Zaštita informacionih sistema - seminarski rad

ЗАШТИТА ИНФОРМАЦИОНИХ СИСТЕМА

СЕМИНАРСКИ РАД

САДРЖАЈ

УВОД ........................................................................................................................... 2 1. ЗАШТИТА ИНФОРМАЦИОНИХ СИСТЕМА .................................................... 3 1.1. Ризици од злоупотребе информационе технологије ........................................ 3 1.2. Компјутерски криминал...................................................................................... 6 2. ОБЛИЦИ ЗЛОУПОТРЕБЕ ИНФОРМАЦИОНЕ ТЕХНОЛОГИЈЕ ................ 7 2.1. Злоупотреба средстава информационе технологије ........................................ 7 2.2. Неовлаштена употреба софтвера и повреда права власништва ....................... 8 2.3. Саботаже и вируси .............................................................................................. 8 3. ОБЛИЦИ ЗАШТИТЕ ОД ЗЛОУПОТРЕБЕ ИНФОРМАЦИОНЕ ТЕХНОЛОГИЈЕ ...................................................................................................... 11 3.1. Заштита информационог система од приступа неовлаштених корисника ... 11 3.2. Антивирусна заштита и заштита тајности података ....................................... 14 4. ЗАШТИТА У УСЛОВИМА ЕЛЕКТРОНСКОГ ПОСЛОВАЊА ................... 18 4.1. Контрола повјерљивости ................................................................................... 18 4.2. Контрола приступа ............................................................................................. 21 4.3. Контрола интегритета, расположивости и немогућности порицања ............ 22 5. ИНФРАСТРУКТУРА ЈАВНОГ КЉУЧА ........................................................... 23 ЛИТЕРАТУРА ......................................................................................................... 26

1



УВОД У поглављу које слиједи упознаћемо опширну заштиту информационих система. Сама заштита нам довољно говори да је потребно спровести јаку заштиту информационог система. Данас су висруси брзом путањом јако напредовали, стога вам омогућавамо упутство за заштиту ваших рачунарских система. Није ријеч само о висрусима, ту је и заштита од злоупотребе информационе технологије и многе друге заштите. Важно је напоменути да је битна заштита неовлаштеног кориштења података.

2



1. ЗАШТИТА ИНФОРМАЦИОНИХ СИСТЕМА Све већи проблем и ограничавајући фактор развоја и примјена рачунарских система постаје безбједност информационих система. У пословним информационим системима рачунарске конфигурације су веома различите, те се у једном пословном систему могу користити: 

Велики рачунари за централну обраду;



Мањи рачунари за децентрализовано прикупљање и обраду података;



Персонални рачунари за аутоматизацију канцеларијског пословања. Са аспекта безбједности, свака од ових врста рачунара има специфичности које

се огледају у различитим организацијама рада ових система. 1.1. Ризици од злоупотребе информационе технологије Приликом дефинисања одговарајуће политике заштите информационог система, неопходно је извршити анализу ризика којима су информације изложене у свим фазама животног циклуса информационог система. Анализа ризика је добра претпоставка за успостављање добре политике управљања ризицима (Risk Management Policy). Генерално, ризик се може дефинисати као потенцијална опасност да нека предузећа активност доведе до нежељених посљедица. У складу са тим, информациони ризик представља опасност да примјена информационе технологије доведе до нежељених посљедица,тј. штета у пословном систему и његовом окружењу. Из тог разлога је неопходно управљати информационим ризицима према сљедећим начелима: 

Потребно

је

примјењивати

системску

методику

идентификације

свих

информационих ризика; 

Потребно је дефинисати адекватне процедуре евалуације озбиљности (тежине) и фреквенције (учесталости) ризика, и



Потребно је формулисати одговарајућу стратегију и тактику контроле над ризицима, као избор одговарајућих противмјера. Упркос формално далеко већем броју спољних извора ризика, емпиријска

истраживања показују да су у пракси далеко многобројнији напади на систем изнутра, 3



из саме организације. Тако нпр. неке процјене говоре да је однос приближно 70:30, а неке чак 80:20 у прилог напада изнутра (25). По свему судећи, ова друга процјена је ближа стварности, не само зато што долази из компетентнијег извора (CERT), него и зато што је прва процјена стара неколико година, а од тада су се ствари по питању сигурности информација битно промијениле. С обзиром на узрок, ризици могу бити објективни и субјективни. Објективни ризици произилазе из природе и законитости функционисања система у којем се информациона технологија примјењује, док субјективни ризици настају намјером појединаца или група или када се у систему не предузимају расположиве мјере заштите од објективних ризика. Против објективних ризика се тешко штитити и њих није могуће у потпуности избјећи. Субјективни ризици се могу у потпуности избјећи предузимањем одговарајаћих превентивних мјера у систему. ТИП УЗОРКА

УЗОРАК Менаџмент

Унутрашњи

Запослени Информациони систем Природне непогоде, виша сила Испоручиоци опреме Испоручиоци софтвера Добављачи услуга

Спољни

Конкуренција Кредитори, инвеститори Синдикати Државна управа Борци за заштиту околине Терористи, криминалци, хакери

МАНИФЕСТАЦИЈА Недоступност ресурса, неодговарајуће планирање и контрола Грешке, крађа, утаја, саботаже, корупција, неадекватно кориштење неовлаштења Кварови хардвера и помоћне опреме, грешке у софтверу Потрес, поплава, пожар, експлозија, екстремна температура Непоуздана или инкомпатибилна опрема, лоше одржавање Некоректан софтвер, неблаговремено пружање услуга Нестанак напајања, прекид комуникационих веза, неблаговремено пружање услуга Саботаже, шпијунажа, судске тужбе, финансијске шпекулације Неликвидност, инсолвентност Штрајкови, саботаже, опструкције Неповољне промјене у фискалној и монетарној политици Протести, опструкције, нежељени и негативни публицитет Уништење, оштећење и крађа имовине, пљачка, компјутерски вируси, саботаже, шпијунажа

Табела 1.1. Узроци и манифестације ризика од злоупотребе информационе технологије 4



У циљу проналажења одговарајућих начина минималицације могућих разлика, неопходно је развити и спровести примјерени скуп поступака, односно методологију управљања ризицима. Као и било који други управљачки процес, и процес управљања ризицима неопходно је пажљиво планирати. Таквим планом би требале бити обухваћене сљедеће активности: * Идентификација ризика – при идентификацији ризика се полази од слабости информационог система. Свака организација мора уочити недостатке заштите, те настојати дефинисати ризике, полазећи од њихових могућих извора; * Испитивање вјероватноће и квантификације ризика – када су идентификовани ризици којима је изложен информациони систем, носиоци заштитне политике морају покушати квантификовати тежину и фреквенцију ризика, односно процјенити вјероватноћу њиховог настајања у одређеном временском раздобљу; * Утврђивање приоритета ризика – квантификација ризика у виду вјероватноће претпоставка је за утврђивање приоритета предузимања одговарајућих противмјера; * Идентификација противмјера – врши креатор политике заштите на бази сугестија администратора заштите података, када су у питању техничке мјере и консултација са средњим и топ менаџментом организације; * Утврђивање односа трошкова и користи од примјене противмјера – трошковима се сматрају укупни трошкови припреме и предузимања одређене противмјере, док се користима сматрају трошкови који су избјегнути елиминацијом одређене врсте ризика; * Избор најприхватљивијих противмјера – врши се на бази процјене односа трошкова и користи за сваку од њих; * Имплементација изабраних противмјера – мјере које исказују ниже трошкове и веће користи кандидата су за имплементацију; * Дефинисање мјера отклањања потенцијалних штета – упркос предузетим противмјерама и даље су одређени ризици присутни. Из тог разлога се планом управљања ризицима морају дефинисати и мјере отклањања потенцијалних штета које ће настати као посљедица реализације ризика; * Контрола, ревизија и модификација плана поступка – на крају, планом управљања ризицима треба се утврдити и обавеза контроле над његовим извршавањем, те његове повремене ревизије и евентуалне модификације.

5



Ризици који пријете једном рачунарском систему су: -

Компјутерски криминал

-

Саботажа

-

Шпијунажа

-

Недовољна чистоћа у просторијама у којима су смјештени рачунари

-

Случајно или намјерно кварење рачунарских система

-

Разне временске непогоде.

1.2. Компјутерски криминал Компјутери су у раним фазама њиховог развића били неопходни за неке веће злоупотребе и то из два основна разлога: 

њихово кориштење је подразумијевало специјалну едукацију, тако да се њима бавио само релативно узан круг информатичких стручњака.



они су нису налазили у масовној употреби. Приликом дефинисања компјутерског криминала неопходно је имати веома

широк приступ који се мора заснивати на три основна елемента: 1. начину извршења 2. средству извршења 3. посљедици криминалног дјеловања Компјутерски криминал представља облик криминалног понашања, код кога се коришћење компјутерске технологије и информатичких система испољава као начин извршења кривичног дјела, или се компјутер употребљава као средство или циљ извршења. Облици компјутерског криминала су разноврсни и бројни: 

Крађа рачунарске опреме



Крађа рачунарског времена



Крађа софтвера ради неовлаштеног кориштења и продаје



Упадање у рачунарску комуникациону мрежу ради копирања и мјењања података



Копирање података из рачунарских центара бежичним путем



Проневјера запосленог особља у фирми 6



2. ОБЛИЦИ ЗЛОУПОТРЕБЕ ИНФОРМАЦИОНЕ ТЕХНОЛОГИЈЕ Противправне активности при којима информациона технологија служи као средство чињења или објекат напада представља информатички или компјутерски (рачунарски) криминалитет. Савремена правна теорија и судска пракса прихвата сљедећу класификацију компјутерског криминалитета: 1. Злоупотреба средстава информационе технологије 2. Неовлаштена употреба софтвера и повреда права власништва 3. Саботаже и вируси 2.1. Злоупотреба средстава информационе технологије Под злоупотребом средстава информационе технологије се подразумијевају криминалне радње у којима производи информационе технологије и подаци представљају објекат злоупотребе. Облици злоупотребе информационих ресурса се најчешће манифестују кроз сљедеће активности: 

манипулације улазним и излазним подацима;



манипулације системским и апликативним софтвером;



манипулација обрадом података у сврху добијања жељених,а нетачних података;



манипулација заштитних механизама ради њиховог слабљења или заобилажења;



манипулација преносом података у мрежним системима;



отуђење физичких носилаца података;



крађа података у преносу копирањем. Неопходно је истакнути да средства параинформационе технологије такође могу

бити објекат злоупотребе, а до сада су уочени примјери злоупотребе два типа ових средстава и то банкомата и интелигентних или паметних картица. Банкомати су злоупотребљавани на тај начин што су инсталисани лажни банкопмати постојећих финансијских институција, који су наизглад функционисали коректно. Циљ злоупотребе је био да се дође до тајне лозинке или личног идентификационог броја корисника банкомата меморисаног на банкомат картицама. Преступници банкомат повезују са својим рачунаром, те у његову меморију похрањују тајну лозинку заједно са јавним бројем банкомат картице. 7



Злоупотреба паметних картица (Smart Card) је најприје уочена код телефонских картица. Будући да оне немају власника, овдје се не ради о крађи података са картице, већ о фалсификовању картице због остваривања могућности бесплатног телефонирања. 2.2. Неовлаштена употреба софтвера и повреда права власништва Рачунарски програми представљају ауторско дјело и као што је то случај са свим осталим интелектуалним производима и патентима, тако и они подлијежу начелима заштите права власништва над интелектуалним производима. Неовлаштена употреба рачунарских програма и повреда права власништва данас представљају најчешћи облик информатичког криминалитета, а популарно се назива софтверским пиратством. 2.3. Саботаже и вируси Саботаже у подручју информационе технологије представљају криминалне радње које су усмјерене на привремено онеспособљавање или трајно уништавање информатичке опреме и података. Саботаже чине хакери и крекери. Хакери су преступници који углавном путем рачунарских мрежа неовлаштено улазе у туђи информациони систем и илегално остварују одређену корист. Крекери су преступници који неовлаштено улазе у туђи информациони систем, те помоћу софтвера изазивају материјалну или нематеријалну штету власницима или овлаштеним корисницима информационог система. У посљедњих неколико година велику опасност за информационе системе представљају компјутерски вируси. То су програми или програмски сегменти који имају својство размножавања и који се лијепе на регуларне системске или апликативне програме. Вируси се лијепе на рачунарски програм у вријеме његовог извођења, тако да могу преузети контролу при сваком његовом наредном извођењу. Узрокују потешкоће у раду рачунарског система или оштећења, односно уништење датотека програма и података. Вируси могу инфицирати друге програме модификујући их тако да у себе укључе и њихову копију. Зависно од начина обликовања могу се манифестовати одмах или послије одређеног времена.

8



По начину дјеловања разликују се сљедеће групе вируса: 1. Вируси пратиоци (Companion Virus) – рачунарски програми који прате регуларни програм и активирају се увијек када се програм којег прате активира, при чему изазивају тешкоће у његовом раду; 2. Везујући вируси (Link Virus) – илегални рачунарски програми који се везују за неку логичку функцију регуларних програма и активирају се само онда када се активирају те логичке функције; 3. Вируси паразити (Parasite Virus) – програмске рутине које се настањују у регуларни програм и узрокују трајне поремећаје у његовом раду. Слични њима су тзв. вируси бактерије који се размножавају по експоненцијалном закону, заузимајући,тј. ангажујући вријеме процесора и меморијски простор на диску или у оперативној меморији; 4. Вируси са више дијелова (Multi-Parite Virus) – вируси који се састоје од већег броја посебних програма који се лијепе на различите дијелове регуларних програма и дјелујући усклађено ометају нормалан рад регуларних програма. С обзиром на начин скривања у систему, вируси се дијеле у сљедеће групе: 1. Вируси са више облика (Polimorphic Virus) – вируси који се манифестују на различите начине у различитим условима и при томе узрокују различите поремећаје у раду регуларних програма; 2. Криптографисани вируси (Encrypted Virus) – програми на које је примијењен поступак енкрипције, што представља основу за могућност скривања; 3. Притајени вируси (Stealth Virus) – програми паразити који се активирају и почињу ометати рад регуларних програма само онда када се стекне одговарајући склоп околности или након истека одређеног времена. Пренос вируса или инфекција,тј.зараза се може остварити на различите начине, а најчешће се остварује путем информационих носиоца података, кориштењем већ инфицираних програма и уређаја путем комуникационих канала у рачунарским мрежама.

9



Структура вируса: 1. Обавезна компонента 2. Носива компонента 3. Функција за укидање Морамо правити разлику између класичних вируса, црва и тројанских коња. Класични вируси су данас ријетки, те се више сусрећемо са црвима. Црви за разлику од вируса немају прву обавезну компоненту, тј. не инфицирају друге програме, већ се шире мрежом и то најчешће путем електронске поште. Тројански коњ се за разлику од црва и вируса не шири сам, већ је за то потребно да корисник врши копирање на други рачунар. Они су често деструктивни и могу украсти информације са рачунара. Колекцију вируса који су тренутно у оптицају називамо "ITW" колекцијом (eng.In The Wild). Данас се можемо срести са око 200 вируса. Постоји и друга ЗОО колекција која обухвата све познате вирусе и малициозне програме.

10



3. ОБЛИЦИ ЗАШТИТЕ ОД ЗЛОУПОТРЕБЕ ИНФОРМАЦИОНЕ ТЕХНОЛОГИЈЕ С обзиром на чињеницу да на ризике од злоупотребе информационе технологије увијек треба рачунати, неопходно је осмислити одговарајући систем заштите од таквих покушаја. Систем заштите од злоупотребе информационе технологије би требао обавезно да обухвати три вида заштите: 1. Заштита инфорамционог система од приступа неовлаштених корисника; 2. Антивирусна заштита; 3. Заштита тајности података. 3.1. Заштита информационог система од приступа неовлаштених корисника Информациони систем одређене организације најчешће представља објекат напада од стране неовлаштених корисника, чија је намјера чињење одређене злоупотребе. Заштита информационог система се може посматрати са два аспекта: са аспекта организације на локалном нивоу и са аспекта окружења на глобалном нивоу. У сврху заштите информационог система на локалном нивоу могуће је примијенити мјере физичке и логичке заштите. Мјере физичке заштите су класичне мјере које се остварују путем физичких препрека приступу материјалним компонентама информационог система. Иако су ове мјере поуздане, оне нису довољне да у потпуности заштите информациони систем од приступа неовлаштених корисника. Мјере логичке заштите информационог система се остварују путем рачунара и одговарајућих софтверских рјешења. Могу се сврстати у двије групе: 

Активности идентификације корисника;



Активности провјере овлаштености или ауторизације корисника.

11



Поступак идентификације корисника у суштини представља провјеру да ли је корисник заиста она особа за коју се представља рачунару, односно информационом систему. Остварује се на два начина: као физичка идентификација корисника и као логичка идентификација корисника. Физичка идентификација полази од претпоставке да корисник посједује одређени предмет или има одређену генетску особину која га једнозначно разликује од свих осталих субјеката. Корисник се помоћу предмета или генетске особине представља рачунару, а рачунар врши провјеру идентификације корисника. Логичка идентификација се заснива на провјери тзв. лозинке (Password), чијим уносом се корисник представља рачунару. Лозинке могу бити: а) нумеричке (садрже као елементе само бројеве) и алфанумеричке (садрже све врсте знакова – и слова и бројеве); б) једноставне (састоје се од једног знака) и сложене (састоје се од више знакова); в) једнократне (могу се користити само једном) и вишекратне (могу се користити више пута); г) једносмјерне (лозинке које корисник уноси у рачунар и чека одговор) и интерактивне (лозинке које корисник уноси у дијалогу са рачунаром, по начелу питања и одговора); д) јавне (лозинке које су доступне свима без ограничења) и тајне (доступне су само неком или неким корисницима). У сложеним информационим системима користе се селективни системи корисничких овлаштења и њихове провјере. Посматрано са аспекта корисничких овлаштења, сваки информациони систем се састоји од два сегмента: отвореног и заштићеног сегмента. Отворени сегмент или предворје система представља сегмент информационог система који захтијева минимална овлашћења корисника. Заштићени сегмент система је допуштен само оним корисницима који имају посебна или додатна овлаштења. Интранет, као дистрибуирани информациони систем одређене организације заснива се на концепцији Интернета. Будући да је основна концепција Интернета отвореност према свим корисницима, интранет би такође требао бити отворен систем. Међутим, из тог разлога произилазе и ризици од потенцијалне злоупотребе интранета од стране неовлаштених корисника. 12



Средство заштите тајности информационог садржаја и процеса у интранету од неовлаштеног приступа из Интернета и злоупотребе је тзв. "ватрени зид" (Firewall). Firewall је рачунар програмиран на посебан начин, који остварује начело усмјерене потпуности интранета према Интернету, јер он омогућава неометан приступ интранету из Интернета само овлаштеним корисницима. Firewall представља уско грло између унутрашње и спољашње мреже, будући да сав комуникациони промет између тих мрежа мора пролазити преко њега. Унутар зоне заштићене ватреним зидом налазе се различити сервери (за Web и електронску пошту), рачунари на којима су инсталисане базе података те персонални рачунари корисника (слика1.1.).

Слика 1. Грађа Интранета

Извршавањем функције управљања прометом података између интранета и Интернета, Firewall контролише сву комуникацију која се одвија између двије мреже, те пропушта или блокира информације, зависно од тога како се поједине врсте информација класификују и третирају правилима информационе политике заштите пословног система у чијем је власништву Firewall. Ватрени зидови функционишу примјењујући три основне методе заштите: 1. Филтрирање пакета података (Packet Filtering) – Firewall одбија пропустити пакете података што долазе из спољних неовлаштених извора, те повезати унутрашње мрежне ресурсе са неовлаштеним услугама. 13



2. Превођење мрежних адреса (Network Adress Translation, NAT) – познато и под називом маскирање (IP Masquerading) је техника којом се рјешава проблем скривања интернетских рачунара. То је уствари делигирана функција гдје један интернетски рачунар упућује захтјеве према спољној мрежи у име свих осталих рачунара унутрашње мреже, скривајући тако њихов идентитет. Firewall поштом шаље све податке који се упућују са интернетских рачунара у спољну мрежу као да их шаље он сам. 3. Делигирање услуга (Proxy Service) – врши Firewall који функционише на слоју апликација OSI референтног модела. Он може потпуно одвојити комуникацију на мрежном слоју од комуникације на вишим нивоима, уз помоћ протокола као што су HTTP, FTP, SMTP. Већина ватрених зидова пружа и двије важне додатне услуге заштите: 

Услуге енкрибиране аутентичности (Encrypted Authentication) – у овом случају Firewall захтијева од корисника јавне мреже, тј. Интернета доказивање идентитета, како би им допустио приступ интранету са спољних локација;



Услуге енкрибираних тунела (Encrypted Тunnels) – Firewall успоставља сигурну везу између двије приватне мреже преко једног медија, као што је нпр.Интернет. Практично, сви ватрени зидови користе основне методе приликом пружања

својих услуга заштите. При томе се разликују њихове техничке перформансе. У неким случајевима исти уређај извршава све наведене функције, док у неким другим случајевима постоји више уређаја, од којих сваки извршава само неку или неке функције, али сви они морају да дјелују усклађено. 3.2. Антивирусна заштита и заштита тајности података Уношење рачунанарских вируса у информациони систем, било случајно или намјерно, увијек представља узрок потешкоћа у раду система, а могу довести и до тежих оштећења, односно уништења рачунарских програма и података. Најбоље ефекте дају мјере превентивне антивирусне заштите као што су избјегавање употребе програма непознатог или сумњивог поријекла, избјегавање преснимавања тзв. Shareware програма из Интернета, уколико они нису лиценцирани, тј. ако се не зна ко им је аутор; спречавање неовлаштених особа да копирају програме

14



из информационог система у који им није дозвољен приступ или да користе властите програме на рачунарима тог система. Уколико до заразе вирусима у информационом систему ипак дође, неопходно је примијенити мјере лијечења система. Технички најједноставнији је поступак реформатирања свих активних носилаца података и рачунарских меморија, односно њихово чишћење од свих постојећих садржаја, па тако и вируса. Мјере заштите могу се подијелити у сљедеће групе: 1. Организационе; 2. Техничке; 3. Комуникационе. Организационе мјере заштите се предузимају да се обезбиједи интегритет, расположивост и тајност података. Оне обухватају: 

услов за рад рачунара и особља



стручне кадрове



технологију обраде података



медијуме за чување података



правне аспекте заштите података Техничке мјере обухватају заштиту хардвера, софтвера, пренос и обраду

података. Могу се подијелити на: 

физичке



мјере заштите у рачунарском систему Физичка заштита треба да обезбиједи заштиту од:



неисправних инсталација



пожара



поплава



загађене околине



штетних зрачења



неуредног напајања електричном енергијом



неповољних климатских и температурних услова



елементарних непогода 15



Мјере заштите у рачунарском систему обухватају: 

заштита харвера



заштита системског и апликативног софтвера



заштита датотека са подацима



контрола радних поступака које морају да примјењују сви корисници услуга информационог система Мјере заштите у телекомуникационом преносу обухватају двије методе:



софтверску – шифрирање података и посебне протоколе



техничку – посебну опрему Мјере заштите података у телекомуникационом преносу чине посебну групу, а

врсте контроле подручја у рачунарско – комуникационој мрежи су: 

контроле поузданости и интегритета система



организационе контроле



контроле приступа



контроле интегритета података Циљ свих мјера заштите јесте обезбјеђење интегритета и поузданости пословног

информационог система. Поузданост система означава његову способност да се брзо и тачно обнови послије грешке и неправилног рада било које системске компоненте. Инфекције рачунарским вирусима, црвима или тројанцима могу се спријечити, а посљедице њиховог дејства ублажити или потпуно санирати примјеном квалитетног антивирусног програма. Постоје два смјера развоја претраживања антивирусних програма: 1. генерички 2. специфичан за поједине вирусе Генеричко претраживање се врши тражењем одређених особина вируса. Овако се не може идентификовати вирус, већ само генеричка малициозна активност. Претраживање специфично за поједине вирусе се врши тако што се у датотеци која се прегледа тражи одређени потпис који указује на вирус. Али овако се не може детектовати нови вирус, већ само они чији се потписи налазе у интерној бази. 16



Данашњи антивирусни програми користе обје методе у циљу препознавања малициозних програма. Претраживање вируса антивирусним програмом се може вршити на два начина: 

у стварном времену – врши се провјера сваке датотеке прије њеног извршавања



на захтјев корисника – прегледа хард диск. Антивирусни програми спречавају заразу тако што скенирају фајлове који су

покренути у потрази за кодом који би одао присуство вирусима. Већ заражене фајлове чисте тако што унутар зараженог фајла бришу код за који су сигурни да је вирус. Ако сте заражени неким новим вирусом о коме не постоји податак у интерној бази вашег антивирусног програма, он неће открити ништа или ће га открити као могући вирус који неће успјети да очисти јер не разликује остатак кода од правог програма у који се угнијездио вирус. Квалитет антивирусног програма се оцјењује на основу: 

брзине скенирања



способности да открије вирусе



лакоће инсталације



конфигурисања и ажурирања листе потписа познатих вируса Информациони систем мора предузети одређене мјере заштите тајности

података, односно информационог садржаја. Тај проблем се настоји ријешити на два начина: предузимањем мјера ограничавања доступности података и елемената информационог система и предузимањем мјера остваривања неразумљивости или смањење разумљивости иначе доступних података од стране неовлаштених корисника.

17



4. ЗАШТИТА У УСЛОВИМА ЕЛЕКТРОНСКОГ ПОСЛОВАЊА Заштита тајности података никада није био једноставан проблем, али сва његова тежина и значај долазе до пуног изражаја са појавом рачунарских мрежа, а нарочито Интернета и електронског пословања. Организације које се баве електронским пословањем морају проводити најмање пет врста контролних поступака: 1. Контрола повјерљивости (Confidentiality Control) 2. Контрола приступа (Access Control) 3. Контрола интегритета (Integrity Control) 4. Контрола расположивости (Availability Control) 5. Контрола немогућности порицања (Nonrepudiation Control) 4.1. Контрола повјерљивости Повјерљивост информација захтијева заштиту информационог садржаја од неовлаштеног увида и употребе од стране неовлаштених корисника. Заштита повјерљивости

информационог

садржаја

остварује

се

криптографијом.

Криптографија је метода остваривања заштите повјерљивости информационог садржаја на бази неразумљивости порука од стране оних субјеката којима поруке нису упућене. Научна метода која се бави изучавањем криптографских метода назива се криптологија. Криптоанализа је наука о остваривању разумљивости података од стране субјеката који су их примили, а нису требали. У систему у којем се примјењују криптолошке методе претпоставља се постојање сљедећих ентитета: пошиљалац поруке, изворна порука, криптографска метода, криптограм, овлаштени и неовлаштени корисник. Пошиљалац ствара изворнбу поруку, након чега је подвргава криптографисању помоћу одговарајуће методе и шаље овлаштеном кориснику, који је прима и декриптује. Све познате криптографске методе се могу подијелити у двије групе: а) Методе премјештања или транспозиције б) Методе кодне замјене или супституције

18



Методе премјештања (транспозиције) прикривају стварни информациони садржај

замјеном

мјеста

знакова

у

изворном

садржају.

Разликују

се

једнодимензионалне или линеарне и вишедимензионалне или матричне методе. Једнодимензионалне или линеарне методе изворни информациони садржај, тзв. отворени текст ремете одређеним поступцима како би измијенио изворни редосљед знакова. Вишедимензионалне или матричне методе организују отворени текст у дводимензионални или вишедимензионални облик или матрицу, а криптограм настаје ишчитавањем матрице на начин различит од његовог пуњења у матрицу. Методе премјештања су се у пракси показале сувише једноставним па су још у Старом Риму развијене прве методе кодне замјене, односно супституције. Користе се двије абецеде: изворна и кодна. Изворном абецедом се исказује отворени текст, а кодном криптограм. Прва метода је тзв. Цезарова метода, која као изворну абецеду користи латиничну абецеду у њеном природном редосљеду, а као кодну исту ту абецеду, али пермутирану за једно или више словних мјеста. Касније се Цезарова метода са помаком побољшала увођењем тзв. кључа. Кључ је низ знакова изворне абецеде, који може али и не мора имати неко значење, а поставља се као први приликом стварања кодне абецеде. Током времена развија се читав низ све сложенијих метода коден замјене попут Vigenoreova метода, Sestrieva метода, метода Playfair, Beassova метода, Delastelleova метода. Енкрипција је криптографски поступак који криптограм ствара у нумеричком облику. У пракси се најчешће користи комбинација већег броја метода премјештања и метода супституције, а поступак стварања криптограма одвија се у већем броју слиједних и понављајућих корака. Такви поступци се називају криптографским алгоритмима. Сваки криптографски алгоритам се може трансформисати у рачунарски програм, па из тога произилази да се криптографисање порука може остварити једноставно и брзо помоћу електронског рачунара. Да би се омогућила једноставнија примјена тих алгоритама у приватним и јавним комуникационим мрежама, 1975.године је развијен стандард за енкрипцију података. Овај стандард би требао да осигура постизање сљедећих циљева:

19



1. Гарантовано висок ниво поузданости 2. Једноставан за употребу 3. Криптографски алгоритам мора да буде јавног карактера, дакле познат и доступан свим заинтересованим корисницима 4. Прилагодљив за употребу у оквирима различитих апликација 5. Економичан при имплементацији и експлоатацији 6. Примјењив у сваком конкретном случају Стандард за енкрипцију података DES је енкрипцијски алгоритам који је развијен из криптографског алгоритма Lucifer, којег је почетком 1970-их година осмислила компанија IBM. DES спада у категорију блок-шифара, јер енкрибира податке у 64-битне блокове уз примјену 64-битног кључа. Конкретне методе замјене и премјештања знакова у изворној поруци ради стварања криптограма, као и редосљед њихове примејне одређује кључ (Key). Кључ је низ знакова, односно лозинка коју познају овлаштени учесници у размјени података, тј. пошиљалац и прималац. Назива се тајним кључем и не смије познат неовлаштеним корисницима.

Слика 2. Data Encryption Standard DES У јавним комуникационим мрежама у условима електронског пословања, енкрипцијски алгоритми у инфрастурктури јавног кључа који су се показали примјерени и довољно поуздани су сљедећи: 

RSA алгоритам, који је настао као акроним почетних слова презимена твораца алгоритама Ronalda L.Rivesta, Adija Shawira и Leonarda M.



PGP алгоритам



Група алгоритама заснована на сажецима 20



RSA алгоритам се може користити како за енкрипцију информационог садржаја, тако и за аутентификацију, односно утврђивање вјеродостојности садржаја или идентитета пошиљаоца. Дужина RSA алгоритма може бити између 40 и 1024 бита, а заснива се на примјени јавног и тајног кључа. PGP алгоритам је алгоритам за аутентификацију и енкрипцију информација у инфраструктури јавног кључа, који је изузетно популаран у Интернету, због своје робусности и поузданости, али и чињенице да је његова употреба у некомерцијалне сврхе од самог почетка била бесплатна. PGP систем користе практично сви Интернет сервиси и он представља изузетно квалитетно средство заштите тајности података у многим пословним примјенама Интернета, као што је електронска пошта, електронска размјена података и електронске финансијске трансакције. У употреби је и група алгоритама који се заснивају на сажецима. Сажетак поруке је низ знакова фиксне дужине, који се изводи из информације која може бити варијабилне дужине. 4.2. Контрола приступа Контролом приступа се аутентификује идентитет оног ко настоји приступити рачунарским или информационим ресурсима, те контролише употреба тих ресурса. Аутентификација представља провјеру вјеродостојности идентитета субјекта који тражи приступ неком систему или мрежи. Најпознатији механизми аутентификације корисника који су до сада развијени су сљедећи: 

Аутентификација заснована на статичним лозинкама – ово је основни облик аутентификације који се користи у савременим информационим системима. Клијент користи одређену идентификацију и лозинку како би се представио систему, а систем одржава лозинку у енкрибираном формату.



Аутентификација помоћу хардверских уређаја – ово је метода аутентификације при којој одређени уређај (Token) има у себи меморисане потребне идентификационе ознаке корисника, које могу послати на провјеру ради аутентификације систему којем се жели приступити.



Аутентификација заснована на динамичним лозинкама – има за циљ смањити ризик од крађе лозинки из мреже. Ова аутентификациона шема захтијева од корисника приликом сваке нове аутентификације унос нове лозинке, која је 21



различита од претходне кориштене. Генеришу их хардверски уређаји токени, који су претходно програмирани за сваког корисника. 

Биометријска аутентификација – заснива се на употреби физичких, односно физиолошких својстава корисника као средства за његову идентификацију.



Аутентификација заснована на јавним и приватним кључевима – у овом случају снажан механизам аутентификације представља инфраструктуру јавног кључа .

4.3. Контрола интегритета, расположивости и немогућности порицања Контрола интегритета штити податке или рачунарске ресурсе од било каквих намјерних или ненамјерних недопуштених измјена. Интегритет осигурава тачност и потпуност информација. Контрола расположивости подразумијева осигурање континуитета обраде података и расположивости информација. Смањењем или потпуним укидањем расположивости информационих или рачунарских ресурса утиче се на рад система и пословање организације, што може узроковати финансијске штете и смањење квалитета услуга пруженим клијентима. Контролом немогућности порицања се осигурава да корисници не могу порицати активности које су предузели. Примјер такве ситуације је када клијент у електронској трговини наручи неку робу, а касније је не жели примити, тврдећи да је није наручио. Такви инциденти се могу спријечити употребом дигиталног потписа.

22



5. ИНФРАСТРУКТУРА ЈАВНОГ КЉУЧА Организације

широм свијета

користе нову генерацију дистрибуираних

апликација, које им омогућавају испоруку производа и услуга путем интранета, екстранета и Интернета. Окружење у којем се имплементирају такве апликације мора бити стално расположиво и поуздано, како би клијенти организације осјећали повјерење, а сама организација могла користити све предности електронског тржишта. Основа за развој сигурних дистрибуираних апликација у таквом окружењу јесте инфраструктура јавног кључа која омогућава аутентичну, приватну и несметану комуникацију. Корисници прије него што се одлуче на размјену информација путем Интернета, захтијевају одређене механизме који ће им гарантовати не само интегритет података које шаљу Интернетом, него и онај ниво дискреције који им омогућава и традиционални начин обављања трансакција. Они желе да њихове електронске трансакције буду повјерљиве и заштићене од неовлаштених измјена. Криптографија помоћу јавног кључа осигурава повјерљивост осјетљивих информација или порука примјеном математичког алгоритма или кључа, којима се енкрибирају, односно шифрирају подаци, те повезаног математичког кључа којима се они декрибирају, односно дешифрирају. Најзначајнија компонента инфраструктуре јавног кључа јесте цертификациони ауторитет. То је тзв. трећа страна од повјерења која издаје дигиталне цертификате и управља цертификатима током њиховог цијелог животног циклуса. У електронском пословању користи се и низ мање значајних докумената који се преносе у електронском облику, а који такође морају бити на неки начин овјерени. То се може постићи примјеном технике дигиталног потписа, чиме ће учесници у неком послу моћи потврдити да су неки документ послали, а други да су га примили. Дигитални потпис је електронски идентификатор упоредив са традиционалним својеручним потписом, јединствен је, могуће га је верификовати и само корисник може идентифицирати његово генерисање. Да би се спријечило негирање дигитално потписаног уговора, електронски потписан документ мора укључивати одређене елементе и задовољавати услове:

23





мора јасно и детаљно одржавати исказану вољу свих уговорних страна за склапање уговора;



мора јасно указивати на чињеницу да су уговорне стране вољне преузети обавезе из уговора;



уговор мора бити аутентичан, без икаквих модификација.

Слика 3. Енкрипција помоћу јавног кључа

Слика 4. Дигитални потпис

Инфраструктура јавног кључа пружа сљедеће: 1. Повјерљивост – осигурава да само жељени примаоци могу читати поруке 2. Интегритет података – осигурава да се поруке не могу мијењати 3. Аутентификација – гарантује да су учесници у електронској комуникацији управо они којима и каквима се представљају 4. Немогућност порицања – онемогућава учесницима порицање учествовања у извршеној електронској трансакцији. 24



Квалитет инфраструктуре јавног кључа нарочито се огледа у томе што се функције енкрипције, декрипције и верификације идентитета обављају веома брзо и невидљиво за учеснике у комуникацији иако су ефекти готово исти као да се ради о потпуној и сигурној комуникација "face to face". Технологија инфраструктуре јавног кључа омогућава кориштење једног од два модела изградње такве инфраструктуре за потребе организације у окружењу електронског пословања. То су: 

Набавка самосталног софтвера инфраструктуре јавног кључа – у овом случају организација преузима потпуну одговорност за набавку и кориштење технологије, укључујући потребне рачунарске системе, телекомуникационе везе и

уређаје,

базе

података,

заштиту

свог

Web-сајта,

заштиту

мрежне

конфигурације, итд. 

Кориштење платформе интегрисане у инфраструктуру јавног кључа – овај модел гарантује услуге према начелу, подјелу инвестиционог оптерећења и подјелу ризика, те има далеко више изгледа на успјех. У овом моделу се комбинују софтвер и хардвер инфраструктуре јавног кључа који контролише организација, компатибилност са јавним апликацијама, те услуге управљања цертификатима и виталним дијеловима инфраструктуре које пружа за то специјализована институција.

25



ЛИТЕРАТУРА Проф.

др

Весна

Алексић–Марић,

проф.

др

Душанка

"ИНФОРМАЦИОНИ СИСТЕМИ", Економски факултет Бања Лука, 2005; Интернет: Заштита информационог система, 24.12.2009.

26

Стојановић,

Zaštita informacionih sistema - seminarski rad

Recommend Documents