I Sistemi Informativi
Sistema per la gestione ed il trattamento dei dati di interesse aziendaleElementi principali:
DatiProcedureMezzi tecniciPersone
I Sistemi Informatici
Sistema SW (molto) complesso per l’automazione di un sistema informativoComponenti
HardwareSoftware
OSDBApplication ServerUser Interface
Principi di Valutazione
L’obiettivo principale di un attacco informatico? I DATI.
Principi di valutazione:Riservatezza;Disponibilità;Integrità.
Base dati
Componente fondamentale del s.i.
Compito principale:memorizzazione dei datiorganizzazione dei dati (logica e fisica)
Ma anche: strumenti per l’implementazione delle procedure
DBMS
DBMS = Data Base Management System
da SW “Applicativo” a SW di “Sistema”
Costo licenza: comparabile (se non superiore) a quella di un S.O.
DBMS
Elenco di DBMS (solo alcuni)Proprietari
OracleDB2 (IBM)SQL Server (Microsoft)Informix
Open-sourcePostgreSQLMySQL (da poco acquisito dalla SUN)Firebird SQL
Standard DBMS (ed SQL)
Funzionalità comuniStrumenti simili
http://www.ansi.orghttp://www.jcc.com/sql.htm
Riservatezza
Negare l’accesso a chi non è autorizzato
Autorizzare l’accesso a chi è autorizzato
Realizzare un accesso selettivo
Riservatezza
Credenziali di accesso:Coppia username/password
Identificazione delle risorse assegnateAssegnazione dei “privilegi” alle credenzialiUso di SQL
Realizzazione
Si adopera DCL (data control language)(Sottoinsieme di SQL)
Comandi di base:GRANTREVOKE
AttuazioneScrivere a “mano” il comandoAdoperare l’interfaccia
Disponibilità
Garantire l’utilizzo di un sistema a chi è autorizzato quando richiesto
E’ in funzione del livello di servizio accordato (SLA)
Dipende fortemente dal dimensionamento dell’hardware
Architettura di Disponibilità
ClusterFailing over (failover)Load-balancingHPC
MirroringReplicaLog shipping
Integrità
Prevenzione di:Manomissione dei datiModifica dei datiCancellazione dei datiInserimento non autorizzatoAlterazione della coerenza informativa
Integrità
Strumenti:Vincoli di univocitàVincoli di appartenenzaFormattazione predefinita (maschere)Transazioni nelle stored procedure
SQL-Injection
Tipo di attacco basato suLinguaggio SQL (DML oppure DDL)Elaborazione di un pattern
Stringa SQLComportamento condizionato dalla semantica
Comando SQL implementato con s.p.Comportamento condizionato dalla sintassi
Backup
Idea sottostante: Non si può prevedere tuttoCopia di emergenza del sistema
Risolto il guasto, si fa il recoverySi ritorna al momento che precede il guasto
Backup Database
Si fa il backup dei file che interessano il DB
Tipi di backupBackup completoBackup differenzialeBackup del log delle transazioni
Schedulazione (esempio)
Parametro fondamentale:Tempo massimo accettabile di perdita dei dati (Tmax)
1) Backup completo 2) Backup differenziale ogni tot ore durante le attività3) Backup del log ogni Tmax [T] durante le attività
Recovery
Sequenza di recoveryBackup parte attiva (Tail backup)Restore recente backup completoRestore recente backup differenzialeRestore dei backup dei log (in ordine)Restore parte attiva
Norme (esempio)
BSI IT Baseline Protection Manual;(in tedesco IT-Grundschutzhandbuch)
Compatibilità con Standard ISO 27001;Attuazione:
Inventario risorse;Classificazione;Valutazione del rischio;Gestione del rischio.
Altro…
Ing. Alessandro [email protected]. cell. +39 338 8228787
http://www.linkedin.com/pub/a/a69/594