La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi.

Presentazioni simili


Presentazione sul tema: "Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi."— Transcript della presentazione:

1 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi Plebani Politecnico di Milano – Dipartimento di Elettronica e Informazione Piazza Leonardo da Vinci, 32 I Milano, ITALY

2 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Casi di studio Sicurezza in una applicazione di commercio elettronico Portale Istruzione Formazione Lavoro della Regione Lombardia

3 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza un caso di studio Sicurezza nel commercio elettronico: un caso di studio. Ing. Pierluigi Plebani Politecnico di Milano – Dipartimento di Elettronica e Informazione Piazza Leonardo da Vinci, 32 I Milano, ITALY

4 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sommario Il caso di studio Requisiti di sicurezza Soluzioni adottate Conclusioni Sviluppi futuri

5 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Scenario Clienti/Sponsors Cartella punti di XX E-merchant Erogatori Premi adesione Catalogo premi consumatore

6 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag: Attori dellapplicazione Colleziona punti- premio, comprando prodotti o usufrendo di servizi Aderisce alliniziativa e attiva le strutture per la distribuzione dei coupons attraverso i propri prodotti. Gestisce lintero flusso informativo. È quindi responsabile della sicurezza dei dati utente e dei dati dellapplicazione Manutiene il catalogo dei premi e si occupa della loro distribuzione

7 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag : Peculiarità A differenza di una tradizionale applicazione di commercio elettronico, in Secure Bag: I Clienti/Sponsor delegano interamente gli aspetti di sicurezza alle-merchant Le-merchant ricopre un ruolo centrale nelle fasi di creazione, manutenzione e distribuzione dei punti premio Le-merchant è responsabile della definizione e gestione delle politiche di sicurezza relative agli attori coinvolti

8 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag: Architettura funzionale

9 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag: Interazione con lutente finale Visita il sito ? Inizio Già Registrato ? Inserisci o usa ? Browsing Elenco promozioni Informazioni generali Pubblicità Web e e-commerce Catalogo Scelta del prodotto Acquisizione Gestione punti Registazione punti Memorizza punti Inserimento dati Ottenimento useride password Acquisisci il premio? Esci ? Fine Sì No Sì Usa Registra Transazione criptata con protocollo SSL Sessione Promozione Accesso a pagina Web Sessione Registrazione Utente Sessione Acquisto Sessione Registrazione Punti

10 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza 13 Stampa punti Inizio Invia richiesta Statistiche o bollini? bollini Nuova statistica Sì Selezione statistica Lettura valori No Ricezione dati Manipolazione dati Gestione in-house ? Ricezione report Ricezione punti Invio conferma avvenuta ricez. Generazione codici secondo formato stabilito Richiesta codici Stampo codici ? Sì Stampa punti Ricezione codici Inserisco codici ? Sì Inserimento nel package Fine Sì statistiche No Inserimento nel package Invio conferma avvenuta ricez. No Operazione effettuata dalla società di e-commerce SecureBag: Interazione con il cliente/sponsor

11 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Requisiti di sicurezza: Modello Security/threat AttoreMinacciaContromisura End UserLetture non autorizzate – falsificazione coupon Accesso indiretto al DB, creazione di viste e stored procedures e crittografia Tipici attacchi via internetAutenticazione, Firewalls, Auditing Cliente/SponsorLetture non autorizzate dei dati di altri clienti/sponsor Accesso al DB filtrato, viste, stored procedure Letture non autorizzate dati utente (privacy) Dati aggregati, viste statistiche Erogatore PremiLetture non autorizzate dei dati di altri clienti/sponsor Accesso al DB filtrato, viste, stored procedure Letture non autorizzate dati utente (privacy) Dati aggregati, viste statistiche

12 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Requisiti di sicurezza: Comunicazione tra attori SecureBag deve: Autenticare tutte le entità comunicanti Crittografare le trasmissioni riguardanti dati sensibili Garantire la privacy delle informazioni utente memorizzate In questo contesto applicativo non è previsto alcun trasferimento di denaro

13 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate Architettura di sicurezza basata sullutilizzo di firewall per la protezione dei DB e Web server Utente finale autenticato tramite login/password Creazione di una local PKI per la distribuzione di certificati digitali ai clienti/sponsor Tramissioni protette con protocollo SSL Dati protetti tramite viste e stored procedures Utilizzo di una macchina di backoffice per la memorizzazione a lungo termine dei coupon (Intendenza di Finanza)

14 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (1) Singolo host

15 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (2) Singolo host + firewall

16 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (3) Host dedicati ai processi server

17 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (4) Ostaggio

18 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (5) Bastion host demilitarizzato

19 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (6) Bastion host dedicati

20 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: I punti premio (coupon) Soluzioni per la creazione del codice segreto: Random sampling Crittografia a chiave segreta Crittografia a chiave pubblica

21 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Il codice segreto Base di Dati di produzione Memorizzazione di tale identificatore (ID) allinterno dellarchivio Chiave segreta legata alprodotto Piccolo campionamento casuale Calcolo dellimpronta Calcolo del codice da scrivere sul bollino medinate cifratura asimmetrica Ricerca dellID allinterno dellarchivio Calcolo dellimpronta Confronto impronte Separazione ID e impronta da codice punto Doppio controllo ID Chiave ID Impronta Scrittura intero codice sul punto Decifratura codice sul punto Chiave pubblica legata al prodotto Chiave PRIVATA legata alprodotto Base di Dati di back office

22 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Database/Web Il controllo degli accessi ai dati è implementato dalla maggioranza dei DBMS commerciali tramite view e stored procedures. Sono state create una serie di viste conformi alla politica del need-to-know Applicazione Web basata sullarchitettura a tre livelli.

23 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Conclusioni Il primo prototipo di SecureBag è stato rilasciato alla fine del 2000 Realizzato su piattaforma Windows NT utilizzando il Web Server IIS 4.0 La Local PKI è stata realizzata con Microsoft Certificate Server 1.0 Il prototipo realizza i codici segreti secondo lapproccio a chiave segreta

24 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sviluppi futuri Utilizzo della crittografia a chiave pubblica per la creazione dei codici segreti Introduzione dei Datawarehouse per analisi di mercato Realizzazione di canali di trasmissione con IPSec tra host in DMZ e host in MZ

25 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Il Nuovo Portale Istruzione Formazione Lavoro della Regione Lombardia Ing. Pierluigi Plebani Politecnico di Milano – Dipartimento di Elettronica e Informazione Piazza Leonardo da Vinci, 32 I Milano, ITALY

26 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sommario Descrizione dello scenario del portale Attori di interesse Sicurezza e Web Service

27 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Aree del portale Istruzione: per accesso ai servizi relativi al mondo delleducazione; Formazione: per la promozione di corsi di formazione professionale a diversi livelli; Lavoro: per la pubblicazione di domande e offerte di lavoro e per la diffusione di strumenti informativi in grado di supportare lincontro effettivo tra domanda e offerta di lavoro in ambito regionale.

28 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Architettura del portale

29 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Attori di interesse Lavoratore: pubblica il proprio CV o cerca una offerta adeguata Impresa: pubblica la propria offerta o cerca un CV adeguato Regione:realizza lincontro tra domanda e offerta Centri Impiego Provinciale: gestiscono le iscrizioni e cancellazioni del lavoratori Agenzie accreditate (lavoro interinale): sono al momento in concorrenza con la Regione ma si cerca una loro integrazione

30 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Problematiche di sicurezza Trattamento di dati sensibili (legge sulla privacy) Il CV e lofferta sono composti da informazioni a diverso livello di sensibilità (sia per privacy sia per business) Diverse tecnologie di base Problema di integrazione tra sottosistemi preesistenti Diverse metodologie di profilazione (anche assenza completa) Internet come canale di comunicazione

31 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate Meccanismi di SSO per lautenticazione Utilizzo dei Web Service come strumento di interoperabilità Strutturazione dei dati a più livelli di visibilità Attenzione particolare alla redazione delle politiche di sicurezza per laccesso ai dati

32 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Web Service Installati presso ogni Centro Impiego Provinciale Sono state definite ed implementate le primitive di profilazione Invocabili in modo sicuro solo dal portale Effettuano la traduzione tra i vari sistemi di profilazione

33 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Trasmissione a due livelli (Tunelling) Web Service Giovanna RossiPortale RegionaleC.I.P. Utente: G.R. Utente: P.R. Utente: G.R. Accetta solo connessioni dal Portale Regionale

34 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Domande

35 Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza


Scaricare ppt "Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi."

Presentazioni simili


Annunci Google