Securitatea datelor n sistemele informatice economice SECURITATEA DATELOR N SISTEMELE INFORMATICE ECONOMICE CUPRINS PARTEA I. SECURITATEA Capitolul 1.

Necesitatea asigurrii securitii datelor 1.1. Momente de referin care evideniaz nevoia de securitate a datelor n sistemele informatice 1.2. Studiul privind evoluia pierderilor datorate atacurilor n cadrul organizaiilor i principalele surse de atac 1.3. Obiective n asigurarea securitii datelor 1.4. Vulnerabilitatea datelor i msuri de contracarare 1.5. Aspecte generale privind asigurarea securitii datelor n sistemele informatice economice 1.6. Tehnologii de securizare a datelor i administrarea acestora Capitolul 2. Atacuri asupra datelor din sistemele informatice 2.1. Tipologia atacurilor asupra informaiei din reelele de calculatoare 2.1.1. Atacuri locale 2.1.2. Atacuri la distan 2.1.3. Niveluri de atac i niveluri de rspuns 2.2. Tehnici i instrumente de atac asupra datelor 2.2.1. O posibil tipologie a programelor maliioase 2.2.2. Instrumente de atac de tip Cai Troieni, Back Doors-uri i bombe 2.2.3. Sprgtoare de parole i utilizarea lor n testarea securitii firmei 2.2.4. Scanere i utilizarea lor n testarea securitii firmei 2.2.5. Folosirea interceptoarelor de trafic pentru accesul la informaia din cadrul firmei 2.2.6. Tehnica Social Engineering i impactul acesteia asupra securitii datelor firmei 2.3. Atacuri asupra bazelor de date 2.3.1. Particulariti ale securitii bazelor de date 2.3.2. Senzitivitate i afiri senzitive n cadrul datelor firmei PARTEA A II-A. TEHNOLOGII DE SECURITATE Capitolul 3. Politici i modele de securitate 3.1. Politici de securitate 3.2. Modele de securitate 3.2.1. Modelul Monitor 3.2.2. Modelul Graham-Denning 3.2.3. Modelul Bell-La Padula 3.2.4. Modelul Harrison-Ruzo-Ullman 3.2.5. Modelul Biba 3.2.6. Modelul Clark-Wilson 3.2.7. Modelul Chinese Wall 3.2.8. Modelul militar Capitolul 4. Tehnologii de securitate 4.1. Sisteme criptografice 4.1.1. Criptografia simetric 4.1.2. Criptografia asimetric 4.1.3. Semntura digital 4.1.4. Modaliti de utilizare a criptografiei n sistemele informatice economice 1

Securitatea datelor n sistemele informatice economice 4.2. Modaliti de utilizare a programelor antivirus n cadrul firmei 4.2.1. Detectarea viruilor 4.2.2. Alegerea i configurarea programului antivirus pentru firme 4.2.3. Reguli i restricii 4.3. Folosirea dispozitivelor firewall n cadrul firmei 4.3.1. Principii 4.3.2. Tipuri de dispozitive firewall 4.3.3. Alegerea, instalarea i configurarea firewall 4.3.4. Administrarea firewall 4.4. Scanere de vulnerabilitate 4.4.1. Tipuri de scanere 4.4.2. Scanere comerciale 4.4.3. Procedurile de scanare la nivel de firm 4.5. Controlul accesului i detectoare de intruziune 4.5.1. Modaliti de control al accesului 4.5.2. Stabilirea lungimii parolelor de acces 4.5.3. Detectoare de intruziune 4.5.4. Procesul de detectare a intruziunii la nivelul firmei 4.6. Securizarea bazelor de date 4.6.1. Tehnici de securizare 4.6.2. Arhitecturi pentru asigurarea securitii bazelor de date PARTEA A III-A. IMPLEMENTRI Capitolul 5. Analiza riscului de securitate 5.1. Analiza de risc i managementul riscului de securitate 5.2. Analiza cantitativ a riscului de securitate 5.2.1. Identificarea i evaluarea activelor (bunurilor firmei) 5.2.2. Determinarea vulnerabilitilor 5.2.3. Estimarea probabilitii de producere 5.2.4. Calcularea pierderilor anuale estimate 5.2.5. Analiza msurilor de control 5.2.6. Calcularea Rentabilitii Investiiei (RI). 5.3. Analiza calitativ a riscului de securitate 5.4. Analiza pe post a riscului de securitate Capitolul 6. Implementarea msurilor de securitate 6.2. Stabilirea etapelor principale pentru asigurarea securitii 6.2.1. Evaluarea riscurilor i clasificarea documentelor/datelor n cadrul firmei 6.2.2. Stabilirea drepturilor de acces 6.2.3. Definirea politicii de securitate 6.2.4. Planificarea, designul i implementarea tehnic a msurilor de securitate 6.3. Definirea cerinelor pentru mbuntirea securitii 6.4. Informarea personalului despre msurile de securitate impuse 6.5. Auditul i monitorizarea securitii 6.6. Externalizarea serviciilor de securitate Concluzii Bibliografie Anexe

Securitatea datelor n sistemele informatice economice

Cuvinte cheie folosite: analiz de risc, anti-virus, contramsuri, detector de intruziune, externalizare servicii de securitate, firewall, indice de securitate (financiar), managementul riscului, program de securitate, program maliios, risc, scanner, securitatea datelor, sniffer, social engineering, sprgtor de parole, virus, vulnerabilitate. O dat precis care s ateste primul furt electronic de informaie nu exist. Se poate spune c o prim etap n furtul electronic a nceput o dat cu apariia pirailor telefonici (phreaking). Acetia, folosind mijloace tehnice destul de simplu de realizat, ocoleau sistemele de securitate ale companiilor telefonice i puteau s vorbeasc pe gratis de la orice telefon. Prima operaiune de furt n domeniul telefoniei, i cea mai mediatizat la acea vreme, este consemnat n anul 1971, cnd John Draper a reuit s foloseasc gratuit liniile telefonice ale companiei AT&T. A doua etap este aceea in care phreaker-ul se conecteaz prin intermediul unei conexiuni telefonice (dial-up) la un modem care este ataat la un calculator mainframe. Dac mainframe-ul este conectat la Internet printrun alt modem, o conexiune Ethernet sau alt modalitate, phreaker-ul va avea acces la Internetul nesecurizat nc prin realizarea unei puni (bridge) n mainframe. Aceasta era situaia la nceputul anilor 80. Situaia avea ns s se schimbe. Consider c dou sunt datele care au marcat o cotitur n securitatea sistemelor de calcul i nu numai: 2 noiembrie 1988 i 11 septembrie 2001. Data de 2 noiembrie 1988 avea s constituie un moment de cotitur n ceea ce privete poziia referitoare la asigurarea securitii calculatoarelor. La acea dat un vierme (virus dup unii), lansat n Internet, infecteaz un numr de 60.000 de calculatoare de pe ntreg teritoriul Statelor Unite. Atacul a fost vzut ca ceva apocaliptic, dei nu erau raportate distrugeri de date. Cineva ptrunsese pentru prima dat n foarte multe calculatoare. Viermele a primit repede denumirea de Viermele Gigant (Giant Worm). Costurile necesare stoprii viermelui i testrii sistemelor infectate au fost estimate ntre 1.000.000 i 100.000.000 dolari. Atacurile asupra World Trade Center (WTC) i asupra Pentagonului cauzeaz pagube de peste 100 miliarde de dolari. Datorit existenei unor planuri de msuri n caz de dezastre, comunicaiile sunt refcute rapid, iar unele firme reuesc s revin online in 48 de ore de la atac. Dup aceste atacuri, att Statele Unite ct i alte state, i revizuiesc politica de securitate. Dac comparm pierderile suferite de firme, pe ultimii doi ani, din cauza diferitelor tipuri de atacuri, se poate constata c atacurile de refuz al serviciului (DoS) i cele generate de piratarea software genereaz pierderi de zeci de milioane de dolari anual fiecare. Dac majoritatea succeselor acestor atacuri se afl pe o pant descendent, atacurile de tip DoS sunt cele care se afl pe o pant ascendent. Securitatea calculatoarelor i propune s protejeze att calculatorul, ct i elementele asociate cldirile, imprimantele, modemurile, cablurile, precum i suporturile de memorie, att mpotriva accesurilor neautorizate, ct i altor ameninri care pot s apar. Securitatea calculatoarelor poate fi definit ca fiind ansamblul de msuri necesare asigurrii secretului informaiei mpotriva accesului neautorizat. n principal se urmrete asigurarea securitii informaiei stocate sau transmise. Din aceast cauz, securitatea calculatoarelor este deseori numit securitatea informaiei sau securitatea datelor.
3

Securitatea datelor n sistemele informatice economice

Vulnerabilitatea poate fi definit ca o slbiciune n ceea ce privete procedurile de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum i alte cauze care pot fi exploatate pentru a trece de sistemele de securitate i a avea acces neautorizat la informaii. Principalele vulnerabiliti n sistemele de calcul sunt: fizice, naturale, hardware, software, medii de stocare, radiaii, comunicaii i umane. Ameninrile la adresa securitii se pot clasifica n trei categorii: naturale/fizice, accidentale i intenionate. Ameninrile intenionate sunt i cele mai frecvente. Aceste ameninri pot fi categorisite n: interne i externe. Ameninrile interne vin din partea propriilor angajai. Acetia au acces mai uor la informaie, avnd de trecut mai puine bariere i tiind i o parte din politica de securitate a firmei. Ameninrile externe vin din partea mai multor categorii, i anume: agenii de spionaj strine, teroriti i organizaii teroriste, criminali, raiders, hackeri i crackeri. Asigurarea securitii datelor presupune realizarea a patru obiective: confidenialitatea, integritatea, disponibilitatea i nerepudierea. Securitatea nu este o destinaie. Securitatea, ca obiectiv, poate fi considerat c este o stare. Niciodat securitatea nu este perfect, indiferent de ce msuri se iau. ntotdeauna va exista o porti negndit prin care sistemul s fie atacat. Tehnologiile de securitate, menite s elimine riscurile i s limiteze pierderile sunt: control acces, firewall, programe antivirus, criptare fiiere, identificare digital, securitate fizic etc. Acestea sunt menite s limiteze accesul la informaie. Pe lng tehnologiile de restricionare, securitatea sistemelor trebuie administrat, monitorizat i ntreinut. Pentru aceasta trebuie efectuate urmtoarele operaii: prevenirea, detecia i rspunsul la intruziuni. Atacurile asupra informaiei din sistemele de calcul pot lua diferite forme. O prim clasificare a atacurilor poate fi fcut innd cont de locul de unde se execut atacul. Distingem dou categorii de atacuri: locale i la distan. O a dou clasificare poate fi fcut dup modul de interaciune a atacatorului cu informaia rezultat n urma unui atac reuit. Aici se disting dou categorii de atacuri: pasive i active. n majoritatea cazurilor trebuie s se fac fa urmtoarelor tipuri de atacuri: virui informatici, Cai Troieni i Back Doors-uri, spargatoare de parole, scanere, interceptoare de tarfic i atacuri social engeneering. O categorie aparte o reprezint atacurile asupra bazelor de date. La acestea se aplic contramsuri menite s le stopeze sau s le limiteze efectul: programe antivirus, firewall, analizoare de trafic, patch, fix, hotfix, sisteme de operare sigure, programe sigure, parole adecvate, educaia utilizatorului. Noiunea de virus informatic este general. Aceasta descrie un numr de diferite tipuri de atac asupra calculatoarelor. Pentru c existena unui cod maliios n sistemele de calcul are aciune diferit prin nsi construcia codului, este de preferat ca atunci cnd facem referire la aceste programe maliioase s se in cont de gruparea acestora n urmtoarele categorii: virui, viermi, Cai Troieni, bombe, ci ascunse (Trap Doors / Back Doors), spoofer-e, hoax (pcleli) etc. Un sprgtor de parole este un program care poate determina parolele sau care poate evita sau dezactiva protecia prin parole. Ca tehnici de atac pentru ghicirea parolei se folosesc urmtoarele: atac prin fora brut i atac
4

Securitatea datelor n sistemele informatice economice

folosind dicionare. Direciile pe care am mers au fost pentru aflarea parolelor de: Windows, screensavers, fiiere. Scanerul este un program utilitar folosit pentru detectarea automat a punctelor slabe n securitatea unui sistem. Cu ajutorul scanerului, un utilizator va putea s verifice, local sau la distan, punctele prin care se poate ptrunde ntr-un sistem i ulterior s acopere aceste goluri de securitate. Dac acest instrument este utilizat ns de o persoan ruvoitoare, care posed cunotine avansate n domeniu, securitatea calculatorului int sau a sistemului va fi serios afectat. Construite iniial pentru a crete securitatea, scanerele, ajunse de cealalt parte a baricadei, pot crea serioase probleme n asigurarea securitii. Un interceptor (sniffer) este o component, software sau hardware, proiectat s asculte i s captureze informaiile vehiculate n reea. Pentru capturarea traficului trebuie ndeplinite anumite condiii: arhitectura reelei s permit acest lucru sau configurarea plcii de reea n mod neselectiv (promiscuous). Plasarea unui interceptor ntr-o reea este posibil doar dac: atacatorul a gsit un gol n sistemul de securitate sau atacatorul este un angajat al firmei care dorete s sustrag informaie privat. Atacurile de tip social engineering folosesc natura uman pentru a putea s aib acces la informaii secrete. intele acestor atacuri sunt de regul oamenii creduli care fac parte din personalul angajat al firmei.. Atacurile asupra bazelor de date prezint cteva particulariti fa de restul informaiilor din firm, i anume: bazele de date reprezint marea mas a informaiilor cu care firma lucreaz; bazele de date pot dezvlui informaii private prin prelucrarea datelor publice. Principalele tipuri de atacuri asupra bazelor de date sunt: direct, indirect i prin urmrire. n cadrul sistemelor informatice economice criptografia se face simit la urmtoarele niveluri: hardware, aplicaie, transmisie de date, fiiere i foldere. Un program antivirus este un utilitar care detecteaz i anihileaz aciunea programelor maliioase. Programul antivirus va sesiza existena unui cod maliios (virus) n calculator folosindu-se de amprenta (semntura) lsat de fiecare program maliios (virus). O dat sesizat existena unui virus, programul antivirus va lansa n execuie o subrutin, vaccinul, care va anihila aciunea virusului. Pentru alegerea unui program antivirus trebuie s inem cont de urmtoarele criterii de alegere: platforma de lucru, numrul de virui care pot fi detectai, timpul de rspuns la un virus, existena opiunilor de scanare n reea, existena opiunilor de scanare n e-mail, protecia mpotriva scripturilor, scanarea n fiiere comprimate, existena suportului tehnic, perioada de timp pentru care se livreaz actualizri gratuite, renumele firmei, localizarea firmei productoare sau a distribuitorului i preul. n cadrul firmelor pot aprea probleme n folosirea programelor antivirus. Acestea sunt: scanarea de virui era greu de realizat de la fiecare staie, actualizare dificil de realizat pentru fiecare din staii, este greu de urmrit aciunea fiecrui program antivirus pe staiile de lucru. Pentru aceasta este necesar folosirea unui program antivirus care s permit protecia i monitorizarea de la o singur consol, actualizri sigure i constante, management centralizat. Un firewall este un sistem folosit pentru implementarea politicii de control a accesului ntr-o organizaie sau ntre organizaii. Acesta va proteja un calculator sau o reea mpotriva accesului neautorizat. Pentru alegerea unui
5

Securitatea datelor n sistemele informatice economice

firewall trebuie s se in cont de urmtoarele criterii: gradul de securitate, sistemul de operare i administrarea. Un detector de intruziune este un proces de detectare i rspuns la folosirea abuziv a calculatorului. Folosirea unui detector de intruziune va crea beneficii pentru firm n ce privete detectarea, stoparea, rspunsul la atacuri, suport n evaluarea pagubelor produse, precum i ca dovad care poate fi folosit n justiie mpotriva persoanelor bnuite de folosirea abuziva a calculatorului. n funcie de specificul i mrimea firmei, se poate opta pentru un anume tip de detector de intruziune. La nivelul firmelor mici aceste detectoare de intruziune se gsesc ncorporate n dispozitivele firewall existente. Analiza jurnalelor de firewall sau router va putea s evidenieze ncercri de intruziune. De asemenea, sistemele de operare au ca facilitate detectarea intruziunilor. Riscul poate fi definit ca o ameninate care poate s exploateze eventualele slbiciuni ale sistemului. Riscul este un eveniment care ateapt s se ntmple. Pentru a se prentmpina apariia unui eveniment care s afecteze securitatea sistemului trebuie luate msuri specifice. Aceste msuri poart denumirea de msuri de securitate. Analiza de risc presupune un proces de identificare a riscurilor de securitate, determinarea amplitudinii riscurilor, precum i identificarea zonelor cu risc mare i care trebuie securizate. Analiza de risc face parte din ansamblul de msuri care poarta denumirea de managementul riscului. Evaluarea riscurilor este un rezultat al unui proces de analiz a riscurilor. Managementul riscului poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimizare a evenimentelor care pot afecta resursele sistemului. Acesta include: analiza riscurilor, analiza costului beneficiilor, selecia mecanismelor, evaluarea securitii msurilor adoptate, analiza securitii n general. Sunt mai multe modaliti de abordare a riscului. Dintre acestea se disting cteva, i anume: analiza cantitativ, analiza calitativ, analiza pe post de lucru. Aceste analize de risc se fac cu precdere n cadrul firmelor mari i eventual n cadrul firmelor medii. Firmele mici nu au nici personal specializat i nici bani pentru a pltii o astfel de evaluare. Cu toate acestea, un minimum de msuri de securitate trebuie luate. Este tiut faptul c managerii de firme se las greu convini s investeasc n ceva care nu aduce profit direct. Iar atunci cnd se las convini de necesitatea disponibilizrii sumelor pentru asigurarea securitii, sumele alocate sunt sub limita celor impuse. n aceste condiii, trebuie s se asigure o securitate ale crei cheltuieli s nu depeasc o limit de sum alocat. Se poate vorbi despre o securitate impus financiar. Alternativele de rezolvare a acestei situaii sunt dou: acoperirea ameninrilor cele mai probabile, cu pstrarea metodelor de control iniiale sau acoperirea tuturor ameninrilor i reducerea costurilor msurilor de control. Prima msur va permite o securitate maxim pentru anumite ameninri, dar va lsa descoperite parial sau total alte ameninri. A doua msur va impune reducerea cheltuielilor necesare asigurrii controalelor pentru a putea s fie acoperite toate ameninrile posibile. Aceasta ar putea s se reflecte n modificarea i configurarea msurilor de control. Aceast a doua msur este de preferat primei, deoarece nu las vulnerabiliti neacoperite de msuri de control.
6

Securitatea datelor n sistemele informatice economice

Securitatea este greu de cuantificat. Pot doar s o estimez ca fiind de un nivel ridicat, mediu, minim sau deloc. Cu toate acestea, putem s facem o cuantificare (cel puin financiar) a nivelului de securitate. ntotdeauna implementarea securitii sau testarea i mbuntirea acesteia genereaz costuri de echipamente i umane. Indicele care-l propun ca s cuantifice securitatea n cadrul firmei se va referi la echipamente i n special la tehnica de calcul. Propun ca acest indice s poarte denumirea de ISf (indice de securitate financiar) i s poat s fie calculat cu ajutorul formulei: unde: Ce - costul echipamentului de tehnic de n calcul, Pi ponderea controlului, Cci costul Ce + Pi x Cc i i controalelor pentru echipamentul de tehnic de ISf = 1 Ce calcul aplicate. n destul de multe cazuri implementarea msurilor de securitate n cadrul firmei creeaz probleme. O parte dintre acestea sunt de ordin tehnic, altele financiar, iar altele uman. Stabilirea unui program de securitate este procesul prin care se ofer securitate firmei. Acesta presupune cinci pai: stabilirea personalului responsabil cu asigurarea securitii, stabilirea etapelor principale pentru asigurarea securitii, definirea cerinelor pentru mbuntirea securitii, informarea personalului despre msurile de securitate impuse, auditul i monitorizarea securitii. Sunt situaii n care asigurarea securitii presupune apelarea la firme specializate. Acestea pot face att studiul, ct i implementarea sau doar studiul urmnd ca implementarea s fie fcut cu fore proprii. De regul, se apeleaz la firme specializate cnd fie firma este mic, fie cnd cheltuielile cu meninerea nivelului de calificare al personalului cu asigurarea securitii sunt mari. Externalizarea serviciilor de securitate reprezint opiunea firmei pentru asigurarea serviciilor de securitate de ctre o alt firm. n acest caz se poate vorbi despre un Furnizor de Management Servicii de Securitate (FMSS). Acesta va furniza nu numai serviciile de securitate, ci i managementul acestora. Managementul Serviciilor de Securitate (MSS) nu va mai fi fcut de ctre firm, ci de ctre furnizorul de servicii. Securitatea nu este o destinaie, securitatea este un proces continuu.

Securitatea datelor n sistemele informatice economice CURRICULUM VITAE NUMELE: Burtescu PRENUMELE: Emil DATA NATERII: 23 iulie 1962 DOMICILIUL: Piteti, Str. C-tin Noica, bl. T1, sc. B, ap. 15 STARE CIVIL: cstorit SITUAIE MILITAR: stagiul militar satisfcut (1982-1983) STUDII: 1985-1990 Universitatea Politehnic Bucureti, facultatea Aeronave, specializarea Instalaii de bord 1977-1981 Liceul Industrial Electroaparataj Bucureti, specialitatea Electrotehnic ACTIVITATEA PROFESIONAL: 1993 prezent lector universitar la Universitatea Constantin Brncoveanu, Piteti, Facultatea de Management Marketing n Afacerile Economice i Facultatea de Finane Contabilitate n cadrul catedrei de informatic am desfurat urmtoarele activiti: - seminarizarea cursurilor de Bazele informaticii, Bnci de date i Sisteme informatice (titulari de curs prof. univ. dr. Lungu Ion i prof. univ. dr. Surcel Traian, Academia de Studii Economice, Bucureti); - prelegeri la cursurile de Bazele informaticii i Bnci de date. 1995 prezent manager IT&C - dotarea cu tehnic de calcul a universitii i facultilor; - dotarea cu software a universitii i facultilor; - proiectarea, execuia i ntreinerea reelelor de calculatoare Novell netWare 3.12, precum i a reelelor de calculatoare Windows 9X/2000 pentru universitate i pentru faculti; - depanare i ntreinere tehnic de calcul; - elaborare de programe pentru evidena taxei colare, situaie absene, situaii colare etc. 1990-1993 inginer la ntreprinderea Electrotehnic Industrial (IEI actualmente Elprof S.A.) n cadrul societii am participat la urmtoarele proiecte: - instalaie numeric de selecie a intelor mobile (INSTM); - asimilarea n fabricaie romneasc a licenelor EAS (Frana) pentru radiocompas de aviaie i TRT (Frana) pentru radioaltimetru; - testarea i execuia seriei 0 pentru echipamente de comunicaii digitale aeroportuare; - sistem de paging intern; - optimizarea sistemului de alimentare la mina antitanc MAT-80; - dotarea cu echipament de tehnic de calcul a compartimentului n care lucram. COLABORRI: - Implementare i ntreinere reele Novell NetWare 3.12 la diferite firme (S.C. Alfa Motor Technology S.R.L., Piteti, S.C. Alcadibo Trading S.R.L., Piteti) - Implementare i ntreinere programe financiare CIRL la diferite firme i licee (S.C. Alfa Motor Technology S.R.L., Piteti, S.C. Alcadibo Trading S.R.L., Piteti, S.C. Auto Mondostar S.R.L., Piteti, Liceul Economic, Piteti etc) LIMBI STRINE CUNOSCUTE: englez, francez. 8