Documente Academic
Documente Profesional
Documente Cultură
2008
1
Table of Contents
Fundament ........................................................................................................................... 5
Capitolul 1 PROTECŢIE ŞI SECURITATE NOŢIUNI DE BAZĂ ................................ 9
1.1. Argument .................................................................................................................. 9
1.2. Politica de securitate............................................................................................... 10
1.3. Obiective în asigurarea securităţii datelor .............................................................. 24
1.4. Vulnerabilitatea datelor şi măsuri de contracarare ................................................. 25
1.5. Tehnologii de securizare a datelor şi administrarea acestora ................................. 29
Capitolul 2 SECURITATEA SISTEMELOR INFORMAŢIONALE .............................. 33
2.1 Mecanismul de protecţie al unui sistem informatic ................................................ 33
2.2 Securitatea fizică a sistemelor informatice.............................................................. 42
2.3 Rolul personalului în securitatea sistemelor informatice ........................................ 48
Bibliografie.................................................................................................................... 51
3
Fundament
7
Capitolul 1
PROTECŢIE ŞI SECURITATE NOŢIUNI DE BAZĂ
1.1. Argument
Aproape săptămânal, presa internaţională relatează despre noi „succese" (de fapt:
infracţiuni) ale diverşilor crackers care au reuşit să treacă dincolo de barierele puse şi să
ajungă la banca de date informatică a unor importante instituţii sau companii naţionale
sau internaţionale. O dată cu apariţia autostrăzii informaţiei pentru diferite medii,
cunoscută şi sub numele de Internet, multe întreprinderi s-au grăbit s-o folosească în
scopuri comerciale, fără să analizeze pericolele şi riscurile generate de Internet. Totalul
atacurilor care vin din Internet se numără deja cu miile, din care unele extrem de grave.
Absenţa măsurilor de securitate corespunzătoare expune întreprinderile la mari riscuri
şi se poate dovedi, ulterior, extrem de costisitoare. Pe de altă parte, introducerea în ritm
accelerat a tehnologiilor avansate în practicile de securitate poate induce efecte
complexe, uneori nu prea bine stăpânite, asupra politicilor, strategiilor şi organizaţiilor,
publice sau private, însărcinate cu asigurarea securităţii.
Pentru orice întreprindere, informaţia are o valoare strategică. Este important,
aşadar, s-o putem proteja - şi acesta este obiectivul principal al securităţii informatice.
Parte integrantă a sistemelor de informaţie ale întreprinderii, reţelele aduc o plus-
valoare strategică şi economică sigură, dar introduc în acelaşi timp o anumită
vulnerabilitate. într-adevăr, posibilitatea unor persoane rău intenţionate de a pătrunde
în interiorul sistemelor de informaţii există şi nu poate fi niciodată eliminată în
întregime.
Orice blocaj sau parazitarea sistemelor de informaţii pune sub semnul întrebării
existenţa întreprinderii. Instrumentele securităţii informatice trebuie să permită
protejarea nu numai împotriva accesului persoanelor nechemate, ci şi contra
accidentelor prilejuite de fiinţe omeneşti sau de evenimente naturale. Când spunem
persoane nechemate, ne gândim l'a concurenţă, la spioni economici potenţiali, la
terorişti, la jucători de noroc înveteraţi, la persoane care vor să se răzbune, etc. Anumite
persoane pot fi la originea unor erori accidentale de concepţie (privind hardware-ul sau
software-ul) sau a unor manevre greşite. Cât priveşte evenimentele naturale, ele pot fi
numeroase şi cu origini foarte diverse: cutremure de pământ, tornade, vânt, furtuni,
inundaţii, descărcări electrice, fenomene electro-magnetice, radiaţii nucleare, etc.
Pentru ca protejarea informaţiei să fie efectivă, trebuie să putem proteja materialul
care o suportă (calculatoare, suporturi de memorizare, linii de transmisiuni), software-
ul care o tratează (sistemul de exploatare, programele de aplicaţii, fişierele, bazele de
date, protocoalele de comunicaţii, etc), dar şi mediul general care o înconjoară. Este
vorba de o problemă de întreprindere în care direcţia generală a acesteia este larg
implicată în procesul de prevenire şi de rezolvare a problemelor.
Pentru a putea proteja, trebuie să ştim ce anume trebuie protejat (care sunt
valorile întreprinderii), contra cui (care sunt ameninţările) şi cum anume trebuie
acţionat. Pentru aceasta trebuie procedat metodologic atât în privinţa analizei riscurilor,
cât şi în privinţa reducerii lor.
Riscul este probabilitatea - pentru un interval de timp dat - de a pierde o valoare
(pentru o vulnerabilitate specifică) datorită unei ameninţări particulare. Când vorbim de
valoare, trebuie să o înţelegem în sensul propriu al termenului. Resursele - indiferent de
faptul că este vorba de hardware sau de software, sau că ele sunt fizice sau de concepţie -
reprezintă o sumă de bani bine definită. Pierderea (totală sau parţială) a unei valori, va
costa scump întreprinderea. Din clipa în care o valoare există, ea este vulnerabilă.
Nivelul de vulnerabilitate depinde de natura lor şi de ameninţările pe care valorile le pot
suferi. Pentru o bancă, de exemplu, fişierul de conturi al clienţilor reprezintă o valoare.
9
Vulnerabilitatea reprezintă punctul său slab, fie la nivelul controlului accesului, fie la
nivelul procesului sau sistemului de salvare şi protejare a datelor. Modificări privind
soldul anumitor clienţi, furtul acestui fişier, reprezintă ameninţări potenţiale pentru cele
două niveluri de vulnerabilitate evocate mai înainte.
Măsuri de securitate sunt necesare acolo unde există vulnerabilitatea valorilor.
Distingem două tipuri de măsuri: vorbim de măsuri preventive când acestea vizează
minimizarea vulnerabilităţii şi/sau a riscului valorilor. Prin opoziţie, măsurile corective
de securitate sunt acţiuni întreprinse ca răspuns la un incident survenit şi la analiza
acestuia.
11
zăvoare investigare
supraveghere supraveghere
Măsuri
formare
preventive
etică
moralitate
reluare urmăriri judiciare
Măsuri
pedepse
corective
amenzi
Analiza celor două tabele precedente scoate în evidenţă punctul slab al entităţilor
de securitate; în esenţă, el se situează la nivelul acceselor la resurse. Este deci esenţial să
dispunem de instrumente care să permită un control fiabil al accesului. Întregul edificiu
de securitate se sprijină, aşadar, pe un bun control de intrare.
Noţiunea de securitate multinivel (ilustrată de Tabelul 2 şi în Fig. 1) asociază
diferite niveluri de control de acces, pentru a proteja cât mai bine o resursă, indiferent
de natura sa. Reversul acestei medalii este că o asemenea structură de securitate nu are
convivialitate şi/sau conduce la degradarea performanţelor sistemului.
14
aplicate încep să-şi facă apariţia, însă ele sunt adeseori greoaie, insuficient integrate şi
automatizate, iar eficacitatea lor reală rămâne discutabilă.
Progrese certe au fost realizate, în ceea ce priveşte securitatea, în oferta de
produse. în plus, certificarea permite o lizibilitate care nu există şi stimulează
companiile care oferă asemenea produse să mărească nivelul lor de securitate, urmărind
evoluţia extrem de rapidă a sistemelor şi arhitecturilor (facilities management FM,
radiocomunicaţiile personale, multimedia, schimburile informatizate de date EDT,
conectarea la autostrăzile informaţiei din Internet, reţelele de sisteme etc).
Rămân întrebările de bază care se referă la faptul că securitatea se sprijină, înainte
de toate, pe oameni şi organizare, necesitând o încadrare şi un efort permanente.
Securitatea trebuie integrată la toate nivelurile şi în toate activităţile întreprinderii, în
conformitate cu normele proprii fiecărei întreprinderi. Aceasta presupune că
întreprinderea dispune de un organ care editează cu regularitate tablouri de bord şi
indicatori semnificativi pentru managementul la toate nivelurile, aşa cum este deja cazul
marilor întreprinderi şi administraţii. Va fi însă nevoie de mulţi ani pentru unificarea
vederilor în materie de securitate, pe de o parte, sisteme informatice şi întreprindere, pe
de altă parte.
Un domeniu special îl reprezintă legislaţia referitoare la dreptul informatic.
Obiectele imateriale (informaţiile şi procedurile) au efectiv o valoare şi se poate vorbi de
prejudiciu când anumite obiecte imateriale sunt atinse în disponibilitatea, integritatea
sau confidenţialitatea lor. Banalizarea informaticii, integrarea ei în numeroase procese,
distribuirea ei geografică vor face ca dreptul informatic să se banalizeze şi să se adapteze
treptat. Altfel spus, trebuie verificată atât adaptarea contractelor, în general, cât şi a
numeroaselor articole din codul civil pentru a efectua corecturile necesare. Este, aşadar,
necesar să se dispună de un aparat juridic specific şi adaptat, cel puţin la nivel european;
procesele în curs sunt însă extrem de lente, datorită ataşamentului la culturile naţionale.
Se speră că dezvoltarea rapidă a telecomunicaţiilor va contribui din plin la
mondializarea economiei, favorizând şi armonizarea juridică, cel puţin ca un efect
secundar.
La baza lor stă conceptul generalizat al unui sistem care poate fi folosit ca model de
bază cu scopul de a înţelege şi structura materiei expuse; ea este exprimată prin etapele
următoare:
înţelegere şi conceptualizări; limbaj şi criptologie; confidenţialitate,
integritate şi disponibilitate; ce punct de vedere să adoptăm, ţinând seama
şi de prezenţa unui anumit mediu înconjurător;
demarcări: delimitarea sistemului studiat faţă de mediul care-l înconjoară,
subliniind mediul relevant, măsurătorile de securitate, informaţiile şi
datele;
definiţii: limbajul; specificarea fluxurilor de informaţii sau de date la
intrare, la ieşire şi a celor care se regăsesc de la un capăt la altul; criterii de
securitate în informatică şi telecomunicaţii
măsurătorile de control: structura controalelor de efectuat, cu variante
relevante; măsurarea securităţii. Toate cele de mai sus ilustrează de ce
aspectele pe care le vom examina împreună sunt problematice, căci ele nu
pot fi alocate într-un model uşor de înţeles, acceptat de toţi specialiştii, şi
având un anumit grad de siguranţă. Ele formează, totuşi, baza pentru o
apreciere subiectivă a domeniului care ne preocupă.
Fireşte, adoptarea măsurilor de securitate recomandate cere o investiţie
importantă atât ca timp, cât şi ca resurse financiare. De aceea ni s-a părut important să
apreciem atât avantajele, cât şi dezavantajele soluţiilor de securitate propuse, în funcţie
de necesităţile de securitate ale întreprinderii.
15
În evoluţia modelelor de securitate din tehnologia informaţiei distingem două
perioade: 1970-1980 şi 1980 - prezent. Primele modele s-au dezvoltat plecând de la
funcţiile de securitate îndeplinite de sistemele de exploatare; ele studiau nu numai
modul de a realiza securitatea computerului, ci şi cum anume ar putea fi măsurată
securitatea, într-un mod care să poată fi acceptat ştiinţific. Asemenea măsurători au
putut fi folosite pentru comparaţii, dar şi pentru concepţia statică şi evaluarea lor,
putând servi şi drept criterii la procurarea lor. Nu numai atât, modelele au putut focaliza
discuţia asupra securităţii unui sistem, facilitând conceptualizările. Aşa, de pildă,
mandatory and discretionary acces control and trust îşi au originea în aceste
prime modele. Ele se concentrau pe principiul confidenţialităţii, al clasificării datelor, al
datelor folosite de diferite grupuri de utilizatori şi pe aplicarea privilegiilor şi a
capabilităţilor. Cea de a doua proprietate a securităţii (integritatea) a fost înţeleasă ca 0
consecinţă a primei (confidenţialitatea) şi a fost modelată ca atare. Toate modelele din
această perioadă aveau în vedere datele procesate de către sistemul informatic, căci
mediul sistemului nu putea fi specificat şi verificat în mod formal. Pentru măsurarea
gradului de încredere se presupunea un anumit comportament al sistemelor informatice
(sau al componentelor) fiind importantă cunoaşterea mediului sistemului pentru a
specifica cerinţele de securitate; prezentând explicit regulile organizatorice necesare
care trebuie întărite de către sistemul informatic, subliniind necesitatea unor puternice
cuplări între actuala politică de securitate a întreprinderii şi traducerea ei
corespunzătoare în sistemul informatic respectiv. Organizaţiile comerciale şi militare
pot să difere atât în materie de priorităţi ale principiului de securitate, cât şi a
disponibilităţii datelor. Respectiva întreprindere trebuie să ia în considerare politica
specifică de securitate, căci ea dirijează performanţa tehnicilor care implementează
politica dorită.
În anii 1980-2000 au fost dezvoltate modele de criterii pentru a crea matrici
destinate concepţiei, evaluării şi procurării unor sisteme securizate, bazate pe modelele
de securitate din prima perioadă (1970-1980), la început pentru sistemele de exploatare,
iar, mai târziu şi pentru componentele relevante ale sistemului. Criteriile TCSEC 1 se
referă doar la instalaţiile şi mediile nemilitare; ele au avut un enorm impact asupra
necesităţii unor asemenea structuri, asupra dezvoltării viitoare de produse şi sisteme de
securitate, precum şi asupra cercetării şi dezvoltării unor noi modele şi structuri pentru
folosirea, specificarea şi evaluarea de produse şi sisteme informatice securizate. ITSEC 2
explorează diferite căi structurale şi se ocupă de standardele de concepţie, evaluare şi
procurare, iar MSFR 3 se ocupă de 0 clasă particulară de securitate TCSEC, cea
referitoare la informaţia sensibilă, dar neclasificată.
În terminologia oficială, securitatea informaţiei cuprinde, în principal, securitatea
procedurală (administrativă) şi securitatea informatică; aceasta din urmă este alcătuită
din securitatea computerului şi din securitatea comunicaţiilor.
1
Trusted Computer System Evaluation Criteria
2
Information Technology Security Evaluation Criteria
3
Minimum Security Function Requirements
16
Componentele unui sistem de securitate
17
Analiza riscului
Figura următroare este una din reprezentările piramidale familiare, des folosite,
care arată relaţiile aproximative a celor patru componente importante ale sistemelor
informatice în funcţie de costurile lor. Costul (sau valoarea) specialiştilor întreprinderii,
training-ul şi experienţa lor, cât şi familiarizarea lor cu procedeele moderne folosite în
domeniu reprezintă, de departe, partea cea mai semnificativă (dar, din păcate, cea mai
des ignorată în evaluarea unei schimbări într-un nou sistem).
Revoluţia Internet emigrează din S.U.A. spre Europa; peste doi ani (fig.7),
bătrânul nostru continent ar trebui să afişeze mai mulţi noi internauţi înscrişi decât în
18
Statele Unite, unde rata de pătrundere a Internet-ului este deja foarte ridicată. La
începutul anului 2000, 31% din gospodăriile americane erau conectate la Internet (faţă
de doar 9% în Europa). Chiar dacă Europa nu va urma ritmul de creştere american
(ţinând seama de nuanţele culturale şi lingvistice evidenţe care fragmentează
continentul nostru) anumite segmente specifice noii economii de Web-enablers (agenţii
specializate de marketing pentru noile medii, editori de software de securitate sau de
gestiune a comerţului electronic, furnizori de acces sau exploatanţi de reţele de
transmisii de date) ar trebui să profite din plin de dezvoltarea exponenţială a WWW.
Tehnologiile de securitate - folosite, între altele, şi de poliţia ştiinţifică - au, fireşte,
o mulţime de aspecte sociale. Speranţa noastră este că, încercând să reparăm
tehnologia sistemului nostru de justiţie, nu vom deveni victime ale autodistrugerii sau
ale unui dezastru social. De aceea este util să reflectăm, măcar din când în când, asupra
câtorva importante aspecte sociale.
O societate deschisă, echitabilă şi democratică are nevoie de o poliţie puternică.
în mod paradoxal, o poliţie care susţine libertatea şi democraţia rămâne, prin însăşi
natura sa, limitată la nivelul mijloacelor pe care poate să le utilizeze. Pierderea de
eficacitate care rezultă de aici pentru poliţie ar trebui compensată printr-un câştig de
legitimitate în ochii cetăţenilor şi prin asigurarea cooperării lor.
Care sunt obstacolele care stau în calea dezvoltării şi aprecierii noilor tehnologii de
securitate în societăţile moderne? întrebarea conţine în ea însăşi ipoteze, valori,
interogări. Am putea-o întoarce, întrebându-ne despre natura forţelor care ne
determină să adoptăm noile tehnologii.
Funcţii de securitate şi tehnologiile corespunzătoare
Protecţie fizică
19
Care sunt necesităţile şi obiectivele umane pe care tehnologia trebuie să le
deservească? Cine are nevoie de această tehnologie? De unde vine presiunea care ne
împinge s-o folosim? Care sunt grupurile de interese care se află în spatele acestor
tehnologii? Cine le finanţează? Cine ia hotărârile? Cum sunt ele luate? Care sunt
grupurile care vor profita, care sunt cele care vor fi jenate? Care sunt incidenţele sociale
evidente ale acestor tehnologii? Unde se află locul fiinţei umane? Scopul tehnologiei este
de a ameliora condiţiile de lucru ale fiinţei umane, sau de a o face, cu timpul, practic
inutilă? Poziţia ocupată astăzi de tehnologii în gestionarea securităţii este
susceptibilă să varieze destul de puternic în funcţie de aplicaţiile vizate. în plus, nu
trebuie presupus a priori că o reţetă folosită cu succes într-un loc va face aceleaşi minuni
într-alt loc. Există o frontieră între diferitele forme de securitate: tehnică, civilă, a
persoanelor şi a bunurilor etc, tot aşa cum există delimitări între măsurile care au ca
scop prevenţia sau intervenţia cu tendinţă represivă. Totuşi, frontierele respective sunt
destul de poroase; aşa, de pildă, sistemele de supraveghere video sunt destinate a priori
mai degrabă reperării actelor de rea voinţă şi intervenţiei, dar ele joacă, în acelaşi timp,
un important rol de descurajare. Misiunea sistemelor este deci de a vedea şi de a dovedi.
Încet - încet aplicaţiile bazate pe Internet devin din ce în ce mai critice, căci timpii
de întrerupere se traduc prin pierderi de venit şi de clienţi. Pentru a avea succes pe piaţa
de azi, trebuie să dispunem de o structură e-business fiabilă, robustă şi posedând o
mare disponibilitate şi scalabilitate
20
În concluzie măsurile de securitate minimale în sistemele informatice trebuie
să conţină cel puţin următoarele elemente atât pentru utilizatori cât şi pentru
personalul de specialitate.
Sensibilizare. Informaţi, cât mai larg cu putinţă, întregul personal în privinţa
riscurilor şi consecinţelor asupra întreprinderii.
Protecţia datelor. Datele şi programele fundamentale trebuie salvate cu
regularitate, respectând un calendar care să permită reluarea exploatării la un cost
acceptabil. Aşa, de pildă, o salvare săptămânală va fi efectuată pe o serie de suporturi
materiale, în timp ce o salvare lunară va fi efectuată pe o altă serie de suporturi
materiale; fiecare serie va fi conservată în mod independent.
Dischetele, de exemplu, vor fi stocate într-un loc care să poată proteja împotriva
riscurilor naturale (incendiu, inundaţie, electricitate statică, praf etc.) şi împotriva
riscurilor de rea voinţă (furt, vandalism etc). Localul respectiv trebuie să fie distinct
faţă de localul de exploatare şi să nu fie supus aceloraşi riscuri simultan [Lamere(i99i)].
Se va verifica în mod periodic posibilitatea de a relua exploatarea, folosind
datele salvate pe diferite suporturi materiale. Discurile dure (hard disks) trebuie
„curăţate" din timp în timp, eliminând informaţiile devenite, cu timpul, inutile.
Controlul accesului la echipamentele informatice. Trebuie să existe un
control al accesului la localurile care conţin materialul sau salvările respective. Uneori, o
simplă poartă închisă cu cheia poate fi suficientă. Fireşte, controlul accesului se poate
exercita asupra materialului însuşi. Cel care părăseşte, pentru scurtă vreme, locul său de
lucru, trebuie să blocheze claviatura PC-ului.
Măsuri împotriva infectărilor. Măsurile de mai jos nu trebuie înţelese drept
remedii-miracol, ci ca măsuri a căror utilizare judicioasă poate permite reducerea
riscurilor legate de infectările informatice, la un nivel acceptabil (fig. 9).
Tipuri de măsuri
Distingem: măsuri preventive, măsuri de protecţie, măsuri de detecţie,
măsuri de eliminare, măsuri de reparaţie.
Măsurile preventive au în vedere micşorarea probabilităţii ca un sistem să fie
infectat. în categoria măsurilor organizatorice vom menţiona următoarele:
nu utilizaţi programe de provenienţă îndoielnică. orice soft cu origine
necunoscută trebuie considerat ca fiind potenţial infectat. în caz că folosirea
unui asemenea program lasă de dorit sau, respectiv, se dovedeşte
indispensabilă, folosiţi un procedeu de punere în carantină pe o maşină
izolată, prevăzută special în acest scop.
controlul accesului la echipamentele informatice. trebuie să existe
posibilitatea controlului accesului la localurile care conţin material informatic sau
salvări ale unor date sau programe frecvent folosite.
puneţi în funcţiune un observator al infectărilor informatice. pentru aceasta
selecţionaţi câteva programe de referinţă şi utilizaţi-le în mod regulat pentru a
vă asigura de buna lor funcţionare. în afară de aceasta, verificaţi cu atenţie
21
mărimea lor, data şi ora la care au fost create sau modificate. dacă se poate,
calculaţi şi verificaţi semnătura electronică a unui program înainte de a-l
executa. (într-o reţea se poate folosi o maşină de referinţă supravegheată în
permanenţă; apariţia unui virus informatic va aduce cu sine o modificare
anormală a activităţii sale care poate fi detectată destul de usor).
sensibilizaţi utilizatorii în privinţa riscurilor referitoare la infectările informatice.
puneţi în aplicare procedee de control a calităţii soft-urilor, scopul urmărit
fiind acela de a testa toate produsele folosite în întreprinderea dumneavoastră.
aplicaţi procedee de audit informatic corespunzătoare.
În categoria măsurilor tehnice menţionăm:
Folosirea unor programe de prevenire care permit micşorarea probabilităţii
implantării unui virus în maşină, fără ştirea utilizatorului; de menţionat:
o programele-momeală; multi viruşi contaminează programul o singură
dată. Pentru aceasta, ei marchează cu semnătura lor programele infectate.
Programele-momeală exploatează această proprietate marcând
programele sănătoase cu semnătura viruşilor, făcând viruşii să
creadă că programele respective sunt programe contaminate.
o programele-vaccin detectează tentativele de pătrundere abuzivă a
viruşilor cunoscuţi interceptând un apel la o funcţie de nivel inferior
şi avertizând utilizatorul.
Folosirea de funcţii de securitate; ele permit:
o controlul accesului logic la staţiile de lucru;
o limitarea accesului persoanelor abilitate la programele sensibile;
o cifrarea datelor sensibile.
Dacă întreprinderea închiriază serviciile unei reţele publice sau private, informaţi-
vă asupra opţiunilor de securitate disponibile şi aplicaţi-le, dacă este nevoie. Este, de
pildă, posibil să folosiţi un grup închis de abonaţi sau să identificaţi chemătorul.
Măsurile de protecţie au scopul de a reduce consecinţele unei infectări
informatice limitând consecinţele sale, în particular între momentul pătrunderii
abuzive şi momentul detectării.
• Folosiţi suporturi de stocare pentru datele deplasabile, amovibile, astfel
încât fiecare utilizator să poată dispune de un mediu înconjurător de lucru
personal complet, iar partajarea datelor să fie limitată. Exemple de suporturi amovibile
sunt: discurile dure amovibile, discurile magnetooptice, CD-ROM-urile. Atenţie
însă! Aceste măsuri nu sunt favorabile decât dacă suporturile amovibile sunt
stocate, salvate şi transportate în condiţii de înaltă securitate.
• Efectuaţi cu regularitate salvarea datelor şi păstraţi fiecare salvare o durată de
timp suficient de lungă, pentru cazul în care următoarele salvări ar fi contaminate cu
o infectare informatică.
• Nu lucraţi niciodată cu discheta originală a unui program, ci doar cu o
copie a acesteia. Discheta originală cu programul original trebuie conservată într-un
loc sigur, permanent blocată contra scrierii. Doar astfel, în caz de infectare informatică,
se va putea reîncărca un program sănătos pe discul de lucru.
Măsurile de detecţie îşi propun să reducă consecinţele unei infectări
informatice reducând timpul care se scurge între momentul pătrunderii abuzive şi
momentul detecţiei. Simptome clasice:
Probleme de performanţă:
• Timpul de încărcare al unui program creşte în mod anormal;
• Un program se execută mult mai lent decât de obicei;
• Reţeaua suportă o sarcină anormală.
Erori:
• Sistemul se blochează în mod repetat şi inexplicabil;
22
• Un program, cunoscut pentru fiabilitatea sa, se blochează în mod repetat şi
inexplicabil;
• Mesajele de erori sunt mai frecvente decât de obicei;
• Apar mesaje de erori necunoscute sau inexplicabile.
Probleme de memorie vie:
• Un program necesită pentru execuţie mai multă memorie decât în mod normal;
• Memoria vie disponibilă se micşorează fără un motiv aparent.
Probleme de memorie de masă:
• Au loc accese neobişnuite la cititoarele de discuri şi de dischete (dioda LED
respectivă este aprinsă);
• Mărimea, datele de reactualizare sau numele anumitor programe diferă în mod
inexplicabil de cele ale versiunii originale;
• Fişiere sau programe dispar în mod inexplicabil;
• Apar fişiere necunoscute, în mod inexplicabil;
• Spaţiul disponibil pe discul dur scade progresiv, în mod inexplicabil.
Detecţia automată sau confirmarea:
Soft-urile de execuţie utilizează proceduri pentru reperarea infectărilor într-un
sistem informatic. Ele caută semnăturile de virus, modificările ilicite de fişiere sau
sisteme etc. Atenţie ! Aceste produse se învechesc foarte repede şi este adesea nevoie să
se facă apel la serviciile unui specialist în materie.
Măsurile de eliminare vizează reducerea consecinţelor unei infectări
informatice prin reducerea timpului între detecţie şi expulzare.
• Procedaţi rapid. Propagarea viruşilor poate fi extrem de rapidă; aşa, de pildă,
recent, la un utilizator, în mai puţin de 15 minute peste 300 maşini au fost
infectate. în repetate rânduri, timp de câteva zile, virusul părea să fi fost
eliminat, dar el îşi făcea reapariţia puţin timp după aceea. în plus, mai multe fişiere
salvate au fost contaminate. De aceea este imperativ să acţionăm extrem de rapid. în
particular, dacă cunoştinţele necesare în materie de viruşi nu există în sânul
întreprinderii, nu ezitaţi să faceţi apel la specialişti din exterior.
• Limitaţi schimburile de date. Prima măsură care trebuie luată în prezenţa
unui virus este de a limita la maximum propagarea lui. Pentru aceasta trebuie limitate
schimburile de date: întrerupeţi alimentarea maşinii; deconectaţi reţelele interne ale
întreprinderii de reţelele externe; dacă este posibil, opriţi funcţionarea reţelelor
interne ale întreprinderii; deconectaţi de la reţea toate maşinile contaminate;
preveniţi toţi utilizatorii şi recomandaţi-le să nu mai schimbe date (dischete, benzi etc).
• Deconectaţi suporturile injectate (date). Virusul poate fi eliminat manual sau cu
ajutorul unor programe specializate. Cea mai bună metodă de eliminare manuală a
virusului constă în eliminarea elementelor infectate. Nu uitaţi însă că un singur trunchi
uitat al virusului este suficient pentru a anihila toate eforturile. Există procedee
manuale pentru a se debarasa de anumiţi viruşi fără reformatarea suporturilor
magnetice; ei nu sunt eficace decât dacă numărul de programe contaminate este mic.
Oricum, ele cer o excelentă cunoaştere a maşinii (structura fişierelor, structura
programelor, utilitarelor etc). Aşa numitele programe „seruri" permit debarasarea de
majoritatea viruşilor (de adaus), fără să fie nevoie de a reformata discul. O dată ce
virusul a fost eliminat, trebuie reîncărcate programele şi datele distruse. Aceasta face
obiectul reparaţiei.
Măsurile de reparaţie. Sistemul este reîncărcat plecând de la originalul
constructorului. Programele sunt reîncărcate plecând de la versiunile originale.
Datele sunt reîncărcate plecând de la cele mai recente salvări necontaminate.
23
1.3. Obiective în asigurarea securităţii datelor
Securitatea calculatoarelor îşi propune să protejeze atât calculatorul, cât şi
elementele asociate - clădirile, imprimantele, modemurile, cablurile, precum şi
suporturile de memorie, atât împotriva accesurilor neautorizate, cât şi altor ameninţări
care pot să apară.
Securitatea calculatoarelor poate fi definită ca fiind ansamblul de măsuri necesare
asigurării secretului informaţiei împotriva accesului neautorizat. în principal se
urmăreşte asigurarea securităţii informaţiei stocate sau transmise. Din această cauză,
securitatea calculatoarelor este deseori numită securitatea informatei sau securitatea
datelor.
Asigurarea securităţii datelor presupune realizarea a patru obiective:
■ confidenţialitatea;
■ integritatea;
■ disponibilitatea;
■ nerepudierea.
Confidenţialitatea, uneori numită secretizare, îşi propune să interzică accesul
neautorizat al persoanelor la informaţia care nu le este destinată. Confidenţialitatea
reprezintă ţelul suprem al securităţii calculatoarelor. Majoritatea eforturilor se
concentrează în acest scop. Pentru asigurarea confidenţialităţii trebuie ştiut care sunt
informaţiile care trebuie protejate şi cine trebuie sau cine nu trebuie să aibă acces la ele.
Aceasta presupune să existe mecanisme de protecţie a informaţiilor care sunt stocate în
calculatoare şi care sunt transferate în reţea între calculatoare. Persoana însărcinată cu
securitatea, sau echipa care are aceste sarcini, trebuie să prevadă aplicaţiile care se vor
folosi pentru acest scop. în Internet, confidenţialitatea capătă noi dimensiuni sub forma
unor măsuri de control al confidenţialităţii. Ţările dezvoltate, Statele Unite, Canada,
Australia, Japonia etc, au reglementat prin lege controlul confidenţialităţii. Companiile
din aceste ţări au reguli stricte în această privinţă.
Integritatea, uneori numită acurateţe, îşi propune ca datele stocate în calculator
să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin
alterarea datelor se înţelege atât modificarea voit maliţioasă, cât şi distrugerea acestora.
Ţinerea ascunsă a datelor faţă de cei care nu trebuie să aibă acces la ele este cel mai
sigur mod de a menţine datele integre. Dar, de asemenea, nu putem şti dacă persoanele
care au acces la ele nu au uneori intenţii răuvoitoare, acţionând în sensul modificării
neautorizate, ele având acces, dar neavând drept de modificare. Integritatea trebuie să
stabilească „cine" şi „ce" are drept de acces şi de modificare. Dar datele pot fi alterate,
sau chiar pierdute/distruse, nu numai ca urmare a unei acţiuni răuvoitoare, ci şi ca
urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor
de securitate. în acest caz se impune să existe un plan de recuperare şi refacere a datelor.
Pentru aceasta, trebuie să existe o copie de siguranţă (backup).
Disponibilitatea îşi propune ca datele stocate în calculatoare să poată să fie
accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le
sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces
diferite: administratorii de sistem şi utilizatorii generali, excepţie făcând sistemele de
operare care echipează calculatoarele desktop. Sistemul de operare Windows 95/98/Me,
în toate versiunile sale, este cunoscut ca un sistem de operare nesigur, deoarece nu face
distincţie între administratorii de sistem şi utilizatori generali. Acest sistem de operare
are foarte multe goluri de securitate, cu toate configurările la maxim în domeniu. Orice
utilizator general va putea să schimbe configurările de securitate ale calculatorului
mergând până acolo încât să le anuleze. în acest fel, calculatorul respectiv este
vulnerabil. Ideal ar fi ca fiecare utilizator să aibă drepturi de acces numai la informaţiile
specifice postului său. în Internet, problema disponibilităţii capătă o formă mai extinsă.
O mare
24
problemă a asigurării disponibilităţii o reprezintă atacurile de tip DoS20. Aceste
atacuri fac practic ca datele stocate pe calculatorul respectiv să nu mai fie disponibile.
Atacatorii realizează aceasta prin două metode. Prima presupune ca atacatorul să atace
direct calculatorul, sau un periferic ce realizează comunicarea, şi să-1 scoată din uz. A
două metodă, numită şi flooding21, presupune ca atacatorul să trimită foarte multe
mesaje sau cereri către calculatorul-ţintă. Acesta nu va putea să trateze toate cererile şi
ca efect procesele vor fi paralizate.
Nerepudierea, termen recent apărut în literatura de specialitate, îşi propune să
confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de
persoana care pretinde că l-a trimis. în acest fel se asigură încrederea părţilor.
Expeditorul nu poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza
semnăturilor digitale, asigurând autenticitatea acestora, în noua piaţă a comerţului
electronic (E-Commerce22).
Iniţial, termenul de nerepudiere nu era inclus printre obiectivele necesare
asigurării securităţii calculatoarelor.
25
Mediile de stocare constituie una dintre marile probleme. Acestea pot fi uşor
sustrase sau distruse. Datele pot fi uşor copiate de pe tot mai puţin utilizatele discuri
flexibile de 1,44 MB sau mai noile suporturi de tip flash. De asemenea, acestea pot fi
foarte uşor sustrase mai ales noile suporturi de memorie datorită mărimilor tot mai
reduse şi capacităţilor tot mai mari de ordinul GBytilor de informaţie şi care poate fi
conectate extrem de uşor la un port liber USB23 al calculatorului. Distrugerea
informaţiei este de asemenea uşoară. O comandă FDISK poate fi lansată în câteva
momente şi distruge toată informaţia de pe discul dur. De aceea se impune să se facă cel
puţin o salvare de siguranţă. Salvarea de siguranţă — backup — se poate face şi pe
suporturi de acum clasice, disc flexibil sau CD/DVD-ROM. Numai că aici apare
posibilitatea ca aceste suporturi să fie sustrase şi apoi citite fără probleme pe alte
calculatoare. De asemenea, aceste suporturi sunt uşor deteriorabile fizic. Pentru a avea o
salvare sigură se folosesc casete speciale, iar informaţia este criptata. Se merge până
acolo încât se fac două copii de siguranţă, una este păstrată infirmă, iar alta este depusă
la bancă.
Toate echipamentele electrice şi electronice emit radiaţii. Aceste radiaţii pot fi uşor
interceptate, ele fiind purtătoare de informaţie. Nivelul de radiaţii este riguros
reglementat de legi şi este impus producătorilor de tehnică de calcul. Comunicaţiile în
reţea, modalităţi de conectare wireless sunt vulnerabile. Oricine se poate ataşa la linia
de comunicaţie (fizică şi cu atât mai mult în cazul variantelor fără fir) şi poate
intercepta, altera şi devia traficul.
Cea mai mare vulnerabilitate este însă dată de personalul care administrează şi
utilizează sistemele de calcul. Dacă administratorul de sistem nu are experienţă sau,
mai grav, dacă decide să comită delicte, atunci securitatea informaţiei din firmă este
grav compromisă. Utilizatorii generali pot de asemenea să creeze vulnerabilităţi prin
introducerea în zone restricţionate a altor utilizatori, prin divulgarea voită a parolelor
individuale, prin ştergerea sau modificarea voită sau accidentală a informaţiei.
Toate aceste vulnerabilităţi vor fi exploatate de persoane răuvoitoare. Referitor la
scara vulnerabilităţilor putem să distingem trei mari categorii:
vulnerabilităţi care permit DoS (refuzul serviciului);
vulnerabilităţi care permit utilizatorilor locali să-şi mărească privilegiile
limitate, fără autorizare;
vulnerabilităţi care permit utilizatorilor externi să acceseze reţeaua în
mod neautorizat.
O altă clasificare poate fi făcută după gradul de pericol pe care-l reprezintă
vulnerabilitatea pentru sistemul supus atacului [SECU99] (tabelul 2).
Tabelul 2. Gradele de vulnerabilitate şi consecinţele acestora.
Grad de Mod de atac Consecinţe
vulnerabilita
A Scripturi CGI cu Permite accesul necondiţionat al
opţiuni prestabilite utilizatorilor rău intenţionaţi.
B Vulnerabilitate criptare Permite utilizatorilor locali/generali
RSH Fişiere de parole fără să-şi mărească privilegiile şi să
shadow obţină control asupra sistemului.
C Trimitere de pachete Permite utilizatorilor din interior
flood sau exterior să altereze procesele de
prelucrare.
28
Securitatea cere foarte mulţi bani şi măsuri laborioase. în cadrul agenţiilor
guvernamentale şi al armatei problemele se rezolvă uşor, existând atât fondurile
necesare, cât şi structuri care să permită o implementare sau reimplementare rapidă de
măsuri. Firmele care au ca scop maximizarea profitului nu vor dori poate să aloce foarte
mulţi bani în asigurarea securităţii. în acest caz se poate să se ajungă la pierderi greu de
recuperat. în unele cazuri, firmele nu acceptă măsuri de securitate foarte stricte pentru
că s-ar limita anumite drepturi ale personalului şi s-ar limita libertatea de mişcare.
Securitatea nu este o destinaţie. Securitatea, ca obiectiv, poate fi considerată că
este o stare. Niciodată securitatea nu este perfectă, indiferent de ce măsuri se iau.
întotdeauna va exista o portiţă negândită prin care sistemul să fie atacat. Din cauza unui
număr mare de factori, securitatea nu va fi niciodată perfectă. Atunci când se investeşte
în securitate se pune şi întrebarea „Cât investesc financiar în securitate?". Asigurarea
unei securităţi ridicate presupune costuri uneori foarte mari, care poate nu pot fi
suportate. Şi dacă tot nu se poate asigura o securitate perfectă, atunci cât trebuie să
investesc? Investiţiile în securitate, la nivel de firmă, trebuie făcute ţinând cont de
nevoile financiare ale firmei şi de nivelul de protecţie dorit. Cheltuielile cu securitatea
pot afecta pozitiv sau negativ afacerile.
Pentru că securitatea este relativă, aceasta poate fi atinsă numai prin definirea
obiectivelor, ca ulterior să fie reevaluată. Aceste obiective vor forma politica de
securitate la nivel de firmă.
31
Capitolul 2
SECURITATEA SISTEMELOR INFORMAŢIONALE
33
securitatea sistemelor de prelucrare automată a datelor;
suprimarea radiaţiilor electromagnetice.
În altă viziune 9, securitatea unui sistem informatic înseamnă:
securitatea fizică;
securitatea cu ajutorul personalului;
securitatea (controlul) accesului;
securitatea software-lui.
Alţi autori propun o împărţire mai simplificată în măsuri şi tehnici pentru 10:
securitate fizică, care se referă la protecţia sistemului informatic împotriva
accesului persoanelor neautorizate şi protecţia împotriva dezastrelor;
securitate procedurală, un set de reguli care guvernează buna funcţionare a
sistemului (selecţia şi pregătirea personalului, instituirea normelor de conduită în
sistem, proceduri de auditare şi control etc.);
securitate tehnică (protecţia echipamentelor, programelor, comunicaţiilor şi
datelor).
În răspunderea directorului compartimentului informatică (prelucrarea automată
a datelor) este sarcina de realizare şi implementare mecanismului de protecţie, a
măsurilor de prevenire a pierderilor şi distrugerilor şi a normelor interne de
comportament. Coordonatorul sistemului de securitate va crea o adevărată
infrastructură de asigurare a securităţii, cu distribuirea către subordonaţi a sarcinilor pe
linia securităţii. Pornind de la analiza şi evaluarea ameninţărilor potenţiale pentru
sistemul informatic, sunt întocmite procedurile de realizare a securităţii şi
contramăsurile pentru pericolele potenţiale.
Urmărind ultima clasificare, vom trata securitatea fizică şi rolul factorului uman în
asigurarea securităţii în subcapitole distincte şi vom prezenta pe scurt celelalte categorii
de măsuri şi tehnici ale mecanismului de protecţie.
Securitatea procedurală vizează, în principal, următoarele aspecte:
măsuri organizatorice;
auditatea sistemului informatic;
măsuri juridice;
asigurarea;
selecţia şi pregătirea personalului (vezi subcapitolul 2.3).
Măsurile organizatorice joacă un rol dublu în mecanismul de protecţie: pe de o
parte acoperă majoritatea canalelor de acces a informaţiilor, iar pe de altă parte, asigură
unirea tuturor mijloacelor într-un mecanism unic de protecţie. Se pot include în această
categorie:
măsuri realizabile prin proiectarea, construcţia şi echiparea centrelor de calcul
astfel încât să fie minimă influenţa posibilelor catastrofe naturale şi posibilitatea
pătrunderii neautorizate a persoanelor străine;
alegerea şi pregătirea corespunzătoare a personalului din sistem;
organizarea unui regim sigur de control fizic al accesului pe teritoriul sau în
clădirile ce adăpostesc sistemul;
organizarea strictă a modului de păstrare şi folosire a documentelor şi
suporturilor de date;
organizarea lucrului pe schimburi, cu stabilirea clară a atribuţiilor pe linia
securităţii, organizarea controlului muncii personalului, ţinerea jurnalelor de lucru,
distrugerea hârtiilor aruncate etc.
Auditarea sistemului informatic este o contramăsură eficientă împotriva
pericolelor care vizează sistemul, în special a fraudelor. Auditul informatic este procesul
9
Dick J., Computer Systems in Business, PWS Publishers, Boston, 1986, p. 549
10
Gallegos F., ¿,a., Audit and Control of Information Systems, South-Western Publishing Co., Cincinnati,
1987, p. 487
34
prin care persoane competente colectează şi evaluează probe pentru a-şi forma o opinie
asupra gradului de corespondenţă între cele observate şi anumite criterii prestabilite. El
constă în aplicarea unei etichete de calitate unui obiect, în raport cu un sistem de
referinţă, în scopul de a oferi un anumit nivel de încredere în sistemul informatic 11. Se
include aici atât auditarea internă, realizată periodic de către personalul de la
compartimentul de specialitate, cât şi apelarea la specialişti externi, independenţi, care
pot oferi concluziile lor autorizate în legătură cu securitatea/vulnerabilitatea sistemului
(putem aprecia activitatea lor ca o consultanţă cu rol de evaluare. Se urmăresc existenţa
şi modul de aplicare al măsurilor de control al accesului fizic la suporturi şi
echipamente şi al accesului la date, al celorlalte măsuri legate de securitatea fizică, dar
este posibilă şi identificarea punctelor tari şi, mai ales a punctelor slabe ale sistemului.
Auditarea internă este foarte eficientă atunci când este realizată inopinat, putând
descoperi aspecte care, în cazul anunţării unui control, ar fi putut fi ascunse.
Există pe plan mondial mai multe organizaţii ale specialiştilor în auditarea
sistemelor informatice 12:
Electronic Data Processing Auditors Association - asociaţia mondială care are
circa 10000 de membri, specialişti din întreaga lume;
Asociaţia Franceză de Audit Informatic;
Federaţia Internaţională a Auditorilor şi Experţilor în Sisteme Informatice, care
acordă, după susţinerea unui examen complex, certificate de auditori şi experţi în
sisteme informatice.
ªi în ţara noastră devine necesară evaluarea autorizată a sistemelor informatice şi
persoane competente există. Rămâne de văzut când şi cum se va certifica primul auditor
autorizat de sisteme informatice în România.
Măsurile juridice se reflectă în reglementările juridice la nivel naţional, în legile şi
actele normative existente pe acest domeniu. Astfel de legi trebuie să garanteze
integritatea şi confidenţialitatea informaţiilor, protecţia programelor de aplicaţii
împotriva copierilor ilegale şi să prevadă răspunderea civilă şi penală pentru încălcarea
acestor prevederi; organizaţiile şi persoanele fizice sunt în drept să deschidă acţiune
juridică dacă s-a încercat accesul neautorizat în sistem sau copierea ilegală a software-
lui, pentru a obţine compensarea pagubelor cauzate de infracţiune. Legislaţia cea mai
completă este cea a Statelor Unite, unde amplificarea volumului de informaţii cu
caracter secret sau privat a determinat reacţii negative împotriva accesului neautorizat.
Acesta este interzis prin lege, iar companiile au dreptul să urmărească în justiţie pe
autorii fraudelor pe calculator. Legislaţia din Europa de est nu prevede pedepse pentru
infracţiunile prin sau cu ajutorul calculatorului, iar dezvoltarea economică din ultimii
ani şi de perspectivă impune elaborarea urgentă a unei jurisdicţii adecvate.
De asemenea, legile trebuie să reglementeze aspectele legate de criptografie. În
ţările occidentale, criptografia este considerată o armă, având un regim similar cu al
muniţiei 13. Multe ţări europene restricţionează utilizarea, achiziţia sau vânzarea
algoritmilor criptografici. Spre exemplu, în Franţa, folosirea criptării peste legăturile de
comunicaţii este strict interzisă; există însă posibilitatea încheierii unor acorduri cu
France Telecom, dar numai după prezentarea surselor complete de folosire a
algoritmilor. Cei care vând sau cumpără produse criptografice trebuie să aibă aprobarea
Ministerului Apărării, iar furnizorii trebuie să înregistreze numele tuturor clienţilor şi
numărul copiilor vândute; importul sau exportul produse care suportă criptări de date
necesită autorizaţii speciale.
În legătură cu provenienţa programelor, sunt frecvente cazurile în care un
utilizator, pentru a economisi nişte bani, apelează la copii pirat ale unui pachet de
11
Avram G., Auditul informatic, în PC World, nr. 6/1995, p. 48
12
Avram G., op. cit., p. 49
13
Patriciu V., op. cit., p. 59
35
programe. Trebuie să se facă aici distincţia între copierea unor programe pentru a avea
copii de siguranţă şi copierea programelor pentru a le vinde sau oferi unui prieten.
Această diferenţă este menţionată şi de legea copyright-ului pentru software, lege
adoptată în S.U.A. în 1980. Este deci legală copierea din motive de siguranţă şi se pot
face oricâte copii, cu condiţia ca acestea să rămână la utilizatorul autorizat. Pedepsele pe
care le prevede legislaţia americană pentru copierea ilegală de soft sunt: despăgubiri
pentru producătorul de software şi confiscarea foloaselor realizate de pe urma copiilor
ilicite. În cazul vânzării este prevăzută chiar pedeapsa cu închisoarea. Fenomenul
pirateriei software afectează în primul rând producătorii şi distribuitorii de astfel de
produse, dar şi statul este afectat prin neperceperea taxelor aferente produselor vândute
"la negru". Producătorii de software au cheltuit sume mari pentru crearea unui pachet
de programe şi aşteaptă câştiguri pe măsură, astfel încât atunci când cineva realizează
ilegal o copie a programelor respective, producătorul suferă o pierdere. Pornind de la
această serioasă problemă, mai mulţi mari producători de software s-au constituit într-o
asociaţie, numită Business Software Alliance (BAS), al cărei scop principal este tocmai
combaterea pirateriei în domeniul software-lui, inclusiv prin modificări ale legislaţiilor
ţărilor respective 14.
În ţara noastră, se impune cu necesitate adoptarea unui cadru legislativ
corespunzător pentru desfăşurarea activităţii întreprinderilor în condiţiile
informatizării. În momentul de faţă, nu există în plan legal răspunsuri corespunzătoare
la evoluţia tehnologică, în sectorul copiei private, al reproducerii, comunicării prin
satelit şi cablu, precum şi în ceea ce priveşte programele de aplicaţii şi bazele de date
(dreptul de proprietate individuală şi protecţia lor). Există un text legislativ propus spre
adoptare Parlamentului în care, ar fi reglementate distinct, pentru prima oară în
legislaţia românească, atât programele, cât şi bazele de date.
În cadrul securităţii procedurale, o măsură care poate fi adoptată şi realizată de
către conducerea întreprinderii este asigurarea împotriva unora dintre riscurile care pot
acţiona asupra sistemului informatic sau unor componente ale acestuia şi care pot
genera pierderi substanţiale în caz de accidente, dezastre sau fraude. Asigurarea
sistemelor informatice a început din anii '80 - prima societate care a realizat o astfel de
asigurare este compania engleză de asigurări Lloyds, în 1981. Există în S.U.A. şi Europa
occidentală mai multe companii de asigurare care oferă poliţe de asigurare a sistemelor
electronice de calcul. Acestea includ: asigurări împotriva incendiilor, dezastrelor
naturale, vandalismului şi furtului echipamentelor şi programelor de aplicaţii, asigurare
împotriva fraudelor comise de angajaţi, asigurare de răspundere pentru erori şi
omisiuni în prelucrarea datelor etc. Suma unei astfel de asigurări trebuie să fie suficient
de mare pentru a înlocui echipamentele şi a acoperi celelalte cheltuieli legate de buna
funcţionare a sistemului afectat. Asigurarea acoperă şi costul refacerii datelor şi
programelor de aplicaţii distruse, precum şi pierderile suferite de întreprindere
(beneficiile nerealizate) ca urmare a nefuncţionării sistemului electronic de calcul sau a
pierderii datelor. Dar, pentru o întreprindere mică, costul unei asemenea asigurări este
destul de mare - de exemplu, pentru o valoare asigurată de 10 milioane de dolari se
plăteşte o primă anuală de asigurare de 25000 dolari.
Securitatea tehnică include mijloacele şi măsurile pentru protecţia
echipamentelor, a programelor şi datelor şi a comunicaţiilor.
Mijloacele tehnice pentru protecţia echipamentelor se concretizează în diferite
dispozitive capabile să îndeplinească funcţii de protecţie, cum sunt:
registre speciale pentru păstrarea elementelor de protecţie (parole, coduri de
identificare, nivelul de secretizare al informaţiilor etc.)
14
Moga A., Pirateria soft, în PC Report, nr. 38/1995, p. 54
36
generatoare de coduri, destinate pentru generarea automată a codului de
identificare a terminalului unui utilizator sau a altui dispozitiv la încercarea acestuia de
a adresa o sursă de date;
dispozitive pentru recunoaşterea unor caractere individuale ale utilizatorilor
(amprente, voce etc.);
dispozitive de citire a codurilor;
scheme pentru întreruperea transmisiei informaţiei în linie în scopul efectuării
controlului periodic al adresei de trimitere a datelor;
echipamente de cifrare şi descifrare.
Atât pentru protecţia echipamentelor, cât şi a datelor şi programelor de pot utiliza
programe speciale de asigurare a protecţiei, aceasta fiind metoda cea mai larg
răspândită. Se pot identifica mai multe grupe de programe:
programe pentru identificarea mijloacelor tehnice, a problemelor, a utilizatorilor
şi a fişierelor de informaţii utilizate;
programe pentru determinarea drepturilor echipamentelor şi ale utilizatorilor;
programe destinate controlului asupra funcţionării echipamentelor;
programe pentru înregistrarea lucrului echipamentelor şi utilizatorilor când se
prelucrează date secrete sau importante pentru organizaţie;
programe pentru ştergerea informaţiilor din memorie, după utilizarea lor;
programe pentru semnalizarea audio/video a acţiunilor neautorizate;
programe adiţionale, cu diferite destinaţii, cum ar fi controlul funcţionării
mecanismului de protecţie;
programe pentru criptarea/decriptarea informaţiilor.
O categorie importantă o formează programele pentru controlul accesului,
utilizate în sistemele care lucrează cu fişiere de date foarte importante, mai ales dacă se
lucrează în regim de multiprogramare sau cu facilităţi de teleprelucrare. Accesul în
sistem trebuie să parcurgă trei etape:
identificarea, care realizează recunoaşterea indicativului (nume sau cod) atribuit
persoanei;
autentificarea, care verifică dacă persoana este ceea ce pretinde că este;
autorizarea, care certifică dreptul de acces al persoanei la o anumită resursă
protejată.
Referitor la autentificarea utilizatorilor, există în prezent câteva soluţii care
îmbunătăţesc soluţia clasică de autentificare (ceva ştiut de utilizator) - parola. Acestea se
încadrează în două categorii, astfel 15:
ceva în posesia utilizatorului:
cartelele magnetice, care lucrează cu două chei: indicativul utilizatorului - PIN
(Personal Identification Number), utilizat pentru a crea o legătură între cartelă şi
deţinător, şi o cheie actuală care nu este cunoscută de către utilizator; ambele sunt
verificate de către sistem;
cartela inteligentă, care este un dispozitiv activ, care conţine propriul sistem de
operare şi memorie, putând include şi algoritmi de cifrare. Codul intern poate fi
controlat intern de cartelă, aceasta putându-se bloca automat după un anumit număr de
încercări nereuşite. Unităţile de citire permit atât identificarea şi autentificarea
utilizatorului, cât şi asigurarea controlului accesului, criptarea şi semnătura digitală;
calculatoarele speciale portabile (de buzunar), care au avantajul că nu necesită
un cititor special ataşat la terminal. Calculatorul de buzunar conţine un algoritm de
criptare. Pentru conectare, utilizatorul introduce indicativul şi parola de la tastatură.
După autentificare, sistemul de operare trimite la utilizator un număr aleator, acesta
trebuind să calculeze, prin algoritmul de criptare, valoarea cifrată a acestui număr şi să
15
Patriciu V., Criptografia computa¡ionalå, în PC World România, nr. 11/1995, p. 59
37
o introducă de la tastatură. Sistemul verifică corectitudinea acestei valori prin
recalcularea ei cu cheia personală a utilizatorului;
identificarea fizică a utilizatorului prin:
tehnicile de recunoaştere biometrice, care se bazează pe trăsăturile distincte şi
particulare ale corpului uman: vocea, retina, amprentele. Schema utilizată este aceiaşi:
utilizatorul îşi revendică identitatea, sistemul caută profilul asociat cu identitatea
revendicată, solicită utilizatorului să folosească sistemul de recunoaştere şi, în final,
compară profilul înregistrat cu cel detectat. Tehnicile curent utilizate în recunoaşterea
biometrică sunt: amprenta, geometria mâinii, vocea, tiparul retinar, semnătura olografă
(viteza de scriere, presiunea peniţei, ritmul de scriere în timp). Câteva probleme apar
totuşi la folosirea acestor tehnici; acestea vizează posibilitatea de modificare temporară
sau definitivă, ca urmare a unui accident sau a unei boli, a trăsăturilor biometrice, dar şi
preţurile costisitoare ale echipamentelor necesare.
Se consideră că, pentru o autentificare corectă a unui utilizator, este necesară
utilizarea combinată a două din metodele enumerate (de exemplu: cartelă magnetică +
parolă, sistem de recunoaştere a vocii + parolă, cartelă inteligentă + sistem de
recunoaştere a amprentelor etc.).
Securitatea comunicaţiilor este foarte importantă în condiţiile proliferării, pe scară
largă, a reţelelor de calculatoare. Extinderea şi complexitatea reţelelor de calculatoare,
în cadrul cărora calculatoarele, dispersate geografic, sunt legate între ele prin linii de
comunicaţii, amplifică la un nivel superior cerinţele de protecţie şi securitate a datelor.
Apar dificultăţi legate de absenţa controlului fizic asupra unor componente ale reţelelor
cum sunt liniile de telecomunicaţii. Obiectivul principal al măsurilor de protecţie într-o
reţea îl constituie eliminarea posibilităţilor de distrugere, intenţionată sau accidentală, a
datelor şi echipamentelor, şi crearea în jurul sistemului a unor bariere care să asigure
închiderea canalelor potenţiale de acces la datele şi informaţiile memorate, făcând
accesul neautorizat prohibitiv sub aspectul costului şi al dificultăţilor întâmpinate 16.
În legătură cu problema securităţii comunicaţiilor, Internet, cea mai mare reţea
din lume, este considerat de unii specialişti nesigur sub aspectul securităţii. Sondaje de
opinie arată că securitatea reprezintă cea mai importantă preocupare a companiilor cu
privire la utilizarea Internet. Când li s-a cerut companiilor să evalueze motivele care
determină întârzieri în cuplarea la Internet, pe o scară de la 1 la 5, securitatea a fost
cotată cu 4.8, în timp ce posibilităţile materiale (echipamente) au înregistrat 3.7, iar
costul 3.4 17. Grupul de securitate al Internet - Computer Emergency Response Team
(CERT) apreciază că apar circa 14 fraude pe zi, cifră pe care unii o consideră mică la
scara la care se efectuează tranzacţiile Internet, iar alţii consideră că aceasta este
subestimată deoarece foarte mulţi utilizatori nu se sinchisesc să anunţe astfel de
evenimente (mai ales dacă nu sunt cauzate pierderi materiale) 18.
A conecta o reţea de întreprindere la Internet fără nici o măsură de protecţie este o
operaţie de mare risc. O primă modalitate de protecţie constă în asigurarea etanşeităţii
între reţeaua întreprinderii şi lumea exterioară, pentru a feri sistemul informatic de o
pătrundere ilicită - se face apel la tehnologia firewall. Un firewall poate fi definit ca o
colecţie de sisteme, routere şi măsuri organizatorice plasate la conexiunea centrală la
reţea a unei organizaţii 19. Produsele de securitate de acest gen funcţionează ca o poartă
de acces, sunt capabile să filtreze protocoalele şi schimburile intereţele în ambele
direcţii. O altă soluţie vizează asigurarea unui control suplimentar la nivel aplicativ în
vederea autentificării utilizatorilor autorizaţi 20.
16
Angheloiu I., Securitatea ¿i protec¡ia informa¡iei în sistemele electronice de calcul, Editura Militarå,
Bucure¿ti, 1986, p. 206
17
Jerram P., Groupware bate la poarta Internet-ului, în Byte, nr. 5/1995, p. 9
18
Crahmaliuc A., Pro ¿i contra: asigurå Internet securitatea datelor?, în Computerworld, nr. 14/1995, p. 4
19
Cobb S., Firewall-uri în Internet, în Byte, nr. 4/1995, p. 129
20
Tråistaru M., Bariere de protec¡ie în jurul Internet-ului, în Computerworld, nr. 15/1995, p. 10
38
O reţea de calculatoare este alcătuită dintr-un ansamblu de calculatoare şi alte
echipamente informatice, calculatoarele putând schimba informaţii între ele prin
intermediul unei reţele de transfer a datelor. Calculatoarele sau terminalele reţelei,
numite şi noduri, dispun de sisteme de programe care sunt capabile să aleagă rutele
optime pe care vor fi transferate datele pentru a ajunge de la calculatorul sursă la
calculatorul destinaţie. Dacă un utilizator aflat la un calculator al reţelei doreşte să
comunice cu un alt utilizator, el transferă în reţea un mesaj al cărui titlu indică
destinaţia. Mesajul este divizat, în cadrul reţelelor cu comutarea pachetelor, în pachete
de lungime fixă, care sunt transmise succesiv prin reţea. Pachetele ajung la destinaţie pe
rute diferite, în funcţie de încărcarea şi starea tehnică a legăturilor internodale. Se
apreciază că dacă asigurarea unui nivel satisfăcător de securitate fizică pentru
echipamentele din reţea este posibilă, de cele mai multe ori este imposibilă asigurarea
unei protecţii fizice corespunzătoare pentru liniile de comunicaţii, astfel că utilizatorii
neautorizaţi se pot conecta pe legăturile de date sau se pot interpune, cu ajutorul unui
calculator, între două noduri succesive ale reţelei. Aceste posibilităţi de atac asupra unei
reţele determină pierderi importante prin afectarea caracterului confidenţial al
comunicaţiilor, introducerea unor informaţii false sau denaturate, falsificarea identităţii
unor calculatoare sau utilizatori 21.
Modelul de securitate pentru o reţea de calculatoare este structurat pe mai multe
niveluri 22:
securitatea fizică este nivelul cel mai exterior al modelului de securitate, care
trebuie să asigure prevenirea accesului la echipamente şi date; este comună tuturor
sistemelor electronice de calcul, distribuite sau nu;
niveluri logice de securitate sunt destinate asigurării controlului accesului la
resursele şi serviciile sistemului şi se împart în:
niveluri de securitate a accesului, care, la rândul lor, sunt:
nivelul de acces la sistem care determină dacă şi când reţeaua este accesibilă
utilizatorilor; la acest nivel se realizează gestiunea accesului şi se stabilesc măsuri de
protecţie la conectare (deconectarea forţată, interzicerea lucrului în afara orelor de
program, limitarea lucrului la unele staţii etc.);
nivelul de acces la cont, care se referă la identificarea utilizatorilor după numele
de utilizator asignate şi autentificarea lor prin parola introdusă;
nivelul drepturilor de acces, care individualizează pe fiecare utilizator sau pe
grupuri de utilizatori, drepturile pe care le au aceştia (citire, scriere, ştergere, vizualizare
etc.).
niveluri de securitate a serviciilor, care controlează accesul la serviciile
sistemului, cum ar fi fire de aşteptare, echipamentele de intrare/ieşire, gestiunea
serverului şi pot fi individualizate astfel:
nivelul de control al serviciilor, care este responsabil cu funcţiile de avertizare şi
de raportare a stării serviciilor;
nivelul de drepturi la servicii, care determină cum poate folosi un anumit
utilizator un servici (de exemplu, drepturile unui operator asupra unei imprimante).
Se apreciază că singura modalitate prin care pot fi transmise date confidenţiale pe
canalele de comunicaţii constă în utilizarea unor proceduri de criptare a datelor.
Cifrarea propriu-zisă a datelor care se transmit în reţea se poate realiza fie prin
dispozitive hardware speciale, fie prin programe capabile să efectueze transformări
criptografice dependente de cheie. Algoritmii utilizaţi fac parte din categoria celor
computaţionali, putând fi simetrici şi asimetrici. Metodele de criptare cele mai utilizate
21
Angheloiu I., op. cit., p. 207
22
Patriciu V., Criptografia ¿i securitatea re¡elelor de calculatoare, Editura Tehnicå, Bucure¿ti, 1994, pp. 26-
28
39
se sprijină pe metoda DES sau, mai recent, pe utilizarea algoritmilor cu chei publice
(vezi paragraful dedicat criptografiei).
Canalele de comunicaţii, din punct de vedere al securităţii, pot fi împărţite în patru
categorii:
canale de comunicaţii normale, fără cerinţe de protecţie a datelor;
canale de comunicaţii private, pentru transmiterea de date confidenţiale, care nu
utilizează metode de autentificare a utilizatorilor;
canale de comunicaţii cu semnătură, care asigură autentificarea utilizatorului
care transmite mesajul şi a mesajului transmis;
canale de comunicaţii sigure, în care există certitudinea că atât utilizatorii, cât şi
mesajele sunt autentice.
Într-o reţea, protocolul de comunicaţii este cel prin care este asigurată disciplina
asupra transmiterii datelor prin reţea, disciplină care să permită controlul traficului,
atât în intensitate, cât şi în direcţie. Alegerea unui anumit protocol are o influenţă
deosebită asupra flexibilităţii, utilităţii, funcţionalităţii şi performanţelor reţelei.
Facilităţile de cifrare au rolul esenţial de a produce o mulţime de canale logice protejate
pe acelaşi canal fizic; gestiunea acestor canale logice revine protocolului de cifrare ales.
Se preferă soluţia unui protocol general care poate fi adăugat la software-ul existent al
reţelei, perturbând cât mai puţin posibil mecanismul de transmisie.
Pornind de la împărţirea atacurilor în active şi pasive, principalele servicii de
securitate pentru subsistemul de comunicaţii sunt 23:
servicii de securitate împotriva atacurilor pasive:
confidenţialitatea mesajelor;
prevenirea analizei traficului;
dublă protecţie prin canal sublimat;
pseudonime digitale;
servicii de securitate împotriva atacurilor active:
integritatea secvenţei de mesaje;
continuitatea comunicaţiei;
autentificarea asocierilor.
Criptografia oferă soluţii în asigurarea siguranţei, protecţiei şi autenticităţii datelor
memorate sau transmise între calculatoare 24. Criptarea datelor/informaţiilor constă în
transformarea informaţiilor care trebuie protejate, astfel încât să nu poată fi descifrate
decât de persoanele care sunt autorizate să le utilizeze. Este considerată de specialişti
cea mai sigură metodă de protecţie împotriva furtului de informaţii, în special pentru
cele care sunt transmise la distanţe mari, prin liniile de comunicaţii. Principalele direcţii
de acţiune în acest domeniu constau în 25:
alegerea unui sistem raţional de secretizare sigură a informaţiei protejate;
fundamentarea căilor de realizare a sistemelor secrete în complexe
automatizate;
elaborarea regulilor de utilizare a metodelor criptografice în procesul
funcţionării sistemelor automatizate;
aprecierea eficienţei şi validarea protecţiei prin criptare.
Utilizată multă vreme numai pentru asigurarea confidenţialităţii comunicaţiilor în
domeniul militar şi diplomatic, criptografia a cunoscut în ultimele două decenii progrese
spectaculoase. Aplicaţiile cele mai multe sunt în activitatea instituţiilor financiar-
bancare. Două aspecte au influenţat această dezvoltare a criptografiei:
dezvoltarea reţelelor de calculatoare, care a fost însoţită de cerinţele susţinute
ale utilizatorilor pentru păstrarea secretului comunicaţiilor prin poşta electronică şi a
23
Patriciu V., op. cit., pp. 130-132
24
Patriciu V., Securitatea informaticå, în PC World, nr. 7-8/1995, p. 17
25
Angheloiu I., op. cit., p. 17
40
transferurilor electronice de fonduri. Aceste cerinţe au putut fi satisfăcute datorită
extinderii gamei de instrumente utilizate în execuţia algoritmilor de cifrare. A devenit
posibilă folosirea unor chei de dimensiuni mai mari, care sporesc rezistenţa la atacurile
criptoanalitice (când dimensiunea cheii secrete este destul de mare şi aceasta este
schimbată frecvent, devine practic imposibilă spargerea cifrului);
adoptarea unui principiu diferit de cel al cifrării simetrice, care este meritul
cercetătorilor americani Whitfield Diffie şi Martin Hellman de la Universitatea
Standford, California. Ei au pus bazele criptografiei asimetrice cu chei publice. Aceasta
foloseşte, în locul unei singure chei secrete, două chei diferite: una pentru cifrare şi una
pentru descifrare. Prima dintre ele este publică, putând fi utilizată de oricine doreşte să
transmită un mesaj cifrat, a doua fiind doar în posesia destinatarului, pentru a descifra
mesajul. Sistemul are avantaje evidente, eliminând nevoia de "trecere", pe canale
nesigure, a cheii unice de la transmiţător la destinatar şi introducând posibilitatea de
semnătură electronică şi de autentificare. La nivelul guvernului S.U.A. a fost adoptat un
standard de semnătură digitală bazat pe conceptul de cheie publică.
Descoperirea sistemului de criptare cu două chei a determinat dezvoltarea în
mediul academic american a unei mişcări a criptografilor profesionişti independenţi. În
1977, trei membri ai acestei mişcări au creat un set de algoritmi în care au implemetat
schema Diffie-Hellman şi au pus bazele companiei RSA Data Security 26. Noua companie
oferea o soluţie pentru protecţia comunicaţiilor mai bună decât cea oferită de alternativa
guvernamentală DES, care utiliza o cheie unică. Printre actualii clienţi ai RSA se numără
cunoscutele companii Apple, Microsoft, Motorola, Visa International, Mastercard
International.
Incidentele produse în anii '80 pe Internet au determinat înfiinţarea unor echipe
de consultanţă specializate şi mărirea fondurilor alocate de companiile americane
pentru securitatea sistemelor informatice.
Standardul american de cifrare a datelor este DES (Data Encryption System),
produs în 1975 în laboratoarele de cercetări ale IBM şi larg utilizat de guvernul american
şi diferite companii internaţionale. Se spune că standardul a rezistat evaluării realizate
de "spărgătorii de cifruri" de la U.S. National Security Agency (NSA), dar nu se ştie cu
certitudine dacă cei de la NSA sau de la vreo altă organizaţie au reuşit sau nu să spargă
sistemul de codificare. Pe de altă parte, experienţa a demonstrat că orice schemă
criptografică are o viaţă scurtă datorită progresului tehnologic care reduce securitatea
furnizată de aceasta.
NSA, creată în 1952, este agenţia de securitate pentru comunicaţii a guvernului
S.U.A. şi este mandatată să decodifice toate comunicaţiile străine în interesul S.U.A.
Agenţia dispune de resurse materiale şi financiare uriaşe; are cei mai mulţi
matematicieni din lume şi este cel mai mare cumpărător de calculatoare din lume. Toate
acestea fac ca NSA să aibă mulţi ani avans înaintea cercetării publice din domeniul
criptografiei şi, fără îndoială, ea poate sparge multe din sistemele criptografice folosite
la ora actuală 27. NSA şi-a folosit adesea puterea pentru a încetini răspândirea
informaţiilor din domeniul criptografiei date publicităţii, în scopul împiedicării apariţiei
de metode de criptare prea puternice, pe care să nu le poată sparge.
Este deci evident că cea mai mare parte a cercetării criptologice se desfăşoară în
spatele uşilor închise, iar numărul persoanelor angajate în aceste cercetări depăşeşte de
departe numărul celor angajaţi în cercetarea criptologică publică 28. De fapt, sunt doar 10
ani de când a început cercetarea deschisă în domeniul criptologiei, iar conflictele între
aceste două grupuri vor continua să existe.
26
Rådoiu D., Noua ordine informa¡ionalå, în Byte, nr. 3/1995, p. 92
27
Rådoiu D., NSA sau fa¡a secretå a cercetårii criptografice, în Byte, nr. 3/1995, p. 93
28
Massey J., An introduction to contemporary cryptology, IEEE proceedings, 76(5), 1988, p. 7
41
Semnătura digitală reprezintă un atribut al unui utilizator sau a unui proces, fiind
folosită pentru recunoaşterea acestuia 29. Semnătura digitală rezolvă problema
autentificării emiţătorului unui mesaj şi problema autentificării datelor. Receptorul
mesajului poate valida semnătura emiţătorului şi nu o poate falsifica. Semnătura
digitală certifică originalitatea documentului şi a conţinutului lui. În sistemele bazate pe
cifrurile cu chei publice, emiţătorul unui mesaj va folosi cheia sa secretă pentru crearea
semnăturii, iar receptorul mesajului poate verifica originea autentică a acestuia şi
integritatea cu ajutorul cheii publice.
În domeniul semnăturii digitale şi al confidenţialităţii cu chei publice, sistemul de
cifrare RSA (numit astfel după numele autorilor: Rivest, Shamir, Adleman) reprezintă
standardul de bază. RSA este cea mai sigură metodă de cifrare şi autentificare
disponibilă comercial, constituită atât din programe, cât şi din dispozitive hardware
speciale. O serie de firme producătoare de programe şi echipamente (DEC, Novell,
Motorola), precum şi companii mari cu alte obiecte de activitate, folosesc acest algoritm
pentru protejarea şi autentificarea datelor, parolelor, fişierelor, documentelor memorate
sau transmise prin reţele. În sistemul de operare pentru reţele locale Netware al firmei
Novell se foloseşte curent sistemul RSA în mecanismele de autentificare care permit
utilizatorilor să acceadă la un server al reţelei.
29
Patriciu V., op. cit., p. 45
30
Oprea D., op. cit.
42
transparenţa faţă de persoanele autorizate şi neafectarea funcţionării
normale a sistemului;
timpul necesar repunerii în funcţiune a sistemului după un incident;
impactul asupra disciplinei de lucru a personalului.
Se consideră că un sistem de securitate fizică este eficient atunci când este
proiectat şi implementat odată cu proiectarea şi implementarea sistemului
informatic pe care se grefează şi nu ulterior, costul şi eficienţa fiind net diferite.
Sistemul de securitate fizică trebuie să discearnă care sunt persoanele
autorizate, cu acces în sistem şi la ce nivel este permis accesul. Identificarea poate
fi făcută de corpul de pază, de alte persoane care se ocupă de controlul accesului
sau de sisteme automate. Legitimarea persoanelor care doresc acces se poate
realiza prin una din următoarele metode 31:
identificarea, care stabileşte cine este persoana pe cale vizuală, prin
semnătură sau alte modalităţi;
parolele, care de asemenea stabilesc identitatea persoanei;
cartelele speciale sau cheile de acces, care se găsesc în posesia celor
autorizaţi să acceseze sistemul.
Măsurile prin care este asigurată securitatea fizică a unui sistem informatic
pot fi sistematizate astfel:
controlul accesului (proceduri care să excludă efectiv persoanele
neautorizate din centrele de prelucrare automată a datelor);
asigurarea securităţii echipamentelor din sistem (calculatoare şi
echipamente periferice);
protecţia împotriva dezastrelor naturale, a incendiilor sau inundaţiilor;
protecţia bibliotecii de suporturi de date.
Metodele de asigurare a securităţii fizice includ: amplasarea centrului de
prelucrare a datelor într-o zonă care poate fi protejată, utilizarea unor dispozitive
de încuiere a uşilor, controlul intrărilor şi ieşirilor în sala calculatoarelor,
utilizarea dispozitivelor de identificare prin voce, amprente a persoanelor care
accesează sistemul.
43
să fie la fel de bine concepute, iar persoanele cu drept de acces să fie cât mai puţine.
Pentru informaţiile care sunt catalogate secrete trebuie aplicat principiul conform căruia
niciunei persoane nu trebuie să i se garanteze accesul permanent, gestiunea sau
cunoaşterea tuturor informaţiilor secrete, numai pentru că deţine o poziţie în
conducerea de vârf a organizaţiei.
Se recomandă ca fiecare centru de prelucrare automată a datelor care are mai mult
de 25 de angajaţi să utilizeze sistemul ecusoanelor, ca măsură suplimentară de protecţie.
Încăperile care nu dispun de uşi care să poată fi încuiate trebuie să aibă intrările
supravegheate de către un agent de pază, direct sau prin sistemul de televiziune cu
circuit închis. Pentru vizitatori se vor amenaja camere separate, izolate de zona
centrului de prelucrare a datelor.
Obiectivul măsurilor de control al accesului este de a limita accesul la
documentaţia programelor, la programele de aplicaţii şi la fişierele de date, precum şi la
echipamentele din centrele de calcul 33.
Accesul la documentaţia programelor trebuie limitat la acele persoane care au
sarcini legate de aceasta şi numai pe perioada exercitării acestor sarcini. De exemplu, un
programator are acces la partea de documentaţie corespunzătoare programului la care
lucrează şi numai atât cât lucrează la programul respectiv. În afara sarcinilor de servici
nimeni nu are acces la documentaţie, aceasta fiind o resursă valoroasă a sistemului,
aflată în răspunderea unui responsabil din compartimentul de prelucrare automată a
datelor.
Accesul la fişierele de date şi programe este asigurat prin intermediul
bibliotecarului, în custodia căruia se găsesc acestea (vezi paragraful dedicat protecţiei
bibliotecilor de suporturi).
Accesul la echipamente este, de regulă, limitat la persoanele care sunt autorizate să
opereze în sistem. Riscurile modificării neautorizate sau a copierilor ilegale sunt foarte
mari. Limitarea accesului numai la programul strict de lucru şi numai la personalul cu
sarcini clare poate asigura un grad sporit de securitate a echipamentelor.
33
O'Hicks J., Management Information Systems. An User Perspective, West Publishing Co., St. Paul, 1987,
p. 491
44
sistemele de asigurare a serviciilor de furnizare a apei, gazului metan, energiei
electrice şi facilităţile de comunicaţii trebuiesc amplasate în subteran, iar căile de acces
la acestea trebuiesc blocate şi supravegheate;
se recomandă introducerea unor sisteme de controlare a prafului, în special în
sala calculatorului, evitarea parchetării în favoarea pardoselilor electrostatice din
policlorură de vinil, renunţarea la perdele şi covoare.
Securitatea echipamentelor
Fiind o componentă de bază a sistemului informatic, partea de echipamente
trebuie să fie tratată cu multă atenţie din punctul de vedere al securităţii. Cea mai sigură
cale de distrugere sau întrerupere a bunei funcţionări a sistemului electronic de calcul
este de natură fizică, centrele de calcul putând fi ţinta unor acte de vandalism, a
dezastrelor naturale, a sabotajelor. Un intrus specialist poate accesa şi modifica
elemente din configuraţia calculatorului, blocând astfel mijloacele de asigurare a
securităţii. Pot fi modificate circuitele electronice, pot fi blocate sau distruse
componentele cu rol de protecţie, pot fi citite din memorie parolele sistemului etc. Un
intrus nespecialist, dar rău intenţionat, sau un angajat concediat, poate pur şi simplu să
distrugă prin lovire sau trântire echipamentele electronice.
Între măsurile care pot contribui la securitatea echipamentelor:
încuierea birourilor în care sunt echipamente;
dispersarea, pe cât posibil, a echipamentelor, mai ales atunci când se lucrează cu
informaţii importante;
verificarea periodică a elementelor din configuraţia fizică a sistemului care sunt
deosebit de importante, cum ar fi placa cu circuite; eventual, pot fi fotografiate la
momentul verificării pentru a se determina ulterior eventualele modificări.
Echipamentele sunt predispuse la căderi funcţionale datorită mai multor motive:
defecţiuni din fabricaţie (aceasta mai ales la echipamentele fără certificat de origine sau
de calitate), instalare greşită, defectare în timpul transportului, căderi de tensiune,
malfuncţiuni ale circuitelor electronice, erori ascunse ale programelor, erori datorate
operatorilor. Cea mai gravă este căderea în timpul exploatării, cu efecte grave, deoarece
devin inutilizabile atât echipamentele, cât şi datele aflate în memoria de lucru. Blocarea
sistemului electronic de calcul poate fi şi urmare a intervenţiei unor specialişti intruşi
sau a celor care se ocupă cu întreţinerea sistemului (de regulă externi). Toleranţa la
cădere/defecte este o calitate importantă pe care trebuie să o aibă calculatoarele
achiziţionate, aceasta contribuind la prevenirea pierderii sau denaturării datelor 34.
Unele componente ale calculatorului sunt astfel construite încât să-şi exercite unele
funcţii în formă de dublă (de exemplu, metoda înregistrării "în oglindă" pe disc, prin
care datele sunt scrise în acelaşi timp pe două discuri, pentru a preveni pierderile de
date dacă s-ar defecta capetele de citire/scriere ale unuia dintre ele). Sunt calculatoare
care au două sau mai multe unităţi centrale de prelucrare, care prelucrează în acelaşi
timp aceleaşi date şi programe, iar în situaţia defectării uneia dintre ele, funcţionarea
normală sau minimală va fi asigurată de altă unitate centrală, până la repunerea în
funcţiune a celei defecte.
Întreţinerea echipamentelor ridică mai multe probleme vizavi de siguranţa,
securitatea şi disponibilitatea datelor din sistem. Specialiştii ce asigură întreţinerea şi
efectuează reparaţiile trebuie supravegheaţi îndeaproape. Activitatea de întreţinere
trebuie să aibă un plan de realizare, în concordanţă cu planul de funcţionare al
întregului sistem, aprobat de conducerea departamentului. Orice activitate care nu se
încadrează în cele planificate trebuie aprobată în scris de către conducere (de exemplu,
efectuarea unor operaţiuni înainte de termenele planificate). Se poate deschide un
34
Oprea D., Securitatea fizicå a sistemelor de prelucrare automatå a datelor (IV), în Tribuna Economicå, nr.
42/1995, p. 23
45
registru de întreţinere care să consemneze toate detaliile referitoare la operaţiunile
efectuate: data şi ora, numele persoanelor implicate, motivul, acţiunile efectuate,
inclusiv componentele care au fost reparate, adăugate sau înlocuite. Fiecare înregistrare
va fi contrasemnată de responsabilul cu securitatea echipamentelor. Este foarte
important ca specialiştii care realizează întreţinerea sau reparaţiile să nu aibă acces la
datele speciale ale întreprinderii sau la parolele acestora. De asemenea, dacă specialiştii
solicită scoaterea din întreprindere a unor componente sau a documentaţiei sistemului,
aceasta trebuie aprobată de conducere şi trebuie să se asigure că acestea nu conţin date
importante ale întreprinderii.
Calculatoarele electronice îşi pot verifica singure starea componentelor lor prin
autodiagnoză 35, descoperind astfel dacă ceva nu funcţionează normal. Autodiagnoza
este utilă pentru:
confirmarea cu precizie a identităţii echipamentelor, suporturilor de date şi
utilizatorilor;
asigurarea că utilizatorii folosesc doar echipamentele, programele şi datele la
care ei au drept de acces şi preîntâmpinarea accesului neautorizat;
asigurarea că orice tentativă de acces sau utilizare neautorizată a
echipamentelor, datelor sau programelor este blocată şi este lansată o alarmă în sistem.
Unii producători de calculatoare asigură facilităţi de diagnoză de la distanţă a
stării sistemelor electronice de calcul, ceea ce în mod normal se realizează de către
echipele de service, pentru a se asigura că totul funcţionează normal şi nu se conturează
posibilitatea apariţiei unor defecţiuni. Este o modalitate mai avantajoasă pentru
întreprindere din punctul de vedere al costurilor, dar, sub aspectul securităţii, se oferă
şanse în plus intruşilor de a accesa elementele din configuraţie.
Protecţia echipamentelor împotriva pericolelor descrise are un rol vital în buna
funcţionare a sistemului. Aceasta este asigurată, în primul rând, prin dispozitive pentru
asigurarea securităţii, incluse în componenţa fiecărui echipament de către producători.
35
Oprea D., Securitatea fizicå a sistemelor de prelucrare automatå a datelor (III), în Tribuna Economicå, nr.
41/1995, p. 25
36
O'Hicks J., op. cit., p. 516
46
asigurarea sistemului, care compensează pierderile în cazul producerii acestor
fenomene.
37
O'Hicks J., op. cit., p. 492
47
În cazul bibliotecilor computerizate, oricine poate avea acces on-line la fişierele de
date prin intermediul liniilor telefonice, de oriunde în lume, dacă: cunoaşte numărul de
telefon pentru acces; are un cod de identificare valid şi cunoaşte parola. Dar, chiar dacă
nu posedă toate aceste elemente, un intrus hotărât poate, prin intermediul unui
program bazat pe o schemă de încercări repetate, să acceseze un sistem informatic şi,
implicit fişierele sale de date. Problema securităţii sistemelor este mai acută ca oricând.
38
Crahmaliuc A., Rata delicven¡ei informatice în ofensivå, în Computerworld, nr. 22/1995, p. 8
39
Fînaru L., Câte ceva despre furtul informatizat, în Tribuna Economicå, nr. 9/1993, p. 9
48
Principiile securităţii sistemului informatic pe linia personalului sunt 40:
principiul "nu trebuie să ştie" face ca posesia sau cunoaşterea informaţiilor să
fie limitată şi înlesnită doar pentru cei care au autorizarea de a le şti. Statutul deosebit al
unei persoane în întreprindere nu-i conferă şi drepturi nelimitate de cunoaştere a
informaţiilor speciale;
principiul "nu trebuie să meargă" limitează accesul personalului în diferite
zone de lucru ale centrelor de calcul;
principiul "cele două persoane" preîntâmpină posibilitatea ca o singură
persoană să comită acte ilegale în sistem. Chiar dacă o persoană răspunde de exercitarea
unor atribuţii de serviciu, ea va executa acţiunile speciale numai în prezenţa unei alte
persoane autorizate. Cele două persoane vor fi schimbate cât mai des, pentru a
preîntâmpina crearea de înţelegeri între ele;
principiul schimbării periodice a obligaţiilor de serviciu presupune ca o
persoană să nu exercite o perioadă prea lungă de timp aceiaşi sarcină de
serviciu;Atribuirea responsabilităţilor pe linia securităţii sistemului informatic se va face
ţinând cont de încadrarea personalului în una din următoarele categorii 41:
angajaţi "neverificabili" - sunt cei care au un statut nu foarte clar şi care nu pot
fi verificaţi în detaliu, motiv pentru care nu li se poate acorda accesul la informaţiile
importante ale întreprinderii;
angajaţi "fără dubii" - sunt persoanele care au trecut toate verificările şi li se pot
oferi anumite sarcini, cu acces la o parte din informaţiile importante;
angajaţi "extrem de credibili" - sunt persoanele asupra cărora s-au executat
verificări complexe, inclusiv asupra familiei, şi care au dovedit o moralitate şi rezultate
excepţionale. Sunt considerate persoane de încredere şi li se poate facilita accesul la cele
mai importante informaţii ale întreprinderii.
Diviziunea funcţiunilor (sarcinilor) între persoane sau grupuri de persoane
distincte astfel încât o persoană să nu aibă controlul decât asupra unei operaţiuni,
minimizând şansele realizării unei fraude, este o condiţie esenţială într-un sistem
informatic. În absenţa unui control riguros, schimbarea programelor sau a fişierelor de
date este facilă şi nu lasă urme care să poată fi depistate. În primul rând, se impune
delimitarea clară a activităţii programatorilor de cea a operatorilor. Este necesar să se
asigure că programatorii nu au acces la fişierele de date, iar operatorii nu pot modifica
programele. De asemenea, operatorii nu trebuie să cunoască structura bazelor de date
decât în măsura în care le este necesar pentru a-şi exercita atribuţiile şi nu trebuie să
aibă acces la procedurile de control a intrărilor/ieşirilor. Programatorii vor fi "izolaţi" de
fişierele de date şi de terminale, ei vor utiliza copii ale fişierelor de date pentru a
modifica şi testa programele.
Un alt mod de a menţine controlul este rotirea personalului de la o funcţiune la
alta şi instituirea obligativităţii concediilor de odihnă. Dacă un angajat încearcă să
comită o fraudă, este posibil, prin aplicarea măsurii precizate, să nu aibă timpul necesar
să o realizeze sau aceasta să fie descoperită. Este recomandată mai ales la nivelul
operatorilor şi al funcţionarilor care realizează controlul intrărilor/ieşirilor.
Există mai multe perechi de funcţii pe linia prelucrării automate a datelor care
trebuie exercitate de persoane sau echipe distincte:
operarea la calculator şi programarea;
pregătirea datelor şi prelucrarea lor;
operarea la calculator şi gestiunea suporturilor de stocare a datelor;
recepţia materialelor importante şi transmiterea lor;
scrierea programelor de aplicaţii şi scrierea programelor de sistem;
scrierea programelor de aplicaţii şi administrarea bazelor de date;
40
Oprea D., Protec¡ia ¿i securitatea sistemelor informatice, note de curs
41
Oprea D., op. cit.
49
proiectarea/modificarea programelor de securitate şi implementarea lor;
controlul împuternicirilor de acces şi exercitarea oricărei alte funcţii.
Responsabilul pe linia securităţii sistemului informatic poate impune respectarea
unor norme interne care să instituie restricţii legate de sarcinile diferitelor categorii de
personal, măsuri pentru respectarea principiului de rotire a personalului şi de concedii
obligatorii etc. Este foarte importantă existenţa acestora sub formă de proceduri scrise,
practica demonstrând că absenţa lor îi determină pe angajaţi să ignore normele şi
regulile "nescrise".
Un alt aspect legat de securitate prin prisma factorului uman marchează
importanţa educării şi conştientizării personalului. Educaţia este principalul mijloc de
a schimba atitudinea oamenilor vizavi de securitate. Ei trebuie să înţeleagă că accesul
neautorizat, spre exemplu, chiar dacă nu este rezultatul unor intenţii de fraudă,
reprezintă o infracţiune. Întreprinderea trebuie să organizeze periodic cursuri de
pregătire şi informare a personalului asupra noilor tehnologii informaţionale, a noilor
măsuri legislative etc. De asemenea, se apreciază că implicarea nemijlocită a
personalului în proiectarea sistemului de securitate poate contribui la conştientizarea
acestuia. Astfel, personalul va înţelege că, în cele din urmă, cel care are adevărata
responsabilitate pentru securitate este factorul uman, şi nu programele de securitate sau
dispozitivele electronice.
50
Bibliografie
A. Cărţi/volume
1. Angheloiu I., Securitatea şi protecţia informaţiilor în sistemele electronice de
calcul, Editura Militară, Bucureşti, 1986
2. Bodnar G., Hopwood William, Accounting Information Systems, Allyn and
Bacon Inc., Newton, 1987
3. Căprariu V., Viruşii calculatoarelor, Editura Microinformatica, Cluj, 1991
4. Coteanu I., ş.a., Dicţionarul explicativ al limbii române, Editura Academiei,
Bucureşti, 1975
5. Dick J., Computer Systems in Business, PWS Publishers, Boston, 1986
6. Fătu T., Bazele informaticii economice, Editura Graphix, Iaşi, 1993
7. FitzGerald J., Business Data Communications, J. Wiley Inc., New York, 1984
8. Gallegos F., ş.a., Audit and Control of Information Systems, South-Western
Publishing Co., Cincinnati, 1987
9. Gregory R., Van Horn R., Le traitement de l'information dans l'entreprise, volum
1, Dunod, Paris, 1966
10. Moscove S., Accounting Information Systems, J. Wiley Inc., New York,
1990
11. McKeown P., Living with computers, H.B.J., Florida, 1991
12. Navas de Castaneda F., Les Systems d'information et de communication
d'Enterprise, Les Editions d'Organisation, Paris, 1990
13. Neagu T., Paraschivescu M., Prelucrarea electronică a informaţiei
financiar-contabile, partea a III-a, lito, Univ. "Al.I.Cuza" Iaşi, 1985
14. O'Brien J., Information Systems in Business Management, R.D. Irwin Inc.,
Homewood, 1988
15. Odăgescu I., Viruşi informatici şi bombe logice, Editura Aldo, Bucureşti,
1991
16. O'Hicks J., Management Information Systems. An User Perspective, West
Publishing Co., St. Paul, 1987
17. Oprea D., Premisele şi consecinţele informatizării contabilităţii, Editura
Graphix, Iaşi, 1994
18. Oprea D., Protecţia şi securitatea sistemelor informatice, note de curs, 1995
19. Oprea D., Airinei D., Andone I., Bazele informaticii economice, Editura
Universităţii "Al. I. Cuza", Iaşi, 1990
20. Patriciu V., Criptografia şi securitatea reţelelor de calculatoare, Editura
Tehnică, Bucureşti, 1994
21. Pilat F. V., Introducere în Internet, Editura Teora, Bucureşti, 1995
22. Summers E. L., Accounting Information Systems, H. Mifflin Co., Boston,
1989
B. Articole/studii
51
3. Apreutesei P., Reţelele locale - un domeniu în dezvoltare, în Computerworld,
nr. 3/1993
4. Cîrstea M., Bine aţi venit în Internet!, în Computerworld, nr. 8/1995
5. Cobb S., Firewall-uri în Internet, în Byte, nr. 4/1995
6. Crahmaliuc R., Viruşii nu iartă, în Computerworld, nr. 2/1995
7. Crahmaliuc A., Pro şi contra: asigură Internet securitatea datelor?, în
Computerworld, nr. 14/1995
8. Crahmaliuc A., Rata delicvenţei informatice în ofensivă, în Computerworld, nr.
22/1995
9. Fînaru L., Câte ceva despre furtul informatizat, în Tribuna Economică, nr.
9/1993
10. Fînaru L., Hoţi ingenioşi, dar şi ... hoţi păcăliţi, în Tribuna Economică, nr.
18/1994
11. Fînaru L., Câte ceva despre furtul informatizat, în Tribuna Economică, nr.
12/1994
12. Jerram P., Groupware bate la poarta Internet-ului, în Byte, nr. 5/1995
13. Massey J., An introduction to contemporary cryptology, IEEE proceedings,
76(5), 1988
14. Meşniţă G., Forme de manifestare a viruşilor în sistemele informatice, în
Tribuna Economică, nr. 21/1995
15. Moga A., Pirateria soft, în PC Report, nr. 38/1995
16. Neagu T., Contribuţii la automatizarea gestiunilor economice în industria
confecţiilor, Teză de doctorat, Universitatea "Al. I. Cuza" Iaşi, 1975
17. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (IV),
în Tribuna Economică, nr. 42/1995
18. Oprea D., Fotache M., Transferul elctronic de fonduri, în Tribuna Economică
nr. 15/1994
19. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (III),
în Tribuna Economică nr. 41/1995
20. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (I), în
Tribuna Economică, nr. 39/1995
21. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (II), în
Tribuna Economică, nr. 40/1995
22. Oprean V., Oprean D., Informatizarea societăţilor comerciale, în Tribuna
Economică, nr. 26/1995
23. Patriciu V., Securitatea informatică, în PC World, nr. 7-8/1995
24. Patriciu V., Criterii de evaluare a încrederii în sistemele de calcul, în PC World,
nr. 10/1995
25. Patriciu V., Criptografia computaţională, în PC World România, nr. 11/1995
26. Permul G., Information Systems Security: Scope, State-of-the-art, and
Evaluation of Techniques, în International Journal of Management, nr. 3/1995
27. Rădoiu D., Noua ordine informaţională, în Byte, nr. 3/1995
28. Rădoiu D., NSA sau faţa secretă a cercetării criptografice, în Byte, nr. 3/1995
29. Rotariu E., Nevoia de comunicare, în PC Report, nr. 26/1994
30. Stoleru V., Stoleru P., Protecţia datelor, în Computerworld, nr. 12/1995
31. Tadesse W. G., Reţele la nivel de întreprindere, în Byte, mai 1995
32. Trăistaru M., Bariere de protecţie în jurul Internet-ului, în Computerworld, nr.
15/1995
52