Ce este securitatea S.I.

Securitatea sistemelor informatice desemneaz protejarea sistemelor informatice att mpotriva accesului neautorizat, mpotriva modificrii informaiilor, fie c acestea se gsesc stocate, n timpul procesrii sau al tranzitului, ct i mpotriva denial of service pentru utilizatorii autorizai, cuprinznd de asemenea i msurile necesare pentru detectarea, documentarea i mpotrivirea la aceste tipuri de ameninri. Asigurarea informaiei reprezint operaiunile informatice care protejeaz i apr informaiile i sistemele informaionale prin asigurarea disponibilitii, integritii, autentificrii, confidenialitii i nonrepudierii, cuprinznd de asemenea i mijloacele i tehnicile necesare pentru protecie, detecie i capacitile de reacie ale sistemelor mpotriva ameninrilor.

Sistem informatic
In general systems theory, an information system is a system, automated or manual, that comprises people, machines, and/or methods organized to collect, process, transmit, and disseminate data that represent user information. In computer security, an information system is described by five objects (Canal 2004): Structure: Repositories, which hold data permanent or temporarily, such as buffers, RAM, hard disks, cache, etc. Interfaces, which exchange information with the non-digital world, such as keyboards, speakers, scanners, printers, etc. Channels, which connect repositories, such as buses, cables, wireless links, etc. A Network is a set of logical or physical channels. Behaviour: Services, which provide value to users or to other services via messages interchange. Messages, which carries a meaning to users or services.

Trei dimensiuni ale securitatii

Proprietile securitii informaiei: este n general acceptat faptul c securitatea informaiei conine trei proprieti: confidenialitate, integritate i disponibilitate. Strile informaiei: informaia nu este o entitate static, existnd n timpul procesrii (RAM, de exemplu), ntr-un mediu de stocare (pe disc) i n timpul transmisiei sale (prin reele), fiind deci necesar protejarea acesteia n fiecare din aceste stri Msurile de securitate: organizaiile trebuie s aplice msuri de securitate pentru prevenirea i ntmpinarea riscurilor asupra bunurilor informaionale

Proprietatile
Confidenialitatea se refer la asigurarea vizualizrii i interpretrii informaiei numai de ctre persoanele i procesele care sunt autorizate n mod explicit la acest lucru. Protejarea confidenialitii presupune implementarea de proceduri i msuri care s previn relevarea cu rea-intenie sau accidental a informaiilor ctre cititori neautorizai Integritatea informaiei presupune asigurarea c informaia rmne intact, corect i autentic. Protejarea integritii presupune prevenirea i detectarea crerii, modificrii i distrugerii neautorizate a informaiei. Exemplu: implementarea de msuri pentru a verifica dac mesajul de e-mail nu a fost modificat n tranzit Disponibilitatea se refer la asigurarea accesului i timpului de lucru pentru utilizatorilor autorizai, accesarea i lucrul cu bunuri informaionale, resurse i sisteme, la momentul necesar, cu o performan i un timp de rspuns suficient de bun. Protejarea disponibilitii presupune msuri pentru a susine accesul la informaii n ciuda posibilelor surse de interferen, cum ar fi erori ale sistemelor sau ncercri deliberate de a obstruciona accesul la informaii. Exemplu: accesul i performana serviciului de e-mail

Exemple de (non)confidentialitate
permitting someone to look over your shoulder at your computer screen while you have confidential data displayed on it would be a breach of confidentiality if they were not authorized to have the information. If a laptop computer, which contains employment and benefit information about 100,000 employees, is stolen from a car (or is sold on eBay) could result in a breach of confidentiality because the information is now in the hands of someone who is not authorized to have it. Giving out confidential information over the telephone is a breach of confidentiality if the caller is not authorized to have the information

Exemple de (non)integritate
For example: a loss of integrity can occur when a database system is not properly shut down before maintenance is performed or the database server suddenly loses electrical power. A loss of integrity occurs when an employee accidentally, or with malicious intent, deletes important data files. A loss of integrity can occur if a computer virus is released onto the computer. A loss of integrity occurs when an on-line shopper is able to change the price of the product they are purchasing.

Posesia / controlul
Information security requires that possession and control of the information, and possession and control of the information processing system, be maintained.
In the example of the stolen laptop containing confidential personnel information, the theft could result in a breach of confidentiality if the thief, or someone else, accesses the data. If the confidential information is never accessed then there isn't a breach of confidentiality. However, the theft of the laptop does result in a loss of possession and control of the information - which could eventually lead to a loss of confidentiality. The presence of a backdoor or rootkit on a processing system is another example of a loss of control.

Autenticitate
Authenticity means that the information is both genuine and original; the information is neither a fabrication nor a copy. The FROM address in SPAM Emails is almost always a forged or fabricated Email address - it is usually not the genuine Email address of the sender.

Disponibilitate
Means that the information, the computing systems used to process the information, and the security controls used to protect the information are all available and functioning correctly when the information is needed. Opusul = Denial of Service

Utilitatea informatiei
Information has a utility if it is both usable and useful. The value of information is dependant upon its utility. If the information is not useful to the intended recipient of the information it has little or no utility and therefore has little or no value to the intended recipient of the information. Likewise, if the information is not in a usable format it has little or no utility and therefore little or no value. Raw meteorological data has very little utility to a tax accountant but may have a great deal of utility to a Meteorologist. An encrypted data file is useless without the encryption keys necessary to decrypt the file.

Strile
Locul n care se gsete informaia de protejat n interiorul sistemelor informaionale Confidenialitatea, integritatea i accesibilitatea informaiei trebuie protejate n mod consistent n toate aceste trei stri

Msurile de securitate
Msurile pentru implementarea i susinerea securitii informaiei presupun att politici, proceduri i tehnologii ct i cunotine despre sistem i abiliti ale administratorilor i utilizatorilor Politicile de securitate a informaiei definesc regulile i ateptrile organizaiei cu privire la accesul, protejarea i responsabilitatea bunurilor i resurselor informaionale Procedurile presupun att metode utilizate pentru gestionarea informaiilor sensibile ct i instruciuni pentru cazul n care a aprut un incident de securitate din punct de vedere al securitii informaiei

 Pentru implementarea cu succes a politicilor de securitate, pentru aprarea mpotriva vulnerabilitilor i atacurilor asupra sistemelor informatice sau pentru a facilita un rspuns rapid n cazul apariiei unui incident de securitate, tehnologia necesar trebuie configurat n mod securizat, instalat i meninut. Printre exemple putem aminti de firewall-urile de reea, controlul accesului la sistemele de fiiere, instrumente de monitorizare a sistemelor i reelelor sau tehnologii de autentificare a utilizatorilor Administratorii i utilizatorii de sisteme informaionale trebuie, de asemenea, s neleag responsabilitile pentru securitatea informaiei i s execute procedurile de rigoare pentru a susine i mbunti securitatea bunurilor i resurselor informaionale

Modelul de securitate ca intreg

Proprietile de confidenialitate, integritate i accesibilitate sunt fundaia a ceea ce nseamn securizarea informaiei Alte nivele mai nalte de probleme care trebuie luate n considerare

 Identificarea: se refer att la proprietile unice ale utilizatorilor, care i separ de ali utilizatori, ct i la mijloacele prin care utilizatorii i pretind identitatea n sistem. Numele de utilizatori (username) este o modalitate uzual de identificare. Identificarea este strns legat de autentificare Autentificarea: este procesul de stabilire a identitii. Identitatea poate fi dovedit prin parole, smart-card-uri, date biometrice etc Responsabilitatea /contabilizarea: reprezint att abilitatea sistemului de a determina aciunile unui individ n interiorul sistemului ct i de a identifica un individ particular. Ea reprezint, n cele din urm, legtura dintre utilizatori i aciunile acestora. Pentru aceasta sunt utilizate jurnale i auditri. Responsabilitatea este strns legat de nonrepudiere

 Nonrepudierea: este mecanismul care nu permite unui individ s nege c a fcut anumite lucruri. Pot fi utilizate semnturile digitate Autorizarea: reprezint drepturile i permisiile acordate unui individ sau proces care permit acestora s acceseze o resurs dintr-un calculator. Odat ce un utilizator a fost autentificat, nivelurile de autorizare determin nivelul drepturilor din sistem care sunt disponibile utilizatorului respectiv Secretizarea: este nivelul de confidenialitate care i este acordat unui utilizator sau proces n interiorul unui sistem, acest lucru fiind de multe ori o component important a controalelor de securitate

Nivelul de cunotine necesar pentru crearea atacurilor

Managementul riscului securitatii

Tehnici de securizare
Criptografia:
Cu cheie publica Cu cheie secreta/privata

Functii Hash Semnaturi digitale Certificate digitale Autentificarea: Kerberos, SSL/TLS, NTLM SSH PGP VPN

Server Proxy
Intermediar intre client si server Pastreaza in cache pagini si obiecte pentru o anumita perioada Restrictioneaza accesul la anumite tipuri de pagini:
care contin anumite cuvinte In functie de adresa IP destinatie

Server Proxy

Server Proxy

Server Proxy

NAT (Network Address Translation)

Translatarea adreselor de retea astfel incit o retea de calculatoare se poate ascunde in spatele unui singur calculator (adresa IP) pentru acces la Internet Pe drumul de iesire (spre Internet), pachetele care trec prin NAT sunt modificate astfel incit sursa pare calculatorul care face NAT Pachetele care trec prin NAT inapoi spre sursa sunt modificate din nou in adresa IP privata, pentru a putea ajunge la emitatori

NAT
In NAT se pastreaza o tabela de corespondenta intre adresa IP a calculatorului sursa si adresa IP a destinatiei, astfel incit sa se poata face regasirea emitatorului in momentul in care serverul raspunde

NAT

NAT

VPN retele private virtuale

Presupune mai multe retele LAN in care exista facilitatea de a partaja resurse prin Internet prin crearea de tuneluri criptate Criptarea si decriptarea se face la capetele tunelului Suporta mai multe protocoale prin intermediul TCP/IP

VPN
O retea VPN tipica poate avea:
O retea locala (LAN) la sediul principal al companiei Alte retele locale (LAN) situate in alte sedii Utilizatori individuali care se conecteaza din diverse locuri (acasa, delegatii)

VPN

VPN 2

Firewall
Un set de programe care fac parte dintr-o retea, care protejeaza resursele retelei private de alti utilizatori din alte retele Presupune si un set de politici de utilizare Resursele sunt protejate in functie de:
Nume de domenii Porturi Adrese IP

Firewall

Firewall

Firewall

Tipuri de firewall
filtru de pachete (packetfilter router): numite i router-e de blocare, aceste firewall-uri sunt router-e care sunt configurate cu o serie de reguli pentru a permite, respinge sau elimina pachetele de intrare sau ieire, pe baza adresei IP sau a numrului portului

Tipuri de firewall
circuit-level gateway: aceste firewall-uri ascult cererile de conexiuni TCP de la gazdele externe i decid dac s accepte sau s resping cererile pe baza numrului portului. n momentul n care firewall-ul accept o cerere de conexiune, sesiunea TCP este stabilit ntre firewall i gazda de la distan. Firewall-ul stabilete apoi o sesiune proxy separat cu gazda intern cu care calculatorul de la distan ncearc s comunice i apoi retransmite comunicaia ntre cele dou gazde utiliznd o conexiune de circuit intern

Tipuri de firewall
Application-level gateway: poate s filtreze n plus traficul pe baza protocoalelor din nivelul aplicaie, protocoale precum HTTP sau FTP. n timp ce un circuit-level gateway ar putea permite oricrui protocol s stabileasc o conexiune proxy TCP prin portul 80, un application-level gateway permite numai trafic HTTP formatat n mod corespunztor, blocnd orice alte aplicaii precum programe de file-sharing peer-to-peer care ar ncerca s utilizeze portul

Secure Socket Layer

SSL = modalitate sigura de lucru de Internet. Port 443 Transmisiile intre client si server sunt criptate Modalitate de functionare:
1. Clientul trimite un hyperlink care incepe cu https si nu http 2. Browser-ul contacteaza serverul web pe portul 443

Secure Socket Layer

3.browser-ul si serverul negociaza o cheie de criptare pentru sesiunea curenta. Sunt inclusi factor precum:adresa IP a clientului 4. Toata comunicarea intre server si browser va fi criptata cu cheie de la 3; 5. browser-ul trimite datele criptate catre serviciul SSL pe portul 443; 6. Serviciul SSL decripteaza informatia si o transmite intern catre serverul si portul cerut;

Secure Socket Layer

7. Serviciul SSL primeste raspunsul de la server si il cripteaza cu cheie de la 3 si trimite raspunsul catre browser 8. browser-ul decripteaza datele folosind cheie negociata si le afiseaza

Exista chei de lungime variabila Utilizat in tranzactii finaciare

SSL