securitatea sistemelor informatice

PROIECT

SECURITATEA SISTEMELOR INFORMATICE

Capitolul I

SECURITATEA FIZIC

Universitatea Politehnic din Bucuresti

Facultatea de Automatic i Calculatoare

Student: Mezdrea Dumitru Cristinel

AN 1 Master ABD

2 Mezdrea Dumitru Cristinel, Ciurea Vasile- Alin, Olteanu Alexandru, Zamfir Ionel-Daniel.

Arhitectura fizica a cladirii.


1.SECURITATEA FIZIC

1.1)INTRODUCERE

SECURITATEA SISTEMELOR INFORMAIONALE

Securitatea sistemului informaional trebuie s fie o responsabilitate asumat de ctre

structurile de conducere ale oricrei organizaii din mediul privat sau public. Structurile de

conducere trebuie s asigure o direcie clar i gestionat corespunzator pentru indeplinirea

obiectivelor stabilite prinpolitica de securitate, avnd n vedere urmtoarele elemente:

a) revizuirea i aprobarea politicii de securitate i stabilirea de responsabiliti legate de

aceasta;

b) monitorizarea schimbrilor semnificative de expunere a sistemului informaional la

ameninri majore;

c) revizuirea i monitorizarea incidentelor de securitate a sistemului informaional;

d) aprobarea msurilor de sporire a securitii informaiilor.

n vederea stabilirii i meninerii politicilor de securitate este esenial implicarea specialitilor

din domeniu n vederea adoptrii deciziilor privind securitatea sistemului informaional. Accesul

la echipamentele de prelucrare informaiilor organizaiei de ctre tere pri trebuie s se fac

sub supraveghere. Pentru accesul terilor, o evaluare a riscului ar trebui s fie efectuat pentru

a stabili implicaiile de securitate i cerinele de control. Msurile de protecie trebuie s fie

puse de acord i incluse ntr-un contract cu terele pri. De asemenea n acordurile/contractele

de externalizare ar trebui s se abordeze riscurile, controalele i procedurile de securitate

pentru sistemele informatice, reelele i / sau echipamentele de birou.

Toate activele sistemului informaional ar trebui s fie contabilizate i s aib un responsabil

desemnat. Responsabilitatea pentru active ajut s se asigure c protecia corespunztoare

este meninut. Responsabilul unui element din sistemul informaional trebuie s poat fi

identificat pentru toate activele majore i s aib responsabiliti pentru meninerea i

implementarea de controale adecvate. Responsabilitile pentru control pot fi delegate.


Pentru a reduce riscurile de eroare uman, furt, fraud sau de abuz de

ncredere,responsabiliti de securitatetrebuie s fie implementate nc din etapa de recrutare,

incluse n contractele de munc i monitorizate n timpul activitii la locul de munc.

Pentru a ne asigura c utilizatorii sunt contieni de ameninrile de securitate a informaiilor i

sunt pregtii pentru a sprijini politica de securitate organizaional n cursul activitii lor la

locul de munc, angajaii proprii sau terele persoane ar trebui s fie instruii cu privire la

procedurile de securitate i utilizarea corect a sistemelor de prelucrare a informaiilor.

Toate incidentele de securitate trebuie raportate i n acest sens trebuie implementat un sistem

eficient i rapid de raportare a incidentelor de securitate, care s fie cunoscut de ctre toi

angajaii.

Informaiile de business critice sau sensibile trebuie s fie adpostite n locuri sigure, protejate

ntr-un perimetru de securitate adecvat, cu bariere de securitate corespunztoare i controale

de acces. Acestea ar trebui s fie protejate fizic mpotriva accesului neautorizat, deteriorare i

interferene. Protecia oferit trebuie s fie proporional cu riscurile identificate.

Echipamentele IT&C trebuie s fie protejate fizic mpotriva ameninrilor de securitate i de

pericolele de mediu. Responsabiliti i proceduri pentru gestionarea i exploatarea tuturor

sistemelor de prelucrare a informaiilor ar trebui s fie stabilite.

Software-ul i echipamentele de calcul sunt vulnerabile la introducerea de software rau

intentionat, cum ar fi virui, viermi de reea, cai troieni. Utilizatorii ar trebui s fie contieni de

pericolele software-ului neautorizat sau ru intenionat i managerii ar trebui, acolo unde este

cazul, s introduc controale speciale pentru a detecta sau a preveni introducerea de software

ru intenionat.

Proceduri de rutin ar trebui s fie stabilite pentru efectuarea de back-up-uri strategice,

simularea periodic a restaurrii de pe copiile realizate, logarea evenimentelor i a defectelor,

acolo unde este posibil i monitorizarea permanent a echipamentelor critice.

Securitatea informatic asigur cunoaterea, prevenirea i contracararea unui atac mpotriva

spaiului cibernetic, inclusiv managementul consecinelor.

Atributele securitii informatice sunt urmtoarele:

Cunoaterea trebuie s asigure informaiile necesare n elaborarea msurilor pentru

prevenireaefectelor unor incidente informatice.

Prevenirea este principalul mijloc de asigurare a securitii informatice. Aciunile

preventive reprezintcea mai eficient modalitate att de a reduce extinderea

mijloacelor specifice ale unui atac cibernetic,ct i de a limita efectele utilizrii acestora.

Contracararea trebuie s asigure o reacie eficient la atacuri cibernetice, prin

identificarea i blocarea aciunilor ostile n spaiul cibernetic.


1.2) SECURITATEA FIZIC Noiuni

Modelul de securitate pentru un sistem informatic poate fi vzut ca avnd mai multe straturi

ce reprezint nivelurile de securitate ce nconjoar subiectul ce trebuie protejat. Fiecare nivel

izoleaz subiectul i il face mai dificil de accesat n alt mod decat cel n care a fost prevzut.

Figura 1 - Modelul de securitate pentru un sistem informatic

Conceptul de securitate fizic descrie un set de msuri de securitate concepute pentru a opri

accesul fizic al persoanelor neautorizate n incinta companiei sau a unui loc unde sunt stocate

dispozitive i informaii confideniale. Sistemele de securitate fizic pot varia de la ceva foarte

simplu cum ar fi un sistem de nchidere a uilor pn la sisteme complexe construite pe mai

multe nivele de securitate, ce presupun integrarea mai multor tehnologii.

n prezent, toate companiiile se confrunt cu provocari noi i complexe ale securitii fizice. Cu

toate c tehnologiile de securitate nu pot raspunde la toate problemele de securitate ale unei

companii, dac acestea sunt aplicate n mod corespunzator, ele pot maximiza ansele ca

organizaia s fie protejat i pot n majoritatea cazurilor evita pierderi de resurse sau bani.

Un aspect important de luat n considerare la implementarea unor msuri de securitate fizic

este un echilibru potrivit ntre o securitate adecvat i crearea unei atmosfere de inchisoare

sau de buncar ce ar afecta funcionarea companiei.

De asemenea, un echilibru potrivit trebuie s fie ntre securitatea fizic i securitatea

informatic. Daca dispozitivele, staiile i serverele pot fi accesate sau chiar luate din cldire,

orice masur de securitate a informaiei nu mai are nicio valoare i poate fi compromis foarte

usor.


Pentru alegerea unei soluii de securitate fizic este bine ca nainte s fie facut o evaluare care

s determine necesitile i prioritile organizaiei n ceea ce priveste accesul fizic la resurse.

Cateva dintre aspectele ce trebuie luate n calcul ar fi:

- Ce vrem sa protejam?

- Contra ce amenintari ne protejam?

- Care sunt vulnerabilitatile existente sau care ar putea aparea?

- Care sunt consecintele unei pierderi?

- Ce nivel de protectie vrem sa atingem?

Aadar, securitatea fizic reprezint nivelul exterior al modelului de securitate i const, n

general, n nchiderea echipamentelor informatice ntr-o alt incint precum i asigurarea pazei

i a controlului accesului. O problem o constituie salvrile sub form de copii de rezerv ale

datelor i programelor, precum i sigurana pstrrii suporilor de salvare (backup). Reelele

locale sunt, n acest caz, de mare ajutor, copiile de rezerv putandu-se face prin reea pe o

singur masin ce poate fi mai usor securizat.

Securitatea fizic trebuie abordat foarte serios deoarece toate msurile de securitate logice,

cum ar fi stabilirea de parole pe sistemul respectiv, devin nesemnificative n cazul accesului

neautorizat la echipamente. O alt problem important n securitatea fizic a unui sistem

informatic o constituie pur i simplu sustragerile de echipamente sau a suporilor de backup.

Figura 2 Securitate


1.3) IMPLEMENTARE

Securitatea fizic este un termen larg iar soluiile pot varia de la cele mai simple pn la cele

mai complexe. n funcie de nevoile specifice ale companiei, se pot alege unul sau mai multe

dintre elementele ce pot compune o soluie integrat:

- Obstacole, ce ar putea ntmpina, intimida sau ntrzia un potenial atacator : garduri,

garduri la poart,perei.

- Controlul accesului poate fi realizat folosind pori, ui, ncuietori. De asemenea, pot fi

definite zone cu acces restricionat i controlat. O clasificare riguroas se poate face prin

politici i proceduri interne.

- Sisteme de detecie, cum ar fi alarme, senzori de miscare, de contact, ce genereaz un

raspuns atunci cand se detecteaz acces neautorizat. Aceste msuri vor creste

proabilitatea detectrii n timp a unui atac.

- Sisteme de identificare i monitorizare: camere de securitate sau CCTV, aceste masuri

vor ajuta la identificarea unui atac, la verificarea unui incident i pentru o analiz

ulterioar.

SECURIZAREA CLDIRII

Cldirea ce urmeaz a fi securizat este structurat pe 3 niveluri, fiecare nivel avnd 5

camere. n fiecare camer exist calculatoare conectate n LAN, totodat cldirea fiind

conectat la o linie de tensiune de 380V iar conexiunea la Internet se face printr-o fibr

optic.

Parter

Recepie

Camer de ateptare

Sal de conferine

Call center

Depozit de echipamente (servere,de reea,etc)

Camera pentru Firma de paz

Etajul 1

Biroul Mangerului de Departament

Biroul Directorului

Contabilitate

Buctrie & camer de relaxare

Staii de lucru pentru angajai camera 1



Etajul 2

1 camer datacenter (servere de baze de date + servere de backup)

Camer tehnic (service pe parte tehnic, echipamente de reea)


Camera administratorilor (de sistem,de reea etc)

1 camera datacenter + sistem de AC

- Server folosit pe post de router

- 3 servere ce ofer servicii angajaiilor (HTPP,e-mail,FTP,NFS)

- Server folosit pentru mbuntirea securitii i auditului.

Principalele metode i elemente folosite de echipa noastr pentru securitatea fizic a unei

cldiri sunt urmtoarele:

1) Firm de paz i protecie, monitorizare:

Deoarece securitatea fizic are un rol foarte important (unul din cele mai importante

roluri), se mizeaz chiar i pe lucrurile aparent mai simple precum asigurarea pazei

pentru cldirea respectiv, prin semnarea unui contract cu o firma de paz.

Am ales firma SSG Security care ofer urmtoarele servicii:

- Paz i protecie

- Monitorizare i intervenie rapid

- Alarme i sisteme de supraveghere

Se vor aloca ageni de pazpentru intervenii si monitorizrii ale cldirii, vor patrula n

mod regulat obiectivele din cadrul cldirii sau din exteriorul acesteia pentru a putea preveni

infracionalitatea, odat cu informarea dispeceratului asupra situaiei din teren.

Dispeceratul SSG Security va anuna Pompierii sau cea mai apropiata secie de Politie, n cazul

unei reale alarme de incendiu ori efracie. Echipa SSG Security, totodat, va demara

operaiunea de salvare, imobilizare a infractorilor sau de evacuare.

2) Alarme i sisteme de supraveghere:

SSG Security va pune la dispoziie instalarea sistemelor de alarm tip antiefracie, antiincendiu,

direct sau prin intermediul colaboratorilor SSG Security.


Sisteme de Alarm

Centrala de alarm sau centrala antiefracie este creierul ntregului sistem de securitate la care

se conecteaz toate dispozitivele, senzorii de micare, tastaturile, sirenele, etc.

Senzorul de miscare(PIR) este dispozitivul principal de detecie a efraciei ntr-o anumit zon.

Exist mai multe tipuri de senzori adaptai n funcie de necesitile spaiului care trebuie

securizat.

Sirena de avertizareeste dispozitul de avertizare sonor. Aceasta se poate instala atat la

interior cat i la exterior, rolul acesteia fiind de averizare n caz de efracie.

Monitorizarea video va fi efectuat prin utilizarea echipamentelor Digital Video Recorder ce

faciliteaz vizualizarea i nregistrarea imaginilor instalate n cadrul obiectivului, pentru a putea

fi analizate n detaliu ulterior.


Echipamentul de supraveghere conine urmtoarele:

dispecerat video local;

camere video inalta tehnologie;

VI50T este o camer de supraveghere video exterior varifocal ce poate afia imagini de

calitate color pe timp de zi i alb-negru pe timp de noapte. Obiectivul de 2,8-12mm

permite ajustarea manual a unghiului de vizualizare pentru a capta aria care v

intereseaz n mod deosebit. Mai mult, acest model de camer are o coroana cu 72 de

leduri IR ce ajut la monitorizarea nocturn pe o distanta de maximum 60 metri i poate

fi utiliazat n orice locaie de exterior datorit carcasei din metal ce rezist cu succes

intemperiilor sau loviturilor.

P.C. i soft dedicate tip client;

diverse accesorii.

3) Accesul n cldire

Pentru accesul in cladire am hotarat s utilizam Sisteme control acces i pontaj oferite de firma Protekt Romnia.

Beneficiile unui sistem de control acces:

Baza de date redundant pentru control acces; Administrare i control centralizat sau descentralizat; Se poate urmari i realiza prezenta i pontajul propriilor angajai, semnalarea eventualelor

evenimente nedorite; Evidena zilnica a perioadei lucrate pentru fiecare angajat; Realizare grafice i analize periodice (lunare, zilnice) pe fiecare angajat, departament etc.;


Restrictioneaz intrarea n cldire folosind turnichei pentru persoane sau bariere automate pentru autovehicule, cu acces condiionat n funcie de or, zi a sptmnii, perioada de concedii;

Controlul intrrii n anumite spaii interioare a persoanelor neautorizate, atunci cand se monteaz cititoare la intrrile diferitelor camere din interior.

Cititoarele pot conine i o tastatur cu coduri numerice, accesul fiind permis att cu cartela, ct i introducand un cod valid pentru acea zona i acea perioad;

In cazul pierderii unui card, acesta se invalideaz, accesul nefiind permis, iar la ncercarea de intrare se poate genera o alarm, iar houl este prins n flagrant;

Se poate crea o baz de date cu fotografiile angajailor; la intrarea n companie personalul de paz confruntand imaginea care apare automat pe un monitor cu persoana ce a facut o cerere de acces;

Sistemele cu cartele de proximitate au marele avantaj c nu se uzeaz. Pe cartele se poate imprima emblema companiei, fotografia posesorului i datele lui de identificare (nume, funcie etc). Cardul poate servi i ca legitimaie de serviciu.

Sistemul de control acces este alctuit din urmatoarele componente de baz:

Central de control acces; Cartele de proximitate/cod PIN care se prezint unui cititor; Cititoare/tastaturi care autentifica cartela/PIN-ul; O us/barier/poarta de acces care se deschide cand se autorizeaz intrarea.

Central control acces Cititorul de proximitate Carduri de proximitate

Este de menionat faptul c pentru fiecare camer este desemnat una sau mai multe persoane care au acces. n camerele importante pentru datacenter-ul nu orice angajat are acces, deci accesul este restricionat pentru anumite persoane.


4) Sisteme de detecie incendiu, oferite de firma Protekt Romnia.

Avantajele sistemelor detecie incendiu:

Un sistem antiincendiu contribuie la sigurana persoanelor i a bunurilor din cladire;

Sistemul de avertizare incendiu ajut la diminuarea cuantumului poliei de asigurare;

Instalnd un sistem detecie incendiu se elimin costurilor de recuperare n urma

incendiilor;

In cazul sistemelor detecie incendiu adresabile principalul avantaj il reprezint indicarea

exact a punctului de alarm;

Prezena sistemului antiincendiu duce la eliminarea penalitilor prin respectarea

normativelor i a legislaiei n vigoare pentru obiectivele cu risc (legea nr. 307/2006).

Sistemul de detectie incendiu este alctuit din urmtoarele componente de baz:

Centrala detecie incendiu este panoul principal la care se conecteaz toate

dispozitivele periferice, fiind creierul unui sistem de avertizare incendiu;

Detectori de fum, detectori de temperatura, detectori de caldura, detectori de gaz,

etc. Detectorii reprezint elementele active ale unui sistem antiincendiu special create

pentru a detecta i transmite n cel mai rapid mod un pericol iminent;

Buton de incediu Butonul de avertizare n caz de incendiu se acioneaz manual n

cazul n care este identificat un focar de incendiu;

Sirena i indicatori optici de semnalizare asigur avertizarea locala sonora i luminoas

referitor la producerea unui incendiu i intrarea n procedura de evacuare.

Central detecie incendiu Detector fum Buton de incendiu


5) Sisteme de Aer Condiionat

Sistemele de aer condiionat reprezint o parte foarte important din securitatea fizic,

deoarece asigur funcionarea normal a echipamentelor, meninnd o temperatur constant

a incperii. Dei sistemele se monteaz n toate camerele din cldire, se acord o foarte mare

atenie camerelor n care se afl datacenterele, serverele de email etc, deoarece exist

posibilitatea s se suprancalzeasc i s provoace un incendiu care ar produce pagume

materiale foarte costisitoare.

O unitate de aer condiionat rooftop este o soluie plug and play, ideal pentru spaii medii

spre mari, unde este necesar un sistem economic, dar eficient. Pe lng furnizarea de nclzire

i rcire, aparatele de aer condiionat rooftop vin echipate cu opiunea de comutare n funcia

free-cooling, ca un mod de economisire a energiei ntre anotimpuri.

Unitile de aer condiionat rooftop pot fi echipate cu o opiune de economisire, permind

funcia free-cooling atunci cnd temperatura exterioar este mai sczut dect temperatura

interioar, ceea ce nseamn c aerul exterior poate fi utilizat ca o surs gratuit de rcire.

Instalarea se realizeaz uor, n modul plug and play. Aceast unitate compact, poate fi

montat pe acoperi, aa cum sugereaz numele, sau, ca o alternativ, la nivelul solului, lng

cldire. Nu necesit conducte suplimentare, deoarece att partea interioar, ct i partea

exterioar sunt preconectate. Unitatea poate fi utilizat cu tubulatur de diverse lungimi. Dup

instalarea tubulaturii, unitatea poate fi conectat la alimentarea electric i este pregtit

pentru a fi pus n funciune.

Volumele de aer ale unitii de aer condiionat rooftop pot fi personalizate n funcie de

dimensiunea cldirii, pentru a rspunde solicitrilor exacte ale cldirilor medii spre mari.

Unitile pot fi instalate n apropierea sau la distan de spaiul care trebuie condiionat i pot fi

reglate pentru a rspunde cerinelor specifice ale cldirii privind debitul de aer i performana

de economisire a energiei.

Sistem de Aer Condiionat


ANEXE

Sisteme de Alarm

Kit sistem alarma interior Paradox

Alarma

Centrala Nr. Zone

8Fir

Nr. Maxim Zone

32Fir/32Wireless

Centrala Partitii

2 Partitii

Tastaturi

Tastatura LED

Tastatura Fir/Wireless

pe Fir

Detectori Alarma

Tip Detector Miscare

Standard

Alti Detectori

Contact Magnetic

Sirene Sirena Interior


Alarma

Detector Fir/Wireless

Fir

Mediu Detector

Interior

Camere video de supraveghere

VI50T

Senzor imagine 1/3 Sharp

Rezolutie 700 TVL

Pixeli PAL 976 (H) 582(V)

Iluminare 0 Lux /F2.0

Sistem TV PAL / NTSC

Lentila 2,8 12 mm (Reglaj manual)

Leduri Infrarosu 72 5 mm

Vedere pe timp de noapte 60 M

Gamma 0.45

Balans de alb Auto

Iesire video 1 Vp-p / 75 ohmi

Alimentare DC12V 10%

Temperatura de funcionare -10 ~ 50 RH95% Max

Dimensiuni 142 x 82 x 79.5 mm

Greutate 1600g


Capitolul II

Universitatea Politehnic Bucureti

Administrarea bazelor de date

Securitatea sistemelor informatice

Ciurea Vasile-Alin


2.1 Securitatea la nivelul reelei locale i Internet

Reelele locale de calculatoare sunt cele mai puin expuse accesului neautorizat dac se face o

configurarea corespunztoare din partea administratorului de reea. Exist o diversitate de

categorii de personal care ar putea comite fraude cu consecine mai puin grave, cum ar fi

informaii despre partenerii de afaceri, angajaii care vor s afle salariul sau primele colegilor,

etc. Dar i cu consecine grave ca modificarea unei baze de date, fraude financiare etc.

n cazul unei reele Internet problemele de securitate se amplific deoarce aria de

desfurare este mult mai mare ca numr de persoane. Un numr tot mai mare de companii

dezvolt afacerile prin intermediul Internetului iar volumul tranzaciilor aproape se dubleaz de

la un an la altul.

De-a lungul timpului au fost dezvoltai diferii algoritmi de criptare/decriptare care folosesc chei

simetrice sau chei asimetrice.

Exemplu de algoritmi de criptare: DES (Data Encryption Standard), Triple Des,

AES, IDEA, etc. Un algoritm performant dar nesimetric este RSA pus la punct de cercettorii

americani Ronal Rivest, Adi Shamir i Leonard Adelman.

Tipuri de servere

n tehnologia informaiei, un servereste un programdeaplicaie care furnizeaz servicii

altor aplicaii (numite aplicaii client), aflate pe acelai calculator sau pe calculatoare diferite.

Exist mai multe tipuri de servere:

- Servere de colaborare- Acest tip de servere sunt n general necesare n domeniul

business, ele reuind s amplifice mediul i spaiul de lucru atunci cnd site-ul construit

este n colaborare. De asemenea, serverele de colaborare sunt ideale pentru partajarea

fiierelor i editarea acestora de mai multe persoane simultan;

- Servere de mail- Acestea sunt utilizate la crearea i configurarea conturilor de pot

electronic. Astfel, n funcie de tipul serverului de email ales, mesajele online pot fi

primite, trimise i stocate att pe calculator ct i pe Internet.

- Servere de fiiere- Acest tip de servere sunt absolut necesare mai ales n cazul n care pe

website-ul deschis n mediul virtual se face reclam la un anumit brand i se

comercializeaz produse. De asemenea, aproape toate companiile de pe Internet care

furnizeaz clienilor servicii, dein mcar un server de fiiere.

- Servere de imprimare- Acest tip de server este din ce n ce mai utilizat n zilele noastre,

avnd opiunea fundamental de a mpri o imprimant n acelai timp cu mai muli ali

utilizatori.


De reinut mai este faptul c exist i unele servere de tip software care permit utilizatorilor s

ruleze att serverele de colaborare, ct i cele de pot electronic, de transfer al fiierelor sau

de imprimare n acelai timp, pe un singur server hardware.

Pentru a asigura securitatea companiei la nivel de reea trebuie fcut o configurare

corespunztoare pentru e evita eventualele atacuri. n cele ce urmeaz voi prezenta modul de

distribuire a serverelor n cldire, tipul serverelor folosite i diferite modaliti pentru a

mbunti securitatea reelei.

n configurarea accesului la Internet, routarea traficului, stocarea datelor i oferirea de servicii

angajailor se vor folosi 5 servere:

- un server, pe post de router;

- trei servere ce vor oferi diferite servicii angajailor (HTTP, e-mail, FTP,etc);

- un server pentru alte task-uri pentru a mbuntii securitatea i auditul;

- un sistem de stocare a datelor.

Cldirea este conectat la Internet prin fibr optic. Calculatoarele au acces la Internet

prin intermediul cablurilor utp.

Accesul la serverul de router se face pe baz de parol cu acces restrns i anume doar

administratorul de reea beneficiaz de acest drept.

n ceea ce privete alegerea serverului pentru pota electronic exist mai multe opiuni i

anume:

- Servere POP3 (Post Office Protocol 3) stocheaz mesajele de pot electronic de intrare

pn la verificarea potei electronice, moment n care le transfer n computerul personal.

POP3 este cel mai comun tip de cont pentru pota electronic personal. Mesajele sunt de

obicei terse din server cnd se verific pota electronic.

- Servere IMAP(Internet Message Access Protocol) permit lucrul cu mesajele de pot

electronic fr a la descrca mai nti pe computer. Avei posibilitatea de a examina, terge

i organiza mesajele direct pe serverul de pot electronic, iar copiile vor fi stocate pe

server pn cnd luai decizia de a le terge. IMAP este utilizat de obicei pentru conturile de

pot electronic de afaceri.

- Serverele SMTP (Simple Mail Transfer Protocol) trateaz trimiterea pe Internet a mesajelor

de pot electronic. Serverul SMTP trateaz pota electronic de ieire i este utilizat n

conjuncie cu serverele de intrare POP3 i IMAP.


Windows Mail accept i alte tipuri de servere: Serverele NNTPNetworkNews Transfer

Protocol), care este utilizat pentru citirea i publicareamesajelor grupurilor de tiri, i

LDAP(Lightweight Directory Access Protocol), care este utilizat pentru accesarea serviciilor

director.

Windows Mail nu accept protocolul HTTP://, care este utilizat de Outlook Express pentru a

accesa Hotmail i alte servicii de pot electronic bazate pe Web.

Muli oameni folosesc serviciile oferite de G-mail i Yahoo, dar cei care doresc mai mult

spaiu n special companiile opteaz pentru servere proprii de email. Exist pe pia mai multe

programe,dou dintre cele mai populare opiuni fiindPostFix sau Microsoft Exchange.

La alegerea serverului pentru HTTP putem opta pentru o variant open source de la

Apache. Apache este prezent n circa 65% din paginile web fiind un server cu o contribuie

notabil la dezvoltarea internetului. Apache a reprezentat prima alternativ viabil la Netscape

Communications Corporation i a evoluat rapid n funcionalitate i performan ca un rival

competitiv pentru alte servere web bazate pe Unix. Principalul competitor al serverului Apache

este Microsoft Internet Information Services (IIS), urmat de Sun Java, System Web Server al

companiei Sun Microsystems, Zeus Web Server etc.

n ceea ce privete serverul pentru FTP, dac se dorete o variant de server open

source se poate opta pentru File Zilla. Este disponibil pe diferite sisteme de operare ca

Windows, Linux i Max. FileZilla suport FTP, SFTP i FTPS.

Pentru a asigura o securitate ridicat cele mai viabile variante n alegerea serverului FTP sunt

Complete (ruleaz doar pe Windows) i CrushFTP (disponibil pentru Mac, Windows, Linux,

Solaris).

2.2 Sisteme de stocare a datelor De-a lungul vremii s-au dezvoltat mai multe sisteme pentru stocarea datelor. Cele mai

ntlnite sunt: DAS (Direct Attached Storage), SAN (Storage Area Networks), NAS (Network

Attached Storage).

Sistemul de stocare folosit de mine pentru stocarea datelor este NAS, motiv pentru care am

ales s vorbesc mai pe larg despre acest sistem.

NAS (Network Attached Storage) este un sistem de stocare la nivel de fiier conectat la

o reea care furnizeaz acces la date unor clieni heterogeni ai reelei.

Sistemele NAS moderne sunt enclosure-uri externe, care folosesc HDD-uri SATA i IDE

ataate la reea- mai multe calculatoare pot partaja acelai spaiu de stocare care minimizeaz

overhead-ul prin management-ul centralizat al HDD-urilor. Mai multe dintre aceste uniti

ncorporeaz controllere RAID.


Un dispozitiv NAS nu necesit sistem de operare, adesea utilizndu-se SO-uri cu

funcionaliti minimale. Un exemplu este FreeNAS (software NAS gratuit open source proiectat

pentru utilizarea pe un calculator standard) fiind doar o versiune de UNIX FreeBSD, din acesta

fiind eliminate toate funcionalitile care nu au legtur cu stocarea.

NAS utilizeaz protocoale bazate pe fiiere ca NFS (Linux) sau SMB/CIFS- Server Message

Block/Common Internet Fille System (Windows).

Un sistem NAS are numeroase avantaje dintre care enumerm:

- Ofer faciliti ncorporate pentru RAID i clustering.

- Poate mri performanele deoarece realizeaz file serving-ul degrevnd de aceast

sarcin un alt server care trebuie s execute i alte procesri.

- Depinde de viteza i traficul prin reea i de mrimea memoriei RAM.

Un sistem NAS este util nu doar pentru c ofer o stocare centralizat clienilor calculatoarelor

din medii unde se vehiculeaz cantiti mari de date. NAS face posibile sisteme mai simple cu

costuri mai mici, ca de exemplu servere de emai i web care ofer load-balancing i fault-

tolerant, furniznd servicii de stocare.

2.3 Memorii Cele mai ntlnite tipuri de memorii pe dispozitivele server su memoriile ECC (Error Checking

and Correction).

ECC reprezint tehnologia care permite calculatoarelor s corecteze erorile de memorie n mod

automat, de foarte multe ori fr ca sistemul de operare s fie contient de acest lucru i de

asemenea fr consecine negative pentru utilizator. Cel mai ntlnit tip de ECC folosit pentru

modulele de memorie este cel cu corecie a erorilor pe un singur bit. Acesta permite detectarea

i corectarea erorilor la nivel de un bit, de asemenea va detecta i erorile pe mai muli bii dar

nu va fi capabil s le i corecteze.


2.4 Anexa

Echipamente hardware:

I. Se vor folosi 5 echipamenteNetwork Storage Synology RS3614xs pe post de server i

configurate corespunztor pentru funcii ca: router, server pentru email, server pentru stocare

date, server pentru http,nfs respectic ftp..

Figur 1


Figur 2

La un pre rezonabil pentru un server de calitate, aproximativ 3000$, RS3614xs ofer un

spaiu de stocare maxim de 72 TB putnd fi ataat un numr de 12x3.5, 2.5 SATA(III) HDD sau

SSD i cu o memorie de 8 GB DD3 ECC.

Procesorul prezent pe acest server este de ultim generaie: Intel Xeon E3 3.3GHz Quad

Core

Management:Auto DSM Upgrade, Push Notification MSN/Skype/Mobile Devices, Email/SMS

Notification, Customized User Quota, Customized Administrator/User Group, Syslog Support,

DDNS Support, IPv6 Support, VLAN Support, PPPoE, Hotspot, Resource Monitor, Connection

Manager, UPS Management, Scheduled Power On/Off, Custom Management UI HTTP/HTTPS

Ports

Securitate:FTP over SSL/TLS, IP Auto-Block, Firewall, Encrypted Network Backup over Rsync,

HTTPS Connection, File sharing:Max User Accounts: 16000, Max Groups: 512, Max Shared

Folder: 512, Max Concurrent CIFS/AFP/FTP Connections: 1024, Max shared folder sync tasks: 32

Networking protocols:CIFS, AFP, NFS, FTP, WebDAV, CalDAV, iSCSI, Telnet, SSH, SNMP, VPN

(PPTP, OpenVPN)

File sharing:Max User Accounts: 16000, Max Groups: 512, Max Shared Folder: 512, Max

Concurrent CIFS/AFP/FTP Connections: 1024, Max shared folder sync tasks: 32


II. Fibra optic pentru conectarea la Internet.

Figur 3

III. Cablu UTP pentru conectarea calculatoarelor personal la reeaua local.

Figur 4


Bibliografie

Lucrare de curs, Al. Boicea, 2014

Lucrare de curs, Securitatea sistemelor informatice, F. Anton,2014,

The Standard of Good Practice for Information Security, NIST, 2007

http://whatismyipaddress.com/mail-server,

http://ro.wikipedia.org/wiki/Apache_%28server%29,

http://windows.microsoft.com/ro-ro/windows-vista/windows-mail-setting-up-an-account-

from-start-to-finish,

http://en.wikipedia.org/wiki/List_of_FTP_server_software,


Capitolul III

Disponibilitatea solutiei software, a

serviciilor si a serverelor

Universitatea Politehnica Bucuresti

Automatica si Calculatoare

Securitatea sistemelor informationale

Olteanu Alexandru


3.1 Introducere

Traim intr-o era in care o parte din activitatile atat cotidiene dar si profesionale se

desfasoara in mediul online. De aceea nevoie de aplicatii care sa prelucreze volume mari de

date confidentiale intr-o maniera sigura si rapida este in crestere. Astazi, aplicatii de acest gen

le intalnim la tot pasul, fie ca vorbim de o gestiune a documentelor sau evidentelor contabile a

unei companii, fie de sisteme de gestiune a proceselor tehnologice, fie de gestiunea proceselor

bancare si a platilor online. Astfel, in mediul online pastram informatii critice despre activitati

personale sau profesionale iar din acest motiv securitatea, integritatea si confidentialitatea

datelor si fisierelor reprezinta un criteriu esential in dezvoltarea aplicatiilor.

Din pacate o parte din managerii de companii inca sunt sceptici in a adopta solutii de

propuse de diferinte firme specializate pe securitate IT. Acestia considera ca nu au o activitate

ce ar interesa posibi atacatori, sau ca datele acestora nu sunt atat de importante incat sa

surescite interesul cuiva. Argumentele lor sunt ca Internetul e vast iar activitatea lor este

minuscula in comparatie cu toate companiile mari ce se gasesc pe Internet. Desi pare plauzibil

pentru cineva neavizat, desi pierderea confidentialitatii datelor sau distrugerea fizica nu ar fi un

punct critic in activitatea acelei compani, totusi, securitatea IT este necesara. Atacurile asupra

sistemelor pot fi de folosite pentru a prelua controlul unei sau mai multor statii de lucru ce vor

fi folosite ulterior pentru a lansa atacuri tintite catre alte sisteme sau site-uri web.

De aceea securitatea IT este un proces esential in dezvoltarea unei companii.

Riscurile la care este supus un sistem informatic pot surveni atat din mediul extern prin

intermediul virusilor, a hackeri-lor dar si din mediul intern prin furtul de date sau prin erori ale

utilizatorilor. Prin urmare securitatea informatica reprezinta o multitudine de masuri ce trebuie

implementate care au rolul de a proteja informatiile din baza de date, a fisierelor de sistem, etc.

Aceste masuri pot fi structurate pe mai multe nivele de securitate cum ar fi:

-securitatea sistemului de operare de pe statiile de lucru

-securitatea retelei locale

-securitatea aplicatiilor software utilizate de angajati

-securitatea serverelor de baze de date.


3.2 Securitatea sistemului de operare

Din punct de vedere al securizarii unui sistem de operare pentru mediul intern primul

pas este limitarea accesului utilizatorilor la statiile de lucru. In acest scop trebuie efectuata o

gestiune foarte clara si eficienta a drepturilor de acces in sistemul de operare. Astfel trebuie

tinut cont de cel putin doua elemente.

-gestiunea controlului accesului utilizatorilor: fiecarui utilizator i se vor aloca un set

precis de actiuni permise in functie de activitatea lui profesionala. Aceasta masura este foarte

importanta deoarece un utilizator neavizat poate deteliora date sau fisiere ale sistemului de

operare accidental.

-gestionarea controlului autenticitatii utilizatorilor: fiecarui utilizator i se va aloca un

cont format din user si o parola cu care se va conecta la sistemul de operare de fiecare data

cand il va accesa. Astfel sunt inlaturate situatiile in care un utilizator rau voit sau putin pregatit

sa acceseze contul unui alt utilizator si sa puna in primejdie integritatea datelor. Daca nu exista

cate o statie de lucru pentru fiecare utilizator, atunci se vor aloca spatiu privat pe hard-disk

pentru fiecare utilizator astfel incat sa nu existe posibilitatea accesului memoriei altor

utilizatori.

Pentru securizarea unui sistem pentru mediul extern administratorul trebuie sa

indeplineasca task-uri in doua mari categori: administrarea sistemului si administrarea retelei.

Administratorul de sistem trebuie sa indeplineasca task-uri in doua mari categori: administrarea

sistemului si administrarea retelei.

Administrarea sistemului reprezinta aplicarea unei serii intregi de decizii si combinatii de

sarcini pentru stabilitatea sistemului IT. Pe langa gestionarea conturilor utilizatorilor si

gestionarea accesului in sistem, administratorii de sistem au sarcini clare pentru a asigura

securitatea sistemului, cum ar fi

-acordarea de licente;

-securizarea porturilor de comunicare;

-solutii firewall;

-permanenta monitorizare, intretinere si gestionare a tuturor partilor din sistem

-preventie pentru infectarea cu virusi;

-upgrade hardware

-upgrade software

-testarea sistemului in vederea descoperirii breselor de securitate


Licenta este un contract intre un utilizator de software si proprietarul aplicatiei, prin

care utilizatorul are drept de folosinta asupra programului. Dreptul de folosinta este

netransferabil si neexclusiv, adica nu utilizatorul nu poate instraina dreptul de folosinta si nici

nu are exclusivitate in folosita. Licentierea software este foarte importanta deoarece un produs

licentiat are update-uri la zi si astfel beneficiaza de o securitate sporita. O aplicatie piratata de

obicei este si NFSigura deoarece modalitatile de piratare lasa brese de securitate in aplicatie.

Porturile sunt numere intregi pe 16 biti folosite de protocoalele de comunicare in retea

pentru a identifica carui protocol sau carei aplicatie trebuie sa transmita mesajele. Protocoalele

permint calculatoarelor sa comunice in retea printr-un limbaj comun, sau pe Internet.

Pentru siguranta trebuie ca porturile ce nu sunt utilizate sa fie inchise iar cele folosite sa

fie securizate cu solutii firewall.

Firewall, sau paravan de protectie, este o aplicatie software sau un echipament

hardware ce are capacitatea de a flitra traficul de date dintre o statie de lucru sau o retea locala

si Internet. Un firewall:

-monitorizeaza caile de acces in reteaua privata, pentru a detecta orice fel de incercare

de infiltrare in sistem

-poate bloca intr-un moment critic traficul inspre si din Internet.

-selecteaza accesul in spatiul privat in functie de informatiile detinute in pachetele

transferate.

-blocheaza accesul in reteaua publica a anumitor statii de lucru, daca acestea sunt

suspecte

- nu poate bloca accesul dispozitivelor portabile de date in retea, cum ar fi USB Stick, CD,

discheta, HDD extern, etc.

- nu poate interzice importul/exportul de informatii daunatoare din reteaua privata ca

urmare a unor actiuni rau intentionate a utilizatorilor prin spatiul lor privat cum ar fi casuta de

e-mail, atasamente.

- nu poate bloca scurgerea de informatii pe cai ce ocolesc firewall-ul, cum ar fi retele 3g

sau dial-up ce nu trec prin router.

-nu poate preveni erori ale aplicatiilor datorate proastei proiectari sau din cauza utilizarii

lor defectuos.

Preventia infectarii cu virusi se realizeaza prin instalarea de solutii antivirus si anti-

spyware care, de obicei vin la pachet si cu solutii de filtrare firewall. In functie de solutia aleasa

aplicatia software poate imbunatati securitatea sistemului din mai multe prespective. In afara

de protectia impotriva virusilor, softul poate pune la dispozitie solutii de cloud sigure, functii de

scanare optima a vulnerabilitatiilor si fisierelor malitioase, ofera browsing sigur si


confidentialitate, criptare de fisiere si chiar optimizatoare de sistem care inchid aplicatii ce nu

sunt folosite sau administreaza aplicatii care porNFSc odata cu sistemul.

Upgrade-ul de software este esential pentru securitatea sistemului deoarece, cu cat

softul este mai vechi, posibile depistari de brese de securitate este mai mare si atunci

securitatea sistemului scade. Upgradarea la zi a softului trebuie facuta totusi cu grija si numai

manual de catre un administrator. Un program ce efectueaza singur update poate crea astfel

brese de securitate. Desigur odata cu noile tehnologii de aplicatii resursele necesare pentru

rularea acestora creste si astfel este nevoie la un interval de timp, inlocuirea componentelor

hardware vechi cu noile tehnologi.

3.3 Securitatea retelei locale

Administrarea retelei presupune cunoasterea foarte bine a tehnologiilor hardware de

retea, pentru a reusi sa proiecteze, dezvolte, intretina in functiune solutii IT&C ce includ accesul

la internet si lucrul in retea. Astfel un administrator de retea trebuie sa detina cunostinte cum

ar fi:

-arhitecturi de retea

-stabilirea modului in care utilizatorii au privilegi de acces la resursele disponibile in

retea.

-organizarea de sediinte de instruire cu utilizatorii

-instalarea de infrastructura si conexiuni la retea, servicii;

-stabilirea de rolurile client-server ale componentelor din retea;

-diagnosticarea, identificarea si solutionarea problemelor aparute in functionarea retelei

si a echipamentelor.

O arhitectura de retea ar trebui sa contina pe langa statiile de lucru ale utilizatorilor

configurate corespunzator pentru fiecare necesitatile task-urilor fiecarui user, o serie de

componente hardware cu numeroase solutii software pentru configurarea serverelor.

Serverul folosit pe post de router este prima componenta hardware dintr-o retea. Prin

acest dispozitiv se poate configura o retea, adica toate statiile de lucru se vor conecta la acest


switch pentru a trece din LAN la accesul pe Internet. De obicei aceste servere vin cu softuri

preinstalate ce permit filtrare a pachetelor spre LAN pe baza adreselor MAC sursa si destinatie,

sau a adresei IP, sau a porturilor de comunicatie sau chiar a id-ului statiei de lucru din reteaua

virtuala. Aceste servere ofera si posibilitatea implementarii unui sistem de autentificare

preliminara acordarii accesului in retea.

Serverul HTTP este o aplicatie ce intelege protocolul HTTP implicit al www. In momentul

in care un computer transmite o cerere catre un computer aflat la distanta prin apelarea unui

link sau a unei adrese web atunci se cere calculatorului host sa afiseze o pagina web. Primul pas

este ca serverul dns sa transforme url-ul (adresa) pagini web intr-o adresa IP. Astfel trasferul se

realizeaza prin protocolul TCP pe portul 80 al serverului HTTP. In header-ul pachetului HTTP se

pot gasi informatii suplimentare cu privire la date pentru browser, pentru limba dorita si atunci

serverul web raspunde transferand datele cerute ca fiind pagini HTML, sau fisiere atasate ce

contin imagini, fisiere de stil sau scripturi. Daca dintr-un anumit motiv nu pot fi transferate

datele atunci serverul va afisa un mesaj de eroare corespunzator.

Serverul de E-MAIL este o aplicatie ce trimite mesaje prin posta electronica de la un user

la altul. Este o metoda foarte rapida si eficienta de transmitere de date si mesaje indiferent de

fusul orar sau pozitia geografica. Evident, fiind vorba de o comnicare intre calculatoare este

nevoie de un port de comunicare deschis, si aici vorbim de 143/993(IMAP) sau 110/995(POP).

Protocolul POP, creat in 1984, permite utilizatorilor de e-mail sa descarce toate mesajele din

server in local stergand mesajele din server, asta inseamna ca daca ulterior citiri unui mesaj

utilizatorul se va conecta la casuta de mail de pe alt dispozitiv, acesta nu va mai putea vedea e-

mail-urile citite anterior.

Protocolul IAMP aparut 2 ani mai tarziu, are ca principiu permiterea utilizatorului sa isi acceseze

si gestioneze casuta de e-mail cu orice dispozitiv, cu orice client dar si din webmail. Astfel in

limita memoriei serverului se stocheaza toate mesajele iar utilizatorul are acces la ele indiferent

de pe ce dispozitiv si cand se conecteaza.

Webmail presupune gestiunea casutei de mail intr-o interfata web. Aceasta interfata este

instalata direct pe server si nu presupune o instalare locala.

Un client de mail sunt programe ce primesc si trimit e-mail de pe dispozitive local, nu de pe

server. Asta inseama ca aceste programe trebuie instalate pe dispozitive si gestionate local.

Serverul PROXY este un dispozitiv intermediar intre statia de lucru sau reteaua locala si

Internet. Acest server apeleaza paginile si serviciile web in locul statiei de lucru. Motivele

pentru care se folosesc serverele proxy sunt multiple:


- control asupra accesului la internet, ofera posibilitatea de a bloca accesul catre site-uri

cu continut pornografic sau catre retele sociale sau catre orice alt site considera administratorul

- crearea de jurnaluri de activitate, astfel un angajator poate observe ce site-uri au fost

accesate cel mai frecvent, si pentru cat timp.

- optimizarea vitezei pe internet; serverul proxy comprima pachetele de date ce vin

catre retea si realizeaza o copie a pagini accesate, astfel ca la o urmatoare accesare, daca

informatiile din pagina nu sunt modificate serverul incarca copia stocata local.

- poate ascunde adresa ip a statiei de lucru si bloca stocarea de cookie in browser.

- pot cripta transferurile de date.

- prin accesarea unui server proxy se poate ocoli cenzura de pe internet; daca exista site-

uri blocate intr-o tara, atunci prin folosirea unui proxy aflat in alta tare se pot accesa acele site-

uri.

Serverul FTP foloseste protocolul cu acelasi nume si realizeaza transferul rapid de fisiere

intre dispozitive intr-o retea locala sau pe internet. In ultimii ani necesitatea de siguranta si

volumul tot mai mare de date trasferate a adus modificari importante in domeniul trasferului

sigur de date. Cateva din functiile acestor programe ce folosesc ftp sunt:

-download/upload de fisiere multiple la distanta

-setarea de atribute pentru fisierele si directoarele de pe server; de aici se poate limita

accesul catre acele directoare sau fisiere.

-editare online de fisiere.

-search pe server

-FTPS,SFTP.

SFTP este o extensie a protocolului ftp ce permite protocolul criptografic SSH.

NFS (network file system) este o aplicatie client/server care permite utilizatorilor sa

acceseze si sa partajeze fisiere de pe un computer aflat la distanta ca si cum ar fi propriul

computer. Pentru a folosi NFS este nevoie ca un calculator sa aibe un client NFS iar cel de la

distanta sa aibe un server NFS, dar si ca ambele dispozitive sa poata folosi protocoalele TCP/IP.

NFS a fost creat de Sun Microsystem pentru linux dar poate fi instalat si pe windows 95b si

predecesoarele lui. Protocolul aplicatiei foloseste RPC(remote procedure call) metoda de

comunicare intre calculatoare.

Securitatea Sistemului de Gestiune al Bazei de Date.

Securitatea bazelor de date este definita ca protectia si pastrarea integritatii datelor si

informatiilor si oferirea accesului doar persoanelor autorizate.


Securitatea bazelor de date poate fi organizata pe mai multe nivele astel se acopera o

mai mare arie de aplicatii in functie de complexitatea lor.

Primul nivel este alocarea de user si parole distincte de acces pentru fiecare utilizator al unei

aplicatii. Acest lucru este foarte important deoacere astfel se poate face o evidenta foarte clara

asupra tranzactiilor asupra bazei de date, cu ajutorul fisierelor de log. De exemplu daca un

utilizator face o tranzactie de update pe o tabela si din greseala, sau din rea-vointa inlocuieste

niste valori importante, atunci, acesta avand un unsername propriu va putea fi identificat si tras

la raspundere. Desigur exista si varianta ca utilizatorii sa foloseasca un user comun daca sunt

din acelasi departament, dar astfel raspunderea va fi colectiva. Diferenta dintre useri colectivi si

useri distincti in afara de securitate este si costul licentei. Daca se considera ca daunele produse

printr-o eroare provoaca un cost mai mic decat costul achizitionarii de licente pentru toti userii

atunci compania poate lua decizia de a ramane la varianta cu un user colectiv.

Al doilea nivel este restrictionarea userilor cu privire la tranzactiile operate pe baza de date.

Aceasta sarcina revine administratorului bazei de date care trebuie sa acorde privilegi de

operare pe baza de date fiecarui user in parte in functie de activitatea si competenta acestuia.

Al treilea nivel de securitate este alocarea de roluri colective pentru useri. Acest proces

presupune gruparea actiunilor pe care le pot face mai multi useri in cadrul aceluiasi

departament pentru a eficientiza astfel alocarea de privilegii.

Un proces important in securizarea datelor dintr-o baza de date este criptarea

informatiilor la nivelul bazei de date. Acest lucru impedica citirea accidentala de catre persoane

neavizate a datelor din baza de date. Pe de alta parte procesul de criptare si decriptare a

informatiilor produce costuri mari de timp in functie de volumul de informati. Astfel sistemul de

gestiune intarzie intoarcerea de rezultate deoarece trebuie sa decripteze initial informatiile si

apoi sa le afiseze. Un alt dezavantaj este faptul ca tranzactiile sunt mai dificil de utilizat

deoarece de exemplu daca un camp ce contine un identificator numeric al unui produs este

criptat atunci cautarea produsului dupa acel identificator va intoarce o valoare nula.


3.4 Concluzii

Securitatea informationala este proces ce se desfasoara continuu pentru asigurarea

confidentialitatii, disponibilitatii si integrabilitatii datelor. Odata ce un sistem este pus la punct

si upgradat la zi din punct de vedere software si hardware activitatea curenta a companiei in

mediu informatic se desfasoara mult mai rapid si sigur decat daca securitatea este neglijata.

Costurile intradevar cresc pentru companie daca managerii doresc ca sistemele de

securitate sa fie in concordanta cu tehnologiile momentului, dar costurile pierderii de informatii

sau distrugerea acestora poate fi mult mai mare.


3.5 Anexe

1) Sistemul de operare.

Pentru statiile de lucru vom opta pentru sistemul de operare Windows 7 Profesional

oferit de cei de la Microsoft.

Instalarea sistemului de operare se realizeaza prin boot-area unei copii a SO oferit de

producator insotit de o lincenta formata din 25 de caractere care ofera drepturi de folosinta

asupra sistemului. Boot-area copiei de windows se poate efectua de pe un cd, stick de memorie

sau direct din retea, in cazul in care exista disponibila aceasta metoda.

Configurare: in momentul instalarii Windows-ul are prestabilit ca utilizator un user cu

drepturi de admin. Administratorul trebuie sa aloce un user nou cu acces limitat si securizat

prin user si parola. Fiecarui computer din retea i se vor instala sistemul de operare si i se vor

aloca useri cu acces limitat in functie de activitatile acestuia. Se poate seta accesul pentru

directoare si fisiere in functie de posibilitatea de scriere, citire, modificare sau control intreg.

Acestea se pot modifica din Unul sau mai mule calculatoare vor fi folosite pe post de server,

astfel administratorii pot utiliza serverele pentru a controla securitatea si permisiunile pentru

toate computerele din retea; in momentul in care se vor opera modificari acestea se vor

implementa automat cu ajutorul serverelor.

Firewall si antivirus. Solutia propusa este sistemul antivirus si firewall al celor de la

Bitdefender si anume Bitdefender Total Security 2015. Antivirusul va fi instalat pe fiecare statie

in parte, instalarea fiind uzuala prin executabilul oferit de cei de la Bitdefender. Configurarea va

fi la fel de simplu de efectuat deoarece softul ofera o interfata grafica intuitiva. Setarile sunt

prestabilite si de obicei nu necesita o interventie ulterioara deoarece softul este setat sa

scaneze atasamente, sa efectueze scanari periodice, etc.

Firewall-ul va fi configurat pe serverul de net si va impiedica astfel orice patrundere din

exterior in retea. Statiile de lucru vor avea dezactivat sistemul firewall preinstalat de la

Windows.

Update-urile software se vor realiza la zi pentru fiecare soft in parte pentru sporirea

securitatii.


2) Configurarea retelei.

Serverul proxy.

Pentru instalarea serverului proxy avem nevoie de sistem de operare Ubuntu pe un

server cu memorie de cel putin o memorie fizica de 32gb si o memorie ram de minim 2 gb

pentru a reusi toate operatiunile uzuale ale utilizatorilor. Proxy serverul se va configura pentru

a intercepta accesul intre Internet si reteaua locala, lucru folositor pentru realizarea de update

pe statiile de lucru, deoarece proxy va realiza toate updatele in acelasi timp. Pentru serverul

Proxy vom folosi softul propus de cei de la Squid.

Pentru instalare se va deschide terminalul si se va tasta comanda sudo apt-get install

squid, introducem parola si apoi instalarea va rula automat.

Pentru configurare va trebui in primul rand sa editam un fisier cu comanda sudo nano si

locatia fisierului(squid.conf). Aici vom face configurarile de acces pentru serverul proxy.

Server HTTP.

Pentru serverul HTTP vom instala softul Apache. Utilitarul il vom descarca de pe

internet, fiind un soft open-source nu este nevoie de licenta iar updaturile se fac in mod gratuit.

Descarcarea softului se va realiza de la adresa: httpd-2.2.2.tar.gz

Dupa ce am obtinut sursele, trecem la dezarhivarea lor iar pentru asta deschidem o consola in

directorul unde am salvat arhiva .tar.gz si scriem urmatorul cod:

-> tar -xzf httpd-2.2.2.tar.gz -> cd httpd-2.2.2 -> ./configure --prefix=/usr/local/apache2 --enable-so

Astfel in prima linie vor realiza dezarhivarea surselor, apoi vom iesi din directorul curent in directorul dezarhivat si apoi vom configura locul unde se va instala serverul.Odata terminata si aceasta etapa urmeaza instalarea efectiva:

-> make -> make install

Configurarea serverului:

Primul pas este modificarea fisierului htpd.conf:

-> mcedit /usr/local/apache2/conf/httpd.conf

Si vom face urmatoarele modificari:


ServerRoot "/usr/local/apache2" ... User companie Group www ... DocumentRoot "calea_catre_fisiere" ... Options FollowSymLinks AllowOverride None ... DirectoryIndex index.php index.html index.htm index.html.var

Apoi vor trebui configurate drepturile de acces.

Pentru siguranta vom seta serverul sa porneasca odata cu sistemul.

-> cp /usr/local/apache2/bin/apachectl /etc/init.d -> chmod 755 /etc/init.d/apachectl -> chkconfig --add apachectl -> chkconfig --level 35 apachectl on

Tot din consola se va configura si crea MySQL si PHP. Procedura e asemanatoare dar

configurarea se face diferit pentru fiecare in parte. Pasii de urmat pentru configurarea lor sunt

descrisi in documentatiile oferite de producatori.

Server de MAIL.

Pentru a putea instala si configura un server de mail pe ubuntu avem nevoie sa avem

instalat in prealabil un server apache pentru protocolul html, o baza de date mysql. Dupa aceea

vom descarca din linia de comanda postfix (pe post de mail transfer agent) si dovecot (pe post

de mail delivery agent).

-> sudo apt-get install postfix

In acest moment se realizeaza instalarea postfix, apoi trebuie configurat. Pentru asta trebuie

editat fisierul main.cf cu urmatoarele linii.

->inet_interfaces = all

->mydestination = $www.companie.ro, localhost.$companie.ro, localhost, $companie.ro

->home_mailbox= Maildir/


Salvam si restartam sistemul. De aici vom aloca casute de mail si parole pentru fiecare user in

parte. Postfix este un utilitar complex in care se pot seta ce useri sa blocheze, ce tip de protocol

sa foloseasca imap sau ppo3s.

Server Router.

Softurile pentru serverele pe post de router vin preinstalate, configurarea fiind intuitiva

de realizat de catre administrator. Dupa montarea acestuia trebuie schimbate datele de

autentificare la server pentru ca sunt prestabilite. Solutia hardware pentru acest server este

Switc L2 cu full management TL-SL4528E, produs de cei de la TP-Link.

SSH(Putty).

SSH, Secure Shell este un protocol de retea criptografic ce da posibilitatea transferului

de informatii printr-un canal securizat intre dispozitivele din retea. Acesta foloseste si

protocolul SFTP adica secure file transfer protocol, un protocol securizat pentru transferul de

fisiere.

Primul pas este instalarea pe computerul de pe care vrem sa ne conectam a clientului ssh. Daca

sistemul de operare al computerului este windows vom folosi o masina virtuala unbuntu.

-> sudo apt-get install openssh-client

Apoi vom instala pe servarul ssh pe al doilea pc

-> sudo apt-get install openssh-server

Acum se pot face transfer de date securizate intre statiile de lucru folosind comenzi de genul:

-> $scp r [email protected]:/home/username/remotefile.txt

NFS(network file system)

NFS a fost dezvoltat pentru a rezolva problema proceselor distribuite si a retelelor

client-server. Pentru a facilita integrarea statiilor intr-o retea locala si pentru a simplifica accesul

fisierelor si aplicatiilor ce nu sunt pe desktop SunMicrosystem au dezvoltat NFS. Concret NFS

perminte aplicatiilor scrierea si citirea fisierelor aflate pe servere intr-o maniera mai rapida si

usoara.

Primul pas pentru instalarea NFS pe Linux este verificarea daca exista suportul NFS in cadrul

nucleului. Astfel se acceseaza in linie de comanda a fisierului filesystems. In cazul in care codul

NFS nu este inclus atunci va trebui reconstruit nucleul pentru ca ulterior sa includa si driverele

NFS.

Urmatorul pas in configurarea sistemului este stabilirea unei liste cu toti clientii ce se vor

conecta la servarul NES. Administrarea fisierelor si directoarelor NFS se realizeaza cu ajutorul

unor comenzi descrie in documentatia oferita de cei de la Sun Microsystem.


Capitolul IV

Audit

Universitatea Politehnica Bucuresti

Automatica si Calculatoare

Securitatea sistemelor informationale

Zamfir Ionel-Daniel


4.1 INTRODUCERE

Am efectuat auditul tehnic n cadrul SC ABC SRL la urmtoarea adres: Splaiul Independenei nr. 313, sector 6, Bucureti. Din punct de vedere tehnic proiectul a inclus, conform contract nr. 354756.

Echipamente hardware. Licen sistem operare. Securitate fizica. Instruire utilizatori .

4.2 METODOLOGIA DE AUDIT

Auditul nostru a fost realizat n conformitate cu legislaia naional aplicabil acestei spee.

2.1 Obiectivele auditului:

S ofere prilor interesate o evaluare cu privire la adecvarea metodologiei privind managementul de proiect i c aceasta se aplic n mod consistent n cadrul proiectului.

S ofere prilor interesate o evaluare asupra controalelor interne pe tot parcursul ciclului de via al proiectului.

S ofere prilor interesate o evaluare a adecvrii controalelor de securitate implementate.

2.2 Lucrrile de audit au fost planificate si s-au desfasurat in intervalul 10.11.2014 10.12.2014 la adresa Splaiul Independenei nr. 313, sector 6, Bucuretiincluzand urmatoarele:

examinarea pe baza de probe de audit/sondaj a echipamentelor i soluiei software dezvoltat n cadrul proiectului.

revizia livrabilelor din cadrul proiectului revizia proceselor verbale de recepie/acceptan revizia modulelor aplicaiei revizia principiilor de securitate a informaiilor i a controalelor tehnice aplicabile la data

realizrii auditului prin raportare la cerinele legale aplicabile

2.3 Am obinut informaiile i explicaiile solicitate n timpul misiunii i considerm c auditul nostru constituie o baza rezonabila pentru exprimarea opiniei corecte.


4.3 Ghid

In acest document se trateaza metodele prin care se desfasoara un audit eficient, asupra unei retele.

1. Securitatea fizica 2. Securitatea retelei din care face parte sistemul 3. Protocale/servicii 4. Securitatea utilizatorului (User security) 5. Securitatea stocarii datelor 6.Parole 7.Factorul uman 8. Planul de dezastru

3.1. Securitatea fizica Este cea mai importanta parte in mentinerea securitatii, care din pacate este de cele mai multe ori ignorata de catre adimistratorii de sistem, deoarece majoritatea sunt de parere ca proximitatea ocazionala este de ajuns. In general sunt mult mai multi factori care trebuie luati in considerare pentru ca acel sistem sa fie sigur.

Fisa de identificare si analiza securitatea fizica:

Punctaj (p)

OBS. Maxim Acordat

Sistemul este localizat pe o suprafata dreapta, fixa si de preferat la o distanta de minim 10cm fata de pamant?

10

10

Sistemul este ferit de orice sursa de lumina excesiva, vant, apa sau temperature extreme?

10 10

In caz de trafic intens in incinta unde se afla sistemul, exista o monitorizare permanenta?

10 10

In incinta unde se afla sistemul exista un sistem de alarma si/sau accesul este securizat?

10 10

Terminalul sistemului este securizat, astfel incat persoanele neautorizate sa nu poata avea acces la el?

10 8 Doar printr-o parola.

Sursele de curent sunt protejate? Butonul de reset este protejat(in anumite cazuri)?

10 10

Porturile parallel/serial/IR/USB/SCS/FW/etc sunt securizate sau dezactivate? Daca exista memorii externe, acestea sunt securizate?

10 10


Utilizatori sunt obligati sa se delogheze de pe acel terminal in cazul in care pleaca de langa system.

10 7 Nu exista o regula foarte clara in acest sens.

3.2. Securitatea retelei Dupa ce se verifica securitatea fizica, trebuie verificata imediat si securitatea retelei. Daca sistemul opereaza intr-o retea sau intr-un cadru multi-user, atunci acesta este mult mai susceptibil unui atac din exterior, decat un sistem standalone. Securitatea unei retele este mult mai greu de evaluat deoarece necesita o cunoastere in profunzime atat a diverselor nivele si componente de sistem, cat si a serviciilor care interactioneaza cu sistemul in cauza.

Fisa de identificare si analiza securitatea retelei:

Punctaj (p)

OBS. Maxim Acordat

Este reteaua fizica (cablu, router, switch, proxy, firewall, etc) securizata, astfel incat nu exista pericolul unui acces/modificare neautorizat/a a acesteia?

10

9

Nu exista si o masura de securitare bruta.

Reteaua este protejata prin proxy si/sau firewall? Daca da, acestea sunt configurate corect?

10 10

Au doar persoanele autorizate acces fizic la infrastructura retelei?

10 10

Cunoasteti si aveti incredere in persoanele care administreaza reteaua fizica?

10 10

Daca sistemul dvs are un nivel de securitate rezonabil insa celelalte nu, atunci pericolul ca acest sistem sa fie accesat de catre persoane neautorizate creste foarte mult.

10

10

Traficul autorizat produs in retea

Punctaj (p)

OBS. Maxim Acordat

Cunoasteti numele, functionalitatea, producatorul si natura aplicatiilor software instalate pe sistemul in cauza?

8 8

Ati verificat daca serviciile care interactioneaza cu reteaua nu permit by default accesul neautorizat la sistem?

8 8


Exista o limitare a utilizatorilor, astfel incat sa se previna scurgerea de informatii sensibile legate de securitatea sistemului in cauza?

8 8

Permiteti utilizatorilor autorizati sa ruleze linii de comanda/shell prin care sa acceseze remote sistemul?

8 8

Exista aplicatii software care pot interactiona intre ele(conflict intre aplicatii)? Daca da, ati verificat daca exista brese de securitate produse de aceasta interactiune?

8 8

Exista loguri de sistem cu toata activitatea produsa in retea?

8 8

Utilizatorii de sistem sunt obligati ca dupa o anumita perioada sa-si schimbe parolele?

8 7 O data la 60 zile.

Traficul din retea este criptat? 8 7

Se permite folosirea de clienti de chat de genul Yahoo Messenger, gTalk, Skype, etc?

5 5

Ati verificat daca exista update-uri de securitate, si daca da, le-ati instalat mereu?

8

6

Acest process se efectueaza o data pe saptamana.

Traficul neautorizat produs in retea

Punctaj (p)

OBS. Maxim Acordat

Se verifica cu regularitate daca exista incercari neautorizate de conectare la sistemul in cauza?

8 8

Se verifica cu regularitate daca exista programe neautorizate care ruleaza pe sistemul in cauza, si care ar putea permite conectarea persoanelor de la distanta?

8 8

Se verifica daca exista o activitate anormal de mare in retea, produsa de sistemul in cauza?

8 8

Traficul wireless

Punctaj (p)

OBS. Maxim Acordat

Conectarea la reteaua WIFI este parolata? 8 8

Traficul de date este criptat? 8 8

Se permite accesul cu dispozitive externe in reteaua WIFI?

8 5 Daca se cunoaste parola.


3.3. Protocoale/servicii Urmatoarea categorie de evaluat este probabil una dintre cele mai mari; calculatoarele sunt facute sa proceseze, iar in functie de scopul sistemului in cauza, acesta poate rula diferite tipuri de aplicatii software. Datorita faptului ca toate aceste aplicatii sunt scrise de foarte multi programatori, exista probabilitatea ca cel putin una dintre aceste aplicatii sa contina o vulnerabilitate. De ce? Deoarece fiecare programator intelege in felul sau securitatea, unii acordandu-i o atentie mai mare, altii mai mica

Fisa de identificare si analiza protocoale/servicii:

Punctaj (p)

OBS. Maxim Acordat

Chiar daca in general este acceptabil sa credem ca aplicatiile software care vin pre-instalate intr-un sistem nou prezinta o securitate rezonabila, trebuie verificat mereu daca producatorul a lansat update-uri (in special de securitate Security patches) sau alte informatii relevante despre configuratia specifica sistemului in cauza.

10 7 Acest process se efectueaza o data pe saptamana.

Pentru fiecare aplicatie software instalata in sistemul in cauza, trebuie verificat daca exista atat brese de securitate cunoscute cat si metode de a le folosi (exploits). Daca producatorul are un newsletter prin care anunta aceste probleme, administratorul de retea trebuie sa fie abonat la el.

10 9 Administratorul de retea nu este abonat la newsletter.

Configurarea proasta a aplicatiei este probabil cea mai comuna cauza prin care o persoana obtine acces neautorizat la sistem. In momentul instalarii acelei aplicatii, s-a urmarit ghidul emis de catre producator? Daca au aparut probleme pe parcurs, acestea au fost notate si transmise departamentului insarcinat cu rezolvarea acestora?

10 10

Daca aplicatia poate accesa date sensibile, utilizatorul in cauza este autorizat sa lucreze cu acest program? Atat log-ul de sistem cat si datele temporare sunt stocate intr-un loc sigur? Daca trebuie sterse, se foloseste low-level format?

10 10


Daca exista aplicatii de tip daemon (ruleaza in permanenta), trebuie verificat modul in care reactioneaza la atacuri de genul buffer overflow sau denial of service. Mai trebuie facut si un stress test pentru a vedea cum reactioneaza in situatii de folosire la parametri maximi.

10 10

3.4. Securitatea utilizatorului Securitatea utilizatorului (User security) variaza in functie de natura sistemului in cauza. In unele situatii sistemul este izolat, avand functiile unui server , asta insemnand utilizatori putini. In alte situatii pe acel sistem se pot loga sute de utilizatori, toti avand acces direct si simultan. Se poate observa faptul ca importanta securitatii utilizatorului este direct proportionala cu numarul acestora si cu tipul lor,insa nu trebuie ignorat nici faptul ca e de ajuns ca un singur user sa incerce sa obtina acces neautorizat pentru ca tot sistemul sa fie compromis.

Fisa de identificare si analiza securitatea utilizatorului:

Punctaj (p)

OBS. Maxim Acordat

Trebuie dezvoltata o metoda standard pentru creearea si intretinerea conturilor de utilizator (user accounts). Trebuie dezvoltate reguli clare si concise, iar acestea trebuie sa fie inmanate fiecarui utilizator.

10 10

In cazul in care ne aflam in scenariul un sistem mai multi utilizatori, trebuie setat nivelul de resurse pe care fiecare utilizator il poate consuma, incepand de la numarul de logari pana la dimensiunea spatiului de memorie alocat. De asemenea trebuie tratata si problema in care un utilizator compromite sistemul fara intentie (ex: rularea recursiva a unui script care de fiecare data creeaza un fisier de 100MB)

10 8 Exista cateva vulnerabilitati.

In unele cazuri trebuie limitata si maniera in care un utilizator se conecteaza la sistem. Daca foloseste un terminal de login, trebuie verificat ca acesta este securizat. Daca are acces direct prin protocoale de genul telnet, trebuie rulate servicii de genul tcp_wrappers sau identd pentru a se verifica faptul ca utilizatorul se conecteaza de la sistemul de la care pretinde ca se afla.

10 8 Exista cateva vulnerabilitati.


Trebuie tinute loguri cu activitatea utilizatorului, timpul conexiunii (data si durata), locul de unde s-a logat, aplicatiile pe care le-a rulat, comenzile, etc.

10 10

3.5. Securitatea stocarii datelor De obicei securitatea stocarii datelor nu este vazuta ca un risc, deoarece oamenii au sau nu acces la acestea. Problema este ca exista multe modalitati prin care se poate obtine ilegal acces la aceste date, iar administratorul de sistem trebuie sa fie constient de ele.

Fisa de identificare si analiza securitatea stocarii datelor:

Punctaj (p)

OBS. Maxim Acordat

Utilizatorul are acces doar la ce este relevant muncii lor?

6 5 Cu exceptia administratorului.

Contul utilizatorului este limitat? Are drept de administrator pe sistemul pe care lucreaza?

6 6

Administratorul este la curent cu politica de drepturi ale utilizatorilor?

6 6

3.6. Parolele Parola este componenta centrala a oricarei scheme de securitate.

Fisa de identificare si analiza parole:

Punctaj (p)

OBS. Maxim Acordat

Fiecare utilizator trebuie sa aiba o parola complexa. In niciun caz nu trebuie sa existe conturi de tip guest sau conturi care nu necesita o forma de autentificare.

10 10

Parola trebuie sa contina minim 6 caractere si sa fie o combinatie de litere (minuscule si majuscule), cifre si simboluri speciale (!@#$%, etc). Parola nu trebuie sa fie un nume, substantiv, idee sau orice cuvant care poate sa existe intr-un dictionar. Un exemplu bun de parola este: jY2Ehxqu#

10 7 Se folosesc si parole de genul : substantive, nume..

Trebuie sa existe o politica de schimbare a parolelor. Utilizatorul nu trebuie sa tina o parola mai mult de cateva luni consecutiv, iar

10 9 Parola trebuie schimbata o data la 60 zile.


la momentul schimbarii nu trebuie ca cea noua sa fi fost folosita in ultimile 3 cicluri.

Utilizatorului trebuie sa i se interzica notarea parolei sau stocarea ei intr-un loc care poate fi accesat de persoane neautorizate. Se prefera memorarea acesteia.

10 10

3.7. Factorul uman Datorita faptului ca securitatea depinde si de oameni nu doar de tehnologie, ingineria sociala este una dintre cele mai periculoase metode de atac. Inselaciunea este o metoda foarte comuna in penetrarea securitatii unui sistem, asa ca testarea factorului uman este necesara. Prin acest mod se va observa cat de bine respecta angajatii anumite politici de securitate.

Fisa de identificare si analiza factorul uman:

Punctaj (p)

OBS. Maxim Acordat

Piggybacking: Auditorul se va imbraca in aceleasi tipuri de haine pe care le poarta angajatii si se aseaza la intrarea in incinta. Acesta va astepta pana cand un angajat vine si descuie usa, apoi intra dupa el. Acest scenariu este folosit pentru a testa daca un angajat permite accesul persoanelor neavizate in interiorul incintelor dotate cu sisteme de acces pe baza de cod/cartela/cheie, etc.

10 10

Computer technician: Auditorul incearca sa convinga un angajat ca este fie de la departamentul service, fie de la o firma specializata in depanarea calculatoarelor. Scopul acestuia este sa-i sustraga dispozitivul in care sunt prezente informatiile confidentiale.

10 10

Bribery: Auditorul incearca sa mituiasca un angajat, oferindu-i o suma mare de bani pentru anumite informatii.

10 10

Phishing: Trimiterea de mesaje e-mail false, care par a veni din partea unor persoane oficiale. Scopul este de a obtine informatii confidentiale.

10 10

Payroll: Auditorul lasa intentionat la vedere un CD etichetat in asa fel incat sa starneasca

10 10


curiozitatea unui angajat (Lista salarii angajati, Lista promovari an curent, etc). CD-ul contine o aplicatie malitioasa care o data rulata va putea instala un virus/troian, etc.

3.8. Planul de dezastru Planul de dezastru contine un set de reguli, politici si tehnologii care asigura continuitatea functionarii organizatiei in cazul unei probleme majore. In momentul in care apare o situatie critica, acest plan va ajuta la restaurarea rapida si temporara a unui nivel acceptabil de desfasurare a activitatii.

Fisa de identificare si analiza planul de dezastru:

Punctaj (p)

OBS. Maxim Acordat

Exista politica de backup a datelor? 10 10

Exista generatoare de curent? 10 10

Exista o metoda alternativa de comunicare atat in interiorul companiei cat si exterior?

10 8 Mai putin securizata in exteriorul companiei.

4.4 OPINIA AUDITORULUI

n opinia noastr, la data de 10.12.2014 n toate aspectele semnificative, proiectul:

este implementat la adresa corecta; este funcional la data auditului; din punct de vedere tehnic i al securitii informaiilor respect cele mai bune practici

i legislaia aplicabil;

4.5 ALTE ASPECTE

Acest raport al auditorului independent este adresat exclusiv conducerii SC ABC SRL. Auditul nostru a fost efectuat pentru a putea raporta acele aspecte pe care trebuie s le raportm ntr-un raport de audit asupra sistemelor informaionale conform standardelor ITAF i nu n alte scopuri. n msura permis de lege, nu acceptm i nu ne asumm responsabilitatea pentru auditul nostru dect fa de societatea comercial i acionarii acesteia.

securitatea sistemelor informatice

Documents