OF INFORMATION TECHNOLOGY

MANAGEMENT AND COMMUNICATION

Università di Bologna

PROJECT WORK:

ANALISI E GESTIONE DEL RISCHIO INFORMATIVO:

IL SISTEMA DI MONITORAGGIO GRANDI OPERE E TRENO
ALTA VELOCITÀ

PROVA FINALE
MASTER “SICUREZZA DELLE INFORMAZIONI” 2004-2005

PRESENTATA da GABRIELE CORRADO

Tutor Scientifico: PROF. ING. REBECCA MONTANARI

FACOLTA’ DI INGEGNERIA
Dipartimento di Elettronica, Informatica e Sistemistica

1
 SOMMARIO
Introduzione ________________________________________________________________ 1
1 ANALISI DEL RISCHIO: Definizione del campo ____________________________________ 3
1.1 I dati e le finalità del trattamento __________________________________________ 4
1.2 L’Applicazione INFO-MONITOR. __________________________________________ 6
1.2.1 L’Interfaccia Locale (WIN MONITOR) __________________________________ 6
1.2.2 Il Data Base Management System _____________________________________ 6
1.2.3 I Requisiti di progetto documentati dell’applicativo ______________________ 10
__________________________________________________ 10
________________________________________________ 10
___________________________________________________ 11
___________________________________________________ 11
______________________________________________ 11
____________________________________________________ 11
________________________________________ 11
_______________________________________________ 11
1.2.3.2 Descrizione sintetica del modello applicativo _________________________ 12
1.3 La base dati: flussi informativi, profili di accesso e modello di autorizzazione._____ 12
1.3.1 Flusso operativo __________________________________________________ 13
1.3.2 Amministrativo - Gestionale ________________________________________ 13
1.3.3 Statistico________________________________________________________ 14
1.3.4 Sistema profili e autorizzazioni ______________________________________ 14
1.3.5 Modulo Sicurezza “Custom” ________________________________________ 16
1.4 Assets informatici, workstation, linee e infrastrutture di rete. ___________________ 17
1.4.1 Stato della sicurezza dei collegamenti _________________________________ 19
1.4.2 Postazioni di lavoro client __________________________________________ 19
1.5 Il personale interno addetto:_____________________________________________ 20
1.5.1 Qualifiche e incarichi ______________________________________________ 20
1.5.2 Livelli di competenze del personale. __________________________________ 21
1.5.3 Punti critici e rischi per la sicurezza nell’interazione e uso degli strumenti
informatici ______________________________________________________________ 21
1.5.3.1 Accesso al PC__________________________________________________ 21
1.5.3.2 Uso dei programmi. _____________________________________________ 22
1.5.3.3 Salvataggio dei dati,_____________________________________________ 23
1.5.3.4 Uso della posta elettronica, _______________________________________ 23
1.5.3.5 Server locale e protezioni sulle directory, ____________________________ 24
1.5.3.6 Uso delle informazioni e dei dati ___________________________________ 25
1.5.3.7 Dischetti e supporti esterni________________________________________ 26
1.6 Valutazione qualitativa del rischio________________________________________ 26
1.6.1 Lista delle maggiori vulnerabilità. ____________________________________ 31
1.6.2 Livello di maturità dell' azienda ______________________________________ 31
2 GESTIONE DEL RISCHIO, SUPPORTO ALLE DECISIONI E AZIONI DI INTERVENTO. ___________ 33
2.1 Protezione fisica e logica a dati e dispositivi ________________________________ 35
2.1.1 Accesso fisico al Database__________________________________________ 35
2.1.2 Autorizzazioni per l’accesso. ________________________________________ 35
2.1.3 Profili di autorizzazione ____________________________________________ 35
2.1.4 Inferenza e Sql Injection ___________________________________________ 36
2.1.5 Misure per la gestione dei rischi dell’applicativo. ________________________ 36
2.1.6 Controlli di conformità e verifiche sui prodotti che si utilizzano ____________ 37

2
 2.2 Reti e linee di comunicazione ___________________________________________ 37
2.3 Misure per la gestione degli utenti e delle procedure d’uso degli strumenti informatici e
delle credenziali ____________________________________________________________ 37
2.3.1 Il livello organizzativo dell’azienda USL ______________________________ 38
2.3.2 Gestione del personale e normative per la sicurezza. _____________________ 39
3 APPENDICI – Documenti __________________________________________________ 40
3.1.1 Estratto dal dlgs 196 del 2003._______________________________________ 40
3.1.2 “Proposte concernenti le strategie in materia di sicurezza informatica e delle
telecomunicazioni per la PA” Cnsi, marzo 2004. Estratto__________________________ 43
3.1.3 Regolamento Aziendale ____________________________________________ 45
3.1.4 Requisiti metodologici e implementativi per lo sviluppo con tecnologia .NET sui
sistemi della Regione Emilia-Romagna________________________________________ 49
3.1.4.1 Piattaforma .net Framework_______________________________________ 50

3
 Elaborato

!
" #

# $ % &

! !
& #
' (
!
#! # &
) )
!
#
! # ( *
!

# &
!
# !
+
,
( !

! # !
-./01234!
5 - 5 4! 5
- 5 6 4 /227&
# + 8 !

! # ! #&
9
:
: " - 4&
: 8 - ; < 8 4
&
:
: &
5
9

= #! ! ! ! #! ! ! ! #!
#! ! ! ! #! ! 1 #&
! ! ! ! ! # !
! #! !
! # &
; " " &; &= " ! !

1
 ! ! " 1 ! ! #! #!
! #! !
,1
, &
! #! ! #!
&% #&
!, #! ! ! ! !
! #&
, #! '
! ! ! &$ ! !
! #!
< # ! # !
! ! ! !;
8 8 ! 1 !
!
( &

# ! > !
!
! 9
.4 !" #!
/4 " #
34 ! "
#$

2
. 5 ;$ % ? ,9;
% ! $
! !

$ % + @ >
&
A B
% $1
% -%$%4! # 9
&
&
! ! ! $; % $1 %
" C &
- ( 4!
#
! $
+ + &
9
! # # ! #
# # !
) & D
& &

Database

Lan Ced Regione Emilia Romagna

San Lazzaro
Internet

Lan Casalecchio
Wan Ausl Bologna

Reggio Emilia
Lan Bologna
Wan-Lan Modena

& '
( >
C - 4&
! ! 8!
)
- 4 & D $ ' <
- !< !% $ ! ! 4& !
! ! -
D 4&

3
 ; < -; < 8 4 $; % $1
% -D
= ; 4@
&
" ; < (
% $ % >
- ( 8
4&
; % $1
%- 4&

A ( B &
C
D& & % $1
%!
&
( !
$
( ) ! *

C ?" % $1
% & & %$%
C " - 0&2;4 % $1
% & & %$%
; $% $% ?" %$% & & %$%
& & %$% ' ;
; < ! %$% ' ;

& & %$% ' ;

; < ;
;
& & %$% ' ;
; < E ;
; "; ';
; < ;
=
; ; ?" C- 5' %$% & & %$% ' ;
5 4
; ; ; 1 %$% ' < ' ; "; ';
1 (
; ; ; %$%(; (;

(< C = ; ";
'< ; ";

(< ;

( '; @

(< ; " ; "; !

E
C E ' ? E
!
C E ? " ? E
C E ; '; @
C !
; + " ; "; !
E
1 C ( C (
:

.&. ; #
> !

#- % $
% # 4&
)
9 # !

4
 &
5 # 9
:
$ + @
: F
@
: F # D@
: @
: G ! !
! ! &

! !
9
: @
: - ! ! 4@
: ! @
: - 0/01
H04@
: @
: ; ! ! 1
! &! &
; # ! ! !
&

-; 4
&

6,
9
11"""& & 1
I # ! 9
: @
: ! @
: % D
@
: &

% ! # ! #!
> A
; .H01
23'!
&
5 A
%$ , <$5+, $% 6D+ JJ, ;$ $% J 5=,%< +
J$5; B &
A
% ,< 5; J,5 ;$ 5 - ,< + +,
5 J,5 $ $% D%$JJ 5=,%< + 4B
,.KKHH KKHH&
!
$ % -+ 5 ' %$%
)

5
 !>
A B !
9
:
: &
! ! " ! &
: # - 4
: #
: # !
,.KKHH A B

.&/ + . )&
,% - ,+
5=,(<,5 +,% 9
.& " E ( -
% = " E.&. & < 4&

# # C &

-C 4&
/& 9
o / -C$ $% $ 4!

o - ( 4 0- -; + $< 5 $<$5+ L +$<&

1$
2$1 3+ 3 "
/+, - . )#
,+
$ ( 8
! A
C = B < = " E& &
>
= " E.&.& - " E %

A B
4&
1$
2$2 + 0 - 4
8 I @
& "
% $1
%&
( & #! #! # ;
> % 1&
$
5 ! >
* !
D % $1!
" 1 &
Tabella confronto Norme – regolamenti Ausl RER e progetto developer
)5 )
) (6 )6)
% D " ,
+ 7 " 6 % # "
; " !

6
 " ,
" MN & - 4 "
D 5 - 4
P
&
" &
D < " "

" & " &

" "
! O

6 &
" "
! !
& &

! #
&
& 6

#
& !
!

&
& 5

" &

#
- 4

# &
, >
!
A B
6 & ; 9
D -
6 &5$+
&
8
& &
4
!
<
A
B
&

8&

QD 1 Q

+ ! 8

E
@ !
6
5 !
! #!
&
&
& R

7
 !
# !
9
&

"
&
% 6 &

&
% " ;
; #
& 9
% 6
= 9" #
5 /" < 1
;= -; = 8 4
&
E 9 < I
/222 A ( B

" &

#
5
6
!
@

@
6
!
6 6
6 #
! 6 5 5
#6
@
&
6
@

6 !
!

" &

! - !
"
@ ; 4@ ;
6
D
!
)6)$
. $5( 0 8 & <
!
> I S -
6
&; I
#& D D ! 4
&
I&
6 #
I -
& 4& + ;,&5$+ A B AI
S B@
1 S &
&
A %
5 & B

T& %

<

8
 #
>
! - 4
%
-
!
& 1 4
%
# -
1 1 1
6 4
6
<
&
;
9
&- #
4 1

&
(
? - 4
- 4

= "
D
(
9
+ "

"
-
4
E

# 72(./U
?. 3(;$
%

- E
4

<
9C
E " ! D%
;
- 4
E
+ 1
;
- 4
*

9
+

- 4

9
 9

&

5
5 5
#
# &

@
6
5 5

>
$
8 " E ! !
& % $1
%
- %= 4!
" &

! @
> @
! 6
& 5
) ) !
&

&
1$
2$9 +) 5

, > A B D -
.H04
, "
, " - 4
3
%
%
< - 4
% - 1 4
% # - 1 1 1 4

<
; 9
#

10
 1

?++ - V C 4
" - 4
E # 72(./U ?. 3(;$
% - E 4
La gestione degli account deve essere completamente applicativa
La gestione applicativa degli account deve prevedere anche una security policy opportuna. Nel seguito
sono riportate alcune brevi linee guida
+

< - 4

A B AI S B@

, > - D 4
#- 4&

#- 4
# &
*
9
+

- 4
9

&

< 9C E " ! D%
; - 4
E+ 1
; - 4

11
1$
2$9$
2

.6,.+
( :+ ,6
C 9 &5$+= 1 '

C 9 C ( 8W -C $/&24
" ( E
& < &C &
9 <
A B
8&
QD 1 Q - 4

C 9 % X M " &
&
9 <
A B 8( (

Q, S 1 Q 1 Q -
4
.&3 9 !
&

12
1$
9$1 %

9 ! ! !
! ! !
! ! &
> !
8 & > (
- 4! A B A B ( 8
! (
! #
) - G 4&
# ! &
! &
- G 4
9 - 4
- 4! - 4 ( - & '
= 4! - & 4&

! ( !
& >
! ; < $
% &
1$
9$2 *
1 (
; < & ( &
9
#! & D ( !
> * C &
; < " I !
! (
; < &< !

13
 # ! ! !
E ! ! &
> # &
1$
9$9
( > (
& ;
! !
!
!
- 5 ! $ ! # &4
1$
9$;
; !
9
# ; < -
4
# ! ! !
&

% + $ %
9
9
&
9-.4 -/4 -34

96 1 !
! % &

14
 LIVEL
INTERLOCUTORI UTENTI ESISTENZA ACCESSO
LO
INFORMATIVO
A DATI
DI
ACCE
INTERREGIONALI
SSO
T E P T P
E-R
OS. -R IE. OS. IE.
Operatori dei servizi (vigilanza)
Operatori dei servizi (sanitari)
Consulenti/amministratori di rete
Altri servizi ASL (servizi sociali, servizio
di
igiene pubblica, ecc. )
Servizi di medicina del lavoro
ospedaliero
Statistici/Epidemiologi
Medici di base

Regione - direzione sanità

pubblica(responsabile
per lavori T A V)

- direzione assistenza
- assessorato trasporti
- assessorato ambiente
Comu
ni
Province
ARPA
INAIL
ISPE
SL
Ispettorato del lavoro
INPS
CPT
Associazioni di categoria
Altri comitati Paritetici
Associazioni sindacali
Ditte
RLS
RSPP
Medici competenti
TAV
Alta sorveglianza
CE (coordinamento esecuzione)
CP (coordinamento progettazione)
Responsabile dei lavori
Associazionismo locale

15
1$
9$< - &( '
; # !
- 84
A B A #B
- ( 4 A #B
! - 4&
I
- #!
! 4 &
#

&
; - 4
9
) %+
3 .6,.+
( :+ ,6 +
.+,*
$
.
- 4 D 9 1 !
8
- 4 % 9 1 !
/
8 (M
% N
D
- 4 D 9 1 !
8
- 4 % 9 1 !
8 (M %

- 4 % 9 1
8 (M %

, 9 & 1
" E - 4
A B! A #B
A B A B
&
> ; , $% 9
1 6 &
> 9
: , - Q, 4 . N D
9$ ;! ; ++$! %, ! %$ ! %, ! ,<
&
: 9- Q 4
#&
5 > & D *
! & D &

1
Il significato semantico di “Dato di Competenza” in genere si basa su Opera / Organizzazione ma puo’ essere non
ancora determinabile per soggetti esterni
2
Verranno tracciate solo le operazioni “sensibili”; stato definito dai metadati del modulo di sicurezza custom.

16
 , G ! & 9
A B
& > !
- " 4
1 & D Y Y
&
Tecnologie e sistemi per la protezione dei dati durante i flussi
Autorizzazioni Asincrone
!
1 1 &
#
&
*
- 1W 1 1 4
- 4

8
4 9
4 &
&
Sicurezza delle Comunicazioni
? - 4 - 4
E
= " - $; %$%4
D ( 9
+ "
+
( -, 1
< <$4&
! - & P< 9 P< P<
$ 8 4&
!- ! ! 4&
E E8 W
- Z$4 & ( -Y 8 Y
4
! &
- 4&
5 # " E
& &
.&7 !" E ! &
C " E
W
81 "8 $;
< - & & 4@ 5+
" E
&
$ + &

17
 .) (6,.)+ 3, +,%) .) .. ) )6.66( ,,6..+ +
. (3+
6, (3+6
.. 6) .+ + " # +
,.6),6. . ,.
. . .+ .+
6,.)= (+
"
#
BO- AUSL Casalecchio Circa 20 lan con 4Mb-8Mb di rete interna tra 30 (10)
FI Bo.Sud San loro senza barriere. 15 (5-
Lazzaro HU /222 - 6)
Porretta 7U4 3
(VAV) ;5 /[0E [./
" %&$&%& V ;<J ;5 V
" - 1 4
?; /< &
AUSL 10 Sesto I clients sono equamente distribuiti tra Firenze 25-26 4-5
Firenze Fiorentino Città (Nodo Ferroviario), Sud-Est, Nord-Ovest e (6-8)
Careggi Mugello (VAV).
(VAV) C HU(
‘S. Maria C /E (C P
Nuova’
‘S.Maria
Annunziata’
Borgo
S.Lorenzo
NO AUSL Città Dipartiment Rete Geografica 30 (10)
DO BO di Bologna o Sanità Pubblica La rete geografica dell' Az. Usl Città di Bologna collega
una trentina di sedi principali dell'
Azienda, ognuna
dotata di una rete locale.
Il CED ausl Bologna, o meglio il Servizio Acquisizione
Gestione Sistemi informatici e Reti, si trova presso
l'ospedale Maggiore. Dal CED (centro stella) partono
prevalentemente linee HDSL a 2 Mbps che collegano
gli ospedali e le sedi amministrative principali.
Il programma interessa esclusivamente un' unica sede:
il Dipart. Sanità Pubblica che e'collegato con il centro
stella in HDSL 2 Mbps.
5 W8
" &
;5
;5 07 Z &
+ ;5
E &
%
& # ./
6 + 1 .22 < !
; C " /222 3! 7
/ % <! % [ " & C " H[(
HU(P (/222 &

MI- AUSL Modena Attualmente hanno installato l’applicazione su 1 !!!!

BO Modena ‘Civile’ un unico LapTop. Non è previsto in futuro l’utilizzo su
< più postazioni.
)$ 9. C " /222 , /222

9- 4
9?; /<

<
= $&
AUSL Parma Città
Parma Fidenza
‘San Secondo’
AUSL Piacenza
Piacenza Città
Fiorenzuola Modem 28,8 con VPN su lan aziendale – 3
d’Arda piccola lan in fase di allestimento
Val Tidone
AUSL Reggio ' S. Clients: quasi prevalentemente Windows 2k Pro 4-5 (1-
Reggio ANNA' ? I /222 2)
Scandiano 4-5 (1-
'C. MAGATI' # 9?; /< 2)
Montecchio # 9; ./UZ 4-5 (1-
'E. FRANCHINI' 2)
DB Regione e/r
MS
18C
 &
canale
Tipo Indiriz Tipo di canale Appa
DOWNstrea CPE
Sito zo Profilo Upstream rato
m
B B BM
P MG BP G

Casalecc Via Bilanciat 8 4 8 4 Rout Cisco

hio Cimarosa 5/2 o - HDSL8M Mbps Mbps Mbps Mbps er IP 03620
Bilanciat 8 4 8 4 Rout Cisco
o - HDSL8M Mbps Mbps Mbps Mbps er IP 03620

Via Bilanciat 8 4 8 4 Rout Cisco

Bologna Gramsci 12 o - HDSL8M Mbps Mbps Mbps Mbps er IP 03620
Bilanciat 8 4 8 4 Rout Cisco
o - HDSL8M Mbps Mbps Mbps Mbps er IP 03620

San
Lazzaro di Via Bilanciat 2 51 2 512 Rout Cisco
Savena Seminario 1 o - HDSL2M Mbps 2Kbps Mbps Kbps er IP 01721

1$
;$1
!
W
8 =
< < - ,4 &
9
: !
:
: !
! W
85 &

&
; &
( &
3 $
- G 4!
= &
, >

& > C " /222

- %+= ;= ; < C 4&
-;5 ! C 4 ; 8
C " /222 & 5 >5+= >
&
D - 8 D
4 !
! " E C "&
1$
;$2
( 8 " E > C = &5$+
= " E
9.&. - .&.&73//4 > .2 " " /2221P&

19
 id SO Nr. Nr. CP Antiv Acce
utenti Ufficio U. irus sso
(princip).

03 Pen Si User
1 2000 2 t. III
2000 03 Pen Sì Admi
2 Server 1 t. III n
05 Pen Sì User
3 2000 1 t. IV
07 Pen Sì User
4 2000 1 t. IV
09 Pen Sì User
5 2000 1 t. IV
10 Pen Sì User
6 2000 2 t. IV
13 Pen Sì User
7 2000 2 t. IV
15 Pen Sì User
8 2000 2 t. IV
23 Pen Sì User
9 2000 1 t IV
1 Port Pen Sì User
0 XP prof Vari atile t IV
9
UC " /222 & 7
.C " P & /
.C " /222 7
.&[ 9
# !

( &
$ " E
# .
1$
<$1 >
3 - ! ! 4&
.3 + &
/< &
.< % &
.< % &
. + &
. + &
; #
#9 9
&
&
! &
&

20
1$
<$2 3 $

!
#
&

<
%
#

D >
)
# = 8 !
# " !
& &
9 = !
! " ! &
S ! !
! &
= !
D > &

< < ' &

& ; >
& < 9 !
#!
! ! !
& !
!

!
) & $
' &
< < 9
< &
(
( I !
- 4 !
& % &
#
& ! &
!
!
) ( &

1$
<$9

1$
<$9$
1 (
"
- 4& ! >
! "
- > 4&
5 C " /222
; 8
E &
- 4&

21
 !
&

&&
D > 5+=
! ! !
! !
&5 &
!
!
- ' 4!
)
&
1$
<$9$
2 $

&; !
!
& 5
! #
& , P #
, , &$ < , C "!
# &
> !

E &,
! - & C 4
- E E W 4
&
! !

&
E
! #
! ) # !
- 4&
< 8 " " !
! ! #
9E8 ! S ! " E! &$ &

O E! > >
&
Regolamento Aziendale
Art. 5 - Configurazioni hardware e software
Le stazioni di lavoro utente vengono predisposte e configurate per il corretto
uso dei servizi informatici aziendali dal Servizio Acquisizione e gestione
tecnologie informatiche e di rete.
L'utente si impegna a mantenere la corretta configurazione della stazione di
lavoro che utilizza.

Nel caso in cui sia necessario "scaricare" ulteriori programmi informatici anche
gratuiti dalla rete, 1'utente dovrà formulare una richiesta al Servizio
Acquisizione e gestione tecnologie informatiche e di rete che provvederà a
consegnarli al richiedente.

22
1$
<$9$
9 ?
!
! " "
# &
8 - & = + 3/4
! &
E !
# - X.2 \ !
[2\ E 4
E 9
$
= - # 4!
& I
&

& " E !
> # & 5
# - 5 " E
!5 " E
4&
REGOLAMENTO AZIENDALE
Art. 7 - Backup

Il Servizio Acquisizione e gestione tecnologie informatiche e di rete

provvede al salvataggio dei dati registrati tramite i sistemi informativi
aziendali.
È fatto obbligo agli utenti di effettuare salvataggio dei dati memorizzati
sul computer aziendale utilizzato, con frequenza almeno settimanale.
Il Servizio Acquisizione e gestione tecnologie informatiche e di rete a
questo scopo fornisce i dispositivi hardware necessari per il salvataggio
dei dati su supporto rimovibile.
1$
<$9$
; ?
> #
& > !
, ! C &I #
! # < , E
! " ! ' !
E !
!
5 E
& >
! 3 -..24
&
D >

!
! #
!
&
5 #
-
4! 9

23
REGOLAMENTO AZIENDALE
. L'utente è direttamente e totalmente responsabile dell' uso che egli fa del
servizio di posta elettronica e di accesso a Internet, dei contenuti che vi
ricerca, dei siti che contatta, delle informazioni che vi immette e delle
modalità con cui opera.
. All' utente è consentito di utilizzare il servizio solo per ragioni
professionali
connesse alla propria attività, in modo individuale.
. L'utente sarà pertanto civilmente responsabile di qualsiasi danno
arrecato
all' Azienda, all'Internet Provider ej o a terzi in dipendenza della
mancata
osservanza di quanto sopra.
L'utente è informato del fatto che la conoscenza della password da parte di
terzi consente a questi ultimi l'accesso alla rete aziendale e l'utilizzo dei
relativi servizi in nome dell'utente e l'accesso ai dati cui il medesimo è
abilitato, con le conseguenze che la cosa può comportare, quali ad esempio la
visualizzazione di informazioni riservate, la distruzione o la modifica dei
dati, la lettura della propria posta elettronica, l'uso indebito di servizi,
ecc..
L'utente prende atto che è vietato servirsi o dar modo ad altri di servirsi
della rete aziendale e dei servizi da essa messi a disposizione per utilizzi
illeciti che violino o trasgrediscano diritti d'autore, marchi, brevetti,
comunicazioni private o altri diritti tutelati dalla normativa corrente, per
utilizzi contro la morale e l'ordine pubblico, per recare molestia alla quiete
pubblica o privata, per recare offesa o danno diretto o indiretto all' Azienda e
comunque a chicchessia.
L'utente - in quanto la legge lo consente - si assume la responsabilità civile
per i propri fatti illeciti e per quelli commessi da chiunque utilizzi il suo
codice identificativo, con particolare riferimento all' immissione in rete di
contenuti critici o idonei ad offendere l'ordine pubblico o il buon costume.
1$
<$9$
< 4?
5 ! C <
! 8
! &
!
!
!
> E [
5+= 8 &
8 ! &
> .2\ >
# &
= 3/ 5
& ,
! !
> &
D > #
D &
# >
!
8
W
8 W
&

24
 " E -C " 4
- ! WD W4&
1$
<$9$
@
!
! !
! ! ! > (
9
- 4
! " &
!
& G
* #
&
!
O !
)
& $ !
& $
# -
* 4& #
- 4 !
! - 4
&
! *
A B &
> &
#
!
& ; >

&
> !
&
Art. 3 - Identificazione dell'utente
L'utilizzo dei servizi informatici aziendali richiede, da parte di tutti
gli utenti, un codice
di identificazione personale (userid) ed una parola chiave segreta (password).
Sia nel caso di disattivazione del codice di identificazione personale che
nel caso in cui
l'utente si dimentichi la propria password, per riottenere l'accesso ai servizi
l'utente dovrà
compilare nuovamente il modulo Richiesta di abilitazione i servizi informatici
aziendali e consegnarlo al Servizio Acquisizione e gestione tecnologie
informatiche e di rete, firmato dal Responsabile della struttura organizzativa a
cui l'utente appartiene.
La password non potrà essere ceduta a terzi, neppure temporaneamente e
dovrà essere
mantenuta segreta.
Qualsiasi azione svolta sotto l'autorizzazione offerta dalla coppia userid e
password sarà attribuita in termini di responsabilità all'utente titolare del
codice userid, salvo che l'utente dia prova di illecito utilizzo della sua
autorizzazione da parte di terzi.
Non sono previsti codici di accesso anonimi.

25
 L'utente deve conservare la password con la massima riservatezza e con la
massima
diligenza. La password non deve essere banale né contenere riferimenti
facilmente riconducibili all'utente. E' modificata da quest'ultimo al primo
utilizzo e successivamente almeno ogni due mesi.
L'utente non deve lasciare incustodita o facilmente accessibile la postazione di
lavoro, una volta collegata al sistema, e deve disattivare la sessione qualora
si debba allontanare dalla postazione di lavoro. Non deve rendere facilmente
accessibili informazioni concernenti la sua password.
Dopo sei mesi di non utilizzo dei servizi, o nel caso in cui l'utente perda la
qualità che gli consentiva di accedere ai servizi informatici aziendali, la
userid e la password vengono automaticamente disattivati. In quest'ultimo caso,
i messaggi di posta elettronica in giacenza vengono eliminati.
L'utente si impegna a comunicare immediatamente al Servizio Acquisizione e
gestione tecnologie informatiche e di rete l'eventuale furto, smarrimento,
perdita ovvero appropriazione a qualsivoglia titolo da parte di terzi della
password.
Nel caso di prolungata assenza dell'utente e in caso di urgenza, qualora si
renda necessario accedere alla posta elettronica o alla postazione di lavoro
dell' utente, a giudizio del responsabile dell'unità operativa, quest'ultimo
chiederà l'abilitazione al Servizio Acquisizione e gestione tecnologie
informatiche e di rete.
1$
<$9$
A
! > > !
! !
# ! D
&
5
!
- & E 4
#
&
' !
!
# !
&
5 #
! !
!

! &

.&0
#
&

:
: #
: =
: %

+ > 9

26
 2 5
. interruzione momentanea e nessuna perdita di dati
/ @
&
3 5 # ! ) !
! &
7
! ! ! &%
&
[ ; ! ! ! !
& ;
# &

+ !> #! . - 4 [
- 4& #> !
!
&
&
. #
/ # !
#&
3 # ! 1

7 # ! & ,
& &
[ # ! 1
& > &

% 5 > ! !
! # &
. < !
/ #
3
7 Probabile, segnalati o osservati casi nella maggior parte dei servizi interni
[ !

+ > #!
& 5 !
& I
&
> 2 [- 4&
2 5 ! - 4
+ 2 % > !
.
+ . % !
/

27
 + / % !
3
+ 3 % !
7
+ 7 ! #
[

Tabella del rischio risultante per le risorse umane e gli assets informatici
$ $5+, )
+ =
< W
&
#

<
E! ! !
[ 7 3 ;?
B
" E # & !
&
D

=
7 7 3 9?
A
!

&
<
!
=
Z8 7 [ / 9?
A E!
#
!

<
!
" 7 7 [ ;?
9 !
!
E !
=
7 7 3 9?
A
%
!
7 7 / 9?
9

D
" !
" E 7 [ / 9?
A

" 3 / [ 9?
9 !

"
!
" 3 3 7 9?
9
" ! 8

=
"
/ / 7 2?
A !

28
 = !

E !
!

7 7 [ ;?
9
E #

- 8 8
!
!
;
4

#
#
E
E !
!
;
#
[ 7 3 ;?
B
- 8 8
!
!

!
;
!

( / / / 2?
B
#

+ ! / / / 2?
B

!
/ / / 2?
B

! E
$ 7 . . 2?
B + 1
#

!
[ / 3 9?
9

!
[ / 7 9?
A
!

29
 !
[ / 7 9?
A
!

!
S ! [ 3 3 9?
A
!
;

(
<
!
"
[ 7 3 ;?
B
&;

&
% D
! / 7 / 2?
A
-=<4
; ;
<
( C W
8 3 3 7 9?
9
"

" 7 / [ 9?
A
!
!
&

!
!
$ " 7 3 7 9?
A

" !

!
$ 7 3 3 9?
9
E
!

&

!
!
!
$ " 3 7 3 9?
9 !

&

30
1$
@$1 3 !$
" !
" ! " &
$ ! ! !
!
5 8 ! = +3/
< " E !

< E
#&
- 4

<
&
! ! &
#! !

&
#- 4
A B
&
#
9
# ! &

&
>
$ ! !
&

1$
@$2 3 ! C
!
-%
&4 8!
! ! !- 4&
! >
! O >
&

6 ! O> &
5 ! O
- & ! # 4

> #

&
$ # - 4
# &

31
 $

&
.H01
23
# 9- & /H(
32(3.4&
5 # #
&
! !
> &

9
!
! !
# &

# ) ! (
(
& !
&
> (
9
: #
:
:
:
( ! &
:

32
 / $ +,5$;$ % ? ,! D ,%+, $;$ ,5 $ J,5 ; 5+$% $5+,&

33
34
/&.
! !
9 C ; < !
-" E 4 O

: # W
&
: 8 ; % 8 &
: % 1! > ! !
! &
: &
2$
1$1
>
%$%
! = "
; & C > ;<J
; < > &
% !
&
!
&
2$
1$2 $

C
" 1 &
> &
; <
- " 4
&
! # ! #
! ! !
&

' #
! #
#!
&
2$
1$9
#
# &
; !
9
# ; < -
4
# ! ! !
&

35
 5
; ( !
! > G & 5
& - ! !
4
9
> (
! # # ]
! ! ]
&
# ]
I ! ! ]
!
]I > #! ]I
]; ]
]
2$
1$; + 5 +D

! - # &4!
I S & - %
& 4&
(
9
- ! ! !
# ! ! 8
&4
8 !
&
9
- ! #
4
+ -
!
4
< -
! !
! &
!
# ! !
] # >
# ! > !
# &
9

# W ! !
&

&
2$
1$< - $
!
!

36
 ( 8

( -3;$ 4!
!
&
(
- T& = " E
4 &
( - 8!
! I 4! 9 &
2$
1$@ ( !
D
>

9
: #
! &
: &
: ; !
&
: ; !
&
: ; -
4! &
: % # ! !
&
: ! #
&
/&/ %
= <
C &
& 9
]
> # ]
$ !
]
5 ! ' E
!
! #
A B
!
&
/&3 <

! * !
9
- E
: D
: D

37
: &
:
: E
:
:
:
: &
: D &
: D " !
- E
; ! 9
:
:
:
:
: - 5 ' < /22[4
: ! &
: &
: E
&
: ! !
: !
: 8 #! !
! ! &
: = !
! &
: E
&
:
: " ! " ! 8
: = !
: = ! E ! !
# - 8 8
! !
4
: !
2$
9$1 + 3
#

# ! !
-
4! ! #! !
&
$
#
! )
&I

38
 ( &
$ #
!
! #
!
) # > &
I !
! !
& & !

&
;
!
! & D
> # ( !
) &
#! !
&
> #
!
& #
# &
2$
9$2 * $
# ! >

# &
$ !

&

# 9
8
! % -$ % 4
# & #

&
5
! !
&
$
9
1 ! ! #
! ! G
&
< 9
( ! !
#
#! ! #!
! 8 &

39
3 $5; ';
9$
1$1 6 1F@ 2BB9$
! #
#&
5 8 # #
&
+ 6
! !
>
#
#

&

# > !
! &
Requisiti di sicurezza
, ( < D%$; D%$JJ
& 3.& ,
.& !
!
! ! 6
! ! ! !
# &
& 33& <
.& 5 G 6 3.!
!
6 [U! 3!
&
& 37& +
.& >
! 6 4!
9
4 @
4 @
4 @
4 6 6
@
4 !
@
4 ! #
@
4 @
4
&
.H01
23

40
 .& >

&

/& 6 6

6 !
!
6 ! &
3& G
6 &
7& >

6 &
[& ! > !>
! !
@
6 > 6 ! !
& >
&
0& 6 ! ! *
! &
K& !
&
U& #
6 6 &
H&
&
.2& I 6 >
6 !
# *
#
6
# # &
>
!
6 6 &
..&
&

./& I >
&
.3& ! !
6 ! 6
&
.7& ! ! >
&

41
 .[& 5 6 6 6
6
! *
&
.0& 6
6 & 0.[( ! 6
&
.K& #
&
6 > &
.U&
&
;
.H& $ 3. !
! !
9
.H&.& 6 @
.H&/& # 6
@
.H&3& 6 @
.H&7& 6 # # ! >
! #@
.H&[& # #
/3@
.H&0& !
! !
G #!
# #
& > # 6 ! >
! !
@
.H&K& 6
! # ! 6
@
.H&U& /7!
6
6 &
D
/2& 6 ! 6 & 0.[(
! 6 &
/.& 6

&
//&
! !
!
&

42
 /3& 6
!
&
/7&
!
# 6 //! 0! !

&
6 # 6
@
6
@ > &
<
/[&
! 6
6 #
&
/0& ! 6 ! !
6 &
+ 6
< # ! ! !
6 ! 9
/K& !
6 !
& 5 6 6
6 6 !
* &
/U& I
!

! &
/H& 6 > &
! ! 6 ! &I

!
9$
1$2 &
'( ? 2BB;$
6
A
D + & & *
#
# -
#! > !
4&B
A # !
!
+&
=
A #B

43
 9A % +!
%
!
+ 4B9 ! !
A
&B

B > B >
A
+B 5 9
" !
"! %
! &4
-
+4
E( !

! &4&
5 & &
#
& * # & & # D #
+ !
!
& & #

&
> 5 #
& # 9
( ! #
& &@
(
1 ! !
( @
(
@
(
@
( # A B (
&
# 9
( @
( @
( # @
(

44
 & &@
(
E " "@
(
! #
&
D #> -<
4&

9$
1$9 )
REGOLAMENTO PER L'UTILIZZO DEI SERVIZI INFORMATICI AZIENDALI

Art. 1 - Oggetto
Questo regolamento ha per oggetto le norme per l'accesso e l'utilizzo dei
seguenti
servizi:
1) posta elettronica
2) rete Internet
3) sistemi informativi aziendali 4) computer aziendali

di seguito indicati nel loro complesso come" servizi informatici aziendali"

ed è rivolto ai dipendenti della AUSL autorizzati ed ai collaboratori esterni
espressamente autorizzati.
I servizi informatici aziendali sono regolamentati, oltre che dalle presenti
norme, dalla Richiesta di abilitazione ai servizi informatici aziendali,
allegata al presente regolamento e, in particolare, dal regolamento aziendale in
materia di trattamento dei dati personali.

Art. 2 - Incarico al trattamento dei dati personali

I servizi informatici aziendali sono strumenti di lavoro forniti dalla AUSL.
Gli utenti, dipendenti della AUSL e collaboratori esterni autorizzati sono
nominati, ai
sensi del D.Lgs. 196/2003, "incaricati del trattamento dei dati personali" a cui
hanno accesso o che sono trattati mediante i servizi informatici aziendali.

I dati possono essere trattati limitatamente alle operazioni indispensabili per

l'esercizio
delle funzioni degli incaricati.
Devono pertanto attenersi alle istruzioni di seguito specificate.
Per accedere ai servizi di posta elettronica, di accesso ad Internet e ai
sistemi informativi
aziendali il nuovo utente dovrà fornire i propri dati personali, prendere
visione del presente regolamento e compilare il modulo Richiesta di abilitazione
ai servizi informatici aziendali.
n modulo dovrà essere consegnato alla struttura aziendale deputata alla
creazione degli accessi ai sistemi o servizi di cui si richiede l'abilitazione,
firmato dal Responsabile della struttura organizzativa a cui l'utente
appartiene.
Nel caso dei sistemi informativi aziendali, il modulo dovrà essere firmato anche
dal Responsabile organizzativo dei sistemi o servizi di cui si richiede
l'abilitazione.
.Art. 3 - Identificazione dell'utente
L'utilizzo dei servizi informatici aziendali richiede, da parte di tutti
gli utenti, un codice
di identificazione personale (userid) ed una parola chiave segreta (password).
Sia nel caso di disattivazione del codice di identificazione personale che
nel caso in cui

45
l'utente si dimentichi la propria password, per riottenere l'accesso ai servizi
l'utente dovrà
compilare nuovamente il modulo Richiesta di abilitazione i servizi informatici
aziendali e consegnarlo al Servizio Acquisizione e gestione tecnologie
informatiche e di rete, firmato dal Responsabile della struttura organizzativa a
cui l'utente appartiene.
La password non potrà essere ceduta a terzi, neppure temporaneamente e
dovrà essere
mantenuta segreta.
Qualsiasi azione svolta sotto l'autorizzazione offerta dalla coppia userid e
password sarà attribuita in termini di responsabilità all'utente titolare del
codice userid, salvo che l'utente dia prova di illecito utilizzo della sua
autorizzazione da parte di terzi.
Non sono previsti codici di accesso anonimi.
L'utente deve conservare la password con la massima riservatezza e con la
massima
diligenza. La password non deve essere banale né contenere riferimenti
facilmente riconducibili all'utente. E' modificata da quest'ultimo al primo
utilizzo e successivamente almeno ogni due mesi.
L'utente non deve lasciare incustodita o facilmente accessibile la postazione di
lavoro, una volta collegata al sistema, e deve disattivare la sessione qualora
si debba allontanare dalla postazione di lavoro. Non deve rendere facilmente
accessibili informazioni concernenti la sua password.
Dopo sei mesi di non utilizzo dei servizi, o nel caso in cui l'utente perda la
qualità che gli consentiva di accedere ai servizi informatici aziendali, la
userid e la password vengono automaticamente disattivati. In quest'ultimo caso,
i messaggi di posta elettronica in giacenza vengono eliminati.
L'utente si impegna a comunicare immediatamente al Servizio Acquisizione e
gestione tecnologie informatiche e di rete l'eventuale furto, smarrimento,
perdita ovvero appropriazione a qualsivoglia titolo da parte di terzi della
password.
Nel caso di prolungata assenza dell'utente e in caso di urgenza, qualora si
renda necessario accedere alla posta elettronica o alla postazione di lavoro
dell' utente, a giudizio del responsabile dell'unità operativa, quest'ultimo
chiederà l'abilitazione al Servizio Acquisizione e gestione tecnologie
informatiche e di rete.
Art. 4 - Registrazione delle attività
Le operazioni effettuate servendosi di userid e password potranno essere
memorizzate
per finalità di sicurezza del sistema.
L'attività di registrazione avviene attraverso i file "log" di sistema a
cura del Servizio
Acquisizione e gestione tecnologie informatiche e di rete.
Per quanto riguarda l'accesso ai servizi di posta elettronica e internet, il
Servizio Acquisizione e gestione tecnologie informatiche e di rete garantisce la
custodia dei file "log" per 90 giorni on line e per 30 mesi su supporto ottico.
Le registrazioni potraIU1o essere utilizzate, su richiesta del Titolare o dei
Responsabili del trattamento dei dati personali, per valutare la qualità di
taluni servizi erogati dall' Azienda.
L'Azienda si riserva di effettuare dei controlli, anche a campione,
concernenti l'utilizzo
corretto degli strumenti di lavoro.Infine i log potranno essere oggetto di
provvedimenti dell' Autorità giudiziaria e amministrativa e in generale dei
soggetti aventi funzioni ispettive e di controllo.
Art. 5 - Configurazioni hardware e software
Le stazioni di lavoro utente vengono predisposte e configurate per il corretto
uso dei servizi informatici aziendali dal Servizio Acquisizione e gestione
tecnologie informatiche e di rete.
L'utente si impegna a mantenere la corretta configurazione della stazione di
lavoro che utilizza.

Nel caso in cui sia necessario "scaricare" ulteriori programmi informatici anche
gratuiti dalla rete, 1'utente dovrà formulare una richiesta al Servizio

46
Acquisizione e gestione tecnologie informatiche e di rete che provvederà a
consegnarli al richiedente.

Art. 6 - Modalità di prestazione dei servizi

L'AUSL si impegna a fornire continuità ai servizi erogati, riservandosi la
possibilità d'interromperli per le manutenzioni ordinarie. Qualora possibile le
interruzioni saranno comunicate agli utenti.
Per migliorare la qualità o la sicurezza dei servizi e dei sistemi informatici
attualmente predisposti, l'A USL valuterà con attenzione eventuali osservazioni,
suggerimenti ed indicazioni che gli utenti faranno pervenire al Servizio
Acquisizione e gestione tecnologie informatiche e di rete.
Art. 7 - Backup

Il Servizio Acquisizione e gestione tecnologie informatiche e di rete

provvede a]
salvataggio dei dati registrati tramite i sistemi informativi aziendali.
È fatto obbligo agli utenti di effettuare salvataggio dei dati memorizzati
sul computer
aziendale utilizzato, con frequenza almeno settimanale.
Il Servizio Acquisizione e gestione tecnologie informatiche e di rete a
questo scope
fornisce i dispositivi hardware necessari per il salvataggio dei dati su
supporto rimovibile.
Art. 8 - Pubblicazione di contenuti e realizzazione di siti personali
L'utente non è autorizzato in alcun caso a produrre ed a pubblicare siti
Web personali o
della struttura di appartenenza mediante la rete aziendale.
Ogni eventuale necessità di realizzare siti Web personali o di struttura
mediante rete aziendale dovrà essere espressamente autorizzata dal Servizio
comunicazione e marketing.
È fatto divieto agli utenti di utilizzare il logo aziendale nei siti
personali senza
autorizzazione dal Responsabile della comunicazione e marketing.
È fatto divieto agli utenti di inserire nei siti personali collegamenti (link)
aziendale senza autorizzazione dal Responsabile della comunicazione e
marketing.
Si applicano in ogni caso le norme dei Codici deontologici professionali.
È fatto assoluto divieto di realizzare funzioni di Hosting.

al sito
Art. 9 - Connessione a provider diversi da quello aziendale

È vietato l'utilizzo di accessi internet mediante Internet Provider diversi da

quello scelto ufficialmente dalla A USL e la connessione di stazioni di lavoro
aziendali alle reti di detti Provider, anche con abbonamenti privati.
L'utente è informato del potenziale rischio per la sicurezza dell' intero
sistema informativo aziendale connesso alla realizzazione di collegamenti con
tali Internet Provider.,

Art. 10 - Comunicazioni di massa

Ad eccezione di comunicazioni istituzionali, è consentito l'invio di messaggi ad

un
massimo di 50 indirizzi di e-mai!.
È vietato l'utilizzo di tecniche di "mail spamming" .
L'invio massivo di comunicazioni a liste di distribuzione aziendali, extra
aziendali o di
azioni equivalenti può essere effettuato esclusivamente dal Servizio
comunicazione e marketing, tramite la casella di e-mail tutti@ausl.bologna.it o
tramite strumenti idonei.
Art. 11 - Cessazione della disponibilità dei servizi informatici aziendali
Ai sensi del presente regolamento, la disponibilità dei servizi
informatici aziendali

47
cesserà nei seguenti casi:

1) qualora non sussistesse più la condizione di dipendente o di collaboratore

esterno; 2) qualora non fosse confermata l'autorizzazione all'uso fornita dal
Responsabile;

Qualora vengano accertati, secondo i procedimenti aziendali:

a) un uso non corretto dei servizi informatici aziendali da parte
dell'utente o
comunque un uso estraneo alla sua attività lavorativa;
b) manomissioni e/ o interventi sul hardware e/ o sul software;
c) diffusione o comunicazione imputabili direttamente o indirettamente
all'utente,
di password, procedure di connessione, indirizzo LP. ed altre informazioni
tecniche riservate;
d) accesso doloso dell'utente a directory, a siti e/ o file e/ o servizi
da chiunque resi
disponibili e in ogni caso qualora l'attività dell'utente comporti danno,
anche solo
potenziale al sito contattato;
e) violazione di quanto stabilito nel presente regolamento.
Si applicheranno le sanzioni contrattuali secondo le procedure previste, oltre
alle sanzioni eventualmente previste dalla normativa vigente.
Art. 12 - Informativa
Il Titolare del trattamento dei dati personali menzionati nell' art. 4 del
presente
regolamento è l'Azienda USL di Bologna.
I Responsabili del trattamento dei dati personali, a mezzo di strumenti
informatici,
sono:
- il Servizio Acquisizione e gestione tecnologie informatiche e di rete
per quanto attiene
alla gestione dei dati effettuata mediante i sistemi informativi aziendali,
circa le modalità tecnologiche e gli strumenti utilizzati per l'erogazione del
servizio, ivi compreso il profilo della sicurezza.
- le singole articolazioni aziendali, come individuate nel regolamento aziendale
sul trattamento dei dati personali, per quanto attiene alle decisioni riguardo
alla finalità ed alle modalità organizzative di utilizzo dei sistemi o servizi
di competenza. L'elenco delle articolazioni citate può essere consultato presso
il Servizio Acquisizione e gestione tecnologie informatiche e di rete.
- i terzi che, in relazione ai servizi chiamati ad espletare per conto
dell'Azienda, siano dalla stessa autorizzati all'utilizzo di sistemi informatici
aziendali. L'elenco dei terzi designati Responsabili può essere consultato
presso il Servizio Acquisizione e gestione tecnologie informatiche e di rete.
I diritti previsti dall'art. 7 del D. Lgs. 196/03 e in particolare il diritto di
conoscere i dati che riguardano l'utente,il diritto di aggiornarli e il diritto
di cancellare i dati eventualmente trattati in violazione di legge potranno
essere esercitati rivolgendosi al Servizio Acquisizione e gestione tecnologie
informatiche e di rete.
Alcuni esempi di applicazione del regolamento

. L'utente è direttamente e totalmente responsabile dell' uso che egli fa del

servizio di posta elettronica e di accesso a Internet, dei contenuti che vi
ricerca, dei siti che contatta, delle informazioni che vi immette e delle
modalità con cui opera.
. All' utente è consentito di utilizzare il servizio solo per ragioni
professionali
connesse alla propria attività, in modo individuale.
. L'utente sarà pertanto civilmente responsabile di qualsiasi danno
arrecato
all' Azienda, all'Internet Provider e/o a terzi in dipendenza della
mancata
osservanza di quanto sopra.

48
L'utente è informato del fatto che la conoscenza della password da parte di
terzi consente a questi ultimi l'accesso alla rete aziendale e l'utilizzo dei
relativi servizi in nome dell'utente e l'accesso ai dati cui il medesimo è
abilitato, con le conseguenze che la cosa può comportare, quali ad esempio la
visualizzazione di informazioni riservate, la distruzione o la modifica dei
dati, la lettura della propria posta elettronica, l'uso indebito di servizi,
ecc..
L'utente prende atto che è vietato servirsi o dar modo ad altri di servirsi
della rete aziendale e dei servizi da essa messi a disposizione per utilizzi
illeciti che violino o trasgrediscano diritti d'autore, marchi, brevetti,
comunicazioni private o altri diritti tutelati dalla normativa corrente, per
utilizzi contro la morale e l'ordine pubblico, per recare molestia alla quiete
pubblica o privata, per recare offesa o danno diretto o indiretto all' Azienda e
comunque a chicchessia.
L'utente - in quanto la legge lo cOl1$ente - si assume la responsabilità civile
per i propri fatti illeciti e per quelli commessi da chiunque utilizzi il suo
codice identificativo, con particolare riferimento all' immissione in rete di
contenuti critici o idonei ad offendere l'ordine pubblico o il buon costume.
9$
1$; )5
$,6. ) 6 )
Estratto da: Linee guida per lo sviluppo .NET sui sistemi della Regione Emilia-Romagna.

" < &5$+

&5$+ % $ (% &
Architettura di riferimento
5+% 5$+
Versione .NET Framework: 1.1 (v1.1.4322)
= 9" /" < ;= -; = 8 4
E 9 < I /222 A ( B
5+$%5$+
> &5$+= " E

Linguaggio di riferimento:
T
Convenzioni
A
; 8; B
Commenti
T &5$+= " E 9A
+ ; B&
Namespace
A PB
Sicurezza
; 9 &5$+
&
Applicazioni web ASP.NET
A
C " B C " - 4
A
C " B
- A
= B4 *

Applicazioni non web

5 " - C "= 4 >
2&
Utilizzo del DB Server
- ! " ; 4@ ;
)6)$ . $5( 0 8 &
^ _
Configurazione di SqlConnectionBroker

49
`
Chiusura delle connessioni e “data readers”
T& - ; !
4&
$ 9

^ _
5 ; % ! A B& `

^
,< _

I S I
D ! I &5 >
I - 4& + ;,&5$+ *
S !
^
`_
9
-> A S B4
- 4 * G - GA S
B4
* G +W G
- ;,4
> G
> G &

,0E5
I ! O &% !
%$%&+ & &< E & ! ! ! !
S ! !
&
Gestione delle eccezioni
< ! $W
&
)6)$
. $ 3 &

- ! 4&
; &
+ -
E4 -
# 4&
Utilizzo in una Web Application
^,< _
Utilizzo in una Console application
- # S 4 > "
! &
^
,< _
Utilizzo in una Windows Form application
> C " = !
`&

3&.&7&. & = " E

" E&5 > <
C " C &

50
 " ( @ - 4

( % ! % >
6 & $6

G !
a < & > 8 *
G !
&
& W # D &
# $- $W 4
- < N< 4
S ( ( -a+! 4
" E &
9
(M < V (M (M &
a+> 6 D >
& > ! !
88 8
&
&
6 #
& !
6
&
Sicurezza tecnologie .net framework
http://msdn.microsoft.com/library/ita/default.asp?url=/library/ITA/cpguide/html/cpconintroductiont
ocodeaccesssecurity.asp

51