Note de studiu SSCP

1. Controale de acces
2. Administrare
3. Audit și Monitorizare
4. Risc, răspuns și recuperare
5. Criptografie
6. Comunicații de date
7. Cod rău intenționat

Versiune modificată a ghidului de studiu original de Vijayanand Banahatti (SSCP)

1
Cuprins

Note de studiu SSCP...............................................................................................................1

1 .0 CONTROLUL ACCES...........................................................................................5
1.1 Identificare, Autentificare, Autorizare, Contabilitate...........................................5
1.1.1 Tehnici de identificare și autentificare..........................................................5
1.1.2 Tehnici de autorizare.....................................................................................5
1.1.3 Tehnici contabile...........................................................................................5
1.1.4 Administrare parole......................................................................................5
1.1.5 Asigurare.......................................................................................................5
1.2 Administrare control acces...................................................................................5
1.3 Modele de control al accesului, metodologii și implementare.............................6
1.3.1 Tipul Politicii de Control Acces...................................................................6
1.3.2 Metode de implementare a politicii de control al accesului.........................6
1.3.3 Modele de control acces................................................................................6
1.3.4 Metodologii de control al accesului....................................................................7
1.4 Autentificare la distanță.......................................................................................8
1.4.1 RAZĂ............................................................................................................8
1.4.2 TACACS.......................................................................................................8
1.5 Conectare unică (SSO).........................................................................................8
1.4.1 Kerberos (a se vedea p. 47-50 din cartea SSCP pentru mai multe)..............8
2.0 ADMINISTRARE......................................................................................................10
2.1 Principii de administrare a securității.................................................................10
2.2 Triada CIA..........................................................................................................10
2.3 Clasificarea datelor.............................................................................................10
2.4 Fazele ciclului de viață al sistemului și preocupările de securitate....................10
2.5 Due Diligence / Due Care..................................................................................11
2.6 Certificare / Acreditare / Acceptare / Asigurare.................................................12
2.7 Stocarea datelor/informațiilor............................................................................12
2.8 Arhitectura de securitate a sistemului................................................................12
2.8.1 Modul înalt de sistem..................................................................................12
2.8.2 Modul compartiment...................................................................................12
2.8.3 Modul securizat pe mai multe niveluri (MLS)...........................................13
2.8.4 Segmentarea hardware................................................................................13
2.8.5 Bază de calcul de încredere.........................................................................13
2.8.6 Mecanisme de protecție a datelor...............................................................13

2
 2.9 Controlul modificărilor/Gestionarea configurației (p.135-139).........................13
2.10 Politică, standard, linii directoare, linii de bază.................................................14
2.11 Roluri si responsabilitati.....................................................................................14
2.12 Structură și practici.............................................................................................14
2.13 Conștientizarea securității..................................................................................14
2.14 Planificarea managementului securității...............................................................14
2.15 Dezvoltarea comună a unei politici de securitate..................................................15
3.0 AUDIT ȘI MONITORIZARE....................................................................................16
3.1 Tipuri de control.................................................................................................16
3.2 Audituri de securitate.........................................................................................16
3.2.1 Audit de securitate intern și extern.............................................................16
3.2.2 Procesul de auditare....................................................................................16
3.2.3 Surse de date de audit (pag. 192)................................................................17
3.2.4 Piste de audit...............................................................................................17
3.2.5 Metode de audit de securitate.....................................................................17
3.2.6 Instrument de audit asistat de calculator (CAAT)......................................18
3.2.7 Unitate centrală de logare (CLF)................................................................18
3.3 Mecanismul de raportare și monitorizare................................................................18
3.4 Tipuri de atac...........................................................................................................19
3.4 FURTUNĂ.........................................................................................................20
3.5 Nivel de tăiere....................................................................................................20
4.1 Managementul riscurilor (riscuri, amenințări, vulnerabilități și expuneri)........21
4.2 Analiza de risc....................................................................................................21
4.3 Instrumente și tehnici de analiză/evaluare a riscurilor.......................................22
4.4 Recuperare după dezastru...................................................................................22
4.4.1 Planificarea continuității afacerii (BCP) (p.268 SSCP)..............................22
4.4.2 Planificarea recuperării în caz de dezastru (DRP) (p.271 SSCP)...............22
4.4.3 Backup-uri (p.277 SSCP)............................................................................22
4.4.4 Analiza impactului asupra afacerii (BIA)...................................................22
4.5 Răspuns la incident (pag. 282 SSCP).................................................................23
5.0 CRIPTOGRAFIE........................................................................................................24
5.1 Algoritmi de criptare simetrică (p.333 SSCP)...................................................24
5.2 Algoritmi de criptare asimetrică (p. 331 SSCP)................................................25
5.3 Sisteme simetrice vs asimetrice..........................................................................25
5.4 Integritatea mesajului.........................................................................................25
5.4.1 Algoritmi hash (p.337 SSCP).....................................................................25

3
 5.5 Link și criptare end-to-end.................................................................................26
5.6 Criptografia pentru e-mailuri.............................................................................26
5.7 securitatea internetului.......................................................................................26
5.8 PKI (pag. 355 SSCP)..........................................................................................27
5.8.1 X.509................................................................................................................27
5.9 Atacurile criptografice........................................................................................27
6.0 COMUNICAȚII DE DATE........................................................................................28
6.1 Modele de comunicare de date:..........................................................................28
6.2 TCP/IP - Protocol de control al transmisiei/Protocol Internet...........................28
6.3 Tipuri comune de sisteme LAN.........................................................................29
6.4 Cablare...............................................................................................................29
6.5 Tipuri de semnalizare.........................................................................................29
6.6 Moduri de transmisie (abordări).........................................................................29
6.6.1 Metode de acces LAN.................................................................................30
6.7 Rețele..................................................................................................................30
6.8 Topologie de rețea..............................................................................................30
6.9 Standardele IEEE...............................................................................................30
6.10 Dispozitive de rețea............................................................................................31
6.11 Firewall-uri (p. 400 SSCP).................................................................................31
6.12 Protocoale...........................................................................................................31
6.12 Servere de servicii de autentificare la distanță...................................................31
6.12.1 Protocoale de securitate la nivel de rețea....................................................32
6.12.2 Protocoale de securitate la nivel de aplicație..............................................32
6.13 Tehnici de securitate a comunicațiilor...............................................................32
7.0 COD RAȚIUNI...........................................................................................................34
7.1 Diverse tipuri de virus........................................................................................34
7.1.1 Ce parte infectează virușii...........................................................................34
7.1.2 Cum infectează virușii................................................................................34
7.2 Cum poate fi introdus codul rău intenționat în mediul de calcul.......................34
7.3 Mecanisme care pot fi utilizate pentru prevenirea, detectarea atacurilor de coduri
rău intenționate..............................................................................................................34
7.3 Atacurile comune....................................................................................................35

4
1 .0 CONTROLUL ACCES
Obiecte de control acces: orice obiect care necesită acces controlat poate fi considerat un obiect de control al
accesului.
Subiecte de control al accesului: orice utilizatori, programe și procese care solicită permisiunea pentru obiecte sunt
subiecte de control al accesului. Aceste subiecte de control al accesului trebuie identificate, autentificate și autorizate.
Sisteme de control acces: Interfață între obiectele de control acces și subiecte de control acces.

1.1 Identificare, Autentificare, Autorizare, Contabilitate

1.1.1 Tehnici de identificare și autentificare
Identificarea funcționează cu autentificare și este definită ca un proces prin care se stabilește identitatea unui
obiect. Identificarea are loc prin utilizarea unei forme de autentificare.

Tipuri de autentificare Exemplu

Ceva ce știi Parole, numere personale de identificare (PIN), expresii de acces,
numele de fată al mamei, echipa sportivă preferată etc.
Ceva ce ai Carduri de proximitate, jetoane de identificare, chei, insigne de
identificare, pașapoarte, certificate, transpondere, carduri
inteligente etc.
Ceva tu esti Amprente, Semnături, Caracteristici ochi, Caracteristici faciale,
Amprente vocale, ADN.
Aceste trei tipuri de tipuri de autentificare pot fi combinate pentru a oferi o mai mare securitate. Aceste combinații sunt numite factori de
autentificare. (Doi sau trei factori)

1.1.2 Tehnici de autorizare

Un proces prin care un subiect de control al accesului este autentificat și identificat, subiectul este autorizat să
aibă un anumit nivel sau tip de acces la obiectul de control al accesului.

1.1.3 Tehnici contabile

Sistemul de control al accesului este responsabil pentru orice tranzacție legată de securitate care oferă
responsabilitate. Responsabilitatea în cadrul unui sistem înseamnă că oricine folosește sistemul este urmărit și
considerat responsabil sau responsabil pentru acțiunile lor. Exemplu: pistă sau jurnal de audit de autentificare,
pistă sau jurnal de audit cu elevare a privilegiilor.

1.1.4 Administrare parole

Administrarea parolelor este o parte importantă a oricărui sistem de control al accesului. Selectarea,
gestionarea și auditarea parolelor trebuie să aibă loc fie prin metode automate, fie prin metode administrative.
o Selectarea parolei: Politica se referă în general la lungimea minimă a parolei, utilizarea caracterelor
necesare, expirarea parolei, reutilizarea parolei etc.
o Gestionarea parolei: orice se întâmplă cu parola pe parcursul întregului ciclu de viață, de la un utilizator
care are nevoie de resetarea parolei până la expirarea automată a parolei.
o Audit și control al parolelor: Pentru a determina funcționalitatea generală a sistemului de control al
accesului pentru a ajuta la reducerea accesului și atacurilor neautorizate. O bună practică de înregistrare a
auditului poate fi urmată.

1.1.5 Asigurare
Pentru a oferi asigurare, trebuie să se răspundă la următoarele patru întrebări: (adică CIA + Responsabilitate)
- Tranzacțiile dintre subiectul controlului accesului și obiectul controlului accesului sunt confidențiale ?
- Este asigurată și garantată integritatea obiectului de control acces?
- Este disponibil obiectul de control al accesului pentru a fi accesat atunci când este necesar?
- Este sistemul de control al accesului responsabil pentru ceea ce autentifică (de exemplu,
înregistrare/auditare)?

Dacă la toate patru se poate răspunde afirmativ, atunci asigurarea a fost asigurată în mod corespunzător.

1.2 Administrare control acces

După implementarea sistemului de control al accesului, administrarea procesului este sarcina majoră. Aceasta implică
următorii factori.

Administrare cont: Administrarea tuturor conturilor de utilizator, sistem și servicii utilizate în sistemul de control al

5
accesului. Aceasta include crearea (autorizare, drepturi, permisiuni), întreținere (blocare-resetare a contului, audit,
politică de parole) și distrugerea (redenumire sau ștergere) conturilor.

Drepturi de acces și permisiuni: proprietarul datelor ar trebui să decidă orice drepturi și permisiuni pentru un anumit
cont. Principiul celui mai mic privilegiu va fi folosit aici pentru a acorda toate drepturile și permisiunile necesare unui
cont pentru a îndeplini sarcinile necesare, dar nu mai mult decât este necesar sau necesar.
Monitorizare: Modificările la conturi, escaladarea privilegiilor ar trebui să fie înregistrate și ar trebui să fie
monitorizate constant pentru securitate.
Securitatea suportului amovibil: orice mediu amovibil din sistem poate fi vulnerabilitatea. Toate mediile amovibile
trebuie restricționate sau controlate într-un fel pentru a asigura cea mai bună securitate posibilă a sistemului.
Gestionarea cache-urilor de date: controlul accesului nu este doar pentru utilizatori - orice tip de informații care se
află pe sistem trebuie luat în considerare - de exemplu, cache-urile de date temporare (fișier de pagină, dr watsons,
fișiere .tmp etc.)

1.3 Modele de control al accesului, metodologii și implementare

1.3.1 Tipul Politicii de Control Acces
Politicile de control al accesului sunt puse în aplicare pentru a atenua și controla riscurile de securitate.
Aceste politici sunt liniile directoare care ar trebui urmate atât de sistemele automate de control al accesului,
cât și de securitatea fizică reală . Următoarele politici lucrează împreună pentru a sprijini o politică globală de
control al accesului.

Tipul de politici Descriere

Preventiv Politici pentru prevenirea exploatării vulnerabilităților. De
exemplu, politica de corecție, verificări ale antecedentelor,
clasificarea datelor, separarea sarcinilor etc
Detectiv Acest tip de politică este implementat pentru a ști când are loc un
atac. De exemplu, IDS, monitorizare jurnal etc
corectiv Politici care abordează acțiuni de corectare imediată, după ce
vulnerabilitățile sunt exploatate. Aceste politici includ planuri de
recuperare în caz de dezastru, proceduri de restaurare de urgență,
pragul de blocare a parolei etc.
NB: Nu confundați cu tipurile de control (p.14)

1.3.2 Metode de implementare a politicii de control al accesului

Administrativ: în această implementare, o politică este controlată administrativ prin politici la locul de muncă
sau ordine transmise subordonaților. Nu aveți niciun pași automatizați încorporați și cereți oamenilor să facă
ceea ce li se spune . Oferă o modalitate ușoară de a implementa o primă linie de apărare. De exemplu, politica
scrisă privind parolele (lungime, expirare, blocare) etc.
Logic/Tehnic: În aceste implementări sunt utilizate metode automate de aplicare a politicilor de control al
accesului . Acest tip de implementare a politicilor limitează erorile umane în timpul etapei de operare. De
exemplu, restricțiile reale ale parolei de blocare implementate (lungime, expirare, blocare), utilizarea SSL,
SSH etc.
Fizic: Acest tip de implementare include totul, de la controlul accesului la o clădire securizată până la
protejarea cablurilor de rețea împotriva interferențelor electromagnetice (EMI). Exemplu: Agenti de paza,
Dispozitive biometrice, insigne de identitate, Aparari perimetrale (ziduri/garduri), Incuietori fizice.
Nota 1: Politicile și implementările pot fi combinate - Ie Preventiv / Administrativ (de exemplu, politica de
parole scrise); Detectiv/Logic/Tehnic (ex. IDS); Corectiv / Administrativ (de exemplu, plan de recuperare în
caz de dezastru). Există, de asemenea, unele, de exemplu CCTC, care pot fi văzute ca Preventive/Fizice (doar
când se înregistrează) și Detective/Fizice (când sunt monitorizate în mod activ).

Nota 2: Nu confundați utilizarea politicii SSCP cu politicile Windows (de exemplu, lungimea minimă a
parolei etc.)

1.3.3 Modele de control acces

Controlul accesului discreționar (DAC): proprietarul datelor decide accesul. (Proprietarul poate schimba
permisiunile ).
Control de acces obligatoriu (MAC): Sistemul decide accesul în funcție de clasificare (etichetă de
sensibilitate). Mai puternic decât DAC. (Numai administratorul central poate schimba permisiunile, dar

6
 proprietarul datelor decide în continuare cu privire la clasificarea datelor ).
Controlul accesului bazat pe rol (RBAC) alias non-discreționar: rolul utilizatorului/sarcinii (subiectului)
determină accesul la obiectul de date. Utilizează un set de controale administrat central pentru a determina
modul în care subiecții și obiectele interacționează.
Modele formale:

1. Biba
Primul model formal care abordează integritatea . Modelul Biba își bazează controlul accesului pe niveluri de
integritate. Este format din trei reguli primare.
1. Un subiect la un anumit nivel de integritate X poate citi doar obiecte la aceleași niveluri de integritate sau
mai mari - axioma simplă a integrității .
2. Un subiect la nivelul de integritate X poate scrie doar obiecte la aceleași niveluri de integritate sau mai
mici - axioma de integritate * (stea) .
3. Un subiect la nivelul de integritate X poate invoca doar un subiect la niveluri de integritate identice sau
mai mici .

2. Clark/Wilson
Acest model este similar cu Biba, deoarece se adresează integrității . Protejarea integrității informațiilor
concentrându-se pe prevenirea utilizatorilor autorizați de a face modificări neautorizate ale datelor, fraude și erori
în cadrul aplicațiilor comerciale.

Utilizează separarea sarcinilor sau separarea sarcinilor . Principiul separării sarcinilor prevede că nicio persoană
nu trebuie să îndeplinească o sarcină de la început până la sfârșit, ci că sarcina trebuie împărțită între două sau mai
multe persoane pentru a preveni frauda de către o singură persoană care acționează singură. Acest lucru asigură
integritatea obiectului de control al accesului prin securizarea procesului utilizat pentru crearea sau modificarea
obiectului.

3. Bell/LaPadula
Acest model formal specifică faptul că toate obiectele de control al accesului au un nivel minim de securitate
alocat, astfel încât subiecții de control al accesului cu un nivel de securitate mai mic decât nivelul de securitate al
obiectelor să nu poată accesa obiectul. Modelul formal Bell-LaPadula abordează doar confidențialitatea. Pe asta se
bazează modelul MAC. Bell-LaPadula a stat, de asemenea, baza originalului „Carti portocalii”.
Notă: Bell-LaPadula nu abordează integritatea sau disponibilitatea. Amintiți-vă: Fără citire / Fără notare.

ORANGE CARTE: Cartea Departamentului Apărării „Trusted Computer System Evaluation Criteria (TCSEC)”
sau cartea „Orange”. Cartea Orange necesită ca sistemul să fie configurat ca autonom .

Divizia Nivel Definiție

A: PROTECȚIE VERIFICATĂ A1 Protecție/Design verificat
B: PROTECȚIE OBLIGATORIE B1 Etichetat Protecție de securitate
B2 Protecție structurată
B3 Domenii de securitate
C: PROTECȚIA DISCREȚIONARĂ C1 Securitate discreționară
C2 Protecția accesului controlat
D: PROTECTIE MINIMA Nici unul Securitate minimă de protecție - Evaluată și eșuată

CARTEA ROȘIE: este în două părți „Interpretarea rețelei de încredere a TCSEC” și „Orientări privind mediile de
interpretare a rețelei de încredere: Ghid pentru aplicarea interpretării rețelei de încredere”. Orientările din această
carte sunt la fel de stricte ca și cartea Orange în sine, dar este concepută pentru a funcționa cu medii în rețea .

Notă: Cartea Orange NU abordează integritatea.

1.3.4 Metodologii de control al accesului

Controlul accesului centralizat: Toate interogările de control al accesului sunt direcționate către un punct central
de autentificare. Acest tip de sistem permite un singur punct de administrare pentru întregul sistem de control
acces.
Reduce efortul administrativ, dar crește și costurile. Implementarea mai dificilă. Exemplu: Kerberos, Serviciul
utilizatorului cu apelare la autentificare la distanță (RADIUS) și Sistemul de control al accesului pentru controlerul
de acces la terminal (TACACS), TACACS+ (permite criptarea datelor).

Control acces descentralizat:

7
 Sistemul de control al accesului nu este centralizat la un singur sistem informatic sau la un grup de sisteme. Oferă
avantajul de a asigura funcționalitatea sistemului de control al accesului în cazurile în care conectivitatea la un
sistem centralizat de control al accesului este dificilă. Este dificil de menținut un sistem de control al accesului
descentralizat în comparație cu un sistem de control al accesului centralizat. Câteva exemple în acest sens sunt un
grup de lucru Windows în care fiecare membru al grupului de lucru se ocupă de controlul accesului sau un sistem
de bază de date care se ocupă de propria sa autentificare.

1.4 Autentificare la distanță

Pentru a oferi o autentificare fiabilă pentru utilizatorii de la distanță din organizațiile mici, este posibilă utilizarea
metodei implicite de autentificare a software-ului utilizat pentru accesul de la distanță. Pentru organizațiile mari sunt
utilizate următoarele metode de autentificare: Serviciul utilizatorului cu apelare la autentificare la distanță (RADIUS) și
Sistemul de control al accesului pentru controlerul de acces la terminal (TACACS/TACACS+).

1.4.1 RAZĂ
Folosind RADIUS, un server de acces la distanță acceptă acreditările de autentificare de la subiectul de control al
accesului și le transmite serverului RADIUS pentru autentificare. Serverul RADIUS răspunde apoi serverului de
acces la distanță fie cu autorizare, fie cu refuz. Un avantaj major al RADIUS este că comunicarea dintre serverul
RADIUS și serverul de acces la distanță este criptată , ceea ce ajută la creșterea securității generale a controlului
accesului.
1.4.2 TACACS
Mai vechi, nu folosește criptarea și mai rar folosit. Permite o abordare centralizată a controlului accesului care
păstrează toate modificările de control al accesului izolate într-un singur loc. Când serverul TACACS primește
datele de identificare, fie returnează informații de autorizare, fie refuză accesul utilizatorului. Aceste informații
sunt transmise înapoi serverului de acces la distanță în text clar, iar serverul de acces la distanță răspunde în mod
corespunzător. 1.4.3 TACACS+
La fel ca TACACS, în această autentificare informațiile circulă prin rețea într-un format criptat .

1.5 Conectare unică (SSO)

Cu SSO, utilizatorul se autentifică o dată, iar faptul că au fost autentificați este transmis fiecărui sistem pe care încearcă
să îl acceseze. Unele produse SSO sunt:
- Kerberos
( vezi mai jos ) - netsp - x.509 (gândiți-vă la NSD)
- SESAM
- Kryptoknight - Snareworks
Avantajul SSO Dezavantajele SSO
- Închiriază/declanșează și activează/dezactivează - Cost.
accesul la sisteme rapid și eficient. - Greu de implementat.
- Efortul de administrare redus al parolelor uitate. - Dacă parola SSO a utilizatorilor este compromisă,
- Experiență îmbunătățită a utilizatorului final. atacatorul are acces la toate sistemele utilizatorilor.
1.4.1 Kerberos (a se vedea p. 47-50 din cartea SSCP pentru mai multe)
Kerberos este un protocol de autentificare de rețea conceput pentru a oferi o autentificare puternică pentru
aplicațiile client/server prin utilizarea autentificării cu chei simetrice și a biletelor (jetoane de autentificare).
Sistemele Kerberos folosesc chei private, iar un server Kerberos trebuie să aibă copii ale tuturor cheilor pe
el, ceea ce necesită o mare securitate fizică . Permite autentificarea pe mai multe platforme .
Kerberos are un Centru de distribuție a cheilor (KDC) care deține toate cheile și oferă servicii de autentificare
centrală. Utilizează marcarea temporală a biletelor pentru a se asigura că acestea nu sunt compromise (adică
non-repudierea) și o structură generală de control numită tărâm . Din cauza marcajului de timp, este important ca
ceasurile sistemelor să fie sincronizate. Susceptibil la atacuri de reluare dacă biletul este compromis într-un
interval de timp alocat.
Serviciul de autentificare (AS) este partea KDC care autentifică clienții. Serviciul de acordare a biletelor (TGS)
realizează biletele și le eliberează clienților.
Procesul de conectare a utilizatorului:
1. Utilizatorul se identifică și își prezintă acreditările la KDC (parolă, smart card etc.)
2. AS autentifică acreditările.
3. TGS emite un Ticket Granting Ticket (TGT) care este asociat cu jetonul client.
TGT expiră când utilizatorul își încheie sesiunea (se deconectează/se deconectează) și este stocat în cache
local pe durata sesiunii.
Procesul de acces la resurse:

8
Ca mai sus atunci
4. TGT este prezentat KDC împreună cu detaliile resursei de la distanță la care clientul necesită acces.
5. KDC returnează clientului un bilet de sesiune.
6. Biletul de sesiune este prezentat resursei de la distanță și accesul este acordat.
Notă: Kerberos NU abordează disponibilitatea.

9
2.0 ADMINISTRARE
2.1 Principii de administrare a securității
Autorizare Un proces prin care un subiect de control al accesului este autentificat și identificat ,
subiectul este autorizat să aibă un anumit nivel sau tip de acces la obiectul de control al
Identificare și accesului. funcționează cu autentificare și este definită ca un proces prin care se stabilește
Identificarea
autentificare identitatea unui obiect. Identificarea are loc prin utilizarea unei forme de autentificare.

Responsabilitate Responsabilitatea în cadrul unui sistem înseamnă că oricine folosește sistemul este urmărit și
considerat responsabil sau responsabil pentru acțiunile lor. Exemplu: pistă sau jurnal de audit
de autentificare, pistă sau jurnal de audit cu elevare a privilegiilor.
Nerepudierea Non-repudierea este un atribut al comunicării care urmărește să prevină negare falsă viitoare
a implicării de către oricare dintre părți. Nerepudierea este, în consecință, un element esențial
al încrederii în e-business.
Cele mai mici Principiul cel mai mic privilegiu prevede că unui utilizator ar trebui să i se acorde suficient
privilegii acces la sistem pentru a-i permite să îndeplinească sarcinile cerute de locul de muncă.
Niveluri ridicate de acces nu ar trebui acordate până când li se cere să îndeplinească funcțiile
de serviciu. Proprietarii informațiilor dintr-un sistem sunt responsabili pentru informații și
sunt autoritatea corespunzătoare pentru autorizarea actualizărilor de nivel de acces pentru
Clasificarea datelor Scopul principal al clasificării datelor este de a indica nivelul de confidențialitate, integritate
și disponibilitate care este necesar pentru fiecare tip de informații. Vă ajută să vă asigurați că
datele sunt protejate în cel mai eficient mod din punct de vedere al costurilor. Proprietarul
datelor decide întotdeauna nivelul de clasificare.

2.2 Triada CIA

Confidențialitate
Confidențialitatea înseamnă că informațiile din sistem/rețea sunt protejate de divulgarea persoanelor neautorizate.
Integritate
Integritatea informațiilor în cadrul unei organizații înseamnă că informațiile sunt întregi și complete și nu au fost
modificate în niciun fel, cu excepția celor autorizați să le manipuleze. Integritatea unui computer sau a unui sistem
informatic ar putea afecta integritatea informațiilor critice conținute în acesta. Pierderea integrității unui sistem sau a
informațiilor din acel sistem înseamnă că informația nu mai poate fi de încredere.
Disponibilitate
Disponibilitatea înseamnă a avea informații disponibile exact atunci când este nevoie. Atunci când disponibilitatea este
luată în considerare cu privire la informațiile critice din cadrul unei organizații, este ușor de înțeles de ce devine atât de
crucială încât să fie mereu acolo când este nevoie.

2.3 Clasificarea datelor

Pentru a decide ce nivel de protecție și cât de mult, se recomandă efectuarea unei analize care va determina valoarea
informațiilor și a resurselor sistemului. Valoarea poate fi determinată prin analiza impactului din cauza pierderii de
date, a dezvăluirii neautorizate de informații, a costului înlocuirii sau a stânjenii/pierderii reputației. Fiecare nivel este
definit pentru a avea consecințe mai grave dacă nu este protejat. Amintiți-vă, proprietarul datelor a decis întotdeauna
nivelul de clasificare. Niveluri comune de clasificare (de la cel mai înalt la cel mai jos nivel)

Comercial Militar
Confidenţial
Privat sensibil
Public
Top Secret Secret
Confidențial Sensibil, dar
neclasificat Neclasificat
2.4 Fazele ciclului de viață al sistemului și preocupările de securitate
• Se aplică noilor dezvoltări și îmbunătățirilor și întreținerii sistemelor.
• Securitatea ar trebui inclusă în fiecare fază a ciclului.
• Securitatea nu trebuie abordată la sfârșitul dezvoltării din cauza costurilor, timpului și efortului
suplimentar.
• Separarea sarcinilor trebuie practicată în fiecare fază (de exemplu, programatorul nu are acces la
1
0
producție).
•
Modificările trebuie să fie autorizate, testate și înregistrate. Orice modificare nu trebuie să afecteze
securitatea sistemului sau capacitatea acestuia de a aplica politica de securitate.
Cele șapte faze sunt:
1. Inițierea proiectului (analiza cerințelor)
•
Studiu inițial și conceperea proiectului.
Implicarea InfoSec:
^ Efectuați evaluarea riscurilor pentru:
- Definiți sensibilitatea informațiilor și nivelul de protecție necesar
- Definiți criticitatea riscurilor de sistem și de securitate
- Asigurați-vă că problemele de reglementare/legale/confidențialitate sunt abordate și
respectarea standardelor de securitate
2. Definirea, proiectarea și analiza proiectului (planuri și cerințe software)
• Cerințe funcționale/de proiectare a sistemului
• Asigurați-vă că cerințele pot fi îndeplinite prin cerere.
Implicarea InfoSec:
^ Determinați nivelul acceptabil de risc (nivel de pierdere, procent de pierdere, variație permisă)
^ Identificați cerințele și controalele de securitate
^ Determinați punctele de expunere în proces - adică amenințările și vulnerabilitățile
^ Definiți controale pentru a atenua expunerea
^ Due diligence, răspunderi legale și îngrijire rezonabilă
3. Specificația de proiectare a sistemului
• Planificarea detaliată a componentelor funcționale
• Proiectarea planurilor de testare și controale programelor
Implicarea InfoSec:
^ Încorporați mecanisme de securitate și verificați controalele programului
^ Evaluați opțiunile de criptare
4. Dezvoltare de software
•
Scrierea/implementarea codului/software-ului
Implicarea InfoSec:
^ Elaborați codul legat de securitatea informațiilor
^ Implementați testarea unitară
^ Elaborați documentația
5. Implementare, evaluare si testare
• Instalarea software-ului de sistem și testarea software-ului conform cerințelor
• Documentarea designului intern al software-ului
Implicarea InfoSec:
^ Efectuați teste de acceptare
^ Testați software-ul de securitate
^ Certificare și acreditare (unde este cazul)
6. întreținere
•
Modificări ale produsului și remedieri de erori
Implicarea InfoSec:
^ Testarea de penetrare și evaluarea vulnerabilității
^ Re-certificare
7. Revizuirea sau eliminarea
• Modificare majoră a produsului
• Evaluarea noilor cerințe și luarea deciziei de înlocuire și nu de recodificare
Implicarea InfoSec:
^ Evaluarea defectelor majore de securitate
^ Testarea de securitate a modificărilor majore
2.5 Due Diligence / Due Care
Conceptele de due diligence și de precauție necesită ca o organizație să se angajeze în bune practici de afaceri în raport
cu industria organizației.

Due Diligence este efortul continuu de a ne asigura că politicile, procedurile și standardele corecte sunt aplicate și
respectate. Due diligence poate fi impusă de diverse cerințe legale din industria organizației sau de conformitatea cu

1
1
standardele guvernamentale de reglementare.

Un exemplu de Due Care este instruirea angajaților în conștientizarea securității – spre deosebire de simpla creare a
unei politici fără plan de implementare sau urmărire. Un alt exemplu este solicitarea angajaților să semneze declarații că
au citit și au înțeles politicile adecvate de utilizare acceptabilă.

În termeni simpli, due diligence este responsabilitatea pe care o companie o are de a investiga și identifica problemele ,
iar grija cuvenită înseamnă a face ceva cu privire la constatări.

2.6 Certificare / Acreditare / Acceptare / Asigurare

Certificarea se ocupă cu testarea și evaluarea mecanismului de securitate dintr-un sistem.
Acreditarea se referă la recunoașterea oficială a sistemului și a nivelului său de securitate SAU la aprobarea de către o
autoritate de aprobare desemnată.
Acceptarea desemnează că un sistem a îndeplinit toate cerințele de securitate și performanță care au fost stabilite
pentru proiect. Asigurarea este un termen folosit pentru a defini nivelul de încredere în sistem.

Odată ce un sistem este construit, procesul de certificare începe să testeze sistemul pentru toate cerințele de securitate și
funcționale. Dacă sistemul îndeplinește toate cerințele, obține acreditare . Sistemele acreditate sunt apoi acceptate în
mediul operațional. Această acceptare se datorează faptului că proprietarii și utilizatorii sistemului au acum un nivel
rezonabil de asigurare că sistemul va funcționa conform intenției, atât din punct de vedere al securității, cât și din punct
de vedere funcțional.

2.7 Stocarea datelor/informațiilor

Primară : Memoria principală, care este direct accesibilă de către CPU - volatilă și își pierde din valoare la pană de
curent. Secundar : Dispozitive de stocare în masă (hard-disk, unitate de dischetă, benzi, CD-uri). Păstrează datele chiar
dacă computerul este oprit.
Memorie reală (fizică) : Se referă la memoria principală sau la memoria cu acces aleatoriu (RAM).
Memorie virtuală : zonă de memorie „imaginară” susținută de sistemul de operare și implementată împreună cu
hardware.
RAM (Random Access Memory) : Poate citi și scrie date.
ROM (Read Only Memory) : Poate citi doar date, poate păstra instrucțiuni pentru pornirea computerului.
PROM (Memorie programabilă numai pentru citire) : Cipul de memorie pe care poate fi stocat programul. Dar nu îl
puteți șterge și utiliza pentru stocarea altor date.
EPROM (Erasable Programable Read Only Memory) : Poate fi ștearsă prin expunerea la lumină ultravioletă.
EEPROM (Electrically Erasable...PROM) : Poate fi ștearsă prin expunerea la o sarcină electrică.

2.8 Arhitectura de securitate a sistemului

Se ocupă în mod specific de acele mecanisme din cadrul unui sistem care asigură că informațiile nu sunt modificate în
timp ce sunt procesate sau utilizate . Diferite niveluri de informații sunt etichetate și clasificate în funcție de
sensibilitatea lor.
Există trei moduri comune utilizate pentru a controla accesul la sistemele care conțin informații clasificate: Notă: Toate
sunt modele MAC.

2.8.1 Modul înalt de sistem

Este necesar un permis adecvat pentru TOATE informațiile de pe sistem. Toți utilizatorii care au acces
trebuie să aibă o autorizație de securitate care să le autorizeze accesul. Deși toți utilizatorii au acces, este
posibil să nu aibă „nevoia de a cunoaște” pentru toate informațiile, deoarece există diferite niveluri de
clasificare a informațiilor. Nivelurile de clasificare a informațiilor sunt etichetate clar pentru a face clar
care sunt cerințele de acces. Toți utilizatorii pot accesa UNELE date, în funcție de nevoia lor de a
cunoaște.

2.8.2 Modul compartiment

Autorizația corespunzătoare este necesară pentru CEL MAI ÎNALT NIVEL de informații despre sistem.
Toți utilizatorii care au acces la sistem trebuie să aibă o autorizație de securitate care să le autorizeze
accesul. Fiecare utilizator este autorizat să acceseze informațiile numai atunci când poate fi justificată o
cerință de „necesitate de a cunoaște”. Un proces strict de documentare urmărește accesul acordat fiecărui
utilizator și persoanei care a acordat accesul. Toți utilizatorii pot accesa UNE date, în funcție de nevoia lor
de cunoaștere și de aprobarea formală a accesului.

1
2
 2.8.3 Modul securizat pe mai multe niveluri (MLS)
Este necesar un permis adecvat pentru TOATE informațiile de pe sistem. Toți utilizatorii care au acces la
sistem trebuie să aibă o autorizație de securitate care să le autorizeze accesul. Utilizează clasificarea datelor și
Controlul de acces obligatoriu (MAC) pentru a securiza sistemul. Procesele și datele sunt controlate.
Procesele de la niveluri de securitate inferioare nu au voie să acceseze procesele de la niveluri superioare.
Toți utilizatorii pot accesa UNE date, în funcție de nevoia lor de a cunoaște, aprobarea formală a
accesului și nivelul de autorizare.
În plus, există mai multe concepte de arhitectură de securitate a sistemului care pot fi aplicate:
2.8.4 Segmentarea hardware
În cadrul unui sistem, alocările de memorie sunt împărțite în segmente care sunt complet separate unele de
altele. Nucleul din sistemul de operare controlează modul în care memoria este alocată fiecărui proces și oferă
suficientă memorie pentru ca procesul să încarce aplicația și datele procesului. Fiecare proces are propria sa
memorie alocată și fiecare segment este protejat unul de celălalt.
2.8.5 Bază de calcul de încredere
Este definită ca combinația totală de mecanisme de protecție din cadrul unui sistem informatic. Include
hardware, software și firmware. Originar din Cartea Portocalie.
Perimetrul de securitate: definit ca resurse care nu fac parte din TCB . Comunicarea dintre componentele de
încredere și componentele care nu sunt de încredere trebuie controlată pentru a se asigura că informațiile
confidențiale nu circulă într-un mod neintenționat.
Monitor de referință: Este o mașină abstractă (sistem de control al accesului ), care mediază tot accesul pe
care subiecții îl au la obiecte pentru a se asigura că subiecții au drepturile de acces necesare și pentru a proteja
obiectele de accesul neautorizat și modificările distructive. Compară nivelul de acces cu clasificarea datelor
pentru a permite/interzice accesul .
Nucleu de securitate: alcătuit din mecanisme (h/w, s/w, firmware) care se încadrează în TCB și
implementează și impun monitorul de referință . La baza TCB și este cea mai comună abordare pentru
construirea de sisteme de încredere. Trebuie izolat de monitorul de referință.
2.8.6 Mecanisme de protecție a datelor
Design stratificat: Designul stratificat este destinat să protejeze operațiunile care sunt efectuate în cadrul
nucleului. Fiecare strat se ocupă cu o activitate specifică: stratul exterior realizează sarcini normale (cel mai
puțin de încredere), iar stratul interior sarcini mai complexe și protejate (cele mai de încredere). Segmentarea
proceselor de acest fel înseamnă că procesele utilizatorilor neîncrezători care rulează în straturile exterioare
nu vor putea corupe sistemul de bază.
Abstracția datelor: Abstracția datelor este procesul de definire a ceea ce este un obiect, ce valori este permis
să aibă și operațiunile care sunt permise împotriva obiectului. Definiția unui obiect este împărțită până la
forma sa cea mai esențială, lăsând doar acele detalii necesare pentru ca sistemul să funcționeze. Ascunderea
datelor: Ascunderea datelor este procesul de ascundere a informațiilor disponibile la un nivel de proces din
modelul stratificat de procesele din alte straturi. Ascunderea datelor este un mecanism de protecție menit să
protejeze procesele de bază ale sistemului de falsificare sau corupție.
2.9 Controlul modificărilor/Gestionarea configurației (p.135-139)
Modificările vor avea loc atât în procesul de dezvoltare a aplicației, cât și în procesul normal de actualizare a rețelei și a
aplicației – solicitantul nu înțelege neapărat impactul acestor modificări. Schimbările sunt inevitabile în fiecare etapă a
dezvoltării sistemului. Controlul schimbărilor nu se aplică la fel de strict procesului de dezvoltare ca și sistemelor de
producție.
Controlul schimbărilor ajută la asigurarea faptului că politicile de securitate și infrastructura care au fost construite
pentru a proteja organizația nu sunt întrerupte de schimbările care apar în sistem de la o zi la alta.
Managementul configurației este procesul de identificare, analiză și control al software-ului și hardware-ului unui
sistem. Procesul începe cu cererea de modificare a configurației trimisă la panoul de control al configurației (CCB).
Consiliul va analiza efectul modificării și îl va aproba sau respinge.
Instrumente utilizate pentru controlul modificărilor / gestionarea configurației: Sumă de control (de ex. MD5
hash), Semnături digitale, IDS, monitoare de integritate a fișierelor, Manager de securitate Enterprise, Gestionare
configurație software. Toate aceste instrumente pot fi folosite pentru a verifica integritatea atât a fișierelor/software-ului
de producție, cât și a celor de dezvoltare și pentru a vă asigura că organizația nu suferă o întrerupere din cauza
modificărilor proaste (adică modificări planificate corect, dar implementate cu defecte din cauza, de exemplu, fișierelor
corupte). .). Ele pot ajuta, de asemenea, la crearea de „imagini de aur” ale datelor/configurațiilor de producție.

Este important să se impună procesul de control al modificării/gestionare a configurației. Unele instrumente pentru
detectarea încălcărilor sunt: NetIQ, PentaSafe, PoliVec și Tripwire. Aceste instrumente oferă soluții de monitorizare a
configurației sistemelor și de avertizare cu privire la modificările care nu sunt efectuate.

1
3
2.10 Politică, standard, linii directoare, linii de bază
Politică de Este o declarație generală scrisă de conducerea superioară pentru a dicta ce tip de rol joacă
securitate securitatea în cadrul organizației - oferă, de asemenea, domeniul de aplicare și direcția pentru
Standarde toată securitatea
Specifică modul ulterioară.
în care vor fi utilizate produsele hardware/software. Furnizați un mijloc pentru a
asigura că tehnologia, aplicațiile, parametrii și procedurile specifice sunt efectuate într-un mod
uniform. Aceste reguli sunt de obicei obligatorii în cadrul unei companii și trebuie să fie aplicate.
Linii de bază Oferă nivelul minim de securitate necesar în întreaga organizație.
Instrucțiuni Sunt acțiuni recomandate și ghiduri operaționale atunci când nu se aplică un anumit standard.
Proceduri Sunt acțiuni pas cu pas pentru a realiza o anumită sarcină.

2.11 Roluri si responsabilitati

Senior Manager Responsabil în ultimă instanță pentru securitatea organizației și protecția activelor
Profesionist de acesteia.
Responsabil funcțional de securitate și duce la îndeplinire directivele managerului
Proprietarul datelor Este de obicei membru al conducerii și este responsabil în ultimă instanță pentru
protecția și utilizarea datelor . Decide cu privire la clasificarea datelor . Va delega
responsabilitatea întreținerii de zi cu zi a datelor custodelui de date.
Custodele de date I se acordă responsabilitatea întreținerii și protecției datelor.
Utilizator Orice persoană care utilizează în mod curent datele pentru sarcini legate de muncă.
Trebuie să aibă nivelul necesar de acces la date pentru îndeplinirea sarcinilor.

2.12 Structură și practici

Separarea sarcinilor
Acorduri de nedezvăluire
Rotația locurilor de muncă
Se asigură că o persoană nu poate îndeplini o sarcină riscantă singură. Mai mult de
o persoană ar trebui să lucreze împreună pentru a provoca un anumit tip de
distrugere sau fraudă, iar acest lucru reduce drastic probabilitatea de exploatare.
Pentru a proteja compania dacă/când un angajat pleacă dintr-un motiv sau altul.
Nicio persoană nu ar trebui să stea într-o singură poziție pentru o perioadă lungă
de timp, deoarece poate ajunge să dea prea mult control acestui individ.

2.13 Conștientizarea securității

Cea mai slabă verigă din orice program de securitate din orice organizație sunt utilizatorii. O parte a unui program de
securitate de calitate îi învață pe utilizatori ce înseamnă securitatea pentru organizație și modul în care fiecare utilizator
influențează procesul
• Faceți securitatea parte a procesului de angajare.
• Obțineți sprijin de la conducerea superioară.
• Oferă instruire personalizată în materie de securitate și politici:
- Formare profesională în domeniul securității pentru operatori
- Instruire de conștientizare pentru anumite departamente sau grupuri de personal cu poziții sensibile la
securitate
- Instruire de securitate tehnică pentru personalul de suport IT și administratorii de sistem
- Formare avansată pentru practicieni în securitate și auditori de sisteme informatice.
- Instruire de securitate pentru administratorii seniori, administratorii funcționali și administratorii de unități de
afaceri/alți șefi de grup.
• Efectuați verificări la fața locului la birou.
• Condus de exemplu.

2.14 Planificarea managementului securității

Un plan de securitate este menit să ofere o foaie de parcurs pentru organizație în ceea ce privește securitatea. De
asemenea, este menit să fie specific fiecărei organizații. Deoarece sunt unice, procesul poate diferi pentru fiecare
organizație, dar, în general, pașii sunt:
• Definiți misiunea și stabiliți prioritățile (p.151)
• Determinați riscurile și amenințările la adresa zonelor prioritare (p.151)
• Creați un plan de securitate pentru a aborda amenințările (p.152)
- Dezvoltați politici de securitate (p.152)
- Efectuați evaluarea securității (pag. 153)
- Identificați soluții de securitate (pag. 153)
- Identificați costurile, beneficiile și fezabilitatea soluțiilor și finalizați planul (p.153)
- Prezentați planul conducerii superioare pentru a obține acceptarea conducerii (p.153)

1
4
2.15 Dezvoltarea comună a unei politici de securitate
Fazele procesului comun de dezvoltare a unei politici de securitate sunt:

Inițială și evaluare Redactarea unei propuneri către management care precizează obiectivele politicii.
Dezvoltare Elaborarea și redactarea politicii propriu-zise, încorporând obiectivele convenite.
Aprobare Procesul de prezentare a politicii către organismul de aprobare.
Publicare Publicarea și distribuirea politicii în cadrul organizației.
Implementarea Realizarea și aplicarea obiectivelor politicii.
întreținere Revizuirea regulată a politicii pentru a asigura moneda (poate fi pe o bază programată).

1
5
3.0 AUDIT ȘI MONITORIZARE
Auditul este procesul de verificare a faptului că un anumit sistem, control, proces, mecanism sau funcție îndeplinește
o listă definită de criterii . Oferă managerilor de securitate capacitatea de a determina conformitatea cu o anumită
politică sau standard. Adesea folosit pentru a furniza managementului superior rapoarte privind eficacitatea
controalelor de securitate. Monitorizarea este procesul de colectare a informațiilor pentru a identifica evenimentele
de securitate și a raporta într-un format pre-descris.

3.1 Tipuri de control

Directivă De obicei stabilite de conducere sau administratori sau pentru a se asigura că au loc acțiunile
sau activitățile necesare pentru menținerea integrității politicii sau a sistemului.
Preventiv Pentru a împiedica persoanele sau procesele să poată iniția acțiuni sau activități care ar putea
încălca politica pentru care a fost conceput controlul.
Detectiv Pentru a identifica acțiuni sau activități din orice sursă care încalcă politica pentru care a fost
conceput controlul. Comenzile detective acționează adesea ca un declanșator pentru un
corectiv Pentru a acționa într-o situație în care o politică a fost încălcată. Adesea numite
contramăsuri, acestea acționează într-un mod automat pentru a împiedica acțiunea/activitatea
care a încălcat o politică să devină mai serioasă decât este deja. Folosit pentru a restabili
Recuperare Pentru a acționa într-o situație în care o politică a fost încălcată. Controalele de recuperare
încearcă să restabilească sistemul sau procesele legate de încălcarea politicii la starea lor
inițială .
3.2 Audituri de securitate
Procesul de audit oferă un set bine definit de proceduri și protocoale pentru a măsura conformitatea sau abaterea de la
standardele, reglementările etc. aplicabile.
Obiectivele de audit ar trebui să fie cuplate cu guvernanța. Se asigură că obiectivele de audit se aliniază cu
obiectivele de afaceri. Guvernanța ia în considerare relațiile și procesele organizaționale care afectează în mod
direct întreaga întreprindere.
Odată ce scopul unui audit a fost identificat în mod clar, controalele necesare pentru îndeplinirea obiectivului pot fi
planificate - acesta este adesea numit obiectiv de control .

3.2.1 Audit de securitate intern și extern

Auditorii interni sunt angajați ai organizației în care are loc auditul. Ei examinează structura de control
intern existentă pentru conformitatea cu politicile și ajută managementul să atingă obiectivele printr-o
abordare disciplinată a guvernanței, controlului și atenuării riscurilor.
Auditorii externi sunt adesea angajați ca contractori externi pentru a răspunde cerințelor specifice de
reglementare. Organizațiile ar trebui să verifice întotdeauna acreditările terței părți înainte de a începe
auditul și un non acordul de divulgare ar trebui semnat (ca cel puțin).
3.2.2 Procesul de auditare
Departamentul Apărării (DoD) oferă pași detaliați care sunt specifici unui audit IT :

1. Planificați auditul - Înțelegeți contextul de afaceri al auditului de securitate

- Obțineți aprobările necesare de la conducerea superioară și reprezentanții legali
- Obțineți informații istorice despre auditurile anterioare, dacă este posibil
- Cercetați statutele de reglementare aplicabile
- Evaluați condițiile de risc inerente mediului
2. Determinați - Evaluați situația actuală de securitate folosind o abordare bazată pe risc
controalele - Evaluați eficacitatea controalelor de securitate existente
existente și profilul - Efectuați evaluarea riscului de detectare/control
de risc - Determinați profilul de risc total rezultat
3. Efectuați teste de - Determinați eficacitatea politicilor și procedurilor
conformitate - Determinați eficacitatea separării sarcinilor
4. Efectuați teste de - Verificați dacă controalele de securitate se comportă conform așteptărilor -
fond Testați controalele în practică
5. Determinați - Dacă exploatările de securitate găsite ar fi executate, care ar fi impactul tangibil
materialitatea ($£) asupra afacerii și impactul intangibil (reputația).
punctelor slabe - Determinați dacă exploatările de securitate cresc profilul de risc organizațional

1
6
 6. Prezentați - Întocmește raportul de audit și opinia de audit
constatările - Creați recomandări
3.2.3 Surse de date de audit (pag. 192)
Sursele de audit sunt locații de unde pot fi adunate datele de audit, pentru evaluare și analiză. Auditorul
trebuie să ia în considerare întotdeauna obiectivitatea sursei de informații. Sursele de audit pot fi colectate
din mai multe locații, cum ar fi:
- Organigrame - Inventare hardware și software
- Diagrame de topologie de rețea - Interviuri informale cu angajații
- Procesul de afaceri și documentația de dezvoltare - Rapoarte de audit anterioare

3.2.4 Piste de audit

Traseele de audit sunt un grup de jurnale sau informații relevante care alcătuiesc setul de dovezi legate de
o anumită activitate. Pentru fiecare acțiune întreprinsă asupra unui sistem de informații ar trebui să existe o
intrare de jurnal relevantă care să conțină informații despre numele sistemului, numele de utilizator al
utilizatorului, ce acțiune a fost luată și rezultatul acțiunii.

Unul dintre cele mai dificile aspecte ale stabilirii unei piste de audit este asigurarea integrității pistei de
audit .
Integritatea traseului de audit este crucială pentru reconstrucția evenimentului unui incident de securitate.
Este important să se protejeze pista de audit de accesul neautorizat și de falsificarea jurnalelor . Se
recomandă utilizarea unei Facilități de înregistrare centrală (CLF) pentru a menține jurnalele de sistem
disparate . Ar trebui luate în considerare și copiile de siguranță ale jurnalelor de audit.

Evaluările jurnalului de audit vor fi efectuate pentru a revizui nivelul de detaliu care ar trebui acoperit,
astfel încât să se poată face inferențe generale despre activitatea gazdei și suficient de granulare pentru a
investiga în continuare un anumit eveniment.

Traseele de audit oferă o metodă de urmărire sau înregistrare care permite urmărirea activităților legate de
securitate. Traseele de audit utile includ:
- Modificări de parolă - Crearea și ștergerea contului
- Utilizare privilegiată - Acces la resurse
- Privilegiul escaladării - Eșecuri de autentificare

Evenimentele de sistem oferă declanșatoare care sunt capturate în urma de audit și utilizate pentru a
demonstra un model de activitate. Următoarele sunt exemple de evenimente urmărite:
- Pornire și oprire - Acțiuni de administrator/operator
- Conectați-vă și deconectați-vă - Respingerea accesului la resurse
- Creați obiectul, ștergeți și modifica - Aprobări de acces la resurse

Eșantionarea și extragerea datelor se efectuează atunci când nu există date originale disponibile . În acest
caz, administratorul ar trebui să folosească tehnici de colectare precum interviuri sau chestionare pentru a
extrage datele dintr-un grup de respondenți. Eșantionarea datelor le permite să extragă informații specifice.
Acesta este cel mai adesea utilizat pentru detectarea activității anormale.
Perioadele de păstrare indică cât timp trebuie păstrate mediile pentru a respecta constrângerile de
reglementare. Întrebarea cheie este „cât timp este suficient”? Depinde în mare măsură de problemele de
reglementare/conformitate.

3.2.5 Metode de audit de securitate

Metodele de audit ar trebui să fie bine documentate și dovedite a fi reconstruite dacă este necesar.
Frecvența revizuirii depinde de tipul și importanța auditului. Raportul de audit de securitate ar trebui să
evidențieze toate constatările și recomandările ori de câte ori este necesar. Următoarele sunt două tipuri de
metode care sunt utilizate în mod obișnuit pentru auditurile de securitate .

• Testare de penetrare (p.201): Clasificat ca audit de securitate proactiv, prin testarea controalelor de
securitate printr-o simulare a acțiunilor care pot fi întreprinse de atacatori reali.

Când vă pregătiți pentru un test de penetrare, trebuie generată sau mapată o listă de atacuri care vor
avea loc. Această listă de atacuri poate fi asemănată cu o listă de verificare a auditului. Un test de
penetrare responsabil necesită o coordonare și o planificare atentă pentru a minimiza probabilitatea
unui impact negativ asupra unei organizații.

1
7
 Un test de penetrare este procesul autorizat, programat și sistematic de utilizare a vulnerabilităților
cunoscute și de exploatare a acestora în încercarea de a efectua o intruziune în resursele gazdă, rețelei,
fizice sau aplicației.

Testul de penetrare poate fi efectuat pe resurse interne (un sistem de securitate pentru acces la clădire
sau Intranet) sau externe (conexiunea companiei la Internet). Constă în mod normal în utilizarea unei
testari automate și manuale a resurselor organizației. Procesul include.

- Identificarea gazdei - adică identificarea porturilor deschise și a serviciilor care rulează.

- Amprentarea sistemului de operare și a aplicațiilor care rulează - adică identificarea versiunii
sistemului de operare și a aplicațiilor care rulează (tehnici de amprentare TCP/IP, preluarea
bannerelor etc.)
- Crearea unei matrice de vulnerabilități pentru gazdă în funcție de sistemul de operare și
aplicație, utilizând surse comune, cum ar fi SecurityFocus, CERT etc., pentru a colecta
vulnerabilități cunoscute.
- Analiza vulnerabilităților folosind instrumente automate (cum ar fi ISS, Nessus etc) și tehnici
manuale.
- Raportarea punctelor slabe și pregătirea foii de parcurs înainte.

Lista de verificare a auditului (p.198): Întrebările standard de audit sunt pregătite ca șablon și
utilizate pentru o mare varietate de organizații (de exemplu, SPRINT).

Dacă un auditor se bazează prea mult pe lista de verificare și nu efectuează propria verificare a
detaliilor aferente pe baza observațiilor unice pentru mediu, o defecțiune majoră de securitate ar putea
trece neobservată. Același lucru este valabil și pentru instrumentele software care automatizează
procesul de audit și/sau verifică vulnerabilitățile de securitate (vezi CAAT-urile de mai jos).

Alte tipuri de metode de audit de securitate sunt apelarea în război (pentru a vedea dacă există
modemuri deschise), scufundarea în gunoi (pentru a testa eficiența eliminării în siguranță a
informațiilor confidențiale), ingineria socială (pentru a testa comportamentul de securitate al
angajaților) și conducerea în război. (caut puncte de acces wireless nesecurizate)

3.2.6 Instrument de audit asistat de calculator (CAAT)

Un CAAT este orice software sau hardware utilizat pentru a efectua procese de audit. CAAT-urile pot ajuta
la găsirea erorilor, detectarea fraudelor, identificarea domeniilor în care procesele pot fi îmbunătățite și
analiza datelor pentru a detecta abaterile de la normă.

Avantajul utilizării CAAT-urilor este automatizarea sarcinilor manuale pentru analiza datelor. Pericolul
folosirii lor este dependența de instrumente care să înlocuiască observația și intuiția umană . Auditorii ar
trebui să folosească CAAT-urile pentru a testa în mod exhaustiv datele în diferite moduri, pentru a testa
integritatea datelor, pentru a identifica tendințele, anomaliile și excepțiile și pentru a promova abordări
creative ale auditurilor, utilizând în același timp aceste instrumente.

Câteva exemple de CAAT (bazate pe mainframe) sunt: EZTrieve, CA-PanAudit, FocAudit și SAS. PC-
urile pot fi, de asemenea, utilizate pentru programele de foi de calcul/bază de date pentru audit sau un
instrument Generalize Audit Software (GAS) poate fi utilizat pentru a efectua aceste funcții de audit - de
exemplu, Integrated Development Environment Application (IDEA)

3.2.7 Unitate centrală de logare (CLF)

Un CLF vă ajută să vă asigurați că jurnalele de audit și de sistem sunt trimise într-o locație sigură, de
încredere, care este separată și inaccesibilă de dispozitivele care sunt monitorizate.

Un CLF poate colecta și integra date disparate din mai multe sisteme și poate ajuta la determinarea unui
model de atac prin corelarea datelor. De asemenea, poate dezvălui discrepanțe între jurnalele de la distanță
și jurnalele păstrate pe un server protejat - în acest fel poate detecta modificarea jurnalelor.

3.3 Mecanismul de raportare și monitorizare

Monitorizarea poate fi în timp real, ad-hoc sau pasivă, în funcție de necesitate și importanță. Pentru a menține
securitatea sistemului la zi, administratorii de securitate trebuie să monitorizeze în mod constant sistemul și să fie
conștienți de atacurile pe măsură ce se întâmplă. Monitorizarea se poate face automat sau manual, dar în orice caz ar
trebui să existe o bună politică și o practică de monitorizare constantă.

1
8
 Bannerele de avertizare vor avertiza utilizatorii sistemelor cu privire la respectarea politicii de utilizare acceptabilă
și la răspunderea lor legală. Acest lucru se va adăuga la procesul de cerințe legale în timpul urmăririi penale a
utilizatorilor rău intenționați. În plus, bannerele avertizează toți utilizatorii că orice fac pe sisteme este supus
monitorizării.

Monitorizarea tastelor este un proces prin care administratorii de sistem informatic vizualizează sau înregistrează
atât apăsările de taste introduse de un utilizator de computer, cât și răspunsul computerului în timpul unei sesiuni de
la utilizator la computer.
Analiza traficului permite ca datele capturate prin cablu să fie raportate în format lizibil pentru acțiune.
Analiza tendințelor se bazează pe inferențe făcute de-a lungul timpului asupra datelor istorice (în special trafic).
Poate arăta cum o organizație își crește sau scade conformitatea cu politica (sau orice altceva este auditat) în timp.
Monitorizarea evenimentelor oferă alerte sau notificări ori de câte ori este detectată o încălcare a politicii. De
obicei, vin în minte IDS-urile, dar jurnalele de firewall, jurnalele de server/aplicație și multe alte surse pot fi
monitorizate pentru declanșatorii de evenimente. Televiziunea cu circuit închis (CCTV) va monitoriza activitatea
fizică a persoanelor
Monitorizarea hardware este efectuată pentru detectarea defecțiunilor și monitorizarea software-ului pentru
detectarea instalării ilegale a software-ului.
Alarmele și semnalele funcționează cu IDS. O alarmă permite unui administrator să fie conștient de apariția unui
anumit eveniment. Acest lucru poate oferi administratorului șansa de a evita un atac sau de a remedia ceva înainte ca
situația să se agraveze. Aceste notificări pot include paginarea, apelarea unui număr de telefon și livrarea unui mesaj
sau notificarea personalului de monitorizare centralizată
Rapoartele de încălcare sunt utilizate pe scară largă în monitorizarea unui sistem de control al accesului. Acest tip
de raport arată practic orice tentative de acces neautorizat. Aceasta ar putea fi pur și simplu o listă de încercări de
conectare eșuate raportate. A se vedea, de asemenea, Niveluri de tăiere p. 17
Honeypot-urile sunt păstrate în mod deliberat de către organizații pentru a studia comportamentul atacatorilor și, de
asemenea, pentru a atrage atenția de la alte potențiale ținte.
Detectoarele de utilizare greșită analizează activitatea sistemului, căutând evenimente sau seturi de
evenimente care se potrivesc cu un model predefinit de evenimente care descriu un atac cunoscut. Uneori
numită „detecție pe bază de semnătură”. Cea mai comună formă de detectare a utilizării greșite utilizată în
produsele comerciale specifică fiecare tipar de evenimente care corespunde unui atac ca semnătură separată.

Sistemele de detectare a intruziunilor (IDS) oferă o alertă atunci când apare o anomalie care nu se potrivește cu o
linie de bază predefinită sau dacă activitatea în rețea se potrivește cu un anumit model care poate fi recunoscut ca un
atac. Există două tipuri majore de detectare a intruziunilor:

- IDS bazat pe rețea (NIDS) care va detecta tot traficul de rețea și va raporta rezultatele.
- ID-uri bazate pe gazdă (HIDS) care va funcționa pe un anumit sistem și va raporta numai elementele care afectează
acel sistem. Sistemele de detectare a intruziunilor folosesc două abordări:

Identificare bazată pe Identificarea anomaliilor

semnături (alias bazată pe (aka bazat pe anomalii statistice sau bazat pe comportament)
- Detectează atacurile cunoscute - Caută atacuri indicate prin comportament anormal.
- Potrivire de model - Presupunerea aici este că toate evenimentele intruzive sunt considerate
- Similar cu scanarea virușilor anomalii.
- Mai întâi trebuie construit un profil al activității considerate „normale”.
3.4 Tipuri de atac
Atacul de dicționar: un atac de dicționar folosește un fișier text plat care conține cuvinte din dicționar (uneori în mai
multe limbi) și multe alte cuvinte comune. Sunt încercate sistematic împotriva parolei utilizatorului.

Atacul cu forță brută: în acest tip de atac, fiecare combinație imaginabilă de litere, numere și simboluri este
încercată sistematic împotriva parolei până când aceasta este spartă. Poate dura un timp incredibil de lung din cauza
diferitelor permutări și combinații care trebuie încercate.

Refuzarea serviciului (DoS): este o situație în care o circumstanță, fie intenționată, fie accidentală, împiedică
sistemul să funcționeze conform intenției sau împiedică utilizatorii legitimi să folosească acel serviciu. În anumite
cazuri, sistemul poate funcționa exact așa cum a fost proiectat, dar nu a fost niciodată destinat să gestioneze sarcina,
domeniul de aplicare sau parametrii care îi sunt impuse. Atacul de refuzare a serviciului este caracterizat printr-o
încercare explicită a atacatorilor de a împiedica utilizatorii legitimi ai unui serviciu să utilizeze acel serviciu.
Exemplele includ:
- Încercările de a „inunda” o rețea, prevenind astfel traficul legitim în rețea.
- Încercarea de a întrerupe conexiunile între două mașini, împiedicând astfel accesul la un serviciu.
- Încercările de a împiedica o anumită persoană să acceseze un serviciu.

1
9
- Încercările de a întrerupe serviciul către un anumit sistem sau persoană.

Distribuit Denial of Service (DDoS): similar cu atacul DoS, dar atacatorul folosește alte sisteme pentru a lansa
atacul de denial of service. Un cal troian ar putea fi plasat pe sistemul „slave” care permite atacatorului să lanseze
atacul din acest sistem.

Spoofing: Spoofing este o formă de atac în care intrusul se preface a fi un alt sistem și încearcă să furnizeze/obțină
date și comunicații care au fost destinate sistemului original. Acest lucru se poate face în mai multe moduri diferite,
inclusiv falsificarea IP, deturnarea sesiunii și falsificarea ARP (Address Resolution Protocol).

Man In The Middle Attacks: Efectuat prin introducerea eficientă a unui sistem intrus în mijlocul căii de
comunicații între alte două sisteme din rețea. Făcând acest lucru, un atacator este capabil să vadă ambele părți ale
conversației dintre sisteme și să extragă date direct din fluxul de comunicații. În plus, intrusul poate introduce date în
fluxul de comunicații, ceea ce le-ar putea permite să efectueze atacuri extinse sau să obțină mai multe date
neautorizate de la sistemul gazdă.

Atacurile de spam: Spam-ul sau trimiterea de mesaje de e-mail nesolicitate este de obicei considerată mai mult o
supărare decât un atac, dar poate fi ambele. Încetinește sistemul, făcându-l incapabil să proceseze mesaje legitime. În
plus, serverele de e-mail au o cantitate finită de capacitate de stocare, care poate fi supraumplută prin trimiterea unui
număr mare de mesaje către server, ducând astfel efectiv la atacuri DoS asupra serverului de e-mail.

Sniffing: Procesul de ascultare/captare a traficului care trece prin rețea, fie folosind un dispozitiv dedicat, fie un
sistem configurat cu software special și o placă de rețea setată în mod promiscuu. Un sniffer stă practic în rețea și
ascultă tot traficul care trece prin rețea. Software-ul asociat cu sniffer este apoi capabil să filtreze traficul capturat,
permițând intrusului să găsească parole și alte date trimise prin rețea în text clar. Sniffer-urile au o funcție validă în
tehnologia informației, permițând analiștilor de rețea să depaneze problemele de rețea, dar pot fi și arme foarte
puternice în mâinile intrușilor.

3.4 FURTUNĂ
TEMPEST este numele de cod al guvernului SUA pentru un set de standarde pentru limitarea emisiilor de radiații
electrice sau electromagnetice de la echipamente electronice, cum ar fi microcipuri, monitoare sau imprimante. Vă
ajută să vă asigurați că dispozitivele nu sunt susceptibile la atacuri precum Van Eck Phreaking.

3.5 Nivel de tăiere

Utilizarea nivelurilor de tăiere se referă la setarea pragurilor permise pentru o activitate raportată . Nivelurile de
tăiere stabilesc o linie de referință pentru erorile normale ale utilizatorilor și numai încălcările care depășesc acel prag
vor fi înregistrate pentru a analiza motivul pentru care au avut loc încălcările.

De exemplu, un nivel de tăiere de trei poate fi setat pentru raportarea încercărilor eșuate de conectare la o stație de
lucru. Astfel, trei sau mai puține încercări de conectare ale unei persoane la o stație de lucru nu vor fi raportate ca o
încălcare (eliminând astfel necesitatea revizuirii erorilor normale de intrare de conectare.)

2
0
 4.0 RISC, RĂSPUNS ȘI RECUPERARE
Managementul Identificarea, măsurarea și controlul riscului.
riscurilor a
Evaluare Proces de determinare a relației dintre amenințări și vulnerabilități și controalele existente și
riscurilor impactul rezultat (proces obiectiv).
Analiza de risc Utilizarea unui proces de analiză a riscului determină riscul general (proces subiectiv).
Impactul negativ poate fi pierderea integrității, disponibilității sau confidențialității. RA ar
trebui să recomande controale pentru a atenua riscul (adică contramăsuri).
4.1 Managementul riscurilor (riscuri, amenințări, vulnerabilități și expuneri)
Managementul riscului este procesul ciclic de identificare, măsurare și control al pierderilor asociate evenimentelor
adverse. Include analiza riscurilor, selectarea/evaluarea garanțiilor, analiza cost-beneficiu, implementarea măsurilor de
salvgardare/contramăsuri etc. Este alcătuit din mai mulți pași (p. 231 SSCP):
Identificare Fiecare risc care este potențial dăunător este identificat.
Evaluare Se determină consecințele unei potențiale amenințări și se analizează probabilitatea și frecvența
apariției unui risc.
Planificare Datele care sunt colectate sunt puse într-un format semnificativ, care este utilizat pentru a crea
strategii pentru a diminua sau elimina impactul unui risc.
Monitorizarea Riscurile sunt urmărite și strategiile evaluate pe o bază ciclică - adică, deși un risc a fost tratat,
acesta nu poate fi uitat.
Control Sunt luate măsuri pentru corectarea planurilor care nu funcționează pentru a îmbunătăți
gestionarea riscului
Vulnerabilitate: Slăbiciune a unui sistem informațional care ar putea fi exploatat de un agent de amenințare (de exemplu,
eroare software). Amenințare: Orice pericol potențial , care poate dăuna unui sistem informatic - accidental sau
intenționat (de ex. hacker). Risc: este probabilitatea ca un agent de amenințare să profite de vulnerabilitate .
Risc = Amenințare x Vulnerabilitate
Expunere: Un caz de expunere la pierderi de la un agent de amenințare.
Active: Resursele de afaceri asociate sistemului (tangibile și necorporale). Acestea vor include: hardware, software,
personal, documentație și comunicare informațională etc. Pierderea parțială sau completă a activelor poate afecta
confidențialitatea, integritatea sau disponibilitatea informațiilor sistemului.
Controale: puse în aplicare pentru a reduce, atenua sau transfera riscul. Acestea pot fi fizice, administrative sau tehnice
(vezi p. 4). Ele pot fi, de asemenea, descurajatoare, preventive, corective sau detective (vezi p. 14).
Măsuri de protecție: controale care asigură o anumită protecție activelor.
Contramăsuri: controale care sunt puse în aplicare ca urmare a unei analize de risc pentru a reduce vulnerabilitatea.
Atenuarea riscurilor: Procesul de selectare și implementare a controalelor pentru a reduce riscul la niveluri acceptabile
Notă: Riscurile pot fi reduse , acceptate , gestionate , atenuate , transferate sau considerate că necesită analize
suplimentare.
4.2 Analiza de risc
Pentru a identifica și analiza riscurile trebuie să facem o analiză de risc. Două metodologii generale utilizate pentru analiza
riscului.
4.2.1 Analiza cantitativă a riscului : Rezultatele arată cantitatea în termeni de valoare (bani). Acesta va
oferi cifrele reale în ceea ce privește costurile contramăsurilor și cantitatea de daune care se pot întâmpla.
Procesul este matematic și cunoscut sub numele de modelare a riscului , bazat pe modele de probabilitate.
AV = Valoarea activului ($ € )
EF (Factor de expunere) [Max 100%] = Procentul de pierdere a activelor cauzată de atacuri presupuse reușite.
SLE (Single Loss Expectancy) [este costul] = Valoarea activului x Factorul de expunere
ARO (Rata anualizată de apariție) = Frecvența estimată a unei amenințări într-un an = Probabilitatea ca un
eveniment să aibă loc x numărul de ori care ar putea apărea într-un singur an .
ALE (Anualized Loss Expectancy) = SLE x ARO
ROI (Rentabilitatea investiției) = ALE / Costul anualizat al contramăsurilor ($) [În general, dacă rentabilitatea
investiției este mai mare de 1,0, atunci ar trebui aplicată contramăsura.]
Analiza cost/beneficiu = compară costul unui control cu beneficiile [ALE (înainte) - ALE (după) - Cost anual
= Valoarea garanției] (p.267 din SSCP pentru exemple)
4.2.2 Analiza calitativă a riscului: parcurgeți diferite scenarii de posibilități de risc și clasificați gravitatea
amenințărilor și sensibilitatea activelor. Aceasta oferă rezultate subiective de nivel mai înalt decât analiza
cantitativă a riscului.

Notă: Cantitativul durează mai mult și este mai complex.

2
1
4.3 Instrumente și tehnici de analiză/evaluare a riscurilor
DELFHI Tehnicile Delphi implică un grup de experți care evaluează și clasifică în mod independent riscul
de afaceri pentru un proces de afaceri sau organizație și combină rezultatele într-un consens.
Fiecare expert din grupul Delphi măsoară și prioritizează riscul pentru fiecare element sau criteriu.
COBRA „Analiza de risc consultativă, obiectivă și bifuncțională”. Este un sistem PC cu chestionare care
utilizează principiile sistemului „expert” și o bază extinsă de cunoștințe. Evaluează importanța
relativă a tuturor amenințărilor și vulnerabilităților.
OCTAVĂ Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților (OCTAVE) este o
tehnică de evaluare și planificare strategică bazată pe riscuri pentru securitate.
Metodologia de Pasul 1. Caracterizarea sistemului Pasul 5. Determinarea probabilității
evaluare a Pasul 2. Identificarea amenințărilor Pasul 6. Analiza impactului
riscurilor NIST Pasul 3. Identificarea vulnerabilităților Pasul 7. Determinarea riscului
(SP800-30) Pasul 4. Analiza de control Pasul 8. Recomandări de control
Pasul 9. Documentația rezultatelor
4.4 Recuperare după dezastru
Planificarea redresării în caz de dezastru/afacere este o componentă critică a procesului de planificare a continuității
afacerii.
4.4.1 Planificarea continuității afacerii (BCP) (p.268 SSCP)
BCP este procesul de dezvoltare, documentare și integrare proactivă a proceselor, proceduri care vor permite
unei organizații să răspundă la un dezastru, astfel încât funcțiile critice ale afacerii vor continua cu modificări
minime sau nesemnificative până în momentul în care facilitățile sale normale sunt restaurate. BCP cuprinde
procesul complet de restaurare a tuturor operațiunilor de afaceri .
Deoarece BCP se concentrează pe restabilirea funcțiilor normale de afaceri ale întregii afaceri, este important ca
funcțiile critice ale afacerii să fie identificate. Este responsabilitatea fiecărui departament să definească acele
cerințe care sunt esențiale pentru a-și continua operațiunile . Prin urmare, este important să se evalueze și să
documenteze cerințele pentru fiecare departament în cadrul planului de continuitate a afacerii. Acest lucru se
realizează de obicei printr-o analiză a impactului asupra afacerii (BIA).
Notă: O BIA este de obicei efectuată imediat înainte de a face BCP.
4.4.2 Planificarea recuperării în caz de dezastru (DRP) (p.271 SSCP)
Planurile de recuperare în caz de dezastru ar trebui să documenteze măsurile de precauție luate, astfel încât
efectele unui dezastru să fie minimizate și acțiunile care trebuie luate pentru a permite organizației fie să
mențină, fie să reia rapid sistemele critice pentru afaceri .1) Răspuns în caz de urgență 2) Backup 3)
Recuperare
BCP abordează restabilirea funcțiilor cheie de afaceri , în timp ce un DRP se concentrează pe restaurarea
sistemelor informaționale .
4.4.3 Backup-uri (p.277 SSCP)
Backup complet Face backup pentru toate datele într-o singură lucrare de rezervă. Schimbă bitul de
incremental arhivă.
Face backup pentru toate datele de la ultima copie de rezervă (adică noi și modificate).
Diferenţial Face backup pentru toate datele modificate de la ultima copie de rezervă completă . Nu
Copiere de schimbă
Face bitulde
o copie derezervă
arhivă. completă, dar nu schimbă bitul de arhivă
rezervă
Programul obișnuit de rotație a benzilor este Bunicul (backup lunar complet) - Tatăl (săptămânal) - Fiul (zilnic)
De asemenea, este important ca o copie de rezervă să fie la fel de bună în măsura în care capacitatea sa de a fi
restaurată - restaurările de test ale datelor trebuie efectuate în mod regulat.
4.4.4 Analiza impactului asupra afacerii (BIA)
Este un proces folosit pentru a ajuta unitățile de afaceri să înțeleagă impactul unui eveniment perturbator.
Impactul poate fi financiar (cantitativ – pierderea valorii stocului) sau operațional (calitativ – incapabil să
răspundă clientului). Un BIA identifică sistemele critice ale companiei necesare pentru supraviețuire și
estimează timpul de întrerupere care poate fi tolerat. Primul pas al unui BIA este identificarea tuturor unităților
de afaceri din cadrul organizației (apoi le intervieviți pentru a determina criticitatea acesteia).
4.4.5 Testarea planurilor de recuperare în caz de dezastru: există diferite metode de testare a DRP:
• Testul listei de verificare: Copii ale planului sunt distribuite conducerii/participantului pentru
revizuire.
• Test de prezentare structurată: conducerea unității de afaceri se întâlnește într-o cameră pentru a
revizui planul.
• Test de simulare: Tot personalul de asistență se întâlnește într-o sesiune de execuție de practică.
• Test în paralel: testare în direct completă fără a dezactiva sistemul operațional (de exemplu, la
punere în scenă)

2
2
 •dezastru.
Test de întrerupere completă: producție normală oprită, cu procese reale de recuperare în caz de

4.4.6 Restaurare și recuperare

Site fierbinte Cel mai pregătește instalația (și cea mai scumpă) care are hardware-ul necesar, software-ul,
liniile telefonice, conexiunile la rețea etc. pentru a permite unei afaceri să-și reia funcțiile de
afaceri aproape imediat.
Site cald Nu este la fel de bine echipat ca un site fierbinte, dar are o parte din hardware-ul, software-ul,
rețeaua etc. necesare pentru a restabili rapid funcțiile de afaceri. Cel mai des folosit.
Site rece Mai ieftin, gata pentru ca echipamentele să fie aduse în caz de urgență, dar nu există hardware
pe amplasament, deși are AC, cablaj electric etc. Poate să nu funcționeze atunci când se
Site reciproc Acesta este un aranjament cu o altă companie, astfel încât una o va găzdui pe cealaltă în caz de
urgență - nu este ideal pentru companiile mari. Este cea mai ieftina varianta. Principala
preocupare este compatibilitatea echipamentelor .
Atunci când decideți asupra locațiilor adecvate pentru site-uri alternative, este important ca acestea să fie în
locații geografice diferite care nu pot fi victime ale aceluiași dezastru. Acest lucru ar trebui să fie echilibrat cu
necesitatea ca site-ul alternativ să nu fie atât de departe încât să se amplifice semnificativ timpul de
nefuncționare.
Când mutați funcțiile de afaceri pe un site alternativ , cel mai important ar trebui mutat mai întâi. Când mutați
funcțiile de afaceri înapoi pe site-ul principal, trebuie mutate mai întâi cele mai puțin critice .
4.5 Răspuns la incident (pag. 282 SSCP)
Incident: încălcarea unei politici de securitate explicite sau implicite. De exemplu, încercări de a obține acces neautorizat
la sistem/date, utilizarea neautorizată a sistemului pentru procesarea/stocarea datelor, modificări ale
hardware-ului/software-ului sistemului fără autorizație.
Răspuns la incident: Activități care sunt efectuate atunci când are loc un incident legat de securitate care are potențialul
de a avea un efect negativ asupra sistemului sau organizației. Obiectivul răspunsului la incident și al investigației ulterioare
este următorul: - Controlați și gestionați incidentul (adică asigurați-vă că toate jurnalele/dovezile aplicabile sunt
păstrate).
- Investigarea și evaluarea în timp util a gravității incidentului (adică întocmirea listei suspecților,
înțelegeți cum a obținut accesul intrusul, documentați daunele cauzate etc).
- Recuperarea în timp util sau ocolirea incidentului pentru a relua condițiile normale de funcționare (adică
restabilirea sistemului încălcat la starea inițială, asigurându-se în același timp că este sigur).
- Notificarea în timp util a incidentului către administratorii superiori/conducerea (adică comunicarea rezultatelor
investigației, mai ales dacă există efecte juridice)
- Prevenirea incidentelor similare (adică aplicarea măsurilor de securitate pentru a se asigura că încălcarea nu
poate apărea din nou).
În general, atunci când se investighează un incident ar trebui să se efectueze următorii pași:
- Contactați conducerea superioară și echipa de răspuns la incidente.
- NU opriți sau reporniți sistemul sau deschideți niciun fișier (adică nu modificați în niciun fel starea sistemului).
- Deconectați sistemul de la rețea.
- Documentați orice procese care rulează și orice fișiere deschise/mesaje de eroare etc.
- Salvați conținutul fișierelor de memorie/pagină și orice jurnal de sistem sau aplicație.
- Dacă este posibil, faceți o imagine octet cu octet a discului fizic (ideal pe medii de scriere o singură dată - de
exemplu CD).
Deoarece orice probe colectate pot fi folosite în eventuale proceduri penale, trebuie păstrată o documentație amănunțită .
În special, trebuie stabilit un lanț de custodie pentru orice probe dobândite.
Un lanț de custodie dovedește unde a fost o probă la un moment dat și cine a fost responsabil pentru aceasta. Acest lucru
ajută la asigurarea integrității dovezilor.
Cea mai bună dovadă : Dovezi originale sau primare, mai degrabă decât o copie sau un duplicat.
Secundar : O copie a dovezilor sau descrierea orală a conținutului acesteia.
direct : Demonstrează/infirmă un act specific prin mărturie orală bazată pe informațiile adunate prin intermediul
cele cinci simțuri ale martorului .
Real : Obiecte tangibile/dovezi fizice.
Concludent : Incontrovertibil - trece peste toate celelalte dovezi.
pareri : Două tipuri diferite: Expert - poate oferi o opinie bazată pe expertiza personală sau fapte.
Neexpert - poate depune mărturie numai cu privire la fapte.
Circumstanțial : Deducerea informațiilor din alte fapte, intermediare, relevante.
Documentar : Înregistrări comerciale tipărite, manuale, tipărite.
Demonstrativ : Folosit pentru a ajuta un juriu (diagrame, ilustrații etc).

2
3
Coroborative : dovezi justificative utilizate pentru a ajuta la demonstrarea unei idei sau a unui punct. Nu poate sta pe cont
propriu, dar este folosit ca un instrument suplimentar pentru a ajuta la dovedirea unei probe primare.
Din auzite : Cunoscută și sub numele de dovezi second-hand. Dovezi care nu se bazează pe personal, de primă mână
cunoașterea martorului, dar a fost obținută dintr-o altă sursă. De obicei, nu este admisibil în instanță
(regula auzitelor), deși există excepții. Dovezile bazate pe computer sunt considerate a fi auzite, dar
sunt admisibile dacă sunt relevante .

5.0 CRIPTOGRAFIE
Criptografie: Știința scrierii secrete care vă permite să stocați și să transmiteți date într-o formă care este disponibilă
numai persoanelor vizate.
Criptosistem: implementare hardware sau software a criptografiei care transformă un mesaj în text cifrat și înapoi în text
simplu.
Criptoanaliza/Cryptanalysis: Recuperarea textului simplu din text cifrat fără cheie sau întreruperea criptării.
Criptologie: Studiul atât al criptografiei, cât și al criptoanalizei.
Text cifrat: date în format criptat sau ilizibil.
Cifrare: conversia datelor într-un format care nu poate fi citit.
Descifrare: convertirea datelor într-un format care poate fi citit.
Criptovariabilă (cheie): secvență secretă de biți (cheie) utilizată pentru criptare și decriptare.
Steganografie: arta de a ascunde existența unui mesaj într-un mediu diferit (de exemplu, în jpg, mp3 etc.)
Chei escrow: cheile unității sunt împărțite în două secțiuni și date la două agenții de escrow diferite pentru a le menține.

Sistemele criptografice
Cum este procesat textul Cifre de flux (p.348 SSCP) : Cifrele de flux sunt algoritmi simetrici care funcționează bit
simplu cu bit pe text simplu . Algoritmii de cifrare în flux creează un flux de chei care este
combinat cu textul simplu pentru a crea textul cifrat. Ca și în cazul altor cifruri, procesarea
textului simplu utilizează o operație XOR. De exemplu, cifrul fluxului este RC4.

Cifrare bloc (p.346 SSCP) : Criptează datele în bucăți discrete de dimensiune fixă .
Cifrurile bloc sunt simetrice - folosesc aceeași cheie secretă pentru criptare și decriptare.
De obicei, dimensiunea blocului va fi de 64 de biți, dar cifrurile pot suporta blocuri de
orice dimensiune, în funcție de implementare. Cifrurile bloc pe 128 de biți devin comune.
Algoritmi utilizați sau Algoritmi de criptare simetrică : Cunoscuți și ca cheie privată, deoarece este utilizată o
numărul de chei singură cheie și trebuie păstrată secretă pentru securitate. Ambele părți vor folosi aceeași
utilizate. cheie pentru criptare și decriptare. Mult mai rapid decât sistemele asimetrice, greu de spart
dacă folosiți o cheie de dimensiune mare. Distribuția cheilor necesită un mecanism sigur
pentru livrarea cheilor. Securitate limitată, deoarece oferă doar confidențialitate. „Metoda
în afara benzii” înseamnă că cheia este transmisă prin alt canal decât mesajul.

Algoritmi de criptare asimetrică : Cunoscuți și ca cheie publică. Două chei asimetrice

diferite sunt legate matematic - cheie publică și privată. Distribuție mai bună a cheilor
decât sistemele simetrice. Scalabilitate mai bună decât sistemele simetrice. Poate oferi
confidențialitate, autentificare și non-repudiere.
Clustering key = Când un mesaj text simplu generează mesaje criptate identice folosind același algoritm de
transformare, dar cu chei diferite .
Format de mesaj securizat : Întregul mesaj criptat de cheia publică a destinatarului - numai receptorul poate decripta
mesajul folosind propria sa cheie privată, asigurând astfel confidențialitatea. [Aceasta este metoda normală] Format
mesaj deschis : întreg mesajul criptat de cheia privată a expeditorului - oricine poate decripta mesajul folosind cheia
publică a expeditorului, dar poate fi sigur că mesajul provine de la expeditor.
Format securizat și semnat : semnat de cheia privată a expeditorului și întregul mesaj criptat cu cheia publică a
destinatarului. Doar destinatarul poate decripta mesajul folosind propria sa cheie privată, asigurând astfel
confidențialitatea. Prin semnarea mesajului cu cheia privată a expeditorului, destinatarul poate verifica autenticitatea
acestuia folosind cheia publică a expeditorului. [Cel mai sigur]

5.1 Algoritmi de criptare simetrică (p.333 SSCP)

Standard de criptare a datelor (DES) [uneori denumit algoritm de criptare a datelor - DEA]: Bazat pe algoritmul IBM
pe 128 de biți Lucifer . Un algoritm de criptare bloc, 64 de biți de intrare -> 64 de biți de ieșire. 56 de biți alcătuiesc cheia
adevărată (eficientă) și 8 biți utilizați pentru paritate . Un bloc de 64 de biți este împărțit în jumătate și fiecare caracter este
criptat pe rând. Caracterele sunt supuse a 16 runde de transpunere și înlocuire.
3DES: Utilizează 48 de runde în calculul său. Performanță grea și poate dura de până la trei ori mai mult decât DES pentru
a realiza criptarea și decriptarea. Dimensiunea cheii pe 168 de biți (adică 3x56)

2
4
Advanced Encryption Standard (AES): standard de înlocuire NIST pentru DES bazat pe Rijndael. AES este un cifr de
bloc cu un bloc variabil și lungimea cheii. Utilizează o transformare rotundă care este compusă din trei straturi de
transformări distincte și inversabile : Stratul neliniar; Stratul de amestec liniar; Stratul de adăugare cheie. AES are 3
opțiuni de lungime a cheii: 128, 192 și 256 de biți .
Algoritmul internațional de criptare a datelor (IDEA): se utilizează cheia de 128 de biți . Cifrul bloc operează pe
blocuri de date de 64 de biți. Blocul de date de 64 de octeți este împărțit în 16 blocuri mai mici și fiecare are opt runde de
funcții matematice efectuate pe el. Folosit în PGP .
Skipjack: Folosit pentru dispozitive electronice de criptare (hardware) . Acest lucru îl face unic, deoarece ceilalți
algoritmi pot fi implementați fie în hardware, fie în software. SkipJack funcționează într-un mod similar cu DES, dar
folosește o cheie de 80 de biți și 32 de runde, mai degrabă decât chei de 56 de biți și 16 runde (DES).
Blowfish: un cifru bloc care funcționează pe blocuri de date pe 64 de biți. Lungimea cheii poate fi de până la 448 de biți,
iar blocurile de date trec prin 16 runde de funcții criptografice.
RC4/5: Un cifru bloc care are o varietate de parametri pe care îi poate folosi pentru dimensiunea blocului, dimensiunea
cheii și numărul de runde utilizate. Dimensiuni bloc: 32/64/128 și dimensiunea cheii de până la 2048 biți.

5.2 Algoritmi de criptare asimetrică (p. 331 SSCP)

Algoritmul Diffie-Hellman: Aceasta a fost prima utilizare publicată a criptografiei cu cheie publică (1976). Datorită
lentei inerente a criptografiei asimetrice, algoritmul Diffie-Hellman nu a fost conceput pentru a fi utilizat ca schemă
generală de criptare, ci mai degrabă scopul său a fost de a transmite o cheie privată pentru Standardul de criptare a datelor
(DES) (sau un algoritm simetric similar) printr-un mediu nesigur - adică distribuirea cheilor.
RSA: Rivest, Shamir și Adleman au propus un alt sistem de criptare cu chei publice. Oferă autentificare (semnătură
digitală), criptare și schimb de chei. Este folosit în multe browsere web cu SSL și în SSH. Securitatea se bazează pe
dificultatea factorizării numerelor mari.
Digital Signature Algorithm (DSA) alias Digital Signature Standard (DSS - Vezi mai jos): Un algoritm de criptare cu
cheie publică. Algoritmul utilizează perechi de chei publice și private. Doar cheia privată este capabilă să creeze o
semnătură. Acest lucru permite verificarea identității expeditorului, precum și asigurarea integrității datelor mesajului care
au fost semnate. Funcția hash utilizată în procesul de creare și verificare este definită în Secure Hash Standard (SHS).
Cheia privată și digest (valoarea hash) sunt apoi folosite ca intrări în DSA, care generează semnătura. Pentru verificarea
mesajului și a expeditorului, destinatarul folosește funcția hash pentru a crea un rezumat al mesajului, iar apoi cheia
publică a expeditorului este folosită pentru a verifica semnătura. Gama de chei permisă de la 512 la 1.024 de biți. DSA
este mai lent decât RSA pentru verificarea semnăturii.
Elliptic Curve Cryptosystem (ECC): Oferă semnături digitale, distribuție sigură a cheilor și criptare. Necesită un procent
mai mic de resurse decât alte sisteme datorită utilizării exponentiației modulare a funcțiilor logaritmice discrete .

5.3 Sisteme simetrice vs asimetrice

Atribut Sistem simetric Sistem asimetric
Chei O cheie pentru criptare și decriptare Două chei, una pentru criptare alta pentru decriptare
Schimb de chei Din bandă Cheia simetrică este criptată și trimisă cu mesaj; astfel, cheia
este distribuită prin mijloace de intrare
Viteză Algoritm mai rapid Mai complex și mai lent (intensiv în resurse)
Lungimea cheii Lungime fixă a cheii Lungime variabilă a cheii
Uz practic Pentru criptarea fișierelor mari Pentru schimbul de chei (cheie secretă) și distribuirea cheilor
Securitate Confidențialitate și integritate Confidențialitate, integritate, autentificare și non-repudiere

5.4 Integritatea mesajului

Hash unidirecțional: este o funcție care preia un șir de lungime variabilă un mesaj și îl comprimă și îl transformă într-o
valoare de lungime fixă, denumită valoare hash. Valoarea hash a hash-ului unidirecțional se numește mesaj digest. Nu se
poate face invers. Acesta oferă doar integritatea unui mesaj, nu confidențialitatea sau autentificarea. Este folosit în hashing
pentru a crea o amprentă pentru un mesaj.
Semnături digitale: o valoare hash criptată a unui mesaj. Mai întâi calculați hash-ul documentului, apoi criptați rezumatul
mesajului cu cheia privată a expeditorului. Rezultatul este semnătura digitală
Standard de semnătură digitală (DSS): Un standard pentru semnături digitale, funcții și utilizare acceptabilă. Este un
standard, NU se preocupă de criptare.
5.4.1 Algoritmi hash (p.337 SSCP)
MD4: Produce valori hash de 128 de biți. Folosit pentru calculul de mare viteză în implementarea software-ului
și este optimizat pentru microprocesoare.
MD5: Produce valori hash de 128 de biți. Mai complex decât MD4. Procesează textul în blocuri de 512 biți.
MD2: Produce valori hash de 128 de biți. Mai lent decât MD4 și MD5

2
5
 SHA: Produce valori hash de 160 de biți . Acesta este apoi introdus în DSA, care calculează semnătura pentru
un mesaj. Rezumatul mesajului este semnat în locul întregului mesaj.
SHA-1: versiunea actualizată a SHA.
HAVAL: Este o funcție hash unidirecțională cu lungime variabilă și este modificarea mai rapidă a MD5.
Procesează textul în blocuri de 1024 de biți. HAVAL comprimă un mesaj de lungime arbitrară într-un rezumat
de 128, 160, 192, 224 sau 256 de biți. În plus, HAVAL are un parametru care controlează numărul de treceri pe
care un bloc de mesaje (de 1024 de biți) este procesat. Un bloc de mesaje poate fi procesat în 3, 4 sau 5 treceri.
Hash Salting : Se referă la procesul de adăugare a datelor aleatorii la valoarea hash. Multe hashuri au puncte slabe sau ar
putea fi căutate într-un tabel de căutare hash (dacă tabelul ar fi suficient de mare și computerul suficient de rapid). Sărarea
hașișului anulează această slăbiciune. Protocoalele criptografice care folosesc săruri includ SSL.

5.5 Link și criptare end-to-end

Criptare link: criptează toate datele de-a lungul unei anumite căi de comunicație, cum ar fi o linie T3 sau un circuit
telefonic. Datele, antetul, remorcile, adresele și datele de rutare care fac parte din pachete sunt criptate. Oferă protecție
împotriva mirosurilor de pachete și a interceptărilor cu urechea . Pachetele trebuie decriptate la fiecare hop și criptate din
nou. Este la nivelul fizic al modelului OSI.
Criptare de la capăt la capăt: numai datele sunt criptate. Este de obicei inițiat la nivelul de aplicație al computerului de
origine. Rămâne criptat de la un capăt la altul al călătoriei sale. Este disponibilă o granularitate mai mare a criptării,
deoarece fiecare aplicație sau utilizator poate folosi o cheie diferită. Este la nivelul de aplicare al modelului OSI.

5.6 Criptografia pentru e-mailuri

Poștă cu confidențialitate îmbunătățită (PEM): a oferit confidențialitate, autentificare și non-repudiere. Componente
specifice care pot fi utilizate:
- Mesaje criptate cu DES în modul CBC - Managementul cheii publice oferit de RSA
- Autentificare oferită de MD2 sau MD5 - Standardul X.509 utilizat pentru structura și formatul de certificare
Protocolul de securitate al mesajelor (MSP): poate semna și cripta mesaje și poate efectua funcții de hashing.
Pretty Good Privacy (PGP): Dezvoltat de Phil Zimmerman. Utilizează criptarea cu chei publice RSA pentru gestionarea
cheilor și cifrul simetric IDEA pentru criptarea în bloc a datelor. PGP folosește fraze de acces pentru a cripta cheia privată
a utilizatorului care este stocată pe hard diskul acestuia. De asemenea, oferă semnături digitale.
S/MIME - Extensii de poștă Internet multifuncțională securizată: S/MIME este standardul dezvoltat de RSA pentru
criptarea și semnarea digitală a poștei electronice care conține atașamente și pentru furnizarea de schimburi electronice de
date securizate (EDI). Oferă confidențialitate prin algoritmul de criptare al utilizatorului, integritate prin algoritmul de
hashing al utilizatorului, autentificare prin utilizarea certificatelor de cheie publică X.509 și non-repudierea prin mesaje
semnate criptografic - adică utilizează o schemă de criptare hibridă bazată pe chei publice.

5.7 securitatea internetului

S-HTTP - Secure Hypertext Transport Protocol: Criptează mesajele cu chei de sesiune. Oferă integritate și capacități
de autentificare a expeditorului. Folosit atunci când un mesaj individual trebuie criptat .
HTTPS: Protejează canalul de comunicare între două computere. Utilizează SSL și HTTP. Folosit atunci când toate
informațiile care trec între două computere trebuie să fie criptate.
SSL (Secure Sockets Layer): Protejează un canal de comunicare prin utilizarea criptării cu chei publice. Utilizează
public cheie (asimetrice) pentru schimbul de chei și autentificare bazată pe certificat și cheie privată (simetrică)
pentru criptarea traficului .
Oferă criptarea datelor, autentificarea serverului, integritatea mesajelor și autentificarea clientului. Menține calea de
comunicare deschisă până când una dintre părți solicită încheierea sesiunii (utilizați TCP). Se află sub stratul de aplicare și
deasupra stratului de transport al modelului OSI. Dezvoltat inițial de Netscape - versiunea 3 concepută cu contribuții
publice. Ulterior a devenit standardul de internet cunoscut sub numele de TLS (Transport Layer Security). Dacă este
întrebat la ce nivel de OSI SSL operează, răspunsul este Transport .
SET - Secure Electronic Transaction: Sistem de asigurare a securității tranzacțiilor financiare pe Internet. Mastercard,
Visa, Microsoft și alții au acceptat-o inițial. Cu SET, utilizatorului i se oferă un portofel electronic (certificat digital) și o
tranzacție este efectuată și verificată folosind o combinație de certificate digitale și semnături digitale într-un mod care
asigură confidențialitatea și confidențialitatea. Utilizează unele, dar nu toate aspectele unui PKI. SSH: Folosit pentru a vă
conecta în siguranță și pentru a lucra pe un computer la distanță printr-o rețea. Utilizează un mecanism de tunel care oferă
acces la computere, precum terminale. Ar trebui să fie folosit în loc de telnet, ftp, rsh etc.
IPSec (Internet Protocol Security): O metodă de configurare a unui canal securizat pentru schimbul de date protejat între
două dispozitive. Oferă securitate pachetelor IP reale la nivelul rețelei. Este de obicei folosit pentru a stabili VPN. Este un

2
6
cadru deschis, modular, care oferă multă flexibilitate. Potrivit numai pentru a proteja protocoalele de la nivelul superior.
IPSec folosește două protocoale: AH și ESP.
AH (Authentication Header): acceptă controlul accesului, autentificarea originii datelor și integritatea fără
conexiune. AH oferă integritate, autentificare și non-repudiere - NU oferă confidențialitate. ESP
(Încapsulating Security Payload) : Utilizează un mecanism criptografic pentru a oferi autentificarea sursei
(prin antet IP), confidențialitatea și integritatea mesajului.
IPSec funcționează în două moduri:
1. Mod de transport : Numai sarcina utilă a mesajului este criptată. (pentru peer-to-peer)
2. Modul tunel : informațiile despre sarcina utilă, rutarea și antetul sunt criptate. (pentru gateway-to-
gateway)

5.8 PKI (pag. 355 SSCP)

Criptografia cu cheie publică a început în 1976 de către Diffie și Hellman, iar în 1977, Rivest, Shamir și Adleman au
conceput Criptosistemul RSA (primul sistem cu cheie publică). Fiecare criptosistem cu cheie publică are propriile sale
politici, proceduri și tehnologie necesare pentru gestionarea sistemelor. Standardul X.509 oferă o bază pentru definirea
formatelor de date și a procedurilor pentru distribuirea cheilor publice prin certificate care sunt semnate digital de CA-uri.
5.8.1 X.509
X.509 este standardul folosit pentru a defini ceea ce alcătuiește un certificat digital . A fost dezvoltat din
standardul X.500 pentru Servicii de director . Secțiunea 11.2 din X.509 descrie un certificat ca permițând o
asociere între numele distinctiv (DN) al unui utilizator și cheia publică a utilizatorului. Un certificat X.509
obișnuit ar include: DN, număr de serie, emitent, valid de la, valid pentru, cheie publică, subiect etc.
Următoarele sunt componentele unui PKI:
Certificat digital : un fișier electronic emis de o autoritate de certificare (CA) terță parte de încredere. Conține acreditările
respectivei persoane împreună cu alte informații de identificare (adică cheia publică a unui utilizator) . Există două tipuri
de certificate digitale: certificate de server și certificate personale.
Autoritate de certificare (CA): O organizație care menține și emite certificate de cheie publică, este echivalentă cu biroul
de pașapoarte. Ei sunt responsabili pentru durata de viață a unui certificat - adică emiterea, expirarea etc. CA eliberează
certificate care validează identitatea unui utilizator sau a unui sistem cu semnătură digitală. CA-urile revocă, de asemenea,
certificatele prin publicarea în CRL. Certificarea încrucișată este actul sau procesul prin care două CA certifică
fiecare o cheie publică a celeilalte , eliberând un certificat de cheie publică acelei alte CA, permițând utilizatorilor
care sunt certificați în ierarhii de certificare diferite să valideze reciproc certificatul celuilalt.
Notă: o cheie este reînnoită la sau aproape de sfârșitul duratei de viață a cheii, cu condiția ca niciuna dintre informații să
nu se fi schimbat . Dacă orice informație utilizată pentru emiterea cheii se modifică, aceasta trebuie revocată și eliberată
o nouă cheie .
Lista de revocare a certificatelor (CRL): o listă a fiecărui certificat care a fost revocat din orice motiv. Această listă este
menținută periodic și pusă la dispoziția părților interesate. CRL-urile se bazează de obicei pe un server LDAP.
Autoritatea de înregistrare (RA) : Îndeplinește sarcinile de înregistrare a certificării. Un RA este intern unui CA și oferă
interfața dintre utilizator și CA. Acesta autentifică identitatea utilizatorilor și trimite cererea de certificat către CA.
PKI oferă confidențialitate, control acces, integritate, autentificare și non-repudiere. Aplicațiile și standardele compatibile
cu PKI care se bazează pe PKI includ SSL, S/MIME, SET, IPSec și VPN.

5.9 Atacurile criptografice

Atacul doar cu text cifrat: capturarea mai multor mostre de text cifrat criptat folosind același algoritm și analizarea
acestuia pentru a determina cheia.
Numai text simplu cunoscut: atacatorul are textul simplu și textul cifrat , care a fost criptat. Deci, atacatorul poate analiza
textul cifrat pentru a determina cheia.
Atacul cu text simplu: atacatorul poate alege textul simplu care este criptat. Acesta este de obicei folosit atunci când se
ocupă cu algoritmul de criptare tip cutie neagră.
Atacul de tip om-in-the-middle: Ascultarea diferitelor conversații. Utilizarea semnăturilor digitale în timpul schimbului
de chei de sesiune poate evita atacul.
Atacuri de dicționar: preia un fișier de parolă cu valori de funcție unidirecțională și apoi preia parolele cele mai frecvent
utilizate și le rulează prin aceeași funcție unidirecțională. Aceste fișiere sunt apoi comparate.
Atacul de reluare: un atacator copiază un bilet și rupe criptarea, apoi încearcă să uzurpare identitatea clientului și să
trimită din nou biletul mai târziu pentru a obține acces neautorizat la o resursă.

2
7
6.0 COMUNICAȚII DE DATE
6.1 Modele de comunicare de date:
TCP/IP OSI Descriere
7 Aplicație Oferă diferite servicii aplicațiilor (HTTP, FTP, Telnet, SET, HTTP-S). Oferă
non-repudierea la nivel de aplicație.
Aplicație 6
Prezentare Convertește informațiile (ASCII, JPEG, MIDI, MPEG, GIF)
5
Sesiune Se ocupă de probleme care nu sunt probleme de comunicare (PPP, SQL,
Gateway, NetBEUI)
Transport 4 Transport Oferă control al comunicațiilor de la capăt la capăt (TCP, UDP, TLS/SSL)

Internet 3
Rețea (pachete) Rutează informațiile în rețea (IP, IPX, ICMP, RIP, OSPF, IPSec, routere)
2 Link de date (cadru) Oferă controlul erorilor între nodurile adiacente (Ethernet, Token Ring, FDDI,
Reţea SLIP, PPP, RARP, L2F, L2TP, PPTP, FDDI, ISDN, 802.11, comutatoare,
poduri)
1 fizic (biți) Conectează entitatea la mediul de transmisie (UTP, coaxial, niveluri de
tensiune, semnalizare, hub-uri, repetoare) convertește biții în tensiune pentru
transmisie.
Stratul de sesiune permite comunicarea între două computere să aibă loc în trei moduri diferite:
1. Simplex: Comunicarea are loc într-o singură direcție.
2. Half-duplex: Comunicarea are loc în ambele direcții, dar doar un sistem poate trimite informații la un moment dat.
3. Full-duplex: Comunicarea are loc în ambele direcții și ambele sisteme pot trimite informații în același timp.
Datalink (Layer 2) responsabil în primul rând pentru corectarea erorilor la nivel de biți
Transport (nivelul 4) responsabil în primul rând pentru corectarea erorilor la nivel de pachet

6.2 TCP/IP - Protocol de control al transmisiei/Protocol Internet

IP: Sarcina principală este de a sprijini adresarea inter-rețea și redirecționarea și rutarea pachetelor. Este un protocol fără
conexiune care învelește datele transmise acestuia din stratul de transport. IPv4 folosește 32 de biți pentru adresa sa, iar
IPv6 folosește 128 de biți .
TCP: este un protocol de încredere și orientat spre conexiune care asigură că pachetele sunt livrate către computerul de
destinație. Dacă un pachet este pierdut în timpul transmisiei, TCP are capacitatea de a-l retrimite. Oferă fiabilitate și
asigură livrarea pachetelor. Există mai multe costuri generale în pachetul TCP.
Procesul de încapsulare:

DATE
Antet aplicație DATE
Segmentul TCP Antet TCP AplicațieDate
Datagrama IP antet IP Antet TCP AplicațieDate
Antet Ethernet antet IP Antet TCP .Application Data Trailer Ethernet 4,
Cadru Ethrnet -
Notă: Antetul IP conține un câmp de protocol. Valorile comune sunt 1=ICMP 2=IGMP 6=TCP 17=UDP
Strângere de mână TCP:
1. Gazda trimite un pachet SYN 2. Receptorul răspunde cu un pachet SYN/ACK 3. Gazda trimite un pachet ACK
UDP: Este un protocol orientat spre cel mai bun efort și fără conexiune . Nu are control de secvențiere a pachetelor, flux și
congestie, iar destinația nu acceptă fiecare pachet pe care îl primește. Există mai puține costuri generale în pachetul UDP.
TCP și UDP folosesc numere de porturi cu lungime de 16 biți
Amintiți-vă, doar TCP este orientat spre conexiune (IP-ul NU este)

TCP eu DP
Aplicație Curent Mesaj
Transport Segment Pachet
Internet Datagrama Datagrama
Reţea rama ' • Cadru
6.3 Tipuri comune de sisteme LAN
Ethernet (802.3)
Ethernet folosește o topologie magistrală sau stea și acceptă rate de transfer de date de 10 Mbps. Bazat pe specificațiile
2
8
IEEE 802.3. Este unul dintre standardele LAN cele mai implementate. Versiunile mai recente de Ethernet, numite
100Base-T (sau Fast Ethernet), acceptă rate de transfer de date de 100 Mbps, iar gigabit Ethernet acceptă rate de date de 1
gigabit (1.000 megabiți) pe secundă. O adresă Ethernet (denumită și adresă MAC fizică) folosește 48 de biți.
Token Ring (802.5)
Un tip de rețea de calculatoare în care toate computerele sunt aranjate logic într-un cerc. Un jeton, care este un model
special de biți, călătorește în jurul cercului. Pentru a trimite un mesaj, un computer prinde jetonul, îi atașează un mesaj și
apoi îl lasă să continue să călătorească prin rețea. Indiferent de dispozitivul care are simbolul, poate introduce date în rețea.
Stația scoate apoi jetonul din inel și începe să transmită. Deoarece există un singur token, o singură stație poate transmite
la un moment dat, evitând astfel coliziunile pe canal . După terminarea transmisiei, stația returnează jetonul în inel.
Regulile de sistem din specificațiile protocolului impun cât timp un dispozitiv poate păstra jetonul, cât timp poate
transmite și cum să genereze un nou jeton dacă nu există unul care circulă.
FDDI (Interfață de date distribuite prin fibră)
Un set de protocoale ANSI pentru trimiterea de date digitale prin cablu de fibră optică. Rețelele FDDI sunt rețele care
transmit token și acceptă rate de date de până la 100 Mbps. Rețelele FDDI sunt utilizate în mod obișnuit ca coloană
vertebrală pentru rețelele cu arie largă. O extensie a FDDI, numită FDDI-2, acceptă transmiterea de informații vocale și
video, precum și de date. O altă variantă a FDDI, numită FDDI Full Duplex Technology (FFDT) utilizează aceeași
infrastructură de rețea, dar poate suporta rate de date de până la 200 Mbps. Folosește 2 inele - unul pentru redundanță.

6.4 Cablare
Cablu coaxial: Rezistent la EMI (interferență electromagnetică), oferă o lățime de bandă mai mare și lungimi de cablu
mai mari în comparație cu perechea torsadată . Poate transmite folosind atât metode în bandă de bază, cât și în bandă largă.
10base2 : ThinNet, cablu coaxial, lungime maximă 185 m , oferă 10 Mbps. 10base5 : Thicknet, cablu coaxial, lungime
maximă 500 m , oferă 10 Mbps
Pereche răsucită: mai ieftin și mai ușor de lucrat decât cablul coaxial și este un cablu folosit în mod obișnuit. Perechea
răsucită ecranată (STP - 2 fire) are o folie de ecranare exterioară, care este o protecție suplimentară împotriva
interferențelor de radiofrecvență. Perechea răsucită neecranată (UTP - 4 fire) are diferite categorii de cablare cu
caracteristici diferite. Conectorul fizic folosit pentru conectarea PC-urilor și a dispozitivelor de rețea se numește RJ-45.
10base-T : Utilizează cablare cu perechi răsucite, oferă 10 Mbps, lungime maximă 100 m.
Fast Ethernet : Utilizează cablare cu perechi răsucite, oferă 100 Mbps.
Cablare cu fibră optică: are viteze de transmisie mai mari care pot călători pe distanțe mai lungi și nu este afectată de
atenuare și EMI în comparație cu cablurile care utilizează cupru. Este folosit pentru a conecta două rețele LAN. Nu emite
semnale precum cablarea UTP și este foarte greu de accesat. Complexitatea realizării conexiunilor folosind fibră este unul
dintre dezavantajele sale majore și, de asemenea, este costisitoare.

6.5 Tipuri de semnalizare

Banda de bază (digitală): Banda de bază utilizează semnalizare digitală (cifre binare ca impulsuri electrice) pentru a
transmite date. Semnalele circulă prin mediu sub formă de impulsuri de electricitate sau lumină. Pentru amplificarea
semnalelor se folosesc repetoare. Cablul transportă un singur canal .
Banda largă (analogică): bandă largă utilizează semnalizare analogică (unde electromagnetice) și o gamă de frecvențe.
Semnalul circulă printr-un mediu de cablu sub formă de unde optice sau electromagnetice. Un repetor reconstruiește
pachetul de date și trece de-a lungul mediului fizic până la destinație. Cablul transportă mai multe canale .
[Un modem este un convertor digital-analogic (DAC). Semnalul începe ca bandă de bază (digital) și este apoi convertit în bandă largă (analogic)
înainte de a călători prin sistemul de cablare telefonică]

6.6 Moduri de transmisie (abordări)

Unicast: Informațiile sunt trimise dintr -un punct în altul - forma predominantă de transmisie pe LAN și pe Internet. Toate
rețelele LAN și IP acceptă modul de transfer unicast, iar majoritatea utilizatorilor sunt familiarizați cu aplicațiile standard
unicast (de ex. HTTP, SMTP, FTP și telnet) care utilizează protocolul de transport TCP. Multicast: informațiile sunt
trimise de la unul sau mai multe puncte către un set de alte puncte . În acest caz, pot exista unul sau mai mulți expeditori,
iar informațiile sunt distribuite unui set de receptori. Formatul pachetului IP multicast este identic cu cel al pachetelor
unicast și se distinge doar prin utilizarea unei clase speciale de adrese de destinație (clasa D adresa IP), care denotă un
anumit grup multicast. Deoarece TCP acceptă doar modul unicast, aplicațiile multicast trebuie să utilizeze protocolul de
transport UDP.
Difuzare: un pachet ajunge la toate computerele din subrețea sa. Transmisia de difuzare este acceptată pe majoritatea
rețelelor LAN și poate fi utilizată pentru a trimite același mesaj către toate computerele din LAN (de exemplu, protocolul
de rezoluție a adresei (ARP) îl folosește pentru a trimite o interogare de rezoluție a adresei către toate computerele dintr-o
LAN). Datele sunt trimise la o adresă specială de difuzare. Protocoalele de nivel de rețea (cum ar fi IP) acceptă, de
asemenea, o formă de difuzare care permite trimiterea aceluiași pachet către fiecare sistem dintr-o rețea logică.

2
9
 6.6.1 Metode de acces LAN

Carrier-Sense Acces multiplu și detectare a coliziunilor (CSMA/CD): Monitorizează activitatea de

transmisie/purtător pe fir pentru a determina cel mai bun moment pentru transmiterea datelor. Calculatoarele
ascultă absența unui ton purtător, ceea ce indică faptul că nimeni altcineva nu transmite data în același timp.
Coliziunile pot avea loc , dar sunt detectate și informațiile retrimise.
Token passing: un cadru de control pe 24 de biți utilizat pentru a controla ce computere comunică la ce
intervale. Tokenul acordă unui computer dreptul de a comunica. Nu provocați coliziuni deoarece doar un
computer poate comunica la un moment dat , care are simbolul.
Acces multiplu Carrier-Sense cu prevenirea coliziunilor (CSMA/CA): În loc să detecteze coliziunile,
încearcă să le evite, făcându-le semnalului fiecărui computer intenția de a transmite înainte de a transmite
efectiv. Deși CSMA/CA evită coliziunile (garantat), există o suprasarcină suplimentară de la fiecare stație de
lucru care își transmite intenția înainte de a transmite prin trimiterea unui semnal de blocaj. Astfel, CSMA/CA
este mai lent decât CSMA/CD . CSMA/CA este utilizat pe rețelele Apple Talk și, de asemenea, în wireless.

6.7 Rețele
Rețea locală (LAN)
Se întinde pe o zonă geografică relativ mică. Majoritatea rețelelor LAN sunt limitate la o singură clădire sau la un grup de
clădiri. Cardul de interfață de rețea (NIC) conectează computerele. Două tipuri de LAN (1) LAN cu fir și (2) LAN wireless
Wide Area Network (WAN)
Rețele LAN conectate împreună la distanță prin linii telefonice/unde radio/fibră. Rețele dedicate de mare viteză (linii
închiriate sau rețea punct la punct). WAN-urile securizate pot fi create folosind IPSec.
Rețeaua Metropolitană (MAN)
Similar cu WAN - MAN sunt linii de comunicații de mare viteză și echipamente care acoperă o zonă metropolitană.
Intranet: O rețea aparținând unei organizații, de obicei o corporație, accesibilă doar de către membrii organizației,
angajații sau alții cu autorizație (Rețea privată). Intranet-urile sunt folosite pentru a partaja informații. Internet: O rețea
globală care conectează milioane de computere (interconectare globală a LAN, WAN și MAN). Internetul este
descentralizat prin design. Fiecare computer pe internet, numit gazdă, este independent.
Extranet: un intranet care este parțial accesibil persoanelor din afara autorizate. Un extranet oferă diverse niveluri de
accesibilitate persoanelor din afară, mijloace foarte populare pentru partenerii de afaceri de a face schimb de informații.

6.8 Topologie de rețea

Topologie inel: serie de dispozitive conectate prin legături de transmisie unidirecțională care formează un inel. Fiecare
nod depinde de nodurile precedente. Dacă un sistem a eșuat, toate celelalte sisteme ar putea eșua.
Topologie magistrală: Un singur cablu parcurge întreaga lungime a rețelei. Fiecare nod decide să accepte, să proceseze
sau să ignore pachetul. Cablul la care sunt atașate toate nodurile este un potențial punct unic de defecțiune.
Topologie în stea: Toate nodurile se conectează la un hub sau un comutator central. Fiecare nod are o legătură dedicată
către hub-ul central. Usor de intretinut.
Topologie mesh: Toate sistemele și resursele sunt conectate între ele.

6.9 Standardele IEEE

Proiectul 802 al Institutului de Ingineri Electrici și Electronici (IEEE) a fost început pentru a stabili standarde LAN:

802.3 – Arhitectură LAN pentru a rula CSMA/CD (Ethernet)

802.5 – Arhitectura LAN pentru a rula pe rețeaua Token Ring.
802.6 – Arhitectură LAN pentru MAN. (Rețele metropolitane)
802.8 – Arhitectura LAN se ocupă cu implementarea prin fibră optică a Ethernet (etichetă Fiber Optic)
802.9 – LAN se ocupă de date și voce integrate (LAN izocron)
802.11 x – LAN fără fir
802.11b: Max 11 Mbit/s
802.11g: Max 54 Mbit/s
802.11i: (aka WPA2) specifică mecanismele de securitate pentru rețelele LAN fără fir.

3
0
6.10 Dispozitive de rețea
Hub sau Stratul fizic (OSI Transmite toate pachetele către toate porturile . Când primește un pachet, transmite
Repetitor Layer 1) (repetă) pachetul către toate porturile sale (la toate celelalte PC-uri din rețea).
Acest lucru poate duce la trimiterea multor trafic inutil în rețea.
Pod Strat de legătură de Redirecționează pachete și filtre pe baza adreselor MAC ; transmite traficul
date (OSI Layer 2) transmis, dar nu traficul de coliziune. Poate fi folosit pentru extinderea rețelelor.
Comutatoar Strat de legătură de Comutatoare controlează fluxul de trafic de rețea pe baza informațiilor despre
e date (OSI Layer 2) adrese din fiecare pachet. Un comutator este un hub inteligent , care învață ce
dispozitive (adăugarea MAC ) sunt conectate la porturile sale și redirecționează
Reduce volumul de trafic inutil.
Routere Stratul de rețea Un dispozitiv care transmite pachete de date de-a lungul rețelelor. Un router este
(OSI Layer 3) conectat la cel puțin două rețele. Routerele folosesc antete și tabele de
redirecționare pentru a determina cea mai bună cale pentru redirecționarea
pachetelor.
Gateway este un nod dintr-o rețea care servește drept intrare în altă rețea.
Proxy-urile interceptează toate solicitările, care ajung la serverul real de la client. Este, în general, folosit pentru
performanță și pentru motive de filtrare. Aceasta va ascunde și adresa IP internă (privată).

6.11 Firewall-uri (p. 400 SSCP)

Dispozitive concepute pentru a preveni accesul neautorizat. Poate fi implementat în hardware sau software. Toate
pachetele care intră/ ies din rețea sunt examinate conform unui set de reguli predefinit (controlul accesului). Tipurile sunt:

Filtru de Cel mai comun tip de firewall. Plasat între Adv.: Ieftin, poate să nu aibă nevoie de hardware
pachete, aka rețeaua de încredere și cea netestată. dedicat (poate folosi router), ușor de configurat.
router de Utilizează ACL-uri pentru a filtra traficul. Dis: ACL-uri dificil de întreținut, degradarea
screening performanței rețelei.
(Stratul 3 sau 4) Inspectează toate pachetele la nivelul Adv: Mai sigur decât filtrarea pachetelor - poate
Aplicație Proxy aplicației pentru a filtra comenzile specifice spune ce aplicație încearcă să folosească pachetul.
(alias gazdă aplicației, cum ar fi http: post and get etc. Dis: necesită mai multă procesare a datelor și poate
Bastion SAU Utilizează de obicei 2 NIC-uri încetini și mai mult performanța rețelei.
Strat/Nivel de
aplicație)
Stateful Monitorizează pachetele pentru a le filtra și, Adv: Mai rapid decât aplicația-proxy și mai sigur
Inspecție de asemenea, starea conexiunilor. (de ex. va decât filtrarea pachetelor.
(Stratul 3) închide o conexiune pe jumătate deschisă). Dis: scump.
Gazdă Utilizează un firewall/router cu filtrare de Adv: Foarte sigur
ecranizată pachete și o gazdă bastion (proxy- Dis: Firewall-ul/routerul de filtrare a pachetelor este
aplicație). un singur punct de atac.
Subrețea Utilizează două firewall/routere cu filtrare Adv: Considerat cel mai sigur tip de firewall. Dis:
ecranată de pachete și o gazdă bastion. Separă Firewall-ul/routerul de filtrare a pachetelor este un
internet - dmz - rețele externe. Suporta singur punct de atac, dar pentru că există un al doilea
ambele pachete servicii de filtrare și care protejează rețeaua internă, acesta este în
aplicație-proxy continuare securizat.

6.12 Protocoale
Protocol Internet (IP): vezi anterior (p.25)
Protocolul de control al transmisiei (TCP): vezi anterior (p.25)
Protocolul de datagramă utilizator (UDP): vezi anterior (p.25)
NetBios Extended User Interface (NetBEUI): Este o versiune îmbunătățită a protocolului NetBIOS utilizat de sistemele
de operare de rețea, cum ar fi LAN Manager. NetBIOS funcționează la nivelul 5 (Sesiune).

6.12 Servere de servicii de autentificare la distanță

Pentru a autentifica și autoriza utilizatorii de la distanță au fost create mai multe metode pentru a securiza sistemul. Câteva
dintre modalitățile prin care putem accesa serviciile de la distanță sunt: Dial-up, ISDN (Integrated Services Digital
Network), DSL (Digital Subscriber Line), Modemuri prin cablu (Oferă acces de mare viteză).
RADIUS (Serviciul de acces pentru utilizator cu autentificare la distanță): cea mai simplă metodă de a furniza
autentificarea utilizatorului. Serverul RADIUS deține o listă de nume de utilizator și parole la care se referă sistemele din
rețea atunci când autentifică un utilizator. RADIUS acceptă o serie de protocoale populare, cum ar fi PPP, PAP și CHAP.

3
1
RADIUS folosește UDP împreună cu modelul client și server. RADIUS criptează doar parola, restul pachetului este
necriptat. O terță parte ar putea capta alte informații, cum ar fi numele de utilizator, serviciile autorizate. RADIUS
combină autentificarea și autorizarea.
TACACS (Terminal Access Controller Access Control System): Oferă autentificare la distanță și înregistrare a
evenimentelor folosind UDP ca protocol de comunicare. Utilizatorul încearcă să se autentifice pe un dispozitiv TACACS,
dispozitivul se referă la serverul TACACS pentru autentificarea utilizatorului. Aceasta oferă o locație centrală pentru
stocarea tuturor numelor de utilizator și parolelor. Nu permite unui dispozitiv să solicite unui utilizator să îi permită să-și
schimbe parola. De asemenea, nu utilizează simboluri de parolă dinamice. Informația NU este criptată .
TACACS+ (Terminal Server Controller Access Control Systems Plus): Oferă îmbunătățiri la versiunea standard a
TACACS. Permite utilizatorilor posibilitatea de a-și schimba parola; jetoane de parolă dinamice, astfel încât jetoanele să
poată fi resincronizate; oferă, de asemenea, capacități de auditare mai bune. TACACS+ folosește TCP ca protocol de
comunicare. Criptează întregul corp al pachetului, dar lasă un antet standard TACACS+.
PPP - Point-to-Point: Este folosit pentru a încapsula mesaje și a le transmite printr-o rețea IP.
PAP - Password Authentication Protocol: Oferă identificarea și autentificarea utilizatorului care încearcă să acceseze o
rețea de la sistemul de la distanță. (Utilizatorul trebuie să introducă o parolă). Numele utilizatorului și parola sunt trimise
prin cablu către un server, pentru comparare cu baza de date. Adulmecarea este posibilă deoarece parola poate fi capturată.
CHAP - Challenge Handshake Authentication Protocol: Un protocol de autentificare care folosește mecanism de
provocare/răspuns pentru a se autentifica în loc să trimită un nume de utilizator și o parolă. Evită trimiterea de parole sub
orice formă prin cablu folosind o tehnică de provocare/răspuns. CHAP este mai bun decât PAP. Autentificarea poate fi
repetată de orice număr de ori pentru a se asigura că atacurile „Replay” nu sunt posibile.
Serial Line Internet Protocol (SLIP) și Point-to-Point Protocol (PPP): Funcționează la nivelul 2 (Datalink) pentru a
conecta două sisteme pe o linie serială (linie de comunicație punct la punct folosind un modem dial-up) , este nevoie de o
anumită modalitate de a transporta pachetele IP (o activitate de nivel de rețea) prin legătura serială (o activitate de la
nivelul de legătură de date). Următoarele două scheme utilizate în general, SLIP și PPP . PPP a înlocuit SLIP, deoarece
acesta nu face detectarea erorilor, atribuirea dinamică a adreselor IP și compresia datelor.
Protocolul de tunelizare punct la punct (PPTP): PPTP a fost dezvoltat de Microsoft pentru a oferi servicii virtuale de
dial-up. PPTP este un protocol de încapsulare bazat pe PPP și criptează și încapsulează pachetele PPP.
Layer 2 Tunneling Protocol (L2TP): Extinderea protocolului punct la punct (PPP). L2TP este, de asemenea, numit
„protocol virtual de dial-up” deoarece extinde o sesiune PPP de dial-up pe Internet. Cadrele PPP ale clientului sunt
încapsulate în pachete IP cu un antet de tunel L2TP și trimise prin conexiunea la Internet.
L2TP a fost derivat din caracteristicile PPTP și protocolul Cisco numit L2F (Layer 2 Forwarding).
- L2TP acceptă autentificarea TACACS+ și RADIUS. PPTP nu.
- L2TP acceptă, de asemenea, mai multe protocoale decât PPTP, inclusiv IPX, SNA și altele.
- Microsoft continuă să accepte PPTP pentru produsele sale Windows, dar L2TP este preferat față de PPTP.
- IPSec este acum standardul de internet pentru tunelare și VPN-uri securizate.
Layer 2 Forward Protocol (L2F): Folosit pentru a stabili un tunel securizat pe Internet dezvoltat de Cisco. Acest tunel
creează o conexiune virtuală punct la punct între utilizator și rețeaua clientului companiei. L2F permite încapsularea
pachetelor PPP/SLIP în L2F. Nu este folosit de IPSec. Este folosit de VPN-uri.

6.12.1 Protocoale de securitate la nivel de rețea

Securitate IP (IPsec): Funcționează la nivelul 3 (nivelul de rețea). IPSec oferă autentificare, integritate și
criptare. Este utilizat pe scară largă în VPN-uri (Virtual Private Networks). Vezi p. 23 pentru mai mult.
6.12.2 Protocoale de securitate la nivel de aplicație
Secure Sockets Layer (SSL): SSL dezvoltat de Netscape pentru a stabili sesiuni autentificate și criptate între
serverele Web și clienții Web. Vezi p.23 pentru mai multe.
Transport layer security (TLS): versiunea IETF a SSL v3.0. Utilizează criptografia Diffie-Hellman cu cheie
publică. TLS folosește, de asemenea, HMAC (Hashed Message Authentication Code), un protocol de bază
esențial pentru securitatea pe Internet împreună cu IPSec. HMAC este mecanismul de autentificare a mesajelor
care utilizează funcții hash MD5 sau SHA-1 în combinație cu o cheie secretă partajată.

6.13 Tehnici de securitate a comunicațiilor

Traducerea adresei de rețea (NAT): Permite utilizarea unui set de adrese IP pentru traficul intern și a unui al doilea set
de adrese pentru traficul extern. Permite gazdelor dintr-o rețea internă privată să comunice în mod transparent cu
destinațiile dintr-o rețea externă sau invers. Următoarele sunt tipurile de NAT.
Static: mapează adresa IP neînregistrată la o adresă IP înregistrată în mod individual . [De obicei folosit
pentru traducere internă în externă.]
Dinamic: Mapează adresa IP neînregistrată la o adresă IP înregistrată dintr-un grup de adrese IP înregistrate.
Port Address Translation: O formă de NAT dinamic care mapează mai multe adrese IP neînregistrate la o
singură adresă IP înregistrată folosind diferite porturi.

Notă: Internet Assigned Numbers Authority (IANA) a rezervat 3 blocuri de adrese IP pentru utilizare în rețelele private

3
2
interne. Toate aceste adrese nu sunt rutabile și nu pot fi conectate la Internet:
1.1. .0.0 până la 10.255.255.255 (utilizat pentru organizații mari)
172.16. 0.0 până la 172.31.255.255 (utilizat pentru intranet medii)
192.168. 0.0 până la 192.168.255.255 (utilizat pentru intranetele mici)
Rețea privată virtuală (VPN): o conexiune privată securizată printr-o rețea publică. O rețea privată virtuală este crearea
de legături private prin rețele publice, cum ar fi Internetul, folosind tehnici de criptare și tunel. Înainte de IPSec, L2TP
(Layer 2 Tunneling Protocol) a fost folosit pentru a încapsula pachetele IP în pachete de „tunnel” care ascund structura de
rutare Internet de bază. În general, sunt utilizate două tipuri de VPN.
1) Acces de la distanță: conexiune utilizator la LAN printr-o rețea publică sau partajată, pentru angajații care
au nevoie să se conecteze la rețeaua LAN corporativă de la distanță. Sistemele utilizatorilor vor fi încărcate cu
software client special care permite o legătură sigură între ele și LAN-ul corporativ.
2) De la site la site: VPN conectează site-uri fixe la o rețea LAN corporativă prin Internet sau intranet.

Intervalele de adrese IP
Tipuri de adrese Incepe cu
Adrese de clasa A 0-127 (128)
Adrese de clasa B 128-191 (64)
Adrese de clasa C 192-223 (32)
Adrese de clasa D 224-239 (16)

3
3
7.0 COD RAȚIUNI
Virus Este un program sau o bucată de cod, care a fost încărcat fără permisiune, se poate ascunde, poate
se reproduce singur și se poate atașa la orice alt program. Virusul va încerca să facă lucruri
nedorite/nedorite.
Vierme Un program care se poate replica într-o rețea de calculatoare și, de obicei, funcționează
acțiuni rău intenționate.
Troian Horses Un program distructiv, care a fost introdus într-un program aparent inofensiv. Acest program poate
îndeplini funcția dorită în prim-plan, precum și funcția nedorită în fundal.
Bombă logică O bombă logică este un program, sau o porțiune a unui program, care rămâne latentă până când este
activată o anumită parte din logica programului sau un eveniment de sistem. Dacă logica specifică
este îndeplinită, atunci va efectua în general o activitate care compromite securitatea.

7.1 Diverse tipuri de virus

7.1.1 Ce parte infectează virușii

Sector de pornire: virușii din sectorul de pornire infectează înregistrarea de boot de pe hard disk-uri, dischete. Dacă
computerul infectat pornește cu succes, atunci virusul sectorului de pornire rămâne în memorie și infectează dischetele și
alte medii atunci când computerul infectat le scrie.
Master Boot Record (MBR): Foarte asemănător cu virușii din sectorul de boot, cu excepția faptului că infectează MBR
(Master Boot Record) în loc de sectorul de boot.
Viruși care infectează fișierele: Infectează fișierele, care conțin cod executabil, cum ar fi fișierele .EXE și .COM,
infectează alte fișiere atunci când sunt executate.
Macro: Virușii macro infectează anumite tipuri de fișiere de date. Majoritatea virușilor macro infectează fișierele
Microsoft Office, cum ar fi documentele Word, foile de calcul Excel, prezentările PowerPoint și bazele de date Access.
Acestea folosesc de obicei limbajul macro Visual Basic, care este încorporat în aplicațiile Microsoft Office.
Cod sursă: Acești viruși adaugă cod la codul sursă al programului real.

7.1.2 Cum infectează virușii

Polimorf: un virus care își schimbă semnătura virusului (adică, modelul său binar) de fiecare dată când replic și infectează
un fișier nou pentru a nu fi detectat de un program antivirus.
Stealth: Pentru a evita detectarea, un virus va prelua adesea funcțiile sistemului care ar putea să-l detecteze și le va folosi
pentru a se ascunde.
Multi-partiți: virușii multi-partiți au caracteristicile mai multor tipuri de virus (aceștia au personalitate duel). De exemplu,
un virus cu mai multe partite poate infecta atât înregistrarea de pornire, cât și fișierele de program.
Viruși de camuflaj: viruși care au încercat să apară ca un program inofensiv pentru scanere. (Tip de virus mai
vechi/învechit).

7.2 Cum poate fi introdus codul rău intenționat în mediul de calcul

- Atacuri de rețea: încercarea de a obține numele de utilizator și parola prin forțare brută sau atac de dicționar. După
exploatarea cu succes, introducerea unui fișier de virus sau cod rău intenționat.
- Spoofing (masquerading): trimiterea de e-mailuri care pare să provină dintr-o sursă atunci când de fapt a fost
trimis dintr-o altă sursă.
- Modificarea codului autorizat și introducerea codului rău intenționat.
- Spam sau bombardare prin e-mail: trimiterea de e-mailuri către sute sau mii de utilizatori cu un fișier de virus
atașat.
- Active-X: set de tehnologii independente de platformă dezvoltate de Microsoft care permit componentelor
software să interacționeze între ele într-un mediu de rețea. Această funcționalitate a componentelor Active X poate
fi exploatată de coduri mobile rău intenționate.
- Cod mobil: Cod care poate fi transferat de la un sistem la un alt sistem pentru a fi executat (ex. Java, ActiveX etc.)
- Trapă: mecanism, care este construit în mod intenționat adesea în scopul de a oferi acces direct. Cod ascuns sau
dispozitiv hardware folosit pentru a evita controalele de securitate.

7.3 Mecanisme care pot fi utilizate pentru prevenirea, detectarea atacurilor de coduri rău
intenționate
În general, programul software antivirus va fi utilizat în combinație cu Scanarea, Verificarea integrității și Interceptarea.
De asemenea, ar trebui să încercați să vă asigurați:

3
4
 - Utilizarea software-ului antivirus).
- Menținerea la zi a fișierelor cu definiții de viruși
- Scanarea în rețea, mainframe, server și stație de lucru pentru vulnerabilități
- Încărcarea software-ului numai din surse de încredere
- Securitatea fizică a suporturilor amovibile
- Efectuarea de copii de rezervă frecvente
- Instalarea software-ului de detectare a modificărilor (verificator de integritate)
- Implementați un program de conștientizare a utilizatorilor

7.3 Atacurile comune

Atacurile comune DoS
Buffer Overflow Attack: Apare atunci când un proces primește mult mai multe date decât se aștepta. Dacă procesul nu
are nicio rutină programată pentru a face față acestei cantități excesive de date, el acționează într-un mod neașteptat pe
care intrusul îl poate exploata. Există mai multe tipuri de atacuri de depășire a memoriei tampon, cele mai frecvente fiind „
Ping of Death ” (atac Ping de pachete mari) sau utilizarea de peste 256 de caractere de utilizator sau nume de fișiere în e-
mail.

Atacul SYN: Apare atunci când un atacator exploatează utilizarea spațiului tampon în timpul unei strângeri de mână de
inițializare a sesiunii TCP. Atacatorul inundă coada mică „în proces” a sistemului țintă cu solicitări de conexiune, dar nu
răspunde când un sistem țintă răspunde la aceste solicitări. Acest lucru face ca sistemul țintă să „expiră timpul” în timp ce
așteaptă răspunsul adecvat, ceea ce face ca sistemul să se blocheze sau să devină inutilizabil.

Teardrop Attack: Constă în modificarea câmpurilor de compensare a lungimii și fragmentării în pachete IP secvențiale.
Sistemul țintă devine apoi confuz și se blochează după ce primește instrucțiuni contradictorii despre modul în care
fragmentele sunt compensate pe aceste pachete.

Smurf: folosește o combinație de falsificare IP și ICMP pentru a satura o rețea țintă cu trafic, lansând astfel un atac de tip
denial of service. Este format din trei elemente - site-ul sursă, site-ul de respingere și site-ul țintă. Atacatorul (site-ul sursă)
trimite un pachet PING falsificat la adresa de difuzare a unei rețele mari (site-ul de respingere). Acest pachet modificat
conține adresa site-ului țintă. Acest lucru face ca site-ul de respingere să transmită informații greșite către toate
dispozitivele din rețeaua locală. Toate aceste dispozitive răspund acum cu un răspuns la sistemul țintă, care este apoi
saturat cu acele răspunsuri.

Atacurile comune de deturnare a sesiunii

Atacuri de falsificare IP: implică o modificare a unui pachet la nivel TCP, care este utilizat pentru a ataca sistemele
conectate la Internet care oferă diverse servicii TCP/IP. Atacatorul trimite un pachet cu o adresă sursă IP a unei gazde
cunoscute și de încredere pentru a convinge un sistem că comunică cu o entitate cunoscută care oferă acces intrusului.
Această gazdă țintă poate accepta pachetul și acționa după el.

Atacurile cu numărul de secvență TCP: exploatează sesiunea de comunicații, care a fost stabilită între țintă și gazda de
încredere care a inițiat sesiunea. Intrusul păcălește ținta făcându-i să creadă că este conectată la o gazdă de încredere și
apoi deturnează sesiunea, prezicând alegerea țintei pentru un număr de secvență TCP inițial. Această sesiune este adesea
folosită pentru a lansa diverse atacuri asupra altor gazde.

Alte atacuri de fragmentare

Atacurile de fragmentare IP folosesc fragmentare variată de datagramă IP pentru a-și ascunde pachetele TCP de
dispozitivele de filtrare IP ale unei ținte. Următoarele sunt câteva exemple de aceste tipuri de atacuri:

Un atac de fragment mic are loc atunci când intrusul trimite un fragment foarte mic care forțează o parte din câmpul antet
TCP într-un al doilea fragment. Dacă dispozitivul de filtrare al țintei nu impune dimensiunea minimă a fragmentului, acest
pachet ilegal poate fi apoi transmis prin rețeaua țintei.

Un atac cu fragmente suprapuse este o altă variație a modificării zero-offset a unei datagrame (cum ar fi atacul în
lacrimă). Pachetele ulterioare suprascrie informațiile despre adresa de destinație a pachetului inițial și apoi al doilea pachet
este transmis de dispozitivul de filtrare al țintei. Acest lucru se poate întâmpla dacă dispozitivul de filtrare al țintei nu
impune o compensare minimă a fragmentelor pentru fragmentele cu decalaje diferite de zero.

Referințe
Consorțiul Internațional de Certificare a Securității Sistemelor Informaționale ( www.isc2.org )
Site-ul Web al Ghidului de studiu deschis al CISSP și SSCP ( www.cccure.org )
Centrul de coordonare CERT ( www.cert.org )

3
5
NIST CSRC ( www.csrc.nist.gov )
Google ( www.google.com )
Linktionary.com al lui Tom Sheldon ( www.linktionary.com )
Dicționar de computer online pentru termeni și definiții pentru computer/Internet ( www.webopedia.com )
Tutorial privind cunoștințele computerului ( www.cknow.com/vtutor/ )
Dicționar și tezaur online gratuit ( http://encyclopedia.thefreedictionary.com/ )
Institutul SANS - Educație în domeniul securității computerelor și instruire în domeniul securității
informațiilor ( www.sans.org )
Wikipedia ( www.wikipedia.org )

3
6