| versione stampabile |
soluzioni Oracle - processi
la sicurezza nel mercato della Pubblica Amministrazione 
EXECUTIVE
OVERVIEW | La
sicurezza nell'ambito del mercato della Pubblica Amministrazione e' un tema e
una problematica che scaturisce, da un lato, dalle caratteristiche stesse dei
progetti che sono inclusi nel piano di e-government (e.g. gestione documentale,
cooperazione applicativa, portali di servizi al cittadino, progetti di gestione
delle risorse umane) e, dall'altro, dalle caratteristiche delle funzioni che gli
enti pubblici per loro natura svolgono e dei dati che gestiscono (e.g. informazioni
pensionistiche di INPS, documenti di ricerca di un dipartimento di ricerca universitario,
dati sensibili e critici dei pazienti gestiti da strutture sanitarie).
L'e-government
implica l'integrazione di informazioni provenienti dalle diverse strutture interne
ed esterne ai vari enti della pubblica amministrazione. I concetti che sottendono
all'e-government sono: | | | | | | SCEGLIERE
STRUMENTI: | ADEGUATI
| Il
database Oracle offre una tecnologia robusta a sostegno di una soluzione sicura
che comprende caratteristiche quali: labeling di sicurezza avanzato, controllo
degli accessi a maglie strette, auditing, crittazione, e opzioni di alta disponibilità.
Ormai da venticinque anni, Oracle è all'avanguardia nello sviluppo di tecnologie
di sicurezza robuste. In conseguenza di questo impegno, la suite di prodotti Oracle9i
rappresenta una tecnologia robusta, certificata da terze parti indipendenti e
di provata efficacia a cui ancorare una soluzione di sicurezza. La suite di prodotti
Oracle9i fornisce l'architettura informatica necessaria per proteggere l'integrità,
la confidenzialità e la disponibilità dei dati memorizzati e aiuta
le organizzazioni a risolvere i problemi di sicurezza grazie a:
- massima
protezione dei dati, garantendo una sicurezza strutturata e completa fra client,
application server e data server, oltre che attraverso tutti i livelli di un'applicazione;
- sicurezza in ambiente Internet, permettendo all'utente e a chi gestisce
i privilegi d'accesso la possibilità di dimensionarsi anche per centinaia
di migliaia di utenti che accedono ai dati;
- hosting e data exchange sicuri,
consentendo una partizione degli accessi ai dati economica e sicura, per cliente
o per utente, supportando simultaneamente una condivisione sicura dei dati fra
comunità d'interesse.
Sono cinque gli strumenti su cui si fonda la
sicurezza dell'informazione:
 | un
approccio collaborativo al lavoro, | | la
condivisione delle informazioni, | | un
flusso transnazionale delle informazioni completo da punto a punto nell'ambito
delle pubbliche amministrazioni, | | il
transito delle informazioni oltre i confini delle varie organizzazioni, enti,
o dipartimenti. |
Questo
approccio nuovo e aperto nell'utilizzare informazioni integrate può sicuramente
generare vantaggi, ma non deve generare un calo di attenzione dal punto di vista
della sicurezza. Peraltro i requisiti di sicurezza possono essere considerati
fondamentali, anche al di là della spinta dell'e-government, poiché
l'identificazione certa dell'utente di un sistema, la sua corrispondenza effettiva
ai privilegi previsti per la funzione applicativa richiesta e quindi la non ripudiabilità
di quanto svolto sul sistema sono dei requisiti auspicabili e obbligatori per
una corretta gestione delle informazioni.
Inoltre fra gli altri requisiti
troveremo la tracciabilità del dato e degli utenti che hanno operato su
quel dato, l'integrità' del dato stesso, la sua riservatezza e, in ultima
analisi, la sua disponibilità in maniera conforme alle aspettative degli
utenti del sistema e del servizio pubblico. Oracle adempie a questi requisiti
attraverso la sua piattaforma Oracle9i nelle due componenti Oracle9i Database
e Oracle9i Application Server. Questo documento analizza le proposte tecnologiche
Oracle per la sicurezza nell'ambito del mercato della pubblica amministrazione
in Italia. | | | | | | LE
CATEGORIE DEL | PROBLEMA:
ACCESS PROTECTION E DATA PROTECTION | Access
Protection e Data Protection sono due delle condizioni che compongono una soluzione
di sicurezza. Quando si parla di soluzione per la sicurezza e' utile partire dal
considerare quali siano I requisiti organizzativi di sicurezza, prendendo spunto
da una analisi dei rischi legati agli affari che il cliente tratta o alle funzioni
che l'ente eroga al pubblico. D'altra parte, deve seguire un approccio puntuale
più legato alle tecnologie o a un certo progetto informatico, per cui bisogna
verificare il livello di sicurezza della soluzione informatica proposta o assicurarsi
che una soluzione o una infrastruttura già in uso sia sicura (hardening).
La protezione degli accessi e la protezione dei dati sono quindi due requisiti
di sicurezza che trovano applicazione e soluzione nelle infrastrutture software
che Oracle propone. In altra parole, nessuno potrebbe proporre infrastrutture
di esecuzione applicativa (application server) ne' infrastrutture di gestione
delle basi dati (dbms) senza tener conto degli stessi.
Oracle, da questo punto
di vista, si e' spinta oltre qualificando al meglio le proprie tecnologie. | | | | | | ACCESS
| PROTECTION
| Carta
di Identità Elettronica e Carta Nazionale dei Servizi Ciascuna di queste
due specifiche presenti nel mondo della pubblica amministrazione, nascono dalla
necessità di implementare sistemi di autenticazione forte (strong authentication)
e di firma elettronica (digital signature).
Sia la Carta di Identità
Elettronica che la Carta Nazionale dei Servizi operano sulla base del sistema
di certificati digitali.
L'infrastruttura Oracle9i AS e' in grado come caratteristica
di base di usare questi certificati per autenticare gli utenti che accedono alle
applicazioni realizzate con Oracle9i AS e costituisce quindi una piattaforma ideale
su cui sviluppare soluzioni che adottano la Carta di Identita' Elettronica o la
Carta Nazionale dei Servizi come sistemi di autenticazione. Questo significa che
qualsiasi soluzione di portale Internet, Intranet o Extranet può avvalersi
dell'autenticazione forte basata su Carta Nazionale dei Servizi o Carta di Identità
Elettronica. Per esempio, alcuni portali regionali che potrebbero erogare servizi
tali da permettere di effettuare transazioni, fanno scaturire naturalmente la
necessità di un'autenticazione forte e, quindi di firma digitale.
Gestione
Documentale e Protocollo Informatico La specifica di protocollo informatico e
la tematica più generica della gestione documentale sono, se propriamente
implementate un modo per conseguire il consolidamento dei file server e la messa
in sicurezza dei documenti che sono presenti all'interno dell'ente o dell'azienda,
ed entrambe posso far leva sulle caratteristiche di gestione dei documenti che
l'infrastruttura mette a disposizione. D'altra parte si propone la necessita'
di una corretta gestione degli accessi ai documenti e di una gestione appropriata
della firma elettronica dei documenti.
Cooperazione Applicativa Sicura La
cooperazione applicativa e' una grande opportunità per integrare sistemi,
ma soprattutto enti che fino ad ora erano rimasti isolati, e fra i quali le informazioni
fluivano in maniera onerosa e non sempre ottimale. La tecnologia sicuramente rende
più efficace la cooperazione applicativa fra sistemi, ma anche in questo
contesto bisogna garantire che ciò che costituisce una facilitazione non
ponga allo stesso tempo problemi di sicurezza. Questo e' il motivo per cui la
nostra infrastruttura supporta la firma digitale dei messaggi e dei documenti
che vengono instradati nell'infrastruttura Oracle per la cooperazione applicativa.
| | | | | | DATA
| PROTECTION
| Encryption
dei dati memorizzati negli archivi, politiche di riservatezza dei dati e tracciabilità
degli accessi alle informazioni. In un contesto di informazioni sensibili o comunque
soggette ai requisiti e alle condizioni di trattamento della legge sulla privacy,
assumono un valore importante la possibilità di nascondere il più
possibile queste informazioni ad occhi indiscreti, il tenere traccia di coloro
che tentano di accedere a certe informazioni riservate, e infine il predisporre
una serie di meccanismi di autorizzazione tali per cui le persone autorizzate
vedano essenzialmente solo le informazioni di loro pertinenza. Stiamo elencando
brevemente quei requisiti di gestione delle informazioni che possiamo ritrovare
sia in ambito di gestione economico-finanziaria (e.g. dati economici dei partecipanti
ad una gara di appalto pubblico), sia in ambito diagnostico-sanitario (e.g. informazioni
relative alle diagnosi di malattie, cartelle cliniche) che in ambito di intelligence
(e.g. informazioni su indagini o intercettazioni). | | | | SCEGLIERE
STRUMENTI |
ADEGUATI | | Il
database Oracle offre una tecnologia robusta a sostegno di una soluzione sicura
che comprende caratteristiche quali: labeling di sicurezza avanzato, controllo
degli accessi a maglie strette, auditing, crittazione, e opzioni di alta disponibilità.
Ormai da venticinque anni, Oracle è all'avanguardia nello sviluppo di tecnologie
di sicurezza robuste. In conseguenza di questo impegno, la suite di prodotti Oracle9i
rappresenta una tecnologia robusta, certificata da terze parti indipendenti e
di provata efficacia a cui ancorare una soluzione di sicurezza. La suite di prodotti
Oracle9i fornisce l'architettura informatica necessaria per proteggere l'integrità,
la confidenzialità e la disponibilità dei dati memorizzati e aiuta
le organizzazioni a risolvere i problemi di sicurezza grazie a:
Sono cinque
gli strumenti su cui si fonda la sicurezza dell'informazione:
| massima
protezione dei dati, garantendo una sicurezza strutturata e completa fra client,
application server e data server, oltre che attraverso tutti i livelli di un'applicazione;
| | sicurezza
in ambiente Internet, permettendo all'utente e a chi gestisce i privilegi d'accesso
la possibilità di dimensionarsi anche per centinaia di migliaia di utenti
che accedono ai dati; | | hosting
e data exchange sicuri, consentendo una partizione degli accessi ai dati economica
e sicura, per cliente o per utente, supportando simultaneamente una condivisione
sicura dei dati fra comunità d'interesse. |
| | | | Identificazione
e autenticazione |
-
E' il processo che identifica correttamente gli utenti e li autentica nel sistema.
Un normale processo di identificazione potrebbe consistere nella verifica del
nome utente, e quello di autenticazione nella verifica della validità della
password corrispondente. In ambito Oracle tuttavia, ci sono modalità di
autenticazione aggiuntive che si basano non solo su dati noti all'utente, come
la sua password, ma anche su chiavi d'accesso quali smart card o certificati X.509,
o elementi personali (biometrici), come l'impronta digitale. La combinazione di
più modalità di autenticazione (per esempio, un elemento noto all'utente
più una chiave d'accesso) in una token card (autenticazione a due fattori)
fornisce un livello ancor più elevato di sicurezza durante la fase di riconoscimento
dell'utente.
Privilegi
autorizzati e controllo degli accessi |
-
Una volta riconosciuto dal sistema, l'utente ha accesso ai propri privilegi e
autorizzazioni. Questo viene abitualmente eseguito sulla base di una strategia
di controllo degli accessi che definisce ciò che l'utente può e
non può fare dati i privilegi associati al suo nome utente e al suo ruolo.
Per facilitare l'attività di amministrazione, Oracle permette di definire
questi elementi in un unico ambiente sign-on, come un server che soddisfa il Lightweight
Directory Access Protocol (LDAP), in modo che esista un unico punto da cui amministrare
i privilegi di sicurezza dell'impresa, indipendentemente dai database o dalle
applicazioni. É importante anche considerare come questi privilegi possano
essere sospesi e ripristinati sulla base del ruolo dell'utente e del profilo di
accesso.
In ambito Oracle, i ruoli di sicurezza applicativa garantiscono che
i privilegi siano fortemente vincolati e non possano essere inavvertitamente o
scorrettamente attivati. Per esempio, in ambiente sanitario, il privilegio di
lettura della cartella clinica di un paziente può essere abilitato solo
nel caso in cui l'accesso al database avvenga tramite una specifica applicazione,
durante orari predefiniti (corrispondenti ai turni di lavoro), o l'utente sia
stato autenticato attraverso un particolare processo. Inoltre, potrebbe diventare
necessario estendere il controllo degli accessi dalle strutture di base dei dati
ai dati stessi. Per esempio, i dati relativi ai pazienti potrebbero essere visualizzati
solo da persone che hanno "la necessità di conoscere" le informazioni
cliniche di uno specifico paziente, ma che non possono accedere alle cartelle
cliniche di altri pazienti nello stesso database. É importante che la sicurezza
sia strettamente collegata ai dati, per far sì che non possa essere aggirata,
e che sia indipendente dall'applicazione utilizzata per l'accesso. Tradizionalmente,
gli sviluppatori inseriscono intelligenti schemi di sicurezza nelle applicazioni.
Per quanto tale approccio protegga le informazioni da accessi non autorizzati
che avvengono per mezzo dell'applicazione, il modello di sicurezza non funziona
se l'accesso ai dati avviene da altre applicazioni. Per esempio, l'accesso a informazioni
sensibili attraverso uno strumento di query di reporting o ad-hoc non garantisce
il medesimo livello di protezione, perché il modello di sicurezza si applica
solo nel momento in cui è un membro del personale sanitario, sempre nell'esempio
di una società in ambito sanitario, ad utilizzare l'applicazione. Per ogni
applicazione dunque, il modello di sicurezza deve essere registrato e gestito
in più istanze. In molti casi, questo problema è aggravato dal fatto
che la rotazione del personale spesso lascia dei codici orfani, che nessuno riesce
a interpretare. Implementare la sicurezza al livello più basso garantisce
un maggiore grado di confidenzialità, indipendentemente dal metodo di accesso,
riducendo i costi di sviluppo e manutenzione. e'
sinonimo di tutela della privacy del paziente. I controlli di accesso devono garantire
che i dati non possano essere rivelati accidentalmente o senza autorizzazione.
Un processo standard per garantire un'elevata confidenzialità è
la crittazione. La crittazione deve essere effettuata nel momento in cui i dati
entrano ed escono dal database o sono trasferiti da un client a un'applicazione
middle-tier o a un web server. Le intrusioni in rete sono la minaccia esterna
più facile e ricorrente, per cui la crittazione del traffico di rete non
è un'opzione, ma una necessità. Oracle offre la tecnologia per crittare
le informazioni da un client internet, utilizzando Secure Socket Layer (SSL),
e da un server middle-tier a un database utilizzando algoritmi DES, triple DES
o RC4. Un'altra forma di crittazione - selective database encryption - permette
di crittare anche i dati all'interno del database. In questo modo, può
essere preservata la confidenzialità nell'ambito del database. I dati sensibili
possono restare crittati e nascosti anche per gli amministratori che devono eseguire
le normali routine di manutenzione sul database. Di solito, gli amministratori
di sistema hanno accesso completo alle informazioni; la crittazione dei dati sensibili
permette di mantenere la confidenzialità senza ledere i privilegi degli
amministratori. Oracle Advanced Security Option e il toolkit di database encryption
rappresentano un modo semplice, precostituito e non ingombrante di garantire la
confidenzialità. Mantenere
l'integrità dei dati deve essere una delle priorità maggiori. Dovrebbero
essere predisposte misure atte a garantire che i dati non possano essere manipolati
involontariamente o dolosamente. L'integrità dei dati può essere
fornita attraverso un data-checksum, cioè una verifica tecnologica del
fatto che il dato sia ancora quello che era stato originariamente imputato o salvato.
L'integrità può essere implementata sia per i dati in movimento
in una rete, sia per quelli conservati nel database Oracle utilizzando gli sperimentati
algoritmi MD5 o SHA-1. Ma l'integrità può essere fornita anche attraverso
un severo controllo degli accessi e la possibilità di mantenere un ambiente
least-privilege.
Least-privilege significa che ogni utente ha solo i privilegi
sufficienti a compiere il proprio lavoro, e niente di più. La modalità
attraverso la quale Oracle garantisce il controllo dell'accesso ai dati si basa
sull'uso congiunto di controlli su: utente, ruoli, contesto e labelling. Con Oracle,
è possibile garantire un elevato numero di privilegi a utenti, o gruppi
di utenti denominati ruoli. L'alta fedeltà nell'attribuzione dei privilegi
favorisce il concetto least-privilege. Un esempio della distinzione di ruoli che
può essere utilizzata, sempre nell'esempio dell'azienda sanitaria, comprende:
medici, infermieri, volontari, e personale amministrativo. Un aspetto importante,
e spesso sottovalutato, del controllo degli accessi è che questo non riguarda
solo i soggetti, ma si estende all'ambito degli oggetti stessi. Se un controllo
degli accessi basato sull'utente e sul ruolo stabilisce chi può accedere
a uno specifico oggetto, solo il controllo basato sul contesto e quello label-based
determina quali record nell'ambito del medesimo oggetto siano effettivamente accessibili.
Indipendentemente da come si gestisce l'accesso agli oggetti e ai record, il meccanismo
di sicurezza deve essere strettamente legato ai dati che protegge. Per esempio,
in molte situazioni creare una schermata database con funzioni che implementano
la sicurezza basata sul contesto non è il miglior approccio, perché
questo metodo può porre problemi tanto di sicurezza quanto di performance.
Oracle Virtual Private Database è un eccellente esempio di meccanismo
che offre sicurezza basata sul contesto legata ai dati che protegge. In questa
modalità, il server mette automaticamente in atto i controlli di accesso
all'interno di uno o più oggetti che protegge, fornendo una migliore garanzia
sul mantenimento dell'integrità dei dati (e sulla loro confidenzialità).
Oracle Label Security (OLS) fornisce il controllo label-based degli accessi.
OLS può garantire che utenti non autorizzati non possano visualizzare o
alterare i dati. OLS associa una label a ogni dato, e solo gli utenti con le appropriate
autorizzazioni (o label utente) possono visualizzare e/o modificare i record sensibili.
Il concetto di attribuire una label ai dati ha legami storici con i sistemi di
alcune Pubbliche Amministrazioni, che richiedono livelli multipli di accesso (per
esempio: secret; top secret). Ci si riferisce spesso a questo modello come a sicurezza
multi-livello, dove sia ai dati sia alle persone che accedono ai dati sono assegnate
label di sicurezza. Un possibile scenario nel settore pubblico potrebbe prevedere
uno schema di labeling che assegni valori ai dati sulla base dei seguenti livelli
di sensibilità: pubblico, interno, confidenziale, confidenziale vincolato.
La determinazione della label appropriata si dovrebbe fondare sulla valutazione
del rischio connesso alla compromissione del dato. L'uso congiunto di ruoli, contesto
e label offre livelli multipli di sicurezza per la protezione dei dati: nel caso
un livello di sicurezza fosse disabilitato (o implementato in modo non corretto),
gli altri sarebbero comunque attivi per garantire la sicurezza e limitando l'esposizione
potenziale e il rischio.
E'
la capacità di tracciare le azioni e i comportamenti degli utenti, e può
essere messa in atto tramite l'auditing. L'auditing non dovrebbe limitarsi a rilevare
le sole informazioni sull'accesso degli utenti ai dati, ma dovrebbe anche tracciare
le modalità di accesso (per esempio, esattamente con quale query sia stato
selezionato il dato). Questo è necessario per poter valutare le intenzioni
dell'utente. Insieme ai log di audit, e alla capacità di stabilire cosa
avesse chiesto l'utente interrogando i dati, è importante la capacità
di stabilire cosa abbia visualizzato l'utente. Per esempio, se l'utente ha richiesto
i dati del cliente Mario Rossi, è necessario poter stabilire se li ha visualizzati
o se, per esempio, i dati non fossero ancora disponibili in quanto in fase di
lavorazione/emissione presso un altro reparto/ente. Questo livello di conoscenza
è fondamentale per garantire l'accountability. Oracle fornisce accountability
in molti modi. In primo luogo, Oracle offre più di 200 auditable events.
Inoltre una funzionalità denominata auditing "a maglie strette"
può essere utilizzata per rivelare l'intento dell'utente, rispondendo alla
domanda di "che cosa ha richiesto specificamente l'utente". Infine,
la flashback query di Oracle può sfruttare le informazioni contenute nell'audit
log per rispondere a domande come "quali dati ha visualizzato l'utente in
quello specifico momento?" A scopo di asseverare l'accountability, questa
combinazione di tecnologie può rivelare l'intento dell'utente e ogni eventuale
infrazione alla confidenzialità dei dati dei pazienti. Storicamente, il
problema dell'auditing è l'enorme ammontare di dati che genera. Minimizzare
il logging dell'audit per l'accesso al sistema o a dati attraverso operazioni
normali (con l'eccezione dei casi d'emergenza), è fondamentale, perché
si tratta di eventi generati da azioni legittime. Per esempio, l'auditing globale
di tutti gli eventi può essere abilitato solo durante situazioni di estrema
emergenza, attraverso comandi semplificati; durante l'operatività normale,
solo specifiche condizioni di accesso ai dati innescano l'audit di un evento.
La possibilità di specificare l'esatto evento che innesca l'audit non solo
contribuisce a minimizzare il carico di sistema, ma riduce l'impegno da profondere
nella verifica degli audit log per isolare uno specifico evento. Molti casi di
accesso non autorizzato alle informazioni sono imputabili a utenti anomali che
accedono normalmente alle informazioni sensibili per eseguire le proprie mansioni
su base quotidiana. Questi utenti potrebbero essere autorizzati a visualizzare
dati sensibili, ma solo nell'ambito dell'esecuzione delle proprie mansioni. Una
funzionalità fondamentale di auditing è la possibilità di
essere esteso in modo da tracciare query "sospette". L'auditing "a
maglie strette" Oracle può essere configurato per tenere traccia non
solo degli accessi di un particolare utente, ma anche di ogni tipo di domanda
che possa essere formulata sulle informazioni. La due diligence implica l'adozione
di tutte quante le ragionevoli misure complementari. Questo modello di sicurezza
a più livelli, noto anche come "sicurezza in profondità",
viene utilizzato in molti settori in cui è fondamentale la protezione delle
risorse strategiche. É anche importante che le misure adottate siano intimamente
integrate nell'architettura dell'informazione, pur avendo un impatto minimo in
termini di elaborazione. Questo approccio a basso impatto facilita l'integrazione,
senza sacrificare la performance di sistema. | | | | ORACLE9I:
| INFORMATION
ASSURANCE | Al
momento, solo Oracle9i Database e' stato certificato da 15 valutazioni indipendenti
di sicurezza, superando di gran lunga tutte le altre tecnologie. |
|
|
|
| appuntamenti |
|
|
| news |
|
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733
18/03 - In Belgio su e-bay con la carta d'identità elettronica
18/03 - Un canale youtube per la città di Genova
18/03 - Il Telefono Azzurro vince il "Premio WWW" de "Il Sole 24 Ore"
|
|
