




Besser lernen dank der zahlreichen Ressourcen auf Docsity
Heimse Punkte ein, indem du anderen Studierenden hilfst oder erwirb Punkte mit einem Premium-Abo
Prüfungen vorbereiten
Besser lernen dank der zahlreichen Ressourcen auf Docsity
Download-Punkte bekommen.
Heimse Punkte ein, indem du anderen Studierenden hilfst oder erwirb Punkte mit einem Premium-Abo
Introduzione a fondamenti di sicurezza
Art: Grafiken und Mindmaps
1 / 8
Diese Seite wird in der Vorschau nicht angezeigt
Lass dir nichts Wichtiges entgehen!





Introduzione alla sicurezza informatica : ● Nel descrivere i vari aspetti legati ai problemi di sicurezza è necessario adottare un modo sistematico per: ○ definire i requisiti di sicurezza ○ descrivere i meccanismi che possono essere utilizzati per garantire tali requisiti ● Utilizziamo degli standard di sicurezza ● Esistono diversi enti internazionali, governativi ed industriali, che hanno proposto standard per gestire diversi aspetti legati alla sicurezza dei dati: ○ The Internet Engineering Task Force (IETF) ■ Protocolli IPSec, Kerberos, SSL/TLS, etc. ○ International Telecommunication Union (ITU) (ex CCITT) ■ X.509 certificati digitali, X.800 etc ○ International Organization for Standardization (ISO) ■ ISO/IEC 27000 serie di standard per information security management, Common Criteria for Information Technology Security Evaluation, etc. ○ Governativi (USA): National Institute of Standards and Technology (NIST) ■ AES, DES, Orange Book (ora Commom Criteria),etc. ○ Industriali: RSA ■ Public-Key Cryptography Standards (PKCS) ● Per dare un introduzione alla sicurezza informatica utilizziamo uno standard ITU ○ X.800, Security Architecture for OSI X.800 Security Architecture for OSI : ● X.800 offre un modo sistematico per definire requisiti di sicurezza e per caratterizzare gli approcci che soddisfano tali requisiti ● Si focalizza su tre aspetti: ○ Attacchi alla sicurezza ○ Servizi di sicurezza (requisti) ○ Meccanismi di sicurezza
Attacchi alla Sicurezza : ● Qualsiasi azione che compromette la sicurezza delle informazioni in possesso di una organizzazione ● L’obiettivo è quello di prevenire gli attacchi o, dove non fosse possibile, scoprirli nel minor tempo possibile Minacce alla sicurezza Security threat : Common Vulnerabilities and Exposures : ● CVE (Common Vulnerabilities and Exposures) Database ○ Fornisce informazioni standardizzate su vulnerabilità e esposizioni di sicurezza informatica ○ https://cve.mitre.org/ ○ https://www.cve.org/ ○ National Vulnerability Database (NVD) https://nvd.nist.gov/vuln
● Confidenzialità (controllo degli accessi in X.800): ○ assicura la protezione dei dati da letture non autorizzate ○ nel caso di dati personali si usa il termine di privatezza (Privacy – ne parliamo dopo) ● Disponibilità: ○ Assicura che ai soggetti con le necessarie autorizzazioni non sia negato l’accesso alle risorse ● Integrità dei dati, due accezioni: ○ Controllo degli Accessi: assicura la protezione dei dati da modifiche non autorizzate ○ X.800: garantisce che i dati ricevuti siano esattamente quelli inviati dall’entità. ● Non Ripudiabilità: ○ protegge contro la possibilità che una delle entità coinvolte nella comunicazione neghi di aver inviato o ricevuto un messaggio CIA TRIAD : CIA – esempio minaccia : ● Intercettazione
● Interruzione ● Modifica
Protezione dei dati : Requisiti di Sicurezza: ● Privacy vs Confidenzialita ● Per garantire la privacy non è sufficiente rendere confidenziali i dati personali! ● Due casi in cui il limitare l’accesso ai dati non è bastato per preservare la privacy dell’individuo: ○ caso governo Massachusetts ○ caso AOL Reidentificazione tramite collegamento :
Reidentificazione di dati anonimizzati : ● Il 4 Agosto 2006, AOL rilasciò per scopi di ricerca ed “in forma anonima” un file di testo contenente 20 milioni di query effettuate da 650.000 utenti ● Analizzando le query e correlandole con dati pubblici il New York Times scoprì ben presto l’identità dell’utente 4417749 e di molti altri Requisiti di Sicurezza : ● Segretezza dei dati: ○ garantisce la protezione dei dati durante la trasmissione ● Confidenzialità (controllo degli accessi in X.800): ○ assicura la protezione dei dati da letture non autorizzate ○ nel caso di dati personali si usa il termine di privatezza (Privacy