Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoAlessia Sorrentino Modificato 9 anni fa
1
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10
2
00 AN 2 corso_sicurezza_asur10 @ www.divini.net Il problema della Sicurezza sicurezza significa impiegare un certo insieme di meccanismi per controllare l’accesso alle risorse non è limitato al sistema informatico esistono aspetti amministrativi, legali, e di politica di accesso alle informazioni
3
00 AN 3 corso_sicurezza_asur10 @ www.divini.net Gli obiettivi della sicurezza Confidenzialità Integrità Disponibilità
4
00 AN 4 corso_sicurezza_asur10 @ www.divini.net 1° obiettivo: Confidenzialità non vogliamo che altri abbiano accesso alle informazioni contenute in un sistema informatico o alle informazioni trasmesse fra due sistemi
5
00 AN 5 corso_sicurezza_asur10 @ www.divini.net 2° obiettivo: integrità non vogliamo che sia possibile modificare informazioni, memorizzate presso un sistema oppure spedite
6
00 AN 6 corso_sicurezza_asur10 @ www.divini.net 3° obiettivo: disponibilità vogliamo garantire che il nostro sistema sia sempre in grado di soddisfare le richieste dei suoi utenti
7
00 AN 7 corso_sicurezza_asur10 @ www.divini.net I problemi della sicurezza Autenticazione Autorizzazione Protezione
8
00 AN 8 corso_sicurezza_asur10 @ www.divini.net 1° problema: autenticazione si tratta di associare ad un utente la sua identità, ad esempio tramite password o tramite tecniche biometriche
9
00 AN 9 corso_sicurezza_asur10 @ www.divini.net 2° problema: autorizzazione Una volta associata un’identità, è necessario identificare esattamente quali operazioni sono concesse a quel particolare utente, e quali no verificare se un utente ha il diritto di compiere un’operazione
10
00 AN 10 corso_sicurezza_asur10 @ www.divini.net 3° problema: protezione Infine, bisogna mettere in pratica delle restrizioni: ovvero, si tratta di impedire effettivamente l’accesso alle risorse agli utenti non autorizzati evitare che un’operazione venga compiuta da chi non ne ha i diritti
11
00 AN 11 corso_sicurezza_asur10 @ www.divini.net Tipologie di attacco Attacchi passivi: attaccano un sistema al fine di leggere i dati, senza modificarli Attacchi attivi: attaccano un sistema interagendo con il sistema, modificando i dati o riducendo la sua disponibilità
12
00 AN 12 corso_sicurezza_asur10 @ www.divini.net Scelta di una politica di sicurezza dipende da: 1.il tipo di attaccanti attesi 2.il valore delle informazioni contenute nel sistema 3.i costi dovuti all’utilizzazione di una politica di sicurezza
13
00 AN 13 corso_sicurezza_asur10 @ www.divini.net Meccanismi di autenticazione basati su qualcosa che l’utente "conosce" _ una password basati su qualcosa che l’utente "ha" _ una carta intelligente o qualunque altro tipo di chiave di accesso basati su qualcosa che l’utente "è" _ impronte digitali, timbro vocale o la lettura della retina (biometriche)
14
00 AN 14 corso_sicurezza_asur10 @ www.divini.net L’autenticazione con password è la più utilizzata: maggiore semplicità ma esistono alcuni problemi scarsa cultura della sicurezza possibilità che la password venga "carpita"
15
00 AN 15 corso_sicurezza_asur10 @ www.divini.net Login, identificatore di accesso un’informazione di solito un nome_utente che serve a identificare un utente della rete o di un servizio. essa viene inserita, di solito insieme alla parola chiave (password), per garantire il riconoscimento e l’autenticazione dell’utente da parte del servizio della rete.
16
00 AN 16 corso_sicurezza_asur10 @ www.divini.net Scarsa cultura della sicurezza non è raro vedere password scritte su post-it attaccati sul monitor scelta di password banali come ad esempio date di nascita, nomi comuni, parole presenti nel dizionario e combinazioni delle precedenti esistono dei sistemi automatici che cercano di forzare il sistema provando ad esaurimento password banali
17
00 AN 17 corso_sicurezza_asur10 @ www.divini.net scarsa cultura della sicurezza
18
00 AN 18 corso_sicurezza_asur10 @ www.divini.net scarsa cultura della sicurezza
19
00 AN 19 corso_sicurezza_asur10 @ www.divini.net Cultura della sicurezza una password non banale è composta di lettere, numeri e caratteri non alfanumerici come i segni di punteggiatura, senza un particolare significato, ed è lunga almeno otto caratteri
20
00 AN 20 corso_sicurezza_asur10 @ www.divini.net Una buona password
21
00 AN 21 corso_sicurezza_asur10 @ www.divini.net Problema - password "carpita" sbirciando da sopra la spalla di chi digita la password login spoofing - presentando una schermata identica a quella utilizzata dal sistema operativo per richiedere la password sniffing di rete - registrando le password che vengono trasmesse in chiaro attraverso la rete - quando si inserisce una password, è sempre necessario verificare che il canale utilizzato sia sicuro.
22
00 AN 22 corso_sicurezza_asur10 @ www.divini.net riferimenti Spazio di lavoro e risorse http://www.divini.net/dc/courses/ASUR10/ mariano maponi http://www.divini.net/maponi/ maponi@divini.net
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.