Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi.

Slides:



Advertisements
Presentazioni simili
Presentazione della tesi di laurea di Flavio Casadei Della Chiesa Newsletter: un framework per una redazione web.
Advertisements

B.P.M. Business Process Manager
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Cos’è la posta elettronica
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Profilazione d’utente nei sistemi di e-commerce
La sicurezza dei sistemi informatici
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Configuring Network Access
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Registri elettronici e pagelle online
Java Enterprise Edition (JEE)
Seminario Sicurezza a.a. 2001/2002 Barbara Anconelli
WebProfessional Web Content Management System
UNIVERSITA DEGLI STUDI DI MODENA E REGGIO EMILIA Facoltà di Ingegneria – sede Modena Corso di Laurea in Ingegneria Informatica Progetto e sviluppo di un.
Roma, Presentazione del sistema ClicLavoro.
Progetto Mini di Sistemi Distribuiti – AA 2007/08 Secure Group Communication with GDH.1 Alessandro Licata Caruso Matr:
Progetto MODA-ML Biella, 30 novembre 2001 Sistema di interscambio messaggi Luca Mainetti HOC - Hypermedia Open Center Dipartimento di Elettronica e Informazione.
Web Information Systems (I parte) Prof. Barbara Pernici Politecnico di Milano.
Seconda parte: i sistemi informativi in rete
La vendita online b2c. PROBLEMATICHE (I) 1.Le caratteristiche del prodotto è adatto alla vendita online? 2.Il mercato in cui si opera come avviene la.
Architettura Three Tier
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Il Portale delle Notizia di Reato
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Gioco di Ruolo Sicurezza su Reti II /07 Commessa – Ufficiale Pagatore Gruppo 1 - NIC Albano Pietro Castiglione Arcangelo Rossomando Enrico Tortora.
CAPITOLO 2 INTRODUZIONE AL LINGUAGGIO JAVA E ALL'AMBIENTE HOTJAVA.
Torino - 15 luglio 2003www.subforservice.biz Il portale della subfornitura industriale piemontese Conferenza Stampa Torino, 15 luglio 2003.
Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Verbano – Cusio.
Distributed File System Service Dario Agostinone.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Ottobre 2006 – Pag. 1
Acer Mnemonick presentazione commerciale
Guida IIS 6 A cura di Nicola Del Re.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Un problema importante
Università degli studi di Roma la Sapienza --- Laboratorio di Basi di Dati II - a.a. 2003/04 Presentato da: CAU Simone Matricola:
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
Sistema per la gestione dei piani di assistenza domiciliare
FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Provincia di Reggio Calabria Le piattaforme tecnologiche per l’erogazione di servizi on line ForumPA e-Government e l'innovazione.
Sicurezza informatica
Servizi Internet Claudia Raibulet
Progetto e Realizzazione di un servizio di Chat Progetto di: Nicoli Leonardo Corso di: Reti di Calcolatori L-S.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Giornata della trasparenza – Area Tutela e valorizzazione ambientale Giornata della trasparenza Provincia di Milano 11 dicembre Palazzo Isimbardi.
Provincia di Brescia Area Sviluppo Economico Settore Lavoro.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
Postecom B.U. CA e Sicurezza Offerta Sicurezza Scenario di servizi ed integrazioni di “Certificazione”
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Alessandria,
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Novembre 2009 SIGEC WEB – Presentazione Prototipo.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
Transcript della presentazione:

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sicurezza ed interoperabilità: alcuni casi di studio Ing. Pierluigi Plebani Politecnico di Milano – Dipartimento di Elettronica e Informazione Piazza Leonardo da Vinci, 32 I Milano, ITALY

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Casi di studio Sicurezza in una applicazione di commercio elettronico Portale Istruzione Formazione Lavoro della Regione Lombardia

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza un caso di studio Sicurezza nel commercio elettronico: un caso di studio. Ing. Pierluigi Plebani Politecnico di Milano – Dipartimento di Elettronica e Informazione Piazza Leonardo da Vinci, 32 I Milano, ITALY

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sommario Il caso di studio Requisiti di sicurezza Soluzioni adottate Conclusioni Sviluppi futuri

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Scenario Clienti/Sponsors Cartella punti di XX E-merchant Erogatori Premi adesione Catalogo premi consumatore

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag: Attori dellapplicazione Colleziona punti- premio, comprando prodotti o usufrendo di servizi Aderisce alliniziativa e attiva le strutture per la distribuzione dei coupons attraverso i propri prodotti. Gestisce lintero flusso informativo. È quindi responsabile della sicurezza dei dati utente e dei dati dellapplicazione Manutiene il catalogo dei premi e si occupa della loro distribuzione

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag : Peculiarità A differenza di una tradizionale applicazione di commercio elettronico, in Secure Bag: I Clienti/Sponsor delegano interamente gli aspetti di sicurezza alle-merchant Le-merchant ricopre un ruolo centrale nelle fasi di creazione, manutenzione e distribuzione dei punti premio Le-merchant è responsabile della definizione e gestione delle politiche di sicurezza relative agli attori coinvolti

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag: Architettura funzionale

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza SecureBag: Interazione con lutente finale Visita il sito ? Inizio Già Registrato ? Inserisci o usa ? Browsing Elenco promozioni Informazioni generali Pubblicità Web e e-commerce Catalogo Scelta del prodotto Acquisizione Gestione punti Registazione punti Memorizza punti Inserimento dati Ottenimento useride password Acquisisci il premio? Esci ? Fine Sì No Sì Usa Registra Transazione criptata con protocollo SSL Sessione Promozione Accesso a pagina Web Sessione Registrazione Utente Sessione Acquisto Sessione Registrazione Punti

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza 13 Stampa punti Inizio Invia richiesta Statistiche o bollini? bollini Nuova statistica Sì Selezione statistica Lettura valori No Ricezione dati Manipolazione dati Gestione in-house ? Ricezione report Ricezione punti Invio conferma avvenuta ricez. Generazione codici secondo formato stabilito Richiesta codici Stampo codici ? Sì Stampa punti Ricezione codici Inserisco codici ? Sì Inserimento nel package Fine Sì statistiche No Inserimento nel package Invio conferma avvenuta ricez. No Operazione effettuata dalla società di e-commerce SecureBag: Interazione con il cliente/sponsor

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Requisiti di sicurezza: Modello Security/threat AttoreMinacciaContromisura End UserLetture non autorizzate – falsificazione coupon Accesso indiretto al DB, creazione di viste e stored procedures e crittografia Tipici attacchi via internetAutenticazione, Firewalls, Auditing Cliente/SponsorLetture non autorizzate dei dati di altri clienti/sponsor Accesso al DB filtrato, viste, stored procedure Letture non autorizzate dati utente (privacy) Dati aggregati, viste statistiche Erogatore PremiLetture non autorizzate dei dati di altri clienti/sponsor Accesso al DB filtrato, viste, stored procedure Letture non autorizzate dati utente (privacy) Dati aggregati, viste statistiche

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Requisiti di sicurezza: Comunicazione tra attori SecureBag deve: Autenticare tutte le entità comunicanti Crittografare le trasmissioni riguardanti dati sensibili Garantire la privacy delle informazioni utente memorizzate In questo contesto applicativo non è previsto alcun trasferimento di denaro

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate Architettura di sicurezza basata sullutilizzo di firewall per la protezione dei DB e Web server Utente finale autenticato tramite login/password Creazione di una local PKI per la distribuzione di certificati digitali ai clienti/sponsor Tramissioni protette con protocollo SSL Dati protetti tramite viste e stored procedures Utilizzo di una macchina di backoffice per la memorizzazione a lungo termine dei coupon (Intendenza di Finanza)

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (1) Singolo host

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (2) Singolo host + firewall

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (3) Host dedicati ai processi server

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (4) Ostaggio

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (5) Bastion host demilitarizzato

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Sicurezza Architetturale (6) Bastion host dedicati

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: I punti premio (coupon) Soluzioni per la creazione del codice segreto: Random sampling Crittografia a chiave segreta Crittografia a chiave pubblica

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Il codice segreto Base di Dati di produzione Memorizzazione di tale identificatore (ID) allinterno dellarchivio Chiave segreta legata alprodotto Piccolo campionamento casuale Calcolo dellimpronta Calcolo del codice da scrivere sul bollino medinate cifratura asimmetrica Ricerca dellID allinterno dellarchivio Calcolo dellimpronta Confronto impronte Separazione ID e impronta da codice punto Doppio controllo ID Chiave ID Impronta Scrittura intero codice sul punto Decifratura codice sul punto Chiave pubblica legata al prodotto Chiave PRIVATA legata alprodotto Base di Dati di back office

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate: Database/Web Il controllo degli accessi ai dati è implementato dalla maggioranza dei DBMS commerciali tramite view e stored procedures. Sono state create una serie di viste conformi alla politica del need-to-know Applicazione Web basata sullarchitettura a tre livelli.

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Conclusioni Il primo prototipo di SecureBag è stato rilasciato alla fine del 2000 Realizzato su piattaforma Windows NT utilizzando il Web Server IIS 4.0 La Local PKI è stata realizzata con Microsoft Certificate Server 1.0 Il prototipo realizza i codici segreti secondo lapproccio a chiave segreta

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sviluppi futuri Utilizzo della crittografia a chiave pubblica per la creazione dei codici segreti Introduzione dei Datawarehouse per analisi di mercato Realizzazione di canali di trasmissione con IPSec tra host in DMZ e host in MZ

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Il Nuovo Portale Istruzione Formazione Lavoro della Regione Lombardia Ing. Pierluigi Plebani Politecnico di Milano – Dipartimento di Elettronica e Informazione Piazza Leonardo da Vinci, 32 I Milano, ITALY

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Sommario Descrizione dello scenario del portale Attori di interesse Sicurezza e Web Service

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Aree del portale Istruzione: per accesso ai servizi relativi al mondo delleducazione; Formazione: per la promozione di corsi di formazione professionale a diversi livelli; Lavoro: per la pubblicazione di domande e offerte di lavoro e per la diffusione di strumenti informativi in grado di supportare lincontro effettivo tra domanda e offerta di lavoro in ambito regionale.

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Architettura del portale

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Attori di interesse Lavoratore: pubblica il proprio CV o cerca una offerta adeguata Impresa: pubblica la propria offerta o cerca un CV adeguato Regione:realizza lincontro tra domanda e offerta Centri Impiego Provinciale: gestiscono le iscrizioni e cancellazioni del lavoratori Agenzie accreditate (lavoro interinale): sono al momento in concorrenza con la Regione ma si cerca una loro integrazione

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Problematiche di sicurezza Trattamento di dati sensibili (legge sulla privacy) Il CV e lofferta sono composti da informazioni a diverso livello di sensibilità (sia per privacy sia per business) Diverse tecnologie di base Problema di integrazione tra sottosistemi preesistenti Diverse metodologie di profilazione (anche assenza completa) Internet come canale di comunicazione

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Soluzioni adottate Meccanismi di SSO per lautenticazione Utilizzo dei Web Service come strumento di interoperabilità Strutturazione dei dati a più livelli di visibilità Attenzione particolare alla redazione delle politiche di sicurezza per laccesso ai dati

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Web Service Installati presso ogni Centro Impiego Provinciale Sono state definite ed implementate le primitive di profilazione Invocabili in modo sicuro solo dal portale Effettuano la traduzione tra i vari sistemi di profilazione

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Trasmissione a due livelli (Tunelling) Web Service Giovanna RossiPortale RegionaleC.I.P. Utente: G.R. Utente: P.R. Utente: G.R. Accetta solo connessioni dal Portale Regionale

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza Domande

Milano 19 settembre 2002 Web e sistemi informativi aziendali: la sfida della sicurezza