7 Ιαν 2009

Θεματα ασφαλειας διακινησης πληροφοριων στη βιβλιοθηκονομικη κοινοτητα

Καρεκλάς, Νικόλαος and Δενδρινός, Μάρκος (2005) Θέματα ασφάλειας διακίνησης πληροφοριών στη βιβλιοθηκονομική κοινότητα.

Πάντα επίκαιρο, και ιδιαίτερα ωφέλιμο και διαφωτιστικό άρθρο!!! Απόσπασμα με συμβουλές προστασίας που γράφτηκαν το 2005 αλλά με την ίδια χρησιμότητα και σήμερα:

3. Βήματα για την προστασία του διακομιστή της βιβλιοθήκης μας
Μετά από τη γενική παρουσίαση των πρακτικών ασφαλείας του ηλεκτρονικού υπολογιστή από ιούς ή ενοχλητικά μηνύματα, παρατίθενται τα συγκεκριμένα βήματα για την προστασία του συστήματος μιας βιβλιοθήκης.

  • Πρέπει να καθοριστεί μια συγκεκριμένη πολιτική ασφαλείας, η οποία να ακολουθείται πιστά
  • Φιλτράρισμα πακέτων στα πλαίσια ενός firewall ή ενός δρομολογητή που έχει δυνατότητες φιλτραρίσματος.
  • Τα εργαλεία λογισμικού και οι τεχνικές που χρησιμοποιούνται για την ασφάλεια του συστήματος πρέπει να ενημερώνονται συνεχώς.
  • Συνεχής εκπαίδευση των Web administrators αλλά και των βιβλιοθηκονόμων που χρησιμοποιούν το σύστημα
  •     Καθημερινοί έλεγχοι ορθότητας (auditing) και περιοδικοί έλεγχοι για αδυναμίες του συστήματος.
  • Σύσταση μιας λίστας χρηστών, στους οποίους θα επιτρέπεται η πρόσβαση σε εμπιστευτικά έγγραφα.
  • Απενεργοποίηση όλων εκείνων των εφαρμογών που δε χρησιμοποιούνται από τον διακομιστή.
  • Προστασία όλων των υπηρεσιών που παρέχονται από το σύστημα που “φιλοξενεί” τον διακομιστή (smtp, ftp κ.λ.π).
  • Χρήση ασφαλών πρωτοκόλλων για την επικοινωνία με το υπόλοιπο Internet (shttp, SSL,RSA κ.λ.π) [2].
  • Έλεγχος των δεδομένων που εισάγουν απομακρυσμένοι χρήστες στα πεδία μιας HTML φόρμας, ώστε να ανιχνεύονται “κακόβουλα” δεδομένα (π.χ shell μετα- χαρακτήρες).

  Στo τελευταίο μέρος γίνεται μια σύντομη παρουσίαση του λεγόμενου social engineering, μιας δηλαδή τακτικής υποκλοπής στοιχείων που στηρίζεται στις απροσεξίες και τις αφελείς κινήσεις των χρηστών. Αν και δεν έχει ακουστεί σχεδόν καθόλου στις βιβλιοθηκονομικές κοινότητες, είναι ένας όρος που θα έπρεπε να μας απα­σχολήσει σε μεγάλο βαθμό, καθώς μπορεί να επιφέρει σημαντικότατες καταστροφές σε μια βιβλιοθήκη με την απώλεια υλικού, την καταστροφή των υπολογιστικών συστημάτων ή ακόμα και την κατασκόπευση των κινήσεων των χρηστών των ηλεκτρονικών υπολογιστών της βιβλιοθήκης. Η παρουσίαση ολοκληρώνεται με την επισήμανση εκείνων των κενών ασφαλείας που μπορεί να εκμεταλλευτεί ένας κοινωνικός μηχανικός. Οι απειλές για την ασφάλεια ενός δικτύου βιβλιοθήκης μπορούν να προέλθουν από ένα μεγάλο αριθμό πηγών, με πολλούς διαφορετικούς τρόπους, καλύπτοντας ένα ευρύ φάσμα περιπτώσεων. H υπάρχουσα τάση για τη μεγαλύτερη δυνατή αυτοματοποίηση των επικοινωνιακών διαδικασιών αποτελεί ταυτόχρονα και την αχίλλειο πτέρνα πολλών διασυνδεδεμένων πληροφοριακών συστημάτων. H ανάγκη για συνεχή επαγρύπνηση σε θέματα ασφαλείας είναι το τίμημα, μεταξύ των άλλων, που καλούμαστε να πληρώσουμε για τα πολλαπλά οφέλη που προσφέρει μια δικτυωμένη κοινωνία. Στο άρθρο αυτό αρχικά γίνεται αναφορά στους ιούς που διακινούνται μέσω του Διαδικτύου, και πιο συγκεκριμένα τους κλασικούς ιούς, τους ιούς των μακροεντολών, τους ιούς περιβάλλοντος Java ή Javascript, τους ιούς τύπου «δούρειου ίππου» και τους ιούς μέσω του ηλεκτρονικού ταχυδρομείου. Στη συνέχεια παρουσιάζεται το μεγάλο πρόβλημα της ανεπιθύμητης (περιττής ή και επικίνδυνης) αλληλογραφίας, των λεγόμενων spam mails, δίνονται τακτικές για την αποφυγή τους καθώς και τακτικές για την αντιμετώπισή τους στην περίπτωση που έχουν ήδη παραληφθεί. Κατόπιν παρουσιάζεται η επικίνδυνη τεχνική του καταιγισμού με ηλεκτρονικά μηνύματα καθώς και το ζήτημα της έκθεσης των προσωπικών στοιχείων των χρηστών, τα οποία μπορούν στη συνέχεια να αποτελέσουν στόχους επιθέσεων. Το μέρος αυτό κλείνει με μια σειρά συμβουλευτικών βημάτων για την προστασία του διακομιστή μιας βιβλιοθήκης.

Όλο το άρθρο εδώ

Δεν υπάρχουν σχόλια: