introduzione alla sicurezza informatica



Похожие документы
introduzione alla sicurezza informatica maurizio pizzonia sicurezza dei sistemi informatici e delle reti

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla cybersecurity

Politica per la Sicurezza

2.1 Configurare il Firewall di Windows

Proteggiamo il PC con il Firewall di Windows Vista

Audit & Sicurezza Informatica. Linee di servizio

Una minaccia dovuta all uso dell SNMP su WLAN

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

Sicurezza dei sistemi e delle reti Introduzione

Il nuovo codice in materia di protezione dei dati personali

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Perché proteggere i dati

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

MANUALE DELLA QUALITÀ Pag. 1 di 6

12. Evoluzione del Software

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Protezione. Protezione. Protezione. Obiettivi della protezione

11. Evoluzione del Software

Progettaz. e sviluppo Data Base

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Organizzazione degli archivi

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

Protezione della propria rete

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Informatica 3. Informatica 3. LEZIONE 10: Introduzione agli algoritmi e alle strutture dati. Lezione 10 - Modulo 1. Importanza delle strutture dati

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Protezione delle informazioni in SMart esolutions

EUROCONSULTANCY-RE. Privacy Policy

La firma digitale CHE COSA E'?

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

I dati : patrimonio aziendale da proteggere

VMware. Gestione dello shutdown con UPS MetaSystem

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

MSFT SAM Certified

penetration test (ipotesi di sviluppo)

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

PREVENTIVO uno strumento che ci tutela!

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

INFORMATIVA SULLA PRIVACY

EXPLOit Content Management Data Base per documenti SGML/XML

Data protection. Cos è

Sicurezza informatica in azienda: solo un problema di costi?

Internet Banking per le imprese. Guida all utilizzo sicuro

Installare un programma firewall Pagina 1 di 5

Database. Si ringrazia Marco Bertini per le slides

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

Configuration Management

Siamo così arrivati all aritmetica modulare, ma anche a individuare alcuni aspetti di come funziona l aritmetica del calcolatore come vedremo.

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Dott. Alessandro Rodolfi. Università degli Studi di Milano

SOFTWARE PER LA RILEVAZIONE DEI TEMPI PER CENTRI DI COSTO

Sistemi informativi secondo prospettive combinate

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Lezione 8. La macchina universale

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Corso di Informatica

Basi di dati. (Sistemi Informativi) teoria e pratica con Microsoft Access. Basi di dati. Basi di dati. Basi di dati e DBMS DBMS DBMS

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Programma analitico d'esame. Versione

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

Corso di Amministrazione di Reti A.A. 2002/2003

Sommario. Definizione di informatica. Definizione di un calcolatore come esecutore. Gli algoritmi.

Che cosa è un VIRUS?

SCHEDA PRODOTTO PAG. 1 J O B T I M E W F. Variazioni mensili al cartellino presenze. Versione 6.1. JOBTIME Work Flow

Guida Come attivare la firewall di Windows o installare un programma firewall gratuito

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

Software per Helpdesk

Riconoscibilità dei siti pubblici: i domini della Pa e le regole di.gov.it

Dispensa di Informatica I.1

Gestione automatica delle Fatture Elettroniche per la Pubblica Amministrazione (Fatture PA)

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Descrizione generale del sistema SGRI

Norme per l organizzazione - ISO serie 9000

Транскрипт:

introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione dei sistemi, formazione del personale, ecc. e limitatamente ai prodotti e alle tecnologie che vengono utilizzate firewall, antivirus, ecc. 2 1

l importanza degli aspetti tecnologici la conoscenza della tecnologia è comunque importante comprendere le vulnerabilità e quindi i rischi adottare contromisure che siano efficaci economiche scalabili gestibili in una parola potremmo dire sostenibili 3 perché badare alla sicurezza? evitare di incorrere in danni economici conformità alle leggi es. D.Lgs. 196/2003 il motore principale che muove il mercato della sicurezza è la paura di perdite economiche di non conformitàalle leggi vigenti 4 2

imprese chi dovrebbe badare alla sicurezza? pubblica amministrazione ed enti pubblici chiunque utilizzi sistemi informatici per scopi economicamente rilevanti anche se non a scopo di lucro! l università (quanto vale il sistema di paghe e stipendi dell ateneo?) lo studente che scrive la tesi (quanto vale il documento tesi.doc il giorno prima della consegna?) 5 terminologia 6 3

obiettivi della sicurezza confidenzialitào riservatezza o segretezza dati letti solo da chi è autorizzato privacy (trattamento dei dati personali) imposta per leggi integrità dei dati (integrità in senso stretto) i dati non sono stati modificati in maniera incontrollata dell origine (autenticazione) l origine dei dati è certa dei sistemi (non compromissione) disponibilità dati o servizi sono disponibili per accesso/uso 7 obiettivi della sicurezza non ripudio della ricezione della trasmissione alcuni la considerano una forma di integrita' 8 4

hacker hacker esperto di vulnerabilitàe attacchi non necessariamente malevolo in italiano l accezione è spesso negativa termini correlati: cracker, hacktivist, white hat, black hat, gray hat, blue hat, script kiddies, lamer, ecc. vedi wikipedia Hacker (computer security) 9 avversità vulnerabilità o vulnerabity exposure un problema hw, sw, di configurazione o di procedura che rende possibile un uso improprio di dati o risorse hw e sw minaccia (threat) un insieme di circostanze potenzialmente pericolose es. un bug di explorer assieme alla possibilità di navigare liberamente su Internet costituiscono una minaccia per la sicurezza del sistema degli utenti 10 5

exploit, exploitation problemi la procedura per sfruttare una vulnerabilità attacco tentativo di violazione di riservatezza, integrità o disponibilità tramite lo sfruttamento (exploitation) di una vulnerabilità intrusione un attacco riuscito 11 privilege excalation problemi l azione di guadagnare accesso a risorse che normalmente sono precluse. è un attacco andato a buon fine root compromise situazione in cui l hacker ha ottenuto il pieno controllo della macchina 12 6

contromisure o misure preventive contromisura procedura, installazioni hw o sw, configurazione o altro atto a impedire che una minaccia possa dar luogo ad un attacco es. installare un firewall è una contromisura che protegge una intranet da semplici tipi di attacchi scollegare la intranet da Internet è una contromisura più efficace ma potrebbe essere non sostenibile 13 soggetti e oggetti soggetto chi (o cosa) accede ad una risorsa potenzialmente in modo illecito (anche inconsapevolmente) oggetto una risorsa da proteggere diritti (di un soggetto su un oggetto) operazioni che il soggetto può compiere sull oggetto dal punto di vista dell oggetto sono detti permessi 14 7

soggetti e oggetti esempio in unix è vero che i processi di root possono cancellare qualsiasi file soggetto: un qualsiasi processo dell utente root oggetto: un qualsiasi file diritto: cancellazione 15 policy policy un insieme di regole che stabiliscono quali soggetti hanno quali diritti su quali oggetti definisce il concetto di sicurezza in un certo contesto (un sistema, una organizzazione, ecc.) una policy può essere espressa in linguaggio naturale, tramite modello matematico, tramite linguaggio ad hoc 16 8

meccanismo meccanismi ciò che per progetto è destinato a far rispettare la policy es. autenticazione + controllo di accesso sui file implementati in windows o unix 17 azioni di sicurezza prevenzione ciò che si fa in modo da evitare il problema es. si stabilisce una policy, si implementano dei meccanismi che, purtroppo, possono essere vulnerabili, e quindi si prendono delle contromisure rilevazione (detection) l azione di accertare se una violazione della policy è in atto in un certo momento 18 9

azioni di sicurezza contrasto il contrasto di un attacco mentre avviene recovery il ripristino della normale operatività del sistema aspetti importanti: tempo, costo 19 azioni di sicurezza spesso la prevenzione è meglio degli altri approcci ma può non essere percorribile può essere troppo costosa può essere non sostenibile dal punto di vista della utilizzabilità del sistema pianificazione prevede una valutazione dei rischi per la scelta delle eventuali misure preventive 20 10

fiducia (trust) qualsiasi azione di sicurezza è basata su assunzioni, o meglio, ripone fiducia nel fatto che certi sistemi si comportino correttamente o che certe pratiche siano corrette o eseguite correttamente 21 fiducia (trust) es. nell applicare una policy assumiamo che essa dica chiaramente quando il sistema è in uno stato sicuro o meno modelli correttamente i requisiti di sicurezza es. nell adottare un meccanismo assumiamo che esso applichi correttamente la policy che funzioni correttamente 22 11

fiducia (trust) es. se l amministratore di sistema applica una patch di sicurezza, come contromisura per una certa vulnerabilità, sta assumendo che la patch risolva la vulnerabilità nessuno abbia modificato la patch nella comunicazione tra produttore e amministratore la patch sia stata testata approfonditamente dal produttore l ambiente di test del produttore corrisponda a quello di utilizzo l installazione vada a buon fine il compilatore usato dal produttore per produrre la patch non abbia bugs ecc. ecc. ecc. ecc 23 assurance: quanto fidarsi? quantificare la fiducia che possiamo riporre in un sistema è difficile un sistema/processo può essere creato/gestito perché sia facile capire quanto ci si possa fidare di esso tali pratiche vanno sotto il nome di assurance e prevedono adeguate procedure di specifica dei requisiti progetto implementazione valutazione (certificazione) un sistema che adotta criteri di assurance è detto trusted, tipicamente deve passare una fase di certificazione che colleziona evidenze del fatto che ci si possa fidare di esso 24 12

trusted computing attenzione sistema trusted trusted computing sistema trusted o Trusted Computing Base concetto introdotto con lo standard TCSEC Dept. of Defense 1985 (a.k.a. orange book) trusted computing concetto introdotto da Trusted Computing Group (TCG): AMD, Hewlett-Packard, IBM, Infineon, Intel, Lenovo, Microsoft, and Sun Microsystems, 2003 il produttore dell hw controlla quale software può girare sicurezza contro software non fidato (virus, trojan) Digital Right Management 25 13

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back