La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

Presentazioni simili


Presentazione sul tema: "La Sicurezza nella Rete Unitaria della Pubblica Amministrazione"— Transcript della presentazione:

0 LA SICUREZZA NELLA RETE UNITARIA
Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione LA SICUREZZA NELLA RETE UNITARIA Mario Terranova Centro Tecnico per la Rete Unitaria della PA V. Isonzo, 21b Scuola Superiore della Pubblica Amministrazione 12 dicembre 2000

1 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

2 LA SICUREZZA:UNA MODA (COSTOSA)?
12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

3 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
DOVE È IL NEMICO? All’esterno difesa del perimetro (firewall) protezione dell’Extranet (VPN) All’interno protezione delle risorse autenticazione forte Ovunque protezione delle applicazioni 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

4 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
TIPOLOGIE DI ATTACCO IP spoofing / shadow server qualcuno si sostituisce ad un host Packet sniffing si leggono password di accesso e/o dati riservati Connection hijacking / data spoofing si inseriscono / modificano dati durante il loro transito in rete Alterazioni del software virus e cavalli di troia Denial-of-service si impedisce il funzionamento di un servizio sovraccaricandolo o mandandolo in errore 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

5 OBIETTIVI DELLASICUREZZA INFORMATICA (ISO/IEC TR13335-1)
Affidabilità Disponibilità Riservatezza Integrità Imputabilità Autenticità 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

6 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
AFFIDABILITÀ Il sistema deve sempre comportarsi in modo conforme alle specifiche. Il comportamento del sistema è prevedibile anche in presenza di guasti e in caso di valori errati dei dati. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

7 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
DISPONIBILITÁ Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti. Nei sistemi informatici, i requisiti di disponibilità sono legati anche a quelli di prestazione e di robustezza. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

8 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
RISERVATEZZA Nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere. Il fatto stesso che una informazione risulti protetta, o che esista una comunicazione in atto fra due utenti o processi in un certo contesto, può essere sufficiente per dedurre informazioni riservate. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

9 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
INTEGRITÀ Il sistema deve impedire la alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali. Anche la perdita di dati (e.g. a seguito di cancellazione o danneggiamento), viene considerata come alterazione. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

10 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
IMPUTABILITÀ Deve sempre essere possibile risalire all’entità che ha eseguito una specifica azione. Il sistema deve provvedere alla registrazione degli eventi significativi e proteggere le registrazioni dalle manomissioni. 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

11 Sono il Credito Informatico
L’AUTENTICAZIONE CREDITO INFORMATICO Sono Mario Sono il Credito Informatico GIOVANNI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

12 LA PIRAMIDE DELLA SICUREZZA
autenticazione autorizzazione riservatezza integrità log INFORMAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

13 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LA PIRAMIDE REALE autenticazione autorizzazione riservatezza integrità log INFORMAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

14 LA RIVOLUZIONE COPERNICANA
Web accesso remoto VPN documenti informatici PKI X.509 pagamenti sistemi operativi accesso risorse codice malizioso telelavoro SISTEMA APPLICAZIONI 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

15 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LE VULNERABILITÀ Elementi presenti nel sistema che possono essere sfruttati per condurre un attacco. Tecnologiche Errori del software Difetti di configurazione ... Procedurali Password sotto il tappetino Spedizione combinata di smart-card e pin 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

16 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LE CONTROMISURE Azioni in grado di ridurre la possibilità che una vulnerabilità possa essere sfruttata per condurre un attacco. Fisiche Locali ad accesso controllato Sistemi di allarme ... Logiche ACL Crittografia Procedurali Accesso combinato 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

17 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
LE VERIFICHE Controllo della configurazione Rispetto delle procedure Analisi delle minacce Test di impenetrabilità 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

18 ORGANIZZAZIONE PER LA SICUREZZA
Politica per la sicurezza Analisi del rischio Gestione del rischio Individuazione precisa di compiti e responsabilità Separazione tra responsabile della sicurezza e delle verifiche Procedure di gestione degli incidenti 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

19 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
UN PROCESSO DINAMICO Evoluzione delle strategie di attacco Disponibilità di strumenti innovativi per contrastare gli attacchi Incidenti di sicurezza Analisi rischio Attuazione misure Verifica sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

20 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

21 STRUTTURA PER LA SICUREZZA
Due livelli distinti: Trasporto ed Interoperabilità Strutture organizzative per la sicurezza in ciascun livello Controllo e supervisione esercitata dalla struttura per la sicurezza del Centro Tecnico attraverso: Revisione dei Piani per la sicurezza Audit Test 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

22 SICUREZZA DEL TRASPORTO
Trasparenza del CG-T rispetto ai flussi dei dati il CG-T ha solo funzioni di controllo e gestione della rete di trasporto i dati non attraversano il CG-T Protezioni fisiche e logiche del CG-T Protezioni fisiche e logiche degli apparati di rete Servizi di comunicazione sicura (IPSec) 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

23 SICUREZZA DELL’INTEROPERABILITÀ
Garantire riservatezza ed integrità delle informazioni gestite ed in transito Impedire a terzi di accedere o modificare dati e risorse di pertinenza delle Amministrazioni Impedire a personale interno e delle Amministrazioni di accedere o modificare dati e risorse senza averne autorizzazione Indirizzare al corretto destinatario le informazioni gestite 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

24 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
PROTEZIONE FISICA Controllo accessi con autenticazione multipla: Smart card individuale PIN Elementi biometrici Sorveglianza del perimetro e dei varchi tramite sistema di videocontrollo con registrazione continua Allarme perimetrale con sistema combinato motion detector, barriera microonde, infrarosso attivo/passivo, antisfondamento Sistema di allarme connesso al presidio di sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

25 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
PROTEZIONE LOGICA Profili differenziati di accesso ai sistemi ACL sugli apparati di rete Autenticazione forte degli utenti privilegiati con one-time-password Antivirus Sistemi di rilevazione delle intrusioni Protezione dei log Correlazione eventi 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

26 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
ANALISI DEL RISCHIO Esecuzione dell’analisi del rischio: In fase di progettazione Su base annua In seguito a gravi incidenti di sicurezza Tre metodi di calcolo: Riduzione del rischio su parametri BS-7799 Riduzione del rischio su parametri tecnologici Efficacia delle barriere su modello topologico 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

27 ESERCIZIO DEI DISPOSITIVI DI SICUREZZA
Attività investigative periodiche Procedura di controllo dei log amministrative ordinarie accesso risorse logiche gestione incidenti Procedura gestione allarmi fisiche Report periodico sullo stato della sicurezza 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

28 VERIFICHE DI SICUREZZA
Procedura di audit Attività di Auditing Procedura test ciclici di impenetrabilità Risk Management conduzione analisi del rischio Procedura classificazione lista app. critiche Report periodico sullo stato della sicurezza discrezionali di 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

29 TEST DI IMPENETRABILITÀ
Esecuzione periodica di test di impenetrabilità Sul sistema nel suo complesso da: Internet Domini delle amministrazioni Su singole macchine dalla stessa subnet Impiego di strumenti commerciali e public domain per analisi della sicurezza globale e delle singole applicazioni Test condotti sia dal Centro Tecnico che da ditte specializzate 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

30 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SOMMARIO La sicurezza delle reti La sicurezza nella Rete Unitaria Garantire l’integrità dei dati Assicurare i livelli di sicurezza La certificazione delle chiavi e la firma digitale 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione

31 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
CONCLUSIONI La sicurezza è il risultato di: misure tecnologiche, procedurali ed organizzative processo continuo di analisi e verifica 12 dicembre 2000 La Sicurezza nella Rete Unitaria della Pubblica Amministrazione


Scaricare ppt "La Sicurezza nella Rete Unitaria della Pubblica Amministrazione"

Presentazioni simili


Annunci Google