Documente Academic
Documente Profesional
Documente Cultură
13.1. Motivare
Importanta securitatii informatiilor într-un sistem orientat e-business este generata, pe de o
parte, de necesitatea asigurarii unei vizibilitati si accesibilitati cât mai largi a informatii de natura
comerciala si, pe de alta parte, de amploarea consecintelor unor incidente de securitate, generata de
semnificatia economica a informatiilor administrate în sistem. In acelasi timp, diversificarea
continua a amenintarilor specifice securitatii datelor pe Internet impune abordarea acestui aspect
într-o viziune integratoare la nivelul întregului sistem informatic al companiei.
O asemenea abordare trebuie sa se bazeze pe o analiza si evaluare realista a
acestor amenintari, care sa permita departajarea riscurilor inacceptabile si dimensionarea corecta a
costului masurilor de securitate în raport cu resursele disponibile si cu beneficiile asteptate.
Elaborarea unei asemenea politici de securitate trebuie sa aiba în vedere principiile generale
care privesc securitatea informatica:
- stabilirea clara a responsabilitatilor,
- asigurarea proportionalitatii între riscuri si resursele alocate pentru eliminarea lor,
- revaluarea si actualizarea periodica a masurilor de securitate în raport cu evolutia
amenintarilor specifice,
- sensibilizarea si instruirea corespunzatoare a utilizatorilor sistemului,
- asigurarea echilibrului între masurile de securitate si cerintele privind asigurarea
accesului la informatii.
Este evident ca implementarea unei politici de securitate este o activitate cu caracter
pluridisciplinar - tehnic, organizatoric, juridic -, care implica colaborarea tuturor acestor categorii
de personal.
13.2. Probleme de securitate
Etapa de evidentiere a riscurilor este una dintre cele mai importante din procesul de stabilire
a politicii de securitate ; abia dupa determinare riscurilor existente, se pot planifica politici si
tehnici adecvate de protectie.
Politica de securitate
Politica ajuta la definirea a ceea ce este important si specifica ce pasi trebuie parcursi pentru
salvarea acestor bunuri supuse pericolului amenintarilor. Politica poate fi formulata in mai multe
feluri:
- ca o politica generala de securitate valabila pentru toate subdomenile ;
- prin politici punctuale (sectoriale), pentru diferite bunuri protejate (e-mail, date personale,
date de contabilitate etc.).
Politica generala joaca rolul principal. Ea stabileste in mod clar ce se protejaza si de ce. In
primul rând, statueaza responsabilitatile in ceea ce priveste protectia. In al doilea rand, ea
furnizeaza suportul pe baza caruia se vor rezolva si interpreta toate conflictele generate de aparitia
unor probleme de securitate. Politica trebuie sa fie generala, sa se schimbe putin in timp si sa nu
faca referiri concrete la amenintari, entitati sau nume de utilizatori.
Politica de securitate consta in a decide:
• ce amenintari vor fi abordate (si ce amenintari ramân în afara acestei politici);
• ce resurse vor fi protejate si la ce nivel;
• cu ce mijloace se vor tratate cerintele de securitate;
• ce costuri vor implica utilizarea acestor mijloace.
Trebuie asociat fiecarui risc identificat un cost in cazul producerii si un cost al masurilor
pentru prevenirea sa.
Costul producerii este foarte greu de apreciat. El trebuie sa ia in considerare nu numai costul
inlocuirii, repararii, pierderii unor componente, dar si pe cel legat de intreruperea lucrului, reputatia
companiei, pierderile generate la clienti.
Costul prevenirii se refera la cheltuielile necesare pentru contracararea fiecarei amenintari.
Desigur ca o politica de securitate foarte avansata implica si costuri de prevenire ridicate. Stabilirea
sumei limita care merita sa fie cheltuita pentru fiecare amenintare in parte reprezinta o decizie
specifica fiecarei companii in parte.
Chiar si utilizatorii autorizati pot comite erori sau pot intrprinde actiuni distructive, care pot
afecta sistemul. In astfel de cazuri, administratorul trebuie sa determine ce s-a intamplat si care sunt
daunele rezultate. Pentru acest scop, trebuie sa existe inregistrari ale activitatii sistemului, care sa
permita identificarea utilizatorilor si a actiunilor întreprinse de acestia.
Din punct de vedere tehnic, implementarea unei politici de securitate implica elaborarea
unei arhitecturi de securitate, în sensul recomandarilor standardului ISO 7498-2 pentru arhitectura
de retea OSI.
Aceste recomandari definesc cinci elemente principale în dezvoltarea unei arhitecturi de
securitate:
• serviciile de securitate;
• mecanismele de securitate;
• principiile de securitate pe niveluri;
• maparea serviciilor de securitate pe niveluri;
• maparea mecanismelor de securitate pe servicii de securitate
Semnatura digitala reprezinta o secventa de date în format electronic, obtinuta prin criptare
asimetrica si asociata logic unei entitati (mesaj, document, fisier) tot în forma electronica, care
asigura suportul pentru serviciile de identificare a originii entitatii la care este asociata
(autentificare), verificare a integritatii continutului acesteia si nerepudiere ulterioara de catre
semnatar a entitatii semnate.
Pentru semnatura digitala se utilizeaza sistemul de criptare cu cheie publica.
Daca emitentul unui mesaj îsi cripteaza mesajul cu cheia sa secreta, oricare dintre
destinatarii mesajului îl poate decripta cu cheia publica a emitentului, fiind în acest fel sigur ca
mesajul a fost transmis de emitent (singurul care detine cheia secreta cu care a fost criptat mesajul).
În acest mod are loc autentificarea expeditorului.
Ca si în sistemul clasic, în care un document semnat nu este obligatoriu confidential, în
cazul semnaturii digitale nu întodeauna este nevoie ca mesajul sa fie criptat.
Acest aspect este important în special pentru mesajele lungi, având în vedere resursele
solicitate de criptarea asimetrica.
Mesajul este transmis în clar, iar semnatura digitala (criptarea cu cheie secreta) se aplica
numai asupra unei reprezentari compactate a mesajului denumita “amprenta” acestuia.
Amprenta este obtinuta prin utilizarea unei functii speciale de dispersie (hash). Aceasta are
rolul de a pune în concordanta un sir de biti de lungime arbitrara (mesajul) cu un sir de biti de
lungime fixa (amprenta) si satisface urmatoarele conditii:
a) este practic imposibil de a deduce sirul de intrare din cel de iesire;
b) este practic imposibil de a se gasi doua intrari diferite pentru aceeasi iesire.
Prima conditie asigura nerepudierea, iar cea de a doua – verificarea integritatii. Mesajul este
transmis împreuna cu semnatura.
Destinatarul decripteaza semnatura cu cheia publica a emitatorului obtinând amprenta
mesajului transmis. Aplica asupra mesajului receptionat aceeasi functie hash si compara amprenta
obtinuta cu cea primita.
Daca nu sunt egale, rezulta ca mesajul a fost modificat dupa momentul semnarii sale de
catre expeditor.
Cel mai utilizat format de certificat digital este X.509, parte integranta a standardului de
X.500 pentru servicii de tip director de informatii în retea.
-versiunea de certificat;
X.509 v.3 propune un format extensibil de certificat digital, cu extensii optionale care ofera
informatii privind:
- politica de securitate sub care este emis certificatul,
- nume alternative ale posesorului sau emitentului certificatului (de ex. adresa e-mail, adresa
IP, nume DNS),
- atribute ale înregistrarii X.500 a posesorului, restrictii ale caii de certificare care leaga un
certificat de alte autoritati de certificare decât cea emitenta, punctele de distributie a listelor de
certificate revocate.