CONTROLLO D ACCESSO BASATO SU RUOLI (RBAC) IN UN APPLICATION SERVER J2EE (JAVA 2 ENTERPRISE EDITION): STUDIO ED IMPLEMENTAZIONE

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "CONTROLLO D ACCESSO BASATO SU RUOLI (RBAC) IN UN APPLICATION SERVER J2EE (JAVA 2 ENTERPRISE EDITION): STUDIO ED IMPLEMENTAZIONE"

Transcript

1 UNIVERSITÀ DEGLI STUDI DI BRESCIA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA INFORMATICA DIPARTIMENTO DI ELETTRONICA PER L AUTOMAZIONE CONTROLLO D ACCESSO BASATO SU RUOLI (RBAC) IN UN APPLICATION SERVER J2EE (JAVA 2 ENTERPRISE EDITION): STUDIO ED IMPLEMENTAZIONE Studente: Giacomo Carlotti Matricola: Relatore: prof. Pietro Baroni Correlatori: ing. Andrea Mauro ing. Pietro Martinelli ANNO ACCADEMICO 2004/2005

2 A mia madre e a mio padre Pagina 2

3 Ringraziamenti Ringrazio sentitamente il prof. Pietro Baroni e l ing. Andrea Mauro per la stima e la fiducia che hanno dimostrato avere nei miei confronti. Un ringraziamento particolare va all ing. Pietro Martinelli per la sua disponibilità ed i suoi preziosi consigli. Pagina 3

4 INDICE INDICE... 4 CAPITOLO 1 INTRODUZIONE Il contesto della tesi: la sicurezza dell informazione Le proprietà della sicurezza dell informazione Autenticazione Controllo degli accessi / Autorizzazione Confidenzialità (privacy e segretezza) Integrità Responsabilità & Non ripudio Disponibilità Politiche, modelli e meccanismi Gli obiettivi della tesi Il piano di lavoro CAPITOLO 2 IL CONTROLLO D ACCESSO TRADIZIONALE Il controllo d accesso L ontologia di base I principi fondamentali Il minimo privilegio (Least privilege) La separazione dei compiti (Separation of duty) Breve storia del controllo d accesso tradizionale Matrice di controllo Reference monitor e security kernel Il modello di Bell-LaPadula Pagina 4

5 2.3.4 Modello d integrità di Biba TCSEC: il MAC e il DAC DAC (Discretionary Access Control) MAC (Mandatory Access Control) Modello di Clark e Wilson Politica del muro cinese e modello di Brewer e Nash CAPITOLO 3 IL MODELLO RBAC ORIGINALE Il primo modello RBAC Utenti, ruoli ed operazioni Gerarchie di ruoli Descrizione formale Il principio del minimo privilegio Separazione dei compiti Differenza tra ruoli e gruppi Confronto tra RBAC, MAC e DAC RBAC vs DAC RBAC vs MAC CAPITOLO 4 RBAC96 FRAMEWORK Il framework RBAC Panoramica dei modelli RBAC RBAC RBAC RBAC Descrizione formale RBAC RBAC Pagina 5

6 4.3.3 RBAC RBAC CAPITOLO 5 LO STANDARD RBAC PROPOSTO DAL NIST Presentazione dello standard Panoramica dei modelli Core RBAC Hierarchical RBAC Constrained RBAC Static Separation of Duty (SSD) Dynamic Separation of Duty (DSD) Modello concettuale Core RBAC Hierarchical RBAC Constrained RBAC Specifiche funzionali Core RBAC Hierarchical RBAC Static Separation of Duty (SSD) Dynamic Separation of Duty (DSD) I packages CAPITOLO 6 ANALISI CRITICA DEL MODELLO Attivazione e disattivazione dei ruoli Le gerarchie Gerarchia ed attivazione dei ruoli Gerarchia e disattivazione dei ruoli Gerarchia e separazione dei compiti Gerarchia e permessi Pagina 6

7 6.3 Separazione dei compiti e permessi I permessi in un sistema ad oggetti Aggiunta e rimozione di elementi del modello I vincoli GTRBAC (Generalized Temporal RBAC) La separazione dei compiti storica Tassonomia dei vincoli I vincoli in un sistema ad oggetti Il formato dei vincoli XACML 2.0 (extensible Access Control Markup Language) La mutua esclusione La Blacklist di Crampton CAPITOLO 7 ESTENSIONE DEL MODELLO: UNA PROPOSTA Premessa L architettura Parte statica Parte dinamica L attivazione dei permessi Le scelte di definizione del modello Il framework Le funzioni I packages CAPITOLO 8 LA TECNOLOGIA J2EE La piattaforma J2EE Pagina 7

8 8.2 L architettura J2EE L Application Programming Model Livello Client Livello Web Livello Business Livello EIS Le API J2EE JDBC (Java DataBase Connectivity) RMI (Remote Method Invocation) Java IDL (Interface Definition Language) JNDI (Java Naming and Directory Interface) JMS (Java Message Service) Servlet API: il package javax.servlet HttpServletResponse HttpServletRequest Sessioni utente HttpSession Durata di una sessione utente Filter Eventi di tipo HTTP session JSP (Java Server Pages) Compilazione di una pagina JSP Autorizzazione in J2EE Modello di autorizzazione di base JAAS (Java Authentication and Authorization Service) CAPITOLO 9 L IMPLEMENTAZIONE DEL MODELLO ESTESO Motivazioni Pagina 8

9 9.2 Architettura del sistema I package Descrizione dell implementazione Il web plug-in Il motore statico Il motore dinamico Il gestore e il monitor delle sessioni Note implementative Il database I vincoli supportati ed il loro formato I tool amministrativi AdminTool SessionMonitor I file di configurazione CAPITOLO 10 TEST E CONCLUSIONI Testing Motore statico: Casi d uso Motore Statico: Casi d uso Risultati Considerazioni finali L attualità del tema Sviluppi futuri INDICE DELLE FIGURE INDICE DELLE TABELLE Pagina 9

10 BIBLIOGRAFIA E RIFERIMENTI APPENDICE A JAVADOC APPENDICE B.1 DIAGRAMMI UML DEI PACKAGES APPENDICE B.2 DIAGRAMMI UML DELLE CLASSI Pagina 10

11 CAPITOLO 1 INTRODUZIONE Prima di entrare nel dettaglio delle attività svolte per il raggiungimento degli obiettivi della tesi viene fornita una breve descrizione del contesto in cui essa si pone, in modo da inquadrare correttamente dal punto di vista concettuale il lavoro effettuato. A questo scopo verranno elencati in modo ordinato ed organico gli obiettivi della presente trattazione ed infine verrà illustrato il piano di lavoro seguito durante lo svolgimento delle diverse attività necessarie alla realizzazione dell intero progetto. Pagina 11

12 1.1 Il contesto della tesi: la sicurezza dell informazione Non è certo necessario dimostrare che al giorno d oggi una parte sempre maggiore delle attività umane viene realizzata, controllata, o coadiuvata dall'utilizzo di sistemi informatici. Per questa ragione risulta particolarmente importante comprendere quanto siano sicuri questi sistemi. Il problema ovviamente diviene sempre più critico, mano a mano che il valore delle informazioni scambiate in forma digitale cresce. La sicurezza dell'informazione ha attraversato un lungo periodo di gestazione in cui veniva considerata un'arte più che una scienza, da apprendere tramite l'esperienza e non tramite lo studio. Solo pochi studi pionieristici stendevano le basi dei metodi formali che negli ultimi anni sono stati sviluppati. Questo, unito all'intrinseca difficoltà della materia, spiega il motivo per cui gran parte degli approcci al tema della sicurezza dell'informazione sono basati su esperienza e conoscenza euristica più che su tecniche raffinate. Il principale settore della sicurezza che vanta una lunga tradizione nell'uso dei metodi formali è il campo della crittografia, che non sorprendentemente è molto più avanzato e stabile degli altri. Se questo metodo pragmatico di procedere ha funzionato per anni, lo sviluppo esplosivo dei sistemi collegati in rete e di dispositivi con potenza e versatilità francamente inimmaginabili solo pochi anni fa ha reso necessario e urgente lo sviluppo di un'ingegneria della sicurezza informatica, dove il termine ingegneria va inteso nel suo senso tradizionale di scienza applicata, con definizione formale di concetti, metodi e tecniche conosciute, esplorate da una ampia letteratura scientifica, e globalmente diffuse. Per capire che cos'è la sicurezza informatica è necessario prima di tutto conoscere in modo chiaro la differenza ed il rapporto che esiste tra dati ed informazioni, ovvero i due elementi centrali attorno a cui la sicurezza informatica nasce ed acquista significato: i dati rappresentano le informazioni, mentre le informazioni sono la conoscenza contenuta nei dati. Le informazioni sono la base su cui viene Pagina 12

13 condotta l'attività economica, cioè sono politicamente, commercialmente e personalmente sensibili per lo sviluppo aziendale. Per questi motivi le informazioni sono un bene di grande valore per l'azienda e devono essere protette adeguatamente. La Sicurezza è tutto ciò che riguarda la protezione dei beni aziendali e quindi la sicurezza informatica (o dell'informazione) è il ramo della Sicurezza focalizzato sulla protezione di questo particolare tipo di bene. Questa definizione implica che l'azienda conosca con precisione tutti i propri beni ed il loro valore, ma l'esperienza insegna che nella complessità di una realtà aziendale in molti casi non è così. Questa osservazione generale è assolutamente vera anche per la sicurezza informatica, ecco perché l'analisi dei rischi è parte integrante e necessaria della strategia di sviluppo della sicurezza informatica e non. Per quanto le tecniche fino ad oggi elaborate possano offrire alti standard di sicurezza, queste non sono infallibili e soprattutto non possono uscire dai confini del sistema stesso. Per questo motivo il concetto di sicurezza dell informazione deve essere esteso ben oltre l informatica in senso ristretto, ovvero l hardware, il software e le reti di computer, andando a interessarsi dell intero processo di gestione dei dati e delle informazioni messo in atto da un organizzazione. Rientrano quindi a pieno titolo nell ingegneria della sicurezza anche considerazioni di sicurezza ambientale, gestione dell informazione non digitale, procedure nella gestione delle risorse umane, eccetera. In effetti, i filtri della sicurezza dell informazione operano come un interfaccia tra le persone ed i processi del sistema e devono gestire entrambe le variabili. Come si può immaginare, si tratta di un processo complesso, costoso ed esposto a sviste anche gravi. Alla luce dei concetti esaminati possiamo dunque definire la sicurezza informatica come il connubio di prevenzione e individuazione di azioni non autorizzate verso il sistema informatico. Gli obiettivi di prevenzione ed autorizzazione si concretizzano nelle Politiche di sicurezza e nei Meccanismi di sicurezza, ovvero un insieme di regole e procedure che sanciscono a tutti i livelli quali azioni sono permesse e quali proibite. Pagina 13

14 1.2 Le proprietà della sicurezza dell informazione Sia nella letteratura accademica che nella pratica gli obiettivi della sicurezza dell'informazione sono normalmente descritti in termini di autenticazione, controllo degli accessi (o autorizzazione), confidenzialità (privacy e segretezza), integrità, responsabilità, non ripudio e disponibilità. I paragrafi seguenti forniscono una panoramica di ognuna delle proprietà appena elencate Autenticazione L autenticazione è il processo che permette di determinare con certezza l identità di un utente del sistema. Ovviamente questo processo può essere più o meno sicuro e di conseguenza la probabilità di autenticare correttamente un utente può essere più o meno alta a seconda delle differenti implementazioni del sistema. Generalmente un soggetto che desidera autenticarsi deve provare di conoscere un certo dato oppure deve possedere un determinato oggetto. Il sistema deve essere in grado di riconoscere queste informazioni come valide ed utilizzarle per identificare in modo univoco l utente. Va infine sottolineato il fatto che, anche se fino ad ora si è sempre parlato di utente, non è detto che questo sia necessariamente una persona, come la parola lascia intendere. Infatti a seconda del contesto in cui ci si trova ad operare è possibile autenticare ad esempio un applicativo, un calcolatore, un nodo di rete, un pacchetto IP ed altre numerose e disparate tipologie di entità Controllo degli accessi / Autorizzazione Il controllo degli accessi è il processo che permette di definire e controllare i diritti e i privilegi di accesso alle risorse e ai servizi del sistema. Questo processo necessita ovviamente di una qualche forma di autenticazione per poter funzionare, in quanto assume che l identità dell utente sia già stata verificata a monte. Quello che è necessario fare nell ambito del controllo d accesso è Pagina 14

15 verificare se un soggetto ha o meno i permessi per accedere a certi dati del sistema e/o compiere determinate operazioni su di essi. Questo è proprio il tema centrale della presente trattazione, se ne parlerà quindi ampiamente nei capitoli successivi Confidenzialità (privacy e segretezza) La confidenzialità è la proprietà che permette di garantire che l accesso alle risorse e ai servizi del sistema sia permesso solo alle entità autorizzate. Questa definizione in realtà può essere mal interpretata e può far pensare che la confidenzialità ed il controllo d accesso siano in pratica la stessa cosa. In realtà, mentre lo scopo del processo di autorizzazione è quello di bloccare l'accesso a risorse e servizi del sistema da parte di utenti non autorizzati, in questo caso il fine principale è quello di non permettere agli utenti non autorizzati di venire a conoscenza dell'esistenza di queste informazioni sensibili. I termini "privacy" e "segretezza" sono a volte utilizzati per distinguere tra la protezione dei dati personali degli utenti (privacy) e la protezione dei dati appartenenti all'organizzazione (segretezza). La confidenzialità è un concetto molto ben definito e la ricerca nel campo della sicurezza informatica si è spesso concentrata su questo punto, tanto che alle volte i termini confidenzialità e sicurezza sono stati perfino utilizzati come sinonimi Integrità L integrità consiste nel di garantire che non vengano eseguite modifiche non autorizzate ai dati protetti contenuti nel sistema. In altri termini l integrità si può definire come la capacità di un sistema di rendere possibile la modifica di risorse e dati solo a persone autorizzate, e anche a queste solo in modo autorizzato onde garantire la consistenza di questi dati con le funzioni gestite dal sistema. Secondo Clark e Wilson [7] l'integrità c'e' quando: "nessun utente del sistema, anche se autorizzato, è in grado di modificare dati, altrimenti i beni (le informazioni) dell'azienda andrebbero persi o corrotti." Pagina 15

16 Un'altra prestigiosa definizione di integrità dei dati si può trovare nell'orange Book [1]: "Integrità è quando i dati informatici sono identici ai dati dei documenti originali da cui sono stati estratti, e non sono esposti ad accidentali o maliziose alterazioni o distruzioni". In questo caso l'integrità è sinonimo di robustezza verso l'esterno. I dati raccolti in un sistema informatico dovrebbero riflettere esattamente delle realtà esistenti al di fuori del sistema informatico. Tuttavia è impossibile garantire questa proprietà unicamente attraverso meccanismi interni al sistema informatico. Per aggiungere maggiore confusione, alcune aree della sicurezza informatica hanno adottato la loro propria nozione di integrità; per esempio la sicurezza della comunicazione la definisce come: la rilevazione e correzione delle modifiche, imputazioni, cancellazioni o riproduzioni dei dati trasmessi, comprendendo manipolazioni e casuali errori di trasmissione. Si può osservare come, partendo da questa posizione, la presenza (o assenza) di una struttura di autorizzazione non incida sulla natura del problema da risolvere, né sui rispettivi meccanismi di sicurezza. Come si può notare dalle definizioni appena riportate, è' abbastanza difficoltoso dare una caratterizzazione precisa di integrità. In generale il termine integrità vuol dire assicurarsi che tutto sia come deve essere. Restringendo il campo nei confini della sicurezza informatica, quello che si deve fare in pratica è prevenire "scritture" non autorizzate. L integrità risiede dunque nell "essere autorizzati a fare ciò che stiamo facendo" e nel "seguire le corrette procedure". Di fatto l'integrità è spesso un prerequisito per altre proprietà della Sicurezza. Per esempio un attaccante potrebbe cercare di aggirare i controlli per la confidenzialità modificando il sistema operativo o la tavola di controllo degli accessi referenziata dal sistema operativo. Quindi aver protetto l'integrità del sistema operativo o della tavola di controllo accessi permette ad esempio la confidenzialità Responsabilità & Non ripudio La responsabilità è la proprietà che permette di ricollegare ogni singola azione sull informazione contenuta nel sistema al soggetto che l ha compiuta. Pagina 16

17 È possibile trovare questo requisito, particolarmente importante nel mondo del commercio elettronico, in un documento storico come l'orange Book: "Responsabilità significa controllare le informazioni in modo selettivo e protetto, così che azioni che influenzano la sicurezza possano essere ricollegate al diretto responsabile". Per essere in grado di soddisfare questo requisito il sistema deve prima di tutto identificare ed autenticare l'utente, ma oltre a questo deve mantenere una "traccia di verifica" degli eventi rilevanti per la sicurezza. Infatti se si verificasse una violazione della sicurezza, le informazioni raccolte nella traccia di verifica devono permettere di identificare il colpevole ed i passi che quest ultimo ha compiuto per compromettere il sistema. A questo punto entra in gioco la proprietà del non ripudio, che assicura l impossibilità da parte di chi ha prodotto dei dati di negare della creazione di questi ultimi. Si può dunque affermare che la responsabilità implica il non ripudio, in quanto non è possibile identificare un utente come origine di un azione dannosa per la sicurezza del sistema, se non si può provare con certezza la sua colpevolezza Disponibilità Secondo la definizione del CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) [91] la disponibilità è "la proprietà secondo cui le informazioni sono sempre accessibili senza eccessivi ritardi quando necessario". Le definizione ISO (International Organization for Standardization) [92] è quasi identica: è la proprietà delle informazioni di essere accessibili ed utilizzabili a richiesta di un ente autorizzato. Nel contesto della sicurezza si vuole dunque assicurare che la prevenzione nei confronti degli attaccanti non impedisca agli utenti legittimi di avere un accesso ragionevole ai loro sistemi. Questo per prevenire disturbi del servizio. Allargando in questo campo la definizione ISO, la prevenzione diventa finalizzata a rendere sempre disponibile l'accesso autorizzato alle risorse senza comportare dei ritardi nelle operazioni time-critical. Infatti sono abbastanza frequenti attacchi che paralizzano un server per sovraccarico di richieste di connessione "bloccando" la Pagina 17

18 disponibilità delle informazioni, con gravi conseguenza per le realtà in cui la disponibilità è l'aspetto principale della sicurezza informatica. Va infine sottolineato il fatto che la disponibilità è in qualche modo un obiettivo in conflitto con i precedenti, in quanto impone che il sistema non solo debba garantire l accesso soltanto agli utenti autorizzati, ma che allo stesso tempo non possa mai negare l'autorizzazione per un accesso corretto. Inoltre, l'accesso deve essere consentito tempestivamente, dove la definizione esatta di tempestivamente dipende dal dominio del problema. Esiste in letteratura il concetto di Maximum Waiting Time proprio introdotto a questo proposito. È necessario prestare dunque attenzione ai casi in cui una sicurezza troppo "stretta" rischia di generare di per sé stessa disturbi/ritardi del servizio. Spesso vengono utilizzati i termini exposure per indicare il fallimento nella condizione di confidenzialità, compromise per il fallimento nella relazione di integrità, e denial of service per la mancanza di disponibilità. 1.3 Politiche, modelli e meccanismi Come già anticipato il progetto relativo alla tesi si inserisce nell ambito del controllo d accesso. Quando si prende in considerazione un qualsiasi sistema di controllo d accesso, bisogna tenere presente tre aspetti differenti: 1. la politica di controllo d accesso 2. il modello di controllo d accesso 3. il meccanismo di controllo d accesso La politica (o policy ) non è altro che un insieme di requisiti, che specificano come dev essere gestito l accesso alle informazioni, ovvero chi e in quali circostanze può fare che cosa su di esse. Le politiche di controllo d accesso sono molto varie e cambiano anche in modo netto da un applicazione all altra. Inoltre sono dinamiche per natura, poiché cambiano nel tempo per riflettere l evoluzione dei diversi fattori economici, legali e sociali, che influenzano le organizzazioni alle quali si devono applicare. Ad ogni modo, poiché le politiche non possono essere determinate con esattezza in anticipo, i sistemi di controllo d accesso devono essere progettati per poter essere configurati e personalizzati, in modo da Pagina 18

19 essere abbastanza flessibili per potersi adattare ad una grande varietà di politiche di accesso. Per rendere operative le direttive di una politica è necessario definire dei meccanismi di controllo d accesso, che traducano in atto i requisiti specificati da queste ultime. Vi sono numerosi meccanismi di controllo d accesso, ognuno dei quali comporta dei vantaggi e degli svantaggi in termini di flessibilità e capacità di adattarsi certe tipologie di politiche. In generale un meccanismo richiede che vi siano degli attributi di controllo d accesso per utenti e risorse, come ad esempio degli identificatori, delle etichette o più in generale dei metadati. Questi elementi vengono utilizzati dalla logica di controllo per verificare se un utente ha o meno il diritto di compiere una certa operazione su un oggetto protetto del sistema. Ovviamente, affinché ciò avvenga, devono essere state specificate a priori delle regole che il meccanismo va a verificare ogni volta che è necessario. Le modalità con cui questo insieme di regole si può definire, modificare e controllare sono un fattore discriminante per valutare la flessibilità e l efficacia di un meccanismo di controllo d accesso. Per analizzare un sistema di controllo d accesso e per valutarne la caratteristiche è tuttavia preferibile ragionare su qualcosa di più astratto e concettuale di un meccanismo. A questo scopo viene definito un modello di controllo d accesso. Generalmente i modelli vengono descritti in modo da prevedere numerose scelte implementative, fornendo un framework concettuale sul quale ragionare per capire quali requisiti delle politiche di controllo d accesso essi possono supportare. I modelli sono di interesse sia per gli utenti finali, che per i produttori di software, in quanto facilitano la comunicazione fra questi ultimi essendo una sorta di linguaggio intermedio comprensibile da entrambi. Sono quindi un ponte tra il livello di astrazione delle politiche e quello dei meccanismi di controllo d accesso. Gli utenti vedono i modelli come un modo non ambiguo di definire i requisiti di controllo d accesso, mentre i produttori di software li utilizzano come specifiche di design ed implementazione. Pagina 19

20 1.4 Gli obiettivi della tesi Nei paragrafi precedenti si è cercato di fornire una panoramica delle diverse problematiche che comporta la gestione di un qualunque sistema informatico dal punto di vista della sicurezza. Quello che si voleva mettere in luce è la grande complessità della materia, che oltre ad abbracciare una vasta gamma di argomenti, non è ancora formalmente consolidata in molte sue aree. La continua evoluzione tecnologica e la proposta incalzante di modelli teorici sempre più articolati rendono il lavoro certamente più interessante, ma allo stesso tempo lo complicano notevolmente. I contributi maggiori per la sicurezza informatica si sono avuti finora dalla crittografia, una scienza che ha una storia alle spalle e che quindi ha avuto il tempo di consolidarsi negli anni, anche se non bisogna dimenticare che gli studi in materia sono ancora molto produttivi ed hanno ricevuto un grande impulso proprio negli ultimi tempi. Purtroppo la crittografia non viene in aiuto quando si parla di controllo d accesso, in quanto si applica solamente ad alcune delle proprietà descritte nei paragrafi precedenti, quali l autenticazione, l integrità, la confidenzialità e il non ripudio. Il problema dell autorizzazione è stato forse quello più trascurato, anche se ovviamente non sono mancati studi in questo campo. Tuttavia negli ultimi anni c è stata un inversione di tendenza e un attenzione sempre maggiore si è concentrata sul controllo d accesso. Il motivo principale è da ricercarsi nelle dimensioni sempre crescenti dei sistemi informatici soprattutto in ambito civile, commerciale ed industriale, che ha evidenziato come le tecniche finora implementate non fossero del tutto adeguate per la gestione di questi tipi di applicazioni. A questo si aggiunge l introduzione di normative volte alla tutela della riservatezza dei dati e della privacy degli utenti, che le aziende si trovano a dover rispettare in tempi molto brevi. Per tutti questi motivi la perdita di risorse, espressa in ore uomo, per la gestione e l amministrazione dei sistemi informatici si è fatta sempre maggiore e la necessità di studiare nuove tecniche per migliorare la situazione si è fatta più pressante rispetto al passato, essendo ora spinta anche da esigenze economiche. Pagina 20

21 Si arriva dunque all argomento centrale della tesi, ovvero al controllo d accesso basato su ruoli, l RBAC (Role Based Access Control). Questo modello è stato proposto per la prima volta agli inizi degli anni Novanta per venire incontro alle esigenze delle organizzazioni commerciali e governative. Nel decennio scorso però non ebbe un grande successo e gli studi sull argomento non vennero seguiti con l attenzione che meritavano. Soltanto negli ultimi anni l interesse su questa tecnologia è cresciuto notevolmente e numerosi ricercatori stanno dando il loro contributo per migliorarla sempre più e portarla ad uno stadio maturo e consolidato. Come si sarà certamente capito si è ancora lontani dalla definizione di uno standard RBAC general-purpose e la presente trattazione si pone come primo obiettivo quello di fornire un modello RBAC il più aggiornato possibile, elaborando una sintesi degli studi attualmente in corso sulla materia. In secondo luogo si vuole fornire un implementazione del modello affinché si possa utilizzare in un application server J2EE (Java 2 Enterprise Edition) il controllo d accesso basato su ruoli. Gli obiettivi del presente lavoro possono essere definiti in modo più dettagiato come segue: Studiare un modello di controllo d accesso basato su ruoli generalpurpose, che inglobi tutte le caratteristiche dei modelli più recentemente sviluppati; Proiettare il modello elaborato su un insieme di interfacce organizzate ordinatamente in diversi packages (in linguaggio Java); Fornire un implementazione in linguaggio Java del modello per un application server J2EE (Java 2 Enterprise Edition); Sviluppare una piccola applicazione di prova per testare il funzionamento del sistema. 1.5 Il piano di lavoro Il piano di lavoro da seguire per portare a termine il progetto illustrato nel paragrafo precedente prevede innanzitutto uno studio approfondito sia dei modelli di controllo d accesso tradizionali, sia di quelli relativi al tema centrale della tesi, Pagina 21

22 ovvero all RBAC. Si cercherà di porre l attenzione sull evoluzione temporale dei diversi modelli, mettendone in luce le novità, i pregi ed i difetti. Terminata questa fase si procederà ad un analisi critica del modello RBAC così com è stato elaborato nella sua ultima versione, illustrandone gli aspetti ancora critici e passando in rassegna gli ultimi sviluppi nei diversi settori di ricerca. Alla luce degli studi effettuati, sarà infine possibile proporre un proprio modello generalpurpose di controllo d accesso basato su ruoli. A questo punto si potrà passare all implementazione e al testing dello standard RBAC definito, in modo da poterne valutare l efficacia. La tabella seguente mostra nel dettaglio le diverse attività del piano di lavoro e fornisce un indicazione percentuale del carico di lavoro assegnato a ciascuna di esse. Attività Carico di lavoro (%) Studio ed analisi dei sistemi di controllo d accesso tradizionale 5 Studio ed analisi dei modelli di controllo d accesso basato su ruoli proposti in passato. 20 Analisi critica dello standard RBAC 20 Definizione a seguito degli studi effettuati di un proprio standard RBAC general-purpose 20 Studio delle tecnologie J2EE 10 Implementazione del modello adottato 20 Sviluppo di un applicazione di testing 5 TOTALE 100 Tabella 1-1. Piano di lavoro Pagina 22

23 CAPITOLO 2 IL CONTROLLO D ACCESSO TRADIZIONALE Questo capitolo ha lo scopo di introdurre al controllo d accesso. Innanzitutto viene definito un background terminologico di base, al fine di poter descrivere con proprietà di linguaggio un modello di controllo d accesso. In secondo luogo vengono illustrati i principi fondamentali, che stanno alla base di questa disciplina. Infine viene presentata un breve storia del controllo d accesso, in modo da poter apprezzare l evoluzione tecnologica che ha portato alla definizione del controllo d accesso basato su ruoli, ovvero l argomento centrale della presente trattazione. Pagina 23

Informatica Documentale

Informatica Documentale Informatica Documentale Ivan Scagnetto (scagnett@dimi.uniud.it) Stanza 3, Nodo Sud Dipartimento di Matematica e Informatica Via delle Scienze, n. 206 33100 Udine Tel. 0432 558451 Ricevimento: giovedì,

Dettagli

Modello di Controllo dell Accesso basato sui ruoli (RBAC)

Modello di Controllo dell Accesso basato sui ruoli (RBAC) Modello di Controllo dell Accesso basato sui ruoli (RBAC) POLITICHE RBAC Sistemi di tipo Role Based Access Control (RBAC) assegnano i privilegi non agli utenti, ma alla funzione che questi possono svolgere

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Dimitris Gritzalis (a), Costas Lambrinoudakis (b)

Dimitris Gritzalis (a), Costas Lambrinoudakis (b) Dimitris Gritzalis (a), Costas Lambrinoudakis (b) a Department of Informatics, Athens University of Economics and Business, 76 Patission Street, Athens GR 10434, Greece b Department of Information and

Dettagli

Le Basi di dati: generalità. Unità di Apprendimento A1 1

Le Basi di dati: generalità. Unità di Apprendimento A1 1 Le Basi di dati: generalità Unità di Apprendimento A1 1 1 Cosa è una base di dati In ogni modello di organizzazione della vita dell uomo vengono trattate informazioni Una volta individuate e raccolte devono

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

SWIM v2 Design Document

SWIM v2 Design Document PROGETTO DI INGEGNERIA DEL SOFTWARE 2 SWIM v2 DD Design Document Matteo Danelli Daniel Cantoni 22 Dicembre 2012 1 Indice Progettazione concettuale Modello ER Entità e relazioni nel dettaglio User Feedback

Dettagli

NORMATIVA SULLA PRIVACY

NORMATIVA SULLA PRIVACY NORMATIVA SULLA PRIVACY Il presente codice si applica a tutti i siti internet della società YOUR SECRET GARDEN che abbiano un indirizzo URL. Il documento deve intendersi come espressione dei criteri e

Dettagli

Protezione. Sistemi Operativi mod. B 16.1

Protezione. Sistemi Operativi mod. B 16.1 Protezione Scopi della Protezione Dominio di Protezione Matrice d Accesso Implementazione della Matrice d Accesso Revoca dei Diritti d Accesso Sistemi Basati su Abilitazioni Protezione basata sul linguaggio

Dettagli

TECNICHE DI CONTROLLO D ACCESSO

TECNICHE DI CONTROLLO D ACCESSO Università degli Studi di Bologna IIª Facoltà di Ingegneria - Cesena TECNICHE DI CONTROLLO D ACCESSO OUTLINE Introduzione alle tecniche di controllo d accesso Discretionary Access Control (DAC) Mandatory

Dettagli

I dati : patrimonio aziendale da proteggere

I dati : patrimonio aziendale da proteggere Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza

Dettagli

SISTEMI OPERATIVI DISTRIBUITI

SISTEMI OPERATIVI DISTRIBUITI SISTEMI OPERATIVI DISTRIBUITI E FILE SYSTEM DISTRIBUITI 12.1 Sistemi Distribuiti Sistemi operativi di rete Sistemi operativi distribuiti Robustezza File system distribuiti Naming e Trasparenza Caching

Dettagli

Modellazione di sistema

Modellazione di sistema Corso di Laurea Specialistica in Ingegneria Informatica Corso di Ingegneria del Software A. A. 2008 - Modellazione di sistema E. TINELLI Contenuti Approcci di analisi Linguaggi di specifica Modelli di

Dettagli

Progettaz. e sviluppo Data Base

Progettaz. e sviluppo Data Base Progettaz. e sviluppo Data Base! Introduzione ai Database! Tipologie di DB (gerarchici, reticolari, relazionali, oodb) Introduzione ai database Cos è un Database Cos e un Data Base Management System (DBMS)

Dettagli

Progetto di Applicazioni Software

Progetto di Applicazioni Software Progetto di Applicazioni Software Antonella Poggi Dipartimento di Informatica e Sistemistica Antonio Ruberti SAPIENZA Università di Roma Anno Accademico 2008/2009 Questi lucidi sono stati prodotti sulla

Dettagli

Progetto di Applicazioni Software

Progetto di Applicazioni Software Progetto di Applicazioni Software Antonella Poggi Dipartimento di Informatica e Sistemistica Antonio Ruberti SAPIENZA Università di Roma Anno Accademico 2010/2011 Questi lucidi sono stati prodotti sulla

Dettagli

Generazione Automatica di Asserzioni da Modelli di Specifica

Generazione Automatica di Asserzioni da Modelli di Specifica UNIVERSITÀ DEGLI STUDI DI MILANO BICOCCA FACOLTÀ DI SCIENZE MATEMATICHE FISICHE E NATURALI Corso di Laurea Magistrale in Informatica Generazione Automatica di Asserzioni da Modelli di Specifica Relatore:

Dettagli

Alessandra Raffaetà. Basi di Dati

Alessandra Raffaetà. Basi di Dati Lezione 2 S.I.T. PER LA VALUTAZIONE E GESTIONE DEL TERRITORIO Corso di Laurea Magistrale in Scienze Ambientali Alessandra Raffaetà Dipartimento di Informatica Università Ca Foscari Venezia Basi di Dati

Dettagli

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini COMUNE DI NUORO D O C U M E N T O D I S P E C I F I C A P E R I L P R O D O T T O Mausoleo PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE Arch.Marco Cerina Ing.Enrico Dini Descrizione introduttiva

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

Linguaggi e Paradigmi di Programmazione

Linguaggi e Paradigmi di Programmazione Linguaggi e Paradigmi di Programmazione Cos è un linguaggio Definizione 1 Un linguaggio è un insieme di parole e di metodi di combinazione delle parole usati e compresi da una comunità di persone. È una

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

SIASFi: il sistema ed il suo sviluppo

SIASFi: il sistema ed il suo sviluppo SIASFI: IL SISTEMA ED IL SUO SVILUPPO 187 SIASFi: il sistema ed il suo sviluppo Antonio Ronca Il progetto SIASFi nasce dall esperienza maturata da parte dell Archivio di Stato di Firenze nella gestione

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

Appunti di Sistemi Distribuiti

Appunti di Sistemi Distribuiti Appunti di Sistemi Distribuiti Matteo Gianello 27 settembre 2013 1 Indice 1 Introduzione 3 1.1 Definizione di sistema distribuito........................... 3 1.2 Obiettivi.........................................

Dettagli

Classificazione del software

Classificazione del software Classificazione del software Classificazione dei software Sulla base del loro utilizzo, i programmi si distinguono in: SOFTWARE Sistema operativo Software applicativo Sistema operativo: una definizione

Dettagli

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Le caratteristiche must have del software gestionale ideale

Le caratteristiche must have del software gestionale ideale Le caratteristiche must have del software gestionale ideale ww.microsa Quali sono i principali elementi da tenere in considerazione per la scelta del Quali software sono i ottimale? principali elementi

Dettagli

TITLE Sistemi Operativi 1

TITLE Sistemi Operativi 1 TITLE Sistemi Operativi 1 Cos'è un sistema operativo Definizione: Un sistema operativo è un programma che controlla l'esecuzione di programmi applicativi e agisce come interfaccia tra le applicazioni e

Dettagli

Analisi dei Requisiti

Analisi dei Requisiti Analisi dei Requisiti Pagina 1 di 16 Analisi dei Requisiti Indice 1 - INTRODUZIONE... 4 1.1 - OBIETTIVO DEL DOCUMENTO...4 1.2 - STRUTTURA DEL DOCUMENTO...4 1.3 - RIFERIMENTI...4 1.4 - STORIA DEL DOCUMENTO...4

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

L archivio di impresa

L archivio di impresa L archivio di impresa Mariella Guercio Università degli studi di Urbino m.guercio@mclink.it Politecnico di Torino, 25 novembre 2011 premessa L archivistica è una disciplina della complessità, aperta, basata

Dettagli

Archivi e database. Lezione n. 7

Archivi e database. Lezione n. 7 Archivi e database Lezione n. 7 Dagli archivi ai database (1) I dati non sempre sono stati considerati dall informatica oggetto separato di studio e di analisi Nei primi tempi i dati erano parte integrante

Dettagli

INFORMATIVA PRIVACY & COOKIE

INFORMATIVA PRIVACY & COOKIE INFORMATIVA PRIVACY & COOKIE Il presente documento sulla privacy policy (di seguito, Privacy Policy ) del sito www.fromac.it (di seguito, Sito ), si conforma alla privacy policy del sito del Garante per

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Rapporto Tecnico su installazione del dimostratore

Rapporto Tecnico su installazione del dimostratore Rapporto Tecnico su installazione del dimostratore Indice 1 Introduzione 2 2 Installazione 3 2.1 Requisiti.............................. 3 2.2 Installazione........................... 3 3 Inserimento e/o

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

1. elaborazione di dati per statistiche interne; 2. finalità di direct marketing; 3. attività operative per la gestione interna.

1. elaborazione di dati per statistiche interne; 2. finalità di direct marketing; 3. attività operative per la gestione interna. La salvaguardia della riservatezza dei dati personali per Just Fitness s.r.l. costituisce un impegno primario; per tale ragione le nostre attività Web vengono gestite in accordo con le leggi sulla protezione

Dettagli

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Privacy Policy. Tipi di dati trattati. Profili

Privacy Policy. Tipi di dati trattati. Profili Privacy Policy Il presente documento ha lo scopo di descrivere le modalità di gestione dei punti di accesso web relativamente al trattamento dei dati personali degli utenti/visitatori che vi accedono previa

Dettagli

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Il File System È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Le operazioni supportate da un file system sono: eliminazione di dati modifica

Dettagli

DD - Design Document

DD - Design Document Politecnico di Milano Progetto di Ingegneria del Software 2 DD - Design Document Autori: Claudia Foglieni Giovanni Matteo Fumarola Massimo Maggi Professori: Elisabetta Di Nitto Raffaela Mirandola 1 gennaio

Dettagli

REALIZZAZIONE DI UN LABORATORIO REMOTO PER ESPERIENZE DI ROBOTICA EDUCATIVA: LATO CLIENT

REALIZZAZIONE DI UN LABORATORIO REMOTO PER ESPERIENZE DI ROBOTICA EDUCATIVA: LATO CLIENT TESI DI LAUREA REALIZZAZIONE DI UN LABORATORIO REMOTO PER ESPERIENZE DI ROBOTICA EDUCATIVA: LATO CLIENT RELATORE: Prof. Michele Moro LAUREANDO: Marco Beggio Corso di laurea Specialistica in Ingegneria

Dettagli

Organizzazione degli archivi

Organizzazione degli archivi COSA E UN DATA-BASE (DB)? è l insieme di dati relativo ad un sistema informativo COSA CARATTERIZZA UN DB? la struttura dei dati le relazioni fra i dati I REQUISITI DI UN DB SONO: la ridondanza minima i

Dettagli

PRIVACY POLICY SITO INTERNET

PRIVACY POLICY SITO INTERNET Pag. 1 di 6 PRIVACY POLICY SITO INTERNET NordCom S.p.A. Sede Legale: P.le Cadorna, 14 20123 Milano Tel. 02 721511 fax 02 72151909 Email: info@nord-com.it www.nord-com.it Registro delle imprese di Milano

Dettagli

INFORMATIVA EX. ART. 13 D.LGS 196/03

INFORMATIVA EX. ART. 13 D.LGS 196/03 Privacy Policy INFORMATIVA EX. ART. 13 D.LGS 196/03 WHYNOT IMMOBILIARE in qualità di Titolare del Trattamento, rende agli utenti che consultano e/o interagiscono con il sito internet www.whynotimmobiliare.it

Dettagli

Informativa sul trattamento dei dati personali ai sensi dell Art. 13 del D.LGS. 196/2003 (C.D. Codice Privacy)

Informativa sul trattamento dei dati personali ai sensi dell Art. 13 del D.LGS. 196/2003 (C.D. Codice Privacy) Informativa sul trattamento dei dati personali ai sensi dell Art. 13 del D.LGS. 196/2003 (C.D. Codice Privacy) Prima di accedere al sito internet di Sigla Srl ( www.siglacredit.it ) e di utilizzarne le

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Introduzione al data base

Introduzione al data base Introduzione al data base L Informatica è quella disciplina che si occupa del trattamento automatico dei dati con l ausilio del computer. Trattare i dati significa: raccoglierli, elaborarli e conservarli

Dettagli

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

POLITICA SULLA SICUREZZA DEI DATI PERSONALI di Ultragas CM S.p.A.

POLITICA SULLA SICUREZZA DEI DATI PERSONALI di Ultragas CM S.p.A. POLITICA SULLA SICUREZZA DEI DATI PERSONALI di Ultragas CM S.p.A. La presente informativa viene resa ai sensi dell'art. 13 del decreto legislativo 30 giugno 2003, n. 196 (di seguito: Codice privacy) a

Dettagli

Modello OAIS. Modello di riferimento. Il Modello. Prof.ssa E. Gentile a.a. 2011-2012. Un modello di riferimento dovrebbe descrivere:

Modello OAIS. Modello di riferimento. Il Modello. Prof.ssa E. Gentile a.a. 2011-2012. Un modello di riferimento dovrebbe descrivere: Modello OAIS Prof.ssa E. Gentile a.a. 2011-2012 Prof.ssa E. Gentile Progettazione e Produzione di Contenuti Digitali 1 Modello di riferimento Un modello di riferimento dovrebbe descrivere: le componenti

Dettagli

INFORMATIVA AI SENSI DELL ART. 13 DEL DECRETO LEGISLATIVO 196/03 E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI

INFORMATIVA AI SENSI DELL ART. 13 DEL DECRETO LEGISLATIVO 196/03 E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI La privacy policy di questo sito INFORMATIVA AI SENSI DELL ART. 13 DEL DECRETO LEGISLATIVO 196/03 E CONSENSO AL TRATTAMENTO DEI DATI PERSONALI Perché questo avviso? In questa pagina si descrivono le modalità

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

RIFERIMENTI ATTORI GLOSSARIO. ERRORI COMUNI REV. REQUISITI INGEGNERIA DEL SOFTWARE Università degli Studi di Padova

RIFERIMENTI ATTORI GLOSSARIO. ERRORI COMUNI REV. REQUISITI INGEGNERIA DEL SOFTWARE Università degli Studi di Padova RIFERIMENTI ERRORI COMUNI REV. REQUISITI INGEGNERIA DEL SOFTWARE Università degli Studi di Padova Dipartimento di Matematica Corso di Laurea in Informatica, A.A. 2014 2015 I riferimenti devono essere precisi

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Raccolta e utilizzo dei dati personali

Raccolta e utilizzo dei dati personali Il presente documento, denominato Politiche in linea in materia di privacy, contiene informazioni relative al trattamento dei dati personali. Raccolta e utilizzo dei dati personali VEN.LAT. srl raccoglie

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Istituto San Tomaso d Aquino

Istituto San Tomaso d Aquino Istituto San Tomaso d Aquino alba pratalia aràba Linee di progetto per l utilizzo delle tecnologie nella didattica a.s. 2013 2014 a.s. 2014 2015 0 Linee di progetto per l utilizzo delle tecnologie nella

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

WEBsfa: l automazione della forza vendita via Web

WEBsfa: l automazione della forza vendita via Web WEBsfa: l automazione della forza vendita via Web White Paper 1 Gennaio 2005 White Paper Pag. 1 1/1/2005 L automazione della Forza Vendita Le aziende commerciali che che sviluppano e alimentano il proprio

Dettagli

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE

Dettagli

Office 2010 e SharePoint 2010: la produttività aziendale al suo meglio. Scheda informativa

Office 2010 e SharePoint 2010: la produttività aziendale al suo meglio. Scheda informativa Office 2010 e SharePoint 2010: la produttività aziendale al suo meglio Scheda informativa Le informazioni contenute nel presente documento rappresentano le conoscenze di Microsoft Corporation sugli argomenti

Dettagli

Software. Definizione, tipologie, progettazione

Software. Definizione, tipologie, progettazione Software Definizione, tipologie, progettazione Definizione di software Dopo l hardware analizziamo l altra componente fondamentale di un sistema di elaborazione. La macchina come insieme di componenti

Dettagli

Considera tutti i requisiti funzionali (use cases) NON deve necessariamente modellare i requisiti non funzionali

Considera tutti i requisiti funzionali (use cases) NON deve necessariamente modellare i requisiti non funzionali Corso di Laurea Specialistica in Ingegneria Informatica Corso di Ingegneria del Software A. A. 2008 - Progettazione OO E. TINELLI Punto di Partenza Il modello di analisi E una rappresentazione minima del

Dettagli

introduzione alla sicurezza informatica

introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Protezione. Univ. Ferrara Laurea in Informatica Sistemi Operativi 1. Scopi della protezione. Autenticazione/Autorizzazione. Principi di protezione

Protezione. Univ. Ferrara Laurea in Informatica Sistemi Operativi 1. Scopi della protezione. Autenticazione/Autorizzazione. Principi di protezione Univ. Ferrara Laurea in Informatica Esame di Scopi della protezione Sistema operativo: un insieme di oggetti, hardware o software 12 alberto.gianoli@fe.infn.it nasce col multiprogramming: bisogna tenere

Dettagli

POLITICA PRIVACY DEL SITO

POLITICA PRIVACY DEL SITO POLITICA PRIVACY DEL SITO Nella presente informativa, resa anche ai sensi dell'art. 13 del d.lgs. n. 196/2003 - Codice in materia di protezione dei dati personali a coloro che interagiscono con i servizi

Dettagli

Piattaforma ilearn di Hiteco. Presentazione Piattaforma ilearn

Piattaforma ilearn di Hiteco. Presentazione Piattaforma ilearn Presentazione Piattaforma ilearn 1 Sommario 1. Introduzione alla Piattaforma Hiteco ilearn...3 1.1. Che cos è...3 1.2. A chi è rivolta...4 1.3. Vantaggi nell utilizzo...4 2. Caratteristiche della Piattaforma

Dettagli

TEORIA sulle BASI DI DATI

TEORIA sulle BASI DI DATI TEORIA sulle BASI DI DATI A cura del Prof. Enea Ferri Cos è un DATA BASE E un insieme di archivi legati tra loro da relazioni. Vengono memorizzati su memorie di massa come un unico insieme, e possono essere

Dettagli

REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA

REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA MINISTERO DELL ISTRUZIONE, DELL UNIVERSITÀ E DELLA RICERCA ISTITUTO COMPRENSIVO STATALE Martino Longhi di VIGGIÙ Via Indipendenza 18, Loc. Baraggia 21059 VIGGIU (VA) Tel. 0332.486460 Fax 0332.488860 C.F.

Dettagli

UNIVERSITA' DEGLI STUDI DI PARMA

UNIVERSITA' DEGLI STUDI DI PARMA I II REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE III NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE DIRETTIVE PER LA SICUREZZA DEI SERVIZI DI RETE SOMMARIO PREFAZIONE 3 PROFILO DI RISCHIO:

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

PRIVACY POLICY - WWW.TIMEMOTORS.IT

PRIVACY POLICY - WWW.TIMEMOTORS.IT PRIVACY POLICY - WWW.TIMEMOTORS.IT La privacy policy di questo sito web è un informativa resa anche ai sensi dell art. 13 del D.Lgs. n. 196/2003 - Codice in materia di protezione dei dati personali - a

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

Protezione del Software

Protezione del Software Protezione dalla copia Protezione del Software Alfredo De Santis! Aprile 0! Trovare un metodo contro la pirateria efficiente economico resistente contro i pirati esperti non invasivo Compito impossibile!

Dettagli

Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate

Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate Mystic Pizza Gestione Pizzeria Scheda di Progetto Version 1.0 Data 19/03/2007 Indice degli argomenti 1. Introduzione 3 a. Scenario

Dettagli

Università degli Studi "Roma Tre" Dipartimento di Informatica ed automazione. Facoltà di Ingegneria

Università degli Studi Roma Tre Dipartimento di Informatica ed automazione. Facoltà di Ingegneria Università degli Studi "Roma Tre" Dipartimento di Informatica ed automazione Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Tesi di Laurea AUTENTICAZIONE PER APPLICAZIONI WEB Relatore

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

Abbandonare la sicurezza basata sull'analisi dei rischi?

Abbandonare la sicurezza basata sull'analisi dei rischi? ICT Security n. 50, Novembre 2006 p. 1 di 5 Abbandonare la sicurezza basata sull'analisi dei rischi? Il titolo di questo articolo è volutamente provocatorio, ma chi si trova a progettare, gestire, giustificare,

Dettagli

Windows XP - Account utente e gruppi

Windows XP - Account utente e gruppi Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare

Dettagli

PRIVACY POLICY. Tipi di dati trattati

PRIVACY POLICY. Tipi di dati trattati PRIVACY POLICY In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di un informativa che è resa anche

Dettagli

Capitolo 3: Strutture dei sistemi operativi

Capitolo 3: Strutture dei sistemi operativi Capitolo 3: Strutture dei sistemi operativi Componenti del sistema Servizi di un sistema operativo Chiamate del sistema Programmi di sistema Struttura del sistema Macchine virtuali Progettazione e realizzazione

Dettagli

Progetto LiberA. Studente/Relatore: Antonio Zambito Matricola: 124/1032 CdL: Informatica (0124) Prof.: Raffaele Montella

Progetto LiberA. Studente/Relatore: Antonio Zambito Matricola: 124/1032 CdL: Informatica (0124) Prof.: Raffaele Montella Progetto LiberA L implementazione di un applicazione Web (PHP, CSS3, HTML5, MYSQL, JAVASCRIPT) per facilitare la gestione di un associazione culturale, contestualmente un associazione di danza. Nasce dalla

Dettagli

Introduzione alle basi di dati (prima parte)

Introduzione alle basi di dati (prima parte) Introduzione alle basi di dati (prima parte) Università degli Studi di Salerno Corso di Laurea in Scienze della Comunicazione Informatica generale (matr. Dispari) Docente: Angela Peduto A.A. 2007/2008

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Protezione e Sicurezza

Protezione e Sicurezza Protezione e Sicurezza La protezione riguarda l insieme di attività volte a garantire il controllo dell accesso alle risorse logiche e fisiche da parte degli utenti all interno di un sistema di calcolo.

Dettagli