστήριζε μια δομή

εξειδίκευσης από το γενικό στο ειδικό (top-down), με συνέπεια να υπάρχει η δυνατότητα

της αποδόμησης γενικότερων εννοιών σε ειδικότερα και τελικά σε ατομικές έννοιες. Η εν

λόγω τυποποίηση έγινε με χειροκίνητο τρόπο (εξαιρετικά χρονοβόρα) και τυχόν

βελτιστοποιήσεις έγιναν μέσα από παρατηρήσεις των ερευνητών σχετικά με τα πρότυπα

του νομικού κειμένου (ουσιαστικά ακολούθησαν την αντίθετη πορεία από τους [Michael

et al., 2001], αφού η πρόθεσή τους δεν ήταν η επεξεργασία του κειμένου με ένα σύνολο

λογικών κανόνων, αλλά η εύρεση των κανόνων μέσα από την παρατήρηση). Η

προσπάθεια των [Sergot et al., 1986] κατέδειξε ότι υπό συγκεκριμένες προϋποθέσεις, η

τυποποίηση ενός δομημένου κειμένου (όπως είναι τυπικά οι νομολογίες) είναι δυνατή

εάν οριστούν οι κατάλληλοι κανόνες επεξεργασίας.

3.8.3 Μελέτη περίπτωσης: καθορισμός μιας πολιτικής ασφάλειας

Η μελέτη που παρουσιάζεται από τους [Cuppens and Saurel, 1996] παρέχει σημαντικά

στοιχεία για τις σχέσεις μεταξύ των εντολών πολιτικής σε φυσική γλώσσα και των

ισοδύναμων κατασκευών σε υπολογιστική μορφή. Οι συγγραφείς παρουσιάζουν μία

λογική γλώσσα για να εκφράσουν προτάσεις από μία πολιτική ασφάλειας σε φυσική

γλώσσα και παρουσιάζουν μία σχετική μελέτη περίπτωσης για την εφαρμογή της μέσω

αντιπροσώπων (agents). Στα πλαίσια της έρευνας, αναλύθηκε ένα έγγραφο ασφάλειας

αποτελούμενο από 60 σελίδες κειμένου σε φυσική γλώσσα, αναγνωρίστηκαν οι κύριες

λογικές έννοιες του κειμένου και, στη συνέχεια τυποποιήθηκαν στην (ανώνυμη) λογική

γλώσσα. Οι συγγραφείς υποστηρίζουν ότι η εκφραστικότητα του κειμένου ασφάλειας

ήταν μεγάλη και ότι εξέφραζε έννοιες όπως υποχρέωση (obligation), δικαίωμα

(permission), απαγόρευση (prohibition), ευθύνη (responsibility) και μεταβίβαση

δικαιωμάτων (delegation).

Η εν λόγω γλώσσα είχε σκοπό να επιτρέπει στους διαχειριστές ασφάλειας να ορίζουν και

να τυποποιούν πολιτικές ασφάλειας για ένα συγκεκριμένο περιβάλλον υψηλού κινδύνου.



Σελ. 125

Παρόλο που η μελέτη περίπτωσης που παρουσιάστηκε σ’ αυτό το άρθρο εστίαζε μόνο

στην τυποποίηση των πολιτικών ασφάλειας, η γλώσσα που αναπτύχθηκε είχε σκοπό να

παρέχει αναπαραστάσεις που θα επέτρεπαν στους διαχειριστές ασφάλειας να

επιτελέσουν τα ακόλουθα καθήκοντα:

Ø Να εφαρμόσουν επερωτήσεις (queries) σε μία δεδομένη πολιτική ασφάλειας,

Ø Να επιβεβαιώσουν ότι ιδιότητες όπως συνέπεια και πληρότητα επιβάλλονται από

μία δεδομένη πολιτική,

Ø Να επιβεβαιώσουν ότι μία δεδομένη κατάσταση δεν παραβαίνει τη συγκεκριμένη

πολιτική,

Ø Να ερευνήσουν προβλήματα διαλειτουργικότητας μεταξύ πολιτικών ασφάλειας.

Προκειμένου να αναπαραστήσουν εντολές πολιτικής όπως αυτές που υπάρχουν στο

έγγραφο ασφάλειας, οι συγγραφείς ενσωμάτωσαν στη γλώσσα θεμελιώδεις δομές όπως

αντικείμενα (objects), γεγονότα (events), πράξεις (actions) και αντιπρόσωπους (agents),

όπως επίσης και πρόσθετες έννοιες όπως η μεταβίβαση δικαιωμάτων (delegation), η

υποχρέωση (obligation), το δικαίωμα (permission) και η απαγόρευση (prohibition).

Έννοιες όπως υποχρέωση, δικαίωμα και απαγόρευση είναι χαρακτηριστικές μίας deontic

logic, η οποία χρησιμοποιείται για εξαγωγή συμπερασμάτων σχετικά με ιδεατές και

πραγματικές συμπεριφορές [Meyer et al., 1996], και στην οποία στηρίζεται η εν λόγω

προσέγγιση.

Η λογική γλώσσα χρησιμοποιεί αντικείμενα τόσο σαν ένα μέσο οργάνωσης δεδομένων

και των σχετικών λειτουργιών τους, όσο και για να υποστηρίξει την ιεραρχική

κληρονομικότητα διαφορετικών επιπέδων αφηρημένων εννοιών. Τα γεγονότα (events)

εκφράζουν τρόπους μεταβολής της κατάστασης του περιβάλλοντος. Οι πράξεις (actions)

εφαρμόζονται σε αντικείμενα και εκφράζονται σαν μέθοδοι του ίδιου (ή άλλου)

αντικειμένου. Τόσο τα γεγονότα όσο και οι πράξεις έχουν προσωρινές δομές που

συνδέονται με αυτά: η τάξη του Γεγονότος έχει τα χαρακτηριστικά Boole (Boolean

attributes) [Πριν, Κατά τη Διάρκεια και Μετά], και οι πράξεις υποστηρίζουν αντίστοιχα τα

τρία δυαδικά κατηγορήματα:

Ø Πριν την εκτέλεση (Before_Exec),



Σελ. 126

Ø Κατά τη Διάρκεια της Εκτέλεσης (During_Exec) και

Ø Εκτέλεση (συντόμευση της Μετά την εκτέλεση) (Exec – After_Exec).

Η γλώσσα παρέχει επίσης δομές για περαιτέρω δεοντολογικές εκφράσεις όπως η

υποχρέωση, η συναίνεση / έγκριση / άδεια και η απαγόρευση, καθώς και για πράξεις που

είναι συχνά υπονοούμενες ή έμμεσες. Για παράδειγμα, μία πολιτική που

προσανατολίζεται στο στόχο, θα καθορίζει μόνο τα αποτελέσματα μιας πράξης χωρίς να

καθορίζει τις ίδιες τις πράξεις. Ομοίως, μία πολιτική ασφάλειας θα μπορούσε να

καθορίσει μόνο το άτομο που είναι υπεύθυνο να εγγυηθεί την εκτέλεση της πράξης,

χωρίς να ορίσει τον σχετικό αντιπρόσωπο για την πραγματική εκτέλεση. Για να

υποστηρίξει τέτοιες υπονοούμενες ή έμμεσες πράξεις, η γλώσσα παρέχει τον τελεστή Do.

Οι συγγραφείς επισημαίνουν ότι πολλές από τις δηλώσεις του εγγράφου ασφάλειας

μπορούν να πάρουν την εξής μορφή: αν κάποια συνθήκη ικανοποιείται τότε ένας

συγκεκριμένος αντιπρόσωπος απαγορεύεται, επιβάλλεται ή επιτρέπεται να κάνει κάτι. Το

γεγονός αυτό υποστηρίζουν πολλά παραδείγματα που δείχνουν εντολές σε φυσική

γλώσσα από το έγγραφο ασφάλειας μαζί με τις αντίστοιχες υπολογιστικές

αναπαραστάσεις στην τυπική γλώσσα. Εκτός λίγων εντολών πολιτικών με πολύπλοκες

δομές, οι συγγραφείς αναφέρουν ότι πέτυχαν την αναπαράσταση όλων των εντολών από

το έγγραφο πολιτικής στην τυπική γλώσσα που δημιούργησαν.

Μεγάλο ενδιαφέρον έχουν οι δυσκολίες που αντιμετώπισαν οι συγγραφείς στην ερμηνεία

και τη μετάφραση των εντολών σε φυσική γλώσσα του εγγράφου ασφάλειας. Οι

συγγραφείς σημειώνουν ότι ένας μεγάλος αριθμός τέτοιων εντολών μπορούσε να

ερμηνευτεί ως απλές παρατηρήσεις γεγονότων, ή ως συμβουλευτικές εντολές. Τέτοιες

εντολές απορρίφθηκαν. Μια άλλη δυσκολία ήταν ότι οι εντολές ασφάλειας σε φυσική

γλώσσα άφηναν πολλές φορές ακαθόριστα τα συγκεκριμένα αγαθά πληροφορικής του

τομέα (domain) στα οποία εφαρμοζόταν η πολιτική, όπως επίσης και η σκόπιμη ασάφεια

στο υποκείμενο έγγραφο πολιτικής, προκειμένου να μπορεί να εφαρμόζεται ο

κανονισμός σε μεγάλο εύρος οργανισμών.

3.9 Άλλες Προσεγγίσεις

Το LaSCO [Hoagland, 2000] αποτελεί μία γραφική προσέγγιση για τον προσδιορισμό



Σελ. 127

των περιορισμών ασφάλειας (security constraints) στα αντικείμενα, στην οποία γίνεται η

θεώρηση ότι μία πολιτική απαρτίζεται από δύο μέρη : το πεδίο (domain), που

περιλαμβάνει ένα αριθμό υποθέσεων σχετικά με το σύστημα, και την απαίτηση, δηλ. την

ενέργεια που είναι επιτρεπτό να πραγματοποιηθεί στο εκάστοτε πεδίο. Οι πολιτικές που

εμφανίζονται στο LaSCO έχουν την μορφή προτάσεων με συνθήκη για έλεγχο

πρόσβασης. Η συγκεκριμένη προσέγγιση είναι πολύ περιορισμένη και δεν μπορεί να

ικανοποιήσει το σύνθετο έργο της διαχείρισης των πολιτικών ασφάλειας με τυπικό

τρόπο.

Οι ερευνητές [Giorgini et al., 2005] από το Πανεπιστήμιο του Trento παρουσιάζουν την

μεθοδολογία Secure-aware TROPOS η οποία επεκτείνει την Tropos [Giunchiglia et al.,

2002] στο χώρο της μηχανικής απαιτήσεων ασφάλειας και εμπιστοσύνης. Η προσέγγιση

παρέχει ένα μετα-μοντέλο ορισμού απαιτήσεων ασφάλειας με τη χρήση στόχων

(softgoals) χρησιμοποιώντας συστήματα ορισμού απαιτήσεων όπως το KAOS [Uszok et

al., 2003]. Το ερευνητικό πρόβλημα που συνοψίζεται στην έλλειψη αποδοτικών

προσεγγίσεων ΔΑΠΣ που συλλέγουν, ομογενοποιούν, ερμηνεύουν και εφαρμόζουν τις

απαιτήσεις ασφάλειας στους πόρους του ΠΣ τίθεται, εκτός των άλλων, μαζί με μια λύση

σε εννοιολογικό επίπεδο, στα [Tsoumas and Tryfonas, 2004], [Tsoumas et al., 2005].

Ο Schumacher [Schumacher, 2003] προτείνει μια εφαρμογή των προτύπων (patterns) για

παροχή δυνατοτήτων ασφάλειας (κυρίως σε τεχνολογία λογισμικού) και ορίζει σε

σχεδιαστικό επίπεδο μια σειρά από απλές εννοιοκεντρικές δομές ασφάλειας οι οποίες δεν

διαθέτουν κανένα συμπερασματικό μηχανισμό και είναι εντελώς πρωτόλειες. Οι

[Clemente et al., 2005a] προτείνουν τη μοντελοποίηση του CIM σε OWL, εκφράζοντας

ταυτόχρονα βασικές αποφάσεις ελέγχου πρόσβασης με χρήση λογικών κανόνων.

Επιπρόσθετα, οι [Gymnopoulos et al., 2005a], [Gymnopoulos et al., 2005b] επεκτείνουν

τη χρήση των οντολογιών σε περιβάλλον Grid σαν ένα γενικό πλαίσιο διαπραγμάτευσης

πολιτικών ασφάλειας.

Τέλος, ο Raskin και οι συνεργάτες του [Raskin et al., 2001] παρουσιάζουν μια

οντολογική προσέγγιση στην ασφάλεια πληροφοριών, ισχυριζόμενοι ότι μια οντολογία

ασφάλειας θα μπορούσε να οργανώσει με συστηματικό τρόπο όλα τα φαινόμενα

ασφάλειας όπως τις επιθέσεις σε ΠΣ. Επιπρόσθετα, προτείνεται σε σχεδιαστικό επίπεδο

μια υποθετική αρχιτεκτονική που θα είχε δυνατότητες πρόβλεψης των επιθέσεων μέσω



Σελ. 128

του συσχετισμού αντιμέτρων και συγκεκριμένων γνωρισμάτων των επιθέσεων.

3.10 Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας ΠΣ Υψηλού

Επιπέδου

Οι μοντέρνοι οργανισμοί στηρίζονται ολοένα και περισσότερο στην πληροφορία

(information intensive organizations) προκειμένου να εκπληρώσουν τους

επιχειρησιακούς τους στόχους (business objectives); η μεταβλητότητα και ο ταχύς

ρυθμός εξέλιξης των πληροφοριακών συστημάτων, σε συνδυασμό με την αυξανόμενη

πολυπλοκότητα και τα νέα παραδείγματα υπολογίζειν (όπως το Διεισδυτικό Υπολογίζειν

– Pervasive Computing, [Weiser, 1991]) αναδεικνύουν τη Διαχείριση Κινδύνων ΠΣ σε

κρίσιμο παράγοντα επιτυχίας (Critical Success Factor, CSF) [ITGI COBIT OBJ, 2000]

του οργανισμού. Η ανάγκη κοινών τόπων αναφοράς οδήγησε στη δημιουργία πρότυπων

πλαισίων διαχείρισης ασφάλειας των πληροφοριών (τόσο de facto όσο και de jure), με

σκοπό μια συμφωνία βασιζόμενη σε κοινά αποδεκτές αρχές ασφάλειας από όλους τους

οργανισμούς και την επίτευξη καλύτερης και ασφαλέστερης επικοινωνίας μεταξύ τους.

Οι αρχές αυτές μπορούν να χρησιμοποιηθούν από τη διοίκηση, τους εσωτερικούς

ελεγκτές, τους χρήστες, τους μηχανικούς ασφαλείας και κάθε άλλη εμπλεκόμενη

οντότητα σαν οδηγίες για την καλύτερη κατανόηση των βασικών απαιτήσεων ασφαλείας

που θα πρέπει να ικανοποιούν τα Πληροφοριακά Συστήματα. Η προσπάθεια

προτυποποίησης γίνεται από διεθνείς οργανισμούς όπως οι ISO [ISO, 2006] και ITGI

[ITGI COBIT, 2000] οι οποίοι παρέχουν τα πλέον δημοφιλή πρότυπα διαχείρισης

κινδύνων ΠΣ21: παρά την ευρεία αποδοχή των τελευταίων, δεν λείπουν και κάποιες

αντιρρήσεις σχετικά με τη χρησιμότητα των προτύπων αυτών – λ.χ. η μελέτη του NIST

[NIST, 2002] αντιπροτείνει σαν βέλτιστη πρακτική ένα συνδυασμό της σειράς προτύπων

ISO 13335-Χ και των συστάσεων του NIST. Παρά το γεγονός ότι αυτές οι ενστάσεις μας

βρίσκουν σύμφωνους, διατηρούμε κάποιες επιφυλάξεις σχετικά με την

21 Οι δύο αυτές οικογένειες προτύπων θα αναλυθούν με λεπτομέρεια στο κεφάλαιο 4.



Σελ. 129

αποτελεσματικότητα του εν λόγω συνδυασμού.

Ο Πίνακας 3.2 καταγράφει τα σημαντικότερα πλαίσια διαχείρισης ασφάλειας υψηλού

επιπέδου που χρησιμοποιούνται σήμερα.

Πίνακας 3.2: Πρότυπα Πλαίσια Διαχείρισης Ασφάλειας Υψηλού Επιπέδου

Οργανισμός Πρότυπο Αντικείμενο

Προτύπου

Έτος

Έκδοσης

International

Organization for

Standardization

(ISO)

ISO/IEC 17799:2005 Information

technology -- Security techniques -

- Code of practice for information

security management. [ISO 17799,

2005]

Διαχείριση

ασφάλειας ΠΣ

2005

International

Organization for

Standardization

(ISO)

ISO 13335-1 (1996). ISO/IEC TR

13335-1:1996 Information

technology – Guidelines for the

management of IT Security – Part

1: Concepts and models for IT

Security. International

Organization for Standardization.

[ISO 13335-1, 1996]



1996

International

Organization for

Standardization

(ISO)

ISO/IEC TR 13335-2:1997

Information technology –

Guidelines for the management of

IT Security – Part 2: Managing

and planning IT Security.

International Organization for

Standardization. [ISO 13335-2,

1997]



1997



Σελ. 130


Προτύπου

Έτος

Έκδοσης

International

Organization for

Standardization

(ISO)

ISO/IEC TR 13335-3:1998



IT Security – Part 3: Techniques

for the management of IT

Security. International


[ISO 13335-3, 1998]



1998

International

Organization for

Standardization

(ISO)

ISO/IEC TR 13335-4:2000



IT Security – Part 4: Selection of

safeguards. International


[ISO 13335-4, 2000]



2000

International

Organization for

Standardization

(ISO)

ISO/IEC TR 13335-5:2001



IT Security – Part 5: Management

guidance on network security.

International Organization for

Standardization. [ISO 13335-5,

2001]



2001

International

Organization for

ISO 15048 (1999). Information

technology – Security techniques –

Αποτίμηση

επιπέδου

1999



Σελ. 131


Προτύπου

Έτος

Έκδοσης

Standardization

(ISO)

Evaluation criteria for IT security

(Common Criteria). International


[ISO 15048, 1999]


IT Governance

Institute (ITGI)

Control Objectives for Information

and related Technology (COBIT)

[ITGI COBIT, 2000]


Επιχειρησιακών

Κινδύνων από τη

χρήση ΠΣ

2000

3.11 Σύνοψη

Σε αυτό το κεφάλαιο αναλύθηκαν οι κυριότερες ερευνητικές προσεγγίσεις στο χώρο της

διαχείρισης ασφάλειας ΠΣ και κυρίως της μοντελοποίησης των απαιτήσεων ασφάλειας.

Αυτό το χάσμα που παρατηρείται μεταξύ των στόχων (απαιτήσεις ασφάλειας) και του

επιθυμητού αποτελέσματος (εφαρμόσιμες τεχνικές ενέργειες στους πόρους του ΠΣ)

αποτελεί ένα εξαιρετικά πολύπλοκο πρόβλημα που δεν έχει εύκολη και άμεση λύση.

Είναι σαφές ότι παρά την ύπαρξη πλείστων προσεγγίσεων διαφόρων επιπέδων (από

καθαρά μαθηματικά μοντέλα έως πλαίσια υψηλού επιπέδου), οι απαιτήσεις ασφάλειας

εκφράζονται είτε με καθαρά λογικούς όρους, είτε με τη μορφή περιγραφικών προτάσεων

υψηλού επιπέδου σε επιχειρησιακά κείμενα. Και στις δύο περιπτώσεις, η σύνδεση των

αρχικών απαιτήσεων με τα τελικά εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ είναι (το

λιγότερο) προβληματική, ενώ η χρήση των όποιων μοντέλων που προσφέρουν

εξειδίκευση απαιτήσεων είναι δύσκολη και αποθαρρύνει το χρήστη. Καμιά προσέγγιση

δεν είναι πολυσυλλεκτική (δηλ. χρησιμοποιώντας πάνω από μία πηγές πληροφόρησης),

ενώ οι προσεγγίσεις που χρησιμοποιούν εξαγωγή πληροφοριών δεν διαθέτουν τους

κατάλληλους συμπερασματικούς μηχανισμούς προκειμένου να υποστηρίξουν ευφυείς

αποφάσεις. Στο επόμενο Κεφάλαιο 4 αναλύονται οι άξονες και το εννοιολογικό μοντέλο



Σελ. 132

της διατριβής που οδηγούν σε μια πολυσυλλεκτική αντιμετώπιση του προβλήματος της

διαχείρισης ασφάλειας ΠΣ, με χρήση προτύπων και συμπερασματικούς μηχανισμούς

υποστήριξης αποφάσεων.



Σελ. 133

When artists create pictures and thinkers search for laws and formulate thoughts, it is in

order to salvage something from the great dance of death, to make something that lasts

longer than we do.

~ Hermann Hesse

4 Εννοιολογικό Μοντέλο και Άξονες της Έρευνας


Ο σκοπός αυτού του κεφαλαίου είναι διττός, ήτοι: α) καθορίζεται το εννοιολογικό

μοντέλο και η γενική αρχιτεκτονική της προσέγγισής μας, και β) περιγράφονται οι

άξονες πάνω στους οποίους στηρίζεται η παρούσα έρευνα. Το πρώτο βήμα είναι να

οριστούν οι προδιαγραφές ενός επιθυμητού συστήματος ΔΑΠΣ. Η ιδιαίτερη φύση των

αντίμετρων ασφάλειας συζητείται αμέσως μετά, καταλήγοντας στο εννοιολογικό

μοντέλο της έρευνας που υιοθετείται για την συλλογή, εξειδίκευση και μετάφραση των



Σελ. 134

αντιμέτρων υψηλού επιπέδου σε εφαρμόσιμες διατάξεις22. Τα δομικά στοιχεία της

προσέγγισης ακολουθούν, δίνοντας τη γενική εικόνα στον αναγνώστη για το ρόλο κάθε

στοιχείου. Το κεντρικό σημείο αποτελεί η Οντολογία Ασφάλειας (ΟΑ, ενότητα 4.4.1), η

οποία λειτουργεί σαν ένας χώρος δομημένης μοντελοποίησης και αποθήκευσης των

απαιτήσεων ασφάλειας, παρέχοντας και συμπερασματικές δυνατότητες. Η ΟΑ

μοντελοποιείται βάσει γνωστών προτύπων ΔΑΠΣ, που αναλύονται στην Ενότητα 4.5.

Όπως έχει αναφερθεί και παραπάνω, η προσέγγισή μας χρησιμοποιεί μια πλειάδα

πλαισίων, προσεγγίσεων και τεχνικών προκειμένου να προσεγγίσει αποτελεσματικά το

πρόβλημα της ΔΑ ΠΣ και να ικανοποιήσει τις προδιαγραφές του συστήματος ΔΑΠΣ.

Έτσι, στην ενότητες 4.5 έως και 4.8 αναλύονται οι τέσσερεις άξονες της έρευνας, που

είναι κατά σειρά:

Ø 1ος Άξονας: τα ευρέως αποδεκτά, de facto πρότυπα διαχείρισης κινδύνων ΠΣ με

παγκόσμια αποδοχή (BS7799 και COBIT), τα οποία αποτελούν την πρωταρχική

πηγή αντιμέτρων και τη βάση για το προτεινόμενο εννοιολογικό μοντέλο

αναπαράστασης και διαχείρισης πληροφορίας ασφάλειας (Ενότητα 4.5).

Ø 2ος Άξονας: Το πρότυπο διαχείρισης πληροφοριακών πόρων CIM23 το οποίο

αποτελεί το συνδετικό κρίκο με άλλες υπάρχουσες αναπαραστάσεις ΠΣ (Ενότητα

4.6).

Ø 3ος Άξονας: Η οντολογική προσέγγιση αναπαράστασης γνώσης, απαραίτητη για

την έκφραση των βασικών εννοιών ασφάλειας, των κυρίων ιδιοτήτων τους και

των μεταξύ τους σχέσεων σε ένα πλουσιότερο γνωστικό υπόβαθρο (Ενότητα 4.7).

Περιγράφονται οι τεχνολογίες σημασιολογικού ιστού, οι οποίες ενσωματώνουν

τις οντολογίες με το διαδίκτυο και προσφέρουν σημασιολογική επάρκεια με

υποστήριξη συμπερασματικών μηχανισμών, ουδετερότητα υλοποίησης και

ευκολία στην ανταλλαγή δεδομένων.

22 Εννοούνται τα σύνολα των εφαρμόσιμων πράξεων πάνω στα στοιχεία του ΠΣ. 23 Common Information Model, βλ. και ενότητα 4.6.



Σελ. 135

Ø 4ος Άξονας: Οι τεχνολογίες εξαγωγής πληροφοριών (Information Extraction) και

έμπειρων συστημάτων (Expert Systems) που χρησιμοποιήθηκαν στην παρούσα

διατριβή (Ενότητα 4.8) για τον εντοπισμό σημαντικών πληροφοριών που

σχετίζονται με τα αντίμετρα ασφάλειας.

Το κεφάλαιο τελειώνει με αναφορά στις πηγές γνώσης περί ασφάλειας, τις φάσεις της

μεθοδολογίας υλοποίησης της προσέγγισης σε ένα ΠΣ καθώς και οι βασικές μέθοδοι,

τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την υλοποίηση των φάσεων της

προτεινόμενης προσέγγισης.

4.2 Προδιαγραφές ενός συστήματος Διαχείρισης Ασφάλειας

Η Διαχείριση Ασφάλειας ΠΣ είναι ένα σύμπλοκο ζήτημα που απασχολεί τόσο τον

ακαδημαϊκό κόσμο όσο και την αγορά. Η ασφάλεια είναι κάτι (πολύ) περισσότερο από

τις τεχνικές ρυθμίσεις των υπολογιστικών συστημάτων του ΠΣ, ενώ απαιτείται ένας

προσεκτικός και ακριβής καθορισμός τόσο της συνεισφοράς του ανθρώπινου παράγοντα

στην όλη διαδικασία, όσο και της ισορροπίας μεταξύ της ασφάλειας και της φιλικότητας

του ΠΣ προς το χρήστη. Στα επόμενα παρατίθεται μια σειρά από επιθυμητά

χαρακτηριστικά ενός ιδεατού συστήματος ΔΑΠΣ, που, χωρίς να είναι εξαντλητική,

ορίζει τις βασικές κατευθύνσεις πάνω στις οποίες στηρίχτηκε η παρούσα έρευνα. Η σειρά

των απαιτήσεων δεν αντικατοπτρίζει αναγκαστικά τη σημασία τους.

Ø Ιχνηλατήσιμη σύνδεση μεταξύ των Απαιτήσεων Ασφάλειας υψηλού επιπέδου από

τις πολιτικές / Ανάλυση Επικινδυνότητας και των εφαρμόσιμων τεχνικών

αντιμέτρων στα υπολογιστικά συστήματα του ΠΣ: η έλλειψη δομημένων

προσεγγίσεων που συνδέουν τις απαιτήσεις ασφάλειας με τα εφαρμόσιμα

αντίμετρα προκαλεί ασάφειες στον καθορισμό των τελευταίων και αστοχίες στη

διαχείριση κινδύνων ΠΣ.

Ø Εύκολη ανταλλαγή και επαναχρησιμοποίηση της γνώσης ασφάλειας: οι τρέχουσες

προσεγγίσεις δεν κάνουν βέλτιστη χρήση της πληροφορίας ασφάλειας, γεγονός

που επιτείνεται από το αδόμητο χαρακτήρα της πληροφορίας αυτής.

Ø Συνδυασμός διαφορετικών πηγών γνώσης περί ασφάλειας: η πληροφορία περί

ασφάλειας είναι διάσπαρτη σε διάφορες μορφές· η ανομοιογένεια, η απουσία



Σελ. 136

συγκεκριμένης δομής και οι διαφορετικές μορφές που μπορεί να λάβει αυτή η

γνώση, μη παραλειπόμενης της έλλειψης αναπαράστασης σε ηλεκτρονική μορφή

[Agentcities D3.4, 2003], είναι βασικός λόγος μη βέλτιστης χρήσης της εν λόγω

γνώσης (βλ. ενότητα 4.9 «Πηγές Γνώσης περί Ασφάλειας ΠΣ» για μια σχετική

συζήτηση).

Ø Ελαχιστοποίηση του συνολικού κύκλου ζωής της Διαχείρισης Επικινδυνότητας ΠΣ:

οι διεθνείς τάσεις στο χώρο της ΔΑ είναι η βελτίωση των εποπτικών και

ελεγκτικών μηχανισμών σε επίπεδο πραγματικού χρόνου (real time monitoring /

continuous auditing). Χωρίς ένα επαρκές πλαίσιο ΔΑΠΣ, οι στόχοι αυτοί είναι

ασύμφοροι και ανέφικτοι.

Ø Σύνδεση με καθιερωμένα πρότυπα στο χώρο της διαχείρισης πληροφοριακών

συστημάτων, διαχείρισης γνώσης και διαχείρισης ασφάλειας: η σύνδεση με

επαρκώς ορισμένες θεωρητικές προσεγγίσεις, έχει σαν αποτέλεσμα την

ομοιογένεια των μέτρων ασφάλειας και, αντικειμενική αποτίμηση του

πραγματικού επιπέδου ασφάλειας.

Ø Παροχή αποτελεσματικής και αποδοτικής υποστήριξης αποφάσεων για τον ειδικό

ασφάλειας και βελτιστοποίηση του κόστους των μέτρων: η εισαγωγή μετρικών

αποτίμησης της αποτελεσματικότητας των μέτρων και του αντίστοιχου κόστους

συμβάλλει στη βελτιστοποίηση των πόρων και την επιτυχία του προγράμματος

της Διαχείρισης Επικινδυνότητας ΠΣ.

Ø Υποστήριξη δημιουργίας ελεγκτικών προγραμμάτων προς έλεγχο της

αποτελεσματικότητας των αντιμέτρων μετά την εφαρμογή τους: απαιτείται η άμεση

σύνδεση των ελεγκτικών διαδικασιών για την αποτελεσματικότητα των

αντιμέτρων με τις απαιτήσεις ασφάλειας, κάτι το οποίο συνήθως γίνεται με βάση

ad hoc τεχνικές.

Ø Κλιμακούμενη και επεκτάσιμη προσέγγιση, προκειμένου να υποστηρίζει ένα

μεγάλο αριθμό συσκευών και διαφορετικές τεχνολογίες ΠΣ.

4.3 Εννοιολογικό Μοντέλο ΔΑΠΣ και Αντίμετρα Ασφάλειας: Απαιτήσεις Ασφάλειας και Υλοποίηση Τεχνικών Αντιμέτρων

Η εγγενής πολυπλοκότητα των αντιμέτρων ασφάλειας από τον ορισμό των απαιτήσεων



Σελ. 137

έως την υλοποίησή τους – δηλ. τον σαφή καθορισμό των απαραίτητων πράξεων για την

εφαρμογή τους στους πόρους του ΠΣ – δυσχεραίνει την επιτυχή εφαρμογή των

αντιμέτρων που – αρχικά – εκφράζονται σαν δηλώσεις / προτάσεις (statements) μιας

πολιτικής ασφάλειας ή αντίμετρα που προκύπτουν από εργαλεία ΑΕ. Άλλες πηγές

αντιμέτρων ασφάλειας ή βέλτιστων πρακτικών είναι διαθέσιμες είτε σαν σχετικά

πρότυπα διαχείρισης κινδύνων ΠΣ ([ISO 17799, 2000], [ITGI COBIT, 2000], [ISO

13335-3, 1998], [ISO 13335-4, 2000]), είτε σαν σχετικές δημοσιεύσεις έγκριτων

οργανισμών όπως οι SANS ([SANS SecPol, 2006]), NIST ([NIST SP 800-14, 1996],

[NIST SP 800-33, 2001], [NIST SP 800-30 (2002]), οι οποίες τείνουν να αποτελέσουν τα

de facto πρότυπα για διαχείριση κινδύνων ΠΣ. Η πλειονότητα των εν λόγω προτύπων

αποτελείται από βέλτιστες πρακτικές διαχείρισης ασφάλειας ΠΣ οι οποίες είναι

ταξινομημένες ανά περιοχή (domains) και οι οποίες καλύπτουν μια σειρά από ανάγκες

ασφάλειας.

Η διατύπωση των αντιμέτρων σε αυτές τις δημοσιεύσεις τείνει να είναι γενική και

ασαφής, κάτι που εξυπηρετεί δύο σκοπούς:

Α) τη δυνατότητα εφαρμογής τους σε όλα (θεωρητικά) τα ΠΣ, αφού αποφεύγεται

επιμελώς η οποιαδήποτε αναφορά σε τεχνολογίες / τοπολογίες / τεχνοδιαμορφώσεις που

θα μπορούσε να μειώσει τη γενικότητα εφαρμογής τους, και

Β) την (στο μέτρο του δυνατού) ενσωμάτωση της ανθρώπινης εμπειρίας που θα έλθει να

συμπληρώσει τις γενικές περιγραφές των αντιμέτρων και θα τις εφαρμόσει με γνώμονα

τις συγκεκριμένες απαιτήσεις ασφάλειας και τις άλλες ιδιαιτερότητες που (συνήθως)

έχουν τα σύγχρονα ΠΣ. Αποσπασματικές συλλογές αντιμέτρων που τυχόν

επικεντρώνονται στις τεχνικές και άλλες λεπτομέρειες υλοποίησης, τείνουν να

συρρικνώνουν το κοινό που απευθύνονται μιας και προσεγγίζουν συγκεκριμένα προϊόντα

πληροφορικής, με αποτέλεσμα να χάνουν τη γενικότητα της εφαρμογής (βλ. και ενότητα

2.3.2, «Μείωση των Κινδύνων» για μια λεπτομερέστερη συζήτηση).

Με άλλα λόγια, τα αντίμετρα τα οποία προτείνονται από τα εκάστοτε πρότυπα ορίζουν

τις προδιαγραφές (ή απαιτήσεις ασφάλειας) που πρέπει να ικανοποιούν τα (τελικά

εφαρμόσιμα) αντίμετρα, και όχι τα ίδια τα αντίμετρα που εφαρμόζονται. Έτσι λοιπόν, τα

αντίμετρα ασφάλειας έχουν μια διττή φύση, που διαφέρει ανάλογα με τη γωνία

θεώρησής τους (Σχήμα 4.1): οι Απαιτήσεις Ασφάλειας εκφράζονται με αδόμητο τρόπο,



Σελ. 138

έχουν μικρή συνάφεια με τις ιδιαιτερότητες του ΠΣ και έχουν μικρό βαθμό

αυτοματισμού. Αντίστροφα, τα Τεχνικά Μέτρα Υλοποίησης είναι αισθητά πιο δομημένα,

έχουν μεγάλη συνάφεια με τις ιδιαιτερότητες του ΠΣ και (συνήθως) έχουν μεγάλο βαθμό

αυτοματισμού.

Σχήμα 4.1: Η διπλή Φύση των Αντιμέτρων Ασφάλειας

Μεγαλύτερο Επίπεδο

Αυτοματισμού

Μεγάλη συνάφεια με τις ιδιαιτερότητες του ΠΣ

ΑντίμετραΔηλώσεις Υψηλού Επιπέδου (ΑΕ, Πολιτική Ασφάλειας, SLA…)

Μικρότερο Επίπεδο

Αυτοματισμού

Μικρή συνάφεια με τις ιδιαιτερότητες του ΠΣ

Αδόμητη πληροφορία

Δομημένη πληροφορία

Πληροφοριακό Σύστημα Το γεγονός αυτό (της διπλής φύσης των αντιμέτρων), σε συνδυασμό με την εγγενή

πολυπλοκότητα της υλοποίησής τους, σε πολλές περιπτώσεις οδηγεί σε αποτυχία της

εφαρμογής και σε συνολική αστοχία της εφαρμογής των αποτελεσμάτων της ΑΕ και της

συνολικής Διαχείρισης Ασφάλειας του ΠΣ. Για να αντιμετωπιστεί αυτή η δέσμη

προβλημάτων, στην παρούσα διατριβή προτείνεται ο εννοιολογικός διαχωρισμός των

απαιτήσεων των αντιμέτρων από τις εκάστοτε υλοποιήσεις τους. Στην παρούσα έρευνα και

για συντομογραφικούς λόγους η αναφορά στις προδιαγραφές («Απαιτήσεις Ασφάλειας»)

και στην υλοποίηση («Τεχνικά Μέτρα Υλοποίησης») του αντίμετρου θα γίνεται και με

τους εξής όρους:

Ø «Απαιτήσεις Ασφάλειας»: «ΤΙ» ή “WHAT”, και

Ø «Τεχνικά Μέτρα Υλοποίησης»: «ΠΩΣ» ή “HOW”, αντίστοιχα.

Ένα άλλο σημαντικό σημείο είναι το μοντέλο της διαχείρισης της πληροφορίας

ασφάλειας: η ύπαρξη πολλών διαφορετικών μοντέλων και προτύπων ασφάλειας, οι

διαφορετικές εφαρμογές διαχείρισης ασφάλειας, και η έλλειψη μίας κοινής ορολογίας για

τα θέματα ασφάλειας αποτελούν αρνητικούς παράγοντες για την θέσπιση ενός



Σελ. 139

αποτελεσματικού πλαισίου ΔΑΠΣ. Η λύση που προτείνεται από τη διατριβή είναι η

δημιουργία ενός καθολικού πλαισίου που θα ενσωματώνει όλες τις απαιτήσεις ασφάλειας

των συστημάτων και των «ιδιοκτητών» τους (stakeholders)24. Το πλαίσιο αυτό θα μπορεί

να βασίζεται και να χρησιμοποιεί ήδη υπάρχουσα γνώση από ευρέως γνωστά και

αποδεκτά μοντέλα διαχείρισης της πληροφορίας και πρότυπα ασφάλειας, ούτως ώστε να

επαναχρησιμοποιηθεί η ήδη μοντελοποιημένη γνώση. Έτσι, με βάση τις σύγχρονες

τεχνολογικές τάσεις στη διαχείριση γνώσης, κρίνεται πλέον απαραίτητη η δημιουργία

μίας πλούσια σημασιολογικά δομής (οντολογίας) για την αναπαράσταση της γνώσης περί

την ασφάλεια αλλά και την περαιτέρω χρήση της που να στηρίζεται σε πρότυπα

διαχείρισης ΠΣ και ασφάλειας. Το Σχήμα 4.2 απεικονίζει, σε υψηλό επίπεδο, το

εννοιολογικό μοντέλο της προτεινόμενης προσέγγισης που διακρίνει τις απαιτήσεις

ασφάλειας από τις υλοποιήσεις τους. Οι απαιτήσεις μοντελοποιούνται και μεταφράζονται

σε εφαρμόσιμα αντίμετρα μέσω μιας κατάλληλης μεθοδολογίας, που αναλύεται στα

επόμενα κεφάλαια.

Ένας από τους βασικούς στόχους της παρούσας διατριβής είναι να μελετηθεί ο τρόπος

εντοπισμού, εισαγωγής και ενσωμάτωσης στην επαγγελματική πρακτική των μηχανικών

ασφάλειας, των δόκιμων αρχών διαχείρισης ασφάλειας πληροφοριακών συστημάτων,

όπως αυτές ορίζονται από διεθνή πρότυπα. Το πρότυπο μοντέλο διαχείρισης

πληροφορίας ΠΣ που θα χρησιμοποιηθεί για την αποτύπωση των βασικών αρχών της

πληροφορίας ασφάλειας είναι το CIM (Common Information Model) από την DMTF

ενώ τα πρότυπα διαχείρισης κινδύνων ΠΣ είναι τα ISO17799/BS7799 Part 1, BS 7799

Part 2 και COBIT. Τα πρότυπα αυτά θα αναλυθούν στις επόμενες ενότητες του

κεφαλαίου.

24 Σε άλλη διερμηνεία, οι οντότητες που έχουν έννομο συμφέρον για την απρόσκοπτη λειτουργία και την

επίτευξη των σκοπών του ΠΣ.



Σελ. 140

Σχήμα 4.2: Απαιτήσεις και Υλοποιήσεις Μέτρων Ασφάλειας – Εννοιολογικό Μοντέλο

Δηλώσεις Υψηλού Επιπέδου

Αποφάσεις Διοίκησης

ΒέλτιστεςΠρακτικές

Διοίκηση

Ανάλυση Επικινδυνότητας,

Πολιτική Ασφάλειας, SLA…

ΑπαιτήσειςΑσφάλειας

Εφαρμόσιμες ΥλοποιήσειςΔιαδικασία

Μετάφρασης

Πρότυπα Διαχείρισης Ασφάλειας ΠΣ

(ISO17799, COBIT…)

Συλλογές ΤεχνικώνΑντιμέτρων, Συστάσεις

Προμηθευτών...ΑΠΑΙΤΗΣΕΙΣ(«ΤΙ» ή “WHAT”)

ΥΛΟΠΟΙΗΣΕΙΣ(«ΠΩΣ» ή ”HOW”)

ΠΣ

Εφαρμογή στο ΠΣ

ΜοντελοποίησηΑπαιτήσεωνΑσφάλειας

Πρότυπα Διαχείρισης

ΠΣ(CIM)

Στις επόμενες ενότητες περιγράφονται αναλυτικότερα τα σημαντικότερα στοιχεία της

αρχιτεκτονικής που αντιστοιχούν σε κάθε μέρος της προσέγγισης («Απαιτήσεις

Ασφάλειας» ή «Τεχνικά Μέτρα Υλοποίησης», αντίστοιχα), καθώς και τα επιμέρους

στοιχεία που υποστηρίζουν τα παραπάνω.



Σελ. 141

4.4 Τα Δομικά Στοιχεία της Προσέγγισης


Οι οντολογίες είναι νοητικές κατασκευές που μοντελοποιούν ένα γνωστικό πεδίο

(domain) της πραγματικότητας. Ο όρος ετυμολογικά προέρχεται από τα συνθετικά ον

(μετοχή του ειμί) και λόγος –δηλαδή λόγος για την οντότητα, και έλκει την καταγωγή του

από τον φιλόσοφο Αριστοτέλη ο οποίος είχε ήδη προσπαθήσει να κατηγοριοποιήσει

διαφορετικά είδη οντοτήτων με τη βοήθεια ενός συνόλου κατηγορημάτων. Περαιτέρω οι

οντολογίες εξελίχθηκαν ως ένας τομέας της φιλοσοφίας, ο οποίος ασχολείται με τη δομή

και τη διαδοχή γεγονότων της πραγματικότητας (βλ. και ενότητα 4.7 «Άξονας 3: Το

Οντολογικό Μοντέλο Αναπαράστασης Γνώσης» για μια σχετική συζήτηση).

Η Οντολογία Ασφάλειας (ΟΑ) ΠΣ είναι μια οντολογία που εστιάζει στα χαρακτηριστικά

ασφάλειας ενός ΠΣ. Χρησιμεύει σαν μέσο συλλογής και οργάνωσης των απαιτήσεων

ασφάλειας και ορίζεται σαν ένα Σχήμα Επέκτασης του μοντέλου CIM (CIM Extension

Model) εμπλουτισμένο με οντολογικά χαρακτηριστικά. Η ΟΑ περιγράφει την περιοχή

της Ανάλυσης Επικινδυνότητας ΠΣ και υλοποιεί ένα εννοιολογικό μοντέλο που

βασίζεται σε πρότυπα διαχείρισης ασφάλειας (βλ. ενότητα 5.5.1). Η περιγραφόμενη

επέκταση του CIM έχει τη δυνατότητα σύνδεσης με άλλες οντολογίες CIM προκειμένου

να επαναχρησιμοποιήσει ήδη μοντελοποιημένα ΠΣ. Το εννοιολογικό σχήμα υλοποιείται

σε UML.

Η ΟΑ συλλέγει και οργανώνει τις απαιτήσεις ασφάλειας του ΠΣ ανά πληροφοριακό

αγαθό (πόρο). Σε κάθε στιγμιότυπο των εννοιών της ΟΑ που αντιστοιχεί σε ένα πόρο του

ΠΣ, γίνεται μια αντιστοίχηση μεταξύ του πόρου, των απειλών του και των αντίστοιχων

αντιμέτρων. Περαιτέρω, μοντελοποιούνται οι ιδιότητες εκείνες που είναι απαραίτητες για

να οριστεί το αντίμετρο που υλοποιείται στη μεριά της ΟΑ σαν Απαίτηση Ασφάλειας. Η

υλοποίηση γίνεται σε OWL με τη χρήση του εργαλείου Protégé και κανόνων SWRL

(Semantic Web Rule Language) [Horrocks et al., 2004] (βλ. ενότητες 5.5.3 και 5.5.4).

4.4.2 Βάση Τεχνικών Μέτρων Υλοποίησης

Η Βάση Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ) μοντελοποιεί τις απαιτούμενες ενέργειες

για την τεχνοδιαμόρφωση των πληροφοριακών αγαθών με τρόπο έτσι ώστε να



Σελ. 142

υλοποιούνται οι απαιτήσεις ασφάλειας που έχουν συλλεχθεί και οργανωθεί στην ΟΑ.

Αντίστοιχα με την ΟΑ, έχουν μοντελοποιηθεί οι ιδιότητες του Τεχνικού Αντίμετρου,

δηλ. οι ενέργειες που υλοποιούν τις απαιτήσεις ασφάλειας. Αυτές οι ενέργειες έχουν τη

μορφή ρυθμίσεων τεχνοδιαμόρφωσης, εκτελέσιμων προγραμμάτων και αρχείων φλοιού,

ενώ είναι απολύτως προσανατολισμένες σε τεχνολογίες υπολογιστικών συστημάτων

(λειτουργικά συστήματα, βάσεις δεδομένων, εκδόσεις λογισμικού, κ.α.). Έχει γίνει μια

πιλοτική υλοποίηση σε σχεσιακή βάση δεδομένων και υποστηρίζεται η υποβολή

ερωτημάτων μέσω Δομημένης Γλώσσας Ερωταποκρίσεων (Structured Query Language,

SQL) και εξειδίκευση των αντιμέτρων ασφάλειας.

Στις επόμενες ενότητες αναλύονται οι τέσσερεις άξονες της έρευνας: 1) τα Πρότυπα

Διαχείρισης Κινδύνων ΠΣ, 2) το πρότυπο διαχείρισης ΠΣ CIM, 3) το οντολογικό

μοντέλο αναπαράστασης γνώσης, και 4) στοιχεία εξαγωγής πληροφοριών και έμπειρων

συστημάτων.

4.5 Άξονας 1: Πρότυπα Διαχείρισης Κινδύνων ΠΣ

Οι δύο σημαντικότερες οικογένειες προτύπων διαχείρισης κινδύνων ΠΣ, τα BS7799

(ISO17799/BS7799 Part 1, BS7799 Part 2) και COBIT αποτελούν το αντικείμενο των

επόμενων ενοτήτων. Και τα δύο πρότυπα έχουν αναπτυχθεί από διεθνείς οργανισμούς

και βρίσκονται σε διαρκή εξέλιξη, ενώ βρίσκουν διεθνή αναγνώριση από πλειάδα

οργανισμών που τα εφαρμόζουν στην πράξη.

Η οικογένεια προτύπων BS7799 παραδοσιακά είναι προσανατολισμένη σε πόρους

πληροφορικής (IT Asset-based framework) - μολοντούτο, στις νεώτερες εκδόσεις της

παρατηρείται μια στροφή προς μια υβριδική μορφή που ενσωματώνει και την έννοια της

διεργασίας πληροφορικής (IT Process), μέσω του μοντέλου PDCA (ενότητα 4.5.1.2)

επιχειρώντας έτσι μια σύγκλιση προς την πλευρά των προσεγγίσεων διαχείρισης

επιχειρησιακών κινδύνων. Από την άλλη, το πρότυπο COBIT είναι προσανατολισμένο

αμιγώς σε επιχειρησιακές διεργασίες που κάνουν χρήση πληροφορικής (IT Process-based

framework).

Παρόλο που στη βιβλιογραφία απαντώνται διαφορετικές ερμηνείες των όρων

«Διαχείριση Ασφάλειας Πληροφοριών» (οικογένεια προτύπων BS7799) και «Διαχείριση

Επιχειρησιακών Κινδύνων που συνδέονται με την Τεχνολογία Πληροφορικής» (οικογένεια



Σελ. 143

προτύπων COBIT)25, είναι ευρέως αποδεκτό ότι η διαχείριση ασφάλειας είναι υποσύνολο

της διαχείρισης επιχειρησιακών κινδύνων, η οποία περιλαμβάνει και κινδύνους οι οποίοι

δεν σχετίζονται άμεσα με τις συνιστώσες πληροφορικής. Στα πλαίσια της διατριβής,

θεωρείται ότι το εύρος των δύο προσεγγίσεων ταυτίζεται στο βαθμό που καλύπτουν τους

ίδιους κινδύνους και επομένως στα επόμενα οι όροι «Διαχείριση Ασφάλειας ΠΣ» και

«Διαχείριση Επιχειρησιακών Κινδύνων που συνδέονται με την Τεχνολογία Πληροφορικής»

ή απλά «Διαχείριση Επιχειρησιακών Κινδύνων ΠΣ» θα χρησιμοποιούνται εναλλάξ εκτός

εάν ρητώς οριστεί διαφορετικά.

4.5.1 Οικογένεια Προτύπων Διαχείρισης Ασφάλειας BS7799

Το ευρύτερα διαδεδομένο πρότυπο ΔΑ πληροφοριών που στηρίζεται σε πόρους

πληροφορικής (IT Asset-based framework) είναι η οικογένεια BS 7799, το οποίο

χωρίζεται σε δύο μέρη.

Ø BS 7799-1 Information technology – Code of practice for information

security management (Κώδικας Πρακτικών για τη Διαχείριση Ασφάλειας των

Πληροφοριών) [BSI-EN, 2001]. Το πρώτο μέρος είναι επίσης γνωστό ως BS

ISO/IEC 17799 το οποίο υιοθετήθηκε από τον οργανισμό ISO σχεδόν αυτούσιο

[ISO 17799, 2000] και η οποία περιγράφεται σε αυτή την ενότητα. Οι (μικρές)

αλλαγές που ενσωματώθηκαν στην τρέχουσα έκδοση του προτύπου το 2005 [ISO

17799, 2005], δεν επηρεάζουν στο παραμικρό την παρούσα συζήτηση ούτε το

εννοιολογικό μοντέλο της οντολογίας ασφάλειας που θα αναπτυχθεί σε επόμενη

ενότητα (5.5.1).

Ø BS 7799-2 Information Security Management Systems – Specification with

guidance for use (Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών). Το

δεύτερο μέρος του προτύπου περιγράφει τον τρόπο οργάνωσης ενός δομημένου

25 Έμμεσα γίνεται αντιληπτή και η προέλευση των δύο πλαισίων: τα πρότυπα BS7799 είναι ευρωπαϊκών

καταβολών, ενώ τα πρότυπα COBIT έλκουν την καταγωγή τους από τις Ηνωμένες Πολιτείες.



Σελ. 144

συστήματος ελέγχου και αναφορών (ISMS) προκειμένου να αποτιμηθεί το

επίπεδο διαχείρισης ασφάλειας σε ένα πληροφοριακό σύστημα (το οποίο

ακολουθεί ένα σύστημα διαχείρισης ασφάλειας). Τα μέτρα ασφάλειας που

υιοθετούνται ενδέχεται να προέρχονται από το πρότυπο BS ISO/IEC 17799,

χωρίς κάτι τέτοιο να είναι υποχρεωτικό. Το πρότυπο αυτό μπορεί να

χρησιμοποιηθεί για σκοπούς ελέγχου και πιστοποίησης [BSI-EN, 2002].

Στα επόμενα θα περιγραφούν συνοπτικά τα πρότυπα της οικογένειας BS7799 1 & 2.

4.5.1.1 BS 7799-1 Information Technology

Το πρώτο μέρος παρέχει ένα σύνολο από βέλτιστες πρακτικές – οδηγίες για την

εφαρμογή ενός συστήματος διαχείρισης της ασφάλειας των πληροφοριών (Information

Security Management System) – ουσιαστικά παρέχει ένα σύνολο από υψηλού επιπέδου

αντίμετρα, τα οποία είναι ανεξάρτητα από τεχνολογίες και υλοποιήσεις. Η περιγραφή

των αντιμέτρων περιορίζεται στο επιθυμητό αποτέλεσμα της εφαρμογής του αντιμέτρου

(ουσιαστικά παρέχει τις προδιαγραφές του αντιμέτρου), και όχι στον τρόπο υλοποίησής

του στο συγκεκριμένο ΠΣ (σ.σ. στη σχετική βιβλιογραφία όπως και σε άλλα πρότυπα οι

προδιαγραφές των αντιμέτρων απαντώνται και με τον όρο Στόχοι Αντιμέτρου ή Στόχοι

Ελέγχου (Control Objectives, όπως στο COBIT [ITGI COBIT OBJ, 2000]), καθότι

θεωρείται ότι οι δύο έννοιες -προδιαγραφές και στόχος αντιμέτρου/ελέγχου-

ταυτίζονται).

Το πρότυπο αυτό απέκτησε διεθνή φήμη και χρησιμοποιήθηκε από πολλούς οργανισμούς

παγκοσμίως, ενώ από κάποιες χώρες θεσπίστηκε σαν εθνικό πρότυπο ασφάλειας

πληροφοριών [AS/NZS 4360, 1999], με μηδαμινές αποκλίσεις από το αρχικό Βρετανικό

πρότυπο. Το Δεκέμβριο του 2000 η υπεύθυνη επιτροπή του οργανισμού ISO καθιέρωσε

(μέσω της διαδικασίας fast-track procedure) το BS 7799-1 σαν διεθνές πρότυπο με το

όνομα BS ISO/IEC 17799 ([ISO 17799, 2000]).

Ο ακρογωνιαίος λίθος για τον καθορισμό των επαρκών μέτρων ασφάλειας είναι η

αναγνώριση των κινδύνων και των επιπτώσεών τους, οι οποίοι είναι το μόνο εύλογο

κριτήριο για την ορθολογικοποίηση του κόστους της διαχείρισης κινδύνων από τη

διοίκηση. Προς την επίτευξη αυτού του στόχου, σημαντικοί αρωγοί είναι η συστηματική



Σελ. 145

αποτίμηση των κινδύνων ΠΣ του οργανισμού, καθώς επίσης οι νομικές και ρυθμιστικές

απαιτήσεις που υπαγορεύονται από το περιβάλλον μέσα στο οποίο ο οργανισμός

δραστηριοποιείται26. Από τη στιγμή που θα αναγνωριστούν οι απαιτήσεις ασφάλειας,

γίνεται μία επιλογή των αντιμέτρων τα οποία με την εφαρμογή τους μειώνουν τους

κινδύνους σε ένα επιθυμητό επίπεδο.

Το πρότυπο BS 7799-1 Information Technology παρέχει ένα ιεραρχικά δομημένο σύνολο

προδιαγραφών βέλτιστων πρακτικών ασφάλειας που έχει χωριστεί σε δέκα (10)

θεματικές περιοχές, κάθε μία από τις οποίες περιλαμβάνει έναν αριθμό από αντίμετρα

[ISO 17799, 2000]. Ο επόμενος Πίνακας 4.1 συνοψίζει τις θεματικές περιοχές του

προτύπου.

Πίνακας 4.1: Θεματικές Ενότητες BS7799-1

1. Πολιτική Ασφάλειας (Security Policy)

Πολιτική Ασφάλειας Πληροφοριών (Information Security Policy)

Στόχος Θεματικής Περιοχής: Καθοδήγηση και υποστήριξη της Διοίκησης του

Οργανισμού όσον αφορά στην ασφάλεια Πληροφοριών μέσω Πολιτικής Ασφάλειας

Πληροφοριών

2. Ασφάλεια Οργανισμού (Security Organization)

Υποδομή Ασφάλειας Πληροφοριών (Information Security Infrastructure)

Στόχος Θεματικής Περιοχής: Διαχείριση της ασφάλειας της πληροφορίας μέσα στον

οργανισμό μέσα από κατάλληλες πληροφοριακές υποδομές

26 Όπως για παράδειγμα το Sarbanes-Oxley Act 404 (SOX 404), που εκδόθηκε από την Κεφαλαιαγορά των

Ην. Πολιτειών (Securities and Exchange Commission – SEC, http://www.sec.gov) το 2002 και αφορά στην

ποιότητα του συστήματος εσωτερικού ελέγχου όσον αφορά τις οικονομικές καταστάσεις των εταιρειών

που είναι εισηγμένες στο SEC.

http://www.sec.gov)



Σελ. 146

Ασφάλεια Πρόσβασης Εξωτερικών Συνεργατών (Security of Third Party Access)

Στόχος Θεματικής Περιοχής: Διατήρηση της ασφάλειας των οργανωσιακών

πληροφοριών και πόρων στους οποίους έχουν πρόσβαση τρίτα μέρη

Εξωτερική Ανάθεση (Outsourcing)

Στόχος Θεματικής Περιοχής: Διατήρηση της ασφάλειας της πληροφορίας όταν η ευθύνη

μέρους ή όλης της διεργασίας πληροφορικής έχει ανατεθεί σε εξωτερική οντότητα

3. Κατηγοριοποίηση και Έλεγχος Πόρων (Asset Classification and Control)

Ευθύνη για τους Πόρους (Accountability for Assets)

Στόχος Θεματικής Περιοχής: Διατήρηση της απαραίτητης προστασίας των

οργανωσιακών πόρων μέσω ανάθεσης υπευθυνοτήτων ιδιοκτησίας σε χρήστες

Κατηγοριοποίηση της Πληροφορίας (Information Classification)

Στόχος Θεματικής Περιοχής: Θέσπιση επιπέδων σπουδαιότητας της οργανωσιακής

πληροφορίας με αντίστοιχα επίπεδα προστασίας

4. Ασφάλεια Προσωπικού (Personnel Security)

Καθορισμός των Θεμάτων Ασφάλειας στην Περιγραφή του Εργασιακού Ρόλου

(Security in Job Definition and Resourcing)

Στόχος Θεματικής Περιοχής: Ρητή περιγραφή των θεμάτων ασφάλειας στην Περιγραφή

του Εργασιακού Ρόλου

Εκπαίδευση Χρηστών (User Training)

Στόχος Θεματικής Περιοχής: Διαχείριση της ενημέρωσης των χρηστών σχετικά με τις

απειλές κατά της ασφάλειας των πληροφοριών και υποστήριξη της πολιτικής ασφάλειας

Αντίδραση σε Περιστατικά Ασφάλειας και Δυσλειτουργίες (Responding to Security



Σελ. 147

Incidents and Malfunctions)

Στόχος Θεματικής Περιοχής: Ελαχιστοποίηση των ζημιών από περιστατικά ασφάλειας

και δυσλειτουργίες των ΠΣ

5. Φυσική και Περιβαλλοντική Ασφάλεια (Physical and Environmental Security)

Ασφάλεια Χώρων (Secure Areas)

Στόχος Θεματικής Περιοχής: Μέτρα για την αποφυγή, καταγραφή και έλεγχο της μη-

εξουσιοδοτημένης φυσικής πρόσβασης σε χώρους του οργανισμού

Ασφάλεια Εξοπλισμού (Equipment Security)

Στόχος Θεματικής Περιοχής: Πρόληψη απώλειας, ζημίας και έκθεσης σε κίνδυνο των

πληροφοριακών πόρων

Γενικοί Έλεγχοι (General Controls)

Στόχος Θεματικής Περιοχής: Πρόληψη έκθεσης σε κίνδυνο και κλοπής της

πληροφορίας και των πληροφοριακών διεργασιών

6. Διαχείριση Επικοινωνιών και Λειτουργιών (Communications and Operations

Management)

Λειτουργικές Διαδικασίες και Ευθύνες (Operational Procedures and Responsibilities)

Στόχος Θεματικής Περιοχής: Θέσπιση λειτουργικών διαδικασιών και υπευθυνοτήτων

για τις καθημερινές λειτουργίες και τις επικοινωνίες

Σχεδιασμός και Έγκριση Συστήματος (System Planning and Acceptance)

Στόχος Θεματικής Περιοχής: Μείωση του κινδύνου βλάβης της πληροφορίας από μη

ελεγχόμενη διαδικασία σχεδιασμού και αποδοχής νέων συστημάτων

Προστασία έναντι σε «Κακόβουλο» Λογισμικό (Protection against Malicious Software)



Σελ. 148

Στόχος Θεματικής Περιοχής: Προστασία της ακεραιότητας του λογισμικού και της

πληροφορίας από κακόβουλο λογισμικό

Ακεραιότητα και Διαθεσιμότητα Επεξεργασιών (Housekeeping)

Στόχος Θεματικής Περιοχής: Διατήρηση της ακεραιότητας και της διαθεσιμότητας της

επεξεργασίας της πληροφορίας και των υπηρεσιών επικοινωνίας μέσω καταγραφής

γεγονότων και διαχείριση αντιγράφων ασφάλειας

Διαχείριση Δικτύων (Network Management)

Στόχος Θεματικής Περιοχής: Διασφάλιση της προστασίας της πληροφορίας που

διακινείται μέσω των δικτύων του οργανισμού και προστασία των δικτυακών υποδομών

Ασφάλεια και Χειρισμός των Μέσων (Media Handling and Security)

Στόχος Θεματικής Περιοχής: Αποφυγή των ζημιών σε πόρους και της διακοπής των

επιχειρησιακών διαδικασιών λόγω ανεπαρκούς διαχείρισης των μέσων αποθήκευσης

Ανταλλαγές Πληροφοριών και Λογισμικού (Exchanges of Information and Software)

Στόχος Θεματικής Περιοχής: Αποφυγή απώλειας, αλλαγής και κακής διαχείρισης της

πληροφορίας και του λογισμικού μέσω δυνατοτήτων ανταλλαγής και επικοινωνίας

7. Έλεγχος Πρόσβασης (Access Control)

Επιχειρησιακές Απαιτήσεις για τον Έλεγχο Πρόσβασης (Business Requirements for

Access Control)

Στόχος Θεματικής Περιοχής: Έλεγχος πρόσβασης στις πληροφορίες σε επιχειρησιακό

επίπεδο

Διαχείριση της Πρόσβασης των Χρηστών (User Access Management)

Στόχος Θεματικής Περιοχής: Αποφυγή μη-εξουσιοδοτημένης πρόσβασης στα

πληροφοριακά συστήματα



Σελ. 149

Υποχρεώσεις Χρηστών (User Responsibilities)

Στόχος Θεματικής Περιοχής: Διαχείριση της γνωστοποίησης των υποχρεώσεων των

τελικών χρηστών σχετικά με την ασφάλεια των ΠΣ

Έλεγχος Πρόσβασης Δικτύων (Network Access Control)

Στόχος Θεματικής Περιοχής: Προστασία της πρόσβασης σε δικτυακές υπηρεσίες και

πόρους

Έλεγχος Πρόσβασης Λειτουργικών Συστημάτων (Operating System Access Control)

Στόχος Θεματικής Περιοχής: Αποφυγή μη-εξουσιοδοτημένης πρόσβασης σε επίπεδο

λειτουργικών συστημάτων

Έλεγχος Πρόσβασης Εφαρμογών (Application Access Control)

Στόχος Θεματικής Περιοχής: Αποφυγή μη-εξουσιοδοτημένης πρόσβασης σε επίπεδο

εφαρμογών

Παρακολούθηση του Ελέγχου Πρόσβασης και Χρήσης Συστημάτων (Monitoring

System Access and Use)

Στόχος Θεματικής Περιοχής: Εντοπισμός μη-εξουσιοδοτημένων ενεργειών

Κινητό Υπολογίζειν και Τηλε-Εργασία (Mobile Computing and Teleworking)

Στόχος Θεματικής Περιοχής: Διασφάλιση της ασφάλειας της πληροφορίας όταν γίνεται

χρήση κινητών υπολογιστών και τηλε-εργασίας

8. Ανάπτυξη και Συντήρηση Συστημάτων (System Development and Maintenance)

Απαιτήσεις Ασφάλειας Συστημάτων (Security Requirements of Systems)

Στόχος Θεματικής Περιοχής: Διαβεβαίωση ότι τα Πληροφοριακά Συστήματα είναι

ασφαλή μέσω ορισμού απαιτήσεων ασφάλειας



Σελ. 150

Ασφάλεια σε Συστήματα Εφαρμογών (Security in Application Systems )

Στόχος Θεματικής Περιοχής: Αποφυγή απώλειας, αλλαγής και κατάχρησης των

πληροφοριών σε συστήματα εφαρμογών

Κρυπτογραφικοί Έλεγχοι (Cryptographic Controls)

Στόχος Θεματικής Περιοχής: Προστασία της εμπιστευτικότητας, ακεραιότητας και

αυθεντικότητας των πληροφοριών μέσω κρυπτογραφικών τεχνικών

Ασφάλεια των Αρχείων του Συστήματος (Security of System Files)

Στόχος Θεματικής Περιοχής: Διασφάλιση των κρίσιμων αρχείων του λειτουργικού

συστήματος και των εφαρμογών

Ασφάλεια στην Ανάπτυξη και Υποστήριξη των Λειτουργιών Πληροφορικής (Security

in Development and Support Processes)

Στόχος Θεματικής Περιοχής: Διατήρηση του επιπέδου ασφάλειας κατά την ανάπτυξη

και υποστήριξη των επιχειρησιακών λειτουργιών

9. Διαχείριση Επιχειρησιακής Συνέχειας (Business Continuity Management)

Θέματα Επιχειρησιακής Συνέχειας (Aspects of Business Continuity Management)

Στόχος Θεματικής Περιοχής: Διασφάλιση της διαθεσιμότητας των επιχειρησιακών

συστημάτων και ανάκαμψη από καταστροφές

10. Συμμόρφωση (Compliance)

Συμμόρφωση με Νομικές Απαιτήσεις (Compliance with Legal Requirements)

Στόχος Θεματικής Περιοχής: Συμβατότητα με το εθνικό / διεθνές δίκαιο και

κανονιστικό πλαίσιο

Έλεγχος της Πολιτικής Ασφάλειας και της Τεχνολογικής Συμβατότητας (Reviews of



Σελ. 151

Security Policy and Technical Compliance)

Στόχος Θεματικής Περιοχής: Διαβεβαίωση της συμβατότητας των συστημάτων με τις

πολιτικές και τα πρότυπα ασφάλειας μέσω περιοδικών ελέγχων αποτελεσματικότητας

των υφιστάμενων μέτρων σε επίπεδο πολιτικών και τεχνικών μέτρων

Ζητήματα Ελέγχου Συστημάτων (System Audit Considerations)

Στόχος Θεματικής Περιοχής: Διαδικασίες ελέγχου σε επίπεδο συστήματος και

πρόσβαση σε εργαλεία ελέγχου

4.5.1.2 BS 7799-2 Information security management systems

Το BS 7799-2 [BSI-EN, 2002] είναι το δεύτερο μέρος του προτύπου και παρέχει ένα

πλαίσιο αναφοράς για έλεγχο και πιστοποίηση από εξωτερικούς ελεγκτές. Το πρότυπο

επανεκδόθηκε το 2002 έτσι ώστε να εναρμονιστεί και με άλλα πρότυπα διαχείρισης

συστημάτων, όπως είναι το ISO 9001 [ISO 9001, 2000] και το ISO 14001 [ISO 14001,

2004], ενώ βρίσκεται υπό εξέλιξη και η νέα ISO έκδοση με το όνομα ISO/IEC FDIS

27001. Το πρότυπο αυτό προωθεί την υιοθέτηση μίας διαδικαστικής προσέγγισης για την

ανάπτυξη, την εφαρμογή και τη βελτίωση της αποδοτικότητας ενός συστήματος

διαχείρισης της ασφάλειας των πληροφοριών (Information Security Management

System) ενός οργανισμού. Ένας οργανισμός θα πρέπει να αναγνωρίζει και να

διαχειρίζεται πολλές δραστηριότητες για να λειτουργεί αποδοτικά. Κατά το πρότυπο, μία

διεργασία πληροφορικής ορίζεται σαν μια διαχειριζόμενη δραστηριότητα που χρησιμοποιεί

πόρους πληροφορικής, ούτως ώστε να μετατρέπει τις εισόδους της επεξεργασίας σε

εξόδους.

Το πρότυπο εισάγει το μοντέλο Plan-Do-Check-Act (PDCA) ([BSI-EN, 2002] ως ένα

μέρος μίας προσέγγισης διαχείρισης συστημάτων για την ανάπτυξη, την εφαρμογή και τη

βελτίωση της αποδοτικότητας ενός ISMS (Information Security Management System),

μέσα στο επιχειρησιακό πλαίσιο των κινδύνων πληροφορικής που αντιμετωπίζει ένας

οργανισμός. Το μοντέλο PDCA μπορεί να εφαρμοστεί σε όλες τις διεργασίες

πληροφορικής.



Σελ. 152

Η εφαρμογή ενός συστήματος από διεργασίες σε έναν οργανισμό μαζί με την

αναγνώριση και τις αλληλεπιδράσεις αυτών των διεργασιών και η διαχείρισή τους,

συνιστά μια διαδικαστική προσέγγιση (process-based approach) στο θέμα του

συστήματος αναφορών και ελέγχου , η οποία δίνει έμφαση στα παρακάτω στοιχεία:

Ø Κατανόηση των επιχειρησιακών απαιτήσεων ασφάλειας και ανάγκη καθορισμού

μίας πολιτικής ασφάλειας πληροφοριών,

Ø Εφαρμογή και λειτουργία των αντιμέτρων (controls) στο πλαίσιο της διαχείρισης

του ολικού επιχειρησιακού ρίσκου,

Ø Έλεγχος της απόδοσης και της αποτελεσματικότητας του συστήματος διαχείρισης

της ασφάλειας των πληροφοριών (ISMS),

Ø Διαρκής βελτίωση βάσει των μετρικών επίτευξης των στόχων (objective

measures).

Σχήμα 4.3: Μοντέλο Διεργασιών PDCA (Πηγή: [BSI-EN, 2002])

Σε κάθε φάση της διαδικασίας διαχείρισης, οι επόμενες ενέργειες λαμβάνουν χώρα (βλ.

και [BSI-EN, 2002]):

Ø Plan – Σχεδιασμός (Καθορισμός του πλαισίου του ISMS): Καθορισμός των

πολιτικών ασφαλείας, των στόχων, των διεργασιών και των διαδικασιών

σχετικών με τον έλεγχο των κινδύνων και της βελτίωσης της ασφάλειας της



Σελ. 153

πληροφορίας, με σκοπό την παραγωγή αποτελεσμάτων εναρμονισμένων με την

καθολική πολιτική και τους στόχους του οργανισμού.

Ø Do – Εφαρμογή (Σχεδιασμός και Υλοποίηση): Εφαρμογή και λειτουργία των

πολιτικών ασφάλειας.

Ø Check – Έλεγχος (Κριτικές και Συμβουλές): Μέτρηση και αποτίμηση της

απόδοσης των διεργασιών σε σχέση με τις πολιτικές, τους στόχους του

οργανισμού και την πρακτική εμπειρία καθώς δημιουργία αναφοράς των

αποτελεσμάτων στους υπεύθυνους.

Ø Act – Δράση (Βελτίωση): Λήψη διορθωτικών και αποτρεπτικών αποφάσεων για

περαιτέρω βελτίωση της απόδοσης των διεργασιών.

Σχήμα 4.4: Μοντέλο PDCA – Μέρη Διεργασιών Πληροφορικής (Πηγή: [BSI-EN, 2002])

Το πρότυπο αυτό είναι συμβατό με τα πρότυπα ISO 9001:2000 και ISO 14001:1996 για

να υποστηρίξει την ομαλή και ενοποιημένη εφαρμογή και λειτουργία των προτύπων

διαχείρισης. Προκειμένου να επιτύχει η εφαρμογή του προτύπου, η διοίκηση του

οργανισμού θα πρέπει να δεσμευτεί για την ανάπτυξη και την εφαρμογή ενός ISMS με

βάση τους εξής άξονες δράσης:



Σελ. 154

Ø Αναγνωρίζοντας τη σημασία των στόχων ασφαλείας καθώς και τις νομικές και

κανονιστικές απαιτήσεις και την ανάγκη για συνεχή βελτίωση,

Ø Καθορίζοντας πολιτικές, στόχους και σχέδια ασφαλείας,

Ø Διεξάγοντας περιοδικές αποτιμήσεις της επάρκειας και αποτελεσματικότητας του

ISMS,

Ø Καθορίζοντας το επίπεδο του επιτρεπτού κινδύνου.

Ακολουθεί μια συζήτηση σχετικά με τα πρότυπα της οικογένειας BS7799.

4.5.1.3 Κριτική της Οικογένειας Προτύπων Διαχείρισης Ασφάλειας

BS7799

Τα δύο μέρη του προτύπου είναι συμπληρωματικά, με την έννοια ότι το μεν BS7799-1

παρέχει μία ταξινομία από αντίμετρα, ενώ το BS7799-2 δίνει ένα σύστημα διαχείρισης

και ελέγχου της αποτελεσματικότητας των αντιμέτρων. Η ιδέα πίσω από την ταξινομία

του πρώτου μέρους είναι η ισορροπία που πρέπει να επιδεικνύει ένας οργανισμός στην

αντιμετώπιση των κρίσιμων τομέων ασφάλειας. Η οργάνωση του BS7799-1 παραπέμπει

σε μια προσέγγιση λίστας αντιμέτρων οργανωμένα σε έναν αριθμό από βασικούς άξονες.

Μια συχνά μνημονευόμενη αδυναμία του BS7799-1 είναι η έλλειψη μιας επαρκούς

διαδικασίας διαχείρισης ασφάλειας [NIST, 2002], ενώ θα πρέπει να σημειωθεί η

(εσκεμμένη) γενικότητα του η οποία δεν είναι προσαρμοσμένη σε συγκεκριμένα

πληροφοριακά περιβάλλοντα, με τις προδιαγραφές των αντιμέτρων να επιδέχονται κατά

βούληση διερμηνεία από τους εκάστοτε υπεύθυνους/ειδικούς ασφάλειας κατά την

εφαρμογή τους. Παρότι το πρότυπο BS7799-2 οδηγεί σε πιστοποίηση σχετικά με το

σύστημα διαχείρισης ασφάλειας, μόνο ένας πολύ μικρός –σχετικά– αριθμός οργανισμών

έχει πιστοποιηθεί διεθνώς (2814 πιστοποιητικά – Αύγουστος 2006,

http://www.xisec.com/register.htm), εκ των οποίων η συντριπτική πλειοψηφία (61%)

εδρεύει στην Ιαπωνία.

Παραλλήλως, προσφέρεται ένας αριθμός άτυπων πιστοποιητικών τύπου BS 7799/ISO

17799 τα οποία δεν ακολουθούν το BS7799-2 και για τα οποία δεν είναι εύκολος ο

καθορισμός του εύρους της πιστοποίησης – κάτι που αντιτίθεται στην έννοια της

http://www.xisec.com/register.htm)



Σελ. 155

προτυποποίησης όπου ο ακριβής καθορισμός του εύρους (συνήθως) είναι το ζητούμενο.

Αν συνυπολογιστεί και η εγγενής ασάφεια του προτύπου BS7799-2 όσον αφορά την

διασφάλιση της αποτελεσματικότητας και το εύρος του πλαισίου διαχείρισης ασφάλειας

υπό πιστοποίηση, δεν είναι παράξενο που το πρότυπο αυτό, παρόλο το θεωρητικό

πλεονέκτημα της προτυποποίησης και πιστοποίησης που προσφέρει, δεν έχει την

πρακτική αποδοχή που ίσως του άξιζε.

Το πλεονέκτημα της οικογένειας BS7799 (και των αντίστοιχων μετενσαρκώσεών τους σε

πρότυπα ISO) είναι η ξεκάθαρη δομή των βασικών εννοιών ασφάλειας (βλ. Σχήμα 4.5), η

οποία θα χρησιμοποιηθεί στην Ενότητα 5.5.1 προκειμένου να μοντελοποιηθεί η

Οντολογία Ασφάλειας.

Σχήμα 4.5: Σχέσεις Μεταξύ των Βασικών Εννοιών Ασφάλειας στην Οικογένεια BS7799 (Πηγή: [AS/NZS 4360, 1999])

4.5.2 Το πλαίσιο Διαχείρισης Επιχειρησιακών Κινδύνων COBIT

4.5.2.1 Εισαγωγή

Η ανάγκη ενός ευρέως αποδεκτού συνόλου σκοπών ελέγχου ΠΣ και βέλτιστων

πρακτικών που να μπορεί να χρησιμεύσει σαν αναφορά για κάθε πληροφοριακό

σύστημα, οδήγησε στη δημιουργία του COBIT (Control Objectives for Information and

related Technology), [ITGI COBIT, 2000] από τους μη-κερδοσκοπικούς οργανισμούς IT



Σελ. 156

Governance Institute27 και Information Systems Audit and Control Foundation28.

Πρόκειται για ένα πλαίσιο αναφοράς για σκοπούς ελέγχου ΠΣ και σχετικές βέλτιστες

πρακτικές που υποστηρίζουν την αποτελεσματική εφαρμογή της Εταιρικής

Διακυβέρνησης μέσω της Πληροφορικής (βλ. ενότητα 4.5.2.2 παρακάτω) μέσω

αποτελεσματικών και αποδοτικών τεχνικών ελέγχου και διαβεβαίωσης ΠΣ. Το COBIT

είναι ένα πλαίσιο αναφοράς που συνδυάζει και συνδέει τους οργανωσιακούς κινδύνους

με μηχανισμούς ελέγχου και τεχνικά θέματα υλοποίησης των μηχανισμών αυτών.

Περιλαμβάνει ένα σύνολο από 34 σκοπούς ελέγχου υψηλού επιπέδου που

αντιπροσωπεύουν αντίστοιχες διεργασίες του κύκλου ζωής ενός ΠΣ, και οι οποίοι

κατανέμονται σε τέσσερις περιοχές:

Ø Σχεδιασμός και Οργάνωση (Planning and Organization),

Ø Προμήθεια και Υλοποίηση (Acquisition and Implementation),

Ø Παράδοση και Υποστήριξη (Delivery and Support), και

Ø Έλεγχος και Παρακολούθηση (Monitoring).

Με την επιτυχή εφαρμογή αυτών των σκοπών ελέγχου, ο οργανισμός διασφαλίζει την

ύπαρξη ενός επαρκούς συστήματος μηχανισμών ελέγχου προκειμένου τα πληροφοριακά

του συστήματα να υποστηρίξουν τους οργανωσιακούς στόχους. Αυτό το σύνολο σκοπών

ελέγχου υψηλού επιπέδου υποστηρίζεται από ένα σύνολο λεπτομερών σκοπών ελέγχου,

οι οποίοι υπερβαίνουν τους τριακόσιους και είναι απαραίτητοι για την επίτευξη των

προαναφερόμενων στόχων. Το de facto αυτό πρότυπο χρησιμοποιεί σαν κύριες αναφορές

περισσότερα από 36 ευρέως αναγνωρισμένα διεθνή πρότυπα και κανονιστικά πλαίσια

σχετικά με πληροφοριακά συστήματα, ενώ απευθύνεται τόσο στη Διοίκηση και το

προσωπικό του ΠΣ, στα τμήματα ελέγχου και επιθεώρησης, όσο και – κύρια – στους

Ιδιοκτήτες των Επιχειρησιακών Διεργασιών (Business Process Owners) [ITGI COBIT

OBJ, 2000], προκειμένου να διασφαλιστεί η εμπιστευτικότητα, ακεραιότητα και

27 http://www.ITgovernance.org. 28 http://www.isaca.org.

http://www.ITgovernance.org

http://www.isaca.org



Σελ. 157

διαθεσιμότητα των κρίσιμων και ευαίσθητων πληροφοριών. Το COBIT αποτελείται από

μία Εκτελεστική Περίληψη, το Πλαίσιο Αναφοράς, τους Σκοπούς Ελέγχου, τις Οδηγίες

Εφαρμογής προς τη Διοίκηση, τις Οδηγίες Εφαρμογής Ελέγχου και μία Εργαλειοθήκη

Υλοποίησης (Εικόνα 4.1). Το COBIT ανανεώνεται περιοδικά, ακολουθώντας τις εξελίξεις

στις τεχνολογίες πληροφορικής και του ελέγχου πληροφοριακών συστημάτων. Οι όροι

IT (Information Technology) και IS (Information Systems) χρησιμοποιούνται με την ίδια

έννοια.

Εικόνα 4.1: Τα Συστατικά Μέρη του COBIT

Το πρότυπο COBIT είναι σχετικά μικρό σε μέγεθος και στοχεύει κύρια στην

αποτελεσματική κάλυψη των επιχειρησιακών αναγκών ενώ ταυτόχρονα είναι ανεξάρτητο

από συγκεκριμένες πλατφόρμες υλοποίησης και τεχνικές λεπτομέρειες.

Παρά το ότι το COBIT δεν αποκλείει οποιαδήποτε άλλα αποδεκτά πρότυπα στο πεδίο

του ελέγχου Π.Σ. που μπορεί να έχουν αναδειχθεί κατά τη διάρκεια της έρευνας στο

χώρο, οι κύριες πηγές αναφορών είναι: α) Τεχνικά πρότυπα (ISO, EDIFACT), κ.α., β)

Οδηγίες και κατευθυντήριες γραμμές από την Ευρωπαϊκή Ένωση και οργανισμούς όπως

τους OECD, ISACA κ.α., γ) Κριτήρια πιστοποίησης για Π.Σ., προϊόντα και διεργασίες

Π.Σ. (IT processes), όπως ITSEC, TCSEC, ISO 9000, SPICE [ISO SPICE, 2006], TickIT

[TickIT, 2001], Common Criteria [ISO 15048, 1999], κ.α., δ) Διεθνή πρότυπα για

εσωτερικό έλεγχο (COSO [COSO, 1992], IFAC, κλπ), ε) De Facto βέλτιστες πρακτικές



Σελ. 158

που προέρχονται από τις τάσεις της αγοράς (ESF I4, και οργανισμοί που υποστηρίζονται

από κυβερνήσεις (IBAG, NIST, DTI) κ.α., στ) Αναπτυσσόμενα πρότυπα και τεχνικές σε

ειδικές αγορές και τομείς δραστηριότητας όπως ηλεκτρονικό εμπόριο (electronic

commerce), τράπεζες, ηλεκτρονική διακυβέρνηση (e-Government), κ.α.

Στις επόμενες ενότητες θα περιγραφούν συνοπτικά τα κυριότερα σημεία του COBIT.

4.5.2.2 COBIT – Πλαίσιο Αναφοράς

Κομβικό σημείο και κεντρικός πόλος του προτύπου αποτελεί η έννοια της Εταιρικής

Διακυβέρνησης μέσω της Πληροφορικής29 (IT Governance), η οποία ορίζεται ως [ITGI

COBIT, 2000]:

“…Μια δομή σχέσεων και διεργασιών η οποία καθοδηγεί τον οργανισμό προκειμένου να

επιτύχει τους οργανωσιακούς στόχους, με τη χρήση της Πληροφορικής. Η Εταιρική

Διακυβέρνηση συνδέει τις διεργασίες των ΠΣ (IT processes), τους πόρους πληροφορικής

(IT resources) και την πληροφορία με τις στρατηγικές και τους στόχους της επιχείρησης. Η

αποτελεσματική και αποδοτική χρήση της Εταιρικής Διακυβέρνησης επιτρέπει στον

οργανισμό να προσδώσει προστιθέμενη αξία στις λειτουργίες του, ενώ επίσης μειώνει τους

κινδύνους σε συνδυασμό με αύξηση της απόδοσης των ΠΣ.”

Είναι κοινός τόπος ότι η διάχυση της πληροφορικής στους σύγχρονους οργανισμούς σε

όλα τα επίπεδα αποφάσεων και ενεργειών, καθιστά την εταιρική διακυβέρνηση τον

πλέον κρίσιμο παράγοντα για την ευθυγράμμιση της λειτουργίας του ΠΣ με τους

σκοπούς του οργανισμού. Το COBIT παρέχει ένα εύχρηστο εργαλείο για τη Διοίκηση

του ΠΣ προκειμένου να καλύψει το κενό μεταξύ των απαιτήσεων ελέγχου, των τεχνικών

θεμάτων και των επιχειρησιακών κινδύνων, ενώ ενθαρρύνεται η επικοινωνία των

σχετικών θεμάτων προς τις ενδιαφερόμενες οντότητες (stakeholders) με αποτέλεσμα να

βελτιώνεται το επίπεδο εμπιστοσύνης των τελευταίων προς τον οργανισμό.

Το πρότυπο ορίζει τέσσερις τομείς (domains) σκοπών ελέγχου υψηλού επιπέδου που

αντιπροσωπεύουν τον κύκλο ζωής ενός ΠΣ. Σε κάθε τομέα, αντιστοιχεί ένας αριθμός

29 Εφεξής θα αναφέρεται με τον όρο “Εταιρική Διακυβέρνηση”.



Σελ. 159

Διεργασιών Πληροφορικής (IT Processes) που σχετίζονται με τον τομέα – για

παράδειγμα, ο Καθορισμός ενός Στρατηγικού Πλάνου για το ΠΣ είναι μια διεργασία

πληροφορικής που διεξάγεται κύρια κατά τη φάση του σχεδιασμού του ΠΣ (πρώτος

τομέας). Επιπρόσθετα, κάθε διεργασία πληροφορικής αναλύεται περαιτέρω σε

δραστηριότητες (Activities/Tasks). Οι τομείς σκοπών ελέγχου είναι οι ακόλουθοι:

Ø Σχεδιασμός και Οργάνωση (Planning and Organization, PO). Καλύπτει τις

στρατηγικές πληροφορικής και προσδιορίζει τους τρόπους με τους οποίους

μπορεί να χρησιμοποιηθούν τα ΠΣ προκειμένου να υλοποιηθούν οι

επιχειρησιακοί στόχοι. Ασχολείται επίσης με το σχεδιασμό, διαχείριση και

διάχυση των επιχειρησιακών στρατηγικών σε όλα τα επίπεδα του οργανισμού,

όπως επίσης και με την οργάνωση των υποστηρικτικών υποδομών.

Ø Προμήθεια και Υλοποίηση (Acquisition and Implementation, AI). Προσδιορίζει τα

ΠΣ προς υλοποίηση και/ή προμήθεια, όπως επίσης και τις διαδικασίες ένταξής

τους στις επιχειρησιακές διεργασίες. Επιπρόσθετα, καλύπτονται θέματα αλλαγών

και συντήρησης των υπαρχόντων συστημάτων πληροφορικής, προκειμένου να

υποστηριχθεί ο κύκλος ζωής των ΠΣ.

Ø Παράδοση και Υποστήριξη (Delivery and Support, DS). Η περιοχή αυτή

ασχολείται με την παροχή των υπηρεσιών στον τελικό χρήστη. Αυτές οι

υπηρεσίες ποικίλλουν από παραδοσιακές υπηρεσίες ασφάλειας και συνέχειας

επιχειρησιακών λειτουργιών έως εκπαίδευση και ενημέρωση, ενώ σημαντικό

ρόλο παίζει η διαχείριση των υποστηρικτικών υποδομών για την τελική παροχή

των υπηρεσιών.

Ø Έλεγχος και Παρακολούθηση (Monitoring, M). Ασχολείται με θέματα

παρακολούθησης και ελέγχου των διεργασιών πληροφορικής μέσα στον

οργανισμό, όπως επίσης και με την παροχή διαβεβαιώσεων για την απρόσκοπτη

λειτουργία των ΠΣ.

Θα πρέπει να σημειωθεί ότι οι σκοποί ελέγχου δεν έχουν την ίδια σπουδαιότητα για τον

οργανισμό, αλλά εξαρτώνται κύρια από την αποστολή του ΠΣ, τις απαιτήσεις της

Διοίκησης, τυχόν εξωγενείς περιορισμούς κλπ. Υπό αυτή την οπτική λοιπόν, ένας σκοπός

ελέγχου δύναται να είναι: α) Πρωτεύων (Primary), όπου ο σκοπός ελέγχου επηρεάζει σε



Σελ. 160

μεγάλο βαθμό τη διεργασία πληροφορικής, β) Δευτερεύων (Secondary), όπου ο σκοπός

ελέγχου επηρεάζει τη διεργασία πληροφορικής σε μικρότερο βαθμό, και γ)

Προαιρετικός30 (Blank), όπου ο συγκεκριμένος σκοπός ελέγχου καλύπτεται από άλλους

σκοπούς ελέγχου για τη συγκεκριμένη διεργασία πληροφορικής.

Προκειμένου να διευκρινιστεί η σπουδαιότητα ενός σκοπού ελέγχου, η διεξαγωγή

ανάλυσης επικινδυνότητας σε υψηλό επίπεδο είναι απαραίτητη. Η δομή του COBIT και

οι τομείς σκοπών ελέγχου [ITGI COBIT, 2000] απεικονίζονται στην Εικόνα 4.2

30 Αναφέρεται η απόδοση του αγγλικού όρου.



Σελ. 161

Εικόνα 4.2 - COBIT - Σκοποί και Τομείς Ελέγχου

4.5.2.3 COBIT – Σκοποί Ελέγχου

Το Πλαίσιο Αναφοράς COBIT περιορίζεται (σκόπιμα) στον ορισμό σκοπών ελέγχου σε

υψηλό επίπεδο, με τη μορφή μιας επιχειρησιακής ανάγκης που εντάσσεται σε κάποια

συγκεκριμένη διεργασία ΠΣ. Η επίτευξη του σκοπού ελέγχου επιτυγχάνεται μέσω εν

δυνάμει εφαρμόσιμων μηχανισμών ελέγχου. Η γενικότητα του ορισμού των σκοπών

ελέγχου σκοπεύει στην ανεξαρτησία από τεχνικές υλοποιήσεις και λεπτομέρειες, χωρίς

να παραβλέπεται το γεγονός ότι η εφαρμογή του COBIT σε ειδικά περιβάλλοντα και ΠΣ

ενδέχεται να προϋποθέτει ειδικές παραδοχές εκ μέρους του ελεγκτή, όσον αφορά τους

σκοπούς ελέγχου.



Σελ. 162

Οι σκοποί ελέγχου στο COBIT έχουν οργανωθεί ανά διεργασία/δραστηριότητα ΠΣ, ενώ

παρέχεται και ένας εύχρηστος συνδυαστικός μηχανισμός πλοήγησης στους επιμέρους

σκοπούς ελέγχου.

4.5.2.4 COBIT – Οδηγίες Εφαρμογής προς τη Διοίκηση

Προκειμένου να εφαρμοστεί η εταιρική διακυβέρνηση σε έναν οργανισμό, είναι

απαραίτητο να οριστούν μετρικές, εργαλεία και τεχνικές τα οποία θα είναι στη διάθεση

της Διοίκησης του ΠΣ και βάσει των οποίων α) θα αποτιμηθεί το επίπεδο ελέγχου του

ΠΣ, β) θα επιλεχθούν οι κατάλληλοι μηχανισμοί ελέγχου, γ) θα βελτιωθεί η υποκείμενη

τεχνολογική υποδομή του ΠΣ, και δ) θα μετρηθεί η απόδοση του ΠΣ σε διαφορετικά

χρονικά σημεία της εφαρμογής του μοντέλου της εταιρικής διακυβέρνησης.

Το πρότυπο στα πλαίσια των Οδηγιών Εφαρμογής προς τη Διοίκηση ορίζει τα ακόλουθα

εργαλεία, τα οποία είναι το αποτέλεσμα των εργασιών μιας ομάδας 40 ειδικών ανά την

υδρόγειο από την αγορά, πανεπιστήμια, κυβερνητικούς οργανισμούς, ειδικούς ασφάλειας

ΠΣ και ελεγκτές ΠΣ:

Ø Μοντέλα Ωριμότητας (Maturity Models), τα οποία παρέχουν μια διαβάθμιση του

οργανισμού ως προς το βαθμό εφαρμογής της εταιρικής διακυβέρνησης, τόσο

συγκριτικά με άλλους οργανισμούς του ίδιου κλάδου/τομέα όσο και με σχετικά

διεθνή πρότυπα, όπως επίσης και τους στόχους του οργανισμού όσον αφορά την

εταιρική διακυβέρνηση,

Ø Κρίσιμοι Παράγοντες Επιτυχίας (Critical Success Factors), οι οποίοι ορίζουν σε

διοικητικό επίπεδο τις σημαντικότερες οδηγίες υλοποίησης του ελέγχου στις

διεργασίες ΠΣ,

Ø Κύριοι Δείκτες Στόχων (Key Goal Indicators), οι οποίοι είναι μετρικές για την

επίτευξη των στόχων για τις διεργασίες ΠΣ (αποτελεσματικότητα)

Ø Κύριοι Δείκτες Απόδοσης (Key Performance Indicators), οι οποίοι είναι μετρικές

για την απόδοση των διεργασιών ΠΣ κατά την επίτευξη των στόχων

(αποδοτικότητα).

4.5.2.5 COBIT – Οδηγίες Εφαρμογής Ελέγχου και Εργαλειοθήκη



Σελ. 163


Σε αντιστοιχία με τις 34 διεργασίες/σκοπούς ελέγχου ΠΣ υψηλού επιπέδου, το πρότυπο

ορίζει ένα σύνολο από Οδηγίες Εφαρμογής Ελέγχου προκειμένου να διευκολύνει την

εφαρμογή του Πλαισίου Αναφοράς και των γενικών Σκοπών Ελέγχου μέσα από

ελεγκτικές διαδικασίες. Ο στόχος των οδηγιών εφαρμογής ελέγχου είναι η παροχή μιας

δομημένης προσέγγισης όσον αφορά τον έλεγχο και την αποτίμηση μηχανισμών ελέγχου

ΠΣ, με βάση ευρέως αποδεκτές πρακτικές και τεχνικές. Οι οδηγίες εφαρμογής είναι

σκόπιμα γενικές και ανεξάρτητες από τεχνολογίες και λεπτομέρειες υλοποίησης, ενώ

επιτρέπουν στον ελεγκτή να αξιολογήσει τους μηχανισμούς ελέγχου του ΠΣ με βάση

τους λεπτομερείς σκοπούς ελέγχου του COBIT.

Επιπρόσθετα, το COBIT περιέχει μια Εργαλειοθήκη Υλοποίησης, η οποία παρέχει γνώση

και εμπειρία από οργανισμούς οι οποίοι έχουν εφαρμόσει επιτυχώς το πλαίσιο COBIT. Η

εργαλειοθήκη υλοποίησης περιέχει, εκτός των άλλων, δύο χρήσιμα εργαλεία: τη

Διάγνωση Διοικητικού Βαθμού Επίγνωσης (Management Awareness Diagnostic), η οποία

βοηθά τη Διοίκηση του ΠΣ να (επανα)προσδιορίσει την αποστολή, τους στόχους και τη

σημασία του ΠΣ και τους κινδύνους που σχετίζονται με αυτό31, και τη Διάγνωση Ελέγχου

ΠΣ (IT Control Diagnostic), η οποία βοηθά στην ανάλυση των συστημάτων ελέγχου σε

ένα ΠΣ.

4.5.2.6 Περιορισμοί και ιδιαιτερότητες του COBIT

Η επιτυχής υλοποίηση του COBIT σε ένα οργανισμό προϋποθέτει ότι οι εμπλεκόμενες

οντότητες γνωρίζουν το πρότυπο, όπως επίσης και τα δυνατά και αδύνατά του σημεία.

Τα κυριότερα σημεία τα οποία πρέπει να ληφθούν υπόψη είναι τα εξής:

Ø Το COBIT απαιτεί αναδιοργάνωση της οπτικής των οντοτήτων του οργανισμού

που εμπλέκονται στην εφαρμογή του (key players) μέσω ενημέρωσης και

31 Όσο και αν φαίνεται παράξενο, η επίδοση των Διοικήσεων των ΠΣ σε αυτή τη διαγνωστική δοκιμασία

είναι (συνήθως) χαμηλή.



Σελ. 164

εκπαίδευσης. Αυτή η αναδιοργάνωση της κουλτούρας του οργανισμού δεν

στέφεται πάντα από επιτυχία, είναι χρονοβόρα και η επιτυχημένη εφαρμογή του

προτύπου δεν είναι πάντα άμεσα μετρήσιμη.

Ø Το COBIT είναι ένα πλαίσιο που πρέπει να προσαρμοστεί στον συγκεκριμένο

οργανισμό – για παράδειγμα, οι διεργασίες ΠΣ του COBIT πρέπει να συγκριθούν

με τις υπάρχουσες διεργασίες ΠΣ του οργανισμού, να αποτιμηθούν οι κίνδυνοι

και να οριστούν υπευθυνότητες για αυτές τις διεργασίες.

Ø Σαν ένα γενικό πλαίσιο εταιρικής διακυβέρνησης και ελέγχου ΠΣ, το COBIT

συνιστάται να χρησιμοποιηθεί εκ παραλλήλου με άλλες ελεγκτικές προσεγγίσεις

όπως το πλαίσιο AICPA/CICA SysTrust, ελεγκτικοί οδηγοί εξειδικευμένοι σε

πλατφόρμες υλικού (όπως IBM και Sun), λογισμικού (όπως Novell και VMS)

κλπ.

Ø Το COBIT δεν είναι μια συλλογή από μηχανισμούς και προγράμματα ελέγχου ΠΣ

– αντίθετα, περιέχει μια συλλογή από σκοπούς ελέγχου ΠΣ και οδηγίες ελέγχου που

ενδέχεται να χρησιμοποιηθούν για την αποτίμηση της απόδοσης όσον αφορά την

εφαρμογή των σκοπών ελέγχου. Επιπρόσθετα, το COBIT επιτρέπει με έμμεσο

τρόπο την ταξινόμηση των κινδύνων που απειλούν την επίτευξη των

επιχειρησιακών στόχων. Η ολική προσέγγιση του προτύπου η οποία στηρίζεται

σε στόχους ελέγχου που είναι κοινοί στους περισσότερους οργανισμούς, καθιστά

ελεγκτικές προσεγγίσεις που βασίζονται σε λίστες μηχανισμών ελέγχου

(checklists) παρωχημένες και ανεπαρκείς, αφού η εμπειρία έχει καταδείξει ότι οι

τελευταίες συνήθως προσθέτουν μηχανισμούς ελέγχου οι οποίοι είναι είτε μη

αναγκαίοι, είτε αποτυγχάνουν να μειώσουν τους κινδύνους σε αποδεκτά επίπεδα.

Ø Οι Οδηγίες Εφαρμογής προς τη Διοίκηση είναι γενικές και παρέχουν ευρέως

αποδεκτές βέλτιστες πρακτικές, ενώ σε καμία περίπτωση δεν απευθύνονται σε

συγκεκριμένες τεχνολογίες και υλοποιήσεις. Οι οργανισμοί που επιθυμούν να

εφαρμόσουν το πρότυπο, θα πρέπει σε πολλές περιπτώσεις να προσαρμόσουν

αυτό το γενικό σύνολο οδηγιών στο συγκεκριμένο περιβάλλον ΠΣ.



Σελ. 165

4.6 Άξονας 2: Το πρότυπο Διαχείρισης ΠΣ CIM

4.6.1 Εισαγωγή

Η διαχείριση πολλαπλών υποσυστημάτων σε κατανεμημένα ετερογενή περιβάλλοντα

αποτελεί πλέον ανάγκη αλλά και πραγματικότητα. Δεν είναι πλέον επαρκής η

μεμονωμένη διαχείριση προσωπικών υπολογιστών, υποδικτύων κλπ., αφού υπάρχουν

αυξημένες ανάγκες διασυνδεσιμότητας και παροχής υπηρεσιών πληροφορικής μέσα σε

έναν οργανισμό.

Ο οργανισμός Distributed Management Task Force (DMTF) ηγείται της ανάπτυξης, της

εφαρμογής καθώς και της ενοποίησης προτύπων και πρωτοβουλιών όσον αφορά στη

διαχείριση επιχειρησιακών και δικτυακών περιβαλλόντων. Ένα τέτοιο πρότυπο, το οποίο

δημιουργήθηκε για να καλύψει τις παραπάνω ανάγκες, είναι το Common Information

Model (CIM).

Το CIM είναι ένα εννοιολογικό πληροφοριακό μοντέλο, το οποίο χρησιμοποιείται για

την περιγραφή των υπολογιστικών και επιχειρησιακών οντοτήτων σε δικτυακά και

επιχειρησιακά περιβάλλοντα. Παρέχει έναν πλήρη ορισμό καθώς και μία συνεπή δομή

των δεδομένων, χρησιμοποιώντας αντικειμενοστραφείς τεχνικές. Περιλαμβάνει

διατυπώσεις για τα common elements, όπως είναι οι κλάσεις (classes), οι ιδιότητες

(properties), οι μέθοδοι (methods), οι συσχετίσεις (associations) κ.λπ. Το μοντέλο αυτό

χρησιμοποιεί ένα σύνολο από ορολογίες, οι οποίες σχετίζονται με τον

αντικειμενοστραφή προγραμματισμό. Ο τυπικός ορισμός του μοντέλου διατυπώνεται σε

αρχεία κειμένου με μια τυπική γλώσσα περιγραφής, τη Managed Object Format (MOF).

Το CIM είναι μία ιεραρχική, αντικειμενοστραφής αρχιτεκτονική. Αποτελεί ένα

πληροφοριακό μοντέλο, μία εννοιολογική όψη του περιβάλλοντος διαχείρισης που

προσπαθεί να ενοποιήσει τα ήδη υπάρχοντα μοντέλα (όπως το SNMP, το DMI, το CMIP

κ.λπ.) χρησιμοποιώντας αντικειμενοστραφή σχεδιασμό. Το μοντέλο αυτό δημιουργήθηκε

για την περιγραφή του συνόλου της πληροφορίας για τη διαχείριση ενός δικτυακού /

επιχειρησιακού περιβάλλοντος. Το μοντέλο CIM αποτελείται από δύο τμήματα: από την

Προδιαγραφή (Specification) και το Σχήμα (Schema). Η Προδιαγραφή καθορίζει τις

λεπτομέρειες για την ολοκλήρωση με άλλα διαχειριστικά μοντέλα, καθώς αποτελεί τη

γλώσσα και τη μεθοδολογία για την περιγραφή των δεδομένων διαχείρισης. Από την



Σελ. 166

άλλη πλευρά, το Σχήμα παρέχει τις πραγματικές περιγραφές του μοντέλου και έτσι

καθιστά δυνατή την περιγραφή των δεδομένων διαχείρισης, τα οποία προέρχονται από

διαφορετικούς σχεδιαστές και βρίσκονται σε διαφορετικές πλατφόρμες με μία κοινή

μορφοποίηση, έτσι ώστε να μπορούν να χρησιμοποιηθούν από ένα μεγάλο πλήθος

εφαρμογών διαχείρισης. Το Σχήμα περιλαμβάνει μοντέλα για τα συστήματα (Systems),

για τις εφαρμογές (Applications), για τα τοπικά δίκτυα (LAN) καθώς και για τις

συσκευές (Devices).

Στα επόμενα περιγράφονται συνοπτικά η Προδιαγραφή και το Σχήμα του CIM.

4.6.2 Προδιαγραφή του Μοντέλου CIM

Το CIM αποτελεί μία προσέγγιση για τη διαχείριση των συστημάτων και των δικτύων, η

οποία παρέχει τις βασικές κατασκευαστικές και εννοιολογικές τεχνικές για το

αντικειμενοστραφές παράδειγμα (paradigm). Η προσέγγιση αυτή χρησιμοποιεί έναν

ενιαίο φορμαλισμό μοντελοποίησης, που υποστηρίζει την ανάπτυξη του

αντικειμενοστραφούς Σχήματος.

Εικόνα 4.3: Αναπαράσταση Μοντέλου CIM με UML

Η Προδιαγραφή του μοντέλου CIM περιγράφει ένα μετά-μοντέλο, το οποίο βασίζεται

στη Unified Modeling Language (UML). Το μοντέλο αυτό περιλαμβάνει εκφράσεις

(expressions) για τα κοινά συστατικά (common elements π.χ. κλάσεις, ιδιότητες,

συσχετίσεις κ.λπ.), των οποίων η έννοια θα πρέπει να αποδοθεί σωστά σε επιχειρησιακές



Σελ. 167

εφαρμογές, σε συνδυασμό με τον επιχειρησιακό ρόλο (Business Purpose) του εν λόγω

συστατικού.

Η Προδιαγραφή καθορίζει επίσης την Managed Object Format (MOF) μία CIM γλώσσα

(που χρησιμοποιείται για το συντακτικό) και βασίζεται στην Interface Definition

Language (IDL) [ISO 14750, 1999]. Η Προδιαγραφή δεν περιγράφει συγκεκριμένες

εφαρμογές του CIM, προγραμματιστικές διεπαφές (APIs) ή επικοινωνιακά πρωτόκολλα.

Επίσης, η Προδιαγραφή δεν περιλαμβάνει τα Core και τα Common Models του μοντέλου

CIM. Τα μοντέλα αυτά παράγονται ανεξάρτητα από την CIM Προδιαγραφή.

4.6.3 CIM Μετα-Σχήμα (CIM Meta-Schema)

Το Μετα-Σχήμα του CIM αποτελεί τον τυπικό ορισμό του μοντέλου. Καθορίζει τους

όρους που χρησιμοποιούνται για τη διατύπωση του μοντέλου καθώς και για την

αναπαράσταση της σημασιολογίας του (Εικόνα 4.4).

Εικόνα 4.4: Το Μετα-Σχήμα του CIM

Τα συστατικά του μετά-Σχήματος είναι τα Σχήματα (Schemas), οι Κλάσεις (Classes), οι

Ιδιότητες (Properties), και οι Μέθοδοι (Methods). Το μοντέλο επίσης, αναπαριστά τις

Ενδείξεις (Indications) και τις Συσχετίσεις (Associations) ως τύπους των κλάσεων και τις

Αναφορές (References) ως τύπους των ιδιοτήτων.



Σελ. 168

4.6.4 CIM Σχήμα (CIM Schema)

Τα Σχήματα Διαχείρισης αποτελούν τα δομικά στοιχεία για τις πλατφόρμες και τις

εφαρμογές διαχείρισης. Το CIM είναι δομημένο με τέτοιο τρόπο, έτσι ώστε το

περιβάλλον διαχείρισης να μπορεί να θεωρηθεί σαν μία συλλογή από συσχετιζόμενα

συστήματα, καθένα από τα οποία αποτελείται από ένα αριθμό διακριτών στοιχείων. Το

CIM Σχήμα περιλαμβάνει ένα σύνολο από κλάσεις, ιδιότητες και συσχετίσεις μεταξύ

τους, το οποίο παρέχει ένα κατανοητό εννοιολογικό μοντέλο με τη βοήθεια του οποίου

είναι δυνατή η οργάνωση της διαθέσιμης πληροφορίας που αφορά στο περιβάλλον

διαχείρισης. Το CIM Σχήμα είναι ο συνδυασμός των Core και Common Models καθώς

και του Extension Schema, όπως απεικονίζεται στην Εικόνα 4.5).

Εικόνα 4.5 - Επίπεδα Μοντέλου CIM

Ø Core Model (Βασικό Μοντέλο): Περιλαμβάνει τις έννοιες που είναι εφαρμόσιμες

σε όλες τις περιοχές της διαχείρισης. Είναι ένα σύνολο από κλάσεις, συσχετίσεις

και ιδιότητες, οι οποίες παρέχουν ένα βασικό λεξικό για την περιγραφή των

διαχειριζόμενων συστημάτων.

Ø Common Models (Κοινά Μοντέλα): Πληροφοριακά μοντέλα, τα οποία

περιλαμβάνουν έννοιες που είναι κοινές για συγκεκριμένες περιοχές διαχείρισης

αλλά ανεξάρτητες από συγκεκριμένες τεχνολογίες ή εφαρμογές. Κάποια από τα

Common Models αφορούν Εφαρμογές (Apps), Βάσεις δεδομένων (Database),

Συσκευές (Device), Γεγονότα (Event), Πολιτικές (Policy), Χρήστες (Users), κ.α.

(βλ. και Εικόνα 4.6):



Σελ. 169

Εικόνα 4.6: Τα Κοινά Μοντέλα του CIM

Ø Extension Schema (Σχήμα Προέκτασης): Τα σχήματα προέκτασης αναπαριστούν

τεχνολογικές προεκτάσεις των Common Models. Τα σχήματα αυτά είναι

συγκεκριμένα για κάποια περιβάλλοντα όπως είναι τα λειτουργικά συστήματα.

Αναμένεται ότι τα Common Models θα εξελιχθούν σαν αποτέλεσμα της

σταδιακής προώθησης (promotion) των αντικειμένων και των ιδιοτήτων τους,

που έχουν καθοριστεί στα σχήματα προέκτασης.

Στα επόμενα περιγράφονται το Βασικό Μοντέλο, τα Κοινά Μοντέλα και τα Σχήματα

Επέκτασης.

4.6.4.1 Βασικό Μοντέλο (Core Model)

Το Βασικό Μοντέλο είναι αυτό στο οποίο καθορίζεται η βασική κατηγοριοποίηση για τα

βασικά συστατικά του διαχειριζόμενου περιβάλλοντος και για τις συσχετίσεις του. Η

ιεραρχία των κλάσεων ξεκινά με την αφηρημένη κλάση Managed Element, η οποία με τη

σειρά της έχει τις εξής υποκλάσεις: Managed System Element, Product, Setting and

Configuration, Collection and the Statistical Data classes, κλπ. Από τις κλάσεις αυτές του

Βασικού Μοντέλου, η προδιαγραφή επεκτείνεται σε μια σειρά κατευθύνσεων,

απευθυνόμενο με αυτόν τον τρόπο σε πολλές προβληματικές περιοχές και συσχετίσεις

μεταξύ των διαχειριζόμενων οντοτήτων.



Σελ. 170

Το Βασικό Μοντέλο χωρίζεται στις παρακάτω ενότητες:

Ø Qualifiers – οι ορισμοί των βασικών χαρακτηριστικών και (μετα)

χαρακτηριστικών των τύπων κλάσεων

Ø Core Elements – Οι έννοιες για τις βασικές κλάσεις του μοντέλου (π.χ.

ManagedElement, ManagedSystemElement, LogicalElement, System, Service, ...)

και βασικές συσχετίσεις κλάσεων (π.χ. Dependency, Component,

LogicalIdentity,...),

Ø Φυσικά Στοιχεία και Τοποθεσία (PhysicalElements & Location),

Ø Ταυτότητα Λογισμικού (SoftwareIdentity),

Ø Συσκευές – Η λογική λειτουργία, διαμόρφωση και κατάσταση του υλικού

(Devices - The "logical" function, configuration and state of hardware),

Ø Επεκτάσεις Αποθήκευσης (StorageExtents, υποκλάση του LogicalDevice),

Ø Πλεονάζουσα Πληροφορία Διαχείρισης (Redundancy Information, υποκλάση του

LogicalDevice – εναλλακτικά χρησιμοποιείται και για κατανομή φόρτου – load

balancing),

Ø Συλλογές (Collections),

Ø Προϊόν και FRUs (Product and FRUs),

Ø Στατιστικά (Statistics),

Ø Δυνατότητες – η υπερκλάση για την περιγραφή των διαφόρων δυνατοτήτων

συγκεκριμένων Διαχειριζόμενων Στοιχείων,

Ø Ρυθμίσεις και Προφίλ (Settings and Profiles),

Ø Παράμετροι Μεθόδων (Method Parameters),

Ø Διαχείριση Ισχύος (Power Management).

4.6.4.2 Κοινά Μοντέλα (Common Models)

Τα Κοινά Μοντέλα του CIM είναι τα ακόλουθα:

4.6.4.2.1 Μοντέλο Συστημάτων (Systems Model)

Το Μοντέλο Συστημάτων καθορίζει τα βασικά χαρακτηριστικά τα οποία έχουν σχέση με

τα διαχειριζόμενα συστήματα. Ένα διαχειριζόμενο σύστημα μπορεί να είναι ένα



Σελ. 171

λειτουργικό σύστημα, ένα σύστημα δικτύου, ένα σύστημα εφαρμογών. Στο μοντέλο αυτό

καθορίζεται η κλάση CIM_ManagedSystemElement, από την οποία πρέπει να

προκύπτουν μέσω κληρονομικότητας όλες οι κλάσεις του συστήματος,

συμπεριλαμβανομένων των κλάσεων που καθορίζουν τις υπηρεσίες, τα αρχεία του

συστήματος, τις διεργασίες κ.λ.π.

4.6.4.2.2 Μοντέλο Δικτύων (Networks Model)

Το Μοντέλο Δικτύων καθορίζει μία σειρά από κλάσεις, συσχετίσεις, μεθόδους και

ιδιότητες που αναπαριστούν τα χαρακτηριστικά ενός δικτυακού περιβάλλοντος. Τα

χαρακτηριστικά αυτά περιλαμβάνουν πρωτόκολλα, υπηρεσίες και την τοπολογία του

δικτύου.

4.6.4.2.3 Μοντέλο Συσκευών (Devices Model)

Το Μοντέλο Συσκευών καθορίζει τα φυσικά και τα λογικά συστατικά που υποστηρίζουν

το σύστημα. Παραδείγματα των κλάσεων που αποτελούν μέρος του μοντέλου των

συσκευών είναι οι κλάσεις: CIM_POTS Modem, CIM_Processor, CIM_Printer, και

CIM_DesktopMonitor.

4.6.4.2.4 Φυσικό Μοντέλο (Physical Model)

Το Φυσικό Μοντέλο δεν θα πρέπει να συγχέεται με το Μοντέλο Συσκευών. Το τελευταίο

καθορίζει ένα σύνολο από κλάσεις που υποστηρίζουν το διαχειριζόμενο σύστημα ενώ το

Φυσικό Μοντέλο αναπαριστά το φυσικό περιβάλλον. Κάθε διαχείριση ενός από τα

φυσικά συστατικά μέσα στο περιβάλλον του αποτελεί αποτέλεσμα της διαχείρισης ενός

σχετικού λογικού αντικειμένου. Καθώς το φυσικό μοντέλο αναπαριστά τα φυσικά

χαρακτηριστικά ενός συστήματος, οι κλάσεις που περιέχει θα διαφέρουν αισθητά,

ανάλογα με το σύστημα (για παράδειγμα: οι διαφορές μεταξύ της αρχιτεκτονικής ενός

HP Mainframe και ενός προσωπικού υπολογιστή). Οι κλάσεις αυτές προφανώς θα

αλλάζουν για να ακολουθούν τις εξελίξεις στην τεχνολογία.

4.6.4.2.5 Μοντέλο Εφαρμογών (Applications Model)

Το Μοντέλο των Εφαρμογών περιγράφει τις λεπτομέρειες που απαιτούνται για τη



Σελ. 172

διαχείριση ενός συνόλου εφαρμογών λογισμικού. Η ανομοιομορφία των εφαρμογών

αποτελεί παράγοντα, ο οποίος απαιτεί από το μοντέλο να είναι αρκετά ευέλικτο για να

περιγράφει κατανεμημένες εφαρμογές ή εφαρμογές που τρέχουν σε πολλές πλατφόρμες.

Το μοντέλο αυτό δανείζεται αρκετά στοιχεία από τον κύκλο ζωής του λογισμικού

εφαρμογών, ο οποίος περιγράφει τις διάφορες φάσεις του λογισμικού από τη στιγμή που

αγοράζεται μέχρι τη στιγμή που εκτελείται.

4.6.4.2.6 Μοντέλο Πολιτικών (Policy Model)

Το Μοντέλο Πολιτικής καθιστά δυνατή την αναπαράσταση και τη διαχείριση της

πολιτικής του οργανισμού από τους προγραμματιστές εφαρμογών (application

developers), τους διαχειριστές πολιτικής (policy administrators), και τους διαχειριστές

δικτύων (network administrators) ανάμεσα σε μία ποικιλία από τεχνικές περιοχές που

συμπεριλαμβάνουν την ασφάλεια, τα δίκτυα και τη διαχείριση συστημάτων.

4.6.4.2.7 Μοντέλο Υποστήριξης (Support Model)

Το Μοντέλο Υποστήριξης περιγράφει τα αντικείμενα και τα υπομοντέλα συναλλαγής

γνώσης που έχουν σχέση με υποστηρικτικές δραστηριότητες (Λύσεις – Solutions). Τα

υπομοντέλα των αντικειμένων και των συναλλαγών αναφέρονται ως Problem Resolution

Standards ή αλλιώς PRS.

4.6.4.2.8 Μοντέλο Χρηστών (User Model)

Το Μοντέλο Χρηστών παρέχει ένα σύνολο από σχέσεις μεταξύ των διαφορετικών

αναπαραστάσεων των χρηστών, των διαπιστευτηρίων τους και των διαχειριζόμενων

συστατικών του συστήματος που αναπαριστούν τους πόρους και τους διαχειριστές των

πόρων.

4.6.4.2.9 Μοντέλο Μετρικών (Metrics Model)

Το Μοντέλο Μετρικών καθορίζει τις κλάσεις που αναπαριστούν μία μονάδα εργασίας

και τις σχετικές μετρικές. Για παράδειγμα μία διεργασία εκτύπωσης, θα μπορούσε να

είναι μία μονάδα εργασίας και ο αριθμός των σελίδων προς εκτύπωση, η μετρική της.



Σελ. 173

4.6.4.2.10 Μοντέλο Διαλειτουργικότητας (Interop Model)

Το Μοντέλο Διαλειτουργικότητας καθορίζει τις αρχιτεκτονικές και τους μηχανισμούς

που επιτρέπουν στις WBEM εφαρμογές να λειτουργούν με έναν ανοιχτό και

συγκεκριμένο τρόπο. Οι εφαρμογές αυτές αποτελούν ένα σύνολο από διαχειριστικές και

δικτυακές τεχνολογίες που έχουν αναπτυχθεί για την ενοποίηση της διαχείρισης

επιχειρησιακών υπολογιστικών περιβαλλόντων (enterprise computing environments). Οι

εφαρμογές αυτού του είδους επιτρέπουν τη δημιουργία εργαλείων διαχείρισης των

δικτυακών τεχνολογιών [DMTF WBEM, 2006].

Επιπρόσθετα με τα παραπάνω μοντέλα υπάρχει και ένας αριθμός από υπομοντέλα που

συμπεριλαμβάνουν τα εξής:

Ø CIM Network Submodel—IPsec Policy Model. Καθορίζει τον αριθμό των CIM

προεκτάσεων που αναπαριστούν το μοντέλο των IP πολιτικών ασφάλειας.

Ø CIM Submodel—Storage Model. Καθορίζει τις λογικές συσκευές που έχουν

σχέση με την αποθήκευση των δεδομένων.

Ø CIM Device Submodel—Sensor Model. Καθορίζει τις επιπλέον ιδιότητες και τις

μεθόδους για τις κλάσεις CIM_Sensor και CIM_Numeric Sensor.

Ø CIM Device Submodel—Printer Model. Περιγράφει τη διαχείριση της

λειτουργικότητας και των πρωτοκόλλων που είναι απαραίτητα για τους

εκτυπωτές.

Ø CIM Submodel—Fault Tolerant Model. Καθορίζει έναν αριθμό από προεκτάσεις

ανεκτικότητας σφαλμάτων στο μοντέλο CIM.

Ø CIM System Submodel—Diagnostic Model. Περιγράφει περαιτέρω

χαρακτηριστικά που είναι απαραίτητα για την επιτυχή διάγνωση σε λειτουργικά

συστήματα που επεξεργάζονται παράλληλα πολλές διεργασίες.

Οι κλάσεις, οι ιδιότητες, οι συσχετίσεις και οι μέθοδοι στα Common Models παρέχουν

μία μοντελοποίηση των συστημάτων προς διαχείριση, η οποία είναι αρκετά λεπτομερής

για να χρησιμοποιηθεί σαν βάση για το σχεδιασμό και μερικές φορές για την υλοποίηση

ενός εκτεταμένου μοντέλου.



Σελ. 174

4.6.4.3 Σχήμα Προέκτασης (Extension Schema)

Με τη χρήση των προεκτάσεων (extensions), οι σχεδιαστές μπορούν να επεκταθούν από

τις κλάσεις και τις συσχετίσεις του βασικού τους μοντέλου σε ένα άλλο (συμβατικό με το

προηγούμενο), για να καλύψουν την περιοχή διαχείρισης που είναι σχετική με το θέμα

που πραγματεύονται. Ένα από τα πολλά πλεονεκτήματα του CIM είναι ότι αποτελεί μια

εκτενή και ξεκάθαρη γλώσσα μοντελοποίησης για την αναπαράσταση των

χαρακτηριστικών διαχείρισης.

Τα Σχήματα Προέκτασης (Extensions Schemas) αναπαριστούν τεχνολογικές προεκτάσεις

του Common Schema. Η προέκταση του CIM ή κάποιου άλλου σχήματος μπορεί να

αναφέρεται σε μια πλειάδα από θέματα, όπως:

Ø Συμπλήρωση μίας ιδιότητας σε μία ήδη υπάρχουσα κλάση ή υποκλάση του CIM,

Ø Συμπλήρωση μίας καινούριας κλάσης ή ενός συνόλου από κλάσεις στο CIM,

Ø Δημιουργία καινούριου σχήματος.

Παρακάτω παρατίθεται μία σειρά από τις μετατροπές που υποστηρίζονται στα σχήματα

βασισμένα σε CIM μερικές από τις οποίες μπορούν να επιφέρουν αλλαγές στη

συμπεριφορά της εφαρμογής που χρησιμοποιεί το σχήμα.

Ø Μια κλάση μπορεί να συμπληρωθεί ή να διαγραφεί από ένα σχήμα,

Ø Μία ιδιότητα μπορεί να συμπληρωθεί ή να διαγραφεί από μία κλάση,

Ø Μία κλάση μπορεί να προστεθεί σαν υποκλάση ή υπερκλάση μίας άλλης κλάσης,

Ø Μια μέθοδος μπορεί να προστεθεί σε μία κλάση, κ.λπ.

Στον καθορισμό της προέκτασης ενός σχήματος, ο σχεδιαστής αυτού αναμένεται να

εφαρμόσει τους περιορισμούς των κλάσεων που καθορίζονται στο Core Model.

Προτείνεται το κάθε συστατικό που προστίθεται στο σύστημα να ορίζεται σαν υποκλάση

μίας κλάσης του Core Model [DMTF CIM, 2003].

4.6.5 MOF (Meta-Object Facility)

Όπως αναφέρθηκε παραπάνω, ο τυπικός ορισμός του μοντέλου CIM διατυπώνεται με τη

βοήθεια της γλώσσας Managed Object File (MOF) που βασίζεται στην Interface



Σελ. 175

Definition Language (IDL) [ISO 14750, 1999]. Η MOF αποτελεί μία γενικότερη

υποδομή για την περιγραφή και την αναπαράσταση της μετά-πληροφορίας σε ένα

περιβάλλον CORBA. Σε αυτό το πλαίσιο, ο όρος μετα-πληροφορία καλύπτει

οποιαδήποτε πληροφορία, η οποία κατά μία έννοια περιγράφει άλλες πληροφορίες. Στις

πληροφορίες αυτές, εκτός των άλλων, συμπεριλαμβάνονται:

Ø Ορισμοί διεπαφής για αντικείμενα τύπου CORBA και COM,

Ø Τύποι υπηρεσιών για τον CORBA Trader,

Ø Μοντέλα και πληροφορία για τη διαχείριση projects για εργαλεία ανάπτυξης

λογισμικού, κ.λπ.

Η MOF έχει σχεδιαστεί με τέτοιο τρόπο, ώστε να μπορεί να υποστηρίζει διαφορετικά

είδη μετά-πληροφορίας. Αυτό έχει επιτευχθεί με τη διαχείριση της μετά-πληροφορίας

σαν να ήταν κανονική πληροφορία και με τη μοντελοποίηση του κάθε διακριτού είδους

πληροφορίας. Η προδιαγραφή MOF καθορίζει επίσης, μία IDL αντιστοίχηση που

επιτρέπει στα μοντέλα (που έχουν γραφτεί σε γλώσσα MOF) να μετατρέπονται σε

διαφορετικές διεπαφές CORBA. Το μοντέλο MOF βασίζεται στις έννοιες του μοντέλου

οντοτήτων – συσχετίσεων. Τα τρία κύρια χαρακτηριστικά για την κατασκευή του

μοντέλου της μετά-πληροφορίας είναι: τα Αντικείμενα – Objects (αναπαρίστανται από

τις MOF κλάσεις), οι Σχέσεις – Links μεταξύ των αντικειμένων (αναπαρίστανται από τις

MOF συσχετίσεις) και οι Τιμές – Data Values (περιγράφονται από τους CORBA IDL

τύπους). Τα (στιγμιότυπα) instances αυτών των δομών οργανώνονται σαν MOF Πακέτα

– Packages.

Η γραμματική του συντακτικού της MOF περιγράφεται στο notation, το οποίο έχει

καθοριστεί στο Augmented BNF για την Προδιαγραφή του Συντακτικού (Syntax

Specifications). Το συντακτικό της MOF αποτελεί τρόπο για την περιγραφή των ορισμών

των αντικειμένων σε μορφή κειμένου. Τα κυριότερα συστατικά της προδιαγραφής είναι

οι περιγραφές (σε κείμενο) των κλάσεων, των συσχετίσεων, των ιδιοτήτων, των μεθόδων

κ.λπ. Επίσης, επιτρέπονται τα σχόλια ενώ ένα αρχείο MOF μπορεί να γραφτεί είτε σε

Unicode είτε σε UTF-8 μορφή. Το αρχείο MOF απαρτίζεται βασικά από έναν αριθμό

κλάσεων και δηλώσεων στιγμιοτύπων (instance declarations [DMTF CIM, 2003]). Ο

Πίνακας 4.2 επιδεικνύει ένα παράδειγμα MOF για ορισμό μιας τάξης (class) και του



Σελ. 176

σχετικού στιγμιότυπου (instance).

Πίνακας 4.2: Ορισμός κλάσεων και στιγμιοτύπων στη MOF

Class Example Instance Example

[Version ("2.7.0"), Experimental,

Description (

"A CIM is a type of CIM_WBEMService

"

"that instruments one or more aspects of

the CIM Schema. "

"A CIM_Provider operates at the request

of the "

"CIM_ObjectManager to perform

operations on CIM objects. "

"The properties CreationClassName,

SystemCreationClassName "

"and SystemName can be set to empty

strings. In this case, "

"the CIM Object Manager must interpret

the properties with "

"the local system information.") ]

class CIM_Provider : CIM_WBEMService {

[Override ("Name"), Description (

"A human-readable name that uniquely

"

"identifies the provider within a

system.") ]

string Name;

instance of CIM_Provider {

Name =

"ACME_OperatingSystemProvider";

Handle =

"ACME_OperatingSystemProvider";

};

instance of CIM_ProviderCapabilities {

ClassName =

"CIM_OperatingSystem";

ProviderType = { 2 };

SupportedProperties = NULL;

SupportedMethods = NULL;

};



Σελ. 177

Class Example Instance Example

[Required, Description (

"An implementation specific string that

identifies the "

"handle to the provider.") ]

string Handle;};

4.7 Άξονας 3: Το Οντολογικό Μοντέλο Αναπαράστασης Γνώσης

4.7.1 Αναπαράσταση Γνώσης

Η γνώση (knowledge) είναι το βασικό όχημα για την κατανόηση και τελικά

αποτελεσματική διαχείριση κάθε συστήματος κατασκευασμένου από τον άνθρωπο. Η

κατανόηση του οποιουδήποτε γνωστικού πεδίου (domain) από τον άνθρωπο προϋποθέτει

την υιοθέτηση ορισμένων βασικών νοητικών κατασκευών (ή μοντέλων) με βάση τα

οποία οριοθετεί το αντικείμενο ενδιαφέροντος του προκειμένου να το μελετήσει.

Ορισμένες τέτοιες βασικές κατασκευές είναι οι οντότητες / αντικείμενα που υφίστανται

(και ταυτόχρονα προσδιορίζουν τα όρια) στο γνωστικό πεδίο, οι ιδιότητες και οι σχέσεις

μεταξύ τους, οι νόμοι ή αξιώματα που επικρατούν και οι τρόποι με τους οποίους το όλο

σύστημα μεταβαίνει από μια κατάσταση σε μια άλλη (state transition). Προκειμένου ο

άνθρωπος να αντιμετωπίσει την έμφυτη πολυπλοκότητα των γνωστικών χώρων με ένα

διαχειρίσιμο τρόπο που υποστηρίζει συνάμα την κατανόησή του, καταφεύγει στη

μοντελοποίηση των γνωστικών χώρων: από τη μια πλευρά απεμπολεί (πιθανά) τον πλήρη

πλούτο της υπάρχουσας πληροφορίας (που όμως είναι δύσκολο ή και αδύνατο να

διαχειριστεί), αλλά από τη άλλη βρίσκεται με ένα σύνολο προσεγγιστικών

αναπαραστάσεων με ιδιότητες, γνωρίσματα και σχέσεις που είναι διαχειρίσιμες και -

πολλές φορές- μετρήσιμες. Με τον ίδιο τρόπο, το γνωστικό πεδίο της ασφάλειας ΠΣ

υπόκειται στους ίδιους νόμους: προκειμένου να κατανοήσουμε το αυξημένης

πολυπλοκότητας γνωστικό πεδίο της ασφάλειας ΠΣ, καταφεύγουμε στην ατελή αλλά



Σελ. 178

διαχειρίσιμη αναπαράσταση της γνώσης ασφάλειας. Προχωρώντας ένα βήμα ακόμη,

μπορούμε με ασφάλεια να υποθέσουμε ότι τα συστήματα που ενσωματώνουν «ευφυή»

συμπεριφορά θα μπορούν να αποκτήσουν μεγαλύτερο και ουσιαστικότερο έλεγχο πάνω

στις αλλαγές των καταστάσεών τους συγκριτικά με τα συστήματα που θα συνεχίσουν να

βασίζονται μόνο στην ανθρώπινη παρέμβαση και διαχείριση.

Η αναπαράσταση της γνώσης λοιπόν είναι ένας κρίσιμος παράγοντας για τη

βιωσιμότητα ενός συστήματος, συμπεριλαμβανομένων και των ΠΣ. Ένας ορισμός της

Αναπαράστασης Γνώσης είναι ο εξής:

«Αναπαράσταση Γνώσης είναι ο τομέας της επιστήμης που ασχολείται με τη χρήση

επίσημων συμβόλων για την αναπαράσταση συνόλων από κατηγορήματα» [Stergiou and

Vouros, 2003].

Η Αναπαράσταση Γνώσης έχει πέντε διακριτούς ρόλους (για μια περαιτέρω ανάλυση, ο

αναγνώστης παραπέμπεται στο [Μιχαηλίδου, 2004]):

Ρόλος 1ος: Η αναπαράσταση γνώσης είναι μία αναπλήρωση.

Ρόλος 2ος: Η αναπαράσταση γνώσης είναι ένα σύνολο οντολογικών δεσμεύσεων.

Ρόλος 3ος: Η αναπαράσταση γνώσης είναι μία αποσπασματική θεωρία ευφυούς

συλλογισμού.

Ρόλος 4ος: Η αναπαράσταση γνώσης είναι ένα μέσο για αποδοτικό υπολογισμό.

Ρόλος 5ος: Η αναπαράσταση γνώσης είναι ένα μέσο για την ανθρώπινη έκφραση.

4.7.2 Σημασιολογικός Ιστός και Οντολογίες

Το αυξανόμενο ενδιαφέρον για την αναπαράσταση γνώσης ενισχύεται και από την

εξέλιξη του Σημασιολογικού Ιστού (Semantic Web), όπου:

«…Ο Σημασιολογικός Ιστός αποτελεί μία προέκταση του υπάρχοντος ιστού, στον οποίο η

πληροφορία έχει ένα καλά ορισμένο νόημα, πράγμα το οποίο επιτρέπει στους υπολογιστές

και στους ανθρώπους να επικοινωνούν καλύτερα.» [Berners-Lee et al., 2001].

Το βασικό συστατικό μίας τυπικά αποτυπωμένης γνώσης είναι η αντιληπτικότητα

(conceptualization), δηλ. η «εικόνα» που προσλαμβάνεται για τα αντικείμενα, τις έννοιες

και τις οντότητες που υπάρχουν σε ένα γνωστικό πεδίο καθώς και στις σχέσεις αυτών.

Κατά τον Gruber, μια οντολογία είναι «…ένας τυπικός και ρητός προσδιορισμός μιας

κοινής αντιληπτικότητας» (”Ontology is a formal, explicit specification of a shared



Σελ. 179

conceptualization”) [Gruber 1993]. O όρος είναι δανεισμένος από την φιλοσοφία, όπου

μία Οντολογία είναι η συστηματική περιγραφή μίας ύπαρξης. Μία οντολογία αποτελείται

από ένα λεξιλόγιο όρων/εννοιών, μία ερμηνεία αυτών (πιθανοί ορισμοί) καθώς και από

την αποτύπωση των σχέσεων μεταξύ των όρων αυτών.

Οι οντολογίες χωρίζονται σε τέσσερις μεγάλες κατηγορίες. Ακολουθούν κατά σειρά από

το γενικό προς το ειδικό [Παπαγιαννακόπουλος, 2004]:

Ø Οντολογίες Ανώτατου Επιπέδου (Top-level ontologies): Ασχολούνται με έννοιες

όπως ο χώρος, ο χρόνος, γεγονότα (στην αφηρημένη έννοιά τους). Σκοπός τους

είναι η μοντελοποίηση των εννοιών αυτών έτσι ώστε να χρησιμοποιούνται σε

διαφορετικά πεδία ορισμού (domains) με τον ίδιο τρόπο (π.χ. εργασίες από το

ANSI X3T2 Ad Hoc Group on Ontology).

Ø Οντολογίες Γνωστικών Πεδίων (Domain ontologies): Οι συγκεκριμένες

οντολογίες όπως είναι φανερό και από το όνομά τους, χρησιμοποιούνται για να

περιγράψουν τυπικά τα αντικείμενα και τις σχέσεις τους σε ένα πεδίο εφαρμογής

(ή αλλιώς σε ένα κομμάτι του πραγματικού κόσμου). Είναι δημοφιλείς σε πεδία

εφαρμογής όπως η μοριακή βιολογία, η αρχαιολογία κ.α. Συνήθως αποτελούν μία

προέκταση των Οντολογιών Ανώτατου Επιπέδου.

Ø Οντολογίες Λειτουργιών (Task ontologies): Οι οντολογίες λειτουργιών

ασχολούνται με τις διεργασίες που λαμβάνουν χώρα σε ένα συγκεκριμένο πεδίο

εφαρμογής (λ.χ. μετακίνησης, δανεισμού, συντήρησης, εισαγωγής, διαγραφής,

συντήρησης αντικειμένων) και γενικά διαχειριστικών λειτουργιών. Και αυτές με

την σειρά τους αποτελούν προέκταση των Οντολογιών Ανώτατου Επιπέδου,

χρησιμοποιώντας τις Οντολογίες Γνωστικών Πεδίων για αναφορές στα

αντικείμενα που διαπραγματεύονται.

Ø Οντολογίες Εφαρμογής (Application ontologies): Η τελευταία κατηγορία

οντολογιών είναι στην ουσία η εξειδίκευση όλων των παραπάνω κατά τέτοιο

τρόπο έτσι ώστε να λύσει τυχόν προβλήματα επικοινωνίας σε μία συγκεκριμένη

ομάδα ανθρώπων. Χρησιμοποιείται κατά κύριο λόγο ως «ενδιάμεσος» μεταξύ

ανομοιογενών λογισμικών, που όμως έχουν με το ίδιο πεδίο ορισμού.

Οι οντολογίες χρησιμοποιούνται ευρέως για τους επόμενους λόγους:



Σελ. 180

Ø Για τον διαμοιρασμό μίας κοινής αντίληψης που υπάρχει μεταξύ ανθρώπων με

διαφορετική κουλτούρα αλλά και μεταξύ διαφορετικών συστημάτων.

Ø Για την επαναχρησιμοποίηση γνώσης.

Ø Για την εξάλειψη των ασαφειών σχετικά με τους όρους και έννοιες που έχουν

νόημα σε ένα γνωστικό πεδίο εφαρμογής (domain)

Ø Για να υπάρχει μία κοινή ανάλυση της γνώσης και εξαγωγή κοινών

συμπερασμάτων από διαφορετικές ομάδες χρηστών.

Κάποιες δημοφιλείς εφαρμογές των οντολογιών είναι:

Ø Επικοινωνία: είτε μεταξύ μεμονωμένων ατόμων είτε μεταξύ οργανισμών

Ø Διαδραστικότητα μεταξύ συστημάτων υπολογιστών: μετάφραση των μεθόδων

μοντελοποίησης, κωδικοποίηση πληροφοριών από το ένα σύστημα στο άλλο κ.α.

Ø Τεχνολογία Λογισμικού: Στον τομέα της επαναχρησιμοποίησης κώδικα όπου

τυπικές αποτυπώσεις μεθόδων και εργαλείων μπορούν εύκολα να υιοθετηθούν

από καινούργιες ομάδες προγραμματιστών, στον τομέα της αξιοπιστίας όπου

έλεγχοι συνέπειας αλλά και συνοχής του κώδικα μπορούν να γίνουν ευκολότερα,

αλλά και στον τομέα των απαιτήσεων όπου μπορούν να βοηθήσουν τον αναλυτή

να αποτυπώσει τις απαιτήσεις σε μία τυπική μορφή απολύτως κατανοητή και

χωρίς ασάφειες για τον προγραμματιστή.

4.7.2.1 Τεχνικές αποτύπωσης οντολογιών

Οι οντολογίες είναι πολύ δημοφιλείς στην επιστημονική κοινότητα στον τομέα της

αναπαράστασης της γνώσης, κάτι που οδήγησε στη δημιουργία ενός μεγάλου αριθμού

τεχνικών αποτύπωσης οντολογιών. Στην ενότητα αυτή αναφέρονται η εξέλιξη των

σημαντικότερων τεχνικών, τα πλεονεκτήματα και τα μειονεκτήματα που παρουσιάζει η

κάθε μία και επισημάνσεις σχετικά με τις αρχές σχεδίασης για κάθε γλώσσα. Τα

πλεονεκτήματα και τα μειονεκτήματα εστιάζονται κατά κύριο λόγο στα σχεδιαστικά

κριτήρια που έχει προτείνει ο οργανισμός W3C [W3C, 2006], τα οποία είναι [Heflin,

2004]:

Ø Ο Διαμοιρασμός Οντολογιών (Ontology Sharing),



Σελ. 181

Ø Η Εξέλιξη των Οντολογιών (Ontology Evolution),

Ø Η Διαλειτουργικότητα μεταξύ Οντολογιών (Ontology Interoperability),

Ø Η Ανίχνευση Ασυνεπειών (Inconsistency Detection),

Ø Ισορροπία μεταξύ Εκφραστικότητας και Επεκτασιμότητας (Balance of

Expressivity and Scalability)

Ø Η Ευκολία στην Χρήση (Ease of Use),

Ø Η Συμβατότητα με άλλα Πρότυπα (Compatibility with other Standards), και

Ø Η Διεθνοποίηση – Υποστήριξη πολλών γλωσσών (Internationalization).

4.7.2.2 Γλώσσες Αναπαράστασης Οντολογιών

Οι πιο διαδεδομένες γλώσσες του σημασιολογικού ιστού (Semantic Web) είναι η RDF, η

RDFS, η OIL, η DAML+OIL, και η OWL. Οι γλώσσες αυτές δεν είναι ανεξάρτητες

μεταξύ τους, αλλά υπάρχει μία αρχιτεκτονική στρωμάτων (βλ. Σχήμα 4.6). Στο κατώτερο

επίπεδο βρίσκεται η XML [Bray et al., 2000] η οποία χρησιμοποιείται για το συντακτικό

όλων των υπερκείμενων γλωσσών. Η υπερκείμενη γλώσσα της XML, η RDF (Resource

Description Framework) [Lassila and Swick, 1999], είναι μία απλή γλώσσα για

αναπαράσταση μεταδεδομένων. Η RDF χρησιμοποιείται για σκοπούς υπομνηματισμού

(annotation) πηγών του Web. Αμέσως μετά σε όρους εκφραστικότητας βρίσκεται η

RDFS (RDF Schema) [Brickley and Guha, 2000], η οποία, όπως αναφέρει και το όνομά

της, μπορεί να χρησιμοποιηθεί για δημιουργία σχημάτων που ορίζουν έννοιες καθώς και

τις πιθανές σχέσεις που υπάρχουν μεταξύ των εννοιών, ενώ κάνει χρήση των

κατασκευών της RDF. Ένα επίπεδο πιο πάνω (από το επίπεδο αυτό και στη συνέχεια οι

γλώσσες οντολογιών αναφέρονται σαν “λογικές” γλώσσες) βρίσκεται η OIL [Fensel et

al., 2000], [Fensel et al., 2001] και η DAML [Hendler and McGuinness, 2000], [DAML,

2004]. Η OIL (Ontology Inference Layer) αποτελεί μία γλώσσα με ισχυρή εκφραστική

δύναμη για την δημιουργία οντολογιών. Η OIL αποτελεί μία προσπάθεια της αγγλικής

επιστημονικής κοινότητας. Ταυτόχρονα, η αμερικανική επιστημονική κοινότητα

παρουσίασε την DAML (DARPA Agent Markup Language).



Σελ. 182

Σχήμα 4.6: Η Αρχιτεκτονική του Σημασιολογικού Ιστού κατά Berners-Lee

Η πλέον πρόσφατη έκδοση και των δύο γλωσσών είναι η DAML+ OIL [DAML+OIL,

2001], η συνένωση των δύο γλωσσών σε μία προσπάθεια δημιουργίας μίας ισχυρής

γλώσσας που εκμεταλλεύεται τα πλεονεκτήματα των δύο γλωσσών. Τέλος, στο

τελευταίο επίπεδο βρίσκεται η OWL [Dean et al., 2004] – ίσως η ισχυρότερη μεταξύ των

γλωσσών. Παρακάτω ακολουθεί μία ανάλυση για την κάθε γλώσσα ξεχωριστά

[Παπαγιαννακόπουλος, 2004].

RDF / RDF (S): Η πρώτη εξέλιξη στην προσπάθεια αποτύπωσης της γνώσης μετά την

απλούστατη XML ήταν η RDF (Resource Description Framework) [Lassila and Swick,

1999]. Η RDF αποτελεί στην ουσία επέκταση της XML. Η εκφραστική δύναμή της είναι

αρκετά περιορισμένη και οι συμπερασματικές της ικανότητες δεν είναι οι ισχυρότερες

μεταξύ των διαφορετικών γλωσσών, παρέχοντας έτσι έναν περιορισμένο

συμπερασματικό μηχανισμό κατάλληλο μόνο για ελέγχους περιορισμών (constraint

checking). Η RDF εξελίχθηκε στην RDF-S [Brickley and Guha, 2000] η οποία παρέχει

δυνατότητες ορισμού ενός σχήματος, κάτι το οποίο δεν υπήρχε στην απλή RDF. Το

γεγονός αυτό και σε συνδυασμό με την πληθώρα εργαλείων και παραδειγμάτων που

βρίσκονται διαθέσιμα στο κοινό, καθιστούν την γλώσσα πολύ διαδεδομένη. Οι RDF /

RDF (S) υποστηρίζουν πολλές φυσικές γλώσσες και είναι συμβατή με την HTML, της

οποίας θεωρείται ότι είναι υπερσύνολο (superset). H επιστημονική κοινότητα ασχολείται

με την περαιτέρω ανάπτυξη και βελτίωσή της.

OIL: Η εκφραστική δύναμη της OIL αποτελεί ισχυρό πλεονέκτημα έναντι της RDFS. Οι

συμπερασματικές ικανότητες που προσφέρει, παρέχουν ελέγχους συνέπειας για τα



Σελ. 183

αντικείμενα της οντολογίας, ευκολία στην διασύνδεση ξεχωριστών οντολογιών καθώς

και εντοπισμό τυχόν υπονοούμενων σχέσεων μεταξύ των αντικειμένων [Fensel et al.,

2000], [Fensel et al., 2001]. Η OIL επιτρέπει μερικώς την δημιουργία κανόνων

απεικόνισης32 των αντικειμένων. Επιπλέον, υποστηρίζει διάφορες φυσικές γλώσσες

γεγονός που την καθιστά φιλική και εύχρηστη για τον χρήστη, ενώ υπάρχουν αρκετά

σχετικά εργαλεία καθώς και αρκετό υλικό με αναλυτικά παραδείγματα δημόσια

προσβάσιμο. Όσον αφορά στην συμβατότητα η OIL είναι βασισμένη στη Description

Logics όσο και στην F-Logic (Frame Based Logics). Η Description Logics περιγράφει τις

σχέσεις που μπορεί να υπάρχουν μεταξύ στιγμιοτύπων (instances) των τάξεων μίας

οντολογίας. Η F-Logic αποτελεί στην ουσία μεταφορά των αρχών του

αντικειμενοστραφούς προγραμματισμού στο χώρο των οντολογιών, δηλ. παρέχει

δυνατότητες κληρονομικότητας και ιεραρχίας των τάξεων. Κάτι που αξίζει να σημειωθεί

είναι το γεγονός ότι το βασικό τμήμα της OIL συμπίπτει με αυτό της RDFS εκτός από

την δυνατότητα αναπαράστασης αφηρημένων κλάσεων, κάτι που δεν παρέχει η OIL, η

οποία δεν αναπτύσσεται πλέον.

DAML+OIL: Οι συμπερασματικοί μηχανισμοί (inference mechanisms) που παρέχει

είναι αρκετά χρήσιμοι σε περιπτώσεις κοινής χρήσης οντολογιών. Όσον αφορά στην

διαλειτουργικότητα, η DAML+OIL επιτρέπει δημιουργία περιορισμένων κανόνων

αποτύπωσης. Οι συμπερασματικοί μηχανισμοί στηρίζονται περισσότερο στις

δυνατότητες Description Logics ενώ η εκφραστική της δύναμη είναι αρκετά βελτιωμένη

σε σχέση με τους προγόνους της. Είναι αρκετά εύκολη στην χρήση και σε ότι αφορά τη

συμβατότητα με άλλες γλώσσες Σημασιολογικού Ιστού, παρέχει σημαντικές ευκολίες

μιας και υποστηρίζει πλήρως XML και RDF σχήματα[DAML+OIL, 2001].

OWL: H OWL, όπως προαναφέρθηκε, αποτελεί την πιο πρόσφατα αναπτυγμένη γλώσσα

σημασιολογικού ιστού. Υπάρχουν τρεις εκδόσεις της γλώσσας αυτής [OWL, 2004a],

[OWL, 2004b] (Lite, DL και Full) ανάλογα με τις απαιτήσεις του εκάστοτε μοντέλου.

32 Οι κανόνες απεικόνισης βοηθούν στην αντιστοίχηση εννοιών του πραγματικού κόσμου (έννοιες από ένα

λεξικό, από μία βάση δεδομένων κ.ο.κ.) με τις τάξεις της οντολογίας.



Σελ. 184

Κάθε μία από τις παρακάτω εκδόσεις αποτελεί προέκταση του προγόνου της. Έτσι, η

OWL Full αποτελεί υπερσύνολο της OWL DL, η οποία με την σειρά της αποτελεί

υπερσύνολο της OWL Lite.

Ø OWL Lite: Η απλούστερη έκδοση από τις τρεις συνολικά της OWL. Η OWL Lite

υποστηρίζει μία απλή δημιουργία ιεραρχίας τάξεων καθώς και τον προσδιορισμό

των μεταξύ τους σχέσεων. Επιπλέον μπορούν να οριστούν περιορισμοί μόνο όσον

αφορά στο κομμάτι του πλήθους των στιγμιότυπων των τάξεων (πλήθος 0 ή 1). Η

έκδοση αυτή χρησιμοποιείται κατά κύριο λόγο σε συστήματα όπου το μέγεθος

της οντολογίας δεν είναι μεγάλο, καθώς και σε απλές ταξινομίες αλλά και

θησαυρούς.

Ø OWL DL: Ίσως η πιο διαδεδομένη έκδοση της OWL. Υποστηρίζει πιο

απαιτητικούς χρήστες οι οποίοι θέλουν να εκμεταλλευτούν στο μέγιστο την

εκφραστική δύναμη της OWL, χωρίς όμως να θυσιάσουν την υπολογιστική

πληρότητα (όλες οι συνεπαγωγές είναι εγγυημένο ότι μπορούν να υπολογιστούν)

και την πολυπλοκότητα (όλες οι υπολογισμοί θα τελειώσουν σε κάποιο

πεπερασμένο διάστημα χρόνου) των μηχανισμών αιτιολόγησης. Η συγκεκριμένη

έκδοση της OWL βασίζεται σε Description Logics, από όπου πήρε και το όνομά

της (DL).

Ø OWL Full: Η τελευταία έκδοση της OWL αποτελεί το πληρέστερο αλλά και

συνάμα πιο πολύπλοκο κομμάτι της. Απευθύνεται σε απαιτητικούς χρήστες οι

οποίοι απαιτούν ισχυρή εκφραστική δύναμη και ταυτόχρονα την πλήρη

συντακτική ελευθερία της RDF (όπως ήδη έχει αναφερθεί, η OWL έχει

δημιουργηθεί βάση του συντακτικού της RDF). Το μεγάλο της μειονέκτημα

έγκειται στο γεγονός ότι δεν παρέχει υπολογιστικές εγγυήσεις. Συνήθως

χρησιμοποιείται για μεγάλου μεγέθους οντολογίες, όπως οι Οντολογίες Ανώτατου

Επιπέδου (Top-Level Ontologies), είτε Οντολογίες Γνωστικών Πεδίων (Domain

Ontologies) (όπως αυτές ορίστηκαν στην παράγραφο 4.7.2) όταν το εύρος του

γνωστικού πεδίου είναι αρκετά μεγάλο (λ.χ. ιατρικές οντολογίες πρωτεϊνών).

Το βασικό μειονέκτημα της OWL Full είναι το γεγονός ότι δεν είναι ακόμη ώριμη

γλώσσα (βρίσκεται ακόμα υπό ενεργή ανάπτυξη), και σε συνδυασμό με την πλούσια



Σελ. 185

εκφραστική δύναμη της (που όμως είναι πολύ κοστοβόρα), καθιστά δύσκολη την εύρεση

ενός αιτιολογικού λογισμικού που θα μπορεί να υποστηρίξει πλήρως τις δυνατότητες της

γλώσσας.

4.8 Άξονας 4: Εξαγωγή Πληροφοριών και Έμπειρα Συστήματα

Σε αυτή την ενότητα παρατίθενται βασικά στοιχεία για δύο γνωστικές περιοχές που

παίζουν σημαντικό ρόλο στην παρούσα διατριβή, δηλαδή: α) την εξαγωγή πληροφοριών

μέσα από επεξεργασία φυσικής γλώσσας (ενότητα 4.8.1) και β) εξαγωγή παραγωγικών (ή

επαγωγικών) συμπερασμάτων με χρήση έμπειρων συστημάτων (ενότητα 4.8.2).

4.8.1 Εξαγωγή Πληροφοριών

Η μέθοδος που παρουσιάζεται χρησιμοποιεί τεχνικές από δύο μεγάλους κλάδους της

επιστήμης των υπολογιστών, της Επεξεργασίας Φυσικής Γλώσσας (Natural Language

Processing, NLP) και της Εξαγωγής Πληροφοριών (Information Extraction, IE).

Με τον όρο φυσική γλώσσα εννοείται το σύνολο των λέξεων ή φράσεων που

χρησιμοποιούνται από τους ανθρώπους για την προφορική ή γραπτή τους επικοινωνία. Η

επεξεργασία φυσικής γλώσσας ορίζεται ως η χρήση των υπολογιστών για επεξεργασία

προφορικής ή γραπτής γλώσσας για κάποιο πρακτικό λόγο, όπως μετάφραση κειμένου,

εξαγωγή πληροφοριών από τον Παγκόσμιο Ιστό, διεξαγωγή διαλόγων είτε με ανθρώπους

είτε με μηχανές, και πολλές άλλες εφαρμογές. Πιο εξειδικευμένες εφαρμογές

περιλαμβάνουν για παράδειγμα την απόφαση ενός υπολογιστή για το αν δύο άρθρα σε

διαφορετικές εφημερίδες είναι το ένα αντιγραφή του άλλου. Σε αυτές τις περιπτώσεις ο

υπολογιστής πρέπει να είναι σε θέση να κατανοήσει (με κάποιο τρόπο) το νόημα του

κειμένου, διαδικασία πιο σύνθετη από τις προαναφερθείσες.

Πιο αναλυτικά ο τομέας του NLP περιλαμβάνει :

Σύνθεση ομιλίας: Η σύνθεση ομιλίας αποτελεί ένα από τους βασικούς τομείς του NLP.

Οι περιπτώσεις όπου ο στόχος είναι απλά η δημιουργία προτάσεων που να έχουν νόημα

για τους ανθρώπους θεωρούνται σχετικά απλές. Όμως σε καταστάσεις όπου πρέπει να

δημιουργηθούν προτάσεις βάση κάποιας προηγούμενης έτσι ώστε να υπάρχει

αλληλουχία νοημάτων θεωρούνται εξαιρετικά δύσκολες λόγω της μεγάλης

πολυπλοκότητας της ανθρώπινης γλώσσας αλλά και της ανθρώπινης σκέψης (μεταφορές,



Σελ. 186

ιδιωματισμοί κ.α.)

Αναγνώριση ομιλίας: Στην ουσία ο διαχωρισμός ενός συνεχόμενου κύματος ήχου σε

λέξεις. Ίσως ο πιο προχωρημένος τομέας στον κλάδο της επεξεργασίας φυσικής

γλώσσας. Πολλά πακέτα φωνητικής πληκτρολόγησης διατίθενται ήδη στο εμπόριο. Τα

συστήματα αυτά μπορούν να διαχωριστούν ανάλογα με το αν απαιτούν εκπαίδευση από

τον χρήστη προκειμένου να αναγνωρίζουν προσωπικούς τόνους και άλλα γνωρίσματα

ομιλίας, ή αν είναι ανεξάρτητα από την εκάστοτε φωνή.

Κατανόηση Ομιλίας: Σε πολλές περιπτώσεις η αναγνώριση ομιλίας συγχέεται με την

κατανόησή της. Στόχος του τομέα αυτού είναι η απόδοση του σωστού νοήματος των

λέξεων και όχι η απλή μετατροπή τους από κάποιο ηχητικό σήμα σε μία άλλη μορφή

αναπαράστασης όπως γίνεται στην αναγνώριση ομιλίας. Ο υπολογιστής πρέπει να είναι

σε θέση ανάλογα με την δομή της πρότασης αλλά και ανάλογα με την χρήση των λέξεων

να αντιλαμβάνεται μεταφορές, ιδιωματισμούς και άλλα.

Ανάκτηση Πληροφοριών: Η Ανάκτηση Πληροφοριών (Information Retrieval – IR)

είναι ο κλάδος του NLP που ασχολείται με την αναζήτηση πληροφοριών σε έγγραφα, με

αναζήτηση αυτούσιων εγγράφων σχετικά με ένα συγκεκριμένο θέμα και με την

αναζήτηση μεταδεδομένων. Επιπλέον ασχολείται με την αναζήτηση πληροφοριών σε

βάσεις δεδομένων που περιεχόμενά τους μπορεί να είναι εικόνες, ήχος, ή και κείμενα.

Εξαγωγή Πληροφοριών: Η Εξαγωγή Πληροφοριών (Information Extraction – IE) είναι

ένας κλάδος της Ανάκτησης Πληροφοριών. Στόχος της είναι η αυτόματη εξαγωγή

δομημένων ή ημιδομημένων πληροφοριών από κείμενα αναγνώσιμα από υπολογιστές.

Μία πολύ βασική εφαρμογή του IE είναι η σάρωση πλήθους εγγράφων σε φυσική

γλώσσα και η αποθήκευση των εξαγομένων πληροφοριών σε βάση δεδομένων. Τεχνικές

Εξαγωγής Πληροφοριών θα χρησιμοποιηθούν στα επόμενες ενότητες.

Πιο αναλυτικά μπορούμε να πούμε ότι η IR απλά βρίσκει κείμενα από διάφορες πηγές

και τα παρουσιάζει στον χρήστη. Οι τυπικές IE εφαρμογές αναλύουν ένα κείμενο και

παρουσιάζουν μόνο τις πληροφορίες που θέλει να δει ο χρήστης. Σύμφωνα με τον

Cunningham [Cunningham, 1999], η Εξαγωγή Πληροφοριών ορίζεται ως «η διαδικασία

της οποίας είσοδος είναι κείμενα σε φυσική γλώσσα και έξοδός της είναι δεδομένα σε

συγκεκριμένη μορφή και μη-διφορούμενα». Τα δεδομένα αυτά μπορούν απευθείας να

παρουσιαστούν για επίδειξη στον χρήστη ή μπορούν να αποθηκευτούν για περαιτέρω



Σελ. 187

ανάλυση ή να χρησιμοποιηθούν για ευρετηριακούς λόγους σε εφαρμογές Ανάκτησης

Πληροφοριών.

Υπάρχουν πέντε περιοχές εξαγωγής πληροφοριών που βρίσκονται υπό ενεργό έρευνα

(όπως αυτά καθορίστηκαν από το μεγαλύτερο forum στον τομέα αυτό, το Message

Understanding Forum):

Ø Named Entity Recognition (NE): Εύρεση και ταξινόμηση ονομάτων,

τοποθεσιών και άλλων γνωστών οντοτήτων και εννοιών.

Ø Coreference Resolution (CO): Αναγνώριση των σχέσεων μεταξύ των οντοτήτων

που βρέθηκαν από την ΝΕ.

Ø Template Element Construction (ΤΕ): Συλλογή περιγραφικών πληροφοριών

που σχετίζονται με τα αποτελέσματα της NE (χρησιμοποιώντας την CO) και

συλλέγονται σε ένα σταθερό πρότυπο (template).

Ø Template Relation Construction (TR): Εύρεση σχέσεων μεταξύ των οντοτήτων

του ΤΕ.

Ø Scenario Template Production (ST): Αντιστοιχίζει τα αποτελέσματα των ΤΕ

και TR σε συγκεκριμένα σενάρια γεγονότων.

4.8.2 Έμπειρα Συστήματα

Τα έμπειρα συστήματα έχουν χρησιμοποιηθεί παραδοσιακά για την αυτοματοποίηση

διαδικασιών ανάλυσης που προϋποθέτουν κάποιο είδος συμπερασματικού συλλογισμού

(deductive reasoning). Σύμφωνα με τον ορισμό που δίνεται στο [Βλαχάβας κ.α., 2002],

ένα έμπειρο σύστημα είναι «ένα πρόγραμμα υπολογιστή το οποίο κωδικοποιεί και

χειρίζεται τη γνώση και τη συλλογιστική ενός ανθρώπου – ειδικού σε έναν εξειδικευμένο

τομέα, με σκοπό την επίλυση προβλημάτων, ή / και την παροχή συμβουλών στον

συγκεκριμένο τομέα». Ένα έμπειρο σύστημα διαχωρίζει την γνώση που έχει για το

γνωστικό πεδίο (την οποία αποθηκεύει σε μια βάση γνώσης) από τη μεθοδολογία

εξαγωγής συμπερασμάτων, γεγονός το οποίο δίνει μεγάλη ευελιξία και επιτρέπει την

συνεχή επέκταση τόσο της βάσης γνώσης, όσο και της μεθοδολογίας εξαγωγής

συμπερασμάτων.

Αναλυτικότερα, ένα έμπειρο σύστημα αποτελείται συνήθως από [Τριποδιανός, 2005]:



Σελ. 188

Ø Βάση Γνώσης (Knowledge Base): Αποτελείται από δυο τμήματα:

i. Στατική βάση γνώσης: Εδώ καταγράφονται με την μορφή κανόνων

(συνήθως) οι περιγραφές της γνώσης που χρειάζεται στον χώρο του

προβλήματος. Ονομάζεται στατική επειδή δεν αλλάζει κατά την διάρκεια

εκτέλεσης του προγράμματος.

j. Δυναμική βάση γνώσης: Περιέχει τα μερικά συμπεράσματα που

προκύπτουν κατά την εκτέλεση του προγράμματος, καθώς και την τελική

λύση του προβλήματος. Ονομάζεται και μνήμη εργασίας (working

memory).

Ø Κέλυφος Έμπειρου Συστήματος (Expert System Shell): Περιλαμβάνει τους

μηχανισμούς που αξιοποιούν την βάση γνώσης και είναι το λειτουργικό κομμάτι

του προγράμματος. Αποτελείται από:

k. Γεννήτρια εξαγωγής συμπερασμάτων (inference engine): Είναι ο πυρήνας

του συστήματος. Χρησιμοποιεί τους κανόνες της στατικής βάσης γνώσης,

καθώς και την τρέχουσα κατάσταση που υπάρχει στην δυναμική βάση

γνώσης, για να εξάγει συμπεράσματα.

l. Σύστημα επεξήγησης (προαιρετικό): Εξηγεί στον χρήστη τον λόγο για τον

οποίο εξάγει κάθε συμπέρασμα.

m. Επεξεργαστής βάσης γνώσης (προαιρετικό): Παρέχει ένα εύχρηστο τρόπο

εισαγωγής της γνώσης στη βάση.

n. Διεπαφή χρήστη: Ο μηχανισμός με τον οποίο αλληλεπιδρά το κέλυφος με

τον χρήστη.

Ο τύπος της γνώσης που αποθηκεύεται στην στατική βάση γνώσης είναι ένα άλλο

σημαντικό θέμα. Ο διαχωρισμός της γνώσης που χρησιμοποιείται συνήθως είναι αυτός

μεταξύ Άμεσης (Explicit) και Έμμεσης (Implicit) γνώσης [Τριποδιανός, 2005] και

[Polanyi, 1962]:

Ø H άμεση γνώση περιγράφεται με κανόνες, μοντέλα και μεθόδους, ενώ

Ø Η έμμεση γνώση περιλαμβάνει νοητικά μοντέλα και εμπειρίες του ατόμου.

Το έμπειρο σύστημα μπορεί να ενσωματώσει και να επεξεργαστεί μόνο άμεση γνώση –

με την αξιοποίηση όμως ενός ειδικού του συγκεκριμένου γνωστικού αντικειμένου, καθώς



Σελ. 189

και ενός μηχανικού γνώσης, είναι εφικτό να εκμαιευτεί τμήμα της έμμεσης γνώσης του

ειδικού και να τυποποιηθεί ως άμεση γνώση. Για την αξιοποίηση ενός τέτοιου

συστήματος απαιτείται μια μοντελοποίηση της κατάστασης του συστήματος, αλλά και

κυρίως, της γνώσης των ειδικών (μηχανικών ασφάλειας στην συγκεκριμένη περίπτωση).

4.9 Πηγές Γνώσης περί Ασφάλειας ΠΣ

Ο ειδικός ασφάλειας έχει στη διάθεσή του μια σειρά από πηγές γνώσης περί ασφάλειας

οι οποίες επηρεάζουν τις αποφάσεις για την υλοποίηση των αντιμέτρων και που

σχετίζονται άμεσα ή έμμεσα με το συγκεκριμένο ΠΣ [Tsoumas et al., 2005]. Άμεσες

πηγές αποτελούν οι σχετικές πολιτικές ασφάλειας του οργανισμού, συμβάσεις παροχής

επιπέδου υπηρεσιών (Service Level Agreements, SLAs), και πληροφορίες για την

τεχνική υποδομή του ΠΣ (τοπολογίες δικτύων, λεπτομέρειες τεχνοδιαμόρφωσης,

προσφερόμενες υπηρεσίες από το ΠΣ, σημεία παροχής υπηρεσιών). Από την άλλη μεριά,

παραδείγματα έμμεσων πηγών αποτελούν τα πρότυπα διαχείρισης κινδύνων, οι βέλτιστες

πρακτικές σε τεχνικό επίπεδο, τα τεχνικά δελτία και ανακοινώσεις ασφάλειας από τους

κατασκευαστές (security advisories), οι ειδικευμένοι σε ασφάλεια δικτυακοί τόποι

(security portals), οι σχετικές λίστες Ηλ. Ταχυδρομείου και οι κατάλογοι ευπαθειών όπως

η Common Vulnerabilities and Exposures (CVE)33. Σε αυτές τις πηγές θα πρέπει να

προστεθούν και οι αποφάσεις που λαμβάνονται σε διοικητικό / επιχειρησιακό επίπεδο

(π.χ. «…τα συστήματα πληροφορικής θα πρέπει να υποστηρίζουν το τμήμα πωλήσεων…»),

οι οποίες σε ένα χαμηλότερο (και σαφέστερο) επίπεδο ενδέχεται να εγείρουν θέματα

ασφάλειας (π.χ. «η εφαρμογή των πωλήσεων πρέπει να είναι προσβάσιμη από τους

συνεργάτες πωλητές με κινητούς υπολογιστές (laptops) μέσω ασύρματων συνδέσεων κατά

τη διάρκεια του εργασιακού ωραρίου».

33 http://cve.mitre.org

http://cve.mitre.org



Σελ. 190

Εικόνα 4.7: Μια ταξινόμηση των Πηγών Γνώσης Ασφάλειας (Πηγή: [Tsoumas et al., 2005] )

IS Relevance

Am

bigu

ity

High

HighLow

Low

Organization Policy

SLARisk Analysis (RA) output

Infrastructure Information

Stakeholders’ Decisions

Security and Risk Management

Standards

Technical Best Practices, Security Mailing Lists, Security Advisories

Vulnerability Catalogues (CVE)

Περαιτέρω, αυτές οι πηγές πληροφοριών για την ασφάλεια μπορούν να ταξινομηθούν με

βάση ένα αριθμό από άλλα κριτήρια όπως τη σαφήνεια της περιεχόμενης πληροφορίας,

το βαθμό εξειδίκευσης για το συγκεκριμένο περιβάλλον ΠΣ, τη φύση της περιεχόμενης

πληροφορίας, το Εύρος Εφαρμογής Του Αντίμετρου (Domain Of Applicability, βλ. και

ενότητα 5.5.4) ανάλογα με το σύνολο των πληροφοριακών πόρων που το αντίμετρο

εφαρμόζεται, κ.α. Η Εικόνα 4.7 απεικονίζει μια ταξινόμηση των βασικών πηγών γνώσης

για την ασφάλεια με βάση τα δύο πρώτα κριτήρια, δηλ. α) το βαθμό ασάφειας της

περιεχόμενης πληροφορίας (ambiguity of contained information) και β) το βαθμό

εξειδίκευσης για το συγκεκριμένο περιβάλλον ΠΣ (relevance to the specific IS

environment). Η θέση των εν λόγω πηγών γνώσης ασφάλειας εκφράζει μέχρι ένα βαθμό

τόσο τη μεγάλη ποικιλία ως προς το επίπεδο της σαφήνειας, όσο και την παρουσία

πληροφοριών οι οποίες ναι μεν είναι σαφείς, αλλά είναι άσχετες με τις συγκεκριμένες

τεχνολογίες που αναφέρεται η πηγή – κάτι τέτοιο είναι συνηθισμένο φαινόμενο στα

μηνύματα των λιστών ασφάλειας και υπογραμμίζει την ποικιλία των τεχνολογιών που

περιγράφονται μέσα από αυτά τα μηνύματα.

Επιπρόσθετα, κάθε τέτοια πηγή πληροφοριών έχει κάποια ιδιαίτερα γνωρίσματα, όπως



Σελ. 191

διαφορετικό ακροατήριο που απευθύνεται, επίπεδο λεπτομέρειας, έλλειψη κοινά

αποδεκτής δομής, έλλειψη κοινά αποδεκτής ταξινόμησης και αποδεκτής αποτίμησης /

«βαθμολογίας» όσον αφορά την ποιότητα των πληροφοριών, κλπ.).

Από τα παραπάνω συνάγεται ότι η εγγενής πολυπλοκότητα, ο διαφορετικός τρόπος

αναπαράστασης και η ποικιλία του χαρακτήρα των διαφορετικών πηγών πληροφορίας,

δυσχεραίνει σημαντικά το έργο του ειδικού ασφάλειας. Η προτεινόμενη προσέγγιση που

οργανώνει αυτή την πλούσια, αλλά αδόμητη γνώση, υποστηρίζει το έργο του ειδικού

ασφάλειας και μπορεί να αποτελέσει ένα πολύτιμο βοηθό για τη λειτουργική πλευρά της

διαχείρισης ασφάλειας των ΠΣ.

Η συνολική προσέγγιση της έρευνας και οι επιμέρους φάσεις της αναλύονται στην

επόμενη ενότητα.

4.10 Η Συνολική Εικόνα και οι Φάσεις της Προσέγγισης

Η προτεινόμενη προσέγγιση για τη ΔΑΠΣ μέσω του καθορισμού εφαρμόσιμων

αντιμέτρων στους πόρους του ΠΣ συνδυάζει μια σειρά από μεθοδολογίες και τεχνικές

όπως παρουσιάστηκαν παραπάνω (ενότητες 4.5 έως και 4.8). Σε αυτή την ενότητα θα

δοθεί η γενική εικόνα της προσέγγισης (η πρωτόλεια σύλληψη της οποίας παρατίθεται

στο [Tsoumas and Tryfonas, 2004]), ενώ ανάλυση των σημαντικότερων στοιχείων της θα

γίνει σε επόμενες ενότητες. Συνοπτικά προτείνεται η θεμελίωση ενός συστήματος ΔΑΠΣ

που στηρίζεται σε οντολογίες, απομονώνει τις απαιτήσεις ασφάλειας από τις πρακτικές

τους υλοποιήσεις και εκμεταλλεύεται μια σειρά από πηγές πληροφοριών ασφάλειας

προκειμένου να εντοπίσει τα προτεινόμενα αντίμετρα που θα εφαρμοστούν τελικά στους

πόρους του ΠΣ. Η συνολική προσέγγιση απεικονίζεται στο Σχήμα 4.7 (σελ. 195), όπου οι

αριθμοί υπονοούν σειρά εκτέλεσης των βημάτων. Ο διακεκομμένος κύκλος συμβολίζει

επανάληψη των σχετικών ενεργειών έως ότου ένα αποδεκτό αποτέλεσμα (σ.σ.

απαιτήσεις ασφάλειας) είναι εφικτό. Οι φάσεις έχουν ως εξής (σε παρένθεση οι αριθμοί

των βημάτων από το Σχήμα 4.7 που αντιστοιχούν σε κάθε φάση):

Φάση Α (Βήμα 1): Ανάπτυξη της Οντολογίας Ασφάλειας για το συγκεκριμένο ΠΣ.

I. Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ: συλλέγονται



Σελ. 192

τεχνικά χαρακτηριστικά των πόρων του ΠΣ (όπως τοπολογία δικτύου, λειτουργικά

συστήματα, διαθέσιμες υπηρεσίες και θύρες), με τη χρήση ανιχνευτών δικτύου όπως

το nmap [Fyodor, 2006].

II. Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας: δημιουργία στιγμιοτύπων

των κατάλληλων εννοιών της οντολογίας και πλήρωσή τους με τα δεδομένα που

συλλέχθηκαν από το βήμα I μέσω API κλήσεων των Protégé [Protégé 2005] και

Protégé-OWL [Protégé-OWL, 2006].

Φάση Β (Βήματα 2, 3 και 4): Συλλογή και Αξιολόγηση των Απαιτήσεων Ασφάλειας.

III. Εξαγωγή απαιτήσεων ασφάλειας από τις δηλώσεις υψηλού επιπέδου: επεξεργασία της

εξόδου της ΑΕ (αντίμετρα ασφάλειας), πολιτικών ασφάλειας με χρήση λεκτικών

αναλυτών και τεχνικών Εξαγωγής Πληροφορίας με χρήση εργαλείων όπως το GATE

[Cunningham et al., 2002]. Τα στιγμιότυπα της οντολογίας από τη Φάση Α

συμπληρώνονται με τα δεδομένα που προκύπτουν από αυτό το βήμα. Το αποτέλεσμα

αυτού του βήματος είναι μια οντολογία ασφάλειας που περιέχει τις απαιτήσεις

ασφάλειας που περιγράφονται από τις δηλώσεις υψηλού επιπέδου (βλ. και βήμα V).

IV. Συλλογή επιχειρησιακών απαιτήσεων από τη Διοίκηση: οι διοικητικές αποφάσεις που

άπτονται (άμεσα ή έμμεσα) με τα ΠΣ, συλλέγονται και αξιολογούνται όσον αφορά

κατ’ αρχήν την εφικτότητα (feasibility) και κατόπιν την επίδραση (impact) που

επιφέρει η πραγματοποίησή τους στο ΠΣ. Αυτές οι αποφάσεις που κατευθύνονται

από επιχειρησιακούς σκοπούς και στόχους, έχουν δύο κύριους άξονες / μοχλούς

πίεσης: α) την αύξηση της λειτουργικότητας και β) το θεσμικό / κανονιστικό πλαίσιο

λειτουργίας του οργανισμού. Αυτές οι αποφάσεις ενδέχεται να επηρεάσουν

δραματικά τις απαιτήσεις ασφάλειας του ΠΣ λόγω των αλλαγών που (πιθανά)

επιφέρουν σε τεχνολογικές υποδομές, διαδικασίες λειτουργίας και οργανωτικές

δομές. Για παράδειγμα, η επιχειρησιακή απαίτηση «οι πωλητές με φορητούς

υπολογιστές (laptops) θα πρέπει να έχουν ασύρματη πρόσβαση στην εφαρμογή

πωλήσεων κατά τη διάρκεια του Σαββατοκύριακου», ενδέχεται να επηρεάσει

σημαντικά τόσο θέματα τοπολογίας δικτύων (γιατί θα πρέπει να δημιουργηθεί ένας

αντιπρόσωπος / proxy ο οποίος θα πρέπει να τεθεί στο DMZ δίκτυο του οργανισμού



Σελ. 193

και να χειρίζεται τις αιτήσεις των πωλητών), τεχνοδιαμορφώσεων των σχετικών

συσκευών (θα πρέπει να αλλάξουν οι ρυθμίσεις των δρομολογητών/αναχωμάτων),

διαδικασιών και ρόλων (θα πρέπει να δημιουργηθούν διαδικασίες ελέγχου της

πρόσβασης, και περιοδικού ελέγχου της αποτελεσματικότητας των μέτρων), και

άλλες πιθανές επιπτώσεις που δεν αναφέρονται εδώ λόγω χώρου. Συμπερασματικά

λοιπόν, οι διοικητικές αποφάσεις θα πρέπει να εκτιμηθούν σωστά και να

συνυπολογιστούν στην όλη διαδικασία διαχείρισης ασφάλειας του ΠΣ. Το

αποτέλεσμα αυτού του βήματος είναι ένα σύνολο υποψήφιων απαιτήσεων ασφάλειας

που αξιολογούνται περαιτέρω στο επόμενο βήμα (V). Οι εν λόγω απαιτήσεις

μπορούν να εισαχθούν στην οντολογία μέσω κατάλληλα διαμορφωμένης διεπαφής.

V. Παρουσίαση των επεξεργασμένων απαιτήσεων ασφάλειας σε μια κοινή Ομάδα Ελέγχου

που απαρτίζεται από μέλη της Διοίκησης και Ειδικούς Ασφάλειας για αξιολόγηση και

δέσμευση: οι απαιτήσεις ασφάλειας που προκύπτουν από τα παραπάνω βήματα

συνδυάζουν τόσο τις επιχειρησιακές ανάγκες, όσο και τις απαιτήσεις της διαχείρισης

κινδύνων ΠΣ. Εάν κριθεί απαραίτητο, οι απαιτήσεις ασφάλειας τυγχάνουν περαιτέρω

επεξεργασίας ενώ σε περίπτωση που οι απαιτήσεις θεωρούνται ανεπαρκείς (λόγω

ελλιπούς πληροφορίας, ποιότητας των πληροφοριών εισόδου, αισθήματος

ανασφάλειας της Ομάδας Ελέγχου), τα αντίμετρα συμπληρώνονται από μια Βάση

Προτύπων Διαχείρισης Κινδύνων ΠΣ, η οποία ουσιαστικά παρέχει έτοιμα αντίμετρα

προς χρήση στη μορφή που απαιτείται από την προσέγγιση (βλ. ενότητα 6.5 για μια

συζήτηση σχετικά με τη μορφή και τις ιδιότητες των αντιμέτρων). Το αποτέλεσμα

αυτού του βήματος είναι μια οντολογία ασφάλειας που περιγράφει τις απαιτήσεις

ασφάλειας του ΠΣ (βλ. ενότητα 5.5.3 και Κεφάλαιο 6 για μια υλοποίηση).

Φάση Γ (Βήματα 5 και 6): Καθορισμός των Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ).

VI. Αντιστοίχηση των Απαιτήσεων Ασφάλειας («ΤΙ») με Τεχνικά Μέτρα Υλοποίησης

(«ΠΩΣ»): με χρήση των πληροφοριών που έχουν προκύψει από τα βήματα (I)-(V),

ένας αλγόριθμος αντιστοιχίζει τις απαιτήσεις ασφάλειας (που έχουν συλλεχθεί στην

ΟΑ) με τα τεχνικά μέτρα υλοποίησης (από τη βάση Τεχνικών Μέτρων Υλοποίησης –

ΤΜΥ). Η βάση ΤΜΥ περιέχει εξειδικευμένα αντίμετρα ανά τεχνολογική πλατφόρμα,



Σελ. 194

τα οποία είναι έτοιμα προς εφαρμογή στους πόρους του ΠΣ (σ.σ. τα στιγμιότυπα της

οντολογίας διαθέτουν την απαραίτητη πληροφορία για την διάκριση μεταξύ των

διαφορετικών τεχνολογιών από το βήμα (Ι). Το αποτέλεσμα αυτού του βήματος είναι

ένα σύνολο από άμεσα εφαρμόσιμα ΤΜΥ στους πόρους του ΠΣ. Εάν απαιτείται

περαιτέρω επεξεργασία, τότε εκτελείται το επόμενο βήμα (VII).

VII. [Προαιρετικό] Εξειδίκευση των Τεχνικών Μέτρων Υλοποίησης: Σε

περίπτωση που απαιτείται περαιτέρω εξειδίκευση των τεχνικών μέτρων που

επιλέχτηκαν στο βήμα (VI), εκτελείται μια διαδικασία εξειδίκευσης των ΤΜΥ η

οποία καταλήγει σε ένα σύνολο Ν εγγραφών της μορφής (Αγαθόi, Ενέργεια1,…,

Ενέργειαm) όπου Ν είναι το σύνολο των αγαθών που έχει προσδιοριστεί κατά την ΑΕ,

1≤ i ≤ Ν και m ο αριθμός των ατομικών Πράξεων (Actions) που υλοποιούν τις

απαιτήσεις ασφάλειας για το αγαθό Αγαθόi.

VIII. Μετατροπή των εφαρμόσιμων πράξεων σε μορφή συμβατή με πλαίσια

διαχείρισης συστημάτων: οι πράξεις που προσδιορίστηκαν μετατρέπονται σε είσοδο

κατάλληλη για διατάξεις και πλαίσια διαχείρισης συστημάτων βάσει πολιτικών

(policy – based management systems), τα οποία επιβάλλουν πολιτικές σε πόρους του

υποκείμενου ΠΣ (βλ. και ενότητα 3.7). Το αποτέλεσμα αυτού του βήματος είναι η

μορφοποιημένη είσοδος σε ένα πλαίσιο διαχείρισης συστημάτων όπως το σύστημα

Ponder (ενότητα 3.7.5, [Damianou et. al, 2001]), το οποίο μπορεί να τροφοδοτηθεί με

τα αποτελέσματα του βήματος VII μέσω ενός κατάλληλου μηχανισμού μετάφρασης

και διεπαφής [Damianou, 2002b], [Westerinen and Schott, 2004].

Φάση Δ (Βήμα 7): Διαχρονική Επίβλεψη Εφαρμογής και Επανεκτίμηση των

Απαιτήσεων Ασφάλειας.

IX. Εφαρμογή των ΤΜΥ στο ΠΣ: με τη βοήθεια του πλαισίου διαχείρισης συστημάτων οι

ρυθμίσεις που υλοποιούν τις απαιτήσεις ασφάλειας εφαρμόζονται στους πόρους του

ΠΣ.

X. Επανάληψη από το Βήμα I σε περιοδική βάση: προκειμένου οι απαιτήσεις ασφάλειας

και τα σχετικά ΤΜΥ να παραμένουν επικαιροποιημένα και ευθυγραμμισμένα με τις

αλλαγές των πληροφοριακών συστημάτων και των εκάστοτε πολιτικών / ασκήσεων



Σελ. 195

ΑΕ, η όλη διαδικασία επαναλαμβάνεται σε μια περιοδική βάση.

Σχήμα 4.7: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες – Ολική Προσέγγιση

Διοίκηση / Ιδιοκτήτες

Έξοδος ΑΕ , Πολιτική

Ασφάλειας, ...

Server FarmWeb Server

Client

Database

Wireless LANPrinter

Router

Client

Client

Πληροφορία ΤεχνικήςΥποδομής

Πληροφορίες ΑσφάλειαςΥψηλού Επιπέδου

ΔιοικητικήΠληροφορία

ΒέλτιστεςΠρακτικές

Οντολογία Ασφάλειας

ΔομημένηΠληροφορίαΑσφάλειας

ΕξαγωγήΠληροφορι

ών

ΑπαιτήσειςΑσφάλειας

(“ΤΙ”)

ΤεχνικέςΥλοποιήσεις

(“ΠΩΣ”)

Πλαίσιο Εφαρμογής Αντιμέτρων

ΕφαρμόσιμαΤεχνικάΑντίμετρα

ΕφαρμόσιμαΑντίμετρα

1

2

3 4

Εξειδίκευση Τεχνικών Αντιμέτρων

ΕπιλεγμέναΤεχνικάΑντίμετρα

5 5

6

7

ΣυνδυασμόςΑπαιτήσεων

& Υλοποιήσεων

Βάση Τεχνικών Αντιμέτρων

Βάση Προτύπων ΔιαχείρισηςΚινδύνων ΠΣ

4.11 Μέθοδοι, Τεχνικές και Εργαλεία

Στην παρούσα ενότητα συνοψίζονται οι βασικές μέθοδοι, τεχνικές και εργαλεία που

χρησιμοποιήθηκαν για την υλοποίηση των φάσεων της προτεινόμενης προσέγγισης

ΔΑΠΣ, όπου απαιτείται. Ο Πίνακας 4.3 καταγράφει τις βασικές μεθόδους, τεχνικές και

εργαλεία που χρησιμοποιήθηκαν ανά φάση (η Φάση / Βήμα «Προετοιμασία»

περιλαμβάνει και τις δραστηριότητες κατά το σχεδιασμό και ανάπτυξη της γενικής



Σελ. 196

οντολογίας ασφάλειας, που καλύπτεται στο Κεφάλαιο 5).

Πίνακας 4.3: Διαχείριση Ασφάλειας ΠΣ με Οντολογίες - εργαλεία ανά φάση

Φάση / Βήμα Ενέργεια Εργαλεία και τεχνικές

Προετοιμασία Εννοιολογικό μοντέλο

οντολογίας ασφάλειας

Συνεργατική προσέγγιση για

σχεδίαση οντολογιών

[Holsapple and Joshi, 2002]

Προετοιμασία Σχεδίαση οντολογίας

ασφάλειας

UML (Unified Model

Language) [OMG UML,

2001]

Προετοιμασία Επεξεργασία οντολογιών Επεξεργαστής οντολογιών

Protégé [Protégé 2005]

Προετοιμασία Υποστήριξη συμπερασματικών

μηχανισμών και ελέγχων

ορθότητας οντολογίας

RACER reasoner [RACER,

2006]

I Ανίχνευση δικτύου για τον

εντοπισμό πληροφοριών

σχετικά με τους πόρους του ΠΣ

nmap [Fyodor, 2006],

Netstumbler [Netstumbler,

2006], GFi LANguard

[GFiLANguard, 2006]

I Επεξεργασία της εξόδου των

εργαλείων ανίχνευσης δικτύου

Nmap::Parser module σε Perl

[Persaud, 2005]

II Επεξεργασία οντολογιών Επεξεργαστής οντολογιών

Protégé [Protégé 2005]

II Προγραμματισμός με

βιβλιοθήκες οντολογιών

Protégé API [Protégé 2005],

Protégé-OWL API [Protégé-



Σελ. 197

OWL, 2006]

II, III Υποστήριξη συμπερασματικών

μηχανισμών και ελέγχων

ορθότητας οντολογίας

RACER reasoner [RACER,

2006]

II, III Λογικοί κανόνες οντολογίας Γεννήτρια κανόνων SWRL

[Protégé-OWL, 2006]

I, II, III, VI, VII Προγραμματισμός σε Java και

Perl

Eclipse IDE [Eclipse, 2006]

III Λεκτική ανάλυση αντιμέτρων

υψηλού επιπέδου

GATE (a General

Architecture for Text

Engineering) [Cunningham et

al., 2002], [Cunningham et al.,

2006] – API και IDE.

III Γεννήτρια ανίχνευσης

προτύπων (pattern matching)

JAPE (a Java Annotation

Patterns Engine)

[Cunningham et al., 2002]

II, III, VII Εξειδίκευση ΤΜΥ JESS (Java Expert Shell

System) [Friedman-Hill,

2005]

VI, VII Σχεσιακή βάση δεδομένων για

αποθήκευση των ΤΜΥ

MS Access

Στις επόμενες παραγράφους θα παρουσιαστούν τα τρία βασικά εργαλεία που

χρησιμοποιήθηκαν με σκοπό την υλοποίηση της μεθόδου που προαναφέρθηκε στην

ενότητα 4.10, δηλ. α) το Protégé από το πανεπιστήμιο του Stanford για επεξεργασία



Σελ. 198

οντολογιών, β) το GATE (a General Architecture for Text Engineering) από το

πανεπιστήμιο του Sheffield για λεκτική ανάλυση των αντιμέτρων υψηλού επιπέδου και

γ) το JESS, από τα εργαστήρια Sandia National Laboratories34 για διενέργεια

παραγωγικών συλλογισμών (deductive reasoning). Ακολουθεί μία βασική περιγραφή των

τριών εργαλείων.

4.11.1 Ο Επεξεργαστής Οντολογιών Protégé

Το Protégé είναι καρπός ενός επιστημονικού προγράμματος του Stanford για τη

δημιουργία ενός λογισμικού που θα μπορεί να διαχειρίζεται ιατρικά δεδομένα και να

μπορεί να παρέχει απαντήσεις σε σχετικά ερωτήματα, όπως για παράδειγμα σύνδεση

συγκεκριμένων συμπτωμάτων με μια ασθένεια. Ταυτόχρονα όμως η αποτύπωση της

τυπικής γνώσης έπρεπε να γίνει κατά τέτοιο τρόπο ώστε να μπορεί να υπάρξει ένα κοινό

πλαίσιο ορισμών έτσι ώστε να είναι δυνατή η επέκταση του μοντέλου από οποιονδήποτε

ενδιαφερόμενο, κάτι το οποίο παρέχεται από τις οντολογίες. Η ερευνητική κοινότητα

υιοθέτησε την προσέγγιση και έτσι το Protégé άρχισε να χρησιμοποιείται για την

δημιουργία και επεξεργασία οντολογιών και άλλων τύπων, πέραν των ιατρικών

[Παπαγιαννακόπουλος, 2004].

Το Protégé, διαθέτει εύχρηστη γραφική διεπαφή και ένα ολοκληρωμένο περιβάλλον

ανάπτυξης (Integrated Development Environment, IDE) η οποία καθιστά την χρήση του

σχετικά εύκολη. Η γραφική διεπαφή είναι βασισμένη στις καρτέλες (tabs) η οποία

επιτρέπει στον χρήστη:

Ø Να δημιουργήσει και να διαχειριστεί ένα μοντέλο οντολογίας, το οποίο

αποτελείται από έννοιες (τάξεις) που περιγράφουν ένα ορισμένο πεδίο γνώσης. Η

οντολογία όπως ήδη έχει αναφερθεί (βλ. ενότητα 4.7), ορίζει ένα σύνολο από

έννοιες καθώς και τις μεταξύ τους σχέσεις,

34 http://www.sandia.gov/

http://www.sandia.gov/



Σελ. 199

Ø Να δημιουργήσει ένα εργαλείο για την διαχείριση της γνώσης που αφορά στο

συγκεκριμένο πεδίο εφαρμογής. Το εργαλείο αυτό βοηθά τους ειδικούς μίας

περιοχής γνώσης να εισάγουν και να διαμοιράζουν την γνώση τους με εύκολο

τρόπο. Οι ειδικοί εισάγουν στιγμιότυπα των τάξεων / εννοιών στην οντολογία

(μαζί με ιδιότητες και σχέσεις μεταξύ των τελευταίων), τα οποία στην συνέχεια

μπορούν να χρησιμοποιηθούν για την επίλυση προβλημάτων.

Ø Να δημιουργήσει και να εκτελέσει εφαρμογές, οι οποίες αποτελούν και το τελικό

προϊόν που δημιουργείται όταν η οντολογία χρησιμοποιείται για την επίλυση

προβλημάτων, για την δημιουργία έμπειρων συστημάτων κ.α.

Ένα ακόμη μεγάλο πλεονέκτημα του Protégé είναι το γεγονός ότι είναι ανεξάρτητο από

συγκεκριμένες πλατφόρμες, καθότι έχει υλοποιηθεί σε Java και είναι ανοιχτού κώδικα.

Το τελευταίο χαρακτηριστικό προσδίδει στο Protégé ένα ακόμη πλεονέκτημα (πιθανά το

πιο σημαντικό) που είναι η επεκτασιμότητα από τον εκάστοτε χρήστη: ο τελευταίος έχει

τη δυνατότητα να προσθέσει λειτουργικότητα με την συγγραφή κώδικα και την

ενσωμάτωσή του στο Protégé (plugins). Ταυτόχρονα το Protégé, παρέχει

προγραμματιστική διεπαφή (API – Application Programming Interface) γεγονός που το

καθιστά εύκολο και στην ενσωμάτωσή του από άλλες εφαρμογές. Έτσι ενώ αρχικά η

αποτύπωση των οντολογιών γινόταν μόνο σε μία μορφή (συγκεκριμένη μορφή του

πυρήνα του Protégé), τώρα είναι δυνατή η αποτύπωση οντολογιών σε RDF, XML αλλά

και OWL (για μια συζήτηση σχετικά με τους τρόπους αναπαράστασης οντολογιών βλ.

ενότητα 4.7.2 αλλά και [Μιχαηλίδου, 2004], [Παπαγιαννακόπουλος, 2004]).

Για την υλοποίηση της μεθόδου χρησιμοποιήθηκε η έκδοση 3.2 beta του Protégé (build

324) σε συνδυασμό με το OWL plug-in (version 2.2). Η γραφική διεπαφή του Protégé

χρησιμοποιήθηκε για την δημιουργία της οντολογίας, ενώ στην συνέχεια μέσω της

προγραμματιστικής διεπαφής (API), τόσο του Protégé όσο και του OWL plug-in, έγινε

εφικτός ο συνδυασμός των δυνατοτήτων του Protégé με το GATE, το οποίο

περιγράφεται συνοπτικά στην επόμενη παράγραφο.

4.11.2 Το Περιβάλλον GATE

Η εξαγωγή πληροφοριών ασφάλειας έγινε μέσω λεκτικής ανάλυσης των αντιμέτρων



Σελ. 200

υψηλού επιπέδου. Αρωγός σε αυτή την προσπάθεια είναι το εργαλείο GATE (General

Architecture for Text Engineering), από το πανεπιστήμιο του Sheffield [Cunningham et

al., 2002], [Cunningham et al., 2006] το οποίο έχει χρησιμοποιηθεί σε ένα πλήθος

ερευνητικών δραστηριοτήτων αλλά και λοιπών έργων [Maynard et al., 2000]35. Η πρώτη

έκδοση του GATE έγινε διαθέσιμη το 1996 και χρησιμοποιήθηκε σε αρκετές εφαρμογές

λεκτικής ανάλυσης αλλά κυρίως σε εφαρμογές εξαγωγής γνώσης (Information

Extraction) [Cunningham, 1999], [Appelt, 1999].

Το GATE είναι «…μια αρχιτεκτονική, ένα πλαίσιο εργασίας (framework), και ένα

περιβάλλον ανάπτυξης…» [Cunningham et al., 2002]:

Ø Αρχιτεκτονική, διότι ορίζει την δομή και λειτουργία ενός προγράμματος

γλωσσικής επεξεργασίας και αναθέτει στα διάφορα συστατικά μέρη τις

δραστηριότητες που πρέπει το κάθε ένα να εκτελέσει.

Ø Πλαίσιο εργασίας, διότι παρέχει επαναχρησιμοποιήσιμες βιβλιοθήκες για

προγράμματα τύπου LE (Language Engineering), βοηθώντας έτσι τους

προγραμματιστές να χρησιμοποιήσουν έτοιμο κώδικα, να τον βελτιώσουν αλλά

και να τον ενσωματώσουν σε μεγαλύτερες εφαρμογές όπου ένα κομμάτι τους

είναι το LE.

Ø Περιβάλλον ανάπτυξης, διότι βοηθά τους χρήστες να ελαχιστοποιήσουν τον χρόνο

που ξοδεύουν στο να τροποποιήσουν υπάρχοντα συστατικά ή να δημιουργήσουν

καινούργια, παρέχοντας τεχνικές αποσφαλμάτωσης (debugging) αλλά και

εργαλεία χρήσιμα στην συγγραφή κώδικα.

Ένα βασικό πλεονέκτημα του περιβάλλοντος είναι το γεγονός ότι τα διάφορα στοιχεία

του GATE (components) μπορούν να εφαρμοστούν σε οποιαδήποτε γλώσσα

προγραμματισμού και σε οποιαδήποτε βάση δεδομένων. Σε κάθε περίπτωση η

αρχιτεκτονική του GATE είναι ορατή στο χρήστη ως μία ιεραρχία κλάσεων σε Java η

35 Ο αναγνώστης παραπέμπεται και στην ενημερωμένη σχετική ιστοσελίδα

(http://www.gate.ac.uk/projects.html)

http://www.gate.ac.uk/projects.html)



Σελ. 201

οποία μπορεί να κληθεί από ένα εξωτερικό πρόγραμμα κάνοντας χρήση των υπηρεσιών

που εξάγει (export). Η διεπαφή του GATE με τρόπους αποθήκευσης σε μαγνητικά μέσα

παρέχει διασυνδεσιμότητα με δύο βάσεις δεδομένων (Oracle και PostgreSQL), ενώ

υποστηρίζει και Java serialization (απλά αρχεία που χρησιμοποιούνται για την

αποθήκευση δεδομένων με την χρήση βιβλιοθηκών της Java). Τέλος παρέχεται η

δυνατότητα στον ίδιο το χρήστη να δημιουργήσει ένα δικό του συστατικό (component)

με το οποίο μπορεί να αποθηκεύει τις πληροφορίες του σε οποιαδήποτε βάση δεδομένων

επιθυμεί. Τέλος, το GATE διαθέτει ενσωματωμένο γραφικό περιβάλλον (Graphic User

Interface, GUI) γεγονός που καθιστά ακόμα πιο εύκολη την χρήση του [GATE, 2006].

Οι τρεις βασικές κατηγορίες των συστατικών του GATE, είναι οι εξής

[Παπαγιαννακόπουλος, 2004]36:

Ø Language Resources (LRs): Αντιπροσωπεύουν έννοιες όπως λεξικά, κείμενα,

συλλογές από έγγραφα αλλά και οντολογίες. Γενικότερα με τον όρο «LR»

περιγράφονται τα λεκτικά δεδομένα προς επεξεργασία.

Ø Processing Resources (PRs): Αντιπροσωπεύουν οντότητες οι οποίες είναι κατά

κύριο λόγο αλγόριθμοι. Μερικά παραδείγματα είναι οι σαρωτές κειμένου

(parsers), αναλυτές γραμματικής (grammar analyzers), αναλυτές συνωνύμων και

άλλα. Γενικότερα με τον όρο «PR» ονομάζονται τα στοιχεία εκείνα με την

βοήθεια των οποίων γίνεται η επεξεργασία των LR.

Ø Visual Resources (VRs): Αντιπροσωπεύουν μέρη του γραφικού περιβάλλοντος

του GATE (GUI). Δεν προσθέτουν λειτουργικότητα στην αρχιτεκτονική του

GATE, αλλά διευκολύνουν τη χρήση του.

Όλα τα παραπάνω στοιχεία μπορούν να βρίσκονται εγκατεστημένα είτε τοπικά σε έναν

υπολογιστή είτε δικτυακά (διαθέσιμων μέσω HTTP πρωτοκόλλου). Ο κατανεμημένος

τρόπος λειτουργίας του, προσθέτει άλλο ένα πλεονέκτημα στην χρήση του. Επιπλέον ένα

36 σ.σ.: Σε αυτό το σημείο και για όποιους από τους αγγλικούς όρους κρίθηκε ανεπιτυχής μια

προσεγγιστική απόδοση της ορολογίας στην ελληνική, θα διατηρηθεί ο αγγλικός όρος.



Σελ. 202

ακόμη σημαντικό πλεονέκτημα είναι ο διαχωρισμός των στοιχείων του GATE όπως

αυτός αναλύθηκε παραπάνω. Τόσο οι αλγόριθμοι (PRs) όσο και τα λεκτικά δεδομένα

(LRs) μπορούν να αναπτυχθούν ξεχωριστά από διαφορετικές ομάδες ειδικών (όπως

προγραμματιστές και γλωσσολόγοι, αντίστοιχα). Επιπλέον, ο διαχωρισμός του γραφικού

περιβάλλοντος από τα υπόλοιπα στοιχεία καθιστά εύκολη τη βελτίωση ακόμη και τη

δημιουργία νέων αλγορίθμων χωρίς να απαιτείται από τον χρήστη να τροποποιήσει το

γραφικό περιβάλλον, αλλά και το αντίστροφο.

Ένα σύνολο από PRs το οποίο διατίθεται ενσωματωμένο με την έκδοση του GATE και

τα οποία χρησιμεύουν για τις κυριότερες εφαρμογές Επεξεργασίας Φυσικού Λόγου

(Natural Language Processing, NLP), περιγράφονται στα επόμενα. Προφανώς κανένα

από τα PRs δεν είναι υποχρεωτικά στην χρήση τους. Ο κάθε χρήστης μπορεί να επιλέξει

ποια του είναι χρήσιμα αλλά και να αντικαταστήσει όποια θέλει με δικά του PRs. Τα

παρακάτω PRs σχηματίζουν την ANNIE (A Nearly-New Information Extraction system)

[Cunningham et al., 2002], μπορούν όμως να χρησιμοποιηθούν και ανεξάρτητα από το

σύστημα αυτό.

Η ANNIE απαρτίζεται από τα εξής βασικά μέρη (PRs): τον Tokenizer, τον Sentence

Splitter, τον POS Tagger, τον Gazetteer, τον Semantic Tagger ή αλλιώς Named Entity

(ΝΕ) Transducer, και τον Orthomatcher. Μια μικρή περιγραφή ακολουθεί για το κάθε

μέρος, από το [Παπαγιαννακόπουλος, 2004]:

Ο Tokenizer χωρίζει το κείμενο σε απλά ατομικά μορφώματα (tokens ή atoms), όπως

αριθμοί, σύμβολα στίξης και λέξεις – ουσιαστικά είναι τα ατομικά στοιχεία που

αποτελούν μια πρόταση ή φράση. Η πρώτη ενέργεια που πρέπει να γίνει σε οποιοδήποτε

κείμενο που θα υποστεί κάποιου είδους λεκτική ανάλυση, είναι ο χωρισμός του κειμένου

σε tokens. Το βάρος της ανάλυσης μπορεί να δοθεί στην συνέχεια σε κάποιο στοιχείο

που κάνει γραμματική ανάλυση χωρίς να επιβαρυνθεί και με τον ορισμό των tokens. Οι

τύποι των tokens που παράγει ο Tokenizer μπορεί να είναι:

Ø Word (Λέξη): Λέξη ορίζεται μία σειρά από σύμβολα, είτε κεφαλαία είτε μικρά, τα

οποία περιέχουν τουλάχιστον ένα φωνήεν.

Ø Number (Αριθμός): Αριθμός είναι ένας οποιοσδήποτε συνδυασμός από

συνεχόμενα ψηφία.



Σελ. 203

Ø Symbol (Σύμβολο): Τα σύμβολα χωρίζονται σε δύο κατηγορίες, οικονομικά

σύμβολα όπως €, $ και στα γενικά σύμβολα όπως *,&,#,@.

Ø Punctuation (Στίξη): Το GATE χωρίζει τα σύμβολα της στίξης σε τρεις

κατηγορίες. Στίξη έναρξης, για παράδειγμα (, « , Στίξη τέλους, για παράδειγμα ),

!, ., » και σε γενικά σύμβολα στίξης όπως :, ;.

Ø Space Token (Κενός χαρακτήρας): Οι κενοί χαρακτήρες χωρίζονται σε δύο

κατηγορίες. Η πρώτη αφορά στα κενά μεταξύ των λέξεων και η δεύτερη αφορά

στους χαρακτήρες ελέγχου (control characters) όπως είναι για παράδειγμα ο

χαρακτήρας αλλαγής γραμμής.

Ο Sentence Splitter χωρίζει το κείμενο σε προτάσεις, όπως άλλωστε φανερώνει και το

όνομά του. Το συγκεκριμένο στοιχείο είναι απαραίτητο για τον POS Tagger ο οποίος

παρουσιάζεται παρακάτω. Πρόταση θεωρείται μία σειρά από tokens η οποία τερματίζει

με ένα σύμβολο όπως η τελεία, αλλά και από πολλαπλά σύμβολα στίξης (όπως ?!?!?!).

Ο POS (Part-of-Speech) tagger έχει αναπτυχθεί από τον Hepple [Hepple, 2000].

Αποτελεί το στοιχείο εκείνο που ευθύνεται για την γραμματική ανάλυση ενός κειμένου.

Με την βοήθεια του Sentence Splitter το κείμενο χωρίζεται σε προτάσεις. Στην συνέχεια

ο POS tagger αναλύει την κάθε πρόταση στα βασικά συστατικά που αποτελούν μία

πρόταση όπως ρήματα, ουσιαστικά, επιρρήματα και άλλα. Το στοιχείο αυτό

χρησιμοποιεί ένα λεξικό (lexicon) και ένα σύνολο από γραμματικούς κανόνες. Τόσο το

λεξικό όσο και οι κανόνες έχουν προκύψει από την ανάλυση εκατοντάδων κειμένων της

Wall Street Journal. Και τα δύο συστατικά μπορούν να παραμετροποιηθούν κατά

βούληση.

Το στοιχείο Gazetteer αποτελείται από λίστες ονομάτων τα οποία είναι χωρισμένα

ανάλογα με μία κοινή τους ιδιότητα. Έτσι για παράδειγμα υπάρχει μία λίστα η οποία έχει

ονόματα πόλεων (όπως Paris, Athens, New York), μία λίστα με ονόματα οργανισμών

όπως (AUEB, Microsoft, AMD, Intel) αλλά και λίστες από ονόματα ανθρώπων όπως

(John, Paul, Nick) κ.ο.κ. Μετά την ανάλυση ενός κειμένου από τον Gazetteer οι λέξεις

υπομνηματίζονται (annotated) από την ιδιότητά τους ως πόλεις, οργανισμοί, άτομα κ.α.

Το στοιχείο Named Entity (NE) Transducer (Semantic Tagger), αποτελείται από κανόνες

ταιριάσματος λεξικών προτύπων (pattern matching) οι οποίοι είναι γραμμένοι σε JAPE



Σελ. 204

(Java Annotation Pattern Engine), μια παραλλαγή της CPSL (Common Pattern

Specification Language) [Appelt, 1996]. Με την βοήθεια των κανόνων αυτών, μπορούν

να προσδοθούν ιδιότητες σε φράσεις που ταιριάζουν σε ένα συγκεκριμένο πρότυπο

(pattern). Ένα παράδειγμα που θα βοηθήσει στην καλύτερη κατανόηση τη χρήση των

κανόνων αυτών, είναι η αναγνώριση μίας δικτυακής (IP) διεύθυνσης: η τελευταία

αποτελείται από τέσσερις αριθμούς και τρία σημεία στίξης. Με την βοήθεια των JAPE

κανόνων μπορεί να δηλωθεί ότι η ακολουθία ΑΤΑΤΑΤΑ αποτελεί μία IP διεύθυνση,

όπου Α είναι ένας αριθμός και Τ είναι η τελεία. Στους κανόνες αυτούς μπορούν να

χρησιμοποιηθούν υπομνηματισμένες (annotated) λέξεις που έχουν βρεθεί από τον

Gazetteer στο προηγούμενο στάδιο. Άλλα παραδείγματα αποτελούν η αναγνώριση

λεξικά έγκυρων διευθύνσεων ηλεκτρονικού ταχυδρομείου (e-mail address). Χωρίς τους

JAPE κανόνες, μία διεύθυνση [email protected] δεν θα αναγνωριζόταν συνολικά σαν

διεύθυνση ηλ. Ταχυδρομείου, παρά μόνο ατομικά η λέξη bts ως όνομα, η λέξη aueb ως

οργανισμός, το @ και η τελεία (“.”) ως σύμβολα, και η λέξη gr ως αρκτικόλεξο (με

δεδομένο ότι οι παραπάνω λέξεις και στίξεις θα έχουν δηλωθεί στις αντίστοιχες

παραμέτρους του στοιχείου Gazetteer). Με τους JAPE κανόνες όλη η φράση θα

αναγνωριστεί ως μία διεύθυνση ηλεκτρονικού ταχυδρομείου.

Ένα ακόμη στοιχείο της ANNIE είναι ο Orthographic Coreference (Orthomatcher), ο

οποίος αποτελεί προαιρετικό στοιχείο του GATE και κύριος σκοπός του είναι η

προσθήκη σχέσεων μεταξύ των οντοτήτων που έχουν βρεθεί από τον Semantic Tagger.

Οι σχέσεις δημιουργούνται μεταξύ αντικειμένων που έχουν κοινό χαρακτηρισμό, για

παράδειγμα Οργανισμοί, ή σε περίπτωση όπου μία από τις δύο έννοιες δεν έχει κάποιο

χαρακτηρισμό (έχει χαρακτηριστεί ως Άγνωστος – Unknown) σε προηγούμενη

επεξεργασία. Στην τελευταία περίπτωση, ο Orthomatcher αλλάζει τον Unknown σε Χ,

όπου Χ είναι ο χαρακτηρισμός μίας άλλης έννοιας με την οποία υπάρχει σχέση. Ένα

παράδειγμα είναι οι λέξεις U.S.A. και U.S. βρίσκονται στο κείμενό και για κάποιο λόγο η

πρώτη έχει αναγνωριστεί ως τύπου Τοποθεσία (Location) ενώ η δεύτερη ως τύπου

Unknown. Τότε ο Orthomatcher θα συσχετίσει τα δύο αντικείμενα σαν αναφορές στην

ίδια οντότητα και θα υπομνηματίσει τη λέξη U.S. με τον υπομνηματισμό της λέξης

U.S.A., δηλαδή Location.

Για την υλοποίηση της μεθόδου που παρουσιάστηκε, χρησιμοποιήθηκε το σύστημα της

mailto:[email protected]



Σελ. 205

ANNIE και συγκεκριμένα οι Tokenizer, Sentence Splitter, POS Tagger, Gazetteer,

Named Entity Transducer, και ο Orthomatcher. Τα συγκεκριμένα εργαλεία και οι

παράμετροί τους τροποποιήθηκαν ανάλογα με τις απαιτήσεις της μεθόδου. Για μια πιο

λεπτομερή ανάλυση της αρχιτεκτονικής και των δυνατοτήτων του GATE ο

ενδιαφερόμενος αναγνώστης παραπέμπεται στο σχετικό ιστότοπο ([GATE, 2006]).

4.11.3 Το κέλυφος Έμπειρου Συστήματος JESS

Το Κέλυφος Έμπειρου Συστήματος JESS [Friedman-Hill, 2005], χρησιμοποιείται για

παραγωγή συμπερασμάτων. Οι λόγοι για τους οποίους προτιμήθηκε το συγκεκριμένο

Κέλυφος Έμπειρου Συστήματος είναι:

Ø Παρέχει εκτεταμένη διασύνδεση με την γλώσσα προγραμματισμού Java, γεγονός

που το καθιστά ιδιαίτερα ευέλικτο,

Ø Δεν είναι απαιτητικό σε πόρους,

Ø Είναι ταχύ,

Ø Παρέχει πολλαπλές δυνατότητες,

Ø Μπορεί να εκτελεστεί σε όσες πλατφόρμες υποστηρίζουν την Java,

Ø Είναι δωρεάν για εκπαιδευτικούς σκοπούς.

4.12 Σύνοψη

Στο παρόν κεφάλαιο καθορίστηκε το εννοιολογικό μοντέλο και η γενική αρχιτεκτονική

της προσέγγισής μας, η οποία διακρίνει τις απαιτήσεις ασφάλειας από τις υλοποιήσεις

τους, ενώ σκιαγραφούνται τα βασικά στοιχεία της αρχιτεκτονικής, η Οντολογία

Ασφάλειας (ΟΑ) και η Βάση Τεχνικών Μέτρων Υλοποίησης (ΤΜΥ), τα οποία

περιγράφονται εκτενέστερα στα επόμενα κεφάλαια. Επιπρόσθετα, περιγράφονται οι

άξονες πάνω στους οποίους στηρίζεται η παρούσα έρευνα: α) τα ευρέως αποδεκτά

πρότυπα διαχείρισης κινδύνων ΠΣ (BS7799 και COBIT), τα οποία αποτελούν την

πρωταρχική πηγή αντιμέτρων και τη βάση για το προτεινόμενο εννοιολογικό μοντέλο

αναπαράστασης και διαχείρισης πληροφορίας ασφάλειας, β) Το πρότυπο διαχείρισης

πληροφοριακών πόρων CIM το οποίο αποτελεί το συνδετικό κρίκο με άλλες υπάρχουσες

αναπαραστάσεις ΠΣ, γ) στοιχεία της οντολογικής προσέγγισης αναπαράστασης γνώσης,



Σελ. 206

που είναι απαραίτητη για την έκφραση των βασικών εννοιών ασφάλειας, των κυρίων

ιδιοτήτων τους και των μεταξύ τους σχέσεων σε ένα πλουσιότερο γνωστικό υπόβαθρο,

και δ) οι τεχνολογίες εξαγωγής πληροφοριών (Information Extraction) και έμπειρων

συστημάτων (Expert Systems) που χρησιμοποιήθηκαν για τον εντοπισμό σημαντικών

πληροφοριών που σχετίζονται με τα αντίμετρα ασφάλειας.

Στη συνέχεια, γίνεται μια επισκόπηση των πηγών γνώσης περί ασφάλειας, και μια

συνολική αναφορά των φάσεων της μεθοδολογίας υλοποίησης της προσέγγισης σε ένα

ΠΣ, προκειμένου να δοθεί η ολική εικόνα της εφαρμογής του πλαισίου ΔΑΠΣ. Τέλος,

παρατίθενται οι βασικές μέθοδοι, τεχνικές και εργαλεία που χρησιμοποιήθηκαν για την

υλοποίηση των φάσεων της προτεινόμενης προσέγγισης που στηρίζεται σε οντολογίες.

Το επόμενο Κεφάλαιο 5 αναλύει την μεθοδολογία ανάπτυξης της οντολογίας ασφάλειας

με βάση τους άξονες που αναλύθηκαν παραπάνω.



Σελ. 207

The farther you go, the less you know.

~ Lao Tsze, “Tao Te Ching”

5 Οντολογία Ασφάλειας


Στο παρόν κεφάλαιο αναλύεται η μεθοδολογία ανάπτυξης μιας οντολογίας που

επικεντρώνεται στα χαρακτηριστικά ασφάλειας ενός ΠΣ ( Οντολογία Ασφάλειας – ΟΑ).

Η πολυπλοκότητα των θεμάτων ασφάλειας που αντιμετωπίζουν καθημερινά τόσο οι

χρήστες όσο και οι διαχειριστές των συστημάτων πληροφορικής είναι αξιοσημείωτη, ενώ

είναι έκδηλη η ανάγκη για αποτελεσματική διαχείριση των πληροφοριών ασφάλειας των

ΠΣ με τις οντολογίες να αποτελούν μια πολλά υποσχόμενη προσέγγιση στο θέμα της

διαχείρισης γνώσης (γενικότερα) και της ασφάλειας (ειδικότερα). Οι γλώσσες

οντολογιών όπως η OWL [Dean et al., 2004], [OWL, 2004a], [OWL, 2004b] παρέχουν

δυνατότητες τυπικής λογικής – για παράδειγμα η έκδοση OWL-DL ενσωματώνει



Σελ. 208

δυνατότητες Description Logics37, η οποία έχει κατάλληλες υπολογιστικές δυνατότητες

για υποστήριξη συμπερασματικών μηχανισμών. Παρά τους (σχετικούς) περιορισμούς της

συγκριτικά με τα καθαρά τυπικά μοντέλα λογικών αναπαραστάσεων για την έκφραση

μοντέλων ασφάλειας (μειονέκτημα το οποίο αναμένεται να εκλείψει με την έλευση

εργαλείων που υποστηρίζουν την πλήρη έκδοση OWL – Full), η OWL-DL αντιπαραθέτει

τα εξής πλεονεκτήματα:

Ø Ο τρόπος με τον οποίο οι οντολογίες αναπαριστούν μοντέλα του πραγματικού

κόσμου είναι πολύ κοντά στον ανθρώπινο τρόπο αντίληψης, σε αντίθεση με τις

τυπικές γλώσσες που παρά την εκφραστικότητά τους είναι δυσνόητες και

δύσχρηστες από τον άνθρωπο.

Ø Τα τυπικά μοντέλα ασχολούνται κυρίως με θέματα ελέγχου πρόσβασης τα οποία

μπορούν να εκφραστούν με μαθηματικό τρόπο ενώ δεν διαθέτουν μηχανισμούς

για λιγότερο τυπικές εκφάνσεις της ΔΑ όπως η επιλογή αντιμέτρων.

Ø Συγκριτικά με τις τυπικές γλώσσες, οι οντολογίες είναι πιο κατάλληλες για την

αναπαράσταση προσεγγίσεων (approximations) και τη συμμετοχή σε συστήματα

υποστήριξης μέσω της σημασιολογικής διάστασης και των συμπερασματικών

μηχανισμών τους.

Ø Διαθέτει μηχανισμό επερωτήσεων (queries) που μπορεί να εφαρμοστεί στις

οντολογίες OWL.

Αυτό το κεφάλαιο είναι οργανωμένο ως ακολούθως: στην ενότητα 5.2 περιγράφονται οι

μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για τις εργασίες του παρόντος

κεφαλαίου. Στην ενότητα 5.3 δίνεται ένας τυπικός (formal) ορισμός της οντολογίας

ασφάλειας, ενώ στην ενότητα 5.4 θίγονται θέματα μοντελοποίησης απαιτήσεων

ασφάλειας όπως αυτές εκφράζονται μέσα από σχετικά de facto και de jure πρότυπα, και

πιο συγκεκριμένα από τα πρότυπα των οικογενειών προτύπων ISO/IEC 17799 και

COBIT, αντίστοιχα. Η μεθοδολογία της προσέγγισης ανάπτυξης παρατίθεται συνολικά

37 Ένα συγκεκριμένο αποφασίσιμο (decidable) υποσύνολο του λογικού συστήματος First Order Logic.



Σελ. 209

στην ενότητα 5.5, ενώ είναι σημαντικό να σημειώσει ο αναγνώστης ότι στη συνέχεια

αναλύονται ξεχωριστά οι δύο οικογένειες προτύπων, αφού προσεγγίζουν το ζήτημα της

διαχείρισης κινδύνων πληροφορικής από διακριτές οπτικές.

Σε κάθε φάση της μεθοδολογίας εξετάζονται και τα δύο πρότυπα που προαναφέρθηκαν

και αναπτύσσονται εκ παραλλήλου δύο οντολογίες, μια για κάθε πρότυπο· επιπρόσθετα,

σε κάθε φάση πραγματοποιείται μια ενοποίηση των δύο οντολογιών, καταλήγοντας σε

μια κοινή («ενοποιημένη») οντολογία για κάθε φάση. Η σημαντικότερη φάση είναι, κατά

τον γράφοντα, ο ορισμός του εννοιολογικού μοντέλου και στην οποία δόθηκε το

μεγαλύτερο βάρος, ενώ οι άλλες δύο είναι σχετικά απλούστερες.

Η μεθοδολογία ορίζει τρεις κύριες φάσεις: α) τον ορισμό του εννοιολογικού μοντέλου

της ΟΑ στην ενότητα 5.5.1, β) τη σύνδεση της ΟΑ με το μοντέλο CIM δημιουργώντας

ένα σχήμα επέκτασης του CIM το οποίο χρησιμεύει σαν το βασικό μοντέλο

πληροφοριών διαχείρισης ΠΣ (IS management information container) στην ενότητα

5.5.2, και γ) την υλοποίηση του σχήματος επέκτασης στη γλώσσα OWL του

Σημασιολογικού Ιστού (Semantic Web), με παράλληλο εμπλουτισμό του μοντέλου

ISO/IEC 17799 με οντολογικά χαρακτηριστικά (ενότητα 5.5.3).

Σημαντικά είναι τα εξής σημεία:

Ø Κατά τη διάρκεια της έρευνας τα εν λόγω πρότυπα αναλύθηκαν ενδελεχώς και οι

οντολογίες αναπτύχθηκαν σε λεπτομερή βαθμό – λ.χ. η ανάλυση των προτύπων

της οικογένειας ISO/IEC 17799 κάλυψε και τα δέκα γνωστικά πεδία ασφάλειας

(domains) που ορίζει το πρότυπο ενώ το ίδιο έγινε και για την οικογένεια COBIT

– με αποτέλεσμα η αναπαράσταση των οντολογιών με τις συνδεόμενες έννοιες

και το πλήθος των εννοιών να μην είναι εύκολα κατανοητή σε ένα ολικό σχήμα.

Με αυτή την παραδοχή, σε αυτή την εργασία λόγω χώρου και προς βελτίωση της

κατανόησης των εννοιών και των σχέσεων μεταξύ τους έχει γίνει μια επιλογή των

σημαντικότερων σημείων προκειμένου να υποστηριχτεί η καλύτερη κατανόηση

της προσέγγισης και να επικεντρωθεί η διατριβή στα σημαντικότερα σημεία της

έρευνας. Τα εννοιολογικά μοντέλα των σχετικών με ΑΕ οντολογιών είναι

διαθέσιμα στα Παραρτήματα Ι και ΙΙ.



Σελ. 210

Ø Η οντολογία που επιλέχτηκε για περαιτέρω έρευνα είναι η οντολογία με βάση το

ISO/IEC 17799, καθότι το πρότυπο είναι πιο ώριμο και πιο εύκολα κατανοητό

στη σημερινή πραγματικότητα της διαχείρισης ασφάλειας ΠΣ. Αυτό δε σημαίνει

ότι η έρευνα η σχετική με το COBIT και την ενοποιημένη ΟΑ είναι άκυρη, αφού

αποτελεί παρακαταθήκη για μελλοντική έρευνα. Υπό αυτή την οπτική λοιπόν,

μόνο η οντολογία κατά ISO/IEC 17799 εμπλουτίστηκε με οντολογικά

χαρακτηριστικά. Επιπλέον, εφόσον ένας στόχος της παρούσας διατριβής είναι η

διαχείριση των αποτελεσμάτων της Αποτίμησης Επικινδυνότητας (ΑΕ), ένα

συγκεκριμένο υποσύνολο της τελικής οντολογίας κατά ISO/IEC 17799

επιλέχτηκε για να αποτελέσει τη βάση για τα επόμενα κεφάλαια,

επικεντρώνοντας στα προτεινόμενα αντίμετρα από την αποτίμηση

επικινδυνότητας.

Το αποτέλεσμα των εργασιών του κεφαλαίου αυτού είναι τρεις πλήρεις οντολογίες

ασφάλειας (κατά ISO/IEC 17799, κατά COBIT και ενοποιημένη οντολογία ασφάλειας),

συνδεδεμένες με το μοντέλο CIM.

5.2 Μέθοδοι, τεχνικές και εργαλεία

Οι βασικές μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για την υλοποίηση

των εργασιών που περιγράφονται στο παρόν κεφάλαιο είναι τα εξής:

Ενέργεια Εργαλεία και τεχνικές

Εννοιολογικό μοντέλο οντολογίας

ασφάλειας

Συνεργατική προσέγγιση για σχεδίαση

οντολογιών [Holsapple and Joshi, 2002]

Σχεδίαση οντολογίας ασφάλειας UML (Unified Model Language) [OMG

UML, 2001]

Επεξεργασία οντολογιών Επεξεργαστής οντολογιών Protégé

[Protégé 2005]



Σελ. 211


Υποστήριξη συμπερασματικών

μηχανισμών και ελέγχων ορθότητας

οντολογίας

RACER reasoner [RACER, 2006]

5.3 Οντολογία Ασφάλειας – τυπικός ορισμός

Σε αυτή την ενότητα ορίζεται η οντολογία ασφάλειας (ΟΑ) με τυπικό τρόπο με βάση τον

ορισμό της οντολογίας από το [Bozsak et al., 2002], όπου οι ιδιότητες RBAC (Role

Based Access Control) ακολουθούν τις έννοιες που αναλύονται στο [ANSI/INCITS,

2004]. Ορίζονται κατά σειρά: το σχήμα ελέγχου πρόσβασης στα αγαθά ΠΣ βάσει ρόλων,

οι ιεραρχίες των εννοιών και σχέσεων της οντολογίας, τα λογικά αξιώματα και η βάση

γνώσης ασφάλειας της οντολογίας όπως επίσης και θέματα που αφορούν τα στιγμιότυπα

(instances) των εννοιών και τα λεξικά όρων (vocabularies) που περιγράφουν το πεδίο

δραστηριότητας (domain) της διαχείρισης ασφάλειας ΠΣ. Η οντολογία ασφάλειας στα

επόμενα αναφέρεται συντομογραφικά σαν OA ή SO.

Ορισμός 0. Ένα σχήμα ελέγχου πρόσβασης που βασίζεται σε RBAC για την SO

(SORBAC) είναι μια δομή, η οποία ορίζεται ως ακολούθως:

Οι ΟΝΤΟΤΗΤΕΣ (ENTITIES), ΡΟΛΟΙ (ROLES), ΛΕΙΤΟΥΡΓΙΕΣ (OPERATIONS –

OPS) και ΠΟΡΟΙ (RESOURCES) είναι σύνολα από Οντότητες, Λειτουργίες και Πόρους

ΠΣ, αντίστοιχα.

Οι Αναθέσεις σε Οντότητες ή Entity Assignments (EA) είναι ένα σύνολο που τα στοιχεία

του ικανοποιούν μια σχέση αντιστοίχησης πολλά – προς – πολλά (Μ:Μ) από οντότητες

σε ρόλους – τυπικά:

ROLESENTITIESEA ×⊆

και ENTITIESROLESrentitiesassigned 2):(:_ →

που ορίζει την αντιστοίχηση του ρόλου r σε ένα σύνολο από οντότητες (ENTITIES). Το



Σελ. 212

σύνολο των οντοτήτων assigned_entities στις οποίες έχει αποδοθεί ένας ρόλος r ορίζεται

σαν:

{ }EAreENTITIESerentitiesassigned ∈∈= ),(|)(_ ,

ενώ το σύνολο των δικαιωμάτων PRMS που μπορεί να αποδοθεί, ορίζεται σαν )(2 RESOURCESOPSPRMS ×= .

Οι Αναθέσεις Δικαιωμάτων ή Permission Assignments (PA) είναι ένα σύνολο PA με

ROLESPRMSPA ×⊆ ,

που τα στοιχεία του ικανοποιούν μια σχέση αντιστοίχησης assigned_permissions πολλά–

προς–πολλά (Μ:Μ) από ρόλους σε δικαιώματα – τυπικά: PERMSROLESrspermissionassigned 2):(_ → ,

ενώ τα δικαιώματα που αποδίδονται σε ένα ρόλο ορίζονται σαν:

}),(|{)(_ PArpPRMSprspermissionassigned ∈∈≡ .

Η αντιστοίχηση των δικαιωμάτων σε λειτουργίες ορίζεται με τη σχέση:

}{):( OPSopPRMSpop ⊆→ ,

η οποία δίνει το σύνολο των λειτουργιών που συνδέονται με το δικαίωμα p.

Η αντιστοίχηση των δικαιωμάτων σε πόρους ορίζεται με τη σχέση:

}):( RESOURCESresPRMSpres ⊆→ .

Το σύνολο των Συνόδων (Sessions) ορίζεται ως SESSIONS. Η αντιστοίχηση της

συνόδου s στην αντίστοιχη οντότητα ορίζεται με τη σχέση:

ENTITIESSESSIONSsentitiessession →):(_ ,

ενώ η αντιστοίχηση της συνόδου s σε ένα σύνολο ρόλων (session_roles) ορίζεται με τη

σχέση: ROLESSESSIONSsrolessession 2):(_ → .

Τυπικά, οι επιτρεπτοί ρόλοι ανά σύνοδο ορίζονται σαν:

})),(_|{)(_ EArsentitiessessionROLESrsrolessession ii ∈∈⊆ ,



Σελ. 213

ενώ τα δικαιώματα που είναι διαθέσιμα σε μια σύνοδο ορίζονται από τη σχέση: PRMSSESSIONSspermssessionavail 2):(__ → .

Τέλος, τα δικαιώματα που είναι διαθέσιμα σε μια σύνοδο για μια συγκεκριμένη οντότητα

εκφράζονται σαν την ένωση των επιτρεπτών δικαιωμάτων ανά ρόλο r, όπου ο ρόλος r

ανήκει στους ρόλους της συνόδου s:

U)(_

)(_srolessessionr

rspermissionassigned∈

.

Ορισμός 1. Μια βασική Οντολογία Ασφάλειας (ΟΑ ή Security Ontology – SO) είναι μια

δομή τύπου: ),,,,,(: RBAC

SRSC SOSRSCSO ≤≤= σ , που αποτελείται από:

Ø Δύο ξένα μεταξύ τους σύνολα SC και SR, των οποίων τα μέλη καλούνται

Αναγνωριστές Εννοιών Ασφάλειας (Security Concept Identifiers) και

Αναγνωριστές Σχέσεων Ασφάλειας (Security Relation Identifiers), αντίστοιχα,

Ø Μια μερική διάταξη (partial order) ≤SC του SC, που καλείται ιεραρχία εννοιών

ασφάλειας (security concept hierarchy) ή ταξινομία (taxonomy),

Ø Μια συνάρτηση +→ SCSR:σ , που καλείται υπογραφή ασφάλειας (security

signature),

Ø Μια μερική διάταξη ≤SR του SR, που καλείται ιεραρχία σχέσεων ασφάλειας

(security relation hierarchy), όπου η έκφραση 21 srsr SR≤ υπονοεί ότι

)2()1( srsr σσ = και ))2(())1(( srsr iSCi σπσπ ≤ , για κάθε )1(1 sri σ≤≤ .

Ø Μια δομή SORBAC όπως ορίζεται στον Ορισμό 0.

Για λόγους απλότητας οι Αναγνωριστές Εννοιών Ασφάλειας και οι Αναγνωριστές

Σχέσεων Ασφάλειας θα αναφέρονται στα επόμενα ως Έννοιες (Concepts) και Σχέσεις

(Relations), αντίστοιχα.

Ορισμός 2. Για μια σχέση ασφάλειας SRsr ∈ με 2)( =srσ , ορίζονται το Πεδίο

Ορισμού (Domain) και το Πεδίο Τιμών (Range) ως ))((:)( 1 srsrdom σπ= και



Σελ. 214

))((:)( 2 srsrrange σπ= , αντίστοιχα.

Εάν 21 scsc SC≤ , με SCscsc ∈2,1 , τότε η έννοια sc1 είναι μια υπό-έννοια (sub-concept)

της sc2, και αντίστοιχα η έννοια sc2 είναι μια υπέρ-έννοια (super-concept) της έννοιας

sc1. Στο επίπεδο των σχέσεων, εάν 21 srsr SR≤ , με SRsrsr ∈2,1 , τότε η σχέση sr1 είναι

μια υπό-σχέση (sub-relation) της sr2, και η sr2 είναι μια υπέρ-σχέση (super-relation) της

sr1.

Περαιτέρω, εάν η έννοια sc1 είναι μια υπό-έννοια της έννοιας sc2 ( 21 scsc SC≤ ) και δεν

υπάρχει κάποια έννοια sc3 που να παρεμβάλλεται στην ιεραρχία των εννοιών sc1 και sc2

(τυπικά: το σύνολο των εννοιών που ικανοποιούν τη σχέση 231 scscsc SCSC ≤≤ , με

SCscscsc ∈3,2,1 είναι μηδενικό), τότε η έννοια sc1 είναι μια άμεση υπό-έννοια της

έννοιας sc2, και αντίστοιχα η έννοια sc2 μια άμεση υπέρ-έννοια της έννοιας sc1.

Συνοπτικά η παραπάνω σχέση παριστάνεται ως 21 scsc p . Άμεσες υπέρ-σχέσεις και

άμεσες υπό-σχέσεις ορίζονται με ανάλογο τρόπο ( 21 srsr p ).

Ορισμός 3. Έστω L μια λογική γλώσσα. Ένα σύστημα αξιωμάτων βασισμένο στην L (L-

axioms system, ή L-αξιώματα) για μια οντολογία ασφάλειας ),,,,(: SRSC SRSCSO ≤≤= σ ,

είναι ένα ζεύγος ),(: αSAIA = όπου:

SAI είναι ένα σύνολο Αναγνωριστών Αξιωμάτων Ασφάλειας (Security Axiom

Identifiers) και

LSAIa →:

είναι μια αντιστοίχηση από το σύνολο SAI στη λογική γλώσσα L. Τα στοιχεία που

ικανοποιούν τα σχέση )(: SAIaA = , καλούνται Αξιώματα Ασφάλειας (Security Axioms).

Μια οντολογία ασφάλειας με αξιώματα βασισμένα στην L (L-axioms SO) είναι ένα

ζεύγος που αποτελείται από μια Οντολογία Ασφάλειας (SO) και ένα σύστημα L-

αξιωμάτων (Α) για την οντολογία SO.

Ορισμός 4. Μια οντολογία ασφάλειας με L-αξιώματα (SO, A) είναι συνεπής (consistent),

εάν τα L-αξιώματα, οι ιεραρχίες των εννοιών και των σχέσεων είναι συνεπείς – δηλ.

τυπικά εάν η ακόλουθη σχέση είναι συνεπής:



Σελ. 215

}21|21:{}21|21:{ srsrsrxsrxxscscscxscxxA ≤∈→∈∀≤∈→∈∀ UU .

Στα επόμενα, ο όρος οντολογία ασφάλειας ισχύει τόσο για μια βασική οντολογία

ασφάλειας (SO), όσο και για μια οντολογία ασφάλειας με L-αξιώματα (SO, A).

Ορισμός 5. Ένα Λεξικό Όρων Ασφάλειας (Security Lexicon) για μια οντολογία

ασφάλειας ),,,,(: SRSC SRSCSO ≤≤= σ

ορίζεται σαν μια δομή

)Re,Re,,(: SRSCSRSC ffSSSSLex = που αποτελείται από:

Ø δύο σύνολα SSSC και SSSR αποτελούμενα από σύμβολα ασφάλειας (security signs)

για έννοιες και σχέσεις, αντίστοιχα,

Ø Μια σχέση SCSSf SCSC ×⊆Re η οποία καλείται Λεξική Αναφορά για Έννοιες

Ασφάλειας (Lexical Reference for Security Concepts), όπου η σχέση

SCfscsc Re),( ∈ ισχύει για όλες τις έννοιες που ικανοποιούν τη σχέση

SCSSSCsc I∈ ,

Ø Μια σχέση SRSSf SRSR ×⊆Re η οποία καλείται Λεξική Αναφορά για Σχέσεις

Ασφάλειας (Lexical Reference for Security Relations), όπου η σχέση

SRfsrsr Re),( ∈ ισχύει για όλες τις σχέσεις που ικανοποιούν τη σχέση

SRSSSRsr I∈ .

Μια οντολογία ασφάλειας με λεξικό ασφάλειας ορίζεται ως ένα ζεύγος (SO, Lex) όπου η

SO είναι μια οντολογία ασφάλειας και το Lex είναι ένα λεξικό ασφάλειας για την SO. Η

απαίτηση για την υποστήριξη προτυποποιημένων λεξιλογίων ικανοποιείται μέσω της

χρήσης ευρέως αποδεκτών λεξικών όρων ασφάλειας όπως τα γλωσσάρια όρων

ασφάλειας και διαβεβαίωσης ΠΣ από τους οργανισμούς SANS (SANS Glossary of

Terms [SANS, 2006]), CNSS (CNSS National Information Assurance Glossary [CNSS,

2006]), ή αντίστοιχους.

Ορισμός 6. Μια Βάση Γνώσης Ασφάλειας (Security Knowledge Base, SKB) είναι μια

δομή ),,,,(: SRSCSKBSKB sisiSISRSCSKB = , η οποία αποτελείται από:



Σελ. 216

Ø Δύο σύνολα εννοιών και σχέσεων ασφάλειας SCSKB και SRSKB,

Ø Ένα σύνολο SI, με μέλη Αναγνωριστές Στιγμιοτύπων Ασφάλειας (Security

Instance Identifiers – SII, στιγμιότυπα ή αντικείμενα ασφάλειας στα επόμενα),

Ø Μια συνάρτηση )(: SIBSCsi SKBSC → που καλείται Δημιουργία Στιγμιότυπων

Εννοιών Ασφάλειας (Security Concept Instantiation), και

Ø Μια συνάρτηση )(: +→ SIBSRsi SKBSR που καλείται Δημιουργία Στιγμιότυπων

Σχέσεων Ασφάλειας (Security Relation Instantiation).

Ορισμός 7. Ένα Λεξικό Στιγμιότυπων Ασφάλειας (Security Instance Lexicon) για μια

Βάση Γνώσης Ασφάλειας (Security Knowledge Base) ),,,,(: SRSCSKBSKB sisiSISRSCSKB = ,

ορίζεται σαν ένα ζεύγος ),(: SISI SRSSSIL = που αποτελείται από:

Ø Ένα σύνολο SSSI με μέλη Σύμβολα Ασφάλειας για τα στιγμιότυπα,

Ø Μια σχέση ασφάλειας SISI SSSR που καλείται Λεξική Αναφορά για Στιγμιότυπα

Ασφάλειας (Lexical Reference for Security Instances).

Ø Μια Βάση Γνώσης Ασφάλειας με Λεξικό Ασφάλειας (Security Knowledge Base

with Security Lexicon) ορίζεται σαν ένα ζεύγος (SKB, SIL) όπου η SKB είναι μια

Βάση Γνώσης Ασφάλειας και το SIL είναι ένα Λεξικό Στιγμιότυπων Ασφάλειας

για την SKB.

5.4 Μοντελοποίηση Απαιτήσεων Ασφάλειας και Εννοιολογικά Μοντέλα

Οι απαιτήσεις ασφάλειας εκφράζουν τις απόψεις των εμπλεκομένων οντοτήτων

(stakeholders) και όπως αναφέρθηκε και σε άλλες ενότητες (4.9) διαφέρουν όσον αφορά

τον τρόπο περιγραφής, έκφρασης και επιπέδου λεπτομέρειας της ενυπάρχουσας

πληροφορίας, ενώ συνδυάζονται και με άλλες πηγές γνώσης ασφάλειας. Σε αυτή την

ενότητα παρουσιάζεται μια μοντελοποίηση των απαιτήσεων ασφάλειας σε εννοιολογικό

επίπεδο προκειμένου να εντοπιστούν οι σημαντικότερες έννοιες (concepts) ασφάλειας, οι

ιδιότητές τους και οι μεταξύ τους σχέσεις. Πηγές για τη δημιουργία του εννοιολογικού

μοντέλου αποτελούν καθιερωμένα πρότυπα διαχείρισης κινδύνων ΠΣ όπως τα πρότυπα



Σελ. 217

των οικογενειών BS7799 [ISO 17799, 2000], [BSI-EN, 2001], [BSI-EN, 2002] και

COBIT [ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000], αντίστοιχα.

Η κύρια διαφορά των δύο προσεγγίσεων είναι η θεώρησή τους σχετικά με τους

κινδύνους σχετικά με τη χρήση των ΠΣ: τα πρότυπα BS7799 επικεντρώνονται στα

συστατικά μέρη των ΠΣ (asset-based approach) και στη Διαχείριση Ασφάλειας ΠΣ με τη

στενότερη έννοια, ενώ το COBIT δίνει μεγαλύτερη σημασία στις διεργασίες

πληροφορικής (IT Process-based approach) και στη Διαχείριση του Επιχειρησιακού

Κινδύνου που απορρέει από τη χρήση ΠΣ38. Η ενοποίηση των δύο προσεγγίσεων σε ένα

ολικό εννοιολογικό μοντέλο αποτελεί ένα από τα αποτελέσματα της έρευνας που

περιγράφεται σε αυτό το κεφάλαιο.

Η μεθοδολογία της προσέγγισης για τη δημιουργία των κύριων εννοιολογικών μοντέλων

(κατά ISO/IEC 17799 – BS7799 και COBIT, αντίστοιχα) παρατίθεται στην επόμενη

ενότητα.

5.5 Μεθοδολογία Ανάπτυξης

Η Οντολογία Ασφάλειας που παρουσιάζεται σε αυτή την ενότητα επεκτείνει το μετά-

μοντέλο του CIM με σκοπό τη μοντελοποίηση των πληροφοριών διαχείρισης που

σχετίζονται με τις απαιτήσεις ασφάλειας ενός ΠΣ. Η ΟΑ είναι μια επέκταση του μοντέλου

CIM (extension schema) εμπλουτισμένη με οντολογικά χαρακτηριστικά, μοντελοποιώντας

τις απαιτήσεις ασφάλειας («Στόχοι Ασφάλειας») του ΠΣ προς διαχείριση. Επιπρόσθετα, η

ΟΑ έχει δυνατότητα διασύνδεσης με ήδη υπάρχουσες οντολογίες ΠΣ εκφρασμένων σε

μοντέλα CIM, προκειμένου να επαναχρησιμοποιήσει την πληροφορία διαχείρισης που

έχει ήδη μοντελοποιηθεί σε άλλες υλοποιήσεις.

Η ΟΑ ενεργεί σαν ένα μέσο συλλογής και αποθήκευσης των απαιτήσεων ασφάλειας του

ΠΣ, όπως αυτές μπορούν να εξαχθούν από τις διάφορες πληροφοριακές πηγές που

αναφέρθηκαν στην ενότητα 4.9. Σε αυτή τη διαδικασία χρησιμοποιήθηκαν συνδυαστικά

38 Για μια εκτενέστερη ανάλυση των δύο προσεγγίσεων, ο αναγνώστης παραπέμπεται στην ενότητα 4.2 –

«Προδιαγραφές ενός συστήματος Διαχείρισης Ασφάλειας».



Σελ. 218

μια σειρά από πρότυπα από διαφορετικούς, αλλά συμπληρωματικούς χώρους (βλ. και

ενότητες 4.5 – 4.8 για τους άξονες της έρευνας). Παρά την απουσία πρότυπων μεθόδων

για τη δημιουργία μιας οντολογίας [Noy and McGuiness, 2001], υιοθετήθηκε η

συνεργατική προσέγγιση για σχεδίαση οντολογιών ([Holsapple and Joshi, 2002])

δημιουργώντας μια οντολογία από μια ομάδα ειδικών μέσω ενός επαναληπτικού

μοντέλου βελτιώνοντας το αποτέλεσμα σε κάθε επανάληψη. Η συνολική μεθοδολογία

ανάπτυξης έχει τρεις διακριτές φάσεις [Tsoumas et al., 2005]:

Ø Φάση 1: Δημιουργία εννοιολογικού μοντέλου της ΟΑ χρησιμοποιώντας το πλαίσιο

που περιγράφεται στο [Holsapple and Joshi, 2002] και καθιερωμένα πρότυπα

διαχείρισης ασφάλειας και κινδύνων ΠΣ. Το αποτέλεσμα αυτής της φάσης είναι

τρία εννοιολογικά μοντέλα ΔΑ ΠΣ (κατά BS7799, κατά COBIT και Ενοποιημένο

Μοντέλο).

Ø Φάση 2: Δημιουργία Σχήματος Επέκτασης του μοντέλου CIM για τη ΔΑ,

συνδέοντας τα εννοιολογικά μοντέλα ΟΑ της προηγούμενης φάσης με τις

πρότυπες έννοιες – κλάσεις του μοντέλου CIM. Περαιτέρω, τα νέα σχήματα

επέκτασης εμπλουτίζονται με χαρακτηριστικά διαχείρισης ασφάλειας και

κινδύνων από τα προαναφερθέντα πρότυπα ([ISO 17799, 2000], [BSI-EN, 2001],

[BSI-EN, 2002], [AS/NZS 4360, 1999], [ITGI COBIT, 2000], [CRAMM, 2005]).

Το αποτέλεσμα αυτής της φάσης είναι τρία σχήματα επέκτασης του CIM για ΔΑ,

εμπλουτισμένα με χαρακτηριστικά διαχείρισης ασφάλειας και κινδύνων ΠΣ (κατά

BS7799, κατά COBIT και το Ενοποιημένο Μοντέλο αντίστοιχα).

Ø Φάση 3: Υλοποίηση της ΟΑ σε γλώσσα Σημασιολογικού Ιστού (OWL) με χρήση

του περιβάλλοντος ανάπτυξης Protégé και του ενσωματωμένου OWL plug-in

[Protégé-OWL, 2006]. Το αποτέλεσμα αυτής της φάσης είναι τρεις ΟΑ που

αφορούν σε Αποτίμηση Επικινδυνότητας ΠΣ (κατά BS7799, κατά COBIT και

Ενοποιημένο Μοντέλο).

Οι φάσεις της μεθοδολογίας ανάπτυξης απεικονίζονται στο Σχήμα 5.1.



Σελ. 219

Σχήμα 5.1:Φάσεις Μεθοδολογίας Ανάπτυξης Οντολογίας Ασφάλειας

Στις επόμενες ενότητες περιγράφονται αναλυτικά οι φάσεις της ανάπτυξης της ΟΑ. Οι

οντολογίες που σχετίζονται με την ΑΕ παρατίθενται στο Παράρτημα Ι (BS7799) και

Παράρτημα ΙΙ (COBIT ).

5.5.1 Φάση 1: Εννοιολογικό μοντέλο ΟΑ

Το αντικείμενο αυτής της φάσης είναι ο εντοπισμός και αναπαράσταση των βασικών

αρχών που διέπουν τη διαχείριση της ασφάλειας των ΠΣ, και ειδικότερα των απαιτήσεων

ασφάλειας που προκύπτουν από την αποτίμηση της επικινδυνότητας, όπως αυτή ορίζεται

από τις οικογένειες των διεθνών προτύπων BS7799 και COBIT. Προκειμένου να



Σελ. 220

εξαχθούν οι βασικές έννοιες κινδύνων και των μεταξύ τους σχέσεων χρησιμοποιήθηκαν

τα πρότυπα διαχείρισης ασφάλειας και κινδύνων ΠΣ BS7799 [BSI-EN, 2001], [BSI-EN,

2002], [AS/NZS 4360, 1999] και COBIT [ITGI COBIT, 2000], [ITGI COBIT OBJ,

2000], ενώ λήφθηκαν υπόψη τα σχετικά μοντέλα εννοιών των Common Criteria (CC)

[ISO 15048, 1999] και των μεθόδων CRAMM [CRAMM, 2005] και COBRA [COBRA,

2006].

Σαν πλαίσιο της ανάπτυξης υιοθετήθηκε η συνεργατική προσέγγιση για σχεδίαση

οντολογιών [Holsapple and Joshi, 2002] βάσει της οποίας μια ομάδα ειδικών δημιουργεί

με επαναληπτικό τρόπο μια οντολογία, ενώ επιπρόσθετα λήφθηκαν υπόψη τα κριτήρια

σχεδίασης του [Gruber 1993]. Εδώ θα πρέπει να σημειωθεί ότι παρά το γεγονός ότι η

μεθοδολογία ανάπτυξης ήταν κοινή, η διαφορετικότητα των προτύπων όσον αφορά την

θεώρησή τους ως προς τα πληροφοριακά συστήματα και τη θέση τους μέσα στον

οργανισμό, οδήγησε στη δημιουργία δύο διαφορετικών εννοιολογικών μοντέλων (κατά

BS7799 και COBIT, αντίστοιχα). Αναφορά σε συγκεκριμένα εννοιολογικά μοντέλα θα

γίνεται όταν θεωρείται απαραίτητο.

Τα βήματα της δημιουργίας του εννοιολογικού μοντέλου είναι τα ακόλουθα:

Ø Βήμα 1: Υιοθέτηση των κριτηρίων του Gruber [Gruber 1993] σαν γενικό πλαίσιο

της διαδικασίας ανάπτυξης του εννοιολογικού μοντέλου.

Ø Βήμα 2: Εντοπισμός των βασικών εννοιών ασφάλειας από τα πρότυπα διαχείρισης

κινδύνων ΠΣ και τις βέλτιστες πρακτικές: από μελέτη και ανάλυση της σχετικής

βιβλιογραφίας όπως τα πρότυπα της οικογένειας BS7799 και των συγγενών τους

([BSI-EN, 2001], [BSI-EN, 2002], [AS/NZS 4360, 1999]), της οικογένειας

COBIT ([ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000]) και των CC [ISO

15048, 1999], προκύπτει ότι υπάρχουν κοινές και επαναλαμβανόμενες έννοιες

όπως Απειλή, Αδυναμία, Κίνδυνος, Αντίμετρο, Αγαθό, Επίπτωση, Διεργασία

Πληροφορικής, Δραστηριότητα, και Επιχειρησιακός Στόχος. Αυτές οι έννοιες

εμπλουτισμένες με ιδιότητες ασφάλειας αποτελούν το λεξιλόγιο ασφάλειας

(security vocabulary) της ΟΑ.

Ø Βήμα 3: Κανονικοποίηση του λεξιλογίου ασφάλειας της ΟΑ: παρά τη χρήση

κοινών όρων και εννοιών ασφάλειας και διαχείρισης κινδύνων, το λεξικό



Σελ. 221

ασφάλειας δεν είναι πάντα συνεπές, ενώ οι απαντώμενοι όροι συχνά δεν έχουν

μια σχέση αντιστοίχησης ένα-προς-ένα (1-1). Περαιτέρω, σε διαφορετικά

πρότυπα υπάρχουν διαφορετικές σχέσεις μεταξύ των ίδιων εννοιών – λ.χ. στο

πρότυπο AS/NZS 4360 οι Αδυναμίες συνδέονται ευθέως με τα Αγαθά, ενώ στα

Common Criteria [ISO 15048, 1999] οι Αδυναμίες συνδέονται έμμεσα με τα

Αγαθά μέσω των Κινδύνων· από την άλλη μεριά, στο COBIT τα Αντίμετρα

επενεργούν έμμεσα στους Πόρους Πληροφορικής (IT Resources) μέσω των

Διεργασιών Πληροφορικής (Processes). Με αυτή τη λογική, σε αυτό το βήμα

πραγματοποιείται η ομογενοποίηση των εννοιών ασφάλειας και των μεταξύ τους

σχέσεων που θα χρησιμοποιηθούν στα επόμενα βήματα.

Ø Βήμα 4: Ανάπτυξη εννοιοκεντρικών υπό-οντολογιών: σε αυτό το βήμα

δημιουργούνται μερικές (partial) οντολογίες οι οποίες απεικονίζουν μόνο μια

κεντρική έννοια και τους άμεσους γείτονές της (βλ. ενότητες 5.5.1.1.2 και

5.5.1.2.2, αντίστοιχα). Ο σκοπός αυτού του βήματος είναι η θεώρηση των

εννοιών της ΔΑ κάτω από διαφορετικές οπτικές προκειμένου να υποστηριχτεί η

κατανόηση και καλύτερη αναπαράσταση του γνωστικού πεδίου της ασφάλειας

(IT security and risk domain).

Ø Βήμα 5: Ολοκλήρωση των εννοιοκεντρικών υπό-οντολογιών σε ένα πρωτότυπο: οι

υπό-οντολογίες ενοποιούνται σε μεγαλύτερες με παράλληλη επέκταση του

μοντέλου με βοηθητικές έννοιες, ιδιότητες και κανόνες, εάν απαιτείται.

Ø Βήμα 6: Εξειδίκευση του λεξιλογίου ασφάλειας και κανονικοποίηση του

πρωτότυπου: επανεξέταση του λεξιλογίου και κατάλληλη μορφοποίηση των

ιδιοτήτων και σχέσεων των εννοιών προκειμένου να αποφευχθούν επαναλήψεις.

Ø Βήμα 7: Αξιολόγηση και αλληλεπίδραση με την ομάδα σχεδίασης: το ενοποιημένο

μοντέλο της ΟΑ αξιολογείται μέσα από συζητήσεις με τη συμμετοχή των μελών

της ομάδας σχεδίασης.

Ø Βήμα 8: Επανάληψη της διαδικασίας από το Βήμα 2, εάν η ΟΑ δεν θεωρείται ότι

περιγράφει ικανοποιητικά το χώρο της ΔΑ ΠΣ.

Αντιπροσωπευτικά παραδείγματα των ενδιάμεσων υπό-οντολογιών καθώς και οι τελικές

ΟΑ για την αποτίμηση επικινδυνότητας (με βάση την οικογένεια BS7799 και COBIT) θα



Σελ. 222

παρατεθούν εκτενέστερα στις ενότητες 5.5.1.1.2 και 5.5.1.2.2, αντίστοιχα. Οι οντολογίες

που σχετίζονται με την ΑΕ παρατίθενται στα Παραρτήματα Ι (BS7799) και ΙΙ (COBIT).

Στην επόμενη ενότητα αναπτύσσεται το εννοιολογικό μοντέλο της ΟΑ με βάση το

πρότυπο ISO/IEC 17799.

5.5.1.1 Εννοιολογικό Μοντέλο ΟΑ για ΑΕ με βάση το ISO/IEC 17799

5.5.1.1.1 Λεξιλόγιο της ΟΑ

Η αποτίμηση της επικινδυνότητας όπως καθορίζεται από τα πρότυπα της οικογένειας

BS7799 είναι η αποτίμηση των απειλών, των επιπτώσεων και των αδυναμιών των

πληροφοριών και των πληροφοριακών επεξεργασιών καθώς και η πιθανότητα

πραγματοποίησής τους [ISO 17799, 2000], [BSI-EN, 2001], [BSI-EN, 2002]. Η σύνδεση

των απειλών της πληροφορίας με τις απειλές κατά των πόρων που συνθέτουν ένα ΠΣ

είναι λογική συνέπεια της ύπαρξης ενός περιβάλλοντος μέσα στο οποίο η πληροφορία

μεταδίδεται, αποθηκεύεται, επεξεργάζεται και τέλος αποκτά νόημα μέσω της

σημασιολογίας των δεδομένων. Έτσι λοιπόν ο κίνδυνος ή ρίσκο αποτελεί συνάρτηση των

απειλών και των αδυναμιών στους πόρους των πληροφοριακών συστημάτων

[Γκρίτζαλης, 1996].

Τα πρότυπα της οικογένειας BS7799 είναι προσανατολισμένα σε θέματα ασφάλειας

πληροφοριών και όχι σε θέματα ευρύτερου επιχειρησιακού κινδύνου από τη χρήση της

πληροφορικής, όπως το COBIT (βλ. και ενότητα 4.5.2). Ο συγγραφέας δεν διατείνεται

ότι η ΟΑ είναι πλήρης, αλλά υπό τη θεώρηση της μεθοδολογίας ανάπτυξης (βλ. ενότητα

5.5.1) υπάρχει η δυνατότητα επέκτασής της (και μάλιστα κάτι τέτοιο ενθαρρύνεται) με

νέες έννοιες, ιδιότητες και σχέσεις μεταξύ των εννοιών. Οι κύριοι όροι του ISO/IEC

17799 που χρησιμοποιούνται στην ΟΑ και ορίζουν το λεξιλόγιο της, παρατίθενται

παρακάτω [Μιχαηλίδου, 2004], [Tsoumas et al., 2005]:

Αγαθό (Asset): Πληροφορίες, δεδομένα ή υπολογιστικοί πόροι που έχουν αξία για τους

ιδιοκτήτες του συστήματος,

Ιδιοκτήτης (Stakeholder): Οντότητα η οποία έχει έννομο συμφέρον για την καλή

λειτουργία του συστήματος – τυπικά αυτός ο όρος αναφέρεται στον ιδιοκτήτη, χρήστη ή



Σελ. 223

πελάτη του συστήματος (σ.σ. προς χάριν της απλότητας χρησιμοποιείται συνολικά ο

όρος Ιδιοκτήτης).

Αδυναμία (Vulnerability): Ένα σημείο ενός πληροφοριακού συστήματος που μπορεί να

προσφέρεται για παραβίαση, η οποία προσβάλλει μία ή περισσότερες από τις βασικές

ιδιότητες ασφάλειας πληροφοριών (Διαθεσιμότητα, Εμπιστευτικότητα, Ακεραιότητα,

Αυθεντικότητα και Εγκυρότητα).

Απειλή (Threat): Μία πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την

απώλεια ενός ή περισσότερων χαρακτηριστικών της ασφάλειας ενός πληροφοριακού


Αίτιο (Πηγή) Απειλής (Threat Agent): Ένα πιθανό αίτιο το οποίο μπορεί να προκαλέσει

την εκδήλωση μιας απειλής η οποία με τη σειρά της μπορεί να προκαλέσει ζημία στον

οργανισμό και τους πόρους του. Παραδείγματα πηγών απειλών αποτελούν τόσο φυσικές

δυνάμεις (φυσικές καταστροφές…), όσο και ο ανθρώπινος παράγοντας (hackers,

ιομορφικό λογισμικό, κακόβουλοι χρήστες…).

Επικινδυνότητα (Risk): Το γινόμενο της επίπτωσης επί την επισφάλεια ή με άλλα λόγια η

πιθανότητα πραγματοποίησης μίας συγκεκριμένης απειλής, η οποία θα εκμεταλλευτεί τις

αδυναμίες του συστήματος και θα προκαλέσει την απώλεια ή ζημία σε έναν πόρο του


Επίθεση (Attack): Προσπάθεια απόκτησης μη εξουσιοδοτημένης πρόσβασης σε

υπηρεσίες, πόρους ή πληροφορίες ενός πληροφοριακού συστήματος,

Ανεπιθύμητο Περιστατικό (Unwanted Incident): Ένα γεγονός που ενδέχεται να συμβεί

λόγω της υλοποίησης μίας απειλής.

Επίπτωση (Impact): Η ανεπιθύμητη απώλεια της αξίας του συνόλου ή μέρους του ΠΣ, η

αύξηση του κόστους ή άλλη απώλεια που θα μπορούσε να προκύψει σαν συνέπεια μίας

συγκεκριμένης παραβίασης.

Αντίμετρα (Security Countermeasures): Πράξεις, συσκευές, διαδικασίες ή τεχνικές που

έχουν σαν σκοπό τη μείωση των αδυναμιών ενός πληροφοριακού συστήματος σε ένα

αποδεκτό επίπεδο.

Πολιτική Ασφαλείας (Security Policy): Ένα σύνολο κανόνων ή κανονισμών, το οποίο έχει

θεσπιστεί από τον ιδιοκτήτη του συστήματος και έχει σχέση με την διατήρηση του

αποδεκτού επιπέδου ασφάλειας του συστήματος. Μία πολιτική ασφάλειας παρέχει



Σελ. 224

βασικές κατευθύνσεις για τη διατήρηση του επιπέδου ασφάλειας σε ένα αποδεκτό

επίπεδο ενώ επίσης παρέχει κατευθύνσεις για την αποτίμηση της επικινδυνότητας.

Περαιτέρω η πολιτική ασφάλειας εξειδικεύεται σε Πρότυπα (Standards), Διαδικασίες

(Procedures) και Οδηγίες Εφαρμογής (Guidelines).

Αντίμετρα / Έλεγχοι (Controls): Σύνολο από προδιαγραφές του προτύπου ISO/IEC 17799

βάσει των θεματικών περιοχών του προτύπου (βλ. Ενότητα 4.5.1). Τα αντίμετρα και οι

προτεινόμενες οδηγίες εφαρμογής μπορεί να ρυθμίζονται ανά τακτά χρονικά διαστήματα

ή να ορίζονται από την αρχή από τον διαχειριστή· περαιτέρω, ενδέχεται να ελέγχεται η

αποτελεσματικότητα της εφαρμογής τους μέσω του ελέγχου (βλ. Ενότητα 2.3). Τα

αντίμετρα μπορεί να είναι προληπτικά (preventive controls), διαγνωστικά (detective

controls), διορθωτικά (corrective controls) ή αποτρεπτικά (deterrent controls). Το κάθε

αντίμετρο έχει σαν στόχο είτε τον εντοπισμό / ανακάλυψη των επιθέσεων, είτε την

ελαχιστοποίηση των επιπτώσεων, είτε τη μείωση της πιθανότητας των επιθέσεων

[Γκρίτζαλης, 2001], [ISO 13335-1, 1996].

Μετά από τον καθορισμό των βασικών εννοιών της οντολογίας, καθορίζονται οι μεταξύ

τους σχέσεις στην επόμενη παράγραφο.

5.5.1.1.2 Σχέσεις μεταξύ των βασικών εννοιών του ISO/IEC 17799 και

Εννοιολογικό Μοντέλο

Αναλύοντας περαιτέρω το Βήμα 4 της μεθοδολογίας ανάπτυξης της ΟΑ, και

προκειμένου για τα πρότυπα της οικογένειας ISO/IEC 17799, στα επόμενα θα

παρατεθούν κάποιες βασικές υπό-οντολογίες οι οποίες έχουν οριστεί κατά τη διάρκεια

του βήματος. Η διαδικασία αυτή υποστηρίζει την καλύτερη κατανόηση του γνωστικού

πεδίου και την ανταλλαγή απόψεων σχετικά με τη βέλτιστη μορφή της οντολογίας

ασφάλειας. Κάθε υπό-οντολογία περιστρέφεται γύρω από μια κεντρική έννοια και

περιλαμβάνει τις άμεσες γειτονικές της έννοιες. Αξίζει να παρατηρήσει κανείς ότι οι

σχέσεις μεταξύ των εννοιών μπορεί να είναι και αμφίδρομες. Στη συνέχεια παρατίθενται

δύο ενδεικτικά παραδείγματα σε υψηλό επίπεδο (με βάση τις έννοιες Αγαθό και Απειλή)

προκειμένου να επιδειχθεί η προσέγγιση.

Στο Σχήμα 5.2 απεικονίζεται η υπό-οντολογία με κεντρικό άξονα την έννοια Αγαθό

(Asset): ένα Αγαθό απειλείται από μια Απειλή (Threat), η οποία εκμεταλλεύεται μια



Σελ. 225

Αδυναμία (Vulnerability) η οποία με τη σειρά της εάν πραγματοποιηθεί εκθέτει το Αγαθό

σε ένα Κίνδυνο (Risk) με μια συγκεκριμένη Επίπτωση (Impact). Το Αντίμετρο

(Countermeasure) προφυλάσσει το Αγαθό, στοχεύει στην αντιμετώπιση της Απειλής και

μειώνει την Επίπτωση και την έκθεση στην Αδυναμία. Στο Σχήμα 5.3 απεικονίζεται η

υπό-οντολογία για την έννοια Απειλή (Threat), ακολουθώντας την ίδια λογική. Άλλες

υπό-οντολογίες με βάση τον Κίνδυνο (Risk), το Αντίμετρο (Countermeasure), την

Ευπάθεια (Vulnerability) και το Ανεπιθύμητο Περιστατικό (Unwanted Incident) είναι

διαθέσιμες στο Παράρτημα Ι.

Σχήμα 5.2: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά ISO/IEC 17799: Αγαθό

Threat

Vulnerability Asset

Impact

Countermeasure

Risk

Has Target(Asset)

Targets(Asset)

Targets(Asset)

Decreases(Impact)

Exposes(Asset)

Exploits(Vul)

Causes (Risk)

Enables (Risk)

Protects

Reduces (Vul)

Targets(Threat)



Σελ. 226

Σχήμα 5.3: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά ISO/IEC 17799: Απειλή

Threat

Vulnerability

Attack

Asset

Countermeasure

RiskHasTarget(Asset)

ThreatAgent

1

*

Mitigates(Threat)

HasTarget(Asset)

Initiates(Threat)

Exploits(Vul)

Causes (Risk)

Exposes(Asset)

Protects (Asset)

Enables (Risk)

Reduces (Vul) Το τελικό εννοιολογικό μοντέλο της ΟΑ για την αποτίμηση επικινδυνότητας κατά

ISO/IEC 17799 (σε υψηλό επίπεδο) απεικονίζεται στο Σχήμα 5.4.

Σχήμα 5.4: Οντολογία Ασφάλειας κατά ISO/IEC 17799 για την ΑΕ

Threat

Vulnerability

Attack

UnwantedIncident

Asset

Impact

Stakeholder

Countermeasure

Risk

HasTarget(Asset)

Exposes(Asset)

Initiates(Unwanted Incident)

Results In(Unwanted Incident)

Owns(Asset)

HasTarget (Asset)Controls

SecurityPolicy

Decreases(Impact)

Owns(SecPol)

Exposes(Asset)

ThreatAgent

1

*

Initiates

Exploits(Vul)

Include (Count)

Causes (Risk)

Enables (Risk)

Protects

Reduces (Vul)Leads (Impact)

Includes

Mitigates(Threat)

Leads (Unwanted Incident)

HasTarget (Asset)



Σελ. 227

Ο Πίνακας 5.1 συνοψίζει τις συσχετίσεις μεταξύ των βασικών όρων του ISO/IEC 17799

που αναλύθηκαν στην ενότητα 5.5.1.1.1 (οι όροι αναγράφονται στα αγγλικά καθώς

ακολουθεί σχετική υλοποίηση σε OWL στην ενότητα 5.5.3):

Πίνακας 5.1: Οντολογία Ασφάλειας κατά ISO/IEC 17799 για την ΑΕ – Συσχετίσεις Όρων

Έννοια της ΟΑ Συσχετίσεις με άλλες Έννοιες της ΟΑ

Threat agent Initiates Threat

Exploits Vulnerability

Causes Unwanted Incident

Causes Risk

Threat

Targets Asset

Attack Arises from Threat

Enables unwanted incident

Enables risk

Vulnerability

Exposes Asset

Risk Targets Asset

Protects Asset

Reduces Vulnerabilities

Reduces Impact of an Undesirable Event

Countermeasure

Targets Threat



Σελ. 228


Targets Asset Unwanted Incident

Has Impact

Owns Asset Stakeholder

Owns Security policy

Security policy Includes Controls

Controls Include Countermeasures

5.5.1.2 Εννοιολογικό Μοντέλο ΟΑ για ΑΕ με βάση το COBIT


Στην ενότητα 4.5.2, «Το πλαίσιο Διαχείρισης Επιχειρησιακών Κινδύνων COBIT»

αποτυπώθηκε συνοπτικά το μοντέλο διαχείρισης επιχειρησιακών κινδύνων COBIT, το

οποίο προσανατολίζεται σε θέματα διαχείρισης επιχειρησιακού κινδύνου που

προκύπτουν από τη χρήση ΠΣ [ITGI COBIT, 2000], [ITGI COBIT OBJ, 2000]. Το πεδίο

εφαρμογής του προτύπου είναι ευρύτερο από τη διαχείριση ασφάλειας ΠΣ, αφού είναι

συνδέεται άρρηκτα με την επιχειρησιακή αποτελεσματικότητα και την εξασφάλιση των

επιχειρησιακών στόχων [ITGI COBIT, 2000]. Το πρότυπο COBIT είναι

προσανατολισμένο στη διαχείριση των κινδύνων μέσω των αντίστοιχων ελέγχων

(controls)39 στις διεργασίες πληροφορικής. Οι βασικοί όροι που προκύπτουν από τη

39 Σε αυστηρά θεωρητικό και εννοιολογικό επίπεδο, οι έννοιες Αντίμετρο και Έλεγχος είναι συγγενείς

αλλά διακριτές έννοιες – στο περιβάλλον του COBIT το Αντίμετρο αποτελείται από (μια σειρά από)



Σελ. 229

μελέτη του μοντέλου και ορίζουν το λεξιλόγιο της ΟΑ είναι οι εξής [Μιχαηλίδου, 2004],

[Gritzalis and Tsoumas, 2005], [Gritzalis and Tsoumas, 2006]:

Περιοχή (Domain): Το πρότυπο ορίζει τέσσερις περιοχές / τομείς (domains) σκοπών

ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν τον κύκλο ζωής ενός πληροφοριακού

συστήματος, ως εξής (βλ. και ενότητα 4.5.2):

Ø Σχεδιασμός και Οργάνωση (Planning and Organization, PO),

Ø Προμήθεια και Υλοποίηση (Acquisition and Implementation, AI),

Ø Παράδοση και Υποστήριξη (Delivery and Support, DS), και

Ø Έλεγχος και Παρακολούθηση (Monitoring, M).

Διεργασία (Process): Σε κάθε τομέα αντιστοιχεί ένας αριθμός Διεργασιών Πληροφορικής

(IT Processes) που σχετίζονται με αυτόν – για παράδειγμα, ο Καθορισμός ενός

Στρατηγικού Πλάνου για τα πληροφοριακά συστήματα είναι μια διεργασία

πληροφορικής που διεξάγεται κυρίως κατά τη φάση του σχεδιασμού του πληροφοριακού

συστήματος (τομέας PO). Για να είναι σε θέση ο οργανισμός να διαθέτει την κατάλληλη

πληροφορία με βάση την οποία θα επιτευχθούν οι στόχοι του, αυτές οι διεργασίες θα

πρέπει να διαχειρίζονται αποτελεσματικά τους πληροφοριακούς του πόρους,

Ερέθισμα (Trigger): Η έννοια αυτή αναπαριστά τη σχέση μεταξύ διαφορετικών

διεργασιών και το γεγονός ότι μία διεργασία (ή το αποτέλεσμά της) μπορεί να

αποτελέσει το έναυσμα για μία άλλη διεργασία (συνήθως μέσω κάποιου γεγονότος),

Δραστηριότητα (Activity): Κάθε διεργασία πληροφορικής αναλύεται περαιτέρω σε

δραστηριότητες (Activities/Tasks), εξειδικεύοντας τις απαιτούμενες ενέργειες σε

μικρότερα και πιο διαχειρίσιμα μέρη με το δικό τους κύκλο ζωής,

Πληροφοριακός Πόρος (IT Resource): Οι πληροφοριακοί πόροι που αναγνωρίζονται από

το πρότυπο COBIT είναι οι εξής:

Ελέγχους προκειμένου να διαπιστωθεί η συμφωνία με τους Στόχους Ελέγχου (Control Objectives), με

συνέπεια να θεωρούνται πανομοιότυπες έννοιες.



Σελ. 230

Ø Δεδομένα (Data): αντικείμενα με την ευρύτερη έννοια του όρου, δομημένα ή

αδόμητα

Ø Συστήματα Εφαρμογών (Application Systems): χειροκίνητες και

αυτοματοποιημένες διαδικασίες

Ø Τεχνολογία (Technology): υλικό, λειτουργικά συστήματα, συστήματα διαχείρισης

βάσεων δεδομένων, δίκτυα κ.λπ.

Ø Άνθρωποι (People): η εμπειρία, η επιδεξιότητα, η παραγωγικότητα κ.λπ. των

υπάλληλων του οργανισμού για το σχεδιασμό, την οργάνωση, την προμήθεια και

την υλοποίηση, την παράδοση, υποστήριξη, τον έλεγχο και την παρακολούθηση

των συστημάτων και των υπηρεσιών.

Ø Υπηρεσίες (Facilities): όλοι οι πόροι που υποστηρίζουν τα πληροφοριακά

συστήματα.

Πληροφορία (Information): Η πληροφορία που διακινείται, αποθηκεύεται και μεταδίδεται

μέσα στον οργανισμό,

Επιχειρησιακός Στόχος (Business Objective): Οι στόχοι που πρέπει να εκπληρώσει ένας

οργανισμός για να αποκτήσει ανταγωνιστικό πλεονέκτημα στο χώρο δραστηριοποίησής

του. Αποτελεί προϋπόθεση για την ανάπτυξη της στρατηγικής ενός οργανισμού. Η

μέτρηση της απόδοσης των επιχειρησιακών στόχων γίνεται συνήθως με ποιοτικά

κριτήρια επιτυχίας / αποτυχίας παρά με ποσοτικά κριτήρια,

Σκοπός Ελέγχου Υψηλού Επιπέδου (High-Level

Control Objective): Δήλωση του επιθυμητού

αποτελέσματος ή σκοπού που πρέπει να επιτευχθεί

με την υλοποίηση διαδικασιών ελέγχου σε μία

συγκεκριμένη Δραστηριότητα Πληροφορικής (IT

activity). Στο πλαίσιο COBIT καθορίζονται 34

σκοποί-ελέγχου υψηλού επιπέδου (IT Control

Objectives), ένας για κάθε διεργασία, οι οποίοι

ομαδοποιούνται σε 4 περιοχές [ITGI COBIT OBJ, 2000]. Το πρότυπο προβλέπει τρία

διαφορετικά επίπεδα όσον αφορά στη σπουδαιότητα των σκοπών ελέγχου. Υπό αυτή την

οπτική λοιπόν, ένας σκοπός ελέγχου δύναται να είναι: α) Πρωτεύων (Primary), όπου ο



Σελ. 231

σκοπός ελέγχου επηρεάζει σε μεγάλο βαθμό τη διεργασία πληροφορικής, β) Δευτερεύων

(Secondary), όπου ο σκοπός ελέγχου επηρεάζει τη διεργασία πληροφορικής σε

μικρότερο βαθμό, και γ) Προαιρετικός (Blank), όπου ο σκοπός ελέγχου καλύπτεται από

άλλους σκοπούς ελέγχου για τη συγκεκριμένη διεργασία πληροφορικής.

Λεπτομερείς Σκοποί Ελέγχου (Detailed Control Objectives): Με την επιτυχή εφαρμογή

αυτών των παραπάνω σκοπών ελέγχου, ο οργανισμός διασφαλίζει την ύπαρξη ενός

επαρκούς συστήματος μηχανισμών ελέγχου, προκειμένου τα πληροφοριακά του

συστήματα να υποστηρίξουν τους οργανωσιακούς στόχους. Αυτό το σύνολο σκοπών

ελέγχου υψηλού επιπέδου αναλύονται σε ένα σύνολο λεπτομερών σκοπών ελέγχου, οι

οποίοι υπερβαίνουν τους τριακόσιους και είναι απαραίτητοι για την επίτευξη των

προαναφερόμενων στόχων,

Οδηγίες Εφαρμογής Ελέγχου (Audit Guidelines): Οι οδηγίες εφαρμογής ελέγχου

χρησιμοποιούνται τόσο για την αποτελεσματική σύνδεση των διεργασιών με τους

λεπτομερείς στόχους ελέγχου όσο και για τη διασφάλιση της αποτελεσματικής

εφαρμογής των σκοπών ελέγχου. Και εδώ υπάρχει μια ιεραρχία στόχων ελέγχου,

εξειδικεύοντας στόχους ελέγχου υψηλού επιπέδου σε χαμηλότερα επίπεδα μεγαλύτερης

λεπτομέρειας για την ελεγχόμενη ενσωμάτωση του ελέγχου σε κάθε διεργασία και για

την τεκμηρίωση των επιχειρησιακών στόχων,

Έλεγχος (Control): οι πολιτικές, οι διαδικασίες, οι πρακτικές και οι οργανωσιακές δομές

που έχουν σχεδιαστεί με τέτοιο τρόπο για να παρέχουν διαβεβαίωση ότι οι

επιχειρησιακοί στόχοι θα επιτευχθούν ενώ τα δυσάρεστα γεγονότα θα αποτραπούν (είτε

η επίδρασή τους θα μειωθεί στο ελάχιστο δυνατό). Οι έλεγχοι ικανοποιούν τα

Πληροφοριακά Κριτήρια (Information Criteria, βλ. επόμενα). Οι έλεγχοι υλοποιούν τους

σκοπούς ελέγχου υψηλού επιπέδου,

Κίνδυνος (Risk): Η πιθανότητα μία συγκεκριμένη απειλή να εκμεταλλευτεί τις αδυναμίες

του συστήματος και να προκαλέσει την απώλεια ή ζημία σε έναν πόρο του συστήματος.

Για να ικανοποιηθούν οι επιχειρησιακοί στόχοι, η πληροφορία θα πρέπει να ικανοποιεί

συγκεκριμένες απαιτήσεις – Πληροφοριακά Κριτήρια (Information Criteria):

Ø Απαιτήσεις Ποιότητας (Quality Requirements): Ποιότητα, κόστος και μεταφορά

της πληροφορίας,



Σελ. 232

Ø Απαιτήσεις Ασφάλειας (Security Requirements): Εμπιστευτικότητα

(Confidentiality), Ακεραιότητα (Integrity), Διαθεσιμότητα (Availability).

Ø Απαιτήσεις «Εμπιστοσύνης» (Fiduciary Requirements): Αποτελεσματικότητα και

αποδοτικότητα λειτουργιών, αξιοπιστία πληροφορίας και συμμόρφωση στους

νόμους και τους κανονισμούς.

Εκτός από την πληροφορία, στις απαιτήσεις αυτές θα πρέπει να συμμορφώνονται και οι

άλλοι πόροι του οργανισμού (IT resources).

Για τον έλεγχο των διεργασιών πληροφορικής το πρότυπο COBIT παρέχει επίσης τα

ακόλουθα εργαλεία και τεχνικές:

Ø Μοντέλα Ωριμότητας (Maturity Models): τα οποία παρέχουν μια διαβάθμιση του

οργανισμού ως προς το βαθμό εφαρμογής της εταιρικής διακυβέρνησης, τόσο

συγκριτικά με άλλους οργανισμούς του ίδιου κλάδου / τομέα δραστηριοποίησης

όσο και με σχετικά διεθνή πρότυπα, όπως επίσης και τους στόχους του

οργανισμού όσον αφορά την εταιρική διακυβέρνηση,

Ø Κρίσιμοι Παράγοντες Επιτυχίας (Critical Success Factors): οι οποίοι ορίζουν σε

διοικητικό επίπεδο τις σημαντικότερες οδηγίες υλοποίησης του ελέγχου στις

διεργασίες Π.Σ.,

Ø Κύριοι Δείκτες Στόχων (Key Goal Indicators), οι οποίοι είναι μετρικές για την

επίτευξη των στόχων για τις διεργασίες ΠΣ (αποτελεσματικότητα), και

Ø Κύριοι Δείκτες Απόδοσης (Key Performance Indicators), οι οποίοι είναι μετρικές

για την απόδοση των διεργασιών ΠΣ κατά την επίτευξη των στόχων

(αποδοτικότητα).

5.5.1.2.2 Σχέσεις μεταξύ των βασικών εννοιών του COBIT και Εννοιολογικό

Μοντέλο

Η διεργασία PO9 (Planning and Organization PO9) του COBIT στοχεύει στην αποτίμηση

επικινδυνότητας και επιλέχθηκε για να αναλυθεί και στη συνέχεια να μετασχηματιστεί

στο εννοιολογικό μοντέλο της ΟΑ για τη ΑΕ κατά COBIT. Με αντίστοιχη προσέγγιση με

εκείνη που υιοθετήθηκε για την ΟΑ κατά ISO/IEC 17799, στα επόμενα περιγράφονται

δύο βασικές υπό-οντολογίες του COBIT (σε υψηλό επίπεδο), με κεντρικές έννοιες τον



Σελ. 233

Πληροφοριακό Πόρο (IT Resource, Σχήμα 5.5) και τον Έλεγχο (Control, Σχήμα 5.6).

Σχήμα 5.5: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά COBIT: Πόρος Πληροφορικής (IT Resource)

Process

manages (IT Resource)

IT Resource

Control Information Criteria

satisfies (Inf. Criteria)

conforms (Inf. Criteria)

protects (IT Resource)



Σελ. 234

Σχήμα 5.6: Εννοιοκεντρική υπό-Οντολογία Ασφάλειας κατά COBIT: Έλεγχος (Control)

IT Resource

High-LevelControl Objective

Information

Control

Policy ProcedureOrganisationalStructure

Practice

Risk

prevent (risk)

Information Criteria

conformconform

implement (Control Objective)

MaturityModels

satisfies (Inf. Criteria)uses

Το τελικό εννοιολογικό μοντέλο της ΟΑ για την αποτίμηση επικινδυνότητας κατά

COBIT (σε υψηλό επίπεδο) απεικονίζεται στο Σχήμα 5.7 με τις λευκές κλάσεις να

αναλύονται περαιτέρω σε επιμέρους οντολογίες, όπως «Κίνδυνοι και Σκοποί Ελέγχου»

(«Risk vs. Control Objectives”) και «Σενάρια Απειλών» (“Threat Scenarios”) και είναι

διαθέσιμες στο Παράρτημα ΙΙ [Gritzalis and Tsoumas, 2005].



Σελ. 235

Σχήμα 5.7: Οντολογία Ασφάλειας κατά COBIT (διεργασία PO9) για την ΑΕ

Process of Assessing Risks-measure Trigger

1 *

IT Resources

RiskAssessment

Planning&Organisation

DetailedControl Objective

AuditGuideline

Information

BusinessObjective

Control-degree

Policy

Risk AssessmentProcedure

Risk-factor


SecurityRequirements-type

Confidentiality Integrity Availability

Vulnerability

Threat-probability-frequency

Risk AssessmentDocument

-type

Risk ActionPlanSafeguard

satisfies

Business RiskAssessment Doc

Operating Risk Assessment Doc

IT RiskAssessment Doc

Title : PO9: Assess Risks

Page 1 : Risk Assessment OverviewPage 2 : Risk vs. Control ObjectivesPage 3 : Threat Scenarios

Ο Πίνακας 5.2 συνοψίζει τις συσχετίσεις μεταξύ των βασικών όρων του COBIT που

αναλύθηκαν στην ενότητα 5.5.1.2.1, είναι οι εξής (οι όροι αναγράφονται στα αγγλικά

καθώς ακολουθεί σχετική υλοποίηση σε OWL στην ενότητα 5.5.3):

Πίνακας 5.2: Οντολογία Ασφάλειας κατά COBIT για την ΑΕ – Συσχετίσεις Όρων


Has Control Objective Domain

Consists of Process

Process Manage Information



Σελ. 236


Manage IT Resources

Conform to Audit Guidelines

Satisfy Business Objectives

Consists of Activities

Target Process Trigger

Has Source Process

IT Resource Conform to Information Criteria

Information Conform to Information Criteria

Has Detailed Control Objectives

Documents Business Objectives

High-Level Control

Objective

Apply to Process

Uses Critical Success Factors (CSF) Audit Guideline


Uses Maturity Models

Protects Information

Protects IT Resources

Control

Satisfies Information Criteria



Σελ. 237


Implements Control Objectives

Prevent Risk

Assure Business Objectives

5.5.1.3 Ενοποιημένο Εννοιολογικό Μοντέλο ΟΑ για ΑΕ

Στην ενότητα αυτή παρουσιάζεται το ενοποιημένο μοντέλο της οντολογίας για

Διαχείρισης Κινδύνων Πληροφορικής με βάση τις οντολογίες που παρουσιάστηκαν στις

ενότητες 5.5.1.1 και 5.5.1.2 (ISO/IEC 17799 και COBIT, αντίστοιχα). Τα πρότυπα της

οικογένειας BS7799 προσεγγίζουν την ασφάλεια από την οπτική γωνία της τεχνολογίας

των υπολογιστών (IT Technology – IT), και μεταφράζεται σε κινδύνους IT (IT Risks) και

σε ασφάλεια IT (IT Security)· από την άλλη πλευρά, το πρότυπο COBIT παρότι

χρησιμοποιεί παρεμφερή ορολογία, επικεντρώνει στη διαχείριση κινδύνων που πηγάζουν

από τη χρήση της πληροφορικής σε επιχειρησιακό επίπεδο.

Με αυτή την οπτική, θεωρούμε ότι η διαδικασία της διαχείρισης του επιχειρησιακού

κινδύνου (COBIT) εμπερικλείει την έννοια της διαχείρισης της ασφάλειας ΠΣ (ISO/IEC

17799) με αποτέλεσμα η οντολογία του COBIT να εμπεριέχει εννοιολογικά την

οντολογία του ISO/IEC 17799, επιτυγχάνοντας έτσι μια ενοποίηση των δύο οντολογιών.


Κάποιες από τις έννοιες / κλάσεις των δύο επιμέρους εννοιολογικών μοντέλων είναι

κοινές ή με παραπλήσια σημασία. Για το λόγο αυτό και προκειμένου να οριστεί το

λεξιλόγιο της ενοποιημένης ΟΑ, κάποιες έννοιες συγχωνεύθηκαν ως εξής:

Ø IT Safeguard / Countermeasure: η κλάση Countermeasure ανήκει στο

υπομοντέλο ΑΕ κατά ISO/IEC 17799 και μοντελοποιεί την έννοια των μέτρων

ασφάλειας που περιορίζουν τις επιπτώσεις των κινδύνων ενώ η κλάση IT



Σελ. 238

Safeguard ανήκει στο υπομοντέλο κατά COBIT. Αν και η έννοια Safeguard είναι

πιο γενική από την έννοια Countermeasure, στο ενοποιημένο μοντέλο

υιοθετήθηκε η τελευταία έννοια καθότι αναφέρεται σε πιο συγκεκριμένα μέτρα

αντιμετώπισης κινδύνων πληροφορικής.

Ø Threat: έχει ακριβώς το ίδιο νόημα και στα δύο υπομοντέλα.

Ø Vulnerability: έχει ακριβώς το ίδιο νόημα και στα δύο υπομοντέλα.

Ø Security Policy / Policy: έχουν ακριβώς το ίδιο νόημα. Στο ενοποιημένο μοντέλο

χρησιμοποιείται ο όρος Policy.

Ø Asset / IT Resource: η κλάση Asset (υπομοντέλο ISO/IEC 17799) μοντελοποιεί

την έννοια του πληροφοριακού πόρου, όπως και η κλάση IT Resource

(υπομοντέλο COBIT) έχοντας το ίδιο νόημα. Στο ενοποιημένο μοντέλο θα

χρησιμοποιηθεί ο όρος IT Resources καθώς είναι πιο περιεκτικός.

Ø Risk: έχει ακριβώς το ίδιο νόημα και στα δύο υπομοντέλα.

5.5.1.3.2 Κανονικοποίηση της ενοποιημένης ΟΑ και Εννοιολογικό Μοντέλο

Στο Σχήμα 5.8 απεικονίζεται η ενοποιημένη οντολογία ΑΕ (σε εννοιολογικό επίπεδο)

που έχει σα βασικό στόχο την αναπαράσταση της γνώσης ασφάλειας βάσει της

σύγκλισης των μεθόδων αποτίμησης της επικινδυνότητας που βασίζονται σε αποτίμηση

αγαθών (asset-based – ISO/IEC 17799) με αυτές που βασίζονται σε αποτίμηση επιχειρη-

σιακών διαδικασιών (process-based – COBIT). Η λεπτομερής ενοποιημένη οντολογία

ασφάλειας για την ΑΕ ακολουθεί τη λογική των οντολογιών που παρατίθενται στα

παραρτήματα Ι (BS7799) και ΙΙ (COBIT).



Σελ. 239

Σχήμα 5.8: Ενοποιημένο Εννοιολογικό Μοντέλο Οντολογίας Ασφάλειας για την ΑΕ

Process Trigger-source

1 *

target

manage (resource)

IT Resource

High-LevelControl Objective

apply (process)

DomainHas(Control Obj)


Has(Detailed Obj)

AuditGuideline

BusinessObjective

document (bus obj)

include(obj)

Control

Policy

Procedure

OrganisationalStructure Practice

assure (business obj)

Risk

prevent (risk)


QualityRequirements

FiduciaryRequirements

SecurityRequirements

consists of(process)

activity

consists of(activity)

satisfy (business objective)

satisfies (inf cri)

conform

implement (con obj)

MaturityModels

CSF

uses

use (CSF)

IT Governance

Threat

Vulnerability

UnwantedIncident

Countermeasure

exploits

causes

causes

targets

Το ενοποιημένο μοντέλο προέκυψε από την ένωση των δύο βασικών μοντέλων

αποτίμησης της επικινδυνότητας που δημιουργήθηκαν σύμφωνα με τα πρότυπα ISO/IEC

17799 (ενότητα 5.5.1.1) και COBIT (ενότητα 5.5.1.2), αντίστοιχα. Οι έννοιες που

προέρχονται από το ISO/IEC 17799 απεικονίζονται με ροζ χρώμα, ενώ οι έννοιες που

προέρχονται από το COBIT απεικονίζονται με μπλε χρώμα. Η συνεισφορά των μοντέλων

είναι η ακόλουθη (Πίνακας 5.3):

Πίνακας 5.3: Έννοιες της Ενοποιημένης Οντολογίας Ασφάλειας για την ΑΕ

Έννοια της ενοποιημένης οντολογίας ασφάλειας για ΑΕ Πρότυπο

Vulnerability ISO/IEC 17799

Threat ISO/IEC 17799



Σελ. 240

Έννοια της ενοποιημένης οντολογίας ασφάλειας για ΑΕ Πρότυπο

Unwanted Incident ISO/IEC 17799

Countermeasure ISO/IEC 17799

IT Governance COBIT

Risk COBIT

IT Resources COBIT

Process COBIT

Trigger COBIT

Business Objective COBIT

High Level Control Objective COBIT

Activity COBIT

Domain COBIT

Detailed Control Objective COBIT

Audit Guideline COBIT

Critical Success Factor COBIT

Information Criteria COBIT

Ο Πίνακας 5.4 συνοψίζει τις συσχετίσεις μεταξύ των βασικών όρων της ενοποιημένης

οντολογίας ασφάλειας (οι όροι αναγράφονται στα αγγλικά σε συνάφεια με τις



Σελ. 241

προηγούμενες οντολογίες 5.5.1.1 και 5.5.1.2):

Πίνακας 5.4: Ενοποιημένη Οντολογία Ασφάλειας για την ΑΕ – Συσχετίσεις Όρων


Has Control Objective(s) Domain

Consists of Processes

Manage Information

Manage IT Resources

Conforms to Audit Guidelines

Satisfies Business Objectives

Process

Consists of Activities

Targets Process Trigger

Has Source Process

IT Resource Conforms to Information Criteria

Information Conforms to Information Criteria


Documents Business Objectives

Applies to Process

High-Level Control

Objective

Has Countermeasures



Σελ. 242


Uses Critical Success Factors (CSF) Audit Guideline


Uses Maturity Models

Protects Information

Protects IT Resources

Satisfies Information Criteria

Implements Control Objectives

Prevents Risk

Control

Assures Business Objectives

Threat Exploits Vulnerability

Causes Unwanted Incident

Causes Risk

Targets Asset

Vulnerability Enables unwanted incident

Enables Risk

Exposes Asset

Risk Targets Asset



Σελ. 243


Countermeasure Reduces Vulnerabilities

Targets Threat

Unwanted Incident Targets Asset

Στην επόμενη ενότητα περιγράφεται η δημιουργία του σχήματος επέκτασης του CIM για

την ΑΕ και η σύνδεσή του με υπάρχουσες υλοποιήσεις ΠΣ σε CIM.

5.5.2 Φάση 2: Σχήμα Επέκτασης του μοντέλου CIM για ΔΑ

5.5.2.1 Γενική προσέγγιση

Οι οντολογίες ασφάλειας που μοντελοποιήθηκαν στην προηγούμενη φάση δεν

αναφέρονται σε ένα συγκεκριμένο ΠΣ – αντίθετα, απευθύνονται στις απαιτήσεις

ασφάλειας όπως αυτές εκφράζονται μέσα από την αποτίμηση επικινδυνότητας. Θα

πρέπει να σημειωθεί ότι η επόμενη συζήτηση αφορά σε όλα τα εννοιολογικά μοντέλα

που προσδιορίστηκαν στην προηγούμενη φάση (κατά ISO/IEC 17799, κατά COBIT και

ενοποιημένο μοντέλο, αντίστοιχα) και ως εκ τούτου για απλότητα θα γίνεται αναφορά σε

ενικό αριθμό χωρίς απώλεια της γενικότητας.

Οι απαιτήσεις ασφάλειας αναφέρονται ευθέως σε πόρους ή διεργασίες πληροφορικής οι

οποίες ενδέχεται να έχουν μοντελοποιηθεί κατά το παρελθόν με το CIM. Προκειμένου να

επαναχρησιμοποιηθεί η όποια πληροφορία διαχείρισης ΠΣ που έχει μοντελοποιηθεί σε

άλλες υλοποιήσεις, το εννοιολογικό μοντέλο της ΟΑ:

Ø συνδέεται με το πρότυπο μοντέλο του CIM μέσω αναφορών (references)

επιτυγχάνοντας έτσι πρόσβαση στη συνολική ιεραρχία των εννοιών CIM, αλλά

και σε όλες τις υλοποιήσεις ΠΣ οι οποίες επίσης έχουν κληρονομική σχέση με

κάποια έννοια του CIM (συμπεριλαμβανομένης και της υπέρ-κλάσης του CIM,

ManagedElement).



Σελ. 244

Ø συνδέεται με άλλα CIM μοντέλα μέσω αναφορών (references) από τις έννοιες της

ΟΑ προς τις κατάλληλες έννοιες των άλλων υλοποιήσεων CIM, αντίστοιχα.

Με αυτό τον τρόπο, το μοντέλο αποκτά τα επόμενα πλεονεκτήματα:

Ø Η ΟΑ αναπαριστάνει μόνο τις απαιτήσεις ασφάλειας πληροφοριακών

συστημάτων που έχουν ήδη μοντελοποιηθεί σε CIM, μειώνοντας έτσι την

επανάληψη πληροφορίας διαχείρισης και βελτιστοποιώντας το μοντέλο, το οποίο

σε υλοποιήσεις ΠΣ μεγάλων οργανισμών ενδέχεται να έχει δεκάδες εκατοντάδων

έννοιες (concepts) και χιλιάδες στιγμιότυπα (instances).

Ø Η ΟΑ έχει πρόσβαση σε άλλες ιδιότητες του ΠΣ που έχουν ήδη μοντελοποιηθεί,

μέσω των αναφορών που δημιουργούνται από έννοιες της ΟΑ προς έννοιες του

μοντελοποιημένου ΠΣ.

Ø Η ΟΑ έχει πρόσβαση στις έννοιες και ιδιότητες του κύριου μοντέλου CIM (core

CIM), μέσω της σύνδεσής της με το κύριο μοντέλο.

Ένα παράδειγμα θα βοηθήσει στην επεξήγηση των σημαντικών αυτών πτυχών της

οντολογίας ασφάλειας, χωρίς να υπεισέλθουμε σε λεπτομέρειες υλοποίησης του CIM

στην πράξη. Έστω ότι το πληροφοριακό σύστημα “IS” έχει μοντελοποιηθεί με βάση το

CIM (βλ. Σχήμα 5.9): το IS διαθέτει κάποιους πόρους πληροφορικής οι οποίοι έχουν

μοντελοποιηθεί σαν στιγμιότυπα (instances) των κατάλληλων κλάσεων (classes) του

μοντέλου CIM. Έτσι λοιπόν, εάν το ΠΣ “IS” διαθέτει ένα εξυπηρετητή βάσης δεδομένων

(“DB”) και έναν εξυπηρετητή διαδικτύου (“WEB”) αντίστοιχα, ένα δρομολογητή και ένα

αριθμό από τερματικούς σταθμούς εργασίας (σ.σ. η συζήτηση αφορά μόνο τους δύο

εξυπηρετητές του IS για λόγους απλότητας και καλύτερης κατανόησης – η ίδια

προσέγγιση ακολουθείται για όλους τους πόρους του ΠΣ), ο μεν πόρος DB

μοντελοποιείται σαν ένα στιγμιότυπο της αντίστοιχης κλάσης CIM_DatabaseSystem, ο

δε πόρος WEB σε ένα αντίστοιχο στιγμιότυπο της κλάσης του CIM

CIM_ApplicationSystem. Αξίζει να σημειωθεί ότι αφού το IS έχει μοντελοποιηθεί με

βάση το CIM, οι κλάσεις του IS κληρονομούνται από την υπερκλάση του CIM (CIM_

ManagedElement), με αποτέλεσμα οι παραγόμενες κλάσεις/στιγμιότυπα που

αναπαριστούν το IS να έχουν πρόσβαση τόσο στις ιδιότητες (attributes) όσο και στις



Σελ. 245

συναρτήσεις (functions) όλων των κλάσεων / στιγμιοτύπων που παράγονται από την

κλάση CIM_ ManagedElement (ουσιαστικά σε όλες τις κλάσεις / στιγμιότυπα του

μοντέλου CIM). Η μοντελοποίηση του IS σε CIM αποτυπώνεται στο Σχήμα 5.9.

Σχήμα 5.9: Μοντελοποίηση ΠΣ (“IS”) κατά CIM

Από την άλλη μεριά, το εννοιολογικό μοντέλο της οντολογίας ασφάλειας (“SO”)

αποτυπώνει τις απαιτήσεις ασφάλειας των πληροφοριακών πόρων που συνθέτουν το IS,

δημιουργεί ένα Σχήμα Επέκτασης του CIM (βλ. ενότητα 5.5.2.2), ενώ τα στιγμιότυπα της

SO συνδέονται με τα αντίστοιχα στιγμιότυπα του IS μέσω κατάλληλων αναφορών

διατηρώντας παράλληλα την ιεραρχική τους σχέση με την αρχική κλάση του CIM μέσω



Σελ. 246

της ιεραρχίας κλάσεων της SO. Αξίζει να σημειωθεί ότι στην SO μοντελοποιούνται σαν

στιγμιότυπα οι πόροι του IS οι οποίοι είναι αντικείμενο της αποτίμησης επικινδυνότητας,

οι οποίοι μπορεί να είναι υποσύνολο του συνολικού αριθμού των στιγμιοτύπων των

πόρων του IS – τυπικά:

NODESNODES SOIS ≥(ρ

Με άλλα λόγια, η SO μοντελοποιεί μόνο εκείνους τους πόρους του IS οι οποίοι είναι

αντικείμενο της ΑΕ, ενώ συνδέεται με αυτούς μέσω αναφορών των στιγμιοτύπων της.

Αυτή η σχέση αποτυπώνεται στο Σχήμα 5.10.

Σχήμα 5.10: Μοντελοποίηση ασφάλειας ΠΣ με Βάση το CIM – Σύνδεση με τη CIM Μοντελοποίηση του ΠΣ



Σελ. 247

Για κάθε πόρο που συμμετέχει στην ΑΕ, δημιουργείται ένα στιγμιότυπο της αντίστοιχης

κλάσης στην SO και το οποίο σε επόμενη φάση συμπληρώνεται με τις κατάλληλες

πληροφορίες από ένα αριθμό πηγών ασφάλειας σχετικά με το IS (αποτελέσματα της ΑΕ,

πρότυπα ασφάλειας, πολιτικές ασφάλειας, κλπ. – περισσότερα για αυτό το θέμα στην

ενότητα 6.9 «Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας» ). Η αναφορά

του στιγμιοτύπου του IS (το στιγμιότυπο CIM_ApplicationSystem στην πλευρά του IS

που μοντελοποιεί τον εξυπηρετητή διαδικτύου του IS, βλ. και Σχήμα 5.9) δεν είναι

απαραίτητη για τη δημιουργία και λειτουργία της οντολογίας ασφάλειας, αλλά παρέχεται

για άμεση σύνδεση στις πληροφορίες διαχείρισης του εξυπηρετητή που δεν

περιλαμβάνονται στην SO. Με αυτό τον τρόπο, οποιεσδήποτε αλλαγές στις πληροφορίες

διαχείρισης που ενδέχεται να επηρεάσουν τις απαιτήσεις ασφάλειας του συγκεκριμένου

πόρου είναι άμεσα προσβάσιμες σε πραγματικό χρόνο από το στιγμιότυπο του πόρου της

οντολογίας.

Επιπρόσθετα, η ίδια η SO συνδέεται μέσω ιεραρχικών σχέσεων με την υπερκλάση του

CIM CIM_ManagedElement, εκμεταλλευόμενη αντίστοιχα πλεονεκτήματα με τις

μοντελοποιήσεις των αμιγώς πληροφοριακών συστημάτων. Και οι τρεις οντολογίες που

ορίστηκαν (ISO/IEC 7799, COBIT και ενοποιημένο μοντέλο, αντίστοιχα) ακολουθούν

την ίδια λογική, υλοποιώντας τις βασικές έννοιες που παρουσιάστηκαν στις σχετικές

ενότητες. Σε όλες τις οντολογίες προστίθενται κάποιες βασικές κλάσεις – τα κύρια

βήματα της διαδικασίας αυτής περιγράφονται στις επόμενες παραγράφους.

5.5.2.2 Σύνδεση εννοιολογικού μοντέλου ΟΑ με το CIM

Προκειμένου η οντολογία ασφάλειας να συνδεθεί με το CIM, και προκειμένου να

υπάρχει μια γονική κλάση της οντολογίας ασφάλειας για ευκολότερη διαχείριση και

κεντρική αναφορά, εισάγεται η κλάση Security_Managed_Element. Η τελευταία

αποτελεί ειδίκευση της υπερκλάσης CIM_ManagedElement, του CIM Core Model. Η

νέα κλάση Security_Managed_Element αποτελεί την υπερκλάση του (οντολογικού)

υποδένδρου που αφορά τη διαχείριση ασφάλειας, ενώ κληρονομεί τις ιδιότητες και

λειτουργίες της κλάσης CIM_ManagedElement. Με τον ίδιο τρόπο, προκειμένου να

υπάρχει μια γονική κλάση της οντολογίας ασφάλειας για ΑΕ κατά ISO/IEC 17799,

εισάγεται η κλάση Risk_Assessment ενώ για το μοντέλα του COBIT και το ενοποιημένο



Σελ. 248

μοντέλο η κλάση IT Governance ομαδοποιεί δικαιωματικά τη διαχείριση των κινδύνων

και έτσι δεν απαιτείται συμπληρωματική κλάση. Τα παραπάνω απεικονίζονται στο

Σχήμα 5.11.

Σχήμα 5.11: Σύνδεση των Μοντέλων ΟΑ με το CIM

CIM_ManagedElement

Security_Managed_Element

Άλλες κλάσεις ΟΑ (ISO/IEC 17799)

Risk Assessment

CIM_ManagedElement

Security_Managed_Element

Άλλες κλάσεις ΟΑ (COBIT/

Ενοποιημένη ΟΑ)

IT Governance

Σε αυτό το σημείο, έχοντας δημιουργήσει το σχήμα επέκτασης του CIM, παραθέτουμε

στο Σχήμα 5.12 το πλήρες εννοιολογικό μοντέλο της ΑΕ κατά ISO/IEC 17799 με τις

σχετικές ιδιότητες των κλάσεών του με βάση τα [DMTF, 06], [CSE 1996], [Soldal et al.,

2003] (βλ. και Σχήμα 5.4).



Σελ. 249

Σχήμα 5.12: Οντολογία Ασφάλειας κατά ISO/IEC 17799 για την ΑΕ / Ιδιότητες

Ενδεικτικά, στα επόμενα αναφέρονται οι κυριότερες ιδιότητες των κλάσεων Αγαθό

(Asset), Απειλή (Threat) και Αδυναμία (Vulnerability). Τα πλήρη εννοιολογικά μοντέλα

των οντολογιών είναι διαθέσιμα στο Παράρτημα Ι.

Πίνακας 5.5: Ιδιότητες της κλάσης Αγαθό (Asset)

Asset

Όνομα Περιγραφή Τύπος

asset_id Ο κωδικός του

πόρου

Integer

asset_value Η αξία του πόρου Δείκτης στην κλάση Asset Value σε

άλλο υπομοντέλο



Σελ. 250

Asset


asset_τype τύπος του πόρου String

confidentiality εμπιστευτικότητα

πόρου

δείκτης στην κλάση Confidentiality σε


integrity Ακεραιότητα

πόρου

Δείκτης στην κλάση Integrity σε άλλο

υπομοντέλο

availability Διαθεσιμότητα

πόρου

Δείκτης στην κλάση Availability σε


authenticity Αυθεντικοποίηση

ταυτότητας πόρου

String

non-repudiation Μη-αποποίηση

ευθύνης

String

compliance Επίπεδο

Συμμόρφωσης

String

sensitivity_level Επίπεδο

Κρισιμότητας

String

replacement_cost Κόστος

Αντικατάστασης

Decimal

intrinsic_value Αξία Αγαθού Decimal

compromise_impact Επίπτωση Decimal



Σελ. 251

Η κλάση Απειλή (Threat) διαθέτει τις εξής ιδιότητες:

Πίνακας 5.6: Ιδιότητες της κλάσης Απειλή (Threat)

Threat


threat_id Ο κωδικός της απειλής String

threat_name Το όνομα της απειλής String

threat_type Ο τύπος της απειλής String

possibility Η πιθανότητα να συμβεί η απειλή Decimal

frequency Η συχνότητα πραγματοποίησης της απειλής Decimal

severity Η σοβαρότητα πραγματοποίησης της

απειλής

Decimal

Η κλάση Ευπάθεια (Vulnerability) διαθέτει τις εξής ιδιότητες:

Πίνακας 5.7: Ιδιότητες της κλάσης Ευπάθεια (Vulnerability)

Vulnerability


vulnerability_id ο κωδικός της ευπάθειας String



Σελ. 252

Vulnerability


access_control_right το δικαίωμα πρόσβασης που απαιτείται

για την εκδήλωση της αδυναμίας

String

access_control_rule Κανόνας ελέγχου πρόσβασης (αν

υπάρχει) που σχετίζεται με το

access_control_right

String

5.5.3 Φάση 3: Υλοποίηση της ΟΑ σε OWL

Μετά τον ορισμό του εννοιολογικού μοντέλου της ΟΑ και τη σύνδεσή του με το CIM

ακολουθεί η υλοποίησή της στη γλώσσα OWL του Σημασιολογικού Ιστού. Όπως

αναφέρθηκε και στην εισαγωγή του κεφαλαίου, ένας βασικός στόχος της έρευνας είναι η

διαχείριση των αποτελεσμάτων της Αποτίμησης Επικινδυνότητας (αντίμετρα ασφάλειας)

έχοντας σαν μοντέλο την οντολογία ασφάλειας κατά ISO/IEC 17799 και η οποία θα γίνει

αντικείμενο μελέτης στα επόμενα κεφάλαια. Έτσι λοιπόν σε αυτή τη φάση έγιναν οι

ακόλουθες επιλογές:

Ø Υλοποίηση των οντολογιών ασφάλειας ISO/IEC 17799 και COBIT σε OWL με

χρήση του εργαλείου Protégé [Protégé 2005]. Όσον αφορά στην οντολογία

ασφάλειας ISO/IEC 17799, υλοποιήθηκαν τα μοντέλα όλων των γνωστικών

τομέων (domains) του προτύπου, ενώ ειδικά για το μοντέλο της αποτίμησης

επικινδυνότητας (ενότητα 5.5.1.1.2, Σχήμα 5.4), ορίστηκαν και τα λογικά

αξιώματα ασφάλειας για το μοντέλο ISO/IEC 17799.

Ø Ορισμός βασικών αξιωμάτων λογικής σχετικών με τις έννοιες ασφάλειας όπως

αυτές ορίζονται στο ISO/IEC 17799· αντίστοιχα λογικά αξιώματα με παρόμοια

λογική είναι εφικτό να οριστούν και για την οντολογία COBIT αλλά και για το

ενοποιημένο μοντέλο.



Σελ. 253

Οι οντολογίες ασφάλειας κατά ISO/IEC 17799 και COBIT σε υψηλό επίπεδο

υλοποιημένες σε Protégé40 απεικονίζονται παρακάτω (Εικόνα 5.1 και Εικόνα 5.2,

αντίστοιχα) ενώ στην ενότητα 5.5.4 παρατίθενται τα λογικά αξιώματα που ορίστηκαν για

την οντολογία ISO/IEC 17799.

Εικόνα 5.1: Οντολογία Ασφάλειας κατά ISO/IEC 17799

40 Τα εννοιολογικά μοντέλα της οντολογίας κατά ISO/IEC 17799 είναι διαθέσιμες στο Παράρτημα Ι.



Σελ. 254

Εικόνα 5.2: Οντολογία Ασφάλειας κατά COBIT

5.5.4 Λογικά αξιώματα ασφάλειας για το μοντέλο ΟΑ του ISO/IEC 17799

Προκειμένου να διευκολυνθεί όσο το δυνατό η εξαγωγή συμπερασμάτων που αφορούν

θέματα ασφάλειας, εισάγεται ένας αριθμός από λογικές σχέσεις («αξιώματα») μεταξύ

των εννοιών της οντολογίας. Τα αξιώματα διευκολύνουν την λήψη αποφάσεων και

μοντελοποιούν ένα κομμάτι της υποκείμενης γνώσης η οποία δεν είναι άμεσα ορατή από

την παράθεση των πληροφοριών ασφάλειας και μόνο. Παραδείγματα τέτοιων αξιωμάτων

σε υψηλό επίπεδο αποτελούν τα κάτωθι (με παράθεση ψευδοκώδικα σε συγκεκριμένες

περιπτώσεις):

Ø Σχέσεις μεταξύ των βασικών εννοιών ασφάλειας: Οι ιδιότητες Εμπιστευτικότητα,

Ακεραιότητα, Διαθεσιμότητα και Απόδοση Ευθυνών (Confidentiality, Integrity,



Σελ. 255

Availability και Accountability) των Αγαθών ΠΣ συνδέονται με τις εξής σχέσεις

[NIST SP 800-33, 2001], όπως απεικονίζεται και στο

Ø Σχήμα 5.13:

o Η Εμπιστευτικότητα στηρίζεται στην ύπαρξη της Ακεραιότητας,

o Η Ακεραιότητα στηρίζεται στην ύπαρξη της Εμπιστευτικότητας,

o Η Διαθεσιμότητα στηρίζεται στην ύπαρξη της Ακεραιότητας και της

Εμπιστευτικότητας,

o Η Απόδοση Ευθυνών στηρίζεται στην ύπαρξη της Ακεραιότητας και της

Εμπιστευτικότητας,

o Η Διαβεβαίωση του επιπέδου ασφάλειας ενός ΠΣ στηρίζεται σε όλες τις

παραπάνω σχέσεις.

Λίστα Ψευδοκώδικα 5.1: Σχέσεις βασικών εννοιών ασφάλειας ΠΣ (1) IFF (ASSET->INTEGRITY) THEN ASSET->CONFIDENTIALITY); END IFF (2) IFF (ASSET->CONFIDENTIALITY) THEN ASSET->INTEGRITY); END IFF (3) IFF (ASSET->INTEGRITY && ASSET->CONFIDENTIALITY) THEN ASSET->AVAILABILITY); END IFF (4) IFF (ASSET->INTEGRITY && ASSET->CONFIDENTIALITY) THEN ASSET->ACCOUNTABILITY); END IFF (5) IFF ((1) && (2) && (3) && (4)) THEN ASSET->ASSURANCE); END IFF



Σελ. 256

Σχήμα 5.13: Σχέσεις Μεταξύ των Ιδιοτήτων Ασφάλειας (Πηγή: [NIST SP 800-33, 2001])

Ø Αγαθό ΠΣ προς προστασία: Όταν δεν είναι δυνατό να εντοπιστεί ρητά το Αγαθό

ΠΣ από τις πληροφορίες ασφάλειας, τότε σαν αντικείμενο προς προστασία

υπονοείται η πληροφορία που αποθηκεύεται, επεξεργάζεται και διακινείται από,

μέσω και προς του ΠΣ. Λίστα Ψευδοκώδικα 5.2: Αγαθό ΠΣ προς προστασία

IFF (ASSET != DEFINED) THEN ASSET = INFORMATION) END IFF

Ø Πεδίο Εφαρμογής του Αντίμετρου: το σύνολο των Αγαθών ΠΣ τα οποία

υπόκεινται στην εφαρμογή του συγκεκριμένου αντίμετρου ορίζεται σαν το Εύρος

Εφαρμογής του Αντίμετρου – ΕΕΑ (Domain of Applicability - DOA). Σύμφωνα με

την αρχή του ισομορφισμού, εάν το εύρος εφαρμογής του αντιμέτρου δεν είναι

δυνατό να καθοριστεί, τότε στο ΕΕΑ ανήκουν όλα εκείνα τα αγαθά ΠΣ που



Σελ. 257

ανήκουν στην ίδια κατηγορία με το Αγαθό στο οποίο αναφέρεται το αντίμετρο41.

Ο παρακάτω ψευδοκώδικας περιγράφει το αξίωμα: Λίστα Ψευδοκώδικα 5.3: Πεδίο Εφαρμογής του Αντίμετρου

IFF (Countermeasure->DOA != {ASSET}) THEN Countermeasure->DOA = isSetOf(getSimilarAssets(ASSET))END IFF

Ø Κατηγοριοποίηση Απειλών και Αντιμέτρων: Απειλές και αντίμετρα συνδέονται

μέσω των Ομάδων / Υποομάδων Αντιμέτρων (CM Group / Subgroup), που

ακολουθούν την κατηγοριοποίηση της CRAMM (Παράρτημα ΙΙΙ). Λίστα Ψευδοκώδικα 5.4: Κατηγοριοποίηση Απειλών και Αντιμέτρων

IFF Countermeasure->has(Group, Subgroup) THEN THREAT->has(Group, Subgroup); END IFF

Ø Δικτυακή κίνηση – ελεγχόμενη πρόσβαση: Εάν ανιχνευθεί έλεγχος δικτυακής

κίνησης (packet filtering), τότε πρέπει να αναζητηθεί ένα Αγαθό ΠΣ το οποίο να

παρεμβάλλεται και να πραγματοποιεί αυτό τον έλεγχο πρόσβασης σε υπηρεσίες

(services) και θύρες (ports) και προς κάποια ορισμένη κατεύθυνση

(IN/OUT/BOTH)· επιπρόσθετα, εάν δεν υπάρχει άλλος κανόνας για το DOA,

τότε το DOA είναι η πληροφορία κάθε αυτή. Λίστα Ψευδοκώδικα 5.5: Έλεγχος δικτυακής κίνησης

IFF isFilteringEnabled(ASSET) THEN filteringRules2Apply := getFilteringRules(CM); filteringAsset := searchFor(assetAdjacent2(ASSET)); setFilteringRules(filteringAsset); setDOA(CM, filteringAsset->getDomain()); END IFF

41 Υπονοείται ότι είναι γνωστή μια ταξινομία των Αγαθών ΠΣ, η οποία μπορεί να προέλθει από την

ιχνηλάτηση του δικτύου.



Σελ. 258

Ø Αντίμετρα, Απειλές και Κίνδυνοι: Εάν όλα τα αντίμετρα που αντιστοιχούν σε ένα

πόρο εφαρμοστούν, τότε:

o το επίπεδο ασφάλειας του πόρου τίθεται στο επιθυμητό επίπεδο,

o η πιθανότητα εμφάνισης της απειλής και / είτε οι συνέπειες από την

πραγματοποίησή της μειώνεται σε ένα αποδεκτό επίπεδο,

o το επίπεδο του κινδύνου τίθεται στο αποδεκτό επίπεδο του

εναπομείναντος κινδύνου. Λίστα Ψευδοκώδικα 5.6: Σχέσεις Αντιμέτρων, Απειλών και Κινδύνων

IFF FOREACH Countermeasure IN ASSET-> Countermeasures[] // apply selected countermeasure to the asset applyCountermeasure(ASSET, Countermeasure) THEN // set asset security level to the acceptable one ASSET->SecurityLevel := getAcceptableSecurityLevel(ASSET); // set threat realization possibility to the acceptable one ASSET->Threat[i]->Possibility:= getAcceptableThreatRealizationPossibility(ASSET, ASSET->Threat[i]); END FOREACH END IFF

Ø Υπονοούμενες υπηρεσίες και λειτουργίες: Εάν ανιχνευθούν έννοιες που

παραπέμπουν σε ψηφιακές υπογραφές, μια Υποδομή Δημοσίου Κλειδιού (ΥΔΚ)

είναι προαπαιτούμενη (σ.σ. έμμεση αναφορά σε μια σειρά από άλλες υπηρεσίες

και λειτουργίες πληροφορικής). Λίστα Ψευδοκώδικα 5.7: Υπονοούμενες υπηρεσίες και λειτουργίες

IFF Countermeasure->PKI_CONCEPT()THEN // if a PKI-related concept found, then a PKI is in place PKI->exists(); END IFF

Ø Βέλτιστες Πρακτικές: Όροι όπως «ισχυρά» ή «επαρκή μέτρα ασφάλειας»,

«αποδεκτό επίπεδο ασφάλειας» (“strong”, “appropriate”, “reasonable”),

παραπέμπουν σε βέλτιστες πρακτικές και όχι σε συγκεκριμένα αντίμετρα που

μπορούν να εξαχθούν (ή να υπονοηθούν) από την έξοδο της ΑΕ. Λίστα Ψευδοκώδικα 5.8: Βέλτιστες Πρακτικές

IFF bestPracticeTermFound(Countermeasure) THEN // if a best-practice term is found, then assume that



Σελ. 259

// a best practice scenario should be implemented for the specific asset applyCountermeasure(ASSET, getBestPracice(ASSET, Countermeasure)); END IFF

5.5.5 Θέματα υλοποίησης των οντολογιών σε OWL

Η γλώσσα του Σημασιολογικού Ιστού (σ.σ. OWL) που επιλέχτηκε για την υλοποίηση

των οντολογιών που αναπτύχθηκαν παραπάνω, υπαγορεύει μια σειρά από συμβάσεις και

κατάλληλες κωδικοποιήσεις των απαιτούμενων ιδιοτήτων και σχέσεων. Υπό αυτή την

οπτική, θα παρουσιαστούν στα επόμενα οι τεχνικές με τις οποίες αναπαραστάθηκαν στην

OWL οι συγκεκριμένες απαιτήσεις των εννοιών (κλάσεων) των οντολογιών. Σε αυτό το

σημείο θα πρέπει να αναφερθεί και μια σημαντική παράμετρος που αφορά τη

συμπερασματική προσέγγιση του λογικού μοντέλου της OWL: η Υπόθεση του Ανοικτού

Κόσμου (Open World Assumption, OWA), η οποία θεωρεί δεδομένο ότι η αδυναμία

απόδειξης μιας πρότασης δεν συνεπάγεται αυτόματα και την αλήθεια της αντίστροφης

πρότασης. Η αντίστροφη προσέγγιση, η Υπόθεση του Κλειστού Κόσμου (Closed World

Assumption, CWA) υποθέτει ότι μια πρόταση είναι αληθής όταν η άρνησή της δεν μπορεί

να αποδειχθεί.

Το αποτέλεσμα της υιοθέτησης της υπόθεσης OWA, είναι ότι προκειμένου μια πρόταση

να ισχύει, αυτή θα πρέπει να έχει ρητά δηλωθεί ή αποδειχθεί – σε αντίθετη περίπτωση,

δηλ. όταν δεν υπάρχει αρκετή πληροφορία για μια πρόταση, η αποτίμηση της τελευταίας

όσον αφορά την εγκυρότητά της παραμένει ασαφής. Κάποιοι ερευνητές [Heflin and

Munoz-Avila, 2002] προτείνουν την ενοποίηση των δύο προσεγγίσεων με την εισαγωγή

πληροφορίας για ομάδες εννοιών με περιορισμένο εύρος, ενώ επιτρέπεται η διαχείριση

άλλων πληροφοριών σαν ημιτελείς (Local Closed World, LCW). Στα πλαίσια της

διατριβής έχει υιοθετηθεί η κλασσική προσέγγιση του OWA.

Με δεδομένο ότι η φιλοσοφία της αναπαράστασης των εννοιών ασφάλειας -η οποία

προσδιορίζεται και από τις ιδιαιτερότητες της συγκεκριμένης γλώσσας- παραμένει η ίδια

σε όλες τις κλάσεις, θα περιγραφεί η υλοποίηση των σημαντικών στοιχείων της έννοιας

«Αγαθό» (“Asset”) και κάποια παραδείγματα κανόνων του μοντέλου που είναι

βασισμένο στο ISO/IEC 17799, χωρίς να γίνει εξαντλητική αναφορά σε όλες τις έννοιες



Σελ. 260

των οντολογιών. Τα εννοιολογικά μοντέλα των οντολογιών είναι διαθέσιμα στο

Παράρτημα Ι (ISO/IEC 17799) και Παράρτημα ΙΙ (COBIT).

Για τις ιδιότητες της έννοιας Αγαθό (Asset) ισχύουν οι παρακάτω κανόνες (βλ. και

ενότητα 5.5.2.2, για τη δομή της έννοιας):

Ø Κάθε αγαθό έχει ένα μοναδικό κωδικό αριθμό (asset_id). Αυτό στην OWL

μεταφράζεται σαν cardinality=1. Δηλαδή, ένα στιγμιότυπο της έννοιας Asset

μπορεί να έχει ακριβώς μία σχέση με τη δομή asset_id.

Ø Κάθε αγαθό έχει μία αξία (asset_value). Αυτό στην OWL μεταφράζεται σαν ένας

καθολικός περιορισμός (universal restriction), δηλ. η ιδιότητα που αναπαριστά τη

σχέση μεταξύ του αγαθού και της αξίας αντιστοιχεί μοναδικά στιγμιότυπα της

κλάσης «αγαθό» με στιγμιότυπα της κλάσης «αξία».

Ø Κάθε αγαθό έχει έναν τουλάχιστον τύπο (asset_type). Σε όρους OWL αυτός ο

κανόνας μεταφράζεται σαν μία ιδιότητα η οποία είναι τύπου δεδομένου (datatype

property). Το γεγονός ότι κάθε αγαθό έχει τουλάχιστον ένα τύπο, μπορεί να

αναπαρασταθεί με τη δημιουργία ενός περιορισμού ύπαρξης (existential

restriction), δηλ. υπάρχει τουλάχιστον μία ιδιότητα που σχετίζει τις κλάσεις

αγαθό και τύπος_αγαθού (asset_type). Η ιδιότητα αυτή αναπαριστά τη σχέση

μέσω της ιδιότητας has_value_type του αγαθού με μία τιμή που μπορεί να πάρει

η έννοια value_type.

Κάποια ακόμα παραδείγματα κανόνων στο υπάρχον μοντέλο ακολουθούν:

Ø Αποτελεί ικανή και αναγκαία συνθήκη (Necessary and Sufficient Condition) για

μια πηγή απειλής (threat_agent) να προκαλεί μια απειλή (threat). Σε όρους OWL η

παραπάνω συνθήκη σημαίνει ότι εάν ένα στιγμιότυπο είναι μέλος της κλάσης

threat_agent όχι μόνο θα πρέπει να ικανοποιεί τη συνθήκη, αλλά αν κάποιο

στιγμιότυπο ικανοποιεί αυτή τη συνθήκη τότε θα ανήκει στην κλάση

Threat_Agent. Επιπρόσθετα τα στιγμιότυπα της κλάσης threat_agent μπορούν να

έχουν σχέση μόνο με στιγμιότυπα της κλάσης Threat μέσω της ιδιότητας

«προκαλεί».

Ø Αποτελεί ικανή και αναγκαία συνθήκη (Necessary and Sufficient Condition) για

μια Απειλή (Threat) να εκμεταλλεύεται μια Αδυναμία (Vulnerability). Σε όρους



Σελ. 261

OWL η παραπάνω συνθήκη σημαίνει ότι ένα στιγμιότυπο της έννοιας Απειλή όχι

μόνο θα πρέπει να ικανοποιεί την εν λόγω συνθήκη, αλλά, αντίστροφα, εάν

υπάρχει κάποιο στιγμιότυπο που ικανοποιεί αυτή τη συνθήκη, τότε θα ανήκει

στην κλάση Threat. Επίσης, τα στιγμιότυπα της κλάσης Threat μπορούν να έχουν

σχέση μόνο με στιγμιότυπα της κλάσης Vulnerability μέσω της ιδιότητας

«εκμεταλλεύεται» - δηλ. σε αυτή τη σχέση ισχύει ένας καθολικός περιορισμός.

Ø Αποτελεί αναγκαία συνθήκη (Necessary Condition) για μια απειλή (threat) να

στοχεύει ένα αγαθό (asset), που σημαίνει ότι αν ένα στιγμιότυπο είναι μέλος της

κλάσης Απειλή τότε πρέπει να ικανοποιεί την παραπάνω συνθήκη.

Ø Αποτελεί αναγκαία συνθήκη (Necessary Condition) για μια απειλή (threat) να

προκαλεί ένα κίνδυνο (risk), δηλ. κάθε στιγμιότυπο της κλάσης Απειλή πρέπει να

ικανοποιεί την παραπάνω συνθήκη. Επίσης, αποτελεί αναγκαία συνθήκη για ένα

κίνδυνο (risk) να προκαλεί ένα ανεπιθύμητο περιστατικό (unwanted_incident).

Με άλλα λόγια, σε όρους OWL τα παραπάνω σημαίνουν ότι εάν ένα στιγμιότυπο

είναι μέλος της κλάσης Κίνδυνος τότε θα πρέπει να ικανοποιεί την παραπάνω

συνθήκη. Όμως, μεταβατικά μια Απειλή μπορεί να προκαλέσει ένα ανεπιθύμητο

περιστατικό, που σημαίνει ότι η ιδιότητα «προκαλεί» (causes) είναι μεταβατική

(transitive property).

Ø Αποτελεί αναγκαία συνθήκη για ένα κίνδυνο να στοχεύει ένα αγαθό, δηλ. εάν ένα

στιγμιότυπο είναι μέλος της κλάσης Risk τότε πρέπει να ικανοποιεί την

παραπάνω συνθήκη.

5.6 Σύνοψη

Σε αυτό το κεφάλαιο θεμελιώθηκε η Οντολογία Ασφάλειας, που είναι το βασικό μέσο

διαχείρισης των Απαιτήσεων Ασφάλειας. Μελετήθηκαν και αναλύθηκαν δύο βασικά

πρότυπα διαχείρισης κινδύνων ΠΣ, το ISO/17799 και το COBIT, ενώ δημιουργήθηκαν

τρεις οντολογίες ασφάλειας (κατά ISO/17799, κατά COBIT και το ενοποιημένο μοντέλο)

που επεκτείνουν το μοντέλο CIM στο χώρο της διαχείρισης ασφάλειας ΠΣ με βάση τη

δομημένη μεθοδολογία που παρουσιάστηκε στα προηγούμενα. Το επόμενο κεφάλαιο

εξειδικεύει την οντολογία κατά ISO/17799 προκειμένου να επικεντρωθεί η έρευνα στον

εντοπισμό και διαχείριση των απαιτήσεων ασφάλειας.



Σελ. 262



Σελ. 263

Not everything that counts can be counted and not everything that can be counted counts.

~ Albert Einstein

6 Εξειδίκευση της Οντολογίας ISO/IEC 17799 για την Υλοποίηση των Αντιμέτρων Ασφάλειας


Σε αυτό το κεφάλαιο θα αναπτυχθεί μια εξειδικευμένη οντολογία που επικεντρώνει στην

υλοποίηση των αντιμέτρων ασφάλειας από την Ανάλυση Επικινδυνότητας. Παρά το

γεγονός ότι ο κεντρικός άξονας της έρευνας προσδιορίζεται στον καθορισμό και

εφαρμογή των αντιμέτρων από την ΑΕ, η συγκεκριμένη τεχνική μπορεί να επεκταθεί σε

όλες τις πηγές πληροφορίας ασφάλειας που αναφέρθηκαν στην ενότητα 4.9.

Το πρώτο βήμα αφορά στην εξειδίκευση του οντολογικού μοντέλου της ΟΑ έτσι ώστε να

περιλαμβάνει τις ελάχιστες απαραίτητες έννοιες που συμμετέχουν στον καθορισμό και

υλοποίηση των αντιμέτρων. Ιδιαίτερο βάρος δίνεται στον ορισμό του αντίμετρου, δηλ.

στο σύνολο εκείνο των χαρακτηριστικών που το προσδιορίζουν, προκειμένου το

αντίμετρο να εφαρμοστεί (τελικά) στους πόρους του ΠΣ. Στη συνέχεια παρουσιάζεται η

μέθοδος με την οποία εξάγεται ένας αριθμός από σημαντικά χαρακτηριστικά του



Σελ. 264

αντιμέτρου, σε μια προσπάθεια να γίνει όσο το δυνατό σαφέστερη η οριοθέτηση των

απαιτήσεων ασφάλειας που ενσωματώνονται στην έννοια του αγαθού. Οι απαιτήσεις

ασφάλειας συλλέγονται από ένα αριθμό πηγών πληροφορίας που το επίπεδο σαφήνειάς

τους ποικίλλει από πληροφορίες δικτύου και χρησιμοποιούμενων τεχνολογιών ΤΠΕ

(υψηλό επίπεδο σαφήνειας) έως προδιαγραφές αντιμέτρων που προκύπτουν από την

Αποτίμηση Επικινδυνότητας (χαμηλό επίπεδο σαφήνειας). Ο αντικειμενικός σκοπός της

ανωτέρω διαδικασίας είναι η όσο το δυνατό ακριβέστερη πλήρωση των ιδιοτήτων των

αντιμέτρων για κάθε αγαθό. Τέλος, παρουσιάζεται μια πρωτόλεια μελέτη περίπτωσης

κατά την οποία αναλύονται τα δεδομένα που αφορούν ένα τυπικό ΠΣ.

6.2 Μέθοδοι, Εργαλεία και Τεχνικές

Οι βασικές μέθοδοι, εργαλεία και τεχνικές που χρησιμοποιήθηκαν για την υλοποίηση

των εργασιών που περιγράφονται στο παρόν κεφάλαιο είναι τα εξής:


Ανίχνευση δικτύου για τον εντοπισμό

πληροφοριών σχετικά με τους πόρους του

ΠΣ

nmap [Fyodor, 2006], Netstumbler

[Netstumbler, 2006], GFi LANguard

[GFiLANguard, 2006]

Επεξεργασία της εξόδου των εργαλείων

ανίχνευσης δικτύου

Nmap::Parser module σε Perl [Persaud,

2005]

Επεξεργασία οντολογιών Επεξεργαστής οντολογιών Protégé

[Protégé 2005]

Προγραμματισμός με βιβλιοθήκες

οντολογιών

Protégé API [Protégé 2005], Protégé-OWL

API [Protégé-OWL, 2006]

Υποστήριξη συμπερασματικών

μηχανισμών και ελέγχων ορθότητας

οντολογίας

RACER reasoner [RACER, 2006]



Σελ. 265


Λογικοί κανόνες οντολογίας Γεννήτρια κανόνων SWRL [Protégé-OWL,

2006]

Προγραμματισμός σε Java και Perl Eclipse IDE [Eclipse, 2006]

Λεκτική ανάλυση αντιμέτρων υψηλού

επιπέδου

GATE (a General Architecture for Text

Engineering) [Cunningham et al., 2002],

[Cunningham et al., 2006] – API και IDE.

Γεννήτρια ανίχνευσης προτύπων (pattern

matching)

JAPE (a Java Annotation Patterns Engine)

[Cunningham et al., 2002]

6.3 Εξειδικευμένο μοντέλο ΟΑ

Παρά το γεγονός ότι έχουν αναπτυχθεί πλήρη οντολογικά μοντέλα για όλα τα γνωστικά

πεδία ασφάλειας (security domains) που ορίζει το ISO/IEC 17799, σε αυτό το σημείο η

έρευνα θα επικεντρωθεί σε ένα συγκεκριμένο εννοιολογικό υπο-μοντέλο της οντολογίας

(βλ. Σχήμα 5.4) το οποίο είναι εξαιρετικά σημαντικό για τον καθορισμό και την

εφαρμογή των αντιμέτρων που προκύπτουν από την αποτίμηση επικινδυνότητας (εφεξής

«Οντολογία Ασφάλειας για την υλοποίηση των Αντιμέτρων»). Οι έννοιες αυτές είναι οι

εξής:

Ø Αγαθό (Asset),

Ø Ιδιοκτήτης (Stakeholder),

Ø Απειλή (Threat),

Ø Ευπάθεια (Vulnerability), και

Ø Αντίμετρο (Countermeasure).

Το υπο-μοντέλο της οντολογίας αποτυπώνεται εννοιολογικά στο Σχήμα 6.1.



Σελ. 266

Σχήμα 6.1: Οντολογία Ασφάλειας για την Υλοποίηση των Αντιμέτρων

Threat

Vulnerability

Asset

Stakeholder

Countermeasure

Έχει ως στόχο (Asset) Κατέχει (Asset)

Εκθέτει (Asset)

Αξιοποιεί (Vulnerability)

Προστατεύει (Asset)

Μειώνει (Vulnerability)

Στοχεύει (Threat)

Η σύνδεση με το μοντέλο CIM επιτυγχάνεται με τον ίδιο τρόπο όπως και η αντίστοιχη

πλήρης οντολογία με χρήση των κλάσεων Risk Assessment και

Security_Managed_Element. Οι έννοιες με τις ιδιότητές τους απεικονίζονται συνολικά

στο Σχήμα 6.2. Σημαντικές προσθήκες αποτελούν οι εξής ιδιότητες:

Ø Το Εύρος Εφαρμογής του Αντίμετρου – ΕΕΑ (Domain of Applicability - DOA),

που ανήκει στην έννοια Αντίμετρο (Countermeasure) και εκφράζει το σύνολο των

πόρων του ΠΣ οι οποίοι υπόκεινται στην εφαρμογή του συγκεκριμένου

αντίμετρου (βλ. και ενότητα 5.5.4 όπου το DOA συμμετέχει σε λογικούς κανόνες

ασφάλειας).

Ø Η δομή Απειλές – Αντίμετρα (Threats-CMs) που ανήκει στην έννοια Αγαθό

(Asset) και μοντελοποιεί την αλληλουχία των απειλών και των αντίστοιχων

αντιμέτρων για ένα αγαθό. Η εν λόγω δομή ορίζεται αναλυτικότερα στην

ενότητα 6.5.



Σελ. 267

Σχήμα 6.2: ΟΑ για την υλοποίηση των αντιμέτρων – σύνδεση με το CIM και ιδιότητες

Threat-threat_id-threat_type-threat_name-posibility-frequency-severity

Vulnerability-vulnerability_id-access_control_right-access_control_rule

Asset-asset_id-asset_value-asset_type-confidentiality-integrity-availability-authenticity-non-repudiation-compliance-sensitivity_level-replacement_cost-intrinsic_value-compromise_impact-Threats-CMs[ ]

Stakeholder-stakeholder_id

Countermeasure-countermeasure_id-countermeasure_type-subject-constraint-effectiveness-availability-versatility-strength-correctness-level_of_assurance-operational_cost-acquisition_cost-installation_cost-access_control_rule-access_control_right-CIM_credential-cryptographic_key-DOA

Security_Managed_ElementRisk_Assessment CIM_ManagedElement

Η υλοποιημένη οντολογία σε Protégé απεικονίζεται (μερικώς) στην Εικόνα 6.1, με τις

κύριες έννοιες του Αγαθού (Asset) και Αντίμετρο (Countermeasure) οι οποίες θα

αποτελέσουν το επίκεντρο της έρευνας στα επόμενα.



Σελ. 268

Εικόνα 6.1: ΟΑ για την Υλοποίηση των Αντιμέτρων – Υλοποίηση σε Protégé (μερική άποψη)

6.4 Διαισθητική Ανάλυση και Αρχές Καθορισμού Αντιμέτρων

Οι προτάσεις που αποτελούν τα αντίμετρα ασφάλειας υψηλού επιπέδου είναι κατάλληλες

για την εμπέδωση γενικών αρχών και την καλλιέργεια ενός θετικού κλίματος και

κουλτούρας σε θέματα ασφάλειας, αλλά είναι μάλλον ακατάλληλα για αυτοματοποίηση

και άμεση εφαρμογή στους πόρους του ΠΣ. Ο ειδικός ασφάλειας θα πρέπει να

χρησιμοποιήσει τις γνώσεις και την εμπειρία του, να συνυπολογίσει την αποστολή και το

σκοπό του ΠΣ, το γενικότερο περιβάλλον πληροφορικής, το θεσμικό και νομικό πλαίσιο

καθώς και την εφικτότητα των μέτρων που προτείνονται. Είναι σαφές λοιπόν ότι η

υλοποίηση των αντιμέτρων της ΑΕ και άλλων κειμένων υψηλού επιπέδου (πολιτικές

ασφάλειας, SLAs κλπ.) είναι μια σύνθετη διαδικασία με ένα πλήθος από παράγοντες που

επηρεάζουν τις τελικές αποφάσεις. Σε αυτή την ενότητα δεν θα επιχειρηθεί μια

λεπτομερής περιγραφή των ενεργειών του ειδικού ασφάλειας, ούτε μια αναλυτική

παράθεση της αλληλουχίας των σκέψεων και προθέσεων του τελευταίου με στόχο μια

ολική αυτοματοποίηση, κάτι που με την παρούσα κατάσταση στις επιστήμες της

Γνωστικής (Cognitive Science), της Τεχνητής Νοημοσύνης (Artificial Intelligence) και

της Γλωσσολογίας (Linguistics) δεν είναι εφικτό. Στα παραπάνω συνάδει και η έμφυτη



Σελ. 269

ατέλεια και εντροπία των ανθρώπινων γλωσσών που προάγει την ασάφεια και το πλήθος

των διαφορετικών ερμηνειών που στηρίζονται, εκτός των άλλων, στα συμφραζόμενα

(context) και στην έμμεση γνώση (implicit knowledge) η οποία συνήθως δεν είναι

διαθέσιμη ή δεν είναι διαχειρίσιμη σε αυτοματοποιημένες διατάξεις.

Με αυτή την οπτική, η συζήτηση θα περιοριστεί σε κάποιες βασικές παρατηρήσεις από

την καθημερινή εμπειρία όσον αφορά τη δομή και τα συμπεράσματα που ενδέχεται να

εξαχθούν από την παρατήρηση κάποιων τυπικών αντιμέτρων. Μια σημαντική

παράμετρος των συστημάτων υποστήριξης αποφάσεων σε θέματα ασφάλειας είναι η

αναγνώριση κάποιων σημαντικών παραμέτρων που αφορούν τα αντίμετρα. Στα επόμενα

ορίζεται ένας αριθμός από αρχές οι οποίες υποβοηθούν στον ορισμό των παραμέτρων

αυτών. Οι αρχές αυτές, που ονομάζονται συλλήβδην Αρχές Καθορισμού Αντιμέτρων42

(Countermeasures Definition Principles), είναι οι ακόλουθες:

Πόρος Εφαρμογής Αντιμέτρου (Countermeasure Enforcement Asset – CEA): ο πόρος του

ΠΣ ο οποίος επιτρέπει την εφαρμογή του αντιμέτρου. Συνήθως ο πόρος αυτός είναι ένα

στιγμιότυπο μιας έννοιας της ΟΑ και συνδέεται άμεσα με μια CIM ιεραρχία που

περιγράφει το ΠΣ (βλ. και ενότητα 5.5.2.1, Σχήμα 5.10). Ο εν λόγω πόρος ανήκει σε μια

από τις δύο παρακάτω κατηγορίες:

Ø Πόρος που έχει υλική υπόσταση, όπως ένας δρομολογητής ή ένα ανάχωμα,

Ø Πόρος που είναι άϋλος, όπως μια διαδικασία πληροφορικής η οποία ορίζει

κάποιες απαιτήσεις ασφάλειας και θέτει ένα αριθμό από περιορισμούς όπως η

ελάχιστη περίοδος ελέγχου μέσα στην οποία θα πρέπει να ελέγχεται η

αποτελεσματικότητα της εφαρμογής του αντιμέτρου. Σε αυτή την κατηγορία

ανήκει και η πληροφορία που κινείται, επεξεργάζεται και αποθηκεύεται από το

ΠΣ.

Αυθυπαρξία του Πόρου Εφαρμογής (CEA Existence): εξετάζεται η αυτονομία του πόρου

εφαρμογής, όπως ένας εξυπηρετητής ο οποίος έχει συγκεκριμένες ιδιότητες που τον

42 Ελλείψει πιο δόκιμης ονομασίας.



Σελ. 270

προσδιορίζουν (όνομα και διεύθυνση δικτύου, τομέα δικτύου που ανήκει, μάσκα δικτύου

για δικτυακή διευθυνσιοδότηση (subnetting), υπηρεσίες και θύρες δικτύου, κλπ.). Σε

περίπτωση που ο πόρος δεν μπορεί να προσδιοριστεί, τότε σαν αυθύπαρκτος πόρος

θεωρείται η πληροφορία του ΠΣ.

Πολυπλοκότητα του Πόρου Εφαρμογής (CEA Complexity): εξετάζεται ο βαθμός σύνθεσης

του πόρου από άλλους, δηλ. εάν ο εν λόγω πόρος είναι ατομικός (π.χ. εξυπηρετητής,

δρομολογητής, υπηρεσία, …) ή κατά πόσον αναλύεται σε περαιτέρω πόρους όπως ένα

υποσύστημα ενός ΠΣ. Στην περίπτωση της μοντελοποίησης σε CIM, ο πόρος αυτός

μπορεί να αναλύεται σε μια σειρά στιγμιοτύπων μεμονωμένων πόρων, που αναδρομικά

συνθέτουν τον σύνθετο αρχικό πόρο.

Εύρος Εφαρμογής του Αντίμετρου – ΕΕΑ (Domain of Applicability – DOA): εξετάζεται το

σύνολο των πόρων του ΠΣ τα οποία υπόκεινται στην εφαρμογή του συγκεκριμένου

αντίμετρου, εκτός από τον συγκεκριμένο πόρο. Σύμφωνα με την αρχή του ισομορφισμού,

εάν το εύρος εφαρμογής του αντιμέτρου δεν είναι δυνατό να καθοριστεί, τότε στο ΕΕΑ

ανήκουν όλοι εκείνοι οι πόροι του ΠΣ που ανήκουν στην ίδια κατηγορία με τον πόρο στο

οποίο αναφέρεται το αντίμετρο. Το ΕΕΑ δεν αναφέρεται μόνο σε υλικούς, αλλά και σε

άϋλους πόρους.

Κανόνες Πρόσβασης στον Πόρο (Asset Access Control): εξετάζονται οι απαραίτητοι

κανόνες πρόσβασης στον πόρο, έτσι ώστε η εφαρμογή του αντιμέτρου να γίνει με βάση

τις βασικές αρχές ασφάλειας α) Διαχωρισμός Καθηκόντων (Segregation of Duties, SoD)

και β) Ελάχιστα Απαιτούμενα Δικαιώματα (Least Privilege).

Τοπολογική Οριοθέτηση Πόρου (Asset Topological Inclusion): εξετάζεται η θέση του

πόρου ως προς το ΠΣ, δηλ. εάν πρόκειται για ένα πόρο ο οποίος είναι:

Ø Εσωτερικός ως προς το ΠΣ (ανήκει σε εσωτερικό υποδίκτυο κυριότητας του

οργανισμού που η δικτυακή κίνησή του υπόκειται σε έλεγχο πρόσβασης από

σχετική συσκευή),

Ø Προσβάσιμος εν μέρει από άλλα ΠΣ και από το διαδίκτυο (είναι μέρος ενός

DMZ),

Ø Ανήκει σε τρίτο φορέα ο οποίος έχει μια μορφή νόμιμης πρόσβασης στους

πόρους και στο ΠΣ του οργανισμού (Τρίτες Οντότητες – Third Parties),



Σελ. 271

Ø Ανήκει σε τρίτο φορέα ο οποίος δεν έχει καμία μορφή νόμιμης πρόσβασης στους

εταιρικούς πόρους (ευρύ κοινό).

Κατεύθυνση και Ροή της Πληροφορίας (Information Flow Direction): εξετάζεται κατά

πόσον:

Ø Η ροή της πληροφορίας είναι από/προς τον πόρο,

Ø Η πληροφορία κινείται εντός του ΠΣ ή ανταλλάσσεται πληροφορία με κάποια

Τρίτη Οντότητα,

Ø Ικανοποιείται το νομικό πλαίσιο της Προστασίας Δεδομένων ως προς τον

χειρισμό των δεδομένων υπό επεξεργασία, αποθήκευση και μετάδοση.

Σχετικές Τεχνολογίες (Relevant Technologies): εξετάζεται κατά πόσον εντοπίζονται

γνωστές τεχνολογίες που προϋποθέτουν μια σειρά από άλλες συνθήκες (π.χ. η ύπαρξη

ψηφιακών υπογραφών προϋποθέτει την ύπαρξη μιας Υποδομής Δημοσίου Κλειδιού –

PKI).

Είναι σαφές ότι η λίστα των παραπάνω κριτηρίων δεν είναι πλήρης, όπως επίσης και το

εύρος της εφαρμογής τους μπορεί να διαφέρει από ένα πληροφοριακό σύστημα σε ένα

άλλο. Το σημαντικό σημείο είναι το γενικό συμπέρασμα ότι με τις παρούσες συνθήκες η

προσομοίωση των πράξεων και σκέψεων του ειδικού που καλείται να εφαρμόσει τα

αντίμετρα ασφάλειας είναι ανέφικτη – αντ’ αυτού, η παρούσα έρευνα προτείνει την

υιοθέτηση ενός απλούστερου μοντέλου καταγραφής των απαιτήσεων των αντιμέτρων, το

οποίο σε συνδυασμό με τη χρήση μιας Βάσης Γεγονότων (Facts Database) αναφορικά με

την ασφάλεια του ΠΣ να δίνει τη δυνατότητα στον ειδικό ασφάλειας να μπορεί να

υλοποιεί άμεσα έναν αριθμό από τα αντίμετρα, ενώ παράλληλα να παρέχει πολύτιμη

βοήθεια για την επιλογή των αντιμέτρων τα οποία είναι δύσκολο να υλοποιηθούν με

αυτοματοποιημένους τρόπους. Οι παραπάνω αρχές είναι άρρηκτα συνδεδεμένες με το

μοντέλο απαιτήσεων ασφάλειας αντιμέτρου, που παρουσιάζεται στη συνέχεια.

6.5 Μοντέλο Απαιτήσεων Ασφάλειας Αντιμέτρου

Η τυπική αποτύπωση των απαιτήσεων ασφάλειας ενός ΠΣ αφορά στην πληροφορία που

αφορά στο “ΤΙ” και όχι στο “ΠΩΣ” των απαιτήσεων ασφάλειας (βλ. και ενότητα 4.3 για



Σελ. 272

μια σχετική συζήτηση). Για να καταστεί δυνατή η τυπική αποτύπωση πρέπει να οριστεί

ένας τρόπος αναπαράστασης και αποθήκευσης της αναγκαίας πληροφορίας έτσι ώστε οι

απαιτήσεις ασφάλειας του αντίμετρου να καταγραφούν όσο το δυνατόν πληρέστερα και

ακριβέστερα. Ο αναγνώστης θα αναγνωρίσει όρους που απαντώνται στο χώρο της

έρευνας σε διαχείριση συστημάτων βάσει πολιτικών (policy-based management)

προκειμένου να υπάρχει μια σύνδεση με σχετικές πλατφόρμες εφαρμογής πολιτικών σε

ΠΣ (ενότητα 3.7). Σε αυτή την ενότητα η έρευνα επικεντρώνεται σε συγκεκριμένες

ιδιότητες του αντιμέτρου που το χαρακτηρίζουν, χωρίς να ακυρώνεται η προηγούμενη

συζήτηση. Η επικέντρωση αυτή γίνεται για λόγους αποτελεσματικότητας ενώ οι κάτωθι

ιδιότητες έχουν επιλεγεί με βάση τη σπουδαιότητά τους για τον ορισμό του αντιμέτρου

και τη μετέπειτα εφαρμογή του στους πόρους του ΠΣ.

Ένα βασικό δεδομένο που πρέπει να καταγραφεί αφορά το στόχο (target) του

αντίμετρου. Με τον όρο στόχο εννοούμε τον πόρο εκείνο (ή την ομάδα πόρων) στον

οποίο εφαρμόζεται το αντίμετρο. Αν για παράδειγμα ένα αντίμετρο έχει την εξής μορφή:

“Configure routers to only accept packets from defined external sources”

τότε ο στόχος αυτού του αντίμετρου είναι όλοι οι δρομολογητές (ή, ακριβέστερα, όλα τα

στιγμιότυπα της τάξης δρομολογητής (router) της οντολογίας) – με άλλα λόγια, το ΕΕΑ

(DOA) είναι όλοι οι δρομολογητές του ΠΣ.

Ένα άλλο στοιχείο που πρέπει να υπάρχει σε μία τέτοια δομή είναι το υποκείμενο

(subject) που θα εφαρμόσει το αντίμετρο. Το υποκείμενο είναι ένας ρόλος, όπως για

παράδειγμα ο διαχειριστής του ΠΣ ή κάποια διεργασία / δαίμονας ο οποίος εκτελείται

ανά τακτά χρονικά διαστήματα.

Κάθε αντίμετρο ταξινομείται σε μια Ομάδα Αντιμέτρου (CM_Group) το οποίο βοηθά

στην εύρεση κοινών πρακτικών για την εφαρμογή του. Μια περαιτέρω υπο-ταξινόμηση

οδηγεί στην έννοια της Υπο-Ομάδας Αντιμέτρου (CM_SubGroup). Στην προτεινόμενη

μέθοδο υιοθετήθηκε η ταξινομία των ομάδων / υποομάδων αντιμέτρων της CRAMM

[CRAMM, 2005]. Αντιπροσωπευτικές κατηγορίες αντιμέτρων αφορούν σε Δικτυακό

Έλεγχο Πρόσβασης (Network Access Controls), σε Ακεραιότητα των Δεδομένων σε

Μετάδοση Μέσω Δικτύου (Data Integrity over Network) και σε Ακεραιότητα και

Αυθεντικοποίηση (Integrity and Authentication), για να αναφερθούν κάποιες από τις



Σελ. 273

κατηγορίες. Ο πλήρης κατάλογος των ομάδων /υποομάδων αντιμέτρων της παρούσης

διατριβής παρατίθεται στο Παράρτημα ΙΙΙ.

Στα παραπάνω πεδία προστίθεται το πεδίο Ενέργεια (Action). Αποτελεί το βασικό τμήμα

των απαιτήσεων ασφάλειας του αντιμέτρου, αφού περιγράφει τις απαραίτητες ενέργειες

για την εφαρμογή του. Τέλος, υπάρχουν περιπτώσεις κατά τις οποίες η εφαρμογή ενός

αντίμετρου δεν είναι καθολική, αλλά υπάρχουν περιορισμοί (constraints) είτε στο πεδίο

εφαρμογής είτε στην έννοια του χρόνου, είτε του χώρου, είτε των απαιτούμενων ρόλων

των οντοτήτων. Έτσι το αντίμετρο:

“Configure filtering routers so that it is not possible for external hosts to communicate with internal hosts, except mail servers and web servers”

δεν θα εφαρμοστεί συνολικά για όλους τους πόρους του ΠΣ, αλλά θα υπάρξει η εξαίρεση

των εξυπηρετητών αλληλογραφίας (mail servers) και των εξυπηρετητών ιστού (web

servers). Στο αντίμετρο αυτό, ο περιορισμός έγκειται στον προσδιορισμό ενός

περιορισμένου ΕΕΑ – αντίθετα, για το επόμενο αντίμετρο οι περιορισμοί είναι χρονικοί

(βλ. υπογράμμιση) – «σύνδεση στα επιχειρησιακά συστήματα κατά τη διάρκεια των

εργάσιμων ωρών» (επιπρόσθετα, εδώ υπονοείται η γνώση των «εργάσιμων ωρών», η

οποία πρέπει να τροφοδοτηθεί στη Βάση των Γεγονότων προκειμένου ο όρος «εργάσιμες

ώρες» να αποκτήσει νόημα).

“Allow users to connect to the business systems only through strong authentication means and during working hours”

Ο Πίνακας 6.1 περιγράφει την ολοκληρωμένη δομή των απαιτήσεων ασφάλειας του

αντίμετρου (ή απλά «Αντίμετρο») [Tsoumas et al., 2006b].

Πίνακας 6.1: Απαιτήσεις Ασφάλειας Αντιμέτρου (Αντίμετρο)

Ιδιότητα Περιγραφή

Στόχος (Target) Το Αγαθό στο οποίο θα εφαρμοστεί το Αντίμετρο.

Περιλαμβάνει ιδιότητες όπως IP διεύθυνση, λειτουργικό

σύστημα, ενεργές υπηρεσίες και θύρες δικτύου, κλπ.), ή

είναι ένας δείκτης σε στιγμιότυπο της αντίστοιχης έννοιας



Σελ. 274


σε υπάρχουσα υλοποίηση ΠΣ κατά CIM.

Υποκείμενο (Subject) Η οντότητα (σε επίπεδο ρόλου) η οποία θα εφαρμόσει το

Αντίμετρο στον Στόχο.

Ομάδα Αντίμετρου

(CM_Group)

Κατηγοριοποίηση του αντίμετρου σε μια ομάδα κοινών

αντιμέτρων, κατά CRAMM.

Υποομάδα Αντίμετρου

(CM_SubGroup)

Κατηγοριοποίηση του αντίμετρου σε μια υποομάδα

κοινών αντιμέτρων, κατά CRAMM.

Ενέργεια (Action) Ενέργειες για την εφαρμογή του Αντίμετρου.

Περιορισμοί (Constraints) Αφορά σε τυχόν περιορισμούς Χρόνου, Τόπου και

Υποκειμένου που μπορεί να έχει η εφαρμογή του

αντίμετρου όσον αφορά τον χρόνο (εντός εργασιακών

ορών), την τοποθεσία (πρόσβαση μόνο από υπολογιστή

εντός δικτύου), και τους απαιτούμενους ρόλους

(εφαρμογή μόνο από το διαχειριστή του δικτύου).

Επίπεδο Εφαρμογής

Αντιμέτρου (Level of CM

Applicability)

[Διοικητικό | Διαδικαστικό | Τεχνικό]

Ιδιότητες Ασφάλειας

(Security Attributes)

[Εμπιστευτικότητα | Ακεραιότητα | Διαθεσιμότητα ]

Τύπος Αντιμέτρου (CM

Type)

[Προληπτικό | Διαγνωστικό | Διορθωτικό |

Αποθαρρυντικό]

Επίπεδο Εναπομείναντος [Υψηλό | Μεσαίο | Χαμηλό]



Σελ. 275


Κινδύνου (Residual Risk)

Σκοπός Αντιμέτρου [Ασφάλεια ΠΣ | Έλεγχος ΠΣ]

ΕΕΑ (DOA) Εύρος Εφαρμογής Αντιμέτρου

Ένα βασικό σημείο της προσέγγισης (βλ. και Σχήμα 6.2) αποτελεί η ιδιότητα Threats-

CMs[ ], η οποία έχει υλοποιηθεί στην έννοια Αγαθό σαν ένας πίνακας δύο διαστάσεων.

Είναι σαφές ότι κάθε αγαθό ανάλογα με την κατηγορία στην οποία ανήκει (για

παράδειγμα φυσικό ή λογικό αγαθό) υπόκειται σε ένα αριθμό από απειλές. Ο στόχος του

πεδίου αυτού είναι η καταγραφή των απειλών για κάθε αγαθό σε συνδυασμό με τα

αντίστοιχα αντίμετρα για κάθε απειλή. Κάθε γραμμή του πίνακα Threats-CMs συνδέει

μια απειλή για το συγκεκριμένο αγαθό με μια σειρά από αντίμετρα. Κάθε απειλή

ακολουθεί τη δομή που περιγράφει ο Πίνακας 5.6 στην ενότητα 5.5.2.2, ενώ το

αντίμετρο ακολουθεί τη δομή που περιγράφει ο Πίνακας 6.1. Μέσω της

κληρονομικότητας, η ιδιότητα Threats-CMs θα μεταφερθεί σε όλες τις έννοιες που είναι

απόγονοι της κλάσης Αγαθό, με αποτέλεσμα κάθε στιγμιότυπο αγαθού να διαθέτει ένα

πίνακα που να περιγράφει τις απειλές του και τα αντίστοιχα αντίμετρα. Το Σχήμα 6.3

απεικονίζει τη μοντελοποίηση των απειλών και των αντίστοιχων αντιμέτρων (δομή

Threats-CMs) για ένα αγαθό, ενώ η Εικόνα 6.2 καταγράφει την παραπάνω σχέση σε

επίπεδο οντολογίας.



Σελ. 276

Σχήμα 6.3: Απειλές και Αντίμετρα για ένα Αγαθό.

Threats – CMs

Threat1

ThreatN

Threat ...

Threat2

CMs

CMs

CMs

CMs

CM_1

CM_2

CM ...

CM_M

Αντίμετρα για την Απειλή “Threat2"

Subject

Target

Actions

...

DOA

Αντίμετρο CM_2

Εικόνα 6.2: Σύνδεση Απειλών και Αντιμέτρων σε επίπεδο Αγαθού

6.6 Μεθοδολογία Καθορισμού Απαιτήσεων Ασφάλειας ΠΣ

Η διαδικασία καθορισμού των απαιτήσεων ασφάλειας από τις δηλώσεις υψηλού

επιπέδου ακολουθεί μια δομημένη προσέγγιση προκειμένου να συλλέξει τις απαιτήσεις

ασφάλειας για κάθε πόρο. Συνοπτικά, η μεθοδολογία καθορισμού απαιτήσεων ασφάλειας



Σελ. 277

από δηλώσεις υψηλού επιπέδου που περιγράφεται στα επόμενα (η οποία αποτελεί μέρος

της ευρύτερης μεθοδολογίας διαχείρισης ασφάλειας με χρήση οντολογιών καλύπτοντας

τις σχετικές φάσεις 1 και 2, όπως ορίστηκε στην ενότητα 4.10), αποτελείται από τα εξής

βήματα:

Ø Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ (ενότητα

6.8),

Ø Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας και πλήρωση των

ιδιοτήτων των αντίστοιχων αντιμέτρων για κάθε πόρο (ενότητα 6.9).

Θα πρέπει να σημειωθεί ότι τα στάδια IV και V του πλαισίου ΔΑΠΣ (ενότητα 4.10) δεν

καλύπτονται εκτενώς στην παρούσα έρευνα, γιατί πρόκειται για διαδικαστικά θέματα

που άπτονται της γενικότερης μεθοδολογίας. Για τη σχετική συζήτηση, ο αναγνώστης

παραπέμπεται στην ενότητα 4.10.

Ακολουθούν οι συμβάσεις που υιοθετήθηκαν για την εξαγωγή των απαιτήσεων

ασφάλειας από τα αντίμετρα υψηλού επιπέδου.

6.7 Συμβάσεις για την Εξαγωγή των Απαιτήσεων Ασφάλειας

Στην παρούσα ενότητα παρουσιάζεται ένας αριθμός συμβάσεων που αφορούν στη

διαδικασία της εξαγωγής των απαιτήσεων ασφάλειας, προκειμένου η διατριβή να

επικεντρωθεί στις σημαντικότερες πτυχές της έρευνας. Το κύριο βάρος έχει δοθεί στη

βασική συνεισφορά της διατριβής (εξαγωγή των απαιτήσεων από δηλώσεις υψηλού

επιπέδου), ενώ – σκόπιμα – δεν δίνεται σημαντικό βάρος σε διεκπεραιωτικά θέματα τα

οποία ναι μεν ενδέχεται να επηρεάζουν την ευκολία χρήσης της προσέγγισης σε

πρακτικό επίπεδο, αλλά δεν αποτελούν αντικείμενα της διατριβής λόγω του μειωμένου

ερευνητικού τους ενδιαφέροντος. Τέτοια θέματα είναι η μορφοποίηση των δεδομένων

εισόδου στο λογισμικό εξαγωγής, η επιλογή των παραδειγμάτων πολιτικών και εξόδων

από εργαλεία ΑΕ, όπως επίσης η εγκυρότητα και ακρίβεια των δεδομένων εισόδου.

Οι συμβάσεις αυτές παρουσιάζονται στις επόμενες παραγράφους, και αφορούν α) τη

μορφή των δεδομένων εισόδου, και β) την επεξεργασία των δεδομένων αυτών.



Σελ. 278

6.7.1 Συμβάσεις για τα δεδομένα εισόδου

Όπως έχει αναφερθεί σε αρκετά σημεία της διατριβής μέχρι τώρα, οι πηγές των

πληροφοριών ασφάλειας είναι ανομοιογενείς με διαφορετικό επίπεδο λεπτομέρειας και

σαφήνειας ως προς το περιεχόμενό τους. Προκειμένου να περιοριστεί το εύρος των

εξεταζόμενων μορφών έκφρασης των πληροφοριών αυτών, και να διατηρηθεί η

πολυπλοκότητα της υλοποίησης σε ένα διαχειρίσιμο επίπεδο χωρίς να βλάπτεται η

γενικότητα της προσέγγισης, εφεξής θα υιοθετηθεί ένας αριθμός από συμβάσεις σχετικά

με τα δεδομένα εισόδου στη διαδικασία εξαγωγής των απαιτήσεων ασφάλειας. Οι

συμβάσεις αυτές είναι οι εξής:

Ø Οι δηλώσεις υψηλού επιπέδου των αντιμέτρων ή της πολιτικής είναι αντίστοιχες

με αυτές που προκύπτουν από ημι-αυτοματοποιημένα εργαλεία ΑΕ όπως

CRAMM [CRAMM, 2005], COBRA [COBRA, 2006] κλπ. Εναλλακτικές πηγές

δηλώσεων είναι γενικευμένα (generic) παραδείγματα πολιτικών, όπως αυτά στο

σχετικό ιστότοπο του οργανισμού SANS [SANS SecPol, 2006] ή πιο σαφείς

πολιτικές / αντίμετρα για συγκεκριμένες τεχνολογίες [Karygiannis and Owens,

2002].

Ø Η παρούσα διατριβή ασχολείται μόνο με το μέρος εκείνο της εξόδου των

εργαλείων ΑΕ / πολιτικών ασφάλειας στο οποίο περιγράφονται τα αντίμετρα:

πεδία και ενότητες των πολιτικών όπως εισαγωγή, συγγραφέας και άλλα στοιχεία

είναι εκτός του εύρους της έρευνας.

Ø Αν και η οντολογία ασφάλειας μπορεί να εκφράσει αντίμετρα όλων των ειδών

(βλ. ενότητα 2.3.2 για μια κατηγοριοποίηση), στο εφεξής μεγαλύτερο βάρος έχει

δοθεί σε εκείνα τα αντίμετρα τα οποία μπορούν να εφαρμοστούν απευθείας στις

υποκείμενες συσκευές/αγαθά του ΠΣ. Αντίμετρα και πολιτικές ασφάλειας οι

οποίες αφορούν σε διαδικαστικά (procedural), ή οργανωσιακά (organizational)

θέματα δεν εξετάζονται σε βάθος, παρά το γεγονός ότι υπάρχει η δυνατότητα

επεξεργασίας και αυτών των κατηγοριών αντιμέτρων.

Ø Η οντολογία δεν είναι πλήρης, με την έννοια ότι δεν (είναι δυνατό να) καλύπτει

κάθε πιθανή ιδιότητα του αντιμέτρου ασφάλειας που θα είχε νόημα για τον

εκάστοτε χρήστη της προσέγγισης. Σκοπός της έρευνας δεν είναι μόνο η



Σελ. 279

δημιουργία μίας οντολογίας ικανής να αναπαραστήσει οποιαδήποτε έννοια στον

τομέα της ασφάλειας των πληροφοριακών συστημάτων, αλλά και η εμβάθυνση

στο σημαντικό τομέα του καθορισμού εφαρμόσιμων αντίμετρων. Η δημιουργία

της έχει στηριχθεί σε βέλτιστες πρακτικές (best practices) στον τομέα της

ασφάλειας και σε κοινά αποδεκτά πρότυπα (standards).

Ø Πληροφορία που απαιτείται από τη μέθοδο εκτός από τα αντίμετρα υψηλού

επιπέδου (π.χ. δεδομένα τοπολογίας του δικτύου), θεωρείται δεδομένη και

ακριβής. Η πληροφορία αυτή γίνεται αντικείμενο προεπεξεργασίας όπως

περιγράφεται στην ενότητα 6.8.

Ø Τα αντίμετρα προς επεξεργασία στη μελέτη περίπτωσης που ακολουθεί (ενότητα

6.9.1) αποτελούν ένα υποσύνολο των αντιμέτρων της CRAMM. Στα επόμενα, θα

θεωρηθεί για απλότητα ότι από τις προτάσεις υψηλού επιπέδου προκύπτει μια

αντιστοίχηση μεταξύ του αγαθού, των σχετικών απειλών (ποικίλης κρισιμότητας)

και των αντίστοιχων αντιμέτρων, η οποία είναι διαθέσιμη στο λογισμικό

υλοποίησης (Αγαθό ßà Απειλή ßà Ένα ή περισσότερα Αντίμετρα). Η ως άνω

σχέση των αγαθών με τις απειλές και τα αντίμετρα απεικονίζεται στο Σχήμα 6.4.

Σχήμα 6.4: Σχέση Αγαθών ΠΣ, Απειλές και Αντίμετρα

Πληροφοριακό Σύστημα Απειλές Αντίμετρα

ΥψηλότερηΚρισιμότητα

ΧαμηλότερηΚρισιμότητα



Σελ. 280

6.7.2 Συμβάσεις για την Επεξεργασία των Δεδομένων Εισόδου

Τέλος, στην παράγραφο αυτή παρουσιάζονται συμβάσεις που αφορούν στην επεξεργασία

των δεδομένων εισόδου. Έχουν υιοθετηθεί κάποιες απλές ευρετικές αρχές (heuristics)

σχετικά με την εξαγωγή της γνώσης, όπως:

Όποιο πληροφοριακό αγαθό δεν μπορεί να εντοπιστεί ρητώς με τους κανόνες που έχουν

θεσπιστεί, πχ σαφής αναφορά σε εξυπηρετητές δρομολογητές κτλ, θα θεωρείται ότι

αναφέρεται στην πληροφορία ως αγαθό που χρήζει προστασίας. Μια βελτιωμένη έκδοση

της άνω σύμβασης είναι ο εντοπισμός του πληροφοριακού αγαθού το οποίο περιέχει την

εν λόγω πληροφορία (λ.χ., για το αντίμετρο

«Use asymmetric algorithms for signatures»

το πληροφοριακό αγαθό θα είναι η πληροφορία σε μορφή μηνύματος, ενώ ο περιέχων

πόρος της πληροφορίας (information container) θα εννοείται ο πελάτης / εξυπηρετητής

από τον οποίο μεταδίδεται η πληροφορία).

Επιπλέον, όταν δεν ορίζεται σαφώς ποιο είναι το υποκείμενο που υλοποιεί το αντίμετρο,

τότε θα θεωρείται ότι το αντίμετρο εφαρμόζεται από κάποιο εξουσιοδοτημένο

πρόσωπο/ρόλο, όπως για παράδειγμα οι διαχειριστές του δικτύου. Για παράδειγμα στην

πρόταση:

«Passwords to be at least 6 characters long»

υποθέτουμε ότι το υποκείμενο που θα εφαρμόσει το αντίμετρο είναι οι διαχειριστές του

δικτύου (administrators). Ταυτόχρονα όταν δεν είναι εφικτός ο προσδιορισμός των τυχών

περιορισμών που μπορεί να έχει ένα αντίμετρο τότε θεωρείται ότι δεν υπάρχει κανένας

περιορισμός στην εφαρμογή του.

Παρατηρώντας την δομή του συνόλου των αντιμέτρων που χρησιμοποιήθηκαν από την

μέθοδο CRAMM, μπορεί να συμπεράνει κανείς ότι ακολουθούν κάποιο κοινό πρότυπο

(pattern) στον τρόπο γραφής τους. Υιοθετείται η υπόθεση ότι δεν υπάρχουν προτάσεις

που να αντιβαίνουν στα αναγνωρισμένα πρότυπα. Η εξαγωγή της γνώσης στηρίζεται στα

πρότυπα αυτά αν και πολλές φορές υπάρχουν εξαιρέσεις που δυσχεραίνουν το έργο της

εξαγωγής. Για να γίνει πιο κατανοητή η έννοια του προτύπου του αντιμέτρου

(Countermeasure Pattern) παρατίθεται το ακόλουθο πρότυπο:



Σελ. 281

<Something1> to <Verb> <Something2>

Παράδειγμα πρότασης που ακολουθεί το πρότυπο αυτό είναι το αντίμετρο:

«Passwords to be at least six characters long»

Έτσι στις προτάσεις αυτής της μορφής μπορούμε να συμπεράνουμε ότι η λέξη/φράση

<Something1> είναι το πληροφοριακό αγαθό και η φράση <Verb><Something2>

είναι το TI (σ.σ. η Ενέργεια) που πρέπει να γίνει/υλοποιηθεί.

6.8 Άντληση Τεχνικής Πληροφορίας από τους Δικτυακούς Πόρους του ΠΣ

Σε αυτό το βήμα πραγματοποιείται η συλλογή πληροφοριών τεχνολογικής υποδομής και

μοντελοποίηση των πόρων του ΠΣ. Το πρώτο βήμα στην προτεινόμενη μέθοδο είναι η

συλλογή των απαραίτητων στοιχείων εισόδου. Ένα στοιχείο από αυτά είναι τα

πληροφοριακά αγαθά σε επίπεδο υλικού που απαρτίζουν το δίκτυο προς εξέταση. Αν και

η αποτύπωση των αγαθών αυτών θα μπορούσε να πραγματοποιηθεί και χειροκίνητα,

εντούτοις υπάρχουν αρκετά εργαλεία διαθέσιμα (τόσο ελεύθερο όσο και εμπορικό

λογισμικό) τα οποία μπορούν να χαρτογραφήσουν το δίκτυο και επιπλέον να

προσδώσουν πρόσθετα χαρακτηριστικά στον κάθε πόρο όπως για παράδειγμα

λειτουργικό σύστημα, ενημερωμένες εκδόσεις κ.α. Υποψήφια εργαλεία είναι οι σαρωτές

/ ανιχνευτές δικτύου όπως το γνωστό nmap [Fyodor, 2006], το Netstumbler [Netstumbler,

2006] και το LANguard [GFiLANguard, 2006]. Τα εργαλεία που μπορεί κάποιος να

χρησιμοποιήσει είναι πολλά, και (συνήθως) ενημερώνονται συνεχώς με νέες

δυνατότητες, ιδίως εκείνα που διατίθενται ελεύθερα στο διαδίκτυο. Αυτά τα εργαλεία

είναι σε θέση να παράγουν έξοδο σε μορφή απλού κειμένου ή σε άλλες πιο δομημένες

μορφές (όπως XML), η οποία περιέχει την απαραίτητη πληροφορία για το δίκτυο.

Παράδειγμα τέτοιας εξόδου λογισμικού ανίχνευσης αποτελεί η ακόλουθη Εικόνα 6.3, το

οποίο αποτελεί χαρτογράφηση ενός εξοπλισμού που περιέχει τόσο ενσύρματους όσο και

ασύρματους πόρους (έξοδος σε απλό κείμενο).

Εικόνα 6.3: Έξοδος Λογισμικού Ανίχνευσης Δικτύου Network: " " BSSID: "00:02:2D:00:34:57" CDP Broadcast Device 1 Device ID : KENTPUR



Σελ. 282

Capability: Interface : FastEthernet0 IP : 172.25.1.14 Platform : cisco 1720 Software : Cisco Internetwork Operating System Software IOS (tm) C1700 Software (C1700-Y-M), Version 12.1(1), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2000 by cisco Systems, Inc. Compiled Tue 14-Mar-00 16:40 by cmong CDP Broadcast Device 2 Device ID : Kent_County Capability: Interface : Ethernet0 IP : 172.25.1.5 Platform : cisco 2500 Software : Cisco Internetwork Operating System Software IOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASE SOFTWARE (fc1) Copyright (c) 1986-1996 by cisco Systems, Inc. Compiled Mon 05-Aug-96 11:48 by mkamson CDP Broadcast Device 3 Device ID : Kentres Capability: Interface : Ethernet0 IP : 172.25.1.10 Platform : cisco 1602 Software : Cisco Internetwork Operating System Software IOS (tm) 1600 Software (C1600-Y-M), Version 12.0(3), RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Mon 08-Feb-99 20:15 by phanguye CDP Broadcast Device 4 Device ID : kent390 Capability: Interface : Ethernet0 IP : 172.25.1.11 Platform : cisco 1604 Software : Cisco Internetwork Operating System Software IOS (tm) 1600 Software (C1600-Y-L), Version 12.0(3), RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by Cisco Systems, Inc. Compiled Mon 08-Feb-99 19:32 by phanguye

Στην παραπάνω έξοδο του εργαλείου ιχνηλάτησης έχουν καταγραφεί σημαντικές

πληροφορίες για τις συσκευές δικτυακού εξοπλισμού όπως δικτυακή διεύθυνση (IP

address), λειτουργικό σύστημα (operating system), έκδοση λειτουργικού συστήματος

(operating system version) και άλλες πληροφορίες. Σε ένα άλλο παράδειγμα, δίδεται η

(μερική) έξοδος του εργαλείου nmap σε ιχνηλάτηση ενός πραγματικού δικτύου για ένα



Σελ. 283

πόρο του με διεύθυνση 192.168.0.13 (Εικόνα 6.4). Σε αυτό το απόσπασμα εξόδου, το

εργαλείο καταγράφει τη διεύθυνση δικτύου, τις διαθέσιμες θύρες (ports), τις υπηρεσίες

του πόρου, καθώς και την κατάσταση (state) της υπηρεσίας. Η τελευταία πληροφορία

μπορεί να λάβει τις τιμές [OPEN, FILTERED, CLOSED] και μπορεί να χρησιμεύσει για

την ανίχνευση συσκευών δικτυακού ελέγχου πρόσβασης (δρομολογητές, αναχώματα

κλπ.), όπως επίσης και να δώσει κάποιες κατευθύνσεις για την κατεύθυνση της ροής της

πληροφορίας (Αρχή της Κατεύθυνσης και Ροής της Πληροφορίας – Information Flow

Direction, ενότητα 6.4). Στα πλαίσια της εργασίας επιλέχτηκε η μορφοποίηση της εξόδου

του nmap κατά XML, η οποία είναι δυνατό να γίνει αντικείμενο επεξεργασίας μέσω

ειδικών βιβλιοθηκών σε Perl (Nmap:: Parser) [Persaud, 2005]. Για να γίνει πιο

κατανοητή η διαδικασία, η (μερική) έξοδος του nmap για τον πόρο 192.168.0.13 σε

XML για την διεύθυνση του πόρου και τις πέντε πρώτες υπηρεσίες απεικονίζεται στην

Εικόνα 6.5.

Εικόνα 6.4: nmap – Ιχνηλάτηση Δικτύου – Στοιχεία Πόρου

Εικόνα 6.5: Ανίχνευση με nmap - Έξοδος σε XML για τον Πόρο 192.168.0.13 (μερική παράθεση) <host><status state="up" /> <address addr="192.168.0.13" addrtype="ipv4" />



Σελ. 284

<hostnames><hostname name="xxx.ccc.vv" type="PTR" /></hostnames> <ports><extraports state="closed" count="1211" /> <port protocol="tcp" portid="21"><state state="open" /><service name="tcpwrapped" method="probed" conf="8" /></port> <port protocol="tcp" portid="49"><state state="open" /><service name="tcpwrapped" method="probed" conf="8" /></port> <port protocol="tcp" portid="53"><state state="open" /><service name="domain" product="Microsoft DNS" ostype="Windows" method="probed" conf="10" /></port> <port protocol="tcp" portid="80"><state state="open" /><service name="http" product="Microsoft IIS webserver" version="6.0" ostype="Windows" method="probed" conf="10" /></port> <port protocol="tcp" portid="88"><state state="open" /><service name="kerberos-sec" product="Microsoft Windows kerberos-sec" ostype="Windows" method="probed" conf="10" /></port> ……………

Μετά την επεξεργασία της εξόδου του nmap, παράγεται μια λίστα των σημαντικών

στοιχείων του πόρου – η Εικόνα 6.6 δείχνει τα στοιχεία που εντοπίστηκαν για τον πόρο

192.168.0.13 και που αφορούν τεχνικά χαρακτηριστικά (για τον πλήρη κώδικα σε Perl ο

αναγνώστης παραπέμπεται στο Παράρτημα ΙV):

Εικόνα 6.6: Επεξεργασία Εξόδου nmap - Τεχνικά Χαρακτηριστικά του Πόρου 192.168.0.13 HostNo:10 IPaddr:192.168.0.13 OSname: OSfamily:Linux OSgen: OStype:webcam OSvendor:AXIS PortNumber:21 PortService:tcpwrapped PortNumber:49 PortService:tcpwrapped PortNumber:53 PortService:domain PortNumber:80 PortService:http PortNumber:88 PortService:kerberos-sec PortNumber:135 PortService:msrpc PortNumber:139 PortService:netbios-ssn PortNumber:389 PortService:ldap PortNumber:445 PortService:microsoft-ds PortNumber:464 PortService:kpasswd5 PortNumber:593 PortService:ncacn_http PortNumber:636



Σελ. 285

PortService:ssl PortNumber:1025 PortService:msrpc PortNumber:1030 PortService:ncacn_http PortNumber:2000 PortService:callbook PortNumber:2001 PortService:dc PortNumber:2002 PortService:http PortNumber:3389 PortService:microsoft-rdp PortNumber:6050 PortService:arcserve

Το επόμενο βήμα είναι η δημιουργία στιγμιοτύπων εννοιών της οντολογίας ασφάλειας, η

οποία είναι αποθηκευμένη σαν αρχείο OWL (αρχείο κειμένου με κατάληξη .owl). Με

χρήση των API43 βιβλιοθηκών που παρέχει η OWL επέκταση του Protégé,

δημιουργούνται τα κατάλληλα στιγμιότυπα στην ιεραρχία της οντολογίας που

αναπαριστάνουν τον συγκεκριμένο πόρο και συμπληρώνονται τα τεχνικά στοιχεία που

συλλέχθηκαν από την ανίχνευση του δικτύου. Το αποτέλεσμα αυτού του βήματος είναι

λειτουργικά στιγμιότυπα των πόρων του ΠΣ, με συμπληρωμένα τα τεχνικά

χαρακτηριστικά που εντοπίστηκαν από την ανίχνευση του δικτύου. Το επόμενο βήμα

εντοπίζει την πληροφορία από τις δηλώσεις υψηλού επιπέδου και τις συνδέει με τους

αντίστοιχους πόρους προκειμένου να μοντελοποιήσει τις απαιτήσεις ασφάλειας.

6.9 Άντληση Πληροφορίας από τις Πηγές Γνώσης Ασφάλειας

Σε αυτό το βήμα γίνεται ανάλυση των πηγών πληροφοριών ασφάλειας υψηλού επιπέδου

(δηλώσεων πολιτικών, έξοδος ΑΕ, διοικητικές αποφάσεις, …) για την εξαγωγή χρήσιμων

χαρακτηριστικών των αντιμέτρων που αφορούν κάθε αγαθό. Ο στόχος του βήματος είναι

η δημιουργία εγγραφών για τον πίνακα Threats-CMs[ ] του κάθε στιγμιότυπου αγαθού

που έχει δημιουργηθεί από το προηγούμενο βήμα (ενότητα 6.8), έτσι ώστε να

43 Application Program Interface.



Σελ. 286

προσδιοριστούν οι ιδιότητες του κάθε αντίμετρου (Σχήμα 6.3 και Εικόνα 6.2).

Προκειμένου να γίνει αυτό εφικτό, πρέπει να αναλυθεί η πληροφορία που είναι

διαθέσιμη από τις δηλώσεις υψηλού επιπέδου (βήμα “II” από τη μεθοδολογία εφαρμογής

της ΔΑΠΣ στην ενότητα 4.10). Έχοντας εντοπίσει τις κύριες οντότητες του προς εξέταση

δικτύου μπορούμε να συμπληρώσουμε για κάθε μία από αυτές τις γνωστές απειλές

ασφάλειας που έχει (οι απειλές χαρακτηρίζονται ως «γνωστές» γιατί προϋπάρχουν στην

αντίληψη του ειδικού ασφάλειας πριν ακόμα αναγνωριστούν οι οντότητες του δικτύου.

Οι απειλές αυτές έχουν προκύψει από την Ανάλυση Επικινδυνότητας και/ή την μελέτη

προτύπων και μοντέλων ασφαλείας και έχουν εισαχθεί στην οντολογία ως στιγμιότυπα

της τάξης Threats (βλ. ενότητα 6.7.1 για τις συμβάσεις που υιοθετήθηκαν). Στη συνέχεια

χρησιμοποιώντας τεχνικές επεξεργασίας φυσικής γλώσσας, εξάγεται πληροφορία που

αφορά στα αντίμετρα. Το είδος της πληροφορίας που ενδιαφέρει την έρευνα

παρουσιάστηκε παραπάνω (ενότητα 6.5). Στη συνέχεια. το κάθε αντίμετρο που βρέθηκε

και αναγνωρίστηκε επιτυχώς, πρέπει να ταξινομηθεί σε κάθε απειλή που μπορεί να βρει

εφαρμογή (βλ. ενότητα 6.7.1 για τις συμβάσεις που υιοθετήθηκαν). Για τον σκοπό αυτό,

χρησιμοποιούμε το πεδίο CM_Group για να ενταχθεί το αντίμετρο σε μία ομάδα

αντιμέτρων και να εντοπιστούν οι απειλές που μπορεί να έχει εφαρμογή. Έτσι, για

παράδειγμα, είναι φανερό ότι αν το αντίμετρο έχει χαρακτηριστεί ότι ανήκει στην ομάδα

Identification and Authentication (Ταυτοποίηση και Αυθεντικοποίηση), δεν μπορεί να

χρησιμοποιηθεί π.χ. για τη λογιστική χρέωση των χρηστών για ένα αγαθό όπως τον

ΕκτυπωτήςΑ.

Το επόμενο στάδιο αφορά στην διαχειριστική πληροφορία που προέρχεται από τα

επιχειρησιακά στελέχη (βήμα “IV” από τη μεθοδολογία εφαρμογής της ΔΑΠΣ στην

ενότητα 4.10). Σε αρκετές περιπτώσεις, μετά την ολοκλήρωση των διαδικασιών για την

δημιουργία μιας Πολιτικής Ασφάλειας, πραγματοποιούνται αρκετά στάδια εκλέπτυνσης

αυτών έως ότου «συμμορφωθεί» πλήρως με τις ανάγκες του οργανισμού. Η πληροφορία

αυτή είναι αδύνατον να συλλεχθεί με οποιονδήποτε άλλο τρόπο εκτός από συνεντεύξεις

και διαλογικές διαδικασίες. Συνεπώς η πληροφορία αυτή θα ενταχθεί στην οντολογία με

μη-αυτοματοποιημένο τρόπο, ο οποίος δεν είναι στα όρια της παρούσης διατριβής.

Τέλος υπάρχουν περιπτώσεις όπου για λόγους ελλιπούς ανάλυσης επικινδυνότητας για

πολλά αγαθά δεν υπάρχουν αντίμετρα, ή αυτά δεν κρίνονται επαρκή. Έτσι λοιπόν, στο



Σελ. 287

τελευταίο βήμα επεξεργασίας των πηγών εισόδου (βήμα “V” από τη μεθοδολογία

εφαρμογής της ΔΑΠΣ) εντοπίζονται για την κάθε απειλή ενός αγαθού βέλτιστες

πολιτικές ασφάλειας και κοινές πρακτικές από κοινά αποδεκτές συλλογές / βάσεις

αντιμέτρων και ενσωματώνεται η πληροφορία αυτή στο εκάστοτε πεδίο CM του πίνακα

Threats-CMs [ ]44. Ολοκληρώνοντας και το στάδιο αυτό έχει δημιουργηθεί (κατά το

δυνατό, και ανάλογα με την ποσότητα και ποιότητα της πληροφορίας που θα έχει

συλλεχθεί) το μοντέλο της οντολογίας με την απαραίτητη πληροφορία για τη

μοντελοποίηση των πόρων του ΠΣ. Η επόμενη ενότητα αφορά την υλοποίηση της

εξαγωγής των απαιτήσεων ασφάλειας από την έξοδο της ΑΕ και λοιπές πηγές ασφάλειας


6.9.1 Υλοποίηση Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας από Σχετικές Πηγές Υψηλού Επιπέδου

Για τη δοκιμή της προτεινόμενης μεθόδου χρησιμοποιήθηκαν ένας αριθμός από

αντίμετρα σε φυσική γλώσσα. Τόσο η μορφή όσο και το περιεχόμενο των αντίμετρων

δεν ακολουθεί κάποιο συγκεκριμένο πρότυπο. Και τα δύο είναι άμεσα συνδεδεμένα με

τον συγγραφέα του αντίμετρου, είτε είναι κάποια φυσική οντότητα (διαχειριστής /

αναλυτής ασφάλειας πληροφοριακών συστημάτων) είτε είναι κάποιο λογισμικό. Η

μέθοδος που παρουσιάζεται στηρίζεται μόνο στα αντίμετρα τα οποία προκύπτουν από

κάποιο λογισμικό και συγκεκριμένα από την CRAMM. Με τον τρόπο αυτό είναι δυνατή

η εφαρμογή κάποιας αλγοριθμικής μεθόδου επάνω στα αντίμετρα με σκοπό τον

εντοπισμό των βασικών τους ιδιοτήτων (ενότητα 6.5). Επιπλέον, η ευρεία διάδοση της

CRAMM αποτέλεσε ένα ακόμα ισχυρό κίνητρο για την υιοθέτηση των εν λόγω

αντιμέτρων. Το κείμενο με τα αντίμετρα το οποίο χρησιμοποιήθηκε για την επίδειξη της

μεθόδου είναι το ακόλουθο:

Use asymmetric algorithms for signatures.

44 Η υλοποίηση της εν λόγω βάσης βέλτιστων πρακτικών, είναι εκτός του εύρους της παρούσας έρευνας.



Σελ. 288

Use filters to restrict the level of access between internal and external hosts. Use filters to control which systems are permitted connections with the Internet. Passwords to be at least 6 characters long.

Τέλος, το τελευταίο στοιχείο προς είσοδο στην εφαρμογή είναι η ίδια η οντολογία

ασφάλειας. Μετά την τελική επεξεργασία των αντίμετρων απαιτείται η σύνδεση των

απαιτήσεων ασφάλειας με το κατάλληλο στιγμιότυπο της οντολογίας με απώτερο σκοπό

την πλήρωση του πεδίου Threats-CMs το οποίο αποτελεί πεδίο της τάξης Asset. Η

οντολογία είναι προσπελάσιμη τόσο με την βοήθεια της προγραμματιστικής διεπαφής

που παρέχει το Protégé, αλλά και της προγραμματιστικής διεπαφής (API) του OWL

Plugin. Παρακάτω ακολουθεί ένα μέρος της οντολογίας που χρησιμοποιείται

(παρουσιάζεται ένα μέρος της για λόγους οικονομίας χώρου). Η γραφική αποτύπωση της

οντολογίας (Εικόνα 6.7) προέκυψε από την χρήση ενός επιπλέον plugin του Protégé, του

OWLViz. Η μέθοδος τυπικής αποτύπωσης. αναλύεται στην επόμενη παράγραφο.

Εικόνα 6.7: Γραφική Απεικόνιση της Οντολογίας Ασφάλειας



Σελ. 289

6.9.2 Λεκτική Ανάλυση των Αντιμέτρων Υψηλού Επιπέδου

Στο σημείο αυτό παρουσιάζεται η μέθοδος καθώς και τα βασικά αλγοριθμικά βήματα τα

οποία ακολουθήθηκαν με σκοπό την πλήρωση της οντολογίας. Η όλη διαδικασία

στηρίχθηκε σε τεχνικές επεξεργασίας φυσικής γλώσσας [Tsoumas et al., 2006b],

[Παπαγιαννακόπουλος, 2004]. Το εργαλείο που χρησιμοποιήθηκε είναι το GATE

[Cunningham et al., 2002], [Cunningham et al., 2006].

Όπως ήδη έχει αναφερθεί και στην περιγραφή του εργαλείου (ενότητα 4.11.2), το GATE

προσφέρει μία ενσωματωμένη σειρά Υπολογιστικών Οντοτήτων (Processing Resources,

PRs) για επεξεργασία φυσικής γλώσσας, το ΑΝΝΙΕ. Τα υπολογιστικά στοιχεία αυτά

υποστηρίζουν την ανάλυση της εισόδου έτσι ώστε να γίνει δυνατός ο εντοπισμός των

σημαντικών παραμέτρων των απαιτήσεων ασφάλειας, που περιγράφονται παρακάτω.

Αναγνώριση λέξεων/φράσεων με κοινές ιδιότητες: Ένα από τα πρώτα στάδια του ANNIE

είναι ο Gazetteer. Ο τελευταίος περιέχει αρχεία τα οποία με την σειρά τους περιέχουν

λίστες από λέξεις / φράσεις (για συντομία λέξεις στα επόμενα), μία ανά γραμμή. Το κάθε

αρχείο αντιπροσωπεύει ένα σύνολο από ονόματα, πόλεις, επαγγέλματα κ.α. Όταν μία

λέξη αναγνωριστεί από τον Gazetteer στο κείμενο, υπομνηματίζεται (annotated) με ένα

προκαθορισμένο χαρακτηρισμό (Lookup) καθώς και με δύο επιπλέον χαρακτηριστικά

όπου αυτά έχουν οριστεί. Τα τελευταία αποτελούν τον «μέγιστο τύπο» και τον «ελάχιστο

τύπο» (majorType and minorType) της εκάστοτε λέξης. Οι τύποι αυτοί χρησιμοποιούνται

για την περαιτέρω επεξεργασία των λέξεων αυτών καθώς και τον τελικό υπομνηματισμό

τους σε σύνολα Πόλεων, Οργανισμών, Επαγγελμάτων κ.α. Στην μέθοδο που

παρουσιάζεται το πρώτο στάδιο ήταν η δημιουργία τέτοιων αρχείων τα οποία θα

περιγράφουν κοινές έννοιες (και που ουσιαστικά αποτελούν το λεξιλόγιο της ΟΑ).

Εξετάζοντας τα αντίμετρα εισόδου, παρατηρούμε ότι υπάρχουν λέξεις που μας

παραπέμπουν σε συγκεκριμένες κατηγορίες αντιμέτρων όπως για παράδειγμα η λέξη

firewall (τείχος προστασίας), η οποία φανερώνει την κατηγορία που ανήκει το αντίμετρο.

Ο Gazetteer βοηθά στην κατηγοριοποίηση του αντίμετρου (λ.χ. αν αναγνωριστεί η λέξη

firewall μέσα στο αντίμετρο τότε αυτό κατά ένα μεγάλο ποσοστό ανήκει στην κατηγορία

«Network Access Controls» με υποκατηγορία «Firewalls»). Τόσο οι κατηγορίες όσο και



Σελ. 290

οι υποκατηγορίες των αντιμέτρων ακολουθούν την ταξινομία της CRAMM. Συνεπώς

μέσω αυτής της διαδικασίας αναγνώρισης λέξεων κλειδιών είναι δυνατή η

κατηγοριοποίηση του αντίμετρου (σ.σ. χαρακτηριστικό CM_Group από την δομή του

αντίμετρου όπως αυτή παρουσιάστηκε στην ενότητα 6.5). Στο Παράρτημα V

παρουσιάζονται όλες τα αρχεία που δέχεται σαν είσοδο ο Gazetteer και τα οποία

ορίστηκαν με σκοπό την αναγνώριση λέξεων ή φράσεων με κοινές ιδιότητες. Ο

εντοπισμός αυτών των σημαντικών εννοιών υποβοηθά πολύ την ανάλυση γιατί είναι

δυνατό να εφαρμοστούν περαιτέρω σημασιολογικοί κανόνες.

Στόχος: Το επόμενο στάδιο είναι η εύρεση του πεδίου Στόχος (Target, βλ. δομή

αντίμετρου, ενότητα 6.5). Παρόμοια με το προηγούμενο στάδιο, μέσω λεκτικής

αναζήτησης, προσπαθούμε να αναγνωρίσουμε λέξεις κλειδιά οι οποίες θα φανερώνουν

τον πόρο στον οποίο θα εφαρμοστεί το αντίμετρο. Έτσι για παράδειγμα στην εύρεση

λέξεων ή και φράσεων όπως server, application server κ.τ.λ., είναι πολύ πιθανό το

αντίμετρο να εφαρμόζεται σε όλα τα στιγμιότυπα της κλάσης Server (ή μόνο σε αυτά της

κλάσης Application Server αν αναγνωριστεί η φράση ”application server”). Ταυτόχρονα

απαιτείται ο ευρύτερος έλεγχος του πλαισίου στο οποίο γίνονται αναφορές σε τέτοιες

λέξεις/φράσεις για να επιλυθούν προβλήματα πολυπλοκότητας και ασάφειας όπως για

παράδειγμα η αναφορά τόσο σε server όσο και σε clients. Σε προτάσεις αυτού του είδους

απαιτείται περαιτέρω επεξεργασία και αναγνώριση κατά το δυνατόν των συμφραζομένων

(context) της πρότασης για την τελική εξαγωγή του αντικειμένου εφαρμογής του

αντίμετρου.

Ενέργεια, Υποκείμενο και Περιορισμοί: Για τον εντοπισμό αυτών των στοιχείων,

υιοθετείται η ανάλυση με χρήση προτύπων γραφής (patterns), των αντιμέτρων.

Μελετώντας τα αντίμετρα, παρατηρείται ότι είναι δυνατή η κατηγοριοποίηση αυτών με

βάση την δομή της πρότασης. Για παράδειγμα οι προτάσεις:

«Passwords to be changed at least once every 12 months» «Passwords to be at least 6 characters long»

έχουν μία κοινή δομή. Ξεκινούν με ένα ουσιαστικό (noun), το οποίο είναι και ο στόχος

του αντίμετρου και συνεχίζουν με την λέξη «to» ακολουθούμενη από ένα ρήμα καθώς



Σελ. 291

και κάποιες παραμέτρους. Στο άνωθεν παράδειγμα, η ενέργεια που πρέπει να αποτυπωθεί

συνάγεται από το ρήμα (“change”)και έπειτα από τα συμφραζόμενα (”to be at least 6 characters long”), ενώ ο Στόχος είναι το Συνθηματικό (Passwords).

Με χρήση ευρετικών μηχανισμών και χρήση των συμφραζομένων και του περιβάλλοντος

του ΠΣ μπορούμε να συμπεράνουμε ότι τα συνθηματικά αφορούν υπολογιστές και

συνεπώς ο Στόχος είναι όλα τα συνθηματικά με τα οποία παρέχεται πρόσβαση σε

υπηρεσίες και πόρους, δηλ. σε όλους τους υπολογιστικούς πόρους ΤΠΕ.

Το ίδιο ισχύει και για το ΕΕΑ (Εύρος Εφαρμογής Αντιμέτρου), δηλ. το σύνολο των πόρων

που θα εφαρμοστεί το αντίμετρο. Η εύρεση των προτύπων πραγματοποιείται με την

βοήθεια του POS Tagger, που είναι μια Υπολογιστική Οντότητα του ANNIE. Σαν είσοδό

του έχει μία βάση με λέξεις καθώς και την πληροφορία του μέρους του λόγου που ανήκει

η κάθε λέξη (ουσιαστικό, ρήμα, …). Κατά την εκτέλεσή του αποθηκεύεται το μέρος του

λόγου της κάθε λέξης σαν χαρακτηριστικό αυτής. Σε περίπτωση που μία λέξη μπορεί να

είναι παραπάνω από ένα μέρος του λόγου, χρησιμοποιούνται πρότυπα (patterns) για να

αναγνωρίσει τελικά τις ιδιότητες της εκάστοτε λέξης. Παράδειγμα τέτοιας λέξης είναι η

λέξη use, η οποία μπορεί να είναι ουσιαστικό ή ρήμα. Σε περίπτωση εύρεσης της φράσης

«the use of» τότε βάσει του προτύπου <the> <verb> <of>, μπορεί να συμπεράνει ότι είναι

ουσιαστικό.

Στη συνέχεια παρουσιάζονται τα λεκτικά πρότυπα τα οποία χρησιμοποιούνται για την

εξαγωγή της γνώσης των παραπάνω πληροφοριών καθώς και το χειρισμό του κάθε

προτύπου.

Πρότυπο 1:

<Noun> <to> <Verb> <Something>

Στην περίπτωση αυτή ο Στόχος είναι το ουσιαστικό (noun) και η Ενέργεια είναι το

υπόλοιπο μέρος του αντίμετρου

(«<to> <Verb> <Something>»).

Ο Στόχος μπορεί όμως να έχει οριστεί και από τον Gazetteer, στην προηγούμενη φάση.

Σε αυτή την περίπτωση τα δύο αντικείμενα εφαρμογής που βρέθηκαν συνδυάζονται για

να προκύψει ένας πιο ακριβής Στόχος. Τόσο το Υποκείμενο (Subject) όσο και οι



Σελ. 292

Περιορισμοί (Constraints) θεωρούνται τα προκαθορισμένα (βλ. ενότητα 6.7.1).

Πρότυπο 2:

<Verb> <Something> <Preposition (πρόθεση)> <Something>

Σε αυτή την περίπτωση η Ενέργεια του αντίμετρου εκφράζεται σαν το «<Verb>

<Something>». Επίσης, όσον αφορά στο Υποκείμενο που θα εκτελέσει το αντίμετρο

καθώς και στους Περιορισμούς που μπορεί να έχει το αντίμετρο, το προαναφερθέν

πρότυπο δεν φανερώνει κάτι τέτοιο, οπότε και θεωρείται ότι οι δύο αυτές ιδιότητες

προσλαμβάνουν τις προκαθορισμένες τιμές.

Πρότυπο 3:

<Verb> <Something> <to> <Something> <Preposition (πρόθεση)><Something>

Το συγκεκριμένο πρότυπο, είναι ίσως και το πιο δύσκολο από τα εξεταζόμενα. Στην

συγκεκριμένη περίπτωση η Ενέργεια θα είναι «<Verb> <Something>» και το

Υποκείμενο το προκαθορισμένο. Όμως στην συγκεκριμένη περίπτωση υπάρχει άλλη μία

πρόθεση στην πρόταση εκτός από την λέξη <to>. Η τελευταία τις περισσότερες φορές

χρησιμοποιείται για να υποδηλώσει κάποιο περιορισμό στην εφαρμογή του αντιμέτρου.

Για παράδειγμα μία πρόταση η οποία εμπίπτει στον κανόνα αυτό είναι η

«Use filters to restrict the level of access between internal and external hosts».

Η Ενέργεια «Use filters» δεν πρέπει να εφαρμοστεί σε όλους τους υπολογιστικούς

πόρους αλλά μόνο σε εκείνους οι οποίοι συνδέονται με εξωτερικά συστήματα. Ακόμη

πιο εξειδικευμένα, εγκατάσταση φίλτρων απαιτείται μόνο στους δρομολογητές εκείνους

που δρομολογούν συνδέσεις μεταξύ εσωτερικών και εξωτερικών κόμβων. Άρα λοιπόν ο

Περιορισμός σε αυτές τις περιπτώσεις είναι το <Preposition (πρόθεση)><Something>.

Το τελευταίο πρότυπο που αναφέρθηκε παρουσιάζει μερικές ιδιαιτερότητες. Υπάρχουν

περιπτώσεις στις οποίες το λήμμα <Preposition (πρόθεση)> χρησιμοποιείται απλά για

διευκρινήσεις στην φράση <Something> που ακολουθεί την λέξη <to>. Σε αυτές τις

περιπτώσεις δεν υπάρχει κανένας περιορισμός και ως εκ τούτου πρέπει να υπάρξει ένα



Σελ. 293

διαχωρισμός μεταξύ των δύο περιπτώσεων. Μια πρόθεση που τις περισσότερες φορές, αν

όχι όλες, υποδηλώνει κάποιο περιορισμό, είναι η λέξη ”between”. Συνεπώς το παραπάνω

πρότυπο εκλεπτύνεται περισσότερο και χωρίζεται σε δύο πρότυπα

[Παπαγιαννακόπουλος, 2004]. Το πρώτο παραμένει το ίδιο με την μόνη διαφορά ότι

ορίζεται μία λίστα από προθέσεις η οποία υποδηλώνει ύπαρξη περιορισμού και το

δεύτερο το οποίο δεν ελέγχει την ύπαρξη πρόθεσης μιας και αυτή απλά διευκρινίζει

προηγούμενες έννοιες. Σχηματικά λοιπόν είναι το επιπλέον πρότυπο έχει ως εξής:

Πρότυπο 4:

<Verb> <Something> <to> <Something> <Λίστα από προθέσεις><Something>

και

<Verb> <Something> <to> <Something>>

όπου στην «λίστα από προθέσεις» περιλαμβάνεται η λέξη between.

Αξίζει να σημειωθεί ότι τα συγκεκριμένα πρότυπα είναι απλά ένα δείγμα από το σύνολο

των προτύπων που πιθανά να υπάρχουν και προκύπτουν από την εμπειρική μελέτη του

συνόλου των αντιμέτρων. Το αρχείο των αντιμέτρων (“countermeasures.txt”, βλ.

Παράρτημα V) περιέχει αντιπροσωπευτικά δείγματα από κάθε πρότυπο έτσι ώστε να

γίνει πιο κατανοητή η εφαρμογή των προτύπων στο κείμενο των αντιμέτρων.

Στην επόμενη παράγραφο, τα παραπάνω πρότυπα εφαρμόζονται στο αρχείο των

αντιμέτρων προκειμένου να εξαχθεί η απαραίτητη γνώση μέσω τον κανόνων που

ορίστηκαν παραπάνω. Ο πηγαίος κώδικας σε Java ο οποίος υλοποιεί τα προαναφερθέντα

είναι διαθέσιμος.

6.9.3 Εκτέλεση και Προσδιορισμός Απαιτήσεων Ασφάλειας

Στην παρούσα ενότητα θα εφαρμοστούν οι τεχνικές που αναφέρθηκαν παραπάνω στα

αντίμετρα υψηλού επιπέδου ανάλογα με εκείνα που παρουσιάστηκαν στην παράγραφο

6.9.1. Υπάρχουν δύο βασικοί (και συμπληρωματικοί) τρόποι εργασίας, ένας μέσω του

ολοκληρωμένου περιβάλλοντος GATE και της αντίστοιχης προγραμματιστικής διεπαφής

(API). Μετά την εφαρμογή της μεθόδου θα παρουσιαστούν τα αποτελέσματα τα οποία

προέκυψαν, τόσο στο γραφικό περιβάλλον του GATE όσο και στο περιβάλλον κονσόλας

μέσω εκτέλεσης του προγράμματος σε JAVA που δημιουργήθηκε για τους σκοπούς της



Σελ. 294

έρευνας και στηρίζεται στις κλήσεις API που παρέχει το GATE [Cunningham et al.,

2002]. Στο γραφικό περιβάλλον δεν απεικονίζεται η εξαχθείσα γνώση για κάθε πεδίο,

αφού αυτή προκύπτει από την υλοποίηση στο περιβάλλον κονσόλας. Συγκεκριμένα στο

γραφικό περιβάλλον παρουσιάζονται η Κατηγοριοποίηση Αντιμέτρου (CM_Group), οι

πιθανοί Στόχοι (αντικείμενο εφαρμογής του αντίμετρου, Targets), καθώς και ένας

χαρακτηρισμός της πρότασης σχετικά με το ποιο συντακτικό πρότυπο ακολουθεί έτσι

ώστε να είναι δυνατή η επεξεργασία της από το πρόγραμμα που δημιουργήθηκε. Οι

λέξεις / φράσεις οι οποίες δίνουν κάποιες ενδείξεις για την κατηγοριοποίηση του

εκάστοτε αντιμέτρου, παρουσιάζονται στην Εικόνα 6.8 μέσω του GATE. Στο δεξί μέρος

της εικόνας φαίνονται οι κατηγοριοποιήσεις των λέξεων και οι ετικέτες του

υπομνηματισμού των φράσεων. Στο κάτω μέρος βρίσκεται το κείμενο, στο οποίο έχουν

χωριστεί οι λέξεις / φράσεις ανάλογα με την επιλογή του κατάλληλου συνόλου

υπομνηματισμού (στο δεξί μέρος του περιβάλλοντος) και τέλος πάνω από το κείμενο

βρίσκονται λεπτομέρειες και επιπλέον χαρακτηριστικά για την κάθε λέξη / φράση που

απεικονίζεται με διαφορετικό χρώμα, ανάλογα πάλι με το σύνολο υπομνηματισμού που

έχει επιλεγεί.



Σελ. 295

Εικόνα 6.8: Εντοπισμός ιδιότητας «Κατηγοριοποίηση Αντιμέτρου» (CM_Group/ CM_SubGroup)

Εντοπισμός Ομάδας / Υπο-Ομάδας Αντίμετρου: Τα επιπλέον χαρακτηριστικά που

ορίστηκαν είναι η Ομάδα Αντιμέτρου (CM_Group) στο οποίο ανήκει το αντίμετρο (μέσω

του majorT=NetworkAccessControl) καθώς και η Υπο-Ομάδα Αντιμέτρου

(CM_SubGroup) αυτού, όπου αυτό έχει οριστεί (μέσω του minorT=Firewalls).

Παρατηρείται λοιπόν (Εικόνα 6.8) ότι για την φράση asymmetric algorithms το σύστημα

κατηγοριοποίησε την λέξη ως Message Security με υποκατηγορία Delivery Checking,

την λέξη filters ως NetworkAccessControl με υποκατηγορία Firewalls, τη λέξη

Passwords ως Identification and Authentication και τέλος την λέξη long ως

Identification and Authentication με υποκατηγορία Password Length (με έλεγχο των

συμφραζομένων του κειμένου στο οποίο βρέθηκε η λέξη). Οι παρατηρήσεις αυτές θα

είναι χρήσιμες στη συνέχεια όπου βάσει αυτών θα είναι εφικτή η πλήρωση του πεδίου

CM_Group (δομή αντίμετρου) σε περισσότερα αντίμετρα.



Σελ. 296

Εντοπισμός Στόχου και ΕΕΑ του Αντίμετρου: η αναζήτηση του Στόχου (ο πόρος στον

οποίο θα εφαρμοστεί το αντίμετρο) και του ΕΕΑ (Εύρος Εφαρμογής του Αντίμετρου)

είναι δυο λειτουργίες που σχετίζονται άμεσα. Οι λέξεις οι οποίες είναι πιθανό να

οδηγήσουν σε ένα συμπέρασμα σχετικά με τον στόχο του αντίμετρου, υπομνηματίζονται

σαν Target (Εικόνα 6.9). Μια άλλη σημαντική ιδιότητα αποτελεί το γνώρισμα kind, το

οποίο δίνει ενδείξεις για το σύνολο των πόρων που τελικά θα εφαρμοστεί το αντίμετρο –

ουσιαστικά το γνώρισμα kind ταυτίζεται με το ΕΕΑ. Έτσι οι λέξεις που έχουν

αναγνωριστεί ως πιθανοί στόχοι (targets) με το αντίστοιχο γνώρισμα ΕΕΑ είναι οι εξής

(Πίνακας 6.2):

Πίνακας 6.2: Αντιστοιχία πιθανών Στόχων - ΕΕΑ

Πιθανός Στόχος ΕΕΑ

Asymmetric Algorithms Data

Filters AllSystems

Passwords AllSystems

Hosts Clients

Long AllSystems

Αξίζει να σημειωθεί ότι ενώ η λέξη passwords θεωρητικά παραπέμπει σε πρόσβαση

δεδομένων (data access), εντούτοις αποτελεί μία ρύθμιση των εφαρμογών λογισμικού45

45 Θεωρείται ότι η πρόσβαση στις μηχανές του ΠΣ και στις κονσόλες διαχείρισης των εφαρμογών

υποδομής (όπως οι βάσεις δεδομένων) γίνεται μέσω του λειτουργικού τους συστήματος ή του αντίστοιχης

διεπαφής σε διαχειριστικές λειτουργίες – σε κάθε περίπτωση, τα εν λόγω κελύφη / διεπαφές θεωρούνται

(και είναι) λογισμικό.



Σελ. 297

των οποίων είναι επιθυμητή η προστασία με στοιχειώδεις μηχανισμούς πρόσβασης. Έτσι

σε περίπτωση αναγνώρισης τέτοιου ειδών λέξεων / φράσεων το αντικείμενο εφαρμογής

της οντολογίας θα είναι όλες οι εφαρμογές λογισμικού που απαιτούν ταυτοποίηση και

αυθεντικοποίηση για πρόσβαση στις εκάστοτε λειτουργίες τους. Επιπρόσθετα, κατά την

υλοποίηση της μεθόδου χάριν της απλότητας έγινε η παραδοχή ότι η εφαρμογή τυχόν

αναχωμάτων / τειχών προστασίας (firewalls) μπορεί να γίνει σε οποιοδήποτε μηχάνημα

και όχι αποκλειστικά σε δρομολογητές (ή γενικότερα σε συσκευές ελέγχου δικτυακής

πρόσβασης). Για τον λόγο αυτό σε πιθανή εύρεση λέξεων που να υποδηλώνουν ύπαρξη

firewall, υποθέτουμε ότι το αντίμετρο έχει εφαρμογή σε όλα τα συστήματα

(kind=AllSystems).

Εικόνα 6.9: Εντοπισμός Ιδιότητας «Στόχος Αντιμέτρου» (Target)

Εντοπισμός Λεκτικού Προτύπου του Αντίμετρου (Pattern): Κατά την εκτέλεση των

Υπολογιστικών οντοτήτων που διαθέτει το ANNIE, ένα ακόμα στοιχείο το οποίο

παρουσιάζει ενδιαφέρον είναι ο χαρακτηρισμός του Λεκτικού Προτύπου (Pattern). Η

κάθε πρόταση με βάση τη δομή της, χαρακτηρίζεται ανάλογα έτσι ώστε στην μετέπειτα

επεξεργασία από τον κώδικα που αναπτύχθηκε να μπορέσουμε από κάθε πρόταση να



Σελ. 298

εξάγουμε την κάθε απαραίτητη πληροφορία. Έτσι λοιπόν, όπως φαίνεται και στην

Εικόνα 6.10 κάτω από τον υπομνηματισμό Pattern υπάρχει ένα επιπλέον πεδίο, το

Pattern.kind το οποίο λαμβάνει αριθμητικές τιμές, ανάλογα με το πρότυπο που έχει

αντιστοιχιστεί στον κάθε αριθμό.

Εικόνα 6.10: Εντοπισμός του Λεκτικού Προτύπου του Αντίμετρου

Στη συνέχεια, η εξέταση του πεδίου αυτού κατηγοριοποιεί το συγκεκριμένο αντίμετρο σε

κάποιο λεκτικό πρότυπο έτσι ώστε να διευκολυνθεί η εξαγωγή συμπερασμάτων κατά τη

συζήτηση στην ενότητα 6.9.2. O Πίνακας 6.3 καταγράφει τις αντιστοιχίσεις των

αντιμέτρων με τα λεκτικά πρότυπα που έχουν εντοπιστεί [Παπαγιαννακόπουλος, 2004].

Πίνακας 6.3: Αντιστοίχηση Αντιμέτρων με Αναγνωριστικά Λεκτικών Προτύπων Αντιμέτρων

Αναγνωριστικό No Λεκτικό Πρότυπο Γραφής Αντιμέτρου (Pattern)



Σελ. 299

Αναγνωριστικό No Λεκτικό Πρότυπο Γραφής Αντιμέτρου (Pattern)

1 <Verb> <Something> <Preposition (πρόθεση)> <Something>

2 <Verb> <Something> <to> <Something>

3 <Verb> <Something> <to> <Something> <Λίστα από προθέσεις>

<Something>

4 <Noun> <to> <Verb> <Something>

6.9.4 Μελέτη περίπτωσης – Ιχνηλάτηση Δικτύου και Λεκτική

Ανάλυση των Αντιμέτρων

Προκειμένου να αξιολογηθεί η μέθοδος που προτείνεται, έγιναν μια σειρά πειραμάτων

σε δοκιμαστικά δίκτυα που στήθηκαν για το σκοπό αυτό. Σε αυτή την ενότητα θα

περιγραφεί μια διάταξη που περιλαμβάνει έναν εξωτερικό δρομολογητή (Alcatel Speed

Touch), έναν εσωτερικό δρομολογητή (3COM) και δύο φορητούς υπολογιστές (Windows

XP) που συνδέονται στο εσωτερικό δίκτυο (Σχήμα 6.5).

Σχήμα 6.5: Δοκιμαστικό Δίκτυο

Η ιχνηλάτηση του δικτύου από το nmap έδωσε τις απαραίτητες πληροφορίες με βάση τις



Σελ. 300

οποίες δημιουργήθηκαν τέσσερα στιγμιότυπα (δύο για τους δρομολογητές και δύο για

τους φορητούς υπολογιστές) στην οντολογία, και εμπλουτίστηκαν με τα χαρακτηριστικά

των πόρων που συνέλλεξε το εργαλείο ιχνηλάτησης δικτύου με τη χρήση του Protégé-

OWL API. Στη συνέχεια, τα αντίμετρα από την ΑΕ αναλύθηκαν από το πρόγραμμα

λεκτικής ανάλυσης. Για διευκόλυνση του αναγνώστη, θα αναλυθεί η επεξεργασία για ένα

συγκεκριμένο αντίμετρο της Ανάλυσης Επικινδυνότητας, μετά την επεξεργασία των

δεδομένων της ιχνηλάτησης δικτύου και της λεκτικής ανάλυσης. Το αρχικό αντίμετρο

επαναλαμβάνεται εδώ (Πίνακας 6.4).

Πίνακας 6.4: Δοθέν Αντίμετρο Εισόδου στη Λεκτική Ανάλυση

Νο Αντίμετρο από την έξοδο της Ανάλυσης Επικινδυνότητας

2 “Use filters to restrict the level of access between internal and external hosts”

Επιπρόσθετα, παρατίθεται το μέρος της εξόδου που αφορά στο συγκεκριμένο αντίμετρο

της δοκιμαστικής εισόδου στην εφαρμογή εξαγωγής απαιτήσεων ασφάλειας (μετά τα

στάδια της ιχνηλάτησης δικτύου και λεκτικής ανάλυσης), μαζί με την ανθρώπινη

διερμηνεία από ομάδα ειδικών ασφάλειας (Πίνακας 6.5). Συνολικά, από τα αντίμετρα

που εξετάστηκαν, εντοπίστηκε επιτυχώς ένα ποσοστό 71% των βασικών ιδιοτήτων των

απαιτήσεων ασφάλειας.

Πίνακας 6.5: Σύγκριση των Αποτελεσμάτων της Αυτόματης Εξαγωγής Απαιτήσεων Ασφάλειας με την Ανθρώπινη Διερμηνεία

“Use filters to restrict the level of access between internal and external hosts”

Ιδιότητα

Αντιμέτρου

Αποτέλεσμα εξαγωγής

απαιτήσεων ασφάλειας

Ανθρώπινη διερμηνεία από

ομάδα ειδικών



Σελ. 301

“Use filters to restrict the level of access between internal and external hosts”

Ιδιότητα


Αποτέλεσμα εξαγωγής

απαιτήσεων ασφάλειας

Ανθρώπινη διερμηνεία από

ομάδα ειδικών

Target Client (10.0.0.138),

AllSystems46

Routers

Subject Administrators Administrators

Group NetworkAccessControls NetworkAccessControls

Subgroup Firewalls Firewalls

Action Use filters Use filters

Constraints Between internal and external

hosts

Between internal and external

hosts

6.9.5 Αξιολόγηση των Αποτελεσμάτων της Λεκτικής Ανάλυσης

Η διαδικασία της λεκτικής ανάλυσης των αντιμέτρων συμπεριλαμβάνει ευρετικούς

κανόνες οι οποίοι αναλύθηκαν σε άλλη ενότητα. Στα επόμενα θα αναφερθούμε μόνο στο

αντίμετρο του παραδείγματος, ενώ περισσότερες λεπτομέρειες είναι διαθέσιμες στο

[Παπαγιαννακόπουλος, 2004]. Εκ των υστέρων και μέσω εμπειρικής εξέτασης /

σύγκρισης του αρχικού αντιμέτρου, της αυτοματοποιημένης εξαγωγής και του

προσδοκόμενου αποτελέσματος με βάση την ανθρώπινη κρίση, γίνονται οι εξής

46 Ένα παράδειγμα αστοχίας του ΕΕΑ, όπου εξάγεται (σφαλερώς) η οντότητα “AllSystems” αντί του ορθού

“Routers”.



Σελ. 302

διαπιστώσεις:

Αναφορικά με το υποκείμενο (subject), την ενέργεια (action) καθώς και την

κατηγοριοποίηση του αντιμέτρου, η ανθρώπινη επεξεργασία θα παρήγαγε τα ίδια ή

παραπλήσια αποτελέσματα, δηλαδή τους διαχειριστές (administrators) για το

υποκείμενο, την χρησιμοποίηση φίλτρων (Use filters) ως την ενέργεια, και το Network

Access Controls και Firewalls ως το group και το subgroup, αντίστοιχα του αντίμετρου.

Αναφορικά με το Στόχο, το ΕΕΑ και τους Περιορισμούς του αντιμέτρου, οι ευρετικοί

κανόνες που έχουν θεσπιστεί στην εφαρμογή εντόπισαν δύο οντότητες/αντικείμενα, τα

Client και AllSystems για το Στόχο και το ΕΕΑ αντίστοιχα, και την πρόταση between

internal and external hosts για Περιορισμό. Το αντίμετρο αφορά σε εγκαθίδρυση

συνδέσεων μεταξύ εσωτερικών και εξωτερικών υπολογιστικών συστημάτων, που με τη

σειρά του συνεπάγεται ότι οι κανόνες διήθησης κίνησης δικτύου («φίλτρα») που θα

εγκατασταθούν δεν είναι ανάγκη να υφίστανται σε κάθε μηχάνημα το οποίο

πραγματοποιεί μία τέτοια σύνδεση. Αντίθετα η εγκατάσταση τέτοιων φίλτρων πρέπει να

γίνει σε συσκευές δικτύου όπως αναχώματα (firewalls), ή δρομολογητών μέσω των

οποίων εγκαθίσταται μία τέτοια σύνοδος. Σαν συνέπεια, το αντίμετρο δεν θα (πρέπει να)

εφαρμοστεί καθολικά σε όλες τις μηχανές αλλά μόνο σε συσκευές δικτύου. Κάτι τέτοιο,

απαιτεί την εξαγωγή έμμεσης γνώσης ή την τροφοδότηση του συστήματος με αυτή, η

οποία αφορά στο κομμάτι τον συνδέσεων μεταξύ δύο υπολογιστών που ανήκουν σε

διαφορετικά υποδίκτυα του οργανισμού με τοπολογικά κριτήρια.

6.10 Κριτική Ανασκόπηση της Μεθόδου Εξαγωγής Απαιτήσεων Ασφάλειας

Στην παρούσα ενότητα αναπτύσσεται μια κριτική των αποτελεσμάτων της μεθόδου

εξαγωγής απαιτήσεων ασφάλειας, όπως αυτά παρουσιάστηκαν στις ενότητες 6.8 και 6.9.

Τα αποτελέσματα τα οποία προέκυψαν από την υλοποίηση της μεθόδου θα μπορούσαν

να χαρακτηριστούν ικανοποιητικά όχι όμως επαρκή και αποδεκτά για μια καθολική

προσέγγιση. Η εξαγωγή απαιτήσεων ασφάλειας από τις πηγές πληροφορίας ασφάλειας

(πληροφορία δικτύου, ημιδομημένες προτάσεις / αντίμετρα υψηλού επιπέδου, κλπ.)

παρουσιάζει μεγάλη πολυπλοκότητα όσον αφορά την υλοποίησή της. Η χρήση των



Σελ. 303

προτύπων βελτιώνει την κατάσταση, με το εγγενές μειονέκτημα ότι απαιτείται η

κατασκευή ικανού αριθμού προτύπων έτσι ώστε να καλύπτει ένα αποδεκτό εύρος των

αντιμέτρων.

Σε ένα δεύτερο στάδιο, απαιτείται ο συνδυασμός της έμμεσης γνώσης που προέκυψε από

συμπερασματικούς μηχανισμούς, που στην παρούσα διατριβή έχουν αξιοποιηθεί αρκετά,

αλλά όχι στο μέγιστο βαθμό. Η εκλέπτυνση των συμπερασματικών μηχανισμών είναι μια

άλλη σημαντική πτυχή, που όμως εκτιμάται σαν αναγκαία για την ακριβέστερη

αποτύπωση των απαιτήσεων ασφάλειας με ικανό βαθμό λεπτομέρειας. Συνεπώς μία

μέθοδος η οποία θα λαμβάνει υπόψη της περισσότερο την υπονοούμενη γνώση εκτιμάται

ότι μπορεί να παρουσιάσει ακριβέστερα αποτελέσματα από την παρούσα.

Επιπλέον, τα εργαλεία τα οποία χρησιμοποιηθήκαν για την εφαρμογή της μεθόδου

(GATE και Protégé) δεν είναι αρκετά ώριμα για να υποστηρίξουν πλήρως ένα τέτοιο

εγχείρημα [Παπαγιαννακόπουλος, 2004]. Και τα δύο λογισμικά δημιουργήθηκαν από

πανεπιστημιακές ομάδες έρευνας και βρίσκονται συνεχώς υπό ανάπτυξη, ενώ τα

εγχειρίδια χρήσης που παρέχονται αφορούν στην συντριπτική τους πλειοψηφία την

χρήση της γραφικής διεπαφής και όχι των παρεχόμενων APIs. Το γεγονός αυτό καθιστά

ακόμα δυσκολότερη την δημιουργία μιας εφαρμογής που θα βασίζεται στα APIs και των

δύο προγραμμάτων. Τέλος υπάρχουν αρκετά σημεία και στα δύο προγράμματα τα οποία

δεν έχουν υλοποιηθεί και θα βοηθήσουν προς την κατεύθυνση της υλοποίησης της

μεθόδου, με χαρακτηριστικό παράδειγμα την διαχείριση οντολογιών μέσω του GATE.

Είναι λοιπόν φανερό ότι η υλοποίηση μιας τέτοιας ολιστικής αλλά και απαιτητικής

προσέγγισης ΔΑΠΣ απαιτεί συνεχή υποστήριξη από ωριμότερα προγράμματα

λογισμικού.

Από την άλλη πλευρά, είναι πεποίθηση του γράφοντος ότι η προτεινόμενη μέθοδος

αποτελεί μια τελείως διαφορετική προσέγγιση από τις ήδη υπάρχουσες προς την

κατεύθυνση της τυπικής αποτύπωσης των απαιτήσεων ασφάλειας ενός αυθαίρετου ΠΣ,

που συλλέγει και επεξεργάζεται πληροφορίες με ένα πολυσυλλεκτικό τρόπο. Στις

υπόλοιπες προσεγγίσεις υπονοείται η ύπαρξη ενός ατόμου ειδικού στην ασφάλεια ΠΣ ο

οποίος έχει ταυτόχρονη γνώση και της μεθόδου που υλοποιείται για να μπορεί να

αποτυπώσει τυπικά τα αντίμετρα της πολιτικής ασφάλειας στην εκάστοτε μέθοδο.

Το γεγονός ότι η έρευνα εστιάζεται στην αυτοματοποίηση της μεθόδου με όσο το



Σελ. 304

δυνατόν λιγότερη ανθρώπινη παρέμβαση, καθιστά την προσέγγιση που παρουσιάζεται σε

αυτή τη διατριβή ευέλικτη και εύκολα προσαρμόσιμη σε τυχόν αλλαγές του δικτύου,

όπως άλλωστε συμβαίνει και στα σύγχρονα ΠΣ. Ταυτόχρονα, ένα ακόμη πλεονέκτημα

της προσέγγισης αυτής είναι η χρήση των οντολογιών ως αποθηκευτικό μέσο των

απαιτήσεων ασφάλειας. Οι περισσότερες από τις υπάρχουσες προσεγγίσεις εστιάζουν

την προσοχή τους μόνο στο κομμάτι της τυπικής αποτύπωσης των απαιτήσεων

ασφάλειας χωρίς να λαμβάνουν υπόψη τους αρκετές παραμέτρους – όπως

επαναχρησιμοποίηση της γνώσης, εύκολη ανάγνωση και διαχείριση από ανθρώπους που

δεν γνωρίζουν την μέθοδο καθώς και την πολυπλοκότητα του συγκεκριμένου

ερευνητικού τομέα. Αναφορικά με το τελευταίο, οι οντολογίες προσφέρουν

αιτιολογικούς μηχανισμούς που αφορούν στην εξαγωγή συμπερασμάτων για τις κλάσης

που συμμετέχουν στην οντολογία, όπως για παράδειγμα συνθήκες ικανού και αναγκαίου,

σύνδεση τάξεων μεταξύ τους κάτω από ορισμένες συνθήκες, ελέγχους συνέπειας κ.α.

Τέλος, η μέθοδος που αναλύθηκε είναι αρθρωτή σε όλο το εύρος της, κάτι που την

καθιστά εύκολη στην διαχείρισή της σε περιπτώσεις λαθών αλλά και, το σημαντικότερο,

στην υλοποίηση και ανάπτυξή της. Το τμήμα της εξαγωγής της γνώσης είναι τελείως

αυτόνομο σε σχέση με την τυπική αποτύπωση της γνώσης. Επιπλέον, και το τμήμα της

εξαγωγής γνώσης από τα αντίμετρα αποτελείται από απολύτως διακριτά τμήματα όπως

αυτά παρουσιάζονται στην ενότητα 4.10, «Η Συνολική Εικόνα και οι Φάσεις της

Προσέγγισης». Έτσι για παράδειγμα σε τυχόν αλλαγή της διαδικασίας εισαγωγής της

διαχειριστικής πληροφορίας στην οντολογία δεν επηρεάζονται τα υπόλοιπα τμήματα της

μεθόδου αλλά ούτε και η οντολογία ασφάλειας.

6.11 Σύνοψη

Σε αυτό το κεφάλαιο θεμελιώθηκε και αναπτύχθηκε μια εξειδικευμένη οντολογία

ασφάλειας η οποία εστιάζει στον πολυσυλλεκτικό εντοπισμό των απαιτήσεων ασφάλειας

από διαφορετικές πηγές πληροφορίας. Η εξειδικευμένη αυτή οντολογία αναπτύσσεται σε

Protégé και συνδέεται με το CIM. Παράλληλα, ορίζεται το μοντέλο των Απαιτήσεων

Ασφάλειας προκειμένου να οριστούν οι ιδιότητες εκείνες που σηματοδοτούν σε

αφηρημένο επίπεδο το αντίμετρο (δηλ. το «ΤΙ» χρειάζεται να γίνει, και όχι το «ΠΩΣ»

των αντιμέτρων). Περαιτέρω, παρουσιάζονται οι βασικές Αρχές καθορισμού



Σελ. 305

Αντιμέτρων, που είναι οι σημασιολογικές βάσεις των ευρετικών κανόνων που ορίζονται

στο στάδιο της εξαγωγής των απαιτήσεων ασφάλειας και υλοποιούνται σε ένα

πρόγραμμα που επιδεικνύει την προσέγγιση. Τέλος, επιχειρείται μια κριτική

αντιμετώπιση της συνολικής προσέγγισης εξαγωγής των απαιτήσεων ασφάλειας.

Το επόμενο κεφάλαιο 7 εστιάζει στη βάση Τεχνικών Μέτρων Υλοποίησης (το «ΠΩΣ»

των αντιμέτρων), τα οποία συνδυάζονται με τις απαιτήσεις ασφάλειας προκειμένου να

καταλήξουν μέσα από ένα μηχανισμό εξειδίκευσης στα τελικά εφαρμόσιμες πράξεις

στους πόρους του ΠΣ υλοποιώντας τα αρχικά αντίμετρα.



Σελ. 307

It is idle to talk always of the alternative of reason and faith. Reason is itself a matter of

faith. It is an act of faith to assert that our thoughts have any relation to reality at all.

~ G. K. Chesterton

7 Τεχνικά Μέτρα Υλοποίησης


Τα Τεχνικά Μέτρα Υλοποίησης (ΤΜΥ) μοντελοποιούν τις απαιτούμενες ενέργειες για

την τεχνοδιαμόρφωση των πληροφοριακών αγαθών με τρόπο έτσι ώστε να υλοποιούνται

οι απαιτήσεις ασφάλειας που έχουν συλλεχθεί στην ΟΑ (Κεφ. 6). Αυτές οι ενέργειες

έχουν τη μορφή ρυθμίσεων τεχνοδιαμόρφωσης, εκτελέσιμων προγραμμάτων και αρχείων

φλοιού, ενώ είναι απολύτως προσανατολισμένες σε τεχνολογίες υπολογιστικών

συστημάτων (λειτουργικά συστήματα, βάσεις δεδομένων, εκδόσεις λογισμικού, κ.α.). Η

αντιστοίχηση με τις απαιτήσεις ασφάλειας γίνεται μέσω ενός κατάλληλου αλγορίθμου

ερωτήσεων στη σχεσιακή βάση αποθήκευσης των ΤΜΥ. Περαιτέρω θίγονται θέματα

εξειδίκευσης των τεχνικών αντιμέτρων σε περίπτωση που κάτι τέτοιο απαιτείται. Έχει

γίνει μια πιλοτική υλοποίηση σε σχεσιακή βάση δεδομένων και υποστηρίζεται η

υποβολή ερωτημάτων μέσω Δομημένης Γλώσσας Ερωταποκρίσεων (Structured Query



Σελ. 308

Language, SQL). Το αποτέλεσμα αυτής της διαδικασίας είναι ένα Δένδρο Εφαρμόσιμων

Αντιμέτρων (Deployable Countermeasures Tree), του οποίου οι τελικοί κόμβοι

αποτελούν ένα σύνολο από άμεσα εφαρμόσιμα ΤΜΥ στους πόρους του ΠΣ, ή περαιτέρω

πληροφορίες σχετικές με την εφαρμογή του μέτρου για τον υπεύθυνο της

τεχνοδιαμόρφωσης. Παρουσιάζεται επίσης μια μελέτη περίπτωσης η οποία αναλύει

απαιτήσεις ασφάλειας που έχουν εκφραστεί σε μια ημι-τυπική μορφή, όπως οι

Απαιτήσεις Ασφάλειας στην ΟΑ (ενότητα 6.9.4).

7.2 Περιγραφή της Προσέγγισης

Ο στόχος της προτεινόμενης προσέγγισης είναι η εύρεση εφαρμόσιμων τεχνικών

λειτουργιών οι οποίες θα υλοποιήσουν τις απαιτήσεις ασφάλειας όπως αυτές

εκφράστηκαν στην οντολογία ασφάλειας στο κεφάλαιο 6. Όπως έχει αναφερθεί και

προηγουμένως, οι απαιτήσεις ασφάλειας προέρχονται τόσο από την έξοδο της ΑΕ, όσο

και από πολιτικές ασφάλειας υψηλού επιπέδου και άλλες πηγές (ενότητα 4.9, «Πηγές

Γνώσης περί Ασφάλειας ΠΣ»). Για την παρούσα ενότητα, οι απαιτήσεις ασφάλειας που

έχουν εντοπιστεί στην ΟΑ παίζουν το ρόλο της εισόδου στη διαδικασία εξειδίκευσης. Η

προτεινόμενη προσέγγιση ανήκει στην κατηγορία των δενδροειδών αναλύσεων από τα

άτυπα μοντέλα (βλ. ενότητα 3.3, [Helmer et al., 2001], [Schneier, 1999] και

[Τριποδιανός, 2005], [Tripodianos et al., 2006] για μια περαιτέρω ανάλυση).

Προκειμένου να διευκολυνθεί η διαδικασία ανάλυσης, αλλά και να υποστηριχτεί

μελλοντική επεκτασιμότητα της προσέγγισης ανάλυσης, ορίζονται τέσσερα επίπεδα

αφαίρεσης. Για τη μετάβαση μεταξύ των επιπέδων αξιοποιούνται δυναμικές και στατικές

συσχετίσεις. Αυτά τα τέσσερα επίπεδα είναι τα εξής [Gritzalis and Tsoumas, 2006],

[Tripodianos et al., 2007]:

Ø Τα Μέτρα, τα οποία συσχετίζονται δυναμικά με τις ημι – τυπικές απαιτήσεις

ασφάλειας (ενότητα 7.5.1), μέσω της γλώσσας αναφοράς που περιγράφεται

παρακάτω (ενότητα 7.5),

Ø Οι Ενέργειες, δηλ. τεχνικές προτάσεις για στόχους και υποκείμενα με

συγκεκριμένα τεχνικά χαρακτηριστικά και χρησιμοποιούνται για ομαδοποίηση

λειτουργιών (ενότητα 7.5.1.2),



Σελ. 309

Ø Οι Υλοποιήσεις, που συνδέονται δυναμικά με τις Ενέργειες και είναι στατικές

σειρές από τεχνικές προτάσεις που προσφέρουν ομαδοποίηση των Ενεργειών και

πιθανά σενάρια δράσης (ενότητα 7.5.1.3), και

Ø Οι Πράξεις, που είναι το εκτελέσιμο τμήμα των αντιμέτρων, αποτελούν άμεσα

εφαρμόσιμες, χαμηλού επιπέδου τεχνικές λειτουργίες και τείνουν να είναι

ατομικές (atomic operations) (ενότητα 7.5.1.4).

Οι δυναμικές μεταβάσεις μεταξύ των επιπέδων γίνονται με την χρήση κάποιων λογικών

κανόνων, οι οποίοι θεωρείται ότι προκύπτουν από ειδικούς στον χώρο της ανάλυσης

απαιτήσεων ασφαλείας και έχουν ενσωματωθεί σε ένα έμπειρο σύστημα (expert system).

Η μετατροπή των κανόνων σε μορφή αναγνωρίσιμη από το έμπειρο σύστημα γίνεται από

ένα μηχανικό γνώσης, ο οποίος έχει την αρμοδιότητα της εκμαίευσης της απαιτούμενης

τεχνογνωσίας από τον ειδικό ασφάλειας και τη μετάφρασή τους στην προτεινόμενη

αναπαράσταση [Τριποδιανός, 2005]. Η μετάβαση στο επίπεδο των ρυθμίσεων γίνεται με

στατική σύνδεση των υλοποιήσεων με τις αντίστοιχες ατομικές λειτουργίες. Τέλος, με

την επιλογή των προτεινόμενων μέτρων, παρουσιάζονται στον υπεύθυνο ασφάλειας (ή

άλλες εξουσιοδοτημένες οντότητες υπεύθυνες για την εφαρμογή των πολιτικών) ο οποίος

έχει την ευθύνη για την τελική επιλογή των υπό εφαρμογή ρυθμίσεων: α) οι

προτεινόμενες ρυθμίσεις, καθώς και β) το πλήρες δένδρο ανάλυσης των τεχνικών

αντιμέτρων [Gritzalis and Tsoumas, 2006].

7.3 Συμβάσεις για την Εξειδίκευση των Απαιτήσεων Ασφάλειας

Στην παρούσα ενότητα παρουσιάζεται ένας αριθμός συμβάσεων που αφορούν στη

διαδικασία της εξειδίκευσης των απαιτήσεων ασφάλειας, ως εξής:

Ø Θεωρείται δεδομένη η ύπαρξη ενός μηχανικού γνώσης, ο οποίος έχει αναλάβει

την σωστή εκμαίευση των κανόνων από τον ειδικό ασφαλείας. Η καταχώρηση

των κανόνων αυτών έχει γίνει με τέτοιο τρόπο, έτσι ώστε να μην υπάρχουν

μεταξύ τους συγκρούσεις. Επίσης, θεωρείται ότι η δόμηση των κανόνων είναι

τέτοια έτσι ώστε να μην υπάρχουν περιπτώσεις εφαρμογής κανόνων σε

καταστάσεις πέρα των οποίων έχουν προβλεφθεί – με άλλα λόγια, υπάρχει ένα



Σελ. 310

διακριτό και πεπερασμένο σύνολο καταστάσεων οι οποίες μπορούν να αναλυθούν

με βάση τους κανόνες.

Ø Όλη η αναγκαία πληροφορία σχετικά με το πληροφοριακό σύστημα θεωρείται ότι

έχει ήδη καταχωρηθεί στην βάση δεδομένων και/ή προέρχεται από άλλες πηγές,

όπως από την πληροφορία που έχει καταχωρηθεί στην ΟΑ (βλ. ενότητα 6.8 για

ένα παράδειγμα).

Ø Η συζήτηση περιορίζεται στην ανάλυση των αντιμέτρων, και δεν αποσκοπεί στην

ανάδειξη διαδικασίας ανάλυσης των πολιτικών ασφαλείας. Χρησιμοποιεί τα

δεδομένα που έχουν συλλεχθεί κατά την εξαγωγή των απαιτήσεων ασφάλειας, με

αποτέλεσμα να είναι διαθέσιμη μια αρκετά τυποποιημένη μορφή.

Ø Οι παρακάτω περιοχές της διαχείρισης ασφάλειας είναι αντικείμενο της

παρούσης ενότητας:

o Έλεγχος Πρόσβασης (Access Control): Οι κανόνες που σχετίζονται με την

παροχή ή άρνηση πρόσβασης σε πόρους του πληροφοριακού συστήματος.

o Δικτυακός Έλεγχος (Network Access Control): Οι κανόνες που αφορούν

στον έλεγχο των δικτυακών ροών, δηλ. τη διήθηση (filtering) των

δεδομένων που διακινούνται στο δίκτυο.

o Έλεγχος (Auditing): Οι κανόνες που σχετίζονται με διαδικασίες ελέγχου

της ασφαλείας του πληροφοριακού συστήματος, και

o Διαχείριση Ευπαθειών (Vulnerability Management): Οι κανόνες που

σχετίζονται με τις διαδικασίες διαχείρισης, εφαρμογής και ενημέρωσης

των ευπαθειών.

7.4 Στάδια της Προσέγγισης

Η προσέγγιση που προτείνεται έχει τα εξής στάδια:

Ø Ορίζεται μια ιεραρχία αντιμέτρων σε επίπεδα που συνδέονται με σχέσεις από το

γενικότερο (ανώτερα επίπεδα) προς το πιο εξειδικευμένο (κατώτερα επίπεδα). Το

τελευταίο επίπεδο είναι τα εφαρμόσιμα μέτρα ή ρυθμίσεις. Η συνολική

κατασκευή που προκύπτει αποκαλείται Δένδρο Εφαρμόσιμων Αντιμέτρων

(Deployable Countermeasures Tree).



Σελ. 311

Ø Ορίζεται μια τυποποιημένη διαδικασία ανάλυσης για την μετάβαση μεταξύ των

επιπέδων αφαίρεσης της ιεραρχίας αυτής, και

Ø Υλοποιείται ένα πιλοτικό σχήμα σχεσιακής βάσης δεδομένων που υποστηρίζει τα

παραπάνω στάδια.

Η συνολική εικόνα της προσέγγισης απεικονίζεται στο Σχήμα 7.1 (σταδιακή εξειδίκευση

Απαιτήσεων, Μέτρων, Ενεργειών, Υλοποιήσεων και Πράξεων). Οι διακεκομμένες

γραμμές απεικονίζουν δυναμική συσχέτιση.



Σελ. 312

Σχήμα 7.1: Εξειδίκευση Αντιμέτρων - Δένδρο Εφαρμόσιμων Αντιμέτρων

Απαιτήσεις Ασφάλειας (ΟΑ)(Πεδίο «ACTION» από ΑΓΑΘΟx/ΑΠΕΙΛΗy/ΑΝΤΙΜΕΤΡΟz) [FILTER intranetWebServer webUsersGroupB permit 80]

Μέτρο 1 Μέτρο Ν

...

Η

Ενέργεια 1 Ενέργεια Ν

Υλοποίηση NΥλοποίηση 2Υλοποίηση 1

PONDER

Πράξη Ν

Πράξη 2

Πράξη 1

Ενέργεια 1 Ενέργεια Ν

Υλοποίηση N

Υλοποίηση 2Υλοποίηση 1

Πράξη Ν

Πράξη 2

Πράξη 1

Επίπεδο 1

Επίπεδο 0

Επίπεδο 2

Επίπεδο 3

Επίπεδο 4

ΚΑΙ

Η

ΚΑΙ

Η

ΚΑΙΚΑΙ

7.5 Βασικές Αρχές της Αναπαράστασης των ΤΜΥ

Η τυποποιημένη μορφή των ΤΜΥ (ημι – τυπικών προδιαγραφών ασφαλείας χαμηλού

επιπέδου) μπορεί να είναι οποιαδήποτε, εφόσον παρέχεται κατάλληλος μηχανισμός

μετάφρασής της σε μορφή συμβατή με τους ορισμούς της ιεραρχίας των μοντέλων των

αντιμέτρων που παρατίθενται στα επόμενα υποκεφάλαια. Παρά τη γενικότητα της



Σελ. 313

προσέγγισης, και προκειμένου να υπάρχει μια σύνδεση με τα περιεχόμενα του πίνακα

Threats – CMs (ενότητα 6.5), η είσοδος στη διαδικασία εξειδίκευσης των αντιμέτρων

ακολουθεί τις συμβάσεις που έχουν υιοθετηθεί κατά τον ορισμό της Δομής της

Απαίτησης Ασφάλειας. Για την πληρέστερη παρουσίαση της προτεινόμενης λύσης,

ακολουθεί περιγραφή του συντακτικού που θα χρησιμοποιηθεί ως γλώσσα περιγραφής

των ημι-τυπικών προδιαγραφών ασφαλείας.

Η προτεινόμενη γλώσσα περιγραφής έχει καθαρά λειτουργικό χαρακτήρα, η

χρησιμότητά της περιορίζεται στην επίδειξη των δυνατοτήτων της προσέγγισης και με

κανέναν τρόπο δεν υποστηρίζεται ότι είναι πλήρης. Η γενική μορφή των κανόνων της

γλώσσας είναι [Tripodianos et al., 2006]:

ρήμα [υποκείμενο] στόχος [παράμετροι]

Ακολουθεί συνοπτική περιγραφή των μερών της γλώσσας.

Α) Τα Ρήματα που χρησιμοποιούνται ανήκουν στους τύπους ορισμού των απαιτήσεων

ασφαλείας που ορίστηκαν παραπάνω και αντιστοιχίζονται στις ενέργειες που ορίζονται

κατά τον εντοπισμό των απαιτήσεων ασφάλειας. Έτσι, με βάση αυτήν την

κατηγοριοποίηση, χρησιμοποιούνται τα παρακάτω ρήματα:

Πίνακας 7.1: Ρήματα Περιγραφής Ημιτυπικών Απαιτήσεων Ασφαλείας

Κατηγορία Ρήμα Περιγραφή

Έλεγχος

Πρόσβασης

ALLOW Παροχή άδειας χρήσης σε κάποια κατηγορία

χρηστών (υποκείμενο) για κάποιον πόρο

(στόχος)

DENY Απαγόρευση πρόσβασης σε κάποια κατηγορία

χρηστών (υποκείμενο) για κάποιον πόρο

(στόχος)

Δικτυακός

Έλεγχος

FREE Ελεύθερη ροή δεδομένων από κάποιο πόρο

(υποκείμενο) σε κάποιο άλλο (στόχος)



Σελ. 314

Κατηγορία Ρήμα Περιγραφή

FILTER Ελεγχόμενη ροή δεδομένων από κάποιο πόρο

(υποκείμενο) σε κάποιο άλλο (στόχος) με βάση

τις παραμέτρους που δίνονται στην πρόταση

PROHIBIT Απαγόρευση ροής δεδομένων από κάποιο πόρο

(υποκείμενο) σε κάποιο άλλο (στόχος)

Έλεγχος MONITOR Καταγραφή συγκεκριμένων λειτουργιών (με

βάση τις παραμέτρους) που εκτελούνται σε

κάποιο πόρο (στόχος)

CHECKLOG Έλεγχος των στοιχείων καταγραφής από κάποια

κατηγορία χρήστη (υποκείμενο) για κάποιο πόρο

(στόχος) με βάση τις παραμέτρους


Ευπαθειών

SECURE_HIGH Πρώτη προτεραιότητα ελέγχου, διόρθωσης και

προστασίας ευπαθειών για το συγκεκριμένο

πόρο (στόχος)

SECURE_MEDIUM Δεύτερη προτεραιότητα ελέγχου, διόρθωσης και



SECURE_LOW Τρίτη προτεραιότητα ελέγχου, διόρθωσης και



Με δεδομένη την ύπαρξη μιας πλήρους, τεχνικής περιγραφής όλων των πόρων του

συστήματος (πιθανά από την ιχνηλάτηση δικτύου κατά τη δημιουργία της ΟΑ), πιθανά

παραδείγματα χρήσης της γλώσσας θα μπορούσαν να είναι (permit και



Σελ. 315

connectionsFailedAttempts είναι παράμετροι της γλώσσας αναπαράστασης [Tripodianos

et al., 2006]:

ALLOW usersGroupA SAP_ProdApplicationServer ALLOW usersGroupΒ printServer_1stFloor print FILTER intranetWebServer webUsersGroupB permit 80 MONITOR MIS_DBServer connectionsFailedAttempts SECURE_MEDIUM printServer_1stFloor

Β) Οι λέξεις κλειδιά που βρίσκονται σε αγκύλες ([υποκείμενο], [παράμετροι]) δεν χρησιμοποιούνται σε όλες τις προτάσεις της γλώσσας, ενώ ο

ρόλος του Υποκειμένου εξαρτάται από τον τύπο της πρότασης. Ο Πίνακας 7.2 περιγράφει

τη σημασιολογία του υποκειμένου ανάλογα με το ρήμα δράσης που χρησιμοποιείται, ενώ

για τα υπόλοιπα ρήματα δεν απαιτείται υποκείμενο.

Πίνακας 7.2: Υποκείμενα για τη γλώσσα περιγραφής ημι-τυπικών απαιτήσεων ασφαλείας

Ρήμα Υποκείμενο

ALLOW Ο χρήστης, ομάδα χρηστών ή ρόλος στον οποίο δίνεται η εξουσιοδότηση

DENY Ο χρήστης, ομάδα χρηστών ή ρόλος στον οποίο απαγορεύεται η

πρόσβαση

FREE Η πηγή της ελεύθερης ροής δεδομένων

FILTER Η πηγή της φιλτραρισμένης ροής δεδομένων

PROHIBIT Η πηγή της απαγορευμένης ροής δεδομένων

CHECKLOG Ο ρόλος που εκτελεί τον έλεγχο των στοιχείων καταγραφής κάποιου

πόρου

Γ) Ο Στόχος είναι ο αποδέκτης των ενεργειών των ρημάτων. Ο στόχος, όπως και το

υποκείμενο που χρησιμοποιούνται στις προτάσεις αυτές αναφέρονται στο συγκεκριμένο

επίπεδο εξειδίκευσης. Κατά την ανάλυση που ακολουθεί ενδέχεται να αλλάξει τόσο το



Σελ. 316

υποκείμενο όσο και ο στόχος. Ο Πίνακας 7.3 περιγράφει τη σημασιολογία του στόχου σε

κάθε είδος πρότασης.

Πίνακας 7.3: Στόχοι για τη Γλώσσα Περιγραφής Ημι-τυπικών Απαιτήσεων Ασφάλειας

Ρήμα Στόχος

ALLOW Ο πόρος του οποίου η χρήση επιτρέπεται

DENY Ο πόρος του οποίου η χρήση απαγορεύεται

FREE Ο αποδέκτης της ελεύθερης ροής δεδομένων

FILTER Ο αποδέκτης της φιλτραρισμένης ροής δεδομένων

PROHIBIT Ο αποδέκτης της απαγορευμένης ροής δεδομένων

MONITOR Ο πόρος του οποίου συγκεκριμένες λειτουργίες καταγράφονται

CHECKLOG Ο πόρος του οποίου τα στοιχεία καταγραφής ελέγχονται

SECURE_HIGH Ο πόρος του οποίου η προστασία αποτελεί κρίσιμη

προτεραιότητα

SECURE_MEDIUM Ο πόρος του οποίου η προστασία αποτελεί βασική προτεραιότητα

SECURE_LOW Ο πόρος του οποίου η προστασία αποτελεί δευτερεύουσα

προτεραιότητα

Δ) Οι Παράμετροι είναι προαιρετικές, και βοηθούν στην διευκρίνιση της λειτουργίας.

Συνήθως αξιοποιούνται αυτούσιες σε χαμηλότερο επίπεδο ανάλυσης. Δεν είναι

τυποποιημένες, και χρησιμοποιούνται για να εκφράσουν συγκεκριμένες τεχνικές

λεπτομέρειες που ενδέχεται να υπάρχουν σε αυτό το επίπεδο ανάλυσης της πολιτικής.

Δεν θα μας απασχολήσουν άλλο σε αυτό το σημείο, καθ’ ότι ο σκοπός της γλώσσας είναι

η επίδειξη της προσέγγισης και μόνο. Παραδείγματα παραμέτρων αποτελούν οι εξής:



Σελ. 317

Παράμετρος Σημασία

Permit <N1, N2, … Nι> Χρησιμοποιείται για την περιγραφή της επιτρεπτής

δικτυακής κίνησης κατά τη διήθηση. Συνοδεύεται από ένα

αριθμό επιτρεπτών θυρών δικτύου.

connectionsFailedAttempts Αποτυχημένες προσπάθειες σύνδεσης

Στα επόμενα αναλύονται τα μοντέλα των διαφορετικών επιπέδων αφαίρεσης της

εξειδίκευσης των αντιμέτρων.

7.5.1 Εξειδίκευση Απαιτήσεων Ασφάλειας – Επίπεδα

7.5.1.1 Επίπεδο 1: Μέτρα

Τα μέτρα είναι το πρώτο επίπεδο της διαδικασίας ανάλυσης των αντιμέτρων, που

προέρχονται από τις απαιτήσεις ασφάλειας του πόρου, όπως έχουν καταγραφεί στο

αντίστοιχο στιγμιότυπο της έννοιας της ΟΑ. Η εφαρμογή ενός αντιμέτρου μπορεί να

γίνει είτε με την μετάφρασή του σε κάποια γλώσσα περιγραφής πολιτικών, όπως η

PONDER, εφόσον αυτή υποστηρίζεται από τον πόρο στον οποίο θα εφαρμοστεί και

εφόσον η ίδια υποστηρίζει την εφαρμογή του αντιμέτρου, είτε με περαιτέρω ανάλυση.

Στην περίπτωση χρήσης της PONDER, θεωρείται δεδομένο ότι έχουν γίνει οι

απαραίτητες δηλώσεις των πόρων του πληροφοριακού συστήματος, και ότι οι κανόνες

των πολιτικών μπορούν να εφαρμοστούν άμεσα στον πόρο. Στην περίπτωση που

απαιτείται περαιτέρω ανάλυση, το μέτρο αντιστοιχίζεται δυναμικά σε ενέργειες με

κατάλληλες ιδιότητες. Η αντιστοίχηση αυτή γίνεται με βάση την πληροφορία που

υπάρχει για το σύστημα, καθώς και ένα σύνολο από κανόνες. Με τη δυναμική

αντιστοίχηση υποστηρίζεται η τακτική ενημέρωση των ενεργειών και είναι δυνατή η

ανανέωση της βάσης με νέες ενέργειες που βελτιώνουν την υλοποίηση συγκεκριμένων

αντιμέτρων. Η ενημέρωση γίνεται από κάποιον μηχανικό ασφαλείας που είναι ενήμερος

των εξελίξεων στον χώρο των βέλτιστων πρακτικών (best practices). Προκειμένου να

ικανοποιηθεί το αρχικό αντίμετρο όταν υπάρχουν περισσότερες από μια ενέργειες,



Σελ. 318

απαιτείται η εκτέλεση όλων των ενεργειών (σχέση σύζευξης). Σε περίπτωση που βρεθεί

εναλλακτικός τρόπος ανάλυσης ενός αντιμέτρου, δημιουργείται ένα επιπλέον δένδρο

ανάλυσης με το ίδιο αντίμετρο σαν ρίζα, αλλά διαφορετικούς απογόνους – ουσιαστικά

παρέχοντας εναλλακτικά σενάρια για την υλοποίηση του αρχικού αντιμέτρου. Το τελικό

αποτέλεσμα που παρέχεται στον υπεύθυνο είναι ένα από τα κάτωθι:

Ø Ο κώδικας της πράξης,

Ø Το σχετικό εκτελέσιμο,

Ø Παροχή λεπτομερών οδηγιών στον υπεύθυνο, εφόσον δεν είναι δυνατή κάποια

αυτοματοποιημένη εφαρμογή,

Ø Ένας συνδυασμός των ανωτέρω.

Το Μέτρο μοντελοποιείται βάσει των απαιτήσεων της προσέγγισης ως εξής:

Πίνακας 7.4: Μοντέλο Μέτρων (Επίπεδο 1)

Μοντέλο Μέτρου

Κωδικός Μέτρου Μοναδικός κωδικός (UID)

Περιγραφή Σύντομη περιγραφή του μέτρου

Υποκείμενο Η κλάση υποκειμένου του μέτρου

Στόχος Η κλάση στόχου του μέτρου

Ομάδα Η ομάδα στην οποία ανήκει το μέτρο, σύμφωνα με την CRAMM

(από την ΟΑ)

Υπό-ομάδα Η υπό-ομάδα στην οποία ανήκει το μέτρο, σύμφωνα με την

CRAMM (από την ΟΑ)

Τύπος Μέτρου [Έλεγχος Πρόσβασης | Δικτυακός Έλεγχος | Έλεγχος | Διαχείριση

Ευπαθειών]



Σελ. 319


Κατηγορία

Μέτρου

[Προληπτικό | Διαγνωστικό | Διορθωτικό | Αποθαρρυντικό]

Σχετιζόμενη

Απειλή

Περιγραφή της απειλής που αντιμετωπίζει το μέτρο, εάν υπάρχει

τέτοια

Ρήμα Περιγραφής Το ρήμα της γλώσσας περιγραφής που περιγράφει καλύτερα το

μέτρο

PONDER Κώδικας σε PONDER που εφαρμόζει την ενέργεια

Ενέργειες [] Λίστα σχετιζόμενων ενεργειών (η συσχέτιση γίνεται δυναμικά,

κατά την δημιουργία του δένδρου αντιμέτρων)

Ένα τυπικό παράδειγμα μέτρου για την απαίτηση ασφάλειας «οι χρήστες του

usersGroupA επιτρέπεται να έχουν πρόσβαση στον παραγωγικό εξυπηρετητή του SAP»,

δηλ.

ALLOW usersGroupΒ printServer_1stFloor print

εκφράζεται με το παρακάτω μέτρο:


Κωδικός Μέτρου 7

Περιγραφή Επιτρέπεται η χρήση του εξυπηρετητή εκτυπωτών του πρώτου

ορόφου (printServer_1stFloor) από την ομάδα χρηστών

usersGroupΒ

Υποκείμενο usersGroupΒ



Σελ. 320


Στόχος printServer_1stFloor

Ομάδα Η ομάδα στην οποία ανήκει το μέτρο, σύμφωνα με την CRAMM

(από την ΟΑ)

Υπό-ομάδα Η υπό-ομάδα στην οποία ανήκει το μέτρο, σύμφωνα με την

CRAMM (από την ΟΑ)

Τύπος Μέτρου Έλεγχος Πρόσβασης

Κατηγορία

Μέτρου

Προληπτικό

Σχετιζόμενη

Απειλή

Μη εξουσιοδοτημένη πρόσβαση

Ρήμα Περιγραφής ALLOW

PONDER Inst auth+ permitPrintServerUsage {

Subject usersGroupΒ

Target printServer_1stFloor

Action print();

}

Ενέργειες [] [123, 234]

7.5.1.2 Επίπεδο 2: Ενέργειες

Οι Ενέργειες είναι τεχνικές προτάσεις για στόχους και υποκείμενα με συγκεκριμένα



Σελ. 321

τεχνικά χαρακτηριστικά, η υλοποίηση των οποίων αποτελείται από ένα ή περισσότερα

βήματα. Κατηγοριοποιούνται με βάση τα ρήματα των πολιτικών χαμηλού επιπέδου (βλ.

ενότητα 7.5), χρησιμεύουν ως ένα επίπεδο αφαίρεσης που προσφέρει ομαδοποίηση σε

επαναχρησιμοποιούμενες λειτουργίες, ενώ διευκολύνουν την επίβλεψη της

αυτοματοποιημένης διαδικασίας ανάλυσης από τον υπεύθυνο ασφαλείας. Επιπρόσθετα,

γίνεται χρήση των πληροφοριών υποδομής που υπάρχουν για το σύστημα για τον

εντοπισμό των πόρων στους οποίους πρέπει να εφαρμοστούν αλλαγές, οι οποίοι είναι

πιθανόν να μην είναι εμφανείς στην πρόταση πολιτικής χαμηλού επιπέδου. Τα βήματα

στα οποία αναλύεται η Ενέργεια ονομάζονται Υλοποιήσεις, και, εφόσον είναι

περισσότερες της μιας, συνδέονται μεταξύ τους με σχέση σύζευξης (λογικό ΚΑΙ)

[Tripodianos et al., 2006], [Tripodianos et al., 2007].

Η Ενέργεια μοντελοποιείται βάσει των απαιτήσεων της προσέγγισης ως εξής:

Πίνακας 7.5: Μοντέλο Ενεργειών

Μοντέλο ενεργειών

Κωδικός

Ενέργειας

Μοναδικός κωδικός (UID)

Περιγραφή Σύντομη περιγραφή της ενέργειας (ελεύθερο κείμενο)

Υποκείμενο Το συγκεκριμένο υποκείμενο της ενέργειας

Στόχος Ο συγκεκριμένος στόχος της ενέργειας

Τύπος


[Έλεγχος Πρόσβασης | Δικτυακός Έλεγχος | Έλεγχος | Διαχείριση

Ευπαθειών]

Ρήμα

Περιγραφής

Το ρήμα της γλώσσας περιγραφής που περιγράφει καλύτερα την

ενέργεια

Υλοποιήσεις [] Λίστα σχετιζόμενων υλοποιήσεων, η οποία ενημερώνεται δυναμικά

κατά την κατάρτιση του δένδρου αντιμέτρων.



Σελ. 322

7.5.1.3 Επίπεδο 3: Υλοποιήσεις

Οι Υλοποιήσεις είναι εκείνο το ενδιάμεσο στάδιο στο οποίο προτείνονται συγκεκριμένες

πράξεις για την επίτευξη του στόχου του αρχικού αντιμέτρου. Οι πράξεις αυτές είναι

καταγραμμένες σε μια στατική λίστα, η οποία ανανεώνεται περιοδικά από τον ειδικό

ασφάλειας προκειμένου να μένει επικαιροποιημένη. Σε περίπτωση που ένα αντίμετρο

υλοποιείται με περισσότερες της μιας ρύθμισης, οι τελευταίες συνδέονται με διαζευκτική

σχέση (λογικό Η). Παρατίθεται επίσης και ο κωδικός CVE (Common Vulnerabilities and

Exposures) στην περίπτωση που πρόκειται για ευπάθεια.

Η Υλοποίηση μοντελοποιείται βάσει των απαιτήσεων της προσέγγισης ως εξής

[Τριποδιανός, 2005], [Tripodianos et al., 2006]:

Πίνακας 7.6: Μοντέλο Υλοποιήσεων

Μοντέλο υλοποίησης

Κωδικός



Περιγραφή Αναλυτική περιγραφή της υλοποίησης

Υποκείμενο Το συγκεκριμένο υποκείμενο της υλοποίησης

Στόχος Ο συγκεκριμένος στόχος της υλοποίησης

Ρήμα Περιγραφής Το ρήμα της γλώσσας περιγραφής που περιγράφει καλύτερα την

υλοποίηση

CVE Κωδικός CVE σχετιζόμενης ευπάθειας (εφόσον πρόκειται για

ευπάθεια)

Πράξεις [] Λίστα σχετιζόμενων πράξεων



Σελ. 323

7.5.1.4 Επίπεδο 4: Πράξεις

Οι Πράξεις είναι το εκτελέσιμο τμήμα των αντιμέτρων, δηλ. χαμηλού επιπέδου, άμεσα

εφαρμόσιμες τεχνικές λειτουργίες. Κατά την έρευνα εντοπίστηκαν οι παρακάτω τύποι

πράξεων [Τριποδιανός, 2005], [Tripodianos et al., 2006]:

Ø Μη αυτοματοποιημένες ρυθμίσεις (Non-automated settings). Το μεγαλύτερο μέρος

των πράξεων ανήκει σε αυτήν την κατηγορία. Είναι ο συνηθέστερος τρόπος

εφαρμογής κάποιας υλοποίησης. Είναι δύσκολο να αυτοματοποιηθούν, και έτσι

σε αυτές τις περιπτώσεις παρέχεται αναλυτική περιγραφή των βημάτων που

πρέπει να γίνουν από τον υπεύθυνο. Παράδειγμα θα μπορούσε να είναι αλλαγή

κάποιας παραμέτρου του λειτουργικού συστήματος για απενεργοποίηση κάποιας

υπηρεσίας που δεν χρησιμοποιείται, η οποία συνοδεύεται από καθιέρωση κάποιας

διαδικασίας ασφάλειας (security procedure).

Ø Αυτοματοποιημένες ρυθμίσεις (Automated settings). Υπάρχουν περιπτώσεις που

κάποιες ρυθμίσεις μπορούν να εκτελεστούν αυτόματα, π.χ. με κάποια εντολή σε

συγκεκριμένη γλώσσα διεπαφής που παρέχει πρόσβαση στον πόρο στον οποίο

εφαρμόζεται (συνήθως από τον κατασκευαστή). Σε αυτές τις περιπτώσεις

παρέχεται ο σχετικός κώδικας (εκτελέσιμος ή διερμηνεύσιμος).

Ø Έλεγχος ευπαθειών (Vulnerability control). Μια ιδιαίτερη κατηγορία πράξεων,

στις οποίες τοποθετούνται όσες έχουν σχέση με την διαχείριση ευπαθειών. Οι

πράξεις αυτής της κατηγορίας συνήθως σχετίζονται με συγκεκριμένες ευπάθειες.

Επίσης υπάρχουν διαθέσιμες τόσο ελεύθερα προσβάσιμες [CERT, 2006],

[BugTraq, 2006], [NVD, 2006], [OSVDB, 2006] όσο και εμπορικές [ISS, 2006],

[SFVD, 2006], [FSIRT, 2006]47 βάσεις δεδομένων που περιέχουν πράξεις για την

αντιμετώπιση συγκεκριμένων ευπαθειών και από τις οποίες είναι δυνατόν να

ενημερώνεται η βάση του παρόντος κεφαλαίου. Η κατηγορία αυτή προσφέρεται

για περαιτέρω ανάλυση, και έτσι προκύπτουν:

47 Ένα μέρος από τις βάσεις αυτές είναι δημόσια προσβάσιμο.



Σελ. 324

o Αναβαθμίσεις (upgrades). Αυτές οι πράξεις αφορούν κυρίως την

διαχείριση ευπαθειών. Μεγάλο ποσοστό των ευπαθειών διορθώνεται σε

επόμενη έκδοση του λογισμικού, ή του υλισμικού (firmware).

o Επιδιορθώσεις (patches). Αυτές οι πράξεις αφορούν κυρίως την

διαχείριση ευπαθειών. Σε σημαντικότερα κενά ασφαλείας, και όταν

πρόκειται για ευρέως χρησιμοποιούμενο προϊόν, συνήθως οι προμηθευτές

(vendors) δημοσιεύουν μικρά επιδιορθωτικά εκτελέσιμα (patches). Η

επόμενη αναβάθμιση του προϊόντος συνήθως περιλαμβάνει και όλες τις

ενδιάμεσες επιδιορθώσεις.

o Παρακάμψεις (workarounds). Αυτές οι πράξεις αφορούν κυρίως την

διαχείριση ευπαθειών. Όταν δεν υπάρχει διαθέσιμη κάποια από τις

παραπάνω ενέργειες, είναι δυνατόν να περιορισθεί το κενό ασφαλείας με

κάποιο έμμεσο, και συνήθως προσωρινό τρόπο. Το ποσοστό προστασίας

που παρέχει σε σχέση με μια πλήρη κάλυψη του κενού, καθώς και ο

βαθμός στον οποίο διαταράσσει την κανονική χρήση του υπό προστασία

πόρου αποτελούν σημαντικές παραμέτρους για τις παρακάμψεις. Η

ευρετική φύση των ενεργειών αυτών δημιουργεί την ανάγκη διαχωρισμού

τους σε:

§ Εκτελέσιμες παρακάμψεις. Είναι παρακάμψεις των οποίων η

εκτέλεση είναι δυνατόν να αυτοματοποιηθεί. Παράδειγμα τέτοιας

παράκαμψης είναι μια εντολή σε κάποιο δρομολογητή Α για

δρομολόγηση ευαίσθητων δεδομένων σε άλλο δρομολογητή Β που

υποστηρίζει μια διαδικασία ασφάλειας που δεν καλύπτει ο

δρομολογητής Α (όπως MPLS).

§ Μη εκτελέσιμες παρακάμψεις. Εδώ κατατάσσονται όλες οι

υπόλοιπες παρακάμψεις, καθώς και οι εκτελέσιμες παρακάμψεις

των οποίων η αυτοματοποίηση για οποιοδήποτε λόγο δεν

συμφέρει. Παραδείγματα μπορεί να είναι η μετατροπή ενός

τμήματος κώδικα (για ανοικτό λογισμικό), ή η μη χρήση κάποιας

λειτουργίας.



Σελ. 325

7.5.1.4.1 Προϋποθέσεις και Επιπτώσεις Εκτέλεσης

Για την εκτέλεση κάποιας πράξης είναι πιθανό να πρέπει να πληρούνται κάποιες

προϋποθέσεις σχετικά με την πραγματοποίηση ή όχι κάποιας άλλης πράξης, ή σειράς

πράξεων. Για παράδειγμα, η εγκατάσταση μιας επιδιόρθωσης μπορεί να απαιτεί την

ύπαρξη προηγούμενης επιδιόρθωσης, και κάποια αναβάθμιση την μη ύπαρξη κάποιων

επιδιορθώσεων. Είναι σαφές ότι αυτή η προσέγγιση (ενδέχεται να) δημιουργεί μια

αλυσίδα πράξεων, η οποία μπορεί να αξιοποιηθεί από έμπειρους ειδικούς ασφάλειας οι

οποίοι αναλαμβάνουν την ανάλυση έως αυτό το επίπεδο, προσπερνώντας ή και

συμπληρώνοντας την ιεράρχηση που προτείνεται στην παρούσα διατριβή. Με αυτόν τον

τρόπο έχουν την δυνατότητα να αξιοποιήσουν τις γνώσεις και την εμπειρία τους, με

πιθανώς καλύτερα αποτελέσματα από την αυτοματοποιημένη ανάλυση, και ταυτόχρονα

να εκμεταλλευτούν και την αποθηκευμένη στην βάση πληροφορία.

Παράλληλα, οι πράξεις μπορεί να έχουν κάποιες παράπλευρες επιπτώσεις στην

λειτουργία του συστήματος, οι οποίες είναι αναγκαίο να λαμβάνονται υπόψη, έτσι ώστε

να γίνεται ορθότερη επιλογή πράξεων. Για παράδειγμα, ένα σημαντικό στοιχείο των

πράξεων είναι επίσης το υποκείμενο που θα εκτελέσει την πράξη, όρος που αναφέρεται

σε ρόλο (βλ. και ενότητα 6.5). Είναι πιθανό να απαιτούνται συγκεκριμένα δικαιώματα

πρόσβασης, ή εκτελεστική δικαιοδοσία για την εκτέλεση τους. Επιπλέον, είναι πιθανό

κάποια πράξη (συνήθως ελεγκτικής φύσεως) να πρέπει να εκτελείται ανά τακτικά

χρονικά διαστήματα. Επομένως, για την περιγραφή της χρειάζεται και το χρονικό

διάστημα που μεσολαβεί μεταξύ δυο διαδοχικών εκτελέσεων της.

Άλλη χρήσιμη πληροφορία είναι οι πιθανοί περιορισμοί, χρονικοί, χωρικοί ή άλλοι, που

πρέπει να ικανοποιούνται, όπως τα χρονικά διαστήματα που επιτρέπεται η πρόσβαση σε

επιχειρησιακούς εξυπηρετητές. Τέλος, σημαντικό ρόλο έχει και το στάδιο στον κύκλο

ζωής της στο οποίο βρίσκεται μια συγκεκριμένη πράξη. Έτσι θα μπορούσε να είναι

Προτεινόμενη, έως ότου ελεγχθεί η ορθότητά της, Αποδεκτή στην συνέχεια, και τέλος

Υποβαθμισμένη, όταν υπάρχει κάποια νεότερη η οποία την υπερκαλύπτει.

Παρά το γεγονός ότι το πεδίο Περιορισμοί (Constraints) της Απαίτησης Ασφάλειας της

ΟΑ (στην ενότητα 6.5) καταγράφει τους περιορισμούς του μέτρου ασφάλειας, και ως εκ

τούτου υπάρχει σαν πληροφορία διαχείρισης, η αναλυτική μελέτη των προϋποθέσεων /



Σελ. 326

επιπτώσεων εκτέλεσης όπως και ο αποτελεσματικός τρόπος διαχείρισής τους, είναι εκτός

του εύρους μελέτης της έρευνας.

7.5.1.4.2 Εκτέλεση των Πράξεων

Το σημαντικότερο τμήμα της Πράξης είναι η καθαυτή υλοποίησή της και ο τρόπος

περιγραφής της. Η περιγραφή δεν είναι εύκολο να έχει κοινή μορφή για κάθε τύπο

πράξης [Τριποδιανός, 2005], [Tripodianos et al., 2006]. Για τις αναβαθμίσεις και τις

επιδιορθώσεις η υλοποίηση είναι ένα εκτελέσιμο πρόγραμμα, το οποίο πιθανώς να πρέπει

να εντοπιστεί στο Διαδίκτυο. Οι ρυθμίσεις είναι συνήθως πολύπλοκες και η υλοποίησή

τους γίνεται από τον διαχειριστή του συστήματος, εκτός από τις αυτοματοποιημένες,

στην περίπτωση των οποίων μπορεί να παρέχεται ο κώδικας που τις εκτελεί. Για τις

εκτελέσιμες παρακάμψεις, είναι δυνατόν να αυτοματοποιηθεί η υλοποίησή τους με

κάποιο εκτελέσιμο σενάριο (script) ή εντολή, ανάλογα με τον στόχο της ενέργειας.

Η Πράξη μοντελοποιείται βάσει των απαιτήσεων της προσέγγισης ως εξής [Τριποδιανός,

2005], [Tripodianos et al., 2006]:

Πίνακας 7.7: Μοντέλο Πράξεων

Μοντέλο Πράξεων

Κωδικός Πράξης Μοναδικός κωδικός (UID)

Στόχος Ο πληροφοριακός πόρος στον οποίο θα εκτελεστεί η Πράξη

Υποκείμενο Ο υπεύθυνος για την εκτέλεση της Πράξης (ρόλος)

Τύπος

Αντίμετρου

[Έλεγχος Πρόσβασης | Δικτυακός Έλεγχος | Έλεγχος | Διαχείριση

Ευπαθειών]

Τύπος Πράξης [Αναβάθμιση | Επιδιόρθωση | Ρύθμιση (αυτοματοποιημένη) | Ρύθμιση

(μη αυτοματοποιημένη) | Παράκαμψη (εκτελέσιμη) | Παράκαμψη (μη

εκτελέσιμη)]

Προϋποθέσεις [] Απαιτούμενες Πράξεις που πρέπει να έχουν εκτελεστεί εκ των



Σελ. 327

Μοντέλο Πράξεων

προτέρων

Περιορισμοί Χρονικοί, χωρικοί και άλλοι περιορισμοί

Παρενέργειες Πιθανές παράπλευρες επιπτώσεις που μπορεί να προκαλέσει η

εκτέλεση της Πράξης

Ημερομηνίες [] Ημερομηνίες ενημέρωσης κατάστασης

Κατάσταση Τρέχουσα κατάσταση [Προτεινόμενη | Αποδεκτή | Υποβαθμισμένη]

Περιγραφή Περιγραφή της εκτέλεσης της Πράξης. Εδώ περιέχεται ο κώδικας,

εφόσον πρόκειται για εκτελέσιμη πράξη, η αναλυτική περιγραφή

εφόσον πρόκειται για μη εκτελέσιμη, και είτε κάποιος δικτυακός

σύνδεσμος είτε το ίδιο το πρόγραμμα, όταν πρόκειται για αναβάθμιση

ή επιδιόρθωση. Εναλλακτικά παρέχεται ένας συνδυασμός των

ανωτέρω.

Ποσοστό

Επίτευξης

Στόχου

[Υψηλό | Μέσο | Χαμηλό]

Ποσοστό

Διατάραξης

[Υψηλό | Μέσο | Χαμηλό | Μηδενικό]

Διάστημα

Επανάληψης

Το χρονικό διάστημα μετά την πάροδο του οποίου πρέπει να

εκτελεστεί ξανά η Πράξη.

7.6 Υποστηρικτικές Οντότητες

Από την παραπάνω ανάλυση προκύπτουν κάποιες υποστηρικτικές οντότητες, οι οποίες



Σελ. 328

χρησιμοποιούνται για την διατήρηση δευτερευόντων πληροφοριών. Αυτές είναι οι Στόχοι

και οι Προϋποθέσεις.

Οι Στόχοι είναι τα στοιχεία περιγραφής των πόρων του ΠΣ και είναι διαθέσιμα από τη

διαδικασία ανάπτυξης της ΟΑ (ενότητα 6.8). Σε αυτή την ενότητα ορίζονται και

αποθηκεύονται στη βάση τα κύρια στοιχεία των στόχων για πληρότητα και ανεξαρτησία

από άλλα μέρη της διατριβής. Δεν είναι απαραίτητο να ακολουθηθεί η ιχνηλάτηση

δικτύου έτσι όπως αναπτύχθηκε στην ενότητα 6.8, αλλά οποιοδήποτε σύστημα

Διαχείρισης Συσκευών (Asset Inventory Management) το οποίο διαχειρίζεται τις

απαραίτητες πληροφορίες και διαθέτει μια κατάλληλη διεπαφή (API) για επικοινωνία με

άλλα συστήματα, είναι κατάλληλο. Σε αυτό το σημείο δεν θα παραθέσουμε ένα

εξαντλητικό κατάλογο των απαιτούμενων χαρακτηριστικών – κάποια στοιχεία

ακολουθούν [Τριποδιανός, 2005], [Tripodianos et al., 2007].

Για την περιγραφή ενός Στόχου απαιτείται κατ’ αρχή να γίνει ένας διαχωρισμός μεταξύ

των τύπου των στόχων. Στην συνέχεια απαιτείται η γνώση των αναγνωριστικών του

στοιχείων. Αυτά είναι ο κατασκευαστής, το όνομα του προϊόντος, η έκδοση του, πιθανά

αναγνωριστικά που χαρακτηρίζουν την ύπαρξη προαιρετικών στοιχείων (όπως για

παράδειγμα πακέτο επισκευής – service pack) και το λειτουργικό σύστημα το οποίο

τρέχει (εάν πρόκειται για υλικό) ή στο οποίο εκτελείται (εάν πρόκειται για λογισμικό).

Η διαδικασία εκλέπτυνσης θα πρέπει να ακολουθείται και στους στόχους, έτσι ώστε ένας

πόρος του πληροφοριακού συστήματος να αναλύεται στις περαιτέρω οντότητες-στόχους

που τον συνθέτουν. Ως παράδειγμα μπορεί να θεωρηθεί η ανάλυση ενός πόρου με όνομα

intranetWebServer ο οποίος είναι ένας εξυπηρέτης HTTP, στα στοιχεία που τον

συνθέτουν: Windows XP Server, και Apache Web Server. Ο Πίνακας 7.8 καταγράφει τα

βασικά χαρακτηριστικά του Στόχου.

Πίνακας 7.8: Μοντέλο Στόχου

Στόχος

Κωδικός Στόχου Μοναδικός κωδικός (UID)

Τύπος Ο τύπος του στόχου (λογισμικό, δρομολογητής, τομέας, κτλ.)



Σελ. 329

Στόχος

Κατασκευαστής Το όνομα του κατασκευαστή

Όνομα Προϊόντος Το εμπορικό όνομα του προϊόντος

Έκδοση Ο αύξων αριθμός έκδοσης

Αναγνωριστικό Πιθανό αναγνωριστικό ύπαρξης προαιρετικού στοιχείου

Λειτουργικό

Σύστημα

Πλατφόρμα στην οποία εκτελείται / την οποία εκτελεί

Αφαίρεση Παίρνει θετική τιμή εφόσον πρόκειται για μια αφαίρεση κάποιας

κατηγορίας στόχων (π.χ. «Εκτυπωτής»)

Υποστόχοι [] Μια λίστα από στόχους χαμηλότερου επιπέδου στους οποίους

αναλύεται ο συγκεκριμένος στόχος.

Η δεύτερη βοηθητική οντότητα είναι οι Προϋποθέσεις. Εδώ ακολουθείται η ιδέα που

υπάρχει στο σχήμα ευπαθειών της OVAL [Tripodianos et al., 2006], [Tripodianos et al.,

2007] έτσι ώστε να υπάρχει μια λίστα προϋποθέσεων οι οποίες συνδέονται μεταξύ τους

είτε με λογική διάζευξη (αρκεί η ικανοποίηση μιας από αυτές) είτε με λογική σύζευξη

(απαιτείται να ικανοποιούνται όλες). Η ίδια η οντότητα των προϋποθέσεων πρέπει να

παρέχει ένα σύνδεσμο σε πράξη η οποία την ικανοποιεί (εάν υπάρχει). Παράλληλα

προτείνεται η ύπαρξη αναφοράς σε τυποποιημένο έλεγχο ύπαρξης της ευπάθειας, την

οποία αντιμετωπίζει η ενέργεια (εάν πρόκειται για ενέργεια που σχετίζεται με κάποιο

αντίμετρο προστασίας ευπάθειας), εάν υπάρχει. Αυτοί οι τυποποιημένοι έλεγχοι

παρέχονται στην βάση δεδομένων της OVAL. Επιπρόσθετα, θα πρέπει να υπάρχει και

μια ένδειξη, η οποία να διευκρινίζει εάν η προϋπόθεση πρέπει να ικανοποιείται ή όχι..

Για παράδειγμα υπάρχουν περιπτώσεις στις οποίες προϋπόθεση μπορεί να είναι η μη

ύπαρξη κάποιας αναβάθμισης. Ο στόχος εδώ είναι να προκύψουν πιθανές πράξεις που



Σελ. 330

πρέπει να εφαρμοστούν πριν από την συγκεκριμένη, έτσι ώστε να επιτευχθεί το

επιθυμητό αποτέλεσμα. Ο Πίνακας 7.9 καταγράφει τα βασικά χαρακτηριστικά της

Προϋπόθεσης [Tripodianos et al., 2006].

Πίνακας 7.9: Μοντέλο Προϋπόθεσης

Προϋπόθεση

Κωδικός

Προϋπόθεσης


Κωδικός Πράξης Η σχετιζόμενη πράξη που ικανοποιεί την προϋπόθεση αυτή

Αναφορά Ελέγχου Ο κωδικός του ελέγχου ύπαρξης της σχετιζόμενης ευπάθειας

στην OVAL, εάν αυτός υπάρχει

Άρνηση [Ναι | Όχι]. Ένδειξη θετικής ή αρνητικής ικανοποίησης της

προϋπόθεσης

7.7 Φάσεις εξειδίκευσης των Τεχνικών Αντιμέτρων

Οι φάσεις της εξειδίκευσης των αντιμέτρων είναι οι εξής:

Ø Μετάβαση από Απαιτήσεις Ασφάλειας σε Αντίμετρα,

Ø Μετάβαση από Αντίμετρα σε Ενέργειες και

Ø Μετάβαση από Ενέργειες σε Υλοποιήσεις.

Στις επόμενες ενότητες περιγράφονται οι εν λόγω φάσεις, με τη βοήθεια ενός

παραδείγματος για τη διασφάλιση ενός κρίσιμου εξυπηρετητή. Ο πλήρης κώδικας των

γεγονότων, κανόνων σε JESS και κώδικα σε Java που υλοποιεί τα παραπάνω είναι

διαθέσιμος. Το σχήμα της βάσης δεδομένων που χρησιμεύει για μόνιμη αποθήκευση των

πληροφοριών παρατίθεται στο Παράρτημα VI. Ο αναγνώστης για περισσότερες

λεπτομέρειες παραπέμπεται στα [Τριποδιανός, 2005], [Tripodianos et al., 2006].



Σελ. 331

7.7.1 Μετάβαση από Απαιτήσεις Ασφάλειας σε Αντίμετρα

Σε αυτό το στάδιο, οι σχετικοί κανόνες συσχετίζουν και επιλέγουν τα αντίμετρα με βάση

το ρήμα των απαιτήσεων ασφάλειας. Προκειμένου να πραγματοποιηθεί αυτό το στάδιο,

απαιτούνται μια σειρά από πληροφορίες που έχουν εισαχθεί στο έμπειρο σύστημα σαν

γεγονότα (facts):

Ø Πληροφορία πληροφοριακού συστήματος,

Ø Πληροφορία απαιτήσεων ασφάλειας σε γλώσσα περιγραφής

Ø Πληροφορία για τα υπάρχοντα αντίμετρα

Ø Πληροφορία για τους τύπους των αντικειμένων που υπάρχουν στο πληροφοριακό

σύστημα

Οι πρωτογενείς τύποι γεγονότων που πρέπει να καταχωρηθούν στη βάση γνώσης είναι οι

εξής [Tripodianos et al., 2006], [Tripodianos et al., 2007] (Πίνακας 7.10):

Πίνακας 7.10: Τύποι Γεγονότων για την μετάβαση από Απαιτήσεις Ασφάλειας σε Αντίμετρα

Τύποι γεγονότων για την μετάβαση από Απαιτήσεις Ασφαλείας σε Αντίμετρα

Τύπος Περιγραφή Παραδείγματα

Πληροφορία

πληροφοριακού

συστήματος (ISinfo)

Αποτελείται από προτάσεις που

χαρακτηρίζουν τον τύπο κάθε πόρου, ο

οποίος εμφανίζεται στις προτάσεις

απαιτήσεων ασφάλειας, με έναν

κωδικό

(isA usergroup1 t200)

(isA HPprinter1 t201)

(isA Crouter1 t203)

(isA webserver1 t204)

(isA workgroup2 t205)


αντικειμένων

(objects)

Πρόκειται για την περιγραφή των

στόχων και των υποκειμένων με βάση

το προτεινόμενο μοντέλο

(isA object t200 user-

group admin)

(isA object t201 printer

HP 5LM)



Σελ. 332

Τύποι γεγονότων για την μετάβαση από Απαιτήσεις Ασφαλείας σε Αντίμετρα

Τύπος Περιγραφή Παραδείγματα

(isA object t203 router

Cisco SB100)

(isA object t204

server)

(isA object t205

domain)


πολιτικών (policies)

Οι ημι-τυπικές απαιτήσεις ασφάλειας

αυτούσιες

(low-level-policy pol1

allow usergroup1

HPprinter1 print)

(low-level-policy pol2

filter webserver1

workgroup2 permit80)


αντιμέτρων

(CMs)

Οι βασικές πληροφορίες των

αντιμέτρων που υπάρχουν στην βάση

(isA CM cm131 allow-

policy user-group

printer)

(isA CM cm132 allow-

policy user-group

router)

(isA CM cm17 filter-

policy server domain)



Σελ. 333

7.7.2 Μετάβαση από Αντίμετρα σε Ενέργειες

Σε αυτό το στάδιο πρέπει να εντοπιστούν πιθανές ιδιαιτερότητες στους τύπους των

απαιτήσεων ασφάλειας, να βρεθεί ο συγκεκριμένος τύπος στόχου και υποκειμένου, και

να βρεθούν οι κατάλληλες ενέργειες. Είναι συνεπώς αναγκαίο να προστεθούν επιπλέον

πληροφορίες στην βάση γνώσης με κανόνες. Για παράδειγμα, η πολιτική χαμηλού

επιπέδου «Επιτρέπεται μόνο πρόσβαση σε σελίδες HTTP από τον δικτυακό τόπο

workgroup2 στον webserver1», στη γλώσσα πολιτικής χαμηλού επιπέδου εκφράζεται με

την πρόταση:

FILTER webserver1 workgroup2 –permit 80

Με βάση τα δεδομένα στην προηγούμενη ενότητα 7.7.1, η συγκεκριμένη πρόταση έχει

συσχετιστεί με το αντίμετρο 17, το οποίο αναφέρεται σε πρόταση τύπου FILTER με

υποκείμενο web server και στόχο domain. Στη συγκεκριμένη περίπτωση η ιδιαιτερότητα

έγκειται στο γεγονός ότι πρέπει να εντοπιστεί η συσκευή που θα εκτελέσει την

διαδικασία φιλτραρίσματος, η οποία δεν αναφέρεται ρητά και θα πρέπει να υπονοηθεί –

στη συγκεκριμένη περίπτωση δηλ. εμφανίζεται ένα παράδειγμα ανάγκης αποθήκευσης

έμμεσης γνώσης, όπως αυτή ορίστηκε παραπάνω, στην βάση γνώσης μέσω κατάλληλων

κανόνων. Για την ολοκλήρωση της μετάβασης αυτής εντοπίστηκε η ανάγκη για ύπαρξη

πληροφορίας σχετικά με την διασύνδεση των δρομολογητών, τον ορισμό υποδικτύων και

την κατάταξη κάθε πόρου σε αυτά στις πληροφορίες ISinfo.

7.7.3 Μετάβαση από Ενέργειες σε Υλοποιήσεις

Οι εργασίες αυτού του σταδίου αφορούν στον εντοπισμό λύσεων σε κάποια προβλήματα

ασφαλείας συγκεκριμένων μοντέλων συσκευών, εκδόσεων λογισμικού ή άλλων πόρων.

7.8 Μελέτη Περίπτωσης: Διασφάλιση Κρίσιμου Εξυπηρετητή

Ένα παράδειγμα της εφαρμογής της προτεινόμενης μεθόδου είναι το ακόλουθο: ας

υποτεθεί ότι απαιτείται η διασφάλιση ενός κρίσιμου εξυπηρετητή (έστω webserver1). Η

πρόταση των απαιτήσεων ασφάλειας (πολιτική χαμηλού επιπέδου) που την εκφράζει

είναι η εξής:



Σελ. 334

SECURE_HIGH webserver1

Με βάση τον κανόνα σε JESS:

(defrule make-CMmatch (low-level-policy ?polname ?poltype ?subject ?target ?) (isA ?subject ?subjectcode) (isA object ?subjectcode ?subjectype $?) (isA ?target ?targetcode) (isA object ?targetcode ?targetype $?) (isA CM ?cmname ?poltype ?subjectype ?targetype) => (assert (matchCM ?polname ?cmname)) )

Το σύστημα θα προσπαθήσει να κατηγοριοποιήσει την απαίτηση ασφάλειας με βάση τον

τύπο του στόχου (webserver) και το ρήμα της (SECURE_HIGH). Στην συνέχεια, εφόσον

βρει κατάλληλο μέτρο, δημιουργεί ένα νέο γεγονός, το οποίο συνδέει την συγκεκριμένη

απαίτηση ασφάλειας με το μέτρο. Το αποτέλεσμα που θα προκύψει είναι μια σειρά

γεγονότων τύπου:

(matchCM πολιτική μετρο)

Από την εκτέλεση, το αντίμετρο που προκύπτει (Αντίμετρο-11) συνδέεται με τις

Ενέργειες (Ενέργεια-4 και Ενέργεια-5) ως εξής:

Επίπεδο Μέτρων:

Μέτρο

Κωδικός


11

Περιγραφή Προστασία εξυπηρετητή

Υποκείμενο -

Στόχος Χώρος δικτύου



Σελ. 335

Μέτρο

Ομάδα Η ομάδα στην οποία ανήκει το αντίμετρο, σύμφωνα με την

CRAMM

Υπό-ομάδα Η υπό-ομάδα στην οποία ανήκει το αντίμετρο, σύμφωνα με την

CRAMM

Τύπος Αντιμέτρου Διαχείριση ευπαθειών

Κατηγορία


Προληπτικό

Σχετιζόμενη Απειλή Εκμετάλλευση πιθανών ευπαθειών σε χρησιμοποιούμενες

υπηρεσίες

Ρήμα Περιγραφής SECURE_HIGH

PONDER -

Ενέργειες [] [4 5]

Επίπεδο Ενεργειών:

Στην επόμενη φάση, το σύστημα θα εντοπίσει τις σχετικές ενέργειες [Ενέργεια-4] (με

αντίστοιχες Υλοποιήσεις τις [Υλοποίηση-7 και Υλοποίηση-9]) και [Ενέργεια-5] (με

αντίστοιχη Υλοποίηση την [Υλοποίηση-8]), ως εξής:

Ενέργεια

Κωδικός Ενέργειας 4

Περιγραφή Υψηλή Προστασία Windows XP Pro SP1



Σελ. 336

Ενέργεια


Στόχος Windows XP Pro SP1

Τύπος Αντιμέτρου Διαχείριση ευπαθειών


Υλοποιήσεις [] [7 9]

Ενέργεια

Κωδικός Ενέργειας 5

Περιγραφή Υψηλή Προστασία Apache Server 2.0


Στόχος Apache Server 2.0

Τύπος Αντιμέτρου Διαχείριση Ευπαθειών


Υλοποιήσεις [] [8]

Επίπεδο Υλοποιήσεων:

Το σύστημα στο επίπεδο των Υλοποιήσεων θα εντοπίσει τις αντίστοιχες Πράξεις

(Πράξη-7 και Πράξη-9 για τον πόρο Windows XP και Πράξη-8 για τον Apache Server),

ως εξής:



Σελ. 337

Υλοποίηση

Κωδικός Υλοποίησης 7

Περιγραφή Εφαρμογή του SP2

Υποκείμενο Διαχειριστής Δικτύου

Στόχος Windows XP SP1


Πράξεις [] [10 11]

Υλοποίηση


Περιγραφή Προστασία της ευπάθειας CVE-2004-0199


Στόχος Windows XP SP2


Πράξεις [] [9 13]

Υλοποίηση




Σελ. 338

Υλοποίηση

Περιγραφή Προστασία ευπάθειας CVE-4231


Στόχος Apache Server 2


Πράξεις [] [7 8]

Ένα παράδειγμα κανόνα του έμπειρου συστήματος που μπορεί να εκτελέσει τη

συσχέτιση μεταξύ αντιμέτρων και υλοποίησης για την συγκεκριμένη κατηγορία είναι ο

παρακάτω:

(defrule make-SECUREACmatch (matchCM ?polname ?cmname) (low-level-policy ?polname secure_high ?target) (isA ?target ?targetcode $?) (isA object ?targetcode ? ?tnameA ?tnameB) (isA object ?tcodeA ? ?tnameA) (isA object ?tcodeB ? ?tnameB) (isA Action ?accodeA ?tcodeA secure_high) (isA Action ?accodeB ?tcodeB secure_high) => (assert (matchAC ?cmname ?accodeA)) (assert (matchAC ?cmname ?accodeB)) )

Ο κανόνας αυτός ελέγχει όλα τα αντίμετρα που έχουν συσχετιστεί με τις ημι – τυπικές

απαιτήσεις ασφάλειας, και επιλέγει όσα ανήκουν στην κατηγορία SECURE_HIGH. Στη

συνέχεια αναζητά τις κατάλληλες πράξεις και τις συσχετίζει με τα αντίμετρα,

δημιουργώντας νέα γεγονότα. Στο συγκεκριμένο παράδειγμα ο στόχος αναλύεται σε δυο

υποστόχους, με χρήση κώδικα για συσχετισμό περισσοτέρων από μιας πράξεων σε ένα

αντίμετρο. Με βελτιστοποίηση είναι δυνατόν να προκύψει κώδικας που θα συσχέτιζε ένα

οποιοδήποτε σύνολο κατάλληλων πράξεων, σε περίπτωση που η ανάλυση του στόχου

δημιουργήσει περισσότερους (ή λιγότερους) των δυο υποστόχων. Η Εικόνα 7.1



Σελ. 339

παρουσιάζει το δίκτυο Rete [Forgy, 1982] του συγκεκριμένου κανόνα make-

SECUREACmatch του Jess.

Εικόνα 7.1: Το Δίκτυο Rete του Κανόνα make-SECUREACmatch (JESS)

Από τον κανόνα αυτό προκύπτει η ανάγκη για νέα πληροφορία στη βάση γνώσης,

πληροφορία σχετική με την πιθανή ανάλυση κάθε πόρου σε δομικά στοιχεία (στη

συγκεκριμένη περίπτωση, ο πόρος webserver1 αναλύθηκε σε Windows XP SP1 και

Apache Server 2).

Επίπεδο Πράξεων:

Τελικά, στο επίπεδο των Πράξεων, συσχετίζονται οι υλοποιήσεις με τις αντίστοιχες

πράξεις με βάση τον επόμενο κανόνα:

(defrule make-REmatch (matchAC ?cmname ?accode) (isA Action ?accode ?targetcode ?actiontype) (isA Realization ?recode ?actiontype ?targetcode) => (assert (matchRE ?accode ?recode))



Σελ. 340

)

Ο εν λόγω κανόνας επιλέγει όσες ενέργειες έχουν σχετιστεί με αντίμετρα, και με βάση

τον τύπο της ενέργειας και τον κωδικό του στόχου δημιουργεί νέα γεγονότα που

συσχετίζουν πράξεις με υλοποιήσεις. Το αποτέλεσμα θα είναι μια λίστα σχετιζόμενων

πράξεων, μαζί με εναλλακτικές για κάθε μια, από τις οποίες ο μηχανικός ασφαλείας

μπορεί να επιλέξει αυτές που θεωρεί καλύτερες για τη συγκεκριμένη περίπτωση. Η

Εικόνα 7.2 δείχνει γραφικά την Εξειδίκευση Αντιμέτρων για τη Μελέτη Περίπτωσης που

περιγράφηκε στα προηγούμενα.

Εικόνα 7.2: Εξειδίκευση Αντιμέτρων για τη Μελέτη Περίπτωσης

7.9 Σύνοψη

Στο παρόν κεφάλαιο ορίστηκε ένα υλοποιήσιμο πλαίσιο εξειδίκευσης των αντιμέτρων

ασφάλειας. Ορίστηκε μια ιεραρχία επιπέδων ανάλυσης, και μια διαδικασία για την



Σελ. 341

εξειδίκευση των αντιμέτρων σε εφαρμόσιμες πράξεις. Η είσοδος της διαδικασίας είναι

μια ημιδομημένη αναπαράσταση των απαιτήσεων ασφάλειας που αναλύθηκαν στο

Κεφάλαιο 6. Το αποτέλεσμα αυτής της διαδικασίας είναι ένα Δένδρο Εφαρμόσιμων

Αντιμέτρων (Deployable Countermeasures Tree), του οποίου οι τελικοί κόμβοι

αποτελούν ένα σύνολο από άμεσα εφαρμόσιμα ΤΜΥ στους πόρους του ΠΣ, ή περαιτέρω

πληροφορίες σχετικές με την εφαρμογή του μέτρου για τον υπεύθυνο της

τεχνοδιαμόρφωσης. Η πιλοτική υλοποίηση που έγινε έφερε στο φως μια σειρά από

παρατηρήσεις, η κατάλληλη αξιοποίηση των οποίων θα επιτρέψει τη συγκρότηση μιας

ευρύτερης προσέγγισης που θα καλύπτει περισσότερες περιπτώσεις εξειδίκευσης

αντιμέτρων με αυτοματοποιημένο τρόπο.

Στο επόμενο Κεφάλαιο 8, συνοψίζεται η ερευνητική εργασία της διατριβής,

διατυπώνονται τα ερευνητικά συμπεράσματα και δίνονται κατευθύνσεις για περαιτέρω

σχετική έρευνα.



Σελ. 343

When I examine myself and my methods of thought, I come to the conclusion that the gift

of fantasy has meant more to me than any talent for abstract, positive thinking.

~ Albert Einstein

8 Σύνοψη, Συμπεράσματα και Κατευθύνσεις Περαιτέρω Έρευνας


Στο παρόν κεφάλαιο επιχειρείται μια συνολική αποτίμηση της ερευνητικής εργασίας. Η

εκλογή των βασικών αξόνων της ερευνητικής προσέγγισης συζητείται διεξοδικά, ενώ

θίγονται θέματα διασφάλισης ποιότητας και αξιολόγησης της προτεινόμενης λύσης.

Συζητούνται τα ενδιαφέροντα σημεία της έρευνας που μπορούν να οδηγήσουν σε

πρακτική υλοποίηση, ενώ αναλύονται και πιθανές εναλλακτικές προσεγγίσεις σε

συγκεκριμένες περιοχές που θα επιφέρουν βελτίωση στην απόδοση του ερευνητικού

αποτελέσματος. Τέλος, παρατίθενται θέματα προς σχετική περαιτέρω έρευνα.

8.2 Γενική Θεώρηση της Συνολικής Προσέγγισης

Η προτεινόμενη προσέγγιση συνδυάζει μια σειρά από προσεγγίσεις σχετικά με



Σελ. 344

διαχείριση πληροφοριών και γνώσης, διαφορετικών επιπέδων και στοχεύσεων. Οι

πληροφορίες ασφάλειας αποτελούν μέρος της γενικότερης πληροφορίας διαχείρισης ΠΣ,

με την ιδιομορφία ότι καλύπτουν ένα μεγάλο μέρος των ανθρώπινων δραστηριοτήτων

που σχετίζονται με τη διαχείριση πληροφοριών κάθε είδους και μπορεί να έχουν

ενδιαφέρον για τον ειδικό ασφάλειας. Η πολυπλοκότητα των πηγών πληροφορίας

ασφάλειας τόσο εκ των έσω του ΠΣ όσο και από εξωτερικές πηγές, συζητήθηκε, εκτός

των άλλων, και στην ενότητα 4.9, «Πηγές Γνώσης περί Ασφάλειας ΠΣ».

Το πρόβλημα της αναποτελεσματικής μετάφρασης των πληροφοριών ασφάλειας και των

αντιμέτρων υψηλού επιπέδου σε εφαρμόσιμα αντίμετρα στους πόρους του ΠΣ

παραμένει, σε απόλυτα μεγέθη, ένα άλυτο πρόβλημα εφόσον οι ανθρώπινες γλώσσες

επικοινωνίας και έκφρασης είναι ατελείς με ποικίλους βαθμούς εντροπίας. Σε αυτή την

κατεύθυνση όμως, ο γράφων εκτιμά ότι η προτεινόμενη προσέγγιση συνεισφέρει σε ένα

νέο τρόπο θέασης του προβλήματος και του αποτελεσματικού συνδυασμού των

διαφορετικών πηγών γνώσης ασφάλειας προς μια «πλούσια εικόνα» διαχείρισης


Σε αυτή την κατεύθυνση αξιοποιούνται: α) διεθνώς αναγνωρισμένα πρότυπα διαχείρισης

ασφάλειας για τον εντοπισμό των βασικών εννοιών και τις μεταξύ τους σχέσεις (BS7799

και COBIT), β) πρότυπα διαχείρισης πληροφοριών ΠΣ (DMTF CIM) για τη σύνδεση με

ήδη μοντελοποιημένα ΠΣ, γ) το οντολογικό μοντέλο διαχείρισης γνώσης (που

υλοποιείται με τη βοήθεια γλωσσών και κατασκευών του Σημασιολογικού Ιστού – OWL,

SWRL) για την οργάνωση των σχετικών πληροφοριών και την εξαγωγή έμμεσης γνώσης

μέσω κατάλληλων συμπερασματικών μηχανισμών, και δ) τεχνικές εξαγωγής

πληροφοριών (information extraction) για τον εντοπισμό των κυρίων χαρακτηριστικών

των αντιμέτρων. Λόγω της αυξημένης πολυπλοκότητας, εισάγεται ο διαχωρισμός των

Απαιτήσεων Ασφάλειας από τα Τεχνικά Μέτρα Υλοποίησης, δηλ. διαχωρίζονται οι

προδιαγραφές των αντιμέτρων ασφάλειας από τις εφαρμόσιμες υλοποιήσεις τους.

Παρά το γεγονός ότι η παρούσα εργασία επικεντρώνει στα τεχνικά αντίμετρα, δηλ. στα

αντίμετρα εκείνα τα οποία είναι (μέσω κατάλληλης μετάφρασης) δυνατό να

εφαρμοστούν στους πόρους του ΠΣ, η προσέγγιση δεν χάνει τη γενικότητα της

εφαρμογής της – ο κύριος λόγος της επικέντρωσης στα πιο τεχνικά αντίμετρα είναι οι

αυξημένες δυνατότητες επίδειξης της πρακτικής εφαρμογής. Το κομβικό σημείο της



Σελ. 345

προσέγγισης είναι το Αντίμετρο, το οποίο μοντελοποιείται με τον ορισμό των βασικών

ιδιοτήτων του τόσο από την οπτική των απαιτήσεων ασφάλειας (οντολογία ασφάλειας),

όσο και από την οπτική των Τεχνικών Μέτρων Υλοποίησης (Βάση ΤΜΥ).

Ο καθορισμός κριτηρίων εξαγωγής γνώσης ασφάλειας στην πλευρά της οντολογίας

υποστηρίζει την εκμαίευση έμμεσης γνώσης με τη μορφή λογικών κανόνων, ενώ

καθαυτή η εξαγωγή των ιδιοτήτων της απαίτησης ασφάλειας διενεργείται με τη χρήση

τεχνικών εξαγωγής πληροφορίας από την έξοδο της ανάλυσης επικινδυνότητας και τα

κείμενα των πολιτικών υψηλού επιπέδου που αναφέρονται στο συγκεκριμένο ΠΣ. Τέλος,

η ερευνητική εργασία ολοκληρώνεται με τον ορισμό μιας προσέγγισης για την

εξειδίκευση των αντιμέτρων σε επίπεδο πρακτικής εφαρμογής.

8.3 Πλεονεκτήματα της Συνδυαστικής Προσέγγισης

Η προτεινόμενη έρευνα επιχειρεί τη σύνθεση μιας πολυσυλλεκτικής και ολιστικής

προσέγγισης που αξιοποιεί επιλεγμένα χαρακτηριστικά από τους τέσσερεις άξονες της

έρευνας (κεφάλαιο 4). Με δεδομένο τον ερευνητικό χαρακτήρα της διατριβής, η

τελευταία δεν επικεντρώθηκε στη βελτιστοποίηση των επιμέρους τμημάτων της

προσέγγισης – αντίθετα, το κύριο βάρος δόθηκε στον ακριβή ορισμό του πλαισίου

εκείνου, το οποίο μπορεί να χρησιμεύσει σαν τη βάση ενός πρακτικού συστήματος

διαχείρισης ασφάλειας ΠΣ το οποίο θα κάνει χρήση πληροφοριών από διαφορετικές

πηγές, θα βασίζεται στη γνώση, θα βρίσκεται σε αρμονία με τις αλλαγές στις πολιτικές

και στις τεχνολογίες του ΠΣ, θα εναρμονίζεται με τις εξελίξεις της τεχνολογίας και θα

υποστηρίζει αποδοτικά και αποτελεσματικά το κύκλο ζωής της Διαχείρισης

Επικινδυνότητας του ΠΣ.

Υπό αυτή την οπτική, η προτεινόμενη προσέγγιση αποτυπώνει μια αρθρωτή

αρχιτεκτονική που διαχωρίζει τις απαιτήσεις ασφάλειας (Οντολογία Ασφάλειας) από τις

τεχνικές τους υλοποιήσεις (Τεχνικά Μέτρα Υλοποίησης), αμβλύνοντας έτσι την εγγενή

πολυπλοκότητα της διαχείρισης ασφάλειας: κάθε σημείο της προσέγγισης μπορεί (και

ενθαρρύνεται) να αναπτυχθεί ξεχωριστά, χωρίς να επηρεάζει τα υπόλοιπα μέρη της

αρχιτεκτονικής (υπό την αίρεση ότι οι αντίστοιχες διεπαφές των μερών είναι καλά

ορισμένες). Η ανεξαρτησία των τμημάτων της προσέγγισης υπογραμμίζεται και από τις

ανοικτές προσεγγίσεις των επιμέρους υλοποιήσεών τους (όπως λ.χ. η συνεργατική



Σελ. 346

ανάπτυξη της οντολογίας ασφάλειας – ενότητα 5.5, ο ορισμός και ενσωμάτωση λογικών

αξιωμάτων – ενότητα 5.5.4, η μοντελοποίηση των Απαιτήσεων Ασφάλειας του

Αντιμέτρου – ενότητα 6.5, η διαδικασία συμπλήρωσης της οντολογίας με στιγμιότυπα

εννοιών που αντιπροσωπεύουν το ΠΣ – ενότητα 6.8, η διαδικασία εξαγωγής

πληροφοριών από τα αντίμετρα υψηλού επιπέδου – ενότητα 6.9, και η διαδικασία

αναπαράστασης και εξειδίκευσης των ΤΜΥ – κεφάλαιο 7).

8.4 Διασφάλιση Ποιότητας και Τεχνικές Αξιολόγησης

Η αξιολόγηση της προτεινόμενης προσέγγισης είναι ένα έργο σχετικά δυσχερές με την

έννοια ότι η ίδια η φύση της διαχείρισης ασφάλειας συνδυάζει τόσο τη μηχανιστική (hard

systems thinking) όσο και την κοινωνική (soft systems thinking) θεώρηση του

προβλήματος. Με δεδομένο λοιπόν ότι δεν έχουν υιοθετηθεί, στα πλαίσια αυτής της

έρευνας, μόνο ντετερμινιστικοί μηχανισμοί για την εξαγωγή και μετάφραση των

αντιμέτρων ασφάλειας αλλά και ευρετικές μέθοδοι και τεχνικές (βλ. και ενότητα 4.10 για

τη μεθοδολογία της εφαρμογής της συνολικής προσέγγισης διαχείρισης κινδύνων σε ένα

ΠΣ), ο γράφων εκτιμά ότι η αποτίμηση της αξίας της προσέγγισης μπορεί να γίνει εκ των

υστέρων (a posteriori) με βάση σύγκρισης την ανθρώπινη εμπειρία και τα σχετικά

αποτελέσματα που θα επιτυγχάνονταν εάν ειδικοί ασφάλειας αξιολογούσαν τα αντίμετρα


Δύο είναι οι περιοχές εκείνες που η σύγκριση με την αποτίμηση των ειδικών ασφάλειας

είναι κρίσιμη: α) η εξαγωγή των ιδιοτήτων των απαιτήσεων ασφάλειας (ενότητες 6.8 και

6.9) και β) η εξειδίκευση των τεχνικών μέτρων υλοποίησης (κεφάλαιο 7), όπου οι

ευρετικοί κανόνες ανάλυσης παίζουν πρωταρχικό ρόλο. Σε αυτή την προσπάθεια,

ωστόσο, πολύτιμη βοήθεια παρέχουν μια σειρά από μετρικές αξιολόγησης, μέθοδοι και

εργαλεία που παρουσιάζονται συνοπτικά στις επόμενες ενότητες.

8.4.1 Μετρικές Αξιολόγησης της Εξαγωγής Σχετικών Εννοιών

Οι βασικές μετρικές αξιολόγησης μεθόδων εξαγωγής πληροφοριών είναι οι Recall,

Precision και F-measure. Σε αυτή την ενότητα, εξετάζεται μόνο η απόδοση των

αλγορίθμων εξαγωγής των εννοιών (terms), ως εξής:



Σελ. 347

Recall: ο λόγος του πλήθους των σχετικών εντοπισμένων εννοιών

(RelevantTermsExtracted) προς το συνολικό πλήθος των σχετικών υπό εντοπισμό εννοιών

(AllRelevantTerms2BeExtracted), δηλ.

dBeExtracte

Extracted

TermsAllTerms

call2Relevant

RelevantRe =

Precision: ο λόγος του πλήθους των σχετικών εντοπισμένων εννοιών

(RelevantTermsExtracted) προς το συνολικό πλήθος των υπό εντοπισμό εννοιών

(AllTerms2BeExtracted), δηλ.

ed2BeExtract

Extracted

AllTermsrmsRelevantTe

Pr =ecision

F-measure: ο σταθμισμένος αρμονικός μέσος των Recall και Precision, δηλ

RecallPrecisionRecallPrecision2

+××

=F

Στα επόμενα περιγράφονται πιθανά σενάρια αξιολόγησης με χρήση των παραπάνω

μετρικών, χωρίς να γίνεται εξαντλητική αναφορά. Η στρατηγική αξιολόγησης διαφέρει

ανάλογα με το σημείο που επιθυμεί να επικεντρώσει ο ερευνητής.

8.4.2 Αξιολόγηση στο Περιβάλλον GATE

Το περιβάλλον GATE [Cunningham et al., 2002], [Cunningham et al., 2006] προσφέρει

δύο μηχανισμούς ποσοτικής αξιολόγησης των υπομνηματισμών που γίνονται στα υπό

εξέταση κείμενα. Ο πρώτος (AnnotationDiff), συγκρίνει δύο σύνολα υπομνηματισμών

που προστίθενται σε ένα αρχείο. Αυτή η λειτουργικότητα είναι χρήσιμη στη σύγκριση

ενός αυτόματα υπομνηματισμένου εγγράφου έναντι ενός εγγράφου που υπομνηματίζεται

κατά βούληση από ένα ειδικό του χώρου, ή για τη σύγκριση δύο εγγράφων που

υπομνηματίζονται από διαφορετικές εκδόσεις λογισμικού. Ο δεύτερος μηχανισμός

(benchmarking tool) εκτελεί την αξιολόγηση σε επίπεδο ενός συνόλου εγγράφων

(corpus), συγκρίνοντας τον τρόπο με τον οποίο ένα συγκεκριμένο σύνολο

υπομνηματισμών (annotation set) εφαρμόζεται σε όλα τα έγγραφα του corpus, όταν το

τελευταίο εξετάζεται σε δύο διαφορετικές εκδόσεις. Σε αυτή την περίπτωση, οι βασικές



Σελ. 348

μετρικές (Recall, Precision και F-measure) συγκρίνονται πρώτα σε επίπεδο εγγράφου και

μετά σε επίπεδο corpus.

8.4.3 Αξιολόγηση από Ειδικούς Ασφάλειας

Η ανθρώπινη αξιολόγηση είναι η πλέον ακριβής και στοχευμένη όσον αφορά το

αντικείμενο της διατριβής, αφού έχει τη δυνατότητα να εμβαθύνει σε συγκεκριμένα

σημεία της διαδικασίας, να αποδώσει (διαισθητικά) με βάση την σωρευμένη εμπειρία το

κατάλληλο βάρος (weight) σε κάθε αντίμετρο, να συνυπολογίσει πιθανές παρενέργειες

(side effects), όσο και να επιλέξει το κατάλληλο συνδυασμό αντιμέτρων σε κάθε

περίπτωση – με άλλα λόγια, να εκπονήσει μια ολοκληρωμένη λύση ασφάλειας σε

συνέπεια με τους παράγοντες του περιβάλλοντος και την διαχέουσα γνώση ασφάλειας

για το ΠΣ. Από μια άποψη, η σύγκριση των αποτελεσμάτων ενός συνόλου

προγραμμάτων λογισμικού με ευφυείς ανθρώπινους συλλογισμούς αδικεί την

αυτοματοποιημένη προσέγγιση, που, εκτός των άλλων περιορίζεται στη μετάφραση των

αντιμέτρων υψηλού επιπέδου σε εφαρμόσιμες πράξεις – από την άλλη, ένα επαρκές

πλαίσιο συγκριτικής αξιολόγησης, εάν έχει οριστεί προσεκτικά, μπορεί να ωφελήσει και

να βελτιώσει θεαματικά την αυτοματοποιημένη προσέγγιση έτσι ώστε να προσεγγίσει

πιο αποτελεσματικά και αποδοτικά την ανθρώπινη συλλογιστική.

Με αυτή την οπτική, μια πιθανή στρατηγική αξιολόγησης από ειδικούς ασφάλειας

(security experts) είναι η επέκταση της μεθόδου αξιολόγησης που παρατέθηκε στην

ενότητα 4.10, όπου συγκρίνεται η έξοδος της αυτοματοποιημένης προσέγγισης με την

αντίστοιχη ερμηνεία των αντιμέτρων από ειδικούς του χώρου. Μια τέτοια άσκηση

μπορεί να διεξαχθεί σε δύο φάσεις μέσω κατάλληλα δομημένων ερωτηματολογίων: α)

κατά την εξαγωγή των απαιτήσεων ασφάλειας των αντιμέτρων (σ.σ. πλήρωση των

στιγμιοτύπων της οντολογίας) προτρέποντας τους ειδικούς να συμπληρώσουν κατά

βούληση τα γνωρίσματα των αντιμέτρων (όπως αυτά ορίστηκαν στην ενότητα 6.5), και

β) κατά την εξειδίκευση των τεχνικών μέτρων υλοποίησης αντιμέτρων προτρέποντας

τους ειδικούς να συμπληρώσουν κατά βούληση τις εξειδικεύσεις των τεχνικών μέτρων

υλοποίησης (όπως αυτά ορίστηκαν στην ενότητα 7.5.1).

Προς επίρρωση των παραπάνω, μπορεί να οριστεί ένα Πρότυπο Σύνολο Εξαγομένων

Αντιμέτρων – ΠΣΕΑ (Golden Countermeasures Set – GCS) τόσο για τη φάση της



Σελ. 349

εξαγωγής των ιδιοτήτων των απαιτήσεων ασφάλειας όσο και για την εξειδίκευση των

ΤΜΥ. Το ΠΣΕΑ θα πρέπει να οριστεί με βάση την ανθρώπινη διερμηνεία των ειδικών

ασφάλειας, ενδεχομένως για περισσότερα από ένα ΠΣ. Με χρήση αυτών των προτύπων

αντιμέτρων, η προτεινόμενη προσέγγιση θα μπορεί να αξιολογηθεί συστηματικά και

ενδεχομένως να προκύψουν περισσότεροι λογικοί κανόνες για εφαρμογή στην

αυτοματοποιημένη μέθοδο. Με αυτή την τακτική, θα είναι ευκολότερη η αξιολόγηση των

αποτελεσμάτων της αυτοματοποιημένης μεθόδου και θα παρέχει εγγυήσεις για την

περαιτέρω εξέλιξη και τελειοποίησή της.

8.5 Σύνοψη του Προβλήματος και της Ερευνητικής Προσπάθειας

8.5.1 Το Ερευνητικό Πρόβλημα

Η διαχείριση ασφάλειας ΠΣ έχει δικαιολογημένα τραβήξει την προσοχή της ερευνητικής

κοινότητας, γιατί διευθυνσιοδοτεί ένα υπαρκτό όσο και δυσεπίλυτο πρόβλημα: την

αποτελεσματική και αποδοτική Διαχείριση Ασφάλειας των Πληροφοριακών Συστημάτων

τα οποία μεταβάλλονται με ταχείς ρυθμούς. Η τρέχουσα πρακτική αντιμετώπιση

βασίζεται στη θέσπιση ενός πλαισίου ΔΑΠΣ, το οποίο (τελικά, και εκτός των άλλων)

αντιστοιχίζεται σε μια σειρά συνδυαστικών μέτρων ασφάλειας, η εφαρμογή των οποίων

μειώνει την έκθεση των αγαθών του ΠΣ (risk level) σε αποδεκτά επίπεδα.

Τυπικά, για την εκτίμηση του βαθμού έκθεσης των αγαθών σε κίνδυνο διεξάγονται

ασκήσεις Αποτίμησης Επικινδυνότητας (συνήθως με τη βοήθεια σχετικών μεθόδων και

εργαλείων λογισμικού όπως COBRA, CRAMM κλπ.), σε μια προσπάθεια διαχείρισης

της μεγάλης πολυπλοκότητας των ΠΣ. Με τον τρόπο αυτό προκύπτουν τα τεχνικά,

διαδικαστικά και οργανωτικά μέτρα τα οποία διασφαλίζουν επαρκή (adequate) ασφάλεια

στο ΠΣ. Στο σημείο αυτό εδράζεται η βάση του ερευνητικού προβλήματος. Συγκεκριμέ-

να, η ασάφεια και η γενικότητα των παραγόμενων-αναγκαίων μέτρων ασφάλειας, σε

συνδυασμό με τον υποκειμενισμό του ειδικού επιστήμονα (security expert) που καλείται να

τα εφαρμόσει, προκαλεί συνήθως αστοχίες (που αντιμετωπίζονται με επιπρόσθετα ad hoc

ρυθμιστικά τεχνικά μέτρα ή διαδικασίες), ενώ κάποιες φορές ενδέχεται να οδηγήσει το

συνολικό πλαίσιο διαχείρισης της ασφάλειας του ΠΣ ακόμη και σε αποτυχία.



Σελ. 350

Η παρούσα κατάσταση στο χώρο της ΔΑΠΣ απεικονίζεται στο Σχήμα 8.1 (σ.σ.

επαναλαμβάνεται εδώ από την ενότητα 2.6). Το κεντρικό σημείο είναι ο Ειδικός

Ασφάλειας ο οποίος δέχεται ένα καταιγισμό πληροφοριών από διάφορες πηγές

πληροφορίας οι οποίες διακρίνονται σε δύο επίπεδα:

Ø τις ασαφείς πηγές πληροφορίας (με πράσινο), δηλ. οι αδόμητες και με διαφορετικό

επίπεδο λεπτομέρειας στην περιγραφή του αντιμέτρου όπως τα αντίμετρα από την

ΑΕ, οι δηλώσεις πολιτικών ασφάλειας, οι διοικητικές αποφάσεις, τα υψηλού

επιπέδου αντίμετρα (βέλτιστες πρακτικές από γνωστά πρότυπα όπως το

ISO17799 [BSI-EN, 2001], COBIT [ITGI COBIT, 2000], ITIL [ITIL, 2003]…),

οι σχετικές λίστες ηλεκτρονικού ταχυδρομείου κλπ.

Ø τις σαφείς (με μαύρο), δηλ. τις μη επιδεχόμενες ερμηνεία, όπως η πληροφορία

από την τεχνολογική υποδομή και ένα μέρος από τις συστάσεις

τεχνοδιαμόρφωσης των προμηθευτών και τις συλλογές βέλτιστων πρακτικών.

Το αναμενόμενο αποτέλεσμα από την διαδικασία της αντιστοίχησης των απαιτήσεων

ασφάλειας από τις διαφορετικές πηγές πληροφορίας είναι ένα σύνολο από σαφείς οδηγίες

/ πράξεις οι οποίες:

Ø Εφαρμόζονται στις τεχνικές συνιστώσες του ΠΣ και

Ø Υλοποιούν τις απαιτήσεις ασφάλειας του ΠΣ.



Σελ. 351

Σχήμα 8.1: Διαχείριση Ασφάλειας – Τρέχουσα Προσέγγιση

Αφορμή για την παρούσα έρευνα απετέλεσαν οι παρακάτω διαπιστώσεις:

Ø Η σύνδεση των αποτελεσμάτων της ΑΕ με τα τελικώς εφαρμοστέα μέτρα



Ø Τυχόν επαναχρησιμοποίηση των διαθέσιμων πληροφοριών, καθώς και της υπάρ-



Ø Η αξιοποίηση των ποικίλλων και συνήθως ανομοιογενών πηγών πληροφοριών





Σελ. 352

Ø Η “αντικειμενική” κατανόηση των απαιτήσεων ασφάλειας από τον ειδικό επιστή-



Ø Η σύνδεση μεταξύ των ελεγκτικών διαδικασιών (που αφορούν την αποτελεσματι-



Ø Η φύση της ΔΑΠΣ είναι εγγενώς κοστοβόρα και χρονοβόρα και, παράλληλα, η

ενσωμάτωση μετρικών (metrics) αποτελεσματικότητάς της (ROI vs. ROSI) στη

διαδικασία διασφάλισης του ΠΣ είναι δυσχερής.

Η διατριβή προτείνει μια νέα προσέγγιση στο θέμα της ΔΑΠΣ, αξιοποιώντας

αποτελεσματικά όλες τις πηγές που είναι διαθέσιμες και παρέχουν πληροφορίες σχετικά

με την ασφάλεια του ΠΣ. Επίσης, η διατριβή παρέχει ένα τεκμηριωμένο μεθοδολογικό

πλαίσιο, το οποίο επιτυγχάνει να συνδυάσει τις απαιτήσεις ασφάλειας υψηλού επιπέδου

(generic security requirements) με τα εφαρμοστέα τεχνικά μέτρα ασφαλείας. Συνολικά η

παρούσα έρευνα πραγματεύεται τον ορισμό και υλοποίηση ενός πολυσυλλεκτικού

πλαισίου διαχείρισης ασφάλειας ΠΣ το οποίο:

Ø βασίζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις και τις αντίστοιχες

μεθοδολογίες εφαρμογής τους,

Ø αξιοποιεί τη γνώση περί ασφάλειας που σχετίζεται με το ΠΣ και προέρχεται από

διακριτές πηγές ασφάλειας με διαφορετική δομή, επίπεδο πληροφόρησης και

ακροατήριο που απευθύνεται,

Ø στηρίζεται σε οντολογίες γνώσης ασφάλειας και διευκολύνει την πρακτική

ενοποίηση των αντιμέτρων υψηλού επιπέδου με εφαρμόσιμα αντίμετρα στους

πόρους του ΠΣ, εντάσσοντας τη διαχείριση των αντιμέτρων στον κύκλο ζωής

διαχείρισης κινδύνων του ΠΣ (IS Risk Management Lifecycle).

8.5.2 Η Ερευνητική Προσπάθεια

Με δεδομένο το ερευνητικό πρόβλημα, η παρούσα διατριβή επιχειρεί την αποτύπωση

του λειτουργικού μοντέλου ενός συστήματος διαχείρισης ασφάλειας ΠΣ βασισμένο σε

οντολογίες ασφάλειας. Η συνεισφορά της διατριβής εκφράζεται σε τρία επίπεδα:



Σελ. 353

I. Αποτύπωση εννοιολογικού μοντέλου αναφοράς της ΔΑΠΣ, βασισμένου σε ΟΑ.

Στο επίπεδο αυτό διαχωρίστηκαν οι απαιτήσεις ασφάλειας ΠΣ υψηλού επιπέδου (εκφρα-

σμένες σε αδόμητη φυσική γλώσσα) από τα τεχνικά αντίμετρα υλοποίησής του (τις τελι-

κές πράξεις που εφαρμόζονται κατευθείαν στους πόρους του ΠΣ).

Ταυτόχρονα, καθορίστηκαν τα θεμελιώδη και τα επιμέρους τμήματα της υπό ανάπτυξη

αρχιτεκτονικής, που αποσκοπεί στην υλοποίησή του.

II. Προσδιορισμός του μοντέλου των απαιτήσεων ασφάλειας.

Στο επίπεδο αυτό, καταρχήν προδιαγράφηκε και υλοποιήθηκε, σε UML, ένα σχήμα επέ-

κτασης του μοντέλου CIM (CIM Extension Model) για την ΑΕ ενός ΠΣ, το οποίο βασί-

ζεται στα πρότυπα ανάλυσης και διαχείρισης επικινδυνότητας ISO/IEC 17799 και COB-

IT. Στη συνέχεια έγινε η μοντελοποίηση των απαιτήσεων ασφάλειας ενός ΠΣ σε μια Ο-

ντολογία Ασφάλειας βασισμένη στο σχήμα επέκτασης του CIM. Η υλοποίηση έγινε σε

OWL με χρήση του λογισμικού Protégé. Ακολούθησε η ενιαιοποίηση των ανομοιογενών

πηγών πληροφοριών των σχετικών με την ασφάλεια, με στόχο την αποτελεσματικότερη

συλλογή δεδομένων που σχετίζονται με τις απαιτήσεις ασφάλειας.

Στη συνέχεια έγινε η μοντελοποίηση των κύριων ιδιοτήτων των απαιτήσεων ασφάλειας

(security requirements) και η εξαγωγή των ιδιοτήτων των απαιτήσεων ασφάλειας από αν-

ομοιογενείς πηγές, με στόχο τον εμπλουτισμό της ΟΑ. Η υλοποίηση έγινε με open source

εργαλεία, Java και GATE, ενώ για την αναγνώριση προτύπων (pattern matching) χρησι-

μοποιήθηκε Jape. Τέλος, αναπτύχθηκε μια σειρά ευρετικών κανόνων για την εξαγωγή

των απαιτήσεων ασφάλειας και έγινε ο συσχετισμός τους για παραγωγή γνώσης περί την

ασφάλεια. Η υλοποίησή τους έγινε με Java.

III. Προσδιορισμός του μοντέλου των τεχνικών μέτρων υλοποίησης.

Στο επίπεδο αυτό έγινε, αρχικά, η μοντελοποίηση των κύριων ιδιοτήτων των τεχνικών

μέτρων υλοποίησης (ΤΜΥ). Ακολούθησε ο σχεδιασμός ενός σχήματος σχεσιακής βάσης

δεδομένων με υλοποιήσιμα ΤΜΥ σε επίπεδο τεχνολογικής υποδομής. Στη συνέχεια έγινε

η μοντελοποίηση της εξειδίκευσης των ΤΜΥ, με στόχο τη συγκεκριμενοποίηση των ε-

φαρμοστέων αντιμέτρων, μέσω της αποδόμησης των τεχνικών αντιμέτρων υψηλού επι-

πέδου σε σαφέστερες ενέργειες. Η υλοποίηση των παραπάνω έγινε με JESS (Java Expert



Σελ. 354

System Shell).

Κατόπιν αναπτύχθηκε ένας αλγόριθμος συσχέτισης των απαιτήσεων ασφάλειας με τα τε-

χνικά μέτρα ασφάλειας. Τέλος, αναπτύχθηκε ένα λειτουργικό μοντέλο ΔΑΠΣ, βασισμένο

σε οντολογίες, το οποίο βασίζεται στο εννοιολογικό μοντέλο αναφοράς και περιγράφει

τις λειτουργικές μονάδες του, καθώς και τις μεταξύ τους συσχετίσεις.

Στην επόμενη ενότητα περιγράφονται συνοπτικά τα σημεία συμβολής της παρούσας

διατριβής στο γνωστικό αντικείμενο.

8.6 Συμβολή στο Γνωστικό Αντικείμενο

Το εύρος έρευνας της παρούσας διατριβής καλύπτει μια σειρά από σημαντικούς

παράγοντες για μια αποτελεσματική και αποδοτική διαχείριση ασφάλειας ΠΣ που

στηρίζεται στη συλλογή και επεξεργασία σχετικής γνώσης. Ο Πίνακας 8.1 συνοψίζει τη

συμβολή στο γνωστικό αντικείμενο ανά κεφάλαιο, ενώ στις επόμενες ενότητες

παρατίθενται συνοπτικά τα κυριότερα αποτελέσματα της διατριβής.

Πίνακας 8.1: Συμβολή στο Γνωστικό Αντικείμενο ανά Κεφάλαιο / Ενότητα

Συμβολή στο Γνωστικό Αντικείμενο Κεφάλαιο / Ενότητα

Αποτύπωση Εννοιολογικού Μοντέλου Αναφοράς της ΔΑΠΣ, Βασισμένου σε ΟΑ

Σχήμα Επέκτασης του CIM για Ανάλυση Επικινδυνότητας Ενότητες 5.5.1, 5.5.2,

5.5.3

Οντολογία Ασφάλειας Κεφάλαιο 5 και

ενότητα 6.3

Ενοποίηση Ανομοιογενών Πηγών Πληροφορίας Ασφάλειας Ενότητες 6.8, 6.9

Προσδιορισμός του Μοντέλου των Απαιτήσεων Ασφάλειας

Μοντελοποίηση Απαιτήσεων Ασφάλειας Ενότητα 6.5

Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας Ενότητες 6.8, 6.9



Σελ. 355

Συμβολή στο Γνωστικό Αντικείμενο Κεφάλαιο / Ενότητα

Ευρετικοί Κανόνες Παραγωγής Γνώσης Ασφάλειας Ενότητες 5.5.4, 6.4

Προσδιορισμός του Μοντέλου των Τεχνικών Μέτρων Υλοποίησης

Βάση Τεχνικών Μέτρων Υλοποίησης Κεφάλαιο 7

Εξειδίκευση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων Κεφάλαιο 7

Συσχέτιση Απαιτήσεων Ασφάλειας με Τεχνικά Μέτρα


Κεφάλαιο 7

Λειτουργικό Μοντέλο Διαχείρισης Ασφάλειας ΠΣ

Βασισμένο σε Οντολογίες

Ενότητες 4.2, 4.3, 4.4,

4.10

8.6.1 Αποτύπωση Εννοιολογικού Μοντέλου Αναφοράς της ΔΑΠΣ, Βασισμένου σε ΟΑ

8.6.1.1 Σχήμα Επέκτασης του CIM για Ανάλυση Επικινδυνότητας

Ορίζεται ένα Σχήμα Επέκτασης του μοντέλου CIM (CIM Extension Model) το οποίο

περιγράφει την περιοχή της Ανάλυσης Επικινδυνότητας ΠΣ βασισμένη σε πρότυπα

διαχείρισης ασφάλειας και αποτελεί το εννοιολογικό μοντέλο της Οντολογίας Ασφάλειας

(βλ. ενότητα 1.5.2). Η περιγραφόμενη επέκταση δεν έχει προταθεί από άλλους ερευνητές

(σ.σ. έως και την έκδοση 2.12 [DMTF CIM, 2001]) και έχει τη δυνατότητα σύνδεσης με

άλλες οντολογίες CIM προκειμένου να επαναχρησιμοποιήσει ήδη μοντελοποιημένα ΠΣ.

Το σχήμα υλοποιείται σε UML.

8.6.1.2 Οντολογία Ασφάλειας

Προτείνεται ο σχεδιασμός και υλοποίηση της Οντολογίας Ασφάλειας (ΟΑ), δηλαδή μιας

οντολογίας που επικεντρώνει στις απαιτήσεις ασφάλειας του ΠΣ, και ενσωματώνει



Σελ. 356

συμπερασματικούς μηχανισμούς. Υλοποιεί το εννοιολογικό μοντέλο της ΑΕ ΠΣ που

αναπτύχθηκε στην ενότητα 8.6.1.1, συλλέγοντας τις απαιτήσεις ασφάλειας του ΠΣ ανά

πληροφοριακό αγαθό. Περαιτέρω, αναπτύσσεται μια εξειδικευμένη οντολογία που

επικεντρώνει στην υλοποίηση των αντιμέτρων ασφάλειας από την Ανάλυση

Επικινδυνότητας. Η ΟΑ προσφέρει επεκτασιμότητα, κλιμάκωση, ενσωμάτωση με την

υπάρχουσα πληροφοριακή υποδομή του οργανισμού, προσαρμογή στις διαφορετικές

απαιτήσεις ασφάλειας του οργανισμού, και φιλική διεπαφή χρήσης. Η υλοποίηση έγινε

σε OWL με τη χρήση του εργαλείου Protégé και κανόνων SWRL (Semantic Web Rule

Language) [Horrocks et al., 2004].

8.6.1.3 Ενοποίηση Ανομοιογενών Πηγών Πληροφορίας Ασφάλειας

Προτείνεται ένα μοντέλο ανάλυσης ανομοιογενών πηγών πληροφορίας περί την

ασφάλεια και σύνθεση σε ομογενοποιημένες δομές πληροφορίας οι οποίες είναι δυνατό

να επαναχρησιμοποιηθούν από τον ειδικό ασφάλειας ή άλλες εμπλεκόμενες με τη

διαχείριση ασφάλειας οντότητες.

8.6.2 Προσδιορισμός του Μοντέλου των Απαιτήσεων Ασφάλειας

8.6.2.1 Μοντελοποίηση Απαιτήσεων Ασφάλειας

Προτείνεται ένα μοντέλο ιδιοτήτων που ορίζουν μια Απαίτηση Ασφάλειας η οποία

ενσωματώνεται στον ορισμό του πληροφοριακού πόρου και συνδέεται με τις σχετικές

απειλές. Στη συνέχεια, οι εν λόγω ιδιότητες συμπληρώνονται με τιμές που προσδιορίζουν

την απαίτηση ασφάλειας και εξάγονται με βάση την προσέγγιση στην ενότητα 8.6.2.2.

8.6.2.2 Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας

Προτείνεται ένα πλαίσιο εξαγωγής ιδιοτήτων απαιτήσεων ασφάλειας από αδόμητες και

ημιδομημένες πηγές πληροφοριών ασφάλειας όπως τα αντίμετρα που παράγουν τα

αυτοματοποιημένα εργαλεία ΑΕ, πολιτικές ασφάλειας υψηλού επιπέδου και άλλες

παρόμοιες πηγές. Χρησιμοποιούνται τεχνικές ιχνηλάτησης δικτύου, επεξεργασίας

φυσικής γλώσσας, ευρετικοί κανόνες αναζήτησης και μηχανισμοί διαχείρισης

οντολογιών.



Σελ. 357

8.6.2.3 Ευρετικοί Κανόνες Παραγωγής Γνώσης Ασφάλειας

Προτείνεται ένα σύνολο από ευρετικούς κανόνες οι οποίοι συμβάλλουν στην παραγωγή

γνώσης ασφάλειας. Οι κανόνες αυτοί είτε ενσωματώνονται στην ΟΑ είτε

ενεργοποιούνται κατά τη φάση «Εξαγωγή Ιδιοτήτων Απαιτήσεων Ασφάλειας», μέσω

λογισμικού σε Java.

8.6.3 Προσδιορισμός του Μοντέλου των Τεχνικών Μέτρων Υλοποίησης

8.6.3.1 Βάση Τεχνικών Μέτρων Υλοποίησης

Η Βάση Τεχνικών Μέτρων Υλοποίησης μοντελοποιεί τις απαιτούμενες ενέργειες για την


απαιτήσεις ασφάλειας που έχουν συλλεχθεί στην ΟΑ. Αυτές οι ενέργειες έχουν τη μορφή

ρυθμίσεων τεχνοδιαμόρφωσης, εκτελέσιμων προγραμμάτων και αρχείων φλοιού, ενώ

είναι απολύτως προσανατολισμένες σε τεχνολογίες υπολογιστικών συστημάτων

(λειτουργικά συστήματα, βάσεις δεδομένων, εκδόσεις λογισμικού, κ.α.). Έχει υλοποιηθεί

πιλοτικά σε σχεσιακή βάση δεδομένων και υποστηρίζεται η υποβολή ερωτημάτων μέσω

Δομημένης Γλώσσας Ερωταποκρίσεων (Structured Query Language, SQL).

8.6.3.2 Εξειδίκευση Απαιτήσεων Ασφάλειας και Τεχνικών Μέτρων

Προτείνεται μια μέθοδος εξειδίκευσης απαιτήσεων ασφάλειας και τεχνικών μέτρων

μέσω διακριτών επιπέδων επεξεργασίας έτσι ώστε η υλοποίηση των πιο εξειδικευμένων

αντιμέτρων να υλοποιεί αναδρομικά τα αντίμετρα των ανώτερων επιπέδων.

8.6.3.3 Συσχέτιση Απαιτήσεων Ασφάλειας με Τεχνικά Μέτρα


Προτείνεται ένας αλγόριθμος για τον συσχετισμό των απαιτήσεων ασφάλειας με τα

τεχνικά μέτρα (ΤΜΥ) που υλοποιούν τις εν λόγω απαιτήσεις. Τα ΤΜΥ (που είτε

παρέχονται άμεσα σε τελική μορφή, είτε κατόπιν εξειδίκευσης), στη συνέχεια

παρουσιάζονται στον ειδικό ασφάλειας για αξιολόγηση ή/και απευθείας εφαρμογή στους



Σελ. 358

πόρους.

8.6.3.4 Λειτουργικό Μοντέλο Διαχείρισης Ασφάλειας ΠΣ Βασισμένο σε

Οντολογίες

Το προτεινόμενο λειτουργικό μοντέλο ΔΑΠΣ με βάση οντολογίες ασφάλειας,

περιγράφεται συνολικά στην ενότητα 4.10 και μπορεί να ενταχθεί σε ένα ολικό πλαίσιο

Διαχείρισης Κινδύνων ΠΣ. Η προτεινόμενη προσέγγιση διαφοροποιείται σε σχέση με

προηγούμενες ερευνητικές προσπάθειες στα εξής σημεία:

Ø Διαχωρίζει τις απαιτήσεις ασφάλειας από τις τεχνικές υλοποιήσεις τους.

Ø Συνδέει άμεσα τις απαιτήσεις ασφάλειας υψηλού επιπέδου με τα εφαρμόσιμα

αντίμετρα στους πληροφοριακούς πόρους του οργανισμού.

Ø Μοντελοποιεί την έννοια του αντιμέτρου.

Ø Στηρίζεται σε γνωστά πρότυπα διαχείρισης πληροφοριών, διαχείρισης ασφάλειας

και διαχείρισης γνώσης.

Ø Χρησιμοποιεί δομές που στηρίζονται σε γνώση περί ασφάλειας.

Ø Εισάγει ένα ανοικτό μοντέλο που δέχεται πληροφορίες από ανομοιογενείς πηγές

πληροφορίας ασφάλειας.

Ø Παρέχει μία ενοποιημένη, ανοικτή, κλιμακούμενη και επεκτάσιμη αρχιτεκτονική

που είναι δυνατό να ενοποιηθεί σε ένα ολιστικό περιβάλλον διαχείρισης


Ø Η χρήση του είναι απλή.

Στην επόμενη ενότητα παρατίθενται τα σημαντικότερα θέματα προς περαιτέρω έρευνα.

8.7 Προτεινόμενη Περαιτέρω Έρευνα

Η έρευνα που παρουσιάστηκε στην παρούσα διατριβή προσεγγίζει το σύνθετο πρόβλημα

της ΔΑΠΣ από μια νέα σκοπιά – αυτή της ομογενοποίησης της σχετικής γνώσης

ασφάλειας κάτω από ένα κοινό μοντέλο διαχείρισης, με απώτερο σκοπό την όσο το

δυνατό ομαλότερη εφαρμογή των αντιμέτρων ασφάλειας υψηλού επιπέδου στους πόρους

του ΠΣ. Είναι κοινός τόπος ότι η οποιαδήποτε συνεισφορά σε ένα ερευνητικό χώρο



Σελ. 359

ανοίγει πολλαπλάσια μέτωπα σε σύγκριση με αυτά που κάλυψε48, με τον ερευνητή να

βρίσκεται στην (ευχάριστη) θέση να πρέπει να κάνει μια επιλογή όσον αφορά τα

σπουδαιότερα θέματα προς περαιτέρω έρευνα. Με αυτή την οπτική, στις επόμενες

ενότητες παρατίθενται τα σημαντικότερα -κατά την άποψη του γράφοντος- θέματα προς

έρευνα. Οι ελπιδοφόρες περιοχές έρευνας περιστρέφονται γύρω από την οντολογία

ασφάλειας, τη βάση ΤΜΥ και την ενσωμάτωση του προτεινόμενου πλαισίου ΔΑΠΣ με

υπάρχοντες προσεγγίσεις.


Η οντολογία ασφάλειας είναι ο κεντρικός άξονας της προσέγγισής μας, αφού χρησιμεύει

για την συλλογή και οργάνωση των απαιτήσεων ασφάλειας. Περιοχές βελτίωσης της

οντολογίας ασφάλειας είναι τα εξής:

Ø Σύνδεση με υπάρχοντα Συστήματα Διαχείρισης Πόρων (Asset Management

Systems), για βέλτιστη καταγραφή και μοντελοποίηση των πόρων του ΠΣ.

Ø Στατιστική μελέτη των λεκτικών προτύπων που απαντώνται σε πρότυπα διαχείρισης

ασφάλειας και συλλογές αντιμέτρων υψηλού επιπέδου, προκειμένου να

επικεντρωθεί η έρευνα στα πιο συχνά απαντώμενα λεκτικά πρότυπα.

Ø Έμφαση στις παραδοχές που κάνει ένας ειδικός ασφάλειας κατά την εκμαίευση των

απαιτήσεων και τη μετάφρασή τους σε εκτελέσιμα αντίμετρα: Στην ενότητα 6.4

(«Διαισθητική Ανάλυση και Αρχές Καθορισμού Αντιμέτρων») αναλύθηκαν οι

σπουδαιότερες Αρχές Καθορισμού Αντιμέτρων που εντοπίστηκαν κατά την

έρευνα. Περαιτέρω εμπλουτισμός των αρχών αυτών με νέες, καθώς και

λεπτομερέστερη μελέτη του ρόλου που παίζουν στον καθορισμό των ιδιοτήτων

των αντιμέτρων, εκτιμάται ότι θα οδηγήσει στη βελτίωση της

αποτελεσματικότητας και ακρίβειας της εξαγωγής των ιδιοτήτων των αντιμέτρων

48 “We live on an island surrounded by a sea of ignorance. As our island of knowledge grows, so does the

shore of our ignorance” – John Archibald Wheeler (1911- ).



Σελ. 360

καθώς και συμπληρωματικών πληροφοριών, που πιθανά να συνεισφέρουν σε

περαιτέρω ανάλυση.

Ø Εκλέπτυνση των εννοιολογικών μοντέλων της προσέγγισης με λεπτομερείς λίστες

εννοιών ασφάλειας και διαχείρισης κινδύνων ΠΣ: Οι βασικές δομές της

προσέγγισης (Οντολογία Ασφάλειας και Βάση ΤΜΥ) βασίζονται σε ένα

εννοιολογικό μοντέλο το οποίο ενδέχεται να επεκταθεί και αναλυθεί σε

μεγαλύτερο βαθμό. Με αυτό τον τρόπο, η αποτύπωση του γνωστικού χώρου με

τις αντίστοιχες έννοιες, ιδιότητες αυτών και σχέσεις μεταξύ τους θα υποστηρίξει

την ακριβέστερη καταγραφή των δεδομένων ασφάλειας με επακόλουθη βελτίωση

των δυνατοτήτων καταγραφής των ιδιοτήτων των αντιμέτρων.

Ø Σύνδεση με τη βάση συνωνύμων WordNet: η αναγνώριση των βασικών εννοιών

στην παρούσα υλοποίηση γίνεται μέσω σχετικών λιστών του Gazetteer του

GATE. Ένα πλουσιότερο περιβάλλον λεκτικής ανάλυσης όπως το WordNet

[WordNet, 2006], που παρέχει και δυνατότητες συσχέτισης με άλλες παρεμφερείς

έννοιες θα εμπλούτιζε το σύνολο τιμών (key space) του αλγορίθμου αναζήτησης

ενώ θα υποστήριζε και τη σύνδεση με άλλες παρεμφερείς έννοιες στο χώρο της

ασφάλειας. Ήδη έχει προταθεί η αναπαράσταση του WordNet σε RDF/OWL

[W3C WordNet-OWL, 2006].

Ø Επέκταση του μοντέλου σε εξελιγμένες μορφές εξαγωγής πληροφοριών και σχετικά

πειραματικά αποτελέσματα: τα πειραματικά δεδομένα και αποτελέσματα

περιορίζονται σε ένα πεπερασμένο αριθμό δεδομένων εισόδου και αλγορίθμων

εξαγωγής των απαιτούμενων πληροφοριών. Η αρθρωτή δομή της προσέγγισης

επιτρέπει την ανεξάρτητη ανάπτυξη των κρίσιμων μερών της εξαγωγής

πληροφορίας των απαιτήσεων ασφάλειας (οντολογία), δηλ. α) τους αλγορίθμους

εξαγωγής από τα αντίμετρα υψηλού επιπέδου, και β) στον ορισμό των λογικών

κανόνων / αξιωμάτων της οντολογίας, χωρίς να βλάπτεται η συνολική

προσέγγιση. Περαιτέρω ανάπτυξη των ενσωματωμένων αξιωμάτων στο μέρος

της οντολογίας είναι ένα ακόμη ενδιαφέρον σημείο, αφού επιτρέπει την

κωδικοποίηση εξελιγμένων αξιωμάτων που υλοποιούνται σε Java μέσω του

SWRLJessTab plugin στο Protégé [Protégé SWRLJessTab, 2006], η οποία

υποστηρίζει την εκτέλεση SWRL κανόνων μέσω της γεννήτριας κανόνων Jess. Η



Σελ. 361

παρούσα κατάσταση του εν λόγω plugin δεν υποστηρίζει τη συνεργασία με τον

reasoner του Protégé, με αποτέλεσμα οι αλλαγές που ενδέχεται να προκύψουν

από την εκτέλεση των κανόνων SWRL να μην ελέγχονται για συνέπεια από τον

reasoner και τελικά να προκύπτουν ασυνέπειες στην οντολογία.

8.7.2 Βάση ΤΜΥ

Η βάση ΤΜΥ είναι το μέσο αποθήκευσης των τεχνικών μέτρων υλοποίησης. Στην

παρούσα διατριβή και με βάση τη συνολική προσέγγιση (ενότητα 4.10), τα αντίμετρα

από το μέρος της οντολογίας (απαιτήσεις ασφάλειας) συνδέονται με τα εφαρμόσιμα

αντίμετρα (ΤΜΥ) μέσω μιας (προαιρετικής) διαδικασίας εξειδίκευσης των ΤΜΥ. Οι

περιοχές περαιτέρω έρευνας που σχετίζονται με τα ΤΜΥ είναι οι εξής:

Ø Μοντελοποίηση Εφαρμόσιμων Ατομικών Ενεργειών (Deployable Atomic Actions):

οι ενέργειες που υποστηρίζουν τις διαδικασίες διαχείρισης κινδύνων ΠΣ σε

τεχνικό επίπεδο μπορούν να αναλυθούν (ενδεχομένως) σε ατομικές ενέργειες,

έτσι ώστε να είναι δυνατή η ελεύθερη επιλογή και συνδυασμός τους μέσω του

αλγορίθμου του έμπειρου συστήματος. Για παράδειγμα, η απαίτηση ασφάλειας

«απενεργοποίηση των εξ’ ορισμού λογικών λογαριασμών οι οποίοι δεν

χρησιμοποιούνται», σε επίπεδο ΤΜΥ και για την περίπτωση λ.χ. του λειτουργικού

MS Windows Server, μεταφράζεται (μερικώς) σε «απενεργοποίηση του

λογαριασμού Guest». Η περαιτέρω εκλέπτυνση και προσδιορισμός των ατομικών

ενεργειών που μπορούν να χρησιμεύσουν σαν δομικά στοιχεία (building blocks)

για την εν λόγω (σύνθετη) ενέργεια (π.χ. οι ατομικές ενέργειες “Λήψη της

κατάστασης του λογικού λογαριασμού Χ” και “Απενεργοποίηση του λογικού

λογαριασμού Χ” είναι δύο ατομικές ενέργειες που σε ένα κατάλληλα

κωδικοποιημένο περιβάλλον μπορούν να συνδυαστούν για την επίτευξη της

απαιτούμενης σύνθετης ενέργειας.

Ø Περαιτέρω ενσωμάτωση της γνώσης του ειδικού ασφάλειας στον αλγόριθμο του

έμπειρου συστήματος: η υλοποίηση εξελιγμένων αλγορίθμων που ενσωματώνουν

τη γνώση του ειδικού στη βάση ΤΜΥ, θα έχει σαν αποτέλεσμα να μειωθεί ο

βαθμός δέσμευσης στη στατικά μοντελοποιημένη γνώση που έχει εισαχθεί από



Σελ. 362

τον ειδικό και η επιλογή των απαιτούμενων ενεργειών να είναι πλήρως δυναμική

και εξαρτώμενη από τους ευρετικούς κανόνες.

Ø Σύνδεση με διαθέσιμες βάσεις ευπαθειών όπως η OSVDB και η NVD (National

Vulnerability Database) [NVD, 2006]. Ειδικά η πρώτη διαθέτει δημόσια τη βάση

των αδυναμιών της η οποία μπορεί να εισαχθεί σε μια σχεσιακή βάση δεδομένων

με σχετικά αυτοματοποιημένο τρόπο. Περαιτέρω, θα εξεταστεί η δυνατότητα

πιθανής επιγραμμικής σύνδεσης (online) με τις ως άνω βάσεις.

Ø Ενσωμάτωση επιπέδου λεπτομέρειας στην πρόσβαση και γενικά στα δικαιώματα

που αποδίδονται στις οντότητες κατά την εξειδίκευση των αντιμέτρων (λ.χ. υπάρχει

μόνο η δυαδική σχέση ALLOW | DENY, και όχι μια λεπτομερέστερη κατανομή

των απαραίτητων δικαιωμάτων). Σε αυτή την κατεύθυνση θα βοηθήσει η

ενσωμάτωση μοντέλων βασισμένων στο RBAC, με παράλληλη εκλέπτυνση των

διαθέσιμων δικαιωμάτων.

Ø Επέκταση των μοντέλων αλληλεπίδρασης όσον αφορά τις προϋποθέσεις και τις

επιπτώσεις: Παρά το γεγονός ότι το πεδίο Περιορισμοί (Constraints) της

Απαίτησης Ασφάλειας της ΟΑ (στην ενότητα 6.5) καταγράφει τους περιορισμούς

του μέτρου ασφάλειας, και ως εκ τούτου υπάρχει σαν πληροφορία διαχείρισης, η

αναλυτική μελέτη των προϋποθέσεων / επιπτώσεων εκτέλεσης όπως και ο

αποτελεσματικός τρόπος διαχείρισής τους, είναι ένα άκρως ενδιαφέρον πεδίο για

περαιτέρω έρευνα προκειμένου για πρακτική εφαρμογή της προσέγγισης.

8.7.3 Λειτουργικό Μοντέλο και Ενσωμάτωση με Άλλα Πλαίσια

Διαχείρισης Κινδύνων ΠΣ

Σε αυτή την ενότητα αναφέρονται συνοπτικά άλλες ερευνητικές κατευθύνσεις που δεν

σχετίζονται άμεσα με την οντολογία ασφάλειας ή τη βάση ΤΜΥ, αλλά σχετίζονται με

την ενσωμάτωση της προσέγγισης σε ένα εφαρμόσιμο πλαίσιο ΔΑΠΣ και τη συνεργασία

με άλλες προσεγγίσεις. Σταχυολογώντας τις κυριότερες κατευθύνσεις, επισημαίνονται οι

ακόλουθες:

Ø Ανάπτυξη Μεθοδολογίας Επιλογής Βέλτιστων Αντιμέτρων: από την έξοδο της

διαδικασίας εξειδίκευσης των αντιμέτρων, ενδέχεται να προκύψουν εναλλακτικές



Σελ. 363

λύσεις για την εφαρμογή του εν λόγω αντιμέτρου. Σε αυτό το σημείο η ύπαρξη

μιας αυτοματοποιημένης διαδικασίας επιλογής του βέλτιστου συνόλου

αντιμέτρων, με συνυπολογισμό του σχετικού κόστους της εφαρμογής (measures

cost) είναι ένα εξαιρετικά ενδιαφέρον πεδίο έρευνας.

Ø Συμβατότητα με άλλα πρότυπα διαχείρισης κινδύνων, αδυναμιών και

τεχνοδιαμορφώσεων: η συνεργασία με άλλα πρότυπα του χώρου (στον οποίο

παρατηρείται αυξανόμενη δραστηριότητα) είναι ένας εκ των ουκ άνευ στόχους

για περαιτέρω έρευνα. Πλαίσια και προσεγγίσεις διαχείρισης αδυναμιών όπως η

OVAL [Wojcik et al., 2005] και OSVDB, τεχνοδιαμορφώσεων όπως η XCCDF

από το NIST [NIST/SCAP XCCDF, 2006], είναι σε συνεχή ανάπτυξη και

εκτιμάται ότι θα παίξουν καθοριστικό ρόλο στη θεμελίωση δομημένων

προσεγγίσεων στο θέμα της πρακτικής εφαρμογής των αντιμέτρων ασφάλειας σε

πόρους των ΠΣ.

Ø Συνεργασία με υπάρχοντες μεθοδολογίες και εργαλεία Αποτίμησης Επικινδυνότητας

(CRAMM, COBRA), διαχείρισης ασφάλειας ΠΣ: τα υπάρχοντα εργαλεία

υλοποιούν ώριμες μεθοδολογίες ΑΕ και παρέχουν αξιόπιστα αποτελέσματα όσον

αφορά τον προσδιορισμό του επιπέδου κινδύνου και τα αντίμετρα υψηλού

επιπέδου. Μια συνεργασία των εν λόγω εργαλείων με την προτεινόμενη από τη

διατριβή προσέγγιση, θα διευκόλυνε τη γεφύρωση του χάσματος μεταξύ των

αντιμέτρων υψηλού επιπέδου (έξοδος εργαλείων ΑΕ) και της πρακτικής

εφαρμογής των αντιμέτρων σε επίπεδο πόρου ΠΣ (πιθανά με τη χρήση κάποιου

πλαισίου εφαρμογής πολιτικών όπως η Ponder).

Ø Εφαρμογή σε ένα επιχειρησιακό ΠΣ κάτω από πραγματικές συνθήκες και σε

διαφορετικά υπολογιστικά παραδείγματα: η εφαρμογή ενός πλαισίου διαχείρισης

ασφάλειας που στηρίζεται σε οντολογίες σε επιχειρησιακά ΠΣ και κάτω από

διαφορετικά υπολογιστικά παραδείγματα (paradigms) θα παρείχε πολύτιμα

στοιχεία για την εφικτότητα και το βαθμό εφαρμογής της προτεινόμενης

προσέγγισης. Τέτοια περιβάλλοντα είναι η Υπολογιστική Πλέγματος (Grid

Computing), το Διάχυτο Υπολογίζειν (Pervasive Computing), κ.α. Μια πιθανή

αφετηρία είναι υφιστάμενη έρευνα πάνω σε ένα ολιστικό πλαίσιο

διαπραγμάτευσης πολιτικών σε περιβάλλον Υπολογιστικού Πλέγματος (Grid)



Σελ. 364

[Gymnopoulos et al., 2005a], [Gymnopoulos et al., 2005b] και στην ενσωμάτωσή

του με την προτεινόμενη προσέγγιση.

Ø Επέκταση σε διαχείριση οργανωσιακών και διαδικαστικών αντιμέτρων: η παρούσα

διατριβή επικεντρώνει στα αντίμετρα εκείνα τα οποία μπορούν να εφαρμοστούν

άμεσα στους πόρους του ΠΣ μέσω κατάλληλων τεχνοδιαμορφώσεων. Η

επέκταση της προσέγγισης σε διαχείριση αντιμέτρων άλλων επιπέδων (όπως

οργανωσιακών και διαδικαστικών) θα εμπλουτίσει τις δυνατότητες της

οντολογικής προσέγγισης στη ΔΑΠΣ παρέχοντας ένα πλήρες μοντέλο που

καλύπτει όλες τις εκφάνσεις της εφαρμογής των αντιμέτρων σε ένα ΠΣ.

Ø Επέκταση σε διαχείριση πολιτικών ιδιωτικότητας: στο [Moulinos et al., 2004],

προτείνεται ένα σχήμα για επιγραμμής (online) πιστοποίηση των πολιτικών

ιδιωτικότητας ενός ιστοτόπου. Ενώ το σχήμα κρίνεται επαρκές για την τυπική

πιστοποίηση της πολιτικής ιδιωτικότητας, δεν ισχύει για την επιβεβαίωση της

επιβολής των πολιτικών σε πρακτικό επίπεδο. Μια ενδιαφέρουσα ερευνητική

επιλογή λοιπόν συνεχίζοντας την έρευνα στο [Moulinos et al., 2004], είναι η

επέκταση της προτεινόμενης προσέγγισης στο χώρο των πολιτικών ιδιωτικότητας

με τη μετάφραση των πολιτικών υψηλού επιπέδου σε εφαρμόσιμα αντίμετρα

διασφάλισης της ιδιωτικότητας.

8.8 Επίλογος

Η παρούσα διατριβή ασχολήθηκε με το πρόβλημα της ομογενοποιημένης διαχείρισης

των πληροφοριών ασφάλειας ΠΣ που προέρχονται από διαφορετικές πηγές και τελικά

εφαρμόζονται στους πόρους του ΠΣ με τη μορφή κατάλληλων αντιμέτρων.

Εντοπίστηκαν οι αδυναμίες των προσεγγίσεων που ακολουθούνται τόσο σε ερευνητικό,

όσο και σε πρακτικό επίπεδο και προτάθηκε μια νέα προσέγγιση διαχείρισης ασφάλειας

ΠΣ που στηρίζεται σε γνώση. Το προτεινόμενο μοντέλο διαχείρισης υιοθετώντας ένα

εκτεταμένο θεωρητικό και μεθοδολογικό πλαίσιο διαχωρίζει τις απαιτήσεις ασφάλειας

από τις εφαρμόσιμες υλοποιήσεις τους, μειώνοντας την εγγενή πολυπλοκότητα των

αντιμέτρων ασφάλειας. Οι απαιτήσεις ασφάλειας του ΠΣ μοντελοποιούνται στην



Σελ. 365

οντολογία ασφάλειας, ενώ η συλλογή των ιδιοτήτων που ορίζουν τις απαιτήσεις

ασφάλειας γίνεται με βάση μια πολυσυλλεκτική προσέγγιση που εξάγει τεχνολογικά

χαρακτηριστικά των πόρων του ΠΣ και αναλύει τα αντίμετρα υψηλού επιπέδου. Στη

συνέχεια, οι απαιτήσεις συσχετίζονται με τα τεχνικά μέτρα υλοποίησης με τη βοήθεια

μιας διαδικασίας εξειδίκευσης των αντιμέτρων σε εφαρμόσιμες πράξεις. Παρά τα

χρήσιμα συμπεράσματα που εξάγονται από αυτή την έρευνα και τη συνεισφορά της στο

ερευνητικό αντικείμενο, είναι σαφές ότι απαιτείται αξιοσημείωτη ερευνητική

δραστηριότητα προκειμένου η προτεινόμενη προσέγγιση (ή μέρη αυτής) να

ενσωματωθούν σε πρακτικά πλαίσια ΔΑΠΣ που θα χρησιμοποιούνται σε πραγματικά

ΠΣ. Ο κυριότερος λόγος για τη δυσκολία αυτή είναι η εγγενής πολυπλοκότητα της

ΔΑΠΣ, η λύση της οποίας δεν είναι η απλή εφαρμογή μιας λίστας αντιμέτρων και

βέλτιστων πρακτικών, αλλά το πέρασμα στην τρίτη (και τελική) γενιά σχεδιασμού

συστημάτων κατά Baskerville [Baskerville, 1993] που κάνει εκτενή χρήση της ΑΕ και

που δεν έχει ακόμη υλοποιηθεί.

Σε αυτή την κατεύθυνση, ο γράφων εκτιμά ότι η παρούσα διατριβή συνεισφέρει προς

αυτή την κατεύθυνση, καθώς θέτει το πλαίσιο για μια ριζικά βελτιωμένη, ολιστική

προσέγγιση στη ΔΑΠΣ από τις ήδη υπάρχουσες, χρησιμοποιώντας αφηρημένες

μοντελοποιήσεις των βασικών ιδιοτήτων του πληροφοριακού προβλήματος και της

λύσης του [Baskerville, 1993]).



Σελ. 367

I love talking about nothing. It is the only thing I know anything about.

~ Oscar Wilde

9 Αναφορές και Βιβλιογραφία

9.1 Στην Αγγλική Γλώσσα

[Agentcities D3.4,

2003]

Agentcities RTD IST Project (IST-2000-28385) (2003).

“Deliverable D3.4: Harmonising Heterogeneous Security Models &

Addressing Ownership Using an Ontological Approach” (available

at http://www.agentcities.org/EURTD/index.php?target=results,

August 2006)

[Agrawal et al.,

2005a]

Agrawal, D., Calo, S., Giles, J., Lee, K.-W. and Verma, D. (2005).

“Policy Management for Networked Systems and Applications”. In

Proceedings of 9th IFIP/IEEE International Symposium on

Integrated Network Management, Nice, France, IEEE, May 2005.

http://www.agentcities.org/EURTD/index.php?target=results



Σελ. 368

[Agrawal et al.,

2005b]

Agrawal, D., Giles, J., Lee, K.-W. and Lobo, J.(2005). “Policy

Ratification”. In Proceedings of 6th IEEE International Workshop

on Policies for Distributed Systems and Networks, Stockholm,

Sweden, IEEE, June 2005.

[Alberts and

Dorofee, 2001]

Alberts, C. and Dorofee, A., (2001). “OCTAVE Method

Implementation Guide Version 2.0”, Carnegie Mellon, Software

Engineering Institute, CERT Coordination Centre. Available at

http://www.cert.org/octave/download/intro.html (August 2005).

[ANSI/INCITS,

2004]

ANSI INCITS 359-2004. (2004). American National Standards

Institute, International Committee for Information Technology

Standards (ANSI/INCITS), “Information Technology – Role Based

Access Control”.

[Antσn et al.,

2001]

Antσn, A., Carter, A., Dempster, J., & Siege, D. (2001). “Deriving

Goals from a Use-Case Based Requirements Specification for an

Electronic Commerce System”. Requirements Engineering Journal,

Springer-Verlag London, 6, 63-73.

[Antσn, 1996] Antσn, A. I. "Goal-Based Requirements Analysis." In Proceedings

of International Conference on Requirements Engineering (ICRE

'96), Colorado Springs, Colorado, April 1996.

[Appelt, 1996] Appelt, D. (1996). “The Common Pattern Specification Language”.

Technical report, SRI International, Artificial Intelligence Center.

[Appelt, 1999] Appelt, D. (1999). “An Introduction to Information Extraction”,

Artificial Intelligence Communications, 12(3):161–172.

[AS/NZS 4360,

1999]

Standards Australia and Standards New Zealand. (1999) –

“Australian/New Zealand Standard Handbook of Information

http://www.cert.org/octave/download/intro.html



Σελ. 369

Security Risk Management 4360 (AS/NZS 4360)”.

[Ashby, 1956] Ashby, W. R. (1956). “An introduction to cybernetics”. Chapman

& Hall, London.

[Bandara et al.,

2004]

Bandara A. K., Lupu E., Moffett J. D., Russo A., (2004). “A Goal-

based Approach to Policy Refinement”, 5th IEEE International

Workshop on Policies for Distributed Systems and Networks

(POLICY 2004), pp: 229-239.

[Bandara, 2005] Bandara A. K. (2005). “A Formal Approach to Analysis and

Refinement of Policies”. Doctoral Thesis, Imperial College of

Science, Technology and Medicine, University of London, London.

[Barker, 2000] Barker, S. (2000). “Security Policy Specification in Logic”. In

Proceedings of Int. Conf. on Artificial Intelligence (ICAI00), Las

Vegas, Nevada, USA, June 2000.

[Barker, 2001a] Barker, S. (2001a). “Access Control Policies as Logic Programs”.

Technical Report: Imperial College of Science, Technology and

Medicine, London.

[Barker, 2001b] Barker, S. and Rosenthal, A. (2001b). “Flexible Security Policies in

SQL”. In Proceedings of Fifteenth Annual IFIP WG 11.3 Working

Conf. on Database and Application Security, Niagara on the Lake,

Ontario, Canada, 15-18 July 2001.

[Baskerville, 1993] Baskerville, R., (1993). “Information Systems Security Design

Methods: Implications for Information Systems Development”.

ACM Computing Surveys, 1993. 25(4). 375-414.

[Beigi et al., 2004] Beigi, M. S., Calo, S. and Verma, D. (2004). “Policy

Transformation Techniques in Policy-based Systems Management”.



Σελ. 370

In Proceedings of International Workshop on Policies for

Distributed Systems and Networks, Yorktown Heights, New York,

IEEE, June 2004.

[Ben Achour et al.,

1998]

Ben Achour, C., Rolland, C., & Souveyet, C. (1998). “A proposal

for improving the quality of the organisation of scenario

collections”. Paper presented at the Fourth International Workshop

on Requirements Engineering: Foundation for Software Quality

(REFSQ'98), Pisa, Italy.

[Berners-Lee et al.,

2001]

Berners-Lee, T. Hendler, J. and Lassila, O. (2001). “The Semantic

Web”, In Scientific American. Available at :

http://www.scientificamerican.com/article.cfm?articleID=00048144

-10D2-1C70-84A9809EC588EF21&catID=2 (March 2005)

[Biddle and

Thomas, 1979]

Biddle, B. J. and Thomas, E. J. (1979). “Role theory: concepts and

research”. New York, Robert E. Krieger Publishing Company,

1979.

[Bjφrck, 2001] Bjφrck, F. (2001). “Security Scandinavian Style”. Licentiate thesis,

Stockholm University & Royal Institue of Technology.

[BOLERO, 1995] BOLERO consortium. (1995). “Bolero project – Final Report”,

DGXIII/B6 under INFOSEC '94 contract S2302, EU.

[Bozsak et al.,

2002]

Bozsak, E., Ehrig, M., Handschub, S., Hotho, A. et al. (2002).

“KAON - Towards a Large Scale Semantic Web”. In Bauknecht,

K.; Min Tjoa, A.; Quirchmayr, G. (Eds.): Proc. of the 3rd

International Conference on E-Commerce and Web Technologies,

pp. 304-313.

[Bray et al., 2000] Bray T., Paoli J., Sperberg-McQueen C. M., and Maler E., (2000).

http://www.scientificamerican.com/article.cfm?articleID=00048144



Σελ. 371

Bray, T., Paoli, J., Sperberg-McQueen, C. M., Maler, E. and

Yergeau, F. “Extensible Markup Language (XML) 1.0 (Fourth

Edition)”, W3C Recommendation, Technical report, World Wide

Web Consortium, http://www.w3.org/TR/REC-xml, October 2006.

[Brickley and

Guha, 2000]

Brickley D. and Guha R. (2000). “Resource Description Framework

(RDF) Schema Specification 1.0”, W3C Recommendation,

http://www.w3.org/TR/2000/CR-rdf-schema-20000327/, December

2004.

[BSI-DE, 2003] BSI (2003). “IT Baseline Protection Manual (IT-Grundschutz

Manual)”, Federal Office for Information Security (BSI), Germany.

Available at

http://www.bsi.bund.de/english/gshb/manual/download/index.html

(August 2006).

[BSI-EN, 2001] British Standards Institution. (2001). “BS7799 Part 1. Information

technology – Code of practice for information security

management”. British Standards Institution, London.

[BSI-EN, 2002] British Standards Institution. (2002). “BS7799 Part 2. Information

security management systems — Specification with guidance for

use”. British Standards Institution, London.

[BSI-EN, 2005] British Standards Institution. (2005). “Introducing the parts of the

BS 7799 Standards”. Available at http://www.bsi-

global.com/Education/Information_Security/intro.xalter (February

2005).

[BugTraq, 2006] BugTraq mailing list (http://seclists.org/lists/bugtraq)

http://www.w3.org/TR/REC-xml

http://www.w3.org/TR/2000/CR-rdf-schema-20000327/

http://www.bsi.bund.de/english/gshb/manual/download/index.html

http://www.bsi

http://seclists.org/lists/bugtraq)



Σελ. 372

[Burgess, 1995] Burgess, M. (1995). “A Site Configuration Engine”. USENIX

Computing systems 8(3), 1995.

[Casassa et al.,

2000]

Casassa Mont, M., Baldwin, A. and Goh, C. (2000) “POWER

Prototype: Towards Integrated Policy-Based Management”.

IEEE/IFIP Network Operations and Management Symposium,

(NOMS2000), ed. J. Hong, R., Weihmayer, Hawaii, May 2000, pp.

789-802.

[CDT, 2006] The Center for Democracy and Technology, Available at

www.cdt.org (July 2006)

[CERT, 2006] CERT Coordination Center. (2006). Available at

http://www.cert.org.

[Chivers, 2006] Chivers, H.R. (2006). “Security Design Analysis”. Doctoral Thesis,

University of York.

[Chomicki et al.,

2000]

Chomicki, J., Lobo, J. and Naqvi, S. (2000). “A Logic

Programming Approach to Conflict Resolution in Policy

Management”. In Proceedings of 7th Int. Conf. on Principles of

Knowledge Representation and Reasoning (KR2000),

Breckenridge, Colorado, USA, Morgan Kaufmann, April 2000.

[Chung et al.,

2000]

Chung, L., Nixon, B. A., Yu, E., & Mylopoulos, J. (2000). “Non-

Functional Requirements in Software Engineering”. Kluwer

Academic Publishers.

[Clemente et al.,

2005a]

Clemente, F., Perez, G., Blaya, J., Skarmeta, A. (2005).

“Representing Security Policies, in Web Information Systems”. In

Proc. of the Policy Management for the Web Workshop (WWW

2005), Japan.

http://www.cdt.org

http://www.cert.org



Σελ. 373

[Clemente, 2005] Felix Clemente, G. P. (2005). “Representing security policies in

web information systems”. In Proceedings of WWW 2005.

[CNSS, 2006] Committee on National Security Systems (CNSS). (2006). “CNSS

National Information Assurance (IA) Glossary”. Available at

http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf (September 2006)

[COBRA, 2006] C&A Systems Security Ltd. (2006). “COBRA Suite”. United

Kingdom (August 2006).

[Cockburn, 1995] Cockburn, A. (1995). “Structuring use cases with goals”. [Online].

Available at

http://alistair.cockburn.us/index.php/Structuring_use_cases_with_g

oals/ (October 2006).

[COSO, 1992] Committee of Sponsoring Organizations of the Treadway

Commission (COSO). (1992). “Internal Control Integrated

Framework”, USA

[CRAMM, 2005] Insight Consulting Limited. (2005). “CRAMM Risk Assessment

Tool Overview”, (Available at

http://www.cramm.com/riskassesment.htm (May 2005).

[CSE 1996] Communications Security Establishment (CSE). (1996). “A Guide

to Risk Assessment and Safeguard Selection for Information

Technology Systems”. Government of Canada. Available at :

http://www.cse-

cst.gc.ca/en/documents/knowledge_centre/gov_publications/itsg/m

g3.pdf (March 2005).

[Cunningham et

al., 2002]

Cunningham H., Maynard D., Bontcheva K., Tablan V. (2002).

“GATE: A Framework and Graphical Development Environment

http://www.cnss.gov/Assets/pdf/cnssi_4009.pdf

http://alistair.cockburn.us/index.php/Structuring_use_cases_with_g

http://www.cramm.com/riskassesment.htm

http://www.cse



Σελ. 374

for Robust NLP Tools and Applications”, Proceedings of the 40th

Anniversary Meeting of the Association for Computational

Linguistics (ACL'02), pp. 168-175.

[Cunningham et

al., 2006]

Cunningham H., Maynard D., Bontcheva K., Tablan V., Ursu C.,

Dimitrov M., Dowman M., Aswani N. (2006). “Developing

Language Processing Components with GATE Version 4 (a User

Guide)”, Available at http://gate.ac.uk/documentation.html (August

2006).

[Cunningham,

1999]

Cunningham H. (1999). “Information Extraction: a User Guide

(revised version)”, Research Memorandum CS–99–07, Department

of Computer Science, University of Sheffield.

[Cuppens and

Saurel, 1996]

Cuppens F., Saurel, C. (1996). “Specifying a security policy: a case

study”, p. 123, Ninth IEEE Computer Security Foundations

Workshop.

[Damianou et al.,

2001]

Damianou N., Dulay N., Lupu E., Sloman M. (2001). “The Ponder

Specification Language”, Workshop on Policies for Distributed

Systems and Networks (Policy2001), HP Labs Bristol, pp. 18-38.

[Damianou et al.,

2002]

Damianou, N., Bandara, A. K., Sloman, M. S. and Lupu, E. C.

(2002). ”A Survey of Policy Specification Approaches”, available

at http://citeseer.ist.psu.edu/540402.html (December 2006).

[Damianou,

2002b]

Damianou, N. (2002b). “A Policy Framework for Management of

Distributed Systems”. Doctoral Thesis, Imperial College of

Science, Technology and Medicine, University of London, London.

[DAML, 2004] DAML. (2004). The DARPA Agent Markup Language Homepage

(2004) Available at: http://www.daml.org/ (March 2005)

http://gate.ac.uk/documentation.html

http://citeseer.ist.psu.edu/540402.html

http://www.daml.org/



Σελ. 375

[DAML+OIL,

2001]

DAML+OIL (March 2001) Reference Description W3C Note 18

December 2001. Available at http://www.w3.org/TR/daml+oil-

reference/ (August 2006)

[Dardenne et al.,

1993]

Dardenne, A., Lamsweerde, A. v., & Fickas, S. (1993). “Goal-

directed Requirements Acquisition”. Science of Computer

Programming, 20, 3-50.

[Darimont and van

Lamsweerde,

1996]

Darimont, R. and van Lamsweerde, A. (1996). “Formal Refinement

Patterns for Goal-Driven Requirements Elaboration.” 4th ACM

Symposium on the Foundations of Software Engineering (FSE4):

179-190, 1996.

[Darimont, 1995] Darimont, R. (1995). “Process Support for Requirements

Elaboration”. Unpublished PhD Thesis, Universite Catholique de

Louvain, Louvain-la-Neuve.

[de Albuquerque et

al., 2005]

de Albuquerque J.P., Krumm H., de Geus P.L. (2005). “Policy

Modeling and Refinement for Network Security Systems”. In

Proceedings of the Sixth IEEE International Workshop on Policies

for Distributed Systems and Networks (POLICY ’05), pp. 24-33.

[Dean et al., 2004] Dean M., et al. (2004). “OWL Web Ontology Language

Reference”, W3C Recommendation, available at

http://www.w3.org/TR/owl-ref/

[DeMarco and

Lister, 1999]

DeMarco, T. and Lister, T. (1999). “Peopleware: Productive

Projects and Teams”, 2nd ed., Dorset House Publishing Co., New

York.

[Denning and

Denning, 1997]

Denning Dorothy E., Denning Peter J. (1997). “Internet Besieged:

Countering Cyberspace Scofflaws”, Addison-Wesley Pub Co (Sd).

http://www.w3.org/TR/daml+oil

http://www.w3.org/TR/owl-ref/



Σελ. 376

[DMTF CIM,

2001]

Ellesson, E. (2001). “CIM Core Policy Model”. Distributed

Management Task Force.

[DMTF CIM,

2003]

DMTF, WBEM Solutions Inc. (2003) “CIM Tutorial”, Available at:

http://www.wbemsolutions.com/tutorials/CIM/ (Οκτώβριος 2004)

[DMTF CIM,

2006a]

DMTF. (2006). “Common Information Model v. 2.12”, available at

http://www.dmtf.org/standards/cim/cim_schema_v212/ (June

2006).

[DMTF WBEM,

2006]

Distributed Management Task Force. (2005). “Web-based

Enterprise Management (WBEM) Initiative”,

http://www.dmtf.org/standards/wbem/ (February 2005).

[DTI and Coopers,

2002]

DTI and Coopers, P. W. (2002). “Information security breaches

survey 2002”. Technical report, Department of Trade and Industry.

[DTI, 2000] DTI. (2000). “Information security breaches survey 2000 technical

report”. Technical report, Department of Trade and Industry.

[Eclipse, 2006] Eclipse - Integrated Development Environment (IDE) for Java and

Perl. (2006). Available at http://www.eclipse.org (August 2006).

[EFF, 2006] Electronic Frontier Foundation. (2006). Available at www.eff.org

(August 2006)

[Efstratiou et al.,

2002]

Efstratiou, C., Friday, A., Davies, N. and Cheverst, K. (2002).

“Utilising the Event Calculus for Policy Driven Adaptation on

Mobile Systems”. In Proceedings of Third Int. Workshop on

Policies for Distributed Systems and Networks (POLICY-2002),

Monterey, CA, USA, IEEE Press, June 2002.

http://www.wbemsolutions.com/tutorials/CIM/

http://www.dmtf.org/standards/cim/cim_schema_v212/

http://www.dmtf.org/standards/wbem/

http://www.eclipse.org

http://www.eff.org



Σελ. 377

[Ehrmann, 2002] Ehrmann, H. (2002). “Unternehmensplannung”. Friedrich Kiehl

Verlag, 4th edition.

[Enron, 2001] Enron. (2001). Financial scandal of Enron. Available at

http://www.yaleeconomicreview.com/issues/summer2006/enron.ph

p (September 2006)

[Ernst & Young,

2005]

Ernst & Young. (2005). “Global Information Security Survey

2005”.

[Fensel et al.,

2000]

Fensel D., Horrocks I., Harmelen F., Decker S., Erdmann M., and

Klein M. (2000). “OIL in a nutshell”, In Proc. Of the 12th Eur.

Workshop on Knowledge Acquisition, Modelling, and Management

(EKAW’00), 1937: 1–16.

[Fensel et al.,

2001]

Fensel D., Harmelen F., Horrocks I., McGuinness D. L., and Patel-

Schneider P. F. (2001). “OIL: An ontology infrastructure for the

semantic web”. In IEEE Intelligent Systems, 16(2):38–45.

[Foley05] S.N. Foley, S. Bistaelli, B. O'Sullivan, J. Herbert and G. Swart.

(2005). “Multilevel Security and Quality of Protection”, First

Workshop on Quality of Protection, Como, Italy, September 2005.

[Friedman-Hill,

2005]

Friedman-Hill, E. (2005). “JESS – The Rule Engine for the Java

Platform”, Sandia National Laboratories,

http://herzberg.ca.sandia.gov/jess/index.shtml (November. 2005)

[FSIRT, 2006] French Security Incident Response Team (former K-OTik Security

Advisories), http://www.frsirt.com/english/

[Fyodor, 2006] Fyodor. (2003). Nmap scanner. Available at

http://www.insecure.org/nmap (August 2006).

http://www.yaleeconomicreview.com/issues/summer2006/enron.ph

http://herzberg.ca.sandia.gov/jess/index.shtml

http://www.frsirt.com/english/

http://www.insecure.org/nmap



Σελ. 378

[GATE, 2006] GATE framework. (2006). A General Architecture for Text

Engineering. Available at http://www.gate.ac.uk (August 2006).

[Gerber and von

Solms, 2005]

Gerber, M. and von Solms, R. (2005). “Management of risk in the

information age”. Computers & Security, 24(1):16-30.

[GFi LANguard,

2006]

GFi. (2002). LANguard network scanner. Available at

http://www.gfi.com/lannetscan/ (August 2006).

[Giorgini et al.,

2005]

Giorgini, P., Massacci, F., and Zannone, N. (2005c). “Security and

Trust Requirements Engineering”. Volume 3655, pp. 237–272.

[Giunchiglia et al.,

2002]

F. Giunchiglia, J. Mylopoulos, and A. Perini. (2002). “The Tropos

Development Methodology : Processes, Models and Diagrams”. In

Proceedings of the 2002 Autonomous Agents and Multi-Agent

systems.

[Gordon et al.,

2004]

Gordon, L. A., Loeb, M. P., Lucyshyn, W., and Richardson, R.

(2004). “2004 CSI/FBI computer crime and security survey”.

Technical report, CSI/FBI.

[Greenspan et al.,

1994]

Greenspan, S., Mylopoulos, J., & Borgida, A. (1994, May 16-21).

“On Formal Requirements Modeling Languages: RML Revisited”.

16th International Conference on Software Engineering (ICSE-94),

Sorrento, Italy.

[Gritzalis and

Tsoumas, 2005]

Gritzalis, D. and Tsoumas, V. “Assurance-by-ontology: An

introduction and a paradigm proposal”. In NATO ARW on

Information Security Assurance and Security, June 3-4 2005,

Tetuan, Morocco.

[Gritzalis and Gritzalis, D., Tsoumas, V., “An assurance-by-ontology paradigm

http://www.gate.ac.uk

http://www.gfi.com/lannetscan/



Σελ. 379

Tsoumas, 2006] proposal: Elements of security knowledge management”. In

Information Assurance and Computer Security (NATO Security

through Science Series: Information and Communication Security,

Vol. 6), pp. 15-30, Johnson T., et al. (Eds.), IOS Press, 2006.

[Gruber 1993] Gruber T. (1993). “Toward principles for the design of ontologies

used for knowledge sharing”. In Formal Ontology in Conceptual

Analysis and Knowledge Representation. Kluwer Academic

Publishers.

[Gymnopoulos et

al., 2005a]

Gymnopoulos L., Tsoumas V., Soupionis I., Gritzalis S. (2005). “A

generic Grid security policy reconciliation framework”. In Internet

Research: Electronic Networking Applications and Policy, Vol. 15,

No. 5. (January 2005), pp. 508-517.

[Gymnopoulos et

al., 2005b]

Gymnopoulos L., Tsoumas V., Soupionis J., Gritzalis S. (2005).

“Enhancing Security Policy Negotiation in the GRID”. In

Proceedings of the INC'2005 5th International Network

Conference, S. Furnell and S. K. Katsikas (Eds.), July 2005, Samos,

Greece, published by University of Plymouth.

[Hayton et al.,

1998]

Hayton, R. J., Bacon, J. M. and Moody, K. (1998). “Access Control

in an Open Distributed Environment”. In Proceedings of IEEE

Symposium on Security and Privacy, Oakland, California, U.S.A.,

May 1998.

[Heflin and

Munoz-Avila,

2002]

Heflin J., Munoz-Avila H. (2002). “LCW-Based Agent Planning

for the Semantic Web”. In Ontologies and the Semantic Web, 2002

AAAI Workshop WS-0211, pages 63--70, Menlo Park, CA, Nov.

2002.

[Heflin, 2004] Heflin, J. (Editor), Web Ontology Working Group. (2004). “OWL



Σελ. 380

Web Ontology Language Use Cases and Requirements”, W3C

Recommendation 10 February 2004. Available at

http://www.w3.org/TR/webont-req/ (Σεπτέμβριος 2006).

[Helmer et al.,

2001]

Helmer, G., Wong, J., Slagell, M., Honavar, V., Miller, L., and

Lutz, R. (2001). “A software fault tree approach to requirements

analysis of an intrusion detection system”. In Proceedings of

Symposium on Requirements Engineering for Information Security,

Center for Education and Research in Information Assurance and

Security, Purdue University.

[Hendler and

McGuinness,

2000]

Hendler J. and McGuinness D. L. (2000). ”The DARPA Agent

Markup Language”. In IEEE Intelligent Systems, 15(6):67–73.

[Hepple, 2000] Hepple M. (2000). “Independence and commitment: Assumptions

for rapid training and execution of rule-based POS taggers”. In

Proceedings of the 38th Annual Meeting of the Association for

Computational Linguistics (ACL-2000).

[Hoagland, 2000] Hoagland, J. (2000). “Specifying and Implementing Security

Policies Using LaSCO, the Language for Security Constraints on

Objects”. Doctoral Thesis, UC Davis, March 2000.

[Holsapple and

Joshi, 2002]

Holsapple C., Joshi K. (2002). “A collaborative approach to

ontology design”, Com. of the ACM, 45(2):42-47.

[Horrocks et al.,

2004]

Horrocks, I., Patel-Schneider P. F., Boley, H., Tabet, S., Grosof, B.,

Dean, M. (2004). “SWRL: A Semantic Web Rule Language

Combining OWL and RuleML”. W3C Member Submission.

Available at http://www.w3.org/Submission/SWRL/ (August

2006).

http://www.w3.org/TR/webont-req/

http://www.w3.org/Submission/SWRL/



Σελ. 381

[Hφne and Eloff,

2002]

Hφne Κ. and Eloff J. (2002). “Information security policy - what do

international information security standards say?”. In Computers &

Security, Vol. 21, No 5, pp.402-409.

[Imamura et al.,

2005]

Imamura T., Tatsubori M., Nakamura Y., Christopher Giblin.

(2005). “Web Services Security Configuration in a Service-

Oriented Architecture”, στο International World Wide Web

Conference, Special interest tracks and posters of the 14th

international conference on World Wide Web, σσ. 1120-1121,

ACM, Chiba, Japan, May 2005

[ISO 13335-1,

1996]

ISO. (1996). “ISO/IEC TR 13335-1:1996 Information technology –

Guidelines for the management of IT Security – Part 1: Concepts

and models for IT Security”. International Organization for

Standardization and International Electrotechnical Commission

Joint Technical Committee (ISO/IEC JTC 1), Switzerland.

[ISO 13335-2,

1997]


Guidelines for the management of IT Security – Part 2: Managing

and planning IT Security”. International Organization for



[ISO 13335-3,

1998]


Guidelines for the management of IT Security – Part 3: Techniques

for the management of IT Security”. International Organization for



[ISO 13335-4,

2000]


Guidelines for the management of IT Security – Part 4: Selection of



Σελ. 382

safeguards”. International Organization for Standardization and

International Electrotechnical Commission Joint Technical

Committee (ISO/IEC JTC 1), Switzerland.

[ISO 13335-5,

2001]


Guidelines for the management of IT Security – Part 5:

Management guidance on network security”. International

Organization for Standardization and International Electrotechnical

Commission Joint Technical Committee (ISO/IEC JTC 1),

Switzerland.

[ISO 14001, 2004] ISO. (2004). “ISO 14001:2004 Environmental management

systems — Requirements with guidance for use”. International



Switzerland.

[ISO 14750, 1999] ISO. (1999). “14750:1999 Information technology – Open

Distributed Processing – Interface Definition Language”.

International Organization for Standardization and International

Electrotechnical Commission Joint Technical Committee (ISO/IEC

JTC 1), Switzerland.

[ISO 15048, 1999] ISO. (1999). “ISO 15048 Information technology – Security

techniques – Evaluation criteria for IT security (Common

Criteria)”. International Organization for Standardization and





Σελ. 383

[ISO 17799, 2000] ISO. (2000). “17799:2000 Information technology — Code of

practice for information security management”. International



Switzerland.

[ISO 17799, 2005] ISO. (2005). “17799:2005 Information technology – Security

techniques – Code of practice for information security

management”. International Organization for Standardization and



[ISO 9001, 2000] ISO. (2000). “ISO 9001:2000, Quality management systems —

Requirements”. International Organization for Standardization and



[ISO SPICE, 2006] ISO.(2006). “ISO/IEC 15504 (SPICE): Information Technology -

Software Process Assessment, (2003-2006)”. Available at

http://www.isospice.typepad.com/isospice_is15504/ (February

2005)

[ISO, 2006] International Standard Organization (http://www.iso.org/)

[ISS, 2006] Internet Security Systems. (2006). “X-Force Database”. Available

at http://xforce.iss.net/xforce/search.php (June 2006)

[ITGI COBIT

OBJ, 2000]

ITGI. (2000). “COBIT 3rd Edition Control Objectives”. IT

Governance Institute. Available at http://www.ITgovernance.org

(October 2006).

[ITGI COBIT, ITGI. (2000). “Control Objectives for Information and related

http://www.isospice.typepad.com/isospice_is15504/

http://www.iso.org/)

http://xforce.iss.net/xforce/search.php

http://www.ITgovernance.org



Σελ. 384

2000] Technology (COBIT 3rd edition)”. IT Governance Institute

(http://www.ITgovernance.org).

[ITIL, 2003] OGC. (2003). “IT Infrastructure Library (ITIL)”. Office of

Government Commerce.

[Jajodia et al.,

1997a]

Jajodia, S., Samarati, P. and Subrahmanian, V. S. (1997a). “A

Logical Language for Expressing Authorisations”. In Proceedings

of IEEE Symposium on Security and Privacy, Oakland, USA,

IEEE, 1997a.

[Jajodia et al.,

2000]

Jajodia, S., Samarati, P., Sapino, M. L and Subrahmanian, V. S.

(2000). “Flexible Support for Multiple Access Control Policies”.

ACM Transactions on Database Systems 26(2): 214-260, 2000.

[Kagal et al., 2003] Kagal L., Finin, T. and Joshi, A. (2003). “A policy language for a

pervasive computing environment”. In 4th IEEE International

Workshop on Policies for Distributed Systems and Networks.

[Karygiannis and

Owens, 2002]

Karygiannis Τ., Owens L. (2002). “Wireless Network Security:

802.11, Bluetooth and Handheld Devices”. NIST Special

Publication no. 800-48, U.S. Dept. of Commerce, USA.

[Kavakli and

Loucopoulos,

2004]

Kavakli, E. and Loucopoulos P. (2004). “Goal Driven

Requirements Engineering: Analysis and Critique of Current

Methods”. In Information Modeling Methods and Methodologies

(Adv. topics of Database Research), John Krogstie, Terry Halpin

and Keng Siau (eds), IDEA Group, pp 102 - 124.

[Keromytis et al.

2003]

Keromytis, A. D., Ioannidis, S., Greenwald, M. and Smith, J.

(2003). “The STRONGMAN Architecture”, Proceedings of

DARPA Information Survivability Conference and Exhibition, vol

http://www.ITgovernance.org)



Σελ. 385

1, σσ. 178–188. IEEE Press, April 2003

[Knottenbelt and

Clark, 2004]

Knottenbelt, J. A. and Clark, K. L. (2004). “An Architecture for

Contract-based Communicating Agents”. In Proceedings of Second

European Workshop on Multi-Agent Systems, Barcelona, Spain,

December 2004.

[Kramar, 2002] Kramar, T. (2002). “Dekonstruierte Dimensionen: Das Jahr, in dem

die Physik postmodern wurde”. Presse, 08. Jan.

[Lambrinoudakis

et al., 2002]

Lambrinoudakis C., Tsoumas V., Karyda M., Ikonomopoulos S.,

“Secure e-Voting: The Current Landscape”, στο βιβλίο Secure

Electronic Voting: Trends and Perspectives, Capabilities and

Limitations, D. Gritzalis (Ed.), Kluwer Academic Publishers, 2002.

[Lambrinoudakis

et al., 2003a]

Lambrinoudakis C., Tsoumas V., Karyda M, Gritzalis, D., Katsikas,

S. (2003). “Electronic Voting Systems: The Impact of System

Actors to the Overall Security Level”, 18th IFIP International

Information Security Conference, May 2003, Athens, Greece

[Lambrinoudakis

et al., 2003b]

Lambrinoudakis C., Kokolakis, S., Karyda M, Tsoumas V.,

Gritzalis, D., Katsikas, S. (2003). “Electronic Voting Systems:

Security Implications of the Administrative Workflow”, DEXA

2003 (TRUSTBUS workshop), Sep. 2003, Prague.

[Lano and

Haughton, 1996]

Lano, K. and Haughton, H. (1996). “Specification in B: an

Introduction using the B-Toolkit”. London, Imperial College Press,

1996.

[Lassila and

Swick, 1999]

Lassila O. and Swick R. R. (1999). “Resource Description

Framework (RDF) Model and Syntax Specification”, W3C

Recommendation, Technical report, World Wide Web Consortium,



Σελ. 386

http://www.w3.org/TR/1999/REC-rdf-syntax-19990222/

(December 2004).

[Leite et al., 1997] Leite, J.C., Rossi, G., Balaguer, F., Maiorana, V., Kaplan, G.,

Hadad, G. and Oliveiros, A. (1997). “Enhancing a Requirements

Baseline with Scenarios”. In Requirements Engineering Journal,

2(4), pages 184-198.

[Letier & van

Lamsweerde,

2002]

Letier, E., & van Lamsweerde, A. (2002). “Agent - Based Tactics

for Goal-Oriented Requirements Elaboration”. In the 24th

International Conference on Software Engineering, ICSE'2002,

Orlando, Florida.

[Lobo et al., 1999] Lobo, J., Bhatia, R. and Naqvi, S. (1999). “A Policy Description

Language”. In Proceedings of 16th National Conf. on Artificial

Intelligence, Orlando, Florida, USA, 18-22 July 1999.

[Loucopoulos and

Kavakli, 1995]

Loucopoulos, P., & Kavakli, E. (1995). “Enterprise Modelling and

the Teleological Approach to Requirements Engineering”.

International Journal of Intelligent and Cooperative Information

Systems, 4(1), 45-79.

[Lupu et. al, 2000] Lupu E., Sloman M., Dulay N., Damianou N. (2000). “Ponder:

Realising Enterprise Viewpoint Concepts”, 4th International

Enterprise Distributed Object Computing Conference (EDOC 2000)

pp: 66-75.

[Lόck and Krumm,

2003]

Lόck I. and Krumm,H. (2003). “Model-Based Security Service

Configuration”, University of Dortmund.

[Lόck et al., 2001] Lόck I., Schδfer, C., and Krumm,H. (2001). “Model-Based Tool-

Assistance for Packet-Filter Design”. In M. Sloman, J. Lobo and E.

http://www.w3.org/TR/1999/REC-rdf-syntax-19990222/



Σελ. 387

Lupu (Eds.), Proceedings of POLICY 2001: Workshop on Policies

for Distributed Systems and Networks, 1995 in Lecture Notes in

Computer Science pp. 120-136, Springer-Verlag, Berlin Heidelberg

2001.

[Manna and

Pnueli, 1992]

Manna, Z. and Pnueli, A. (1992). “The Temporal Logic of Reactive

and Concurrent Systems”, Springer-Verlag.

[Maynard et al.,

2000]

Maynard D., Cunningham H., Bontcheva K., Catizone R.,

Demetriou G., Gaizauskas R., Hamza O., Hepple M., Herring P.,

Mitchell B., Oakes M., Peters W., Setzer A., Stevenson M., Tablan

V., Ursu C. and Wilks Y. (2000). “A Survey of Uses of GATE”,

Technical Report CS–00–06, Department of Computer Science,

University of Sheffield.

[Meyer et al.,

1996]

Meyer, J. J. Ch., Wieringa, R. J. and Dignum, F. P. M. (1996). “The

Role of Deontic Logic in the Specification of Information

Systems”. Utrecht University, Department of Computer Science

Document Number UU-CS-1996-55, ISSN: 0924-3275, December

1996.

[Michael et al.,

2001]

Michael, James B., Ong, L. V. and Rowe, Neil C. (2001). “Natural

Language Processing Support for Developing Policy-Governed

Software Systems”. In 39th International Conference on Object-

Oriented Languages and Systems, Santa Barbara, California, July-

August 2001.

[Miller, 2001] Miller J. (2001). “HELP! How to specify policies?”, [ON-LINE],

http://enterprise.shl.com/policy/help.pdf (December 2004).

[Moffett and

Sloman, 1991]

Moffett, J.D. and Sloman, M.S., 1991, “The Representation of

Policies as System Objects”, Conference on Organizational

http://enterprise.shl.com/policy/help.pdf



Σελ. 388

Computer Systems, pp.171-184.

[Moffett and

Sloman, 1993]

Moffett, J. and Sloman, M. S. (1993). “Policy Hierarchies for

Distributed Systems Management”. In IEEE Journal on Selected

Areas in Communications 11(9 - Special Issue on Network

Management): 1404-14.

[Moore et al.,

2001]

Moore, B., Ellesson, E., Strassner, J. and Westerinen A. (2001).

"Policy Core Information Model – Version 1 Specification."

Network Working Group. Available as RFC3060, at

http://www.ietf.org/rfc/rfc3060.txt.

[Moulinos et al.,

2004]

Moulinos K., Iliadis J., Tsoumas V. (2004). “Towards Secure

Sealing of Privacy Policies”. In Information Management &

Computer Security journal, Volume 12, No 4, MCB University

Press, August 2004, selected as a Highly Commented Paper at the

Literati Club Awards for Excellence 2005.

[Mylopoulos et al.,

1992]

Mylopoulos, J., Chung, L., & Nixon, B. (1992). “Representing and

Using Nonfunctional Requirements: A Process-Oriented

Approach”. In IEEE Transactions on Software Engineering, SE-

18(6), 483-497.

[Netstumbler,

2006]

Netstumbler 802.11 network scanner. (2002). Available at

http://www.stumbler.net (August 2006).

[NIST SP – 800-

18, 2006]

NIST SP – 800-18 Rev. 1 (2006). “Guide for Developing Security

Plans for Federal Information Systems”. National Institute of

Standards and Technology (NIST).

[NIST SP 800-12, NIST SP 800-12 (1995). “An Introduction to Computer Security:

The NIST Handbook”. National Institute of Standards and

http://www.ietf.org/rfc/rfc3060.txt

http://www.stumbler.net



Σελ. 389

1995] Technology (NIST), October 1995. Available at

http://csrc.nist.gov/publications/nistpubs/800-12/ (August 2006).

[NIST SP 800-14,

1996]

NIST SP - 800-14 (1996). “Generally Accepted Principles and

Practices for Securing Information Technology Systems”. National

Institute of Standards and Technology (NIST).

[NIST SP 800-30,

2002]

NIST SP 800-30 (2002). “Risk Management Guide for Information

Technology Systems, SP 800-30”. National Institute of Standards

and Technology (NIST), January 2002. Available at

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

(August 2006).

[NIST SP 800-33,

2001]

NIST SP – 800-33. (2001). “Underlying Technical Models for

Information Technology Security”. Recommendations of the

National Institute of Standards and Technology (NIST), December

2001. Available at http://csrc.nist.gov/publications/nistpubs/

(August 2006).

[NIST SP 800-40,

2005]

NIST SP – 800-40. (2005). “Creating a Patch and Vulnerability

Management Program”. Recommendations of the National Institute

of Standards and Technology (NIST), November 2005. Available at

http://csrc.nist.gov/publications/nistpubs/ (August 2006).

[NIST, 2002] NIST (2002). “International Standard ISO/IEC 17799:2000 Code

of Practice for Information Security Management - Frequently

Asked Questions”. National Institute of Standards and Technology's

(NIST's) Information Technology Laboratory.

[NIST/SCAP

XCCDF, 2006]

NIST/SCAP. (2006). “XCCDF - The Extensible Configuration

Checklist Description Format”. National Institute of Standards and

Technology. Available at http://nvd.nist.gov/scap/xccdf/xccdf.cfm

http://csrc.nist.gov/publications/nistpubs/800-12/

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

http://csrc.nist.gov/publications/nistpubs/

http://csrc.nist.gov/publications/nistpubs/

http://nvd.nist.gov/scap/xccdf/xccdf.cfm



Σελ. 390

(August 2006).

[Noy and

McGuiness, 2001]

Noy N., McGuiness D. (2001). “Ontology Development 101: A

Guide to Creating Your First Ontology”, Stanford Knowledge

Systems Laboratory Technical Report KSL-01-05 and Stanford

Medical Informatics Technical Report SMI-2001-0880, March

2001.

[NVD, 2006] NIST. (2006). National Vulnerability Database. National Institute

of Standards and Technology. Available at http://nvd.nist.gov/

(August 2006).

[OMG UML,

2001]

OMG. (2001). “OMG Unified Modeling Language

Specification,Version 1.4”. Object Management Group.

[Ortalo, 1998] Ortalo, R. (1998). “A Flexible Method for Information System

Security Policy Specification”. In Proceedings of 5th European

Symposium on Research in Computer Security (ESORICS 98),

Louvainla-Neuve, Belgium, Springer-Verlag, pp. 67-84, September

1998.

[OSVDB, 2006] The Open Source Vulnerability Database (http://www.osvdb.org)

[OWL, 2004a] OWL. W3C Recommendation. (2004). “The Ontology Web

Language”. Available at http://www.w3.org/TR/owl-features/

(August 2006)

[OWL, 2004b] W3C. (2004). “W3C Recommendation (10-02-2004) OWL Guide”.

Available at http://www.w3.org/TR/owl-guide/ (August 2006)

[Parker, 1995] Parker, D.B. (1995). “A new framework for information security to

avoid information anarchy”. In Ellof, J. and von Solms, S. (eds.),

http://nvd.nist.gov/

http://www.osvdb.org)

http://www.w3.org/TR/owl-features/

http://www.w3.org/TR/owl-guide/



Σελ. 391

Information security – the next decade, Chapman & Hall, London.

[Persaud, 2005] Persaud A., Nmap::Parser module v. 1.05. (2005). Available at

http://search.cpan.org/~apersaud/Nmap-Parser-1.05/Parser.pm

(August 2006).

[Polanyi, 1962] Michael Polanyi, M. (1962). “Personal Knowledge”. University of

Chicago Press, Chicago, ΗΠΑ (referral from Spiegler, I. (2000).

“Knowledge Management: A New Idea or a Recycled Concept?”.

In Communications of the Association for Information Systems,

vol.3, art. 2, June 2000)

[Protégé 2005] Protégé Ontology Development Environment. (2005). Available at

http://protege.stanford.edu/ (December 2006).

[Protégé

SWRLJessTab,

2006]

Protégé SWRLJessTab, (Available at http://protege.cim3.net/cgi-

bin/wiki.pl?SWRLJessTab (December 2006).

[Protégé-OWL,

2006]

Protégé-OWL plugin and API. (2006). Available at

http://protege.stanford.edu/overview/protege-owl.html (December

2006).

[RACER, 2006] RACER reasoner. (2006). Available at http://www.racer-

systems.com/ (August 2006).

[Raskin et al.,

2001]

Raskin V., Hempelmann C, Triezenberg K., Nirenburg S. (2001).

“Ontology in Information Security: A Useful Theoretical

Foundation and Methodological Tool”. In V. Raskin, et al. (Eds.),

Proc. of the New Security Paradigms Workshop, New York. ACM.

http://search.cpan.org/~apersaud/Nmap-Parser-1.05/Parser.pm

http://protege.stanford.edu/

http://protege.cim3.net/cgi

http://protege.stanford.edu/overview/protege-owl.html

http://www.racer



Σελ. 392

[Ribeiro et al.,

2001]

Ribeiro, C., Zuquete, A. and Ferreira, P. (2001). “SPL: An access

control language for security policies with complex constraints”. In

Proceedings of Network and Distributed System Security

Symposium (NDSS’01), San Diego, California, February 2001.

[RiskWatch, 2006] RiskWatch. (2006). RiskWatch Inc. Available at

http://www.riskwatch.com/ProductSheets/RWIS_Product_Flyer_07

05.pdf (January 2006).

[Rolland et al.,

1998]

Rolland, C., Souveyet, C., & Ben Achour, C. (1998). “Guiding

Goal Modeling Using Scenarios”. IEEE Trnansactions on Software

Engineering, 24(12), 1055-1071.

[Rolland et al.,

1999]

Rolland, C., Grosz, G., & Kla, R. (1999). “Experience with Goal-

Scenario Coupling in Requirements Engineering”. In Fourth IEEE

International Symposium on Requirements Engineering (RE'99), p.

74.

[Russo et al.,

2002]

Russo A., Miller R., Nuseibeh B. and Kramer J. (2002). “An

Abductive Approach for Analysing Event-Based Requirements

Specifications”. In 18th Int. Conf. on Logic Programming (ICLP),

pp. 22-37.

[SANS SecPol,

2006]

SANS. (2006). “The SANS Security Policy Project”. Available at

http://www.sans.org/resources/policies/ (September 2006).

[SANS, 2006] SANS. (2006). “SANS Glossary of Terms Used in Security and

Intrusion Detection”. Available at

http://www.sans.org/resources/glossary.php (September 2006)

[Schneier, 1999] Schneier, B. (1999). “Attack Trees”, Dr. Dobbs Journal, December

1999.

http://www.riskwatch.com/ProductSheets/RWIS_Product_Flyer_07

http://www.sans.org/resources/policies/

http://www.sans.org/resources/glossary.php



Σελ. 393

[Schoderbek et al.,

1990]

Schoderbek, P., Schoderbek, C., and Kefalas, A. (1990).

“Management Systems - Conceptual Considerations”. Richard D.

IRWIN Inc., 4th edition.

[Schumacher,

2003]

Schumacher, M. (2003). “Security Engineering with Patterns”. PhD

Thesis, Lecture Notes in Computer Science, LNCS 2754, Springer.

[Searle, 1969] Searle, J. R. (1969). "Speech Acts: An Essay in the Philosophy of

Language". Cambridge, Cambridge University Press.

[Sergot et al.,

1986]

Sergot, M.J., F. Sadri, R. A. Kowalski, F. Kriwaczek, P. Hammond,

and H. T. Cory. (1986). The British Nationality Act as a Logic

Program. In Communications of the ACM, Vol. 29, No. 5, May

1986, pp. 370- 386.

[SFVD, 2006] Security Focus. (2006). Security Focus Vulnerability Database,

available at http://www.securityfocus.com/vulnerabilities

(December 2006).

[Sheyner et al.,

2002]

Sheyner, O., Haines, J., Jha, S., Lippmann, R. and Wing, J.M.

(2002). “Automated Generation and Analysis of Attack Graphs”,

Proceedings of the 2002 IEEE Symposium on Security and Privacy,

IEEE, pp. 273-284.

[Sibley et al.,

1992]

Sibley, Edgar H., Michael, James Bret and Wexelblat, Richard L.

(1992). “Use of an Experimental Policy Workbench: Description

and Preliminary Results”. In Database Security, V: Status and

Prospects, C. E. Landwehr and S. Jajodia (Eds.), Elsevier Science

Publishers, Amsterdam, The Netherlands, pp. 47-76.

[Sindre and

Opdahl, 2000]

Sindre,G., Opdahl, A. (2000). “Eliciting Security Requirements

with misuse cases”. In Proceedings of TOOLS Pacific 2000, pp.

http://www.securityfocus.com/vulnerabilities



Σελ. 394

120-131, 20-23, November 2000.

[Sloman, 1994] Sloman, M. S. (1994b). "Policy Driven Management for Distributed

Systems." Journal of Network and Systems Management 2(4): 333-

360.

[SmartFrog, 2006] Smartfrog. (2006). Available at http://www.smartfrog.org/ (August

2006)

[Smith, 2000] Smith, G. (2000). "The Object-Z Specification Language".

Hingham, MA, Kluwer Academic Publishers, 2000.

[Soldal et al.,

2003]

Soldal, Lund M. Hogganvik, I. Seehusen, F. Stolen, K. (2003).

”UML profile for security assessment”. In Technical report STF40

A03066, SINTEF Telecom and Informatics. Available at :

http://heim.ifi.uio.no/~massl/uml-sa/uml-sa-report1.pdf (January

2005).

[Son and Lobo,

2001]

T. C. Son and J. Lobo. (2001). “Reasoning about Policies Using

Logic Programs”. In Proceedings of AAAI Spring Symposium on

Answer Set Programming: Towards Efficient and Scalable

Knowledge Representation and Reasoning, Stanford University,

CA, March 2001.

[Sowa, 1984] Sowa, J.F. (1984). “Conceptual Structures”. Addison Wesley.

[Sowa, 2000] Sowa, J.F., (2000). “Knowledge Representation”. Brooks/Cole.

[Spivey, 1989] Spivey, J. M. (1989). “An Introduction to Z and Formal

Specifications.” In IEE/BCS Software Engineering Journal 4(1):

40-50.

http://www.smartfrog.org/

http://heim.ifi.uio.no/~massl/uml-sa/uml-sa-report1.pdf



Σελ. 395

[Stergiou and

Vouros, 2003]

Stergiou, C. Vouros, G. (2003). “Knowledge Representation”.

Available at

http://www.samos.aegean.gr/icsd/konsterg/teaching/KR/Lecture1.p

pt (May 2005).

[Straub, 1990] Straub D. (1990). “Effective IS Security: An Empirical Study”,

Information System Research, Vol. 1, No. 3, pp. 255-276.

[TickIT, 2001] BSI. (2001). “TickIT”. TickIT Office, British Standards Institute

(BSI), UK.

[Tripodianos et al.,

2006]

Tripodianos Ch., Tsoumas, B., Gritzalis, D. (2006). “A Database of

Technical Countermeasures and Refinement Techniques: A rule-

based approach”, Technical Report, Information Security and

Critical Infrastructure Protection Research Group, Athens

University of Economics and Business, Dept. of Informatics,

September 2006.

[Tripodianos et al.,

2007]

Tripodianos Ch., Tsoumas, B., Gritzalis, D. (2007). “A Database of

Technical Countermeasures and Refinement Techniques: A rule-

based approach”, Information Security and Critical Infrastructure

Protection Research Group, Athens University of Economics and

Business, Dept. of Informatics, January 2007 (submitted).

[Tsoumas and

Gritzalis, 2006a]

Tsoumas B., Gritzalis, D. (2006). “Towards an Ontology-based

Security Management”. In IEEE 20th International Conference on

Advanced Information Networking and Applications (AINA 2006),

April 18 – 20, 2006, Vienna University of Technology, Vienna,

Austria.

[Tsoumas and Tsoumas V., Tryfonas Τ. (2004). “From risk analysis to effective

security management: Towards an automated approach”,

http://www.samos.aegean.gr/icsd/konsterg/teaching/KR/Lecture1.p



Σελ. 396

Tryfonas, 2004] Information Management & Computer Security journal, Vol. 12,

No 1, 2004, selected as a Highly Commented Paper at the Literati

Club Awards for Excellence 2005.

[Tsoumas et al.,

2005]

Tsoumas B., Dritsas S., Gritzalis D. (2005). “An ontology-based

approach to information system security management”. In Third

International Workshop "Mathematical Methods, Models and

Architectures for Computer Networks Security" (MMM_ACNS-

05), September 24-28, 2005, St. Petersburg, Russia.

[Tsoumas et al.,

2006b]

Tsoumas, B., Papagiannakopoulos, P., Dritsas, S., Gritzalis, D.

(2006). “Security-by-Ontology: A knowledge-centric approach”. In

IFIP International Information Security Conference, Karlstad,

Sweden, 22-24 May 2006.

[Uszok et al.,

2003]

Uszok, A., Bradshaw, J., Jeffers, R., Suri, N., Hayes, P., Breedy,

M., Bunch, L., Johnson, M., Kulkarni, S. and Lott, J. (2003).

“KAoS Policy and Domain Services: Toward a Description-Logic

Approach to Policy Representation, Deconfliction, and

Enforcement”. In Proceedings of 4th IEEE Workshop on Policies

for Networks and Distributed Systems (Policy 2003), Lake Como,

Italy, IEEE, June 2003.

[van Lamsweerde

et al., 1995]

van Lamsweerde, A., Darimont, R. and Massonet, P. (1995). “Goal-

Directed Elaboration of Requirements for a Meeting Scheduler:

Problems and Lessons Learnt”. In Proceedings of 2nd IEEE

Symposium on Requirements Engineering (RE '95), York, UK,

IEEE Computer Society Press, March 1995.

[van Lamsweerde,

2004]

van Lamsweerde A.. (2004). “Elaborating Security Requirements

by Construction of Intentional Anti-Models”, in Proceedings of the

26th International Conference on Software Engineering, IEEE,



Σελ. 397

Edinburgh, Scotland, May 2004.

[Verma, 2001] Verma, D. C. (2001). “Policy-Based Networking: Architecture and

Algorithms”. New Riders Publishing.

[Vermeulen and

von Solms, 2002]

Vermeulen, C. and von Solms, R. (2002). “The information security

management toolbox - taking the pain out of security management”.

Inf. Manag. Comput. Security 10(3): 119-125.

[Virmani et al.,

2000]

Virmani, A. Lobo, J. and Kohli, M. (2000). “Netmon: network

management for the SARAS softswitch”. In Proceedings of 2000

IEEE/IFIP Network Operations and Management Seminar (NOMS

2000), Hawaii, April 2000.

[von Solms, 2001] von Solms, B. (2001). “Information Security - a Multidimensional

Discipline”. Computers & Security, 20:504-508.

[W3C WordNet-

OWL, 2006]

van Assem, M., Gangemi, A. and Schreiber, G. (2006). “RDF/OWL

Representation of WordNet”, W3C Working Draft. Available at

http://www.w3.org/TR/wordnet-rdf/ (December 2006).

[W3C, 2006] World Wide Web Consortium (W3C). (2006). Available at

http://www.w3.org/ (August 2006).

[Wei et al., 2001] Wei, H., Frinke, D., Carter, O., and Ritter, C. (2001b). “Cost-

benefit analysis for network intrusion detection systems”. In CSI

28th Annual Computer Security Conference.

[Weiser, 1991] Weiser M. (1991). “The Computer for the Twenty-First Century”,

Scientific American, Vol. 265, No. 3, pp. 94-104, September 1991.

[Westerinen and

Schott, 2004]

Westerinen, A. and Schott, J. (2004). “Implementation of the CIM

Policy Model Using Ponder”. In Proceedings of 5th IEEE

http://www.w3.org/TR/wordnet-rdf/

http://www.w3.org/



Σελ. 398

International Workshop on Policies for Distributed Systems and

Networks, p. 207, Yorktown Heights, NY, IEEE.

[Wieringa and

Meyer, 1998]

Wieringa, R. J. and Meyer, J.-J. C. (1998). “Applications of

Deontic Logic in Computer Science: A Concise Overview.” In

Proceedings of Practical Reasoning and Rationality (PRR 98),

Brighton, UK, John Wiley & Sons, August 1998.

[Wies, 1994] Wies, R. (1994). “Policies and Network Systems Management –

Formal Definition and Architecture”, Journal of Network and

Systems Management, σσ. 63-83, vol.2, no.1, Plenum Press, March

1994.

[Wies, 1995] Wies, R. (1995). “Using a Classification of Management Policies

for Policy Specification and Policy Transformation”. In

Proceedings of the Fourth International Symposium on Integrated

Network Management (ISINM '95), Santa Barbara, California, May

1995.

[Wilson et al.,

1992]

Wilson J, Turban E. and Zviran M (1992). “Information Systems

Security: A Managerial Perspective”. International Journal of

Information Management, 12, pp. 105-119.

[Wojcik et al.,

2005]

Wojcik,M.N., Proulx, D., Baker, J.,and Roberge, R.J. (2005).

“Introduction to OVAL: A Language to Determine the Presence of

Computer Vulnerabilities and Configuration Issues”. Available at

http://oval.mitre.org (July 2005).

[Wood C., 2000] Wood C. (2000). “An Unappreciated Reason Why Security Policies

Fail”. Computer Fraud and Security, 10, pp. 13-14.

[WordNet, 2006] WordNet. (2006). Available at http://wordnet.princeton.edu/

http://oval.mitre.org

http://wordnet.princeton.edu/



Σελ. 399

(September 2006).

[WorldCom, 2002] WorldCom. (2002). Financial scandal of WorldCom. Available at

http://www.cbsnews.com/stories/2002/06/26/national/main513473.s

html (August 2006).

[Zuccato, 2005] Zuccato, A. (2005). “Holistic Information Security Management

Framework for electronic commerce”. PhD thesis, Karlstad

University.

9.2 Στην Ελληνική Γλώσσα

[Toffler, 1991] Toffler, A. (1991). «Το σοκ του μέλλοντος», μετφ. Έλσα

Νικολάου, εκδόσεις Κάκτος, Αθήνα.

[Βλαχάβας κ.α., 2002] Ιωάννης Βλαχάβας, Πέτρος Κεφαλάς, Νικόλαος Βασιλειάδης,

Ιωάννης Ρεφανίδης, Φώτιος Κόκκορας, Ηλίας Σακελαρίου.

(2002). «Τεχνητή Νοημοσύνη», 1η έκδοση, Θεσσαλονίκη,

Γαρταγάνης, Ιανουάριος 2002.

[Γκρίτζαλης, 1994] Γκρίτζαλης Δ. (1994). «Ασφάλεια Πληροφοριακών

Συστημάτων σε περιβάλλοντα υψηλής ευπάθειας»,

Διδακτορική διατριβή, Πανεπιστήμιο Αιγαίου, Μάιος 1994.

[Γκρίτζαλης, 1996] Γκρίτζαλης Δ. (1996). «Ασφάλεια στις Τεχνολογίες

Πληροφοριών & Επικοινωνιών: Εννοιολογική θεμελίωση»,

Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών.

[Γκρίτζαλης, 2001] Γκρίτζαλης Δ. (2001). «Ασφάλεια στις τεχνολογίες

Πληροφοριών και Επικοινωνιών», Εργαστήριο Π.Σ. και Β.Δ.,

http://www.cbsnews.com/stories/2002/06/26/national/main513473.s



Σελ. 400

Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών,

Αθήνα.

[Γκρίτζαλης, 2005] Γκρίτζαλης Δ. (2005). «Ανάλυση και Διαχείριση

Επικινδυνότητας Πληροφοριακών Συστημάτων»,

πανεπιστημιακές παραδόσεις, Τμήμα Πληροφορικής,

Οικονομικό Πανεπιστήμιο Αθηνών, Αθήνα.

[Κιουντούζης, 1995] Κιουντούζης Ε. (1995). «Μοντέλα Ασφάλειας

Πληροφοριακών Συστημάτων, Ασφάλεια Πληροφοριών,

Τεχνικά, Νομικά και Κοινωνικά θέματα», Εκδόσεις ΕΠΥ,

Αθήνα.

[Κιουντούζης, 2004α] Κιουντούζης Ε. (2004). «Προσεγγίσεις Ασφαλείας

Πληροφοριακών Συστημάτων», στο Κάτσικας Σ., Γκρίτζαλης

Δ. και Γκρίτζαλης Σ. (επιμέλεια) Ασφάλεια Πληροφοριακών

Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, Αθήνα, σ.317-

333.

[Μιχαηλίδου, 2004] Μιχαηλίδου Ν. (2004). «Αναπαράσταση Γνώσης περί την

Ασφάλεια με Χρήση Οντολογιών», Μεταπτυχιακή Διατριβή,

Οικονομικό Πανεπιστήμιο Αθήνας, Δεκέμβριος 2004.

Συνεπίβλεψη: Β. Τσούμας.

[Μουλίνος, 2003] Μουλίνος Κ. (2003). «Τεχνολογική Υποδομή Προστασίας

Δεδομένων στο Διαδίκτυο», Διδακτορική Διατριβή,

Οικονομικό Πανεπιστήμιο Αθήνας, Δεκέμβριος 2003

[Παπαγιαννακόπουλος,

2004]

Παπαγιαννακόπουλος Π. (2004). «Αποτύπωση Απαιτήσεων

Ασφάλειας και Ιδιωτικότητας Ad-hoc Δικτύων»,

Μεταπτυχιακή Διατριβή, Οικονομικό Πανεπιστήμιο Αθήνας,

Δεκέμβριος 2004. Συνεπίβλεψη: Β. Τσούμας.



Σελ. 401

[Τριποδιανός, 2005] Τριποδιανός Χ. (2006). «Βάση Τεχνικών Μέτρων

Ασφαλείας», Μεταπτυχιακή Διατριβή, Οικονομικό

Πανεπιστήμιο Αθήνας, Δεκέμβριος 2005. Συνεπίβλεψη: Β.

Τσούμας.

[Τσούμας, 2004] Τσούμας, Β. (2004). «Ελεγκτική Πληροφοριακών

Συστημάτων» (Κεφ. 13) στο Κάτσικας, Σ., Γκρίτζαλης, Δ. &

Γκρίτζαλης, Σ. 2004 (επιμέλεια) Ασφάλεια Πληροφοριακών

Συστημάτων, Αθήνα, σελ. 422 – 429

[Τσώχου, 2004] Τσώχου Α. (2004). «Αντιλήψεις επικινδυνότητας στη

Διαχείριση Ασφάλειας Πληροφοριακών Συστημάτων:

Θεωρητικές προσεγγίσεις και παράγοντες διαμόρφωσης»,

Μεταπτυχιακή Διατριβή, Οικονομικό Πανεπιστήμιο Αθήνας,

Φεβρουάριος 2004.



Σελ. 402

Παράρτημα Ι – Οντολογίες κατά ISO/17799 που σχετίζονται με την ΑΕ



Σελ. 403

Πολιτική Ασφάλειας

Κατηγοριοποίηση και Έλεγχος Πόρων – Συνολική Εικόνα



Σελ. 404

Κατηγοριοποίηση και Έλεγχος Πόρων – Υπολογιστικός Εξοπλισμός



Σελ. 405

Κατηγοριοποίηση και Έλεγχος Πόρων – Δικτυακός Εξοπλισμός



Σελ. 406

Κατηγοριοποίηση και Έλεγχος Πόρων – Λογισμικό

Έλεγχος πρόσβασης



Σελ. 407

Ανάπτυξη και Συντήρηση Συστημάτων – Συνολική Εικόνα

Ανάπτυξη και Συντήρηση Συστημάτων – Απαιτήσεις Ασφάλειας



Σελ. 408

Αγαθό / Κίνδυνος / Ανεπιθύμητο Περιστατικό – Συνολική Εικόνα

Αγαθό / Κίνδυνος / Ανεπιθύμητο Περιστατικό – Απειλή



Σελ. 409

Αγαθό / Κίνδυνος / Ανεπιθύμητο Περιστατικό – Μέτρα Ασφάλειας



Σελ. 410

Παράρτημα ΙΙ – Οντολογίες κατά COBIT που σχετίζονται με την ΑΕ

PO9 – Αποτίμηση Επικινδυνότητας – Συνολική Εικόνα



Σελ. 411

PO9 – Αποτίμηση Επικινδυνότητας – Κίνδυνοι και Σκοποί Ελέγχου

PO9 – Αποτίμηση Επικινδυνότητας – Σενάρια Απειλών

Page 3 : Threat Scenarios

Threat ThreatScenarios

includes

fire

earthquake

terrorism

tornado

Naturaldisasters

flood

Breach ofEmployee Responsibilities

BusinessInterruption

Lost customers

Lost revenues



Σελ. 412

AI6 – Διαχείριση Αλλαγών – Συνολική Εικόνα

AI6 – Διαχείριση Αλλαγών – Λεπτομερείς Σκοποί Ελέγχου



Σελ. 413

AI6 – Διαχείριση Αλλαγών – Έλεγχοι κατά τις Αλλαγές

AI6 – Διαχείριση Αλλαγών – Συμμόρφωση



Σελ. 414

DS4 – Συνέχιση Λειτουργιών – Συνολική Εικόνα

-measure

Process of Ensuring Continuous

Service Trigger

1*

-criticalIT Resources

Ensure ContinuousService

Delivery andSupport


AuditGuideline

InformationBusinessObjective

-degreeControl

OrganizationalPolicies

OrganizationalProcedure


-type


Availability

Impact

targets

targets

satisfies

Title : DS4: Ensure Continuous ServiceAuthor : Bill Tsoumas

Page 1 : Ensure Continuous Service Overview

Page 2 : Detailed Control ObjectivesPage 3 : Continuity Plan Contents

Disruption

likelihood

Has (Lik)

ContinuityFramework

Philosophy

Strategy

RiskAssessment

Back-up

IT ContinuityPlan

PlanTesting

ITPolicies



Σελ. 415

DS4 – Συνέχιση Λειτουργιών – Λεπτομερείς Σκοποί Ελέγχου



Σελ. 416

DS4 – Συνέχιση Λειτουργιών – Σχέδιο Συνέχειας Λειτουργιών



Σελ. 417

DS5 – Ασφάλεια Συστήματος – Συνολική Εικόνα

DS5 – Ασφάλεια Συστήματος – Λεπτομερείς Σκοποί Ελέγχου



Σελ. 418

DS5 – Ασφάλεια Συστήματος – Έλεγχος Πρόσβασης

DS5 – Ασφάλεια Συστήματος – Αυθεντικοποίηση



Σελ. 419

DS11 – Διαχείριση Δεδομένων – Συνολική Εικόνα

-measure

Process of Manage Data

Trigger

1 *

-originate_time-batch_time-edit_time-entered_time-processed_time-output_time-reviewd_time-corrected_time-distributed_time

Data

Ensure SystemsSecurity

Delivery&Support


AuditGuideline

InformationBusinessObjective

-degreeControl

Policies

Procedures


-type


Integrity

satisfies

Title : DS11: Manage DataAuthor : Bill Tsoumas

Page 1 : Manage Data OverviewPage 2 : Detailed Control ObjectivesPage 3 : Data Preparation/Input/Processing/Output

Non-Repudiation

Confidentiality

Preparation

DataInput

DataProcessing

ErrorHandling

IT Function

*

*

Central DataBase Repository

Off-sitestorage of data

MediaLibrary



Σελ. 420

DS11 – Διαχείριση Δεδομένων – Λεπτομερείς Σκοποί Ελέγχου

DS11 – Διαχείριση Δεδομένων – Προετοιμασία Δεδομένων για Είσοδο/Επεξεργασία/Έξοδο



Σελ. 421

Παράρτημα ΙΙΙ – Ταξινομία Αντιμέτρων κατά CRAMM

Countermeasure Group Name Countermeasure Sub-Group Name

Data Confidentiality over

Networks

Data Confidentiality Over Networks

Data Integrity Over Network Data Integrity Over Network

Identification and Authentication Frequency of Password Change

Identification and Authentication Identification of a User by Token or Biometric

Devices

Identification and Authentication Log-On Dialogue

Identification and Authentication Password Distribution

Identification and Authentication Password Generation

Identification and Authentication Password Length

Identification and Authentication Password Storage

Identification and Authentication User Identifiers

Identification and Authentication Workstation Identification

Logical Access Control Access Control Policy

Logical Access Control Accountability for Assets

Logical Access Control Data Encryption (Storage)



Σελ. 422


Logical Access Control Data Labeling

Logical Access Control Discretionary Access Control

Logical Access Control Limitation of Connection Time

Logical Access Control Mandatory Access Control

Logical Access Control Privilege Management

Logical Access Control Protection Of Audit Trails

Logical Access Control Restrictions on Access to Information

Logical Access Control Review User Access Rights

Logical Access Control Security of Application System Files

Logical Access Control Workstation Time-out

Message Security Delivery Checking

Message Security Message Origin Authentication

Message Security Submission Acknowledgement

Network Access Controls Application Authentication

Network Access Controls Firewalls

Network Access Controls Internet Firewalls

Network Access Controls Mutual Authentication



Σελ. 423


Network Access Controls Node Authentication

Network Access Controls Remote Diagnostic Port Protection

Network Access Controls Segregation in Networks

Network Security Management Evasion of Network Disruption

Network Security Management Network Management

Network Security Management Network Monitoring

Network Security Management Network Resilience

Network Security Management Security Of Network Services

Protection Against Malicious

Software

Detection of Malicious Software


Software

Prevention Against Malicious Software


Software

Removal Of Malicious Software

Recovery Option For Hosts Recovery of Host

Security Policy Security Policy and Procedures

System Administration Controls Control of Access to the System Manager's

Accounts



Σελ. 424


System Administration Controls Operational Change Control

System Administration Controls Restrictions on Changes to Software Packages

System Administration Controls Technical Review of Operating System Changes



Σελ. 425

Παράρτημα ΙV: Κώδικας Perl για επεξεργασία της εξόδου του nmap #!/usr/bin/perl -w

#

# Use the Perl module to parse the NMAP XML output files and output them in a file.

#

# Author: Bill Tsoumas - Athens University of Economics and Business, 2006

# based on Apersaud Nmap::Parser module

#

# Give the XML file as the only program argument

#

use strict;

use Nmap::Parser; # Magic is here

use Socket qw [inet_aton]; # Used for sorting IP addresses

my $np = new Nmap::Parser;

my $tot_hosts_up = 0;

my $tot_services_tcp = 0;

my @ips_unsorted; # An array containing IP addresses to sort

my @ips_sorted; # An array containing IP addresses that are sorted

# Parse the input XML file

$np->parsefile("$ARGV[0]");

# Get an array of all hosts that are alive

my @hosts = $np->all_hosts("up");

# get a handle to a file for storing the nmap parse output

my $nmap_data = 'C:\eclipseWrk\nmapParse\nmap_data.txt';



Σελ. 426

open DATA, "+>$nmap_data" or die "can't open $nmap_data $!";

# Enumerate the array and implement the search logic

foreach my $host_obj (@hosts) {

$tot_hosts_up++;

my $addr = $host_obj->addr();

###########

#OS DETAILS

###########

# print details for the host to the file

print DATA "HostNo:", $tot_hosts_up, "\n";

print DATA "IPaddr:", $host_obj->addr(), "\n";

print DATA "OSname:", $host_obj->os_sig()->name(), "\n";

print DATA "OSfamily:", $host_obj->os_sig()->osfamily(), "\n";

print DATA "OSgen:", $host_obj->os_sig()->osgen(), "\n";

print DATA "OStype:", $host_obj->os_sig()->type(), "\n";

print DATA "OSvendor:", $host_obj->os_sig()->vendor(), "\n";

###############

#PORTS & SERVICES DETAILS

###############

# Get a list of open TCP ports for this host

my @tcp_ports = $host_obj->tcp_open_ports();

my @udp_ports = $host_obj->udp_open_ports();

my $port1_flag = 0; my $port2_flag = 0;

# Enumerate the open TCP ports and look for the ones to match



Σελ. 427

foreach my $tcp_port (@tcp_ports) {

$tot_services_tcp++;

# print details for the ports and services

print DATA "PortNumber:", $tcp_port, "\n";

print DATA "PortService:", $host_obj->tcp_service($tcp_port)->name(), "\n";

# print DATA "PortProtocol:", $host_obj->tcp_service($tcp_port)->proto(), "\n";

}

print DATA "\n";

}

print "#\n";

print "# Total hosts up: $tot_hosts_up\n";

print "# Total TCP services open: $tot_services_tcp\n#\n";

close (DATA);



Σελ. 428

Παράρτημα V: GATE

Σε αυτή την ενότητα παρατίθενται τα αρχεία που δημιουργήθηκαν με σκοπό την

παραμετροποίηση του GATE για την εξαγωγή γνώσης από τα αντίμετρα της πολιτικής

ασφάλειας.

Gazetteer

Αρχείο so_passwords.lst:

passwords password Password Passwords

Αρχείο so_routers.lst:

router routers

Αρχείο so_servers.lst:

application server application server file server file servers ftp server ftp servers mail server mail servers proxy server proxy servers server servers web server web servers

Αρχείο so_cryprography.lst:

asymmetric algorithm asymmetric algorithms



Σελ. 429

cryptographic cryptographic method cryptographic methods cryptography cryptosystem symmetric algorithm symmetric algorithms

Αρχείο so_firewalls.lst:

filters filter filtering device software firewall hardware firewall

Αρχείο so_hosts.lst:

host hosts computer computers pc pc's terminal

Αρχείο so_password_length.lst:

length long

Προσθήκη των ακόλουθων γραμμών στο αρχείο lists.lst για την γνωστοποίηση των

παραπάνω αρχείων στον Gazetteer καθώς και για την κατηγοριοποίηση των λέξεων που

βρίσκονται στο κάθε αρχείο:

so_cryptography.lst:MessageSecurity:DeliveryChecking

so_firewalls.lst:NetworkAccessControls:Firewalls

so_hosts.lst:NetworkEquipment:Client

so_passwords.lst:IdentificationAndAuthentication

so_password_length.lst:IdentificationAndAuthentication:PasswordLength



Σελ. 430

so_routers.lst:NetworkEquipment:Router

so_servers.lst:NetworkEquipment:Server

NE Transducer

Αρχείο so_patterns.jape:

Phase: SO_PATTERNS Options: control = appelt Rule:pattern4 Priority: 10 ( ({Token.category == NNP}|{Token.category == NNP}) {SpaceToken} ({Token} {SpaceToken})+ {Token} {Split} ):pattern4 --> :pattern4.Patterns = {kind = "4", rule = "pattern4"} Rule:pattern1 Priority: 20 ( {Token.category == VB} {SpaceToken} ({Token} {SpaceToken})+ {Token.category == IN} ({SpaceToken} {Token})+ {Split} ):pattern1 --> :pattern1.Patterns = {kind = "1", rule = "pattern1"} Rule:pattern2 Priority: 30 ( {Token.category == VB} {SpaceToken} ({Token} {SpaceToken})+



Σελ. 431

{Token.category == TO} ({SpaceToken} {Token})+ {Split} ):pattern2 --> :pattern2.Patterns = {kind = "2", rule = "pattern2"} Rule:pattern3 Priority: 40 ( {Token.category == VB} {SpaceToken} ({Token} {SpaceToken})+ {Token.category == TO} {SpaceToken} ({Token} {SpaceToken})+ {Token.string == "between"} ({SpaceToken} {Token})+ {Split} ):pattern3 --> :pattern3.Patterns = {kind = "3", rule = "pattern3"}

Αρχείο so_rules.jape:

Phase: SO_RULES Options: control = appelt Rule:passwords Priority: 10 ( {Lookup.majorType == IdentificationAndAuthentication} ):password --> :password.CM_Group = {kind = "passwords", majorT = "Identification And Authentication", rule = "passwords"} Rule:passwords_length Priority: 20 ( {Lookup.majorType == IdentificationAndAuthentication, Lookup.minorType == PasswordLength}



Σελ. 432

):password_length --> :password_length.CM_Group = {kind = "password_length", majorT = "Identification And Authentication", minorT = "Password Length", rule = "passwords_length"} Rule:cryptography Priority: 30 ( {Lookup.majorType == MessageSecurity, Lookup.minorType == DeliveryChecking} ):cryptography --> :cryptography.CM_Group = {kind = "cryptography", majorT = "Message Security", minorT = "Delivery Checking", rule = "Cryptography"} Rule:firewalls Priority: 40 ( {Lookup.majorType == NetworkAccessControls, Lookup.minorType == Firewalls} ):firewalls --> :firewalls.CM_Group = {kind = "firewalls", majorT = "NetworkAccessControls", minorT = "Firewalls", rule = "firewalls"} Rule:client Priority:50 ( {Lookup.majorType == NetworkEquipment, Lookup.minorType == Client} ):client --> :client.Target = {kind = "Client", rule = "client"} Rule:server Priority:60 ( {Lookup.majorType == NetworkEquipment, Lookup.minorType == Server} ):server --> :server.Target = {kind = "Server", rule = "server"} Rule:router Priority:70 (



Σελ. 433

{Lookup.majorType == NetworkEquipment, Lookup.minorType == Router} ):router --> :router.Target = {kind = "Router", rule = "router"}

Αρχείο so_target.jape:

Phase: SO_TARGET Input: Token Lookup SpaceToken Client Server Router CM_Group Options: control = appelt Rule:target_data Priority: 10 ( {CM_Group.kind=="cryptography"} ):target_data --> :target_data.Target = {kind = "Data", rule = "target_data"} Rule:target_data2 Priority: 20 ( {CM_Group.kind=="firewalls"} ):target_data2 --> :target_data2.Target = {kind = "AllSystems", rule = "target_data2"} Rule:target_data3 Priority: 30 ( {CM_Group.kind=="passwords"}| {CM_Group.kind=="password_length"} ):target_data3 --> :target_data3.Target = {kind = "AllSystems", rule = "target_data3"}

Προσθήκη των ακόλουθων γραμμών στο αρχείο main.jape για την γνωστοποίηση των

παραπάνω αρχείων στον NE Transducer και την επεξεργασία των κανόνων JAPE που

αναφέρθηκαν στα προηγούμενα.

so_patterns



Σελ. 434

so_rules

so_target



Σελ. 435

Παράρτημα VI: Σχήμα Βάσης Δεδομένων ΤΜΥ Η ενότητα αυτή περιγράφει το σχήμα της βάσης δεδομένων το οποίο αξιοποιείται για την

καταχώρηση της ιεραρχίας των αντιμέτρων και των βοηθητικών πληροφοριών.

Ακολουθεί αναλυτική περιγραφή όλων των χρησιμοποιούμενων πινάκων και της

χρησιμότητάς τους [Τριποδιανός, 2005].

Αντίμετρα, Ενέργειες, Υλοποιήσεις και Πράξεις Η μετατροπή των οντοτήτων αυτών σε πίνακες στην βάση δεδομένων επιφέρει μερικές

αναγκαίες αλλαγές στη δομή τους.

Αντίμετρα Ο πίνακας των αντιμέτρων διαφοροποιείται σε σχέση με το μοντέλο, στο γεγονός ότι δεν

υπάρχει το πεδίο που παρέχει τη διασύνδεση με τις ενέργειες, εφόσον η αντιστοίχηση

είναι δυναμική και δεν αποθηκεύεται.

Πίνακας Αντιμέτρων

Κωδικός Αντιμέτρου Μοναδικός κωδικός (UID)

Περιγραφή Σύντομη περιγραφή του αντιμέτρου

Υποκείμενο Η κλάση υποκειμένου του αντιμέτρου

Στόχος Το πεδίο παίρνει τιμές από τον σχετιζόμενο πίνακα

Ομάδα Η ομάδα στην οποία ανήκει το αντίμετρο,

σύμφωνα με την CRAMM

Υπό-ομάδα Η υπό-ομάδα στην οποία ανήκει το αντίμετρο,

σύμφωνα με την CRAMM

Τύπος Αντιμέτρου Το πεδίο παίρνει τιμές από τον σχετιζόμενο πίνακα

Κατηγορία Αντιμέτρου Το πεδίο παίρνει τιμές από τον σχετιζόμενο πίνακα



Σελ. 436

Πίνακας Αντιμέτρων

Σχετιζόμενη Απειλή Περιγραφή της απειλής που αντιμετωπίζει, εάν

υπάρχει τέτοια

Ρήμα Περιγραφής Το ρήμα της γλώσσας περιγραφής που περιγράφει

καλύτερα το αντίμετρο

PONDER Κώδικας σε PONDER που εφαρμόζει την ενέργεια

Οι σχετιζόμενοι πίνακες θα περιγραφούν σε επόμενη ενότητα.

Ενέργειες Με την ίδια λογική, κατά την μετάβαση στην μορφή του πίνακα, η οντότητα των

ενεργειών στερείται το πεδίο που την συνδέει με τις υλοποιήσεις, εφόσον η αντιστοίχηση

είναι δυναμική και δεν αποθηκεύεται.

Πίνακας Ενεργειών

Κωδικός Ενέργειας Μοναδικός κωδικός (UID)

Περιγραφή Σύντομη περιγραφή της ενέργειας (ελεύθερο

κείμενο)

Υποκείμενο Το συγκεκριμένο υποκείμενο της ενέργειας

Στόχος Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Τύπος Αντιμέτρου Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Ρήμα Περιγραφής Το πεδίο παίρνει τιμές από τον σχετιζόμενο



Σελ. 437

Πίνακας Ενεργειών

πίνακα

Υλοποιήσεις Η σύνδεση του παρόντος πίνακα με τον πίνακα των πράξεων είναι στατική, αλλά λόγω

της πολλά προς πολλά σχέσης μεταξύ τους, χρησιμοποιείται ένας ενδιάμεσος πίνακας

(Υλοποιήσεις-Πράξεις).

Πίνακας Υλοποιήσεων

Κωδικός Υλοποίησης Μοναδικός κωδικός (UID)

Περιγραφή Αναλυτική περιγραφή της υλοποίησης

Υποκείμενο Το συγκεκριμένο υποκείμενο της υλοποίησης


πίνακα

Τύπος Αντιμέτρου Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Πίνακας Υλοποιήσεις-Πράξεις

Κωδικός Υλοποίησης Κωδικός σχετιζόμενης Υλοποίησης

Κωδικός Πράξης Κωδικός σχετιζόμενης πράξης

Πράξεις Όσες ιδιότητες δεν εμφανίζονται ως πεδία στον πίνακα των πράξεων, εκφράζονται ως



Σελ. 438

ξεχωριστοί πίνακες οι οποίοι αναφέρονται σε επόμενη ενότητα.

Πίνακας Πράξεων



πίνακα

Υποκείμενο Ο υπεύθυνος για την εκτέλεση της πράξης (ρόλος)

Τύπος Αντίμετρου Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Τύπος Πράξης Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Περιορισμοί Χρονικοί, χωρικοί και άλλοι περιορισμοί

Παρενέργειες Πιθανές διαταράξεις που μπορεί να προκαλέσει η

εκτέλεση της πράξης

Κατάσταση Η τρέχουσα κατάσταση της πράξης. Μπορεί να

είναι Πρόχειρη, Αποδεκτή ή Υποβαθμισμένη

Περιγραφή Περιγραφή της εκτέλεσης της πράξης. Εδώ

περιέχεται ο κώδικας, εφόσον πρόκειται για

εκτελέσιμη πράξη, η αναλυτική περιγραφή εφόσον

πρόκειται για μη εκτελέσιμη, και είτε κάποιος

δικτυακός σύνδεσμος είτε το ίδιο το πρόγραμμα,

όταν πρόκειται για αναβάθμιση ή επιδιόρθωση.

Ποσοστό Επίτευξης Στόχου Το πεδίο παίρνει τιμές από τον σχετιζόμενο



Σελ. 439

Πίνακας Πράξεων

πίνακα

Ποσοστό Διατάραξης Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Διάστημα Επανάληψης Το χρονικό διάστημα μετά την πάροδο του οποίου

πρέπει να εκτελεστεί ξανά η πράξη.

Δευτερεύοντες πίνακες Οι πίνακες που παρουσιάζονται σε αυτήν την ενότητα χρησιμεύουν στην αποθήκευση

των βοηθητικών οντοτήτων που ορίστηκαν στο κεφάλαιο 7, καθώς και για την ορθότερη

μεταφορά του μοντέλου σε σχήμα βάσης δεδομένων.

Όπως αναφέρθηκε στο κεφάλαιο 7, η οντότητα στόχος αναλύεται σε υποστόχους. Η

μορφή και των δύο περιγράφεται με τον ίδιο τρόπο, και έτσι ο πίνακας αυτός περιέχει

τόσο στόχους όσο και υποστόχους. Η συσχέτιση γίνεται με τον πίνακα Ανάλυση Στόχων.

Πίνακας Στόχων

Κωδικός Στόχου Μοναδικός κωδικός (UID)

Τύπος Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα


Όνομα Προϊόντος Το εμπορικό όνομα του προϊόντος

Έκδοση Ο αύξων αριθμός έκδοσης

Αναγνωριστικό Πιθανό αναγνωριστικό ύπαρξης προαιρετικού



Σελ. 440

Πίνακας Στόχων

στοιχείου

Λειτουργικό Σύστημα Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα

Ο πίνακας Ανάλυση Στόχων είναι ένας απλός ενδιάμεσος πίνακας που συνδέει στόχους

και υποστόχους.

Πίνακας Ανάλυση Στόχων

Στόχος – Πατέρας Κωδικός στόχου ανωτέρου επιπέδου

Στόχος – Παιδί Κωδικός στόχου κατώτερου επιπέδου

Άλλος σχετιζόμενος πίνακας είναι ο σχετικός με το Λειτουργικό Σύστημα. Αυτός

χρησιμοποιείται για την αποθήκευση διάφορων πληροφοριών σχετικό με το Λειτουργικό

Σύστημα που εκτελεί ή στο οποίο εκτελείται ο κάθε στόχος.

Πίνακας Λειτουργικό Σύστημα

Κωδικός Λειτουργικού Συστήματος Μοναδικός κωδικός (UID)

Πλήρες όνομα Το πλήρες όνομα του λειτουργικού συστήματος

Οικογένεια Το πεδίο παίρνει τιμές από τον σχετιζόμενο

πίνακα


Αναγνωριστικό Πιθανό αναγνωριστικό ύπαρξης προαιρετικού

στοιχείου



Σελ. 441

Το πεδίο «οικογένεια» του πίνακα «Λειτουργικό Σύστήμα» χρησιμοποιεί τιμές από τον

πίνακα «Οικογένεια». Η χρήση αυτού του πίνακα θεωρείται ότι θα βοηθήσει το έμπειρο

σύστημα στην εξαγωγή λογικών συμπερασμάτων κατά την διαδικασία ανάλυσης των

αντιμέτρων, παρέχοντας γνώση σχετικά με την σχέση μεταξύ διάφορων λειτουργικών

συστημάτων και την πιθανή εφαρμογή μιας λύσης σε ένα διαφορετικό λειτουργικό

σύστημα που ανήκει στην ίδια οικογένεια.

Πίνακας Οικογένεια

Κωδικός Λειτουργικού Συστήματος Μοναδικός κωδικός (UID)

Οικογένεια Ονομασία οικογένειας

Ο τελευταίος βοηθητικός πίνακας για την οντότητα «Στόχος» είναι ο τύπος του.

Προτείνεται ο διαχωρισμός μεταξύ υλικού και λογισμικού, αλλά χάριν επεκτασιμότητας

χρησιμοποιείται διαφορετικός πίνακας.

Πίνακας Τύπος

Κωδικός Τύπου Μοναδικός κωδικός (UID)

Τύπος Περιγραφή τύπου

Προϋποθέσεις Η μεταφορά της οντότητας «προϋποθέσεις», και της σχέσης της με την οντότητα

«πράξη», στη βάση έγινε με τη χρήση μερικών βοηθητικών πινάκων: τον πίνακα

«Πράξεις-Σχέσεις» και τον πίνακα «Σχέσεις-Προϋποθέσεις».

Πίνακας Προϋποθέσεις

Κωδικός Προϋπόθεσης Μοναδικός κωδικός (UID)



Σελ. 442

Πίνακας Προϋποθέσεις

Κωδικός Πράξης Ο κωδικός της σχετιζόμενης πράξης που

ικανοποιεί την προϋπόθεση αυτή

Αναφορά Ελέγχου Ο κωδικός του ελέγχου ύπαρξης της σχετιζόμενης

ευπάθειας στην OVAL, εάν αυτός υπάρχει

Άρνηση Ένδειξη θετικής ή αρνητικής ικανοποίησης της

προϋπόθεσης. Επιλογή μεταξύ Ναι και Όχι.

Η σύνδεση μεταξύ των πράξεων και των σχέσεων πραγματοποιείται σε δύο βήματα.

Αρχικά συνδέεται η κάθε πράξη με μια σχέση, μέσω του πίνακα «Πράξεις-Σχέσεις».

Αυτός ο πίνακας εκφράζει τον τύπο της σχέσης που υπάρχει μεταξύ των προϋποθέσεων

(λογική σύνδεση ή διάζευξη).

Πίνακας Πράξεις-Σχέσεις

Κωδικός Εγγραφής Μοναδικός κωδικός (UID)

Σχέση Επιλογή μεταξύ σχέσης λογικής σύνδεσης και

λογικής διάζευξης

Κωδικός Πράξης Ο κωδικός της σχετιζόμενης πράξης που

ικανοποιεί την προϋπόθεση αυτή

Στην συνέχεια, αντιστοιχίζεται μια λίστα προϋποθέσεων στην κάθε σχέση μέσω του

πίνακα Σχέσεις-Προϋποθέσεις.

Πίνακας Σχέσεις-Προϋποθέσεις

Κωδικός Πράξεις - Σχέσεις Κωδικός εγγραφής του πίνακα Πράξεων-Σχέσεων



Σελ. 443

Πίνακας Σχέσεις-Προϋποθέσεις

για την οποία γίνεται η συγκεκριμένη συσχέτιση

Κωδικός Προϋπόθεσης Κωδικός της σχετιζόμενης Προϋπόθεσης

Κανόνες Οι κανόνες του έμπειρου συστήματος είναι δυνατόν να αποθηκεύονται και αυτοί στην

βάση δεδομένων. Έτσι παρέχεται μακροχρόνια διατήρηση τους, με τρόπο που

διευκολύνει την διαχείρισή τους. Ο πίνακας που χρησιμοποιείται για την αποθήκευση

των κανόνων δεν συνδέεται με κανέναν άλλο στην βάση. Η προτεινόμενη μορφή του

είναι:

Πίνακας Κανόνες

Κωδικός Κανόνα Μοναδικός κωδικός (UID)

Περιγραφή Η περιγραφή του κανόνα

Κώδικας JESS Ο κανόνας σε γλώσσα JESS

Βοηθητικοί πίνακες Εκτός από τους προαναφερθέντες πίνακες, χρησιμοποιούνται και αρκετοί ακόμα, οι

οποίοι δεν εκφράζουν οντότητες, αλλά έχουν χαρακτήρα βοηθητικό για την μεταφορά

του μοντέλου στην βάση. Ακολουθεί η παρουσίασή τους, με ταξινόμηση βασισμένη στα

επίπεδα ανάλυσης των αντιμέτρων. Εάν ένας πίνακας εμφανίζεται σε περισσότερα του

ενός επίπεδα, περιγράφεται στο υψηλότερο από αυτά.

Επίπεδο Αντιμέτρων

Στο συγκεκριμένο επίπεδο απαντώνται οι πίνακες «Ρήματα» «Κατηγορία Αντιμέτρου»

και «Τύπος Αντιμέτρων». Ο πίνακας Ρήματα χρησιμεύει για την αποθήκευση των

διαθέσιμων ρημάτων της γλώσσας περιγραφής πολιτικών χαμηλού επιπέδου.



Σελ. 444

Πίνακας Ρήματα

Κωδικός Ρήματος Μοναδικός κωδικός (UID)

Ρήμα Περιγραφής Το ρήμα της γλώσσας περιγραφής πολιτικών

χαμηλού επιπέδου

Τύπος Ο τύπος του ρήματος. Οι τιμές λαμβάνονται από

τον πίνακα «Τύπος Αντιμέτρων»

Ο πίνακας «Τύπος Αντιμέτρων» χρησιμεύει στην κατηγοριοποίηση αντιμέτρων και

ρημάτων, σε σχέση με τον διαχωρισμό κατηγοριών πολιτικών χαμηλού επιπέδου.

Πίνακας Τύπος Αντιμέτρων

Τύπος Αντιμέτρου Ονομασία του τύπου

Ο πίνακας «Κατηγορία Αντιμέτρων» παρέχει διαφορετική κατηγοριοποίηση των

αντιμέτρων, με βάση τον σκοπό και τον χρόνο εφαρμογής του. Ο διαχωρισμός αυτός

διακρίνει προληπτικά, διορθωτικά, διαγνωστικά και αποθαρρυντικά αντίμετρα.

Πίνακας Κατηγορία Αντιμέτρων

Κατηγορία Αντιμέτρου Ονομασία της κατηγορίας

Επίπεδο πράξεων

Στο επίπεδο των πράξεων, λόγω των πολλαπλών πεδίων, υπάρχουν και αρκετοί

βοηθητικοί πίνακες. Είναι οι: «Ημερομηνίες», «Τύπος Πράξης», «Επίπεδο Επίτευξης»

και «Επίπεδο Διατάραξης». Ο πίνακας «Ημερομηνίες» χρησιμεύει για την αποθήκευση

των ημερομηνιών αλλαγής κατάστασης κάθε πράξης.



Σελ. 445

Πίνακας Ημερομηνίες


Πρόχειρη (DRAFT) Η ημερομηνία εισαγωγής της ως μη επικυρωμένης

πράξης

Αποδεκτή (Accepted) Η ημερομηνία αποδοχής της ως επικυρωμένης

πράξης

Υποβαθμισμένη (Deprecated) Η ημερομηνία υποβάθμισής της από άλλη πράξη

Ο πίνακας «Τύπος Πράξης» αποθηκεύει τους διαθέσιμους τύπους πράξεων, με βάση τον

διαχωρισμό που έγινε στο κεφάλαιο 7.

Πίνακας Τύπος Πράξης

Τύπος Ονομασία του τύπου

Στους πίνακες «Επίπεδο Επίτευξης» και «Επίπεδο Διατάραξης» καταχωρούνται οι

διαθέσιμες τιμές για τα δυο αυτά επίπεδα, διευκολύνοντας τον τελικό χρήστη να λάβει το

επίπεδο διαφοροποίησης που επιθυμεί.

Πίνακας Επίπεδο Επίτευξης

Επίπεδο Ονομασία του επιπέδου

Πίνακας Επίπεδο Διατάραξης

Επίπεδο Ονομασία του επιπέδου