Universitatea G Bacovia BACĂU

Suport de curs PSIFC

2008

1
Table of Contents
Fundament ........................................................................................................................... 5
Capitolul 1 PROTECŢIE ŞI SECURITATE NOŢIUNI DE BAZĂ ................................ 9
1.1. Argument .................................................................................................................. 9
1.2. Politica de securitate............................................................................................... 10
1.3. Obiective în asigurarea securităţii datelor .............................................................. 24
1.4. Vulnerabilitatea datelor şi măsuri de contracarare ................................................. 25
1.5. Tehnologii de securizare a datelor şi administrarea acestora ................................. 29
Capitolul 2 SECURITATEA SISTEMELOR INFORMAŢIONALE .............................. 33
2.1 Mecanismul de protecţie al unui sistem informatic ................................................ 33
2.2 Securitatea fizică a sistemelor informatice.............................................................. 42
2.3 Rolul personalului în securitatea sistemelor informatice ........................................ 48
Bibliografie.................................................................................................................... 51

3
 Fundament

Securitatea a fost şi este o preocupare constantă a omului de-a lungul timpului.

Această preocupare nu este caracteristică numai omului, celelalte vieţuitoare îşi iau şi
ele măsuri care să le pună la adăpost de pericole. Protecţia în fata pericolelor,
sentimentul de încredere şi linişte asigurat de absenţa oricărui pericol sunt elementele
care definesc securitatea. Fără existenţa unui potenţial pericol sau un potenţial agresor,
măsurile de securitate nu se justifică.
Primele măsuri umane luate pentru a se asigura securitatea individului sau a
grupului de indivizi vizau folosirea unor perimetre de securitate naturale. Primii oameni
se foloseau de peşteri atât pentru a se adăposti de vitregiile naturii, cât şi pentru a se
apăra de prădători. O data cu evoluţia, s-a trecut la construirea de perimetre de
protecţie. Aceasta a marcat şi începuturile primelor construcţii umane. De remarcat aici
este o metodă ingenioasă folosită în acest scop - construirea locuinţelor lacustre.
Ulterior, în evul mediu, principiul a fost modificat şi folosit pentru apărarea cetăţilor, de
această dată nu împotriva animalelor, ci împotriva semenilor
Pe lângă măsurile de securitate fizică privind asigurarea perimetrelor şi riposta
împotriva agresorului, omul a mai trebuit să-şi securizeze şi informaţiile transmise.
Comunicarea între cetăţi prietene asediate sau între unităţi combatante separate
aparţinând aceleiaşi armate sau armatelor aliate presupunea transmiterea mesajului
prin teritoriul controlat de inamic, pericolul ca acesta să fie interceptat şi citit fiind
mare. Din această cauză, mesajele vor fi ascunse sau criptate. Ca măsură dublă se poate
folosi şi o combinare a celor două. Dacă ascunderea mesajului presupunea folosirea de
metode ingenioase, criptarea a presupus pe lângă ingeniozitate şi folosirea matematicii
şi a tehnologiilor moderne. O securitate maxima presupune ascunderea nu numai a
conţinutului unui mesaj, ci şi faptul că acel mesaj există. Un mesaj foarte bine ascuns nu
mai trebuie criptat. Reciproca nu este adevărată. Apariţia undelor radio a făcut ca
eforturile pentru asigurarea securităţii informaţiei să se concentreze mai mult spre
criptare şi mai puţin pe ascundere, deoarece mesajele radio puteau fi interceptate uşor.
Important era ca cel care le intercepta să nu le înţeleagă. Apariţia tehnicii de calcul
electronice a făcut ca eforturile îndreptate spre asigurarea securităţii calculatoarelor şi
implicit a securităţii datelor din acestea să fie foarte mari. Cantitatea de informaţii
vehiculată între calculatoarele interconectate şi numărul acestora a crescut considerabil.
Acestea trebuiau securizate.
Asigurarea securităţii în sistemele de calcul presupune concentrarea în principal pe
asigurarea fizică împotriva dezastrelor naturale şi pe lupta împotriva atacurilor care vin
din partea oamenilor. Atacurile asupra sistemelor de calcul sunt de fapt o extrapolare a
atacurilor în general. Şi de o parte şi de alta a baricadei - atacat şi atacator - se află
oameni.
În anul 1280 î.Hr., după un război de zece ani, cetatea antică Troia rezistă încă
atacului grecilor. Grecii construiesc un imens cal de lemn pe care-l umplu cu soldaţi şi
pe care-l lasă la porţile cetăţii ca dar pentru troieni, simulând retragerea din faţa cetăţii.
Calul este introdus în cetate iar noaptea soldaţii greci ies din cal şi cuceresc cetatea.
Aceeaşi tehnică - Cal Troian sau simplu Troian-este folosită pentru atacarea sistemelor
de calcul şi preluarea controlului asupra ţintei. Istoria consemnează cazuri când cetăţile
din evul mediu erau cucerite aruncând peste zidurile acestora, cu ajutorul catapultelor,
alimente otrăvite sau infestate sau chiar oameni bolnavi de ciumă. Atacul viruşilor din
sistemele de calcul este poate mai puţin mortal, dar pagubele produse pot fi
semnificative. Constantinopolul, şi o data cu el Imperiul Roman de Răsărit, este cucerit
în anul 1453 în parte şi din cauza unei mici porţi ascunse - Kerkaporta - uitată deschisă.
Exploatând această breşă în apărarea cetăţii, turcii cuceresc oraşul. Exploatarea
breşelor în securitate, a golurilor de securitate din programe informatice de astăzi este
la fel de exploatată de către atacatori. Slăbiciunile în asigurarea securităţii sistemelor de
5
calcul poartă denumirea generică de goluri de securitate. Cetatea dacică Sarmizegetusa
este cucerită în al doilea război daco-roman din anii 105 şi 106 d.Hr. pentru că un dac
trădător, pe nume Bastus, divulgă romanilor arhitectura sistemului de aducţiune a apei
în cetate. Cele mai mari dezastre le pot crea propriii angajaţi ai firmelor, deoarece
aceştia cunosc foarte multe lucruri legate de arhitectură şi măsurile de securitate
implementate din interiorul firmelor. Debarcarea de la 6 iunie 1944 din Normandia a
fost făcută ţinându-se cont de trei factori care au asigurat succesul operaţiunii: locul
debarcării, condiţiile atmosferice şi momentul zilei. Debarcarea a fost făcută nu la Pas-
de-Calais, unde se aşteptau germanii, condiţiile atmosferice erau improprii (s-a folosit o
fereastră în frontul atmosferic), iar Hitler în acea noapte dormea şi a dat ordin să nu fie
trezit. Extrapolând, o să vedem că atacurile din Internet sunt efectuate de regulă când
şansele de reuşită sunt mai mari (utilizatorul al cărui calculator este vizat este posibil să
nu se afle la calculatorul lăsat pornit - noaptea, pauze de masă etc.), posibilitatea de
ripostă este mai mică şi rapiditatea reprezintă factorul-cheie al succesului unui atac.
Acestea sunt doar câteva exemple care evidenţiază o similitudine între modul de
desfăşurare a agresiunilor clasice şi cel al agresiunilor informatice.
Securitatea în sistemele de calcul avea să fie serios reconsiderată după 2 noiembrie
1988 o dată cu primele distrugeri cauzate de un program maliţios - Giant Worm.
Securitatea în general şi implicit securitatea sistemelor de calcul aveau să fie
reconsiderate din nou după 11 septembrie 2001, data când organizatiile teroriste
şochează lumea cu atentatele de la World Trade Center.
Construit din interconectarea mai multor reţele, Internetul s-a construit şi
dezvoltat rapid într-un mediu care conferea iniţial siguranţă. Ulterior s-a dovedit că
Internetul este nesigur şi este folosit ca suport pentru iniţierea de atacuri la distanţă.
Dezvoltarea rapidă a acestuia a făcut ca anumite standarde necesare bunei funcţionări a
Internetului să fie rapid proiectate, testate şi implementate. Ingeniozitatea atacatorilor
avea să fie pusă la încercare o data cu implementarea primelor măsuri de securitate la
nivel local şi la nivel reţea. Succesele contorizate de cele două tabere aflate de o parte şi
de alta a imaginarei şi fragilei linii de demarcate între bine şi rău au fost folosite pentru
atingerea scopului propus. De partea binelui, succesele au dus la crearea unor politici de
securitate mai eficiente, la implementarea de noi tehnologii de securitate şi metode de
apărare, contraatac şi pedepsire a atacatorilor. De partea cealaltă, s-au căutat noi
metode de penetrare în sistemele informatice.
Atacatorii au şi ei propria filozofie şi conduită. Unii atacă sistemele de calcul din
amuzament. Alţii atacă numai ca să facă rău. Categoria cea mai periculoasă este aceea
care lansează atacuri pentru a obţine profit. Furtul de informaţie, în special proprietate
intelectuală, ridică pierderile anuale ale firmelor la cifre de zeci de milioane de dolari.
Fraudele financiare, deşi au avut cote alarmante în ultimii ani, cunosc o scădere
vertiginoasă datorită implementării noilor tehnologii de securitate. Marile firme, în
special cele de vânzări, se confruntă cu atacuri care le blochează site-urile comerciale,
lucru care produce mari pagube financiare datorită stopării vânzărilor. Atunci când
atacatorii sunt formaţi din organizaţii teroriste sau, şi mai grav, din state care au o astfel
de conduită, comunitatea internaţională trebuie să se mobilizeze pentru a contracara
ameninţarea.
Ce poate să facă o firmă pentru a fi la adăpost de atacuri informatice? O glumă des
vehiculată printre personalul IT&C sau cel care se ocupă cu asigurarea securităţii spune
că „cel mai sigur calculator este cel care este scos din priză". Deci o firmă are de ales
între a închide porţile şi a fi în siguranţă, iar afacerile să aibă serios de suferit, sau să
deschidă larg porţile şi să fie vulnerabilă, iar afacerile să prospere. Cu alte cuvinte, „cine
nu riscă nu câştigă". Rolul cel mai important în asigurarea securităţii datelor într-o
firmă îl are persoana însărcinată cu managementul firmei. Numai aceasta ştie care este
politica firmei în raport cu piaţa şi care sunt informaţiile care nu trebuie făcute public.
Dacă nu este conştientă de aplicarea unor măsuri de securitate în general şi de
securitate a datelor în special, atunci afacerile pot să aibă de suferit. Mulţi conducători
6
de firme invocă preţul crescut al asigurării securităţii. Sunt însă măsuri care necesită
cheltuieli minime. Una dintre ele este conştientizarea angajatului cu privire la politica
de securitate a firmei. Oamenii sunt mult mai importanţi decât tehnologiile în crearea
unei securităţi adecvate şi efective în cadrul firmei. De asemenea, o politica de securitate
minima, dar efectivă este de preferat în locul uneia complicate şi greu de înţeles sau
implementat. O securitate efectivă presupune protecţia bunurilor firmei (implicit a
datelor), detectarea intruziunilor şi răspunsul la acestea. Personalul însărcinat cu
asigurarea securităţii trebuie să fie tot timpul în alertă. Niciodată securitatea nu va fi
efectivă. Va exista întotdeauna o portiţă care să fie folosită pentru lansarea unui atac.
Important este ca acel atac să fie descoperit cat mai repede şi să fie contracarat. Ideal ar
fi ca aceste măsuri să ducă la descoperirea şi pedepsirea vinovatului. Unele firme preferă
însă, de teama pierderii încrederii clienţilor, să nu raporteze atacurile şi pierderile
suferite. Sunt cazuri în care firma cade la înţelegere cu făptaşul descoperit să nu divulge
faptul că a reuşit penetrarea sistemului respectiv chiar în schimbul unei părţi din suma
sustrasă.
O securitate efectivă la nivelul firmei va putea fi asigurată printr-un program care
să pună împreună politicile, procesele şi tehnologiile necesare asigurării securităţii.
Standardele arhitecturale pentru implementarea securităţii trebuie riguros respectate.
Desemnarea unui personal responsabil cu asigurarea securităţii la nivel de firmă este
imperios necesară. Atunci când acest lucru nu este posibil, în cadrul firmelor mici, se
impune apelarea la serviciile unei firme specializate. Securitatea este vitală în condiţiile
actuale. Nu trebuie stopate nicicum eforturile pentru asigurarea securităţii.
Securitatea nu este o destinaţie, securitatea este un proces continuu.

7
Capitolul 1
PROTECŢIE ŞI SECURITATE NOŢIUNI DE BAZĂ
1.1. Argument
Aproape săptămânal, presa internaţională relatează despre noi „succese" (de fapt:
infracţiuni) ale diverşilor crackers care au reuşit să treacă dincolo de barierele puse şi să
ajungă la banca de date informatică a unor importante instituţii sau companii naţionale
sau internaţionale. O dată cu apariţia autostrăzii informaţiei pentru diferite medii,
cunoscută şi sub numele de Internet, multe întreprinderi s-au grăbit s-o folosească în
scopuri comerciale, fără să analizeze pericolele şi riscurile generate de Internet. Totalul
atacurilor care vin din Internet se numără deja cu miile, din care unele extrem de grave.
Absenţa măsurilor de securitate corespunzătoare expune întreprinderile la mari riscuri
şi se poate dovedi, ulterior, extrem de costisitoare. Pe de altă parte, introducerea în ritm
accelerat a tehnologiilor avansate în practicile de securitate poate induce efecte
complexe, uneori nu prea bine stăpânite, asupra politicilor, strategiilor şi organizaţiilor,
publice sau private, însărcinate cu asigurarea securităţii.
Pentru orice întreprindere, informaţia are o valoare strategică. Este important,
aşadar, s-o putem proteja - şi acesta este obiectivul principal al securităţii informatice.
Parte integrantă a sistemelor de informaţie ale întreprinderii, reţelele aduc o plus-
valoare strategică şi economică sigură, dar introduc în acelaşi timp o anumită
vulnerabilitate. într-adevăr, posibilitatea unor persoane rău intenţionate de a pătrunde
în interiorul sistemelor de informaţii există şi nu poate fi niciodată eliminată în
întregime.
Orice blocaj sau parazitarea sistemelor de informaţii pune sub semnul întrebării
existenţa întreprinderii. Instrumentele securităţii informatice trebuie să permită
protejarea nu numai împotriva accesului persoanelor nechemate, ci şi contra
accidentelor prilejuite de fiinţe omeneşti sau de evenimente naturale. Când spunem
persoane nechemate, ne gândim l'a concurenţă, la spioni economici potenţiali, la
terorişti, la jucători de noroc înveteraţi, la persoane care vor să se răzbune, etc. Anumite
persoane pot fi la originea unor erori accidentale de concepţie (privind hardware-ul sau
software-ul) sau a unor manevre greşite. Cât priveşte evenimentele naturale, ele pot fi
numeroase şi cu origini foarte diverse: cutremure de pământ, tornade, vânt, furtuni,
inundaţii, descărcări electrice, fenomene electro-magnetice, radiaţii nucleare, etc.
Pentru ca protejarea informaţiei să fie efectivă, trebuie să putem proteja materialul
care o suportă (calculatoare, suporturi de memorizare, linii de transmisiuni), software-
ul care o tratează (sistemul de exploatare, programele de aplicaţii, fişierele, bazele de
date, protocoalele de comunicaţii, etc), dar şi mediul general care o înconjoară. Este
vorba de o problemă de întreprindere în care direcţia generală a acesteia este larg
implicată în procesul de prevenire şi de rezolvare a problemelor.
Pentru a putea proteja, trebuie să ştim ce anume trebuie protejat (care sunt
valorile întreprinderii), contra cui (care sunt ameninţările) şi cum anume trebuie
acţionat. Pentru aceasta trebuie procedat metodologic atât în privinţa analizei riscurilor,
cât şi în privinţa reducerii lor.
Riscul este probabilitatea - pentru un interval de timp dat - de a pierde o valoare
(pentru o vulnerabilitate specifică) datorită unei ameninţări particulare. Când vorbim de
valoare, trebuie să o înţelegem în sensul propriu al termenului. Resursele - indiferent de
faptul că este vorba de hardware sau de software, sau că ele sunt fizice sau de concepţie -
reprezintă o sumă de bani bine definită. Pierderea (totală sau parţială) a unei valori, va
costa scump întreprinderea. Din clipa în care o valoare există, ea este vulnerabilă.
Nivelul de vulnerabilitate depinde de natura lor şi de ameninţările pe care valorile le pot
suferi. Pentru o bancă, de exemplu, fişierul de conturi al clienţilor reprezintă o valoare.
9
Vulnerabilitatea reprezintă punctul său slab, fie la nivelul controlului accesului, fie la
nivelul procesului sau sistemului de salvare şi protejare a datelor. Modificări privind
soldul anumitor clienţi, furtul acestui fişier, reprezintă ameninţări potenţiale pentru cele
două niveluri de vulnerabilitate evocate mai înainte.
Măsuri de securitate sunt necesare acolo unde există vulnerabilitatea valorilor.
Distingem două tipuri de măsuri: vorbim de măsuri preventive când acestea vizează
minimizarea vulnerabilităţii şi/sau a riscului valorilor. Prin opoziţie, măsurile corective
de securitate sunt acţiuni întreprinse ca răspuns la un incident survenit şi la analiza
acestuia.

1.2. Politica de securitate.

Pentru a asigura securitatea sistemelor de informaţii, nu este suficient să
acumulăm instrumente; trebuie să dispunem de o veritabilă politică de securitate. Ea ar
trebui să ia în considerare toate elementele procesului care contribuie la securitatea unei
întreprinderi (localuri, personal, politica de întreprindere, organizarea, etc). Analiza
acestor factori, împreună cu luarea în considerare a constrângerilor impuse de mediul
înconjurător (ergonomie, uşurinţa de utilizare, performanţe, costuri), vor ajuta la
alegerea uneltelor corespunzătoare şi la instalarea lor acolo unde este realmente nevoie
de ele.

Entităţile de securitate ale unui sistem de informaţii

Entităţi Reglementare Sisteme de informaţie
calculatoare
periferice
material software reţea suporturi de memorizare
Valori
persoane suporturi de transmisie
programe date sisteme de exploatare
protocoale de comunicaţii
persoane
Ameninţări persoane accident
evenimente naturale
concepţie
acces
fiabilitate
siguranţă în funcţionare
alimentarea energetică
Vulnerabilitate puncte slabe inexistenţă climatizare
permisiune
protejare, salvare
persoane
administrare
exploatare
pene
sabotaj
funcţionare proastă
procedură nerespectarea distrugere parţială
Risc
procedurilor distrugere totală
furt
pierdere
divulgare
Măsuri lege aplicarea legii redundanţă
preventive procedură fiabilitate
10
 teste periodice
mentenanţă
control de acces urmă
sisteme de exploatare de înaltă securitate
personal fiabil şi integru audit
criptografie
duplicarea informaţiilor salvate, protejate
politica de securitate
securitate structurată
supraveghere
cablaj fibră optică
înlocuire
Măsuri repudiere
amendament creare
corective reluare plecând de la o stare coerentă
reconfigurare
Aplicarea unei politici de securitate destinată sistemului de informaţie a unei
întreprinderi se face în mai multe etape. Prima etapă constă în a identifica valorile de
protejat, vulnerabilitatea lor şi ameninţările posibile, şi de a calcula apoi riscurile
potenţiale la care sunt supuse valorile.
Analiza riscurilor trece prin studiul nevoilor funcţionale ale securităţii şi prin
determinarea - în funcţie de consecinţele previzibile ale unui dezastru - ale
proprietăţilor care trebuie asigurate. Aprecierea unui risc face să intervină factori
calitativi şi cantitativi. Evaluarea riscului este deci foarte dificilă şi total dependentă de
un mediu specific. Faza de evaluare va permite definirea unei ţinte de securitate
funcţională (fără să se ţină seama de instrumente sau unelte). în sfârşit, analiza
mijloacelor (auditul instrumentelor şi inventarele) şi alegerea mijloacelor vor permite
aplicarea măsurilor de securitate preventivă ţinând seama de cuplul valoare-
ameninţare.
Pentru a putea dispune de măsuri de securitate corective, pertinente şi eficace,
trebuie oferită posibilitatea de a înregistra şi analiza toate evenimentele implicând un
anumit nivel de securitate. Tabelele - anterior şi următor - rezumă entităţile de
securitate ale unui sistem de informaţie.
Entităti Mediu înconjurător Persoane
infrastructuri
> fizică
Valori > energetică personal
> umană
> materială
persoană persoană
Amenintări accident accident
evenimente naturale evenimente naturale
acces
energie slăbiciunea personalului
Vulnerabilitate aer condiţionat personal subcalificat
foc personal rău format
apă
acces corupţie
distrugere grevă
Risc
> parţială eroare de exploatare
> totală plecare

11
 zăvoare investigare
supraveghere supraveghere
Măsuri
formare
preventive
etică
moralitate
reluare urmăriri judiciare
Măsuri
pedepse
corective
amenzi
Analiza celor două tabele precedente scoate în evidenţă punctul slab al entităţilor
de securitate; în esenţă, el se situează la nivelul acceselor la resurse. Este deci esenţial să
dispunem de instrumente care să permită un control fiabil al accesului. Întregul edificiu
de securitate se sprijină, aşadar, pe un bun control de intrare.
Noţiunea de securitate multinivel (ilustrată de Tabelul 2 şi în Fig. 1) asociază
diferite niveluri de control de acces, pentru a proteja cât mai bine o resursă, indiferent
de natura sa. Reversul acestei medalii este că o asemenea structură de securitate nu are
convivialitate şi/sau conduce la degradarea performanţelor sistemului.

Fig. 1 Model de securitate multinivel

Controlul de acces se bazează, în esenţă, pe verificarea identităţii unei entităţi

logice, materiale sau umane. Vorbim atunci de autentificarea identităţii plecând de la
una din caracteristicile sale fizice şi specifice, sau de la un element presupus cunoscut al
entităţii respective. Putem identifica o entitate prin ceea ce ea cunoaşte (parolă, cod
confidenţial etc), prin ceea ce deţine (cartelă magnetică, cu microprocesor, cheie fizică
etc), sau prin ceea ce este (caracteristici biometrice, antropometrice etc).
Autentificarea asigură astfel confidenţialitatea, integritatea, nerepudierea,
disponibilitatea şi protecţia informaţiilor. Un proces de autentificare poate fi aplicat
12
pentru a controla accesul fizic la localuri şi la elementele care alcătuiesc sistemul de
informaţii, cât şi la accesul lor logic. Numărul de utilizatori (informaticieni sau nu) ai
unui sistem de informaţii este considerabil. De aceea este primordial să putem
autentifica identitatea lor fără ambiguitate, dar şi drepturile lor de acces şi de
manipulare a resurselor asociate.
Nu toţi utilizatorii au aceleaşi drepturi de consultare sau de acţiune asupra
elementelor fizice ale unui sistem sau asupra informaţiei. Magazionerul unei
întreprinderi, utilizând un terminal pentru gestionarea stocului său, nu va avea în nici
un caz acces la datele relative la personalul sau la clienţii firmei, cu toate că datele sunt
arhivate pe aceeaşi maşină.
Fiecare utilizator sau grup de utilizatori are drepturi sau permisiuni specifice,
proprii poziţiei sale ierarhice sau funcţionale în întreprindere, şi corespunzând naturii
muncii sale. Un inginer de sistem trebuie să aibă acces la o parte din calculator (sau la
întregul calculator) - şi deci la ansamblul datelor şi programelor pe care el le
manipulează - în timp ce o persoană care dezvoltă o aplicaţie nu va avea decât o viziune
restrânsă a sistemului, direct legată de programul pe care îl pune la punct.
Corolarul autentificării utilizatorilor este gestiunea autorizaţiilor de acces şi/sau de
manipulare a informaţiilor, altfel spus abilitarea. Această gestiune de drepturi poate fi
înţeleasă în diferite feluri, în funcţie de nevoile de securitate ale unei întreprinderi.
Drepturile pot fi specific asociate unor informaţii, favorizând astfel confidenţialitatea
lor. Lucrul este esenţial pentru toţi cei care au de a face cu un mediu militar, de apărare
sau de cercetare, de exemplu. Dimpotrivă, pentru mediile comerciale, financiare sau
bancare, ceea ce contează este integritatea operaţiilor referitoare la informaţie. Se poate
realiza o gestiune de drepturi prin tranzacţie. în sfârşit, drepturile de acces pot fi gerate
în funcţie de aplicaţiile sau de sistemele care le sprijină.
Nu există euristica în materie de gestiune sau de atribuire de drepturi de acces.
Problematica s-ar putea exprima astfel: Trebuie să atribuim drepturi individuale sau
partajate? Drepturile ar trebui să fie independente sau ierarhizate? Să le atribuim pe
funcţie sau pe individ? în funcţie de organizarea administrativă, geografică sau tehnică a
întreprinderii? Trebuie definite toate drepturile, sau pot exista şi drepturi „prin lipsă"?
lată aşadar atâtea întrebări ale căror răspunsuri depind atât de politica de securitate
adoptată de întreprindere, cât şi de însăşi politica întreprinderii. Cu toate acestea,
gestiunea drepturilor trebuie să fie suplă şi să permită separarea funcţiilor de abilitare
de control şi de utilizare.
Gestiunea drepturilor de acces face apel la gestiunea secretelor care serveşte la
autentificare. Şi aici suntem confruntaţi cu numeroase probleme ale căror soluţii depind
de întreprindere, şi anume: Care este durata de viaţă a unui secret? Care sunt etapele
duratei sale de viaţă? Ce algoritmi de gestiune a secretelor să adoptăm? Care sunt cheile
lor? Ce arhitectură de cheie să folosim? Cum să le atribuim? Cui? Cum să le protejăm
salvându-le? Cum să protejăm algoritmii şi cheile?
După cum se vede, avem de a face cu o problemă complexă, fără sfârşit, în care nu
este suficient să acumulăm mijloace diferite pentru a o putea rezolva. Aplicarea unor
instrumente de securitate informatică necesită o abordare globală şi permanentă.
întreaga întreprindere este implicată şi se prea poate să fie necesar să regândim
organizarea ei. Pentru aceasta este nevoie de o metodă cantitativă, structurată şi aplicată
din interior. Personalul întreprinderii, dar mai cu seamă informaticienii ei, trebuie să
posede un mare sens moral şi o etică sigură, pentru a putea utiliza instrumentele
informatice de prelucrare şi retransmisie a informaţiei în scopuri mărturisite şi lipsite
de perversitate. Politicile de securitate şi de gestiune ale reţelelor sunt complementare.
Ele trebuie, deci, definite împreună.
Deşi nu dispunem încă de indicatori statistici fiabili şi comparabili, se pare că doar
ponderea economică a pagubelor informatice suferite de întreprinderi si de
administraţii, în ţările cu economie dezvoltată, reprezintă între 0,4% şi 0,8% din
13
produsul intern brut PIB. Mai trebuie adăugate aici şi consecinţele de alt ordin
(macroeconomic, politic, calitativ, social, uman etc); toate aceste consecinţe sunt din ce
în ce mai mult luate în considerare datorită evoluţiei constante a sistemelor informatice
şi de telecomunicaţii, atât pentru aspectele lor intensive, cât şi pentru aspectele lor
extensive.
Analiza ameninţărilor potenţiale confirmă caracterul aleator al riscului:
ameninţările maximale sunt mult mai numeroase şi mai importante, în ceea ce priveşte
nivelul, decât paguba produsă. Pentru majoritatea marilor întreprinderi, riscul major
posibil este mult mai mare decât 100 milioane Euro.
Analiza trecutului recent arată o mărire constantă şi regulată a valorilor pagubelor,
exprimate în procente din PIB. Dacă numărul de accidente creşte, aceasta se explică
prin creşterea rapidă a informaticii distribuite şi a folosirii din ce în ce mai răspândite a
Internet-ului. Mărirea în volum se explică, în parte, prin numărul de pagube, şi, în
parte, prin importanţa consecinţelor - ceea ce era de aşteptat, căci societatea de tip
occidental este din ce în ce mai dependentă de sistemele informatice. Frecvenţa şi
amploarea dezastrelor nu depind prea mult de insuficienţa mijloacelor de securitate, ci
de dificultăţile de a stăpâni situaţiile de criză care sunt de cele mai multe ori de ordin
funcţional. Dimpotrivă, problemele legate de fiabilitatea sistemelor par să fie mai bine
stăpânite. Mărirea numărului de dezastre naturale pune o problemă mai generală şi de
un alt ordin. Consecinţele de indisponibilitate generate de întreruperea resurselor
(telecomunicaţii, energie, lichide de răcire etc.) sunt rezolvate mai bine în privinţa
aspectelor clasice şi locale, însă ridică totdeauna probleme spinoase în ceea ce priveşte
comunicaţiile. Consecinţa erorilor „ordinare" (extragere de date, exploatare, transmisie)
are tendinţa să scadă, în timp ce consecinţele care se datoresc erorilor de concepţie a
sistemelor sau a programelor de software au tendinţa să crească.
Partea de rea voinţă însă nu încetează să crească; desigur, fenomenele sunt mai
bine cunoscute şi deci dezastrele sunt mai bine raportate, totuşi - în timp - adevărata rea
intenţie informatică creşte mai repede decât PIB. Pentru aceasta există mai multe
explicaţii:
• Informatica este fie miza directă, fie poarta de intrare către mize funcţionale
din
ce în ce mai importante;
• Criza economică structurală şi durabilă (mondializarea fiind doar unul din
aspecte) exacerbează atât concurenţa, cât şi tensiunile interne din întreprinderi;
• Criza informatică (ansamblul schimbărilor de filozofie şi consecinţele acestora
în
materie de sisteme - cum ar fi informatica distribuită sau nomadă, comunicaţiile
etc. - şi de personal, cum ar fi precaritatea sau dispariţia anumitor funcţii)
antrenează cu sine o fragilizare a edificiului;
• Evoluţiile socio-culturale fac să crească numărul şi nivelul de performanţă al
atacanţilor / agresorilor de orice natură.
Furturile, deturnările de fonduri şi vandalismul vor creşte, dar dezastrele cele mai
mari vor continua să se manifeste pe terenul atacurilor logice. Pentru a riposta, educaţia
(sensibilizarea, formarea de specialişti etc.) reprezintă unul din cele mai importante
mijloace, cu observaţia că şi aici continuă să existe două lacune importante: (i) o
formare minimală în cursurile din învăţământul superior şi (ii) posibilitatea restrânsă
de a ajunge la întreprinderile mici şi mijlocii pentru a le transmite cunoştinţele
necesare.
Metodele de dirijare a proiectelor de securitate, deşi destul de stabilizate şi eficace
(ne gândim la securitatea fizică, la asistenţă sau la protecţie), mai trebuie să facă
progrese în materie de autentificare, control de acces, arhitectura reţelelor etc, unde
domină încă politica produselor. Metodele de securizare a concepţiei şi dezvoltării

14
aplicate încep să-şi facă apariţia, însă ele sunt adeseori greoaie, insuficient integrate şi
automatizate, iar eficacitatea lor reală rămâne discutabilă.
Progrese certe au fost realizate, în ceea ce priveşte securitatea, în oferta de
produse. în plus, certificarea permite o lizibilitate care nu există şi stimulează
companiile care oferă asemenea produse să mărească nivelul lor de securitate, urmărind
evoluţia extrem de rapidă a sistemelor şi arhitecturilor (facilities management FM,
radiocomunicaţiile personale, multimedia, schimburile informatizate de date EDT,
conectarea la autostrăzile informaţiei din Internet, reţelele de sisteme etc).
Rămân întrebările de bază care se referă la faptul că securitatea se sprijină, înainte
de toate, pe oameni şi organizare, necesitând o încadrare şi un efort permanente.
Securitatea trebuie integrată la toate nivelurile şi în toate activităţile întreprinderii, în
conformitate cu normele proprii fiecărei întreprinderi. Aceasta presupune că
întreprinderea dispune de un organ care editează cu regularitate tablouri de bord şi
indicatori semnificativi pentru managementul la toate nivelurile, aşa cum este deja cazul
marilor întreprinderi şi administraţii. Va fi însă nevoie de mulţi ani pentru unificarea
vederilor în materie de securitate, pe de o parte, sisteme informatice şi întreprindere, pe
de altă parte.
Un domeniu special îl reprezintă legislaţia referitoare la dreptul informatic.
Obiectele imateriale (informaţiile şi procedurile) au efectiv o valoare şi se poate vorbi de
prejudiciu când anumite obiecte imateriale sunt atinse în disponibilitatea, integritatea
sau confidenţialitatea lor. Banalizarea informaticii, integrarea ei în numeroase procese,
distribuirea ei geografică vor face ca dreptul informatic să se banalizeze şi să se adapteze
treptat. Altfel spus, trebuie verificată atât adaptarea contractelor, în general, cât şi a
numeroaselor articole din codul civil pentru a efectua corecturile necesare. Este, aşadar,
necesar să se dispună de un aparat juridic specific şi adaptat, cel puţin la nivel european;
procesele în curs sunt însă extrem de lente, datorită ataşamentului la culturile naţionale.
Se speră că dezvoltarea rapidă a telecomunicaţiilor va contribui din plin la
mondializarea economiei, favorizând şi armonizarea juridică, cel puţin ca un efect
secundar.
La baza lor stă conceptul generalizat al unui sistem care poate fi folosit ca model de
bază cu scopul de a înţelege şi structura materiei expuse; ea este exprimată prin etapele
următoare:
 înţelegere şi conceptualizări; limbaj şi criptologie; confidenţialitate,
integritate şi disponibilitate; ce punct de vedere să adoptăm, ţinând seama
şi de prezenţa unui anumit mediu înconjurător;
 demarcări: delimitarea sistemului studiat faţă de mediul care-l înconjoară,
subliniind mediul relevant, măsurătorile de securitate, informaţiile şi
datele;
 definiţii: limbajul; specificarea fluxurilor de informaţii sau de date la
intrare, la ieşire şi a celor care se regăsesc de la un capăt la altul; criterii de
securitate în informatică şi telecomunicaţii
 măsurătorile de control: structura controalelor de efectuat, cu variante
relevante; măsurarea securităţii. Toate cele de mai sus ilustrează de ce
aspectele pe care le vom examina împreună sunt problematice, căci ele nu
pot fi alocate într-un model uşor de înţeles, acceptat de toţi specialiştii, şi
având un anumit grad de siguranţă. Ele formează, totuşi, baza pentru o
apreciere subiectivă a domeniului care ne preocupă.
Fireşte, adoptarea măsurilor de securitate recomandate cere o investiţie
importantă atât ca timp, cât şi ca resurse financiare. De aceea ni s-a părut important să
apreciem atât avantajele, cât şi dezavantajele soluţiilor de securitate propuse, în funcţie
de necesităţile de securitate ale întreprinderii.

15
 În evoluţia modelelor de securitate din tehnologia informaţiei distingem două
perioade: 1970-1980 şi 1980 - prezent. Primele modele s-au dezvoltat plecând de la
funcţiile de securitate îndeplinite de sistemele de exploatare; ele studiau nu numai
modul de a realiza securitatea computerului, ci şi cum anume ar putea fi măsurată
securitatea, într-un mod care să poată fi acceptat ştiinţific. Asemenea măsurători au
putut fi folosite pentru comparaţii, dar şi pentru concepţia statică şi evaluarea lor,
putând servi şi drept criterii la procurarea lor. Nu numai atât, modelele au putut focaliza
discuţia asupra securităţii unui sistem, facilitând conceptualizările. Aşa, de pildă,
mandatory and discretionary acces control and trust îşi au originea în aceste
prime modele. Ele se concentrau pe principiul confidenţialităţii, al clasificării datelor, al
datelor folosite de diferite grupuri de utilizatori şi pe aplicarea privilegiilor şi a
capabilităţilor. Cea de a doua proprietate a securităţii (integritatea) a fost înţeleasă ca 0
consecinţă a primei (confidenţialitatea) şi a fost modelată ca atare. Toate modelele din
această perioadă aveau în vedere datele procesate de către sistemul informatic, căci
mediul sistemului nu putea fi specificat şi verificat în mod formal. Pentru măsurarea
gradului de încredere se presupunea un anumit comportament al sistemelor informatice
(sau al componentelor) fiind importantă cunoaşterea mediului sistemului pentru a
specifica cerinţele de securitate; prezentând explicit regulile organizatorice necesare
care trebuie întărite de către sistemul informatic, subliniind necesitatea unor puternice
cuplări între actuala politică de securitate a întreprinderii şi traducerea ei
corespunzătoare în sistemul informatic respectiv. Organizaţiile comerciale şi militare
pot să difere atât în materie de priorităţi ale principiului de securitate, cât şi a
disponibilităţii datelor. Respectiva întreprindere trebuie să ia în considerare politica
specifică de securitate, căci ea dirijează performanţa tehnicilor care implementează
politica dorită.
În anii 1980-2000 au fost dezvoltate modele de criterii pentru a crea matrici
destinate concepţiei, evaluării şi procurării unor sisteme securizate, bazate pe modelele
de securitate din prima perioadă (1970-1980), la început pentru sistemele de exploatare,
iar, mai târziu şi pentru componentele relevante ale sistemului. Criteriile TCSEC 1 se
referă doar la instalaţiile şi mediile nemilitare; ele au avut un enorm impact asupra
necesităţii unor asemenea structuri, asupra dezvoltării viitoare de produse şi sisteme de
securitate, precum şi asupra cercetării şi dezvoltării unor noi modele şi structuri pentru
folosirea, specificarea şi evaluarea de produse şi sisteme informatice securizate. ITSEC 2
explorează diferite căi structurale şi se ocupă de standardele de concepţie, evaluare şi
procurare, iar MSFR 3 se ocupă de 0 clasă particulară de securitate TCSEC, cea
referitoare la informaţia sensibilă, dar neclasificată.
În terminologia oficială, securitatea informaţiei cuprinde, în principal, securitatea
procedurală (administrativă) şi securitatea informatică; aceasta din urmă este alcătuită
din securitatea computerului şi din securitatea comunicaţiilor.

1
Trusted Computer System Evaluation Criteria
2
Information Technology Security Evaluation Criteria
3
Minimum Security Function Requirements
16
 Componentele unui sistem de securitate

Managementul riscurilor presupune o activitate ciclică se porneşte la lucru cu

analiza riscurilor care va trebui să conducă la formularea politicii de management a
riscurilor şi va rezulta într-un plan de protecţie şi un plan de asigurări; în cele din urmă,
rezultatele obţinute vor fi folosite în bucla de reacţie (feed back) pentru a putea controla
procesul în întregime.

Managementul riscurilor prin prisma securităţii

17
 Analiza riscului
Figura următroare este una din reprezentările piramidale familiare, des folosite,
care arată relaţiile aproximative a celor patru componente importante ale sistemelor
informatice în funcţie de costurile lor. Costul (sau valoarea) specialiştilor întreprinderii,
training-ul şi experienţa lor, cât şi familiarizarea lor cu procedeele moderne folosite în
domeniu reprezintă, de departe, partea cea mai semnificativă (dar, din păcate, cea mai
des ignorată în evaluarea unei schimbări într-un nou sistem).

Revoluţia Internet emigrează din S.U.A. spre Europa; peste doi ani (fig.7),
bătrânul nostru continent ar trebui să afişeze mai mulţi noi internauţi înscrişi decât în
18
Statele Unite, unde rata de pătrundere a Internet-ului este deja foarte ridicată. La
începutul anului 2000, 31% din gospodăriile americane erau conectate la Internet (faţă
de doar 9% în Europa). Chiar dacă Europa nu va urma ritmul de creştere american
(ţinând seama de nuanţele culturale şi lingvistice evidenţe care fragmentează
continentul nostru) anumite segmente specifice noii economii de Web-enablers (agenţii
specializate de marketing pentru noile medii, editori de software de securitate sau de
gestiune a comerţului electronic, furnizori de acces sau exploatanţi de reţele de
transmisii de date) ar trebui să profite din plin de dezvoltarea exponenţială a WWW.
Tehnologiile de securitate - folosite, între altele, şi de poliţia ştiinţifică - au, fireşte,
o mulţime de aspecte sociale. Speranţa noastră este că, încercând să reparăm
tehnologia sistemului nostru de justiţie, nu vom deveni victime ale autodistrugerii sau
ale unui dezastru social. De aceea este util să reflectăm, măcar din când în când, asupra
câtorva importante aspecte sociale.
O societate deschisă, echitabilă şi democratică are nevoie de o poliţie puternică.
în mod paradoxal, o poliţie care susţine libertatea şi democraţia rămâne, prin însăşi
natura sa, limitată la nivelul mijloacelor pe care poate să le utilizeze. Pierderea de
eficacitate care rezultă de aici pentru poliţie ar trebui compensată printr-un câştig de
legitimitate în ochii cetăţenilor şi prin asigurarea cooperării lor.
Care sunt obstacolele care stau în calea dezvoltării şi aprecierii noilor tehnologii de
securitate în societăţile moderne? întrebarea conţine în ea însăşi ipoteze, valori,
interogări. Am putea-o întoarce, întrebându-ne despre natura forţelor care ne
determină să adoptăm noile tehnologii.
Funcţii de securitate şi tehnologiile corespunzătoare
Protecţie fizică

Protecţia spaţiilor Balize, baraje rutiere escamontabile, filtrarea

personalului, contoare de securitate, sticlă rezistentă la
gloanţe
Protecţia persoanelor, Veste împotriva gloanţelor, case de fier, automate
obiectelor şi a valorilor pentru depunerea obiectelor de valoare, protejarea
telecomunicaţiilor, dispozitive de cifrare a mesajelor,
sisteme anti-furt.
Detectare şi supraveghere
Detectarea pătrunderii Alarme cu bătaie reglabilă a acoperirii, captoare infra-
abuzive roşii şi hiperfrecvenţe, senzori video, detectoare ale
pătrunderilor abuzive, alarme automobile
Detectarea substanţelor şi Detectoare de explozive, de droguri, de monezi false;
obiectelor porticuri de control bagaje, detectoare portative pentru
percheziţionarea persoanelor
Supraveghere, localizare, Endoscoape, periscoape, supraveghere video,
contra - supraveghere microfoane, ascultare / spionare convorbiri, brăţări
electronice
Identificare Insigne, holograme, cititoare control acces, carte cu
memorie, antropometrie
Centralizarea / gestiunea Hard+soft centrală alarmă, gestiune tehnică
informatiei centralizată
Comunicaţie, informaţie, Reţea telefonică comutată, imagini semi-animate,
legături căutare de persoane
Telesupraveghere, Telegestiune, parametrare şi vizualizare locuri
telesecuritate

19
 Care sunt necesităţile şi obiectivele umane pe care tehnologia trebuie să le
deservească? Cine are nevoie de această tehnologie? De unde vine presiunea care ne
împinge s-o folosim? Care sunt grupurile de interese care se află în spatele acestor
tehnologii? Cine le finanţează? Cine ia hotărârile? Cum sunt ele luate? Care sunt
grupurile care vor profita, care sunt cele care vor fi jenate? Care sunt incidenţele sociale
evidente ale acestor tehnologii? Unde se află locul fiinţei umane? Scopul tehnologiei este
de a ameliora condiţiile de lucru ale fiinţei umane, sau de a o face, cu timpul, practic
inutilă? Poziţia ocupată astăzi de tehnologii în gestionarea securităţii este
susceptibilă să varieze destul de puternic în funcţie de aplicaţiile vizate. în plus, nu
trebuie presupus a priori că o reţetă folosită cu succes într-un loc va face aceleaşi minuni
într-alt loc. Există o frontieră între diferitele forme de securitate: tehnică, civilă, a
persoanelor şi a bunurilor etc, tot aşa cum există delimitări între măsurile care au ca
scop prevenţia sau intervenţia cu tendinţă represivă. Totuşi, frontierele respective sunt
destul de poroase; aşa, de pildă, sistemele de supraveghere video sunt destinate a priori
mai degrabă reperării actelor de rea voinţă şi intervenţiei, dar ele joacă, în acelaşi timp,
un important rol de descurajare. Misiunea sistemelor este deci de a vedea şi de a dovedi.
Încet - încet aplicaţiile bazate pe Internet devin din ce în ce mai critice, căci timpii
de întrerupere se traduc prin pierderi de venit şi de clienţi. Pentru a avea succes pe piaţa
de azi, trebuie să dispunem de o structură e-business fiabilă, robustă şi posedând o
mare disponibilitate şi scalabilitate

Exemplu de schemă robustă, de mare disponibilitate şi scalabilitate

pentru servere Internet, folosită pentru e-business

Asistăm astfel la două mişcări importante ale industriei de telecomunicaţii:

convergenţa vorbire-date în jurul protocolului IP şi explozia necesităţilor de mobilitate
care vor revoluţiona mediul nostru înconjurător, căci ele contribuie la crearea de noi
moduri de viaţă, de lucru, de interacţiune între indivizi şi organizaţii, prin apariţia unui
acces instantaneu, permanent şi universal la informaţie, atât în interiorul întreprinderii,
cât şi în viaţa noastră de zi cu zi.
Aceasta va conduce la o arhitectură deschisă a sistemelor care se va sprijini pe
aplicaţii bazate pe Unix, Windows NT şi Linux. Disponibilitatea şi bogăţia de servicii de
vorbire se vor împleti cu noi soluţii care vor trebui să garanteze această
disponibilitate, oferind aceeaşi varietate de funcţii. Reţeaua care se va crea în jurul
tehnologiei IP va trebui să transporte informaţii de naturi diferite, cu constrângeri
diferite.

20
 În concluzie măsurile de securitate minimale în sistemele informatice trebuie
să conţină cel puţin următoarele elemente atât pentru utilizatori cât şi pentru
personalul de specialitate.
Sensibilizare. Informaţi, cât mai larg cu putinţă, întregul personal în privinţa
riscurilor şi consecinţelor asupra întreprinderii.
Protecţia datelor. Datele şi programele fundamentale trebuie salvate cu
regularitate, respectând un calendar care să permită reluarea exploatării la un cost
acceptabil. Aşa, de pildă, o salvare săptămânală va fi efectuată pe o serie de suporturi
materiale, în timp ce o salvare lunară va fi efectuată pe o altă serie de suporturi
materiale; fiecare serie va fi conservată în mod independent.
Dischetele, de exemplu, vor fi stocate într-un loc care să poată proteja împotriva
riscurilor naturale (incendiu, inundaţie, electricitate statică, praf etc.) şi împotriva
riscurilor de rea voinţă (furt, vandalism etc). Localul respectiv trebuie să fie distinct
faţă de localul de exploatare şi să nu fie supus aceloraşi riscuri simultan [Lamere(i99i)].
Se va verifica în mod periodic posibilitatea de a relua exploatarea, folosind
datele salvate pe diferite suporturi materiale. Discurile dure (hard disks) trebuie
„curăţate" din timp în timp, eliminând informaţiile devenite, cu timpul, inutile.
Controlul accesului la echipamentele informatice. Trebuie să existe un
control al accesului la localurile care conţin materialul sau salvările respective. Uneori, o
simplă poartă închisă cu cheia poate fi suficientă. Fireşte, controlul accesului se poate
exercita asupra materialului însuşi. Cel care părăseşte, pentru scurtă vreme, locul său de
lucru, trebuie să blocheze claviatura PC-ului.
Măsuri împotriva infectărilor. Măsurile de mai jos nu trebuie înţelese drept
remedii-miracol, ci ca măsuri a căror utilizare judicioasă poate permite reducerea
riscurilor legate de infectările informatice, la un nivel acceptabil (fig. 9).

Tipuri de măsuri
Distingem: măsuri preventive, măsuri de protecţie, măsuri de detecţie,
măsuri de eliminare, măsuri de reparaţie.
Măsurile preventive au în vedere micşorarea probabilităţii ca un sistem să fie
infectat. în categoria măsurilor organizatorice vom menţiona următoarele:
 nu utilizaţi programe de provenienţă îndoielnică. orice soft cu origine
necunoscută trebuie considerat ca fiind potenţial infectat. în caz că folosirea
unui asemenea program lasă de dorit sau, respectiv, se dovedeşte
indispensabilă, folosiţi un procedeu de punere în carantină pe o maşină
izolată, prevăzută special în acest scop.
 controlul accesului la echipamentele informatice. trebuie să existe
posibilitatea controlului accesului la localurile care conţin material informatic sau
salvări ale unor date sau programe frecvent folosite.
 puneţi în funcţiune un observator al infectărilor informatice. pentru aceasta
selecţionaţi câteva programe de referinţă şi utilizaţi-le în mod regulat pentru a
vă asigura de buna lor funcţionare. în afară de aceasta, verificaţi cu atenţie

21
 mărimea lor, data şi ora la care au fost create sau modificate. dacă se poate,
calculaţi şi verificaţi semnătura electronică a unui program înainte de a-l
executa. (într-o reţea se poate folosi o maşină de referinţă supravegheată în
permanenţă; apariţia unui virus informatic va aduce cu sine o modificare
anormală a activităţii sale care poate fi detectată destul de usor).
 sensibilizaţi utilizatorii în privinţa riscurilor referitoare la infectările informatice.
 puneţi în aplicare procedee de control a calităţii soft-urilor, scopul urmărit
fiind acela de a testa toate produsele folosite în întreprinderea dumneavoastră.
 aplicaţi procedee de audit informatic corespunzătoare.
În categoria măsurilor tehnice menţionăm:
 Folosirea unor programe de prevenire care permit micşorarea probabilităţii
implantării unui virus în maşină, fără ştirea utilizatorului; de menţionat:
o programele-momeală; multi viruşi contaminează programul o singură
dată. Pentru aceasta, ei marchează cu semnătura lor programele infectate.
Programele-momeală exploatează această proprietate marcând
programele sănătoase cu semnătura viruşilor, făcând viruşii să
creadă că programele respective sunt programe contaminate.
o programele-vaccin detectează tentativele de pătrundere abuzivă a
viruşilor cunoscuţi interceptând un apel la o funcţie de nivel inferior
şi avertizând utilizatorul.
 Folosirea de funcţii de securitate; ele permit:
o controlul accesului logic la staţiile de lucru;
o limitarea accesului persoanelor abilitate la programele sensibile;
o cifrarea datelor sensibile.
Dacă întreprinderea închiriază serviciile unei reţele publice sau private, informaţi-
vă asupra opţiunilor de securitate disponibile şi aplicaţi-le, dacă este nevoie. Este, de
pildă, posibil să folosiţi un grup închis de abonaţi sau să identificaţi chemătorul.
Măsurile de protecţie au scopul de a reduce consecinţele unei infectări
informatice limitând consecinţele sale, în particular între momentul pătrunderii
abuzive şi momentul detectării.
• Folosiţi suporturi de stocare pentru datele deplasabile, amovibile, astfel
încât fiecare utilizator să poată dispune de un mediu înconjurător de lucru
personal complet, iar partajarea datelor să fie limitată. Exemple de suporturi amovibile
sunt: discurile dure amovibile, discurile magnetooptice, CD-ROM-urile. Atenţie
însă! Aceste măsuri nu sunt favorabile decât dacă suporturile amovibile sunt
stocate, salvate şi transportate în condiţii de înaltă securitate.
• Efectuaţi cu regularitate salvarea datelor şi păstraţi fiecare salvare o durată de
timp suficient de lungă, pentru cazul în care următoarele salvări ar fi contaminate cu
o infectare informatică.
• Nu lucraţi niciodată cu discheta originală a unui program, ci doar cu o
copie a acesteia. Discheta originală cu programul original trebuie conservată într-un
loc sigur, permanent blocată contra scrierii. Doar astfel, în caz de infectare informatică,
se va putea reîncărca un program sănătos pe discul de lucru.
Măsurile de detecţie îşi propun să reducă consecinţele unei infectări
informatice reducând timpul care se scurge între momentul pătrunderii abuzive şi
momentul detecţiei. Simptome clasice:
Probleme de performanţă:
• Timpul de încărcare al unui program creşte în mod anormal;
• Un program se execută mult mai lent decât de obicei;
• Reţeaua suportă o sarcină anormală.
Erori:
• Sistemul se blochează în mod repetat şi inexplicabil;

22
 • Un program, cunoscut pentru fiabilitatea sa, se blochează în mod repetat şi
inexplicabil;
• Mesajele de erori sunt mai frecvente decât de obicei;
• Apar mesaje de erori necunoscute sau inexplicabile.
Probleme de memorie vie:
• Un program necesită pentru execuţie mai multă memorie decât în mod normal;
• Memoria vie disponibilă se micşorează fără un motiv aparent.
Probleme de memorie de masă:
• Au loc accese neobişnuite la cititoarele de discuri şi de dischete (dioda LED
respectivă este aprinsă);
• Mărimea, datele de reactualizare sau numele anumitor programe diferă în mod
inexplicabil de cele ale versiunii originale;
• Fişiere sau programe dispar în mod inexplicabil;
• Apar fişiere necunoscute, în mod inexplicabil;
• Spaţiul disponibil pe discul dur scade progresiv, în mod inexplicabil.
Detecţia automată sau confirmarea:
Soft-urile de execuţie utilizează proceduri pentru reperarea infectărilor într-un
sistem informatic. Ele caută semnăturile de virus, modificările ilicite de fişiere sau
sisteme etc. Atenţie ! Aceste produse se învechesc foarte repede şi este adesea nevoie să
se facă apel la serviciile unui specialist în materie.
Măsurile de eliminare vizează reducerea consecinţelor unei infectări
informatice prin reducerea timpului între detecţie şi expulzare.
• Procedaţi rapid. Propagarea viruşilor poate fi extrem de rapidă; aşa, de pildă,
recent, la un utilizator, în mai puţin de 15 minute peste 300 maşini au fost
infectate. în repetate rânduri, timp de câteva zile, virusul părea să fi fost
eliminat, dar el îşi făcea reapariţia puţin timp după aceea. în plus, mai multe fişiere
salvate au fost contaminate. De aceea este imperativ să acţionăm extrem de rapid. în
particular, dacă cunoştinţele necesare în materie de viruşi nu există în sânul
întreprinderii, nu ezitaţi să faceţi apel la specialişti din exterior.
• Limitaţi schimburile de date. Prima măsură care trebuie luată în prezenţa
unui virus este de a limita la maximum propagarea lui. Pentru aceasta trebuie limitate
schimburile de date: întrerupeţi alimentarea maşinii; deconectaţi reţelele interne ale
întreprinderii de reţelele externe; dacă este posibil, opriţi funcţionarea reţelelor
interne ale întreprinderii; deconectaţi de la reţea toate maşinile contaminate;
preveniţi toţi utilizatorii şi recomandaţi-le să nu mai schimbe date (dischete, benzi etc).
• Deconectaţi suporturile injectate (date). Virusul poate fi eliminat manual sau cu
ajutorul unor programe specializate. Cea mai bună metodă de eliminare manuală a
virusului constă în eliminarea elementelor infectate. Nu uitaţi însă că un singur trunchi
uitat al virusului este suficient pentru a anihila toate eforturile. Există procedee
manuale pentru a se debarasa de anumiţi viruşi fără reformatarea suporturilor
magnetice; ei nu sunt eficace decât dacă numărul de programe contaminate este mic.
Oricum, ele cer o excelentă cunoaştere a maşinii (structura fişierelor, structura
programelor, utilitarelor etc). Aşa numitele programe „seruri" permit debarasarea de
majoritatea viruşilor (de adaus), fără să fie nevoie de a reformata discul. O dată ce
virusul a fost eliminat, trebuie reîncărcate programele şi datele distruse. Aceasta face
obiectul reparaţiei.
Măsurile de reparaţie. Sistemul este reîncărcat plecând de la originalul
constructorului. Programele sunt reîncărcate plecând de la versiunile originale.
Datele sunt reîncărcate plecând de la cele mai recente salvări necontaminate.

23
 1.3. Obiective în asigurarea securităţii datelor
Securitatea calculatoarelor îşi propune să protejeze atât calculatorul, cât şi
elementele asociate - clădirile, imprimantele, modemurile, cablurile, precum şi
suporturile de memorie, atât împotriva accesurilor neautorizate, cât şi altor ameninţări
care pot să apară.
Securitatea calculatoarelor poate fi definită ca fiind ansamblul de măsuri necesare
asigurării secretului informaţiei împotriva accesului neautorizat. în principal se
urmăreşte asigurarea securităţii informaţiei stocate sau transmise. Din această cauză,
securitatea calculatoarelor este deseori numită securitatea informatei sau securitatea
datelor.
Asigurarea securităţii datelor presupune realizarea a patru obiective:
■ confidenţialitatea;
■ integritatea;
■ disponibilitatea;
■ nerepudierea.
Confidenţialitatea, uneori numită secretizare, îşi propune să interzică accesul
neautorizat al persoanelor la informaţia care nu le este destinată. Confidenţialitatea
reprezintă ţelul suprem al securităţii calculatoarelor. Majoritatea eforturilor se
concentrează în acest scop. Pentru asigurarea confidenţialităţii trebuie ştiut care sunt
informaţiile care trebuie protejate şi cine trebuie sau cine nu trebuie să aibă acces la ele.
Aceasta presupune să existe mecanisme de protecţie a informaţiilor care sunt stocate în
calculatoare şi care sunt transferate în reţea între calculatoare. Persoana însărcinată cu
securitatea, sau echipa care are aceste sarcini, trebuie să prevadă aplicaţiile care se vor
folosi pentru acest scop. în Internet, confidenţialitatea capătă noi dimensiuni sub forma
unor măsuri de control al confidenţialităţii. Ţările dezvoltate, Statele Unite, Canada,
Australia, Japonia etc, au reglementat prin lege controlul confidenţialităţii. Companiile
din aceste ţări au reguli stricte în această privinţă.
Integritatea, uneori numită acurateţe, îşi propune ca datele stocate în calculator
să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin
alterarea datelor se înţelege atât modificarea voit maliţioasă, cât şi distrugerea acestora.
Ţinerea ascunsă a datelor faţă de cei care nu trebuie să aibă acces la ele este cel mai
sigur mod de a menţine datele integre. Dar, de asemenea, nu putem şti dacă persoanele
care au acces la ele nu au uneori intenţii răuvoitoare, acţionând în sensul modificării
neautorizate, ele având acces, dar neavând drept de modificare. Integritatea trebuie să
stabilească „cine" şi „ce" are drept de acces şi de modificare. Dar datele pot fi alterate,
sau chiar pierdute/distruse, nu numai ca urmare a unei acţiuni răuvoitoare, ci şi ca
urmare a unei erori hardware, erori software, erori umane sau a unei erori a sistemelor
de securitate. în acest caz se impune să existe un plan de recuperare şi refacere a datelor.
Pentru aceasta, trebuie să existe o copie de siguranţă (backup).
Disponibilitatea îşi propune ca datele stocate în calculatoare să poată să fie
accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le
sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces
diferite: administratorii de sistem şi utilizatorii generali, excepţie făcând sistemele de
operare care echipează calculatoarele desktop. Sistemul de operare Windows 95/98/Me,
în toate versiunile sale, este cunoscut ca un sistem de operare nesigur, deoarece nu face
distincţie între administratorii de sistem şi utilizatori generali. Acest sistem de operare
are foarte multe goluri de securitate, cu toate configurările la maxim în domeniu. Orice
utilizator general va putea să schimbe configurările de securitate ale calculatorului
mergând până acolo încât să le anuleze. în acest fel, calculatorul respectiv este
vulnerabil. Ideal ar fi ca fiecare utilizator să aibă drepturi de acces numai la informaţiile
specifice postului său. în Internet, problema disponibilităţii capătă o formă mai extinsă.
O mare

24
 problemă a asigurării disponibilităţii o reprezintă atacurile de tip DoS20. Aceste
atacuri fac practic ca datele stocate pe calculatorul respectiv să nu mai fie disponibile.
Atacatorii realizează aceasta prin două metode. Prima presupune ca atacatorul să atace
direct calculatorul, sau un periferic ce realizează comunicarea, şi să-1 scoată din uz. A
două metodă, numită şi flooding21, presupune ca atacatorul să trimită foarte multe
mesaje sau cereri către calculatorul-ţintă. Acesta nu va putea să trateze toate cererile şi
ca efect procesele vor fi paralizate.
Nerepudierea, termen recent apărut în literatura de specialitate, îşi propune să
confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris şi trimis de
persoana care pretinde că l-a trimis. în acest fel se asigură încrederea părţilor.
Expeditorul nu poate să nege că nu a trimis el mesajul. Nerepudierea stă la baza
semnăturilor digitale, asigurând autenticitatea acestora, în noua piaţă a comerţului
electronic (E-Commerce22).
Iniţial, termenul de nerepudiere nu era inclus printre obiectivele necesare
asigurării securităţii calculatoarelor.

1.4. Vulnerabilitatea datelor şi măsuri de contracarare

Vulnerabilitatea poate fi definită ca o slăbiciune în ceea ce priveşte procedurile
de sistem, arhitectura sistemului, implementarea acestuia, controlul intern, precum şi
alte cauze care pot fi exploatate pentru a trece de sistemele de securitate şi a avea acces
neautorizat la informaţii. Orice calculator este vulnerabil la atacuri. Politica şi produsele
de securitate ale firmei pot reduce probabilitatea ca un atac asupra calculatorului să aibă
puţine şanse de reuşită.
Principalele vulnerabilităţi în sistemele de calcul sunt:
■ fizice;
■ naturale;
■ hardware;
■ software;
■ medii de stocare;
■ radiaţii;
■ comunicaţii;
■ umane.
Clădirile în care se află dispuse sistemele de calcul sunt vulnerabile la atacurile
clasice. Un intruder poate, folosind metode clasice, să pătrundă în incinta firmei, acolo
unde se află sistemele de calcul şi să fure informaţie. Pentru a se preîntâmpina aceasta
trebuie ca perimetrele respective să fie securizate fizic, iar accesul în anumite zone să se
facă pe bază de identificare fizică. încăperile în care se află calculatoarele pot fi încuiate
chiar cu cheie sau accesul să se facă după o identificare cu ajutorul unei cartele la
purtător sau printr-o identificare biometrică - semnătură, amprente, recunoaştere voce
etc. Aceste măsuri formează prima barieră în calea intruderilor.
Dezastrele naturale, cutremure, inundaţii, furtuni, fulgere, căderile de tensiune şi
supratensiunile pot duce la distrugerea informaţiei din sistemele de calcul. Uneori chiar
are loc distrugerea fizică a întregului sistem de calcul.
Componentele hardware trebuie să fie de bună calitate, pentru a nu crea probleme
în timpul funcţionării sistemelor de calcul. O memorie internă care alterează datele în
timpul unei operaţii de prelucrare sau de transfer, atunci când este folosită ca memorie-
tampon, va crea mari neajunsuri.
Funcţionarea defectuoasă a programelor poate, de asemenea, crea neajunsuri.
Sistemele de operare nesigure, care au goluri de securitate, vor permite accesul uşor la
informaţie. Dacă ambele componente hardware şi software sunt sigure, atunci sistemul
va funcţiona sigur.

25
 Mediile de stocare constituie una dintre marile probleme. Acestea pot fi uşor
sustrase sau distruse. Datele pot fi uşor copiate de pe tot mai puţin utilizatele discuri
flexibile de 1,44 MB sau mai noile suporturi de tip flash. De asemenea, acestea pot fi
foarte uşor sustrase mai ales noile suporturi de memorie datorită mărimilor tot mai
reduse şi capacităţilor tot mai mari de ordinul GBytilor de informaţie şi care poate fi
conectate extrem de uşor la un port liber USB23 al calculatorului. Distrugerea
informaţiei este de asemenea uşoară. O comandă FDISK poate fi lansată în câteva
momente şi distruge toată informaţia de pe discul dur. De aceea se impune să se facă cel
puţin o salvare de siguranţă. Salvarea de siguranţă — backup — se poate face şi pe
suporturi de acum clasice, disc flexibil sau CD/DVD-ROM. Numai că aici apare
posibilitatea ca aceste suporturi să fie sustrase şi apoi citite fără probleme pe alte
calculatoare. De asemenea, aceste suporturi sunt uşor deteriorabile fizic. Pentru a avea o
salvare sigură se folosesc casete speciale, iar informaţia este criptata. Se merge până
acolo încât se fac două copii de siguranţă, una este păstrată infirmă, iar alta este depusă
la bancă.
Toate echipamentele electrice şi electronice emit radiaţii. Aceste radiaţii pot fi uşor
interceptate, ele fiind purtătoare de informaţie. Nivelul de radiaţii este riguros
reglementat de legi şi este impus producătorilor de tehnică de calcul. Comunicaţiile în
reţea, modalităţi de conectare wireless sunt vulnerabile. Oricine se poate ataşa la linia
de comunicaţie (fizică şi cu atât mai mult în cazul variantelor fără fir) şi poate
intercepta, altera şi devia traficul.
Cea mai mare vulnerabilitate este însă dată de personalul care administrează şi
utilizează sistemele de calcul. Dacă administratorul de sistem nu are experienţă sau,
mai grav, dacă decide să comită delicte, atunci securitatea informaţiei din firmă este
grav compromisă. Utilizatorii generali pot de asemenea să creeze vulnerabilităţi prin
introducerea în zone restricţionate a altor utilizatori, prin divulgarea voită a parolelor
individuale, prin ştergerea sau modificarea voită sau accidentală a informaţiei.
Toate aceste vulnerabilităţi vor fi exploatate de persoane răuvoitoare. Referitor la
scara vulnerabilităţilor putem să distingem trei mari categorii:
 vulnerabilităţi care permit DoS (refuzul serviciului);
 vulnerabilităţi care permit utilizatorilor locali să-şi mărească privilegiile
limitate, fără autorizare;
 vulnerabilităţi care permit utilizatorilor externi să acceseze reţeaua în
mod neautorizat.
O altă clasificare poate fi făcută după gradul de pericol pe care-l reprezintă
vulnerabilitatea pentru sistemul supus atacului [SECU99] (tabelul 2).
Tabelul 2. Gradele de vulnerabilitate şi consecinţele acestora.
Grad de Mod de atac Consecinţe
vulnerabilita
A Scripturi CGI cu Permite accesul necondiţionat al
opţiuni prestabilite utilizatorilor rău intenţionaţi.
B Vulnerabilitate criptare Permite utilizatorilor locali/generali
RSH Fişiere de parole fără să-şi mărească privilegiile şi să
shadow obţină control asupra sistemului.
C Trimitere de pachete Permite utilizatorilor din interior
flood sau exterior să altereze procesele de
prelucrare.

Vulnerabilităţile care permit refuzul serviciului fac parte din categoria C şi

exploatează golurile din sistemul de operare, mai precis golurile la nivelul funcţiilor de
reţea. Aceste goluri sunt detectate uneori la timp şi acoperite de către producător prin
programe - patch-uri. Acest tip de atac permite ca unul sau mai mulţi indivizi să
exploateze o particularitate a protocolului IP (Internet Protocol) prin care să interzică
26
 altor utilizatori accesul autorizat la informaţie. Atacul, cu pachete TCP SYN, presupune
trimiterea către calculatorul-ţintă a unui număr foarte mare de cereri de conexiune,
ducând în final la paralizarea procesului. în acest fel, dacă ţinta este un server, accesul
la acesta e blocat şi serviciile asigurate de acesta sunt refuzate. Un atac asemănător
poate fi declanşat şi asupra unui utilizator. Acest lucru este posibil datorită modului de
proiectare a arhitecturii WWW24.
Vulnerabilităţile care permit utilizatorilor locali să-şi mărească privilegiile ocupă o
poziţie medie, B, pe scara consecinţelor. Un utilizator local, adică un utilizator care are
un cont şi o parolă pe un anume calculator, va putea, în UNIX, să-şi crească privilegiile
de acces folosind aplicaţia sendmail. Atunci când este lansat programul, se face o
verificare să se testeze dacă utilizatorul este root, numai acesta având drept de a
configura şi trimite mesaje. Dar, dintr-o eroare de programare, sendmail poate fi lansat
în aşa fel încât să se ocolească verificarea. Astfel, un utilizator local era drepturi de acces
ca root. O altă posibilitate o reprezintă exploatarea zonelor de memorie tampon (buffer-
e).
Vulnerabilităţile care permit utilizatorilor externi să acceseze reţeaua în mod
neautorizat fac parte din clasa A, pe scara consecinţelor. Aceste atacuri sunt cele mai
periculoase şi mai distructive. Multe atacuri se bazează pe o slabă administrare a
sistemului sau pe configurarea greşită a acestuia. Un exemplu de configurare greşită
este un script demonstrativ care este lăsat pe disc, deşi se recomandă ştergerea acestuia.
Cea mai cunoscută vulnerabilitate este conţinută de un fişier cu denumirea
test.cgi, distribuit cu primele versiuni de ApacheWeb Server. Acesta conţinea o eroare
care permitea intruşilor din exterior să citească conţinutul directorului CGI. Şi aceasta
din cauza a două ghilimele („) nepuse.
Platformele Novell, cu servere HTTP, erau vulnerabile din acuza unui script cu
numele convert.bas. Scriptul era scris în Basic şi permitea utilizatorilor de la distanţă
să citească orice fişier sistem.
O altă vulnerabilitate este întâlnită la serverele IIS25 (versiunea 1.0) de la
Microsoft şi permite oricărui utilizator de la distanţă să execute comenzi arbitrare.
Vulnerabilităţile din clasa A pot fi întâlnite şi la următoarele programe: FTP,
Goopher, Telnet, NFS, ARP, Portmap, Finger.
Există şi programe care pot să prezinte vulnerabilităţi asociate a două clase. Am
concluzionat că ameninţările la adresa securităţii se pot clasifica în trei categorii:
■ naturale şi fizice;
■ accidentale;
■ intenţionate.
Ameninţările naturale şi fizice vin din partea fenomenelor naturale sau a altor
elemente fizice care interacţionează cu calculatoarele. Se pot enunţa aici cutremurele,
inundaţiile, furtunile, fulgerele, căderile de tensiune şi supratensiunile etc. Se poate
acţiona în sensul minimizării efectelor ameninţărilor sau chiar al eliminării acestora. Se
pot instala dispozitive de avertizare în caz de dezastre naturale sau dispozitive care să
elimine efectul acestora.
Ameninţările cu caracter neintenţionat vin din partea oamenilor. Aceştia pot
produce ameninţări şi dezastre asupra calculatoarelor din cauza neglijenţelor în
manipularea diferitelor componente, insuficientei pregătiri profesionale, citirii
insuficiente a documentaţilor etc. Din cauza neatenţiei, un utilizator poate distruge la
transport un suport de memorie, poate să suprascrie datele într-o bază de date sau să
şteargă datele pe care el le consideră inutile pentru că nu înţelege la ce folosesc. Un
administrator de sistem poate să modifice nivelul de securitate al unui utilizator sau
poate să schimbe sau să anuleze parola la anumite informaţii vitale.
Ameninţările intenţionate sunt şi cele mai frecvente. Aceste ameninţări pot fi
categorisite în:
■ interne;
27
 ■ externe.
Ameninţările interne vin din partea propriilor angajaţi. Aceştia au acces mai uşor
la informaţie, având de trecut mai puţine bariere şi ştiind şi o parte din politica de
securitate a firmei. Ameninţările externe vin din partea mai multor categorii, şi anume:
■ agenţii de spionaj străine;
■ terorişti şi organizaţii teroriste;
■ criminali;
■ raiders ;
■ hackeri şi crackeri.
Agenţiile de spionaj străine au tot interesul să intre în posesia de informaţii
referitoare la noile tehnologii. Firmele producătoare de înaltă tehnologie sunt ţinta
atacurilor care vin din partea acestora. Se impune ca aceste firme să folosească
tehnologii şi programe de criptare foarte sofisticate pentru a proteja informaţiile.
Organizaţiile teroriste urmăresc cu precădere băncile de unde pot extrage fonduri
necesare finanţării acţiunilor teroriste, companiile aeriene pentru a putea deturna
avioane şi a lua ostatici şi ulterior a cere răscumpărări sau a negocia alte cerinţe,
organizaţii guvernamentale de unde se pot informa asupra acţiunilor poliţiilor, ale
forţelor guvernamentale sau internaţionale asupra lor.
Criminalii din această categorie sunt cei care, beneficiind de cunoştinţe în
domeniul informaticii, folosesc şantajul pentru a stoarce bani sub ameninţarea
distrugerii informaţiei din sistemele-ţintă.
Firmele îşi înregistrează în fiecare zi diferite informaţii pe suporturi de memorie.
Acestea pot fi ţinta unor atacuri din partea unor firme competitoare, în mod direct, sau
de către o altă persoană care le poate vinde la concurenţă.
Cracherii penetrează sistemele de calcul de multe ori nu pentru câştiguri
financiare sau politice, ci pentru satisfacerea orgoliului propriu în lupta cu noile sisteme
de securitate. Există printre aceştia şi persoane care produc uneori dezastre în sistemele
de calcul.
Majoritatea mecanismelor de securitate se construiesc pentru a descuraja atacurile
care vin din afară. Studiile arată că peste 80% din atacuri vin din interiorul firmei. Un
angajat tocmai concediat sau nemulţumit va putea să sustragă sau să distrugă datele la
care are acces. Un angajat de bună-credinţă va putea fi şantajat de cineva din afara
firmei pentru a sustrage sau distruge informaţia.
Pentru a se preîntâmpina aceasta se pot lua diferite măsuri (contramăsuri)
concretizate în metode de protecţie a calculatoarelor.
O parte din aceste măsuri sunt reglementate prin legi şi norme. Firmele
producătoare de echipamente de tehnică de calcul nu trebuie să fabrice echipamente
care să emită radiaţii electromagnetice peste o anumită limită. Echipamentele care vor
fi vândute organizaţiilor guvernamentale vor trebui să aibă implementate tehnologii de
securitate. Sistemele de operare cu care sunt înzestrate aceste calculatoare vor trebui să
satisfacă cerinţele specificate în „Orange Book27", care prevede standarde pentru
acestea. Agenţiile guvernamentale folosesc software de criptare foarte performant.
Echipamentele folosite trebuie să satisfacă cerinţele enunţate în TEMPEST28.
Legea impune ca informaţiile clasificate ca fiind secrete şi cele care sunt clasificate
ca senzitive 9 să fie protejate. Se includ aici informaţii care dacă ar fi sustrase ar putea
duce la disfuncţionarea economiei. Aceste informaţii se regăsesc la ministerele
economiei, ministerele de finanţe, agenţii de informaţii, ambasade.
O categorie aparte o reprezintă domeniul militar. Aici regulile de acces la
informaţii sunt strict reglementate. Departamentul de Apărare (DoD), agenţiile de
informaţii, partenerii comerciali din domeniu folosesc produse de securitate
performante. Se pot enumera aici algoritmi de criptare practic imbatabili, sisteme de
operare sigure şi dedicate, echipamente conform cu TEMPEST.

28
 Securitatea cere foarte mulţi bani şi măsuri laborioase. în cadrul agenţiilor
guvernamentale şi al armatei problemele se rezolvă uşor, existând atât fondurile
necesare, cât şi structuri care să permită o implementare sau reimplementare rapidă de
măsuri. Firmele care au ca scop maximizarea profitului nu vor dori poate să aloce foarte
mulţi bani în asigurarea securităţii. în acest caz se poate să se ajungă la pierderi greu de
recuperat. în unele cazuri, firmele nu acceptă măsuri de securitate foarte stricte pentru
că s-ar limita anumite drepturi ale personalului şi s-ar limita libertatea de mişcare.
Securitatea nu este o destinaţie. Securitatea, ca obiectiv, poate fi considerată că
este o stare. Niciodată securitatea nu este perfectă, indiferent de ce măsuri se iau.
întotdeauna va exista o portiţă negândită prin care sistemul să fie atacat. Din cauza unui
număr mare de factori, securitatea nu va fi niciodată perfectă. Atunci când se investeşte
în securitate se pune şi întrebarea „Cât investesc financiar în securitate?". Asigurarea
unei securităţi ridicate presupune costuri uneori foarte mari, care poate nu pot fi
suportate. Şi dacă tot nu se poate asigura o securitate perfectă, atunci cât trebuie să
investesc? Investiţiile în securitate, la nivel de firmă, trebuie făcute ţinând cont de
nevoile financiare ale firmei şi de nivelul de protecţie dorit. Cheltuielile cu securitatea
pot afecta pozitiv sau negativ afacerile.
Pentru că securitatea este relativă, aceasta poate fi atinsă numai prin definirea
obiectivelor, ca ulterior să fie reevaluată. Aceste obiective vor forma politica de
securitate la nivel de firmă.

1.5. Tehnologii de securizare a datelor şi administrarea acestora

Tehnologiile de restricţie sunt menite să limiteze accesul la informaţie. Din această
categorie fac parte:
■ controlul accesului;
■ identificarea şi autentificarea;
■ firewall-urile;
■ reţelele virtuale private;
■ infrastructura cu chei publice (PKI35);
■ Secure Sockets Layer (SSL);
■ Single Sign On (SSO) - Semnătură doar o dată.
Controlul accesului este un termen folosit pentru a defini un set de tehnologii de
securitate care sunt proiectate pentru restricţionarea accesului. Aceasta presupune ca
numai persoanele care au permisiunea vor putea folosi calculatorul şi avea acces la datele
stocate. Termenul de control al accesului (acces control) defineşte un set de mecanisme
de control implementate în sistemele de operare de către producători pentru
restricţionarea accesului. De această facilitate beneficiază sistemele de operare Windows,
UNIX, Linux etc.
Identificarea şi autentificarea, folosindu-se de conturi şi parole, permit doar
accesul utilizatorilor avizaţi la informaţie. Identificarea şi autentificarea poate fi făcută şi
cu ajutorul cartelelor electronice (smart cârd) sau prin metode biometrice. Acestea
presupun identificarea după amprentă, voce, irisul ochiului etc.
Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic
prestabilit din reţea şi permite trecerea altuia. Firewall-ul se interpune între reţeaua
internă şi Internet şi filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit
şi în interiorul propriei reţele pentru a separa subretele cu nivele diferite de securitate.
VPN36-urile permit comunicarea sigură între două calculatoare aflate într-o reţea. O
conexiune VPN se poate realiza atât în reţeaua locală, cât şi în Internet. VPN foloseşte
tehnologii de criptare avansată a informaţiei care face ca aceasta să nu poată să fie
modificată sau sustrasă fără ca acest lucru să fie detectat.
29
 Infrastructura cu chei publice (PKI) îşi propune să asigure securitatea în sisteme
deschise, cum ar fi Internetul, şi să asigure încrederea între două persoane care nu s-au
cunoscut niciodată. într-o structură PKI completă, fiecare utilizator va fi complet
identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicaţie pe
care o lansează este transparent şi complet asociat cu utilizatorul.
Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite
criptarea şi autentificarea comunicaţiilor Web utilizând PKI pentru autentificarea
serverelor şi a clienţilor. Lucrează foarte bine cu servere WWW. Este implementat în mai
multe versiuni. Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai
sigură, dar este mai greu de implementat.
Semnătură doar o dată (SSO) doreşte să debaraseze utilizatorul de mulţimea de
conturi şi parole care trebuie introduse de fiecare dată când accesează şi reaccesează
programe. Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul
este greu de realizat datorită varietăţii de sisteme. Deocamdată acest lucru se poate
realiza în cadrul firmelor care au acelaşi tip de sisteme. Web-ul foloseşte un subset SSO
numit Web SSO, funcţionarea fiind posibilă datorită faptului ca serverele Web folosesc
aceeaşi tehnologie.
Pe lângă tehnologiile de restricţionare, securitatea sistemelor trebuie administrată,
monitorizată şi întreţinută.
Pentru aceasta trebuie efectuate următoarele operaţii:
■ administrarea;
■ detectarea intruşilor;
■ scanarea vulnerabilităţilor;
■ controlul viruşilor.

Administrarea sistemelor presupune şi controlul şi întreţinerea modului de acces la

acestea de către utilizatori. Un utilizator care foloseşte o parolă scurtă sau care este uşor
de ghicit va face ca acel calculator să fie uşor de penetrat. Atunci când un angajat este
concediat sau pleacă pur şi simplu din alte motive de la firma respectivă, trebuie
schimbate denumirile utilizatorului (user37) şi parola. Uneori se face greşeala ca numele
de user să fie numele postului şi nu un identificator al numelui angajatului. In urma
concedierii angajatului se schimbă doar parola, rămânând numele de user, ceea ce face ca
sistemul să fie mai vulnerabil, fostului angajat nerămânându-i decât să găsească parola,
dacă acesta va dori să facă rău.
Denumirea user-ului şi a parolei trebuie făcută cu foarte mare atenţie şi mare
responsabilitate. Sarcina este de competenţa persoanei însărcinate cu securitatea. Parolele
vor conţine atât cifre, cât şi litere, pentru a face ghicirea lor cât mai grea, şi vor fi
schimbate periodic. Divulgarea parolei altor persoane va fi sancţionată administrativ.
Detectarea intruşilor trebuie făcută permanent. Pentru aceasta există programe
care controlează traficul şi care ţin jurnale de acces (log). Verificarea se va face la nivelul
fiecărui calculator din firmă. Trebuie făcută aici distincţie între încercările de intruziune
din afară şi cele din interior. De asemenea, trebuie separate încercările de acces
neautorizat din reţeaua internă de accesul neautorizat la un calculator lăsat
nesupravegheat de către utilizator.
Scanarea vulnerabilităţii, care este de fapt o analiză a vulnerabilităţii, presupune
investigarea configuraţiei la nivel intern pentru detectarea eventualelor găuri de
securitate. Acesta se face atât la nivel hardware, cât şi software. Un calculator care este
pus în sistem dincolo de firewall va fi vulnerabil şi va compromite afacerile firmei. Un
30
calculator la care un utilizator şi-a sporit drepturile şi a reuşit să partajeze (share) un
folder sau fişier va fi vulnerabil chiar dacă accesul la acesta din urmă este protejat de o
parolă. Folosirea unui scanner de parole va avea ca efect aflarea parolei în câteva
secunde, indiferent de lungimea acesteia.
Controlul viruşilor se va face pentru a detecta şi elimina programele maliţioase din
sistemele de calcul. Acestea se pot repede împrăştia la toate calculatoarele din sistem şi pot
paraliza funcţionarea acestora sau pot produce distrugeri ale informaţiei. Se impune
obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruşi să se facă
cât mai des, iar scanarea pentru detectarea viruşilor să se facă de oricâte ori este nevoie.
O posibilitate este ca programul antivirus să fie instalat pe un calculator central,
actualizarea se va face periodic, iar scanarea staţiilor de lucru se va face de aici. Această
arhitectură nu oferă însă o protecţie în timp real. Ce se întâmplă dacă cineva introduce un
disc flexibil care conţine viruşi în staţia de lucru? În acest caz se impune existenţa unui
program antivirus care funcţionează local sau eliminarea introducerii de programe în
staţia de lucru cu ajutorul suporturilor de memorie.
Majoritatea experţilor recomandă ca soluţie minimă de asigurare a securităţii
parcurgerea a trei paşi. În primul rând, trebuie să se facă o detectare a viruşilor, apoi
implementarea unei protecţii firewall şi în final detectarea intruşilor.

31
Capitolul 2
SECURITATEA SISTEMELOR INFORMAŢIONALE

2.1 Mecanismul de protecţie al unui sistem informatic

Securitatea sistemelor informatice presupune 4:

 recunoaşterea de la început a vulnerabilităţii şi slăbiciunii sistemelor
informatice;
 identificarea şi evaluarea elementelor patrimoniale care trebuie protejate, astfel
încât să nu se omită nimic;
 specificarea tuturor atentatelor posibile asupra sistemelor informatice;
 evaluarea potenţialelor pierderi sau riscuri generate de un anumit incident;
 proiectarea, implementarea şi perfecţionarea unor metode de protecţie adecvate;
 existenţa unor planuri de reconstituire a datelor în cazul pierderii lor;
 controlul periodic al eficienţei măsurilor de asigurare a securităţii sistemului
informatic.
Securitatea absolută nu poate fi atinsă şi nici nu este întotdeauna necesară. Este
foarte importantă evaluarea pericolelor şi riscurilor potenţiale (numite şi cerinţe de
securitate 5), care va fi urmată de stabilirea mijloacelor şi măsurilor de protecţie şi
integrarea lor în mecanismul de protecţie corespunzător.
Ansamblul mijloacelor, metodelor şi măsurilor speciale destinate protecţiei şi
securităţii informaţiei formează mecanismul de protecţie (numit şi mecanism de
apărare). Un mecanism de protecţie trebuie să întrunească următoarele caracteristici 6:
 completitudine, adică asigurarea funcţionării normale a sistemului la orice
eventuală ameninţare;
 corectitudine (oferirea anticipată a răspunsurilor la eventuale probleme care pot
apare);
 simplitate şi uşurinţă în utilizare;
 asigurarea unui minim de erori sau alarme false;
 supravieţuirea, respectiv perioada de funcţionare, la un anumit nivel asigurat de
protecţie, în condiţii optime de utilizare.
În literatura de specialitate se apreciază că mecanismul de protecţie al sistemelor
informatice presupune urmărirea realizării mai multor categorii de măsuri. O clasificare
a acestora este destul de dificilă, opiniile fiind împărţite.
Mijloacele şi măsurile incluse în mecanismul de protecţie pot fi clasificate în:
mijloace tehnice şi programe speciale, acoperirea criptografică a informaţiilor, mijloace
fizice, măsuri juridice şi organizatorice 7.
O altă clasificare împarte măsurile mecanismului de protecţie în următoarele
categorii 8:
 securitatea fizică;
 securitatea cu ajutorul personalului din sistem;
 securitatea liniilor de comunicaţii;
 criptarea informaţiilor importante;
 studierea tehnicilor specializate ale intruşilor;
4
Oprea D., Protec¡ia ¿i securitatea sistemelor informatice, note de curs, 1995
5
vezi Patriciu V., Criptografia ¿i securitatea re¡elelor de calculatoare, Editura Tehnicå, Bucure¿ti, 1994, p.
33
6
Oprea D., op. cit.
7
Angheloiu I., Securitatea ¿i protec¡ia informa¡iilor în sistemele electronice de calcul, Editura Militarå,
Bucure¿ti, 1986, p. 15
8
Oprea D., op. cit.

33
  securitatea sistemelor de prelucrare automată a datelor;
 suprimarea radiaţiilor electromagnetice.
În altă viziune 9, securitatea unui sistem informatic înseamnă:
 securitatea fizică;
 securitatea cu ajutorul personalului;
 securitatea (controlul) accesului;
 securitatea software-lui.
Alţi autori propun o împărţire mai simplificată în măsuri şi tehnici pentru 10:
 securitate fizică, care se referă la protecţia sistemului informatic împotriva
accesului persoanelor neautorizate şi protecţia împotriva dezastrelor;
 securitate procedurală, un set de reguli care guvernează buna funcţionare a
sistemului (selecţia şi pregătirea personalului, instituirea normelor de conduită în
sistem, proceduri de auditare şi control etc.);
 securitate tehnică (protecţia echipamentelor, programelor, comunicaţiilor şi
datelor).
În răspunderea directorului compartimentului informatică (prelucrarea automată
a datelor) este sarcina de realizare şi implementare mecanismului de protecţie, a
măsurilor de prevenire a pierderilor şi distrugerilor şi a normelor interne de
comportament. Coordonatorul sistemului de securitate va crea o adevărată
infrastructură de asigurare a securităţii, cu distribuirea către subordonaţi a sarcinilor pe
linia securităţii. Pornind de la analiza şi evaluarea ameninţărilor potenţiale pentru
sistemul informatic, sunt întocmite procedurile de realizare a securităţii şi
contramăsurile pentru pericolele potenţiale.
Urmărind ultima clasificare, vom trata securitatea fizică şi rolul factorului uman în
asigurarea securităţii în subcapitole distincte şi vom prezenta pe scurt celelalte categorii
de măsuri şi tehnici ale mecanismului de protecţie.
Securitatea procedurală vizează, în principal, următoarele aspecte:
 măsuri organizatorice;
 auditatea sistemului informatic;
 măsuri juridice;
 asigurarea;
 selecţia şi pregătirea personalului (vezi subcapitolul 2.3).
Măsurile organizatorice joacă un rol dublu în mecanismul de protecţie: pe de o
parte acoperă majoritatea canalelor de acces a informaţiilor, iar pe de altă parte, asigură
unirea tuturor mijloacelor într-un mecanism unic de protecţie. Se pot include în această
categorie:
 măsuri realizabile prin proiectarea, construcţia şi echiparea centrelor de calcul
astfel încât să fie minimă influenţa posibilelor catastrofe naturale şi posibilitatea
pătrunderii neautorizate a persoanelor străine;
 alegerea şi pregătirea corespunzătoare a personalului din sistem;
 organizarea unui regim sigur de control fizic al accesului pe teritoriul sau în
clădirile ce adăpostesc sistemul;
 organizarea strictă a modului de păstrare şi folosire a documentelor şi
suporturilor de date;
 organizarea lucrului pe schimburi, cu stabilirea clară a atribuţiilor pe linia
securităţii, organizarea controlului muncii personalului, ţinerea jurnalelor de lucru,
distrugerea hârtiilor aruncate etc.
Auditarea sistemului informatic este o contramăsură eficientă împotriva
pericolelor care vizează sistemul, în special a fraudelor. Auditul informatic este procesul

9
Dick J., Computer Systems in Business, PWS Publishers, Boston, 1986, p. 549
10
Gallegos F., ¿,a., Audit and Control of Information Systems, South-Western Publishing Co., Cincinnati,
1987, p. 487

34
prin care persoane competente colectează şi evaluează probe pentru a-şi forma o opinie
asupra gradului de corespondenţă între cele observate şi anumite criterii prestabilite. El
constă în aplicarea unei etichete de calitate unui obiect, în raport cu un sistem de
referinţă, în scopul de a oferi un anumit nivel de încredere în sistemul informatic 11. Se
include aici atât auditarea internă, realizată periodic de către personalul de la
compartimentul de specialitate, cât şi apelarea la specialişti externi, independenţi, care
pot oferi concluziile lor autorizate în legătură cu securitatea/vulnerabilitatea sistemului
(putem aprecia activitatea lor ca o consultanţă cu rol de evaluare. Se urmăresc existenţa
şi modul de aplicare al măsurilor de control al accesului fizic la suporturi şi
echipamente şi al accesului la date, al celorlalte măsuri legate de securitatea fizică, dar
este posibilă şi identificarea punctelor tari şi, mai ales a punctelor slabe ale sistemului.
Auditarea internă este foarte eficientă atunci când este realizată inopinat, putând
descoperi aspecte care, în cazul anunţării unui control, ar fi putut fi ascunse.
Există pe plan mondial mai multe organizaţii ale specialiştilor în auditarea
sistemelor informatice 12:
 Electronic Data Processing Auditors Association - asociaţia mondială care are
circa 10000 de membri, specialişti din întreaga lume;
 Asociaţia Franceză de Audit Informatic;
 Federaţia Internaţională a Auditorilor şi Experţilor în Sisteme Informatice, care
acordă, după susţinerea unui examen complex, certificate de auditori şi experţi în
sisteme informatice.
ªi în ţara noastră devine necesară evaluarea autorizată a sistemelor informatice şi
persoane competente există. Rămâne de văzut când şi cum se va certifica primul auditor
autorizat de sisteme informatice în România.
Măsurile juridice se reflectă în reglementările juridice la nivel naţional, în legile şi
actele normative existente pe acest domeniu. Astfel de legi trebuie să garanteze
integritatea şi confidenţialitatea informaţiilor, protecţia programelor de aplicaţii
împotriva copierilor ilegale şi să prevadă răspunderea civilă şi penală pentru încălcarea
acestor prevederi; organizaţiile şi persoanele fizice sunt în drept să deschidă acţiune
juridică dacă s-a încercat accesul neautorizat în sistem sau copierea ilegală a software-
lui, pentru a obţine compensarea pagubelor cauzate de infracţiune. Legislaţia cea mai
completă este cea a Statelor Unite, unde amplificarea volumului de informaţii cu
caracter secret sau privat a determinat reacţii negative împotriva accesului neautorizat.
Acesta este interzis prin lege, iar companiile au dreptul să urmărească în justiţie pe
autorii fraudelor pe calculator. Legislaţia din Europa de est nu prevede pedepse pentru
infracţiunile prin sau cu ajutorul calculatorului, iar dezvoltarea economică din ultimii
ani şi de perspectivă impune elaborarea urgentă a unei jurisdicţii adecvate.
De asemenea, legile trebuie să reglementeze aspectele legate de criptografie. În
ţările occidentale, criptografia este considerată o armă, având un regim similar cu al
muniţiei 13. Multe ţări europene restricţionează utilizarea, achiziţia sau vânzarea
algoritmilor criptografici. Spre exemplu, în Franţa, folosirea criptării peste legăturile de
comunicaţii este strict interzisă; există însă posibilitatea încheierii unor acorduri cu
France Telecom, dar numai după prezentarea surselor complete de folosire a
algoritmilor. Cei care vând sau cumpără produse criptografice trebuie să aibă aprobarea
Ministerului Apărării, iar furnizorii trebuie să înregistreze numele tuturor clienţilor şi
numărul copiilor vândute; importul sau exportul produse care suportă criptări de date
necesită autorizaţii speciale.
În legătură cu provenienţa programelor, sunt frecvente cazurile în care un
utilizator, pentru a economisi nişte bani, apelează la copii pirat ale unui pachet de

11
Avram G., Auditul informatic, în PC World, nr. 6/1995, p. 48
12
Avram G., op. cit., p. 49
13
Patriciu V., op. cit., p. 59

35
programe. Trebuie să se facă aici distincţia între copierea unor programe pentru a avea
copii de siguranţă şi copierea programelor pentru a le vinde sau oferi unui prieten.
Această diferenţă este menţionată şi de legea copyright-ului pentru software, lege
adoptată în S.U.A. în 1980. Este deci legală copierea din motive de siguranţă şi se pot
face oricâte copii, cu condiţia ca acestea să rămână la utilizatorul autorizat. Pedepsele pe
care le prevede legislaţia americană pentru copierea ilegală de soft sunt: despăgubiri
pentru producătorul de software şi confiscarea foloaselor realizate de pe urma copiilor
ilicite. În cazul vânzării este prevăzută chiar pedeapsa cu închisoarea. Fenomenul
pirateriei software afectează în primul rând producătorii şi distribuitorii de astfel de
produse, dar şi statul este afectat prin neperceperea taxelor aferente produselor vândute
"la negru". Producătorii de software au cheltuit sume mari pentru crearea unui pachet
de programe şi aşteaptă câştiguri pe măsură, astfel încât atunci când cineva realizează
ilegal o copie a programelor respective, producătorul suferă o pierdere. Pornind de la
această serioasă problemă, mai mulţi mari producători de software s-au constituit într-o
asociaţie, numită Business Software Alliance (BAS), al cărei scop principal este tocmai
combaterea pirateriei în domeniul software-lui, inclusiv prin modificări ale legislaţiilor
ţărilor respective 14.
În ţara noastră, se impune cu necesitate adoptarea unui cadru legislativ
corespunzător pentru desfăşurarea activităţii întreprinderilor în condiţiile
informatizării. În momentul de faţă, nu există în plan legal răspunsuri corespunzătoare
la evoluţia tehnologică, în sectorul copiei private, al reproducerii, comunicării prin
satelit şi cablu, precum şi în ceea ce priveşte programele de aplicaţii şi bazele de date
(dreptul de proprietate individuală şi protecţia lor). Există un text legislativ propus spre
adoptare Parlamentului în care, ar fi reglementate distinct, pentru prima oară în
legislaţia românească, atât programele, cât şi bazele de date.
În cadrul securităţii procedurale, o măsură care poate fi adoptată şi realizată de
către conducerea întreprinderii este asigurarea împotriva unora dintre riscurile care pot
acţiona asupra sistemului informatic sau unor componente ale acestuia şi care pot
genera pierderi substanţiale în caz de accidente, dezastre sau fraude. Asigurarea
sistemelor informatice a început din anii '80 - prima societate care a realizat o astfel de
asigurare este compania engleză de asigurări Lloyds, în 1981. Există în S.U.A. şi Europa
occidentală mai multe companii de asigurare care oferă poliţe de asigurare a sistemelor
electronice de calcul. Acestea includ: asigurări împotriva incendiilor, dezastrelor
naturale, vandalismului şi furtului echipamentelor şi programelor de aplicaţii, asigurare
împotriva fraudelor comise de angajaţi, asigurare de răspundere pentru erori şi
omisiuni în prelucrarea datelor etc. Suma unei astfel de asigurări trebuie să fie suficient
de mare pentru a înlocui echipamentele şi a acoperi celelalte cheltuieli legate de buna
funcţionare a sistemului afectat. Asigurarea acoperă şi costul refacerii datelor şi
programelor de aplicaţii distruse, precum şi pierderile suferite de întreprindere
(beneficiile nerealizate) ca urmare a nefuncţionării sistemului electronic de calcul sau a
pierderii datelor. Dar, pentru o întreprindere mică, costul unei asemenea asigurări este
destul de mare - de exemplu, pentru o valoare asigurată de 10 milioane de dolari se
plăteşte o primă anuală de asigurare de 25000 dolari.
Securitatea tehnică include mijloacele şi măsurile pentru protecţia
echipamentelor, a programelor şi datelor şi a comunicaţiilor.
Mijloacele tehnice pentru protecţia echipamentelor se concretizează în diferite
dispozitive capabile să îndeplinească funcţii de protecţie, cum sunt:
 registre speciale pentru păstrarea elementelor de protecţie (parole, coduri de
identificare, nivelul de secretizare al informaţiilor etc.)

14
Moga A., Pirateria soft, în PC Report, nr. 38/1995, p. 54

36
  generatoare de coduri, destinate pentru generarea automată a codului de
identificare a terminalului unui utilizator sau a altui dispozitiv la încercarea acestuia de
a adresa o sursă de date;
 dispozitive pentru recunoaşterea unor caractere individuale ale utilizatorilor
(amprente, voce etc.);
 dispozitive de citire a codurilor;
 scheme pentru întreruperea transmisiei informaţiei în linie în scopul efectuării
controlului periodic al adresei de trimitere a datelor;
 echipamente de cifrare şi descifrare.
Atât pentru protecţia echipamentelor, cât şi a datelor şi programelor de pot utiliza
programe speciale de asigurare a protecţiei, aceasta fiind metoda cea mai larg
răspândită. Se pot identifica mai multe grupe de programe:
 programe pentru identificarea mijloacelor tehnice, a problemelor, a utilizatorilor
şi a fişierelor de informaţii utilizate;
 programe pentru determinarea drepturilor echipamentelor şi ale utilizatorilor;
 programe destinate controlului asupra funcţionării echipamentelor;
 programe pentru înregistrarea lucrului echipamentelor şi utilizatorilor când se
prelucrează date secrete sau importante pentru organizaţie;
 programe pentru ştergerea informaţiilor din memorie, după utilizarea lor;
 programe pentru semnalizarea audio/video a acţiunilor neautorizate;
 programe adiţionale, cu diferite destinaţii, cum ar fi controlul funcţionării
mecanismului de protecţie;
 programe pentru criptarea/decriptarea informaţiilor.
O categorie importantă o formează programele pentru controlul accesului,
utilizate în sistemele care lucrează cu fişiere de date foarte importante, mai ales dacă se
lucrează în regim de multiprogramare sau cu facilităţi de teleprelucrare. Accesul în
sistem trebuie să parcurgă trei etape:
 identificarea, care realizează recunoaşterea indicativului (nume sau cod) atribuit
persoanei;
 autentificarea, care verifică dacă persoana este ceea ce pretinde că este;
 autorizarea, care certifică dreptul de acces al persoanei la o anumită resursă
protejată.
Referitor la autentificarea utilizatorilor, există în prezent câteva soluţii care
îmbunătăţesc soluţia clasică de autentificare (ceva ştiut de utilizator) - parola. Acestea se
încadrează în două categorii, astfel 15:
 ceva în posesia utilizatorului:
 cartelele magnetice, care lucrează cu două chei: indicativul utilizatorului - PIN
(Personal Identification Number), utilizat pentru a crea o legătură între cartelă şi
deţinător, şi o cheie actuală care nu este cunoscută de către utilizator; ambele sunt
verificate de către sistem;
 cartela inteligentă, care este un dispozitiv activ, care conţine propriul sistem de
operare şi memorie, putând include şi algoritmi de cifrare. Codul intern poate fi
controlat intern de cartelă, aceasta putându-se bloca automat după un anumit număr de
încercări nereuşite. Unităţile de citire permit atât identificarea şi autentificarea
utilizatorului, cât şi asigurarea controlului accesului, criptarea şi semnătura digitală;
 calculatoarele speciale portabile (de buzunar), care au avantajul că nu necesită
un cititor special ataşat la terminal. Calculatorul de buzunar conţine un algoritm de
criptare. Pentru conectare, utilizatorul introduce indicativul şi parola de la tastatură.
După autentificare, sistemul de operare trimite la utilizator un număr aleator, acesta
trebuind să calculeze, prin algoritmul de criptare, valoarea cifrată a acestui număr şi să

15
Patriciu V., Criptografia computa¡ionalå, în PC World România, nr. 11/1995, p. 59

37
o introducă de la tastatură. Sistemul verifică corectitudinea acestei valori prin
recalcularea ei cu cheia personală a utilizatorului;
 identificarea fizică a utilizatorului prin:
 tehnicile de recunoaştere biometrice, care se bazează pe trăsăturile distincte şi
particulare ale corpului uman: vocea, retina, amprentele. Schema utilizată este aceiaşi:
utilizatorul îşi revendică identitatea, sistemul caută profilul asociat cu identitatea
revendicată, solicită utilizatorului să folosească sistemul de recunoaştere şi, în final,
compară profilul înregistrat cu cel detectat. Tehnicile curent utilizate în recunoaşterea
biometrică sunt: amprenta, geometria mâinii, vocea, tiparul retinar, semnătura olografă
(viteza de scriere, presiunea peniţei, ritmul de scriere în timp). Câteva probleme apar
totuşi la folosirea acestor tehnici; acestea vizează posibilitatea de modificare temporară
sau definitivă, ca urmare a unui accident sau a unei boli, a trăsăturilor biometrice, dar şi
preţurile costisitoare ale echipamentelor necesare.
Se consideră că, pentru o autentificare corectă a unui utilizator, este necesară
utilizarea combinată a două din metodele enumerate (de exemplu: cartelă magnetică +
parolă, sistem de recunoaştere a vocii + parolă, cartelă inteligentă + sistem de
recunoaştere a amprentelor etc.).
Securitatea comunicaţiilor este foarte importantă în condiţiile proliferării, pe scară
largă, a reţelelor de calculatoare. Extinderea şi complexitatea reţelelor de calculatoare,
în cadrul cărora calculatoarele, dispersate geografic, sunt legate între ele prin linii de
comunicaţii, amplifică la un nivel superior cerinţele de protecţie şi securitate a datelor.
Apar dificultăţi legate de absenţa controlului fizic asupra unor componente ale reţelelor
cum sunt liniile de telecomunicaţii. Obiectivul principal al măsurilor de protecţie într-o
reţea îl constituie eliminarea posibilităţilor de distrugere, intenţionată sau accidentală, a
datelor şi echipamentelor, şi crearea în jurul sistemului a unor bariere care să asigure
închiderea canalelor potenţiale de acces la datele şi informaţiile memorate, făcând
accesul neautorizat prohibitiv sub aspectul costului şi al dificultăţilor întâmpinate 16.
În legătură cu problema securităţii comunicaţiilor, Internet, cea mai mare reţea
din lume, este considerat de unii specialişti nesigur sub aspectul securităţii. Sondaje de
opinie arată că securitatea reprezintă cea mai importantă preocupare a companiilor cu
privire la utilizarea Internet. Când li s-a cerut companiilor să evalueze motivele care
determină întârzieri în cuplarea la Internet, pe o scară de la 1 la 5, securitatea a fost
cotată cu 4.8, în timp ce posibilităţile materiale (echipamente) au înregistrat 3.7, iar
costul 3.4 17. Grupul de securitate al Internet - Computer Emergency Response Team
(CERT) apreciază că apar circa 14 fraude pe zi, cifră pe care unii o consideră mică la
scara la care se efectuează tranzacţiile Internet, iar alţii consideră că aceasta este
subestimată deoarece foarte mulţi utilizatori nu se sinchisesc să anunţe astfel de
evenimente (mai ales dacă nu sunt cauzate pierderi materiale) 18.
A conecta o reţea de întreprindere la Internet fără nici o măsură de protecţie este o
operaţie de mare risc. O primă modalitate de protecţie constă în asigurarea etanşeităţii
între reţeaua întreprinderii şi lumea exterioară, pentru a feri sistemul informatic de o
pătrundere ilicită - se face apel la tehnologia firewall. Un firewall poate fi definit ca o
colecţie de sisteme, routere şi măsuri organizatorice plasate la conexiunea centrală la
reţea a unei organizaţii 19. Produsele de securitate de acest gen funcţionează ca o poartă
de acces, sunt capabile să filtreze protocoalele şi schimburile intereţele în ambele
direcţii. O altă soluţie vizează asigurarea unui control suplimentar la nivel aplicativ în
vederea autentificării utilizatorilor autorizaţi 20.

16
Angheloiu I., Securitatea ¿i protec¡ia informa¡iei în sistemele electronice de calcul, Editura Militarå,
Bucure¿ti, 1986, p. 206
17
Jerram P., Groupware bate la poarta Internet-ului, în Byte, nr. 5/1995, p. 9
18
Crahmaliuc A., Pro ¿i contra: asigurå Internet securitatea datelor?, în Computerworld, nr. 14/1995, p. 4
19
Cobb S., Firewall-uri în Internet, în Byte, nr. 4/1995, p. 129
20
Tråistaru M., Bariere de protec¡ie în jurul Internet-ului, în Computerworld, nr. 15/1995, p. 10

38
 O reţea de calculatoare este alcătuită dintr-un ansamblu de calculatoare şi alte
echipamente informatice, calculatoarele putând schimba informaţii între ele prin
intermediul unei reţele de transfer a datelor. Calculatoarele sau terminalele reţelei,
numite şi noduri, dispun de sisteme de programe care sunt capabile să aleagă rutele
optime pe care vor fi transferate datele pentru a ajunge de la calculatorul sursă la
calculatorul destinaţie. Dacă un utilizator aflat la un calculator al reţelei doreşte să
comunice cu un alt utilizator, el transferă în reţea un mesaj al cărui titlu indică
destinaţia. Mesajul este divizat, în cadrul reţelelor cu comutarea pachetelor, în pachete
de lungime fixă, care sunt transmise succesiv prin reţea. Pachetele ajung la destinaţie pe
rute diferite, în funcţie de încărcarea şi starea tehnică a legăturilor internodale. Se
apreciază că dacă asigurarea unui nivel satisfăcător de securitate fizică pentru
echipamentele din reţea este posibilă, de cele mai multe ori este imposibilă asigurarea
unei protecţii fizice corespunzătoare pentru liniile de comunicaţii, astfel că utilizatorii
neautorizaţi se pot conecta pe legăturile de date sau se pot interpune, cu ajutorul unui
calculator, între două noduri succesive ale reţelei. Aceste posibilităţi de atac asupra unei
reţele determină pierderi importante prin afectarea caracterului confidenţial al
comunicaţiilor, introducerea unor informaţii false sau denaturate, falsificarea identităţii
unor calculatoare sau utilizatori 21.
Modelul de securitate pentru o reţea de calculatoare este structurat pe mai multe
niveluri 22:
 securitatea fizică este nivelul cel mai exterior al modelului de securitate, care
trebuie să asigure prevenirea accesului la echipamente şi date; este comună tuturor
sistemelor electronice de calcul, distribuite sau nu;
 niveluri logice de securitate sunt destinate asigurării controlului accesului la
resursele şi serviciile sistemului şi se împart în:
 niveluri de securitate a accesului, care, la rândul lor, sunt:
 nivelul de acces la sistem care determină dacă şi când reţeaua este accesibilă
utilizatorilor; la acest nivel se realizează gestiunea accesului şi se stabilesc măsuri de
protecţie la conectare (deconectarea forţată, interzicerea lucrului în afara orelor de
program, limitarea lucrului la unele staţii etc.);
 nivelul de acces la cont, care se referă la identificarea utilizatorilor după numele
de utilizator asignate şi autentificarea lor prin parola introdusă;
 nivelul drepturilor de acces, care individualizează pe fiecare utilizator sau pe
grupuri de utilizatori, drepturile pe care le au aceştia (citire, scriere, ştergere, vizualizare
etc.).
 niveluri de securitate a serviciilor, care controlează accesul la serviciile
sistemului, cum ar fi fire de aşteptare, echipamentele de intrare/ieşire, gestiunea
serverului şi pot fi individualizate astfel:
 nivelul de control al serviciilor, care este responsabil cu funcţiile de avertizare şi
de raportare a stării serviciilor;
 nivelul de drepturi la servicii, care determină cum poate folosi un anumit
utilizator un servici (de exemplu, drepturile unui operator asupra unei imprimante).
Se apreciază că singura modalitate prin care pot fi transmise date confidenţiale pe
canalele de comunicaţii constă în utilizarea unor proceduri de criptare a datelor.
Cifrarea propriu-zisă a datelor care se transmit în reţea se poate realiza fie prin
dispozitive hardware speciale, fie prin programe capabile să efectueze transformări
criptografice dependente de cheie. Algoritmii utilizaţi fac parte din categoria celor
computaţionali, putând fi simetrici şi asimetrici. Metodele de criptare cele mai utilizate

21
Angheloiu I., op. cit., p. 207
22
Patriciu V., Criptografia ¿i securitatea re¡elelor de calculatoare, Editura Tehnicå, Bucure¿ti, 1994, pp. 26-
28

39
se sprijină pe metoda DES sau, mai recent, pe utilizarea algoritmilor cu chei publice
(vezi paragraful dedicat criptografiei).
Canalele de comunicaţii, din punct de vedere al securităţii, pot fi împărţite în patru
categorii:
 canale de comunicaţii normale, fără cerinţe de protecţie a datelor;
 canale de comunicaţii private, pentru transmiterea de date confidenţiale, care nu
utilizează metode de autentificare a utilizatorilor;
 canale de comunicaţii cu semnătură, care asigură autentificarea utilizatorului
care transmite mesajul şi a mesajului transmis;
 canale de comunicaţii sigure, în care există certitudinea că atât utilizatorii, cât şi
mesajele sunt autentice.
Într-o reţea, protocolul de comunicaţii este cel prin care este asigurată disciplina
asupra transmiterii datelor prin reţea, disciplină care să permită controlul traficului,
atât în intensitate, cât şi în direcţie. Alegerea unui anumit protocol are o influenţă
deosebită asupra flexibilităţii, utilităţii, funcţionalităţii şi performanţelor reţelei.
Facilităţile de cifrare au rolul esenţial de a produce o mulţime de canale logice protejate
pe acelaşi canal fizic; gestiunea acestor canale logice revine protocolului de cifrare ales.
Se preferă soluţia unui protocol general care poate fi adăugat la software-ul existent al
reţelei, perturbând cât mai puţin posibil mecanismul de transmisie.
Pornind de la împărţirea atacurilor în active şi pasive, principalele servicii de
securitate pentru subsistemul de comunicaţii sunt 23:
 servicii de securitate împotriva atacurilor pasive:
 confidenţialitatea mesajelor;
 prevenirea analizei traficului;
 dublă protecţie prin canal sublimat;
 pseudonime digitale;
 servicii de securitate împotriva atacurilor active:
 integritatea secvenţei de mesaje;
 continuitatea comunicaţiei;
 autentificarea asocierilor.
Criptografia oferă soluţii în asigurarea siguranţei, protecţiei şi autenticităţii datelor
memorate sau transmise între calculatoare 24. Criptarea datelor/informaţiilor constă în
transformarea informaţiilor care trebuie protejate, astfel încât să nu poată fi descifrate
decât de persoanele care sunt autorizate să le utilizeze. Este considerată de specialişti
cea mai sigură metodă de protecţie împotriva furtului de informaţii, în special pentru
cele care sunt transmise la distanţe mari, prin liniile de comunicaţii. Principalele direcţii
de acţiune în acest domeniu constau în 25:
 alegerea unui sistem raţional de secretizare sigură a informaţiei protejate;
 fundamentarea căilor de realizare a sistemelor secrete în complexe
automatizate;
 elaborarea regulilor de utilizare a metodelor criptografice în procesul
funcţionării sistemelor automatizate;
 aprecierea eficienţei şi validarea protecţiei prin criptare.
Utilizată multă vreme numai pentru asigurarea confidenţialităţii comunicaţiilor în
domeniul militar şi diplomatic, criptografia a cunoscut în ultimele două decenii progrese
spectaculoase. Aplicaţiile cele mai multe sunt în activitatea instituţiilor financiar-
bancare. Două aspecte au influenţat această dezvoltare a criptografiei:
 dezvoltarea reţelelor de calculatoare, care a fost însoţită de cerinţele susţinute
ale utilizatorilor pentru păstrarea secretului comunicaţiilor prin poşta electronică şi a

23
Patriciu V., op. cit., pp. 130-132
24
Patriciu V., Securitatea informaticå, în PC World, nr. 7-8/1995, p. 17
25
Angheloiu I., op. cit., p. 17

40
transferurilor electronice de fonduri. Aceste cerinţe au putut fi satisfăcute datorită
extinderii gamei de instrumente utilizate în execuţia algoritmilor de cifrare. A devenit
posibilă folosirea unor chei de dimensiuni mai mari, care sporesc rezistenţa la atacurile
criptoanalitice (când dimensiunea cheii secrete este destul de mare şi aceasta este
schimbată frecvent, devine practic imposibilă spargerea cifrului);
 adoptarea unui principiu diferit de cel al cifrării simetrice, care este meritul
cercetătorilor americani Whitfield Diffie şi Martin Hellman de la Universitatea
Standford, California. Ei au pus bazele criptografiei asimetrice cu chei publice. Aceasta
foloseşte, în locul unei singure chei secrete, două chei diferite: una pentru cifrare şi una
pentru descifrare. Prima dintre ele este publică, putând fi utilizată de oricine doreşte să
transmită un mesaj cifrat, a doua fiind doar în posesia destinatarului, pentru a descifra
mesajul. Sistemul are avantaje evidente, eliminând nevoia de "trecere", pe canale
nesigure, a cheii unice de la transmiţător la destinatar şi introducând posibilitatea de
semnătură electronică şi de autentificare. La nivelul guvernului S.U.A. a fost adoptat un
standard de semnătură digitală bazat pe conceptul de cheie publică.
Descoperirea sistemului de criptare cu două chei a determinat dezvoltarea în
mediul academic american a unei mişcări a criptografilor profesionişti independenţi. În
1977, trei membri ai acestei mişcări au creat un set de algoritmi în care au implemetat
schema Diffie-Hellman şi au pus bazele companiei RSA Data Security 26. Noua companie
oferea o soluţie pentru protecţia comunicaţiilor mai bună decât cea oferită de alternativa
guvernamentală DES, care utiliza o cheie unică. Printre actualii clienţi ai RSA se numără
cunoscutele companii Apple, Microsoft, Motorola, Visa International, Mastercard
International.
Incidentele produse în anii '80 pe Internet au determinat înfiinţarea unor echipe
de consultanţă specializate şi mărirea fondurilor alocate de companiile americane
pentru securitatea sistemelor informatice.
Standardul american de cifrare a datelor este DES (Data Encryption System),
produs în 1975 în laboratoarele de cercetări ale IBM şi larg utilizat de guvernul american
şi diferite companii internaţionale. Se spune că standardul a rezistat evaluării realizate
de "spărgătorii de cifruri" de la U.S. National Security Agency (NSA), dar nu se ştie cu
certitudine dacă cei de la NSA sau de la vreo altă organizaţie au reuşit sau nu să spargă
sistemul de codificare. Pe de altă parte, experienţa a demonstrat că orice schemă
criptografică are o viaţă scurtă datorită progresului tehnologic care reduce securitatea
furnizată de aceasta.
NSA, creată în 1952, este agenţia de securitate pentru comunicaţii a guvernului
S.U.A. şi este mandatată să decodifice toate comunicaţiile străine în interesul S.U.A.
Agenţia dispune de resurse materiale şi financiare uriaşe; are cei mai mulţi
matematicieni din lume şi este cel mai mare cumpărător de calculatoare din lume. Toate
acestea fac ca NSA să aibă mulţi ani avans înaintea cercetării publice din domeniul
criptografiei şi, fără îndoială, ea poate sparge multe din sistemele criptografice folosite
la ora actuală 27. NSA şi-a folosit adesea puterea pentru a încetini răspândirea
informaţiilor din domeniul criptografiei date publicităţii, în scopul împiedicării apariţiei
de metode de criptare prea puternice, pe care să nu le poată sparge.
Este deci evident că cea mai mare parte a cercetării criptologice se desfăşoară în
spatele uşilor închise, iar numărul persoanelor angajate în aceste cercetări depăşeşte de
departe numărul celor angajaţi în cercetarea criptologică publică 28. De fapt, sunt doar 10
ani de când a început cercetarea deschisă în domeniul criptologiei, iar conflictele între
aceste două grupuri vor continua să existe.

26
Rådoiu D., Noua ordine informa¡ionalå, în Byte, nr. 3/1995, p. 92
27
Rådoiu D., NSA sau fa¡a secretå a cercetårii criptografice, în Byte, nr. 3/1995, p. 93
28
Massey J., An introduction to contemporary cryptology, IEEE proceedings, 76(5), 1988, p. 7

41
 Semnătura digitală reprezintă un atribut al unui utilizator sau a unui proces, fiind
folosită pentru recunoaşterea acestuia 29. Semnătura digitală rezolvă problema
autentificării emiţătorului unui mesaj şi problema autentificării datelor. Receptorul
mesajului poate valida semnătura emiţătorului şi nu o poate falsifica. Semnătura
digitală certifică originalitatea documentului şi a conţinutului lui. În sistemele bazate pe
cifrurile cu chei publice, emiţătorul unui mesaj va folosi cheia sa secretă pentru crearea
semnăturii, iar receptorul mesajului poate verifica originea autentică a acestuia şi
integritatea cu ajutorul cheii publice.
În domeniul semnăturii digitale şi al confidenţialităţii cu chei publice, sistemul de
cifrare RSA (numit astfel după numele autorilor: Rivest, Shamir, Adleman) reprezintă
standardul de bază. RSA este cea mai sigură metodă de cifrare şi autentificare
disponibilă comercial, constituită atât din programe, cât şi din dispozitive hardware
speciale. O serie de firme producătoare de programe şi echipamente (DEC, Novell,
Motorola), precum şi companii mari cu alte obiecte de activitate, folosesc acest algoritm
pentru protejarea şi autentificarea datelor, parolelor, fişierelor, documentelor memorate
sau transmise prin reţele. În sistemul de operare pentru reţele locale Netware al firmei
Novell se foloseşte curent sistemul RSA în mecanismele de autentificare care permit
utilizatorilor să acceadă la un server al reţelei.

Practica şi experienţa acumulată furnizează câteva principii pentru aplicarea

mecanismului de protecţie proiectat:
 efectul maxim este obţinut atunci când toate mijloacele, metodele şi măsurile
sunt integrate într-un mecanism unic, care trebuie proiectat în paralel cu proiectarea
sistemului informatic;
 funcţionării mecanismului de protecţie trebuie să-i fie acordată aceiaşi
importanţă ca şi celorlalte module de bază ale sistemului informatic;
 trebuie să se asigure permanenţa controlului funcţionării mecanismului de
protecţie.

2.2 Securitatea fizică a sistemelor informatice

Obiectivul securităţii fizice a sistemului informatic este împiedicarea

pătrunderii în sistem a intruşilor, transmiţându-le un mesaj de avertizare, iar
atunci când aceasta nu este posibilă, barierele create trebuie să le stopeze sau să
le întârzie atacul. Pe lângă atacurile deliberate, securitatea fizică trebuie să
asigure şi protecţia împotriva dezastrelor naturale. Mijloacele fizice de protecţie
au fost, cu siguranţă primele utilizate în asigurarea securităţii şi sunt destinate
apărării integrităţii echipamentelor şi datelor. Ele au şi în prezent un rol
important în ansamblul măsurilor de protecţie adoptate, constituind primul
aliniament de apărare al sistemului de securitate. Totuşi, indiferent câte măsuri
s-ar lua, nu există o securitate perfectă, sistemul rămânând sub incidenţa unei
doze de risc. Important este ca această doză să fie corect estimată. Eficienţa
componentelor sistemului securităţii fizice este apreciată pe baza următoarelor
criterii 30:
 timpul sau costul necesar intruşilor să le anuleze;
 viteza cu care identifică iniţiativa de atac sau intruşii existenţi în sistem;
 precizia cu care este identificat un intrus;
 neinterferarea cu alte măsuri de protecţie;

29
Patriciu V., op. cit., p. 45
30
Oprea D., op. cit.

42
  transparenţa faţă de persoanele autorizate şi neafectarea funcţionării
normale a sistemului;
 timpul necesar repunerii în funcţiune a sistemului după un incident;
 impactul asupra disciplinei de lucru a personalului.
Se consideră că un sistem de securitate fizică este eficient atunci când este
proiectat şi implementat odată cu proiectarea şi implementarea sistemului
informatic pe care se grefează şi nu ulterior, costul şi eficienţa fiind net diferite.
Sistemul de securitate fizică trebuie să discearnă care sunt persoanele
autorizate, cu acces în sistem şi la ce nivel este permis accesul. Identificarea poate
fi făcută de corpul de pază, de alte persoane care se ocupă de controlul accesului
sau de sisteme automate. Legitimarea persoanelor care doresc acces se poate
realiza prin una din următoarele metode 31:
 identificarea, care stabileşte cine este persoana pe cale vizuală, prin
semnătură sau alte modalităţi;
 parolele, care de asemenea stabilesc identitatea persoanei;
 cartelele speciale sau cheile de acces, care se găsesc în posesia celor
autorizaţi să acceseze sistemul.
Măsurile prin care este asigurată securitatea fizică a unui sistem informatic
pot fi sistematizate astfel:
 controlul accesului (proceduri care să excludă efectiv persoanele
neautorizate din centrele de prelucrare automată a datelor);
 asigurarea securităţii echipamentelor din sistem (calculatoare şi
echipamente periferice);
 protecţia împotriva dezastrelor naturale, a incendiilor sau inundaţiilor;
 protecţia bibliotecii de suporturi de date.
Metodele de asigurare a securităţii fizice includ: amplasarea centrului de
prelucrare a datelor într-o zonă care poate fi protejată, utilizarea unor dispozitive
de încuiere a uşilor, controlul intrărilor şi ieşirilor în sala calculatoarelor,
utilizarea dispozitivelor de identificare prin voce, amprente a persoanelor care
accesează sistemul.

Controlul accesului în securitatea fizică

Înseamnă o verificare şi o evidenţă riguroasă a persoanelor care intră şi zona
centrului de prelucrare automată a datelor şi se concretizează, în mod obişnuit, în uşi
încuiate şi/sau păzite. Prin intermediul măsurilor de securitate se stabileşte care sunt
persoanele autorizate, care sunt vizitatorii şi ce drepturi au şi care sunt persoanele
neautorizate. Uşile sunt descuiate de un agent al corpului de pază sau prin intermediul
unor chei sau cartele magnetice aflate în posesia persoanelor autorizate sau prin
activarea unui dispozitiv electronic de încuiere cu ajutorul unei parole. Pericolul pe care
îl prezintă cartelele sau cheile constă în posibilitatea pierderii sau sustragerii şi utilizării
lor de către persoane neautorizate. Există cum am mai arătat şi dispozitive electronice
care identifică o persoană după voce sau după amprente sau chiar după urmele buzelor!
ªi probabil că tehnologia nu se va opri aici.
În legătură cu controlul accesului există câteva principii generale 32. În primul rând,
simpla posesie a unui element de control nu trebuie să fie automat şi proba accesului
privilegiat la informaţiile importante, acesta putând fi dobândit la fel de bine ilegal sau
putând fi contrafăcut. Un alt principiu stipulează că atunci când valorile patrimoniale
care trebuie protejate sunt deosebit de importante, şi mecanismele de protecţie trebuie
31
Oprea D., op. cit.
32
Oprea D., op. cit.

43
să fie la fel de bine concepute, iar persoanele cu drept de acces să fie cât mai puţine.
Pentru informaţiile care sunt catalogate secrete trebuie aplicat principiul conform căruia
niciunei persoane nu trebuie să i se garanteze accesul permanent, gestiunea sau
cunoaşterea tuturor informaţiilor secrete, numai pentru că deţine o poziţie în
conducerea de vârf a organizaţiei.
Se recomandă ca fiecare centru de prelucrare automată a datelor care are mai mult
de 25 de angajaţi să utilizeze sistemul ecusoanelor, ca măsură suplimentară de protecţie.
Încăperile care nu dispun de uşi care să poată fi încuiate trebuie să aibă intrările
supravegheate de către un agent de pază, direct sau prin sistemul de televiziune cu
circuit închis. Pentru vizitatori se vor amenaja camere separate, izolate de zona
centrului de prelucrare a datelor.
Obiectivul măsurilor de control al accesului este de a limita accesul la
documentaţia programelor, la programele de aplicaţii şi la fişierele de date, precum şi la
echipamentele din centrele de calcul 33.
Accesul la documentaţia programelor trebuie limitat la acele persoane care au
sarcini legate de aceasta şi numai pe perioada exercitării acestor sarcini. De exemplu, un
programator are acces la partea de documentaţie corespunzătoare programului la care
lucrează şi numai atât cât lucrează la programul respectiv. În afara sarcinilor de servici
nimeni nu are acces la documentaţie, aceasta fiind o resursă valoroasă a sistemului,
aflată în răspunderea unui responsabil din compartimentul de prelucrare automată a
datelor.
Accesul la fişierele de date şi programe este asigurat prin intermediul
bibliotecarului, în custodia căruia se găsesc acestea (vezi paragraful dedicat protecţiei
bibliotecilor de suporturi).
Accesul la echipamente este, de regulă, limitat la persoanele care sunt autorizate să
opereze în sistem. Riscurile modificării neautorizate sau a copierilor ilegale sunt foarte
mari. Limitarea accesului numai la programul strict de lucru şi numai la personalul cu
sarcini clare poate asigura un grad sporit de securitate a echipamentelor.

Protecţia fizică a centrelor de prelucrare automată a datelor

Centrele de calcul trebuie amplasate în clădiri special construite, preferabil pe
terenuri virane, cu urmărirea următoarelor aspecte: locul de amplasare să fie pe un
teren solid, neafectat de cutremure, vibraţii, câmpuri electromagnetice; nivelul solului
faţă de cotele de inundaţie să fie mult mai ridicat; să existe un regim sigur de
funcţionare a curentului electric; să fie asigurată intervenţia promptă în caz de nevoie a
poliţiei, pompierilor sau staţiei de salvare.
La proiectarea clădirilor care vor adăposti centrul de prelucrare automată a datelor
se vor urmări următoarele aspecte:
 construcţia să fie ridicată din materiale neinflamabile, sala calculatorului central
să nu aibă ferestre, iar pereţii să fie izolaţi fonic şi termic şi să nu conţină lemn sau
sticlă; sala calculatorului trebuie asigurată cu aer condiţionat, cu dispozitive de control
al temperaturii şi umidităţii şi sisteme de detectare a fumului;
 numărul de intrări şi ieşiri trebuie să fie minim, cu respectarea normelor de
prevenire a incendiilor; intrarea principală trebuie să dispună de o zonă tampon, în care
să aibă loc procedurile de control şi identificare pentru acordarea accesului;
 clădirile trebuie prevăzute cu sisteme de alarmă în caz de incendiu sau spargere
amplasate în zona intrării principale şi trebuie supravegheate, dacă este posibil, prin
sistem de televiziune cu circuit închis;

33
O'Hicks J., Management Information Systems. An User Perspective, West Publishing Co., St. Paul, 1987,
p. 491

44
  sistemele de asigurare a serviciilor de furnizare a apei, gazului metan, energiei
electrice şi facilităţile de comunicaţii trebuiesc amplasate în subteran, iar căile de acces
la acestea trebuiesc blocate şi supravegheate;
 se recomandă introducerea unor sisteme de controlare a prafului, în special în
sala calculatorului, evitarea parchetării în favoarea pardoselilor electrostatice din
policlorură de vinil, renunţarea la perdele şi covoare.

Securitatea echipamentelor
Fiind o componentă de bază a sistemului informatic, partea de echipamente
trebuie să fie tratată cu multă atenţie din punctul de vedere al securităţii. Cea mai sigură
cale de distrugere sau întrerupere a bunei funcţionări a sistemului electronic de calcul
este de natură fizică, centrele de calcul putând fi ţinta unor acte de vandalism, a
dezastrelor naturale, a sabotajelor. Un intrus specialist poate accesa şi modifica
elemente din configuraţia calculatorului, blocând astfel mijloacele de asigurare a
securităţii. Pot fi modificate circuitele electronice, pot fi blocate sau distruse
componentele cu rol de protecţie, pot fi citite din memorie parolele sistemului etc. Un
intrus nespecialist, dar rău intenţionat, sau un angajat concediat, poate pur şi simplu să
distrugă prin lovire sau trântire echipamentele electronice.
Între măsurile care pot contribui la securitatea echipamentelor:
 încuierea birourilor în care sunt echipamente;
 dispersarea, pe cât posibil, a echipamentelor, mai ales atunci când se lucrează cu
informaţii importante;
 verificarea periodică a elementelor din configuraţia fizică a sistemului care sunt
deosebit de importante, cum ar fi placa cu circuite; eventual, pot fi fotografiate la
momentul verificării pentru a se determina ulterior eventualele modificări.
Echipamentele sunt predispuse la căderi funcţionale datorită mai multor motive:
defecţiuni din fabricaţie (aceasta mai ales la echipamentele fără certificat de origine sau
de calitate), instalare greşită, defectare în timpul transportului, căderi de tensiune,
malfuncţiuni ale circuitelor electronice, erori ascunse ale programelor, erori datorate
operatorilor. Cea mai gravă este căderea în timpul exploatării, cu efecte grave, deoarece
devin inutilizabile atât echipamentele, cât şi datele aflate în memoria de lucru. Blocarea
sistemului electronic de calcul poate fi şi urmare a intervenţiei unor specialişti intruşi
sau a celor care se ocupă cu întreţinerea sistemului (de regulă externi). Toleranţa la
cădere/defecte este o calitate importantă pe care trebuie să o aibă calculatoarele
achiziţionate, aceasta contribuind la prevenirea pierderii sau denaturării datelor 34.
Unele componente ale calculatorului sunt astfel construite încât să-şi exercite unele
funcţii în formă de dublă (de exemplu, metoda înregistrării "în oglindă" pe disc, prin
care datele sunt scrise în acelaşi timp pe două discuri, pentru a preveni pierderile de
date dacă s-ar defecta capetele de citire/scriere ale unuia dintre ele). Sunt calculatoare
care au două sau mai multe unităţi centrale de prelucrare, care prelucrează în acelaşi
timp aceleaşi date şi programe, iar în situaţia defectării uneia dintre ele, funcţionarea
normală sau minimală va fi asigurată de altă unitate centrală, până la repunerea în
funcţiune a celei defecte.
Întreţinerea echipamentelor ridică mai multe probleme vizavi de siguranţa,
securitatea şi disponibilitatea datelor din sistem. Specialiştii ce asigură întreţinerea şi
efectuează reparaţiile trebuie supravegheaţi îndeaproape. Activitatea de întreţinere
trebuie să aibă un plan de realizare, în concordanţă cu planul de funcţionare al
întregului sistem, aprobat de conducerea departamentului. Orice activitate care nu se
încadrează în cele planificate trebuie aprobată în scris de către conducere (de exemplu,
efectuarea unor operaţiuni înainte de termenele planificate). Se poate deschide un

34
Oprea D., Securitatea fizicå a sistemelor de prelucrare automatå a datelor (IV), în Tribuna Economicå, nr.
42/1995, p. 23

45
registru de întreţinere care să consemneze toate detaliile referitoare la operaţiunile
efectuate: data şi ora, numele persoanelor implicate, motivul, acţiunile efectuate,
inclusiv componentele care au fost reparate, adăugate sau înlocuite. Fiecare înregistrare
va fi contrasemnată de responsabilul cu securitatea echipamentelor. Este foarte
important ca specialiştii care realizează întreţinerea sau reparaţiile să nu aibă acces la
datele speciale ale întreprinderii sau la parolele acestora. De asemenea, dacă specialiştii
solicită scoaterea din întreprindere a unor componente sau a documentaţiei sistemului,
aceasta trebuie aprobată de conducere şi trebuie să se asigure că acestea nu conţin date
importante ale întreprinderii.
Calculatoarele electronice îşi pot verifica singure starea componentelor lor prin
autodiagnoză 35, descoperind astfel dacă ceva nu funcţionează normal. Autodiagnoza
este utilă pentru:
 confirmarea cu precizie a identităţii echipamentelor, suporturilor de date şi
utilizatorilor;
 asigurarea că utilizatorii folosesc doar echipamentele, programele şi datele la
care ei au drept de acces şi preîntâmpinarea accesului neautorizat;
 asigurarea că orice tentativă de acces sau utilizare neautorizată a
echipamentelor, datelor sau programelor este blocată şi este lansată o alarmă în sistem.
Unii producători de calculatoare asigură facilităţi de diagnoză de la distanţă a
stării sistemelor electronice de calcul, ceea ce în mod normal se realizează de către
echipele de service, pentru a se asigura că totul funcţionează normal şi nu se conturează
posibilitatea apariţiei unor defecţiuni. Este o modalitate mai avantajoasă pentru
întreprindere din punctul de vedere al costurilor, dar, sub aspectul securităţii, se oferă
şanse în plus intruşilor de a accesa elementele din configuraţie.
Protecţia echipamentelor împotriva pericolelor descrise are un rol vital în buna
funcţionare a sistemului. Aceasta este asigurată, în primul rând, prin dispozitive pentru
asigurarea securităţii, incluse în componenţa fiecărui echipament de către producători.

Protecţia împotriva incendiilor, inundaţiilor şi dezastrelor naturale

Este uneori tratată neglijent de conducerea care nu este conştientă de faptul că
incendiul este cea mai dură ameninţare pentru un sistem electronic de calcul. Ca orice
maşină electonică, şi calculatorul poate lua foc din cauza unui scurtcircuit. Extinctoarele
se găsesc în orice clădire, dar puţini ştiu că ele pot cauza mai mult rău decât incendiul.
În această idee, pentru a evita pierderea completă a datelor în cazul incendiilor, trebuie
să existe o procedură care să prevadă salvarea periodică a datelor, sub forma copiilor de
siguranţă şi, mai ales, stocarea acestora într-o locaţie diferită de sala calculatorului
central. O modalitate de ultimă oră de protecţie a clădirilor care adăpostesc centrele de
prelucrare automată a datelor este utilizarea unui gaz eficient în stingerea incendiilor
(numit halon), stocat în permanenţă, care este eliberat de sistemul de detectare a
fumului în caz de producere a unui incendiu 36. Dezavantajul acestei metode este costul
foarte ridicat al gazului care, spre deosebire de alte astfel de substanţe care pot fi
utilizate, nu este otrăvitor pentru oameni.
Împotriva celorlalte dezastre naturale (inundaţii, cutremure), măsurile de
protecţie trebuie avute în vedere încă din faza de proiectare a clădirilor centrului de
calcul şi se referă în principal la alegerea locului de amplasare a acestora (să fie la un
nivel superior faţă de cota de inundaţii şi pe un teren solid).
Este evident că nu se poate asigura o protecţie completă împotriva dezastrelor
naturale, dar se poate reduce riscul producerii lor. Utilă în aceste cazuri este şi

35
Oprea D., Securitatea fizicå a sistemelor de prelucrare automatå a datelor (III), în Tribuna Economicå, nr.
41/1995, p. 25
36
O'Hicks J., op. cit., p. 516

46
asigurarea sistemului, care compensează pierderile în cazul producerii acestor
fenomene.

Protecţia bibliotecii de suporturi de date

Toate suporturile care conţin date sau informaţii rezultate din prelucrarea
automată a datelor (discuri magnetice, benzi magnetice, discuri optice etc.) trebuie să fie
catalogate şi să aibă un tratament similar cu al documentelor ce conţin aceleaşi date sau
informaţii în condiţiile prelucrării manuale. Toate materialele intermediare trebuie să
fie considerate materiale auxiliare şi să fie clasificate în funcţie de informaţiile pe care le
conţin. ªtergerea informaţiilor, mai ales a celor cu un grad ridicat de importanţă, este o
operaţiune care nu trebuie lăsată la voia întâmplării. Suporturile magnetice de date, care
posedă caracteristici de remanenţă după ştergere trebuie tratate cu deosebită atenţie
începând cu faza aprobării ştergerii lor.
Există două tipuri de biblioteci de date:
 biblioteca manuală, sub forma unei camere izolate în care sunt păstrate benzile,
discurile magnetice sau alte medii de stocare a datelor. Aici nu au acces programatorii,
operatorii sau personalul de întreţinere a sistemului. Bibliotecarul are un control fizic
asupra tuturor fişierelor de date, înregistrate într-un registru care include, pentru
fiecare fişier, următoarele informaţii:
data creării;
 numărul de serie al suportului pe care sunt stocate datele;
 data până la care fişierul va fi păstrat / la care va fi şters;
 toate persoanele care au solicitat fişierul (data, ora, locaţia);
 localizarea copiei de siguranţă.
Se păstrează, de asemenea, o evidenţă pe suporturi, incluzând: numărul de serie al
fiecărui suport, numele tuturor fişierelor logice conţinute. Bibilotecarul va elibera copii
ale fişierelor solicitate de o persoană, numai pe baza autorizaţiei scrise, şi o va consemna
în registrul suporturilor de date;
 biblioteca automatizată (computerizată) - în multe sisteme informatice
moderne, datele şi programele sunt stocate on-line, iar accesul se realizează prin
terminale. Controlul este întreţinut printr-un sistem de parole, prin codificarea datelor
sau prin tabele de autorizare a accesului de la terminale 37.
 Sistemul de parole cere utilizatorului să introducă o parolă pentru a putea accesa
un anumit nivel al bibliotecii. Cel mai utilizat în bibliotecile de date este sistemul de
parole pe trei niveluri. Primul nivel este cel de deschidere a unei sesiuni de lucru prin
introducerea unui cod de identificare, acesta fiind unic pentru fiecare utilizator. La
nivelul doi este solicitată parola pentru accesul în sistem, iar la nivelul trei, pentru a
accesa un anumit fişier, utilizatorului îi este solicitată, după introducerea numelui
fişierului dorit, o parolă. Parola poate fi unică sau pot exista două parole: una pentru
citirea conţinutului fişierului şi alta pentru modificarea lui. La fişierele ce conţin date
importante se recomandă schimbarea periodică a parolelor. Unele sisteme au şi
facilitatea de a memora fiecare parolă incorectă care a fost introdusă, terminalul de la
care a fost lansată cererea, codul de identificare al persoanei solicitante, ora lansării. În
felul acesta pot fi cercetate cazurile în care au fost introduse parole incorecte, pentru a fi
izolate eventualele încercări de acces neautorizat în sistem.
 Tabelele de autorizare a accesului de la terminal afişează fişierele la care este
permis accesul de la fiecare terminal, modalitatea de acces (citire, scriere) şi, eventual,
intervalul de timp sau perioada din zi în care este posibilă conectarea.
 Codificarea datelor se utilizează pentru datele cu caracter secret sau care sunt
foarte importante pentru întreprindere. Ele sunt stocate pe suporturi într-o formă
codificată, prin intermediul unor programe care asigură codarea/decodarea datelor.

37
O'Hicks J., op. cit., p. 492

47
 În cazul bibliotecilor computerizate, oricine poate avea acces on-line la fişierele de
date prin intermediul liniilor telefonice, de oriunde în lume, dacă: cunoaşte numărul de
telefon pentru acces; are un cod de identificare valid şi cunoaşte parola. Dar, chiar dacă
nu posedă toate aceste elemente, un intrus hotărât poate, prin intermediul unui
program bazat pe o schemă de încercări repetate, să acceseze un sistem informatic şi,
implicit fişierele sale de date. Problema securităţii sistemelor este mai acută ca oricând.

2.3 Rolul personalului în securitatea sistemelor informatice

Un studiu recent publicat de Universitatea din Michigan arată că aproape toate

corporaţiile importante din S.U.A. au fost, în ultimii 5 ani, ţinta atacurilor şi fraudelor
pe calculator, multe din ele executate, în primul rând şi în mod repetat, de personalul
propriu al organizaţiilor respective 38. În ciuda acestor statistici alarmante, un sondaj al
firmei Datapro Information Services Group arată că 40% dintre companiile americane
nu aplică o politică de securitate a sistemului informatic. Studiul arată că 90% din
problemele ridicate de securitatea informatică sunt cauzate de cei din interiorul
firmelor. Nici o tehnologie, oricât de avansată, nu poate înlocui lipsa unei bune
organizări, dar o conducere competentă poate suplini un gol tehnologic. Există tendinţa
de a căuta soluţii hardware şi software fără asigurarea vreunei protecţii şi dacă pagubele
cele mai mari ţi le produc cei de aceiaşi parte a zidului cu tine, degeaba măreşti
înălţimea zidului ...
Selectarea şi pregătirea personalului
Succesul unui sistem informatic depinde, în ultimă instanţă, de aptitudinile şi
nivelul de pregătire al personalului care îl deserveşte. Compatibilitatea caracterului şi
pregătirii fiecărei persoane cu cerinţele funcţiei sale în sistem este esenţială, mai ales
pentru poziţiile care sunt dificil de controlat şi oferă un cadru favorabil producerii
fraudelor. Este cazul funcţiei de programator care, prin sarcinile care-i revin, are acces
la programele de aplicaţii, ca şi la programele de securitate, şi dispune şi de cunoştinţele
necesare pentru a le modifica potrivit intereselor sale. Primul caz de furt informatizat
din lume care a fost descoperit (că cine ştie câte nu au fost înaintea acestuia !) se
bazează tocmai pe acest aspect, al muncii programatorilor. În 1966, un programator
care lucra pentru o bancă, undeva în S.U.A., a emis un cec fără acoperire. Cu
meticulozitate, el a modificat programul de înregistrare a cecurilor să ignore cei 300 de
dolari fără acoperire, cu intenţia de a pune banii înapoi peste trei zile. Dar, constatând
cu câtă uşurinţă a reuşit să ascundă "împrumutul" său, a renunţat la acest gând şi, peste
patru luni, a mărit suma împrumutată la 350 de dolari. El a fost depistat atunci când
calculatorul s-a defectat, dobândind astfel onoarea de a deveni primul hoţ pe calculator
din lume 39. Iată doar un exemplu care demonstrează importanţa caracterului persoanei
şi nu doar a aptitudinilor şi pregătirii foarte bune.
Selecţia personalului la angajare presupune solicitarea tuturor actelor, inclusiv a
unor referinţe de la vechiul loc de muncă sau de la o persoană care să reprezinte o
instituţie credibilă. De asemenea, multe elemente edificatoare (descrierea locului de
muncă anterior, a funcţiei deţinute, evoluţia profesională, motivaţia schimbării locului
de muncă etc.) se obţin prin interviu. Sunt importante şi aspectele legate de
competenţă, punctualitate şi absenteism, starea sănătăţii, cauza părăsirii vechiului loc
de muncă, situaţia financiară etc. Ar fi importantă şi verificarea existenţei la vechiul loc
de muncă a unor probleme legate de securitatea sistemului informatic. După angajare,
un aspect care nu trebuie neglijat îl reprezintă discuţiile cu salariaţii, deoarece s-a
constatat că angajaţii care nu sunt mulţumiţi de salarii sau de condiţiile de muncă
recurg adeseori la acte distructive sau la fraude.

38
Crahmaliuc A., Rata delicven¡ei informatice în ofensivå, în Computerworld, nr. 22/1995, p. 8
39
Fînaru L., Câte ceva despre furtul informatizat, în Tribuna Economicå, nr. 9/1993, p. 9

48
 Principiile securităţii sistemului informatic pe linia personalului sunt 40:
 principiul "nu trebuie să ştie" face ca posesia sau cunoaşterea informaţiilor să
fie limitată şi înlesnită doar pentru cei care au autorizarea de a le şti. Statutul deosebit al
unei persoane în întreprindere nu-i conferă şi drepturi nelimitate de cunoaştere a
informaţiilor speciale;
 principiul "nu trebuie să meargă" limitează accesul personalului în diferite
zone de lucru ale centrelor de calcul;
 principiul "cele două persoane" preîntâmpină posibilitatea ca o singură
persoană să comită acte ilegale în sistem. Chiar dacă o persoană răspunde de exercitarea
unor atribuţii de serviciu, ea va executa acţiunile speciale numai în prezenţa unei alte
persoane autorizate. Cele două persoane vor fi schimbate cât mai des, pentru a
preîntâmpina crearea de înţelegeri între ele;
 principiul schimbării periodice a obligaţiilor de serviciu presupune ca o
persoană să nu exercite o perioadă prea lungă de timp aceiaşi sarcină de
serviciu;Atribuirea responsabilităţilor pe linia securităţii sistemului informatic se va face
ţinând cont de încadrarea personalului în una din următoarele categorii 41:
 angajaţi "neverificabili" - sunt cei care au un statut nu foarte clar şi care nu pot
fi verificaţi în detaliu, motiv pentru care nu li se poate acorda accesul la informaţiile
importante ale întreprinderii;
 angajaţi "fără dubii" - sunt persoanele care au trecut toate verificările şi li se pot
oferi anumite sarcini, cu acces la o parte din informaţiile importante;
 angajaţi "extrem de credibili" - sunt persoanele asupra cărora s-au executat
verificări complexe, inclusiv asupra familiei, şi care au dovedit o moralitate şi rezultate
excepţionale. Sunt considerate persoane de încredere şi li se poate facilita accesul la cele
mai importante informaţii ale întreprinderii.
Diviziunea funcţiunilor (sarcinilor) între persoane sau grupuri de persoane
distincte astfel încât o persoană să nu aibă controlul decât asupra unei operaţiuni,
minimizând şansele realizării unei fraude, este o condiţie esenţială într-un sistem
informatic. În absenţa unui control riguros, schimbarea programelor sau a fişierelor de
date este facilă şi nu lasă urme care să poată fi depistate. În primul rând, se impune
delimitarea clară a activităţii programatorilor de cea a operatorilor. Este necesar să se
asigure că programatorii nu au acces la fişierele de date, iar operatorii nu pot modifica
programele. De asemenea, operatorii nu trebuie să cunoască structura bazelor de date
decât în măsura în care le este necesar pentru a-şi exercita atribuţiile şi nu trebuie să
aibă acces la procedurile de control a intrărilor/ieşirilor. Programatorii vor fi "izolaţi" de
fişierele de date şi de terminale, ei vor utiliza copii ale fişierelor de date pentru a
modifica şi testa programele.
Un alt mod de a menţine controlul este rotirea personalului de la o funcţiune la
alta şi instituirea obligativităţii concediilor de odihnă. Dacă un angajat încearcă să
comită o fraudă, este posibil, prin aplicarea măsurii precizate, să nu aibă timpul necesar
să o realizeze sau aceasta să fie descoperită. Este recomandată mai ales la nivelul
operatorilor şi al funcţionarilor care realizează controlul intrărilor/ieşirilor.
Există mai multe perechi de funcţii pe linia prelucrării automate a datelor care
trebuie exercitate de persoane sau echipe distincte:
 operarea la calculator şi programarea;
 pregătirea datelor şi prelucrarea lor;
 operarea la calculator şi gestiunea suporturilor de stocare a datelor;
 recepţia materialelor importante şi transmiterea lor;
 scrierea programelor de aplicaţii şi scrierea programelor de sistem;
 scrierea programelor de aplicaţii şi administrarea bazelor de date;

40
Oprea D., Protec¡ia ¿i securitatea sistemelor informatice, note de curs
41
Oprea D., op. cit.

49
  proiectarea/modificarea programelor de securitate şi implementarea lor;
 controlul împuternicirilor de acces şi exercitarea oricărei alte funcţii.
Responsabilul pe linia securităţii sistemului informatic poate impune respectarea
unor norme interne care să instituie restricţii legate de sarcinile diferitelor categorii de
personal, măsuri pentru respectarea principiului de rotire a personalului şi de concedii
obligatorii etc. Este foarte importantă existenţa acestora sub formă de proceduri scrise,
practica demonstrând că absenţa lor îi determină pe angajaţi să ignore normele şi
regulile "nescrise".
Un alt aspect legat de securitate prin prisma factorului uman marchează
importanţa educării şi conştientizării personalului. Educaţia este principalul mijloc de
a schimba atitudinea oamenilor vizavi de securitate. Ei trebuie să înţeleagă că accesul
neautorizat, spre exemplu, chiar dacă nu este rezultatul unor intenţii de fraudă,
reprezintă o infracţiune. Întreprinderea trebuie să organizeze periodic cursuri de
pregătire şi informare a personalului asupra noilor tehnologii informaţionale, a noilor
măsuri legislative etc. De asemenea, se apreciază că implicarea nemijlocită a
personalului în proiectarea sistemului de securitate poate contribui la conştientizarea
acestuia. Astfel, personalul va înţelege că, în cele din urmă, cel care are adevărata
responsabilitate pentru securitate este factorul uman, şi nu programele de securitate sau
dispozitivele electronice.

50
 Bibliografie

A. Cărţi/volume
1. Angheloiu I., Securitatea şi protecţia informaţiilor în sistemele electronice de
calcul, Editura Militară, Bucureşti, 1986
2. Bodnar G., Hopwood William, Accounting Information Systems, Allyn and
Bacon Inc., Newton, 1987
3. Căprariu V., Viruşii calculatoarelor, Editura Microinformatica, Cluj, 1991
4. Coteanu I., ş.a., Dicţionarul explicativ al limbii române, Editura Academiei,
Bucureşti, 1975
5. Dick J., Computer Systems in Business, PWS Publishers, Boston, 1986
6. Fătu T., Bazele informaticii economice, Editura Graphix, Iaşi, 1993
7. FitzGerald J., Business Data Communications, J. Wiley Inc., New York, 1984
8. Gallegos F., ş.a., Audit and Control of Information Systems, South-Western
Publishing Co., Cincinnati, 1987
9. Gregory R., Van Horn R., Le traitement de l'information dans l'entreprise, volum
1, Dunod, Paris, 1966
10. Moscove S., Accounting Information Systems, J. Wiley Inc., New York,
1990
11. McKeown P., Living with computers, H.B.J., Florida, 1991
12. Navas de Castaneda F., Les Systems d'information et de communication
d'Enterprise, Les Editions d'Organisation, Paris, 1990
13. Neagu T., Paraschivescu M., Prelucrarea electronică a informaţiei
financiar-contabile, partea a III-a, lito, Univ. "Al.I.Cuza" Iaşi, 1985
14. O'Brien J., Information Systems in Business Management, R.D. Irwin Inc.,
Homewood, 1988
15. Odăgescu I., Viruşi informatici şi bombe logice, Editura Aldo, Bucureşti,
1991
16. O'Hicks J., Management Information Systems. An User Perspective, West
Publishing Co., St. Paul, 1987
17. Oprea D., Premisele şi consecinţele informatizării contabilităţii, Editura
Graphix, Iaşi, 1994
18. Oprea D., Protecţia şi securitatea sistemelor informatice, note de curs, 1995
19. Oprea D., Airinei D., Andone I., Bazele informaticii economice, Editura
Universităţii "Al. I. Cuza", Iaşi, 1990
20. Patriciu V., Criptografia şi securitatea reţelelor de calculatoare, Editura
Tehnică, Bucureşti, 1994
21. Pilat F. V., Introducere în Internet, Editura Teora, Bucureşti, 1995
22. Summers E. L., Accounting Information Systems, H. Mifflin Co., Boston,
1989

B. Articole/studii

1. Avram G., Auditul informatic, în PC World, nr. 6/1995

2. Airinei D., Impactul informaticii asupra întreprinderii, în Tribuna Economică,
nr. 23/1993

51
 3. Apreutesei P., Reţelele locale - un domeniu în dezvoltare, în Computerworld,
nr. 3/1993
4. Cîrstea M., Bine aţi venit în Internet!, în Computerworld, nr. 8/1995
5. Cobb S., Firewall-uri în Internet, în Byte, nr. 4/1995
6. Crahmaliuc R., Viruşii nu iartă, în Computerworld, nr. 2/1995
7. Crahmaliuc A., Pro şi contra: asigură Internet securitatea datelor?, în
Computerworld, nr. 14/1995
8. Crahmaliuc A., Rata delicvenţei informatice în ofensivă, în Computerworld, nr.
22/1995
9. Fînaru L., Câte ceva despre furtul informatizat, în Tribuna Economică, nr.
9/1993
10. Fînaru L., Hoţi ingenioşi, dar şi ... hoţi păcăliţi, în Tribuna Economică, nr.
18/1994
11. Fînaru L., Câte ceva despre furtul informatizat, în Tribuna Economică, nr.
12/1994
12. Jerram P., Groupware bate la poarta Internet-ului, în Byte, nr. 5/1995
13. Massey J., An introduction to contemporary cryptology, IEEE proceedings,
76(5), 1988
14. Meşniţă G., Forme de manifestare a viruşilor în sistemele informatice, în
Tribuna Economică, nr. 21/1995
15. Moga A., Pirateria soft, în PC Report, nr. 38/1995
16. Neagu T., Contribuţii la automatizarea gestiunilor economice în industria
confecţiilor, Teză de doctorat, Universitatea "Al. I. Cuza" Iaşi, 1975
17. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (IV),
în Tribuna Economică, nr. 42/1995
18. Oprea D., Fotache M., Transferul elctronic de fonduri, în Tribuna Economică
nr. 15/1994
19. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (III),
în Tribuna Economică nr. 41/1995
20. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (I), în
Tribuna Economică, nr. 39/1995
21. Oprea D., Securitatea fizică a sistemelor de prelucrare automată a datelor (II), în
Tribuna Economică, nr. 40/1995
22. Oprean V., Oprean D., Informatizarea societăţilor comerciale, în Tribuna
Economică, nr. 26/1995
23. Patriciu V., Securitatea informatică, în PC World, nr. 7-8/1995
24. Patriciu V., Criterii de evaluare a încrederii în sistemele de calcul, în PC World,
nr. 10/1995
25. Patriciu V., Criptografia computaţională, în PC World România, nr. 11/1995
26. Permul G., Information Systems Security: Scope, State-of-the-art, and
Evaluation of Techniques, în International Journal of Management, nr. 3/1995
27. Rădoiu D., Noua ordine informaţională, în Byte, nr. 3/1995
28. Rădoiu D., NSA sau faţa secretă a cercetării criptografice, în Byte, nr. 3/1995
29. Rotariu E., Nevoia de comunicare, în PC Report, nr. 26/1994
30. Stoleru V., Stoleru P., Protecţia datelor, în Computerworld, nr. 12/1995
31. Tadesse W. G., Reţele la nivel de întreprindere, în Byte, mai 1995
32. Trăistaru M., Bariere de protecţie în jurul Internet-ului, în Computerworld, nr.
15/1995

52