Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoMarta Basso Modificato 11 anni fa
0
LA SICUREZZA NELLA RETE UNITARIA
Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b Scuola Superiore della Pubblica Amministrazione 12 dicembre 2000
1
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
2
LA SICUREZZA:UNA MODA (COSTOSA)?
12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
3
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
DOVE È IL NEMICO? All’esterno difesa del perimetro (firewall) protezione dell’Extranet (VPN) All’interno protezione delle risorse autenticazione forte Ovunque protezione delle applicazioni 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
4
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
TIPOLOGIE DI ATTACCO IP spoofing / shadow server qualcuno si sostituisce ad un host Packet sniffing si leggono password di accesso e/o dati riservati Connection hijacking / data spoofing si inseriscono / modificano dati durante il loro transito in rete Alterazioni del software virus e cavalli di troia Denial-of-service si impedisce il funzionamento di un servizio sovraccaricandolo o mandandolo in errore 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
5
OBIETTIVI DELLASICUREZZA INFORMATICA (ISO/IEC TR13335-1)
Affidabilità Disponibilità Riservatezza Integrità Imputabilità Autenticità 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
6
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
AFFIDABILITÀ Il sistema deve sempre comportarsi in modo conforme alle specifiche. Il comportamento del sistema è prevedibile anche in presenza di guasti e in caso di valori errati dei dati. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
7
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
DISPONIBILITÁ Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti. Nei sistemi informatici, i requisiti di disponibilità sono legati anche a quelli di prestazione e di robustezza. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
8
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
RISERVATEZZA Nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere. Il fatto stesso che una informazione risulti protetta, o che esista una comunicazione in atto fra due utenti o processi in un certo contesto, può essere sufficiente per dedurre informazioni riservate. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
9
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
INTEGRITÀ Il sistema deve impedire la alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali. Anche la perdita di dati (e.g. a seguito di cancellazione o danneggiamento), viene considerata come alterazione. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
10
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
IMPUTABILITÀ Deve sempre essere possibile risalire all’entità che ha eseguito una specifica azione. Il sistema deve provvedere alla registrazione degli eventi significativi e proteggere le registrazioni dalle manomissioni. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
11
Sono il Credito Informatico
L’AUTENTICAZIONE CREDITO INFORMATICO Sono Mario Sono il Credito Informatico GIOVANNI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
12
LA PIRAMIDE DELLA SICUREZZA
autenticazione autorizzazione riservatezza integrità log INFORMAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
13
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LA PIRAMIDE REALE autenticazione autorizzazione riservatezza integrità log INFORMAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
14
LA RIVOLUZIONE COPERNICANA
Web accesso remoto VPN documenti informatici PKI X.509 pagamenti sistemi operativi accesso risorse codice malizioso telelavoro SISTEMA APPLICAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
15
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LE VULNERABILITÀ Elementi presenti nel sistema che possono essere sfruttati per condurre un attacco. Tecnologiche Errori del software Difetti di configurazione ... Procedurali Password sotto il tappetino Spedizione combinata di smart-card e pin 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
16
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LE CONTROMISURE Azioni in grado di ridurre la possibilità che una vulnerabilità possa essere sfruttata per condurre un attacco. Fisiche Locali ad accesso controllato Sistemi di allarme ... Logiche ACL Crittografia … Procedurali Accesso combinato 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
17
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LE VERIFICHE Controllo della configurazione Rispetto delle procedure Analisi delle minacce Test di impenetrabilità 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
18
ORGANIZZAZIONE PER LA SICUREZZA
Politica per la sicurezza Analisi del rischio Gestione del rischio Individuazione precisa di compiti e responsabilità Separazione tra responsabile della sicurezza e delle verifiche Procedure di gestione degli incidenti 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
19
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
UN PROCESSO DINAMICO Evoluzione delle strategie di attacco Disponibilità di strumenti innovativi per contrastare gli attacchi Incidenti di sicurezza Analisi rischio Attuazione misure Verifica sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
20
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
21
STRUTTURA PER LA SICUREZZA
Due livelli distinti: Trasporto ed Interoperabilità Strutture organizzative per la sicurezza in ciascun livello Controllo e supervisione esercitata dalla struttura per la sicurezza del Centro Tecnico attraverso: Revisione dei Piani per la sicurezza Audit Test 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
22
SICUREZZA DEL TRASPORTO
Trasparenza del CG-T rispetto ai flussi dei dati il CG-T ha solo funzioni di controllo e gestione della rete di trasporto i dati non attraversano il CG-T Protezioni fisiche e logiche del CG-T Protezioni fisiche e logiche degli apparati di rete Servizi di comunicazione sicura (IPSec) 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
23
SICUREZZA DELL’INTEROPERABILITÀ
Garantire riservatezza ed integrità delle informazioni gestite ed in transito Impedire a terzi di accedere o modificare dati e risorse di pertinenza delle Amministrazioni Impedire a personale interno e delle Amministrazioni di accedere o modificare dati e risorse senza averne autorizzazione Indirizzare al corretto destinatario le informazioni gestite 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
24
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
PROTEZIONE FISICA Controllo accessi con autenticazione multipla: Smart card individuale PIN Elementi biometrici Sorveglianza del perimetro e dei varchi tramite sistema di videocontrollo con registrazione continua Allarme perimetrale con sistema combinato motion detector, barriera microonde, infrarosso attivo/passivo, antisfondamento Sistema di allarme connesso al presidio di sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
25
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
PROTEZIONE LOGICA Profili differenziati di accesso ai sistemi ACL sugli apparati di rete Autenticazione forte degli utenti privilegiati con one-time-password Antivirus Sistemi di rilevazione delle intrusioni Protezione dei log Correlazione eventi 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
26
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
ANALISI DEL RISCHIO Esecuzione dell’analisi del rischio: In fase di progettazione Su base annua In seguito a gravi incidenti di sicurezza Tre metodi di calcolo: Riduzione del rischio su parametri BS-7799 Riduzione del rischio su parametri tecnologici Efficacia delle barriere su modello topologico 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
27
ESERCIZIO DEI DISPOSITIVI DI SICUREZZA
Attività investigative periodiche Procedura di controllo dei log amministrative ordinarie accesso risorse logiche gestione incidenti Procedura gestione allarmi fisiche Report periodico sullo stato della sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
28
VERIFICHE DI SICUREZZA
Procedura di audit Attività di Auditing Procedura test ciclici di impenetrabilità Risk Management conduzione analisi del rischio Procedura classificazione lista app. critiche Report periodico sullo stato della sicurezza discrezionali di 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
29
TEST DI IMPENETRABILITÀ
Esecuzione periodica di test di impenetrabilità Sul sistema nel suo complesso da: Internet Domini delle amministrazioni Su singole macchine dalla stessa subnet Impiego di strumenti commerciali e public domain per analisi della sicurezza globale e delle singole applicazioni Test condotti sia dal Centro Tecnico che da ditte specializzate 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
30
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
31
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
CONCLUSIONI La sicurezza è il risultato di: misure tecnologiche, procedurali ed organizzative processo continuo di analisi e verifica 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.