	Sign In Sign-Up

Next: Topologie di rete, tipi Up: Ricerca delle vulnerabilità delle Previous: Ricerca delle vulnerabilità delle Indice

Introduzione

Il Target of Evaluation, può essere un prodotto monolitico che contiene hardware, software, firmware o un prodotto distribuito, costituito internamente da molteplici parti separate, le quali comunicano tra loro attraverso la rete interna (figura 6.1). Ciascuna parte può avere le proprie TSF per cui, queste parti separate, si scambiano utenti e TSF data. Questa interazione è detta Internal TOE Transfer.

**Figura 6.1:** Target of Evaluation
$\begin{figure}\begin{center} \epsfig{file=immagini/parte2-1.eps}\end{center}\end{figure}$

Alcune parti possono non appartenere alla rete locale ma essere esterne per cui abbiamo canali di comunicazione esterni (figura 6.2). La comunicazione con l'esterno può avvenire in due modi:

**Figura 6.2:** Costituzione del TOE
$\begin{figure}\begin{center} \epsfig{file=immagini/parte2-2.eps}\end{center}\end{figure}$

Prodotto IT remoto fidato. La parte remota è stata testata e considerata affidabile per cui si ha una comunicazione sicura e viene detta Inter-TSF Transfer.
Prodotto IT remoto inaffidabile. La sua politica di sicurezza è sconosciuta per cui non è stato possibile valutarlo quindi si hanno Transfer Outside TSF Control (perchè, nel prodotto IT remoto, non c'è TSF o la sua politica è ignota).

I dati gestiti da TOE si dividono in Dati Utente e Dati del TSF. I primi sono informazioni memorizzate nel TOE che possono essere usate dagli utenti in accordo con le TSP. I secondi, sono informazioni usate dal TSF nell'applicare le decisioni prese dalle TSP. Queste informazioni possono essere influenzate dagli utenti se sono permesse dalle TSP. Attributi di sicurezza, dati di autentificazione, password, chiavi sono esempi di TSF Data.

Una valutazione delle vulnerabilità è un esame sistematico delle tecnologie dell'organizzazione al fine di determinare l'adeguatezza delle misure di sicurezza attuate, identificare mancanze (deficienze) nella sicurezza, fornire dati con i quali predire l'efficacia delle misure di sicurezza proposte e confermare l'adeguatezza delle misure di sicurezza dopo l'implementazione.

Le vulnerabilià sono una debolezza nel sistema d'informazione, sono pratiche e procedure di sicurezza, controlli amministrativi, controlli interni, implementazione di tecnologia o disposizione fisica che possono essere sfruttati per ottenere un accesso non autorizzato all'informazione (bene) o distruggere il bene. I punti da focalizzare sono:
$\begin{dinglist}{98} \item vulnerabilità del sistema. \item vulnerabilità dell'i... ...istemi e componenti per la ricerca di debolezze nella tecnologia. \end{dinglist}$
Con i dati raccolti nella Capitolo 2 e da eventuali PP e ST esistenti si definiscono i seguenti punti:
$\begin{dingautolist}{192} \item Tracciare un piano delle informazioni dei beni p... ... nella politica come nella vulnerabilità dell'infrastruttura \end{dingautolist}$

Next: Topologie di rete, tipi Up: Ricerca delle vulnerabilità delle Previous: Ricerca delle vulnerabilità delle Indice

Gian Fabio Palmerini 2001-10-31