Fondamenti di sicurezza, Grafiken und Mindmaps von Informatik

Introduzione a fondamenti di sicurezza

Art: Grafiken und Mindmaps

2023/2024

Hochgeladen am 22.10.2024

just-30
just-30 🇩🇪

1 dokument

1 / 8

Toggle sidebar

Diese Seite wird in der Vorschau nicht angezeigt

Lass dir nichts Wichtiges entgehen!

bg1
INTRODUZIONE
Introduzione alla sicurezza informatica :
Nel descrivere i vari aspetti legati ai problemi di sicurezza è necessario adottare un
modo sistematico per:
definire i requisiti di sicurezza
descrivere i meccanismi che possono essere utilizzati per garantire tali
requisiti
Utilizziamo degli standard di sicurezza
Esistono diversi enti internazionali, governativi ed industriali, che hanno proposto
standard per gestire diversi aspetti legati alla sicurezza dei dati:
The Internet Engineering Task Force (IETF)
Protocolli IPSec, Kerberos, SSL/TLS, etc.
International Telecommunication Union (ITU) (ex CCITT)
X.509 certificati digitali, X.800 etc
International Organization for Standardization (ISO)
ISO/IEC 27000 serie di standard per information security
management, Common Criteria for Information Technology Security
Evaluation, etc.
Governativi (USA): National Institute of Standards and Technology (NIST)
AES, DES, Orange Book (ora Commom Criteria),etc.
Industriali: RSA
Public-Key Cryptography Standards (PKCS)
Per dare un introduzione alla sicurezza informatica utilizziamo uno standard ITU
X.800, Security Architecture for OSI
X.800 Security Architecture for OSI :
X.800 offre un modo sistematico per definire requisiti di sicurezza e per caratterizzare
gli approcci che soddisfano tali requisiti
Si focalizza su tre aspetti:
Attacchi alla sicurezza
Servizi di sicurezza (requisti)
Meccanismi di sicurezza
pf3
pf4
pf5
pf8

Unvollständige Textvorschau

Nur auf Docsity: Lade Fondamenti di sicurezza und mehr Grafiken und Mindmaps als PDF für Informatik herunter!

INTRODUZIONE

Introduzione alla sicurezza informatica : ● Nel descrivere i vari aspetti legati ai problemi di sicurezza è necessario adottare un modo sistematico per: ○ definire i requisiti di sicurezza ○ descrivere i meccanismi che possono essere utilizzati per garantire tali requisiti ● Utilizziamo degli standard di sicurezza ● Esistono diversi enti internazionali, governativi ed industriali, che hanno proposto standard per gestire diversi aspetti legati alla sicurezza dei dati: ○ The Internet Engineering Task Force (IETF) ■ Protocolli IPSec, Kerberos, SSL/TLS, etc. ○ International Telecommunication Union (ITU) (ex CCITT) ■ X.509 certificati digitali, X.800 etc ○ International Organization for Standardization (ISO) ■ ISO/IEC 27000 serie di standard per information security management, Common Criteria for Information Technology Security Evaluation, etc. ○ Governativi (USA): National Institute of Standards and Technology (NIST) ■ AES, DES, Orange Book (ora Commom Criteria),etc. ○ Industriali: RSA ■ Public-Key Cryptography Standards (PKCS) ● Per dare un introduzione alla sicurezza informatica utilizziamo uno standard ITU ○ X.800, Security Architecture for OSI X.800 Security Architecture for OSI : ● X.800 offre un modo sistematico per definire requisiti di sicurezza e per caratterizzare gli approcci che soddisfano tali requisiti ● Si focalizza su tre aspetti: ○ Attacchi alla sicurezza ○ Servizi di sicurezza (requisti) ○ Meccanismi di sicurezza

Attacchi alla Sicurezza : ● Qualsiasi azione che compromette la sicurezza delle informazioni in possesso di una organizzazione ● L’obiettivo è quello di prevenire gli attacchi o, dove non fosse possibile, scoprirli nel minor tempo possibile Minacce alla sicurezza Security threat : Common Vulnerabilities and Exposures : ● CVE (Common Vulnerabilities and Exposures) Database ○ Fornisce informazioni standardizzate su vulnerabilità e esposizioni di sicurezza informatica ○ https://cve.mitre.org/ ○ https://www.cve.org/ ○ National Vulnerability Database (NVD) https://nvd.nist.gov/vuln

● Confidenzialità (controllo degli accessi in X.800): ○ assicura la protezione dei dati da letture non autorizzate ○ nel caso di dati personali si usa il termine di privatezza (Privacy – ne parliamo dopo) ● Disponibilità: ○ Assicura che ai soggetti con le necessarie autorizzazioni non sia negato l’accesso alle risorse ● Integrità dei dati, due accezioni: ○ Controllo degli Accessi: assicura la protezione dei dati da modifiche non autorizzate ○ X.800: garantisce che i dati ricevuti siano esattamente quelli inviati dall’entità. ● Non Ripudiabilità: ○ protegge contro la possibilità che una delle entità coinvolte nella comunicazione neghi di aver inviato o ricevuto un messaggio CIA TRIAD : CIA – esempio minaccia : ● Intercettazione

● Interruzione ● Modifica

Protezione dei dati : Requisiti di Sicurezza: ● Privacy vs Confidenzialita ● Per garantire la privacy non è sufficiente rendere confidenziali i dati personali! ● Due casi in cui il limitare l’accesso ai dati non è bastato per preservare la privacy dell’individuo: ○ caso governo Massachusetts ○ caso AOL Reidentificazione tramite collegamento :

Reidentificazione di dati anonimizzati : ● Il 4 Agosto 2006, AOL rilasciò per scopi di ricerca ed “in forma anonima” un file di testo contenente 20 milioni di query effettuate da 650.000 utenti ● Analizzando le query e correlandole con dati pubblici il New York Times scoprì ben presto l’identità dell’utente 4417749 e di molti altri Requisiti di Sicurezza : ● Segretezza dei dati: ○ garantisce la protezione dei dati durante la trasmissione ● Confidenzialità (controllo degli accessi in X.800): ○ assicura la protezione dei dati da letture non autorizzate ○ nel caso di dati personali si usa il termine di privatezza (Privacy