Post on 15-Apr-2017
Pericolele şi securitatea sistemului informatic dintr-o
organizaţie
Profesor coordonator: Studenţi: Miron Anamaria ( CIG 6)
Lector dr. Daniela Popescul Popa Alexandra (CIG 2)
Cuprins
1. Introducere.............................................................................................................1
2. Descrierea organizaţiilor.......................................................................................2
3. Pericole..................................................................................................................5
5. Măsuri de securitate...............................................................................................7
6. Propuneri pentru îmbunătăţirea securităţii............................................................9
2
1. Introducere
În zilele noastre toate domeniile de activitate se bazează pe utilizarea, într-o măsură mai
mare sau mai mică, a tehnologiilor informatice şi a calculatorului. A devenit omniprezentă
utilizarea mijloacelor TIC (Tehnologia Informaţiei şi Comunicaţiilor) în desfăşurarea activităţilor
celor mai diverse şi pentru luarea deciziilor care au la bază informaţii ce sunt obţinute din
prelucrarea unor date culese cu privire la obiectul activităţii respective.
Cu referire la sistemul informatic, o componentă importantă din cadrul firmelor, reprezintă o
parte a sistemului informaţional care permite realizarea operaţiilor de culegere, transmitere,
stocare, prelucrare a datelor şi difuzare a informaţiilor astfel obţinute prin utilizarea mijloacelor
tehnologiei informaţiei (TI) şi a personalului specializat în prelucrarea automată a datelor.
În lucrarea de faţă, am ales analiza a două firme cu obiecte diferite de activitate, pentru a
evidenţa faptul ca pericolele ce vizează averile informaţionale sunt prezente indiferent de
obiectul de activitate, în acest scop intervenind importanţa măsurile de securitate, chiar dacă
activitatea firmei se bazează mai mult sau mai puţin pe un sistem informatic. Diferenţierea
majoră dintre aceste două firme cu referire la echipamentele din cadrul sistemului informatic
vizează redundanţa a două resurse foarte importante: energia electrică şi accesul la internet.
Astfel, în cazul firmei care are ca obiect principal de activitate transportul, alimentarea cu
energie şi internetul nu afectează drastic activitatea dacă nu funcţionează corespunzător, în
schimb ce, pentru un centru de date, funcţionarea optimă a acestora este esenţială. De aici,
intervin şi măsurile diferite de securitate implementate.
3
2. Descrierea organizaţiilor
Prima firmă analizată (firma X) este o societate de tip SRL, cu sediul în Iaşi, ce are o
structură de tip funcțional, iar principalele sale activități sunt: cultivarea, depozitarea și
valorificarea cerealelor și a plantelor oleaginoase, transportul de persoane, atât pe rute regulate,
cât și pe rute ocazionale, comercializarea cu amănuntul a produselor alimentare, comercializarea
cu amănuntul și cu ridicata și transportul materialelor de construcții.
Principalul obiect de activitate al firmei este: Transporturi urbane, suburbane și
metropolitane de călători.
Din punct de vedere organizatoric, în cadrul firmei regăsim următoarele departamente:
Departamentul de resurse umane;
Departamentul financiar-contabil;
Departamentul de producţie/servicii;
Birou de aprovizionare/vânzări.
Toate departamentele sunt subordonate directorului general al firmei.
Personalul firmei cuprinde 35 de angajaţi, din care 5 personal administrativ.
Prezentarea sistemului informatic
Sistemul informatic al firmei este destinat nivelului operaţional, precum şi celui executiv,
pentru activitatea de birou. Acesta nu se suprapune în totalitate cu sistemul informaţional,
existând activităţi care nu sunt automatizate 100%.
Sistemul informatic specific este compus din următoarele elemente software:
Subsistemul informatic de gestiune a stocurilor ce se ocupă de evidenţa și
normarea stocurilor și a materialelor, inventarierea şi monitorizarea cantităţilor faptice
din depozite cu ajutorul modulului de Gestiune şi Contabilitate din aplicația
WinMENTOR;
4
Subsistemul informatic de resurse umane și salarizare cu ajutorul aplicaţiei
REVISAL v.5.05, distribuită de către Inspectoratul Teritorial de Muncă, precum şi cu
ajutorul modulului SALARII din aplicaţia WinMENTOR;
Subsistemul informatic al mijloacelor fixe ce asigură gestiunea intrărilor şi a
ieşirilor şi evidenţa mijloacelor fixe se realizează cu ajutorul modulului MIJLOACE
FIXE din cadrul aplicaţiei WinMENTOR;
Subsistemul informatic de vânzări ce cuprinde activitatea de procurare a
mijloacelor necesare desfăşurării activităţii şi desfacerii produselor, a serviciilor şi a
lucrărilor care fac obiectul de bază a societăţii foloseşte ca aplicaţie informatică modulul
COMERCIAL al aplicaţiei WinMENTOR;
Procesoare de texte Microsoft Word;
Sisteme de comunicaţie ( Microsoft Outlook).
Funcţionarea aplicaţiilor software este posibilă cu ajutorul a 5 calculatoare care sunt
împărţite astfel:
unul la directorul general (Laptop HP ProBook 4530s cu procesor Intel® CoreTM i3-
2330M 2.20GHz, 4GB, 640GB, AMD Radeon HD 6490 1GB);
al doilea în cadrul biroului de resurse umane (Laptop Toshiba Satellite C660-11P cu
procesor Intel® Pentium® Dual-Core T4500 2.3GHz, 2GB, 250GB);
al treilea la biroul de contabilitate (Laptop Acer Aspire AO756-887BCkk cu procesor
Intel® Celeron® 877 1.40GHz, 4GB, 500GB, Intel® HD Graphics);
al patrulea la depozitul de materiale de construcții (Netbook Acer Aspire AO725-C6Ckk
cu procesor AMD Dual-Core C60 1.0GHz, 2GB, 320GB, AMD Radeon HD 6290);
al cincilea la secretariat (Laptop Asus X401A-WX089D cu procesor Intel® Celeron®
Dual-Core B820 1.70GHz, 4GB, 320GB).
Cea de-a doua firmă analizată (firma Y) este un centru de date ce găzduieşte servere prin
care se asigură soluţii de hosting pentru proiecte web (web hosting).
5
Din punct de vedere organizatoric, în cadrul firmei regăsim două departamente:
Departamentul de relaţii cu clienţii
Deparamentul de operare în reţea
Sistemul informaţional la nivelul firmei este puternic informatizat, sistemul manual de
prelucrare a datelor ocupând o pondere foarte redusă, deoarece principalul scop este acela de
stocare, procesare şi transmitere a informaţiei în format digital prin intermediul serverelor.
Sistemul informatic din cadrul firmei prezintă următoare structură:
Servere MYSQL - utilizeaza disk-uri SSD Intel pentru o viteza si siguranta a
datelor ridicată
2 procesoare Quad-Core Intel Xeon E5430 + Cache Memory 12MB Level 2 cache
- Intel Xeon processor 5400 sequence
2 surse de alimentare redundante (energie electrica prin UPS-uri - Uninterruptible
Power Supply), DVDRW HotPlug si ventilatoare HotPlug – ce asigură funcţionare
continuă şi fiabilitate
Hard-discuri SAS HotPlug "oglindite" RAID 1 + Storage Controller HP Smart
Array P400/256MB – ce asigură viteza mare de scriere
Conexiune la internet prin fibra optica, având ca şi conexiune principala RDS si
conexiune de rezerva RomTelecom.
Software de arhivare şi compresie
Software de back-up RAID 1
Software de administrare şi programare : Perl Moduls, Image Manager, Index
Manager, Error Pages, Cran Jobs, FrontPage Extensions, Virus Scaner powered by
ClamAV.
Software open-source integrat cu cPanel (B2Evolution): Blog System,
WordPress - Blog System, YaBB - Secure, phpBB – Forum, Geeklog - Content Manager,
Mambo – CMS, Nucleus – CMS, Soholaunch - Website Builder, Xoops - Content
Manager, phpWiki – CMS, phpMyChat - Chat room, AgoraCart - Shopping ecommerce
6
system, OSCommerce - Shopping Ecommerce system, Coppermine - Image Gallery,
Advanced Guestbook, cPSupport - Support ticket system).
Firma are în cadrul data center-ului un număr total de 25 de angajaţi, distribuit astfel:
programatori, front office, personal însărcinat cu securitatea fizică, personal care se ocupă de
mentenanţă şi personal care oferă asistenţă.
3. Pericole
a. Asociate calculatoare desktop
- Greşeli de programare şi portiţe lăsate special în programe în cazul sistemelor
software folosite de clienţii firmei de web hosting → obţinerea de avantaje de la
sistemele care nu respectă specificaţiile sau înlocuire de software cu versiuni
compromise;
- Pot aparea defecte ale autentificării ca urmare a funcţionării defectuoase a
echipamentelor (monitor) în ambele situaţii;
- Scurgere de informaţii → utilizarea sistemului DNS în cazul centrului de date
pentru a obţine informaţii care sunt necesare administratorilor serverului şi bunei
funcţionări a reţelei, dar care pot fi folosite şi de atacatori;
- Funcţionarea defectuasă a echipamentelor de lucru, în cazul de faţă a calculatoarelor
desktop prin supraîncălzirea acestora sau scurt-circuitarea echipamentelor cu riscul unor
incendii - ;
- lipsa unei parole de acces pentru fiecare unitate de lucru poate permite accesul
neautorizat al altor angajaţi sau intruşi, în cazul firmei X.
b. Asociate calculatoarelor portabile şi telefoanelor mobile
7
- angajaţilor purtători ai unui telefon mobil li se poate determina locația, de asemenea li se
poate înregistra fiecare convorbire, fiecare text de mesaj scris, apelurile inițiate sau primite,
putând exista atfel scurgeri de informaţii confidenţiale;
- datorită portabilității lor, pot fi foarte ușor obiectul furturilor și se pot afla informații
confidențiale, cum ar fi date despre clienți importanţi, informaţii despre anumite software-uri
dezvoltate;
- folosirea telefoanelor în interes de serviciu prin accesarea internetului permit expunerea
spre viruși mobili care pot șterge informațiile confidențiale din telefon sau pot atenta la
funcţionarea optimă a aplicaţiilor existente în sistemul mobil;
- angajaţii pot omite anumite etape pentru a asigura configurarea adecvată a dispozitivelor,
ignorând anumite mecanisme de securitate, fără a ţine cont că anumite date ale organizaţiei
(documente confidenţiale, lista cu clienţii, coduri de acces în unitate) necesită măsuri de protecţie
suplimentare.
c. Asociate folosirii internetului
- atunci când se distribuie fișiere de orice tip cu alți utilizatori ai rețelei din firma X, se
poate permite accesul la informații confidenţiale. Persoane rău-intenţionate pot instala
programe de urmărire a ceea ce se lucrează pe computer sau transmite;
- capacitatea şi viteză mică a internetului, ceea ce poate conduce la lipsa redundanţei în
cazul firmei Y;
- pot avea loc atacuri informatice asupra datelor clienţilor prin mediul internet, în cazul
ambelor firme;
- lipsa unui program antivirus în cazul firmei X poate permite apariţia unor infecţii cu
malware asupra sistemului de lucru.
d. Asociate sistemului de control al accesului în organizaţie
- în cazul firmei X, accesul angajaților în firmă se face doar pe bază unei parole care
însă poate fi aflată și folosită pentru accesul în organizație de către persoane neautorizate;
8
-în cazul firmei Y, accesul angajaților în firmă se face doar pe baza cartelelor
magnetice, care însă pot fi ușor substituibile, putând fi folosite și de persoane
neautorizate să între în firmă, cu posibile intenții rău-voitoare;
e. Asociate acţiunilor personalului
- pot sustrage ușor unele obiecte cum ar fi suporturile magnetice, laptopurile, contracte
importante, date despre clienţi pe care le pot folosi în alte scopuri decât cele legale;
- angajaţii pot difuza ilegal copiile programelor software create, deşi doar unitatea are drept
de proprietate asupra softului creat în firmă;
- personalul de pază şi protecţie poate să nu fie instruit corespunzător în cazul producerii
unui incendiu în sala servererlor, ceea ce va cauza pierderi substanţiale, dacă nu acţionează
conform regulilor interne.
5. Măsuri de securitate
Firma X Firma Y
1.Sistem de alarmă ce presupune controlul
accesului în unitate prin introducerea unei parole ce
contribuie la confidenţialitatea şi accesibilitatea
averilor informaţionale ale firmei (documente
importante, contracte, echipamente fizice) doar
pentru cei autorizaţi. Se împiedică astfel,
pătrunderea în unitate a hoţilor, precum şi spionajul
concurenţial sau de altă natură.
1. Sistem de control care oferă control al
accesului, alarme de încălcare a securităţii, alarme
de monitorizare, sistem de detecţie al intruziunilor
prin securizarea accesului pe bază de card magnetic
şi controlul accesului în sala serverelor pe baza de
card. Astfel se asigură accesibilitatea la resursele
informatice doar pentru persoanele autorizate, precum
şi desfăşurarea neîntreruptă a activităţii de posibili
intruşi.
9
2. Supraveghere video la intrare şi pe holuri cu
rol în menţinerea confidenţialităţii şi accesibilităţii
datelor şi averilor informaţionale doar pentru
personalul autorizat. Se asigură, verificarea
eventualelor abateri ale personalului, care pot
pătrunde în zone în care nu au acces, precum şi
surprinderea hoţilor şi identificarea lor ulterioară.
2.Sistem video digital - camere de luat vederi
color poziţionate atât la intrare cât şi în punctele
considerate sensibile(camera serverelor), asigurandu-
se monitorizare completă a unităţii, a accesului la
echipamente, precum şi identificarea intruşilor.
În plus, există personal de pază pentru controlul
accesului şi monitorizare.
3. Existenţa detectoarelor de fum şi de
temperaturi foarte ridicate, pentru protejarea în
caz de incendii a echipamentului de lucru, a
spaţiului de lucru, precum şi a documentelor
importante cu care firma lucrează (contracte
importante, baza de date cu toţi clienţii, documente
contabile).
3. Sisteme automate performante de detectare
si stingere a incendiilor prin izolarea incendiilor fără
a afecta zonele din jur (la cel mai mic foc se vor
alarma minim 2 senzori de incendiu). Specific, există
o combinaţie specială numită inergen ele care duce în
momentul utilizarii la scaderea oxigenului din
incapere la un procent mai mic de 15%, moment in
care marea majoritate a combustibilor nu mai ard.
Totodata gazul Inergen protejeaza persoanele ramase
in incapere la momentul izbucnirii unui incendiu.
4. Angajaţilor nu le este permisă descărcarea,
comunicarea datelor sensibile, exportul
informaţiilor sensibile prin folosirea internetului. Se
asigură astfel, protejarea echipamentului de lucru,
dar şi a datelor cu care se lucrează, de infecţii
malware, menţinându-se confidenţialitatea şi
integritatea informaţiilor specifice activităţii.
4. Liste cu accesul realizat de fiecare angajat,
intrare şi ieşire, cu referire la accesul la domeniile şi
site-urilor găzduite, aceste liste fiind la dispozitia
clienţilor in urma unei cereri. Confidenţialitatea
datelor cu care se lucrează este o cerinţă a politicii
firmei, iar prin această măsură se pot identifica mult
mai uşor persoanele care au înregistrat abateri.
5. Protejarea arhivei firmei prin securizarea
fizică a camerei în care aceste documente sunt
pastrate, accesul fiind autorizat doar pentru
persoanele care au acces la cheie – se asigură
integritatea şi confidenţialitatea documentelor ce
trebuiesc păstrate în cadrul firmei.
5. Protejarea datelor clienţilor împotriva
pierderii sau deteriorării prin asigurarea unor servicii
de Secure Backup& Recovery pe bandă magnetică pe
platforma IBM Tivoli, respectându-se şi în acest caz
cerinţa de confidenţialitate.
10
6. Propuneri pentru îmbunătăţirea securităţii
Firma X Firma Y
1. Controlul accesulul în unitate se poate
îmbunătăţi prin schimbarea parolei de acces cu un
cod PIN atribuibil fiecărui angajat.
1. Listele cu accesul realizat de fiecare angajat
pot fi înlocuite cu un software specializat care să
monitorizeze întreaga activitate (daca accesării, ora,
timpul de lucru, acţiuni întreprinse, ora închiderii
sesiunii de lucru).
2. Înstalarea unui sistem software de protecţie
de tip antivirus împotriva atacurilor informatice, a
infecţiilor malware.
2. Pentru a îmbunătăţi protecţia antiincendiu, se
pot implementa sisteme de interblocari ale
echipamentelor tehnice in condiţii de foc (oprire
climatizare în caz de incendiu), precum şi sisteme de
primire a informaţiilor tehnice de la echipamentele
vitale ale sistemelor afectate.
3. Controlul accesului la staţiile de lucru
personale ale fiecărui angajat prin parolă.
3. Monitorizare de la distanţă a infrastructurii
centrului prin firme specializate pentru identificarea
rapidă a problemelor.
11