La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b Centro Tecnico per.

Presentazioni simili


Presentazione sul tema: "LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b Centro Tecnico per."— Transcript della presentazione:

1 LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione Scuola Superiore della Pubblica Amministrazione 12 dicembre 2000

2 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 1 SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire lintegrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale

3 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 2 LA SICUREZZA:UNA MODA (COSTOSA)?

4 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 3 DOVE È IL NEMICO? –Allesterno difesa del perimetro (firewall) protezione dellExtranet (VPN) –Allinterno protezione delle risorse autenticazione forte –Ovunque protezione delle applicazioni

5 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 4 TIPOLOGIE DI ATTACCO IP spoofing / shadow server qualcuno si sostituisce ad un host Packet sniffing si leggono password di accesso e/o dati riservati Connection hijacking / data spoofing si inseriscono / modificano dati durante il loro transito in rete Alterazioni del software virus e cavalli di troia Denial-of-service si impedisce il funzionamento di un servizio sovraccaricandolo o mandandolo in errore

6 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 5 OBIETTIVI DELLASICUREZZA INFORMATICA (ISO/IEC TR ) Affidabilità Disponibilità Riservatezza Integrità Imputabilità Autenticità

7 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 6 Il comportamento del sistema è prevedibile anche in presenza di guasti e in caso di valori errati dei dati. AFFIDABILITÀ Il sistema deve sempre comportarsi in modo conforme alle specifiche.

8 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 7 Nei sistemi informatici, i requisiti di disponibilità sono legati anche a quelli di prestazione e di robustezza. DISPONIBILITÁ Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti.

9 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 8 Il fatto stesso che una informazione risulti protetta, o che esista una comunicazione in atto fra due utenti o processi in un certo contesto, può essere sufficiente per dedurre informazioni riservate. RISERVATEZZA Nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere.

10 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 9 Anche la perdita di dati (e.g. a seguito di cancellazione o danneggiamento), viene considerata come alterazione. INTEGRITÀ Il sistema deve impedire la alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali.

11 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 10 Il sistema deve provvedere alla registrazione degli eventi significativi e proteggere le registrazioni dalle manomissioni. IMPUTABILITÀ Deve sempre essere possibile risalire allentità che ha eseguito una specifica azione.

12 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 11 LAUTENTICAZIONE CREDITO INFORMATICO GIOVANNI Sono il Credito Informatico Sono Mario

13 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 12 LA PIRAMIDE DELLA SICUREZZA autenticazione autorizzazione riservatezza integrità log INFORMAZIONI

14 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 13 LA PIRAMIDE REALE autenticazione autorizzazione riservatezza integrità log INFORMAZIONI

15 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 14 LA RIVOLUZIONE COPERNICANA Web accesso remoto VPN documenti informatici PKI X.509 pagamenti sistemi operativi accesso risorse codice malizioso telelavoro SISTEMA APPLICAZIONI

16 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 15 LE VULNERABILITÀ Elementi presenti nel sistema che possono essere sfruttati per condurre un attacco. –Tecnologiche Errori del software Difetti di configurazione... –Procedurali Password sotto il tappetino Spedizione combinata di smart-card e pin...

17 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 16 LE CONTROMISURE Azioni in grado di ridurre la possibilità che una vulnerabilità possa essere sfruttata per condurre un attacco. –Fisiche Locali ad accesso controllato Sistemi di allarme... –Logiche ACL Crittografia … –Procedurali Accesso combinato

18 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 17 LE VERIFICHE Controllo della configurazione Rispetto delle procedure Analisi delle minacce Test di impenetrabilità

19 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 18 ORGANIZZAZIONE PER LA SICUREZZA Politica per la sicurezza Analisi del rischio Gestione del rischio Individuazione precisa di compiti e responsabilità Separazione tra responsabile della sicurezza e delle verifiche Procedure di gestione degli incidenti

20 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 19 UN PROCESSO DINAMICO Evoluzione delle strategie di attacco Disponibilità di strumenti innovativi per contrastare gli attacchi Incidenti di sicurezza Analisi rischio Attuazione misure Verifica sicurezza

21 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 20 SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire lintegrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale

22 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 21 STRUTTURA PER LA SICUREZZA Due livelli distinti: Trasporto ed Interoperabilità Strutture organizzative per la sicurezza in ciascun livello Controllo e supervisione esercitata dalla struttura per la sicurezza del Centro Tecnico attraverso: –Revisione dei Piani per la sicurezza –Audit –Test

23 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 22 SICUREZZA DEL TRASPORTO Trasparenza del CG-T rispetto ai flussi dei dati –il CG-T ha solo funzioni di controllo e gestione della rete di trasporto –i dati non attraversano il CG-T Protezioni fisiche e logiche del CG-T Protezioni fisiche e logiche degli apparati di rete Servizi di comunicazione sicura (IPSec)

24 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 23 SICUREZZA DELLINTEROPERABILITÀ Garantire riservatezza ed integrità delle informazioni gestite ed in transito Impedire a terzi di accedere o modificare dati e risorse di pertinenza delle Amministrazioni Impedire a personale interno e delle Amministrazioni di accedere o modificare dati e risorse senza averne autorizzazione Indirizzare al corretto destinatario le informazioni gestite

25 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 24 PROTEZIONE FISICA Controllo accessi con autenticazione multipla: –Smart card individuale –PIN –Elementi biometrici Sorveglianza del perimetro e dei varchi tramite sistema di videocontrollo con registrazione continua Allarme perimetrale con sistema combinato motion detector, barriera microonde, infrarosso attivo/passivo, antisfondamento Sistema di allarme connesso al presidio di sicurezza

26 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 25 PROTEZIONE LOGICA Profili differenziati di accesso ai sistemi ACL sugli apparati di rete Autenticazione forte degli utenti privilegiati con one-time-password Antivirus Sistemi di rilevazione delle intrusioni Protezione dei log Correlazione eventi

27 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 26 ANALISI DEL RISCHIO Esecuzione dellanalisi del rischio: –In fase di progettazione –Su base annua –In seguito a gravi incidenti di sicurezza Tre metodi di calcolo: –Riduzione del rischio su parametri BS-7799 –Riduzione del rischio su parametri tecnologici –Efficacia delle barriere su modello topologico

28 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 27 ESERCIZIO DEI DISPOSITIVI DI SICUREZZA Attività investigative periodiche Procedura di controllo dei log Attività amministrative ordinarie Procedura di accesso risorse logiche Attività gestione incidenti Procedura gestione allarmi Procedura gestione incidenti Procedura di accesso risorse fisiche Report periodico sullo stato della sicurezza

29 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 28 Procedura di audit Attività di Auditing Procedura test ciclici di impenetrabilità Risk Management Procedura di conduzione analisi del rischio Procedura classificazione lista app. critiche Report periodico sullo stato della sicurezza Procedura test discrezionali di impenetrabilità VERIFICHE DI SICUREZZA

30 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 29 TEST DI IMPENETRABILITÀ Esecuzione periodica di test di impenetrabilità –Sul sistema nel suo complesso da: -Internet -Domini delle amministrazioni –Su singole macchine dalla stessa subnet Impiego di strumenti commerciali e public domain per analisi della sicurezza globale e delle singole applicazioni Test condotti sia dal Centro Tecnico che da ditte specializzate

31 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 30 SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire lintegrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale

32 12 dicembre 2000La Sicurezza nella Rete Unitaria della Pubblica Amministrazione 31 CONCLUSIONI La sicurezza è il risultato di: –misure tecnologiche, procedurali ed organizzative –processo continuo di analisi e verifica


Scaricare ppt "LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b Centro Tecnico per."

Presentazioni simili


Annunci Google