Problematica abordat:

Modelul client-server. Ameninrile i vulnerabilitatea sistemelor informatice.

Cunoaterea atacurilor asupra sistemelor informatice integrate.
Securitatea i protecia n sistemele informatice integrate. Standarde i
recomandri de securitate a sistemelor informatice. Elemente din criptografia
computaional utilizate n securitatea conectrii la Internet. Protecia i securitatea
bazelor de date distribuite. Contravenii i infraciuni contra confidenialitii i
integritii datelor i sistemelor informatice

Introducere n problematica securitii informatice

Un agent economic performant i eficient are implementat un sistem informatic
integrat bazat pe o reea de calculatoare i de comunicaii i lucreaz pe Internet. n
capitolul 2 au fost scoase n eviden principalele avantaje ale utilizrii unui sistem
informatic integrat. Din pcate, alturi de aceste avantaje majore, exist i cteva
dezavantaje importante (puncte slabe). Dintre aceste dezavantaje, cel mai semnificativ
este reprezentat de diversificarea ameninrilor i creterea vulnerabilitii sistemului
informatic la o diversitate de ameninri, dintre care unele iau forma atacurilor
informatice.
Reeaua Internet reprezint o structur deschis (open system) la care se poate
conecta un numr mare de calculatoare i de aceea este foarte greu de controlat. Un
aspect important pentru reelele de calculatoare, deci al lucrului pe Internet l constituie
securitatea informaiilor. Internet-ul dispune de adrese ale diferitelor moduri i servicii
care pot fi uor determinate de orice posesor de PC cu modemuri care pot ,,fora anumite
servicii cum sunt: conectarea la distan (telnet), transferul de fiiere (ftp) sau pota
electronic (e-mail). Deoarece o reea de calculatoare reprezint o structur deschis
pentru conectarea de tipuri noi de echipamente, ea devine necontrolabil i vulnerabil.
Vulnerabilitatea reelelor se poate manifesta prin posibilitatea distrugerii sau modificrii
informaiei (ceea ce se numete i atac la integritatea fizic) i prin posibilitatea utilizrii
neautorizat a informaiilor (adic utilizarea lor neautorizat de un cerc mai larg de
utilizatori dect cel stabilit). Securitatea informatic are ca aspecte:
integritatea resurselor unei reele, nseamn disponibilitatea indiferent de
defectele hard sau soft, precum i protejare la ncercri ilegale de sustragere sau
modificare a informaiilor;
caracterul privat care este dat de dreptul individual de a controla sau influena
ca informaie referitoare la o anumit persoan poate fi rememorat n fiiere sau baze de
date i cine are acces la aceste informaii. De remarcat este faptul c o informaie este
vulnerabil la atac n orice punct al unei reele, de la introducere pn la destinaia final,
ea fiind mult mai uor de atacat dac trece prin linii de comunicaii.

1.1. Arhivarea electronic

Sistemul informatic destinat pentru arhivarea documentelor este sistemul
informatic care asigur preluarea, stocarea, organizarea, controlul, accesul i diseminarea
documentelor, ntr-o manier rapid, precis, facil i sigur (trusted). Legea arhivrii
electronice se afl nc pe site-ul MCTI n faz de proiect. Aceast lege a arhivrii
electronice ar apare ca o completare la prevederile Legii nr.16/1991 privind Arhivele
Naionale.
Arhivarea electronic a documentelor prezint avantaje legate de economiile de
cheltuieli i de spaiu fizic de depozitare, de mbuntirea problemei manipulrii
documentelor, mrirea vitezei de acces la documente, de asigurarea unor condiii sigure
de pstrare a documentelor fragil etc.
n proiectul Legii arhivrii electronice sunt prevzute mai multe grupe distincte
destinate stocrii datelor:
stocarea strategic (companiile publice i cele private care lucreaz cu publicul);
documentele facsimil, captri de imagini dup documentele pe hrtie;
centrele de recuperare a datelor dup producerea unor dezastre;
sistemul de back-up.
Toate tranzaciile ce se vor efectua n Sistemul Informatic Integrat (SII) i n
Sistemul Electronic Naional (SEN) vor fi cu criptare cheie public cheie privat.
Arhivele electronice sunt depozitate n centre de date autorizate.
Titularul dreptului de dispoziie asupra documentului electronic este persoana
fizic sau juridic proprietar sau emitent a documentului ce are dreptul de a stabili i
modifica regimul de acces la document. Regimul de acces la document reprezint gradul
n care se acord dreptul de acces la documentul electronic de ctre titularul dreptului de
dispoziie asupra documentului. Orice persoan fizic sau juridic are dreptul de a depune
spre pstrare documente electronice n arhive electronice cu condiia de a respecta
prevederile legale. Furnizarea serviciilor de arhivare electronic se asigur de ctre ageni
economici acreditai (administratori de arhiv). Administratorul arhivei electronice
dispune de proceduri de securitate i de conservare declarate.
Cerinele pentru depunerea unui document electronic n arhiv sunt:

utilizarea i valabilitatea semnturii electronice n form extins de ctre titularul

dreptului de dispoziie;

depunerea cheii de criptare i de decriptare pentru documentele criptate;

completarea fiei electronice a documentului.

Fia electronic a documentului conine, n principiu, urmtoarele informaii:
identificatorul unic al documentului electronic, proprietarul i emitentul documentului
electronic, titularul dreptului de dispoziie, tipul, nivelul de clasificare i istoricul
documentului electronic, tipul formatului digital de arhivare a documentului, cuvintecheie de regsire a documentului electronic, elementele de localizare ale suportului
fizic.
Evidena documentelor electronice din arhiv se ine n cadrul unui registru
electronic cu acces public pentru documentele electronice cu acest caracter. Regimul de
acces la un document electronic este stabilit de ctre titularul dreptului de dispoziie.
Administratorul arhivei electronice elibereaz la cerere copii, extrase sau certificate de
pe documentele electronice ce se refer la utlizator (solicitant).
2

Dintre firmele care ofer deja soluii de arhivare electronic a documentelor, se

menioneaz: Crescendo, Indaco Systems, Xerox, Konica Minolta, NETVision Systems,
Total Sodt, Star Storage etc. Organizarea documentelor n arhivele electronice este de tip
bibliotec.
1.2. Modelul client-server
Pentru ca agentul economic s neleag de unde provin aceste ameninri i cum
apar vulnerabilitile, se prezint mai nti modelul de baz pe care se fundamenteaz
funcionarea reelei de calculatoare i de comunicaii. Acest model este constituit de
modelul client/server, susinut de arhitecturi adecvate n funcie de numrul de entiti
componente ale lanului de lucru n reea a unei aplicaii ale crei elemente prezentare,
procesare i date se gsesc pe acelai calculator sau sunt distribuite pe calculatoare
diferite (n varianta standard, datele sunt stocate pe server, procesarea este divizat ntre
server i client, iar prezentarea aparine clientului). Aceste arhitecturi client/server pot fi
cu dou entiti (two-tier), cu trei entiti (three-tier) sau cu mai multe entiti (n-tier).
Toate calculatoarele care se gsesc ntre server i client alctuiesc ceea ce se denumete
generic middleware (mediul de mijloc).
Serverul, ca noiune de baz, prezint dou accepiuni:
un calculator dedicat pe care este instalat un soft pentru gestionarea accesului ntr-o
reea local de calculatoare (LAN), inclusiv gestionarea accesului la resursele din reea
din partea calculatoarelor staii de lucru (workstations);
un program (conceput pe un model de proces distinct) sau un calculator care rspunde
cererilor (requests) adresate de entitatea denumit client; clientul, n acest caz, este un
proces care are nevoie de un serviciu pe care trebuie s i-l furnizeze serverul.
Ca urmare, noiunea de server trebuie considerat n reea sub cele dou aspecte
hard-soft (dualitatea hard-soft). Cea de-a doua accepiune prezentat mai sus pentru
server, caracterizeaz arhitectura client/server ce permite divizarea procesului specific
aplicaiei n dou componente distincte, denumite client ( front-end ) i server ( backend ). De regul, componenta client este reprezentat de un calculator mai puin
pretenios, independent, ce se prezint utilizatorului cu toate resursele la dispoziie. Spre
deosebire de aceasta, componenta server este un sistem de calcul (microcalculator
puternic, minicalculator sau un calculator mare - mainframe) cu caracteristici tehnologice
maximale momentului implementrii n mediu distribuit (gestionare date, partajare
resurse ntre clieni, securitate sporit, administrare avansat n cadrul reelei de
calculatoare i de comunicaii).
1.3 Arhitectura client-server
Cu ajutorul arhitecturii client-server se obine: conectarea n reea a mai multe
calculatoare de diferite tipuri (mainframe i microcalculatoare), tratarea unitar a bazelor
de date aflate pe diferite calculatoare din reea, colaborarea categoriilor de utilizatori
(utilizatori finali, administratori ai bazelor de date, programatori).
ntre entitatea client i cea de server se poart un dialog permanent sau n anumite
momente, de tipul cerere (request) - rspuns (response). Clientul, prin adresarea cererii
de serviciu ctre server, interogheaz baza de date ce se gsete stocat pe server.
Serverul gestioneaz baza de date i rspunde interogrii adresate de client. n dialogul
client-server, pot exista urmtoarele cazuri: client-server, client pasiv i server pasiv.

Cazul cu client pasiv se ntlnete atunci cnd se realizeaz conexiuni cu prelucrare gazd
(host procesing) pe un server de tip mainframe, iar clientul este un terminal cu rol
neimportant n execuia operaiilor necesare efecturii dialogului. Cazul cu server pasiv
se constat atunci cnd cele mai multe aplicaii se efectueaz de ctre client, serverul
ndeplind doar rolul de server de fiiere (File Server) i/sau server de imprimare (Print
Server). Cel mai eficient caz este cel reprezentat de client-server cnd activitile sunt
divizate n mod echilibrat ntre client i server.
Exist i situaia n care cele dou entiti, server i client, sub aspect software,
pot coexista pe acelai calculator. Dac cele dou entiti sunt instalate pe acelai
calculator, atunci acest calculator are instalat un sistem de operare pentru multi-procesare,
deoarece clientul i serverul reprezint procese distincte. n reeaua de calculatoare i de
comunicaii, un client poate adresa cereri ctre mai multe servere. De asemenea, un
server poate rspunde la cererile adresate de mai muli clieni. n evoluia sa, arhitectura
client-server a cunoscut mai multe generaii:
generaia I, care se caracterizeaz prin faptul c server-ul stocheaz baza de date
relaional, iar clientul stocheaz i execut aplicaia client. Cererile SQL sunt formulate
de aplicaia client ctre SGBDR de pe server. Execuia acestor cereri de interogare i
transmiterea rspunsului se efectueaz de ctre entitatea server. Entitatea client poate
executa urmtoarele apeluri la transport:
- SendRequest, ceea ce nseamn: clientul anun serverul asupra operaiilor ce urmeaz a
fi executate;
- ReceiveReply, prin care se asigur recepionarea rspunsului de la server de ctre client.
n acelai timp, la entitatea server, apelurile specifice sunt urmtoarele:
- ReceiveRequest, care semnific faptul c entitatea server recepioneaz cereri de
interogare de la entitatea client ;
- SendReply, care nseamn c serverul transmite rspunsul ctre entitatea client, rspuns
ce corespunde cererii de interogare adresate anterior.
generaia a II-a, caracteristic anilor 90, orientat pe obiecte. Entitatea server asigur
mai multe clase de servicii clienilor: execuia aplicaiilor; interfee grafice destinate
dialogului cu utilizatorul; accesul la fiierele i bazele de date administrate de SGBDR
de pe server.
Exist mai multe tipuri de client-server, n funcie de importana acordat unei
sau alteia dintre componentele triadei stocare prelucrare prezentare:
1) client - server de prezentare, n care un proces este destinat funciei de asigurare a
dialogului cu utilizatorul, iar celelalte procese considerate realizeaz gestionarea datelor
i execuia aplicaiilor;
2) client - server de date, n care utilizatorul are acces la datele administrate de server
utiliznd o aplicaie-client, cu ajutorul cererilor de interogare SQL;
3) client - server de proceduri pentru prelucrare, n care aplicaia-client poate realiza
controlul execuiei procedurilor stocate pe server prin intermediul unei interfee
specializate.
Cel mai rspndit este tipul combinat client-server de date, de prezentare i de
proceduri pentru prelucrare care prezint urmtoarele componente (fig.1.1):
clienii, care se ocup cu gestionarea codului aplicaiei client i care dispun de interfae
interactive i prietenoase cu utilizatorii finali;

 serverul, care stocheaz baza de date, gestioneaz conectarea i accesul la baza de date,
gestioneaz logica aplicaiei, asigur securitatea bazei de date;
reeaua, care asigur conectarea i comunicarea dintre clieni i server (1) i ntre
servere (2). n general, aplicaiile client-server pot fi aplicaii cu baze de date distribuite,
aplicaii de pot electronic, aplicaii financiar-contabile, aplicaii groupware (ce permite
unui grup de utilizatori dintr-o reea s colaboreze la realizarea unui anumit proiect i
care ofer servicii de comunicaii (e-mail), de planificare i de administrare a proiectelor,
de elaborare n comun a documentelor de diferite tipuri text, multimedia) etc.

Stocare baz de date

Conectare i acces la baza de date
Gestionare logic aplicaie
Asigurare
securitate baz
de date
Fig.1.1
Arhitectura
client-server

Gestionare cod aplicaie client

Interfa interactiv cu utilizatorul
final

de date, de prezentare i de proceduri pentru prelucrare

Avantajele utilizrii arhitecturii client-server sunt multiple, dintre acestea

menionndu-se: administrarea centralizat, de pe server, a bazei de date; micorarea
dimensiunilor aplicaiilor; reducerea traficului n reea; securitate sporit a bazelor de
date stocate pe server; manipularea de ctre utilizatori, conform drepturilor de acces, a
procedurilor stocate.
n aplicaiile de baze de date pe Web se utilizeaz arhitectura cu trei niveluri:
client, aplicaie i date. Nivelul client permite unui utilizator s comunice cu baza de
date prin Web, cu ajutorul unei interfee specializate asigurate de ctre browser-ul Web la
dispoziie.
Nivelul aplicaie reprezint nivelul cu aplicaii la ndemna utilizatorului final, pe
serverul Web care, prin intermediul protocolului HTTP, recepioneaz cererile clienilor,
le prelucreaz i le transmite ctre o alt aplicaie sau/i ctre nivelul de date. Nivelul
date conine sistemul de gestiune a bazelor de date (SGBD), care conin, de regul, date
multimedia.
Dintre diversele familii de servere de baze de date de firm existente pe pia
(Oracle, Sybase, Informix, Microsoft .a.), se ia ca exemplu produsul Microsoft SQL
Server. Acesta face parte din categoria serverelor de baze de date, care lucreaz cu
aplicaii de tipul client-server i care presupune acces concurent la o anumit baz de
date. Referirile se efectueaz la versiunea Microsoft SQL Server2000 care a fost
precedat de versiunea Microsoft SQL Server 7.0. n momentul redactrii prezentei
lucrri, este anunat versiunea Microsoft SQL Server 2005.
Stocarea informaiilor pe serverul de baze de date Microsoft SQL Server se face n
baze de date, fiiere i grupuri de fiiere. Microsoft SQL Server dispune de un sistem de
securitate propriu, pe baz de identificatori i conturi de utilizatori ai bazelor de date.

SQL Server asigur crearea i gestionarea rolurilor la nivel de server, la nivelul

unei baze de date i la nivel de aplicaie; de asemenea, asigur permisiuni care pot fi
alocate utilizatorilor i rolurilor. Rolurile SQL Server asigur gruparea numelor
utilizatorilor bazelor de date (grupuri Windows, utilizatori Windows sau identificatori
SQL Server). Atribuirea unui identificator pentru rol la nivel de server se efectueaz cu
ajutorul SQL Enterprise Manager. Rolurile la nivel de aplicaie asigur aplicarea
permisiunilor la un nivel mai nalt dect nivelul pe care se gsete fiecare utilizator.
Atunci cnd o aplicaie activeaz un rol la nivel de aplicaie, se produce suspendarea
tuturor permisiunilor utilizatorului. Activarea rolurilor necesit parole (passwords).
Fiecare baz de date cuprinde roluri (exist nou roluri fixe sau predefinite i pot exista
roluri ale utilizatorului) pentru care exist proceduri. Fiecare rol al unei baze de date
acord utilizatorilor un numr de permisiuni i capabiliti. Numele rolului este necesar
s fie unic la baza de date. Apartenena la un rol fix al unei baze de date nu are legtur
cu permisiunile acordate pentru o alt baz de date.
SQL Server permite realizarea salvrilor de siguran (backup).
Instana n SQL reprezint o copie independent a unui server de baze de date pe
un calculator din categoria platformelor Microsoft Windows. Microsoft SQl Server
permite execuia a cel mult 16 astfel de instane. Instanele SQL Server pot fi prestabilite
(este acceptat o singur instan prestabilit pe un anumit calculator) sau pot fi
denumite (acele instane crora li s-a dat un nume la instalare). Doua instane denumite de
pe acelai calculator nu sunt acceptate cu acelai nume.
Firma Microsoft a realizat controlul fiecrui serviciu oferit prin mai multe metode
realizabile prin utilitare i instrumente asociate SQL Server (instalate ntr-o copie unic,
indiferent de numrul de instane instalate ale SQL Server). Utilitarele se gsesc n
meniul Start al SQL Server. n afar de aceste utilitare de baz, au fost realizate
instrumente pentru conectare, pentru diagnosticarea serverului i pentru ntreinere.
n continuare, se explic procesul de replicare deoarece agentul economic trebuie
s tie c acest proces poate genera elemente de insecuritate. Procesul de replicare n
SQL Server este un proces complex ce utilizeaz un scenariu de tip editor-abonat la care
sunt asociate articole i publicaii. Abonaii sunt calculatoarele utilizatorilor de date. Un
sistem SQL Server poate juca n scenariul de tip editor-abonat unul, dou sau trei roluri
din mulimea de roluri {editor, abonat, distribuitor}. Rolul de distribuitor presupune
recepionarea tuturor modificrilor efectuate de abonai sau editori, memorarea acestor
date i apoi trimiterea lor la editori sau abonai, la un anumit moment. Articolul reprezint
un tabel sau o mulime de date dintr-un tabel, obinut prin partiionare. Publicaia este
ansamblul mai multor articole combinate. Articolele i publicaiile pot fi primite de
abonai prin efectuarea de abonamente. Abonamentele pot fi configurate n abonamente
de intrare (configurate la nivelul fiecrui abonat) i abonamente de ieire (configurarea
abonamentului se produce simultan cu crearea publicaiei).
Replicarea asigur un mediu de lucru ce faciliteaz duplicarea i distribuirea mai
multor copii (replici) ale acelorai date, n mai multe baze de date din reea (n mai multe
locaii). n distribuirea datelor prin aceast metod se au n vedere autonomia locaiei,
consistena tranzacional (care nu trebuie s afecteze consistena datelor) i latena
distribuirii (ntrzierea).
Microsoft SQL Server permite utilizarea urmtoarelor metode de distribuire a
datelor:

 replicarea cu combinare (fiecare locaie i poate modifica copia local a datelor

replicate, astfel nct editorul combin modificrile primite de la aceste locaii);
replicarea copiilor integrale (prin transferul unei copii de ansamblu a datelor
replicate de la editor la abonai);
replicarea tranzacional (adic tranzaciile sunt copiate de pe serverul editor la
abonai, fr existena reversului de la abonai la editor);
abonarea cu actualizare (la care acualizarea poate fi imediat, cu fir de ateptate sau
combinat imediat i cu fir de ateptare);
replicarea copiilor integrale cu actualizare la abonai (prin aceasta, abonatul nu este
necesar s se afle n contact permanent cu editorul);
replicarea tranzacional cu actualizare la abonai ;
tranzaciile distribuite (cu aplicarea simultan a tranzaciilor la toi abonaii).
Replicarea este asigurat de cinci ageni: agent de distribuie, agent de citire din
jurnalele de tranzacii specifice tuturor bazelor de date publicate, agent de combinare,
agent de copiere i agent de citire din firul de ateptare.
Datele pot fi publicate pe Internet prin mai multe metode. Una dintre cele mai
sigure metode este tehnologia reelei private virtuale, VPN (Virtual Private Network).
Prin VPN se pot conecta dou reele prin utilizarea Internetului, cu protocoalele specifice,
folosind servere proxy (intermediare) ctre serverele SQL.
SQL Server folosete patru baze de date astfel:
- master, ce conine configurrile SQL Server-ului, precum i date care privesc utilizatorii
bazei de date;
- model, ce reprezint o baz de date model, care se duplic de fiecare dat cnd
utilizatorul creeaz o baz de date nou;
- tempdb, ce este o baz de date care stocheaz tabele temporare i rezultatele
intermediare ale unor interogri;
- msdb, ce este utilizat de SQLServerAgent pentru memorarea datelor cu privire la
sarcinile periodice (salvarea bazei de date, salvarea jurnalului etc).
O baz de date SQL Server este organizat pe mai multe niveluri: componente
logice ce sunt transparente utilizatorilor; tabele (tables) care conin nregistrri ale bazei
de date; vederi (views); indeci (indexes); proceduri stocate (procedures); declanatori
(triggers). Fizic, o baz de date include cel puin dou fiiere (fiier primar de date,
primary data file, cu date i referine asupra celorlalte fiiere ale bazei de date; fiierul
jurnal care nregistreaz toate modificrile efectuate n baza de date). n cazul bazelor de
date foarte mari, pot exista i fiiere secundare (secondary data file).
La fiecare instalare a produsului Microsoft SQL Server sunt generate mai multe
baze de date: master, model, tempdb i msdb, precum i baze de date utilizator (pubs,
Northwind).
Crearea unei noi baze de date este echivalent cu execuia unei copii a bazei de
date model, prin extinderea pn la dimensiunea dorit, spaiul suplimentar fiind
completat cu pagini goale. Baza de date astfel creat utilizeaz fiiere pentru stocarea
fizic a datelor pe discul magnetic.
Salvarea bazelor de date n SQL Server se efectueaz complet, diferenial i prin
salvarea jurnalelor de tranzacii cu ajutorul SQL Server Enterprise Manager sau cu
limbajul structurat de interogare Transact-SQL. Copiile de siguran (backup) servesc

pentru o restaurare a bazelor de date n caz de defectri ale serverului sau de atacuri
informatice.
SQL Server are pus la punct un scenariu de restaurare a bazelor de date n caz de
dezastre. Se poate realiza recuperare automat sau manual. Recuperarea automat
reprezint un proces care se deruleaz la fiecare pornire a serviciului SQL Server. Ca
urmare, atunci cnd serverul se decupleaz din diferite motive, inclusiv la avarii, procesul
de recuperare automat se pornete la repornirea serverului. La terminarea acestui proces
de recuperare automat, bazele de date rmn ntr-o form consistent din punct de
vedere logic. Pentru recuperarea tuturor bazelor de date, SQL Server utilizeaz baza de
date model, dup care se creeaz baza de date tempdb, se restaureaz baza de date msdb
i, n final, bazele de date ale utilizatorilor. Recuperarea manual reprezint procesul de
recuperare a unei baze de date a utilizatorului, prin restaurarea unei copii complete a
bazei de date (sau copie diferenial) sau restaurarea uneia sau mai multor copii pentru
jurnalul de tranzacii, n ordinea n care au fost generate. n momentul restaurrii baza de
date nu trebuie s fie n uz (s nu fie activ comanda USE). Pentru aceasta, trebuie reperat
setul corespunztor de copii de siguran (cu comenzile RESTORE LABELONLY, RESTORE
HEADERONLY, RESTORE FILELISTONLY). n continuare, se verific dac setul salvat este
utilizabil (RESTORE VERIFYONLY), se restaureaz complet sau difereniat baza de date i
jurnalul de tranzacii. Scenariile de recuperare sunt construite pentru diferite situaii ca
recuperarea datelor dup defectarea unui disc, recuperarea datelor dup pierderea bazei
de date master,
SQL Server asigur, aa cum s-a precizat mai sus, servicii de extragere a
datelor din bazele de date operaionale i de construire a depozitelor de date,
dup care aceste date din depozite sunt supuse analizei de tip OLAP.
Microsoft SQL Server prezint urmtoarele avantaje:
- portabilitatea, adic capacitatea de a funciona pe o mare varietate de platforme
hardware;
- compatibilitatea modelului de programare cu modelele folosite n ntreaga gam de
sisteme de operare Microsoft Windows (95, 98, 2000, XP);
- optimizarea capabilitilor sale pentru lucrul cu baze de date mari;
- execuia rapid a interogrilor SQL;
- posibilitatea de extragere i analiz a datelor pentru baze de date multidimensionale;
- facilitatea de integrare cu alte produse software Microsoft.