politica de securitate a unei firme
DESCRIPTION
politica de securitate a unei firmeTRANSCRIPT
Cuprins:Capitolul 1...........................................................................................................................2
1.1 Prezentarea firmei......................................................................................................2Capitolul2............................................................................................................................4
2.1 Descrierea obiectului de activitate al companiei.......................................................4Capitolul 3...........................................................................................................................5
3.1 Descrierea sistemului informatic...............................................................................53.2 Spaţiile deţinute de unitate.........................................................................................9
Capitolul 4.........................................................................................................................104.1 Principalele pericole si vulnerabilitati.....................................................................104.2 Averile informationale.............................................................................................114.3 Interfata CGI............................................................................................................134.4 Plasarea scripturilor CGI.........................................................................................144.5 Confidentialitatea surselor CGI...............................................................................154.6 Structura de foldere a serverului Web.....................................................................154.7 Controlul accesului la fisierele de pe server............................................................154.8 Criptarea comunicaţiilor dintre server şi clienţi......................................................164.9 Contul de administrator...........................................................................................174.10 Gestionarea conturilor de utilizatori......................................................................174.11 Serverul de Intranet................................................................................................184.12 Serverul de mail.....................................................................................................184.13 Descrierea unui incident........................................................................................19
1
Capitolul 1
1.1 Prezentarea firmei
Societatea s-a înfiinţat în 1927 având capital mixt de stat şi privat. Din 1948 compania trece în patrimoniul statului şi reprezintă o prezenţă pemanentă pe piaţa telecomunicaţiilor din România.
Având ca principale domenii de activitate broadcasting-ul si telecomunicaţiile, datorită investiţiilor făcute, societatea s-a dezvoltat continuu. În prezent în România ea deţine cea mai complexă infrastructură din domeniu, este un important furnizor de reţele şi servicii de comunicaţii electronice şi este liderul de piaţă în domeniul broadcasting-ului. Prin serviciile oferite compania vizează, în principal, segmentul business: internet, VPN, linii inchiriate, telefonie naţionala şi internaţională, servicii integrate de comunicaţie: date & internet & telefonie, videoconferinţă, servicii de comunicaţie prin satelit.
În urma acordurilor încheiate compania, începând cu anul 2004, oferă şi servicii de telefonie internaţională şi naţională, inclusiv prin intermediul cabinelor telefonice proprii.
În momentul de faţă compania trece printr-un amplu proces de modernizare privind creşterea competitivităţii şi diversificarea serviciilor de telecomunicaţii.
Ca principale obiective firma urmareşte furnizarea de servicii de calitate tuturor clienţilor săi printr-un management competent pus în aplicare atât în interiorul cât şi în exteriorul companiei. El vizează : cunoaşterea nevoilor clienţilor, receptivitate în ceea ce priveşte dorinţele lor, servicii de calitate la un preţ cât mai scăzut, un comportament etic faţă de parteneri.
Firma îşi desfăşoară activitatea in toate cele 42 de judeţe ale ţării având sucursale la Bucureşti, Cluj, Timişoara, Iaşi. În prezent firma are peste 1800 de angajaţi, specialişti cu înaltă calificare, firma încercând să se adaptaze condiţiilor de pe piaţă prin perfecţionarea continuă a personalului său.
Sucursala Iaşi a societăţii îşi desfăşoară activitatea pe o rază de 8 judeţe având ca obictive staţiile de radio, televiziune şi radiorelee, precum şi translatorii de televiziune. Aceste judeţe sunt : Iaşi, Botoşani, Suceava, Neamţ, Bacău, Vaslui, Galaţi şi Vrancea
Principalele resurse ale firmei provin din încasările de la studiourile de radio şi televiziune, pentru plata orelor de emisie din închirierea liniilor de radiorelee, precum şi din furnizarea de internet diverşilor abonaţi la firma. De asemenea o sursă importantă de venituri provine din telefonia internă şi internaţională.
Societatea dispune de personal de specialitate, cu înalte cunoştinţe tehnice, în deservirea echipamentelor specifice activităţii pe care o desfaşoara, fiind perfecţionaţi în statele de provenienţă a echipamentelor respective cât şi la centrul de perfecţionare al unităţii.
Pe lângă personalul de specialitate sucursala mai dispune de pesonal administrativ care asigură condiţii optime pentru desfăşurarea activităţii. Personalul administrativ este compus din economişti, tehnicieni, ingineri, conducători auto, muncitori care se ocupă cu
2
întreţinerea şi reparaţiile clădirii. Condiţiile optime sunt asigurate prin aprovizionarea staţiilor din teritoriu cu materiale de întreţinere, combustibil pentru încălzire pe timp de iarnă, motorină pentru grupurile electrogene care vor fi puse în funcţiune în cazul întreruperii energiei electrice din sistemul naţional precum şi alimentaţie de protecţie pentru obiectivele situate la altitudine.
3
Capitolul2
2.1 Descrierea obiectului de activitate al companiei
Unitatea pentru a-şi desfăşura activitatea foloseşte ca echipamente principale radioreleele precum şi staţiile radio si staţiile TV.Obiectul de activitate al întreprinderii este asigurat de întreţinerea, dezvoltarea şi modernizarea mijloacelor de telecomunicaţie pentru transportul programelor radio-TV atât în interiorul ţării cât şi în exteriorul acesteia.Activitatea unităţii se desfăşoara pe o rază de 8 judeţe asigurând emisia programelor de teteleviziune, radio, telefonie şi internet. Emisia programelor de televiziune se realizează cu ajutorul unor obiective numite staţii de televiziune, undele de televiziune difuzându-se în linie dreaptă. Pentru pătrunderea lor în cele mai îndepartate locuri se utilizează translatori TV (staţii TV de mai mica capacitate) care preiau semnalul din staţiile principale şi îl difuzează mai departe acolo unde undele TV emise de staţia principală nu pot pătrunde.Din această cauză staţiile TV în număr de 11 sunt amplasate la altitudine pe cele mai înalte dealuri şi pe cei mai înalţi munţi. Staţiile de radio în număr de 5 sunt localizate în diverse oraşe neavând nevoie de amplasament la altitudine, undele radio ocolind obstacolele. Lanţul de radiorelee în număr de 6 sunt amplasate în diverse localităţi asigurând telefonia şi transmiterea semnalului radio şi TV preluat din ţară şi străinătate.
4
Capitolul 3
3.1 Descrierea sistemului informatic
Compania utilizează un sistem informatic complex care include ca resurse hardware:-calculatoare, desktop şi laptop. Calculatoarele utilizate de unitate sunt minicalculatoare a căror putere de calcul variază în funcţie de sectoarele de activitate în care sunt folosite. Mincalculatoare cu o putere mare de prelucrare a datelor şi capabile să stocheze mari cantităţi de informaţii sunt utilizate de serviciul informatic al întrepriderii. Acestea sunt conectate în reţea sau sunt de sine stătătoare. Printr-o reţea de calculatoare înţelegându-se sisteme de echipamente de calcul şi transmisie a datelor aflate la societate şi în teritoriu. Crearea reţelei este posibilă prin intermediul unui server. Acesta este calculatorul principal al reţelei.-switch-uri de LAN si WAN, hub-uri. LAN si WAN sunt prescurtări ale Local Area Network şi Wide Area Network. LAN-urile sunt reţelele locale unde nodurile componente sunt situate foarte aprope unele de altele de obicei în aceeaşi organizaţie sau în aceeaşi clădire. WAN –urile sunt reţele de largă acoperire care pun bazele comunicarii între calculatoare aflate la distanţe foarte mari unele de altele.-routere doar cele din WAN îndeplinind funcţii de routing/bridging pentru comunicaţiile interne de date ;-print servere ;-imprimante locale şi de reţea ;Imprimantele sunt echipamente periferice de ieşire şi reprezintă principalul intrument de tipărire a informaţiilor pe support de hârtie. Ca tipuri de imprimante societatea foloseşte imprimante laser şi imprimante cu jet de cerneală.-scannere si alte dispozitive de captură imagine ;Scanner-ul este un echipament periferic de intrare prin care se poate introduce în memoria calculatorului orice tip de imagine tiparită pe hârtie.-minilink-uri radio pentru conectarea locaţiilor de distanţe la LAN-urile unităţii ;-modem-uri ; Modemul are rolul de a transforma semnalele digitale în semnale analogice şi invers prin intermediul liniilor telefonice.-surse neîntreruptibile de alimentare ;Se include si infrastructura de cablare rackuri, prize, patch-uri.Ca resurse software societatea utilizează:1Aplicaţii standard-sisteme de operare de reţea ;-sisteme de operare staţii ;-aplicaţii Office ;-utilitare (exemple Acrobat Reader, utilitare de arhivare) ;-antivirus ;-clientul de conectare la server Novell ;
5
-programme de editare grafică (Corel Draw) ;-programme de proiectare (exemplu ACAD).2 Aplicaţii specifice, elaborate intern sau achiziţionate de la firma furnizoare de software :-programme financiar contabile, de gestiune, instalate şi întreţinute de firma producătoare ;-programul legislativ LEX ;-progame pentru devize de lucrări întreţinute de firma producătoare ;-programme specifice pentru configurări şi monitorizări echipamente ;-programme elaborate intern avizate de serviciile informatice.3 Servicii :-e-mail ;-acces internet ;
Compania foloseste ca sisteme de operare Windiws Millennium, Windows 2000, Windows XP, sistemul de operare Linux. În categoria aplicaţiilor specifice intră Qcont, Salarii, Evidenţa parcursului auto etc., iar ca aplicaţii standard sunt utilizate Microsoft Office, AutoCAD etc.
Pentru o mai bună reprezentare a resurselor harware si software vom prezenta în continuare un scurt inventar al acestor componente :
Nr.crt Denumire echipament
Caracteristici tehnice
Loc folosinţă Software de baza si de aplicaţii instalat
1. Servere reţea Pentium IV 2,8 Ghz, 512 Mb RAM, HDD SCSI 80Gb, UPS, NIC,
CD-Rom40X/AKU,CD-ReWriter
3 Serviciu Reţele Acces
SO Linux, SO Windows 2000, SO
Windows XP, Microsoft Office 2000, XP, 2003,
Microsoft Exchange Server, SQL,
Microsoft 2003 Server-Web Edition,
Aplicatii pentru retea:
HP Open View, Minilink; Internet
Explorer2. Staţii de lucru AMD Athlon
XP2400+Mhz, 5121 Mb
RAM, HDD 40 Gb, CD-RW
Asus 52 X32X52X,
IOMEGA ZIP, Standard
1 Serviciul Analize economice, 1
Serviciul Contabilitate, 1
Serv. Marketing,3 Serv. Sisteme
informatice, 2 Serv Proiectare, 1
Director general, 1
SO Windows XP Profesional,
Microsoft Office XP, Fow Pro 26 sub Dos, Fox Pro 26 sub
Windows,Programe utilitare:
Norton Commander, Windows
6
floppy disk, USB Root Hub,
Printer port
Director economic, 1 Director tehnic
Commander,Norton Antivirus, Programe pentru
contabilitate generala
3. Staţii de lucru Pentium III 1400Mhz, 128
Mb RAM, HDD 20 Gb,
Standard Floppy Disk, Printer Port
AMD Athlon XP 2100+, 256 RAM, HDD 80
Gb, CD ReWriter Asus,
Floppy
4Serv. Contabilitate;
4Serv. Financiar, 1Serv. Marketing;
1Serv. Sisteme Radiante; 1Serv Administrativ;
1Serv. Transport; 2Serv. TV; 2Serv
RDF; 1Serv. Aprovizionare;
1Depozit Central; 8pct Statiile TV,
RDF, RR teritoriu; 2Serv. Proiectare;
1Sala Consiliu
SO Windows 98 SE, Microsoft Office 2000, Fox Pro 26
sub Dos, Fox Pro 26 sub Windows,
Programe utilitare:Norton Commander,
Aplicatii pentru evidenţa elementelor
patrimoniale, Autocad (la Proiectare)
4. Imprimante Canon BJC 100Lexmark Z705
1Serv. Contabilitate, 1Serv
Financiar, 1Serv. Aprovizionare,
1Depozit Central, 18Statii TV, RDF,
RR, 1Serv. Administrativ,
1Serv. Transport, 1Serv RDF, TV, RR, 1 Director
general, 1 Director tehnic, 3 Serv.
Marketing5. Imprimante Epson FX-5000
Epson FX-1170Canon BJ 250
1 Serv. Contabilitate
6. Imprimante HP Laser Jet 5000 Series
PS ;HP Laser Jet III
P.
1 Serv. Sisteme Informatii
7. Fax Fax 1 Secretariat8. Copiator Xerox 1 Serv. Proiectare9. Scanner Umax Optic 1 Serv Sisteme
7
Pro Informatii10. Camera Video
ConferintaSony 1 Sala Consiliu
În ceea ce priveşte personalul compartimentului informatic. Acesta este format din :1 tehnician intreţinere sisteme ;2 analişti de sisteme ;2 programatori ;2 operatori de calculatoare ;1 proiectant.Aplicaţiile informatice în cadrul sucursalei din Iaşi sunt următoarele :
Aplicatii ModuleGESTOC Evidenţa materială- evidenţa pieselor de
schimb si a carburanţilor, evidenţa obiectelor de inventar
MFIX Repartizarea pe emiţătoare a amortizarii şi a valorii de inventar a mijloacelor fixe
Salarii Evidenţă deplasări ; Calculul salariilor ; Calculul CAS ; Fişă fiscală F.F.1
Personal Personal ; MLM (mobilitate la locul de muncă) ;Evidenţa cărtilor de muncă ;Urmărirea cheltuielilor cu salariile, ajutoare materiale şi prime trimestriale ;
Facturare Servicii Prestate Facturi Radio, Facturi TV, Facturi telefonice ;
Aplicaţia Y(1-10) Situaţia facturilor emise în cadrul unei luni;
Evidenţă clienţi Facturile emise către clienţi (pe categorii de clienţi);
Evidenţă furnizori Decontările cu furnizorii (pe categorii de furnizori)
Evidenţa încasărilor si plăţilor prin casă şi prin bancă
Casă, Bancă, Trezorerie ;Decontări cu abonamentele Radio-TV şi abonamentele telefonice pentru salariaţi ;
Conta-Generala Evidenţă note contabile, balanţa sintetică de verificare, balanţa analitică de verificare Q-Cont (balanţă finală)
Repartizarea veniturilor activitaţii de bază pe feluri de activităţi şi contabilizare (BVC)
Bugetul de venituri şi cheltuieli
Staţii teritoriale Grupare intreruperi pe staţii (Rapoarte zilnice) ;Grupare venituri realizate pe staţii ;
8
LEGIS Toate legile din domeniul financiar-contabil
3.2 Spaţiile deţinute de unitate
Sediul administrativ cuprinde :-birourile funcţionale ( cotabil financiar, aprovizionare, administraţie, IT, auto, resurse umane, tehnic)-birourile de profil ale unităţii (TV, radiodifuziune, radioreleu, translatori TV, antene TV si RR, Departament Comunicatii Electronice).Unitatea mai administrază:-11 staţii TV;-6 staţii radio;-6 radiorelee;150 translatori TV.
9
Capitolul 4
4.1 Principalele pericole si vulnerabilitati
Pricipalele pericole care ameninţă sistemul de securitate al societăţii sunt cele care se datorează unor incidente apărute in sistem , factorilor naturali bazaţi pe hazard, ameninţarea sistemelor prin acţiunea voită a omului. Cel mai mare pericol cu privire la securitatea sistemului informaţional îl constituie internetul. Acesta constiuie şi principala vulnerabilitate în ceea ce priveşte securitea informaţiilor. Internetul poate constui o sursă de atac pentru cei interesaţi să destabilizeze sistemul informatic sau să afle diverse date cu privire la informaţiile cu caracter secret din companie. În această categorie se înscriu in general hackerii, phackerii, şi alte categorii de utilizatori ce deţin cunostinţe avansate în ceea ce priveşte domeniul informatic. Alte surse de pericol la care este expusă compania constă în atacurile venite din partea publicului larg, a adolescenţilor, in principal, care prin aceste spargerea sistemelor de securitate încearcă să-şi verifice aptitudinile şi cunostinţele informatice. Presa, care este în continuă căutare de ştiri senzaţionale, reprizentă un alt element care poate pune în pericol sistemul informaţional al societăţii. Vulnerabilitatea sistemului se poate datora şi lipsei de pregătire a unor angajaţi în ceea ce priveşte utilizarea calculatorului şi confidenţialitatea parolelor. Astfel în ciuda regulamentului de securitate există angajaţi care îşi scriu parolele de acces in sistemul intranet sau de mail pe hârtii ce sunt expuse vederii celorlalţi sau în agende în loc să le memoreze. Destabilizarea sistemului informatic se poate realiza prin virusarea prin e-mail a unui număr mare de calculatoare, cu un virus nou, datorită faptului că programele antivirus folosite nu erau updatate cu toate definiţiile de noi viruşi. Acest lucru se datorează în principal imposibilităţii firmelor creatoare de programe antivirus de a-şi actualiza produsele în acelaşi timp cu apariţia noilor semnături de viruşi. Descărcarea neautorizată de pe internet, de către personalul necalificat in domeniul informatic, a unor programe pe calculatoarele societăţii poate fi o altă sursă de infectare cu viruşi şi automat de destabilizare a sistemului. Personalul serviciului informatic care poate trata cu superficialitate anumite aplicaţii, poate sa constituie o alta sursă de pericol în ceea ce priveşte securitatea informaţiilor. Tot acesta poate constituii un pericol cu privire la păstrarea anumitor informaţii având caracter secret sau poate constitui o eventuală sursă de atacuri. Vulnerabilitatea sistemului poate fi provocată şi de problemele de intreţinere a echipamentelor care se pot defecta sau de întreruperea în timpul efectuării diferitelor aplicaţii informatice a alimentării cu energie elctrică. Pentru problemele legate de întreţinerea echipamentelor compania însă duce o politică corespunzatoare bazată pe stocarea informaţiilor pe diferite suporturi magnetice externe. În ceea ce priveste pericolele naturale bazate pe hazard cum sunt inundaţiile, cutremurele, incendiile, alunecările de teren etc. aceste pericole, deşi existente, prezintă totuşi un grad de risc destul de scăzut. Acest lucru se datorează în principal infrastructurii clădirilor, în cazul cutremurelor, şi sistemului de canalizare, în cazul inundaţiilor. În cazul incendiilor, deşi acest pericol este prezent, iar riscurile producerii unei asemenea incident nu pot fi estimate, totuşi datorită unui personal atent si bine pregătit există o posibitate destul de redusă a producerii unui incendiu.
10
Cu privire la internet există o oarecare reţinere de folosire a serviciilor Web. Iniţial, internet-ul a fost proiectat pentru cercetare şi nu pentru desfăşurarea unor tranzacţii comerciale importante. Cum orice măsuri de securitate sunt relative, soluţiile practice in acest domeniu reprezintă un compromis între vulnerabilităţi şi riscuri. Este evident că există unele vulnerabilităţi, că unele sunt mai cunoscute şi preferate de atacatori şi ca urmare soluţiile de securitate si cheltuielile aferente trebuie focalizate către acestea. Securitatea tranzacţiilor web nu implică doar criptarea transmisiilor între client si server. Foarte importantă este securitatea serverelor Web, domeniu în care se lucrează în continuare la dezvoltarea şi implementarea unor serii de standarde. Securitatea propriu-zisă a www cuprinde cel puţin 4 domenii :
Protecţia criptografică a canalelor de comunicaţie ; Proiectarea unor extensii de securitate la standardele existente ; Administrarea sigură şi eficientă a serverelor ; Includerea în mediile Java a unor facilităţi de securitate,
criptografice, puternice.
4.2 Averile informationaleResurse informaţionale publice Informaţii de pe pagina Web:
Documentaţia de atribuire pentru procedura de achiziţie prin cerere de oferte de produse pentru asigurare soluţie complexă integrată de protecţie atacuri informatice, software maliţios la nivel naţional pentru reţeaua informatică a Societaţii X.Numărul de angajaţi:Societatea dispune în prezent de peste 1800 de angajaţi.Informaţii de presă:Ştiri despre Societatea X apar în reviste de specialitate economice cum ar fi Săptămâna Financiară, Ziarul Financiar, Revista Online Wall Street, site-ul HotNews.ro şi în publicaţii care se adresează publicului larg ex: Curierul Naţional.Desfăşurarea activităţii:În sucursalele principale programul de lucru se desfăşoară între orele 7:30-15:30.La staţiile Radio din teritoriu activitatea este permanentă.Cifra de afaceri:Societatea X are o cifră de afaceri la sfârşitul anului 2008 de 297.240.768 RON, iar profitul la sfârşitul anului 2008 a fost de 12.833.287 RON.
11
Resurse informaţionale interne Administrator-server Atribuţii : Schimbă parola de administrare cel puţin o data la 60 de zile, nu va folosi contul sau parola de administrare pentru logarea prestaţiei din motive de securitate. Administratorul are obligaţia să scaneze şi sa facă toate configurările necesare pentru a asigura necesitatea serverului. Periodic va examina logurile sistemului pentru a decela orice activităţi ce pot indica intruziuni sau activităţi considerate ilegale. De asemenea vor fi instalate toate update-urile de securitate după o prestare prealabilă într-un mediu controlat. Administratorul va face actualizările necesare pentru aplicaţiile care rulează pe server. Periodic va face copii de rezervă ale fişierilor importante pe al doilea server şi sau pe DVD-uri, conform procedurilor de backup. Administratorul are sarcina adăugării sau dezactivării unui cont utilizator. El va fi în legătură directă cu serviciul Resurse Umane, care va preciza datele de angajare şi eliberare din funcţie pentru salariaţii din unitatea respectivă, precum şi perioada de absenţă.UtilizatorulAtribuţii : Are dreptul să creeze foldere în cont, să scrie fişiere sau grupuri de fişiere, să citească fişiere sau grupuri de fişiere, să steargă fişiere sau grupuri de fişiere sau foldere din propriul cont. Utilizatorilor le este interzis să modifice fişiere sau grupuri de fişiere care nu le sunt adresate, să creeze în contul utilizator foldere care să rămână goale, să folosească serviciul FTP pentru transferul fişierilor altele decât cele în interes de serviciu, să folosească spaţiul de pe serverul FTP ca spaţiu de arhivare a fişierelor sau grupurilor de fişiere.Regulamentul de ordine interioarăAcesta se adresează personalului care are acces la echipamentele de calcul din proprietatea societăţii X, utilizează aplicaţii standard şi specifice aprobate, au acces la servicii email si internet pe reţeaua internet de date, dar şi celorlalţi angajaţi ai unităţii.
12
Resurse informaţionale confidenţiale Salariile angajaţilorÎn societatea X salariul mediu este de1424 RON.Clienţi-firmăPrintre clinţii societăţii X se numără : beneficiarii de internet, studiourile naţionale de Radio şi Televiziune, Romtelecom.Informaţii referitoare la furnizori :Furnizorii societăţii X sunt extrem de numeroşi câteva exemple ar fi : SC Comat SA care se ocupă cu materiale electrice, feroase şi neferoase, cu materiale de construcţii, S.C Interprima SRL care se ocupă cu unelte şi scule din import, SC Generals Systems SA care se ocupă cu piese de schimb electronice, aparatură electronică.Produsele firmeiFirma X prestează următoarele servicii : internet, unde electro-magnetice Radio şi TV. Tehnologiile folosite :Firma X folosesşte echipamente : Marconii, Harris, IT.
Resurse informaţionale strict secrete Momentul lansării unor noi servicii pe piaţa telecomunicaţiilor, cercetările efectuate în scopul punerii la punct a tehnologieie necesare.
Cele mai importante probleme de securitate legate de administrarea unui server Web sunt :
4.3 Interfata CGIEste o interfaţă independentă de limbaj ce permite realizatorilor de programe
www să genereze documente dinamice în aproape orice limbaj (C, C++, ASP, VB, Perl, PHP etc.).
Problema este că acestea au posibilitatea de acces la variabilele de mediu.Scopul CGI este furnizarea unui mecanism flexibil şi convenabil pentru
extinderea funcţiilor unui server http peste limitele unor simple preluări şi afişări de
13
fişiere. Pentru a putea fi folosite efectiv mecanismele CGI formularele HTML trebuie inţelese. Ele reprezintă modul obişnuit prin care se transmit datele spre CGI.
Deşi are avantajul de a fi o interfaţă flexibilă şi puternică, CGI prezintă dezavantajul unor implicaţii asupra securităţii sistemului. Datorită uşurinţei de a realiza scripturi CGI, programatorii le trateaza cu aceeaşi uşurinţă ca pe nişte programe obişnuite, neglijând faptul că CGI este un server internet, fiind astfel expus la pericolele inerente acestui tip de servere.
Programele CGI sunt scrise pentru a accepta date într-un anumit format, dar, spre program, pot fi transmise date arbitrare, de lungime nelimitată. Aceasta înseamna că aceste programe trebuie scrise robust, astfel încât să fie capabile sa refuze datele de intrare atunci când acestea sunt rău intenţionate sau bizare.
Posibilitatea de a fi adăugate funcţii la un server Web prin folosirea scripturilor CGI complică foarte mult politica de securitate ce trebuie adoptată. Atât timp cât un script CGI poate adăuga elemente la un server Web, pot fi introduse şi noi probleme de securitate. De exemplu un server Web poate fi configurat astfel incât să poată fi acceptate numai fişierele stocate într-un anumit director, dar un utilizator poate instala neintenţionat un script CGI care permite intruşilor să citeasca alte fişiere de pe calculator. Mai mult, deoarece mulţi utilizatori nu au experienţa de a scrie programe de securitate, este posibil şi probabil ca scripturile CGI locale, ce pot conţine bug-uri, să permită unui intrus sa execute comenzi arbitrare pe sistemul în cauză.
4.4 Plasarea scripturilor CGI
Majoritatea serverelor Web pot fi configurate astfel incât toate scripturile CGI să fie restricţionate la un singur folder. În această configuraţie se face mai uşor căutarea şi examinarea tuturor scripturilor CGI de pe sistem.
Pentru a asigura o mai bună securitate firma a impus respectarea următoarelor reguli : Configurarea serverului Web să fie făcută astfel încât toate sripturile CGI să fie
plasate într-un singur director ; Accesul la conţinutul acestui director va fi limitat ; Utilizatorii locali nu vor avea permisiunea de a instala, de a şterge sau de a edita
scripturile existente ; Pentru a impiedica « spionarea », posibilitatea citirii scripturilor va fi eliminată; Pentru monitorizarea schimbărilor neautorizate din aceste scripturi va fi folosit un
program special; Nu se vor ţine pe server fişierele de backup care sunt generate automat de editorul
folosit la editarea scripturilor deoarece pot fi executate de un intrus, cu rezultate nedorite.
14
4.5 Confidentialitatea surselor CGIInformaţiile circulă pe reţea întâi de la navigator la server, iar apoi serverul
transmite informaţia unui progam CGI. Aceste informaţii pot fi interceptate în timp ce sunt transferate de la maşina client la server. Citirea conţinutului scriptului CGI de către utilizatorii de reţea este împiedicată. Aceasta pentru a preveni analiza scripturilor în vederea descoperirii deficienţelor de securitate. Deoarece este foarte uşor să se facă o greşeală scriind un program CGI, trebuie ca site-ul să păstreze confidenţiale sursele programelor şi a scripturilor CGI. Aceasta totuşi nu garantează securitatea pentru scripturile cu bug-uri (greşeli), un intrus rău intenţionat, care sondează cu perseverenţă, gaseşte deficienţele sistemului. Câteodată munca implicată pentru asemenea spargere este deosebită. Dar un intrus oarecare, după încercări repetate, renunţă orientându-se către alte sisteme, cel perseverent o va lua de la capăt. Însă în cazul în care atacatorul dispune de surse, găsirea punctelor vulnerabile devine mult mai facila.
Pentru a proteja informaţiile de interceptare, acestea sunt criptate la transmiterea între client şi server. Informaţiile din formulare sunt criptate, înainte de a fi transmise serverului, iar serverul răspunde tot cu informaţii criptate.
4.6 Structura de foldere a serverului Web
Serverele Web sunt produse software complicate. Ele folosesc multe fişiere distribuite în multe directoare. Conţinutul unor foldere poate fi disponibil în reţea, al altora nu. Administratorul serverului este cel care stabileşte conţinutul căror foldere va putea fi disponibil în reţea, în funcţie de natura şi importanţa datelor.
4.7 Controlul accesului la fisierele de pe server
Organizaţiile sunt interesate în limitarea domeniului de informaţii distribuite de serverele lor. Aceasta deoarece un server Web este utilizat într-o organizaţie pentru a distribui atât date interne, cât şi date externe. Multe servere suportă doua tehnici primare pentru controlul accesului la fişiere şi foldere :
Restricţioneaza accesul la anumite adrese IP, subreţele sau domenii DNS ; Restricţioneaza accesul la anumiţii utilizatori, autentificaţi printr-o parola stocată
pe server ; Restrictioneaza accesul doar la acei utilizatori care au chei publice semnate de o
autoritate de certificare pe serverele care sunt echipate cu softul necesar pentru criptografia cu chei publice.
Necesitatea impunerii unor restricţii este stabilită de Seful Serviciului Informatic împreună cu administratorul serverului Web.
15
4.8 Criptarea comunicaţiilor dintre server şi clienţi
Pentru ca informaţiile transmise pe internet să fie sigure trebuie să fie criptate pentru a fi protejate la interceptare. Modalităţile prin care societatea poate cripta informaţiile sunt :-criptarea legăturii – pentru a se asigura confidenţialitatea pe liniile de comunicaţie, se criptează pachetele IP. Criptarea legaturii oferă confidenţialitate întregului trafic.-criptarea documentelor – documentele plasate pe serverul Web pot fi criptate cu un sistem (ex. PGP-ul). Cu toate că această metodă oferă o protecţie bună, ea este greoaie, fiindcă cere ca documentele sa fie criptate anterior plasării lor pe server şi decriptate când sunt recepţionate.-SSL (Secure Socket Layer). SSL este un sistem proiectat de Netscape Communications care oferă cale TCP/IP criptată între două hosturi de pe internet. SSL poate fi folosit pentru criptarea oricărui protocol TCP/IP, cum ar fi HTTP, TELNET sau FTP. SSL poate folosi o varietate de sisteme bazate pe chei publice pentru a schimba cheia de sesiune. Odată o cheie de sesiune obţinută, se poate folosi o varietate de algoritmi cu cheie secretă. De asemena, SSL a fost implementată şi in alte browsere, ca de exemplu Microsoft Internet Explorer şi Opera. O iconiţă de browser indică faptul că se lucrează în mod cifrat. Cifrarea se bazează pe algoritmul cu chei publice RSA plus cifrul simetric RC4.Necesitatea folosirii criptării şi metoda de criptare este stabilită de Şeful Serviciului Informatic, împreună cu administratorul serverului Web.
Alte măsuri luate cu privire la securitatea reţelelor si a internetului sunt : Limitare funcţionalităţii echipamentului astfel încât acesta să fie doar un sever
Web si eventual FTP dedicat. Aceasta va face foarte grea spargere serverului de către un intrus. Dacă totuşi acest lucru se petrece, se vor limita stricăciunile pe care intrusul le poate produce restului reţelei.
Izolarea calculatorului de reţea (ex. firewall, NAT, proxi server) pentru a reduce posibilitatea unui atac.
Ştergerea conturilor care nu sunt necesare ; Ştergerea compilatoarelor; Ştergerea tuturor programelor utilitare care nu sunt utilizate în timpul încărcării
sistemului sau de către serverul Web. Furnizarea a cât mai puţine servicii de reţea – numai strictul necesar; Închiderea tuturor porturilor şi serviciilor nefolosite; Oprirea serverului FTP atunci când nu este folosit. Urmărirea pe internet a articolelor dedicate securitaţii serverelor Web pentru a
afla despre descoperirea ultimelor breşe de securitate. Urmărirea pe internet cu privire la apariţia ultimelor programe pentru remedierea
breşelor de securitate, aplicându-se ulterior serverului de Web ; Scanarea periodică a serverului cu un scanner de reţea şi remedierea problemelor
semnalate de acesta ;
16
Toate patch-urile disponibile (support pack, service pack etc.) sunt instalate numai după testare.
Un alt pericol în ceea ce priveste protecţia datelor îl constituie posibilitatea pierderii datelor conţinute de fişiere sau posibilitate modificării acestora.
În ceea ce priveşte protejarea fişierelor în fiecare unitate există un sistem centralizat pentru fişiere şi back-up. Acestea trebuie să ofere o configuraţie funcţională pentru că în societate sunt distribuite computere în mai multe locaţii. Rezultă necsitatea conceperii unui mecanism clar pentru back-up automat pentru date critice.
Pentru a nu fi periclitată buna funcţionare a activităţilor critice din societate este obligatorie desfăşurarea unei analize a scenariilor de căderi ale sistemului. Aceste căderi se pot constitui în pierderi de date – incomensurabil valoric. În urma acestei analize se stabileşte o strategie de salvare şi restaurare a datelor critice.
Strategia va detalia responsabilităţile pentru situaţii concrete , va specifica fişierele care trebuie salvate, perioada la care se face salvarea şi perioada de timp pentru care trebuie păstrate toate fişierele copiilor salvate precum şi modul de restaurare a datelor.
Pentru a asigura o protecţie cât mai eficientă a datelor fişierelor. Acestea pot fi arhivate, pot fi create copii de siguranţă şi se pot realiza transferuri de date. Dispozitivele de stocare a datelor pot fii : hard-disck-ul, floppy-disck-ul, unităţile de bandă magnetică, unităţile CD-ROM, CD-RW, unităţile magneto-optice.
Cu privire la serviciul intranet şi de e-mail sunt luate mai mute măsuri de securitate.
4.9 Contul de administratorAdministratorul are rolul de a gestiona userii sau aplicaţiile de reţea care rulează
pe server, precum şi de a modifica drepturile de acces pe fişiere sau foldere.Pentru o mai buna securitate administratorul serverului are obligaţia de a schimba parola de administrare cel puţin o data la 60 de zile. Tot din motive de securitate administratorul are obligaţia de a nu folosi acest cont/ parolă pentru logarea pe staţii. Administratorul are obligaţia să scaneze toate configurările necesare pentru a asigura securitatea serverului. .Periodic acesta trebuie să examineze log-urile sistemului pentru a decela orice activităţi ce pot indica intruziuni, sau activităţi ce sunt considerate ilegale. De asemenea se intalează toate update-urile de securitate, după o testare prealabila, într-un mediu controlat.
Periodic administratorul are obligaţia să facă copii de rezervă ale fişierelor importante pe al doilea server sau pe CD-uri, conform procedurilor de back-up.
4.10 Gestionarea conturilor de utilizatori
Administratorul are sarcina adăugării sau dezactivării unui cont utilizator. El va fi în legatura directă cu serviciul Resurse umane, care va preciza datele de angajare şi
17
eliberare din funcţie pentru salariaţii din unitatea respectivă, precum şi perioadele de absenţă. Din motive de securitate pentru utilizatorii obisnuiţi se preferă restricţionarea dreptului de logare în reţea a utilizatorului pe staţia care i-a fost asigurată.
4.11 Serverul de Intranet
La nivelul întrgii firme este instalat un server de intranet, care conţine paginile site-ului intranet, şi furnizează servicii ftp pentru întreaga reţea a firmei. Este principala sursă de informaţii interne de uz general pentru toţi salariaţii societăţii şi este accesibilă din orice punct al reţelei WAN.
Din motive de securitate se fac periodic backup-uri ale conţinutului site-ului astfel încât operaţia de refacere a acestuia în caz de defecţiune se poate efectua in maxim 2 ore.
4.12 Serverul de mail
Societatea dispune de un server de mail. Serverul de mail este configurat astfel încât mailurile interne să circule doar în WAN. Este admis transferul mesajelor interne de mail pe conexiuni în internet doar în cazul în care conexiunile WAN sunt căzute.
Pentru fiabilitatea sistemului de mail, unitatea foloseşte :-alimentarea acestuia dintr-un UPS ;-un calculator de rezervă preinstalat pentru situaţia defectării celui în funcţiune ;-crearea de imagini (backup-uri) ori de câte ori se fac modificări importante în cofigurarea lui sau în numărul utilizatorilor ; -sunt verificate periodic log-urile pentru a semnala eventualele anomalii sau încercări de intruziuni.
În ceea priveşte măsurile minime de securitate necesare a fi implementate pe serverul de mail Linux. Acestea sunt :-parolă de root puternică, cu protejarea ei prin folosirea sistemelor de securizare shadow si MD5 ;-instalarea unui minim de daemon-uri, doar cele strict necesare ;-pentru logarea curentă unitatea foloseşte un utilizator obişnuit, fiind evitată pe cât posibil logarea ca root, pentru a limita posibilitatea erorilor sau răspândirea unui eventual virus.-unitatea va folosi ultimele versiuni de kernel stabile, cu patch-uri la zi si va utiliza drivere şi patch-uri sigure, pentru a elimina posibilitatea infectării cu viruşi.
Unitatea va utiliza în caz de necesitate programe de control de la distanţă ssh, secure shell.
Cu privire la sistemul de parolare sunt luate următoarele măsuri de securitate :-parolele trebuie să aibă o lungime de minim 6 caractere ;-trebuie să fie o combinaţie de litere mari şi mici, cifre şi caractere speciale ;-să nu fie bazate pe cuvinte de dicţionar ;-să aibă o durată maximă de viaţă de 90 de zile.
18
Pentru autoidentificare utilizatorul va folosi un username şi o parolă.În ceea ce priveşte utilizatorii aceştia au obligaţia să memoreze parolele, neavând
voie să le scrie pe hârtii lipite la vedere sau în agende. Dacă există dubiul ca o parolă a fost compromisă, aceasta va fi schimbată
instantaneu.
4.13 Descrierea unui incidentAcest incident a avut loc în decembrie 2004 atunci cand in urma deschiderii unui e-mail ce conţinea un mesaj de felicitare cu ocazia Crăciunului reţeua de calculatoare a fost infectată cu un virus de tip cal troian. Iniţial acest virus nu a fost identificat de sistemele antivirus deoarece acest cal troian era ultima versiune iar antivirusul folosit nu era actualizat şi nu conţinea definiţia acestui nou virus. Antivirusul utilizat în acel moment era Norton Antivirus 2004. Virusul nu a reuşit să provoace foarte multe pagube datorită sistemului de stocare a datelor pe suporturi magnetice şi a creării de copii de siguranţă pentru informaţiile considerate foarte importante. A reuşit însă să provoace o anumită stare de panică după ce s-a constat ştergerea automată a unor fişiere pe calculatoarele infectate. Ca măsuri de securitate au fost luate deconectarea calculatoarelor de la reţeaua societăţii urmată de analiza cauzelor care au putut provoca ştergerea acelor fişiere. A urmat, apoi, o reactulizare a antivirusului utilizat şi în cele din urma descoperirea virusului de tip cal troian şi a e-mailului care a provocat infectarea calculatoarelor. Acest virus putea provaca pierderi de date importante prin ştergerea lor automată. Acest incident a constituit un semnal de alarma in ceea ce priveşte insecuritatea sistemului în faţa unor atacuri rău intenţionate menite să provoace pierderi de informaţii prin blocarea sistemului sau ştergerea automată a datelor, precum şi importanţa actualizării continue a antiviruşilor dar şi vulnerabilitatea acestor programme de protecţie care nu pot anticipa în nici o măsură apariţia noilor viruşi.
19