suport de curs

1



Cuprins


CAPITOLUL 1 NECESITATEA ASIGURARII SECURITATII DATELOR.............................. 3
1.1. Momente de referinta care evidentiaza nevoia de securitate a datelor in sistemele
informatice ................................................................................................................................... 3
1.2. Studiul privind evoluia pierderilor datorate atacurilor n cadrul organizaiilor i
principalele surse de atac ............................................................................................................. 8
1.3. Obiective n asigurarea securitii datelor............................................................................. 8
1.4. Vulnerabilitatea datelor i msuri de contracarare................................................................ 9
1.5. Aspecte generale privind asigurarea securitii datelor n sistemele informatice economice
.................................................................................................................................................... 14
1.6. Tehnologii de securizare a datelor i administrarea acestora.............................................. 21
CAPITOLUL 2 SECURITATEA SISTEMELOR INFORMAIONALE................................... 23
2.1 Mecanismul de protecie al unui sistem informatic ............................................................. 23
2.2 Securitatea fizic a sistemelor informatice .......................................................................... 33
2.3 Rolul personalului n securitatea sistemelor informatice..................................................... 39
Bibliografie ................................................................................................................................ 42



2
CAPITOLUL 1 NECESITATEA ASIGURARII SECURITATII
DATELOR
1.1. Momente de referinta care evidentiaza nevoia de securitate a
datelor in sistemele informatice
O data precisa care sa ateste primul furt electronic de informatie nu exista. Se poate
spune ca o prima etapa in furtul electronic a inceput o data cu aparitia piratilor telefonici
(phreaking). Acestia, folosind mijloace tehnice destul de simplu de realizat, ocoleau
sistemele de securitate ale companiilor telefonice si puteau sa vorbeasca pe gratis de la
orice telefon public. Dispozitivul portabil folosit era o cutiuta care continea un generator
de semnale digitale (tonuri) modificate care simula introducerea monedelor in aparat. De-
a lungul timpului s-au produs mai multe tipuri de astfel de ,,cutiute". Chiar si termenul de
phreaking a fost modificat in boxing. Fenomenul a luat o asa amploare in unele state
incat simpla detinere a unui astfel de dispozitiv putea duce la urmarirea, retinerea si
arestarea posesorului.
Activitatea de phreaking/boxing a primit un sprijin substantial din partea
detinatorilor de calculatoare. Acestia creau programe necesare cercetrii liniilor
telefonice. Unul dintre aceste programe este BlueBEEP.
Prima operatiune de furt in domeniul telefoniei, si cea mai mediatizata la acea
vreme, este consemnata in anul 1971, cand John Draper a reusit sa foloseasca gratuit
liniile telefonice ale companiei AT&T folosindu-se de un banal fluier care se livra ca
jucarie in cutiile de cereale Captain Crunch. Acest fluier genera un semnal cu frecventa
de 2.600 MHz care reusea sa pacaleasca liniile telefonice.
Daca la cercetarea liniilor telefonice cu ajutorul calculatorului echipat cu un modem,
in vederea descoperirii de noi tonuri sau conexiuni, se descoperea in retea un alt modem,
atunci optiunile erau multiple. Aceasta poate fi considerata ca fiind inceputul celei de-a
doua etape in activitatea de furt a informatiei. Phreaker-ul se conecteaza prin intermediul
unei conexiuni telefonice (dial-up) la un modem care este atasat la un calculator
mainframe. Daca mainframe-ul este conectat la Internet printr-un alt modem, o
conexiune Ethernet sau alta modalitate, phreaker-ul va avea acces la Internetul
nesecurizat inca prin realizarea unei punti (bridge) in mainframe.
Aceasta era situatia la inceputul anilor '80. Situatia avea insa sa se schimbe.
Consider ca doua sunt datele care au marcat o cotitura in securitatea sistemelor de
calcul si nu numai: 2 noiembrie 1988 si 11 septembrie 2001.
Etapa a treia aparine actualitatii. Orice cracker se poate conecta la Internet foarte
usor, folosind de la rudimentara conexiune dial-up si pana la serviciul GPR, de pe
telefonul mobil.
La inceputul anilor '80, informata era foarte des transportata pe discul flexibil. Din
aceasta cauza, primele atacuri, concretizate de aciunea virusilor, au avut ca purtatoare
tocmai aceste suporturi de memorie magnetica.
Primul virus, desi nu exista inca titulatura de virus, a aparut in anul 1981 si infecta
discurile flexibile de pe calculatoarele Apple II. Virusul purta denumirea de Elk Cloner si
nu facea nici un fel de pagube - afisa doar scurte mesaje pe ecran.

2
Cracker - Persoane care patrund deliberat, trecand peste sistemele de securitate, in sistemele de calcul.
3
General Packet Radio Service - Pachet general de servicii radio.

Definitia de virus informatic a fost data mai tarziu, in anul 1983, de care
programatorul Le Adleman, care a facut un experiment pe un calculator VAX 11/750
3
demonstrand functionarea unui virus.
Data de 2 noiembrie 1988
4
avea sa constituie un moment de cotitura in ceea ce
priveste pozitia referitoare la asigurarea securitatii calculatoarelor. La acea data, un
vierme (virus - dup unii), lansat in Internet, infecteaza un numar de 60.000 de
calculatoare de pe intreg teritoriul Statelor Unite. Acesta se imprastia cu repeziciune de la
calculatoarele din Cambridge, Massachusetts si Berkeley, California, la calculatoarele din
Princeton, apoi la NASA
5
Ames Research Center din Silicon Valley, California, la
Universitatea din Pittsburgh, la Los Alamos National Laboratory si la alte universitati,
baze militare si institute de cercetare. Viermele se multiplica in retea de la calculator la
calculator. O data instalat, se multiplica, lanseaza in executie noi procese care incetinesc
considerabil sistemul si reduc dramatic spatiul de pe disc. Daca se incerca stoparea
proceselor, atunci apareau altele care se multiplicau rapid. Intr-un final, calculatorul avea
de rezolvat atat de multe procese incat se oprea. Viermele colecta date despre utilizatorii
si calculatoarele pe care le infecta si exploata o serie de brese de securitate din sistemul
de operare UNIX, printre care sendmail debug si fingered daemon bug, care dezvaluie
date referitoare la persoanele conectate la o anume masina, precum si parolele acestora.
Cu toate acestea, viermele nu distrugea nimic. Comunitatea expertilor in UNIX se
mobilizeaza pentru a tine sub control viermele si pentru a-l distruge. Specialistii de la
CSRG
6
din Universitatea Berkeley, California, dezvolta in mai putin de 12 ore un
program menit sa stopeze imprastierea virusului. In aceeasi zi, specialistii de la
Universitatea Purdue dezvoltau si ei un program similar. Programele au fost distribuite
gratuit si viermele a fost stopat. Panica a fost asa de mare incat unele sisteme au fost
deconectate de la retea si in acest fel nu au beneficiat de programele distribuite pentru
stopare, ulterior distribuite.
Atacul a fost vazut ca ceva apocaliptic, desi nu erau raportate distrugeri de date.
Cineva patrunsese pentru prima data in foarte multe calculatoare. Viermele a primit
repede denumirea de Viermele Gigant (Giant Worm).
Costurile necesare stoparii viermelui si testSrii sistemelor infectate au fost estimate
intre 1.000.000 si 100.000.000 dolari.
Destul de repede a fost prins si vinovatul. Acesta era Robert T. Morris, student la
Universitatea Cornell. Tanarul a declarat ca programul produs de el era un experiment si
ca nu se astepta sa produca asemenea neajunsuri si sa se raspandeasca asa rapid. Cand si-
a dat seama de consecinte, inainte de a fi descoperit, Morris, cu ajutorul unui prieten, a
trimis prin retea instructiuni care sa ajute la stopare.
Pe 23 ianuarie 1990, Robert T. Morris a fost condamnat de un juriu din Syracuse,
New York, in conformitate cu 1986 Computer Fraud and Abuse Act, la cinci ani de
inchisoare, o amenda de 250.000 dolari, precum si la restituirea daunelor. Era prima
persoana condamnata intr-un astfel de proces. Ulterior, in luna mai 1990, pedeapsa a fost
comutata la trei ani cu suspendare, o amenda de 10.000 dolari, efectuarea a 400 de ore in
folosul comunitatii, precum si la o plata lunara.
4
3 noiembrie 1988, dupa alte surse.
5
NASA - National Aeronautics and Space Administration - Administratia Nationala Aeronautica si Spatiala.
6
CSRG - Computer Systems Research Group - Grupul de cercetare in sisteme computerizate.
7
DARPA-Defense Advanced Research Projects Agency - Agenda de cercetare proiecte avansate pentru aparare.
8
CERT- Computer Emergency Response Team - Echipa de raspuns in cazuri de urgenta.
4

Aparitia viermelui lui Morris a schimbat foarte multe din atitudinile referitoare la
securitatea in Internet. Impactul a fost asa de mare incat a creat o industrie ca va fi
finantata cu miliarde de dolari, dedicata cercetrii in domeniul securitatii calculatoarelor.
S-au creat foarte multe organizatii care vor fi gata sa acorde asistenta in cazul unui
eveniment similar. Una dintre ele a fost infiintata de DARPA
7
si purta denumirea de
CERT
8
, de la Institutul de Inginerie Software al Universitii Carnegie Mellon. Aceasta
dispunea de un numr de 100 de experi n securitatea calculatoarelor, putea fi apelat de
oriunde de pe teritoriul Statelor Unite i era menit s rezolve situaiile de criz care
puteau s apar. Departamentul de Energie al Statelor Unite i-a creat propriul centru
care s rspund cerinelor de securitate n domeniu.
Firmele productoare de software i-au angajat specialiti care s identifice
eventualele goluri de securitate (bug), asistnd cumprtorii n cazul unor atacuri. Un
foarte mare numr de universiti, institute de cercetare i alte agenii, din interiorul
Statelor Unite sau din afar, i-au stabilit organisme de rspuns n astfel de cazuri.
Lumea se schimbase. Publicul era mai avertizat i mai contient de ce se poate
ntmpla. Publicaiile au nceput s trateze serios problema viruilor i a altor pericole
care se pot rspndi n sistemele informatice, cu precdere pe Internet.
Cliff Stoll, angajat la Lawrence Berkeley Laboratory, pe parcursul anului 1988, a
atacat un numr de 450 de calculatoare din Germania de Vest, reuind s penetreze 30
dintre ele. n acest fel a putut avea acces la informaii strict secrete, cu caracter militar,
despre armele nucleare, biologice i chimice. Acuzat iniial de acces neautorizat, dup ce
s-a constatat c a vndut secrete KGB
9
-ului, acuzaia a fost schimbat n spionaj.
n anul 1990, un student australian, autointitulat Phoenix, a fost nvinuit c a
cauzat oprirea pentru 24 de ore a calculatoarelor de la NASA n Norfolk, Virginia. De
asemenea, a alterat informaiile de la Lawrence Livemore National Laboratory din
California.
n anul 1988, la mai multe agenii de transport aerian se descoper c cineva a
reuit s penetreze sistemul i s tipreasc rezervri ilegale de bilete de avion. Pentru
prima dat s-a pus problema dac nu cumva organizaiile teroriste au fcut acest lucru
pentru a avea acces la listele de pasageri. ntrebarea a fost repus apoi cnd membri ai
familiei regale din Kuweit au fost luai ostatici la bordul unui avion. Aceeai ntrebare a
fost pus i dup atentatele de la 11 septembrie 2001, cnd avea s se modifice dramatic
securitatea n aeroporturi, n sistemele informatice n general.
n luna aprilie 1986, un intruder, cunoscut sub numele de Captain Midnight,
reuete s mreasc neautorizat puterea de transmisie a unui canal HBO
10
transmind
propriul mesaj ctre milioane de telespectatori. Aceast aciune a adus n actualitate
posibila folosire n scopuri teroriste a acestor aciuni.
Evenimentul consemnat sub denumirea de Constitution Loss" se poate constitui ca fiind
cea mai grav eroare uman i de implementare a securitii. n anul 1991, nainte de
votul final al Constituiei din Columbia, un utilizator care

9
KGB - Komiter Gosudarstvennoi Bezopasnosti - Comitetul pentru securitatea statului.
10
HBO - Home Box Office.
11
Air Force - Forele Aeriene ale Statelor Unite.
5
trebuia s fac ultimele modificri la versiunea online face o greeal care are ca
efect pierderea datelor. Neexistnd o copie de siguran (backup), datele au fost refcute,
dup o munc laborioas, folosind ciornele membrilor comitetului de redactare a noii
Constituii columbiene.
n ianuarie 1988, la Universitatea Ebraic din Ierusalim se descoper c sute de
calculatoare sunt infectate cu un virus. Acesta se activa la fiecare zi de 13 a lunii, i care
era i vineri, ncetinea procesul de prelucrare i tergea datele pe data de 13 mai. Virusul
a mai fost denumit i Columbus Day sau Datacrime.
Un puti de 14 ani din Kansas reuete n anul 1989, folosind un calculator
Apple, s penetreze sistemul de poziionare a sateliilor aparinnd Air Force
11
. Reuete
s vorbeasc internaional neautorizat i s acceseze fiiere confideniale. Cnd a fost
prins, a declarat c voia s atrag atenia asupra sa pentru a fi angajat n funcie de
consultant de securitate a calculatoarelor.
Virus Flamble poate fi inclus ntr-o categorie aparte de virui. El acioneaz i
asupra echipamentului hardware prin creterea frecvenei de scanare orizontal a
fasciculului de electroni al monitorului peste limitele suportate admise. Ca efect,
monitorul ia foc. Acest virus a afectat n anul 1988 o companie de consultan din San
Jose, California. Din aceeai categorie de virui fac parte i cei care nchid i deschid cu o
frecven mare tvia de la CD-ROM atunci cnd calculatorul este lsat pornit noaptea.
Rezultatul este distrugerea cititorului de discuri.
n anul 1988, un cercettor care lucra pentru o comisie care investiga afacerile cu
Iranul descoper pe un calculator utilizat de Oliver North date secrete sustrase referitoare
la NSC
12
. Acestea fuseser transferate i apoi terse de pe un calculator, considerat sigur,
care aparinea Casei Albe. Evenimentul dovedea, dac mai era nevoie, ct de nesigure
erau sistemele.
Un manager al unei firme a reuit n anul 1984, manipulnd un calculator, s
transfere fonduri de 25.000.000 dolari ncercnd s pcleasc auditul.
n luna martie 1999, virusul Melissa reuete s blocheze serviciile de pot
electronic din ntreaga lume. Pagubele se estimeaz la 80 milioane dolari. Vinovatul este
gsit n persoana lui David Smith, programator, care dduse numele virusului dup cel al
unei dansatoare topless. Condamnat fiind, acesta execut mai muli ani de detenie n
nchisorile statale i federale din Statele Unite.
Love Letter Worm reuete s infecteze, ntr-o singur zi din anul 2000, 45 de
milioane de calculatoare.
n luna februarie 2000, activitatea multor site-uri de e-commerce, printre care
Yahoo!, E-Bay i E-Trade, a fost afectat de un nou atac de tip DoS
13
, denumit
Distributed Denial of Service (DDoS). Atacul se folosea de tehnologia client-server
pentru a concentra atacul asupra anumitor puncte. Vinovatul a fost gsit, dup luni de
cutri, n persoana unui tnr hacker.
n luna octombrie a aceluiai an, firma Microsoft a raportat c un hacker a reuit
s aib acces la o poriune din reeaua LAN proprie.
Pagina de web a Departamentului de Stat al Statelor Unite a fost atacat n luna
octombrie 2002 i umplut cu obsceniti. Din aceast cauz, funcionarea acesteia a
trebuit s fie ntrerupt.
Dup atacul din insula Bali din luna octombrie 2002, cnd Australia a impus
presiuni asupra grupurilor teroriste din Indonezia, presupuse responsabile de atac, peste
200 de site-uri australiene au fost atacate de hackeri din Indonezia.
nsi structura Internet a fost atacat n luna octombrie 2002. 13 servere de root
6
au fost afectare de DDoS i o mulime de utilizatori s-au vzut n imposibilitatea de a
efectua conexiuni.
O conferin mpotriva furtului de informaii din calculatoare a fost sabotat n
luna mai 2003. Hackerii au reuit s sustrag aproximativ 1000 de nume i adrese de e-
mail ale persoanelor participante la acea conferin.
Cazurile de virui, de fraudri cu ajutorul calculatoarelor i de vandalism/terorism
online au crescut dramatic n ultimii ani. S-a trecut de la infectarea sistemelor de calcul
clasice la infectarea sistemelor mobile de tip PDA
14
, precum i a telefoanelor mobile care
folosesc tehnologia digital.
Noile tehnologii informatice sunt folosite fie pentru a iniia un atac ajutndu-se de
acestea, fie ele nsele devin inta atacului. O parte dintre tehnologii, sub presiunea pieei,
sunt lansate pe pia fr ca acestea s fie suficient testate i din aceast cauz unele
prezint goluri de securitate. Iar aceste goluri de securitate sunt descoperite n primul
rnd de persoane ruvoitoare crora le face o plcere deosebit s raporteze aceste noi
descoperiri" i s le posteze mai nti pe site-urile de warez
15
, de unde pot fi folosite i de
ctre alii.
Cel mai greu lucru este acela de a dovedi intenia unei fraude n acest domeniu.
Trebuie dovedit c o penetrare a sistemelor de informaii a fost fcut deliberat. Acest
lucru este foarte greu, deoarece n majoritatea cazurilor cei care svresc asemenea acte
au grij s tearg urmele trecerii lor. Cu toate greutile ivite n asemenea cazuri, lumea
juridic este de acord c acest fel de fapte trebuie pedepsite. Colaborarea dintre victimele
unor atacuri de acest fel i reprezentanii legii este deficitar. Un incident raportat va
permite luarea de msuri ca acesta s nu se mai repete i s se ntmple i altor
organizaii.
Dei zilnic auzim de atacuri asupra sistemelor de calcul, marea majoritate a acestora
nu sunt raportate. Unele rapoarte estimeaz c aproximativ 90% dintre atacuri nu sunt
raportate n afara organizaiilor care au fost atacate, i numai o parte din cele raportate
sunt finalizate prin pedepse.
De fapt, de teama pierderii clienilor, unele firme (de regul bncile i marile
corporaii) prefer s cad la o nelegere cu intruderii/atacatorii n schimbul pstrrii a
unei pri din banii sustrai i al pstrrii tcerii. Un ajutor de programator de la o banc
comercial elveian a sustras 8.000.000 de lire sterline dintr-un cont al respectivei
bnci.
Descoperit fiind, n nelegere cu conducerea bncii c nu va fi deferit justiiei,
respectivul a promis c nu va spune nimnui despre intruziune i va putea pstra i
1.000.000 de lire sterline.
Cum trebuie ns aplicat legea? Toate aceste aciuni care se concretizeaz n
atacuri asupra securitii nu au i un revers? Patrie Leahy, senator democrat de Vermont,
la o interpelare pe aceast problem, spunea: Trebuie s-i pedepsim pe cei care ncalc
legea. Dar nu putem s frnm curiozitatea unui puti de 13 ani care, experimentnd
astzi, poate dezvolta mine o tehnologie informaional sau a telecomunicaiilor care
s duc Statele Unite n secolul XXI ca lider n domeniu. Ei reprezint ansa noastr ca
s rmnem o naiune competitiv tehnologic".
7


1.2. Studiul privind evoluia pierderilor datorate atacurilor n cadrul
organizaiilor i principalele surse de atac

Computer Security Institute (CSI)
16
realizeaz n fiecare an studii n cooperare cu
birourile din San Francisco ale Federal Bureau of Investigation (FBI)
17
pentru a
determina impactul diferitelor tipuri de atacuri asupra mediului de afaceri. Aceste studii
sunt folosite pentru ca la nivel de firm s se concentreze eforturile spre contracararea
celor mai frecvente atacuri.
Persoanele chestionate fac parte din mediul de afaceri i IT&C din cadrul
corporaiilor de pe teritoriul Statelor Unite, al ageniilor guvernamentale, instituiilor
financiare i al universitilor. Primele studii au fost fcute n anul 1999. Studiile se
bazeaz pe un numr de 530 de persoane chestionate din diferite domenii de activitate;
nalta tehnologie - 17%, financiar - 15%, manufacturier - 11%, medical - 8%, federal -
7%, guvernamental - 5%, educaie - 5%, telecomunicaii - 4%, servicii - 4%, vnzri -
3% etc.

1.3. Obiective n asigurarea securitii datelor
Securitatea calculatoarelor i propune s protejeze att calculatorul, ct i
elementele asociate - cldirile, imprimantele, modemurile, cablurile, precum i
suporturile de memorie, att mpotriva accesurilor neautorizate, ct i altor ameninri
care pot s apar.
Securitatea calculatoarelor poate fi definit ca fiind ansamblul de msuri necesare
asigurrii secretului informaiei mpotriva accesului neautorizat. n principal se urmrete
asigurarea securitii informaiei stocate sau transmise. Din aceast cauz, securitatea
calculatoarelor este deseori numit securitatea informatei sau securitatea datelor.
Asigurarea securitii datelor presupune realizarea a patru obiective:
confidenialitatea;
integritatea;
disponibilitatea;
nerepudierea.
Confidenialitatea, uneori numit secretizare, i propune s interzic accesul
neautorizat al persoanelor la informaia care nu le este destinat. Confidenialitatea
reprezint elul suprem al securitii calculatoarelor. Majoritatea eforturilor se
concentreaz n acest scop. Pentru asigurarea confidenialitii trebuie tiut care sunt
informaiile care trebuie protejate i cine trebuie sau cine nu trebuie s aib acces la ele.
Aceasta presupune s existe mecanisme de protecie a informaiilor care sunt stocate n
calculatoare i care sunt transferate n reea ntre calculatoare. Persoana nsrcinat cu
securitatea, sau echipa care are aceste sarcini, trebuie s prevad aplicaiile care se vor
folosi pentru acest scop. n Internet, confidenialitatea capt noi dimensiuni sub forma
unor msuri de control al confidenialitii. rile dezvoltate, Statele Unite, Canada,
Australia, Japonia etc, au reglementat prin lege controlul confidenialitii. Companiile
din aceste ri au reguli stricte n aceast privin.
Integritatea, uneori numit acuratee, i propune ca datele stocate n calculator s
nu poat fi alterate sau s nu poat fi modificate dect de persoane autorizate. Prin
alterarea datelor se nelege att modificarea voit maliioas, ct i distrugerea acestora.
inerea ascuns a datelor fa de cei care nu trebuie s aib acces la ele este cel mai sigur
8
mod de a menine datele integre. Dar, de asemenea, nu putem ti dac persoanele care au
acces la ele nu au uneori intenii ruvoitoare, acionnd n sensul modificrii neautorizate,
ele avnd acces, dar neavnd drept de modificare. Integritatea trebuie s stabileasc
cine" i ce" are drept de acces i de modificare. Dar datele pot fi alterate, sau chiar
pierdute/distruse, nu numai ca urmare a unei aciuni ruvoitoare, ci i ca urmare a unei
erori hardware, erori software, erori umane sau a unei erori a sistemelor de securitate. n
acest caz se impune s existe un plan de recuperare i refacere a datelor. Pentru aceasta,
trebuie s existe o copie de siguran (backup).
Disponibilitatea i propune ca datele stocate n calculatoare s poat s fie accesate
de persoanele autorizate. Utilizatorii trebuie s aib acces doar la datele care le sunt
destinate. Se pot distinge aici dou categorii de utilizatori, cu drepturi de acces diferite:
administratorii de sistem i utilizatorii generali, excepie fcnd sistemele de operare
care echipeaz calculatoarele desktop. Sistemul de operare Windows 95/98/Me, n toate
versiunile sale, este cunoscut ca un sistem de operare nesigur, deoarece nu face distincie
ntre administratorii de sistem i utilizatori generali. Acest sistem de operare are foarte
multe goluri de securitate, cu toate configurrile la maxim n domeniu. Orice utilizator
general va putea s schimbe configurrile de securitate ale calculatorului mergnd pn
acolo nct s le anuleze. n acest fel, calculatorul respectiv este vulnerabil. Ideal ar fi ca
fiecare utilizator s aib drepturi de acces numai la informaiile specifice postului su. n
Internet, problema disponibilitii capt o form mai extins. O mare
problem a asigurrii disponibilitii o reprezint atacurile de tip DoS
20
. Aceste atacuri
fac practic ca datele stocate pe calculatorul respectiv s nu mai fie disponibile. Atacatorii
realizeaz aceasta prin dou metode. Prima presupune ca atacatorul s atace direct
calculatorul, sau un periferic ce realizeaz comunicarea, i s-1 scoat din uz. A dou
metod, numit i flooding
21
, presupune ca atacatorul s trimit foarte multe mesaje sau
cereri ctre calculatorul-int. Acesta nu va putea s trateze toate cererile i ca efect
procesele vor fi paralizate.
Nerepudierea, termen recent aprut n literatura de specialitate, i propune s
confirme destinatarului unui mesaj electronic faptul c acest mesaj este scris i trimis de
persoana care pretinde c l-a trimis. n acest fel se asigur ncrederea prilor. Expeditorul
nu poate s nege c nu a trimis el mesajul. Nerepudierea st la baza semnturilor digitale,
asigurnd autenticitatea acestora, n noua pia a comerului electronic (E-Commerce
22
).
Iniial, termenul de nerepudiere nu era inclus printre obiectivele necesare asigurrii
securitii calculatoarelor.

1.4. Vulnerabilitatea datelor i msuri de contracarare

Vulnerabilitatea poate fi definit ca o slbiciune n ceea ce privete procedurile de
sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum i alte
cauze care pot fi exploatate pentru a trece de sistemele de securitate i a avea acces
neautorizat la informaii. Orice calculator este vulnerabil la atacuri. Politica i produsele
de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului s aib
puine anse de reuit.
Principalele vulnerabiliti n sistemele de calcul sunt:
fizice;
naturale;
hardware;
software;
9
medii de stocare;
radiaii;
comunicaii;
umane.
Cldirile n care se afl dispuse sistemele de calcul sunt vulnerabile la atacurile
clasice. Un intruder poate, folosind metode clasice, s ptrund n incinta firmei, acolo
unde se afl sistemele de calcul i s fure informaie. Pentru a se prentmpina aceasta
trebuie ca perimetrele respective s fie securizate fizic, iar accesul n anumite zone s se
fac pe baz de identificare fizic. ncperile n care se afl calculatoarele pot fi ncuiate
chiar cu cheie sau accesul s se fac dup o identificare cu ajutorul unei cartele la
purttor sau printr-o identificare biometric - semntur, amprente, recunoatere voce etc.
Aceste msuri formeaz prima barier n calea intruderilor.
Dezastrele naturale, cutremure, inundaii, furtuni, fulgere, cderile de tensiune i
supratensiunile pot duce la distrugerea informaiei din sistemele de calcul. Uneori chiar
are loc distrugerea fizic a ntregului sistem de calcul.
Componentele hardware trebuie s fie de bun calitate, pentru a nu crea probleme n
timpul funcionrii sistemelor de calcul. O memorie intern care altereaz datele n
timpul unei operaii de prelucrare sau de transfer, atunci cnd este folosit ca memorie-
tampon, va crea mari neajunsuri.
Funcionarea defectuoas a programelor poate, de asemenea, crea neajunsuri.
Sistemele de operare nesigure, care au goluri de securitate, vor permite accesul uor la
informaie. Dac ambele componente hardware i software sunt sigure, atunci sistemul va
funciona sigur. -> Am constatat c mediile de stocare constituie una dintre marile
probleme. Acestea pot fi uor sustrase sau distruse. Datele pot fi uor copiate pe nc
utilizatele discuri flexibile de 1,44 MB. De asemenea, acestea pot fi foarte uor sustrase
folosind mai noul suport de memorie de tip Pen Drive, de mrimea i forma unui stilou,
care poate stoca pn la 1 GB de informaie i care poate fi conectat extrem de uor la
un port liber USB
23
al calculatorului. Distrugerea informaiei este de asemenea uoar.
O comand FDISK poate fi lansat n cteva momente i distruge toat informaia de pe
discul dur. De aceea se impune s se fac cel puin o salvare de siguran. Salvarea de
siguran backup se poate face i pe suporturi de acum clasice, disc flexibil sau
CD-ROM. Numai c aici apare posibilitatea ca aceste suporturi s fie sustrase i apoi
citite fr probleme pe alte calculatoare. De asemenea, aceste suporturi sunt uor
deteriorabile fizic. Pentru a avea o salvare sigur se folosesc casete speciale, iar
informaia este criptata. Se merge pn acolo nct se fac dou copii de siguran, una
este pstrat infirm, iar alta este depus la banc.
Toate echipamentele electrice i electronice emit radiaii. Aceste radiaii pot fi
uor interceptate, ele fiind purttoare de informaie. Nivelul de radiaii este riguros
reglementat de legi i este impus productorilor de tehnic de calcul. Comunicaiile
n reea, folosind modemuri sau alte modaliti de conectare, sunt vulnerabile.
Oricine se poate ataa la linia de comunicaie i poate intercepta, altera i devia
traficul.
Cea mai mare vulnerabilitate este ns dat de personalul care administreaz i
utilizeaz sistemele de calcul. Dac administratorul de sistem nu are experien sau,
mai grav, dac decide s comit delicte, atunci securitatea informaiei din firm este
grav compromis. Utilizatorii generali pot de asemenea s creeze vulnerabiliti prin
introducerea n zone restricionate a altor utilizatori, prin divulgarea voit a
parolelor individuale, prin tergerea sau modificarea voit sau accidental a
10
informaiei.
Toate aceste vulnerabiliti vor fi exploatate de persoane ruvoitoare. Referitor
la scara vulnerabilitilor putem s distingem trei mari categorii:
vulnerabiliti care permit DoS (refuzul serviciului);
vulnerabiliti care permit utilizatorilor locali s-i mreasc privilegiile
limitate, fr autorizare;
vulnerabiliti care permit utilizatorilor externi s acceseze reeaua n
mod neautorizat.
O alt clasificare poate fi fcut dup gradul de pericol pe care-l reprezint
vulnerabilitatea pentru sistemul supus atacului [SECU99] (tabelul 2).
Tabelul 2. Gradele de vulnerabilitate i consecinele acestora.
Grad de
vulnerabilitate
Mod de atac Consecine
A Scripturi CGI cu opiuni
prestabilite
Permite accesul necondiionat al
utilizatorilor ru intenionai.
B Vulnerabilitate criptare RSH
Fiiere de parole fr shadow
Permite utilizatorilor locali/generali s-i
mreasc privilegiile i s obin control
asupra sistemului.
C Trimitere de pachete flood Permite utilizatorilor din interior sau
exterior s altereze procesele de prelucrare.

Vulnerabilitile care permit refuzul serviciului fac parte din categoria C i
exploateaz golurile din sistemul de operare, mai precis golurile la nivelul funciilor de
reea. Aceste goluri sunt detectate uneori la timp i acoperite de ctre productor prin
programe - patch-uri. Acest tip de atac permite ca unul sau mai muli indivizi s
exploateze o particularitate a protocolului IP (Internet Protocol) prin care s interzic
altor utilizatori accesul autorizat la informaie. Atacul, cu pachete TCP SYN, presupune
trimiterea ctre calculatorul-int a unui numr foarte mare de cereri de conexiune,
ducnd n final la paralizarea procesului. n acest fel, dac inta este un server, accesul la
acesta e blocat i serviciile asigurate de acesta sunt refuzate. Un atac asemntor poate fi
declanat i asupra unui utilizator. Acest lucru este posibil datorit modului de proiectare
a arhitecturii WWW
24
.
Vulnerabilitile care permit utilizatorilor locali s-i mreasc privilegiile ocup o
poziie medie, B, pe scara consecinelor. Un utilizator local, adic un utilizator care are
un cont i o parol pe un anume calculator, va putea, n UNIX, s-i creasc privilegiile
de acces folosind aplicaia sendmail. Atunci cnd este lansat programul, se face o
verificare s se testeze dac utilizatorul este root, numai acesta avnd drept de a
configura i trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat n
aa fel nct s se ocoleasc verificarea. Astfel, un utilizator local era drepturi de acces ca
root. O alt posibilitate o reprezint exploatarea zonelor de memorie tampon (buffer-e).
Vulnerabilitile care permit utilizatorilor externi s acceseze reeaua n mod
neautorizat fac parte din clasa A, pe scara consecinelor. Aceste atacuri sunt cele mai
periculoase i mai distructive. Multe atacuri se bazeaz pe o slab administrare a
sistemului sau pe configurarea greit a acestuia. Un exemplu de configurare greit este
un script demonstrativ care este lsat pe disc, dei se recomand tergerea acestuia.
Cea mai cunoscut vulnerabilitate este coninut de un fiier cu denumirea test.cgi,
distribuit cu primele versiuni de ApacheWeb Server. Acesta coninea o eroare care
permitea intruilor din exterior s citeasc coninutul directorului CGI. i aceasta din
11
cauza a dou ghilimele () nepuse.
Platformele Novell, cu servere HTTP, erau vulnerabile din acuza unui script cu
numele convert.bas. Scriptul era scris n Basic i permitea utilizatorilor de la distan s
citeasc orice fiier sistem.
O alt vulnerabilitate este ntlnit la serverele IIS
25
(versiunea 1.0) de la Microsoft
i permite oricrui utilizator de la distan s execute comenzi arbitrare.
Vulnerabilitile din clasa A pot fi ntlnite i la urmtoarele programe: FTP,
Goopher, Telnet, NFS, ARP, Portmap, Finger.
Exist i programe care pot s prezinte vulnerabiliti asociate a dou clase. Am
concluzionat c ameninrile la adresa securitii se pot clasifica n trei categorii:
naturale i fizice;
accidentale;
intenionate.
Ameninrile naturale i fizice vin din partea fenomenelor naturale sau a altor
elemente fizice care interacioneaz cu calculatoarele. Se pot enuna aici cutremurele,
inundaiile, furtunile, fulgerele, cderile de tensiune i supratensiunile etc. Se poate
aciona n sensul minimizrii efectelor ameninrilor sau chiar al eliminrii acestora. Se
pot instala dispozitive de avertizare n caz de dezastre naturale sau dispozitive care s
elimine efectul acestora.
Ameninrile cu caracter neintenionat vin din partea oamenilor. Acetia pot
produce ameninri i dezastre asupra calculatoarelor din cauza neglijenelor n
manipularea diferitelor componente, insuficientei pregtiri profesionale, citirii
insuficiente a documentailor etc. Din cauza neateniei, un utilizator poate distruge la
transport un suport de memorie, poate s suprascrie datele ntr-o baz de date sau s
tearg datele pe care el le consider inutile pentru c nu nelege la ce folosesc. Un
administrator de sistem poate s modifice nivelul de securitate al unui utilizator sau
poate s schimbe sau s anuleze parola la anumite informaii vitale.
Ameninrile intenionate sunt i cele mai frecvente. Aceste ameninri pot fi
categorisite n:
interne;
externe.
Ameninrile interne vin din partea propriilor angajai. Acetia au acces mai uor la
informaie, avnd de trecut mai puine bariere i tiind i o parte din politica de
securitate a firmei. Ameninrile externe vin din partea mai multor categorii, i anume:
agenii de spionaj strine;
teroriti i organizaii teroriste;
criminali;
raiders ;
hackeri i crackeri.
Ageniile de spionaj strine au tot interesul s intre n posesia de informaii
referitoare la noile tehnologii. Firmele productoare de nalt tehnologie sunt inta
atacurilor care vin din partea acestora. Se impune ca aceste firme s foloseasc
tehnologii i programe de criptare foarte sofisticate pentru a proteja informaiile.
Organizaiile teroriste urmresc cu precdere bncile de unde pot extrage fonduri
necesare finanrii aciunilor teroriste, companiile aeriene pentru a putea deturna
avioane i a lua ostatici i ulterior a cere rscumprri sau a negocia alte cerine,
organizaii guvernamentale de unde se pot informa asupra aciunilor poliiilor, ale
forelor guvernamentale sau internaionale asupra lor.
12
Criminalii din aceast categorie sunt cei care, beneficiind de cunotine n
domeniul informaticii, folosesc antajul pentru a stoarce bani sub ameninarea
distrugerii informaiei din sistemele-int.
Firmele i nregistreaz n fiecare zi diferite informaii pe suporturi de memorie.
Acestea pot fi inta unor atacuri din partea unor firme competitoare, n mod direct, sau
de ctre o alt persoan care le poate vinde la concuren.
Cracherii penetreaz sistemele de calcul de multe ori nu pentru ctiguri financiare
sau politice, ci pentru satisfacerea orgoliului propriu n lupta cu noile sisteme de
securitate. Exist printre acetia i persoane care produc uneori dezastre n sistemele de
calcul.
Majoritatea mecanismelor de securitate se construiesc pentru a descuraja atacurile
care vin din afar. Studiile arat c peste 80% din atacuri vin din interiorul firmei. Un
angajat tocmai concediat sau nemulumit va putea s sustrag sau s distrug datele la
care are acces. Un angajat de bun-credin va putea fi antajat de cineva din afara firmei
pentru a sustrage sau distruge informaia.
Pentru a se prentmpina aceasta se pot lua diferite msuri (contramsuri)
concretizate n metode de protecie a calculatoarelor.
O parte din aceste msuri sunt reglementate prin legi i norme. Firmele
productoare de echipamente de tehnic de calcul nu trebuie s fabrice echipamente care
s emit radiaii electromagnetice peste o anumit limit. Echipamentele care vor fi
vndute organizaiilor guvernamentale vor trebui s aib implementate tehnologii de
securitate. Sistemele de operare cu care sunt nzestrate aceste calculatoare vor trebui s
satisfac cerinele specificate n Orange Book
27
", care prevede standarde pentru acestea.
Ageniile guvernamentale folosesc software de criptare foarte performant. Echipamentele
folosite trebuie s satisfac cerinele enunate n TEMPEST
28
.
Legea impune ca informaiile clasificate ca fiind secrete i cele care sunt clasificate
ca senzitive
9
s fie protejate. Se includ aici informaii care dac ar fi sustrase ar putea
duce la disfuncionarea economiei. Aceste informaii se regsesc la ministerele
economiei, ministerele de finane, agenii de informaii, ambasade.
O categorie aparte o reprezint domeniul militar. Aici regulile de acces la informaii
sunt strict reglementate. Departamentul de Aprare (DoD), ageniile de informaii,
partenerii comerciali din domeniu folosesc produse de securitate performante. Se pot
enumera aici algoritmi de criptare practic imbatabili, sisteme de operare sigure i
dedicate, echipamente conform cu TEMPEST.
Securitatea cere foarte muli bani i msuri laborioase. n cadrul ageniilor guverna-
mentale i al armatei problemele se rezolv uor, existnd att fondurile necesare, ct i
structuri care s permit o implementare sau reimplementare rapid de msuri. Firmele
care au ca scop maximizarea profitului nu vor dori poate s aloce foarte muli bani n
asigurarea securitii. n acest caz se poate s se ajung la pierderi greu de recuperat. n
unele cazuri,
firmele nu accept msuri de securitate foarte stricte pentru c s-ar limita anumite
drepturi ale personalului i s-ar limita libertatea de micare.
Securitatea nu este o destinaie. Securitatea, ca obiectiv, poate fi considerat c este
o stare. Niciodat securitatea nu este perfect, indiferent de ce msuri se iau. ntotdeauna
va exista o porti negndit prin care sistemul s fie atacat. Din cauza unui numr mare
de factori, securitatea nu va fi niciodat perfect. Atunci cnd se investete n securitate
se pune i ntrebarea Ct investesc financiar n securitate?". Asigurarea unei securiti
ridicate presupune costuri uneori foarte mari, care poate nu pot fi suportate. i dac tot nu
13
se poate asigura o securitate perfect, atunci ct trebuie s investesc? Investiiile n
securitate, la nivel de firm, trebuie fcute innd cont de nevoile financiare ale firmei i
de nivelul de protecie dorit. Cheltuielile cu securitatea pot afecta pozitiv sau negativ
afacerile.
Pentru c securitatea este relativ, aceasta poate fi atins numai prin definirea
obiectivelor, ca ulterior s fie reevaluat. Aceste obiective vor forma politica de
securitate la nivel de firm.

1.5. Aspecte generale privind asigurarea securitii datelor n
sistemele informatice economice

Securitatea informaiilor, n orice domeniu de activitate, trebuie s fie o activitate
continu pentru a se putea face fa noilor ameninri la adresa securitii n general i a
datelor n particular.
Data, conform Dicionarului Explicativ al Limbii Romne (DEX), reprezint
fiecare dintre numerele, mrimile, relaiile etc. care servesc pentru rezolvarea unei
probleme sau care sunt obinute n urma unei cercetri i urmeaz s fie supuse unei
prelucrri". O dat va fi forma de cuantificare a informaiei.
Sistemul informaional poate fi definit ca un ansamblu tehnico-organizatoric de
proceduri de constatare, consemnare, culegere, verificare, transmitere, stocare i
prelucrare a datelor, n scopul satisfacerii cerinelor informaionale necesare conducerii n
procesul fundamentrii i elaborrii deciziilor. Obiectivul sistemului informaional este
acela de satisfacere a cerinelor informaionale necesare conducerii n procesul de
elaborare a deciziilor [LUSA03].
Sistemul informaional economic este un ansamblu de resurse umane i de capital,
investite ntr-o unitate economic, n vederea colectrii i prelucrrii datelor necesare
producerii informaiilor, care vor fi folosite la toate nivelurile decizionale ale conducerii
i controlului activitii organizaiei. Sistemul informaional economic nu trebuie tratat
numai prin prisma calculatorului, deoarece i unitile care nu dispun de calculatoare
beneficiaz de serviciile unui astfel de sistem. Se poate concluziona c sistemul
informaional economic este sistemul informaional pentru conducere.
Sistemul informatic reprezint un ansamblu de elemente intercorelate funcional, n
scopul automatizrii obinerii informaiilor necesare conducerii n procesul de
fundamentare i elaborare a deciziilor [LUSA95].
Hardware-ul sistemului informatic este construit din totalitatea mijloacelor
tehnice de culegere, transmitere, stocare i prelucrare automat a datelor.
Software-ul sistemului cuprinde totalitatea programelor pentru
funcionarea sistemului informatic, n concordan cu funciunile i obiectivele
ce i-au fost stabilite. Se au n vedere att programele de baz (software-ul de
baz), ct i programele aplicative (software-ul aplicativ).
Comunicaiile se refer la totalitatea echipamentelor i tehnologiilor de
comunicaie a datelor ntre sisteme.
Baza tiinifico-metodologic este constituit din modele matematice ale
proceselor i fenomenelor economice, metodologii, metode i tehnici de realizare
a sistemelor informatice.
Baza informaional cuprinde datele supuse prelucrrii, fluxurile informaionale,
sistemele i nomenclatoarele de coduri.
Utilizatorii reprezint personalul de specialitate necesar funcionrii sistemului
14
informatic. Personalul de specialitate include informaticieni cu studii superioare
i pregtire medie, analiti, programatori, ingineri de sistem, analiti-
programatori ajutori, operatori etc.
Cadrul organizatoric este cel specificat n regulamentul de organizare i
funcionare al unitii n care funcioneaz sistemul informatic.
Realizarea unui sistem informatic reclam aciuni conjugate de asigurare a tuturor
elementelor de mai sus, neglijarea chiar i numai a unuia dintre acestea putnd aduce
prejudicii ntregii aciuni.
Se observ c la nivelul unui sistem informatic economic datele sunt prezente ca un
element supus prelucrrii la componenta Baza informaional. De aici se poate trage
concluzia greit c pentru a se asigura securitatea datelor ntr-un sistem informatic
economic este suficient s ne concentrm numai asupra acestei componente. Aceast
concluzie eronat nu ine cont de interaciunea dintre componentele sistemului
informatic economic. Evident c trebuie concentrate eforturile la aceast component,
dar nu trebuie neglijai nici ceilali factori.
Interaciunile componentelor unui sistem informatic economic cu datele din acest
sistem pot avea repercusiuni asupra securitii acestora. Nu este necesar s fie un atac
direct asupra datelor pentru a se putea spune c s-a atentat la securitatea datelor.
Atacul asupra sistemului informatic nsui, asupra componentelor acestuia, reprezint
un atac asupra datelor.
Securitatea datelor n sistemele informatice economice poate fi definit ca fiind
ansamblul de msuri luate la nivelul agentului economic necesare asigurrii
secretului informaiei mpotriva accesului neautorizat.
n funcie de mrimea firmei, unele dintre aceste componente i pot schimba
ordinea.
n majoritatea cazurilor ns, angajaii sunt o potenial surs de atentat la
securitate, acest lucru fiind evideniat i de studiul anterior CSI/FBI (paragraful 1.2).
Conform acestor studii, 77% dintre cei chestionai au indicat angajaii ca surs de atac
actual i potenial. Nu orice angajat este ns o potenial surs de atentat la
securitatea datelor din firm. Unii angajai produc adevrate dezastre fr s fie
contieni de acest lucru. Alii o fac cu bun tiin. O aciune nevinovat, posibil i
datorit golurilor de securitate existente n firm, poate produce pagube majore. Care
ns dintre angajai este un potenial pericol? Acest lucru poate fi evideniat fcnd o
analiz a riscului de securitate pe postul respectiv (paragraful 5.4). Se poate face o
categorisire a angajailor, din punct de vedere al cunotinelor n folosirea
calculatorului, n trei categorii: nalte, medii i sczute.
Angajaii care au cunotine nalte n folosirea calculatorului sunt i cei care pot
exploata anumite goluri de securitate din firm. Acetia posed cunotine nalte n
domeniul tehnicii de calcul i vor ncerca s gseasc anumite vulnerabiliti pe care s
le foloseasc. Unii nu o fac pentru a obine un profit, ci pur i simplu din curiozitate sau
de distracie.
Angajaii din aceast categorie nu pot s motiveze c au fcut acest lucru involuntar
atunci cnd sunt prini atentnd la securitatea datelor firmei.
Angajaii care au cunotine medii n folosirea calculatoarelor sunt poate
categoria care necesit cea mai mic atenie. Acetia nu posed cunotine ridicate
pentru a iniia un atac i nu sunt nici slab pregtii pentru a crea involuntar
disfuncionaliti.
Angajaii care au cunotine sczute n folosirea calculatoarelor sunt cei care, de
15
regul, produc situaii nedorite la nivelul firmei. Aceast categorie este ntlnit la
punctele de vnzare ale firmei, la sucursale, la centre de distribuie etc. Treaba lor este
doar s opereze n calculator datele firmei. Dar dac apar situaii de excepie pe care
acetia nu tiu cum s le trateze? De exemplu, din cauza nenelegerii unei opiuni din
meniul program i a neblocrii acesteia prin regulile de acces, se pot terge date. Este
cazul opiunii iniializare" de la pachetul de programe Ciel, care dac nu este blocat
opiunea pentru acest tip de utilizator, are ca efect iniializarea datelor prin aducerea
acestora la zero. Alte situaii ntlnite, la firmele mici, sunt acelea n care programele
fcute de neprofesioniti n FoxPro au ca opiune de ieire din program Ieire n Fox".
De aici utilizatorul nu tie ce s fac. Sau poate s dea o comand greit care s
produc dezastre. Am ntlnit situaii cnd utilizatorul nu tia ce comand s tasteze i a
introdus comanda Zap" cu referire la serviciul de telefonie Zapp, din fereastra de
comenzi. Rezultatele au fost dezastruoase.
O reflectare a impactului asupra securitii datelor i pierderilor cauzate de
pregtirea angajatului n folosirea calculatorului este dat n tabelul urmtor (tabelul
3).

Tabelul 3. Impactul asupra securitii datelor i pierderilor cauzate de pregtirea
angajatului n folosirea calculatorului.
Aciuni asupra securitii
datelor
Pierderi cauzate
Tip firm
Pregtire /
cunotine
angajai
Voite Nevoite Mari Mici
Mare nalt X X
nalt X X
Medie X X X X
Medie
Sczut
X X X
Medii X X X X Mic
Sczute
X X X
n urma studiilor efectuate la mai multe firme de mrimi diferite, am
concluzionat urmtoarele:
Firmele mari i permit s angajeze personal cu nalte cunotine n domeniul
folosirii calculatoarelor. Acest lucru are un efect pozitiv asupra productivitii
crescute, dar poate avea i repercusiuni asupra securitii. Un angajat foarte
bine pregtit reprezint un potenial pericol dac i propune s atenteze la
securitatea firmei.
Firmele mici nu-i pot permite, din motive financiare, s angajeze personal cu
cunotine nalte n folosirea calculatoarelor. Aceste persoane, n contextul unor
msuri de securitate insuficient luate de firm din motive financiare, pot s
produc pierderi de la cele mai nensemnate pn la cele mai mari. Majoritatea
pierderilor din aceast categorie o reprezint pierderea datelor prin tergerea
accidental a acestora.
Pierderile cauzate au semnificaie diferit pentru diferite tipuri de firme. O
pierdere mare pentru o firm mic poate s aib echivalentul unei pierderi
minore pentru o firm mare. Pierderile financiare sunt suportate diferit, n
funcie de mrimea acestora.
Aciunile maliioase din partea angajailor sunt lipsite de orice ans de reuit
dac firma are o politic de securitate clar i bine implementat. Implementarea unor
msuri de securitate la zi" este greu de realizat chiar i pentru cel mai bine pregtit
dintre angajaii
16
firmei. Sa nu uitm c totui firma va angaja un operator, i nu un specialist n
securitate pe un post de vnzri, de exemplu.
Cadrul organizatoric specificat n regulamentul de funcionare al firmei trebuie s
prevad expres msurile care s asigure securitatea datelor firmei. Msurile permisive
vor facilita abuzuri. Aceste msuri organizatorice sunt bine definite i implementate la
nivelul firmelor din categoriile mari i medii. n cadrul firmelor mici, aceste msuri sunt
uneori inexistente sau sunt aplicate aleatoriu.
Componenta hardware n cadrul firmei trebuie s fie de bun calitate.
Achiziionarea de calculatoare fabricate de firme consacrate reprezint un obiectiv greu
de realizat pentru multe firme mici sau medii. Achiziionarea unei componente hardware
de bun calitate presupune cheltuieli ridicate pe care firmele mici nu i le pot permite.
De achiziionarea unui dispozitiv firewall hardare la aceste firme nici nu poate fi vorba.
Blocarea frecvent n funcionare a unor echipamente neperformante vor avea efect att
asupra derulrii afacerilor firmei, ct i asupra securitii datelor. Funcionarea
defectuoas a componentei hardware ar putea duce la pierderi irecuperabile de date i
implicit la stagnarea tranzaciilor firmei.
Acelai lucru se poate spune i despre sistemele de operare i programele folosite n
cadrul firmei. Se tie c multe firme folosesc sisteme de operare i programe aplicative
piratate. Rata pirateriei n Romnia era la sfritul anului 2003 de 76%, n cretere fa
de anul 2002. n multe cazuri, n cadrul firmelor mici, toate programele sunt cumprate
de pe piaa neagr sau sunt instalate ilegal de ctre distribuitorul de calculatoare. Unii
manageri sau patroni de firme motiveaz c nu au avut cunotin despre faptul c
trebuiau s dea bani i pe software. Unora, destul de puini, li separe chiar ,jtormal" s
nu dea bani pe software. Orice program care nu este achiziionat n mod legal nu va
beneficia de suport tehnic i asisten pentru actualizare i pentru umplerea golurilor de
securitate. Instalarea pe calculatoarele firmei a sistemelor de operare nesigure, precum
i a programelor aplicative improvizate va avea repercusiuni asupra funcionrii
normale a calculatoarelor, precum i asupra securitii datelor. Firmele mici, din lips
de specialiti, instaleaz ca sistem de operare Windows 9x care este mai uor i mai
rapid de configurat, dar mai nesigur, sau instaleaz Windows XP care este configurat pe
opiunile de securitate standard (minime). Majoritatea programelor aplicative sunt
fcute la repezeal, uneori de persoane care au cunotine minime sau deloc legate de
securitatea datelor.
Sistemele de comunicaie ntre calculatoare, precum i sistemele de comunicaie cu
exteriorul mresc considerabil posibilitatea de atentat asupra securitii datelor. Un
calculator neconectat la reeaua intern a firmei sau la Internet va fi mult mai sigur
dect unul conectat. Dar i posibilitile de lucru ale acestuia vor fi mult mai reduse,
aspect care se va reflecta n productivitate. Dac, spre exemplu, avem o staie de lucru
care lucreaz local cu datele corespunztoare locului de munc respectiv i se produce o
defeciune a discului dur, atunci toate datele vor fi pierdute, iar postul de lucru respectiv
va fi blocat pn se nlocuiete echipamentul i se refac datele locale. Refacerea datelor
este aproape imposibil dac nu exist o copie de siguran nelocal.
Dac n schimb datele erau salvate nelocal, folosind reeaua firmei, atunci nu
trebuia nlocuit dect echipamentul. Firmele mici fac frecvent aceast greeal, neavnd
un specialist sau neapelnd la unul, s lege calculatoarele ntre ele i s considere c au
o reea. De punerea problemelor de securitate nici nu poate fi vorba. Conectarea
calculatoarelor din firm la reeaua Internet poate avea efecte benefice, pentru unele
compartimente din firm, dar poate avea i efecte secundare care se reflect n principal
17
n productivitate. Angajatul va folosi conexiunea nu numai pentru activiti care in de
atributele de serviciu, ci i pentru activiti personale care-i consum din timp.
Un studiu efectuat n anul 1999 de ctre Net-Partners Internet Solutions arta c, la
nivelul Statelor Unite, angajatorii au avut pierderi de productivitate cifrate la
500.000.000 USD din cauz c aproximativ 13.500.000 de angajai au citit sau descrcat
la serviciu raportul Starr
30
. S amintim aici c o alt categorie de aciuni, care au ca efect
pierderi de productivitate, o reprezint mesajele de pot electronic nesolicitate, aa-
numitele spam-uri
31
. Conform Yankee Group (www.yankeegroup.com), mesajele spam
creeaz anual pierderi de productivitate cifrate la 4 miliarde de dolari.
Baza tiinifico-metodologic care este constituit pe lng modelele matematice
ale proceselor i fenomenelor economice i metodologii de aplicare ale acestora, i de
metode i tehnici de realizare a sistemelor informatice trebuie s fie serios documentat
pentru a se asigura o securitate sporit a firmei. Documentarea la un nivel nalt este
asigurat la nivelul firmelor mari, care-i permit financiar acest lucru, au un personal
nsrcinat cu aa ceva sau angajeaz o firm specializat. n cadrul firmelor mici, acest
lucru este rar realizat.
Baza informaional, care cuprinde printre altele i datele supuse prelucrrii,
trebuie s fie protejat. Nu oricine trebuie s aib acces la date. Pentru aceasta, datele
vor primi diferite clasificri i se va indica cine i cum are acces la ele. Nu toate datele
trebuie s fie fcute publice. Dar nu este suficient acest lucru. Trebuie avut n vedere ca
anumite date s nu poat fi extrase din datele publice. La nivelul firmelor mari i medii,
acest lucru este fcut de ctre personal specializat. De regul, acesta este cel care
proiecteaz programele de aplicaii la nivelul firmei sau programele de aplicaii
comerciale. Firmele mici nu fac ns acest lucru, mulumindu-se s asigure printr-o
banal parol accesul la anumite fiiere.
Pentru a se asigura securitatea calculatoarelor trebuie anumite abiliti. Firmele
organizeaz, de regul, activiti de pregtire a personalului n domeniul tehnicii de
calcul n sine i destul de puin se insist pe securitate. Activitatea de pregtire n
domeniul securitii este limitat numai la nivelul de faciliti oferite de produsele
hardware i software utilizate.
Firmele mici, care au nevoie ca sistemele lor de calcul s fie sigure, folosesc pentru
aceasta personal care nu are pregtire specific domeniului i care mai are i alte
atribuii de baz. Aceasta reprezint o greeal, dar, din motive financiare, firma nu
poate angaja o persoan pentru acest scop. n multe cazuri se opteaz pentru un
consultant n aceast problem. Este important ns s se separe pe ct posibil politica i
msurile de securitate, pe de o parte, i msurile de aplicare ale acesteia, pe de alt parte.
Altfel, departamentul de IT&C va fi nsrcinat cu toate atribuiile legate de configurare,
instalare, ntreinere a echipamentelor de tehnic de calcul, politic de securitate, unele
dintre atribuiuni fiind de competena altor departamente.
Atribuiile referitoare la securitatea calculatoarelor n cadrul firmelor sunt redate n
tabelul 4 [PRBY02].
Tabelul 4. Atribuiile referitoare la securitatea calculatoarelor n cadrul firmelor.
Atribuii Pregtire
Ofier de securitate Comunicare, negociere, conducere i buget
Manager cu securitatea Negociere, legtura cu conducerea tehnic
Operator de securitate Operator tehnic de sistem, analizeaz i cerceteaz informaia
Administrator Abiliti administrative, legtura cu personalul
Tehnician reea Implementeaz i ntreine tehnologia
Administrator de sistem Implementeaz i ntreine tehnologia
18
Auditor intern Analiz detaliat a activitii i tehnologiei
Analist juridic Analiz aprofundat a aspectelor juridice
Proprietar de resurse Analizeaz valoarea informaiei, analizeaz riscurile care pot s apar
n mediul de afaceri i volumul de investiii necesar asigurrii unei
bune securiti necesare dezvoltrii afacerii.
O persoan va putea ndeplini mai multe atribuii dac este necesar s aib aceeai
pregtire.
Un principiu fundamental n organizarea securitii este acela al separrii puterilor.
Acesta presupune ca personalul care se ocup cu stabilirea regulilor s fie separat de cel
care se ocup cu implementarea acestora. Se poate observa c nu toate atribuiile
presupun abiliti n domeniul IT&C; din aceast cauz nu se impune nglobarea acestora
n departamentele respective. Unele atribuii sunt chiar foarte clar delimitate de IT&C.
n cadrul compartimentului IT&C, este important ca atribuiile asociate cu politica
de securitate (ofier sau manager) s fie distincte de cele care au ca obiectiv
implementarea msurilor de restricionare (reele i conducere). Operatorul de securitate
i analistul juridic sunt cele mai recente atribuii adugate la cele existente.
Organizarea activitilor de asigurare a securitii la nivelul firmelor mari, al
organizaiilor, poate fi fcut, conform atribuiilor stabilite mai sus, n dou mari moduri:
innd cont de reglementrile guvernamentale n domeniu;
dup propria structur.
Organizaiile de interes naional au reglementate prin diferite legi activitatea de
asigurare a securitii. Personalul care se ocup, n acest caz, de securitatea informaiei
formeaz un departament aparte, paralel, fa de departamentul de IT&C i are atribuii
stricte. CSO
32
este cel care se ocup cu asigurarea securitii, n general, i raportarea
ctre conducere a eventualelor nereguli. n unele cazuri exist i CISO
33
, care va raporta
ctre CIO
34
, n paralel cu - i la acelai nivel - conducerea IT&C.
Celelalte organizaii nu au acest tip de personal, ele organizndu-i singure
activitatea. Aici vom ntlni tehnicieni nsrcinai cu asigurarea securitii.
Managerul general al unei firme este cel care are rolul cel mai important, i cel mai
critic, n securitatea calculatoarelor. El este de fapt proprietarul de resurse. Orict de
pregtit ar fi personalul IT&C angajat, nu va nelege pe deplin ct de important este
informaia financiar a firmei, stocat n sistemele de calcul, pentru c nu va putea s
neleag pe deplin afacerea, nefiind pus n postura de manager de firm. Numai un om
de afaceri poate s tie ct de importante sunt anumite date pentru derularea afacerilor,
dar mai ales ct de importante pot fi dac acestea ajung la persoane neavizate. Persoanele
implicate n activitatea de securitate (CSO) sau persoanele angajate n activitatea de
prelucrare a informaiei (IT&C) pot s-1 consilieze pe manager cu informaii i sfaturi n
asigurarea securitii. Decizia final i aparine ns managerului de firm. Pentru aceasta
trebuie fcut o analiz de riscuri. Asigurarea securitii nu poate fi ns implementat la
fel n toate firmele, aceasta datorit mrimii acestora i specificului activitii. n funcie
de mrimea lor, firmele se pot clasifica n trei mari categorii: mari, medii i mici
[PRBY02]:
O firm mare este acea firm care are peste 1.000 de servere, un venit anual de
peste un miliard de dolari i mai mult de 2.000 de angajai. O firm mare se
caracterizeaz prin existena mai multor site-uri, precum i printr-un management special.
Nevoia de securitate a unei firme mari este cu mult mai mare dect securitatea curent i
necesit abordri mult mai complexe.
O firm medie este acea firm care are peste 100 de servere, un venit anual de peste
100 milioane de dolari i peste 500 de angajai. Aceasta poate avea cteva site-uri.
19
O firm mic este acea firm care are sub 100 de servere, un venit anual sub 100
milioane de dolari i sub 100 de angajai.
Aceasta este situaia n rile dezvoltate din punct de vedere economic. n ara
noastr, aceast ierarhizare sufer o decrementare a numrului de servere i de angajai.
n finalul studiului referitor la aspectele generale privind asigurarea securitii
datelor n sistemele informatice economice am concluzionat c:
1. Asigurarea securitii datelor n cadrul firmelor este strns legat de
posibilitile financiare ale firmei n a investi n asigurarea securitii. Firmele mari i
medii, care au i ctiguri pe msur, fac investiii n securitate. Firmele mici nu fac
astfel de investiii dect foarte rar i insuficient pentru a se asigura o securitate minim.
2. Asigurarea securitii datelor n cadrul firmelor depinde n mare msur de ct
de contient este conducerea firmei de faptul c trebuie asigurat o minim securitate.
Conducerea firmelor mari este asigurat de ctre un consiliu de administraie (board),
unde decizia de a se investi n securitate este luat de un grup de oameni care tiu ce
nseamn riscurile. Organizaiile de interes naional au reglementate prin diferite legi
activitatea de asigurare a securitii, acest lucru fiind impus. La firmele mici i medii,
managerul general este cel care are rolul cel mai important, i cel mai critic, n
securitatea datelor. Acesta va trebui s fie contient c trebuie asigurat securitatea
datelor i s dispun alocarea de resurse financiare ndeplinirii acestui deziderat. Unii
manageri din aceast categorie vd asigurarea securitii datelor ca un fel de gaur
neagr, unde banii se duc i nu aduc nici un beneficiu. Un rol important n
contientizarea asigurrii securitii datelor l au, n acest caz, consultanii pe probleme
de securitate sau membrii echipei IT&C (dac exist) din firm.
3. n cadrul firmelor mari exist personal specializat cu asigurarea securitii
datelor. Acesta va implementa politica de securitate a firmei i va testa periodic
calculatoarele din firm pentru descoperirea golurilor de securitate. Firmele de mrime
medie nsrcineaz personalul IT&C cu asigurarea securitii datelor. Acesta, pe lng
sarcinile curente, le are i pe cele de asigurare a datelor din cadrul firmei. Investiiile n
perfecionarea personalului n domeniul securitii sunt minime. Firmele mici nu au
personal specializat n asigurarea securitii datelor. Dac exist personal IT&C, atunci
acesta este nsrcinat i cu asigurarea securitii.
4. n cazurile n care firma, indiferent de mrime, nu are personal specializat cu
studiul, implementarea i gestionarea msurilor de securitate, se poate face apel la firme
specializate care s implementeze i s gestioneze serviciile de securitate. Se poate opta
i pentru soluia mixt n care studiul i implementarea s se fac de ctre o firm
specializat, iar gestionarea acestora s se fac de ctre beneficiar, urmnd ca periodic
s se fac testri de ctre firma specializat.
5. Programele aplicative la nivelul firmelor mari i medii sunt elaborate lundu-se
n considerare i securitatea datelor. Firmele mici folosesc ori programe piratate, ori
aplicaii create de nespecialiti care nu numai c nu au elemente de securitate
ncorporate, dar, n anumite cazuri, funcioneaz i defectuos, alternd datele.
6. Personalul angajat al unei firme nu are ntotdeauna pregtirea necesar
utilizrii calculatorului. Firmele mari i permit s angajeze personal cu calificare
nalt, n timp ce firmele mici nu-i pot permite acest lucru. Firmele mari fac eforturi
pentru pregtirea angajailor, n timp ce firmele mici fac eforturi reduse sau deloc n
ceea ce privete pregtirea personalului.

20
1.6. Tehnologii de securizare a datelor i administrarea acestora

Tehnologiile de restricie sunt menite s limiteze accesul la informaie. Din aceast
categorie fac parte:
controlul accesului;
identificarea i autentificarea;
firewall-urile;
reelele virtuale private;
infrastructura cu chei publice (PKI
35
);
Secure Sockets Layer (SSL);
Single Sign On (SSO) - Semntur doar o dat.
Controlul accesului este un termen folosit pentru a defini un set de tehnologii de
securitate care sunt proiectate pentru restricionarea accesului. Aceasta presupune ca
numai persoanele care au permisiunea vor putea folosi calculatorul i avea acces la datele
stocate. Termenul de control al accesului (acces control) definete un set de mecanisme
de control implementate n sistemele de operare de ctre productori pentru
restricionarea accesului. De aceast facilitate beneficiaz sistemele de operare Windows,
UNIX, Linux etc.
Identificarea i autentificarea, folosindu-se de conturi i parole, permit doar
accesul utilizatorilor avizai la informaie. Identificarea i autentificarea poate fi fcut i
cu ajutorul cartelelor electronice (smart crd) sau prin metode biometrice. Acestea
presupun identificarea dup amprent, voce, irisul ochiului etc.
Firewall-ul reprezint un filtru hardware sau software care stopeaz un anumit trafic
prestabilit din reea i permite trecerea altuia. Firewall-ul se interpune ntre reeaua
intern i Internet i filtreaz pachetele care trec. De asemenea, firewall-ul poate fi folosit
i n interiorul propriei reele pentru a separa subretele cu nivele diferite de securitate.
VPN
36
-urile permit comunicarea sigur ntre dou calculatoare aflate ntr-o reea. O
conexiune VPN se poate realiza att n reeaua local, ct i n Internet. VPN folosete
tehnologii de criptare avansat a informaiei care face ca aceasta s nu poat s fie
modificat sau sustras fr ca acest lucru s fie detectat.
Infrastructura cu chei publice (PKI) i propune s asigure securitatea n sisteme
deschise, cum ar fi Internetul, i s asigure ncrederea ntre dou persoane care nu s-au
cunoscut niciodat. ntr-o structur PKI complet, fiecare utilizator va fi complet
identificat printr-o metod garantat, iar fiecare mesaj pe care-l trimite sau aplicaie pe
care o lanseaz este transparent i complet asociat cu utilizatorul.
Secure Socket Layer (SSL) reprezint un protocol Web securizat care permite
criptarea i autentificarea comunicaiilor Web utiliznd PKI pentru autentificarea
serverelor i a clienilor. Lucreaz foarte bine cu servere WWW. Este implementat n mai
multe versiuni. Versiunea SSL2 este cea mai rspndit, iar versiunea SSL3 e cea mai
sigur, dar este mai greu de implementat.
Semntur doar o dat (SSO) dorete s debaraseze utilizatorul de mulimea de
conturi i parole care trebuie introduse de fiecare dat cnd acceseaz i reacceseaz
programe. Pentru aceasta utilizatorul trebuie s se autentifice o singur dat. Dezideratul
este greu de realizat datorit varietii de sisteme. Deocamdat acest lucru se poate
realiza n cadrul firmelor care au acelai tip de sisteme. Web-ul folosete un subset SSO
numit Web SSO, funcionarea fiind posibil datorit faptului ca serverele Web folosesc
aceeai tehnologie.
Pe lng tehnologiile de restricionare, securitatea sistemelor trebuie administrat,
21
monitorizat i ntreinut.
Pentru aceasta trebuie efectuate urmtoarele operaii:
administrarea;
detectarea intruilor;
scanarea vulnerabilitilor;
controlul viruilor.

Administrarea sistemelor de calcul presupune i controlul i ntreinerea modului
de acces la acestea de ctre utilizatori. Un utilizator care folosete o parol scurt sau care
este uor de ghicit va face ca acel calculator s fie uor de penetrat. Atunci cnd un
angajat este concediat sau pleac pur i simplu din alte motive de la firma respectiv,
trebuie schimbate denumirile utilizatorului (user
37
) i parola. Uneori se face greeala ca
numele de user s fie numele postului i nu un identificator al numelui angajatului. In
urma concedierii angajatului se schimb doar parola, rmnnd numele de user, ceea ce
face ca sistemul s fie mai vulnerabil, fostului angajat nermnndu-i dect s gseasc
parola, dac acesta va dori s fac ru.
Denumirea user-ului i a parolei trebuie fcut cu foarte mare atenie i mare
responsabilitate. Sarcina este de competena persoanei nsrcinate cu securitatea. Parolele
vor conine att cifre, ct i litere, pentru a face ghicirea lor ct mai grea, i vor fi
schimbate periodic. Divulgarea parolei altor persoane va fi sancionat administrativ.
Detectarea intruilor trebuie fcut permanent. Pentru aceasta exist programe
care controleaz traficul i care in jurnale de acces (log). Verificarea se va face la nivelul
fiecrui calculator din firm. Trebuie fcut aici distincie ntre ncercrile de intruziune
din afar i cele din interior. De asemenea, trebuie separate ncercrile de acces
neautorizat din reeaua intern de accesul neautorizat la un calculator lsat
nesupravegheat de ctre utilizator.
Scanarea vulnerabilitii, care este de fapt o analiz a vulnerabilitii, presupune
investigarea configuraiei la nivel intern pentru detectarea eventualelor guri de
securitate. Acesta se face att la nivel hardware, ct i software. Un calculator care este
pus n sistem dincolo de firewall va fi vulnerabil i va compromite afacerile firmei. Un
calculator la care un utilizator i-a sporit drepturile i a reuit s partajeze (share) un
folder sau fiier va fi vulnerabil chiar dac accesul la acesta din urm este protejat de o
parol. Folosirea unui scanner de parole va avea ca efect aflarea parolei n cteva
secunde, indiferent de lungimea acesteia.
Controlul viruilor se va face pentru a detecta i elimina programele maliioase din
sistemele de calcul. Acestea se pot repede mprtia la toate calculatoarele din sistem i pot
paraliza funcionarea acestora sau pot produce distrugeri ale informaiei. Se impune
obligatoriu s fie instalate programe antivirus, actualizarea semnturilor de virui s se fac
ct mai des, iar scanarea pentru detectarea viruilor s se fac de oricte ori este nevoie.
O posibilitate este ca programul antivirus s fie instalat pe un calculator central,
actualizarea se va face periodic, iar scanarea staiilor de lucru se va face de aici. Aceast
arhitectur nu ofer ns o protecie n timp real. Ce se ntmpl dac cineva introduce un
disc flexibil care conine virui n staia de lucru? n acest caz se impune existena unui
program antivirus care funcioneaz local sau eliminarea introducerii de programe n
staia de lucru cu ajutorul suporturilor de memorie.
Majoritatea experilor recomand ca soluie minim de asigurare a securitii
parcurgerea a trei pai. n primul rnd, trebuie s se fac o detectare a viruilor, apoi
implementarea unei protecii firewall i n final detectarea intruilor.
22

CAPITOLUL 2 SECURITATEA SISTEMELOR
INFORMAIONALE

2.1 Mecanismul de protecie al unui sistem informatic

Securitatea sistemelor informatice presupune
1
:
recunoaterea de la nceput a vulnerabilitii i slbiciunii sistemelor
informatice;
identificarea i evaluarea elementelor patrimoniale care trebuie protejate, astfel
nct s nu se omit nimic;
specificarea tuturor atentatelor posibile asupra sistemelor informatice;
evaluarea potenialelor pierderi sau riscuri generate de un anumit incident;
proiectarea, implementarea i perfecionarea unor metode de protecie adecvate;
existena unor planuri de reconstituire a datelor n cazul pierderii lor;
controlul periodic al eficienei msurilor de asigurare a securitii sistemului
informatic.
Securitatea absolut nu poate fi atins i nici nu este ntotdeauna necesar. Este
foarte important evaluarea pericolelor i riscurilor poteniale (numite i cerine de
securitate
2
), care va fi urmat de stabilirea mijloacelor i msurilor de protecie i
integrarea lor n mecanismul de protecie corespunztor.
Ansamblul mijloacelor, metodelor i msurilor speciale destinate proteciei i
securitii informaiei formeaz mecanismul de protecie (numit i mecanism de aprare).
Un mecanism de protecie trebuie s ntruneasc urmtoarele caracteristici
3
:
completitudine, adic asigurarea funcionrii normale a sistemului la orice
eventual ameninare;
corectitudine (oferirea anticipat a rspunsurilor la eventuale probleme care pot
apare);
simplitate i uurin n utilizare;
asigurarea unui minim de erori sau alarme false;
supravieuirea, respectiv perioada de funcionare, la un anumit nivel asigurat de
protecie, n condiii optime de utilizare.
n literatura de specialitate se apreciaz c mecanismul de protecie al sistemelor
informatice presupune urmrirea realizrii mai multor categorii de msuri. O clasificare a
acestora este destul de dificil, opiniile fiind mprite.
Mijloacele i msurile incluse n mecanismul de protecie pot fi clasificate n:
mijloace tehnice i programe speciale, acoperirea criptografic a informaiilor, mijloace
fizice, msuri juridice i organizatorice
4
.
O alt clasificare mparte msurile mecanismului de protecie n urmtoarele
categorii
5
:
securitatea fizic;

1
Oprea D., Protecia i securitatea sistemelor informatice, note de curs, 1995
2
vezi Patriciu V., Criptografia i securitatea reelelor de calculatoare, Editura Tehnic, Bucureti, 1994, p. 33
3
Oprea D., op. cit.
4
Angheloiu I., Securitatea i protecia informaiilor n sistemele electronice de calcul, Editura Militar, Bucureti,
1986, p. 15
5
Oprea D., op. cit.
23
securitatea cu ajutorul personalului din sistem;
securitatea liniilor de comunicaii;
criptarea informaiilor importante;
studierea tehnicilor specializate ale intruilor;
securitatea sistemelor de prelucrare automat a datelor;
suprimarea radiaiilor electromagnetice.
n alt viziune
6
, securitatea unui sistem informatic nseamn:
securitatea fizic;
securitatea cu ajutorul personalului;
securitatea (controlul) accesului;
securitatea software-lui.
Ali autori propun o mprire mai simplificat n msuri i tehnici pentru
7
:
securitate fizic, care se refer la protecia sistemului informatic mpotriva accesului
persoanelor neautorizate i protecia mpotriva dezastrelor;
securitate procedural, un set de reguli care guverneaz buna funcionare a sistemului
(selecia i pregtirea personalului, instituirea normelor de conduit n sistem, proceduri
de auditare i control etc.);
securitate tehnic (protecia echipamentelor, programelor, comunicaiilor i datelor).
n rspunderea directorului compartimentului informatic (prelucrarea automat a
datelor) este sarcina de realizare i implementare mecanismului de protecie, a msurilor
de prevenire a pierderilor i distrugerilor i a normelor interne de comportament.
Coordonatorul sistemului de securitate va crea o adevrat infrastructur de asigurare a
securitii, cu distribuirea ctre subordonai a sarcinilor pe linia securitii. Pornind de la
analiza i evaluarea ameninrilor poteniale pentru sistemul informatic, sunt ntocmite
procedurile de realizare a securitii i contramsurile pentru pericolele poteniale.
Urmrind ultima clasificare, vom trata securitatea fizic i rolul factorului uman n
asigurarea securitii n subcapitole distincte i vom prezenta pe scurt celelalte categorii
de msuri i tehnici ale mecanismului de protecie.
Securitatea procedural vizeaz, n principal, urmtoarele aspecte:
msuri organizatorice;
auditatea sistemului informatic;
msuri juridice;
asigurarea;
selecia i pregtirea personalului (vezi subcapitolul 2.3).
Msurile organizatorice joac un rol dublu n mecanismul de protecie: pe de o
parte acoper majoritatea canalelor de acces a informaiilor, iar pe de alt parte, asigur
unirea tuturor mijloacelor ntr-un mecanism unic de protecie. Se pot include n aceast
categorie:
msuri realizabile prin proiectarea, construcia i echiparea centrelor de calcul astfel
nct s fie minim influena posibilelor catastrofe naturale i posibilitatea ptrunderii
neautorizate a persoanelor strine;
alegerea i pregtirea corespunztoare a personalului din sistem;
organizarea unui regim sigur de control fizic al accesului pe teritoriul sau n cldirile ce
adpostesc sistemul;
organizarea strict a modului de pstrare i folosire a documentelor i suporturilor de

6
Dick J ., Computer Systems in Business, PWS Publishers, Boston, 1986, p. 549
7
Gallegos F., ,a., Audit and Control of Information Systems, South-Western Publishing Co., Cincinnati, 1987, p.
487
24
date;
organizarea lucrului pe schimburi, cu stabilirea clar a atribuiilor pe linia securitii,
organizarea controlului muncii personalului, inerea jurnalelor de lucru, distrugerea
hrtiilor aruncate etc.
Auditarea sistemului informatic este o contramsur eficient mpotriva
pericolelor care vizeaz sistemul, n special a fraudelor. Auditul informatic este procesul
prin care persoane competente colecteaz i evalueaz probe pentru a-i forma o opinie
asupra gradului de coresponden ntre cele observate i anumite criterii prestabilite. El
const n aplicarea unei etichete de calitate unui obiect, n raport cu un sistem de
referin, n scopul de a oferi un anumit nivel de ncredere n sistemul informatic
8
. Se
include aici att auditarea intern, realizat periodic de ctre personalul de la
compartimentul de specialitate, ct i apelarea la specialiti externi, independeni, care
pot oferi concluziile lor autorizate n legtur cu securitatea/vulnerabilitatea sistemului
(putem aprecia activitatea lor ca o consultan cu rol de evaluare. Se urmresc existena i
modul de aplicare al msurilor de control al accesului fizic la suporturi i echipamente i
al accesului la date, al celorlalte msuri legate de securitatea fizic, dar este posibil i
identificarea punctelor tari i, mai ales a punctelor slabe ale sistemului. Auditarea intern
este foarte eficient atunci cnd este realizat inopinat, putnd descoperi aspecte care, n
cazul anunrii unui control, ar fi putut fi ascunse.
Exist pe plan mondial mai multe organizaii ale specialitilor n auditarea
sistemelor informatice
9
:
Electronic Data Processing Auditors Association - asociaia mondial care are circa
10000 de membri, specialiti din ntreaga lume;
Asociaia Francez de Audit Informatic;
Federaia Internaional a Auditorilor i Experilor n Sisteme Informatice, care acord,
dup susinerea unui examen complex, certificate de auditori i experi n sisteme
informatice.
i n ara noastr devine necesar evaluarea autorizat a sistemelor informatice i
persoane competente exist. Rmne de vzut cnd i cum se va certifica primul auditor
autorizat de sisteme informatice n Romnia.
Msurile juridice se reflect n reglementrile juridice la nivel naional, n legile i
actele normative existente pe acest domeniu. Astfel de legi trebuie s garanteze
integritatea i confidenialitatea informaiilor, protecia programelor de aplicaii mpotriva
copierilor ilegale i s prevad rspunderea civil i penal pentru nclcarea acestor
prevederi; organizaiile i persoanele fizice sunt n drept s deschid aciune juridic dac
s-a ncercat accesul neautorizat n sistem sau copierea ilegal a software-lui, pentru a
obine compensarea pagubelor cauzate de infraciune. Legislaia cea mai complet este
cea a Statelor Unite, unde amplificarea volumului de informaii cu caracter secret sau
privat a determinat reacii negative mpotriva accesului neautorizat. Acesta este interzis
prin lege, iar companiile au dreptul s urmreasc n justiie pe autorii fraudelor pe
calculator. Legislaia din Europa de est nu prevede pedepse pentru infraciunile prin sau
cu ajutorul calculatorului, iar dezvoltarea economic din ultimii ani i de perspectiv
impune elaborarea urgent a unei jurisdicii adecvate.
De asemenea, legile trebuie s reglementeze aspectele legate de criptografie. n
rile occidentale, criptografia este considerat o arm, avnd un regim similar cu al

8
Avram G., Auditul informatic, n PC World, nr. 6/1995, p. 48
9
Avram G., op. cit., p. 49
25
muniiei
10
. Multe ri europene restricioneaz utilizarea, achiziia sau vnzarea
algoritmilor criptografici. Spre exemplu, n Frana, folosirea criptrii peste legturile de
comunicaii este strict interzis; exist ns posibilitatea ncheierii unor acorduri cu
France Telecom, dar numai dup prezentarea surselor complete de folosire a algoritmilor.
Cei care vnd sau cumpr produse criptografice trebuie s aib aprobarea Ministerului
Aprrii, iar furnizorii trebuie s nregistreze numele tuturor clienilor i numrul copiilor
vndute; importul sau exportul produse care suport criptri de date necesit autorizaii
speciale.
n legtur cu proveniena programelor, sunt frecvente cazurile n care un
utilizator, pentru a economisi nite bani, apeleaz la copii pirat ale unui pachet de
programe. Trebuie s se fac aici distincia ntre copierea unor programe pentru a avea
copii de siguran i copierea programelor pentru a le vinde sau oferi unui prieten.
Aceast diferen este menionat i de legea copyright-ului pentru software, lege
adoptat n S.U.A. n 1980. Este deci legal copierea din motive de siguran i se pot
face oricte copii, cu condiia ca acestea s rmn la utilizatorul autorizat. Pedepsele pe
care le prevede legislaia american pentru copierea ilegal de soft sunt: despgubiri
pentru productorul de software i confiscarea foloaselor realizate de pe urma copiilor
ilicite. n cazul vnzrii este prevzut chiar pedeapsa cu nchisoarea. Fenomenul
pirateriei software afecteaz n primul rnd productorii i distribuitorii de astfel de
produse, dar i statul este afectat prin neperceperea taxelor aferente produselor vndute
"la negru". Productorii de software au cheltuit sume mari pentru crearea unui pachet de
programe i ateapt ctiguri pe msur, astfel nct atunci cnd cineva realizeaz ilegal
o copie a programelor respective, productorul sufer o pierdere. Pornind de la aceast
serioas problem, mai muli mari productori de software s-au constituit ntr-o asociaie,
numit Business Software Alliance (BAS), al crei scop principal este tocmai combaterea
pirateriei n domeniul software-lui, inclusiv prin modificri ale legislaiilor rilor
respective
11
.
n ara noastr, se impune cu necesitate adoptarea unui cadru legislativ
corespunztor pentru desfurarea activitii ntreprinderilor n condiiile informatizrii.
n momentul de fa, nu exist n plan legal rspunsuri corespunztoare la evoluia
tehnologic, n sectorul copiei private, al reproducerii, comunicrii prin satelit i cablu,
precum i n ceea ce privete programele de aplicaii i bazele de date (dreptul de
proprietate individual i protecia lor). Exist un text legislativ propus spre adoptare
Parlamentului n care, ar fi reglementate distinct, pentru prima oar n legislaia
romneasc, att programele, ct i bazele de date.
n cadrul securitii procedurale, o msur care poate fi adoptat i realizat de
ctre conducerea ntreprinderii este asigurarea mpotriva unora dintre riscurile care pot
aciona asupra sistemului informatic sau unor componente ale acestuia i care pot genera
pierderi substaniale n caz de accidente, dezastre sau fraude. Asigurarea sistemelor
informatice a nceput din anii '80 - prima societate care a realizat o astfel de asigurare
este compania englez de asigurri Lloyds, n 1981. Exist n S.U.A. i Europa
occidental mai multe companii de asigurare care ofer polie de asigurare a sistemelor
electronice de calcul. Acestea includ: asigurri mpotriva incendiilor, dezastrelor
naturale, vandalismului i furtului echipamentelor i programelor de aplicaii, asigurare
mpotriva fraudelor comise de angajai, asigurare de rspundere pentru erori i omisiuni

10
Patriciu V., op. cit., p. 59
11
Moga A., Pirateria soft, n PC Report, nr. 38/1995, p. 54
26
n prelucrarea datelor etc. Suma unei astfel de asigurri trebuie s fie suficient de mare
pentru a nlocui echipamentele i a acoperi celelalte cheltuieli legate de buna funcionare
a sistemului afectat. Asigurarea acoper i costul refacerii datelor i programelor de
aplicaii distruse, precum i pierderile suferite de ntreprindere (beneficiile nerealizate) ca
urmare a nefuncionrii sistemului electronic de calcul sau a pierderii datelor. Dar, pentru
o ntreprindere mic, costul unei asemenea asigurri este destul de mare - de exemplu,
pentru o valoare asigurat de 10 milioane de dolari se pltete o prim anual de
asigurare de 25000 dolari.
Securitatea tehnic include mijloacele i msurile pentru protecia echipamentelor,
a programelor i datelor i a comunicaiilor.
Mijloacele tehnice pentru protecia echipamentelor se concretizeaz n diferite
dispozitive capabile s ndeplineasc funcii de protecie, cum sunt:
registre speciale pentru pstrarea elementelor de protecie (parole, coduri de
identificare, nivelul de secretizare al informaiilor etc.)
generatoare de coduri, destinate pentru generarea automat a codului de identificare a
terminalului unui utilizator sau a altui dispozitiv la ncercarea acestuia de a adresa o surs
de date;
dispozitive pentru recunoaterea unor caractere individuale ale utilizatorilor (amprente,
voce etc.);
dispozitive de citire a codurilor;
scheme pentru ntreruperea transmisiei informaiei n linie n scopul efecturii
controlului periodic al adresei de trimitere a datelor;
echipamente de cifrare i descifrare.
Att pentru protecia echipamentelor, ct i a datelor i programelor de pot utiliza
programe speciale de asigurare a proteciei, aceasta fiind metoda cea mai larg rspndit.
Se pot identifica mai multe grupe de programe:
programe pentru identificarea mijloacelor tehnice, a problemelor, a utilizatorilor i a
fiierelor de informaii utilizate;
programe pentru determinarea drepturilor echipamentelor i ale utilizatorilor;
programe destinate controlului asupra funcionrii echipamentelor;
programe pentru nregistrarea lucrului echipamentelor i utilizatorilor cnd se
prelucreaz date secrete sau importante pentru organizaie;
programe pentru tergerea informaiilor din memorie, dup utilizarea lor;
programe pentru semnalizarea audio/video a aciunilor neautorizate;
programe adiionale, cu diferite destinaii, cum ar fi controlul funcionrii
mecanismului de protecie;
programe pentru criptarea/decriptarea informaiilor.
O categorie important o formeaz programele pentru controlul accesului,
utilizate n sistemele care lucreaz cu fiiere de date foarte importante, mai ales dac se
lucreaz n regim de multiprogramare sau cu faciliti de teleprelucrare. Accesul n sistem
trebuie s parcurg trei etape:
identificarea, care realizeaz recunoaterea indicativului (nume sau cod) atribuit
persoanei;
autentificarea, care verific dac persoana este ceea ce pretinde c este;
autorizarea, care certific dreptul de acces al persoanei la o anumit resurs protejat.
Referitor la autentificarea utilizatorilor, exist n prezent cteva soluii care
mbuntesc soluia clasic de autentificare (ceva tiut de utilizator) - parola. Acestea se
27
ncadreaz n dou categorii, astfel
12
:
ceva n posesia utilizatorului:
cartelele magnetice, care lucreaz cu dou chei: indicativul utilizatorului - PIN
(Personal Identification Number), utilizat pentru a crea o legtur ntre cartel i
deintor, i o cheie actual care nu este cunoscut de ctre utilizator; ambele sunt
verificate de ctre sistem;
cartela inteligent, care este un dispozitiv activ, care conine propriul sistem de
operare i memorie, putnd include i algoritmi de cifrare. Codul intern poate fi controlat
intern de cartel, aceasta putndu-se bloca automat dup un anumit numr de ncercri
nereuite. Unitile de citire permit att identificarea i autentificarea utilizatorului, ct i
asigurarea controlului accesului, criptarea i semntura digital;
calculatoarele speciale portabile (de buzunar), care au avantajul c nu necesit
un cititor special ataat la terminal. Calculatorul de buzunar conine un algoritm de
criptare. Pentru conectare, utilizatorul introduce indicativul i parola de la tastatur. Dup
autentificare, sistemul de operare trimite la utilizator un numr aleator, acesta trebuind s
calculeze, prin algoritmul de criptare, valoarea cifrat a acestui numr i s o introduc de
la tastatur. Sistemul verific corectitudinea acestei valori prin recalcularea ei cu cheia
personal a utilizatorului;
identificarea fizic a utilizatorului prin:
tehnicile de recunoatere biometrice, care se bazeaz pe trsturile distincte i
particulare ale corpului uman: vocea, retina, amprentele. Schema utilizat este aceiai:
utilizatorul i revendic identitatea, sistemul caut profilul asociat cu identitatea
revendicat, solicit utilizatorului s foloseasc sistemul de recunoatere i, n final,
compar profilul nregistrat cu cel detectat. Tehnicile curent utilizate n recunoaterea
biometric sunt: amprenta, geometria minii, vocea, tiparul retinar, semntura olograf
(viteza de scriere, presiunea peniei, ritmul de scriere n timp). Cteva probleme apar
totui la folosirea acestor tehnici; acestea vizeaz posibilitatea de modificare temporar
sau definitiv, ca urmare a unui accident sau a unei boli, a trsturilor biometrice, dar i
preurile costisitoare ale echipamentelor necesare.
Se consider c, pentru o autentificare corect a unui utilizator, este necesar
utilizarea combinat a dou din metodele enumerate (de exemplu: cartel magnetic +
parol, sistem de recunoatere a vocii + parol, cartel inteligent + sistem de
recunoatere a amprentelor etc.).
Securitatea comunicaiilor este foarte important n condiiile proliferrii, pe scar
larg, a reelelor de calculatoare. Extinderea i complexitatea reelelor de calculatoare, n
cadrul crora calculatoarele, dispersate geografic, sunt legate ntre ele prin linii de
comunicaii, amplific la un nivel superior cerinele de protecie i securitate a datelor.
Apar dificulti legate de absena controlului fizic asupra unor componente ale reelelor
cum sunt liniile de telecomunicaii. Obiectivul principal al msurilor de protecie ntr-o
reea l constituie eliminarea posibilitilor de distrugere, intenionat sau accidental, a
datelor i echipamentelor, i crearea n jurul sistemului a unor bariere care s asigure
nchiderea canalelor poteniale de acces la datele i informaiile memorate, fcnd
accesul neautorizat prohibitiv sub aspectul costului i al dificultilor ntmpinate
13
.
n legtur cu problema securitii comunicaiilor, Internet, cea mai mare reea din
lume, este considerat de unii specialiti nesigur sub aspectul securitii. Sondaje de opinie

12
Patriciu V., Criptografia computaional, n PC World Romnia, nr. 11/1995, p. 59
13
Angheloiu I., Securitatea i protecia informaiei n sistemele electronice de calcul, Editura Militar, Bucureti,
1986, p. 206
28
arat c securitatea reprezint cea mai important preocupare a companiilor cu privire la
utilizarea Internet. Cnd li s-a cerut companiilor s evalueze motivele care determin
ntrzieri n cuplarea la Internet, pe o scar de la 1 la 5, securitatea a fost cotat cu 4.8, n
timp ce posibilitile materiale (echipamente) au nregistrat 3.7, iar costul 3.4
14
. Grupul
de securitate al Internet - Computer Emergency Response Team (CERT) apreciaz c
apar circa 14 fraude pe zi, cifr pe care unii o consider mic la scara la care se
efectueaz tranzaciile Internet, iar alii consider c aceasta este subestimat deoarece
foarte muli utilizatori nu se sinchisesc s anune astfel de evenimente (mai ales dac nu
sunt cauzate pierderi materiale)
15
.
A conecta o reea de ntreprindere la Internet fr nici o msur de protecie este o
operaie de mare risc. O prim modalitate de protecie const n asigurarea etaneitii
ntre reeaua ntreprinderii i lumea exterioar, pentru a feri sistemul informatic de o
ptrundere ilicit - se face apel la tehnologia firewall. Un firewall poate fi definit ca o
colecie de sisteme, routere i msuri organizatorice plasate la conexiunea central la
reea a unei organizaii
16
. Produsele de securitate de acest gen funcioneaz ca o poart
de acces, sunt capabile s filtreze protocoalele i schimburile intereele n ambele direcii.
O alt soluie vizeaz asigurarea unui control suplimentar la nivel aplicativ n vederea
autentificrii utilizatorilor autorizai
17
.
O reea de calculatoare este alctuit dintr-un ansamblu de calculatoare i alte
echipamente informatice, calculatoarele putnd schimba informaii ntre ele prin
intermediul unei reele de transfer a datelor. Calculatoarele sau terminalele reelei, numite
i noduri, dispun de sisteme de programe care sunt capabile s aleag rutele optime pe
care vor fi transferate datele pentru a ajunge de la calculatorul surs la calculatorul
destinaie. Dac un utilizator aflat la un calculator al reelei dorete s comunice cu un alt
utilizator, el transfer n reea un mesaj al crui titlu indic destinaia. Mesajul este
divizat, n cadrul reelelor cu comutarea pachetelor, n pachete de lungime fix, care sunt
transmise succesiv prin reea. Pachetele ajung la destinaie pe rute diferite, n funcie de
ncrcarea i starea tehnic a legturilor internodale. Se apreciaz c dac asigurarea unui
nivel satisfctor de securitate fizic pentru echipamentele din reea este posibil, de cele
mai multe ori este imposibil asigurarea unei protecii fizice corespunztoare pentru
liniile de comunicaii, astfel c utilizatorii neautorizai se pot conecta pe legturile de date
sau se pot interpune, cu ajutorul unui calculator, ntre dou noduri succesive ale reelei.
Aceste posibiliti de atac asupra unei reele determin pierderi importante prin afectarea
caracterului confidenial al comunicaiilor, introducerea unor informaii false sau
denaturate, falsificarea identitii unor calculatoare sau utilizatori
18
.
Modelul de securitate pentru o reea de calculatoare este structurat pe mai multe
niveluri
19
:
securitatea fizic este nivelul cel mai exterior al modelului de securitate, care trebuie s
asigure prevenirea accesului la echipamente i date; este comun tuturor sistemelor
electronice de calcul, distribuite sau nu;
niveluri logice de securitate sunt destinate asigurrii controlului accesului la resursele

14
J erram P., Groupware bate la poarta Internet-ului, n Byte, nr. 5/1995, p. 9
15
Crahmaliuc A., Pro i contra: asigur Internet securitatea datelor?, n Computerworld, nr. 14/1995, p. 4
16
Cobb S., Firewall-uri n Internet, n Byte, nr. 4/1995, p. 129
17
Tristaru M., Bariere de protecie n jurul Internet-ului, n Computerworld, nr. 15/1995, p. 10
18
Angheloiu I., op. cit., p. 207
19
Patriciu V., Criptografia i securitatea reelelor de calculatoare, Editura Tehnic, Bucureti, 1994, pp. 26-28
29
i serviciile sistemului i se mpart n:
niveluri de securitate a accesului, care, la rndul lor, sunt:
nivelul de acces la sistem care determin dac i cnd reeaua este accesibil
utilizatorilor; la acest nivel se realizeaz gestiunea accesului i se stabilesc msuri de
protecie la conectare (deconectarea forat, interzicerea lucrului n afara orelor de
program, limitarea lucrului la unele staii etc.);
nivelul de acces la cont, care se refer la identificarea utilizatorilor dup numele
de utilizator asignate i autentificarea lor prin parola introdus;
nivelul drepturilor de acces, care individualizeaz pe fiecare utilizator sau pe
grupuri de utilizatori, drepturile pe care le au acetia (citire, scriere, tergere, vizualizare
etc.).
niveluri de securitate a serviciilor, care controleaz accesul la serviciile
sistemului, cum ar fi fire de ateptare, echipamentele de intrare/ieire, gestiunea
serverului i pot fi individualizate astfel:
nivelul de control al serviciilor, care este responsabil cu funciile de avertizare i
de raportare a strii serviciilor;
nivelul de drepturi la servicii, care determin cum poate folosi un anumit
utilizator un servici (de exemplu, drepturile unui operator asupra unei imprimante).
Se apreciaz c singura modalitate prin care pot fi transmise date confideniale pe
canalele de comunicaii const n utilizarea unor proceduri de criptare a datelor. Cifrarea
propriu-zis a datelor care se transmit n reea se poate realiza fie prin dispozitive
hardware speciale, fie prin programe capabile s efectueze transformri criptografice
dependente de cheie. Algoritmii utilizai fac parte din categoria celor computaionali,
putnd fi simetrici i asimetrici. Metodele de criptare cele mai utilizate se sprijin pe
metoda DES sau, mai recent, pe utilizarea algoritmilor cu chei publice (vezi paragraful
dedicat criptografiei).
Canalele de comunicaii, din punct de vedere al securitii, pot fi mprite n patru
categorii:
canale de comunicaii normale, fr cerine de protecie a datelor;
canale de comunicaii private, pentru transmiterea de date confideniale, care nu
utilizeaz metode de autentificare a utilizatorilor;
canale de comunicaii cu semntur, care asigur autentificarea utilizatorului
care transmite mesajul i a mesajului transmis;
canale de comunicaii sigure, n care exist certitudinea c att utilizatorii, ct i
mesajele sunt autentice.
ntr-o reea, protocolul de comunicaii este cel prin care este asigurat disciplina
asupra transmiterii datelor prin reea, disciplin care s permit controlul traficului, att
n intensitate, ct i n direcie. Alegerea unui anumit protocol are o influen deosebit
asupra flexibilitii, utilitii, funcionalitii i performanelor reelei. Facilitile de
cifrare au rolul esenial de a produce o mulime de canale logice protejate pe acelai canal
fizic; gestiunea acestor canale logice revine protocolului de cifrare ales. Se prefer soluia
unui protocol general care poate fi adugat la software-ul existent al reelei, perturbnd
ct mai puin posibil mecanismul de transmisie.
Pornind de la mprirea atacurilor n active i pasive, principalele servicii de
securitate pentru subsistemul de comunicaii sunt
20
:
servicii de securitate mpotriva atacurilor pasive:

20
Patriciu V., op. cit., pp. 130-132
30
confidenialitatea mesajelor;
prevenirea analizei traficului;
dubl protecie prin canal sublimat;
pseudonime digitale;
servicii de securitate mpotriva atacurilor active:
integritatea secvenei de mesaje;
continuitatea comunicaiei;
autentificarea asocierilor.
Criptografia ofer soluii n asigurarea siguranei, proteciei i autenticitii datelor
memorate sau transmise ntre calculatoare
21
. Criptarea datelor/informaiilor const n
transformarea informaiilor care trebuie protejate, astfel nct s nu poat fi descifrate
dect de persoanele care sunt autorizate s le utilizeze. Este considerat de specialiti cea
mai sigur metod de protecie mpotriva furtului de informaii, n special pentru cele
care sunt transmise la distane mari, prin liniile de comunicaii. Principalele direcii de
aciune n acest domeniu constau n
22
:
alegerea unui sistem raional de secretizare sigur a informaiei protejate;
fundamentarea cilor de realizare a sistemelor secrete n complexe
automatizate;
elaborarea regulilor de utilizare a metodelor criptografice n procesul
funcionrii sistemelor automatizate;
aprecierea eficienei i validarea proteciei prin criptare.
Utilizat mult vreme numai pentru asigurarea confidenialitii comunicaiilor n
domeniul militar i diplomatic, criptografia a cunoscut n ultimele dou decenii progrese
spectaculoase. Aplicaiile cele mai multe sunt n activitatea instituiilor financiar-bancare.
Dou aspecte au influenat aceast dezvoltare a criptografiei:
dezvoltarea reelelor de calculatoare, care a fost nsoit de cerinele susinute
ale utilizatorilor pentru pstrarea secretului comunicaiilor prin pota electronic i a
transferurilor electronice de fonduri. Aceste cerine au putut fi satisfcute datorit
extinderii gamei de instrumente utilizate n execuia algoritmilor de cifrare. A devenit
posibil folosirea unor chei de dimensiuni mai mari, care sporesc rezistena la atacurile
criptoanalitice (cnd dimensiunea cheii secrete este destul de mare i aceasta este
schimbat frecvent, devine practic imposibil spargerea cifrului);
adoptarea unui principiu diferit de cel al cifrrii simetrice, care este meritul
cercettorilor americani Whitfield Diffie i Martin Hellman de la Universitatea
Standford, California. Ei au pus bazele criptografiei asimetrice cu chei publice. Aceasta
folosete, n locul unei singure chei secrete, dou chei diferite: una pentru cifrare i una
pentru descifrare. Prima dintre ele este public, putnd fi utilizat de oricine dorete s
transmit un mesaj cifrat, a doua fiind doar n posesia destinatarului, pentru a descifra
mesajul. Sistemul are avantaje evidente, eliminnd nevoia de "trecere", pe canale
nesigure, a cheii unice de la transmitor la destinatar i introducnd posibilitatea de
semntur electronic i de autentificare. La nivelul guvernului S.U.A. a fost adoptat un
standard de semntur digital bazat pe conceptul de cheie public.
Descoperirea sistemului de criptare cu dou chei a determinat dezvoltarea n
mediul academic american a unei micri a criptografilor profesioniti independeni. n
1977, trei membri ai acestei micri au creat un set de algoritmi n care au implemetat

21
Patriciu V., Securitatea informatic, n PC World, nr. 7-8/1995, p. 17
22
Angheloiu I., op. cit., p. 17
31
schema Diffie-Hellman i au pus bazele companiei RSA Data Security
23
. Noua
companie oferea o soluie pentru protecia comunicaiilor mai bun dect cea oferit de
alternativa guvernamental DES, care utiliza o cheie unic. Printre actualii clieni ai RSA
se numr cunoscutele companii Apple, Microsoft, Motorola, Visa International,
Mastercard International.
Incidentele produse n anii '80 pe Internet au determinat nfiinarea unor echipe de
consultan specializate i mrirea fondurilor alocate de companiile americane pentru
securitatea sistemelor informatice.
Standardul american de cifrare a datelor este DES (Data Encryption System),
produs n 1975 n laboratoarele de cercetri ale IBM i larg utilizat de guvernul american
i diferite companii internaionale. Se spune c standardul a rezistat evalurii realizate de
"sprgtorii de cifruri" de la U.S. National Security Agency (NSA), dar nu se tie cu
certitudine dac cei de la NSA sau de la vreo alt organizaie au reuit sau nu s sparg
sistemul de codificare. Pe de alt parte, experiena a demonstrat c orice schem
criptografic are o via scurt datorit progresului tehnologic care reduce securitatea
furnizat de aceasta.
NSA, creat n 1952, este agenia de securitate pentru comunicaii a guvernului
S.U.A. i este mandatat s decodifice toate comunicaiile strine n interesul S.U.A.
Agenia dispune de resurse materiale i financiare uriae; are cei mai muli matematicieni
din lume i este cel mai mare cumprtor de calculatoare din lume. Toate acestea fac ca
NSA s aib muli ani avans naintea cercetrii publice din domeniul criptografiei i, fr
ndoial, ea poate sparge multe din sistemele criptografice folosite la ora actual
24
. NSA
i-a folosit adesea puterea pentru a ncetini rspndirea informaiilor din domeniul
criptografiei date publicitii, n scopul mpiedicrii apariiei de metode de criptare prea
puternice, pe care s nu le poat sparge.
Este deci evident c cea mai mare parte a cercetrii criptologice se desfoar n
spatele uilor nchise, iar numrul persoanelor angajate n aceste cercetri depete de
departe numrul celor angajai n cercetarea criptologic public
25
. De fapt, sunt doar 10
ani de cnd a nceput cercetarea deschis n domeniul criptologiei, iar conflictele ntre
aceste dou grupuri vor continua s existe.
Semntura digital reprezint un atribut al unui utilizator sau a unui proces, fiind
folosit pentru recunoaterea acestuia
26
. Semntura digital rezolv problema
autentificrii emitorului unui mesaj i problema autentificrii datelor. Receptorul
mesajului poate valida semntura emitorului i nu o poate falsifica. Semntura digital
certific originalitatea documentului i a coninutului lui. n sistemele bazate pe cifrurile
cu chei publice, emitorul unui mesaj va folosi cheia sa secret pentru crearea
semnturii, iar receptorul mesajului poate verifica originea autentic a acestuia i
integritatea cu ajutorul cheii publice.
n domeniul semnturii digitale i al confidenialitii cu chei publice, sistemul de
cifrare RSA (numit astfel dup numele autorilor: Rivest, Shamir, Adleman) reprezint
standardul de baz. RSA este cea mai sigur metod de cifrare i autentificare disponibil
comercial, constituit att din programe, ct i din dispozitive hardware speciale. O serie
de firme productoare de programe i echipamente (DEC, Novell, Motorola), precum i

23
Rdoiu D., Noua ordine informaional, n Byte, nr. 3/1995, p. 92
24
Rdoiu D., NSA sau faa secret a cercetrii criptografice, n Byte, nr. 3/1995, p. 93
25
Massey J ., An introduction to contemporary cryptology, IEEE proceedings, 76(5), 1988, p. 7
26
Patriciu V., op. cit., p. 45
32
companii mari cu alte obiecte de activitate, folosesc acest algoritm pentru protejarea i
autentificarea datelor, parolelor, fiierelor, documentelor memorate sau transmise prin
reele. n sistemul de operare pentru reele locale Netware al firmei Novell se folosete
curent sistemul RSA n mecanismele de autentificare care permit utilizatorilor s accead
la un server al reelei.

Practica i experiena acumulat furnizeaz cteva principii pentru aplicarea
mecanismului de protecie proiectat:
efectul maxim este obinut atunci cnd toate mijloacele, metodele i msurile
sunt integrate ntr-un mecanism unic, care trebuie proiectat n paralel cu proiectarea
sistemului informatic;
funcionrii mecanismului de protecie trebuie s-i fie acordat aceiai
importan ca i celorlalte module de baz ale sistemului informatic;
trebuie s se asigure permanena controlului funcionrii mecanismului de
protecie.

2.2 Securitatea fizic a sistemelor informatice

Obiectivul securitii fizice a sistemului informatic este mpiedicarea ptrunderii
n sistem a intruilor, transmindu-le un mesaj de avertizare, iar atunci cnd aceasta nu
este posibil, barierele create trebuie s le stopeze sau s le ntrzie atacul. Pe lng
atacurile deliberate, securitatea fizic trebuie s asigure i protecia mpotriva dezastrelor
naturale. Mijloacele fizice de protecie au fost, cu siguran primele utilizate n asigurarea
securitii i sunt destinate aprrii integritii echipamentelor i datelor. Ele au i n
prezent un rol important n ansamblul msurilor de protecie adoptate, constituind primul
aliniament de aprare al sistemului de securitate. Totui, indiferent cte msuri s-ar lua,
nu exist o securitate perfect, sistemul rmnnd sub incidena unei doze de risc.
Important este ca aceast doz s fie corect estimat. Eficiena componentelor sistemului
securitii fizice este apreciat pe baza urmtoarelor criterii
27
:
timpul sau costul necesar intruilor s le anuleze;
viteza cu care identific iniiativa de atac sau intruii existeni n sistem;
precizia cu care este identificat un intrus;
neinterferarea cu alte msuri de protecie;
transparena fa de persoanele autorizate i neafectarea funcionrii normale a
sistemului;
timpul necesar repunerii n funciune a sistemului dup un incident;
impactul asupra disciplinei de lucru a personalului.
Se consider c un sistem de securitate fizic este eficient atunci cnd este
proiectat i implementat odat cu proiectarea i implementarea sistemului informatic pe
care se grefeaz i nu ulterior, costul i eficiena fiind net diferite.
Sistemul de securitate fizic trebuie s discearn care sunt persoanele autorizate,
cu acces n sistem i la ce nivel este permis accesul. Identificarea poate fi fcut de corpul
de paz, de alte persoane care se ocup de controlul accesului sau de sisteme automate.
Legitimarea persoanelor care doresc acces se poate realiza prin una din urmtoarele
metode
28
:

27
Oprea D., op. cit.
28
Oprea D., op. cit.
33
identificarea, care stabilete cine este persoana pe cale vizual, prin semntur
sau alte modaliti;
parolele, care de asemenea stabilesc identitatea persoanei;
cartelele speciale sau cheile de acces, care se gsesc n posesia celor autorizai s
acceseze sistemul.
Msurile prin care este asigurat securitatea fizic a unui sistem informatic pot fi
sistematizate astfel:
controlul accesului (proceduri care s exclud efectiv persoanele neautorizate din
centrele de prelucrare automat a datelor);
asigurarea securitii echipamentelor din sistem (calculatoare i echipamente
periferice);
protecia mpotriva dezastrelor naturale, a incendiilor sau inundaiilor;
protecia bibliotecii de suporturi de date.
Metodele de asigurare a securitii fizice includ: amplasarea centrului de
prelucrare a datelor ntr-o zon care poate fi protejat, utilizarea unor dispozitive de
ncuiere a uilor, controlul intrrilor i ieirilor n sala calculatoarelor, utilizarea
dispozitivelor de identificare prin voce, amprente a persoanelor care acceseaz sistemul.
Accesul la terminalele sistemului i la calculatorul central poate arta ca n figurile 2.1 i
2.2.

Intrare Corp de
paz
Sistem de
identificare prin
voce/amprente
U ncuiat
SAL TERMINALE

Figura 2.1 Schema accesului la sala terminalelor
29

Sal
terminale
Cod personal
de identificare
parol
protocol de
autentificare
SALA CALCULATORULUI
CENTRAL

Figura 2.2 Schema accesului la sala calculatorului central
30

Controlul accesului
nseamn o verificare i o eviden riguroas a persoanelor care intr i zona
centrului de prelucrare automat a datelor i se concretizeaz, n mod obinuit, n ui
ncuiate i/sau pzite. Prin intermediul msurilor de securitate se stabilete care sunt
persoanele autorizate, care sunt vizitatorii i ce drepturi au i care sunt persoanele
neautorizate. Uile sunt descuiate de un agent al corpului de paz sau prin intermediul
unor chei sau cartele magnetice aflate n posesia persoanelor autorizate sau prin activarea
unui dispozitiv electronic de ncuiere cu ajutorul unei parole. Pericolul pe care l prezint
cartelele sau cheile const n posibilitatea pierderii sau sustragerii i utilizrii lor de ctre
persoane neautorizate. Exist cum am mai artat i dispozitive electronice care identific
o persoan dup voce sau dup amprente sau chiar dup urmele buzelor! i probabil c
tehnologia nu se va opri aici.
n legtur cu controlul accesului exist cteva principii generale
31
. n primul

29
prelucrare dup McKeown, Living with computers, H.B.J ., Florida, 1991, p. 617
30
prelucrare dup McKeown, op. cit., p.617
31
Oprea D., op. cit.
34
rnd, simpla posesie a unui element de control nu trebuie s fie automat i proba
accesului privilegiat la informaiile importante, acesta putnd fi dobndit la fel de bine
ilegal sau putnd fi contrafcut. Un alt principiu stipuleaz c atunci cnd valorile
patrimoniale care trebuie protejate sunt deosebit de importante, i mecanismele de
protecie trebuie s fie la fel de bine concepute, iar persoanele cu drept de acces s fie ct
mai puine. Pentru informaiile care sunt catalogate secrete trebuie aplicat principiul
conform cruia niciunei persoane nu trebuie s i se garanteze accesul permanent,
gestiunea sau cunoaterea tuturor informaiilor secrete, numai pentru c deine o poziie
n conducerea de vrf a organizaiei.
Se recomand ca fiecare centru de prelucrare automat a datelor care are mai mult
de 25 de angajai s utilizeze sistemul ecusoanelor, ca msur suplimentar de protecie.
ncperile care nu dispun de ui care s poat fi ncuiate trebuie s aib intrrile
supravegheate de ctre un agent de paz, direct sau prin sistemul de televiziune cu circuit
nchis. Pentru vizitatori se vor amenaja camere separate, izolate de zona centrului de
prelucrare a datelor.
Obiectivul msurilor de control al accesului este de a limita accesul la
documentaia programelor, la programele de aplicaii i la fiierele de date, precum i la
echipamentele din centrele de calcul
32
.
Accesul la documentaia programelor trebuie limitat la acele persoane care au
sarcini legate de aceasta i numai pe perioada exercitrii acestor sarcini. De exemplu, un
programator are acces la partea de documentaie corespunztoare programului la care
lucreaz i numai att ct lucreaz la programul respectiv. n afara sarcinilor de servici
nimeni nu are acces la documentaie, aceasta fiind o resurs valoroas a sistemului, aflat
n rspunderea unui responsabil din compartimentul de prelucrare automat a datelor.
Accesul la fiierele de date i programe este asigurat prin intermediul
bibliotecarului, n custodia cruia se gsesc acestea (vezi paragraful dedicat proteciei
bibliotecilor de suporturi).
Accesul la echipamente este, de regul, limitat la persoanele care sunt autorizate s
opereze n sistem. Riscurile modificrii neautorizate sau a copierilor ilegale sunt foarte
mari. Limitarea accesului numai la programul strict de lucru i numai la personalul cu
sarcini clare poate asigura un grad sporit de securitate a echipamentelor.

Protecia fizic a centrelor de prelucrare automat a datelor
Centrele de calcul trebuie amplasate n cldiri special construite, preferabil pe
terenuri virane, cu urmrirea urmtoarelor aspecte: locul de amplasare s fie pe un teren
solid, neafectat de cutremure, vibraii, cmpuri electromagnetice; nivelul solului fa de
cotele de inundaie s fie mult mai ridicat; s existe un regim sigur de funcionare a
curentului electric; s fie asigurat intervenia prompt n caz de nevoie a poliiei,
pompierilor sau staiei de salvare.
La proiectarea cldirilor care vor adposti centrul de prelucrare automat a datelor
se vor urmri urmtoarele aspecte:
construcia s fie ridicat din materiale neinflamabile, sala calculatorului central s nu
aib ferestre, iar pereii s fie izolai fonic i termic i s nu conin lemn sau sticl; sala
calculatorului trebuie asigurat cu aer condiionat, cu dispozitive de control al
temperaturii i umiditii i sisteme de detectare a fumului;
numrul de intrri i ieiri trebuie s fie minim, cu respectarea normelor de prevenire a

32
O'Hicks J ., Management Information Systems. An User Perspective, West Publishing Co., St. Paul, 1987, p.
491
35
incendiilor; intrarea principal trebuie s dispun de o zon tampon, n care s aib loc
procedurile de control i identificare pentru acordarea accesului;
cldirile trebuie prevzute cu sisteme de alarm n caz de incendiu sau spargere
amplasate n zona intrrii principale i trebuie supravegheate, dac este posibil, prin
sistem de televiziune cu circuit nchis;
sistemele de asigurare a serviciilor de furnizare a apei, gazului metan, energiei electrice
i facilitile de comunicaii trebuiesc amplasate n subteran, iar cile de acces la acestea
trebuiesc blocate i supravegheate;
se recomand introducerea unor sisteme de controlare a prafului, n special n sala
calculatorului, evitarea parchetrii n favoarea pardoselilor electrostatice din policlorur
de vinil, renunarea la perdele i covoare.

Securitatea echipamentelor
Fiind o component de baz a sistemului informatic, partea de echipamente trebuie
s fie tratat cu mult atenie din punctul de vedere al securitii. Cea mai sigur cale de
distrugere sau ntrerupere a bunei funcionri a sistemului electronic de calcul este de
natur fizic, centrele de calcul putnd fi inta unor acte de vandalism, a dezastrelor
naturale, a sabotajelor. Un intrus specialist poate accesa i modifica elemente din
configuraia calculatorului, blocnd astfel mijloacele de asigurare a securitii. Pot fi
modificate circuitele electronice, pot fi blocate sau distruse componentele cu rol de
protecie, pot fi citite din memorie parolele sistemului etc. Un intrus nespecialist, dar ru
intenionat, sau un angajat concediat, poate pur i simplu s distrug prin lovire sau
trntire echipamentele electronice.
ntre msurile care pot contribui la securitatea echipamentelor:
ncuierea birourilor n care sunt echipamente;
dispersarea, pe ct posibil, a echipamentelor, mai ales atunci cnd se lucreaz cu
informaii importante;
verificarea periodic a elementelor din configuraia fizic a sistemului care sunt
deosebit de importante, cum ar fi placa cu circuite; eventual, pot fi fotografiate la
momentul verificrii pentru a se determina ulterior eventualele modificri.
Echipamentele sunt predispuse la cderi funcionale datorit mai multor motive:
defeciuni din fabricaie (aceasta mai ales la echipamentele fr certificat de origine sau
de calitate), instalare greit, defectare n timpul transportului, cderi de tensiune,
malfunciuni ale circuitelor electronice, erori ascunse ale programelor, erori datorate
operatorilor. Cea mai grav este cderea n timpul exploatrii, cu efecte grave, deoarece
devin inutilizabile att echipamentele, ct i datele aflate n memoria de lucru. Blocarea
sistemului electronic de calcul poate fi i urmare a interveniei unor specialiti intrui sau
a celor care se ocup cu ntreinerea sistemului (de regul externi). Tolerana la
cdere/defecte este o calitate important pe care trebuie s o aib calculatoarele
achiziionate, aceasta contribuind la prevenirea pierderii sau denaturrii datelor
33
. Unele
componente ale calculatorului sunt astfel construite nct s-i exercite unele funcii n
form de dubl (de exemplu, metoda nregistrrii "n oglind" pe disc, prin care datele
sunt scrise n acelai timp pe dou discuri, pentru a preveni pierderile de date dac s-ar
defecta capetele de citire/scriere ale unuia dintre ele). Sunt calculatoare care au dou sau
mai multe uniti centrale de prelucrare, care prelucreaz n acelai timp aceleai date i
programe, iar n situaia defectrii uneia dintre ele, funcionarea normal sau minimal va

33
Oprea D., Securitatea fizic a sistemelor de prelucrare automat a datelor (IV), n Tribuna Economic, nr.
42/1995, p. 23
36
fi asigurat de alt unitate central, pn la repunerea n funciune a celei defecte.
ntreinerea echipamentelor ridic mai multe probleme vizavi de sigurana,
securitatea i disponibilitatea datelor din sistem. Specialitii ce asigur ntreinerea i
efectueaz reparaiile trebuie supravegheai ndeaproape. Activitatea de ntreinere trebuie
s aib un plan de realizare, n concordan cu planul de funcionare al ntregului sistem,
aprobat de conducerea departamentului. Orice activitate care nu se ncadreaz n cele
planificate trebuie aprobat n scris de ctre conducere (de exemplu, efectuarea unor
operaiuni nainte de termenele planificate). Se poate deschide un registru de ntreinere
care s consemneze toate detaliile referitoare la operaiunile efectuate: data i ora, numele
persoanelor implicate, motivul, aciunile efectuate, inclusiv componentele care au fost
reparate, adugate sau nlocuite. Fiecare nregistrare va fi contrasemnat de responsabilul
cu securitatea echipamentelor. Este foarte important ca specialitii care realizeaz
ntreinerea sau reparaiile s nu aib acces la datele speciale ale ntreprinderii sau la
parolele acestora. De asemenea, dac specialitii solicit scoaterea din ntreprindere a
unor componente sau a documentaiei sistemului, aceasta trebuie aprobat de conducere
i trebuie s se asigure c acestea nu conin date importante ale ntreprinderii.
Calculatoarele electronice i pot verifica singure starea componentelor lor prin
autodiagnoz
34
, descoperind astfel dac ceva nu funcioneaz normal. Autodiagnoza
este util pentru:
confirmarea cu precizie a identitii echipamentelor, suporturilor de date i
utilizatorilor;
asigurarea c utilizatorii folosesc doar echipamentele, programele i datele la
care ei au drept de acces i prentmpinarea accesului neautorizat;
asigurarea c orice tentativ de acces sau utilizare neautorizat a
echipamentelor, datelor sau programelor este blocat i este lansat o alarm n sistem.
Unii productori de calculatoare asigur faciliti de diagnoz de la distan a
strii sistemelor electronice de calcul, ceea ce n mod normal se realizeaz de ctre
echipele de service, pentru a se asigura c totul funcioneaz normal i nu se contureaz
posibilitatea apariiei unor defeciuni. Este o modalitate mai avantajoas pentru
ntreprindere din punctul de vedere al costurilor, dar, sub aspectul securitii, se ofer
anse n plus intruilor de a accesa elementele din configuraie.
Protecia echipamentelor mpotriva pericolelor descrise are un rol vital n buna
funcionare a sistemului. Aceasta este asigurat, n primul rnd, prin dispozitive pentru
asigurarea securitii, incluse n componena fiecrui echipament de ctre productori.

Protecia mpotriva incendiilor, inundaiilor i dezastrelor naturale
Este uneori tratat neglijent de conducerea care nu este contient de faptul c
incendiul este cea mai dur ameninare pentru un sistem electronic de calcul. Ca orice
main electonic, i calculatorul poate lua foc din cauza unui scurtcircuit. Extinctoarele
se gsesc n orice cldire, dar puini tiu c ele pot cauza mai mult ru dect incendiul. n
aceast idee, pentru a evita pierderea complet a datelor n cazul incendiilor, trebuie s
existe o procedur care s prevad salvarea periodic a datelor, sub forma copiilor de
siguran i, mai ales, stocarea acestora ntr-o locaie diferit de sala calculatorului
central. O modalitate de ultim or de protecie a cldirilor care adpostesc centrele de
prelucrare automat a datelor este utilizarea unui gaz eficient n stingerea incendiilor
(numit halon), stocat n permanen, care este eliberat de sistemul de detectare a fumului

34
Oprea D., Securitatea fizic a sistemelor de prelucrare automat a datelor (III), n Tribuna Economic, nr.
41/1995, p. 25
37
n caz de producere a unui incendiu
35
. Dezavantajul acestei metode este costul foarte
ridicat al gazului care, spre deosebire de alte astfel de substane care pot fi utilizate, nu
este otrvitor pentru oameni.
mpotriva celorlalte dezastre naturale (inundaii, cutremure), msurile de protecie
trebuie avute n vedere nc din faza de proiectare a cldirilor centrului de calcul i se
refer n principal la alegerea locului de amplasare a acestora (s fie la un nivel superior
fa de cota de inundaii i pe un teren solid).
Este evident c nu se poate asigura o protecie complet mpotriva dezastrelor
naturale, dar se poate reduce riscul producerii lor. Util n aceste cazuri este i asigurarea
sistemului, care compenseaz pierderile n cazul producerii acestor fenomene.

Protecia bibliotecii de suporturi de date
Toate suporturile care conin date sau informaii rezultate din prelucrarea automat
a datelor (discuri magnetice, benzi magnetice, discuri optice etc.) trebuie s fie catalogate
i s aib un tratament similar cu al documentelor ce conin aceleai date sau informaii n
condiiile prelucrrii manuale. Toate materialele intermediare trebuie s fie considerate
materiale auxiliare i s fie clasificate n funcie de informaiile pe care le conin.
tergerea informaiilor, mai ales a celor cu un grad ridicat de importan, este o operaiune
care nu trebuie lsat la voia ntmplrii. Suporturile magnetice de date, care posed
caracteristici de remanen dup tergere trebuie tratate cu deosebit atenie ncepnd cu
faza aprobrii tergerii lor.
Exist dou tipuri de biblioteci de date:
biblioteca manual, sub forma unei camere izolate n care sunt pstrate benzile,
discurile magnetice sau alte medii de stocare a datelor. Aici nu au acces programatorii,
operatorii sau personalul de ntreinere a sistemului. Bibliotecarul are un control fizic
asupra tuturor fiierelor de date, nregistrate ntr-un registru care include, pentru fiecare
fiier, urmtoarele informaii:
data crerii;
numrul de serie al suportului pe care sunt stocate datele;
data pn la care fiierul va fi pstrat / la care va fi ters;
toate persoanele care au solicitat fiierul (data, ora, locaia);
localizarea copiei de siguran.
Se pstreaz, de asemenea, o eviden pe suporturi, incluznd: numrul de serie al
fiecrui suport, numele tuturor fiierelor logice coninute. Bibilotecarul va elibera copii
ale fiierelor solicitate de o persoan, numai pe baza autorizaiei scrise, i o va consemna
n registrul suporturilor de date;
biblioteca automatizat (computerizat) - n multe sisteme informatice moderne, datele
i programele sunt stocate on-line, iar accesul se realizeaz prin terminale. Controlul este
ntreinut printr-un sistem de parole, prin codificarea datelor sau prin tabele de autorizare
a accesului de la terminale
36
.
Sistemul de parole cere utilizatorului s introduc o parol pentru a putea accesa
un anumit nivel al bibliotecii. Cel mai utilizat n bibliotecile de date este sistemul de
parole pe trei niveluri. Primul nivel este cel de deschidere a unei sesiuni de lucru prin
introducerea unui cod de identificare, acesta fiind unic pentru fiecare utilizator. La
nivelul doi este solicitat parola pentru accesul n sistem, iar la nivelul trei, pentru a

35
O'Hicks J ., op. cit., p. 516
36
O'Hicks J ., op. cit., p. 492
38
accesa un anumit fiier, utilizatorului i este solicitat, dup introducerea numelui
fiierului dorit, o parol. Parola poate fi unic sau pot exista dou parole: una pentru
citirea coninutului fiierului i alta pentru modificarea lui. La fiierele ce conin date
importante se recomand schimbarea periodic a parolelor. Unele sisteme au i facilitatea
de a memora fiecare parol incorect care a fost introdus, terminalul de la care a fost
lansat cererea, codul de identificare al persoanei solicitante, ora lansrii. n felul acesta
pot fi cercetate cazurile n care au fost introduse parole incorecte, pentru a fi izolate
eventualele ncercri de acces neautorizat n sistem.
Tabelele de autorizare a accesului de la terminal afieaz fiierele la care este
permis accesul de la fiecare terminal, modalitatea de acces (citire, scriere) i, eventual,
intervalul de timp sau perioada din zi n care este posibil conectarea.
Codificarea datelor se utilizeaz pentru datele cu caracter secret sau care sunt
foarte importante pentru ntreprindere. Ele sunt stocate pe suporturi ntr-o form
codificat, prin intermediul unor programe care asigur codarea/decodarea datelor.
n cazul bibliotecilor computerizate, oricine poate avea acces on-line la fiierele de
date prin intermediul liniilor telefonice, de oriunde n lume, dac: cunoate numrul de
telefon pentru acces; are un cod de identificare valid i cunoate parola. Dar, chiar dac
nu posed toate aceste elemente, un intrus hotrt poate, prin intermediul unui program
bazat pe o schem de ncercri repetate, s acceseze un sistem informatic i, implicit
fiierele sale de date. Problema securitii sistemelor este mai acut ca oricnd.

2.3 Rolul personalului n securitatea sistemelor informatice

Un studiu recent publicat de Universitatea din Michigan arat c aproape toate
corporaiile importante din S.U.A. au fost, n ultimii 5 ani, inta atacurilor i fraudelor pe
calculator, multe din ele executate, n primul rnd i n mod repetat, de personalul propriu
al organizaiilor respective
37
. n ciuda acestor statistici alarmante, un sondaj al firmei
Datapro Information Services Group arat c 40% dintre companiile americane nu aplic
o politic de securitate a sistemului informatic. Studiul arat c 90% din problemele
ridicate de securitatea informatic sunt cauzate de cei din interiorul firmelor. Nici o
tehnologie, orict de avansat, nu poate nlocui lipsa unei bune organizri, dar o
conducere competent poate suplini un gol tehnologic. Exist tendina de a cuta soluii
hardware i software fr asigurarea vreunei protecii i dac pagubele cele mai mari i le
produc cei de aceiai parte a zidului cu tine, degeaba mreti nlimea zidului ...
Selectarea i pregtirea personalului
Succesul unui sistem informatic depinde, n ultim instan, de aptitudinile i
nivelul de pregtire al personalului care l deservete. Compatibilitatea caracterului i
pregtirii fiecrei persoane cu cerinele funciei sale n sistem este esenial, mai ales
pentru poziiile care sunt dificil de controlat i ofer un cadru favorabil producerii
fraudelor. Este cazul funciei de programator care, prin sarcinile care-i revin, are acces la
programele de aplicaii, ca i la programele de securitate, i dispune i de cunotinele
necesare pentru a le modifica potrivit intereselor sale. Primul caz de furt informatizat din
lume care a fost descoperit (c cine tie cte nu au fost naintea acestuia !) se bazeaz
tocmai pe acest aspect, al muncii programatorilor. n 1966, un programator care lucra
pentru o banc, undeva n S.U.A., a emis un cec fr acoperire. Cu meticulozitate, el a
modificat programul de nregistrare a cecurilor s ignore cei 300 de dolari fr acoperire,

37
Crahmaliuc A., Rata delicvenei informatice n ofensiv, n Computerworld, nr. 22/1995, p. 8
39
cu intenia de a pune banii napoi peste trei zile. Dar, constatnd cu ct uurin a reuit
s ascund "mprumutul" su, a renunat la acest gnd i, peste patru luni, a mrit suma
mprumutat la 350 de dolari. El a fost depistat atunci cnd calculatorul s-a defectat,
dobndind astfel onoarea de a deveni primul ho pe calculator din lume
38
. Iat doar un
exemplu care demonstreaz importana caracterului persoanei i nu doar a aptitudinilor i
pregtirii foarte bune.
Selecia personalului la angajare presupune solicitarea tuturor actelor, inclusiv a
unor referine de la vechiul loc de munc sau de la o persoan care s reprezinte o
instituie credibil. De asemenea, multe elemente edificatoare (descrierea locului de
munc anterior, a funciei deinute, evoluia profesional, motivaia schimbrii locului de
munc etc.) se obin prin interviu. Sunt importante i aspectele legate de competen,
punctualitate i absenteism, starea sntii, cauza prsirii vechiului loc de munc,
situaia financiar etc. Ar fi important i verificarea existenei la vechiul loc de munc a
unor probleme legate de securitatea sistemului informatic. Dup angajare, un aspect care
nu trebuie neglijat l reprezint discuiile cu salariaii, deoarece s-a constatat c angajaii
care nu sunt mulumii de salarii sau de condiiile de munc recurg adeseori la acte
distructive sau la fraude.
Principiile securitii sistemului informatic pe linia personalului sunt
39
:
principiul "nu trebuie s tie" face ca posesia sau cunoaterea informaiilor s
fie limitat i nlesnit doar pentru cei care au autorizarea de a le ti. Statutul deosebit al
unei persoane n ntreprindere nu-i confer i drepturi nelimitate de cunoatere a
informaiilor speciale;
principiul "nu trebuie s mearg" limiteaz accesul personalului n diferite zone
de lucru ale centrelor de calcul;
principiul "cele dou persoane" prentmpin posibilitatea ca o singur
persoan s comit acte ilegale n sistem. Chiar dac o persoan rspunde de exercitarea
unor atribuii de serviciu, ea va executa aciunile speciale numai n prezena unei alte
persoane autorizate. Cele dou persoane vor fi schimbate ct mai des, pentru a
prentmpina crearea de nelegeri ntre ele;
principiul schimbrii periodice a obligaiilor de serviciu presupune ca o
persoan s nu exercite o perioad prea lung de timp aceiai sarcin de serviciu;
Atribuirea responsabilitilor pe linia securitii sistemului informatic se va face
innd cont de ncadrarea personalului n una din urmtoarele categorii
40
:
angajai "neverificabili" - sunt cei care au un statut nu foarte clar i care nu pot fi
verificai n detaliu, motiv pentru care nu li se poate acorda accesul la informaiile
importante ale ntreprinderii;
angajai "fr dubii" - sunt persoanele care au trecut toate verificrile i li se pot
oferi anumite sarcini, cu acces la o parte din informaiile importante;
angajai "extrem de credibili" - sunt persoanele asupra crora s-au executat
verificri complexe, inclusiv asupra familiei, i care au dovedit o moralitate i rezultate
excepionale. Sunt considerate persoane de ncredere i li se poate facilita accesul la cele
mai importante informaii ale ntreprinderii.
Diviziunea funciunilor (sarcinilor) ntre persoane sau grupuri de persoane
distincte astfel nct o persoan s nu aib controlul dect asupra unei operaiuni,

38
Fnaru L., Cte ceva despre furtul informatizat, n Tribuna Economic, nr. 9/1993, p. 9
39
Oprea D., Protecia i securitatea sistemelor informatice, note de curs
40
Oprea D., op. cit.
40
minimiznd ansele realizrii unei fraude, este o condiie esenial ntr-un sistem
informatic. n absena unui control riguros, schimbarea programelor sau a fiierelor de
date este facil i nu las urme care s poat fi depistate. n primul rnd, se impune
delimitarea clar a activitii programatorilor de cea a operatorilor. Este necesar s se
asigure c programatorii nu au acces la fiierele de date, iar operatorii nu pot modifica
programele. De asemenea, operatorii nu trebuie s cunoasc structura bazelor de date
dect n msura n care le este necesar pentru a-i exercita atribuiile i nu trebuie s aib
acces la procedurile de control a intrrilor/ieirilor. Programatorii vor fi "izolai" de
fiierele de date i de terminale, ei vor utiliza copii ale fiierelor de date pentru a modifica
i testa programele.
Un alt mod de a menine controlul este rotirea personalului de la o funciune la alta
i instituirea obligativitii concediilor de odihn. Dac un angajat ncearc s comit o
fraud, este posibil, prin aplicarea msurii precizate, s nu aib timpul necesar s o
realizeze sau aceasta s fie descoperit. Este recomandat mai ales la nivelul operatorilor
i al funcionarilor care realizeaz controlul intrrilor/ieirilor.
Exist mai multe perechi de funcii pe linia prelucrrii automate a datelor care
trebuie exercitate de persoane sau echipe distincte:
operarea la calculator i programarea;
pregtirea datelor i prelucrarea lor;
operarea la calculator i gestiunea suporturilor de stocare a datelor;
recepia materialelor importante i transmiterea lor;
scrierea programelor de aplicaii i scrierea programelor de sistem;
scrierea programelor de aplicaii i administrarea bazelor de date;
proiectarea/modificarea programelor de securitate i implementarea lor;
controlul mputernicirilor de acces i exercitarea oricrei alte funcii.
Responsabilul pe linia securitii sistemului informatic poate impune respectarea
unor norme interne care s instituie restricii legate de sarcinile diferitelor categorii de
personal, msuri pentru respectarea principiului de rotire a personalului i de concedii
obligatorii etc. Este foarte important existena acestora sub form de proceduri scrise,
practica demonstrnd c absena lor i determin pe angajai s ignore normele i regulile
"nescrise".
Un alt aspect legat de securitate prin prisma factorului uman marcheaz
importana educrii i contientizrii personalului. Educaia este principalul mijloc de a
schimba atitudinea oamenilor vizavi de securitate. Ei trebuie s neleag c accesul
neautorizat, spre exemplu, chiar dac nu este rezultatul unor intenii de fraud, reprezint
o infraciune. ntreprinderea trebuie s organizeze periodic cursuri de pregtire i
informare a personalului asupra noilor tehnologii informaionale, a noilor msuri
legislative etc. De asemenea, se apreciaz c implicarea nemijlocit a personalului n
proiectarea sistemului de securitate poate contribui la contientizarea acestuia. Astfel,
personalul va nelege c, n cele din urm, cel care are adevrata responsabilitate pentru
securitate este factorul uman, i nu programele de securitate sau dispozitivele electronice.
41

Bibliografie

A. Cri/volume
1. Angheloiu I., Securitatea i protecia informaiilor n sistemele electronice de
calcul, Editura Militar, Bucureti, 1986
2. Bodnar G., Hopwood William, Accounting Information Systems, Allyn and Bacon
Inc., Newton, 1987
3. Cprariu V., Viruii calculatoarelor, Editura Microinformatica, Cluj, 1991
4. Coteanu I., .a., Dicionarul explicativ al limbii romne, Editura Academiei,
Bucureti, 1975
5. Dick J., Computer Systems in Business, PWS Publishers, Boston, 1986
6. Ftu T., Bazele informaticii economice, Editura Graphix, Iai, 1993
7. FitzGerald J., Business Data Communications, J. Wiley Inc., New York, 1984
8. Gallegos F., .a., Audit and Control of Information Systems, South-Western
Publishing Co., Cincinnati, 1987
9. Gregory R., Van Horn R., Le traitement de l'information dans l'entreprise, volum
1, Dunod, Paris, 1966
10. Moscove S., Accounting Information Systems, J. Wiley Inc., New York, 1990
11. McKeown P., Living with computers, H.B.J., Florida, 1991
12. Navas de Castaneda F., Les Systems d'information et de communication
d'Enterprise, Les Editions d'Organisation, Paris, 1990
13. Neagu T., Paraschivescu M., Prelucrarea electronic a informaiei financiar-
contabile, partea a III-a, lito, Univ. "Al.I.Cuza" Iai, 1985
14. O'Brien J., Information Systems in Business Management, R.D. Irwin Inc.,
Homewood, 1988
15. Odgescu I., Virui informatici i bombe logice, Editura Aldo, Bucureti, 1991
16. O'Hicks J., Management Information Systems. An User Perspective, West
Publishing Co., St. Paul, 1987
17. Oprea D., Premisele i consecinele informatizrii contabilitii, Editura Graphix,
Iai, 1994
18. Oprea D., Protecia i securitatea sistemelor informatice, note de curs, 1995
19. Oprea D., Airinei D., Andone I., Bazele informaticii economice, Editura
Universitii "Al. I. Cuza", Iai, 1990
20. Patriciu V., Criptografia i securitatea reelelor de calculatoare, Editura Tehnic,
Bucureti, 1994
21. Pilat F. V., Introducere n Internet, Editura Teora, Bucureti, 1995
22. Summers E. L., Accounting Information Systems, H. Mifflin Co., Boston, 1989


B. Articole/studii

1. Avram G., Auditul informatic, n PC World, nr. 6/1995
2. Airinei D., Impactul informaticii asupra ntreprinderii, n Tribuna Economic, nr.
23/1993
3. Apreutesei P., Reelele locale - un domeniu n dezvoltare, n Computerworld, nr.
3/1993
4. Crstea M., Bine ai venit n Internet!, n Computerworld, nr. 8/1995
42
5. Cobb S., Firewall-uri n Internet, n Byte, nr. 4/1995
6. Crahmaliuc R., Viruii nu iart, n Computerworld, nr. 2/1995
7. Crahmaliuc A., Pro i contra: asigur Internet securitatea datelor?, n
Computerworld, nr. 14/1995
8. Crahmaliuc A., Rata delicvenei informatice n ofensiv, n Computerworld, nr.
22/1995
9. Fnaru L., Cte ceva despre furtul informatizat, n Tribuna Economic, nr. 9/1993
10. Fnaru L., Hoi ingenioi, dar i ... hoi pclii, n Tribuna Economic, nr. 18/1994
11. Fnaru L., Cte ceva despre furtul informatizat, n Tribuna Economic, nr. 12/1994
12. Jerram P., Groupware bate la poarta Internet-ului, n Byte, nr. 5/1995
13. Massey J., An introduction to contemporary cryptology, IEEE proceedings, 76(5),
1988
14. Meni G., Forme de manifestare a viruilor n sistemele informatice, n Tribuna
Economic, nr. 21/1995
15. Moga A., Pirateria soft, n PC Report, nr. 38/1995
16. Neagu T., Contribuii la automatizarea gestiunilor economice n industria
confeciilor, Tez de doctorat, Universitatea "Al. I. Cuza" Iai, 1975
17. Oprea D., Securitatea fizic a sistemelor de prelucrare automat a datelor (IV), n
Tribuna Economic, nr. 42/1995
18. Oprea D., Fotache M., Transferul elctronic de fonduri, n Tribuna Economic nr.
15/1994
19. Oprea D., Securitatea fizic a sistemelor de prelucrare automat a datelor (III), n
Tribuna Economic nr. 41/1995
20. Oprea D., Securitatea fizic a sistemelor de prelucrare automat a datelor (I), n
Tribuna Economic, nr. 39/1995
21. Oprea D., Securitatea fizic a sistemelor de prelucrare automat a datelor (II), n
Tribuna Economic, nr. 40/1995
22. Oprean V., Oprean D., Informatizarea societilor comerciale, n Tribuna
Economic, nr. 26/1995
23. Patriciu V., Securitatea informatic, n PC World, nr. 7-8/1995
24. Patriciu V., Criterii de evaluare a ncrederii n sistemele de calcul, n PC World,
nr. 10/1995
25. Patriciu V., Criptografia computaional, n PC World Romnia, nr. 11/1995
26. Permul G., Information Systems Security: Scope, State-of-the-art, and Evaluation
of Techniques, n International Journal of Management, nr. 3/1995
27. Rdoiu D., Noua ordine informaional, n Byte, nr. 3/1995
28. Rdoiu D., NSA sau faa secret a cercetrii criptografice, n Byte, nr. 3/1995
29. Rotariu E., Nevoia de comunicare, n PC Report, nr. 26/1994
30. Stoleru V., Stoleru P., Protecia datelor, n Computerworld, nr. 12/1995
31. Tadesse W. G., Reele la nivel de ntreprindere, n Byte, mai 1995
32. Tristaru M., Bariere de protecie n jurul Internet-ului, n Computerworld, nr.
15/1995

43