Sunteți pe pagina 1din 16

Andrei Creosteanu

Grupa i201

Securitatea informatiei
- pagina 1 -
Andrei Creosteanu
Grupa i201

Cuprins

1. Securitatea informatiei
2. Procesul de securizare al unei retele
3. Prezentarea portal-ului bcr.ro si a solutiilor de securitate adoptate
4. Securitatea wireless

Securitatea informatiei
- pagina 2 -
Andrei Creosteanu
Grupa i201

ajutat sa-si dezvolte afacerea, dar, pe


de alta parte, amenintarea era prea
dura, iar el nu cunostea pe nimeni in
1. Securitatea informatiei stare sa-l sfatuiasca sau sa-l ajute sa
construiasca o politica de securitate
a datelor in companie.
Datele adunate cu mult efort de-a lungul timpului si Numai simpla protectie
pastrate, de multe ori fara grija unui backup, pe harddisk- antivirus, fara o politica coerenta de
urile calculatoarelor, se pot dovedi extrem de pretioase la un securitatea informatiei in companie,
moment dat. Iar acel moment poate fi atunci cand realizam ca nu le mai putem nu este in masura sa prevada
recupera... dezastrele ce se pot intampla in orice
Iata cateva date care ar trebui sa ne dea de gandit: in 2001, pagubele moment. Desigur, informatia in sine
cauzate de virusi s-au ridicat la suma de 14 miliarde de dolari , suma mai mare nu constituie un pericol. Riscurile
decat cea a pagubelor directe cauzate de atacul terorist din septembrie 2001. In potentiale apar insa atunci cand ea
anul 2000, piata mondiala a serviciilor de securitate a informatiei a crescut cu este accesata sau mutata dintr-o
6,7 miliarde de dolari (conform IDC), iar pana in 2005, se asteapta o triplare a parte intr-alta, iar controlul asupra
acestei piete, ea ajungand la 21 de miliarde $ adica o crestere anuala de acestui fenomen nu este suficient ca
aproximativ 25.5%! Pe ce se bazeaza aceasta crestere? Pe implementarea unor sa asigure integritatea sau
politici de securitate particularizate pentru specificul fiecarei intreprinderi, confidentialitatea informatiei.
componenta esentiala, pentru companiile din intreaga lume, a strategiei de De aceea, fiecare organizatie
micsorare a riscurilor asociate cu afacerea respectiva. are nevoie de un plan specific,
Sunt directori de firme care nu indraznesc sa introduca o conexiune la elaborat in functie de nevoile
Internet in propria companie, de teama ca nu cumva datele acumulate, cu fiecaruia, pentru a
rabdare si migala, timp de ani de zile, sa nu-i fie distruse in cateva minute, din
cauza unui atac din Internet. Omul se afla in dilema, deoarece Internetul l-ar fi

Securitatea informatiei
- pagina 3 -
Andrei Creosteanu
Grupa i201

preintampina distrugerile sau furtul de date. Aceasta este motivatia ce a determinat SOFTWIN sa ofere solutii
complete de securitate, capabile sa alunge temerile justificate ale doritorilor de confidentialitate a propriilor informatii.
Astfel s-a nascut primul produs anti-virus din lume cu Personal Firewall incorporat, sub numele de BitDefender
Professional. O astfel de alaturare a fost impusa de constientizarea crescanda in randul utilizatorilor de Internet, fie ei
corporatii sau persoane fizice, a riscului de a pierde informatii confidentiale, intimitate si chiar afaceri profitabile in
defavoarea unor concurenti care le-au putut anticipa planurile.
Mail-ul sau vizitarea paginilor de Internet sunt uneori absolut necesare, depinzand de specificul fiecarei intreprinderi
sau firme. Felul cum sunt folosite aceste mijloace trebuie insa restrictionat in conformitate cu politica de securitate definita
la nivelul organizatiei. Odata stabilita aceasta politica, tot ce ramane de facut este verificarea unei liste care sa contina, pe de
o parte, locurile unde este necesara restrictionarea sau protectia accesului la informatie si, pe de alta parte, solutiile care pot
fi folosite pentru a face acest lucru.
Protectia antivirus ramane, evident, o parte, poate cea mai importanta, a acestei politici de securitate. I se adauga insa
protectia impotriva asa-ziselor coduri cu potential periculos, script-uri, applet-uri sau alte asemenea forme de zoologie
informatica, impotriva spam-ului, a atacurilor de tip DoS (Denial of Service) asigurarea confidentialitatii datelor si a
intimitatii utilizatorilor, securizarea transferului de date in Internet (fie ca este vorba de e-mail sau transfer / vizualizare de
fisiere) s.a.m.d. Alegerea solutiilor pentru prevenirea unor atacuri distructive asupra companiei, ramane desigur sarcina
specialistilor si in Romania exista specialisti.

Securitatea informatiei
- pagina 4 -
Andrei Creosteanu
Grupa i201

Nr Crt Denumire 2000 2001 2002 2003 2004


1 Piata antivirus SUA (milioane $) 525.0 683.0 793.0 905.0 1,035.0
2 Pierderi datorate pirateriei soft(mil. $) 26.7 32.5 38.1 49.3 64.7
3 Procent infectare cu virusi (%) 53.8 48.9 47.4 44.6 41.2
4 Infectii virusi (milioane PC) 22.1 26.5 29.8 34.3 37.9
5 Pierderi datorate SPAM(miliarde $) 0.7 3.0 7.0 15.0 21.0
6 Virusi noi (mii) 2.1 3.8 5.9 8.1 11.7
7 Nr atacuri / zi (medie) 5.0 8.0 19.0 26.0 47.0
8 Pierderi datorate pierderii datelor (mil $) 403.0 609.0 768.0 932.0 1,178.0
9 Cheltuieli medii securitate (mii $/firma) 12.8 23.9 40.1 79.5 235.8
10 Timp mediu pierdut de angajat/zi datorita SPAM (min) 1.0 3.0 6.0 18.0 32.0

1200

1000

800

600
Piata antivirus SUA (milioane $)
400

200

0
2000 2001 2002 2003 2004

Securitatea informatiei
- pagina 5 -
Andrei Creosteanu
Grupa i201

2. Procesul de securizare al unei retele

Procesul de securizare al unei retele parcurge de obicei 3 faze:

identificarea resurselor si analiza riscurilor


dezvoltarea si implementarea planurilor de securitate
monitorizarea proceselor în operarea de zi cu zi a retelei

Procesul de securizare al unei retele:

Identificarea resurselor si analiza riscurilor

Dezvoltarea si implementarea planurilor de securitate

Monitorizarea proceselor in operarea de zi cu zi a retelei

Analiza riscurilor este necesara pentru a putea aloca în mod corect investitia de timp si resurse necesare, în functie de
importanta resurselor protejate.

Securitatea informatiei
- pagina 6 -
Andrei Creosteanu
Grupa i201

Pe baza listei de riscuri prioritizate se realizeaza planurile de masuri necesare. Acestea pot fi proactive – pentru
reducerea expunerii la riscuri (mitigation) - sau reactive – planuri ce sunt aplicate dupa producerea incidentului de securitate
si care au drept scop minimizarea efectelor (contingency). Planurile de masuri proactive sunt implementate dupa o
planificare de timp bine definita. Masurile reactive sunt declansate odata cu producerea incidentului de securitate.
Securitatea este o preocupare continua. Chiar si dupa aplicarea planului de masuri proactive si atingerea nivelulului
de securitate dorit al retelei, pentru ca acest nivel trebuie mentinut. Din acest motiv, trebuie facuta o reevaluare periodica a
riscurilor de securitate si modifcate planurile de securitate, daca este nevoie. Pe tot parcursul duratei de viata a unei
infrastructuri IT, perfomantele acesteia trebuie monitorizate iar masurile de securitate trebuie optimizate.

2.1 Securizare pas cu pas


În cele ce urmeaza, vom discuta activitatile tipice care au loc în cadrul unui proiect de securizare a unei infrastructuri
IT. De asemenea, vom discuta care trebuie sa fie rezultatele tipice ale unui astfel de proiect.
Desi în articol vom discuta despre multe tehnici de securitate, nu trebuie sa uitam ca scopul final este securitatea
informatiei. Toate masurile de securitate luate în cadrul retelei trebuie sa fie adecvate nivelului de securitate ce trebui atins
pentru informatiile procesate în cadrul sistemelor IT. Securitatea informatiei este definita prin nivelele de confidentialitate,
integritate si disponibilitate ce trebuie asigurate pentru informatia din sistemul IT (triada Availability-Integrity-
Confidentiality).
Toate masurile de securitate trebuie sa corespunda nivelului de securitate dorit si valorii estimate a infomatiei
pentru organizatia respectiva. Altfel apare fenomenul feature creep, în care implementam tehnologie de dragul tehnologiei
si investim foarte mult în masuri de securitate costisitoare, scapând din vedere resursele cu adevarat importante sau netinând
cont de strategia securitatii pe ansamblu.

2.2 Analiza riscurilor


Primul pas în evaluarea riscurilor de securitate îl reprezinta identificarea resurselor care trebuie protejate precum si
evaluarea acestora din punct de vedere al importantei si valorii. Metodele de identificare sunt dintre cele mai variate,

Securitatea informatiei
- pagina 7 -
Andrei Creosteanu
Grupa i201

pornind de la checklist-uri cu riscuri tipice si terminând cu sedinte de brainstorming. Pentru fiecare din resursele identificate
se poate calcula simplu expunerea la risc ca fiind produsul dintre probabilitatea producerii riscului si impactul acestuia.
Impactul poate fi estimat în costuri sau conform unei scale de importanta.
Expunere = Probabilitate x Impact Exprimarea impactului în costuri (bani) este utila atunci când planificam masurile
de securitate proactive. Nu este eficient sa investim în masuri de securitate sume mai mari decât valoarea impactului asociat
resursei repective. Aceste calcule ne ajuta sa luam decizii inteligente în privinta securizarii diverselor tipuri de resurse,
încercând sa realizam o balanta între expunerea la risc si costurile de implementare ale planurilor de securitate.
Dupa identificarea si prioritizarea riscurilor în functie de expunere, trebuie realizate planurile de securitate. Acestea
contin de obicei masuri proactive care au drept scop reducerea expunerii la riscuri (mitigation). În unele cazuri însa nu pot fi
implementate masuri proactive sau costurile implementarii unor astfel de masuri depasesc valoarea impactului. În acest caz,
sunt realizate planuri de masuri reactive care au drept scop reducerea impactului, odata ce riscul s-a produs.

Exemple de planuri de masuri proactive:


• Securizarea serverelor si a statiilor pentru a reduce suprafata de atac
• Managementul patch-urilor de securitate pentru a elimina vulnerabilita-tile cunoscute
• Securizarea perimetrului retelei
• Implementarea de software antivirus
• Monitorizarea si auditarea sistemelor critice
• Aplicarea unor politici de securitate cu Group Policy si Active Directory
• Crearea de politici si proceduri de securitate pentru utilizatori si administratori

Exemple de planuri de masuri reactive:


• Planul de notificare la producerea incidentelor
• Restaurarea datelor (back-up-ul este proactiv)
• Planuri de continuare a functionarii sistemelor

Securitatea informatiei
- pagina 8 -
Andrei Creosteanu
Grupa i201

• Recuperare în caz de dezastre

Scopul final al securizarii retelei îl reprezinta protectia informatiilor si resurselor din retea. În continuare vom
examina o serie de activitati tipice care trebuie realizate în mai toate proiectele de securizare a unei retele bazate pe produse
si tehnologii Microsoft.
Informatia este un bun de valoare care trebuie protejat, mai cu seama în lumina cresterii semnificatiei e-businessului
si e-comunicatiei. Un ISMS permite o îmbunatatire sistematica a securitatii în interiorul si/sau în afara unei organizatii.
Securitatea informatiei este un factor de succes pentru orice organizatie. Din aceasta cauza este necesar sa se
minimalizeze riscurile cauzate de pierderea bunurilor, caderea sistemelor, intruziunii în sistem din exterior, manipularii
precum si pierderii partiale sau complete sau utilizarii abuzive a datelor - acestea fiind informatii. Rezultatele unei asemenea
analize de risc sunt luate în calcul când se fac planuri pentru continuarea afacerii.
Securitatea informatiei - parte integrata a retelei, sistemelor de backup si stocari de date, protectie anti-virus si
firewall-uri, pastreaza datele vitale si recuperabile ale companiei la loc sigur, intacte si accesibile. In plus, se pot dezvolta
politici interne de acces si control pentru securizarea operatiilor
Eficienta si productivitate sporite - operatiunile si aplicatiile companiei vor functiona armonios atata vreme cat partea
hardware functioneaza corect

3. Prezentarea portal-ului bcr.ro si a solutiilor de securitate adoptate

Banca Comerciala Romana a lansat, la inceputul lunii martie 2003, primul portal financiar-bancar din
Romania, care prezinta informatii integrate privind intreaga activitate a Grupului BCR.
La adresa de Internet www.bcr.ro pot fi obtinute, de acum, informatii privind atat produsele si
serviciile bancii, cat si cele oferite de subsidiarele BCR care opereaza in sfera leasing-ului, asigurarilor,

Securitatea informatiei
- pagina 9 -
Andrei Creosteanu
Grupa i201

investitiilor de portofoliu si pietei de capital. De asemenea, este prezenta si Anglo-Romanian Bank, subsidiara britanica a
BCR.
Alaturi de informatii detaliate privind oferta adresata clientilor Grupului BCR, uti-lizatorii portalului beneficiaza de
multiple facilitati:
- pot efectua un calcul estimativ pentru rate de credite, pentru rate de leasing si pentru prime de asigurare;
- dispun de un newsletter integrat cu informatii utile despre intreaga activitate a Grupului;
- au acces la un centru de sondaje prin intermediul caruia pot contribui la imbunatatirea ofertei de produse si servicii,
precum si a continutului portalului.
De asemenea, portalul www.bcr.ro va permite fiecarui utilizator autorizat (cu parola de acces) sa aiba afisate doar
informatiile care il intereseaza (de exemplu carduri, leasing si BCR Clasic) intr-un format pe care si-l poate alege.
In plus, utilizatorii autorizati care sunt clienti ai BCR Leasing sau BCR Asigurari vor putea afla valoarea ratelor sau
primelor de asigurare pentru luna in curs, iar portalul le va transmite automat un mesaj e-mail de atentionare inainte de data
scadentei.
Securitatea informatiei este garantata atat prin folosirea unui nume si a unei parole unice, cat si printr-o conexiune
securizata, de tip HTTPS, testata si implementata de multe banci de prestigiu din lume.
Portalul BCR utilizeaza o tehnologie informatica pusa la punct de SAP, lider mondial al solutiilor informatice de e-
business si dezvoltata pentru BCR in intregime de SOFTWIN, lider pe piata IT din Romania.
Aceasta tehnologie SAP se regaseste si la portaluri binecunoscute precum cele ale Deutsche Bank, Bank of America
sau Yahoo!.
Tehnologia este foarte flexibila si permite dezvoltarea in continuare a portalului www.bcr.ro cu noi aplicatii care vor
creste interactivitatea dialogului in folosul clientilor.
De asemenea BCR ofera Sistemul de banca electronica e-bcr care permite, prin intermediul Internet-ului, efectuarea
de plati in lei si obtinerea extraselor de cont si a unor informatii de trezorerie, fara a mai fi necesara deplasarea la sediul
bancii. e-BCR este destinat clientilor mici si mijlocii care realizeaza activitate financiar contabila cu un numar mic de

Securitatea informatiei
- pagina 10 -
Andrei Creosteanu
Grupa i201

tranzactii si care nu dispun de resurse umane din domeniul informaticii pentru intretinerea unei retele locale sau pentru
realizarea unor interfete cu propriile sisteme informatice.
Pentru acestia conexiunea cea mai simpla la un sistem de plati electronice este cea de tip Internet care nu cere resurse
speciale pe calculatorul clientului.
Pentru a putea folosi acest sistem de plati banca ofera clientilor sai un fisier de tip plug-in sub forma unui program ce
se va instala in mod automat in structura browser-ului local si care permite, in mod securizat, realizarea conexiunii cu
banca.
Pentru autorizarea lucrului prin e-bcr, clientul trebuie sa realizeze urmatorii pasi:
- sa aiba cont la una dintre unitatile BCR;
- sa completeze, la sediul unitatii BCR, o cerere de acces la serviciul e-BCR, semnata de persoana autorizata;
- sa efectueze operatiuni bancare si sa detina semnatura in banca;
- sa instaleze pe calculatorul din societate programul oferit de BCR si sa urmeze intocmai instructiunile ce insotesc acest
program;
- sa genereze scrisoarea de initializare, conform instructiunilor primite, sa o semneze si sa o prezinte la unitatea BCR.

4. Securitatea wireless

Multe organizatii neglijeaza importanta securitatii wireles. Este evident ca, prin natura lor,
daca aceste retele nu sunt corespunzator protejate, ele se transforma usor într-o usa
deschisa pentru oricine este interesat de datele si informatiile din reteaua interna a
organizatiei. Daca dispune de echipament adecvat, un individ poate accesa reteaua
organizatiei de la o distanta de aproape un kilometru, atât pentru a se folosi de
informatiile acesteia, cât si pentru a lansa atacuri catre alte organizatii din Internet. Tot

Securitatea informatiei
- pagina 11 -
Andrei Creosteanu
Grupa i201

ca urmare a naturii lor, deosebit de vulnerabile sunt si dispozitivele portabile (asistentii personali digitali 1,
telefoanele mobile, laptop-urile).
4.1 Securitatea la nivelul protocoalelor
Tehnologia de securitate WEP (Wired Equivalent Privacy) a standardului IEEE 802.11 este departe de
perfectiune, usor de strapuns. WEP are doua lacune importante: criptarea vulnerabila si o proasta administrare a
cheilor (ceea ce înseamna fie chei schimbate manual, fie solutii ale unor vânzatori individuali – care în cel mai bun
caz genereaza cheile dinamic). WEP suporta atât chei de 64, cât si de 128 biti. Ambele sunt defectuoase, pentru ca
vectorul de initializare are marimea de numai 24 de biti. Algoritmul de criptare RC4 este de asemenea vulnerabil în
WEP. Dar cel mai rau lucru care se poate întâmpla – si se întâmpla adesea - este ca WEP sa fie dezactivat de
dispozitivele 802.11b fara o alta protectie alternativa.
Protocolul 802.11b nu satisface decât cerinte minime de securitate: control al accesului si autentificare, la
un nivel elementar (autentificarea este bazata numai pe hardware). O alta metoda de securitate a accesului
utilizata de 802.11b se bazeaza pe un Service Set Identifier (SSID), care este asignat unuia sau mai multor
puncte de acces pentru a crea un segment de retea wireless. Clientii wireless trebuie sa fie configurati cu SSID-ul
corect pentru a accesa reteaua – securitatea asigurata prin acest mecanism fiind elementara. Mecanismul de
criptare al 802.11b este defectuos: s-a dovedit usor de spart si paralizat de lipsa unei scheme de administrare a
cheilor. Un cracker poate cauta punctele de acces ale 802.11 si poate decripta datele capturate utilizând un laptop
si software descarcat de pe Internet.
Realizatorii de dispozitive wireless (Cisco Systems, Agere Systems, Enterasys Networks, Avaya) au introdus solutii
proprietare pentru aceste probleme. Ei pun la dispozitia clientilor lor produse software care asigura un
management al cheilor îmbunatatit, folosit atât pentru criptare cât si pentru autentificarea clientilor.
Membrii grupului de lucru IEEE 802.11i lucreaza la o serie de schimbari menite sa acopere bresele WEP, în
special metodologia sa de criptare. Schimbarile includ modificarea modului în care sistemul creeaza si utilizeaza
atât vectorul de initializare, cât si cheile utilizate în criptarea datelor transferate în retea. Se va renunta la
algoritmul de criptare RC4 în favoarea standardului de criptare avansata (AES – Advanced Encryption Standard) –
un cifru bloc despre care se crede ca va proteja mai bine traficul de cei care intentioneaza sa modifice datele aflate
în tranzit.

1
PDA (eng) = Personal Digital Asistent

Securitatea informatiei
- pagina 12 -
Andrei Creosteanu
Grupa i201

Standardul 802.1x adoptat în iulie 2001 foloseste Extensible Authentication Protocol (EAP) pentru a
autentifica utilizatorii. În mediul WLAN, un client wireless va trimite o cerere catre un punct de acces 802.11b,
care va stabili apoi o conexiune cu serverul de autentificare.
Alte protocoale din seria 802.11 realizate cu scopul cresterii vitezei în retelele wireless 2 sunt 802.11a si 802.11g.
Organizatiile complexe, cu un numar mare de angajati si parteneri de afaceri, cu o mare varietate de aplicatii si
metode de acces – inclusiv wireless – au nevoie de un server de autentificare. Pentru autentificarea bazata pe
utilizator, este recomandat RADIUS/AAA. Acesta poate valida un client înainte de a verifica un punct de acces si
poate fi administrat central, lucru important pentru organizatiile mari. De asemenea, poate fi folosit pentru
autentificarea clientilor retelelor virtuale private, ca si pentru alte servicii.
Pentru utilizatorii de dispozitive mobile, nepretuite în asigurarea securitatii sunt si retelele virtuale private
(VPN - Virtual Private Network). În loc sa apeleze prin dial-in reteaua organizatiei (în schimbul unei taxe
substantiale, bineînteles), utilizatorii de dispozitive mobile se pot conecta la ea prin Internet, via VPN. Astfel,
utilizatorul „mobil” are avantajul unei conexiuni de mare viteza. Se elimina si necesitatea amplasarii unor
modemuri dial-up, recunoscute ca puncte atractive de intrare în reteaua unei organizatii pentru intrusi. O retea
virtuala privata este un mod de utilizare a unei infrastructuri publice de telecomunicatii (ca de exemplu Internetul)
care asigura accesul sigur la reteaua organizatiei pentru birourile si indivizii aflati la distanta. Reteaua virtuala
privata poate înlocui un sistem costisitor de linii proprii sau închiriate folosite exclusiv de organizatie. Scopul VPN
este de a asigura facilitati similare respectivelor linii, dar la un cost mult mai redus. Desi foloseste o infrastructura
publica partajata, VPN asigura securitatea prin proceduri specifice si protocoale–tunel (cum ar fi Layer Two
Tunneling Protocol). Protocoalele cripteaza datele la trimitere si le decripteaza la primire, în timpul transmiterii ele
aflându-se într-un tunel (care nu poate fi folosit de date care nu sunt criptate corespunzator). Un nivel de
securitate suplimentar implica si criptarea adreselor din retea de la care sunt trimise si la care sunt receptionate
datele.

4. 2 La nivelul dispozitivelor
Dispozitivele portabile nu au fost proiectate pentru a suporta sarcini de securitate prea sofisticate. Multora
dintre ele le lipseste puterea de procesare pentru o criptare eficienta, pentru o buna administrare a memoriei si o
protectie solida prin parole. Si mai grav, aceste dispozitive sunt „descoperite” la nivelul securitatii fizice.
2
Retea wireless = retea fara fir (nu se mai folosesc vechile fire pt retele ci informatia este transmisa radio)

Securitatea informatiei
- pagina 13 -
Andrei Creosteanu
Grupa i201

De exemplu, laptopurile. Ele sunt masini portabile, mici, dar totodata puternice, care pot înmagazina GB de
informatie si pot costa mii de dolari. Sunt capabile sa realizeze aproape toate sarcinile unui calculator „fix” – si
totodata sa îsi însoteasca proprietarul în oricare dintre variatele locuri în care acesta lucreaza, se odihneste sau se
distreaza. Cei trei factori care transpar din textul de mai sus – portabilitatea, valoarea, popularitatea – fac din
laptopuri tinte excelente pentru hoti. Multe dintre furturi se produc în plina zi, în cele mai obisnuite locuri. Si foarte,
foarte repede. Daca un laptop este lasat numai un moment nesupravegheat, cineva îl poate lua pur si simplu sub
brat si pleca.
Unele companii au produs, pentru a veni în întâmpinarea acestei amenintari, tipuri variate de încuietori care
sa securizeze calculatorul prin fixarea sa de un birou sau de alt obiect greu de mutat. Daca laptopul este folosit în
locuri publice (de exemplu biblioteci, cafenele), este indicata o încuietoare cu cablu (asemanatoare cu cea de la
bicicleta, dar suficient de usoara încât sa poata fi purtata în servieta laptopului). Desi încuietorile nu pot opri un hot
motivat, vor.Securitatea Wireless reduce mult riscul furtului „de ocazie”. Daca laptopul este utilizat într-un birou
deschis diversilor vizitatori, este recomandat un dispozitiv care sa îl fixeze permanent de birou.
O alta optiune sunt detectoarele de miscare – ele emit o alarma sonora daca
laptopul este mutat. Un calator „înversunat” poate folosi o alarma de proximitate care porneste daca laptopul se
afla la o distanta mai mare de câteva zeci de centimetri de el. Desi alarmele nu previn în mod necesar furtul, fac
mai usoara depistarea persoanei care l-a comis. Un alt sfat care pare banal dar este util este purtarea laptopului
într-o servieta comuna, care nu da de banuit asupra continutului ei. În vederea asigurarii securitatii datelor din
laptop, se recomanda criptarea acestora.
Succint, alte precautii care trebuie luate pentru reducerea riscului sunt:
• tratarea laptopului ca pe un portofel sau o poseta, care nu trebuie lasate
niciodata nesupravegheate;
• calculatorul este bine sa fie marcat prin scrierea pe o placuta puternic
adeziva si greu de îndepartat numele proprietarului si numarul sau de
telefon;
• retinerea seriei calculatorului, a datei cumpararii, a altor date de
identificare - si pastrarea lor la loc sigur;
• înainte de a calatori cu un laptop, încheierea unei polite de asigurare
pentru el (o companie care se ocupa de acest fel de asigurari este

Securitatea informatiei
- pagina 14 -
Andrei Creosteanu
Grupa i201

Safeware – www.safeware.com);
• realizarea frecventa de copii de siguranta ale informatiei, care nu trebuie
pastrate în aceeasi servieta;
• utilizarea, pe cât posibil, a unor parole pentru securitatea informatiei din
computer –care sa nu fie salvate de catre acesta si care sa nu fie folosite
de utilizator si pentru accesul în alte sisteme.
Vânzatorii de software au dezvoltat programe care pot urmari un calculator furat când acesta este conectat
la Internet. Desi detaliile modului în care aceste produse lucreaza variaza de la produs la produs, ele opereaza, în
general, în felul urmator: programul este instalat pe laptop, rulând în secret, în background. În momentul în care
calculatorul se conecteaza la Internet, acest program apeleaza un server de monitorizare. Serverul de monitorizare
verifica identitatea laptopului pentru a vedea daca el a fost raportat ca disparut sau furat. În acest caz, serverul
determina locatia laptopului pornind de la numarul de telefon sau adresa IP de unde a fost apelat. Anumite tipuri
de software pot chiar sa dezactiveze un laptop furat. În concluzie, software-ul de protectie a laptopurilor (de tip
callback) apeleaza o statie centrala de monitorizare a laptopurilor, transmitându-i acesteia un identificator
electronic unic. Statia verifica daca o anumita conectare a fost facuta de la numarul de telefon atasat
identificatorului. Raspunsul „nu” la aceasta verificare poate fi semnul unui furt al calculatorului. CompuTrace (al
Absolute Software Corp., din Vancouver) sau AlertPC (Dallas) sunt setate sa apeleze statia la câteva zile o data –
iar daca numarul nu coincide, laptopul va emite din cinci în cinci minute un semnal care-i va permite politiei sa-l
gaseasca. CyberAng el
(Tennessee) initializeaza un telefon doar atunci când utilizatorul introduce o parola gresita sau niciuna, sugerând
astfel un posibil atentat la securitatea sistemului. Totusi, laptopurile au o putere suficient de mare, procesoare
rapide si spatiu de stocare semnificativ. Acest fapt le permite sa suporte în mod eficient sarcini diverse legate de
securitate, ca de exemplu criptarea datelor. În schimb, asistentii personali digitali (cu puterea scazuta,
procesoarele relativ încete si capacitatea de stocare redusa) au fost proiectati

Securitatea informatiei
- pagina 15 -
pentru a sustine aplicatii personale (care nu cereau decât în retelele „clasice”, pe de o parte pentru ca
neaparat o securitate robusta). Adesea, problemele de dispozitivele portabile au înca multe neajunsuri în
securitate îsi au originea în deciziile nesatisfacatoare domeniul securitatii, iar pe de alta parte pentru ca
din timpul proiectarii. În momentul în care asistentilor implementarea tehnologiilor wireless, ca a oricaror
personali digitali li se cere gazduirea unor aplicatii tehnologii noi, este cu un pas înaintea securizarii
financiare sau medicale, riscul devine evident. acestora.
Administrarea slaba a memoriei creeaza o alta gaura
în securitatea lor. Dispozitivele portabile cu putere Bibliografie:
mica nu au capacitatea de a marca sectiuni de 1. Danda, M., Protect Yourself Online, Microsoft Press,
memorie ca „read-only”. Daca un virus patrunde în 2001
sistem sau daca dispozitivul este furat, printr-o 2. Denning, D. F., Information Warfare & Security,
aplicatie se poate citi sau scrie în memorie sau Addison – Wesley, Massachusetts, 1999
interactiona direct cu procesorul sistemului – 3. King, M. C., Dalton, E. C., Osmanoglu, T. E., Security
rezultatele neplacute pot fi citirea înregistrarilor, Architecture (Design, Deployment & Operations),
stergerea datelor sau programelor sau, mai grav, McGrawHill, 2001
distrugerea fizica a dispozitivului. 4.http://www.cisco.com/global/RO/solutions/smb/avvid
_solutions/mobility_home.shtml
În concluzie... 5. http://www.hcssystems.com/wireless1/
Importanta securitatii în domeniul 6.
wireless deriva din faptul ca datele http://www.infosecuritymag.com/articles/january02/co
transportate prin retelele radio sunt de ver.shtml
fapt datele care circula în mod obisnuit 7. http://www.netreport.ro/pcrep118/loudon.shtml
prin retelele traditionale ale 8.http://searchnetworking.techtarget.com/qna/0,2892
organizatiilor (de exemplu rapoarte de 02,sid7_gci848369,00.html
vânzari, 9. http://www.smartnews.ro/Wireless/2139.htm
proiecte ale noilor produse sau Hyperlinks:
înregistrari medicale). Ele sunt adesea BazeDeDate.xls
confidentiale sau chiar secrete si necesita o protectie
adecvata. Problema protejarii lor este mai sensibila