You are on page 1of 345

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

1
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Zavod za primijenjeno računarstvo






Prof. dr. sc. Nikola Hadjina



ZAŠTITA I SIGURNOST INFORMACIJSKIH
SUSTAVA
(nastavni materijali sa zbirkom zadataka)
























Zagreb, srpanj, 2009.



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

2
Predavač: prof. dr. sc. Nikola Hadjina
Zavod za primijenjeno računarstvo

Sadržaj kolegija

Sadržaj po tematskim cjelinama:

1. Definiranje sigurnosti, problemi, ciljevi, načela i politika sigurnosti.
2. Analiza, upravljanje i nadzor rizika.
3. Kontrola pristupa i tokova - Matematički modeli sigurnosti
4. Osnove kriptografije. Protokoli, tehnike i algoritmi.
5. Arhitektura sigurnosnog sustava-osnovni moduli.
6. Postupci digitalne identifikacije i autentifikacije.
7. Sustavi za sigurnosno upravljanje i nadzor radnih tokova (WFMS).
8. Sigurnost i zaštita programa i operacijskih sustava. Povjerljivi sustavi.
9. Standardi i kriteriji vrednovanja sigurnosti i povjerljivosti sustava.
10. Sigurnost baza podataka.
11. Sigurnost računalnih mreža i distribuiranih sustava.
12. Transakcijska obrada u višerazinskim sigurnosnim bazama podataka.
13. Sustavi za detekciju sigurnosnih proboja (IDS).
14. Upravljanje i nadzor sigurnosnog sustava (ISMS ).
15. Upravljanje sigurnosnim incidentima i kontinuitet poslovanja (BCMS)
16. Zakonski i etički aspekti sigurnosti.

LITERATURA ZA KOLEGIJ:

1. Charles P. Pfleger, “Security in Computing”, Prentice Hall PTR, 1997
2. Schneier, B., “Applied Cryptography”, (2
nd
ed.), Wiley 1996.
3. S. Castano, M. G. Fugini, G. Martella, P. Samarati, "Database Security", ACM Press, 1995
4. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4
th
edition,
CRC Press LLC, 2000
5. Menzies, A.J., von Oorschot, P.C., and Vanstone, S.A. “Handbook of Applied Cryptography”,
CRC Press, NY, 1996.
6. Douglas R. Stinson, “Cryptography: Theory and practice”, CRC Press, 1995.
7. Deborah Russell, G.T. Gangemi Sr., “Computer Security Basic, O’Reilly & Associates, Inc.,
1991
8. Steven L. Shaffer, Alan R. Simon, “Network Security”, Academic Press, Inc, 1994
9. Glen Bruce, Rob Dempsey, “Security in Distributed Computing”, Prentice Hall PTR, 1997
10. Simson Garfinkel, Gene Spafford, “Web Security & Commerce”, O’Reilly & Associates, Inc.,
1997.
11. Richard Barkserville, “Designing Information System Security”, John Wiley & Sons, 1988
12. Sushil Jajodia, "Data Base Security XII", Status and Prospects, Kluwer Academic Publisher,
1999
13. V. Atluri, S. Jajodia, B. George, "Multilevel Secure Transaction Processing", Kluwer Academic
Publisher, 2000.




Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

3
1. DEFINIRANJE SIGURNOSTI, PROBLEMI, CILJEVI, NAČELA I
POLITIKA SIGURNOSTI


Stanje i problemi:

- Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih
prijevara, špijunaže, sabotaže, vandalizma, požara, poplave i sl.
- Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i
uskraćivanja usluge je sve prisutnija pojava.
- Financijski gubici vezani na sigurnosne upade povećavaju se iz godine u godinu i
iznose bilione dolara.
- Oko 60% napada se događa izvana( kroz Internet), a oko 40% napada dolazi iznutra.
- U vrijeme globalne ekonomije, stalnih promjena rizika kojima su izložene tvrtke,
uspostave suradnje među tvrtkama, on-line trgovine informacijska sigurnost postaje
sve više poslovni problem koji treba omogućiti i unaprijediti poslovanje.
- Tvrtke se bore sa zahtjevima regulatora (banke, telekom operatori,..), ekonomskim
uvjetima te upravljanjem rizicima.
- Uloga informacijske sigurnosti nažalost još nije dovoljno definirana u mnogim
tvrtkama.
- Iako mnogi vide informacijsku sigurnost kao mjesto troška može se pokazati i
dokazati da tvrtke koje ispravno upravljaju s informacijskom sigurnošću postižu
kvalitetno, racionalno i učinkovito svoje poslovne ciljeve.
- Sigurnosti informacijskih sustava može biti od presudne važnosti kako bi se ostvarila
i zadržala konkurentnost, osigurao dotok novca i profitabilnost, kako bi se zadovoljile
zakonske norme i osigurao poslovni ugled, te konačno kako bi organizacija preživjela
na tržištu.
- Informacijska sigurnost pored ovih navedenih ciljeva treba svoriti i priliku za
planiranje i ostavrenje novih poslovnih ciljeva, te kao takva mora biti integralni dio
korporativnog upravljanja i poslovnog planiranja.

Informacijska sigurnost i sigurnost informacijskih sustava

Osnovni pojmovi

- Podatak
- Informacija
- Računalni sustav
- Informacijski sustav

Informacija je poslovna imovina

Atributi:
- Povjerljivost (tajnost) .
- Točnost
- Raspoloživost


Faktori koji imaju utjecaj, odnosno ugrožavaju, informacijsku sigurnost:
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

4

- Prekid
- Presretanje
- Izmjene
- Produkcija


Informacijska sigurnost u kontekstu




Sigurnost je poslovni proces

Sigurnost je proces smanjenja rizika ili vjerojatnosti nastajanja štete.

Neki od aspekata informacijske sigurnosti o kojima treba voditi računa ovaj poslovni proces
su:

- Pristup
- Identifikacija
- Autentifikacija
- Autorizacija

Informacijska sigurnost je poslovni zahtjev

Dodatni aspekti informacijske sigurnosti:

- Odgovornost
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

5
- Podizanje svijesti
- Administracija (upravljanje)

Izgradnja plana informacijske sigurnosti

Pet glavnih faza svakog Plana informacijske sigurnosti su:

- Inspekcija
- Zaštita
- Detekcija
- Reakcija
- Refleksija

Informacijska imovina

Informacijska imovina su sva ona sredstva koja uskladišćuju informaciju, prenose
informaciju, kreiraju informaciju, koriste informaciju ili su informacija sama za sebe. Takvu
imovinu predstavljaju i informacijski sustavi.

Sredstva organizacije se mogu stoga grupirati u slijedeće kategorije:

- Ljudi
- Posjed
- Informacija
- Infrastruktura
- Reputacija


Odnos sigurnosti računarskih sustava i informacijskih sustava

Sigurnost računarskih sustava najčešće podrazumjeva sigurnost u okviru tehničke
arhitekture, računala, mreže i komunikacije, dok sigurnost informacijskih sustava
obuhvaća puno šire područje, koje uključuje izgradnju, implementaciju i korištenje
informacijskih sustava, što je direktno povezano sa poslovnim procesima i
organizaciojom tvrtke, osobljem , zakonima i cjelokupnim društvom.


Prema tome razvoj je išao od tehničkih rješenja (IT orijentacije ) prema poslovnim potrebama
i zahtjevima organizcija i ostvarenju njihovih poslovnih ciljeva :

 Sigurnost računala (Computer Security -1970)
 Sigurnost podataka (Data Security - 1980)
 Sigurnost informacija, Informacijska sigurnost (Information Security - 1983)
 Sigurnost informacijskih sustava (IS Security - 1988)
 Sigurnost poslovanja (Enterprise protection – Enterprise Security Architecture,
Industrial Security - 1995)

Osnovne grupe razvoja sigurnosti mogu se podijeliti na:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

6
 IT orjentirana sigurnost
 Poslovno orjentirana sigurnost
(informacijska sigurnost je poslovni problem, čije rješenje unapređuje poslovanje)

Računlna sigurnost, informacijska sigurnost i sigurnost informacijskih
sustava

Što je računalna sigurnost ?

- privatnost,
- ograničenje fizičkog pristupa,
- raspoloživost aplikacija,
- mrežna povjerljivost,
- integritet sadržaja (podataka i programa)
- politika pristupa.

Sigurnost je u biti upravljanje rizicima.

Što je i što nije informacijska sigurnost ?

Pogledi na sigurnost (informacijske operacije, zaštitu informacija i ostavrenje ciljeva
poslovanja)

→Informacijska sigurnost se ponekad povezuje sa informacijskim operacijama koje štite i
brane informacijski sustav kako bi osigurale njegovu raspoloživost, integritet,
autentifikaciju, povjerljivost (tajnost) i neporecivost. Informacijska sigurnost također
uključuje oporavak informacijskih sustava kroz uključene sposobnosti za zaštitu, detekciju i
reakciju.

→Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja
kontinuiteta poslovanja, smanjenja poslovnog rizika i povećanja prihoda od investicija i
poslovnih prilika. Informacijska sigurnost postiže se primjenom odgovarajućeg skupa
kontrola, uključujući politike, procese, procedure, organizacijske strukture i softverske i
hardverske funkcije

→ Omogućiti ostvarenje ciljeva poslovanja na siguran način, u kojem su zadovoljeni
regulatorni i sigurnosni zahtjevi kroz ugradnju odgovarajućih kontrola, upravljanje
rizicima, te kroz podizanje sigurnosne kulture i svijesti u organizaciji.


Stoga je informacijska sigurnost:

• Način razmišljanja
• Beskonačan proces
• Upravljanje rizikom
• Jamstvo poslovnog uspjeha
• Odgovornost svakog zaposlenika


Informacijska sigurnost nije:
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

7

• Odgovornost samo IT-a
• Problem koji se rješava samo tehnologijom
• Konačno odredište – 100% sigurnost nije moguća

Filozofija informacijske sigurnosti je dakle sadržana u slijedećem:

• Važnost i kritičnost informacija se stvara u glavama poslovnih ljudi a ne u njihovim
sustavima
• Sveopći pristup (holistički) sigurnosti je preduvjet za informacijksu sigurnost
• Sama tehnologija i alati ne mogu osigurati kompletno rješenje sigurnosti
• Ljudi su najveći problem u implemetaciji informacijske sigurnosti
• To je proces , a ne proizvod, koji nikada ne završava.


Što je sigurnost informacijskih sustava ?

Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u
obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i
raspoloživosti, te radi sprječavanja gubitaka cjelovitosti ili raspoloživosti samih sustava.


“Jedini informacijski sustav koji je zaista siguran je onaj koji je ugašen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okružen nervnim
plinom i dobro plaćenima naoružanim čuvarima. Čak ni tad, ne bih se baš kladio na
njega.”

Eugene Spafford
Direktor Computer Operations, Audit and Security Technology (COAST)
Purdue University

Glavni ciljevi u istraživanju računalne sigurnosti su:

- ispitivanje sigurnosnih rizika u računarstvu
- razmatranje raspoloživih zaštitnih mjera i kontrola
- stimuliranje razmišljana o neotkrivenim ranjivostima i prijetnjama
- identifikacija područja u kojima se zahtjeva više rada na postizanju bolje sigurnosti.


Ranjivost, prijetnja i rizik

Ranjivost (engl. vulnerability) – stanje, nedostatak ili slabost u sigurnosnim procedurama,
tehničkim kontrolama, fizičkim ili drugim kontrolama sustava, dizajnu i implementaciji tih
kontrola i procedura koja se može iskoristiti, slučajno ili namjerno aktivirati i eksploatirati,
što može rezultirati povredom sigurnosti i/ili sigurnosne politike, koja prouzrokuje operativne
i financijske gubitke za organizaciju.


Prijetnja (engl. threat) - mogućnost izvora prijetnje da iskoristi neku ranjivost slučajnim ili
namjernim aktiviranjem i eksploatacijom.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

8


Rizik se prepostavlja od strane vlasnika ili administratora sustava, a to je vjerojatnost da
sustav neće biti u mogućnosti provoditi sigurnosnu politiku., uključujući i kontinuiranost
kritičnih operacija u toku izvođenja napada.

Rješenja:
- izbjegavanje
- upravljanje
- prihvaćanje
- transfer


Rizik = F(prijetnji,ranjivosti, vrijednosti informacijske imovine, sigurnosne kontrole)


Svojstva računarskih upada


Princip najlakšeg upada

Vrste sigurnosnih proboja (upada)

- prekid,
- presretanje,
- izmjene i
- produkcija.


Ciljevi sigurnosti računarskog/informacijksog sustava

- Autentifikacija (Autentification)
- Kontrola pristupa (Access control
- Nadzorni zapisi (Audit trail)
- Povjerljivost (Confidentiality)
- Cjelovitost (Integrity)
- Raspoloživost (Availability
- Neporecivost (Nonrepudtaion)

Računarska sigurnost u užem smislu, općenito, sastoji se od održavanja tri sigurnosna
svojstava:
- povjerljivost (tajnost/privatnost),
- cjelovitost i
- raspoloživost.

Povjerljivost

Povjerljivost zvuči prilično jasno; samo ovlašteno osoblje može vidjeti zaštićene podatke.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

9
Cjelovitost

Neka značenja cjelovitosti su:

- Točnost (precise)
- Ispravnost (accurate)
- Neizmjenivost
- Izmjenjivost samo na prihvatljiv način
- Izmjenjivost samo od starne ovlaštenih osoba
- Izmjenjivost samo od ovlaštenih procesa
- Konzistentnost
- Unutarnja konzistennost
- Značajni i ispravni rezultati

Raspoloživost

Očekivanja:

- prisutnost objekta ili usluge u upotrebljivom obliku
- kapacitet koji zadovoljava potrebnu uslugu
- napredak: ograničeno vrijeme čekanja
- odgovarajuće vrijeme izvršenja usluge

Ciljevi raspoloživosti su:

- vremenski odziv
- prihvatljiva dodjela veličine sistemskog resursa
- neosjetlivost na greške
- korisnost ili upotrebljivost ( može se koristi kao namjeravana)
- nadzirana paralelnost-konkurentnost: potpora istovremenim pristupima, kontrola
potpunog zastoja, ekskluzivni pristup ( ako se zahtjeva).

Odnos između povjerljivosti, cjelovitosti i raspoloživosti













Povjerljivost
Cjelovitost
Raspoloživost
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

10

Ranjivosti računarskog/informacijskog sustava


- Za računalne kriminalce ranjivosti informacijskih sustava i mreža su skriven, ali vrlo
vrijedan podatak i imovina.
- Nove ranjivosti pojavljuju se svakodnevno zbog grešaka u softveru, hardveru, u
konfiguriranju aplikacija i IT-a te zbog grešaka ljudi.
- Svaki poslovni sustav povezan na Internet je izložen riziku zbog mrežne ranjivosti.


Od kuda dolaze ranjivosti ?

- Greške u programiranju uzrokuju mnoge ranjivosti u softveru. Uobičajena greška je ne
provjeravanje veličine spremnika podataka (eng. data buffers).
- Javno dostupni i publicirani programi
- Kvaliteta programskog koda
- Implementacija nerobustnih Internetskih protokola
- Nepravilno konfigurirane sigurnosne aplikacije (sigurnosna stijena),
- Neadekvatno korištenje mobilnih uređaja (bez VPN-a,..)




Ranjivosti računarskog sustava












Princip adekvatne zaštite: Računarska sredstva (informacijska imovina) moraju se
zaštiti samo do vremena do kada one gube vrijednost. Ona se moraju zaštiti sukladno s
njihovom vrijednosšću.



HARDWARE
PROGRAMI PODACI
Presretanje
(krađa)
Prekid
(Sprečavanje usluga)
Prekid
(Brisanje)
Presretanje
Izmjene
Prekid
(gubitak)
Presretanje
Izmjene
Produkcija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

11
Ostala izložena sredstva računarkog/informacijskog sustava

- Medij za uskladištenje podataka
- Mreže
- Ključno osoblje
Prijetnje informacijskoj sigurnosti - Identifikacija prijetnji

Vrste prijetnji

Postoje četri opće vrste prijetnji u uvjetima računalnih/informacijksih sustava:

1. Prirodne prijetnje
2. Nenamjerne prijetnje (nesreća)
3. Namjerni (ljudski) aktivni napadi
4. Namjerni (ljudski) pasivni napadi

Prirodne prijetnje



Vrsta prijetnje

Individualna
prijetnja (izvor
prijetnje)
Usputne (posredne)
prijetnje
Učinci prijetnje
(događaj prijetnje)
Geofizička nesreća Potres, vulkanske
aktivnosti, poplave
Požar, pomicanje tla,
ispuštanje plina ili kem.
tekućina, ispad napajanja
Uništenje uređaja ili
oštećenje (prekid)
Vremenski ovisne
nesreće
Hariken, tornado,
tajfun
Polave, požari, nesreće,
ispuštanje plina i kem.
tekućina, ispad napajanja
Gubitak ili
degradacija mreže i
komunikacija,
uništenje uređaja i
informacija (prekid)
Meterološke nesreće Atmosferske
neprilike, snijeg,
vjetar, oluja,
grmljavina, visoke
ili niske temperature
Poplave, nesreće, ispad
napajanja,
elektromagnetski impulsi
Gubitak ili
degradacija
komunikacija,
uništenje uređaja i
informacija (prekid)
Sezonski fenomeni Vremenski
ekstremi, šumski
požari
Poplave, požari, nesreće,
ispad napajanja
Gubitak ili
degradacija mrežnih
komunikacija,
uništenje uređaja i
informacija (prekid)
Astrofizički
fenomeni
Sunčani fenomen,
(sunčane rupe)
Gubitak ili
degradacija satelitske
veze (prekid)
Biološki fenomeni Bolesti i divljaštvo Nesreće Oštećenja na
uređajima i osoblju
(prekid)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

12

Nenamjerne prijetnje

- Korisničke pogreške
- Operaterske pogreške
- Pogreške administriranja (specijalnih komponenti ili programa konfiguracije )
- Greške pripreme podataka
- Greške izlaza
- Greške računalnih sustava
- Komunikacijske pogreške
- Greške aplikacijskih programa

Druge nenamjerne prijetnje mogu uključiti slijedeće:

Vrsta prijetnje

Individualna
prijetnja (izvor prijetnje)
Učinci prijetnje
(događaj prijetnje)
Transport Avionska, željeznička,
kamionska i automibilska
nesreća
Uništenje uređaja i
informacija (prekid)
Industrija Ispuštanje plina, kem.
izlijevi, radioaktivno
zračenje, požari, eksplozije,
prekidi u snabdjevanju
energijom
Oštećenje ili uništenje
mrežnih uređaja i
informacija, te gubitak
mogućnosti obrade (prekid)
Okolina Šumski požari, poplave,
onečišćenje zraka,
epidemija
Degradacija i uništenje
uređaja, usluga i
informacija (prekid)
Uređaji Greške mrežnih uređaja,
greške u podršci
softwarea/hardwarea
Degradacija i destrukcija
mrežnih uređaja, usluga i
informacija


Namjerni aktivni ljudski napadi


Vrsta prijetnje Individualne prijetnje (izvor
prijetnji)
Učinci prijetnji (događaj
prijetnje)
Građanska neposlušnost Protesti, neredi, sindikalne
demonstracije
Onemogućavanje dolaska
na posao, oštećenja uređaja
i osoblja (prekid)
Neovlašteni pristup Povjerljivi personal,
neovlašteni personal,
korisnička njuškala
Gubitak, manipulacija,
oštećenje ili otkrivanje
podataka (prekid,
presretanje, izmjene)
Sabotaža Terorizam, bombardiranje,
modifikacija programa,
vandalizam na uređajima
Destrukcija ili oštećenje
ciljanog uređaja i osoblja
rezultira u gubitku usluga
(prekid)
Gomilanje prometa Uvođenje lažnog prometa Gubitak ili degradacija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

13
na mreži, povećana
frekvencija dodjele na
mreži, uvođenje up-link i
down-link gomilanja
veze/mreže i gubitak
usluga/podataka, DoS
napad (prekid)


Namjerni pasivni ljudski napadi

Vrsta prijetnje Individualne prijetnje
(izvor prijetnji)
Učinci prijetnje (događaj
prijetnje)
Elektromagnetsko zračenje Kablovi, zemaljske linije,
mikrovalovi, računala,
mrežne komponente
Neovlašteno oslobađanje
informacija ( presretanje)
Priključak na liniju ili
prisluškivanje
Kablovi, zemaljske linije,
mikrovalne veze
Neovlašteno oslobađanje
informacija ( presretanje)
Otkrivanje osjetljivih
informacija
Gubitak prozveden od
strane personala, nepravilno
označavanje informacija,
nepravilno rukovanje
informacijama, zloupotreba
mrežnih sredstava
Neovlašteno oslobađanje
informacija ( presretanje)

Kategorije prijetnji


- Odbacivanje usluga (DoS - Denial of Service)
o Fizičko uništenje mrežnog segmenta ili podmreže
o Neoperabilnost mrežnih segmenata ili podmreža zbog greške uređaja,
greške programa ili sabotaže
o Degradacija performansi zbog zasićenja sustava, zbog grešaka na liniji, ili
zbog vanjskih faktora (vremenske prilike)
o Ovlašteni korisnici sprečavaju fizički pristup mrežnim uređajima i
uslugama IS-a
o Svi drugi uvjeti koji izazivaju neraspoloživost IS-a ovlaštenim korisnicima

- Neovlašteno otkrivanje
o Nenamjerno otkrivanje može biti izazvano od korisnika, operatera, kod
pripreme podataka, grešaka izlaza, grešaka sustava ili grešaka u
komunikaciji
o Kršenje postavljenih procedura za kontrolu pristupa (ovlaštenja)
o Zlonamjerne akcije personala
o Aktivni pokušaji (napadi) ovlaštenog personala da pristupe osjetljivim
informacijama

- Neovlaštene modifikacije
o Osoblja (djelatnici - insideri) koje aktivno rade na sabotaži ili prekidu rada
mrežnih operacija ili usluga IS-a.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

14
o Osoblje (djelatnici - insideri) koje nenamjerno interferira sa IS-om,
mrežnim operacijama i uslugama
o Vanjsko osoblje - outsideri (hakeri, krekeri, računalni kriminalci,..)

- Prijetne na LAN komunikacije
- Prijetnje na WAN komunikacije
- Uključeno osoblje
o Amateri
o Krekeri/hakeri
o Računlni kriminalci


Model sustava informacijske sigurnosti


Poslovni model

Programi informacijske sigurnosti trebaju uzeti u obzir kako su tvrtka, njezino osoblje,
procesi i tehnologija međusobno povezani i kako međusobno djeluju , te kako vođenje i
upravljanje tvrtkom (governance), kultura, ljudski faktor i arhitektura podupiru ili
otežavaju mogućnost tvrtke da zaštiti svoje informacije i upravlja rizikom koji dovodi do
kršenja informacijske sigurnosti i sigurnosti IS-a

Struktura modela

Model je orijentiran prema poslovnom rješenju upravljanja informacijskom sigurnošću.
Njegova potpunost i dinamičnost čini ga da informacijska sigurnost bude predvidiva i
proaktivna.

Struktura modela dana je na donjoj slici:

USC - University of Sothern California
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

15

Kao što slika prikazuje to je trodimezionalni oblik piramide koji se sastoji od četiri elementa i
i šest dinamičkih međuveza. Svi aspekti modela međusobno su povezani. Ukoliko se bilo koji
dio modela mijenja ili se upravlja na neodgovarajući način to izaziva neravnotežu modela
koja predstavlja potencijalni rizik..


Elementi modela

1. Dizajn tvrtke i strategija
2. Ljudi
3. Proces
4. Tehnologija

Dinamičke međuveze

1. Vođenje i upravljanje (Governing)
2. Kultura
3. Omogućavanje i podrška
4. Nastanak (Emergence)
5. Ljudski faktori
6. Arhitektura

Upotreba modela

- Zakonski i regulatorni zahtjevi
- Globalizacija
- Rast i proširenja
- Organizacijske sinergije
- Pojava i razvoj novih tehnologija
- Ekonomija tržišta
- Ljudski resursi
- Sve prisutne izmjene prijetnji i ranjivosti
- Inovacije


Konceptualni model - sigurnosna arhitektura ( razrada poslovnog modela-

Potpuni model sigurnosnog sustava sastoji od pet cjelina:

- Poslovne i sigurnosne strategije
- Organizacijskog sustava
- Sustava upravljanja
- Tehnološkog sustava
- Vrednovanja sigurnosnog sustava


Ovaj model dan je na slijedećoj slici.



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

16

Poslovna strategija i ciljevi
Sigurnosni zahtjevi
Sigurnosna strategija i ciljevi
Organizacijaska struktura
Podjela posla - role
Edukacija korisnika

Organizacijski sustav
Upravljanje propisima
Upravljanje sredstvima
Upravljanje rizikom
Upravljanjem tehnologijom

Sustav upravljanja
Ocjena funkcionalnosti
Validacija i autentifikacija
Kontrola pristupa
Integritet podataka
Povjerljivost podataka
Anti DoS


Zaštitna funkcionalnost
(Sigurnosni servisi i sigurnosni
mehanizmi)
Funkcionalnost detekcije sigurnosnih incidenta
Funkcionalnost odgovora na sigurnosne incidente
Funkcionalnost oporavaka od sigurnosnih incidenata




Tehnološki sustav
Vrednovanje sigurnosnog sustava


Principi sigurnosti informacijskih sustava

Organizacija za ekonomsku suradnju i razvoj (engl. The Organisation for Economic
Cooperation and Development - OECD ) je ustanovila 9 principa sigurnosti informacijskih
sustava:

- Svijest o informacijskoj sigurnosti
- Odgovornost
- Odziv
- Etika
- Demokracija
- Procjena rizika
- Dizajn i implementacija sigurnosnih mjera
- Upravljanje sigurnošću
- Procjenjivanje
Sigurnosni principi (načela) za izgradnju sigurnosnih mjera

 Odgovornost i nadzor (Accountability)
 Namanje privilegije

 Minimiziranje raznoličnosti, veličine i složenosti povjerljivih komponenti
 Podrazumjevana sigurnost (default )
 Obrana po dubini
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

17


Metode obrane (zaštite) / Kontrole - Sigurnosni mehanizmi-mjere

U projektiranju i izgradnji sigurnosnih mehanizama potrebno je rukovoditi se nekim
osnovnim principima i operacijama koje su svojstvene za većinu sigurnosnih
mehanizama:

 Definiranje domena

 Povezivanje korisnika s domenama

 Ovlaštene (autorizirane) operacije

 Operacije nadzora i upravljanja(Auditinig)

 Kriptografija (enkripcija/dekripcija)


Kontrole

U nastavku dat ćemo pregled kontrola ili kontrolnih mjera koje će pokušati spriječiti
korištenje ranjivosti računarski/informacijskih sutava.

Enkripcija

Programske kontrole


- Unutarnje programske kontrole: dijelovi programa koji provode restrikcije glede
sigurnosti, kao što je ograničenje pristupa u program za upravljanje bazom
podataka
- Kontrole operativnog sustava: ograničenja koja provodi operacijski sustav kako bi
zaštitio jednog korisnika od drugog
- Kontrole razvoja: standardi kvalitete pod kojima treba provesti projektiranje,
kodiranje, testiranje i održavanje

Sklopovske kontrole

Politike

Fizičke kontrole

Učinkovitost kontrola


Briga o problemu (engl. Awerness)


Vjerojatnost upotrebe
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

18


Princip djelotvornosti (učinkovitosti): Kontrola se mora koristiti da bi bila
učinkovita. Ona mora biti djelotvorna, laka za upotrebu i adekvtana.


Preklapanje kontrola


PODATCI
PRISTUP
DATOTEKAMA
PRISTUP
PROGRAMIMA
FIZIČKI
PRISTUP
FIZIČKI
PRISTUP LOGIČKI
PRISTUP
PRISTUP
DATOTEKAMA
PROGRAMI
HARDWARE




Periodički pregledi sigurnosti i učinkovitosti kontrola


Principi koji djeluju na istraživanja u području računarske/informacijske sigurnosti:

 princip najlakšeg upada
 princip vremenskog ograničenja
 princip učinkovitosti kontrole


Implemetacija plana informacijske sigurnosti

Ta implementacija se obavlja primjenom najbolje prakse kroz upotrebu normi za sigurnost
informacija i informacijksih sustava a ti su: ISO 27001 i ISO 17799 /ISO 27002 , ISO 2700X,
BS 25999 i dr. Oni definiraju njegove glavne elelmente:

 Cilj normi

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

19
 Što je sigurnost informacija?

 Zašto je potrebna sigurnost informacija?

 Kako utvrditi sigurnosne zahtjeve?

 Procjena sigurnosnih rizika

 Odabir kontrolnih mjera i sredstava

 Polazište sigurnosti informacija

 Kritički faktori uspjeha

 Razvoj vlastitih niti vodilja


Sigurnosna politika

Politika sigurnosti informacija

Cilj je osigurati upute i podršku rukovodstva glede sigurnosti informacija.
Rukovodstvo mora postaviti jasno usmjerenje, podršku i predanost u vezi sigurnosti
informacija utvrđivanjem i provođenjem politike sigurnosti informacija u čitavoj
organizaciji.

Dokument politike sigurnosti informacije

Minimum koji treba biti uključen je slijedeći:

a. definicija sigurnosti informacija, sveukupni ciljevi i svrha, te važnost sigurnosti kod
zajedničkih informacija;
b. iznošenje namjere rukovodstva u svrhu podupiranja ciljeva i principa sigurnosti
informacija;
c. kratki opis sigurnosne politike, principa, standarda i zahtjeva u pogledu usklađenosti
od osobite važnosti za organizaciju, npr.:
1. usklađenost sa zakonskim i ugovornim zahtjevima
2. zahtjevi glede sigurnosti obrazovanja
3. prevencija i otkrivanje virusa i ostalog zlonamjernog software-a
4. vođenje poslovnog kontinuiteta
5. posljedice kršenja sigurnosne politike
b. definicija općih i posebnih odgovornosti glede upravljanja sigurnošću
informacija,uključujući izvješća o sigurnosnim incidentima;
c. referentna dokumentacija koja podupire ovu politiku tj.razrađena sigurnosna politika i
procedura za specifične informacijske sustave ili sigurnosna pravila prema kojima
moraju postupati korisnici.



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

20
Revizija i vrednovanje

Što se tiče politike, treba postojati osoba odgovorna za održavanje i reviziju prema
definiranim revizijskim procesima. Taj proces mora osigurati reviziju kao odgovor na sve
promjene koje utječu na primarnu procjenu rizika, npr. značajni sigurnosni incidenti, nove
povrede ili promjene organizacijske ili tehničke infrastrukture. Također treba planirati
periodičke preglede slijedećeg:

a. učinkovitost politike što će se ogledati u broju i učinku zabilježenih sigurnosnih
incidenata;
b. trošak i učinak kontrole na efikasnost poslovanja;
c. djelovanje promjena u tehnologiji


Sigurnosna politika


 Sigurnost, privatnost i povjeljivost (tajnost)

 Komercijalne, vojne i druge politike


Tok donošenja sigurnosne politike





Da li je sigurnosna politika potrebna ?



Radni okvir sigurnosne politike

- Naredbe(iskaze) politike - Formalna naredba politike poduzeća. Što poduzeće zahtjeva da
se učini a što ne ? Naredba treba biti specifična i jasna.
- Svrha - Zašto je politika potrebna. Koje probleme ona rješava ? Koje su komponente
politike. Da li postoje kakve definicije u području koje ona pokriva ?
- Djelokrug - Koje su granice primjene politike ? Kako se daleko sigurnosna politika
prostire.
- Podudarnost sa politikom - Što se posebno zahtjeva da bude sukladno sa politikom ? Da
li postoji bilo koja dozvoljena devijacija od politike, te koji su to procesi koji trebaju
autorizirati devijaciju ?
- Penali/Posljedice - Koji su penali i/ili posljedice ne pridržavanja sigurnosne politike? Oni
mogu definirati formalne sankcije i/ili posebne posljedice u slučaju kršenja sigurnosne
politike.

Načela poduzeća Poslovni kod ponašanja Sigurnosne politike Vodič
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

21

Osnovni sigurnosni elementi


 Identifikacija

 Autentifikacija

 Autorizacija

 Lozinke

 Informacijski integritet

Specifične politike sigurnosti

 Politika odnosa prema podatcima
o Klasifikacija podataka
o Čuvar podataka/vlasnik podataka
o Nadzornik sigurnosti podataka i IS-a (upravljanje)
o Cjelovitost/integritet podataka

 Politika u odnosu na osobno korištenje
o Osobno korištenje
o Korištenje informacijskog sustava
o Privatnost

 Politika upravljanja sigurnošću sustava / Politika ISMS-a
o Odgovornosti rukovodstva (Uprave)
o Upravljanje zapisima
o Sigurnosna administracija
o Razdvajanje dužnosti
o Procjena rizika
o Nadzor podudarnosti sa sigurnosnom politikom (revizija sigurnosti)
o Odstupanje od politike
o Administracija sustava
o Klasifikacija sustava
o Kontinuitet poslovanja

 Mrežne politike
o Vanjski pristup mreži
o Udaljeni pristup mreži
o Privatnost komunikacija

 Politike za korisnike
o Briga korisnika
o Korisnička odgovornost

 Programske politike
o Prava kopiranja
o Zaštita od virusa
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

22

 Ostale politike
o Razvoj aplikacija
o Vanjske obrade
o Fizička sigurnost
o Korištenje standarda

Proces kreiranja politika

 Odgovornosti
 Priručnik o sigurnosnoj politici (Vodič)
 Briga o sigurnosti i izobrazba
 Proces implementacije sigurnosne politike


































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

23
2. ANALIZA, UPRAVLJANJE I NADZOR RIZIKA

Planiranje sigurnosti informacijskog sustava uvijek počinje s analizom rizika






















Scenario poslovnog rizika koji je vezan na snježnu oluju koja izaziva prekid eleketrične
mreže Data centra koji je nužan za obavljanje poslovne funkcije :

Prijetnja:
- Vjerojatnost : 25% da nastupi prekid električne mrežekao posljedica oluje
- Izvor prijetnje: snježna oluja
- Događaj prijetnje: prekid električne mreže

Posljedice:
- Očekivani gubitak prihoda kao rezultat nerada Data centra i ureda: 2.5 M$

Mjerenje veličine rizika:
- Kvantitativno (numeričke veličine – novčani iznos)
- Kvalitatitvno (skala veličina: Low, Medium , High)


Upravljanje rizikom

Donošenje odluke o :

- prihvaćanju rizika
- smanjenje rizika
- prijenosu rizika

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

24
Ključna pitanja u vezi s procesom upravljanja rizikom:

1. Što se može dogoditi (događaj prijetnje) ?
2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ?
3. Kako se često ona može dogoditi (frekvencija pojave prijetnje, godišnje) ?
4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?


Proces smanjenja rizika

























Kvantitativna procjena rizika- pojmovi i definicije

Godišnji očekivani gubitak (GOG)


JOG * GUP = GOG gdje je,

JOG – jednostruki godišnji gubitak uz pojavu jedne prijetnje godišnje.
GUP – učestalost pojave prijetnje u toku jedne godine

Uspostavlja osnova za analizu trošak/dobiti.

Godišnja učestalost pojave prijetnje (GUP)

To je veličina koja daje frekvenciju pojave prijetnji koja se očekuje kroz godinu.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

25

Faktor izlaganja (kompromitacije) (FI)

Ovaj faktor predstavlja mjeru veličine gubitka ili utjecaja prijetnje na vrijednost
informatičkog sredstva.. Taj faktor se koristi u računaju JOG veličine.

Informacijsko sredstvo

Informacijsko sredstvo je dio informacijskog sustava koje organizacija mora imati kako bi
obavila svoju poslovnu misiju.


Kvalitativnost/Kvantitativnost

Tehnike analiza rizika i procjene ne mogu se promatrati binarno, kao kvantitativne ili
kvalitativne, nego prema stupnju u kojem se neki elementarni faktori kao vrijednost sredstva,
faktor izlaganja (kompromitiranja sredstva) i frekvencija prijetnja mogu imati pridružene
kvantitativne vrijednosti.

Vjerojatnost

Ovaj pojam opisuje šansu ili mogućnost da se dogodi neki događaj, odnosno da se dogodi
gubitak ako se taj događaj desi.

Rizik

Potencijal za pojavu štete ili gubitka, koji se najbolje izražava kao odgovor na četiri pitanja :

1. Što se može dogoditi (događaj prijetnje) ?
2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ?
3. Kako se često ona može dogoditi (frekvencija pojave prijetnje, godišnje) ?
4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?


Analiza rizika

Analiza treba identificirati prijetnju ranjivosti, povezujuću prijetnju sa sredstvom,
identificirati potencijal i prirodu neželjenog rezultata, te identificirati i vrednovati sigurnosne
mjere koje smanjuju rizik.

Procjena rizika

Ovaj pojam podrazumijeva pridruživanje vrijednosti informacijskom sredstvu, učestalost
prijetnji kroz godinu, posljedice (tj. faktor izlaganja-FI), jednostruki godišnji gubitak i dr.

Upravljanje rizikom

Ovaj pojam podrazumijeva cjelokupni proces, analizu rizika i procjenu rizika, te samo
upravljanje što uključuje proces pridruživanja prioriteta, financiranja, implementiranja i
održavanja sigurnosnih mjera.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

26

Sigurnosne mjere (zaštitni mehanizmi)

Ovaj pojam podrazumijeva mjere i mehanizme koji smanjuju rizik a djeluju kroz detekciju,
prevenciju ili minimizaciju gubitaka koji su povezani sa specifičnom pojavom prijetnje ili
cijele kategorije prijetnji. Sigurnosne mjere se ponekad zovu i kontrole, zaštitne mjere.

Učinkovitost sigurnosnih mjera (zaštitnih mjera)

Ovaj pojam predstavlja stupanj, izražen u postocima 0 do 100 %, prema kojem sigurnosna
mjera smanjuje ranjivost.

Jednostruki očekivani gubitak (JOG) ili izlaganje (kompromitiranje sredstva)


JOG = VS * FI gdje je,


VS - vrijednost sredstva
FI - faktor izlaganja
JOG - jednostruki očekivani gubitak

Prijetnja

Definira događaj (požar, krađu, računalni virus i dr) čija pojava ima neželjene rezultate.

Neizvjesnost

Neizvjesnost je tipično mjera inverzna u odnosu na povjerljivost, a to znači ako je
povjerljivost (uvjerenje) nisko, neizvjesnost je visoka.

Ranjivost

Ovaj pojam podrazumijeva nepostojanje ili slabost sigurnosnih mjera koje smanjuju rizik

Razlozi za provođenje analize rizika

- Poboljšana briga o sigurnosti..
- Identificira sredstva, ranjivost i kontrolu. Poboljšana osnova za donošenje odluka.
- Opravdanje troškova za sigurnost.

Koraci analize rizika

- Identifikacija računarskih (informatičkih) sredstava.
- Određivanje ranjivosti.
- Procjena vjerojatnosti pojave i eksploatacije ranjivosti.
- Izračunavanje očekivanog godišnjeg gubitka.
- Pregled primjenjivih kontrola i njihovih cijena koštanja.
- Projekcija godišnjih ušteda prouzrokovanih uvođenjem kontrola.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

27
Identifikacija sredstava - Registar sredstava informacijskog sustava
- Sklopovi (hardware)
- Programi (software)
- Podaci
- Ljudi
- Dokumentacija
- Pomoćni i potrošni materijal

Identifikacija ranjivosti sredstava i prijetnji

Pitanja koja treba razmatrati:
- Koji su učinci od nenamjernih grešaka ?.
- Koji su učinci tvrdoglavih zlonamjernih korisnika unutar organizacije (insiders) ?
- Koji su učinci vanjskih korisnika (outsiders) ?
- Koji su učinci prirodnih i fizičkih nepogoda ?

Sredstva i sigurnosna svojstva

Sredstvo Tajnost Integritet Raspoloživost
Sklopovi (HW) Preopterećenost
Uništenje
Uplitanje (provala)
Greška
Krađa
Uništenje
Neraspoloživost
Programi (SW) Krađa
Kopiranje
Piratstvo
Trojanski konj
Modifikacije
Uplitanje (provala)
Brisanje
Preseljenje
Korištenje isteklo
Podaci Otkrivanje
Pristup izvana
Izvedeni
Oštećenje
- programska
greška
- sklopovska
greška
- korisnička greška
Izbrisani
Preseljeni
Uništenje
Ljudi Otišli
U mirovini
Završili posao
Na dopustu
Dokumentacija Izgubljena
Ukradena
Uništena
Pomoćna oprema i
materijal
Izgubljeno
Ukradeno
Oštećeno


Predviđanje vjerojatnosti pojave

- Vjerojatnost, iz promatranja podataka opće populacije.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

28
- Vjerojatnost, iz promatranih podataka za specifični sustav
- Procjena broja pojava u danom vremenskom intervalu.
- Procjena vjerojatnosti iz tabele..
- Delphi pristup.
Rangiranje vjerojatnosti pojave

Frekvencija Iznos
Više od jednom dnevno 10
Jednom dnevno 9
Jednom u svaka tri dana 8
Jednom tjedno 7
Jednom u dva tjedna 6
Jednom mjesečno 5
Jednom svaka četiri mjeseca 4
Jednom godišnje 3
Jednom u tri godine 2
Manje od jednom u tri godine 1

Izračunavanje nepokrivenih godišnjih troškova (Očekivani godišnji gubitak)

Slijedeća pitanja pomažu u identifikaciji izvora dokučivosti i nedokučivosti cijene koštanja:

- Koje su zakonske obaveze da se sačuva tajnost ili integritet podataka ?
- Da li oslobađanje tih podataka uzrokuje štetu osobi ili organizaciji? Da li postoji
mogućnost zakonske akcije?
- Da li neovlašteni pristup tim podacima može ugroziti buduće poslovne mogućnosti ?
Može li dati konkurentu neku nezasluženu prednost ? Kakav bi bio gubitak u prodaji ?
- Koji je psihološki utjecaj na nedostatak računalnog servisa ? Sramota ?, Gubitak
kredibiliteta ? Gubitak posla ? Na koliko kupaca će to imati utjecaja ? Kolika je to
vrijednost ?
- Kolika je vrijednost pristupa podacima ili programima ? Da li bi se ta obrada mogla
odložiti ? Da li se ta obrada može izvesti negdje drugdje ? Koliko bi koštalo da imamo
mogućnost obrade negdje drugdje ?
- Kolika je vrijednost za pristup podacima i programima od strane nekog drugog ? Koliko je
konkurent spreman platiti za taj pristup ?
- Koji problemi mogu proizaći iz gubitka podataka ? Da li mogu biti nadomješteni ? Da li
se mogu rekonstruirati ? Sa koliko potrebnog rada ?

Pregled novih kontrola
- kriptografske kontrole
- sigurnosni protokoli
- kontrola razvoja programa
- kontrola uvjeta izvođenja programa
- mogućnosti zaštite operacijskih sustava
- identifikacija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

29
- autentifikacija/ovjera
- izgradnja i uvođenje sigurnih operacijskih sustava
- kontrola pristupa bazama podataka
- kontrola raspoloživosti baza podataka
- kontrola i nadzor zaključivanja o podacima u bazi
- višerazinske kontrole za podatke, baze podatka, mreže i operacijske sustave
- kontrola osobnih računala, proceduralne, fizičke, sklopovske i programske
- kontrola pristupa mreži
- kontrola cjelovitosti mreže
- fizičke kontrole i dr.
Uštede kroz uvođenje projekta sigurnosti (Return of Investment - ROI)
Tablica: Opravdanost nabave programa za sigurnost pristupa
___________________________________________________________________________
Stavka Iznos
Rizik: otkrivanje povjerljivih podataka
tvrtke, izračun na temelju krivih (izmjenjenih) podataka
Cijena obnove ispravnosti podataka: 1000 000 $ (VS)
10 % vjerojatnost na godinu (1 u 10 god. - GUP = 0.1) $100 000 (GOG)
Učinkovitost programa kontrole: 60 % -$60 000 (FI = 40 %)
Troškovi nabve programa +$25 000
Očekivani godišnji troškovi zbog gubitka i kontrole
$100 000-$60 000+$25000 $65 000
Ušteda: $100 000 - $65 000 $35 000





Tablica: Analiza troškovi/dobit za nadomjestak mrežnog pristupa

Stavka Iznos
Rizik
Novlašteni pristup podatcima na kom. liniji):
$100 000 (VS) uz 2% vjerojatnosti na godinu $2 000
Neovlašteno korištenje rač. sredstava (aplikacije)
$10 000 (VS) uz 40% vjerojatnost na godinu $4 000
Godišnji očekivani gubitak (GOG) $6 000
Učinkovitost mrežne kontrole: 100 % (FI = 0%) -$6 000
Troškovi kontrole
Hardware ($50 000 uz 5 godišnju amortizaciju) +10 000
Programi ($20 000 uz 5 godina amortizacije) + 4 000
Podrška(ljudi) (svaku godinu) +40 000
Godišnji troškovi $54 000
Očekivani godišnji troškovi:
6 000-6 000+54 000 $54 000
Ušteda: $6 000 - $54 000 (gubitak) -48 000
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

30



Kvalitativna procjena rizika

Matrica vrijednosti imovine i vrijednosti prijetnji i ranjivosti:


Razina prijetnje
Mala Srednja Velika
Razina ranjivosti
Vrijednost
imovine
M S V M S V M S V
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8

Veličina rizika izražena je u skali od 0 do 8, gdje je 8 veličina najvećeg rizika koji se može
promatrati u skali :

Low (M) : 1 - 2
Midle( S): 3 - 5
High (V) : 6 - 8



























100%razina
sigurnosti
(nije moguća)
100%
Malo napora
(velika
učinkovitost)
TROŠKOVI
RAZINA
SIGURNOSTI
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

31




























DOBIT OSTVARENA SIGURNOSNIM MJERAMA





















Dobit
postignuta
sigurnosnim
mjerama
Troškovi uvođenja sigurnosnih
mjera

Cilj djelotvornog upravljanja IT rizika mora biti
optimalna sigurrnost glede poslovnog upravljanja , a
ne u pogledu tehničkih mogućnosti
Odnos troškova i dobiti
Ušteda
zbog
sigurnosnih
mjera
Dobit zbog
sgurnosnih mjera
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

32













Prosječni gubici zbog
sigurnosnih incidenata
Troškovi zbog uvođenja
sigurnosnih mjera
Odnos organaizacijskih i tehničkih mjera/kontrola
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

33
Argumenti protiv analize rizika

- Netočnost/nepreciznost
- Pogrešan osjećaj preciznosti
- Nepromjenjivost
- Nema znanstvene podloge


Metode izgradnje sigurnosti informacijskog sustava

Sigurnosni plan

- Plan vitalnih zapisa
- Plan kontrole pristupa
- Plan akcija u slučaju opasnosti (plan upravljanja incidentima)
- Plan privremene obrade (plan kontinuiranog poslovanja)
- Program klasifikacije podataka































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

34
































Fischerova metoda izgradnje sigurnosti sustava
(Model životnog ciklusa)





Fischerovu metodu sačinjavaju slijedeći koraci:
Definiranje
popisa
Identifikacij
a izlaganja
sustava
Procje
na
rizika
Izgradnja
kontrola
Analiza
učinkovitosti
troškova

Politika osiguranja sredstava – sigurnosna
politika
Predloženi sigurnosni
sustav
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

35
- Popis i definiranje informacijkse imovine (podataka, programa,..)
- Identifikacija izlaganja (ranjivosti) sustava
- Analiza rizika
- Izgradnja i uspostava kontrola (sigurnosnih mjera)
- Analiza utroška i djelotvornosti

Postojeći modeli sigurnosti informacijskih sustava (konceptualni)

- prstenasti model
- matrični model
- model životnog ciklusa. (Fischerova metoda, PDCA,..)






























Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

36
Prijetnje i obrana prema prstenastom modelu (AFIPS)








































Štrajk

Sabotaža
KOMUNIK
ACIJE
Uhođenje
Raspoloživost sustava
Zakonski i socijalno
zahtijevano
ovlaštenje
Prijevara
Krađa
Oluja
Zemljotres
Vatra
Potop
Svjetlo

Razuzdanost
Štrajkovi
Industrijske nesreće
Gubitak opksrbe
DOBRO IZVRŠENJE OPERACIJA
BAZA
PODATAKA
PROGRAMI
KONTROLA
PRISTUPA
SPREMIŠTE
INPUT/
OUTPUT
OSOBLJE I

OPERACIJSKI SUSTAV

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

37
Matrični model (Parkerove sigurnosne dimenzije)

















APLIKACIJE
D
A
T
A

P
R
O
C
E
S
S
I
N
G

A
C
T
I
V
I
T
I
E
S

STRUČNE EXPERTIZE
F
U
N
K
C
I
J
E

S
i
g
u
r
n
o
s
n
e



D
i
m
e
n
z
i
j
e

P
l
a
ć
e

Sustavsko
planiranje &
Standardi
Ispravak




Oporavake




Otkrivanje




Sprečavanje





Zastrašivanje
Odvraćanje
F
i
z
i
č
k
e

Sustavsko
programiranje
Programiranje
aplikacija
Operacije
(obrada)
O
p
e
r
a
t
i
v
n
e

P
r
o
c
e
d
u
r
a
l
n
e

U
p
r
a
v
l
j
a
č
k
e

P
e
r
s
o
n
a
l
n
e

T
e
h
n
i
č
k
e

P
r
i
m
l
j
e
n
i

r
a
č
u
n
i

U
p
r
a
v
l
j
a
n
j
e

K
o
n
t
r
o
l
a

s
k
l
a
d
i
š
t
a

O
p
e
r
a
c
i
j
s
k
i

T
i
m
e

S
h
a
r
i
n
g

N
a
d
z
o
r

.

.

.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

38
Problemi sigurnosnih modela

Ono što su:
- pasivni atributi.
- statički modeli,
- kategorijski
- topološki.
- slikoviti modeli.

Ono što treba:

- logički modeli,
- dinamičniji,
- fluidni
- aktivni;
- modeli koji dozvoljavaju razmatranje različitih informacijskih
sustava.
Statički modeli sigurnosti :


SIGURNOST = ANALIZA RIZIKA +
SIGURNOSNA POLITIKA +
DIREKTNE TEHNIČKE MJERE SIGURNOSTI +
NADZOR/AUDIT


Dinamički modeli sigurnosti (često se nazivaju adaptivni modeli ):


SIGURNOST = ANALIZA RIZIKA +
SIGURNOSNA POLITIKA +
PROVEDBA +
PRAĆENJE PRIJETNJI/RANJIVOSTI +
ODGOVOR NA PRIJETNJE/RANJIVOST









Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

39






























Osnovni principi upravljanja rizikom

- Ocjena rizika i određivanje potreba
- Uspostava točke centralnog upravljanja
- Implementacija odgovarajućih politika i odgovarajućih kontrola
- Promocija brige o sigurnosti
- Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)

Nakon ocjene rizika njihovih poslovnih operacija, organizacija treba:

- Uspostaviti (donijeti) sigurnosne politike i odabrati sigurnosne mjere
- Povećati brigu korisnika za politike i sigurnosne mjere
- Nadgledati učinkovitost politika i kontrola
- Upotrebiti dobivene rezultate kako bi se modificirale politike i kontrole koje su potrebne.






#3.
Mjerenje učinkovitosti
(Pregledi i nadzor)
#2.
Implemetacija sigurnosnog
programa i upravljanje
#4.
Redefiniranje
ako je potrebno
Provođenje ocjene
rizika
(Planiranje)
Provođenje
ocjene stanja
rizika

Implementacija i
provođenje
sigurnosnih mjera
- Procedure
- Tehničke mjere
Kružni model upravljanja rizikom
Plan-Do-Check-Act (PDCA) model
#1.
Formiranje osnove
za sigurnosni
program i zahtjeve

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

40

Primjeri uspješne prakse


1. Princip: Ocjena rizika i određivanje potreba

- Praksa 1. Prepoznavanje informacijskih sredstava i važnijih vrijednosti organizacije
koja se mora zaštititi:
- Praksa 2. Razviti praktične procedure ocjene rizika koje povezuju zaštitu i sigurnost
informacija sa poslovnim potrebama: na primjer: organizacija može koristiti automatizirane
liste za kontrolu (check list) za ocjenu rizika.
- Praksa 3. Održavanje odgovornosti za rukovoditelje programa i poslovnih funkcija:
- Praksa 4. Upravljanje rizicima na kontinuiranoj osnovi:

2. Princip: Uspostava točke centralnog upravljanja

- Praksa 5. Određivanje centralne grupe koja provodi ključne aktivnosti:
- Praksa 6. Organizacija treba omogućiti centralnoj grupi nezavisan pristup izvršnim
direktorima.
- Praksa 7. Određivanje(uspostava) namjenskog financijskog fonda i osoblja.
- Praksa 8. Poboljšanje profesionalnosti i tehničkih vještina osoblja

3.Princip: Implementacija odgovarajućih politika i odgovarajućih kontrola

- Praksa 9. Povezivanje politika sa poslovnim rizicima.
- Praksa 10. Razlikovanje politika od vodiča.
- Praksa 11. Potpora politikama kroz centralnu grupu za sigurnost informacija.

4. Princip: Promocija brige o sigurnosti

- Praksa 12. Kontinuirana izobrazba korisnika i drugih o rizicima i njima pripadajućim
politikama.
- Praksa 13. Upotreba tehnika koje potiču pažnju i koje su «user friendly».

5. Princip. Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)

- Praksa 14. Nadzor faktora koji utječu na rizik i koji pokazuju učinkovitost informacijske
sigurnosti (IA).
- Praksa 15. Upotreba dobivenih rezultata za usmjeravanje budućih napora i održavanje
odgovornosti rukovoditelja.
- Praksa 16. Potrebno je konstanto biti u potrazi za novim alatima i tehnikama za nadzor
(monitoring).


Zaključak

Proces upravljanja rizikom je integralni dio svakog programa sigurnosti (IA). Potrebno je započeti sa
identifikacijom postojećih prijetnji na informacijske sustave te povezati te prijetnje sa ranjivošću
informacijskih sustava. Tada kroz proces ocjene rizika, moguće je početi razvijati isplativi sigurnosni
(IA) program.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

41
3. KONTROLA PRISTUPA i TOKA - MATEMATIČKI MODELI
SIGURNOSTI


Kontrola pristupa

Računalni sustavi upravljaju pristupom podatcima i dijeljenim resursima kao što su memorija,
štampači, diskovi i dr. Oni moraju osigurati pristup tim resursima primarno zbog očuvanja
integriteta informacijske sigurnosti, a ne toliko za očuvanje njegove povjerljivosti.

Subjekti i objekti





Možemo specificirati:

- Što je dozvoljeno subjektu da radi, ili
- Što možemo učiniti sa pojedinim objektom.

Operacije pristupa

Modovi pristupa

Na osnovnoj razini subjekti mogu pregledavati ili mijenjati objekte. Prema tome definiramo
dva moda pristupa:

- Pregled – gleda se samo sadržaj objekta
- Izmjena – mijenja se sadržaj objekta.

Pristupna prava i atributi


Mod/prava
pristupa
Izvedi Dodaj Pročitaj Zapiši
Pregled X X
Izmjena X X

Prava pristupa u Bell-LaPadula modelu
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

42


Odnosi između pristupnih prava i pristupnih atributa za Multics.

Data segmenti Segmenti direktorija
Čitaj r Status r
Izvedi e Status, promjeni w
Čitaj, piši w Dodaj a
Piši a Pretraži e


Unix

Politika pristupne kontrole je izražena kroz tri operacije :

- Čitaj – čitanje datoteke
- Piši – pisanje u datoteku
- Izvedi – izvedi (program) datoteku

Ove operacije se razlikuju od BLP modela. Na primjer, operacija pisanja UNIX-a ne uključuje
pristup za čitanje.

Kada se primjenjuju prava pristupa na direktorij, tada ta prava imaju slijedeće značenje:

- Čitaj – ispis sadržaja direktorija
- Piši – kreiraj ili promjeni ime datoteke u direktoriju
- Izvedi – pretraži direktorij

Vlasništvo

Odgovornost za postavljanje te politike pristupa::

- Vlasnik resursa određuje kome se dozvoljava da ima pristup. Takva se politika naziva
diskreciona budući je upravljanje pristupom u nadležnosti vlasnika.
- Politika na razini sustava određuje tko ima pravo na pristup. Iz jasnih razloga takva
politika se naziva obvezatna (mandatory).


Struktura kontrole pristupa

- S kao skup subjekta
- O kao skup objekta
- A kao skup pristupnih operacija


Matrica kontrole pristupa


M = (M
so
)
seS, oeO
i M
so
podskup od A
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

43

Primjer takve matrice je dan u donjoj tablici:

Subjekti/objekti Bill.doc Edit.exe Fun.com
Ana izvedi Izvedi, čitaj
Bojan Čitaj, piši Izvedi Izvedi, čitaj, piši


Sposobnosti

Svakom subjektu se pridjeljuju sposobnosti , čime se definiraju pristupna prava subjekta.

Poteškoće:

- Teško je doći do spoznaje tko ima dozvolu pristupa za dani objekt
- Vrlo je teško opozvati sposobnosti, budući treba održavati zapise (trag) o svakoj
dodjeli sposobnosti drugim subjektima (trećim stranama).


Liste za kontrolu pristupa (ACL)

ACL spremaju pristupna prava na objekte sa samim objektima.

Pristupne liste su pogodne za operacijske sustave koji upravljaju objektima (resursima)
računalnog sustava.





















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

44

Sustavi za kontrolu pristupa

Funkcijski, oni se sastoje od dviju komponenti:

1. Skup politika i pravila pristupa: informacija smještena u sustavu, za koju postoje
pravila pristupnih modova koja se moraju poštivati kad subjekti pristupaju
objektima.
2. Skup kontrolnih procedura (sigurnosnih mehanizama) koji provjeravaju upit (zahtjeve
za pristup) prema postavljenim pravilima ( proces validacije upita); upiti tada mogu
biti odobreni, odbačeni ili modificirani, filtrirani za neovlaštene podatake.





Sigurnosne politike


Osnovne politike su:

1. Politika minimalnih privilegija
2. Politika maksimalnih privilegija

U zatvorenim sustavima dozvoljavaju se samo eksplicitno ovlašteni (autorizirani)
pristupi.

U otvorenim sustavima zahtjevi koji nisu eksplicitno zabranjeni su dozvoljeni.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

45
Sigurnosna politika:

- Centralizirana
- Decentrlizirana

Moguće su i među politike:

- Hierarhijski decentralizirana autorizacija,
- Vlasništvo.
- Kooperativna autorizacija.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

46



Politike kontrole pristupa

- Mandatna (MAC)
- Diskreciona (DAC)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

47
Mandatna politika


. Klasifikacijske razine su napr.:

0 = Neklasificirano
1 = Povjerljivo
2 = Tajno
3 =Vrlo tajno

Kategorije :

Nuclear – Nato – Inteliligence

Production – Personnel – Engineering _ Administration

SC = (A,C)

A je klasifikacijska razina, a C je kategorija.
SC = (A,C) i SC’ = (A’, C’) :

SC s SC’

onda i samo kao su ispunjeni slijedeći uvjeti:

A s A’ i C’ C

Tako je realcija:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

48
(2, Nuclear) s (3, (Nuclear, nato)

ispravana, verificirana, dok

(2, (Nuclear, nato)) s (3, Nato)

nije .

Diskrecione politike



Opoziv propagiranih prava


Mandatne i diskrecione politike nisu međusobno isključive.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

49


Autorizacijska pravila (pravila ovlaštenja)

- Matrica autorizacije.
Ulaz u matrici A[i,j]
Primjer matrice autorizacijedan je u tablici 1.1.

Kontrole pristupa:
- pristup ovisan o imenu (tablica 1.1)
- kontrole koja zavisi od sadržaja.
Sigurnosno pravilo :
(s, o, t, p)

- kontrola na bazi ovisnosti konteksta
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

50








- Dodjela ili opoziv pristupnih prva zahtjevan od nekoliko opunomoćenika ,
sigurnosna pravila mogu biti šestorke :

(a,s,o, t,, p, f)

gdje je a opunomoćenik (subjekt) koji dodjeljuje s prava (o,t,p), dok je f
zastavica kopiranja koja opisuje mogućnost da s dalje prenosi prava (o,t,p) na
druge subjekte.

- Pridruženje pomoćnih procedura (AP) sigurnosnim pravilima,

Potpuniji oblik autorizacijskih pravila je :

(a,s,t,o,p,f,{Ci,APi})



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

51
Kontrola pristupa temeljena na ulogama (RBAC-Role Based Access
Control)

Matrica pristupa direktno radi sa pristupnim pravima i dodjelom ili opozivom pristupa
resursima (objektima IS-a) prema pojedinačnim dozvolama za subjekte:
- Fino podešavanje
- Veliki trošak upravljanja i administriranja za velik broj korisnika i resursa
- Djelomično rješenje - korisničke grupe

RBAC - Koncept grupiranja korisnika ,gdje korisnici dijele slične pristupne sposobnosti :
- Lakše administriranje
- Reprezentacija upravljanja pristupom u stvarnom svijetu.
- Generalizirani oblik modela za kontrolu pristupa (simulacije DAC i MAC politika).

Osnove RBAC-a su:

- Dozvole (prava) su pridružene ulogama,
- Korisnicima se pridružuju uloge i
- Odluka o pristupu se donosi na temelju članstva korisnika u primjenjivoj ulozi.





Slika: Osnovni odnosi između uloga, korisnika, dozvola i operacija.


RBAC kao općeniti model kontrole pristupa podržava dva dobro poznata sigurnosna principa:

- Razdvajanje dužnosti (separation of duty)
- Najmanjih prava (least privilege).


Veze korisnika, uloga i dozvola



Konceptualno, ova pridruženja mogu se sjediniti sa dvije Bool-ove matrice - UR {korisnici,
uloge} i PR {dozvole, uloge} definirane kao :

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

52


Gdje ÷ simbolizira operator pridruživanja njegove lijeve strane na desni operand, a u, r i p
su skupovi korisnika, uloga i dozvola kojima upravljamo.






Slika 8.2 Pridruženje korisnik-uloga i dozvola-uloga kroz matrični prikaz
Pregled odnosa u RBAC modelu


Formalno, pregledi korisnik-uloga mogu se prikazati preslikavanjem ur i njegog inverza ur
-1

što je definirano kao
ur:USERS →2
ROLES

ur
−1
:ROLES →2
USERS


Skup uloga koje su pridružene danom korisniku definiran je kao
user_assigned_roles{u) = {r∊ROLES | UR[u, r] = true}.

Pregledi dozvole-uloge mogu se prikazati preslikavanje pr i njegove inverzije pr
-1
što je
definirano kao
pr
−1
: PERMISSIONS → 2,
ROLES

pr
−1
: ROLES → 2.
{PERMISSION}


Skup uloga kojima je pridijeljena pojedina dozvola dan je

permission_assigned_roles(p) = {r ∊ ROLES | PR[p, r] = true}.

Skup dozvola pridruženih pojedinoj ulozi dan je sa
role_assigned_permissions(r) = {p ∊ PERMISSIONS | PR[p, r] = true}.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

53

Hijerarhijski RBAC

Matematički gledano hijerarhija uloga predstavlja parcijalno uređen odnos između uloga
(ROLES x ROLES) što se označava simbolom ≥. Svaki par vezanih uloga (tj. r
1
, r
2

ROLES) takav da je r
1
≥ r
2
opisan slijedećim svojstvima:

- r
1
je pridružena seniorska ulogu u odnosu na r
2

- r
2
je pridružena juniorska uloga u odnosu na r
1

- r
1
usvaja dozvole od

r
2
pored svojih vlastitih dozvola. To uključuje da su korisnici sa
seniorskom ulogom r
1
automatski podskup korisnika sa juniorskom ulogom r
2
.






Odnosi korisnika i njihovih dozvola u seniorskim i juniorskim ulogama



Relacija parcijalnog uređenja ≥ definirana na skupu hijerarhijskih uloga također je opisana
realcijom naslijeđivanja.



















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

54
SIGURNOSNI MEHANIZMI

Odvajanje politike od mehanizama:
- Diskusija o pravilima pristupa neovisno od mehanizama implementacije.
- Uspoređivanje različitih politika kontrole pristupa ili različitih mehanizama
implementacije iste politike.
- Izgradanja mehanizama sa mogućnošću implementacije različitih politika.

Neispravne implementacije :
1. Odbacivanje dozvoljenih pristupa.
2. Dodjela zabranjenih pristupa.

Vanjski mehanizmi

Cilj :
- Minimizirati moguće prekršaje;
- Minimizirati moguće naknadne štete;
- Osigurati procedure oporavka.

Interni mehanizmi


1. Autentifikacija.
- Nešto što korisnikzna (lozinke, kod )
- Nešto što je vlasništvo korisnika (mad. kartice, bađ, i dr)
- Fizičke karakteristike korisnika (otisci , potpis, glas, i dr.)
2. Kontrole pristupa .
3. Mehanizmi nadzora.:
- Faza zapisivanja, gdje su zapisani svi upiti o pristupu i njihovi odgovori (kako
ovlašteni tako i odbačeni);
- Faza izvješćivanja, gdje se provjeravaju izvješća iz predhoden faze kako bi se
detektirali mogući prekršaji ili napadi.














Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

55
MATEMATIČKI MODELI SIGURNOSTI

Zadaća modeliranja sigurnosti je proizvesti visoku razinu, programski neovisnog
konceptualnog modela počevši od specifikacija zahtjeva koji opisuju potrebnu zaštitu
informacijskog sustava.
Sigurnosni modeli zasnovani na teoriji konačnih automata

Ukoliko želimo govoriti o specifičnom svojstvu sustava, kao što je sigurnost, koristeći model
konačnog automata, moramo:

- Identificirati sva stanja koja zadovoljavaju to svojstvo (sigurnost računalnog sustava)
- Provjeriti da li sva stanja tranzicije zadržavaju i dalje to svojstvo.
- Ako su ispunjene gore navedene stavke, i ako je sustav počeo iz inicijalnog stanja koje
je bilo sigurno, tada možemo indukcijom dokazati da se svojstvo sigurnosti sustava
zadržava zauvijek.

Matematički modeli
Podjela:
- diskrecioni
- nediskrecioni (mandatni) modeli.

Diskrecioni modeli upravljaju pristupom korisnika informacijama na osnovi korisničkog
identiteta i specificiranih pravila, za svakog korisnika i svaki objekt, te dozvoljenog načina
pristupa korisnika objektu.
Nediskrecioni (mandatni) sigurnosni modeli upravljaju pristupom pojedinaca informacijama
na osnovu klasifikacija subjekata i objekata u informacijskom sustavu.

Modeli

OS
sigurnost
DB
sigurnost
Diskreciona
politika
Mandatna
politika
(tajnost)
Mandatna
politika
(cjelovitost)
Kontrola
toka
informacija
Kontrola
pristupa
Matrica
pristupa
* * * *
Take-
Grant
* * * *
Aktivnost-
Entitet
* * * *
Wood i
dr.
* * *
Bell-
LaPadula
* * * * *
Biba

* * * * *
Dion

* * * * *
Sea View

* * * * * *
Jajodia-
Sandhu
* * * *

Smith-
Winslett
* * * *

Rešetka
(Denning)
* *
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

56

Ostale podjele:

- Ciljani sustav: na primjer, modeli za zaštitu OS-a, modeli za zaštitu baza podataka ili
oboje
- Vrsta politike: mandatna ili diskreciona.
- Adresirani pogledi na sigurnost: tajnost ili cjelovitost
- Vrste kontrola: neki modeli su orijentirani na kontrolu direktnog pristupa, indirektnog
pristupa ili kontrolu toka informacija.

U opisu modela sigurnosti bit će razmatrani slijedeći aspekti:

- Subjekti.
- Objekti.
- Načini pristupa.
- Politike.
- Autorizacije/ovlaštenja.
- Administrativn prava.
- Axiomi.































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

57








































Elementi modela sigurnosti u sigurnosnom sustavu

Procesi Kontrola
operacija
administriranja
Zahtjevi za
operacijama admin.

Kontrola
pristupa
Zahtjevi za
pristupom
Zahtjev
odbačen
Autorizacija
Aksiomi i
politike
Zahtjev
odbačen
Objekti
Administrativna
prava
Zahtjev
autoriziran
Načini
pristupa
Zahtjev
autoriziran
Subjekti
Korisnici Administratori sigurnosti
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

58

Harrison-Ruzzo-Ullman (HRU) model matrice pristupa


.
Stanje autorizacije/ovlaštenja

Q = (S,O,A), gje je:

- S je skup subjekata, koji predstavljaju aktivne entitete koji koriste sredstva sustava, te od
kojih se sustav mora zaštititi.
- O je skup objekata, koji predstavljaju entitete koji se moraju zaštititi. Takav skup se
sastoji i od pasivnih entiteta(sredstva sustava) i od aktivnih entiteta (subjekata).
- A je matrica pristupa. Redovi matrice odgovaraju subjektima, a stupci objektima. Element
matrice A[s,o] sadrži podatke o načinu pristupa za koje je ovlašten subjekt s kad pristupa
objeku o.



Subjekti/Obje
kti
O
1
... O
j
... O
m
S
1
A[s
1,
o
1
] A[s
1,
oj] A[s
1,
o
m
]
.
.

S
i
A[s
i,
o
1
] A[s
i,
o
j
] A[s
i,
o
m
]
.
.
S
n
A[s
n,
o
1
] A[s
n,
o
j
] A[s
n,
o
m
]

Matrica pristupa


Načini/modovi pristupa

- čitaj,
- piši,
- dodaj,
- izvedi,
- “vlastitost” privilegija (pokazuje na vlasništvo).







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

59



Operacije


Operacije
Uvjeti
Rezultirajuće stanje Q’=(S’,O’,A’)
Unesi r u A[s
i
,o
j
] s
i
e S
o
j
eO

S ‘ = S
O’ = O
A’[s
i
,o
j
] = A[s
i,
,o
j
] U {r}
A’[s
m
,o
k
] = A[s
m,
,o
k
] k = j, m = i,

Izbriši r iz A[s
i
,o
j
] s
i
e S
o
j
eO

S ‘ = S
O’ = O
A’[s
i
,o
j
] = A[s
i,
,o
j
] - {r}
A’[s
m
,o
k
] = A[s
m,
,o
k
] k = j, m = i,

Kreiraj subjekt s
i
s
i
e S S' =S { s
i
}
O' = O { s
i
}
A'[s,o] = A[s,o] s

e S, o

eO
A’[s
i
,o] = C o

eO'
A’[s,o
j
] = C s

e S'

Kreiraj objekt o
j
o
j
e O S ‘ = S
O' = O {o
j
}
A'[s,o] = A[s,o] s

e S, o

eO
A’[s
i
,o
j
] = C s

e S'

Uništi subjekt s
i
s
i
e S

S' = S - { s
i
}
O' = O - { s
i
}
A'[s,o] = A[s,o] s

e S', o

eO'

Uništi objekt o
j
o
j
eO
o
j
e S
S ‘ = S
O' = O - {o
j
}
A'[s,o] = A[s,o] s

e S', o

eO'

Primitivne operacije nad matricom pristupa








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

60
Naredbe

Command c(x
1
, ... , x
k
)
if r
1
u A[x
s1,
x
o1
] and
r
2
u A[x
s2,
x
o2
] and .
.
r
m
u A[x
sm,
x
om
] and
then op
1

op
2
.
.
p
n

end

Q = Q
0
 op
1
*
Q
1
op
2
*
… op
n
*
Q
n
= Q'


command CREATE(process, file)
create object file
enter O into A(process, file)
end.

command CONFER
read
(owner,friend,file)
if O in A[owner,file]
then enter R into A[friend, file]
end.

command REVOKE
read
(owner, friend, file)
if O in A[owner,file]
then delete R from A[exfriend, file]
end.

command NEWCREATE(process,file)
create object file
enter O into A[process, file]
enter R into A[process,file]
enter W into A[process, file]
end.

Administriranje ovlaštenja/autorizacije

Neka m bude generički mod pristupa:

- Ovlaštenje m* u A[s,o] matrice pokazuje da je s ovlašten za dodjelu privilegije m na
objekt o drugim subjektima.

comand TRANSFER
read
(subjekt
1
, subjekt
2
, file)
if R* in A[subjekt
1
,file]
then enter R into A[subjekt
2
, file]
end.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

61
- Ovlaštenje m
+
u A[s,o] matrice pristupa ukazuje da s može prenijeti drugim
subjektima privilegije na objektu o, ali time gubi privilegiju i mogućnost za daljnju
dodjelu.:

Command TRANSFER-ONLY
read
(subjekt
1
, subjekt
2
, file)
if R
+
in A[subjekt
1
,file]
then delete R
+
from A[subjekt
1
,file]
enter R
+
into A[subjekt
2
,file]
end.


Primjena modela

S O
A[s,o]
P
1
F
1
Own, R, W
P
1
F
2
E, R
+
P
1
M
1
R, W, E
P
1
P
2
Ctrl
P
2
F
1
R, W
P
2
M
1
W
P
3
F
1
R, W, E
+
P
3
F
2
Own, E
P
3
M
2
W, E

a)
P1

P2

P3
F1

Own,R,W

F2 E, R
+

M1 R,W,E

P2 Ctrl
F1 R,W

M1 W
F1 R,W,E
+

F2 Own, E

M2 W, E

M1 W

b)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

62
F1
F2
M1
P1
Own,R,W
P2 E, R
+
P3 R,W,E
P4 Ctrl
P1 R,W
P2 W
P1 R,W,E
+
P2 Own, E
P3 W, E
P4 W

c)

Alternativne metode spremanja matrice pristupa a) tablica s poljima (S,O,A), b) lista
sposobnosti, c) ACL lista






























Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

63
Problemi s diskrecionim modelima


Program P
.........
.........
read f1
write f2
A
B
C
D
Datoteka f1 Datoteka f2
vlasnik x
vlasnik y
(x, write, f2)
(a)


Program P
.....
.....
read f1
write f2
A
B
C
D
A
B
C
D

vlasnik x vlasnik y
(x, write, f2)
datoteka f1 datoteka f2
(b)


Primjer Trojanskog konja: (a) program P sadrži skriveni kod za pristup datoteci f1 i f2; y
može dodjeliti pravo pisanja na f2; (b) nakon što korisnik x započne program, korisnik y ima
pristup informaciji koja je prenesena iz datoteke f1(na koju korisnik y nema pravo čitanja) u
f2 (koju on može čitati).
.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

64

Nediskrecioni (mandatni) modeli sigurnosti

Bell-LaPadula model (BLP)
.
Sigurnosna razina :

- klasifikacija
- skup kategorija.

Klasifikacija je element skupa koji se sastoji od četiri elementa: Vrlo tajno(TS); Tajno(S);
Povjerljivo(C); Neklasificirano(U). To je potpuno uređen skup za koji vrijedi:
TS > S > C > U.

Skup kategorija je podskup nehierarhijskog skupa elemenata ( područja primjene
informacija ili područja pripadnosti podataka). Primjeri kategorija mogu biti Nato, Nuklearni
odjel, Kripto zavod i dr.

Skup sigurnosnih razina formira rešetku , koja je parcijalno uređena prema relaciji
dominacije (>).
Sigurnosna razina L
1
=(C
1
,S
1
) je viša ili jednaka (dominira) nad sigurnosnom razinom
L
2
=(C
2
,S
2
) onda i samo ako vrijede slijedeće relacije:

C
1
>C
2
i S
1
_S
2,
gdje C odgovara klasifikaciji, S skupu
kategorija.

Za dvije sigurnosne razine L1 i L2 za koje ne vrijedi da je L
1
>L
2
niti L
2
>L
1
kažemo da nisu
usporedive.

Sigurnosna razina korisnika(subjekta) koja se naziva čistoća(clearance) korisnika.

Sigurnosna razina objekta odražava osjetljivost informacija koju on sadrži.
Modovi pristupa:

- Samo za čitanje
- Dodavanje
- Izvođenje: izvedi objekt (program)
- Čitaj-piši : piši u objekt.


Stanje sustava

Stanje sustava je opisano četvorkom (b,M,f,H) gdje su :
- b je trenutni skup prava.
- M je matrica pristupa koja opisuje prava subjekta na svakom objektu.
- f je funkcija razine koja svakom subjektu i objektu pridružuje njegovu razinu
sigurnosti.
- H je hijerarhija trenutnih objekata.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

65

Operacije

- dobiti pravo : mijenja se b – dodjeljuje se odgovarajuća trojka u b
- oduzeti pravo: mijenja se b - ukida se odgovarajuća trojka u b
- dati pravo: prijenos prava sa jednog objekta na drugi
- povući pravo: oduzeti dana prava
- kreirati objekt: aktiviranje neaktivnog objekta i uključivanje u hijerarhiju H kao
čvora
- brisanje objekta: brisanje čvora iz H, a to povlači i brisanje svih prava po objektu
- mijenjanje nivoa sigurnosti subjekta
- mijenjanje nivoa sigurnosti objekt

Aksiomi

- Svojstvo jednostavne sigurnosti ili svojstvo “ne-čitaj-od-gore”
o (ss property– simple security)
- Svojstvo zvijezde (*-property) ili svojstvo “ne-piši-na-dolje”
- Princip neuznemiravanja
- Svojstvo diskrecijske sigurnosti (ds-property )

Proširena verzija Bell-LaPadula modela:
- nedostupnost neaktivnih objekata
- prepisivanje neaktivnih objekata
.
Ova svojstva (pravila) mogu se prikazati slikovito prema sigurnosnom dijagramu toka koji je
dan na slici 12.1.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

66

Biba model

Razina cjelovitosti:

- klasifikacija
- skup kategorija.

Klasifikacija je element uređenog tročlanog skupa : krucijalno (C), vrlo važno (VI) i važno
(I) uz C>VI>I.
Skup kategorija odgovara skupu kategorija u Bell-LaPadula modelu.

Dion model

U ovom se modelu kombinira kontrola tajnosti iz Bell-LaPadula modela i principi striktnih
prava integriteta iz Biba modela podataka. Razine sigurnosti i razine integriteta se koriste
kako su definirani u modelu Bell-LaPadula i Biba modelu

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

67
Clark-Wilson model

Clark-Wilson model koristi se kod sigurnosnih zahtjeva komercijalnih aplikacija koji se
uglavnom odnose na integritet podataka, a to znači sprečavanje neovlaštene izmjene
podataka, prijevare i greške.

Zahtjevi na integritet dijele se na dva dijela:

- Internu konzistentnost: koja se odnosi na interno stanje sustava koje se održava
samim računalnim sustavom
- Eksternu konzistentnost: koja je usmjerena na odnos internog stanja sustava prema
stvarnom svijetu te koja se treba provoditi izvan računalnog sustava na primjer preko
nadzora (auditing).

Opći mehanizmi za provođenje i očuvanje integriteta su:

- Dobro formirane transakcije : podatcima se može manipulirati od strane specifičnog
skupa programa, korisnika koji imaju pristup programima radije nego samim
podatcima
- Razdvajanje dužnosti : korisnici trebaju surađivati kako bi manipulirali s podatcima,
te se moraju tajno dogovarati kako bi penetrirali u sustav.

Kod primjene Clark-Wilson modela integritet znači:

Biti ovlašten koristiti program za pristup podatcima kojima se može pristupiti samo
preko tog programa.

U Clark-Wilson-ovom modelu gleda se na slijedeće korake:

1. Subjekti se moraju identificirati i autentificirati.
2. Na objektima može raditi samo ograničeni skup programa.
3. Subjekti mogu izvoditi samo ograničeni skup programa.
4. Potrebno je održavati adekvatan zapis (log) o aktivnostima.
5. Sustav treba certificirati kako bi bili sigurni da dobro radi.

U formalizaciji ovog modela, podatci kojima se upravlja kroz sigurnosnu politiku nazivaju se
ograničeni podatci (CDI-constrained data items). Ulazni podatci u sustav uključeni su kao
neograničeni podatci (UDI - unconstrained data items) .
Sa CDI podatcima mogu raditi samo transformacijske procedure (TP). Integritet stanja tih
podataka se kontrolira kroz verifikacijske procedure za integritet (IVP).

Sigurnosna svojstva su definirana kroz pet certifikacijskih pravila:

1. IVP provjerava da li su svi CDI podatci u ispravnom stanju po svakom izvođenju TP-
a.
2. TP-ovi moraju biti certificirani da su ispravni, tj. valjani CDI mora biti transformiran
opet u valjani CDI podatak. Svaki TP je certificiran za pristup posebnom skupu CDI
podataka.
3. Pravila pristupa moraju zadovoljiti svaki zahtjev za razdvajanjem dužnosti.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

68
4. Sve TP procedure moraju zapisivati svoje aktivnosti u dnevnik (log) na principu
dodavanja zapisa (append).
5. Svaki TP koji prihvati (uzima) UDI kao ulaz mora ga konvertirati u CDI ili ga mora
odbaciti te uopće ne provodi transformaciju.

Četiri pravila za provođenje opisuju sigurnosne mehanizme unutar računalnog sustava koji
provode sigurnosnu politiku. Ova pravila ukazuju na sličnost sa kontrolom pristupa u BLP
modelu.

1. Sustav mora održavati i zaštiti listu ulaza (TPi:CDIa, CDIb, …) koja daje popis CDI-a
za koje je TP certificiran za pristup.
2. Sustav mora održavati i zaštiti listu ulaza (UserID, TPi:CDIa, CDIb, …) koja daje
specifikaciju TP procedura koje mogu izvoditi korisnici.
3. Sustav mora autentificirati svakog korisnika koji zahtjeva izvođenje TP procedure.
4. Samo subjekt koji je certificiran za izmjenu pristupnih pravila TP-a može mijenjati
odgovarajuće ulaze u listi. Taj subjekt nema prava za izvođenje te TP procedure.

Zaključno možemo reći da je Clark-Wilson model prije svega okosnica i smjernica za
formalizaciju sigurnosne politike, a ne model određene sigurnosne politike.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

69
Sea View Model (SEcure dAta VIEW model)

Matematička struktura rešetke sigurnosnih razina





Želimo imati jednoznačni odgovor na slijedeća dva pitanja:

- Za dva dana objekta na različitim sigurnosnim razinama koja je minimalna razina
sigurnosti koju mora imati subjekt kako bi mu bilo dozvoljeno da čita oba objekta ?
- Za dva dana subjekta na različitim sigurnosnim razinama koja je maksimalna
sigurnosna razina objekta da bi se taj objekt mogao čitati od oba subjekta ?


Definicija: Rešetka (L, ≤) se sastoji od skupa L sigurnosnih razina i parcijalnog uređenja ≤,
tako da za svaka dva elementa a,b є L postoji najmanja gornja granica u є L i najveća
donja granica l є L, tj.


a ≤ u, b ≤ u i za svaki v є L : (a ≤ v ۸ b ≤ v ) → (v ≤ u)

l ≤ a, l ≤ b i za svaki k є L : (k ≤ a ۸ k ≤ b ) → (l ≤ k)

U sigurnosti mi kažemo ˝a je podređeno b˝ ili ˝b je nadređeno a˝ ako je a ≤ b.

Tipičan primjer:
- L je P ({a, b, c}), skup svih podskupova (power set) od {a, b, c}.
- Parcijalno uređenje je relacija između podskupova, a to je relacija podskupa c .

A, B є P ({a, b, c}) postavljamo strelicu od A prema B ako i samo ako je A podskup od B i
ako je A ≠ B i ako ne postoji C є P ({a, b, c}) takav da je A < C < B i da je A ≠ C i B ≠ C.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

70


Rešetka (P({a,b,c}), c)






























Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

71
Više razinske baze podataka (MLS DB)

Ukoliko želimo sakriti postojanje podataka veće osjetljivosti i da spriječimo aktiviranje tajnih
kanala pribjegavamo pojmu višepojavnosti podataka u bazi kako bi:
- sačuvali jedno od najvažnijih svojstava baze a to je njen integritet,
- spriječili otkrivanje povjerljivih podataka putem tajnih kanala.

Za realizaciju tih kontrola pristupa koriste se mandatne politike (MAC) prema principima
BLP i Biba modela (Sea View model).

Označavanje objekata

Oznake su:
- Oznaka baze podataka: za odluku da li korisnik može pristupiti relacijama unutar
baze
- Oznaka relacije: za odluku da li je korisniku dozvoljeno da pristupa n-torkama unutar
relacije (tablice)
- Oznaka n-torke: za odlučivanje da li je korisniku dozvoljeno da pristupi svim
elementima unutar n-torke
- Oznaka elementa: za odlučivanje da li je korisniku dozvoljeno da pristupi elementu.

Sigurnosna politika treba biti:
- Potpuna: sva polja u bazi podataka su zaštićena, i
- Konzistentna: da ne postoje konfliktna pravila koja upravljaju pristupom podacima.

Konzistentno adresiranje

- Bazu podataka D;
- Relaciju R unutar baze podataka D;
- Primarni ključ za n-torku r unutar relacije R
- Atribut i , koji identificira element r
i
unutar n-torke r.

Kako bi došli do elementa r
i
moramo zadovoljiti slijedeći odnos pristupnih klasa:

f
o
(D) ≤ f
o
(R) ≤ f
o
(r).

f
o
(r
i
) ≤ f
o
(r)

Višepojavnost (polyinstantiation)

U MLS DB modelu (˝low˝ korisnik), korisnik niske razine povjerenja ne zna za postojanje
podataka visoke razine.
Imamo tri opcije:

- Odbiti provođenje ažuriranja: no na taj način otkrivamo informaciju da postoji
podatak više osjetljivosti,
- Prepišemo staru vrijednost: time ne otkrivamo postojanje informacije više
osjetljivosti, ali je uništavamo,
- Izvodimo ažuriranje ali zadržavamo staru vrijednost: to se zove višepojavnost.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

72

Višerazinske tablice mogu razmatrati kao trodimenzionalna struktura sa slijedećim
koordinatama:

- Originalni primarni ključ
- Atribut
- Pristupna klasa

Sada možemo definirati integritet višepojavnosti za MLS DB :

Ako dvije n-torke u relaciji imaju isti primarni ključ i odgovarajući ulazi za neke atribute
imaju istu pristupnu klasu tada su i vrijednosti podataka tih atributa iste. Ako dvije n-torke
relacije u bazi imaju isti primarni ključ i ako postoje neki atributi koji imaju različite
pristupne klase tada i vrijednosti podataka tih atributa moraju biti različite

Drugi dio pravila osigurava da trebamo samo jednu elementarnu operaciju kako bi došli do
podatka iz višepojavne relacije.































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

73
SEcure dAta VIEW model je model sigurnosti zaštite relacijskih baza.

Kontrola pristupa:
- diskrecijske i
- mandatne smjernice

Razine modela:
- Model kontrole mandatnog (obvezatnog) pristupa ( MAC – model, Mandatory
Access Control ) -Referentni monitor.
- Model povjerljive baze ( TCB – model, Trusted Computing Base )-diskrecijska
kontrola za višerazinske relacije.
TCB Model
MAC Model
Objekti
Višerazinska baza
(MLS DB)
Referentni monitor
BLP + Biba model
Diskreciona
politika
Obvezatna
politika
(mandatna)
MAC objekti
Jednorazinska baza
(SL DB)
Subjekti
Pristup subjekta
odbačen ili 
odobren
SEcure dAta VIEW Model
(Sea View model)


MAC model

Obavezne smjernice kojima se sumiraju aksiomi Bell-LaPadula i Biba modela su
formalizirane preko subjekata, objekata i klasa pristupa.
Klase pristupa
- klasa tajnosti
- klasa integriteta.

Pristupne klase Sea View modela formiraju rešetku prema parcijalno uređenoj relaciji
dominacije (>).
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

74
Za dvije klase C1 =(X1,Y1) i C2=(X2,Y2) vrijedi da je:
C1 >C2
onda i samo ako je X1 > X2 i Y1 sY2, gdje su X1,X2 klase tajnosti, a Y1,Y2 su
klase integriteta.

Na primjer:
Pristupna klasa {(TS,Nato), (I,Nato)} dominira nad klasom {(S,Nato), (VI,Nato)}; dok su
klase {(TS,Nato), (VI,Nato)} i {(S,Nato), (I,Nato)} neusporedive.

Objekti
Objekti u MAC modelu su kontejneri koji sadrže informacije, a pristup kojima se mora
kontrolirati.
Subjekti
Subjekti u MAC modelu su procesi pokrenuti na zahtjev korisnika.

- (mintajnost, maxintegritet) naziva se klasa pisanja subjekta.
- (maxtajnost, minintegritet) naziva se klasa čitanja subjekta.

Modovi pristupa
- čitanje
- pisanje
- izvođenje
Aksiomi

Izvođenje pristupnih modova nad objektima MAC modela provodi se korištenjem skupa
aksioma. Ti aksiomi sumiraju principe Bell-LaPadula i Biba modela.

(1) Svojstvo čitanja
readclass(s) > access class(o).

(2) Svojstvo pisanja
writeclass(s) s accessclass(o)

(3) Svojstvo izvođenja

Subjekt može izvesti neki objekt samo ako je njegov maxintegritet manji ili
jednak od klase integriteta objekta, ta ako je njegova maxtajnost veća ili
jednaka od klase tajnosti objekta koji se izvodi.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

75


Kombinirana svojstva za povjerljive subjekte


TCB model

Ovaj model definira višerazinske relacije i formalizira pravila diskrecijske sigurnosti.
Višerazinske relacije

R(A
1
,C
1
, ... , A
n
,C
n
,T
c
)

A1 C1 A2 C2 A3 C3
Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir U Odjel A U 10000 U TS
Ana TS Odjel A TS 10000 TS TS
Ana U Odjel B U 20000 U C
Stjepan S Odjel B S 20000 S S

Primjer relacije sa klasifikacijskom oznakom svakog atributa

Klasifikacija objekata u ovom modelu mora zadovoljiti slijedeća svojstva:

(1) integritet klase baze
Klasa pristupa relacijske sheme mora biti nadređena nazivnoj klasi baze kojoj
pripada
(2) Svojstvo vidljivosti podataka
Klasa pristupa relacijske sheme mora biti podređena najnižoj klasi pristupa
podataka koji se može pohraniti u neku relaciju. Najviša donja granica raspona
klasa pristupa danih za neki atribut mora biti nadređena klasi pristupa relacijske
sheme.
(3) Klasa integriteta za poglede
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

76
Klasa pristupa pogledu (view-u) mora biti nadređena klasi pristupa bilo koje
relacije ili pogleda imenovanog u definiciji pogleda.

Svojstva koja moraju biti zadovoljena u klasifikaciji višerazinskih relacija su:

(1) višerazinski integritet entiteta
(2) višerazinski referencijalni integritet



Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir U Odjel A U 10000 U TS
 Ana TS Odjel A TS 10000 TS TS
 Ana U Odjel A U 20000 U S
Stjepan S Odjel B S 20000 S S
Višepojavna n-torka uz PK=(Ime,Odjel))


Subjekt klasifikacije S će od gornje višerazinske relacije vidjeti slijedeće:


Ime C
A1
Odjel C
A2
zarada C
A3
TC
Ana U Odjel A U 20000 U S
Stjepan S Odjel B S 20000 S S
.

Pristup višerazinskim relacijama

(1) čistoća subjekta je podređena klasi pristupa podacima (ili je
neusporediva)

- Višepojavna n-torka se pojavljuje kada subjekt umeće n-torku koja ima iste
vrijednosti za primarni ključ kao postojeća ali je za taj subjekt nevidljiva.
- Višepojavni element se pojavljuje uvijek kada subjekt ažurira ono što se
pojavljuje kao nul element u n-torki, što zapravo skriva podatak sa više (ili
neusporedive) pristupne klase.

Primjer:
Razmotrimo li višerazinsku relaciju sa slijedeće slike :
te pretpostavimo da S-subjekt zahtjeva slijedeću operaciju:

A1 C1 A2 C2 A3 C3
Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

77
INSERT INTO Djelatnik
VALUES Stjepan, Odjel A, 10000

rezultirajuća relacija koja sadrži višerazinske n-torke izgleda:

Kao drugi primjer upotrebimo istu relaciju nad kojom S-subjekt izvodi slijedeću
operaciju:

UPDATE Djelatnik
SET zarada = “20000”
WHERE Ime = “Ana”

Rezultirajuća višerazinska relacija sadrži višepojavni element kako je prikazano :


(2) čistoća subjekta je nadređena klasi pristupa podacima

- Višepojavnost n-torke pojavljuje se uvijek kada subjekt umeće n-torku koja
ima iste vrijednosti za primarni ključ kao već postojeća n-torka na nižoj razini.
- Višepojavnost elementa događa se uvijek kada subjekt ažurira atribut koji ima
vrijednost klasificiranu na nižoj razini.

Za primjer razmotrimo gornju relaciju nad kojom TS-subjekt zahtjeva slijedeću
operaciju:

UPDATE Djelatnik
SET Odjel = “Odjel A”
WHERE Ime = “Ana”

Rezultirajuća relacija, gdje su dodane dvije n-torke, dana je na slijedećoj slici:

A1 C1 A2 C2 A3 C3
Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS
Stjepan S Odjel A S 10000 S S

A1 C1 A2 C2 A3 C3
Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Ana S Odjel B S 20000 S S
Stjepan TS Odjel B TS 30000 TS TS

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

78
Kao drugi primjer, koristeći za ulaz istu relaciju kao u prethodnom primjeru, te
pretpostavimo da TS-subjekt zahtjeva slijedeću operaciju:

UPDATE Djelatnik
SET Odjel = “Odjel B”, zarada = “20000”
WHERE Ime = “Branimir”

Rezultirajuća relacija, sa tri dodane n-torke izgleda kao na slijedećoj slici:

Smjernice diskrecijske sigurnosti
(1) Modovi pristupa bazi:
null, list, create-mrelation, delete db, grant ,give grant
(2) Modovi diskrecijskog pristupa relaciji
null, select , insert , update(i) , delete-tuple, create-view,
delete-mrelation, reference, grant, give-grant
(3) Modovi pristupa MAC objektima
read, write, null, grant, give-grant

Kontrola pristupa
- Ako korisnik ima eksplicitnu zabranu pristupa objektu, ta zabrana
ima prednost pred pravima koja korisnik ima preko grupe ili
osobno
- Ako korisnik nema osobnu zabranu, a ima osobno pravo na neki mod
pristupa, tada ima samo to pravo pristupa i ne uzima se u obzir pravo
definirano na nivou grupe
- Ako na nivou korisnika nisu specificirana prava na objekt i ako je korisnik
član grupe kojoj pristup nije zabranjen, tada će korisnik imati prava
pristupa jednaka pravima grupe.

A1 C1 A2 C2 A3 C3
Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Ana S Odjel B S 20000 S S
Ana S Odjel A TS 30000 TS TS
Ana S Odjel A TS 20000 S S
Stjepan TS Odjel B TS 30000 TS TS

A1 C1 A2 C2 A3 C3
Ime C
A1
Odjel C
A2
zarada C
A3
TC
Branimir S Odjel A S 10000 S S
Branimir S Odjel B TS 10000 S TS
Branimir S Odjel A S 20000 TS TS
Branimir S Odjel B TS 20000 Ts TS
Ana S Odjel B S 30000 TS TS
Ana S Odjel B S 20000 S S
Stjepan TS Odjel B TS 30000 TS TS

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

79
Predstavljanje višerazinskih relacija
- Sea View politika zahtjeva da sigurnosni mehanizmi sustava koji provodi
diskrecionu sigurnost i sve ostale politike budu podvrgnuti sigurnosnoj jezgri koja
provodi mandatnu (obvezatnu) sigurnost.
- Sve informacije koje se koriste od TCB moraju se smjestiti u objekte MAC
modela, a pristup njima se nadzire prema mandatnoj politici.To znači da svaka
višerazinska relacija mora biti pohranjena u objektu MAC modela.
- Kako su objekti u MAC modelu jednorazinski, svaka višerazinska relacija se
rastavlja, a podaci se pohranjuju u različite objekte, ovisno o klasi pristupa.
- Ovaj model pruža i način dekompozicije višerazinske relacije na standardne
jednorazinske osnovne relacije relacijskog modela. Pri dekompoziciji se svi
jednovrsno klasificirani atributi promatraju kao cjelina.
- Svaka višerazinska relacija se tada pridružuje na jedan ili više jednorazinskih
objekata (file ili particiju ) štićenih referentnim monitorom koji provodi mandatnu
politiku (MAC).
- Subjekt neće moći pristupiti bilo kom podatku u temeljnoj relaciji ( kako bi
pristupio višerazinskoj relaciji) ako klasa čitanja subjekta ne dominira klasi
objekta koji sadrži spremljene podatke.

Smith i Winslett model (Model uvjerenja subjekta)

Višerazinske baze izgledaju kao niz klasičnih relacijskih baza, po jedna baza za svaku razinu
sigurnosne rešetke.
- Sve baze dijele istu strukturu, a svakoj bazi je pridružena klasa ili nivo sigurnosti.
- Baza na nekom nivou sadrži uvjerenje korisnika tog nivoa o stanju kakvo se odražava u
toj relacijskoj shemi.
- Subjekt vjeruje stanju baze na tom nivou. Subjekt i svi subjekti nižeg nivoa vide ono što
vjeruju da vide.

















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

80
MODELI ZA KONTROLU TOKA INFORMACIJA

U BLP modelu informacija može teći s visoke razine osjetljivosti prema niskoj kroz tajne
kanale. Modeli informacijske sigurnosti razmatraju sve vrste toka informacija, ne samo
direktni tok informacija koji je kontroliran kroz operacije pristupa kao što je to modelirano u
BLP modelu. Neformalno, promjene stanja prouzrokuju tok informacija od objekta x na
objekt y, ako možemo doznati o x kroz promatranje objekta y. Ako već znamo x, nema toka
informacije iz x. Mi bi trebali razlikovati:

- Eksplicitni tok informacija : pregledavamo y nakon pridruženja y := x; što nam daje
vrijednost od x.
- Implicitni tok informacija: pregledavamo y nakon uvjetne naredbe
If x=0 then y:=1; što nam može pokazati nešto o x čak i ako se pridruženje y := 1 nije
izvelo. Na primjer, ako je y = 2 mi znamo da je x ≠ 0.

Komponente modela toka informacija su:

- Rešetka (L, ≤) sigurnosnih oznaka
- Skup označenih objekta
- Sigurnosna politika: tok informacija od jednog objekta sa sigurnosnom oznakom c
1
na
objekt sa sigurnosnom oznakom c
2
je dozvoljen samo ako je
c
1
≤ c
2
; svaki tok informacija koji krši ovo pravilo je ilegalan.

Sustav se naziva sigurnim ako ne postoji ilegalnih tokova informacija. Prednost je ovih
modela što pokrivaju sve vrste tokova informacija. Nedostatak je što postaje sve teže
dizajnirati sigurnosni sustav.

Ne-interferentni modeli su alternativa modelima za siguran tok informacija. Oni koriste
različite formalizme kako bi opisali što subjekt zna o stanju sustava.
Subjekt s1 ne interferira (utječe) na subjekt s2 ako aktivnost od s1 ne utječe na pogled od s2
na sustav. To je kao i modeli toka informacija područje jakog istraživanja, još daleko od
širokih praktičnih rješenja.

Rešetkasti model za kontrolu toka informacije

Dosad razmatrani modeli bili su orijentirani na onemogućavanje direktnog pristupa
podacima i očuvanje integriteta pri direktnom pristupu. Pri tome se nije uzeo u obzir protok
podataka koji se dešava u objektno orijentiranim sustavima u kojima objekti međusobno
komuniciraju porukama .

Formalna definicija

Model protoka informacija FM je definiran 5-orkom

FM=( N , P , SC , © , ÷ )

gdje je :
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

81

- N= { a, b, …. } skup objekata koji sadrže informacije.
- P={p, q, …. } je skup procesa koji izazivaju tok podataka.
- SC = { A, B ,…. } je skup sigurnosnih klasa pridruženih odvojenim klasama
informacija
© je binarni operator za kombinacije klasa koji zadovoljava svojstva asocijacije i
komutacije
÷ je relacija toka kojom se definira tok informacija iz jedne u drugu klasu

Definicija sigurnog modela
Model protoka FM je siguran ako i samo ako ne postoji niz operacija koje bi izazvale tok
koji narušava pravilo relacije “÷” .

Izvođenje rešetkastog modela (rad modela)

Trojka (SC , © , ÷ ) formira univerzalnu ograničenu rešetku (UOR).
(SC , ÷ ) je rešetka jer zadovoljava slijedeća svojstva:

(1) (SC , ÷ ) je parcijalno uređen skup jer relacije na SC zadovoljavaju slijedeće:
refleksivnost: ¬ a e SC vrijedi a ÷ a .
tranzitivnost: ¬ a , b ,c e SC: a ÷ b . b ÷ c ¬ a ÷ c .
antisimetričnost: ¬ a , b e SC : a ÷ b . b ÷ a ¬ a = b
(2) SC je konačan.
(3) SC ima donju granicu L:L÷A ¬ A e SC.
(4) © je operator najniže gornje granice na SC.

Klasifikacije višerazinskih modela mogu se također predstaviti pomoću rešetke.
Na primjer , za dani skup nivoa sigurnosti, definiranih na skupu klasa sigurnosti C
Bell-LaPadula modela, te na skupu kategorija S, rešetka je opisana kao:

L
1
= (C
1
,S
1
) , L
2
= (C
2
,S
2
)
L
1
<= L
2 ¬
(C1, S1) <= (C2, S2) · C1 <= C2, S1 c S2
(C1, S1) © (C2, S2) = (max (C1, C2), S1 S2 )
(C1, S1) © (C2, S2) = (min (C1, C2), S1 · S2 )
L = ( Neklasificirano, {} )
H = ( Vrlo tajno, S )

Na donjim slikama su prikazana dva primjera rešetke u smislu opisa i predstavljanja, te
rešetka BLP modela.








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

82
OPIS: PRIKAZ:

SC = { a
1
, … ,a
n
}

A
n

A
i
÷ A
j
ako je i<=j

A
n-1
A
i
© A
j
= a
max(i,j)


…..
A
i
© A
j
= a
min(i,j)


L=A
1


A
2

H=A
n

A
1


Uređena linearna rešetka





OPIS: PRIKAZ:
{x, y, z} {y,z}
SC = Powerset(S)

A÷B iff A_B
{x, y} {y}
A © B = A B

A © B = A · B

L=C, H=S
{x, z} {z}


{x} C

Rešetka podskupova od S={ x, y, z, }










Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

83

Rešetka za Bell-LaPadula model, za klasifikaciju(S>C>U)
i skup kategorija (o,|)

(H = LUB, L = GLB)











Rešetka BLP modela

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

84
Implicitni i eksplicitni tok

Primjenom modela rešetke na kontrolu toka, analiza svih tokova u programu postaje vrlo
složena, jer svi mogući tokovi nisu eksplicitno navedeni. Zbog toga se uvodi pojam
eksplicitnog i implicitnog toka.

- Tok u objekt b je eksplicitan kada je to rezultat bilo koje operacije koja direktno iz
operanada prenosi informaciju u b.
- Tok u objekt b je implicitan ako se dešava izvršavanjem (ili neizvršavanjem) uvjetne
instrukcije koja izaziva eksplicitni tok u b.

Sa ciljem specificiranja sigurnosnih zahtjeva na programe koji izazivaju implicitni tok, mora
se razmotriti apstraktno predstavljanje programa u kojem je sačuvan tok (ne nužno i
originalna struktura).


Diskusija o mandatnim modelima

- Modeli obvezne kontrole i modeli kontrole toka omogućuju praćenje toka informacija
referentnim monitorom koji će osigurati pridržavanje obveznih pravila.
- Nedostatak primjene matematičkog modela obaveznih smjernica je strogost koja se u
određenim okolinama ne može primijeniti.
- Korisnicima komercijalnih sustava nije uvijek moguće pridijeliti nivo razgraničenja ili
nivo osjetljivosti podataka. Sadašnji sustavi sigurnosti se baziraju na kombinaciji
uvjetnih i diskrecijskih kontrolnih pravila – npr. SEA View model.
- Proširenjem modela diskrecijske kontrole u cilju kontrole toka informacija:
o Obavezno poznavanje pravila za ograničenje toka informacija tijekom izvršenja
procesa u operacijskom sustavu.
o Drugim pristupom problemu pokušalo se osigurati pristup datotekama na bazi
nekih spoznaja o samoj datoteci.
o Bertino (1993) za prevladavanje osjetljivosti diskrecijskih kontrolnih prava
objektno orijentiranih sustava predlaže uporabu striktnih “treba-znati” prava.
o Pristup se sastoji u pridruživanju liste s pravima pristupa svakom objektu s
podacima . Pridružuju dvije liste zaštite – trenutni pristup i potencijalni pristup.














Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

85
MODEL KINESKOG ZIDA (Chinese Wall Model)


Pravilo: Ne smije postojati tok informacija koji može prouzročiti konflikt interesa.

Ta politika kreće od tri razine apstrakcije:

- Objekti. Na najnižoj razini su elementarni objekti, kao što su datoteke. Svaka
datoteka sadrži informacije koje se odnose samo na jednu tvrtku.
- Grupe tvrtki. Na slijedećoj razini, svi objekti koji se odnose na jednu tvrtku se
grupiraju zajedno.
- Konfliktne klase. Na najvišoj razini, sve grupe objekata za konkurentske tvrtke su
grupirane .

Stanje sustava kako je definirano BLP modelom mora se malo adaptirati kako bi zadovoljilo
ovoj sigurnosnoj politici:

- Skup kompanija se označava s C.
- Skup objekta O su stavke informacija koje se odnose na pojedinu kompaniju.
Razumljivo je da su analitičari subjekti i da je S skup subjekta.
- Svi objekti koji se odnose na jednu kompaniju su skupljeni u grupi podataka za tu
tvrtku. Funkcija y : O → C daje grupu tvrtke za svaki objekt.
- Klase konfliktnih interesa pokazuju koje su kompanije međusobni konkurenti.
Funkcija x : O → P(C) daje klasu konflikta za svaki objekt, tj. daje skup kompanija
koje ne bi trebale znati o sadržaju tog objekta. ( P (C) je skup od svih podskupova
(power set) od svih kompanija C1, .. Cn).
- Očišćena informacija je informacija oslobođena osjetljivih detalja i nije predmet
ograničenja pristupa. Za očišćeni objekt o vrijedi x(o) = Ø (nul skup).

Zbog potrebe indirektne kontrole toka informacija uvodimo Bool-ovu matricu N = S x O sa
vrijednostima:

N
s,o
= 1, ako je subjekt s imao pristup objektu o.
N
s,o
= 0, ako subjekt s nije nikad imao pristup objektu o.

Ako je N
s,o
= 0 za svaki s є S i za svaki o є O tada imamo sigurno početno stanje.

Formalno možemo izraziti ss-svojstvo Bell-LaPadula modela kao:

Subjektu s se dozvoljava pristup objektu o samo ako za sve objekte o' sa N
s,o
= 1
vrijedi da je y(o) e x(o') ili y(o) = y(o').

Zbog kontrole indirektnog toka informacija uvodimo * svojstvo BLP modela kako bi
kontrolirali pristup za pisanje.

Subjektu s se dozvoljava pristup pisanja u objekt o samo ako s nema pravo čitanja
objekta o' za koji vrijedi y(o) ≠ y(o') i x(o') ≠ Ø .



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

86

Primjer sigurnosne politike za šest kompanija i tri konfliktne klase.





















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

87
4. OSNOVE KRIPTOGRAFIJE, PROTOKOLI, TEHNIKE I
ALGORITMI

Osnove kriptografije


- Kriptografija grčkog je porijekla i sastoji se od dvije riječi :

kµutto, KRIPTOS tajan, skriven
¸µo¢civ GRAFIEN pisati

- Kriptoanaliza
- Kriptologija

Pojmovi i terminologija

- Prijenosni medij
- Izvorni tekst (plaintext)
- Kriptirani tekst (ciphertext)
- Enkripcija (E)
- Dekripcija(D)
- Ključ šifriranja (K, K
E
)
- Ključ dešifriranja (K, K
D
)

C = E(P) i P = D(C)


Sustavi za enkripciju i dekripciju nazivaju se kriptosustavi.

Algoritmi enkripcije

- simetrična enkripcija

C = E(K,P).

P = D(K,E(K,P)).

- asimetrična enkripcija

P = D(K
D,
E(K
E
,P))





Enkripcija


Enkripcija Dekripcija
Izvorni
tekst
Šifrirani
tekst
Izvorni tekst
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

88


























Kriptografski ključevi


Moderna kriptografija se ne oslanja na tajnost algoritma enkripcije. Ključ koji se koristi u
kriptografskoj transformaciji treba biti jedina stavka koja treba zaštitu. Taj princip je postuliran od
Kerckhoffs-a u prošlom stoljeću.


Upravljanje ključevima (key management) ima najveće značenje u enkripciji. Stoga je potrebno
postaviti slijedeće pitanja:

- Gdje se ključevi generiraju ?
- Kako se ključevi generiraju ?
- Gdje su ključevi uskladišteni ?
- Kako su oni dospjeli tamo ?
- Gdje se ključevi stvarno koriste ?
- Kako se ključevi opozivaju i zamjenjuju ?


Kriptografija je vrlo rijetko potpuno rješenje za sigurnosni problem IS-a. Kriptografija je
translacioni mehanizam, koja obično pretvara sigurnosni problem u komunikaciji u problem
upravljanja ključevima, a samim time u problem računarske sigurnosti.




Enkripcija Dekripcija
Ključ
Izvorni
tekst
Šifrirani
tekst
Izvorni
tekst
(a) Simetrični kripto sustav
Enkripcija Dekripcija
Ključ enkripcije
KE
Ključ dekripcije
KD
Izvorni tekst Šifrirani tekst Izvorni tekst
(b) Asimetrični kripto sustav
Enkripcija sa ključevima
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

89
Prvi poznati sustavi kriptiranja:

- SKITALE kojeg su koristili Grci u 9. stoljeću p.n.e.
- Ceasar-ova šifra koja se bazira na translaciji slova abecede.
- "Vigner-ova šifra".


Osnovni pojmovi i primjene:

- Privatnost
- Autentifikacija
- Identifikacija
- Razmjena ključeva
- Digitalni potpisi

Kriptoanaliza

- pokušaj razbijanja jedne poruke
- pokušaj prepoznavanja uzorka u šifriranoj poruci, kako bi mogao razbiti slijedeće
poruke primjenjujući prethodno pronađeni algoritam dekripcije
- pokušaj da se pronađe opća slabost enkripcijskog algoritma, bez potrebe dohvata bilo
koje poruke

Probijena enkripcija

Enkripcijski algoritam može biti probijen, što znači da uz dosta vremena i podataka analitičar
može odrediti algoritam.

Predstavljanje znakova poruke izvornog teksta


SLOVO: A B C D E F G H I J K L M
KOD: 0 1 2 3 4 5 6 7 8 9 10 11 12

SLOVO: N O P Q R S T U V W X Y Z
KOD: 13 14 15 16 17 18 19 20 21 22 23 24 25

Vrste enkripcija:
- supstitucija,
- transpozicija.

Jednoabecedne šifre (Supstitucija)

- Caesar-ova šifra

c
i
= E(p
i
) = p
i
+ 3

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

90
Puna transalcija Caesar-ove šifre je:

Izvorni tekst: A B C D E F G H I J K L M N O P R S T U V W X Y Z
Šifrirani tekst: d e f g h i j k l m n o p r s t u v w x y z a b c

Upotrebom ove enkripcije poruka

TREATY IMPOSSIBLE

postaje
wuhdwb lpsrvvleoh

Ostale jednoabecedne substitucije

ABCDEFGHIJKLMNOPQRSTUVWXYZ
key

Na primjer:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
k e y a b cd f ghi j l mn op q r s t u v w xz

key = spectacular.

ABCDEFGHIJKLMNOPQRSTUVWXYZ
s p e c t a u l rbd f g h i j kn moq v w x yz
key = adgj

ABCDEFGHIJKLMNOPQRSTUVWXYZ
a d g j

t(ì) =(3-ì) mod 26

ABCDEFGHIJKLMNOPQRSTUVWXYZ
a d g j mp s vybe h k n q twz c f i l o r ux

Šifre višeabecedne supstitucije

E
1
(T) = a i E
2
(T) = b dok E
1
(X) = b i E
2
(X) = a. dakle, E
3
je prikazan kao prosjek od E
1
i E
2
.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

91


Pretpostavimo dva enkripcijska algoritma kako je dole pokazano.

Tablica za neparne pozicije (t
1
(ì) =(3-ì) mod 26)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
a d g j n o s v y b e h k n q t w z c f i l o r u x

Tablica za parne pozicije (t
2
(ì) =((5-ì) + 13) mod 26)


A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
n s x c h m r w bg l q v a f k p u z e j o t y d i


TREAT YIMPO SSIBL E

fumnf dyvtv czysh h

Vigenere tablica

Želimo šifrirati poruku “but soft, what light through yonder window break” koristeći ključ
juliet.

j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i
BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK

Vinegere tabela je skup od 26 permutacija.
Višeabecedna
substitucija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

92

j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i
BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK
k o ea s y c q s i ...


Perfektna šifra supstitucije

- One-Time Pad
- Dugi nizovi (slijedovi) slučajnih brojeva
- Vernam-ova šifra


Poruka: VERNAM CIPHER

Numerički ekvivalenti:

V E R N A M C I P H E R
21 4 17 13 0 12 2 8 15 7 4 17

Sekvenca dvoznamenkastih slučajnih brojeva:

76 48 16 82 44 03 58 11 60 05 48 88


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

93
Rezultat:

19 0 7 17 18 15 8 19 23 12 0 1
t a h r s p i t x m a b
















Binarna Vernam-ova šifra

Na primjer, binarni broj:

101101100101011100101101011100101

Slučajnim binarni niz:

101111011110110101100100100110001

Kriptirani tekst:

000010111011101001001001111010100


Generatori slučajnih brojeva

- Linerni kongruencijski generator slučajnog broja

r
i+1 =
(a * r
i
+ b) mod n

- Duge sekvence iz knjiga


©

XOR ili druga
kombinirajuća
funkcija

©

Kombinirajuća
funkcija
Ista serija brojeva
Duga, neponavljajuća
serija brojeva
Izvorni tekst
kriptirani tekst Izvorni tekst
...134549273
Vernam-ova šifra
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

94
- Korištenje dvostruke poruke

Kriptoanalitički alati:

- distribucija frekvencija
- indeksi koincidencije
- razmatranje visoko vjerojatnih pojava slova i riječi
- analiza ponovljivih uzoraka
- upornost, organizacija, genijalnost i sreća.

Transpozicije (permutacije)

- Stupčaste transpozicije


c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......

Rezultirajući šifarski tekst se dobije prolazom po stupcima



c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......


Dužina ove poruke je multipl od pet, tako da svi stupci izlaze jednake dužine. Ako poruka
nije multiple od dužine redova, zadnji stupci bitće kraći. Slabo učestalo slovo X se koristi da
se ispune kratki stupci.

Složenost enkripcije/dekripcije

Grupe dva, tri slova i ostali uzorci (digram, trigram..)

Digrami Trigrami
_______ _______

EN ENT
RE ION
ER AND
NT ING
TH IVE
ON TIO
IN FOR
TF OUR
AN THI
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

95
OR ONE
___________________________

Algoritam dvostruke transpozicije

Rezultat prvi transpozicije:

tssoh oaniw haaso lrsto (i(m(g(h(w
(u(t(p(i(r s)e)e)o)a) m)r)o)o)k) istwc nasns






Rezultat druge transpozicije:

t n o (m (i m)t s s i l (g (r r) w x s w r (h s) o) c x o
h s (w e) o) n x h a t (u e) k) a x o a o (t o) i s x a s (i (p a) s n x


Šifriranje niza i bloka znakova (Stream & Block ciphers)
Šifriranje niza znakova (Stream cipher)


Prednosti enkripcije niza su:

- (+) Brzina transformacije
- (+) Niska propagacija greške.






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

96
























Nedostatci šifriranja niza su:

- (-) Niska difuzija.
- (-) Sumnjičavost na zloćudna umetanja i izmjene

Šifriranje bloka znakova (Block cipher)




















Y



ISSOPMI
Izvorni tekst
wdhuw
Šifrirani tekst
Šifriranje niza
Ključ
(Opcionalno)
IH
Ključ
(Opcionalno)
XN
OI
TP
DF
ES
FG
HJ
KL
Izvorni
tekst
po
Šifrirani
tekst
ba
cd
fg
hj
fr

Šifriranje bloka
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

97



Prednosti:

- (+) Difuzija.
- (+) Imunost na umetanja..

Nedostatci:

- (-) Sporost enkripcije.
- (-) Propagacija greške.

Svojstva dobrog šifriranja

- Shanon-ova svojstva

1. Iznos(veličina) potrebne tajnosti treba odrediti iznos odgovarajućeg rada za enkripciju
i dekripciju.
2. Skup ključeva i algoritam enkripcije ne smije biti složen (kompliciran).
3. Implementacija procesa mora biti što jednostavnija.
4. Greška u šifriranju ne smije propagirati i prouzročiti uništenje daljnje informacije,
poruke.
5. Veličina šifriranog teksta ne smije biti veća od teksta izvorne poruke.

- Konfuzija i difuzija

Sa čime i kako rade kriptoanalitčari ?

- Samo šifrirani tekst
- Potpuni ili djelomični izvorni tekst
- Šifrirani tekst bilo kojeg izvornog teksta
- Algoritam i šifrirani tekst
















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

98
SIGURNI ENKRIPCIJSKI SUSTAVI

- Brute force attack
- Princip najmanjeg posla
- Teški problemi: Složenost
o NP-complete problemi,
o Galois-ova polja
o Faktorizacija velikih brojeva

Modularna aritmetika

Neka je m cijeli broj (integer). U nastavku ćemo m zvati modulom. Tada možemo definirati relaciju
ekvivalencije ≡ na skupu cijelih brojeva :

a ≡ b mod m ako i samo ako je a – b = λ * m za neki cijeli broj λ.

Kažemo da je ˝a je ekvivalentno b po modulu m ˝. Možemo provjeriti da je ≡ zaista relacija
ekvivalencije koja dijeli skup cijelih brojeva u m ekvivalentnih klasa:

(a)
m
= {b | a ≡ b mod m } , 0 ≤ a < m.

Mnogo je bliže označiti klasu ekvivalencije sa a mod m i mi ćemo koristiti tu konvenciju.
Moguće je lako verificirati slijedeća korisna svojstva modularne aritmetike:

(a mod m) + (b mod m) ≡ (a + b) mod m.

(a mod b) * (b mod m) ≡ (a*b) mod m.

a mod n ≡ b ¬ a ≡ b mod n (simetričnost)

Također, za svaki a ≠ 0 mod p, p je prosti broj, postoji cijeli broj a
-1
tako da je a* a
-1
≡ 1 mod p.

Definicija : Neka je p prosti broj i neka je a cijeli broj. Mulitlipakativni red od a po modulu p
je najmanji cijeli broj n tako da vrijedi a
n
≡ 1 mod p.

Fermat Little teorem : Za svaki a ≠ 0 mod p, p je prosti broj vrijedi a
p-1
≡ 1 mod p.

Sigurnost ovih algoritama se često odnosi na teškoću u rješavanju slijedećih problema iz teorije
brojeva:

- Problem diskretnih logaritama (DLP-Discrete logarithm problem) : za dani modul p, p je
prosti broj, na bazi a i vrijednosti y = a
x
mod p treba pronaći diskretni logaritam x od y.
- Problem n-tog korijena : Za dane cijele brojeve m, n i a, pronađi cijeli broj b tako da je
a = b
n
mod m. Rješenje za b je n-ti korijen od a po modulu m.
- Faktorizacije : Za dani cijeli broj n pronađi njegove proste faktore.







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

99
Sustavi za enkripciju upotrebom javnih ključeva

1976 Diffie i Hellman predložili su novu vrstu enkripcijskih sustava.

Motivacija

Konvencionalni sustavi:

n * (n-1)/2 ključeva.





















Svojstva sustava

Dva ključa: javni ključ i privatni ključ


P = D(k
PRIV
, E(k
PUB,
P)).

P = D(k
PUB
, E(k
PRIV,
P)).


Rivest-Shamir-Adelman (RSA) enkripcija


Uvod u RSA algoritam


Dva ključa, d i e se koriste za dekripciju i enkripciju. Izvorni tekst P se kriptira kao

P
e
mod n.
E
D
F A
B
C
Novi ključevi koje treba
dodati
Kreiranje novih privatnih kanala
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

100

Ključ za dekripciju je odabran tako da je

(P
e
)
d
mod n = P.

Detaljni opis enkripcijskog algoritma


C = P
e
mod n.

P = C
d
mod n.

Enkripcija i dekripcija su međusobno inverzne i komutativne.

P = C
d
mod n = (P
e
)
d
mod n = (P
d
)
e
mod n

Izbor ključeva


Matematička osnova RSA algoritma

Euler-ova funkcija ¢(n) je broj pozitivnih cijelih brojeva manji od n, a koji su relativno prim
brojevi (relativno prosti) u odnosu na n. Ako p prim broj, tada je

¢(p) = (p-1)

Dalje, ako je n = p* q, gdju su p i q oboje prosti brojevi,

¢(n) = ¢(p) * ¢(q) = (p-1) * (q-1)

Fermat i Little su pokazali:

a
p-1
mod p = 1 · a
p-1
= 1 mod p , gdje su a i p relativno prosti brojevi i a < p.

Euler i Fermat su dokazali da je




za svaki integer x ako su n i x relativno prosti.
Pretpostavimo, da kriptiramo izvornu poruku P sa RSA, Tako da je E(P) = P
e
. Tada
moramo biti sigurni da mo`e vratiti poruku. Vrijednost e je odabrana tako da mo`emo odabrati
njen inverz d. Budu}i su e i d inverzi mod ¢(n),



ili

1) - (q * 1) - (p mod 1 d * e ÷
x
¢(n)
÷ 1 mod n
e * d ÷ 1 mod ¢(n)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

101
e * d = k * ¢(n) + 1 (*)

za neki cijeli broj k. To je pretpostavka koju dokazujemo.

Zbog Euler/Fermat rezultata,




te budući je (p-1) faktor od ¢(n)



Množenjem sa P daje

P
k*¢(n)+1
÷ P mod p

Isti argument vrijedi i za q, tako da je

P
k*¢(n)+1
÷ P mod q
Kombinirajući ta dva rezultata sa (*) daje

(P
e
)
d
= P
e*d

= P
k*¢(n)+1

= P mod p
= P mod q

tako da je uz n = p*q

(P
e
)
d
= P mod n · P = (P
e
)
d
mod n (zbog simetričnosti mod.
aritmetike)

te da su e i d inverzne operacije, što i dokaz gore navedene pretpostavke.

Primjer

Neka su p = 11 i q = 13,

n = p * q = 143 ,

a ¢(n) = (p-1) * (q-1) = 10 * 12 = 120.

e = 11. (relativno prost u odnossu na (p-1) * (q-1)).

Inverz od 11 mod 120 je također 11 budući je 11*11 = 121 = 1 mod 120.

e = d = 11

Poruka P = 7 se kriptira kako slijedi:

P
p-1
÷ 1 mod p
P
k*¢(n)+1
÷ P mod p P
k*¢(n)
÷ 1 mod p
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

102
7
11
mod 143 = 106
E(7) = 106.

To je točno jer vrijedi:
D(106) = 106
11
mod 143 = 7.

El Gamal i Algoritam digitalnih potpisa

Algoritam

p – prost broj
a,x – cijeli brojevi ( a < p i x<p)
x – privatni ključ
y - javni ključ

y = a
x
mod p.

k – slučajni cijeli bro (0<k<p-1 )


r = a
k
mod p

s = k
-1
(m-xr) mod (p-1)

gdje je k
–1
multiplikativni inverz od k mod (p-1), tako da je

k * k
-1
= 1 mod (p-1)

Potpis poruke su r i s.

Algoritam digitalnog potpisa (DSA)

- 2
511
< p < 2
512
(tako da je p grubo 170 decimalnih zanamenaka dug).
- 2
159
< q < 2
160
.
- Algoritam eksplicitno koristi H(m) hash vrijednost poruke m.
- Izračunavaju r i s po mod q.

Hash algoritmi

- Hash algoritam je kontrola koja štiti podatke od različitih izmjena
- Hash funkcija proizvodi reducirani oblik tijela podataka.
- Sažetak (digest) ili kontrolna vrijednost.

Opis hash algoritama

- Kriptografska hash funkcija koristi kriptografsku funkciju kao dio hash funkcije.



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

103
Sigurni hash algoritam(SHA)

- ulazne podatke dužine koja je manja od 2
64
bitova reducira na 160 bitova(digest).
- W(0), W(1),.. W(15), su 32 bitne riječi (512 bitova)
- Svaki blok je ekspandiran od 16 riječi na 80 riječi sa

W(t) := W(t-3) © W(t-8) © W(t-14) © W(t-16) , za t := 16 do 79

- Inicijalizacija : H0 := 67452301, H1 := EFCDAB89, H2 := 98BADCFE,
H3 := 10325476 i H4 := C3D2E1F0 (izraženo heksadecimalno).

- Zadnji blok od 16 riječi, 160 bitni digest je pet riječi H0 H1 H2 H3 H4.



Sigurni sustavi korištenjem tajnog ključa (simetrični sustavi)


Simetrični sustavi imaju nekoliko poteškoća:

- Kod svih kripto sustava sa ključevima, ako je ključ otkriven (ukraden, pogođen, kupljen
ili na drugi način kompromitiran) napadač može neposredno dekriptirati informaciju koja
im je dostupna.
- Distribucija ključeva postaje problem.
- Broj ključeva se povećava sa kvadratom korisnika koji izmjenjuju tajnu informaciju.
- Simetrični sustavi, opisani kao konvencionalni, prije pojave javnog ključa, su relativno
slabi, ranjivi na različite kriptoanalitičke napade.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

104







Data Encryption Standard (DES)


Pregled DES algoritma

- Koristi supstitucije i permutacije (transpozicije) (repetitivno kroz 16 ciklusa).
- Izvorni tekst se kriptira kao blok od 64 bita.
- Ključ je dug 64 bita, stvarni ključ 56-bitova.
- Algoritam proizlazi iz dva koncepta Shanon-ove teorije tajnosti informacije
(konfuzije i difuzije),
- Dvije različite šifre primjenjuju se alternativno (Shanon –ova produkt šifra)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

105









Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

106
Detalji enkripcijskog algoritma

- Ulaz u DES po blokovima 64 bita
- Inicijalna permutacija bloka
- Ključ se reducira od 64 na 56 (bez paritetnih bitova:8,16, ..64)
- Započinje ciklus (16 puta)
- Blok od 64 bita u dvije polovice (lijevu i desnu)
- Polovice se proširuju na 48 bitova (proširene permutacije)
- 56 bitni ključ se reducira na 48 bitova (permutirani izbori)
- Ključ se pomiče lijevo i permutira
- Ključ se kombinira sa desnom, pa sa lijevom polovicom
- Nova desna polovica, stara desna postaje nova lijeva.
- 16-ti ciklus , konačna permutacija, inverzija inicijalne permutacije (rezultat enkripcije)












Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

107
RIJNDAEL KRIPTOGRAFSKI ALGORITAM (AES)

Simetrična blok enkripcija






Opis algoritma

Pseudo kod








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

108
Substitucija nad ulaznim podacima (8-bitnim) – SubBytes()

Svojstva
- Nelinerana transformacija
- A - inverzibilna (reci su linearno nezavisni u GF(2
8
) (Galoise polje -konačno polje -
256 elemenata)

b` = A b
-1
+ c gdje je

b = 8-bitni element konačnog polja GF(2
8
)
b = b
7
x
7
+ b
6
x
6
+ b
5
x
5
+ b
4
x
4
+ b
3
x
3
+ b
2
x
2
+ b
1
x + b
0

b
0
… b
7
e { 0,1}
b
-1
= multiplikativni inverz u GF(2
8
)
bb
-1
= 1 mod f(x)

f(x) = nereducibilni polinom
f(x) = x
8
+ x
4
+ x
3
+ x + 1
















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

109
Substitucijska tablica za 128 bitni blok (8-bitna)





Pomicanje redova – ShiftRows()


Veličina bloka u
bitovima
C0 C1 C2 C3
128 0 1 2 3
192 0 1 2 3
256 0 1 3 4


C0,.., C3 je broj pomaka u baytovima.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

110


Mješanje stupaca - MixColumns()





Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

111

Dodavanje dijela proširenog ključa – AddRoundKey ()















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

112
Proširenje ključa

Pseudo kod za proširenje ključa (izmjena)



Gdje je :

w[i] = novi ključ
w[i] = k[i] © temp
k[i] = stari klljuč, iz prethodne iteracije (runde)

SubWord - operacijaje substitucije ista kao kod kriptiranja.
RotWord – rotira sadržaj 32 bitnog registra za 8 bitova
Rcon () – polje koje sadrži konstante
W() – vrijednost novog ključa


Dekriptiranje bloka

Korištenje inverznih transformacija:
- InvShiftRows
- InvSubBytes
- InvMixColumns


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

113




Zaključak:

- Vrlo jednostavan za izvedbu kako u HW tako i SW
- Snažan simetrični blok algoritam
- Baza algoritma su najjednostavnije matematičke operacije (zbrajanje i množenje u
konačnim GF poljima)
- Visok stupanj difuzije i konfuzije (substitucija, miješanje stupaca i redaka matrice
podataka – bloka)
- Miješanje nad 8-bitnim elementima, a ne nad bitovima kao kod DES-a


Uloga Rijndel internih funkcija:

- SubBytes ima zadatak postizanja enkripcije uz primjenu nelinearne substitucije..
- ShiftRows i MixColumns moraju izvršiti miješanje bajtova na različita mjesta
izvornog teksta (Shanon).
- AddRoundkey osigurava neophodnu tajnu, slučajnost distribucije poruke.

Brza i sigurna implementacija

- U SubBytes, izračunavanje b
-1
može se djelotvorno učiniti upotrebom tablice
pretraživanja, mala tablica od 256 parova baytova može se proizvesti jednom i koristiti
zauvijek (može se čvrsto ugraditi u HW ili SW).
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

114
Budući su matrica A i vektor c konstantni , tablica pretraživanja može provesti cijelu
transformaciju ( tablica od 256 ulaza).

- U MixColumns, množenje između elemenata fiksne matrice i stupčastog vektora
može se također realizirati upotrebom metode tablice pretraživanja.veličine od 2*256
= 512 ulaza.

Pozitivni utjecaj AES-a na primijenjenu kriptografiju

- Višestruka enkripcija, kao što je triple-DES postaje nepotrebna sa pojavom AES-a .

- Široka upotreba AES-a dovodi do pojave novih hash funkcija zadovoljavajuće
sigurnosne jakosti.
- AES kao i DES do sada, doprinosi punom razvoju kriptoanalize.

























Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

115

Prikaz Rijndeal algoritma
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

116
Založni ključ i Clipper kriptiranje


Clipper program (MOSAIC)

Nazivi: Clipper, Capstone, Skipjack, MOSAIC, Tessera, Fortezza, i Escrowed
Encryption Standard (EES).

Koncept: založni ključ






























Tehnički aspekti

- Koristi 32 ciklusa (DES 16)
- Ključ k 80 bitni (DES 56)
- Prijenos uključuje polje zakonske agencije (LEAF)
- Kriptiranje poruke M

D(E(M,k),k) = M
- Agencijsko polje sadrži

E((E(k,u)&n&a), f)
Enkripcija Dekripcija
Ključ
Izvorni tekst
Izvorni tekst
Šifrirani tekst
(a) Konvencionalna enkripcija
Enkripcija Dekripcija
Ključ
Izvorni tekst
Izvorni tekst
Šifrirani tekst
Založna
agencija
Dekripcija
Ključ
Založna enkripcija
(b) Založna enkripcija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

117
gdje je:
n – 30 bitni broj koji identificira jednu enkripcijsku jedinicu
u – 80 bitni enkripcijski ključ za n-tu jedinicu
f - 80 bitni enkripcijski ključ za cijelu familiju Clipper chipova
k – 80 bitni ključ za enkripciju poruke M
a - autentifikator založne agencije

Zakonski ovlašteno tijelo će na temelju svojih prava:

1. Prisluškivati komunikaciju.
2. Odrediti da enkripcija koristi Clipper.
3. Dekriptirati E((E(k,u)&n), f) kako bi dobili n.
4. Isporučiti n i kopiju naredbe suda svakoj od agencija.
5. Zaprimiti natrag obje polovice ključa u.
6. Koristiti u za dekripciju E(k,u) kako bi se dobio k, ključ sjednice s kojom je
ova komunikacija (poruka) kriptirana.
7. Dekriptirati komunikaciju (poruku) upotrebom ključa k.















k










M
Početak sa porukom M
k n A

Formiranje LEAF iz ID jedinice (n)
M n,A
u
k f
Kriptirano pod:
Prijenosna polja Clipper poruke

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

118


Snaga kriptografskih algoritama

Mjerenje jakosti kriptografskih algoritama je neka vrsta umjetnosti, koja katkada počiva na
čvrstim matematičkim osnovama, a drugi puta leži na intuiciji i iskustvu. Kriptografski
algoritmi mogu biti:

- Empirijski sigurni
- Sigurni uz dokaz
- Bezuvjetno sigurni

Algoritam je empirijski siguran kao je on održiv (nije probijen) u nekom vremenu testiranja.

Dokazano sigurni algoritmi mogu ponuditi ono što daje računarska sigurnost, tj dokazanu
sigurnost. Dokazana sigurnost je izražena unutar okvira složene teorije. Neki algoritam je
siguran ukoliko je proboj algoritma barem toliko težak kao rješavanje drugog problema za
koji se zna da je težak.

Bezuvjetno sigurni algoritmi ne mogu biti probijeni od strane napadača čak i uz primjenu
neograničenih računarskih resursa.

Šifarski tekst je zapravo rezultat od XOR bit operacije između niza bitova čistog teksta i niza
bitova ključa. Primatelj provodi XOR nad šifarskim tekstom bit po bit uz isti niz bitova
ključa, kako bi dobio izvorni tekst (Vernamov-a šifra).

Šifarski tekst © Ključ = Izvorni tekst ©Ključ © Ključ = Izvorni tekst

Pažnja !

Šifarski tekst 1 © Šifarski tekst 2 = Izvorni tekst 1 © Ključ © Izvorni tekst 2 © Ključ
= Izvorni tekst 1 © Izvorni tekst 2

Osmišljanje dva preklapajuća izvorna tekst i nije teški kriptoanalitički problem.










Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

119
UPOTREBA KRIPTIRANJA KROZ PROTOKOLE

Definicija protokola

Protokol je uređena sekvenca koraka koju provode dvije ili više strana kao bi izveli određenu
zadaću.
Dobar protokol ima slijedeća svojstva:

- Unaprijed je postavljen. Protokol je potpuno dizajniran prije njegove upotrebe.
- Međusobno prihvaćen. Sve strane u protokolu su usvojile njegove korake, kako su
dani.
- Nedvosmislenost. Niti jedna strana ne može krivo provoditi korak jer ga nije
razumjela.
- Potpunost. Za sve situacije predviđene su aktivnosti koje treba provesti.
Protokoli za distribuciju (uspostavu) ključeva

- Protokoli za uzajamno dogovoreni ključ: ključevi koji su uspostavljeni bez pomoći
treće strane.
- Protokoli za transport ključeva: ključevi koji su generirani i distribuirani od treće
strane.

Kada oblikujemo protokol za razmjenu ključeva moramo dakle odgovoriti na dva pitanja:

- Koja će strana stradati ako se uspostavi slabi ključ ?
- Koja strana može kontrolirati izbor ključa ?


Diffie-Hellman protokol

Neka je p veliki i adekvatno izabran prosti broj i neka je g element od skupa cijelih prostih
brojeva po modulu p. Ta dva cijela broja ne trebaju biti tajni.

Protokol između Alice i Boba je slijedeći:

1. Alice izabire slučajni broj a i šalje Bobu y
a


y
a
= g
a
(y
a =
g
a
mod n)

2. Bob izabire slučajni broj b i šalje Alice y
b


y
b
= g
b
(y
b =
g
b
mod n)

3. Alice izračunava K

K = y
b
a
= g
ba


4. Bob izračunava K´
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

120

K´ = y
a
b
= g
ab


K i K´ su jednaki (g
ab


= g
ba
) i predstavljaju dijeljeni tajni ključ.

Ostaje još jedan problem. Niti jedna strana nezna sa kime dijeli tajni ključ. Ovdje su S
a
i S
b

potpisni klučevi od Alice i Bob , sS
a
i sS
b
označavaju generirane potpise

pod tim ključevima.
Koraci u tom protokolu su:

1. A→ B g
a

2. B → A g
b
, eK(sS
b
(g
b
,g
a
))
3. A →B eK(sS
a
(g
a
,g
b
))


Uspostava simetričnih klučeva
Izmjena simetričkih ključeva bez servera
Izmjena simetričnih ključeva upotrebom servera

Needham-Schroeder protokol





























Distribucijski
centar
Pavao Rina
(1)Daj mi ključ za
komunikaciju
sa Rinom
(2) Ovdje je ključ za
tebe i kopija za
Rinu
(3) Rina distribucijski centar
mi je dao ovaj ključ za
našu privatnu komunikaciju
Distribucija ključa kroz distribucijski centar (Needham-
Schroeder Protokol)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

121
Gore navedena komunikacija je opisana slijedećim porukama:

(1) - (P,R,I
p
)
(2) - E(I
p
,R,K
PR
, E(K
PR
,P),K
R
)),K
P
)
(3) - E((K
PR
,P), K
R
)

K
R i
K
P
su ključevi komunikacije sa distribucijskim centrom te ga na početku posjeduju
korisnici P i R.


































Gdje je:

n - slučajni broj
S - simetrični algoritam enkripcije



P
A
V
A
O
R
I
N
A

(1) E
R
(D
P
(K))
Pavao šalje novi ključ, osigurana tajnost i
autentičnost

(2) S(n,K)
Rina šalje kriptirani slučajni broj

(3) S(n+1, K)
Pavao vraća nasljednika od slučajnog
broja
Protokol izmjene simetričnog ključa
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

122
Protokol izmjene asimetričnog ključa preko servera


























Digitalni potpisi

Digitalni potpis mora zadovoljiti dva primarna uvjeta:

- Nekrivotvorljivost. Ako osoba P potpisuje poruku M s potpisom S(P,M), tada je
nemoguće za svakoga da proizvede par [M, S(P,M)]
- Autentičnost. Ako osoba R primi par [M, S(P,M)] poslan od P, R može kontrolirati
da je potpis stvarno od P. Samo P je mogao kreirati ovaj potpis, i potpis je usko
vezan na poruku M.

Dodatna dva svojstva su potrebna za transakcije koje se izvršavaju uz pomoć
digitalnih potpisa:

- Neizmjenjivost. Nakon što je odaslana poruka, M se ne može promijeniti niti od S,
R ili od napadača.
Distribucijski
centar
P
A
V
A
O
R
I
N
A
(1) Molim daj mi
Rinin javni ključ
(P,R)
(2) Tu je
Rinin
javni ključ
D
D
(E
R
,R)
(3) Ja sam Pavao, razgovarajmo, E
R
(P, I
P
)
(4) Molim daj mi
Pavlov javni
ključ (R,P)

(5) Tu je
Pavlov javni
ključ
D
D
(E
P
, P)
(6) Ovdje Rina, što se događa ? E
P
(I
P
, I
R
)
(7) Uh, ja sam zaboravio, E
R
(M, I
R
)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

123
- Nemogućnost ponovne upotrebljivosti. Prethodno prezentirana poruka će biti
trenutno detektirana od R.

Enkripcijski sustavi javnog ključa

D( E(M,-),-) = M = E( D(M,-),-)



































R S
M
D:K
S
Za autentičnost,
nekrivotvorljivost
Dekriptira M
Sprema
kopiju za
buduće
nesuglasice
D:K
S

M
Asimetrični digitalni potpis
S
R
D:K
S
M
Za autentičnost
nekrivitvorljivost
E:K
R
Za tajnost
Dekripcija
(tajnost)
M
D:K
S
Dekripcija
(autentičnost)
M
Sačuvaj
kopiju za
buduće
nesuglas.
M
D:K
S
Dvostruka enkripcija u asimetričnom digitalnom potpisu
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

124
SSL (Secure Socket Layer) protokol

Namjena:

SSL je višenamjenski protokol za slanje kriptiranih informacija preko Interneta. To je zapravo
sloj dodan između TCP/IP protokola i aplikacijskog sloja.

Dok je zadaća TCP/IP protokola slanje ispravnih anonimnih paketa između klijenta i
poslužitelja, SSL dodaje:

- autentifikaciju,
- neporecivost za obje strane putem digitalnih potpisa,
- povjerljivost i
- integritet (putem MAC-a) informacija koje se šalju.

Napadi:

- Onemogućuje man-in-the-middle napad kada strane u biti ne znaju s kim zapravo
komuniciraju.
- SSL sadrži zaštitu i protiv replay napada kada napadač snimi poruku između dvije
strane i reemitira ju.
- Sadrži čak i podršku za kompresiju podataka prije enkripcije.

Glavna primjena SSL-a :

- Zaštita komunikacija preko Internet-a gdje osigurava privatnost, autentičnost i
integritet poruka koje se prenose između dvije strane
- SSL se koristi pri prijenosu osjetljivih informacija ( e-mail poruke, privatne
informacije ), ali i za obavljanje sigurnih transakcija preko Internet-a ( prijenos
brojeva kreditnih kartica, elektroničkog novca - elektroničko plaćanje )
- SSL sadrži sve što je potrebno za sigurnu razmjenu podataka preko mreže,
jednostavan je za uporabu i široko je prihvaćen od strane korisnika. HTTP
osiguran SSL-om naziva se HTTPS.


SSL certifikat mora sadržavati:

- duljinu potpisa
- serijski broj certifikata (jedinstven unutar centralne institucije)
- jedinstveno ime (distinguished name)
- potpis algoritma (označava koji je algoritam korišten)
- DNS ime servera - kod Netscapea su dozvoljeni wildcard znakovi dok Verisign i
ostale centralne institucije odbijaju potpisati certifikate sa wildcard znakovima
(budući da se tako daju ovlasti bilo kojem računalu u domeni, a individualna
računala ne moraju imati te ovlasti)




Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

125
SSL se sastoji od dva protokola:

- SSL Handshake (rukovanje) protokol koji omogućuje klijentu i serveru međusobnu
identifikaciju te razmjenu parametara za prijenos šifriranim ključem (algoritam i
ključeve), i
- SSL Record (zapis) protokol koji obavlja šifriranje i prijenos poruka. SSL Record sloj
prima neinterpretirane podatke od viših slojeva u blokovima proizvoljne dužine i njih
fragmentira u SSL Plaintext slogove veličine 2
14
bajtova ili manje.

Svojstva koja zadovoljava SSL protokol:

- kriptografska sigurnost - osiguravamo ju pomoću sigurnih algoritama za
kriptiranje
- interoperabilnost - moguće je komunikacija dvije aplikacije koje imaju različit
način implementacije SSLa
- proširljivost - dodavanjem dodatnih modula moguće je sačuvati gore navedena
svojstva
- relativna učinkovitost - ugradnjom jednostavnijih algoritama ne gubi se na
sigurnosti, ali se dobiva na brzini rada i smanjuje se opterećenje poslužitelja

Postupak prijenosa podataka pomoću SSL-a može se podijeliti u dvije cjeline:

- uspostavljanje sigurne veze
- prijenos podataka

Implementacija:

Postoji više programskih implementacija SSL-a. Ona prva potječe iz Netscapea i bila je
uključena u njegove pretraživače. Za tržište SAD-a Netscape je pustio u prodaju referentnu
SSL implementaciju u C-u (SSLRef). Kasnije se pojavila nezavisna implementacija SSLeay
koja je globalno dostupna, a danas postoji i par implementacija u Javi.

TLS (Transport Layer Security) protokol

TLS je protokol vrlo sličan SSL-u 3.0. sa par razlika u izboru i korištenju enkripcijskih
algoritama.

Nasljednik SSL-a, protokol TLS 1.0 ima istu funkciju kao i SSL no postoje sitne razlike
između njih. Trenutno TLS 1.0 podržavaju gotovo svi Internet preglednici, dok verziju TLS
1.1. podržavaju zasad Opera i GnuTLS.

Neke od razlika SSL i TLS protokola su :

- numeriranje svih zapisa (record) i
- korištenje broja sekvence u fizičkoj adresi, fizička adresa može se provjeravati samo s
ključem.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

126

TLS protokol sastoji se od dva sloja :

- TLS record protokol i
- TLS Handshake protokol.

Unutar handshake protokola definirana su dva pomoćna protokola:

- Alert protokol i
- Change Cipher Spec protokol.

Record protokol se koristi za enkapsulaciju paketa koji dolaze iz viših slojeva.

Paketi se:
- rastavljaju na fragmente i komprimiraju ,
- izračunava se autentifikacijski kod poruke (MAC),
- enkriptiraju, a
- rezultat se šalje nižim slojevima.

Na donjoj slici vidljiv je izgled TLS record paketa.

Content type Protocol
version
Length Fragment MAC


Kriptirano

Handshake protokol se koristi za:

- međusobnu autentifikaciju između servera i klijenta
- dogovor enkripcijske metode
- te se razmjenjuju kriptografski ključevi.

Sam protokol se sastoji od tri dijela:

- Handshake protokol; ovo je glavni dio, koristi se za dogovaranje verzije TLS
protokola između klijenta i servera, za odabiranje algoritma enkripcije te razmjenu
ključa. Opcionalno, omogućuje autentifikaciju dviju strana za razmjenu shared secret
vrijednosti,
- Change cipher spec protokol se sastoji od jedne poruke koju šalju klijent i server, a
služi za obavještavanje druge strane da će slijedeće poruke biti zaštićene korištenjem
dogovorenih parametara
- Alert protokol za obavještavanje druge strane da se veza prekida ili da je došlo do
pogreške u radu.

Protokol podržava tri modela autentifikacije:
- autentifikacija servera,
- autentifikacija obiju strana i
- potpuno anonimna veza.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

127
5. ARHITEKTURA SIGURNOSNOG SUSTAVA

Namjena uspostave svake arhitekture jest osiguranje konzistentnosti u dizajnu složenih
sustava. Tako je i zadatak ispravne sigurnosne arhitekture uspostava konzistentnog sustava
sigurnosti složenog informacijskog sustava organizacije. Kroz sigurnosnu arhitekturu
uspostavlja se slojeviti pristup čime se pojednostavnjuje složenost sustava sigurnosti.

Model informacijske sigurnosti

Potpuni model sigurnosnog sustava sastoji od tri cjeline:

- Organizacijskog sustava
- Sustava upravljanja
- Tehnološkog sustava

Ovaj model dan je na slijedećoj slici.

Poslovna strategija i ciljevi
Sigurnosni zahtjevi
Sigurnosna strategija i ciljevi
Organizacijaska struktura
Podjela posla -role
Edukacija korisnika

Organizacijski sustav
Upravljanje propisima
Upravljanje sredstvima
Upravljanje rizikom
Upravljanjem tehnologijom

Sustav upravljanja
Ocjena funkcionalnosti
Validacija i autentifikacija
Kontrola pristupa
Integritet podataka
Povjerljivost podataka
Anti DoS


Zaštitna funkcionalnost
(Sigurnosni servisi)
Funkcionalnost detekcije
Funkcionalnost odgovora
Funkcionalnost oporavaka




Tehnološki sustav
Vrednovanje sigurnosnog sustava

Sigurnosna arhitektura sustava, koji implementira gore navedeni model, sastoji se od nekoliko
osnovnih blokova, prikazanih na slici 2.2

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

128


Slika 2.2 Model sigurnosne arhitekture

Model je podijeljen:

- osnova,
- povjerenje i
- kontrola.

Osnova proizlazi iz poslovne i sigurnosne strategije. Povjerenje određuje sigurnosne servise
i funkcije koje se moraju implementirati kako bi se postiglo povjerenje u informacijski
sustav, a kontrola zahtjeva uspostavu sustava upravljanja i nadzora sigurnošću (ISMS-
Information Security Management System). Ovako prikazani model odgovara
konceptualnoj razini SABSA modela koji će biti kasnije prikazan.
Osnova sigurnosnog sustava

Osnova sigurnosnog sustava određena je:

- strategijom (sigurnosnom politikom) organizacije,
- principima te
- definiranim sigurnosnim kriterijima i
- odabranim standardima.

- Sigurnosna politika

Sigurnosna politika će:

- postaviti pravce,
- dati potpun vodič i
- demonstrirati potporu uprave te odanost sigurnosnom načinu rada
Povjerenje Kontrola
Sigurnost Raspoloživost
Integritet
Kontrola
pristupa
Oporavak
Tajnost Kontinuiranost
Autentifikacija Postojanost
Neodbacivanje Konzistentnost
Performanse
Fizièki pristup Pristup mreži
Upravljanje
Mjerenje
Monitoriranje i detekcija
Promjene upravljanja
Nadzor
Osnova
Sigurnosna politika Sigurnosna naèela Sigurnosni kriteriji i standardi Izobrazba
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

129

Ciljevi sigurnosne politike:

- učinkovito upravljanje i nadzor rizika,
- definiranje odgovornosti djelatnika za zaštitu informatičkih sredstava,
- postavljanje osnove za stabilne uvjete rada,
- osiguravanje podudarnosti sa primijenjenim zakonima i propisima, te
- mogućnost očuvanja, u slučaju zloupotrebe, gubitka, ili neovlaštenog otkrivanja
sredstava sustava.


- Načela

Što sigurnost znači za organizaciju i kako će ona biti uvedena ?

- inherentno povjerljivi korisnici,
- inherentno nepovjerljivi korisnici.


- Kriteriji i standardi

Sigurnosni kriterij :

- Definiran referentni standard (TCSEC) primijenjen na sigurnosnu komponentu i
tehnologiju.


- Edukacija

Formalni program edukacije - obavezna komponenta sigurnosne arhitekture.

Povjerenje

Sastav :
- sigurnosti,
- raspoloživosti i
- performansi.

- Sigurnost

Komponente:
- integritet,
- kontrola pristupa (autorizacija) ,
- tajnost,
- autentifikacija i
- neodbacivanje

- Integritet
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

130

Mehanizam kontrole treba omogućiti :
- detekciju,
- ispravak ili
- obilježavanje namjerno ili slučajno nedopuštenih izmjena (podataka,
programa, sklopova).

- Kontrola pristupa (autorizacija)

Osnova:
- identifikacija
- autentifikacija

Autorizacija (podloga na):
- vremenskoj ovisnosti,
- klasifikaciji podataka,
- ulozi ili funkciji korisnika,
- sistemskoj adresi,
- vrsti transakcije, te
- vrsti zahtijevane usluge.

- Tajnost

Osnovna metoda kojom se informacija održava tajnom je kroz kriptiranje podataka.

- Autentifikacija

- Jednoznačno identificiranje i verifikacija korisnika, stroja ili aplikacije.
- Osnova autorizacije i osnovni zahtjev za nadzor i kontrolu pristupa.

- Neodbacivanje

- Odbacivanje izvora (porijekla)
- Odbacivanje isporuke (prijema)

- Raspoloživost

- Kontinuiranost
- Postojanost
- Oporavak
- Konzistentnost

Napad:
- odbacivanje servisa (DoS).

- Performanse

Odgovoriti na zahtjeve u prihvatljivom vremenu ?

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

131

Kontrola - Upravljanje i nadzor

Nadzor i upravljanje sigurnosnim mehanizmima:

- Fizički pristup - kontrola pristupa stvarnim računarskim i mrežnim uređajima.
- Pristup mreži - kontrola pristupa mreži.
- Upravljanje - kontrola i nadzor sigurnosnih mehanizama.
- Mjerenje - utjecaj sigurnosnih mehanizama na rad sustava i mogućnost detekcije
neuobičajenih događaja.
- Monitoriranje i detekcija - mogućnost detekcije kompromitirajućih učinaka i
situacija.
- Promjene upravljanja - upravljanje izmjenama sigurnosnih mehanizama.
- Nadzor - evidencija (zapis) svih raspoloživih informacija za pregled sigurnosnih
događaja.

Sigurnosni kriteriji (odabir tehnologija)

- Određivanje i definicija zahtjeva (svojstava) sigurnosne okoline.
- Vrednovanje sigurnosnih komponenti i primijenjene tehnologije.
- US DoD i NTSC (TCSEC), ECMA, X/Open,..)
- C2 (TCSEC)– minimum za IS

Sigurnosni standardi

- Pomoć kod određivanja sigurnosne arhitekture.

- Principi

- Opći principi sigurnosti - General Accepted System Security Principles (GSSP)
definirani su i prihvaćeni od strane Information Systems Security Association (17
principa)

- Sigurnosna politika

- Ne postoje posebni standardi .
- Pomoć:
- Orange Book: Trusted Computer System Evaluation Criteria
- Red Book: Trusted Network Interpretation
- Green Book: Password Management Guide
- Blue Book: Personal Computer Security Considerations
- Brown Book: Trusted DBMS Interpretation
- Yellow Book: Trusted Environment Interpretation

- Definicije
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

132
- Standard sigurnosne arhitekture ISO/IEC 7498-2, Information Technology-Open
Systems Interconnection-Basic Reference Model- Part2: Security Architecture (poznat
kao ITU-T preporuke X.800)

- Fizička sigurnost
- Jedini standard koji postoji je National Communication Security 5100A (NACSIM
5100A) za Vladu USA, a naziva se Tempest standard.

- Upravljanje sa sigurnošću
- Inačica 2 SNMP (Simple Network Management Protocol) standarda uključuje
RFC 1351: Administracijski model; RFC 1352: Sigurnosne protokole; i RFC
1353: Definiciju objekata za upravljanje za potrebu administriranja SNMP
dijelova..

- Monitoriranje i detekcija
- OSI standard, ISO/IEC 10164-7 (X.736), Security Alarm Reporting Function, daje 14
tipova alarma te njihov vjerojatni uzrok.

- Nadzor
- DCE RFC 29.0 prikazuje specifikacije za implementaciju podsustava nadzora u DCE
uvjetima.
- ISO/IEC 10164-8 (X.740), Security Audit Trail Function, koji definira slog zapisa i
klasu događaja koji generiraju slog zapisa.

- Autentifikacija
- ISO/IEC 9594-8 (X.509), Directory Autentification Framework. X.811 standard

- Kontrola pristupa
- ISO/IEC 10181-3 (X.812), Access Control –kontrola u distribuiranim sustavima


- Tajnost
- ISO/IEC 10181-5 (X.814), Confidentiality Framework

- Neodbacivanje
- ISO/IEC 10181-4 (X.813), Nonrepudation Framework - u distribuiranim uvjetima.

- Akreditacija
- (FIPS PUBS #102) - program za certifikaciju i akreditaciju sigurnosnog sustava.

- Vodič
- Dokumetirani opis procesa i procedura koje primjenjuju načela, politiku i standarde
na stavrne sigurnosne mehanizme.






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

133
SIGURNOSNE POLITIKE ORGANIZACIJE


Namjena:

- Povlašteni korisnici
- Korisnici
- Vlasnici
- Uravnoteženje mogućih konflikata


Svojstva (Atributi)

- Svrha
- Zaštićena sredstva
- Zaštita
- Pokrivenost
- Postojanost (trajnost)
- Realnost
- Koristnost

Donošenje sigurnosne politike

- Skup više pojedinačnih politika koje se odnose na pojedina područja.


Da li je sigurnosna politika potrebna ?

- zavisnost od informacija koje vode poslovanje,
- Inetrnet je područje koje unosi veliku pažnju

Radni okvir sigurnosne politike

- Naredbe (iskazi) politike
- Svrha
- Djelokrug
- Podudarnost sa politikom -
- Penali/Posljedice

Osnovni sigurnosni elementi

- Identifikacija
- Autentifikacija
- Autorizacija
- Zaporke
- Informacijski integritet


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

134
Politika odnosa prema podatcima

- Klasifikacija podataka
- Čuvar podataka (vlasništvo)
- Nadzornik podataka (upravljanje)
- Integritet podataka

Politika u odnosu na osobno korištenje

- Osobno korištenje
- Korištenje informacijskog sustava
- Privatnost

Politika upravljanja sigurnošću sustava

- Odgovornosti rukovodstva
- Upravljanje zapisima
- Sigurnosna administracija
- Razdvajanje dužnosti
- Procjena rizika
- Nadzor podudarnosti sa sigurnosnom politikom
- Odstupanje od politike
- Administracija sustava
- Klasifikacija sustava
- Kontinuitet poslovanja
.

Mrežne politike

- Vanjski pristup mreži
- Udaljeni pristup mreži
- Privatnost komunikacija

Politike za korisnike

- Briga korisnika
- Korisnička odgovornost


Programske politike

- Prava kopiranja
- Zaštita od virusa

Ostale politike

- Razvoj aplikacija
- Vanjske obrade
- Fizička sigurnost
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

135
- Korištenje standarda

Proces kreiranja politika

- Odgovornosti
- Priručnik o sigurnosnoj politici
- Briga o sigurnosti i izobrazba
- Proces implementacije sigurnosne politike


Primjeri sigurnosne politike

- Politika organizacije

Sigurnosne razine zaštite sredstava:

 Sigurnosna razina 1 (SL1) nije izgrađena za zaštitu bilo kojeg specifičnog
sredstva ili da osigura bilo koju razinu zaštite poslovnim uslugama organizacije.
 Sigurnosna razina 2 (SL2) izrađena je za zaštitu regularnih sredstava i za
osiguranje normalne zaštite od prijetnji koje dovode do oštećenja koja dovode do
privremenih posljedica na poslovanje organizacije.
 Sigurnosna razina 3 (SL3) dizajnirana je za zaštitu važnih sredstava i za
osiguranje visoke zaštite od prijetnji koje mogu dovesti do ozbiljnih oštećenja ili
da imaju ozbiljne posljedice na poslovanje organizacije.
 Sigurnosna razina 4 (SL4) dizajnirana je da zaštiti kritična sredstva i da osigura
vrlo jaku zaštitu od prijetnji koje mogu dovesti do vrlo ozbiljnog oštećenja ili do
nepopravljivih posljedica za poslovanje organizacije.


- U.S. odjel za energetiku (DOE)

Izvod iz politike za zaštitu klasificiranog materijala:

Politika je DOE da klasificirana informacija kao i klasificirani AOP sustavi trebaju
biti zaštićeni od neovlaštenog pristupa (uključujući provođenje treba-znati zaštita),
promjena, izlaganja, uništenja, uplitanja sprečavanja servisa, subverzije sigurnosnih
mjera, te nepravilnog korištenja kao rezultat špijunaže, kriminala, zle namjere,
nemarnosti, uvredljivosti ili druge nepodesne akcije. DOE će koristiti sve razumne
mjere da zaštiti AOP sustave koji obrađuju, pohranjuju, prenose ili osiguravaju
pristup klasificiranoj informaciji, što uključuje, a nije ograničeno na, fizičku
sigurnost, sigurnost osoba, sigurnost telekomunikacija, administrativnu sigurnost, te
sklopovske i programske mjere sigurnosti. Takav tok postavlja ovu politiku te definira
odgovornost za razvoj, implementaciju i periodičko vrednovanje DOE programa.


- Internet

Politika sadrži :

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

136
 Korisnici su individualno odgovorni za razumijevanje i respektiranje sigurnosnih
politika sustava (računala i mreža) koje oni koriste.
 Korisnici su odgovorni da primjenjuju raspoložive sigurnosne mehanizme i
procedure za zaštitu njihovih vlastitih podataka. Oni su također odgovorni
pripomoći zaštiti sustava koje oni koriste.
 Isporučioci računalnih i mrežnih usluga su odgovorni za održavanje sigurnosti
sustava sa kojim rade. Oni su dalje odgovorni za obavještavanje korisnika o
njihovoj sigurnosnoj politici i svim promjenama na nju.
 Ponuđači i projektanti su odgovorni za osiguranje sustava koji su moderni te
sadrže adekvatne sigurnosne kontrole.
 Korisnici, isporučioci usluga, ponuđači sklopovske i programske podrške su
odgovorni za međusobnu suradnju kako bi osigurali sigurnost.
 Na tehničko poboljšanje sigurnosnih protokola na Internetu treba gledati na
kontinuiranoj osnovi. U isto vrijeme, osoblje koje razvija nove protokole, sklopove
i programe za Internet treba uključiti razradu sigurnosti kao dio procesa dizajna i
razvoja.


SABSA - model sigurnosne arhitekture

Ovaj model predstavlja praktičnu podlogu za realizaciju sigurnosne arhitekture organizacije
koja se koristi informacijskom tehnologijom.

SABSA model sastoji se od šest razina kako je prikazano na slici 1.

- Poslovni pogled - Kontekstualna sigurnosna arhitektura
- Pogled arhitekta - Konceptualna sigurnosna arhitektura
- Pogled dizajnera - Logička sigurnosna arhitektura
- Pogled graditelja - Fizička sigurnosna arhitektura
- Pogled trgovca - Komponentna sigurnosna arhitektura
- Pogled operativnog menadžera - Operativna sigurnosna arhitektura

Slika 1. SABSA model sigurnosne arhitekture

Kontekstualna razina mora dati puno razumijevanje poslovnih zahtjeva na sigurnost
informacijskog sustava, tj. što, zašto, kako, tko, gdje i kada će se koristiti informacijski
sustav. Odgovori na ta pitanja se dobivaju kroz poslovni pogled. To je opis poslovnog
konteksta u kojem je potrebno projektirati, izgraditi i koristiti sigurnosne sustave.

Pogled arhitekta predstavlja sveukupni koncept kroz koji se mogu realizirati poslovni zahtjevi
na sigurnost. Ova razina arhitekture se naziva konceptualna razina jer ona definira principe i
fundamentalne koncepte koji usmjeravaju selekciju i organizaciju logičkih i fizičkih elementa
na nižim razinama SABSA modela.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

137
Pogled dizajnera se odnosi na preuzimanje konceptualne arhitekture i kreiranje logičke
arhitekture. Ova arhitektura pokazuje na glavne elemente u obliku sigurnosnih servisa te
pokazuje na logički tok upravljanja i na njihove odnose. Ovaj pogled modelira poslovanje kao
sustav s njegovim komponentama koje predstavljaju podsustave.

Pogled graditelja odnosi se na preuzimanje logičke arhitekture, koji logičke opise i sheme
pretvara u tehnološki model koji se koristi za izgradnju sigurnosnog sustava koji se naziva
fizička sigurnosna arhitektura.

Pogled trgovca odnosi se na osiguranje određenih vještina i komponenti nužnih za izgradnju
sigurnosnog sustava, a koje se odnose na programske i sklopovske komponente za potrebne
usluge koje trebaju zadovoljiti određene specifikacije i standarde.
Pogled operativnog menadžera odnosi se na operacije sigurnosnog sustava, njegove različite
servise, održavanje dobrog rada sustava te njegovog nadzora kako bi se postigle željene
performanse i postavljeni sigurnosni zahtjevi.

































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

138
6. POSTUPCI DIGITALNE IDENTIFIKACIJE I AUTENTIFIKACIJE

IDENTIFIKACIJA

Identifikacija je osnova za sve aspekte sigurnosti. Svi korisnici, bilo to informacijska sredstva ili
korisnici IS-a moraju imati jedinstveni identifikator.

Identifikacija unutar tvrtke

Vrsta identifikacije koju koristi tvrtka uvjetuje sve ostale sigurnosne procese. U globalnoj tvrtki
postoji određen broj stvari na koje se treba osvrnuti. Zbog velikog broja stavaka za primjenu
identifikatora uvodi se pojam upravljanja imenima.

Jednoznačnost

Identifikatori moraju biti jednoznačni kako bi se korisnik mogao pozitivno identificirati.

Univerzalnost

Ista vrsta (tip) identifikatora treba biti raspoloživa za sve korisnike – pojedince, sustave, ili
programe – sve što zahtjeva pristup informacijama.

Provjerljivost (verifikacija)

Treba postojati jednostavan i standardiziran postupak provjere identifikatora radi
jednostavnosti arhitekture standardnog sučelja .
.

Nekrivotvorljivost

Identifikator mora biti težak za krivotvorenje kako bi se spriječilo krivo predstavljanje


Prenosivost (Transportabilnost)

Identifikator mora biti prenosiv sa lokacije na lokaciju sa kojih korisnik treba pristup.

Lakoća korištenja

Identifikator mora biti jednostavan za korištenje u svim transakcijama koje ga zahtijevaju.
.

Izdavanje identifikatora


Privatno izdavanje

Privatno izdavanje identifikatora daje organizaciji najvišu razinu kontrole.

Javno izdavanje

Javno izdavanje zahtjeva razinu povjerenja u organizaciju koja izdaje identifikaciju.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

139
Područje upotrebe

Područje upotrebe pokazuje kako široko će se koristiti identifikator, a prema tome koliko
široko će on biti prihvaćen.

Usko područje

Usko područje korištenja identifikatora općenito daje više kontrole lokalnom administriranju
sustava.

Veliko područje

Veliko područje smanjuje broj potreba za identifikacijom i autentifikacijom. Koncept jedne
prijave (single-sign-on SSO) se zaniva na području koje uključuje sve što bi korisnik mogao
trebati.

Administriranje identifikatora

Administriranje identifikatora uključuje kreiranje i opoziv identifikatora, proces distribucije
identifikatora, te integraciju identifikatora u autentifikaciju, autorizaciju i administraciju
sustava.

Centralizirana administracija

Distribuirana administracija

Mogućnosti implementacije

Identifikacija mora biti raspoloživa svim pristupnim metodama.

Standardi imenovanja (označavanja) identifikatora

Standardi imenovanja su izgrađeni na X.500, OSI standardu za usluge imenika
(directory service: Active directory, LDAP).

Smart kartice

Smart kartice se mogu koristiti kako za fizičku identifikaciju tako i za elektroničku (digitalnu)
identifikaciju

 Fizička identifikacija se zahtjeva kako bi se osigurala fizička sigurnost.
- Elektronička (digitalna) identifikacija se koristi za svaki elektronički pristup.

Infrastruktura javnog ključa (PKI)

Infrastruktura javnog ključa (PKI) je sustav koji koristi certifikate koji su zasnovani na
kriptografiji javnog ključa za autentifikaciju identifikatora.

Greške identiteta


Greške identiteta dolaze od konfuzije identifikatora za dva različita pojedinca. To može biti da
identifikatori nisu jedinstveni ili zbog nepažnje od strane ljudi koji ih uspoređuju.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

140

Upute (vodič) za izbor identifikatora (Check list)

- Odrediti što će se koristiti za identifikatore
- Odlučiti tko će izdavati identifikatore
- Postaviti zahtjeve neophodne za izdavanje identifikatora
- Odrediti zahtjeve na identifikaciju za svaku klasu transakcija
- Odrediti kako će se identifikacija administrirati
- Izlistati zahtjeve za izdavanje.
- Odrediti razloge za opoziv.
- Odlučiti kako će se informacija o identifikatorima implementirati i koristiti



AUTENTIFIKACIJA

Autentifikacija je postupak verifikacije identiteta korisnika. Korisnici uključuju pojedine osobe,
računalne uređaje i sredstva.

Aautentifikacijska funkcija F :

F (autentifikacijska informacija) = očekivani rezultat

Faktori autentifikacije

Faktori koji se mogu koristiti za autentifikaciju identiteta nekog entiteta su oni faktori koji su
jedinstveni za taj specifični entitet.

Osnovni faktori


- Nešto što znate – dijeljena tajna, lozinka, nešto što korisnik i autentifikator znaju.
- Nešto što imate – fizički ID (npr. identifikacijska kartica, token, smart kartica)
- Nešto što jeste – mjerljiva svojstva (otisak prsta, facijalne karakteristike, boja glasa..)
Implicitni faktori

Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa entitetom.

- Fizička lokacija
- Logička lokacija.

Višestruki faktori

Općenito korištenje više faktora u autentifikaciji transakcija daje jaču autentifikaciju..

Modeli autentifikacije

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

141
Autentifikacija je verifikacija identiteta kako bi se spriječila impersonalizacija (krivo
predstavljanje), te kako bi se osigurala razina povjerenja koja je nužna za korištenje ovlaštenja
(autorizacija). Vrsta zahtijevane autentifikacije zavisit će od kvalitete identifikatora, pristupne
metode, i zahtijevanih ovlaštenja (privilegija).


Višestruka autentifikacija

U modelu višestruke autentifikacije svaka aplikacija ima potpun kontrolu korištenog
identifikatora za entitet i metode za autentifikaciju.

Jednostruka autentifikacija (SSO)

Jednostruka autentifikacija po sjednici, single sign-on (SSO), velika je prednost za korisnike.

Višerazinska autentifikacija

Višerazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje ovise o
metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.


OPCIJE AUTENTIFIKACIJE

Razina i vrsta autentifikacije zavisi od vrste identifikatora, pristupne metode,
zahtijevane autorizacije, te područja koje je pokriveno autentifikacijom.

I Dvo-strana autentifikacija

Dvo-strana autentifikacija može imati jedno-smjernu i dvo-smjernu shemu.

Autentifikacijska informacija može biti ili statička (napr. fiksna lozinka) ili dinamička (npr. one-time
lozinka OTP)


Lozinke


- Ponovljive lozinke su najraširenija metoda za autetifikaciju danas (PAP).

- One-time Pasword (OTP)-lozinke za jednu upotrebu je strategija korištenja
lozinke samo jednom, pa i ako je ona uhvaćena , ona se ponovo ne koristi.

- Lozinke Pobude-Odziva (CHAP) su druga metoda kojom se rješava problem
njuškanja lozinki po mreži.


Pobuda /odziv (CHAP)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

142
Shema autentifikacije pobuda/odziv je shema zasnovana na lozinkama u kojoj server
postavlja pitanje korisniku - to znači postavlja izazov(pobudu)- a korisnik mora
odgovoriti na odgovarajući način ili autetifikacija završava u grešci.

OTP lozinke

Lozinka je valjana samo za jednu sjednicu autentifikacije-ne prije i ne poslije
(S/KEY).

Token kartica

Uređaj koji donosi lozinke. Token kartica generira različiti niz od osam znakova svaki
puta kada se upotrijebi, pa je ona specijalni slučaj OTP sheme. (SecureID, od RSA
Security )

Smart kartice

Naziv smart kartica opisuje komplet malog, veličine kreditne kartice, elektroničkog
uređaja koji se koristi za pohranu podataka i identifikaciju.

Osnovne karakteristike pametnih kartica
Podjela prema tehnologiji za pohranu podataka
- Magnetske kartice
- Kapacitivne kartice
- Optičke kartice
- Poluvodičke tehnologije
o Memorijske kartice
o Procesorske kartice

Podjela prema načinu uspostavljanja komunikacije za memorijske i procesorske kartice

- Kontaktno sučelje



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

143

- Beskontaktno sučelje
- Kartice s dva sučelja
Svrha pametnih kartica

Ručni uređaji za autentifikaciju (HHAD)

HHAD su prenosivi uređaji, obično u veličini kreditnih kartica, koji imaju lokalno
spremište podataka i mogučnost računanja.

- Kartice zasnovane na sekvenci.
- Kartice zasnovane na vremenu
- Kartice zasnovane na certifikatima

Biometrijska autentifikacija

Biometrička autentifikacija koristi jedinstvenost izvjesnih fizičkih svojstava i
karakteristika pojedinaca, kao što su otisci prstiju, slika rožnice oka, uzorak glasa ili
facijalne karakteristike. Ta fizička svojstva ili karakteristike mogu se reprezentirati
digitalno kao biometrični podatak ili biometrika.

Osnove biometrike

- Kako se ispituju biometrijski uzorci koji su povezani s ljudima ?
- Kako je taj uzorak spremljen ?
- Što čini podudarnost između prezentirane biometrike - "ponuđenog uzorka" i
upisanog predloška ?
- Važna sovstva:
o Veličina pogrešnog prihvaćanja (FAR - false acceptance rate) , dio
pogrešno prihvaćenih podudarnosti za ne upisane osobe i
o Veličina pogrešnog odbacivanja (FRR - false rejection rate), dio
pogrešno odbačenih podudarnosti za legalno upisane osobe



Otisci prstiju


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

144


Digital Persona U.are.U Pro
fingerprint scanner.Fingerprint scanners
can be attached to USB ports as an
external peripheral or they can be
embedded within devices.




Skaniranje dužice oka (Iris scan)


PPP AUTENTIFIKACIJA
PPP protokol (Point-to-Point Protocol) osigurava standardnu metodu za enkapsulaciju
informacije mrežnog protokola na linijama od točke-do-točke. Da bi se uspostavila veza preko
komunikacijske linije, svaki kraj linije mora prvo razmijeniti Link Control Protocol (LCP)
pakete kako bi dogovorio konfiguraciju veze koja se želi uspostaviti. On uključuje i protokol
autentifikacije.


PAP

PAP, Pasword Autetification Protocol (RFC 1334), osigurava jednostavnu metodu za
korisnika za uspostavu njegova identiteta koristeći dvosmjernu razmjenu, kako je pokazano na
slici 5.1.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

145




Slika 5.1 Dvo-smjerna PAP razmjena


CHAP

CHAP, Challenge Handshake Autetification Protocol (RFC 1994) je tro-smjerna
razmjena koja se koristi da se verificira korisnika na PPP vezi (vidi sliku 5.2).





Slika 5.2 Tro-smjerna CHAP razmjena

EAP

Proširivi autetifikacijski protokol (Extensible Authetification Protocol –EAP) (RFC 2284) je
općeniti autetifikacijski protokol koji podržava višestruke autetifikacijske mehanizme.

Autentifikacijska razmjena je pokazana na slici 5.3.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

146





Slika 5.3 Tro-smjerna EAP razmjena
RADIUS

Sa RADIUS-om (Remote Access Dial In user Service – RFC2138) autentificiraju se udaljeni
korisnici, koji se spajaju preko biranih linija.

Tipična RADIUS autetifikacijska sjednica u dial-in uvjetima radi kako je dano na slici 5.4



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

147

S/KEY i OTP

Ideja je da korisnik i uslužno mjesto svako konstruira dugu listu OTP lozinki, svaka slijedeća
proizašla je iz predhodne.

S – inicijalna lozinka plus dodatak (salt)
H – hash funkcija (MD4 ili MD5)
x
i
– elemet u listi lozinki
N – broj ulaza u listi
i = 1, .., N

x
1
= H(S)
x
2
= H(H(S))
= H(H(x
1
))

x
i
= H(x
i – 1
)

II Autentifikacija kroz povjerljivu treću stranu
Kerberos

Kerberos je mrežni autentifikacijski sustav (RFC 1510) koji omogućuje verifikaciju
identiteta entiteta u otvorenoj i nezaštićenoj mreži koji koristi treću povjerljivu stranu
(opisan kasnije u mrežnoj sigurnosti).

X.509 PKI infrastruktura

PKI infrastruktura specificirana je od strane ITU (International Telecomunication
Union kroz X.509 standard (ITU97) (prije CCITT X.509), te definira okvir za
provođenje autetifikacije kroz mrežu korištenjem kriptografije javnog ključa.

.



Slika 5.7 X.509 certifikacijska hierarhija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

148
PGP (Pretty Good Privacy) povjerljivi model

PGP (Zimmerman 1995) je familija softwarea koji je razvio Philip R. Zimmerman za
zaštitu i sigurnost elektroničke pošte, kroz enkripciju njenog sadržaja i autentificiranje
njenog pošiljaoca.




Slika 5.8 PGP mreža povjerenja

III Autentifikacija u VPN-u

Uloga autentifikacije u VPN-u je da se verificira identitet strana uključenih u uspostavu VPN tunela.

- Autetifikacija između prospojnika
- Autentifikacija klijent-prospojnik



Slika 5.9 Autentifikacija u VPN-u
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

149


Upravljanje autentifikacijom

Upravljane autentifikacijom treba biti jednostavno i integrirano u upravljanje identifikatorima.

Autentifikacijski server

Autentifikacijski server je sustav koji kontrolira autentifikaciju za potrebe IS tvrtke.
On sadrži centralni repozitorij identifikatora, te odgovarajućih autentifikacijskih metoda za
svaki identifikator koje su zasnovane na pristupnoj metodi i zahtijevanim ovlaštenjima.

Narušavanje autentifikacije

Autentifikacija zahtjeva da entitet koji se autentificira šalje potvrde (vjerodajnice) entitetu koji
provodi autentifikaciju.

Direktni napadi

Direktni napadi su direktni napadi na sam proces autentifikacije.

- Pogađanje je postupak pogađanja autentifikacijskih tokena sve dok se ne pogodi
jedan ispravan.
- Razbijanje (cracking) je proces stvarnog izračunavanja lozinki. Ipak treba reći,
da je termin "cracking" često korišten kada je to ustvari pogađanje lozinki.

Indirektni napadi

- Njuškanje je proces prisluškivanja dok se sam identitet autentificira, te prihvat
autentifikacijske informacije.
- Dohvat i odgovor je proces dohvata autentifikacijske komunikacije i odgovor na
nju, tako da autentifikator misli da se entitet reautentificira.
- Otimanje sjednica (Session Hijacking) je krađa sjednice nakon što je provedena
autentifikacija.

Socijalni (društveni) napadi

Napadi na pojedince u pokušaju da oni obznane token za autorizaciju.

- Socijalni inženjering je proces uvjeravanja nekoga da je sigurno otkriti željenu
informaciju.
- Istraživanje je proces otkrivanja korisničke pozadine kako bi se skupilo dovoljno
osobnih informacija koje bi omogućile određivanje vjerojatnih tokena.
- Pretraživanje je proces fizičkog pretraživanja za tokene koji pripadaju
korisnicima.
- Prisluškivanje je proces promatranja korisnika koji unosi token.

Upute (vodič) za izbor i primjenu autetifikacije (Check list)

- Odrediti odgovarajuće metode za autentifikaciju unutar tvrtke
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

150
- Standardizirati autentifikacjske postupke kroz cijelu tvrtku
- Zahtjevanu autetifikaciju treba zasnovati na:
o Pristupnoj metodi
o Zahtijevanoj informaciji
o Zahtijevanom ovlaštenju

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

151
PKI – infrastruktura javnog ključa (PUBLIC KEY INFRASTRUCTURE)


PKI ima tri osnovna procesa:

- cerifikaciju,
- validaciju,
- i opozivanje certifikata.

PKI arhitektura






Slika 5.10 PKI arhitektura


Certifikacija

Certifikacija objedinuje korisnički identitet sa njegovom relevantnom informacijom (ponekad
se informacija ne odnosi na identitet nego i na druge atribute korisničkog entitetea). Da bi
osigurao autentičnost i integritet takvog objedinjenja, CA potpisuje dokumenat sa svojim
privatnim ključem.

U toku certifikacije događa se nekoliko koraka:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

152
- CA mora verificirati da je informacija koja treba biti sadržana u digitalnom certifikatu
autentična i točna.
- Generiranje parova ključeva. Korisnički javni ključ mora biti uključen u certifikat. Često
korisnik sam generira par ključeva te šalje samo svoj javni ključ CA-u.
- CA potpisuje certifikat sa privatnim ključem. To proizvodi dvije stvari: certifikat je
potvrđen od CA, a i integritet certifikata je zaštićen.
- Nakon što je digitalni certifikat kreiran i potpisan od CA, korisnik može dobiti certifikat
od CA.


Validacija

Certifikat mora biti validiran prije nego mu se vjeruje. Validacija certifikata uključuje
slijedeće korake:

- Provjerava se integritet kroz verifikaciju digitalnog potpisa koristeći javni ključ od CA.
- Provjerava se valjanost intervala digitalnog certifikata.
- Provjerava se CRL lista od CA kako bi bili sigurni da certifikat nije opozvan.


Opoziv certifikata

Cerifikat se može opozvati prije njegovog isteka važenja, ukoliko postane neupotrebljiv zbog
nečega, npr. kada se otkrije privatni ključ, ili informacija unutar njega više nije valjana.

CA opoziva certifikat uključujući ga u listu opozvanih certifikata koja se naziva lista
opozvanih certifikata (CRL)..

CA čini CRL poznatom objavljivanjem u dobro poznatom repozitoriju. CRL se ažurira
periodički.

Modeli povjerenja

Izvrsna matematička svojstva kriptografije javnog ključa ne mogu riješiti problem kako se
povjerenje ugrađuje i delegira u PKI infrastrukturi.

Neki ljudi imaju viziju jednog globalnog PKI preko cijele kugle. Drugi vide konfederaciju
PKI-ova zasnovanih na političkim strukturama kao što su nacije i građanstvo. Neki drugi
preferiraju model u kojem, povjerenje smješteno u CA je ograničeno za specifične namjene
za koje se uspostavlja CA.

Model jednog CA povlači jedan PKI za cijeli svijet, gdje svatko koristi jedan CA kako bi
dobio i verificirao certifikat.

Hijerarhijski model ima jedan root CA koji nastavno delgira povjernje drugim CA-ovima u
hierhijaskoj formi. PEM (Privacy Enchanced Mail – RFC 1422) i DNSSEC (Secure Domain
Name System – RFC 2065) koriste taj pristup.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

153
Distribuirani modeli pretpostavljaju da su svi CA-ovi kreirani jednako. Svaki CA ima svoju
vlastitu domenu povjernja i odgovoran je za konfiguriranje svojih vlastitih ključeva u
aplikaciju. (PGP).

- Problem unakrsne certifikacije (cross certification).
- Unakrsni certifikat
- Sigurnosna politika u domenama usklađena i usvojena














































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

154
7. SUSTAVI ZA SIGURNOSNO UPRAVLJANJE I NADZOR TOKOVA
PROCESA (WFMS)

Obilno korištenje WFMS za kritične i strateške aplikacije podiže brigu o prijetnjama
sigurnosnim svojstvima kao što su:

- Integritet koji sprečava neovlaštene modifikacije informacija. Integritet osigurava
ispravnost i adekvatnost sadržaja informacija. Integritet se odnosi i na legitiman
uzorak operacija u pristupu podatcima. U radnom toku (WF) nije dozvoljeno
mijenjanje ili uništenje podataka od strane neovlaštenih agenata.
- Autorizacija je identifikacija od strane sustava različitih funkcija koje korisnik može
izvoditi. Pojedino pravo povezano je s ulogom koja izvodi određeni zadatak ili
pristupa određenom sredstvu (npr. dokumentu). U radnom toku autorizacija znači da
se niti jednom podatku ili sredstvu u bilo koje vrijeme ne može pristupiti bez određene
autorizacije agenta koji koristi podatak ili neko drugo sredstvo informacijskog sustava.
- Raspoloživost sprečava neovlašteno zadržavanje neke informacije ili sredstva.
Informacijsko sredstvo mora biti raspoloživo unutar specificiranog vremena (sjednice)
jednom kada je zatraženo. U radnom toku podatak ili sredstvo mora biti na
raspolaganju agentu za legitimnu upotrebu. To znači da radni tok ne može biti završen
ukoliko ne postoji raspoloživ agent za vrijeme izvođenja zadataka.

Općenito, sigurnosni zahtjevi su posebno potrebni u WF-u kada:

- WF radi sa povjerljivim i osjetljivim podatcima.
- se informacija prenosi u ili od skupa agenata
- postoje posebne autorizacijske procedure za različita sredstva ili informacije koje treba
provoditi u izvođenju WF-a.

Glavnina istraživanja u WFMS-u odnosi se danas na infrastrukturu WFMS-a i na upravljanje
transakcijama u izvođenju WF-a. Ovdje ćemo prikazati autorizacijski model (WAM) sa
aspekta agenata, događaja i podataka koji izvodi WF na siguran način. Razvit ćemo
autorizacijski model upotrebom višerazinskog konačnog automata

Radni tok (Work Flow -WF)

Radni tok može predstaviti kao parcijalno uređen skup zadataka,

t
1
, t
2
, …. t
m
.

Sigurni WF model

Definicija 1. Sigurni WF je računalno podržani poslovni proces koji je sposoban nositi se sa
sigurnosnim prijetnjama te koji je u stanju zadovoljiti sigurnosne zahtjeve koji su definirani
od strane WF modelara.

Definicija 2. Sigurni WFMS je sustav za upravljanje WF-a koji može specificirati, upravljati
i izvoditi sigurni WF.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

155
Opis modela:

- T = {t
1
, t
2
, …, t
m
} je skup od m zadataka.
- E = {e
1
, e
2
, …, e
t
} je skup od t događaja. Specijalni događaj e
start(workflow)
okida
(pokreće) prvi zadatak od WF-a, a drugi specijalni događaj e
comleted(workflow)
se generira
nakon zadnjeg zadatka WF-a.
- A = {a
1
, a
2
, …., a
n
} je skup n agenata.
- TAC = {tac
1
, tac
2
, …, tac
m
} je skup od m privremenih pristupnih kontrola, TAC
specifikacija.
- D = {d
1
, d
2
, …., d
p
} je skup od p dokumenta.
- PR = {pr
1
, pr
2
, …, pr
q
} je skup od q prava.

Realacije između gore navedenih entiteta su slijedeće:

- C : A → T daje skup zadataka nad kojima agent ima mogućnost izvođenja.
Pojašnjeno, C(a
i
) = {t
i1
, t
i2
, …, t
ik
} je skup od k zadataka koji se mogu izvesti od strane
agenta a
i
, tj. C(a
i
) _ T.
- C
-1
: A → T daje skup agenata koji imaju mogućnost izvođenja zadatka. Pojašnjeno,
C
-1
(t
i
) = {a
1i1
, a
2
, …., a
n
} je skup od k agenata koji mogu izvoditi zadatak t
i
, tj. C
-1
(t
i
)
_ A.
- N : T → A je preslikavanje tipa jedan-na-jedan, što daje agenta kojemu je pridružen
zadatak za izvođenje. Pojašnjeno, N(t
i
) = a
i
je agent kojemu je pridruženo izvođenje
zadatka t
i
, tj. N(t
i
) eA.
- P : D → PR daje skup prava koja mogu biti dobivena za dokument. Pojašnjeno, P(d
i
)
= {pr
i1
, pr
i2
, …, pr
ik
} je skup od k prava koja mogu biti dobivena za document d
i
, tj.
P(d
i
) _ PR.
- F : T → TAC je preslikavanje tipa jedan-na-jedan što daje za svaki zadatak t
j
odgovarajuću TAC specifikaciju, tac
tj
, tj. F(t
j
) eTAC.
- G : TAC → D x PR je preslikavanje koje daje skup parova dokument/prava
specificiranih u TAC. Pojašnjeno, G(tac
i
) = {(d
i1
, pr
i1
), (d
i2
, pr
i2
), …., (d
ik
, pr
ik
)} je
skup od k parova dokument/prava koji su navedeni u tac
i,
gdje je
¬j=1,2,…, k
pr
ij
e
P(d
ij
).

Treba uočiti da funkcija kompozicije F ◦ G : T → D x PR daje skup pristupa dokumentu koji
su potrebni za vrijeme izvođenja određenog zadatka.

Glavni razlozi za korištenje višerazinskog automata su:

- Različiti aspekti toka autorizacije mogu se modelirati u jednom okviru.
- Višerazinski konačni automat podržava konkurentna stanja.
- Sa aspekta administriranja autorizacijama, administrator sigurnosti može
primijeniti različite sigurnosne servise za uspostavu sigurnosnih svojstava na
različitim razinama.
- Višerazinski automat omogućava analizu, simulaciju i validaciju WFMS sustava
prije nego se taj sustav implementira.




Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

156
Višerazinski konačni automat za sigurni radni tok (WF)


Autorizacijska
funkcija
WF razina Kontrolna razina Razina podataka
Assign(t,a) *
GrantT(t,a,se) *
RevokeT(t,a,se) *
GenerateE(t,a,e) *
Grant D(t,a,e) *
RevokeD(t,a,e) *


Autorizacijske funkcije

Funkcija 1: Assign (t,a) se koristi kako bi se osiguralo svojstvo autorizacije, gdje sigurni
WF model pridružuje zadatak agentu onda i samo onda ako ga agent može izvesti.

Funkcija 2: GrantT(t,a,se) osigurava svojstvo integriteta i autorizacije tako da sigurni WF
model dodjeljuje zadatak agentu za izvođenje onda i samo onda ako je generiran skup
ulaznih događaja (se eIE(t) ) , tj. izvođenje zadaka nije započeto dok ne završe zavisni
zadatci koji se odnose na relevantnu sjednicu.

Funkcija 3: RevokeT(t,a,se) osigurava svojstva integriteta i autorizacije tako da sigurni
WF model opoziva zadatak koji je bio pridružen agentu onda i samo onda ukoliko je
generiran skup izlaznih događaja (se eOE(t)), te ukoliko su povučena sva dodijeljena
prava na dokumente u datoj sjednici.

Funkcija 4: GenerateE(t,a,e) osigurava svojstvo integriteta i autorizacije tako da agent
može generirati događaj (e e E) za zadatak onda i samo onda ukoliko je autoriziran u toj
sjednici.

Funkcija 5: GrantD(t,a,e) osigurava svojstvo integriteta autorizacije tako da sigurni WF
model dodijeljuje agentu pravo na pristup dokumnetu za izvođenje onda i samo onda ako
je to autorizirano sa zadatkovnim TAC-om u datoj sjednici.

Funkcija 6: RevokeD(t,a,e) osigurava svojstvo integriteta i autorizacije tako da sigurni
WF model povlači agentu pravo na pristup dokumentu onda i samo onda ako je pravo na
pristup dokumentu ili zadatak završio u toj sjednici.










Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

157
Višerazinski konačni automat za sigurni radni tok (WF)




Rad modela:

Razina radnog toka (WF)

WF razina uključuje sigurnosna svojstva zadataka, događaja i agenata.

Sigurnosni zahtjev koji će osigurati sigurnosno svojstvo raspoloživosti je :

Za svaki zadatak mora postojati najmanje jedan agent koji ga može izvršiti.

Invarijantni izraz 1: C
-1
(t) = 0.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

158
Sigurnosni zahtjev koji treba osigurati sigurnosno svojstvo integriteta i autorizacije
na WF razini je:
Agent može izvesti pridruženi zadatak onda i samo onda kao ima dodijeljeno pravo
"izvedi". Sigurni WF mora povuči pravo od agenta kada je zadatak završio
izvođenje.

Invarijatni izraz 2: Agent a može izvoditi zadatak t onda i samo onda ako je
¬ t eT , N(t) = a.

Kontrolana razina

Tok autorizacije je upravljan sa događajima koje generira svaki zadatak, a kontrolna
razina je jezgra sigurnog WF-a. Ona uključuje sigurnosna svojstva događaja i
zadataka.
Za vrijeme izvođenja zadatka agent generira različite vrste događaja kao što su
događaji za pristup dokumentu. Na primjer :

"acquire(d, pr)", "release (d, pr)" ili "process(d, pr) gdje je d e D i pr e PR.

Ovi događaji za pristup dokumentu okidaju razinu podataka koja se treba izvesti.


Razina podataka

Razina podataka ovog modela uključuje sigurnosna svojstva zadataka, agenata i
dokumenta.

Sigurnosni zahtjev koji treba osigurati sigurnosna svojstva integriteta i autorizacije
na razini podataka glasi:

Agent može pristupiti dokumentu sa specifičnim pravom onda i samo onda ako je
pravo pristupa dokumentu dodijeljeno agentu, koji može pristupiti dokumentu samo za
vrijeme izvođenja zadatka. Sigurni WF treba opozvati prava pristupa dokumentu od
agenta čim to pravo više nije potrebno.

Invarijatni izraz 3: Pravo pristupa dokumentu je dodijeljeno/povučeno za/od agenta za
neki zadatak onda i samo onda ako je:

¬ t eT , N(t) = a i - d eD, pr ePR.


Korištenje Petrijevih mreža

Pored gore navedenog rješenja za WAM moguće je koristiti formalni model za tokove
procesa korištenjem Petrijevih mreža (PN).


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

159

8. SIGURNOST I ZAŠTITA PROGRAMA I OPERACIJSKIH SUSTAVA

Greške:
- nenamjerne ljudske greške
- namjerne greške – zloćudni kod

Sve programske greške ne možemo izbjeći, iz dva razloga:
- Kontrola programa se još uvijek provodi na razini pojedinačnog programa i
programera. Nepredvidive greške. često puta i programer može neke greške i
sakriti.
- Drugo, programiranje i programsko inženjerstva se mijenjaju i razvijaju puno brže
nego tehnike u računarskoj sigurnosti..

Virusi i drugi zloćudni kod

Virus
- Tranzietni virus
- Rezidentni virus

Trojanski konj
Logička bomba
Vremenska bomba
Vrata upada ili zadnja vrata(back door)
Crv.
Zec

Kako se virusi priključuju (vežu) na programe

- Dodani virusi


















Originalni
program
Virusni kod Virusni
kod
Originalni
program
+ =
Virus koji se dodaje na program
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

160
- Virusi koji okružuju program

















































Virusni
kod
Originalni
program
Virusni kod
Dio (a)
Originalni
program
Virusni kod
Dio (b)
Fizički Logički
Virus okružuje program
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

161
- Integrirani virusi i zamjene



































Kako virusi dobivaju kontrolu ?

- Jednostavnom zamjenom programa T na disku sa virusom V
- Promjenom pokazivača u tablici datoteka tako da se locira V umjesto T



Originalni
program
Virusni
kod
Modificirani
program
+ =
Virus integriran u program
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

162


Kvaliteta virusa:

- težak za detekciju
- težak za uništenje ili deaktiviranje
- široko područje širenja
- mogućnost reinfekcije
- lakoća kreiranja
- strojno neovisan (neovisan i od OS-a)

















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

163
Smještaj za viruse (dom):

- Boot sektor virusi





























- Memorijski rezidentni virusi

- Ostala domišta za viruse

o Aplikacioni program ( word procesor, tablični kalkulatori, ..
 Macro virusi
o Biblioteke programa
o Kompilatori, loaderi, linkeri, debugeri


Virusni potpisi

Akcije:
- smještaj
- izvođenje
- širenje
(a) Prije infekcije
Bootstrap
loader
Inicijalizacija
sustava
Boot sektor
Drugi sektori
(b) Poslije infekcije

Virus
kod
Inicijalizacija
sustava
Bootstrap
Loader
Boot sektor Drugi sektori


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

164

Potpis - izdajnički uzorak

- Memorijski uzorci
- Uzorci izvođenja
- Uzorci prijenosa
- Polimorfni virusi


Sprečavanje od virusne infekcije

Anti-virusni software

Napadi virusa koriste (exploit) nedostatak kontrola integriteta informacijskog sustava. Kako
bi se obranili moramo sami uključiti te kontrole. Neki od rapoloživih zaštitnih mehanizama su
specifični za viruse, ali oni općenito adresiraju integritet. Strategija obrane treba imati
slijedeće komponente:

- Prevenciju: zaustavljanje infekcije sustava.
- Detekciju: detektiranje virusa koji su infektirali sistem.
- Reakciju: restauriranje sustava do čistog stanja.

Administrativne mjere i briga korisnika su važne za uspješnu zaštitu od virusa.


Fizičke i administrativne kontrole

Fizičke i administrativne kontrole su izvrstan put za sprečavanje ulasaka virusa u sustav. Neke
od tih mjera su iznenađujući jednostavne. Ako ne želite pisanje na flopy disk postavite zaštitu
pisanja, pa niti jedan virus neće moći inficirati disketu. Ako operacijski sustav ima kontrolu
pristupa, treba je ispravno iskoristiti. Na primjer treba postaviti skup dozvola za pristup
datotekama s aplikacijama na mrežnom serveru samo za čitanje i izvođenje.

Postaviti sigurnosne mjere na mjesta gdje virusi mogu ući u sustav. Testirati novi software na
karantenskim računalima gdje je instaliran anti-virusni software. Testirati sa računom koji
ima samo neka moguća prava, kao što je Gost. Još bolje koristiti prospojno računalo
(gateway) za izvođenje virusnog scanera , ispitati sve diskete koje ulaze u sustav. Ako je
floppy disk čisti, on dobiva oznaku te je tada spreman za korištenje unutar organizacije. Ako
je oznaka (stiker) na disku, tada je to briga korisnika da detektira neovlašteni disk unutar
organizacije. Ako je oznaka elektronička zapisana na disk, tada računalo unutar organizacije
može kontrolirati prisutnost oznake i odbaciti neovlašteni disk. Danas su vatrozidovi
(firewall) opremljeni virusnim scanerima za pregled virusa koji dolaze s mreže.

Treba provoditi regularnu (redovitu) kontrolu i držati anti-virusni software ažurnim. Anti-
virusni software treba uključiti u svaku login skriptu korisnika. Sistemski programi mogu
automatski provesti kontrolu u unaprijed određeno vrijeme. Na primjer, u Unixu sistemski
administrator može reći cron programu da izvede programe za kontrolu integriteta. Ne treba
se oslanjati na samo jednu kontrolu, treba koristiti kombinacije kontrola.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

165

Treba postojati plan za izvanredne situacije (contigency plan), tj. Kako reagirati na pojavu
virusnog incidenta. Često se događa da neadekvatna reakcija može izazvati više štete nego
sam virus. Jasno je , da su čisti back-up-ovi neobično važni za restauraciju IS-a nakon
virusnog napada. Ipak, nije rijetko da se u vrijeme kad je detektiran virus, da je on već nađen
na svim backup-ovima koji se čuvaju.

Kriptografska kontrolna suma

Kriptografska kontrolna suma je standardna tehnika zaštite integriteta. Kontrolna suma se
računa za čistu verziju datoteke koju treba zaštiti . Ta se vrijednost sprema na sigurno mjesto,
idealno bi bilo u ROM, npr. na CD. Kadgod se ta datoteka koristi trenutno izračunata
kontrolna suma datoteke se uspoređuje sa uskladištenom vrijednošću.(VACINE). Bilo koja
promjena u originalu će biti detektirana. Tu je jasno da kontrolor kontrolne sume ne mora
znati ništa o virusima kako bi detektirao njihovu prisutnost. On čak što više detektira i
nepoznate viruse (za koje još nisu poznati njihovi potpisi).
Generatori kontrolnih suma su ranjivi kad god se treba ponovno izračunati kontrolna suma ,
npr. kada se mijenja datoteka , ili kada se izgubi kontrolna suma. Zato su oni pogodni za
korištenje tamo gdje se u organizaciji koriste standardni, već razvijeni programi, a ne tamo
gdje se programi razvijaju. Isto tako kontrolori kontrolne sume ne otkrivaju prisutnost
određenog virusa koji je izazvao infekciju, što otežava uspostavu plana daljnjih akcija nakon
što je infekcija detektirana.

Kada sigurnosni sustav zna kako izgleda objekt koji zaštićuje, on ne mora znati kako izgleda
napadač. On treba pregledati izmjene u objektu.

Scanneri

Scanneri pretražuju datoteke za postojanje uzoraka (virusnih potpisa) koji identificiraju
poznati računalni virus. Evidentno je da oni moraju poznavati virus koji detektiraju, pa prema
tome oni se moraju kontinuirano ažurirati na postojanje novih virusa. Scanneri su još uvijek
najpopularniji anti-virusni software. Oni se mogu koristiti bez ikakve pripreme, dok se
kontrolori kontrolne sume mogu koristiti samo nakon što je kontrolna suma generirana, a
skaneri mogu reći točno koji se je virus pojavio, kako bi se mogle poduzeti odgovarajuće
akcije.
Posebno je važno da scanneri raspolažu tehnikama za brzo pretraživanje, kako bi bili
djelotvorni. Tako da oni mogu kontrolirati samo početak ili kraj datoteke, pa virusi raspršeni
kroz kod mogu proći. Tradicionalno scanneri pretražuju cijele datoteke kada su u memoriji.
Scanneri na pristupu pregledavaju datoteke kada se zahtjeva pristup datoteci.

Scanneri se moraju nositi sa činjenicom da se virusi generiraju u laboratoriji često i brzo.
Mutacijske mašine generiraju brzo nove verzije virusa. Polimorfni virusi ugrožavaju tehnike
prepoznavanja uzoraka, pošto isti virus poprima razne oblike pojavnosti. Jednostavni scanneri
bazirani na prepoznavanju uzoraka ne mogu se nositi sa ovim problemima. Makro virusi
donose svoj problem., jer su oni pisani u jeziku visoke generacije pa nisu zgodni za
pretraživanje uzorka sirovog koda. Stoga napredni scanneri sve više kreću prema
prepoznavanju ponašanja, tj. semantičkim svojstvima , umjesto niza bitova koji definiraju
uzorak.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

166
Konačno tu je i problem pozitivne greške. Datoteka može slučajno sadržavati virusni potpis ,
pa će scanner pogrešno alarmirati postojanje virusa. Što više virusnih potpisa scanner ima u
bazi to je i veća vjerojatnost za pogrešni alarm.

Kada sigurnosni sustav ne zna kako izgleda objekt koji štiti, budući je on legitimno izmijenjen,
on mora znati kako izgleda napadač, ili kako se on ponaša. Jedino tada on može provjeriti
njegovu prisutnost.


Preporuke

- Koristiti samo komercijalne programe iz pouzdanih i dobro poznatih dobavljača.
- Testirati sve nove programe na izoliranim računalima.
- Napraviti boot disketu i spremiti na sigurno.
- Napraviti i zadržati kopije sistemskih datoteka za izvođenje.
- Koristiti skanere virusa redovito.

Neke istine i nejasnoće o virusima

- Virusi mogu inficirati sustave koji nisu PC/MS-DOS/Windows.
- Virusi mogu modificirati i skrivene datoteke te "read only" datoteke.
- Virusi se mogu pojaviti u datotekama podataka (CONFIG.SYS i MAKRO)
- Virusi se mogu širiti i drugim putem osmi disketa (mreže, bulletin boards,..)
- Virusi ne mogu ostati u memoriji nakon potpunog gašenja i paljenja kod boot-a.
- Virusi ne mogu inficirati sklopove.
- Virusi mogu biti dobroćudni

Namjerni ciljani zloćudni kod (specifičan kod)

- Vrata upada (trapdoor)

- zaboravi ih odstraniti
- namjerno ih ostavlja zbog testiranja
- namjerno ih ostavlja zbog održavanja završenih programa
- namjerno ih ostavlja u programu kao tajni način pristupa programima nakon što su
oni prihvaćeni za produkciju.

- Napad komadića (salami attack)

- Tajni kanali (covert channels): programi koji ispuštaju informacije
-Memorijski (file lock)
- Vremenski (CPU dodjela)

Kontrola, zaštita od programskih prijetnji

- modularnost,
- nezavisno testiranje,
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

167
- zatvorenost , enkapsulacija
- skrivanje informacije
- upravljanje konfiguracijom
- dokaz ispravnosti programa, verifikacija
- pridržavanje standarda, ISO9000 i dr
- i td.

Kontrole putem operacijskih sustava

- povjerljivi operacijski sustavi,
- međusobna zaštita programa, pa se svaki posebno štiti,
- ograničeni programi, obzirom na pristup sredstvima
- zapis o pristupima sredstvima i dr.

Administrativne procedure

- standardi za razvoj programa i njihovo provođenje
- sigurnosni nadzor
- odvajanje dužnosti ( projektant, programer, operater, ..) i dr.






















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

168

ZAŠTITA I SIGURNOST OPERACIJSKIH SUSTAVA

Usklađenost (podudarnost) između fizčkih stanja sustava i autoriziranih stanja modela
osigurana je sigurnosnim mehanizmima

Osnovni koncepti operacijskih sustava




















OS funkcije :
- Upravljanje procesima i procesorom.
- Upravljanje sredstvima.
- Supervizija.
.
OS funkcije orjentirane na podršku sigurnosti:

- Korisnička identifikacija/autentifikacija
- Zaštita memorije
- Nadzor pristupa sredstvima rač. sustava
- Kontrola toka informacija
- Zapisi i nadzor (Auditing)

Aplikacije
Operacijski sustav
Asemblerski stroj
Firmware stroj
Sklopovski
stroj
Razine arhitekture računalnog sustava
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

169


Korisnička identifikacija/autentifikacija

- Sustavi zasnovani na lozinkama. .
- Sustavi bazirani na upitu-odgovoru.
- Funkcije polinoma.
-
Funkcije zasnovane na transformaciji nizova znakova

-
Funkcije zasnovane na jednostavnim kriptografskim algoritmima

- Sustavi sa dvostrukom autentifikacijom (hand-shaking)
- Autentifikacioni sustavi bazirani na “onom što je korisnik”
o Sustavi računalnih faksimila.
o Sustavi zasnovani na otisku prsta.
o Sustavi zasnovani na prepoznavanju glasa.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

170
o Sustavi zasnovani na svojstvu rožnice oka
Autentifikacija bazirana na lozinkama
Osnovni kriteriji:
- Korištenje najmanje osam znakova, u općenito dugim lozinkama;
- Upotreba numeričkih i alfanumeričkih znakova
- Upotreba velikih i malih slova (ako sustav razlikuje)
- Upotreba specijalnih znakova tipkovnice (na primjer &, @,%);
- Spajanje dviju riječi koje ne koreliraju te skraćivanje rezultirajuće riječi na dužinu n-1,
gdje je n odobrena dužina lozike, te tada ubaciti specijalni simbol;
- Izbor stranih riječi;
- Upotreba niza znakova tipkovnice koja se lako može spremiti (na primjer, zadnja četri
znaka drugog reda, slova u trećem stupcu tipkovice i td.);
- Izbor naziva koji se odnose na hobi pojedinca, njihovo spajanje
- Uvijek izabrati lako zapamtive nazive

Prva riječ Druga riječ Specijalni znak Lozinka
town pick _ town_pi
felix soon @ felix@soon
brain stormy & brain&sto
dog hot ! hot!dog

Korisnici trebaju:
- Izabirati lozinke pridržavajući se gornjih kriterija
- Upamtiti svoju lozinku, nikada je ne pisati
- Nikada ne otkrivati lozinke
- Mijenjati svoje lozinke često i regularno.

Otkrivanje lozinki




















Datoteka
lozinki
Mehanizam dodatka (salt)
DES
Kriptirana lozinka
Dodatak
Dodatak
Lozinka
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

171

























Zaštita memorije

Zahtjevi na zaštitu:

- Konkurentni pristupi
- Zatvorenost (samo za programe)

Sklopovski mehanizmi za zaštitu i nadzor dijeljenja memorije:

- Adresa ograde
- Relokacije
- Granični registri (baza/granica)
- Straničenje (paging)
- Segmentacija




Kriptirana lozinka Dodatak
DES
Usporedba
Unesena
lozinka od
korisnika
Datoteka lozinki
Kriptirana lozinka
Kreiranje i validacija lozinki u UNIX-u
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

172
Adresa ograde




Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

173
Relokacija
- za vrijeme kompilacije
- za vrijeme punjenja programa u memoriju (statička relokacija)
- za vrijeme izvođenja (dinamička relokacija)



Zaštita upotrebom baznih registara

Vrijednosti granica:

1. Registri granica.
2. Registri baza/granica.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

174



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

175
Zaštita područja programa

- Dva para registara
- Arhitekturom oznaka (Tagged architecture).



U nasatvku je dana tablica arhitekture oznaka (tag-ova).

Ozna
ka
Memorijska riječ
R Podatak
RW podatak
X Instrukcija
RW Podatak
X Instrukcija
R Podatak
X Instrukcija
X instrukcija
X Instrukcija
X Instrukcija
X Instrukcija
X Instrukcija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

176


Dijeljenje memorijskih područja

Parovi registara:
- za instrukcije - zajedničko područje
- za podatke – privatna područja


Straničenje (Paging)

.




Pn = L DIV Sp
Po = L MOD Sp

L – logička adresa
Sp – veličina stranice


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

177



Dozvoljene operacije ( prava) na stranici

- “samo za čitanje”,
- “čitanje/pisanje”,
- “samo za izvođenje”.

Implementacija

- zaštitni bitovi u tabeli stranica
- podržava dijeljenje programa
- "čisti " kod – samo za čitanje

Problemi
- dekompozicija programa
- različitost prava objekata u stranici


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

178
Segmentacija




Segmenti – logički entiteti

- glavni program
- procedure, funkcije
- polja
- i dr.

Dijeljnje programa:

- tabela segmenata svakom korisniku
- zaštitni bitovi u tabeli
- istovrsnost objekta u stranici
- "čisti" kod

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

179


Straničenje nasuprot segmnetiranju

Segmentiranje
- homogenost zahtjeva – jedinstveni segment
- snažnije dijeljnje (procedure, funkcije, polja,.)

Straničenje
- raznovrsnost objekata - heterogenost

Starničenje i segmetiranje
- dijeljenje programa
- "čisti" kod
- isti modovi pristupa (operacija)












Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

180
Upravljanje i nadzor pristupa sredstvima RS/IS-a

Zaštita od neovlaštenog pristupa

- Memorijska zaštitta , CPU i dijeljenje programa - sklopovski
- Ostala sredstva (datoteke, uređaji.) – sklopovski, programski moduli OS-a

Moduli imaju slijedeće zadatke:

- kontrola pristupa
- kontrola toka podataka
- mehanizni nadzora i revizije

Mehanizmi kotrole pristupa

- Identifikacija sredstava
- Identifikacija procesa
- operacija nad sredstvima
o CPU: izvođenje
o Memorijski segmenti: čitaj/piši
o Ulazni uređaji: čitaj
o Izalazni uređaji: piši
o Trake: čitaj/piši
o Datoteke podataka: kreiraj, otvori, čitaj, piši, dodaj, zatvori, izbriši
o Datoteke programa: čitaj/piši, izvedi.

Način rada:

- Pristupne hierarhije
- Matrica zaštite ( matrica pristupa).

Pristupne hierarhije
- privilegirani modovi
o privilegirani i korisnički
o hierarhija zaštitnih razina –pristupna domena

- gnijezda programskih jedinica

. <U5<<<U1>U2>U3><U4>>
(U1 ne može pristupiti objektima U4)

- princip minimalnih privilegija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

181


Matrica zaštite (Matrica pristupa)

A[Si,Oj]

Tehnike implementacije

- Tabela
- Pristupne liste
- Liste sposobnosti (Capability Lists)
- Liste ovlaštenje-stavka (Authority-item lists)
- Mehanizmi brava-ključ (Lock-key)


Matrica zaštite smještena u tabelu

Subjekti Objekti Prava
S1

O1 A(S1, O1)
S2 O2 A(S2, O2)
. . .
Sk Or A(Sk, Or)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

182




Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

183







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

184
Zaštita datoteka


- razina dijeljenja – zahtjev na mehanizme
- nema dijeljena – nepotrebni mehanizmi
- kompromis – nadzor dijeljena
o mehanizmi lozinki
o prava vlasništva
o A-lista svakoj datoteci
o kategorije korisnika
 vlasnik
 grupa
 ostali korisnici
o Polje prava – kategorija korisnika
 UNIX ( primjer: rwx r-x r--)
































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

185
MEHANIZMI KONTROLE TOKA INFORMACIJA U PROGRAMIMA

 eksplicitni tokovi

y := f(x1,.,xn),

 implicitni tokovi

if f (x
m+1
, .., x
n
) then y := f(x1, .., xm).


Bell-LaPadula model

o s p (ss-property)

o s pso’.( + *-property)

o
1
© ... © o
m
s p s o’
1
© ... © o’
n
(višerazinski BLP model)


o
1
© ... © o
m
= donja granica
o’
1
© ... © o’
n
= gornja granica


Kontrolni mehanizmi za vrijeme izvođenja

 eksplicitni tokovi
x
i
÷ y (statička i dinamička veza)

x
1
© ... © x
n
s y

 implicitni tokovi

x
i
÷ y , (i = m+1, ... , n):

x
1
© ... © x
m
© x
m+1
© ... © x
n
s y



y := f(x1,.,xn) (eksplicitni tok)

y se pridružuje klasa :

x
1
© ... © x
n
.

i vrijedi:

x
1
© ... © x
n
s y



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

186
Za kondicionalne instrukcije oblika

if f (x
m+1
, .., x
n
) then y := f(x1, .., xm),

novu klasu y računamo

x
1
© ... © x
m
© x
m+1
© ... © x
n.


Kontrolni mehanizmi u kompilaciji

Instrukcije:
 pridruženja,
 sekvence,
 kondicionalne,
 iteracijske
 i pozivi procedurama.

.
Instrukciju pridruženja:

y := f(x
1
,.,x
m
), relacija je

x
1
© ... © x
m
s y

To je sigurno ako je savki tok x
i
÷ y siguran.

Instrukcija sekvence:

begin I1; ... In end

Sigurna je ako su svi tokovi vezani sa savkom instrukcijom Ii (i =1..n) sigurni.

Za uvjete :

if f(x1, ..x.
n
) then I1 [else I2]

relacija je:

x
1
© ... © x
m
s z
1
© ... © z
m


To je sigurno ako je izvođenje od I1 i I2 sigurno, ako su eksplicitni tokovi i od
I1 i od I2 sigurni, i ako su implicitni tokovi x
i
÷ z
j
, i = 1..n, j = 1.. m
sigurni (z
j
(j = 1..m) je varijabla cilja za tokove I1 (ili I2).

Za iteraciju:

while f(x1, ..x.
n
) do I1

definirana je slijedeća relacija:
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

187

x
1
© ... © x
m
s z
1
© ... © z
m


To je sigurno ako ciklus završi, ako je I1 sigurno i ako su implicitni tokovi x
i

÷ z
j
sigurni (gdje su z
j
varijable cilja za tok u I1).

Instrukcija poziva procedure :

procedure-name (a1, ...am, b1, ..., bn),

za procedure oblika:

procedur procedure-name (x1, .., xm; var y1, ..., yn) ;
var z1, ..., zp; * local variables *

begin
procedure body
end;

gdje su x1, ..., xm formalni ulazni parametri, y1, ..., yn su formalni
ulazno/izlazni parametri, dok su a1, ..., am i b1, ..., bn su odgovarajući
ulazno/izalazni stavrni parametri. Poziv proceduri je siguran ako je procedura
sigurna i ako vrijede slijedeće ralacije:

a
i
s b
j
if x
i
s y
j
1 s i s m i 1 s j s n

b
i
s b
j
if y
i
s y
j
1 s i s m i 1 s j s n

Poziv proceduri je siguran ako je ‘procedure-name’ sigurna, a to znači: ako je
svaki tok a
i
÷ b
j
ovlašten ( i odgovarajući xi ÷ yi ovlašten) i ako je svaki
tok bi ÷ bj ovlašten ( i odgovarajući yi ÷ yj ovlašten).


Sustav dedukcije
 program
 procedure
 instrukcije

Ispravnost programa:

varijable v koj odražava stanje informacije na početku i na kraju procedure, i
programa





Izolacija

 Metoda višestrukog prostora eksploatira virtualnu glavnu memoriju za svakog
korisnika sustava
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

188


















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

189
Metoda virtualnog stroja



















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

190
IZGRADNJA SIGURNIH OPERACIJSKIH SUSTAVA







Rješenje zasnovano na sigurnosnoj jezgri

Sigurnosna jezgra mora zadovoljiti slijedeća svojstva:

 Potpunost: Izvodeći sve pristupe informacijama sustava;
 Izolacija: Jezgra mora biti zaštićena od probijanja.
 Verificiranost: Kod sigurnosne jezgre mora se verificirati kako bi se dokazalo da
on implementira sigurnosne zahtjeve i politike koje su opisane u sigurnosnom
modelu.



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

191
Sigurnosna jezgra podržava i nadzire slijedeće funkcije:

 Multiprocesiranje.
 Preklapanje domena izvođenja.
- jezgra,
- supervizor,
- korisnik
 Zaštita memorije..
 U/I operacije

Prednosti :
 Izolacija i separacija. Sigurnosni mehanizmi su odvojeni od OS-a i od korisničkog
prostora; zaštita od korisničkog/sistemskog upada je veća;
 Smanjena veličina i verifikacija. Jezgra je mala, koja je odgovorna samo za sigurnosne
funkcije, pa se stoga može formalno verificirati.
 Izmjenjivost. Moguće izmjene sigurnosnih mehanizama su lagane za implemnetaciju i
testiranje.
 Potpuni nadzor. Svi pristupi se provode pod kontrolom sigurnosne jezgre.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

192
9. STANDARDI I KRITERIJI VREDNOVANJA SIGURNOSTI I
POVJERLJIVOSTI SUSTAVA

- Inicijative u USA. US DoD je promovirao DoD Computer Security Initiative u 1977,
a koja je objavljena 1978.
o Natianal Bureau of Standards (NBS danas NIST- National Institute of
Standards and Technology).
 kriptografske standarde (DES, 1977. ANSI)
 proces razvoja i vrednovanja sigurnosnih sutava

o U 1979, Mitre Corporation je povjereno produkcija inicijalnog skupa
kriterija za vrednovanje sigurnosti sustava koji rade sa klasificiranim
podacima.
o U 1981 Computer Security Center (CSC) je osnovan unutar National
Security Agency (NSA). Cilj je bio da se podrži iniciajtiva DoD Computer
Security Initiative.
o U kolovozu 1985, NCSC (National Computer Security Center) je
osnovan, koji je skuupio CSC i sve US federalne agencije. Centar je formiran
sa slijedećim osnovnim ciljevima:

 Osigurati tehničku podršku vladinim agencijama postaviti reference(upute)
za korištenje klasificiranih podataka;
 Definirati skup kriterija za vrednovanje sigurnosti računalnih sustava, te za
ocjenu raspoloživih sigurnosnih produkata;
 Podržati i provoditi istraživanja u području sigurnosti, te također u
području distribuiranih sustava;
 Potpomagati raspoloživost sigurnosnih sustava;
 Razvijati alate za verifikaciju i testiranje u certifikaciji danih sigurnosnih
sustava;
 Općenito, širiti osjetljivost i sigurnosnu kulturu kao u vladinim agencijama
tako i u privatnim tvrtkama.

Dobro poznati rezultat NCSC-a je “Trusted Computer System Evaluation
Criteria “ (TCSEC) dokument , poznat pod nazivom Orange Book
(Depatment of Defense, 1985). (DoD kriteriji).

o Rainbow Series. Tako je, 1987 publiciran Trusted Network
Interpretation (TNI), što je interpretacija TCSEC za računalne
mreže, koji se također naziva Red Book (NCSC, 1987). tako se je
1991 pojavio Trusted DBMS Interpretation (TDI) od NCSC-a što
predstavlja interpretaciju TCSEC-a za baze podataka.


- U Europi , nekoliko inicijativa je poduzeto kako bi se definirali sigurnosni standardi
(UK-IT, 1990; Komisija Europske unije, 1991; Jahl, 1990).

o Commercial Computer Security Center (CCSC) Ministarstva trgovine i i
industrije (TDI) u Njemačkoj. Velika Britanija, Francuska, Nizozemska su
surađivale s Njemačkom u definiranju Eropskih standarda za sigurnost.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

193
U 1990. CCSC je publicirao Criteria for Security product Evaluation for
Information Systems, poznata kao White Books.

o Druga okolina gdje sigurnosni zahtjevi trebaju biti strogo definirani je
distribuirana okolina. International Standards Organization (ISO) je odgovorna
za definiranje tih standarda.

o Euorpiean Computer Manufactures Association (ECMA), grupa 50 europskih
proizvođača, također je uključena u u definiranje sigurnosnih standarda (ECMA;
1988). Nezin cilj je definiranje kriterija za distribuiranu obradu i za izmjenu
podataka za izvođenje privatnih aplikacija i javnih usluga ( kao što su e-mail,
usluge pretraživanja i dohvata podataka.Rad ECMA-e je prvenstveno orjentiran
na mrežnu domenu, a posebno na definiranje mrežne sigurnosne politike za
nadzor pristupa objektima(računala/aplikacije) različitih domena

- Druge inicijative
o X/Open organizaciju koja je osnovana 1984, koja uključuje grupu Europskih i
US proizvođača u definiranju standarda za otvorene sustave koji su bazirani na
integracijskom okruženju
X/Open Security Guide opisuje sigurnosne standarde koji promoviraju
portabilnost. Familija X/Open standarda , pod nazivom XPG, raspoloživa je u
raznim verzijama (XPG1, XPG2, XPG3)
o American National Standards Institute ANSI je odgovoran za
odobrenje standarda. Upravo sada, različita ANSI povjerenstva razvijaju
standarde za kriptografiju i autentifikaciju poruka.
o International federation for Information processing (IFIP) okuplja
multinacionalne profesionalne i tehničke organizacije koje rade u području
informacijskih sustava. n.11 Tehnička komisija (TC-11) od IFIP-a za Zaštitu i i
sigurnost informacijskih sustava .
o Institute of Electrical and Electronics Engineerrrs (IEEE) je
međunarodna profesionalna organizacija čiji je zadatak, među ostalima, razvoj
standarda koji se podnose ANSI na odobrenje. Među IEEE standarddima,
najvažniji su:
 Standard za aplikacijsku portabilnost u otvorenim sustavima (Portable
Operating System Interface for Computer Environments – POSIX). POSIX
je razvijen u suradnji sa ISO;
 Standard za razvoj sigurnosnih sustava prema POSIX kriterijima; on je još
uvijek pod razvojem od IEEE 1003.6 Security Extensions Commitee.

DoD kriteriji

Kriteriji definirani od US DoD (1985) daju referncu za razvoj i vrednovanje sigurnosnih
sustava.
DoD kriteriji su definirani kako bi opremili:
- Korisnike sa metrikom vrednovanja ocjene pouzdanosti sigurnostih sustava za
zaštitu klasificiranih ili osjetljivih informacija
- Razvojno osoblje/ponuđači sa vodičem izgradnje.
- Dizajneri sa vodičem za specifikaciju sigurnosnih zahtjeva.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

194
Skup kategorija zahtjeva:
- sigurnosna politika
- odgovoronost
- jamstvo
- dokumentacija.

DoD zahtjevi:
- Trusted Computing Base (TCB)
- Referencijski monitor

Sigurnosna politika.
a) DAC.
b) MAC.
c) Oznake.
d) Ponovna upotreba objekata.



























Odgovornost (Accounatbility)

a) Identifikacija/Autentifikacija
b) Nadzor (Audit).
c) Povjerljivi put.



Subjekti
(korisnici,
programi)
Referencijski
monitor
(TCB)
Objekti
(datoteke,
programi,
terminali)
TCB baza podataka
(pravila pristupa, politike,
pristupne klase, i dr.)
Referencijski monitor po DoD kriterijima
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

195
Jamstvo (Assurance)

a) Pouzdanost operacija:

I. Arhitektura sustava.
II. Integritet(cjelovitost) sustava.
III. Analiza tajnih kanala.
IV. Upravljanje sa povjerljivošću.
V. Obnova povjerljivosti.

b) Pouzdanost razvoja

I. Testiranje sutava
II. Specifikacija dizajna i verifikacija.
III. Upravljanje konfiguracijom..
IV. Povjerljiva distribucija.

Dokumentacija.

I. Priručnik povjerljivh sredstava i mogućnosti,
II. Korisnički priručnik sigurnosnih svojstava,
III. Test dokumentacija,
IV. Dokumentacija o izgradnji(projektna dokumentacija)
V. Za klase iznad B ( prema DoD hierarhijskoj klasifikaciji): upravljanje
konfiguracijom, arhitektura sustava, izvješća o analizi tajnih kanala, formalnim
modelu, formalnim i opisnim specifikacijam na visokoj razini











Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

196


DoD hierarhijska klasifikacija




Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

197
10. SIGURNOST BAZA PODATAKA

Koncepti baza podataka

- Data Base Management System (DBMS).
- Konceptualni modeli (ER – model)
- Logički modeli (Hierrhijski, mrežni, relacioni, objketni)
- Shema baze podtaka(konceptualna i logička)
- Jezici (DDL. DML, QL)

Dijelovi DBMS_a

- DDL kompilacija
- Obrada DML instrukcija
- Upiti u bazu podataka
- Upravljanje bazom podataka
- Upravljane datotekama


Skup tabela daje podršku funkcionalnosti ovih modula:

- Tablice opisa baze podtaka
- Tablice autorizacije (ovlaštenja)
- Tablice konkurentnih (istovremenih) pristupa

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

198






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

199



Razine opisa podataka


- Logički pogledi
- Logička shema podataka
- Fizička shema podataka



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

200





Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

201
Elementi relacionog modela podataka

- Relacija je skup n-torki (d1,d2,.. , dn) takvih da vrijedi:

d1 e D1, d2 e D2, …, dn e Dn

- Broj n-torki u relaciji je kardinalitet relacije
- Relaciona baza podataka je skup tablica, gdje tablica odgovara realaciji.
- Realaciona shema se sastoji od od imena relacije i skupa imena realcionih atributa.
- Ograničenja realcionog modela :
- ograničenje integriteta entiteta, što znači da niti jedan primarni ključ ne može biti
nula;
- ograničenje referencijalnog integriteta, između dvije relacije, što znači da n-torka
u jednoj relaciji, a koja referencira drugu relaciju mora referencirati postojeću n-
torku te relacije.

Deklaracija relacije Student sa slike 1.4 ima slijedeći oblik u SQL –u :

CREATE TABLE Student
(StudNum NUMBER (6.0) NOT NULL,
Name CHAR (20),
Birthdate DATE);
CREATE INDEX FOR Student ON Name

SQL instrukcije pretraživanja, umetanja, brisanja i ažuriranja u bazi podataka

SELECT Name FROM Student
WHERE StudNum > ' 316056' AND < '324567'


INSERT INTO Student
VALUES (307240, 'Ferg', '09-25-65')


DELETE FROM Student
WHERE StudNum = '306318'

UPDATE Student
SET Birthdate = '11-28-63'
WHERE StudNum = '319887'

Osnovni operatori relacijske algebre posebno definirani za relacije su:

- Selekcija o : koji se primjenjuje na relaciju r, a kao rezultat vraća novu relaciju s koja
je formirana od n-torki od r uz verifikaciju predikata ( koji su izraženi kroz formule
koje uključuju konstante i operatore usporedbe).Taj operator provodi horizontalnu
dekompoziciju od r;
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

202
- Projekcija t : koji se primjenjuje na relaciju r, a kao rezultat vraća realciju s koja
sadrži n-torke od r definirane na podskupu od atributa od r. Taj operator provodi
vertikalnu dekompoziciju od r;
- Prirodni spoj, r  s; gdje su r(YX) i s(XZ) dvije realcije, tako da je YX ·XZ = X;
prirodni spoj od r i s je relacija t definirana na YXZ koja se satoji od skupa n-torki
koje se dobiju spajanjem n-torki u r sa n-torkama u s koje imaju identična vrijednosti
za atribute u X.

Sigurnosni problemi u radu sa bazama podataka

Postizanje sigurnosti u uvjetima baza podataka znači identificiranje prijetnji i izbor
politika (“što” se od sigurnosti očekuje) i mehanizama ( “kako” će sigurnosni sustav postići
sigurnosne ciljeve). To također uključujepostizanje jamstva sigurnosnog sustava ( “kako
dobro” će sigurnosti sustav ispuniti sigurnosne zahtjeve i izvršiti očekivane funkcije).

Prijetne na sigurnost baza podataka

Kršenje sigurnosti baza podataka se satoji od neodgovarajućeg (neovlaštenog) čitanja,
izmjene ili brisanja podataka. Posljedice se mogu kategorizirati u u tri kategorije:

- Neovlašteno oslobađanje informacija
- Neovlaštena izmjena podataka.
- Odbacivanje usluga. (DoS)

Sigurnosne prijetnje se mogu klasificirati prema načinu na koji mogu nastatti:

- Prirodne ili slučajne nepogode.
- Greške ili bug-ovi u HW i SW.
- Ljudske greške.

Kršenje sigurnosti uključije dvije klase korisnika:

- Ovlašteni korisnici koji zlorabe svoja prava i ovlaštenja
- Neprijateljski agenti, neovlašteni korisnici (insideri i outsideri)

Zahtjevi na zaštitu baza podataka

- Zaštita od neovlaštenog pristupa
- Zaštita od zaključivanja (inference)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

203
- Integritet (cjelovitost) baza podataka
- Operativni integritet podataka
- Semantički integritet podataka
- Odgovornost i nadzor
- Autentifikacija (ovjera) korisnika
- Upravljanje i zaštita osjetljivih podataka
- Višerazinska zaštita
- Zatvorenost


Sigurnosne kontrole

Zaštita baze podataka se postiže kroz slijedeće sigurnosne mjere:

- Kontrola toka
- Kontrola zaključivanja o podacima
- Kontrola pristupa
Kontrola toka
Tok između objekta X i objekta Y se događa kad naredba čita vrijednost iz X i upisuje
vrijednost u Y. Kontrola toka provjerava da informacija koja je sadržana u nekom objektu
(npr. izvješću) ne odlazi eksplicitno (kroz kopiranje) ili implicitno (preko grupe instrukcija
koje uključuju među objekte) u niže štićene objekte.
Kontrola zaključivanja
Kontrola zaključivanja usmjerena je na zaštitu podataka od indirektne detekcije.

Kanal zaključivanja je kanal gdje korisnici mogu naći podatak X i tada ga koriste da bi
dobili Y kao Y = f(X).

Glavni kanali zaključivanja u sustavu su:

1. Indirektni pristup.

SELECT X FROM r WHERE Y = value

2. Korelacioni podaci.
3. Nepostojeći podaci.

Statističko zaključivanje
Statistički napadi mogu se suzbiti kroz dve vrste kontrole:

1. Perturbacija podataka.
2. Kontrola upita.


Arhitektura DBMS koji uključuje sigurnosna svojstava

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

204

Slijedeće uloge su uključene u upravljanju sigurnosnim sustavom:

- Upravljač aplikacije , je odgovoran za razvoj i održavanje biblioteke programa;
- DBA, koji upravlja konceptualnom i internim shemama baze podataka.
- Časnik za sigurnost, koji definira autorizacije za pristup i/ili sigurnosne aksiome kroz
pravila u odgovarajućem jeziku (ponekad DDL ili DML);
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

205
- Nadzornik, koji je odgovoran za provjeru sekvenci zahtjeva i upita o pristupu, kako bi
detektirao moguća kršenja autorizacije.
Izgradnja sigurnosti baze podataka

1. Na vanjskoj razini (fizička sigurnost)
2. Na internoj razini ( logička sigurnost)

Baze podataka u vladinim institucijama

- klasificirane baze podataka.
Komercijalne baze podataka

- Višerazinska sigurna DBMS arhitektura
 Integrity Lock arhitektura,
 Jezgrasta arhitektura,
 Replicirana arhitektura i
 Arhitektura povjerljivih subjekata.

- Slijedeće tehnike su uvođenje ‘front end-a’ između korisnika i DBMS-a
- Alternativno koriste se Korisnički/DBMS filteri, ili pogledi, koji sadrže samo
informaciju za koju je korisnik autoriziran.

Zaključak

Sumarno, u razvoju sigurnosnog sustava potrebno je razmatrati slijedeće krucialne
aspekte:

- Svojstava stvarne okoline skladišnih medija i obrade. pažljiva analiza je potrebna za
određivanje stupnja zaštite koja je ponuđena i zahtjevana od sustava: a to su sigurnosni
zahtjevi;
- Zaštitni mehanizmi izvan okoline obrade. To su administrativne i fizičke mjere kontrole
koje doprinose učinkovitosti sigurnosnih mjera;
- Unutarnji mehanizmi zaštitite DB-a. Oni djeluju nakon što je uspješno provedena kontrola
logina-a i autentifikacije za korisnika;
- Fizička organizacija uskladištene informacije;
- Sigurnosna svojstva koja su osigurana od strane operacijskog sustava i od sklopova;
- pouzdanost sklopova i programa;
- Administrativni, ljudski i organizacijski aspekti.






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

206
RASPOLOŽIVOST I INTEGRITET BAZA PODATAKA

.
Dimenzije raspoloživosti ili integriteta :

- Integritet baze podtaka:
- Integritet elemenata:
- Točnost elementa


Zaštitna svojstva od operacijskog sustava

- bazičnu sigurnost za baze podtaka,
- DBMS mora poboljšati i unaprijediti te kontrole.

Dvo-fazno ažuriranje podtaka


Tehnika izmjene (ažuriranja)

- faza namjere,
- faza izručenja (commiting)

Primjer za dvo-fazno ažuriranje

Zahtjev iz odjela za računovodstvo, za 50 kutija papirnatih spojnica.

1. Skladište provjerava bazu podtaka dali postoji tražena količina od 50 kutija. Ako ne
zahtjev se odbija i transakcija završava.
2. Ako postoji dovoljno kutija na skladištu, smanjuju se količine sa skladišta u bazi podtaka .
(107 – 50 = 57).
3. Skladište naplaćuje konto nabave odjela (također i u bazi) za 50 kutija papirnatih
spajalica.
4. Skladište provjerava preostalu količinu (57) kako bi se odredilo da li su količine pale
ispod točke naručivanja. Budući da je, zahtjev za novom nabavom se generira, te se
postavlja zastavica “ u naruđbi” u bazu podataka.
5. Priprema se nalog za isporuku kako bi se 50 kutija odaslalo u odjel za računovodstvo.

Održavanje vrijednosti u sijeni

Faza namjere:

1. Provera vrijednosti COMMIT-FLAG-a u bazi podataka. Ako je postavljen, ova faza se ne
može provesti. Provjeri broj kutija na skladištu, i ako se zahtjeva više nego je na skladištu,
zastavi postupak.
2. Izračunaj TCLIPS = ONHAND – REQUISITION.
3. Uzmi BUDGET, tekuči proračun koji je preostao za odjel. Izračunaj TBUDGET =
BUDGET – COST, gdje je COST cijena za 50 kutija spajalica.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

207
4. Provjeri da lije TCLIPS ispod koločine za novu narudžbu; ako da postavi TREODER =
TRUE; inače TREODER = FALSE.

Faza izručenja (commit phase)

1. Postavi COMMIT-FLAG u bazu podataka.
2. Kopiraj TCLIPS to CLIPS u bazu podataka.
3. Kopiraj TBUDGET u BUDGET u bazu podtaka.
4. Kopiraj TREODER u REODER u bazu podtaka.
5. Pripremi bilješku za isporuku spjalica u odjel računovodstva. Indiciraj u log – datoteku da
je transakcija završila. Ukloni zastavicu COMMIT-FLAG.


Redundancija/Interna konzistetncija

- Detekcija greške i kodovi za ispravak
- Polja u sjeni

Oporavak
- zapisi
- back-up

Konkurentnost/konzistencija

Agent A postavlja naredbu za ažuriranje:

SELECT (SEAT-NO = ‘11D’)
ASSIGN ‘MOCK, E’ TO PASSENGER-NAME

dok agent B postavlja seqvencu za ažuriranje

SELECT (SEAT-NO = ‘11D’)
ASSIGN ‘LAWRENCE, S’ TO PASSENGER-NAME

Rješenje: DBMS tretira cijeli upit-izmjena ciklus kao jednu nedijeljivu operaciju.

Monitori

- Usporedba područja
- Ograničenja stanja
- Ograničenja prijelaza (tranzicije)









Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

208
OSJETLJIVOST PODATAKA (tajnost i raspoloživost)




Nekoliko faktora čini podatke osjetljivim:

- Prirodno (inherentno) osjetljivi
- Iz osjetljivih izvora
- Deklarirana osjetljivost
- Osjetljivi atribut ili osjetljivi slog
- Osjetljivi u odnosu na prethodno otkrivene podtake.


Odlučivanje o pristupu

- Odluke na sigurnosnoj politici koja definira politiku pristupa.
- Faktori odlučivanja
- raspoloživost podataka,
- prihvatljivost pristupa,
- autetentičnost korisnika..

Vrste otkrivanja podatka

- Stvarni podatak
- Granice
- Negativan rezultat
- Postojanje
- Vjerovatne vrijednosti

Zaključno o djelomičnom otkrivanju

- Uspješna sigurnosna strategija mora zaštitit i direktno i indirektno otkrivanje
podatka.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

209


Sigurnost nasuprot preciznosti




Problemi zaključivanja o podacima


- Direktni napad


List NAME where
SEX = M . DRUGS = 1

Manje jasni upit je

List NAME where
(SEX = M . DRUGS = 1) v
(SEX = M . SEX = F) v
(DORM = AYRES)

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

210



- Indirektni napad

- Suma

- Brojanje
- Sredina (Median)

q = median (AID where SEX = M)
p = median (AID wheere DRUGS = 2)



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

211


- Napadi tragača

count ((SEX = F) . (RACE = C) . (DORM = Holmes))


q = count ((SEX=F) . (RACE=C) . (DORM=Holmes))

je oblika
q = count (a . b . c).

Uz pomoć algebre on se transformira u

q = count (a . b . c) = count (a) –count ( a . ÷ (b . c)).

Tako je originalni upit ekvivalentan sa

count (SEX=F)
minus

count ((SEX=F) . (RACE = C) . (DORM = Holmes))

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

212
Budući je count (a) = 6 i count (a . ÷ (b . c)) = 5, može se lako odrediti potisnutu
veličinu 6-5 = 1. Što više niti 6 i niti 5 nije osjetljivi broj.

- Ranjivost linearnog sustava

q
1
= c
1
+ c
2
+ c
3
+ c
4
+ c
5

q
2
= c
1
+ c
4

q
3
= c
3
+ c
4

q
4
= c
4
+ c
5

q
5
= c
2
+ c
5



q
1
= s
1
v s
2
v s
3
v s
4
v s
5



Kontrole za napade statističkog zaključivanja

- Obustava (potiskivanje) podatka i
- Skrivanje podataka.

Obustava ograničenog odgovora



Kombiniranje rezultata


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

213
Slučajni uzorak
Slučajna smetnja u podatcima
Analiza upita

Zaključak o problemu zaključivanja

Rješenja za kontrolu slijede tri puta.

- Obustavi(potisni) jasno osjetljivu informaciju.
- Trag što korisnik zna.
- Maskiranje podataka.
















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

214
VIŠERAZINSKE BAZE PODATAKA


Diferencirana sigurnost




Svojstva sigurnosti baze podataka:

- Sigurnost pojedinog elementa

- Dvije razine-osjetljivo i neostjetljivo – neodgovarajuće.

- Sigurnost agregacije (skupa) – suma, brojenja, ili grupa vrijednosti

Zrnatost (granularitet, finoća)



Problemi sigurnosti


- Integritet

- Tajnost

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

215

Prijedlozi rješenja za višerazinsku zaštitu


- Particioniranje (podjela)

- Kriptiranje

- Integrirano zaključavanje (Integrity Lock)






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

216

Oznaka osjetljivosti mora biti :

- nekrivotvorljiva.
- jedinstvena
- skrivena.


Zaključavanje osjetlivosti (Sensitivity lock)














Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

217
MEHANIZMI REALIZACIJE MLS-a

DBMS sa integriranim zaključavanjem (Integrity Lock)





Povjerljivi Front-End

Veza između korisnika, povjerljivog front-enda i DBMS-a uključuje:

1. Korisnik se identificira kod front-end; fron-end overava korisnički identitet.
2. Korisnik izdaje upit front-endu.
3. Front-end verificira korisničku autorizaciju (ovlaštenje) na podatke.
4. Front-end izdaje upit DB manageru.
5. DB manager izvodi U/I pristup, kroz interakciju sa kontrolom pristupa niske razine kako
bi pristupio stavrnim podatcima.
6. DBMS vraća rezultat upita front-endu.
7. Front-end verificira valajnost podtaka kroz kontrolnu sumu i provjerava klasifikaciju
podtaka nasuprot sigurnosnoj razini korisnika.
8. Front-end prenosi podatke na nepovjerljivi front-end radi formatiranja.
9. Nepovjerljivi front-end prenosi formatirane podatke do korisnika.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

218
Komutativni filteri

Filter se može upotrebiti:

- na razini sloga
- na razini atributa,.
- na razini elementa



Primjer upita:

retrieve NAME where ((OCCUP = PHYSICIST) .
(CITY = WASHDC))


Upit postaje:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

219
retrieve NAME where ((OCCUP = PHYSICIST) . (CITY = WASHDC))
from all records R where
(NAME-SECRECY-LEVEL (R) s USER_SECRECY-LEVEL) .
(OCCUP-SECRECY-LEVEL (R) s USER-SECRECY-LEVEL) .
(CITY-SECRECY-LEVEL (R) s USER-SECRECY-LEVEL))
Distribuirane (replicirane) baze podataka

Prozor/pogled (view)

Putnički pogled na bazu podtaka:

view AGENT-INFO
FLTNO := MASTER.FLTNO
ORIG := MASTER.ORIG
DEST := MASTER.DEST
DEP := MASTER.DEP
ARR := MASTER.ARR
CAP := MASTER.CAP
where MASTER.TYPE = ‘PASS’
class AGENT
auth retrieve








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

220



Sigurnost baza podataka

- Tajnost i integritet
- Problem zaključivanja u statističkim bazama
- Višerzinska sigurnost podataka
o pogledi,
o povjerljivi front-end (TFE) sa modifikaciojom upita,
o komutativni filteri.














Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

221
SIGURNE DBMS ARHITEKTURE


Sigurni DBMS :

- ‘visoki sustav’
- ‘višerazinski’

Višerazinske arhitekture:

- Arhitektura povjerljivog subjekta (Trusted Subject Architecture)

- Woods Hole arhitektura
 Integrirano zaključavanje (Integrity Lock architecture))
 Jezgrasta arhitektura (Kernelized architecture)
 Replicirane arhitekture (Replicated architecure)











Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

222








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

223

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

224





Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

225







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

226







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

227
PROJEKTIRANJE SIGURNOSTI BAZE PODATAKA


Projektiranje sigurnosti BP se odnosi na logičko projektiranje sigurnosnog sustava, a pod
ovim terminom podrazumjevamo projektiranje sigurnog software-a i sigurnosnih pravila.

Izgradnja sigurnih DBMS-a


Sigurnost BP-a se postiže kroz skup mehanizama na razini DBMS-a i OS-a.

Razlike između OS-a i DBMS-a su slijedeće:

1. Objektna “zrnatost”
Stupanj “zrnatosti” u OS-u je razine datoteke. “Zrnatost” u DBMS-u je veća (relacije,
polja, kolone, redovi).

2. Metapodatak
U DBMS, metapodaci postoje i prikupljaju informacije o strukturi podataka u BP. Na
razini OS-a ne postoje metapodaci.

3. Logički i fizički objekti
Objekti u OS-u su fizički objekti (npr. datoteke, memorija, procesi). Objekti u DBMS-u su
logički objekti (npr. relacije, pogledi).

4. Višeznačni tipovi podataka
Baza podataka je karakterizirana različitim tipovima podataka, za koje su nužni različiti
načini pristupa

5. Statički i dinamički objekti
Objekti upravljani od strane OS-a su statički i korespondiraju sa aktuelnim objektima. U
BP-u, objekti mogu biti dinamički kreirani (npr. kao rezultat upita) i ne moraju
korespondirati sa stvarnim objektima.

6. Višerazinske transakcije
U DBMS-u često je neophodno izvoditi transakcije, uključujući podatke na različitim
sigurnosnim razinama. DBMS mora osiguravati izvođenje višerazinskih transakcija na
siguran način.

7. Životni ciklus podataka
Podaci u BP-u imaju dug životni ciklus i DBMS mora osigurati zaštitu za vrijeme cijelog
životnog ciklusa.






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

228
Sigurnosni mehanizmi u DBMS-u

DBMS treba biti dizajniran tako, da se sigurnost ugrađuje na samom početku, a ne u
kasnijim fazama.
Glavni sigurnosni zahtjevi koje DBMS treba osigurati su povezani sa slijedećim:

- Različit stupanj “zrnatosti” pristupa.

- Različiti mod-ovi pristupa
U relacijskoj bazi, mod-ovi pristupa su prikazani u terminima SQL naredbi (SELECT,
INSERT, UPDATE, DELETE).

- Različiti tipovi kontrole pristupa

- kontrola pristupa ovisna o imenu objekta kojem se pristupa
- kontrola ovisna o podacima čini pristup ovisan o sadržaju objekta kojem se pristupa
- kontrola ovisna o kontekstu daje ili odbija pristup u ovisnosti o vrijednosti nekih
sistemskih varijabli (datum, vrijeme, terminal)
- povijesno ovisna kontrola prati informacije o query sekvencama (npr. tipovi upita,
dobiveni podaci, podaci o korisniku koji je postavio upit)
- kontrola ovisna o rezultatu čini odluku o pristupu ovisnom o rezultatima pomoćnih
kontrolnih procedura, koje se izvršavaju za vrijeme upita

U relacijskoj bazi, kontrola pristupa ovisna o podacima je obično implementirana ili kroz
pogled ili tehnike upita, gdje je inicijalni upit ograničen prema korisnikovim pravima.

- Dinamička autorizacija
DBMS treba podržavati mogućnost izmjene korisničkih prava, dok je baza operativna.

- Višerazinska zaštita
Kada se zahtjeva, DBMS treba nametnuti višerazinsku zaštitu preko mandatne kontrole
pristupa.

- Tajni kanali
DBMS treba biti bez tajnih (skrivenih) kanala, odnosno korisnik ne smije dobiti
neovlašteno informaciju indirektnim metodama komuniciranja.

- Kontrole protiv zaključivanja o informaciji (Inference controls)
Trebaju spriječiti korisnika od dobivanja dodatnih (povjerljivih) informacija, temeljem
informacija dobivenih iz BP-a.

- Višepojavnost
Ova tehnika se koristi od strane DBMS-a da spriječi dobivanje dodatnih informacija
(inference control), tako da dozvoljava da BP sadrži više razina istog podatka (data item),
pri čemu svaki od njih ima svoju klasifikacijsku razinu.

- Praćenje, nadzor (Auditing)
Interesantne događaje sa stanovišta sigurnosti treba prikazivati u nekom obliku izvještaja.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

229
- Kontrola toka
Kontrola toka provjerava odredište izlaza dobivenog autoriziranim pristupom.

- Nema zadnjih vrata (No back doors)
Pristup BP-u treba se odvijati isključivo preko DBMS-a.

- Uniformnost mehanizama
Sve sigurnosne kontrole trebaju biti realizirane sa što manjim brojem različitih
mehanizama.

- Razumne performanse
Sigurnosne kontrole troše dodatno vrijeme, ali treba nastojati da se to svede na što manju
mjeru.

- Dobro-napravljena transakcija
Podaci mogu biti mijenjani samo putem dobro-napravljenih transakcija, a ne putem
proizvoljnih procedura.

- Autorizirani korisnici
Ovaj princip znači da promjene može izvoditi samo korisnik koji je autoriziran za tu
operaciju. Autorizacija korisnika je u nadležnosti OS-a i ne treba ju duplicirati na razini
DBMS-a.

- Najniža privilegija
Problem realizacije je u balansiranju najniže privilegije korisnika sa privilegijom procesa,
jer su korisnik i proces dva različita entiteta.

- Razdvajanje dužnosti
Ovaj princip nalaže da pojedinac ne može uništiti podatke, već to može tek nekoliko
udruženih pojedinaca u određenoj točki lanca.

- Kontinuitet operacije
Ovom se problemu pridaje veliki značaj u teoriji i praksi, a predložena su rješenja
bazirana na replikaciji.

- Rekonstrukcija događaja
Rekonstrukcija se može zbiti na različitim razinama detaljnosti i može značiti različite
stvari: zadržati cijelu povijest svake izmjene ili spremiti identitet svakog pojedinačnog
spremanja.

- Provjere sa stvarnim podacima (Reality checks)
To su povremene provjere sa podacima iz stvarnog svijeta, usmjerene na održavanje
točnih podataka u sustavu.

- Lakoća sigurne uporabe
Najlakši način rada na sustavu treba biti i najsigurniji.

- Delegiranje autoriteta (Delegation of authority)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

230
Delegiranje autoriteta je osnovni način prenošenja hijerarhijske strukture organizacije i
treba biti napravljen prema pravilima definiranim unutar organizacije. SQL naredbe koje
se ovdje koriste su GRANT/REVOKE.


Prema autorima Sandhu i Jajodia (1990), principi integriteta (cjelovitosti) DBMS-a se dijele
na tri grupe:

- Grupa 1: Dobro-napravljena transakcija i kontinuitet operacije. Ovi principi su dobro
pokriveni postojećim DBMS mehanizmima.

- Grupa 2: Najniža privilegija, razdvajanje dužnosti, rekonstrukcija događaja i delegiranje
autoriteta. Za ovu grupu su potrebni novi mehanizmi, koji će proširiti postojeći DBMS.

- Grupa 3: Autorizirani korisnici, provjere sa stvarnim podacima, lakoća sigurne uporabe.
DBMS mehanizam može pridonijeti na ograničen način: Autorizacija je u nadležnosti OS-
a, provjere sa stvarnim podacima ovise o organizacijskoj sigurnosti, dok je lakoća sigurne
uporabe u nadležnosti DBMS-a, kroz jezik za rad podacima (DML).


Autorizacijski model – Sistem R

Autorizacijski model - Sistem R , razmatra tabele baze, kao objekte koji trebaju biti zaštićeni.
Subjekti modela su korisnici koji mogu pristupiti bazi. Privilegije koje se razmatraju u modelu
su mod-ovi pristupa, primjenjivi na tabele baze. To su: Read, Insert, Delete, Update, Drop.
Svi mod-ovi pristupa se odnose na cijelu tabelu, osim Update, koji se odnosi na pojedine
kolone.

Decentralizirano administriranje autorizacije, bilo koji korisnik može biti autoriziran za
kreiranje nove tabele i prenos ovlaštenja.

Svaka autorizacija se opisuje sa:

s – korisnik kojemu je dodjeljeno pravo
p – mod pristupa (privilegija)
t – tabela
ts – vrijeme dodjeljenog prava
g – korisnik koji dodjeljuje pravo
go – (Y/N) indikator da li s može dodjeljivati pravo, nad tabelom t, za mod p

Npr. n-torka (B, select, T, 10, A, yes) znači:
korisnik B može selektirati retke iz tabele T, pravo mu je dao korisnik A, u vrijeme 10, i
korisnik B ima ovlasti da drugim korisnicima daje prava za select, nad tabelom T.

SQL jezik je proširen setom naredbi, kojima korisnik zahtjeva izvršenje dodjele ili
oduzimanja prava.



GRANT naredba ima slijedeći format:
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

231



GRANT
{

ALL RIGHTS
privileges
ALL BUT
privileges
}


ON (table) TO (user-list) |WITH GRANT OPTION|

Umjesto ključne riječi user-list može se koristiti public što znači da je pravo dodjeljeno svim
korisnicima baze.
Svaki korisnik koji ima pravo dodjeljivanja prava drugim korisnicima, može također ta prava
oduzimati, ali samo ona koja je sam dodjelio.


REVOKE naredba ima slijedeći format:



REVOKE
{


ALL
RIGHTS
privileges

}


ON (table) FROM (user-list)


Oduzimanje prava

Sistem R podržava kaskadno oduzimanje prava.




Pogledi

Predstavljaju jednostavan i učinkovit mehanizam autorizacije, ovisne o sadržaju.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

232
Npr. pretpostavimo da korisnik A kreira tabelu T i želi dati korisniku B prava čitanja redaka
tabele T, pri čemu je vrijednost atributa a1 veća od 1000. Korisnik A će definirati pogled uz
pomoć SELECT naredbe

SELECT * FROM T WHERE a1 > 1000

te će dodjeliti prava čitanja pogleda, korisniku B.

Implementacija modela

Informacije o korisničkim pravima su smještene u dvije relacije – Sysauth i Sycolauth.
Relacija Sysauth ima slijedeće atribute:

Userid - označava korisnika na koga se pravo odnosi
Tname - označava tabelu za koju se prava dodjeljuju
Type - označava tip tabele Tname (“R” ako se radi o osnovnoj tabeli, a “V” ako se
radi o pogledu)
Grantor - označava korisnika koji daje prava
Read - označava vrijeme kada je grantor dao pravo za čitanje tabele. Ako nema prava,
atribut ima vrijednost 0
Insert - označava vrijeme kada je grantor dao pravo za dodavanje u tabelu. Ako nema
prava, atribut ima vrijednost 0
Delete - označava vrijeme kada je grantor dao pravo za brisanje u tabeli. Ako nema
prava, atribut ima vrijednost 0
Update - označava vrijeme kada je grantor dao pravo za izmjenu u tabeli. Ako nema
prava, atribut ima vrijednost 0
Grantopt - označava da li su označene privilegije date sa grant opcijama

.
Primjer SYSAUTH tabele u skladu sa dodjelom prava na slici 4.1a.


Userid Tname Ţype Grantor Read Insert Delete Update Grantopt
B Employee R A 10 0 0 0 yes
C Employee R A 20 0 0 0 yes
D Employee R B 30 0 0 0 yes
E Employee R D 40 0 0 0 yes
D Employee R C 50 0 0 0 yes
F Employee R D 60 0 0 0 yes
G Employee R E 70 0 0 0 yes


Primjer SYSAUTH tabele


Tabela SYSCOLAUTH sprema informacije o kolonama za koje su data prava izmjene.

Relacija SYSCOLAUTH ima slijedeće atribute:

Userid - označava korisnika kojemu je dodjeljeno pravo izmjene
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

233
Table - označava tabelu za koju je pravo izmjene dodjeljeno
Column - označava kolonu tabele za koju je pravo izmjene dodjeljeno
Grantor - označava korisnika koji je dodjelio pravo
Grantopt - označava da li je pravo dato sa opcijom dodjele



Proširenje modela

- Uvođenje funkcija za grupno upravljanje(1982).


Dodatna proširenja modela (1993):

- nova operacija oduzimanja prava (nekaskadno).

Za primjer sa slike 4.1a i uz pretpostavkui da korisnik B oduzima prava data korisniku D.
Umjesto korisnika D, sada će korisnik B biti taj koji daje pravo korisniku E.


- negativna autorizacija. Većina DBMS-a radi na principu politike zatvorenog sustava, pa
se nedostatak autorizacije tumači kao negativna autorizacija, što odbacuje trenutni zahtjev
ali ne sprečava kasniju dodjelu prava (decentralizirana dodjela).
Uspostavlja se eksplicitna negativna autorizacija, koja je jača od pozitivne autorizacije.







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

234
Komercijalni proizvodi


DBMS
Server
Autorizacija
lozinkom
Autorizac
ija OS-
om
CREATE
ALTER
DROP
Korisnik/
objekt tip
Operacije
Superkorisn
ika
SELECT
INSERT
UPDATE
DELETE
tabele i
pogledi
ALTER
INDEX

tabele
REFEREN
CES
Ingres + + + +
Oracle + + + + + + +
Sybase + + +
Informix + + + + +
SQLBase + + + +




DBMS
Server
Kontrola na
razini
kolone
EXECUTE GRANT
OPTION
ADMIN
OPTION
Grupe Role Snimanje
Ingres Update + + + +
Oracle Select
Update
Refer.

+

+

+

+

+
Sybase Select
Update
+ +
Informix Select
Update
Refer.

+

+

SQLBase Update


- Autorizacija korisnika – provodi se putem OS-a ili lozinke. Izuzetak je Oracle, koji radi sa
oba načina.
- Autorizacije sustavom – vezana je za definiciju autorizacije nad tipovima objekata baze
podataka (baza podataka, tabele, pogledi) i nad korisnicima. Svi DBMS serveri imaju
pravo kreiranja, izmjene i brisanja tipova objekata i korisnika. Neki DBMS imaju i
superuser operacije (npr. podizanje i spuštanje servera).
- Autorizacije podataka – specificiraju operacije koje se mogu izvršavati na podacima
spremljenim u objektima baze. Svi DBMS serveri imaju SELECT, INSERT, UPDATE i
DELETE prava za tabele i poglede. Samo neki DBMS serveri imaju i ALTER, INDEX i
REFERENCES prava za tabele.
Neki DBMS podržavaju kontrolu na razini kolone. Ta prava se daju korisnicima putem
naredbe SQL GRANT.
- Upravljanje autorizacijama – ova funkcionalnost je povezana sa mogučnošću dodjele
prava, zbog potrebe za podjelom odgovornosti i prava unutar organizacije.
Uloge, ako su podržane, koriste se za definiranje prava, povezanih sa danom aplikacijom.
- Snimanje događaja – primjereno je za određene analize i rekonstrukciju događaja.






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

235
PROJEKTIRANJE SIGURNE BAZE PODATAKA

Višefazna metodologija predstavlja dobar pristup u dizajniranju sigurnosti baze.

1. Uvodna analiza
2. Sigurnosni zahtjevi i politike
3. Konceptualni dizajn
4. Logički dizajn
5. Fizički dizajn

Provjera točnosti izgradnje sigurnosnog modela, prema zahtjevima, za vrijeme dizajniranja
kroz:

- Alat za dizajniranje
- Struktura za istraživanje – model može biti izabran, od postojećih ili novi model može biti
razvijen od početka
- Didaktički alat – za pojednostavljenje opisa sustava
- Alat za uspoređivanje/procjenu – za uspoređivanje/procjenu različitih sigurnosnih sustava






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

236
Uvodna analiza

- Rizici sustava
- Karakteristike okruženja baze podataka
- Aplikativnost (applicability) postojećih sigurnosnih produkata
- Mogućnost integracije sigurnosnih produkata
- Performanse rezultirajućeg sigurnosnog sustava

Analiza zahtjeva i izbor sigurnosne politike

- Analize prijetnji i ranjivosti sustava:

- Analiza vrijednosti. Podaci i aplikacije koje im pristupaju se analiziraju da se
odredi njihov stupanj osjetljivosti. Kontrola pristupa raste proporcionalno sa
osjetljivosti podataka
- Identifikacija prijetnji. Identificiraju se moguće prijetnje aplikacijama.
- Analiza ranjivosti. Identificiraju se slabe točke sustava, povezane s prethodno
identificiranim prijetnjama.
- Analiza rizika. Moguće prijetnje i slabosti sustava se sučeljavaju sa snagom
sigurnosti i integriteta sustava.
- Procjena rizika. Procjenjuje se mogućnost svakog neželjenog događaja uz
procjenu sposobnosti reakcije sustava na taj događaj.
- Definicija zahtjeva. Zahtjevi sustava se definiraju temeljem procjena prijetnji i
neželjenih događaja i mogućnosti njihova pojavljivanja.


- Izbor sigurnosne politike

Cilj sigurnosne politike je definicija autoriziranih pristupa svakog subjekta različitim
objektima sustava.

Kriteriji za izbor politike:

- Tajnost nasuprot integritet nasuprot raspoloživost
- Maksimalna djeljivost nasuprot minimalna prava.
- Zrnatost kontrole.
- Atributi koji se koriste za kontrolu sustava.
- Integritet.
- Prioriteti.
- Privilegije.
- Autoritet.
- Naslijeđivanje.




Konceptualni dizajn

Konceptualni sigurnosni model je alat za formalizaciju zahtjeva i politike.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

237
Definira se kroz:

- Identifikaciju subjekata i objekata važnih sa stanovišta sigurnosti
- Identifikaciju mod-ova pristupa dodjeljenih različitim subjektima, za različite objekte
- Analizu širenja autorizacije u sustavu, kroz dodjelu i oduzimanje prava


Osnovne značajke konceptualnog sigurnosnog modela trebaju biti:

- Predstavnik je semantike sigurnosti baze podataka.
- Podržava analizu autorizacijskih dijagrama.
- Podrška je administratoru baze pri provjeri autorizacije upita. To je lakše napraviti na
konceptualnoj razini nego na razini sigurnosnih mehanizama.


Model, također, treba biti:

- Kompletan: obuhvaća sve početne sigurnosne zahtjeve
- Konzistentan: neautorizirani korisnik, koji ne može pristupiti nekom objektu direktno, ne
smije do tog objekta doći zaobilaznim putem (indirektno).


Logički dizajn

- Konceptualni sigurnosni model se prevodi u logički model, uz podršku DBMS-a.
- Određuje se koji će se sigurnosni zahtjevi, politike, ograničenja i aksiomi, prikazani u
konceptualnom modelu, realizirati postojećim mehanizmima, a koji će se dizajnirati
posebno.

Fizički dizajn

- detaljni dizajn sigurnosnih mehanizama
- dizajn fizičke strukture pravila pristupa, njihovih veza sa fizičkom strukturom baze,
- povezivanje mod-ova pristupa sa zahtjevanom kontrolom pristupa
- detaljna arhitektura mehanizama koji će ispuniti sigurnosne zahtjeve i politiku.

Implementacija sigurnosnih mehanizama

- Ekonomija mehanizama.
- Djelotvornost
- Linearnost cijene.
- Minimalna prava.
. Prednosti su:
- ograničenje pogrešaka
- održavanje
- obrana od Trojanskog konja
- prikazivanje točnosti
- Kompletno posredovanje.
- Poznat dizajn.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

238
- Sigurnost po default-u.
- Minimum općih mehanizama.
- Psihološka prihvatljivost.
- Fleksibilnost.
- Izolacija.
- Potpunost i konzistentnost.
- Preglednost.
- Problem residuala.
- Nevidljivost podataka.
- Namjerne zamke.
- Mjere u slučaju nužde.
- Programski jezik..
- Točnost.

Verifikacija i testiranje

Svrha ove faze je verifikacija da su sigurnosni zahtjevi i politika točno implementirani od
strane software-skih produkata.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

239
11. SIGURNOST RAČUNALNIH MREŽA I DISTRIBUIRANIH
SUSTAVA


Prijetnje računalnim mrežama

Sigurnosni problemi:

- Dijeljenje.
- Složenost sustava.
- Nepoznate granice(perimetar).
- Mnogo točaka napada.
- Anonimnost.
- Nepoznati put.



Analiza sigurnosnih prijetnji

Dijelovi mreže:
- lokalnii čvorovi, povezani preko
- lokalnih komuniakcionih veza na
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

240
- lokalne računalne mreže, koje također imaju
- lokalna spremišta podataka,
- lokalne procese, i
- lokalne uređaje. Lokalna mreža je također spojena na
- mrežne prospojnike (gateway), koji daju pristup preko
- mrežnih komunikacijskih linija do
- mrežno kontroliranih sredstava,
- mrežnih usmjerivača (rutera), i
- mrežnih resursa, kao što su baze podataka.




Prijetnje:

- Čitanje komunikacije od A do B.
- Izmjena komunikacije od A na B.
- Krivotvorenje komunikacije koja navodno dolazi od A do B.
- Spriječitii komunikaciju od A do B..
- Spriječiti sve komunikacije koje prolaze kroz neku točku..
- Čitanje podataka na C ili D
- Izmjeniti ili uništiti podatke na C ili D..
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

241






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

242
Prijetnje su:

- presretanje (prihvat) podataka u prijenosu,
- pristup programima ili podacima na udaljenim računalima,
- izmjena podataka ili programa na udaljenim računalima,
- izmjena podtaka u prijenosu,
- umetanje komunikacije u ime drugog korisnika (impersonizacija,)
- umetanje ponovljene prethodne komunikacije,
- blokiranje određenog prometa,
- blokiranje sveukupnog prometa,
- izvođenje programa na udaljenom računalu.

Kategorije prijetnji:

- priključak na žicu (wiretapping),
- impersonizacija (predstavljne u ime drugog),
- kršenje tajnosti poruke,
- kršenje integriteta poruke,
- hacking,
- kršenje integriteta koda,
- odbacivanje usluga (DoS).


Priključenje na žicu (Wiretapping)

- Pasivno priključenje
- Aktivno priključenje.

Kabel

Mikrovalovi

Satelitske komunikacije

Optičko vlakno


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

243






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

244


Impersonizacija (predstavljanje u ime drugoga)

U ovom predstavljanju napadač ima nekoliko izbora:

- pogađa identitet i detalje autentifikacije cilja napada
- prikuplja identitet i detalje autentifikacije cilja iz prethodne komunikacije
- zaobilazi ili onemogućava mehanizme autentifikacije na ciljnom računalu
- koristi cilj napada koji ne zahtjeva autentifikaciju
- koristi cilj čiji su podatci za autentifikaciju poznati


Autentifikacija narušena pogađanjem
Autentifikacija narušena sa prisluškivanjem
Atentifikacija narušena izbjegavanjem

Nepostojeća autentifikacija
Dobro-znana autentifikacija
Povjerljiva autentifikacija

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

245

Narušavanje tajnosti poruke

- Kriva isporuka
- Izlaganje (exposure)
- Analiza toka prometa na mreži

Kršenje integriteta poruke

Krivotvorenje poruka

Napadač može
- izmjeniti sadržaj poruke
- promijeniti bilo koji dio sadržaja poruke
- može zamjeniti cijelu poruku
- ponovo upotrebiti staru poruku
- izmjeniti stavrni izvor poruke
- preusmjeriti poruku
- uništiti ili izbrisati poruku

Izvori napada:
- aktivni priključak na žicu
- Trojanski konj
- impersonizacija
- zaposjednuto računalo
- zaposjednuta stanica

Šum

Hacking

Integritet koda

Prijenos datoteka sa WWW :

- Korisnik tipično ne razmišlja što prenesena datoteka zapravo sadrži.
- Ponekad se punjenje datoteke (prijenos) događa bez odobrenja korisnika.
- Ponekad se punjenje događa i bez korsnikova znanja.

Greške Jave

- odbacivanje usluga (DoS)
- degradcija usluga
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

246
- tajno komuniciranje sa drugim procesima na Internetu
- izmjene pretraživača

Problemi dizajna i razvoja sustava:

- Ne postojanje dobro definirane sigurnosne politike
- Nedostatk sigurnosnih mehanizama koji su uvijek uključeni.
- Nedostatak sigurnosnih mehanizama koji su neprobojni.
- Nedostatak sigurnosnih mehanizama koji su mali i jednostavni.
- Kao posljedica, nedostatak referncijskog monitora.
- Nedostatak povjerlive računalne baze (TCB)..
- Nedostatak kontrole integriteta sutava koji se izvodi.
- Nedostatak modularnosti i ograničenja područja.
- Nedostatk obrane po dubini.
- Nedostatak logiranja i praćenja.


Odbacivanje usluga (DoS)

- Povezanost
- Preopterećenje (Flooding)
- Problemi usmjeravanja
- Prekid usluge


Kontrole mrežne sigurnosti (Sigurnosni mehanizmi)

Enkripcija

- Enkripcija veze (Link enkripcija)



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

247

- Enkripcija sa kraja na kraj (End-to-End enkripcija)


.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

248

Usporedba metoda kriptiranja



Kontrola pristupa

- Zaštita portova
- Automatski povratni poziv (call-back)
- Različita pristupna prava
- Tihi modem.

Autentifikacija u distribuiranim sustavima

Dva problema:

- Kako jedno računalo može biti sigurno u autentičnost udaljenog računala ?
- Kako računalo može biti sigurno u autentičnost korisnika na udaljenom računalu ? Ili
obratno, kako korisnik može biti siguran u autentičnost udaljenog računala ?

Digital-ova distribuirana autentifikacija

Arhitektura je djelotvorna protiv slijedećih prijetnji:

- impersonizacija poslužitelja
- prihvat ili modifikacija podataka koji se izmjenjuju između poslužitelja
- ponavljanje prethodne autentifikacije
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

249
Kerberos

- Korisnička stanica šalje šalje korisnički identitet prema Kerberos poslužitelju kada se
korisnik prijavljuje na sustav.
- Kerberos poslužitelj verificira ovlašetonost korisnika, te šalje dvije poruke:

- Prema korisničkoj radnoj stanici šalje ključ sjednice S
G
za korištenje u
komunikaciji sa poslužiteljem za dodjelu karata (Ticket Granting Server – G),
te kartu T
G
za G; S
G
je kriptiran pod korisničkom lozinkom: E( S
G
+ T
G
, pw)
- Prema poslužitelju za dodjelu karata (Ticket Granting Server-G), šalje kopiju
ključa sesije S
G
i identitet korisnika (kriptirano sa ključem koji se dijeli između
Kerberos poslužitelja(KS) i Ticket Grantig Server-a (TGS-a)).







Dizajn :

- Lozinke ne putuju po mreži.
- Kriptografska zaštita od prevare (spoofinga).
- Ograničeni period važnosti.
- Vremenske oznake za sprečavanje napada ponavljanja.
- Međusobna autentifikacija.

Kerberos nije idealni odgovor za sigurnosne probleme:
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

250

- Kerberos zahtjeva kontinuiranu raspoloživost TGS-a.
- Autentičnost servera zahtjeva povjerljivi odnos između TGS-a i svakog servera..
- Kerberos zahtjeva vremenske transakcije.
- Srušena stanica može sačuvati i kasnije odgovoriti korsničkiom lozinkom.
- Pogađanje lozinki.
- Kerberos se ne proširuje jednostavno i dobro.
- Kerberos je potpuno rješenje.



DCE

SESAME


CORBA ( Common Object Request Broker Architecture)

Tri važna cilja specifikacije sigurnosti :

1. Fleksibilnost sigurnosne politike.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

251
2. Neovisnost o sigurnosnoj tehnologiji.
3. Interoperabilnost.

Kontrola prometa na mreži

- Dodavanj (punjenje) prometa (Pad Trafic)
- Kontrola usmjeravanja

Integritet podataka na mreži

- Protokoli
- Kontrolne sume
- Paritet



- Mnogo mudriji kodovi greške Na aplikacijskoj razini program može izračunati hash
vrijednost ili kriptografsku kontrolnu sumu.

- Digitalni potpisi

- Javno bilježništvo

Zaključno sigurnosne kontrole su:

- enkripcija,
- kontrola pristupa,
- autentifikacija korisnika,
- autentifikacija distribuiranih sustava,
- kontrola prometa,
- integritet podataka.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

252
PRIVATNA ELEKTRONIČKA POŠTA

Zahtjevi i rješenja

Prijetnje elektroničkoj pošti:

- prihvat poruke (tajnost)
- prihvat poruke (isporuka u blokovima)
- prihvat poruke i naknadni odgovor
- izmjena sadržaja poruke
- izmjena izvora poruke
- krivotvorenje sadržaja poruke od “outsidera”
- krivotvorenje izvora poruke od “outsidera”
- krivotvorenje sadržaja poruke od primaoca
- krivotvorenje izvora poruke od primaoca
- odbacivanje prijenosa poruke

Zaštite :
- tajnost poruke ( poruka nije izložena na putu do primaoca)
- integritet poruke (ono što primaoc vidi je ono što je poslano)
- neodbacivanje (neporecivost) (pošiljaoc se nemože odreći da nije poslao poruku)


PEM – Privacy Enhanced (Eletronic) Mail

Osnova:
- enkripcija.
- Certifikat (X.509)
- integracija sa postojećim e-mail-om

Format poruke:

- Proc-Type - poljeje tipa obrade - tip poboljšanja privatnosti.
- Dek-Info - tip izmjene ključa (simetrični, ili asimetrični)
- Key-Info ključ enkripcije poruke
-
PEM standard :
- enkripcija (DES, RSA)
- Hash poruke (MD2, MD5)
- digitalni potpis
- ostali MD4, IDEA, El Gmal



PEM osigurava:
- autentičnost
- neodbacivanje
- integritet (hash funkcija-MIC)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

253
- tajnost






Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

254



Proširenje (osim teksta) :
- glas,
- video
- grafika


PEM (raspoloživost)
- Cambridge i University of Michigan
- BBN, RSA-DSI, Trusted Information Systems

Problemi:
- krajnje točke (primaoc-pošiljaoc)
- upravljanje ključevima (hierarhija)




PGP (Pretty Good Privaacy)

Osnova:

- PEM
- jednostavnost upravljanja ključevima (prsten ključeva),
prijateljski odnosi
- PEM algoritmi (DES,RSA,IDEA i dr).


Problem:
- prevelik krug prijatelja (prijatelj prijatelja)
- nedirektni prijatelji


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

255

MIME (Secure/Multipurpose Internet Mail Extensions)

PEM je bio rani IETF standard za sigurni prijenos poruke i imao je dva nedostatka. Prvi je bio
nekompatibilnost sa MIME standardom poruke i perspektivnim PKI ( Public Key
Infrastructure) zahtjevima.

Slično PEM-u, S/MIME radije govori o specifikaciji nego o proizvodu (kao što je PGP).
S/MIME je za razliku od PEM-a uspješno zaživio na tržištu.
S/MIME izgrađen na standardu kriptiranja javnim ključem, dok PEM koristi znakovno
orijentirane protokole. To nije fundamentalna, već implementacijska razlika.

Postoje tri verzije S/MIME od kojih se samo druga i treća koriste u praksi:

1. S/MIME verzija 1 je objavljena 1995 godine.
2. S/MIME verzija 2 je objavljena 1998 godine.
3. S/MIME verzija 3 je objavljena 1999 godine. Razlike između verzija 2 i 3 nisu
fundamentalne i mogu se zajedno koristiti. Verzija 3 je predložena kao internet
standard.

Važno je napomenuti da S/MIME koristi mehanizme digitalnog potpisa, enkripcije i digitalne
omotnice za sigurni prijenos poruke. Tehnologija u S/MIME-u je slična onoj u PGP-u. Ipak
postoje dvije fundamentalne razlike između njih.

 PGP i S/MIME koriste različite formate poruka.
 PGP i S/MIME rade izmjenu javnih ključeva i certifikaciju javnog ključa na dva
fundamentalno različita načina:

o PGP se oslanja na korisnika da izmjenjuje javne ključeve i PGP certifikate da
bi se ostvarilo povjerenje između njih.
o S/MIME se oslanja na X.509 certifikate koji su izdani od CA.

Obje razlike vode u situaciju u kojoj PGP i S/MIME implementacije. nisu kompatibilne.

Kako ime govori SMIME ima zadatak osiguranja MIME entiteta. MIME entitet može biti dio
poruke, skup dijelova poruke ili cijela e-mail poruka (sa svim dijelovima ali bez zaglavlja
poruke). U svakom slučaju S/MIME se definira kako kriptografska zaštita MIME entiteta
prema PCKS .

S/MIME se bazira na enkripcijskoj sintaksi poruke, tj. CMS (eng. Cryptographic Message
Syntax). CMS je izveden iz PKCS #7.

CMS je prilično općenit i S/MIME može podržavati višestruke algoritme sažetka, kriptiranih
podataka, kriptiranih ključeva i digitalnih potpisa.

S/MIME specifikacija je originalno namijenjena promociji sigurne komunikacije među
raznim proizvodima. Specifikacija i dalje omogućuje razne interpretacije i ponekad je
otvorena u aspektu koji se tiče međudjelovanja.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

256
Ukratko, S/MIME sadrži detaljno dizajnirani i široko primjenjivi tehnologijski pristup za
sigurno komuniciranje preko interneta. Potpuno je specificiran sa ASN.1 i koristi hijerarhijski
model povjerenja baziran na ITU-T preporukama X.509. S/MIME je snažno podržan od svih
većih proizvođača komunikacijskih aplikacija. Zato je vrlo vjerojatno da će S/MIME postati
dominantna tehnologija za sigurno komuniciranje na internetu. To je svakako istina za
poslovni svijet, a za privatne osobe PGP je dobra i jednostavna alternativa, jer ima
decentralizirane procedure za razmjenu javnih ključeva i upravljanje certifikatima.

Treba reći da S/MIME nije ograničen na e-mail. Tako može biti korišten da osigura bilo
kakav sistem koji prenosi MIME entitete. Tako HTTP može iskoristiti S/MIME da sigurno
prenese MIME entitete između web servera i preglednika. S/MIME može biti korišten i da
sigurno izmjenjuje digitalno potpisane EDI poruke preko interneta. Čak je vrlo vjerojatno da
ćemo vidjeti alternativne aplikacije na internetu.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

257
SIGURNOSNE STIJENE (Firewalls -vatrozid)



Izgradnja sigurnosnih stijena

Sigurnosna stijena je specijalni oblik referencijskog monitora:

- uvjek uključen
- neprobojan
- mali i dovoljno jednostavan za strogu analizu.

Što je sigurnosna stijena ?

Vatrozid je proces koji filtrira sav promet između zaštićene “unutrašnje” mreže i
manje povjerljive “vanjske” mreže.

Implementacija:

- “ ono što nije posebno zabranjeno je dozvoljeno” i
- “ ono što nije izravno dozvoljeno je zabranjeno “.

Vrste sigurnosnih stijena

- zaštitni usmjerivači (screening routers)
- opunomoćeni prospojnik (proxy gateways)
- straže (guards)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

258

Zaštitni usmjerivači (Screening routers)




Svojstva :

- filtriranje na razini paketa (zaglavlje)
- pravila zaštite – uvjeti filtriranja
- osiguranje valjanosti unutrašnjih adresa
- kontrola prometa po aplikaciji (mrežna adresa i adresa porta)
- adresa koju vidi usmjerivač je zapravo kombinacija mrežne adrese i broja porta
aplikacije. ( npr. 100.50.25.325 za SMTP )

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

259


Opunomoćeni prospojnik (Proxy Gateway)

Svojstva:
- simulira (prave) efekte aplikacije prema unutra i prema van (pseudo aplikacija)
- mogućnost pregleda (zaštite) prenosa podataka, (prihvatljive komande aplikacije
stižu na odredište)


Primjeri primjene :

- Tvrtka želi uspostaviti on-line listu cijena tako da outsideri mogu vidjeti proizvode s
ponuđenim cijenama. Ona želi biti sigurna da outsider ne može mijenjati listu cijena ili
proizvoda, te da outsider može pristupiti samo listi cijena, a ne niti jednoj drugoj
osjetljivoj datoteci iznutra.
- Škola želi dozvoliti svojim studentima da dohvaćaju bilo koju informaciju sa WWW –a
na Internetu. Kako bi pomogla u osiguranju djelotvornije usluge, ona želi znati koji se
siteovi posjećuju, te koje se datoteke sa tih siteova dohvaćaju; pa će popularne datoteke
biti lokalno cache-irane.
- Vladina agencija plaća za skupljanje statistike u korist svojih građana. Ona želi da te
informacije budu raspoložive samo građanima. Prepoznajući da ona ne može spriječiti
građana od prosljeđivanja informacije strancu, vlada će implementirati politiku s
dozvolom isporuke podataka samo na odredište s adresama unutar zemlje.
- Tvrtka s više ureda želi kriptirati dio podataka svih e-mailova na adrese svojih drugih
ureda. (Odgovarajući proxy na udaljenom kraju će odstraniti enkripciju)
- Tvrtka želi dozvoliti za svoje djelatnike pristup preko biranih linija, bez izlaganja svojih
resursa od login napada od strane udaljenih nedjelatnika.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

260


Specijalne funkcije:
- prijava na sustav sa jakom autentifikacijom (pobuda-odgovor)
- jedinstveno korisničko sučelje- heterogeni sustavi

Straža (Guard)

Svojstva:
- sofisticirana opunomoćeni (proxy) vatrozid
- pravila-raspoloživo znanje( identitet korisnika, prethodne akcije i dr.)
- izračunljivost uvjeta kontrole
- složenija sigurnosna politika

Primjeri primjene:

- Sveučilište želi dozvoliti svojim studentima korištenje e-maila do granice od
određenog broja poruka ili određenog broja znakova u vremenu od određenog broja
dana.
- Škola želi da njezini studenti pristupaju WWW-u, ali zbog male brzine njezinih veza
na WWW ona će dozvoliti samo određeni broj znakova za dohvat (download) ( a to
znači da će dozvoliti tekstualni mod i jednostavnu grafiku, a neće dozvoliti složenu
grafiku, animacije, glazbu i slično).
- Biblioteka želi učiniti raspoloživim izvjesne dokumente, te kako bi podržala fer
korištenje autorskih prava, dozvolit će korisniku korištenje određenog broja prvih
znakova dokumenta, a nakon toga će tražiti uplatu pristojbe
- Tvrtka želi dozvoliti svojim djelatnicima dohvat datoteka preko FTP-a, kako bi
spriječila uvođenje virusa ona će proslijediti sve ulazne datoteke kroz ispitivač na
postojanje virusa.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

261


Usporedba vrsti sigurnosnih stijena



Screening router Proxy Gateway Guard
Najednostavniji Nešto složeniji Najsloženiji
Vidi samo adrese i
vrstu protokola usluge
Vidi potpuni tekst
komunikacije
Vidi puni tekst
komunikacije
Poteškoća u nadzoru i
praćenju
Može pratiti aktivnost Može pratiti aktivnost
Zaštita zasnovana na
pravilima veze
Zaštita zasnovana na
ponašanju proxy-a
Zaštita zasnovana na
interpretaciji sadržaja
poruke
Složena pravila
adresiranja čine
konfiguriranje
otežanim
Jednostavni proxy se
može substituirati za
složena pravila
adresiranja
Složena funkcionalnost
guarda može
ograničiniti jamstvo
sigurnosti

Tablica 9.3 Usporedba vrsti sigurnosnih brana



Primjer konfiguracija vatrozida



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

262



Što sigurnosna stijena može, a što ne može blokirati ?

Treba držati na umu:

- Sigurnosna stijena može zaštiti okolinu samo ako on kontrolira cijelu granicu.
- Sigurnosna stijena ne štiti podatke izvan granice (perimetra).
- Sigurnosne stijene su najvidljiviji dio instalacije prema vani, pa su one i najprivlačniji
cilj za napade.
- Sigurnosne stijene su dizajnirani za odbijanje napada, ali oni nisu nedokučivi.
- Sigurnosne stijene moraju biti ispravno konfigurirani.
- Sigurnosne stijene provode samo malu kontrolu nad sadržajem koji se proslijeđuje u
unutrašnjost.



Prospojnik sa kriptiranjem

Zahtjev:

Tvrtka želi kriptirati svu elektroničku poštu između svih triju strana (udaljenih
LAN-ova).

Rješenje:

Sigurnosna stijena (proxy gateway) i kriptografski server, (virtualna privatna
mreža).
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

263





Svojstva rješenja:

- ujedinjuje jakost enkripcije sa centralnom točkom kontrole koju donosi vatrozid.
- upravljanje enkripcijom ne treba biti izvođeno od korisnika, (transparentno)
- štiti od napada tajnosti i integriteta u jako izloženim sredinama (Internet) uz mali
trošak
















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

264
VIRTUALNE PRIVATNE MREŽE (VPN)



Slika 1.2 Virtualno privatno umrežavanje

Motivi za VPN
- Široka pokrivenost (sveprisutnost)
- Smanjenje troškova
- Sigurnost
- E-trgovanje (E-Commerce)

VPN tehnologije
- Tuneliranje
- Autentifikacija
- Kontrola pristupa
- Sigurnost podataka

Slika 1.3 VPN tehnologije
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

265
Tuneli


Tuneliranje





Slika 4.1 Tunel unutar mreže





Slika 4.2 Enkapsulacija na trećoj razini

Integritet podataka i tajnost

- Integritet podataka

- Tajnost

Protkoli za VPN tuneliranje

Namjena:
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

266
- kapsulacija jednog protokola unutar drugog
- transport privatno adresiranih paketa kroz javnu infrastrukturu
- osiguraje integriteta i tajnosti podataka





Slika 4.3 Udaljeni korisnik pristupa mreži koristeći PPP





Slika 4.4 Udaljena veza korisnika kroz tuneliranje na drugoj razini



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

267


PPTP protokol (Point-to-Point Tunneling Protocol )



Slika 4.5 Pristup udaljenog korisnika korištenjem PPTP

.



Slika 4.6 PPTP kapsulacija IP datagrama sa kraja na kraj

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

268





L2F (Layer Two Forwarding) protokol





Slika 4.7 Udaljeni pristup kroz upotrebu L2F


L2TP (Layer Two Tuneneling Protocol) protokol




Slika 4.8. Uadljeni pristup kroz upotrebu L2TP
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

269

IPsec protokol



Slika 4.9 IPsec tunel

MPLS (Multiprotocol Label Switching) protokol



Slika 4.10 MPLS zatvaranje (kapsuliranje)



Slika 4.11 Primjer preklapanja labela


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

270
SIGURNOST WEB SERVISA

Web servisi su namijenjeni poboljšanju interoperabilnosti poslovnih procesa između različitih
organizacijskih jedinica i osnovnih aplikacijskih sustava.

Opis tehnologije



Arhitektura Web servisa

Universal Directory, Discovery and Integration (UDDI)

Universal Directory, Discovery and Integration je repozitorij usluga koji omogućava
pronalazak informacija o specifičnim Web servisima.

Web Services Description Language (WSDL)

Sučelja, veze na protokole (bindings) i formati podataka korišteni za specifični Web servis su
opisani pomoću WSDL-a (Web Service Description Language).



Struktura WSDL-a
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

271
SOAP

SOAP je vjerojatno najvažniji dio Web servis tehnologije. SOAP predstavlja apstraktan sloj
za prijenos stvarnih podataka. Točnije, specificira neutralnu reprezentaciju podataka koji se
izmjenjuju sakrivajući komunikacijske protokole koji stoje iza, kao što je HTTP ili SMTP.




Struktura SOAP dokumenta



Sigurni WEB servisi - Sigurnosni model

Svako e-Poslovanje koristi svoju vlastitu sigurnosnu infrastrukturu i vlastite sigurnosne
mehanizme, kao što je PKI ili Kerberos. U kontekstu WEB servisa, ovi sigurnosni sustavi
trebaju međusobno djelovati kroz različite sigurnosne domene.









Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

272
Sigurni WEB servisi -relizacija sigurnosnog modela

Za razliku od SSL-a i HTTP-a koji osiguravaju osnovu sigurnost od točke do točke sigurni
WEB servisi moraju osigurati sigurnost od kraja do kraja , od aplikacije do aplikacije.






WS-Security

WSS (WS-Security, Web Services Security) je komunikacijski protokol koji osigurava
sigurnost primjene Web servisa. Ovaj protokol je publiciran od strane OASIS normizacijskog
tijela kao WS-Security norma 1.1 koja uključuje slijedeće specifikacije:

- SOAP Messagge Security 1.1 Ova specifikacija opisuje poboljšanje sigurnosti SOAP
poruka kroz zaštitu integriteta, povjerljivosti poruka te kroz autentifikaciju
korištenjem jedne poruke.
- Username Token Profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa
dostavlja UsernameToken kao način identifikacije korištenjem "korisničkog imena" i
proizvoljnog korištenja lozinke (ili dijeljenje tajne ili nekog ekvivalenta lozinke) kako
bi se korisnik autentificirao kod dobavljača Web servisa.
- X.509 Token profile 1.1 Ovaj dokument opisuje kako koristiti X.509 certifikate sa
WSS uslugama: SOAP Message Security specifikacijom.
- SAML Token profile 1.1 Ova specifikacija opisuje upotrebu SAML potvrda kao
sigurnosnih tokena kroz <wsse: Security> zaglavlje koje je definirano sa WSS: SOAP
Message Security specifikacijom.
- Kerberos Token Profile 1.1 ). Ova specifikacija opisuje upotrebu Kerberos (Kerb)
tokena u odnosu na WSS: SOAP Message Security specifikaciju . Posebno, ovaj
dokument definira kako kodirati Kerberos karte te kako ih spojiti na SOAP poruke.
- Rights Expression Language (REL) Token profile 1.1 Ovaj dokument opisuje kako
upotrijebiti ISO/IEC 21000-5 Rights Expressions sa WSS specifikacijom. ISO/IEC
21000-5 norma definira autorizacijski model koji specificira da li semantika izraza,
koji definira prava, dozvoljava određenom subjektu da izvodi dana prava na
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

273
proizvoljno danom objektu u danom vremenu na osnovi danog ovlaštenja i
povjerenja.
- SOAP with Attachments (SwA) profile 1.1 Ova specifikacija opisuje kako korisnik
Web servisa može osigurati SOAP dodatke koristeći SOAP Message Security normu
za očuvanje integriteta, tajnosti i autentičnosti izvora dodatka, te kako primatelj može
obraditi takvu poruku.

Protokolni slog sa SOAP Message Security

Kako bi sagledali što bolje sigurnost i interoperabilnost Web servisa dobro je pogledati
protokolni slog u svjetlu 7 razina mrežnog protokola.




Shematski bi se struktura sigurnosnih informacija u SOAP poruci prema WS-Security
protokolu mogla prikazati na sljedeći način:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

274



Struktura sigurnosnih informacija u SOAP poruci prema WS-Security protokolu


Interoperabilni sigurnosni servisi

WS-I Basic Security Profile radna grupa razvila je interoperabilni profil koji je povezan sa
sigurnošću transporta, sigurnošću razmjena SOAP poruka te ostalim osnovnim profilima koji
su orijentirani na sigurnost Web servisa.








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

275
VIŠERAZINSKA SIGURNOST NA MREŽAMA


Principi:

- mandatna kontrola pristupa
- označavanje subjekata i objekata
- povjerenje


Svojstva u pristupu podatcima (Bell-La-Padula):

- Jednostavno svojstvo sigurnosti (ss-property) koje kaže da niti jedan korisnik nesmije
čitati podatke na razini koja je viša od one za koju je osoba ovlaštena.

- Svojstvo zvijezde (*-property) koje kaže da niti jedna osoba nesmije pisati podatke na
razinu koja je niža od razine na koju je osoba pristupila.


Povjerljivo mrežno sučelje (Trusted Network Interface - TNI)

Slika 9.39 pokazuje grafički strukturu povjerljive računalne baze (trusted computing base-
TCB) za operacijski sustav.

Povjerljivo sučelje za mreže razvijeno je, na način sličnom operacijskim sustavima, kako je
pokazano na slici 9.40.
- odgovara za sredstva koja kontrolira
- svaki host ima svoje sučelje (različito)
- zaštićuje se od hosta koji se priključuje bez TNI-a

Mreža i mrežno sučelje moraju osigurati slijedeće:

- Sigurne višerazinske hostove (računala)
- Označeni izlaz.
- Kontrola klasifikacije prije oslobađanja podataka.
- Integritet podataka.
- Zatvorenost.
- Zaštitu od kompromitiranja linije.










Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

276



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

277
Rushby i Randell dizajn mreže:

- kriptografsko odvajanje hostova
- jedinstven ključ za svaku sigurnosnu razinu
- neizmjenjeni operacijski sustav
- sva sigurnost u TNI











Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

278
Sigurna komunikacija

Alternativni pogled na mrežnu sigurnost dan je od Walker-a :

- mreža povjerljivih i nepovjerljivh hostova
- povjerljivi hostovi sa više sigurnosnih razina (mandatna politika pristupa)
- nepovjerljivi hostovi istu razinu sigurnosti
- hostovi odgovorni za verifikaciju sigurnosti vlastitih komunikacija
- nepouzdanost komunakcije – sigurnosni problem
- potvrda prijema (tajni kanal ?)




Rješenje nepouzdanosti komunikacije:

- uvođenje komunikacijskog servera (XS) na povjerljivom hostu (niska razina)
- prijenos unutar povjerljivog hosta pouzdan
- potvrda prijema od XS

Komunikacija s nepovjerljivim hostom:

- ne može koristiti gornju tehniku ( ne provodi pristupnu politiku – ista sigurnosna
razina)
- uvodi se povjerljivi mrežni menađer (slika 9.43)
- povjerljivi menađer može kršiti svojstva BLP modela (rigorozna inspekcija koda)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

279


Zaključno o mrežnoj sigurnosti

Sigurnosna pitanja:
- tajnost,
- integritet,
- autentičnost i
- raspoloživost.

Enkripcija (snažan alat)
- enkripcija veze (transaprentna)
- enkripcija sa kraja na kraj (upravljana od korisnika)

Prijenosni protkoli – očuvanje integriteta podataka

Ranjivost:
- pristup od neovlaštenih korisnika ili čvorova
- impersonizacija ovlaštenih korisnika ili čvorova

Mjere:
- kontrola pristupa i
- tehnike autentifikacije

Problem mrežne sigurnosti - uspostava povjerenja udaljenog čvora

Napadač na mrežnu sigurnost:
- Da li je to najslabija veza ?
- Da li imam vještine da to prihvatim?
- Da li je to vrijedno truda ?
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

280
12. TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM SIGURNOSNIM
BAZAMA PODATAKA


TRADICIONALNA TRANSAKCIJSKA OBRADA

Cilj mehanizama za kontrolu istovremenih (konkurentnih) pristupa (CC- concurrency
control) je da se očuva integritet baze podataka čak i u slučaju istovremenih pristupa od
strane više korisnika kroz pravilnu sinkronizaciju izvođenja transakcija. Taj princip je
najbolje ilustrirati kroz slijedeći primjer.

Primjer 2.1.(Zašto trebamo protokol za kontrolu istovremenih pristupa). Razmotrimo
bazu podataka za održavanje stanja informacija o korisničkim bankovnim računima.
Pretpostavimo da korisnik gospodin. Kovač ima dva računa: tekući račun (A) i račun za
štednju (B). Račun B koristi i njegova supruga gđa Kovač. Pretpostavimo da je trenutno
stanje računa A 1000 $ a stanje računa B je 10000 $. Razmotrimo slijedeći scenarij:
transakcija T
1
inicirana od g. Kovača miče 100 $ iz računa A na račun B, dok druga
transakcija T
2
, inicirana od gđe Kovač polaže na račun B iznos od 10000 $.


Slika 2.1 Neispravno istovremeno izvođenje


ACID zahtjevi na obradu transakcija

Od izvođenja transakcija se očekuje da se zadovolji:
- atomnost (atomicity),
- konzistentnost (consistency),
- izolacija (isolation) i
- postojanost (durability),

Poznato pod nazivom ACID svojstava.

T
1
T
2
Read A
A = A - 100
Read B
Write A
B = B + 10000
Read B
Write B
Commit T
2
B = B + 100
Write B
Commit T
1
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

281
U distribuiranim bazama podataka:
- dodatno se zahtjeva "atomic commit protocol - ACP" kako bi se osigurala atomnost
transakcije u distribuiranoj bazi podataka.
- ispravna integraciju ACP-a i CC protokola.

Protokoli za kontrolu istovremenih (konkurentnih) pristupa (CC protokoli)

Izmiješano izvođenje transakcija T
1
i

T
2
koje rezultira ispravnim stanjem.





Slika 2.2 Ispravno istovremeno izvođenje

Izvođenje koje je ekvivalentno serijskom izvođenju naziva se serijabilno. CC protokol se
koristi kako bi se osigurala serijabilnost.

Algoritmi za CC protokol:
- dvo-fazno zaključavanje (two-phase locking) i
- poredak prema vremenskom označavanju (timestamp ordering).

Dvo-fazno zaključavanje (2PL):

- Protokoli koji se zasnivaju na zaključavanju provode kašnjenje konfliktnih operacija
kroz postavljanje brave (locka) na podatkovne elemente u bazi koji se čitaju ili upisuju
u bazu.

- Pod pojmom konfliktne operacije podrazumijevaju se operacije koje referenciraju iste
podatke (elemente u bazi) ali od kojih je barem jedna operacija, operacija upisa
(write).

- 2PL zahtjeva da su sve transakcije dobro oblikovane i da su dvo-fazne.
o transakcija mora ostvariti dijeljenu bravu (S-Lock) na podatcima u bazi prije
njihovog čitanja i isključivu bravu (X-lock) prije njegovog upisivanja.
T
1
T
2
Read A
Read B
A = A - 100
B = B + 10000
Write A
Write B
Commit T
2

Read B
B = B + 100
Write B
Commit T
1
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

282
o Transakcija je dvofazna ukoliko ona više ne postavlja brave (locks) na
elemente u bazi nakon što je oslobodila bravu (lock) na nekom podatkovnom
elementu u bazi.

Poredak prema vremenskim oznakama (TO):

- pridružuju jedinstvenu vremensku oznaku (timestamp) (ts(T
i
)) svakoj transakciji (T
i
).

- Svaki podatkovni element (x) je povezan sa vremenskom oznakom posljednje
transakcije koja je čitala ili upisivala u taj element i to rts(x) i wts(x) respektabilno.

- dozvoljava konfliktnim operacijama izvođenje samo u rastućem poretku vremenskih
oznaka i to:
o (1) T
i
nije dozvoljeno čitanje x osim ako je
wts(x) ≤ ts(T
i
), i
o (2) T
i
nije dozvoljeno pisanje u x osim ako je rts(x) ≤ ts(T
i
).


Protokoli potvrde izvršenja (Commit Protocols)

Kada je distribuirana transakcija podijeljena na podtransakcije za izvođenje na pojedinačnim
lokacijama mi moramo osigurati da one sve potvrde završetak (commit) ili da sve zajedno
abortiraju (abort).

Vrste:
- Dvo-fazni protokol potvrde završetka (2PC)
- Early Prepare (EP): Optimizacija 2PC protokola

Primjer 2.2 (Zašto trebamo Commit protokol). Razmotrimo primjer iz prijašnje sekcije.
Pretpostavimo da se tekući račun (račun A) gosp. Kovača održava u Splitu (lokacija 1) a
njegov račun za štednju (račun B) u Zagrebu (lokacija 2). Pretpostavimo da on želi povući
1000 $ sa svoga štednog računa na tekući račun. Pretpostavimo da je distribuirana transakcija
inicirana sa lokacije 1 da provede ove operacije.

Slijedeći skup operacija treba biti izveden na obje lokacije:

Lokacija 1 Lokacija 2

Read A Read B
A = A + 1000 B = B - 1000
Write A Write B

Kako bi se osigurala atomnost izvođenja svih komponenata distribuirane transakcije (koje se
često nazivaju subordinate) potreban je " atomic commit protocol" (ACP).


Dvo-fazni protokol potvrde završetka (2PC)

o Pripremna faza
o Faza odluke
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

283

Coordinator subordinate


Slika 2.3. Osnovni 2PC protokol

Early Prepare (EP): Optimizacija 2PC protokola


Coordinator Suobordinate



Slika 2.4. EP protokol








Work request, prepare
Yes
Commit
Yes
Acknowledge
Work request
Done
Prepare
Yes
Commit
Acknowledge
6n messages
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

284
TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM BAZAMA PODATAKA

Sigurnosni protokoli za transakcijsku obradu zajedno sa ograničenjima Bell-LaPadula
ograničenjima moraju biti oslobođeni od svih tajnih kanala (covert channels).

Problemi postojećih rješenja u tradicionalnim uvjetima

U obje situacije (locking i timestamping) kad god postoji natjecanje za podatkovne elemente
od strane transakcija koje se izvode sa različitih pristupnih klasa, transakcija niže pristupne
klase je ili zakašnjela ili suspendirana kako bi se osigurala ispravno izvođenje. U takvom
scenariju dvije transakcije koje se izvode na visokoj i niskoj razini mogu stvoriti kanal za
prijenos informacija sa visoke razine na nisku selektirajući neki podatkovni element prema
unaprijed usvojenom kodu.



High: lock
2
[x], r
2
[x] lock
2
[y], w
2
[y]

Low: w
1
[x] bit će zakašnjen


Slika 3.1 Tajni kanal uz 2PL protokol

TO protokol također je ranjiv na isti odljev tajnih informacija. Pretpostavimo da je
ts(T
1
) < ts(T
2
). Budući da T1 pokušava upisati x nakon što je T2 pročitao x, ta operacija
pisanja se odbija budući je vremenska oznaka čitanja od x rts(x)) > ts(T
1
) te zbog toga T1
mora biti abortirana. Budući high transakcija može selektivno prouzročiti (odnosno
koordinirati) da low transakcija abortira uspostavljen je tajni kanal za prijenos high
informacija.

Signalni kanal, ipak, se može ukloniti ukoliko high transakcija ne postavlja lock na low
podatak ili da oslobodi lock kada low transakcija zahtjeva low podatkovni elemenat. Slično u
slučaju TO kanal se može ukloniti ukoliko high transakcija ne mijenja vremensku oznaku
čitanja na low podatkovnom elementu. Međutim to može dovesti do povijesti događaja koja je
označena na slici 3.2.

High: T
2,
z r
2
[x] r
2
[y], w
2
[z]

Low: T
1,
x, y w
1
[x], w
1
[y]

Slika 3.2 Neserijabilna povijest događaja

Povijest događaja nije serijabilna budući je pripadni serijabilni graf sadrži ciklus prikazan na
slici 3.3. (strelica od T1 prema T2 postoji zbog konfliktnih operacija r
2
[x] i w
1
[x] gdje r
2
[x]
prethodi w
1
[x], te strelica od T2 prema T1 postoji zbog konfliktnih operacija w
1
[y] i
r
2
[y].

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

285

Slika 3.3 Graf serijabilnosti za povijest sa slike 3.2


Revidirani zahtjevi

Raspoređivač (scheduler) koji implementira protokol konkurentnih pristupa u višerazinskom
sustavu baza podataka mora zadovoljiti slijedeća ključna svojstva:

1. mora osigurati ispravno izvođenje transakcija
2. mora sačuvati sigurnost ( tj. da mora biti oslobođen tajnih kanala)
3. mora biti implementiran kroz nepovjerljivi kod
4. te mora izbjegnuti izgladnjenje (starvation).


Komercijalna rješenja

Kako tri glavana ponuđača povjerlivih DBMS-a (Sybase, Oracle i Informix) rješavaju ove
probleme.

Sybase kontrolu konkurentnih pristupa koristi obični 2PL koji kako je pokazano nije siguran.

Informix koristi rješenje koje dozvoljava da transakcija postavlja write lock na low
podatkovne elemente iako high transakcija drži read lock na tom podtakovnom elelmentu.

Povjerljivi Oracle u drugu ruku koristi kombinaciju zaključavanja i tehnike
multiverzioniranja..

Istraživanja

Postoji dosta istraživačkih radova koji se odnose na rješenja za:
- repliciranu i
- jezgrastu arhitekturu višerazinskih DBMS sustava.

Replicirane arhitekture kao što je poznato proizvode višerazinski DBMS iz jednorazinskog
DBMS-a.. Izazov je kako kreirati prokol za kontrolu replika da bi se zadovoljilo svojstvo
serijabilnosti za jednu kopiju podatkovnih elemenata.

Jezgrasta arhitektura poboljšava tu situaciju učinkovitosti korištenja resursa.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

286

Kroz upotrebu jezgraste arhitekture predložena su neka od slijedećih rješenja:

- Slabiji kriteriji ispravnosti
- Korištenje analize transakcija za postizanje serijabilnosti
- Sigurni Commit protokoli (S2PL i SEP)
- i dr.

Slabiji kriteriji ispravnosti. Moguće je zauzeti stav da je tradicionalni zahtjevi ispravnosti
preoštri za MLS baze podataka.

Korištenje analize transakcija za postizanje serijabilnosti. Tu se koristi prethodnica
raspoređivača koja analizira transakcije na skupove čitanja i pisanja te ih prosljeđuje
raspoređivaču prema specifičnom poretku kako bi se zadovoljila serijabilnost.

Sigurni Commit protokoli (S2PL i SEP). Jajoida i McCollum su predložili algoritam za
sigurni 2PL (S2PL) protokol, dok je Alturi sa suradnicima predložio sigurni EP (SEP)
algoritam.





























Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

287
13. SUSTAVI ZA RANO OTKRIVANJE NAPADA (IDS/IPS - Intrusion
Detetction/Prevention Systems)

DEFINIRANJE SUSTAVA ZA DETEKCIJU UPADA

Detekcija upada je proces praćenja događaja koji se zbivaju u računalnom sutavu ili
računalnoj mreži te njihovoj analizi za otkrivanje sigurnosnih problema.

Pojam i definicija detekcije

Naziv detekcija se također koristi u vojnom okruženju za nadzor fizičkih entiteta (kao što su
komunikacijski kabeli) za detekciju provaljivanja ili drugih fizičkih izmjena. Vojni standardi
opisuju sistemske funkcije i testove za to područje.
Ovdje ćemo pod detekcijom upada smatrati funkcije praćenja (nadzora), detekcije i odgovora
koje su usmjerene na aktivnosti u računalnim sustavima i mrežama.


KONCEPT SUSTAVA ZA DETEKCIJU UPADA

Arhitektura

Odvojena od sustava koji se štiti:

- Kako bi se spriječilo uspješnog napadača da onemogući IDS sa brisanjem slogova
zapisa.
- Kako bi se spriječilo uspješnog napadača od izmjene rezultata IDS-a kako bi prikrio
svoju prisutnost.
- Kako bi se smanjilo opterećenje koje proizlazi iz rada IDS-a na operativnom sustavu.

Sustav koji izvodi IDS - host računalo,
Sustav ili mreža koji se motri - ciljni sustav.

Strategija motrenja

- Monitori zasnovani na hostu skupljaju podatke iz izvora interno na računalu, obično
na razini operacijskog sustava.
- Mrežni monitori skupljaju mrežne pakete.
- Monitori aplikacije skupljaju podatke iz aplikacije koja se izvodi.
- Monitori cilja funkcioniraju malo različito od dosad navedenih, budući oni generiraju
svoje vlastite podatke.
Vrste analiza

- Detekcija zlouporabe – Stroj gleda i traži nešto što je definirano da bude "loše".

- Detekcija anomalija – Stroj gleda i traži nešto što je rijetko ili neobično.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

288


Slika 2.2 Generički IDS

Vremenski raspored

- Intervalni/Batch mod
- Stvarno vrijeme

Ciljevi detekcije

- Odgovornost
Odgovornost (accountability) je sposobnost povezivanja aktivnosti ili događaja
unatrag sa odgovornom stranom
- Odgovor
U detekciji upada, odgovor se događa kada analiza proizvede rezultat koji
zahtjeva akciju.

o zapis rezultata analize u log datoteku,
o okidači za alarme za različite predodređene vrste upada,
o izmjena IDS-a na ciljanom sustavu,
o skretanje pažnje putem tiska,
o poruke vatrozidovima (firewalls) ili usmjernicima (routerima).
Problemi upravljanja
- Centralizacija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

289
Centralizirano izvještavanje i upravljanje arhitekturom.
- Integracija sa alatima za upravljanje mrežom
Sagledavanje detekcije upada kao funkcije upravljanja mrežom

Određivanje strategije za detekciju upada
Optimalna strategija:
- Kritičnost ili osjetljivost sustava koji se štiti
- Priroda sustava (na primjer, složenost sklopovske i programske platforme)
- Priroda sigurnosne politike organizacije
- Razina prijetnji u okolini u kojoj sustav radi

SHEME ZA PROVOĐENJE ANALIZE

Za dobivanje bogatih izvora informacija suočeni smo sa monitoriranjem, a slijedeći
korak na krugu detekcije upada je analiza tih informacija. Kroz ovu analizu suočeni
smo s problemima detekcije upada: Što se događa, i da li smo zainteresirani za to ?

Razmišljanja o upadima

Definiranje analize



Slika 4.1 Opći model upravljanja sigurnosnim sustavom
Ciljevi

- Značajno zastrašivanje (odvraćanje)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

290
- Kontrola kvalitete izgradnje sigurnosnog sustava i njegove administracije
- Korisna infromacija o aktualnim napadima

Podržani ciljevi

Kako svaki od navedenih ciljeva usmjerava specifične funkcionalne zahtjeve za IDS
sustave:

- Zahtjevi
o odgovornost,
o detekcija u stvarnom vremenu i odgovor.

- Podciljevi
o zadržati informaciju u formi koja podržava forenzičarsku analizu mreže.
o zadržavanje znanja o performansama sustava ili identificiranje problema
koji djeluju na performanse.
o arhiviranje i zaštita integriteta slogova događaja zbog zakonskih obaveza.

- Postavljanje prioritetnih ciljeva
- Odnosi
U nekom trenutku , ciljevi i zahtjevi mogu biti u konfliktu.
Detektiranje upada
- Ljudski detektor
- Vanjski događaji
- Prethodnica upada
o napadač koji ima temeljni sustav za buduće napade
o znakovi smještaja Trojanskog konja
o probijene sistemske datoteke
o novlašteni ID u datoteci lozinki
- Tvorevina upada
o njuškala (snifers) lozinki po log datotekama,
o neobjašnjene greške rač. sustava,
o oštećene datoteke,
o nenormalni uzorci korištenja računalnih sredstava,
o nered u zapisima za obračun,
o neuobičajena razina mrežnog prometa.

- Motrenje napada u stvarnom vremenu

Otvara vrata blokirnaju napada te drugim adaptivnim odgovorima na
detektirane probleme.





Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

291
AUTOMATIZIRANI ALATI ZA DETEKCIJU UPADA




Slika 6.1. Struktura IDS-a

Namjera automaiziranih alata :
- evidentirati pokušaje kršenja sigurnosti ili off-line ili on-line prijetnje koje se
obrađuju iz revizijskih podataka u stvarnom vremenu

o prijetnje vanjskih napadača (intrudera)
o prijetnje unutarnjih napadača (ovlaštenih korisnika koji koriste
računalna sredstava na neovlašten način)
o ovlašteni korisnici koji zlorabe svoje pristupne privilegije (misfeasors).
Metode:
- metoda usporedbe profila korisničkih aktivnosti (detekcija anomalija),
- metode poznatih napada (detekcija zlouporabe),
- kombinacije gornjih metoda.

Faze aktivnosti:

- prihvaća revizijske zapise od jednog (više) host računala
- izdvaja ono što je relevantno za analizu,
- generira profil aktivnosti koji uspoređuje sa svojom internom bazom.
o baza anomalija usporedba je statističkog tipa;
o baza zlouporabe usporedba uključuje prepoznavanje uzoraka.
- rezultat analize se sprema u IDS bazu podataka
- izmjena revizijskih zapisa kod analize modela ponašanja

Rješenja:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

292
- uvođenje pozadinskih vrata (trapdoor) za uljeze (napadače) (dummy ID i magična
lozinka koja okida alarm ukoliko se koristi)
- definirati pravila koja definiraju uzorke ponašanja za klase korisnika –normalno i
abnormalno ponašanje (razvoj ekspertnih IDS-a.)
- formiranje korisničkog profila koji se periodički ažurira na osnovi korisničkog
ponašanja (adaptivno učenje).
- kodificirati ranjivost sustava i scenarij poznatog napada u sigurnosna pravila
- korištenje modela zasnovanog na zaključivanju (model prethodno definiranih poznatih
napada)
- pristupi, koji nisu zasnovani na sumnji, definiraju prihvatljiva ponašanja
- koriste potencijal neuronskih mreža kako bi adaptivno reagirali na napad upada
- monitori pojava i monitori ponašanja za specijalne upade (virusi).

Postojeći alati i prototipovi rješenja:

Mnogi IDS sustavi su zasnovani na analizi revizijskih zapisa koje osigurava
operacijski sustav ačunala (OS).

Primjeri su:
- SRI – ov IDES,
- NSA-ov MIDAS,
- Haystack Laboratories –ov Haystack System,
- Los Almos national Laboratory –ov Wisdom & Sens (W&S),
- AT&T-ov Compute Watch,
- Planning Research Corporation-ov Information Security Officer's Assitant
(ISOA).

Pristup zasnovan na ekspertnom sustavu: IDES sustav

Osnovni razlozi :

- Mnogi postojeći informacijski sustavi imaju sigurnosne rupe koje ih čine ranjivim na
prijetnje upada. Često je ne moguće označiti ili ukloniti ove rupe, iz tehničkih ili
ekonomskih razloga.
- Postojeći sustavi sa poznatim sigurnosnim rupama ne mogu biti lako zamijenjeni sa
sigurnim ustavima budući oni često zavise o aplikacijskom sustavu ili supstitucija
zahtjeva značajni ekonomski ili tehnički napor.
- Razvoj apsolutno sigurnih sustava je ekstremno težak posao, a često i nemoguć.
- Čak i jako sigurni sustavi su ranjivi na zlouporabu od strane legitimnih korisnika.

IDES je real-time sustav koji spada u kategoriju sustava koji su zasnovani na iskustvu i
učenju koje se dobiva kroz promatranje, a ne na čvrstim pravilima.


Osnove IDES-a

IDES koristiti rješenje kroz ekspertni sustav, uz pretpostavku da eksploatacija ranjivosti za
zloporabu sustava vodi abnormalnom korištenju (anomaliji) sustava.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

293
Odnosi između prijetnji i ponašanja

- Pokušaj upada.
- Maskiranje.
- Upadi od strane legitimnih korisnika.
- Širenje podataka od strane ovlaštenih korisnika.
- Zaključivanje od strane ovlaštenih korisnika.
- Trojanski konji.
- Virusi.
- Odbacivanje usluga (DoS).

Analiza anomalijskog ponašanja

Definiranje modela za detekciju upada zahtjeva profile i pravila koja treba odrediti.

Metrika

- Brojač događaja
- Vremenski interval
- Mjerenje sredstava

Statistički modeli

- Operacijski model. On je zasnovan na pretpostavci da se anomalija može
odrediti usporedbom nove promatrane vrijednosti od x sa čvrstim
ograničenjem
- Model prosjeka i standardne devijacije. On je zasnovan na pretpostavci da
bi nova promatrana vrijednost bila smatrana “normalnom” ako ona leži
unutar povjerljivog intervala:

avg ± d x stdev

gdje je avg prosječna veličina, a stdev je standardna devijacija, a d je
parametar.

- Multivarijantni model. On je sličan modelu prosjeka/standardnoj devijaciji,
izuzev činjenici da je on zasnovan na korelaciji između dve ili više mjera
(metrika).

- Markovljev model. Ovaj model razmatra svaki tip događaja (korisnički
zahtjev) kao varijablu stanja, te koristi matricu promjene stanja za
krakterizaciju učestalosti tranzicije među stanjima.

- Model vremenskih serija. Ovaj model, koristeći brojač događaja i mjerenje
sredstava te metriku intervala, uzima u obzir poredak te vrijeme intervala
koji se dogodio između observacija kao i vrijednosti tih observacija
(opažanja).
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

294

Svojstva profila



Slika 6.2 Hijerahija elemenata za koje se mogu definirati profili ponašanja

Profili su definirani u odnosu na subjekte koji izvode akcije prema objektima na kojima se te
akcije izvode, te prema vrsti akcije.

Prijava na sustav (login) i profili aktivnosti sekcije (session)

- Učestalost prijave.
- Učestalost lokacija.
- Posljednja prijava.
- Trajanje sekcije.
- Izlaz sekcije.
- CPU po sekciji, I/O po sekciji, stranice po sekciji, i td.
- Greške lozinki.
- Greške lokacija.


Profili izvođenja naredbi i programa

- Učestalost izvođenja.
- CPU po programu, I/O po programu, i td.
- Odbačeno izvođenje.
- Zasićenje programskih resursa.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

295
Profili pristupa datotekama

Profili pristupa datoteka se mogu definirati u odnosu na:

- Učestalost read, vrite, create i delete operacija.
- Pročitani/zapisani slogovi.
- Greške read, write, create i delete operacija.
- Iscprljenost dadtotečnih resursa.


Profili pristupa bazama podataka:

- "retrive", "update", "insert" i "delete" pristup mora se razmatrati za slogove u
relaciji,
- "create" i "delete" mod za cijelu realciju.
- "Retrive" operacije na bazi podtaka odgovaraju "file read" operacijama;
- "update", "insert" i "delete" operacije odgovaraju "file write" operacijama.

Korištenjem baze podataka i skupa procesa IDES nadgleda:

- Prijetnje upada;
- Maskiranje;
- Upad u sustav od strane vanjskih korisnika;
- Prijetnje zaključivanja i agregacije;
- Kanale za širenje informacija: prate se dva tipa tajnih kanala: memorijski kanali,
koji uključuju zasićenje računalnih sredstava i izuzetnih uvjeta; te vremenskih
kanala (koji vode do zakljiučivanja o svojstvima korištenja sistemskog vremena);
- Odbacivanje usluga (DoS);
- Popratni efekti: prouzročeni virusima, crvima, ili sličnim programima koji dovode
do DoS ili oštećenja podataka i programa.

IDES model

IDES sigurnosni model sadrži slijedeće elemente (slika 6.3):

1. Subjekte: inicijatore aktivnosti sustava koji se monitorira (nadgleda).
2. Objekte: to su sredstva sa kojima radi informacijski sustav: a to su entiteti na kojima
se izvode akcije.
3. Revizijski slogovi (audit records). to su slogovi zapisa akcija koje zahtjevaju korisnici
na sustavu koji se nadgleda.. Svaki slog se sastoji od šestorke tipa:

(subjekt, akcija, objekt, uvjet-izuzeća, korištenje resursa, vrijeme)
gdje je:

- Akcija: operacija pristupa (npr. login, logout, read, execute);
- Subjekt: subjekt koji je zahtjevao akciju;
- Objekt: objekt koji se zahtjeva od akcije;
- Uvjet izuzeća: opisuje moguće izuzeće koje se vraća subjektu u slučaju
djelomičnog/potpunog odbijanja zahtjeva za izvođenje akcije od strane
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

296
sustava. Taj uvjet može biti, pored jasnog opravdanja za odbijanje servisa koji
se vraća korisniku, i slijedeći motiv koji se ne vraća korisniku iz sigurnosnih
razloga (budući korisnik iz toga može zaključiti na informaciju iz danog
motiva);
- Korištenje sredstava: Lista kvantitativnih elemenata od kojih svaki daje iznos
korištenja svakog sredstva. Na primjer, broj linija ili štamapnih stranica, broj
pročitanih/zapisanih slogova, vrijeme korištenja CPU-a ili I/O jedinica, trajanje
sekcije;
- Vrijeme: pojava akcije izvođenja




Slika 6.3 Elementi IDES modela





4. Profili: strukture koje opisuju (karakteriziraju) ponašanje subjekata nad objektima u
formi metričkih ili statističkih modela.

Profil aktivnosti opisan je desetorkom:

(ime varijable, uzorak akcije, uzorak izuzeća, uzorak korištenja sredstava, period, tip
varijable, prag, uzorak subjekta, uzorak objekta, vrijednost)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

297

gdje je:

- Ime varijable: ime varijable;
- Uzorak akcije: odgovara nula ili više akcija u revizijskom slogu (npr., "login",
"read", "execute", i td.);
- Uzorak izuzeća: odgovara poljima uvjeta izuzeća u revizijskom slogu;
- Uzorak korištenja sredstava: odgovara polju korištenja sredstva revizijskog
zapisa;
- Period: opisuje dužinu vremenskog perioda na koji se odnosi period
nadgledanja: npr. dan, sat, minuta. Ta komponenta je nula ako period nije
fiksiran;
- Tip varijable: definira metrički ili statistički model na kojem se definira profil:
na primjer brojač događaja ili model prosjek/standardna devijacija;
- Prag: parametar koji definira granicu (granice) koji se koristi u statističkom
testiranju kako bi se odredila anomalija.
- Uzorak subjekta: odgovara polju subjekta na revizijskom zapisu;
- Uzorak objekta: odgovara polju objekta na revizijskom slogu (zapisu);
- Vrijednost: vrijednost najnovijih observacija (promatranja) i parametara koji se
koriste u statističkom modelu kako bi prezentirali distribuciju prethodnih
vrijednosti.

5. Zapisi anomalije: to su slogovi koji opisuju nelegitimno ponašanje korisnika

Anomalijski zapisi su definirani sa trojkama oblika :

(događaj, vrijeme, profil)

gdje je:

- Događaj indicira događaj koji je pokrenuo anomaliju.
- Vrijeme.
- Profil je profil aktivnosti prema kojem je određena anomalija.

6. Pravila za izvođenje aktivnosti: ona opisuju akcije koje se moraju izvesti kada su
zadovoljeni dani uvjeti.

Pravila aktivnosti se mogu grupirati u četiri klase:

- Pravila revizijskog zapisa.
- Pravila za periodičko ažuriranje aktivnosti.
- Pravila zapisa anomalije.
- Pravila za periodičku analizu anomalija.


Modeli profila aktivnosti (ponašanja) i upravljanje profilima aktivnosti

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

298
Modeli profila su uzorci koji se koriste za definiranje novih profila aktivnosti. Dakle,
svaki profil aktivnosti je kreiran na osnovi nekog modela profila, uz specifikaciju
subjekta i objekta na koji se profil odnosi.

Arhitektura sustava IDES

IDES baza podataka sadrži (slika 6.4):

- Revizijski podatak. To se odnosi na revizijski zapis koji se šalje IDES-u od strane
nadgledanog sustava. On je smješten u tabelu i ispitan kako bi ažurirao aktivni ili
anomalijski podatak;
- Aktivni podatak. Sadrži veličinu aktivnosti koja se provodi od strane korisnika za
pojedinačnu varijablu koja se mjeri.Tabela razmatranih upada se koristi za svaku
varijablu. Podatci se periodički koriste za ažuriranje korisničkih profila, a koji se
odnose na danu varijablu;
- Arhivirani podatak. To su ispitani revizijski podatci, koji su već obrađeni za potrebe
ažuriranja ili analizu anomalije. Oni su smješteni u tablicu i periodički odstranjivani;
- Podatak profila. On definira profile normalnog ponašanja svakog korisnika ili grupe
korisnika. On je smješten u skup tablica (je dana za svaki razmatrani upad za svaku
varijablu);
- Podatak rasporeda. On pokazuje period ažuriranja svakog profila te datum
posljednjeg ažuriranja profila. On je spremljen u skup tablica (jedna za upade za svaku
varijablu koja se mjeri);
- Anomalijski podatak. To je anomalijski zapis koji se vidi u modelu. Oni su smještenu
u skup tablica ( po jedna za svaki tip anomalije).

Procesi koji implementiraju IDES komuniciraju jedan sa drugim kroz bazu IDES-a. Oni su:

- Prijemnik. On implementira IDES protokol.
- Detektor anomalije. On uzima zapis koji se odnosi na revizijski podatak i ažurira
aktivni podatak.
- Arhivar. On periodički back-upira podatke;
- Ažurnik profila. Ovaj proces ažurira profile na osnovi aktivnog podatka na kraju
vremenskog perioda koji se odnosi na profil koji se razmatra;
- Čistač (reset) aktivnog podatka. Skupljena aktivnost unutar perioda se ugrađuje u
globalnu aktivnost, broj perioda se povećava za jedan, a aktivnost se postavlja na 0;
- Administratorsko sučelje. IDES sučelje zasnovano na Windows sustavu, osigurava:

o monitor stanja, koji pokazuje trenutno stanje IDES-a;
o monitor anomalija, koji pokazuje abnormalno ponašanje određeno u sustavu za
mjeru (ili mjere) koje su se dogodile u prošlosti ili u sadašnjosti;
o monitor upita, koji dozvoljava administratoru da pristupa IDES bazi,
upotrebom prethodno definiranih SQL upita.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

299



Slika . 6.4 Struktura IDES prototipa

. IDES prototip radi na drugom stroju od nadgledanog sustava. To donosi prednosti u smislu:

- Performansi. Prisustvo IDES-a ne povećava vrijeme odziva;
- Sigurnost. IDES se može zaštitti u odnosu na nadgledani sustav, tako da korisnici
nadgledanog sustava ne mogu pristupiti IDES-u kako bi ga ispiatali i izmjenili.
- Integracija. IDES se može lako prilagoditi različitoj okolini i integrirati.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

300


Slika 6.5 Interakcija između IDES komponenti (R=čitaj, I=umetni, D=izbriši,
M=izmjeni).

IDES je pokazao:

- dobru snagu u razlikovanju između normalnog i abnormalnog ponašanja korištenja
sustava,
- upotreba prototipa je pokazala nizak broj pogrešnih alarma,
- te prilično zadovoljavajući postotak detekcije sigurnosnih prekršaja.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

301
14. UPRAVLJANJE I NADZOR SIGURNOSNOG SUSTAVA IS (ISMS)

Kako bi informacijski sustav bio zaštićen na pravi način potrebno je uspješno uskladiti,
implementirati i nadzirati sve potrebne mjere zaštite, koje se odnose na ljude, tehnologiju i
procese.

ISMS familija normi

Ova familija normi pomaže organizacijama svih vrsti i veličina da implementiraju i pogone
ISMS a sastoji se se od slijedećih normi pod općim nazivom: Information technology -
Security techniques:

- ISO/IEC 27000:2009, Information security management systems - Overview and
vocabulary
- ISO/IEC 27001:2005, Information security management systems -Requirements
- ISO/IEC 27002:2005, Code of practice for information security management
- ISO/IEC 27003, Information security management systems implementation guidance
- ISO/IEC 27004, Information security management - Measurement
- ISO/IEC 27005:2008, Information security risk management
- ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of
information security management systems
- ISO/IEC 27007, Guidelines for information security management systems auditing
- ISO/IEC 27011, Information security management guidelines for telecommunication
organizations based on ISO/IEC 27002.

Međunarodne norme koje nisu pod gore navedenim općim nazivom, a također pripadaju
ISMS familiji normi su:

- ISO 27799:2008, Health informatics - Information security management in health
using ISO/IEC 27002

Sustav upravljanja informacijskom sigurnošću (ISMS)

Sve organizacije, svih vrsta i veličina:

- Skupljaju, obrađuju, pohranjuju i prenose velike količine informacija;
- Prepoznaju da su informacije i njima pripadni procesi, sustavi, mreže i ljudi vrlo važna
imovina za postizanje poslovnih ciljeva organizacije,
- Suočavaju se sa širokom područjem rizika koji utječu na funkcioniranje njihovr
imovine i
- Modificiraju rizike kroz implementaciju sigurnosnih kontrola.

Budući se rizici informacijske sigurnosti te učinkovitost kontrola mijenjaju ovisno o
promjenama okoline, svaka organizacija treba:

a) Nadzirati i vrednovati učinkovitost implementiranih kontrola i procedura
b) Identificirati pojavu rizika koji se moraju obraditi
Odabrati, implementirati i poboljšavati kontrole kada je to potrebno.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

302

Što je to ISMS ?

Sustav upravljanja informacijskom sigurnošću - ISMS (Information security management
system) osigurava model za uspostavu, implementaciju, rad, nadzor, preglede, održavanje i
poboljšanje zaštite informacijske imovine u cilju postizanja poslovnih ciljeva koji su
temeljeni na procjeni rizika te na prihvatljivoj razini rizika za organizaciju na kojima se
zasniva učinkovita obrada i upravljanje rizika.

Analiza zahtjeva za zaštitu informacijske imovine te primjena odgovarajućih kontrola za
njihovu zaštitu ako je potrebno, doprinosi uspješnoj implementaciji ISMS-a. Slijede osnovni
principi koji također doprinose uspješnoj implementaciji ISMS-a:

a) Podizanje svijesti o razumijevanju i potrebi za informacijskom sigurnošću
b) Pridruživanje odgovornosti za informacijsku sigurnost
c) Uključivanje podrške Uprave organizacije i interesa zainteresiranih strana
d) Unapređenje socioloških vrijednosti
e) Procjena rizika određuje odgovarajuće kontrole kako bi se dosegla prihvatljiva razina
rizika
f) Sigurnost uključiti kao važan element informacijskih sustava i mreža
g) Aktivna prevencija i detekcija incidenata informacijske sigurnosti
h) Osiguranje sveobuhvatnog rješenja za upravljanje informacijskom sigurnošću i
i) Kontinuirana procjena informacijske sigurnosti te provođenje izmjena kada je to
potrebno

Procesni pristup

Procesno rješenje za ISMS koje je korišteno u ISMS familiji normi , a koje je bazirano na
principu na koje radi ISO sustavi upravljanja je općenito poznat kao Plan-Do-Check-Act
(PDCA) proces (Deming-ov ciklus) :

a) Plan - postavljanje ciljeva i izrada planova ( analiza situacije u organizaciji, uspostava
sveukupnih ciljeva, razvoj planova koji trebaju realizirati te ciljeve);
b) Do - implementirati planove (učiniti ono što je planirano da se učini)
c) Check - mjeriti dobivene rezultate (mjerenje/nadziranje postignutih rezultata u odnosu
na planirane ciljeve) i
d) Act -Ispravi i poboljšaj aktivnosti (uči iz grešaka na poboljšanju aktivnosti kako bi se
postigli bolji rezultati).

Ovaj proces pokazan je na donjoj slici.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

303



Aktivnosti koje se provode u ovom procesu dane su u sljedećoj tablici:

Plan
(uspostavljanje ISMS)
Uspostavljanje ISMS politike, ciljeva, procesa i procedura
važnih za upravljanje rizikom i povećanje informacijske
sigurnosti kako bi dali rezultate u skladu s ukupnom politikom
i ciljevima organizacije
Do
( implementacija i pokretanje ISMS)
Implementiranje i pokretanje ISMS politike, kontrola i
procedura
Check
(nadgledanje i kontrola ISMS)
Procjena i gdje je primjenjivo, mjerenje performansi procesa u
odnosu na ISMS politiku, ciljeve i praktično iskustvo te
izvještavanje uprave o rezultatima.
Act
(održavanje i unapređivanje ISMS)
Izvođenje korektivnih i preventivnih akcija zasnivanih na
rezultatima ISMS procjene (audita) i procjene uprave ili
ostalim bitnim informacijama, kako bi se ISMS kontinuirano
usavršavao.


Zašto je ISMS važan ?

Uspješno usvajanje i uspostava ISMS-a je važno zbog zaštite informacijske imovine što
omogućuje organizaciji da:

a) Postiže veću garanciju sigurnosti u zaštiti informacijske imovine od informacijskih
rizika na kontinuiranoj osnovi
b) Održava strukturiran sveobuhvatan radni okvir za identifikaciju i procjeni rizika
informacijske sigurnosti, odabir i primjenu odgovarajućih sigurnosnih mjera
(kontrola) te mjerenje i poboljšanje njihove učinkovitosti.
c) Kontinuirano poboljšava kontroliranu okolinu i
d) Djelotvorno postiže zakonsku i regulatornu usklađenost.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

304
Uspostava, nadzor, održavanje i poboljšanje ISMS-a

Organizacija treba poduzeti slijedeće korake u uspostavi, nadzoru, održavanju i poboljšanju
ISMS-a:

a) Identificirati informacijsku imovinu te njihove sigurnosne zahtjeve
b) Procijeniti rizike informacijske sigurnosti
c) Odabrati i implementirati odgovarajuće kontrole kako bi upravljali sa neprihvatljivim
rizicima
d) Nadzirati, održavati i poboljšavati učinkovitost sigurnosnih kontrola koje su povezane
sa informacijskom imovinom koja se štiti.

Identifikacija zahtjeva informacijske sigurnosti

a) Identificirane informacijske imovine i njenih vrijednosti za organizaciju
b) Poslovnih potreba za obradom i uskladištenje informacija
c) Zakonskih i regulatornih i ugovornih zahtjeva i obveza

Procjena rizika informacijske sigurnosti

Upravljanje rizicima informacijske sigurnosti zahtjeva prihvatljivu procjenu rizika te metodu
obrade rizika koja uključuje procjenu troškova i dobiti, zakonske zahtjeve, sociološke,
ekonomske i ekološke aspekte, brigu sudionika (zainteresiranih), prioritete i ostale
odgovarajuće ulaze i varijable.

Odabir i implementacija kontrola informacijske sigurnosti

Jednom kada su identificirani zahtjevi informacijske sigurnosti te kada su određeni i
procijenjeni rizici na identificiranu informacijsku imovinu (uključujući i odluku o obradi
sigurnosnih rizika), odabiru se i implementiraju odgovarajuće kontrole.

Nadzor, održavanje i unapređenje učinkovitosti ISMS-a

Organizacija treba održavati i unapređivati ISMS kroz nadzor i procjenu performansi prema
sigurnosnoj politici organizacije i njenim ciljevima, te treba izvještavati upravu za ocjenu
postignutih rezultata.

Kritični faktori uspjeha ISMS-a

Velik je broj kritičnih faktora za uspjeh implementacije ISMS-a kako bi organizacija ostavrila
svoje poslovne ciljeve. Primjeri kritičnih faktora uspjeha su:

a) Politika informacijske sigurnosti, ciljevi i aktivnosti koje su podešene ciljevima
b) Rješenje i radni okvir za projektiranje, implementaciju, nadzor i unapređenje
informacijske sigurnosti koje je konzistentno s kulturom organizacije
c) Vidljiva podrška i predanost na svim razinama upravljanja, posebno na razini visokog
menedžmenta
d) Razumijevanje zahtjeva na zaštitu informacijske imovine koja se postiže kroz
primjenu upravljanja rizikom informacijske sigurnosti (vidi ISO/IEC 27005)
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

305
e) Učinkovit program podizanja svijesti o informacijskoj sigurnosti, treningu i edukaciji,
informiranje svih zaposlenika i ostalih strana o njihovim obvezama koje su
postavljene u sigurnosnim politikama, normama i dr.; kao i njihovo motiviranje da
djeluju u skladu s tim politikama
f) Učinkovit proces upravljanja incidentima informacijske sigurnosti
g) Učinkovito rješenje za kontinuitet poslovanja, te
h) Sustav mjerenja koji se koristi za vrednovanje performansi u upravljanju
informacijskom sigurnošću te sugestije za unapređenje koje iz tog mjerenja proizlaze

Kako će organizacija uspostaviti sustav upravljanja (ISMS) ?

- ISO/IEC 27001:2005, Information security management systems -Requirements
- ISO/IEC 27002:2005 (proizašla iz norme ISO/IEC 17799:2005) , Code of practice
for information security management

Norma ISO/IEC 27001:2005

Uspostavljanje ISMS-a

Organizacija mora učiniti slijedeće:

- Odredititi opseg i granice ISMS-a
- Definirati pristup procjeni rizika organizacije
- Identificirati rizike
- Analizirati i vrednovati rizike
- Identificirati i vrednovati opcije za obradu rizika
- Odabrati ciljeve kontrola i kontrole za obradu rizika
- Dobiti odobrenje uprave za predloženi nivo rezidualnog rizika
- Dobiti ovlaštenje uprave za implementaciju i rad ISMS
- Pripremiti izjavu o primjenjivosti

Implementiranje i rad ISMS-a

Organizacija mora učiniti slijedeće:
- Formulirati plan za obradu rizika
- Implemetirati plan za obradu rizika
- Implementirati odabrane kontrole kako bi zadovoljila ciljeve kontrola
- Implementirati programe obuke i podizanja svijesti o informacijskoj sigurnosti
- Upravljati radom ISMS-a
- Upravljati resursima za ISMS
- Implementirati procedure i druge kontrole sposobne za omogućavanje trenutne
detekcije sigurnosnih događaja i odgovor na sigurnosne incidente

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

306

Nadziranje i provjera ISMS-a

Organizacija mora učiniti slijedeće:
- Izvršavati, nadzirati i provjeravati procedure i ostale kontrole
- Izvoditi redovitu provjeru učinkovitosti ISMS-a
- Mjeriti učinkovitost kontrola
- Provjera procjena rizika u planiranim intervalima
- Izvoditi interne prosudbe (audite) u planiranim intervalima
- Izvoditi provjeru ISMS-a od strane Uprave
- Nadopunjavanje sigurnosnog plana
- Bilježenje akcija i događaja

Održavanje i unapređivanje ISMS-a

- Implementirati uočena poboljšanja ISMS-a
- Poduzeti odgovarajuće korektivne i preventivne radnje
- Obavijestiti prikladnom detaljnošću sve zainteresirane strane o uvedenim izmjenama
i poboljšanjima
- Osigurati da poboljšanja postignu namjeravane ciljeve.

Zahtjevi za dokumentaciju

Sadržaj ISMS dokumentacije

- Dokumentirane izjave ISMS politike i ciljeve;
- Opseg ISMS
- Procedure i kontrole koje podupiru ISMS
- Opis metodologije procjene rizika
- Izvještaj procjene rizika
- Plan obrade rizika

Kontrola dokumenata
Dokumenti zahtijevani od ISMS-a moraju biti zaštićeni i kontrolirani

Kontrola zapisa
Moraju se uspostaviti i održavati zapisi koji pružaju dokaze o usklađenosti sa zahtjevima i
efikasnom radu ISMS-a.


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

307

Odgovornost uprave
Obveza uprave

- Uspostavljanje ISMS politike;
- Osiguravanje da su ciljevi i planovi ISMS uspostavljeni;
- Uspostavljanje funkcija i odgovornosti za informacijsku sigurnost;
- Prenošenje kroz organizaciju značenja o ispunjavanju sigurnosnih ciljeva i
zadovoljavanju sigurnosnih politika , zakonskih odgovornosti i potrebe za konstantnim
unapređivanjem;
- Pružanje dostatnih sredstava za uspostavljanje, implementaciju, rad, nadzor,
provjeru, održavanje i unapređivanje ISMS
- Odlučivanje o kriterijima za prihvaćanje rizika i prihvatljivoj razini rizika;
- Osiguravanje provođenja internih prosudbi (audita) ISMS
- Provođenje provjera ISMS od strane uprave

Upravljanje sredstvima

- Dodjeljivanje sredstava
- Obučavanje, razina svijesti i stručnosti

Interne prosudbe (auditi) ISMS

Organizacija će u planiranim intervalima izvoditi interne prosudbe ISMS kako bi ustanovila da
ciljevi kontrola, kontrole, procesi i procedure ISMS:
- Udovoljavaju zahtjevima ovog međunarodnog standarda i relevantnim zakonima i
propisima;
- Udovoljavaju identificiranim zahtjevima informacijske sigurnosti;
- Su efikasno implementirani i održavani; i
- Djeluju kako se od njih očekuje

Provjera ISMS od strane uprave
Uprava će u planiranim intervalima (minimalno jednom godišnje) provjeravati ISMS
organizacije kako bi osigurala njegovu kontinuiranu primjerenost, adekvatnost i učinkovitost.
- Ulazni podaci za provjeru
- Rezultati provjere


Unapređivanje ISMS-a

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

308
- Kontinuirano unapređivanje
- Korektivna aktivnost
o Identificiranje nesukladnosti;
o Ustanovljavanje uzroka nesukladnosti;
o Procjenu potrebe za aktivnostima koje bi osigurale da se nesukladnost ne
ponovi;
o Ustanovljavanje i implementiranje potrebnih korektivnih akcija;
o Zapisivanje rezultata poduzetih aktivnosti (vidi 4.3.3): i
o Provjeru poduzete aktivnosti
- Preventive aktivnosti
o Identificiranje potencijalnih nesukladnosti i njihovih uzroka;
o Vrednovanje potrebe za poduzimanjem aktivnosti za spriječavanje pojave
nesukladnosti;
o Zapisivanje rezultata poduzete aktivnosti /vidi 4.3.3); i
o Kontrola poduzete preventivne aktivnosti.

Norma ISO/IEC 27002:2005

Ova norma sadrži sigurnosne domene, ciljeve kontrola i same kontrole koje se referenciraju u
Dodatku A norme ISO/IEC 27001.

Sigurnosne domene (kategorije) koje su pokrivene ovom normom su:

- Politika sigurnosti (1);
- Organizacija informacijske sigurnosti (2);
- Upravljanje imovinom (2);
- Sigurnost ljudskog potencijala (3);
- Fizička sigurnost i sigurnost okruženja (2);
- Upravljanje komunikacijama i operacijama (10);
- Kontrola pristupa (7);
- Nabava, razvoj i održavanje informacijskih sustava (6);
- Upravljanje sigurnosnim incidentima (2);
- Upravljanje kontinuitetom poslovanja (1);
- Sukladnost (3).

U zagradama su navedeni brojevi sigurnosnih viljeva koje trebaju zadovoljiti predložene
kontrole. Ukupno ih ima 39.

Svaka glavna sigurnosna kategorija sadrži:

- cilj kontrole koji definira što treba postići; i
- jednu ili više kontrola koje se mogu primijeniti za postizanje tog cilja.

Opisi kontrola imaju sljedeću strukturu:

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

309
Kontrola
Određuje specifični kontrolni iskaz za zadovoljenje cilja kontrole.

Smjernice za primjenu
Sadrže detaljnije informacije koje podržavaju primjenu kontrola i postizanje cilja kontrole.
Neke od smjernica možda nisu pogodne u svim slučajevima i zato neki drugi načini primjene
kontrole mogu biti primjereniji.

Ostale informacije
Sadrže dodatne informacije koje je možda potrebno razmotriti, primjerice zakonske okvire i
reference na druge standarde.

Politika sigurnosti
- Politika informacijske sigurnosti
Cilj: Osigurati podršku uprave i njenu usmjerenost ka informacijskoj sigurnosti u
skladu s poslovnim zahtjevima i odgovarajućim zakonima i propisima
Organizacija informacijske sigurnosti
- Unutarnja organizacija
Cilj: Upravljanje informacijskom sigurnošću unutar organizacije.
- Vanjski suradnici
Cilj: Održavanje sigurnosti informacija i opreme za obradu informacija organizacije
kojima pristupaju, koje obrađuju, prenose ili kojima upravljaju vanjski suradnici.
Upravljanje imovinom
- Odgovornost za imovinu
Cilj: Postizanje i održavanje odgovarajuće zaštite imovine organizacije.
- Klasifikacija informacija
Cilj: Osiguranje odgovarajuće razine zaštite informacija.
Sigurnost ljudskog potencijala
- Prije zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje
njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i
smanjiti rizik od krađe, prijevare ili zloporabe opreme.
- Tijekom zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje
prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

310
podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik
ljudske greške.
- Prekid ili promjena zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno
napuštanje organizacije ili promjenu zaposlenja.
Fizička sigurnost i sigurnost okruženja
- Osigurana područja
Cilj: Sprječavanje neovlaštenog fizičkog pristupa, oštećenja i ometanje prostora i
informacija organizacije.
- Sigurnost opreme
Cilj: Sprječavanje gubitka, oštećenja, krađe ili ugrožavanja imovine i prekida aktivnosti
organizacije.
Upravljanje komunikacijama i operacijama
- Operativne procedure i odgovornosti
Cilj: Osigurati ispravan i siguran rad opreme za obradu informacija.
- Upravljanje pružanjem usluge treće strane
Cilj: Primjenjivanje i održavanje odgovarajuće razine informacijske sigurnosti i pružanje
usluge u skladu sa sporazumima o pružanju usluge treće strane.
- Planiranje i prihvaćanje sustava
Cilj: Smanjenje rizika od zastoja u radu sustava.
- Zaštita od zloćudnog i prenošljivog koda
Cilj: Zaštititi cjelovitost softvera i informacija.
- Sigurnosne kopije
Cilj: Održavanje cjelovitosti i raspoloživosti informacija i opreme za obradu informacija.
- Upravljanje sigurnošću mreže
Cilj: Osiguranje zaštite informacija u mrežama i zaštite prateće infrastrukture.
- Rukovanje medijima
Cilj: Sprječavanje neovlaštenog otkrivanja, promjene, uklanjanja ili uništenja imovine i
prekida poslovnih aktivnosti.
- Razmjena informacija
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

311
Cilj: Održavanje sigurnosti informacija i softvera razmijenjenih unutar organizacije i s
trećom stranom.
- Usluge elektroničke trgovine
Cilj: Osigurati sigurnost usluga elektroničke trgovine i njihove sigurne uporabe.
- Nadzor
Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.
Kontrola pristupa
- Poslovni zahtjevi za kontrolu pristupa
Cilj: Kontrola pristupa informacijama.
- Upravljanje korisničkim pristupom
Cilj: Osigurati pristup ovlaštenih korisnika i spriječiti neovlašteno pristupanje
informacijskim sustavima.
- Odgovornosti korisnika
Cilj: Sprječavanje pristupa neovlaštenih korisnika i ugrožavanja ili krađe informacija i
opreme za obradu informacija.
- Kontrola pristupa mreži
Cilj: Spriječiti neovlašteni pristup mrežnim uslugama.
- Kontrola pristupa operacijskom sustavu
Cilj: Sprječavanje neovlaštenog pristupa operacijskim sustavima.
- Kontrola pristupa aplikacijama i informacijama
Cilj: Spriječiti neovlašteni pristup informacijama prisutnim u aplikacijskim sustavima.
- Uporaba mobilnih računala i rad na daljinu
Cilj: Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad na
daljinu.
Nabava, razvoj i održavanje informacijskih sustava
- Sigurnosni zahtjevi informacijskih sustava
Cilj: Sigurnost kao sastavni dio informacijskih susta.
- Ispravna obrada u aplikacijama
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

312
Cilj: Sprječavanje grešaka, gubitka, neovlaštene promjene ili zloporabe informacija u
aplikacijama.
- Kriptografske kontrole
Cilj: Zaštita povjerljivosti, vjerodostojnosti ili cjelovitosti informacija uz uporabu
kriptografskih tehnika.
- Sigurnost sistemskih datoteka
Cilj: Ostvariti sigurnost sistemskih datoteka.
- Sigurnost u procesima razvoja i podrške
Cilj: Održavanje sigurnosti softvera i informacija aplikacijskog sustava.
- Upravljanje tehničkom ranjivošću
Cilj: Smanjenje rizika od iskorištavanja objavljenih tehničkih ranjivosti.
Upravljanje sigurnosnim incidentom
- Izvješćivanje o sigurnosnim događajima i slabostima
Cilj: Osiguranje izvješćivanja o sigurnosnim događajima i slabostima vezanim uz
informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih
akcija.
- Cilj: Osiguranje izvješćivanja o sigurnosnim događajima i slabostima vezanim uz
informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih
akcija.
Cilj: Osiguranje primjene dosljednog i učinkovitog pristupa upravljanju sigurnosnim
incidentima.
Upravljanje kontinuitetom poslovanja
- Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te zaštititi ključne
poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i
osigurati pravodoban nastavak rada.
Sukladnost
- Sukladnost sa zakonskim propisima
Cilj: Sprječavanje kršenja svih pravnih, zakonskih, regulativnih ili ugovornih obveza i
sigurnosnih zahtjeva.
- Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

313
Cilj: Osigurati sukladnost sustava sa organizacijskim sigurnosnim politikama i
standardima.
- Razmatranja revizije informacijskih sustava
Cilj: Povećati učinkovitost i smanjiti ometanja od ili prema procesu revizije
informacijskih sustava.


















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

314
15. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA I KONTINUITET
POSLOVANJA (BCMS)


I. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA

Ključna komponenta programa sigurnosti organizacije je dobro strukturirano rješenje za
upravljanje sigurnosnim incidentima. Pri tome pod sigurnosnim incidentima
podrazumijevamo incidente koji su vezani na narušavanje ciljeva informacijske sigurnosti
(povjerljivost, integritet, raspoloživost, neporecivost i dr.)

Ciljevi

- Detekcija sigurnosnih događaja
- Identifikacija sigurnosnih incidenata, njihova procjena i odgovor na odgovarajući i
učinkovit način
- Minimiziranje negativnih posljedica na organizaciju i na njezine poslovne operacije
primjenom odgovarajućih sigurnosnih kontrola, kao dio odgovora na incidente, po
mogućnosti u vezi s odgovarajućim elementima Plana kontinuiranog poslovanja
(BCP)
- Brzo učenje iz pojave sigurnosnih incidenata i njihovog upravljanja.

Procesi

- Plana i pripreme
- Upotrebe
- Pregleda i analize
- Poboljšanja

Plan i priprema

- Izrada i dokumentiranje politike upravljanja sigurnosnim incidentima
- Izrada i detaljno dokumentiranje sheme za upravljanje sigurnosnim incidentima
- Ažuriranje politike informacijske sigurnosti te politike upravljanja rizicima na svim
razinama
- Uspostava odgovarajuće organizacijske strukture za upravljanje sigurnosnim
incidentima tj. formiranje Tima za odgovor na sigurnosne incidente (ISIRT -
Information Security Incident Response Team)
- Informiranje svih djelatnika organizacije o postojanju sheme za upravljanje
sigurnosnim incidentima

Upotreba
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

315

- Detekcija i izvješćivanje o pojavi sigurnosnih
- Skupljanje informacija koje su vezane na sigurnosni događaj
- Odgovor na sigurnosni incident:
o Neposredno u stvarnom vremenu ili vrlo blizu stvarnog događaja
o Ako je sigurnosni incident pod kontrolom treba provesti aktivnosti koje
dovode do potpunog oporavka od katastrofe/prekida kroz neko prihvatljivo
vrijeme
o Ukoliko sigurnosni incident nije pod kontrolom treba potaknuti "krizne"
aktivnosti (npr. poziv vatrogasnoj brigadi, ili aktiviranje Plana kontinuiranog
poslovanja (BCP))
o Provesti forenzičku analizu
o Ispravno zapisati sve aktivnosti ili odluke radi daljnje analize
o Zatvaranje incidenta po njegovom rješavanju.

Pregled i analiza

- Provođenje daljnje forenzičke analize ako je potrebno
- Identifikacija pouka iz sigurnosnog incidenta
- Identifikacija poboljšanja sigurnosnih kontrola
- Identifikacija poboljšanja sheme upravljanja sigurnosnim incidentima

Poboljšanje

- Revizija rezultata pregleda izvršavanja analize rizika informacijske sigurnosti i
njegovog upravljanja
- Poboljšanje sheme upravljanja sigurnosnim incidentima i pripadne dokumentacije
- Iniciranje poboljšanja razine informacijske sigurnosti organizacije

Politika upravljanja sigurnosnim incidentima

- Važnost upravljanja sigurnosnim incidentima za organizaciju
- Pregled detekcije sigurnosnih događaja, izvještavanja i prikupljanja relevantnih
informacija
- Pregled ocjene sigurnosnih incidenata, uključujući tko je odgovoran, što treba biti
učinjeno, obavješćivanje o incidentu i eskalacija
- Sumarni prikaz aktivnosti koje slijede nakon potvrde da je sigurnosni događaj
zapravo sigurnosni incident što uključuje:
o Neposredan odgovor
o Forenzičku analizu
o Komunikaciju koja uključuje osoblje i relevantne treće strane
o Razmatranja o tome da li je sigurnosni incident pod kontrolom
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

316
o Naknadni odgovor
o Iniciranje ¨kriznih˝ aktivnosti
o Kriteriji za eskalaciju incidenta
o Tko je odgovoran
- Potreba da su sve aktivnosti ispravno zapisane za kasniju analizu, te da se provodi
kontinuirani nadzor
- Aktivnosti nakon rješavanja sigurnosnog incidenta što uključuje učenje i poboljšanje
nakon sigurnosnog incidenta
- Detalje o smještaju dokumentacije o shemi upravljanja sigurnosnim incidentima
uključujući i procedure
- Pregled Tima za odgovor na sigurnosne incidente (ISIRT)
- Pregled programa za podizanje svijesti i obuku za upravljanje sigurnosnim
incidentima
- Sumarni pregled zakonskih i drugih propisa koji se trebaju uzeti u obzir.

Uspostava Tima za odgovore na incidente (ISIRT)

Članovi i struktura ISIRT-a

Veličina, struktura i sastav ISIRT-a određena je veličinom i strukturom organizacije. Iako
ISIRT može biti izolirani tim ili odjel , članovi tima najčešće dijele i druge dužnosti i dolaze
iz različitih dijelova organizacije. To je najčešće virtualni tim koji je vođen i koordiniran od
strane uprave . Članovi tog tima su specijalisti u različitim područjima, kao što su obrada
zloćudnih napada na software, a koji se pozivaju prema vrsti incidenta.

Odnosi s drugim dijelovima organizacije

- Tko će unutar organizacije raditi na upitima medija
- Kako će dijelovi organizacije surađivati i komunicirati sa ISIRT-om.

Odnosi sa vanjskim stranama

- Ugovorno vanjsko osoblje, na primjer iz CERT-a (Computer Emergency Response
Team)
- Vanjski ISIRT tim od organizacije ili CERT
- Organizacije za provođenje zakona
- Javna služba za izvanredne situacije (vatrogasci,..)
- Neke vladine organizacije (HNB,HANFA,.)
- Predstavnici medija
- Poslovni partneri
- Korisnici
- Javnost


Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

317
Sigurnosni incidenti i njihovi uzroci

Sigurnosni incidenti mogu biti namjerni ili nesretni događaji (kao što su tehničke greške
sklopova ili djelovanje prirode) prouzročeni na tehnički ili fizički način.

Odbacivanje usluga (DoS)

Postoje dvije vrste DoS incidenata: eliminacija usluge ili njena potrošenost.

Neki DoS incidenti mogu biti prouzročeni slučajno kao što je primjer lošeg konfiguriranja
sustava ili nekompatibilnost softwarea. Neki DoS incidenti su namjerno lansirani kako bi
srušili sustav, servis ili mrežu, dok ostali mogu bit rezultat ostalih zlonamjernih aktivnosti.

Skupljanje informacija

Općenito, ova kategorija incidenata uključuje one aktivnosti koje su povezane s
identifikacijom potencijalnih meta napada te istraživanje servisa koji se obrađuju na tim
metama napada. Ova vrsta incidenta uključuju izviđanje s ciljem da se identificira:

- Postojanje mete napada, saznanje o topologiji mreže koja ju okružuje, te sa kime meta
obično komunicira
- Potencijalna ranjivost mete napada ili njezinog mrežng okruženja koja se može odmah
eksploatirati

Neovlašteni pristup

Ova kategorija incidenta uključuje one koji ne spadaju u prve dvije kategorije. Općenito ova
se kategorija incidenta sastoji od stvarno neautoriziranih pokušaja pristupa ili zlouporabe
sustava, servisa i mreže.

Struktura i korištenje sustava za upravljanje sigurnosnim incidentima

Prema normi BS 25999-1:2006, Business Continuity Management definirana je struktura
reakcije na incident koja treba biti implementirana u organizaciji.

Prema normi ISO/IEC TR 18044, Information Security Management definiran je način
korištenja sustava za upravljanje incidentima.

Struktura reakcije na incident

U bilo kakvim incidentnim okolnostima trebala bi postojati jednostavna i brzo zasnovana
struktura koja će organizaciji omogućiti:

 potvrdu prirode i razmjera incidenta,
 preuzimanje kontrole nad okolnostima,
 zadržavanje incidenta u određenim okvirima i
 komunikaciju sa zainteresiranima.



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

318
Vremenski slijed incidenta




Korištenje sustava za upravljanje incidentima

Korištenje sustava za upravljanje incidentima sastoji se od dvije faze: upotreba i
pregled/analiza na koje se nadovezuje faza poboljšanja kada se identificirju poboljšanja kao
rezultat naučenih lekcija.

Pregled ključnih procesa

- Detekcija i izvješćivanje o pojavi sigurnosnog događaja
- Prikupljanje informacija o sigurnosnom događaju i provođenje prve ocjene
sigurnosnog događaja
- Provođenje druge ocjene od strane ISIRT tima, koji prvo potvrđuje da je sigurnosni
događaj stvarno sigurnosni incident, i tada ako je, on potiče neposredni odgovor,
neophodnu forenzičku analizu i aktivnosti komuniciranja.
- Pregled od strane ISIRT-a da li je sigurnosni incident pod kontrolom
- Eskalacija ako je potrebna za daljnju ocjenu i/ili donošenje novih odluka
- Osiguranje da su sve aktivnosti, posebno ISIRT ispravno zapisane za kasniju analizu
- Osiguranje da su svi elektronički dokazi prikupljeni i sigurno smješteni








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

319
Obrada sigurnosnog događaja i incidenta

Događaj
Detekcija
Izvještaj
Prikupljanje
informacija
Prva ocjena
Relevantno?
Druga ocjena
Relevantno?
Incident pod
kontrolom?
Aktiviranje krizne
organizacije?
Naknadni odgovori Krizne aktivnosti
Pozitivna
greška
Pregled/Analiza
Poboljšanje
Korisnik/
Izvor
Grupa za
operativnu
podršku
(24x7)
Interni ISIRT Organizacija
za krizne
situcije
uključujući 
eksterni
ISIRT
NE DA
NE
DA
DA
NE
NE
DA
Dijagram toka obrade sigurnosnog događaja i incidenta
Detekcija i
izvješćivanje
Ocjena i odluka
Odgovor

Detekcija i izvješćivanje

Sigurnosni incident se može detektirati direktno od osoblja koje je nešto zapazilo što bi moglo
biti važno, bilo da je tehničke, fizičke ili proceduralne prirode. Detekcija može biti također od
detektora vatre/dima ili alarma provale sa prethodno definiranom lokacijom za uzbunjivanje
za ljudsku akciju. Sigurnosni događaji tehničke prirode mogu se detektirati automatski od na
primjer sigurnosne stijene, sustava za detekciju upada, antivirusnih alata i dr.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

320

Prva ocjena i inicijalna odluka

Osoba iz Odjela za informacijsku sigurnost (Grupa za operativnu podršku) treba potvrditi
prijem ispunjenog izvješća o sigurnosnom događaju, treba ga unijeti u bazu podataka
događaja/incidenata te ga treba pregledati. Ona treba , ukoliko je potrebno, razjasniti sve
nejasnoće s osobom koja je podnijela izvješće o sigurnosnom događaju, te prikupiti sve
poznate i raspoložive informacije.

Druga ocjena i potvrda incidenta

Druga ocjena i potvrda sigurnosnog incidenta je zadaća ISIRT tima. Osoba unutar ISIRT tima
koja zaprima izvješće o sigurnosnom incidentu treba:

- Potvrditi prijem obrasca za sigurnosni incident koji treba što je moguće prije biti
završen od Odjela za sigurnost (Grupe za operativnu podršku)
- Unijeti obrazac u bazu događaja/incidenta
- Zatražiti sva eventualna pojašnjenja od operativne grupe,
- Pregledati sadržaj tog izvješća
- Prikupiti sve daljnje informacije koje su raspoložive, bilo od operativne grupe za
podršku, osobe koja je ispunila izvješće o sigurnosnom događaju ili drugog izvora.

Odgovori na incidente:

- Neposredan odgovor
- Incident pod kontrolom ?
- Naknadni odgovori
- Krizne aktivnosti
- Forenzička analiza
- Komunikacije
- Eskalacija
- Zapisi i upravljanje promjenama

Izvješća o sigurnosnom događaju i sigurnosnom incidentu

Podatci koji trebaju biti u obrascu za izvješće o sigurnosnom događaju

- Datum događaja
- Broj događaja (osigurava Odjel za sigurnost i ISIRT)
- Podatci o osobi koja podnosi izvješće
- Opis sigurnosnog događaja
- Detalji sigurnosnog događaja

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

321
Podatci koji trebaju biti u obrascu za izvješće o sigurnosnom incidentu

- Datum incidenta
- Broj incidenta (osigurava ISIRT, a povezuje se s brojem sigurnosnog događaja)
- Detalji o članu grupe za podršku radu sustava (analitičar sigurnosnog događaja -
identificira sigurnosni incident)
- Detalji o članu Tima za odgovor na sigurnosne incidente (ISIRT)
- Opis sigurnosnog incidenta
- Detalji o sigurnosnom incidentu
- Vrsta sigurnosnog incidenta
- Koja su sredstva pogođena incidentom
- Neželjeni efekti i posljedice na poslovanje.
- Ukupna cijena troškova oporavka od incidenta.
- Rješenje incidenta
- Uključene osobe i počinitelji incidenta
- Opis počinitelja
- Stvarna ili percipirana motivacija
- Poduzete akcije na rješavanju incidenta
- Planirane akcije za rješavanje incidenta
- Neriješene akcije (zahtijevaju istraživanje od drugih osoba)
- Zaključak
- Popis osoba ili entiteta koji su obaviješteni
- Uključene osobe


II. KONTINUITET POSLOVANJA

Upravljanje kontinuittetom poslovanja provodi se kroz primjenu dobre prakse koja je
definirana normama BS 25999-1:2006, Business Continuity Management- Code of practice i
BS 25999-2: 2007, Business Continuity Management - Specifications. Ove norme omogućuju
uspostavu Sustava upravljanja kontinuitetom poslovanja (BCMS - Business Continuity
Management System) koji se može uskladiti i certificirati prema normi BS 25999-2: 2007
koja određuje zahtjeve na takav sustav.

1. Uspostava programa kontinuiranog poslovanja (BC program)

Ciljevi BC programa


- Smanjenje vjerojatnosti pojave prekida poslovanja od strane neočekivanih događaja
koji uzrokuju prekid
- Održavanje kontinuiteta poslovanja za vrijeme prekida koji je nastupio od
neočekivanog događaja koji je izazvao prekid
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

322

Uzroci takvih događaja mogu biti na primjer:

- Prirodni (poplava, potres)
- Nesreća (kemijski udes)
- Greška uređaja
- Sabotaža

Značenje katasrofe u kontekstu poslovanja:

Websterov riječnik: ˝Katasrofa je neželjeni događaj , posebno onaj koji se dogodi iznennada
te koji prouzrokuje velike gubitke ljudskih života, velika oštećenja i nevolje, kao što su
poplave, pad aviona ili greška u poslovanju˝.
Važno je uočiti da ova definicija povezuje katastrofu s greškom poslovanja.

Definiranje katastorofe (dizastera) iz poslovne perspektive razmatra se kao posljedice koje se
odnose na:

- Poslovanje (poslovne operacije)
- Poslovne gubitke

Primjer:
Poslovna funkcija; Usluge za korisnike
Poslovni procesi: upravljanje novim korisničkim računima, povratak proizvoda, provjera
korisičke plativosti

Poslovni gubitci se mogu podijeliti u dvije kategorije:
- Finacijski gubitci koji se izražavaju u novčanoj mjeri
- Operativni gubitci koji se ne mogu novčano izraziti

Primjeri finacijskih gubitaka mogu biti:
- Gubitak prodaje uzrokuje gubitak prihoda
- Plaćanje penala što je posljedica ne pridržavanja SLA
- Troškovi putovanja koji se ne odnose na normalno poslovanje
- Troškovi rentanja uređaja koji se ne odnose na normalno poslovanje

Primjeri operativnih gubitaka:
- Gubitak dotoka novaca (prihoda)
- Rušenje Imidža (reputacije)
- Gubitak povjerenja dioničara
- Pogoršanje odnosa sa dobavljačima
- Zakonske i regulatorne posljedice







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

323
Poslovna katastrofa

Definicija: To je pojava događaja koji izaziva prekid (neraspoloživost) poslovnih operacija
(poslovanja) kroz neki vremenski period što uzrokuje pojavu financijskih i operativnih
gubitaka neprihvatljive razine.








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

324

Izvori pojave dizastera

- Prirodni
o Snježna oluja
o Potres
o Haricine
o Poplave
o Smrtonosne bolesti

- Tehnički, koji su povezani sa tehnologijom što uključuje komponente kao što su
elktričke, mehaničke, IT i dr.
o Nestanak elelktrične struje
o Curenje vode
o Curenje plina
o Avionska nesreća
o Eksplozija nuklearnog reaktora
o Greške računalnih sustava

- Ljudski , uzrokovani od strane ljudi namjerno ili slučajno,
o Sabotaža
o Računalno hakiranje
o Štrajkovi
o Računalni virusi
o Nesreće na radu
o Kemijski incidenti

BC program zahtjeva procjenu rizika od svih navedenih uzroka katastrofa (prirodnih,
tehničkih i ljudskih.

Statistika o katastrofama

- 2 od 5 businesa nikada nisu ponovo zaživjela
- 1 od 3 businesa koji je zaživio je nestao nakon 2 godine

Važnost BC programa

1. Minimiziranje pojave prekida poslovanja od strane neočekivanih prekidnih
(narušavajućih) događaja
2. Održavanje kontinuiranog poslovanja za vrijeme pojave prekidnog događaja

Komponente BC programa

1. Planiranje kontinuiranog programa (BC programa)
2. Upravljanje sa BC programom



Razvoj BC programa

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

325
BC program se je tradicionalno fokusirao na:
- Ljude
- Komunikacije
- Radni prostor
- IT infrastrukturu
- Ljudska bića kao uzroke dizastera

ER plan (Emergency Response Plan) sadrži smjernice i procedure koje slijede odmah iza
pojave dizastera kako bi:
1. Spriječili gubitak ljudskih života i ranjavanje
2. Smanjili štetu nad imovinom organizacije

Današnji fokus BCP-a na :

- Ljude
- Kritične poslovne procese, ne samo na oporavak IT-a
- Kritične resurse i servise koji podupiru kritične poslovne procese
- Prirodne, ljudske i tehničke kategorije izvora dizastera







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

326
BC program mora se nositi sa slijedećim vrstama dizastera:

- Velikim katastrofama
- Manjim prekidima rada sustava


MTD-Mean Tolerable Downtime:

- 1990 - 3 do 4 tjedna , što je regulirano finacijskim i poslovnim propisima
- 2000 - 1 dan, uglavnom određeno sa Zahtjevima na Y2K problem
- Danas - do 1 sat, uglavnom uvjetovano e-trgovimom i Internetom


Razlozi za BC program

Zašto organizacija treba implementirati BC program ?

- Preživljavanje poslovanja
- Sprečavanje gubitka ljudskih života ili ranjavanja
- Sprečavanje gubitka u prihodu organizacija
- Šteta na kritičnim resursima
- Minimiziranje štete na kritičnim resursima nakon pojave dizastera
- Zaštita poslovne reputacije, u smislu povjerenja u upravljanje te imiđ i brand.
- Usklađenost sa zakonima i propisima koji se odnose na poslovanje.
- Zaštita od kaznene i prekršajne odgovornosti
- Usklađenost sa ugovorima i SLA sporazumima.

Ključni principi BC programa

- Fokus
- Preventiva
- Plan
- Zaštita

Proces planiranja kontinuiteta poslovanja

Proces slijedi četiri glavna principa koji se implementiraju u BC programu kroz proces
planiranja u šest koraka:

1. Upravljanje rizikom
2. Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3. Razvoj strategije kontinuiranog poslovanja
4. Razvoj BC plana
5. Testiranje BC plana
6. Održavanje BC plana



Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

327
5 1
4
3
2
6
BC plan
Upravljanje
rizikom
BIA
Razvoj BC
strategije
Razvoj BC
plana
Testiranje
BC plana
Preventiva
Fokus
Plan
Zaštita
Održavanje 
BC plana



Ciljevi BC programa

Upravljanje rizikom
- Procjena prijetnji i rizika za kontinuitet poslovanja
- Upravljanjem rizikom koji prijeti kontinutetu poslovanja

Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
- Identifikacija ključnih poslovnih funkcija i procesa
- Analiza posljedica koje mogu nastupiti prekidom ključnih poslovnih
funkcija i procesa.
- Identifikacija zahtjeva za oporavak nakon pojave dizastera

Razvoj strategije kontinuiranog poslovanja
- Ocjena zahtjeva za oporavak prekinutih ključnih poslovnih procesa.
- Identifikacija opcija za oporavak ključnih poslovnih procesa. Te opcije su
alternativne rješenja koja zadovoljavaju zahtjeve ocijenjene u prethodnom
koraku.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

328
- Odabir najisplativijih mogućih rješenja, koja su identificirana u
prethodnom koraku, kao dio strategije

Razvoj BC plana
- Zaštita ključnih procesa i sredstava od različitih prijetnji i rizika
- Oporavak ključnih poslovnih procesa i resursa od dizastera na siguran i
vremenski privaćen način

Testiranje BC plana
- Testirati izrađen BC plan kako bi se osiguralo da je plan
- Testiranje sposobnosti i učinkovitosti tima za oporavak
- Testiranje učinkovitosti i sposobnosti dobavljača robe i usluga

Održavanje BC plana
- Održavati plan u spremnom stanju za njegovo izvođenje cijelo vrijeme, a za
slučaj pojave neočekivanog prekida poslovanja

Ova metodologija odgovara u potpunosti uspostavi kontrola za kontinuitet poslovanja koji je
određen standardom ISO 27001 (Anex A).

A.14 Upravljanje kontinuitetom poslovanja
A.14.1 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te zaštititi ključne poslovne procese od utjecaja
velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.
A.14.1.1 Uključivanje informacijske
sigurnosti u proces upravljanja
kontinuitetom poslovanja
Kontrola
Potrebno je razviti i održavati proces upravljanja
kontinuitetom poslovanja u cijeloj organizaciji koji
obrađuje zahtjeve informacijske sigurnosti potrebne
za kontinuirano poslovanje organizacije.
A.14.1.2 Kontinuitet poslovanja i procjena
rizika
Kontrola
Potrebno je prepoznati događaje koji mogu
uzrokovati prekide poslovnih procesa, zajedno s
vjerojatnošću i utjecajem takvih prekida i njihovih
posljedica po informacijsku sigurnost.
A.14.1.3 Razvoj i primjena planova
kontinuiteta poslovanja koji
uključuju informacijsku sigurnost
Kontrola
Potrebno je izraditi i primijeniti planove za
održavanje ili obnavljanje aktivnosti i osiguravanje
dostupnosti informacija na zahtijevanoj razini u
zahtijevanom vremenu nakon prekida ili zastoja
ključnih poslovnih procesa.
A.14.1.4 Okosnica planiranja kontinuiteta
poslovanja
Kontrola
Potrebno je održavati jednu okosnicu planova
kontinuiteta poslovanja kako bi se osiguralo da su svi
planovi dosljedni, da bi se dosljedno uvažavali
zahtjevi informacijske sigurnosti i da bi se mogli
odrediti prioriteti ispitivanja i održavanja.
A.14.1.5 Ispitivanje, održavanje i ponovno
procjenjivanje planova kontinuiteta
poslovanja
Kontrola
Potrebno je redovito ispitivati i obnavljati planove
kontinuiteta poslovanja kako bi uvijek bili suvremeni
i učinkoviti.
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

329

2. Aktivnosti za izvođenje BC programa

Glavne aktivnosti izvođenja BC programa mogu se podijeliti u dvije glavne skupine:

- Upravljanje s BC programom (BCP upravljanje) i
- Izvođenje BCP procesa (BCP proces)


Kreiranje politike
kontinuiranog
poslovanja
Uspostava
upravljačke 
skupine
Uspostava BCP
projekta
Uspostva programa za
obuku i podizanje
svijesti
Koordinacija BCP sa
zakonom, propisima i
standardima
Koordinacija s drugim
unutarnjim/vanjskim
agencijama
Projekt razvoja BC plana
Održavanje 
spremnosti na
prekid
Izvođenje 
BC plana
Upravljanje
rizicima
Utjecaj na
poslovanje -
BIA
Razvoj BC
strategije
Razvoj BC plana
Testiranje
BC plana
Održavanje i 
redovito
testiranaje BC
plana
B
C
P

U
p
r
a
v
l
j
a
n
j
e
B
C
P

P
r
o
c
e
s
Početak 
BCP
Završetak 
BC Plana
Prekid
poslovanja




Upravljanje s programom kontinuiranog poslovanja (BCP upravljanje)

- Uspostava i donošenje politike kontinuiranog poslovanja na razini cijele organizacije
- Uspostava tijela za upravljanje i nadzor provođenja BC programa
- Formalno inicirati projekt za razvoj BC plana
- Osigurati da je osoblje koje je uključeno u razvoj BC plana odgovarajuće obučeno.
- Osgurati da je BC program usklađen sa relevantnim zakonima i propisima i
industrijskim standardima
- Koordinirati aktivnosti s relevantnim agencija za oporavak od katastrofa i održavanje
kontinuiteta poslovanja (vladinim ili lokanim)
- Osigurati i voditi brigu daje BC plan uvijek u stanju spremnosti
- Upravljati i nadzirati izvođenje BC plana u slučaju pojave prekidnog događaja

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

330
BCM politika

- Identifikacija pojma kontinuiteta poslovanja
- Identifikacija relevantnih standarda, propisa, i zakona koje politika treba uključiti
- Identifikacija BCM politika drugih organizacija koje će poslužiti za benchmark
- Pregled i provođenje "gap" analize postojeće politike prema drugim politikama ili
novim zahtjevima
- Razvoj novog dokumenta BCM politike
- Pregled dokumenta politike u prema postojećim standardima organizacije i drugim
politikama u organizaciji (npr. Politika informacijske sigurnosti i dr.)
- Izvršiti konzultacije za dokument politike
- Uključiti usvojene primjedbe i dopune na dokument kao rezultat konzultacija
- Odobrenje uprave za BCM politiku i strategiju njene implementacije (BC plan)
- Publiciranje BCM politike

Opseg BC programa

- Više lokacija preko širokog geografskog područja
- Različiti odjeli na svakoj lokaciji
- Poslovni procesi koji zahvaćaju više odjelsku suradnju
- Sutave od stolnih računala do LAN-ova, sigurnih mreža do više Data centara sa više
servrea , itd.
- Telekomunikacije (podatake, glas, video, multimedija) koje poslužuju interne i
klijentskae potrebe

Pretpostavke za BC program (primjeri)

- BC plan će biti ažuran i držat će se na sigurnom mjestu
- Backupovi aplikacijskih programa i datoteka podataka potrebnih za oporavak bit će
raspoloživi na udaljenim lokacijama za uskladištenje
- Kopije BC plana bit će raspoložive na lokacijama ili kod djelatnika poimenično
- Dogodilo se totalno uništenje Data centra
- Više od jedne zgrade neće biti pogođeno katastrofom
- Telekomunikacijske potrebe već su ugovorene unaprijed
- Minimalni broj osoba bit će raspoloživ za provođenje kritičnih funkcija BC plana
- Katastrofa može nastupiti za vrijeme vršnog opterećenja
- Odjel za upravljanje rizicima će provoditi slijedeće zadatke:
- Katastrofe će se deklarirati i obrada će biti prebačena na lokaciju za oporavak kada se
očekuje prekid duži od 48 sati

BCP proces

Aktivnost BCP procesa su:

1) Upravljanje rizikom
2) Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3) Razvoj strategije kontinuiranog poslovanja
4) Razvoj BC plana
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

331
5) Testiranje BC plana
6) Održavanje BC plana

Upravljanje rizikom

Različite prijetnje mogu dovesti do prijetnji poslovanju sa značajnim posljedicama, gubitak
života, uništenje uređaja, financijski gubitci i dr. iako je često jako teško ukloniti te rizike u
potpunosti, organizacija može smanjiti te rizike na prihvatljivu razinu kroz primjenu metoda
za učinkovito upravljanje rizicima.

Analiza posljedica za poslovanje - BIA

BIA identificira slijedeće informacije:

- Kritična područja poslovanja i njihove procese
- Veličine potencijalnih financijskih i operativnih rizika za organizaciju
- Zahtjeve na oporavak prekinutih poslovnih procesa

Zahtjevi na vrijeme oporavka


Okvir vremena pojave prekida i oporavka

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

332
Vremenski periodi:

- MTD je dužina vremena za koju poslovni proces može biti neraspoloživ prije nego
organizacija pretrpi značajne gubitke. MTD odgovara vremenskom periodu između
prekidnog događaja i početka normalnog poslovanja.

- RTO je povezan sa oporavkom resursa kao što su računalni sustavi, uređaji za
proizvodnju, komunikacijski uređaji, zgrade, radni prostor i dr. RTO odgovara dužini
vremena između prekidnog događaja i oporavka sustava/resursa. To pokazje na
vrijeme raspoloživo za oporavak onesposobljenih sustava/resursa.

- RPO se odnosi na toleranciju gubitka podataka mjereno kroz vremeske jedinice, tj kao
vrijeme između posljednjeg backupa i prekidnog događaja. RPO je indikator koliko
mnogo podataka se može oporaviti jednom kada su sustavi oporavljeni i ažurirani sa
backupiranim podatcima .

- WRT se mjeri kao vrijeme između opravljenih sustava/resursa i početka normalnog
poslovanja. WRT pokazuje na vrijeme potrebno za oporavak izgubljenih podataka,
backloga, i ručno uhvaćenih podtaka jednom kada su sustavi/resursi
oporavljeni/popravljeni.

Strategija razvoja kontinuiteta poslovanja

Područja oporavka:
- Radni prostori
- IT sustavi i infrastruktura
- Proizvodna
- Podatci i kritični/vitalni zapisi

Primjeri zahtjeva za oporavak za navedena područja oporavka su:
- Radni prostori:
o Priprema alternativnog radnog prostora za Tim za krizne situacije
o Priprema alternativnog uredskog prostora za osoblje
- IT sustavi i infrastruktura
o Priprema alternativne lokacije za oporavak IT sustava
o Oporavak oštećenih sustava
- Proizvodnja i obrada
o Oporavak oštećenih uređaja za proizvodnju
- Podatci i kritični/vitalni zapisi:
o Obnova oštećenih kritičnih zapisa
o Obnova izgubljenih podataka







Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

333
Optimalna strategija





















Strateška rješenja


























Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

334
Razvoj BC plana (BCP)

Izvođenje BC plana:

1. Početni odgovor i obavijest (rezultira u preliminarnom izvješću o problemu)
2. Procjena problema i eskalacija (rezultira u detaljnom izvješću o problemu)
3. Izjava o katastrofi/prekidnom događaju (rezultira u proglašenju
katastrofe/prekidnog događaja)
4. Implementacija plana logistike (rezultira u mobilizaciji timova, backup medija,
kritičnih resursa i uređaja)
5. Oporavak i nastavak poslovanja (rezultira u oporavku kritičnih IT i ne-IT resursa i
nastavak procesa)
6. Normalizacija (rezultira u operativnom statusu koji je bio prije pojave prekida)


Izvođenje  
ERP
Stabilizacija
Upravljanje BCP
Početni 
odgovor i
obavješći
vanje
Prekid Vrijeme
1. faza
2. faza
3. faza
4. faza
5. faza
6. faza
Procjena
problema i
eskalacija
Deklaracija
prekida
Logistika
implementacije
plana
Oporavak i nastavak
poslovanja
Normalizacija
Primarna
lokacija
Centar za
upravljanje
krizom
Alternativna IT
lokacija, radni prostor
i proizvodnja
Cold Site ili
originalna lokacija
Normalno stanje










Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

335
Arhitektura sustava na kojem se provodi izvođenje BC plana

Primarna
lokacija
Lokacija za Centar
za kriznu situaciju
Nova ili stara
primarna lokacija
Udaljena lokacija
za smještaj backup 
podataka
Udaljena lokacija
za smještaj kritičnih 
zapisa
BC Upravljački tim
BC koordinator
BC timovi
BC timovi
Alternativna
lokacija za IT
oporavak
Alternativni za radni
prostor
Alternativna
lokacija za
proizvodnju
Normalno stanje
Krizno stanje
Normalizacija
Tranzicija
Udaljena lokacija
za smještaj 
backup podataka
Udaljena lokacija
za smještaj 
kritičnih zapisa
BC Upravljački 
tim
BC koordinator
BC timovi




















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

336
Uloge i odgovornosti za izvođenje BC plana














Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

337
Testiranje BC plana





Održavanje BC plana

- Upravljanje promjenama BC plana
- Testiranje BC plana
- Obuku i trening za izvođenje BC plana
- Revizije (audit) BC plana


Raspored testiranja BC plana

- Definiranje intervala testiranja: mjesečno, kvartalno, polugodišnje i godišnje
- Odabir metode testiranja za svaki interval tetsiranja
- Pridruživanje vremenskog intervala test metodi koje treba uzeti u obzir složenost test
metode, tj nezin opseg, potreban napor, resurse, troškove i dr.








Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

338




















Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

339
16. ZAKONSKI I ETIČKI ASPEKTI SIGURNOSTI





















































Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

340
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Zavod za primijenjeno računarstvo
Prof. dr. sc. Nikola Hadjina

Zbirka zadataka iz kolegija “Zaštita i sigurnost
informacijskih sustava”


1. U uvjetima gdje nekoliko korisnika dijeli pristup jednoj bazi podataka, kako se može
dogoditi neograničeno odlaganje pristupa (zastoj) ? Opišite scenarij u kojem dva korisnika
mogu dovesti do neograničenog odlaganja svojih zahtjeva.

2. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog sustava
primjenom napada Trojanskog konja ? Navedite i mjeru zaštite od takvog napada.

3. Objasnite razliku između implicitnih i eksplicitnih tokova podataka. Koje relacije između
sigurnosnih klasa objekata (varijabli) moraju biti ispunjene da bi tokovi bili sigurni ? Koji
problemi mogu nastupiti kod implicitnih tokova ?

4. Koja najniža klasa (grupa) prema DoD kriterijima zadovoljava zahtjeve mandatne kontrole
pristupa ? Koja je to funkcija koja se mora realizirati da bi se zadovoljili sigurnosni kriteriji za
tu klasu?

5. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve
sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu
primijeniti na sve ciljeve ? Ako da, kako i gdje ?

6. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti
moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2.

7. Navedite slučajeve i uzroke višepojavnosti kod višerazinskih baza podataka. Prikažite
barem dva primjera višepojavnosti na razini n-torke unutar relacije, te na razini elementa
(atributa) unutar n-torke.

8. Navedite i objasnite glavne korake u analizi rizika sigurnosti informacijskog sustava.

10. Koja svojstva treba zadovoljiti protokol izvođenja digitalnog potpisa ? Kako se to
rješava?

11. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te što znači kvaliteta
virusa?

12. Koja svojstva mora zadovoljiti sigurnosna jezgra operacijskog sustava ? Koje su funkcije
podržane unutar sigurnosne jezgre, te koje su prednosti takvog rješenja izgradnje povjerljivog
operacijskog sustava ?

13. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su
prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?
Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

341

14. Koji su glavni sigurnosni zahtjevi koji se postavljaju na sustav za upravljanje sa bazom
podataka (DBMS). Koji su principi integriteta prema Sandhu i Jajodia ?

15. Opišite metodologiju projektiranja sigurne baze podataka. Navedite neke od važnih
smjernica u odabiru i implementaciji sigurnosnih mehanizama.

16. Usporedite svojstva enkripcije u očuvanju sigurnosti računalnih mreža (enkripcija veze i
enkripcija sa kraja na kraja) za sigurnost unutar računala u mreži, prema ulozi korisnika, te
prema načinu implementacije.

17. Koji sigurnosni problemi proizlaze iz praćenja prometa na mreži te kako se oni rješavaju?

18. Koji su prijetnje sigurnosti i zahtjevi na zaštitu elektroničke pošte? Kako se to rješava
primjenom PEM (Privacy Enhanced (Electronic) Mail) elektroničke pošte ? Koji su nedostatci
ove primjene i kako se oni rješavaju ?

19. Opišite svojstva i rad zaštićenih usmjerivača (screening routers) te navedite arhitekturu i
primjer primjene.

20. Što je sadržaj plana sigurnosti (taktičkog plana izvedbe) , što plan razrađuje, što je potpora
planu, te kakav je sastav tima za izradu plana?

21. Što znači očuvanje integriteta na mreži računala te kako se on postiže ?

22. Zašto Clipper protokol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod
ključem familije F ?

23. Navedite i obrazložite Shanon-ova svojstva dobrog šifriranja ?

24. Opišite svojstva i rad sigurnosne brane (firewall-a) tipa opunomoćenog
prospojnika (Proxy Gateway), te nevedite primjer primjene.

25. Opišite razliku između ranjivosti, prijetnje i kontrole sigurnosti informacijskog sustava.
Navedite odgovarajuće primjere koji su međusobno povezani kroz sve tri razine.

26. Navedite barem tri primjera štete koju podnosi tvrtka koja prolazi kroz napad na integritet
programa ili podataka tvrtke.

27. Očuvanje tajnosti, integritetea i raspoloživosti podataka je ukazivanje na brigu i opasnosti
koje dolaze od prekida, prihvata, izmjena i produkcije postakaka(prijetnje). Kako se prva tri
koncepta odnose na posljednja četri? To znači, da li je jedan od četri ekvivalentan jednom ili
više od tri ? Da li se jedan od tri obuhvaća jedan ili više od četri ?

28. Koja svojstva čine postupak kriptiranja podataka potpuno "neprobojnim" (zaštićenim) ?

29. Zašto je bolje koristiti neregularne permutacije (u postupku kriptiranja) u odnosu na
permutacije koje slijede neki uzorak kao na primjer: t(i) = i + 3.

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

342
30. Objasnite zašto produkt dvije relativno jednostavne šifre, kao što su supstitucija i
transpozicija može postići veći stupanj sigurnosti.

31. Kod enkripcije javnog ključa, pretpostavimo da A želi poslati poruku B. Neka su A
PUB
i
A
PRIV
javni i privatni ključ od A; slično vrijedi i za B. Pretpostavimo da C zna oba javna
ključa, ali niti jedan privatni. Ako A šalje poruku na B, koju enkripciju treba A upotrijebiti
kako bi samo B mogao dekriptirati poruku ? (to je svojstvo tajnosti). Može li A kriptirati
poruku tako da bilo tko primi poruku bude siguran da je poruka stigla samo od A ? (to je
svojstvo autentičnosti). Može li A postići i autentičnost i tajnost za jednu poruku ? Kako, ili
zašto ne ?

32. Prva predložena kriptografska funkcija plombiranja (zbroj numeričkih vrijednosti svih
bytova poruke) imala je ozbiljne sigurnosnu rupu: izmjena pozicije dva bajta poruke neće se
detektirati ovom funkcijom. Predložite alternativnu funkciju koja neće imati tu slabost.

33. Objasnite zašto protokol digitalnog potpisa koji koristi kriptiranje upotrebom javnog
ključa sprečava primaoca od krivotvorenja poruke pošiljaoca , koristeći javni ključ pošiljaoca.

34. Zašto Clipper protocol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod
ključem familije F ?

35. Koristeći potvrdu u dva koraka (two-step commit), opišite kako izbjegnuti pridruživanje
jednog sjedala (npr. u rezrvaciji sjedala zrakoplova). To jest, navedite precizno korake koje
treba provesti sustav za upravljanje sa bazom podataka (DBMS) u dodjeli sjedala putnicima.

36. UNDO je operacija oporavka za baze podataka. To je naredba kojom se dobiva
informacija iz transakcijskog dnevnika i restauracijom elemenata baze podataka na njihove
vrijednosti koje su bile prije nego je izvedena određena transakcija. Opišite situaciju u kojoj
bi UNDO naredba bila korisna.

37. Odgovor “osjetljiva veličina ; odgovor obustavljen” je sam po sebi otkrivanje
informacije. Predložite način kako sustav za upravljnje bazom podataka (DBMS) može
obustaviti odgovor koji otkriva osjetljivu informaciju , bez odgovora koji otkriva da je
tražena informacija osjetljiva.

38. Objasnite nedostatke particioniranja kao načina uvođenja višerazinske sigurnosti za baze
podataka.

39. Koja je svrha kriptiranja u sustavu za upravljanje višerazinskim bazama podataka?

40. Korisnik želi uspostaviti tajni kanal sa kontrolom i analizom ukupnog prometa na mreži.
Na kojoj razini OSI protokola se ta analiza treba provesti i zašto ?

41. Proširljivost je prednost korištenja mreža: novi čvorovi se mogu lako dodavati u mrežu.
Na koje sigurnosne nedostake to ukazuje ?

42. Gdje (i koliko puta za vrijeme prijenosa) je poruka izložena otkrivanju ako je ona
zaštićena korištenjem enkripcije veze ? Gdje je poruka izložena otkrivanju ako se koristi
enkripcija sa kraja na kraj ?

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

343
43. Koja su pitanja sigurnosti komunikacija važna u razmatranju lokalnih računalnih mreža
(LAN) ? Koja su važna u konvencionalnim globalnim mrežama (WAN) ? Koja su pitanja
sigurnosti važna za komunikacije striktno unutar jedne zgrade ?

44. Da li je enkripcija djelotvorna kontrola protiv pasivnog prisluškivanja ? Da li je
djelotvorna protiv aktivnog prisluškivanja ? Zašto da, ili zašto ne ?

45. Objasnite kako se jednostavno svojstvo (ss) i *svojstvo Bell-La Padula sigurnosnog
modela odnose prema sigurnosti komunikacija.

46. Objasnite zašto je zapis o događajima (audit trail) nesiguran na osobnim računalima bez
upotrebe privilegiranog moda izvođenja.

47 .Objasnite prednosti i mane postupaka implementacije pristupne matrice A prema
Harrisonu za operacijske sustave. Koji od postupaka implementacije daje najbolju podršku
postupcima ažuriranja pristupne matrice A ?

48. Koji se mehanizmi koriste za kontrolu toka podataka za vrijeme izvođenja, programa, te
koje relacije moraju zadovoljiti sigurnosne klase objekata u instrukcijama pridruženja te u
kondicionalnim instrukcijama. Da li su implicitni tokovi uvijek sigurni ? Zašto da , ili zašto
ne?

49. Obrazložite mane diskrecionog modela sigurnosti (HRU) u realizaciji diskrecionih
politika sigurnosti i navedite primjer.

50. Kako se dijele matemtički modeli sigurnosti , te koji su im osnovi elementi ? Koji od
modela je najprimjereniji za uvođenje sigurnosti relacionih baza podataka sa višerazinskim
pristupom i zašto ?

51.Koristeći primitivne operacije Harrison modela matrice pristupa napište naredbe za
kreiranje novog procesa (subjekta) s1 koji kreira (vlasnik) datoteke f1, te dodjelu prava
pisanja u datoteku f1 za proces(subjket) s2 , ukoliko proces s2 ima pravo čitanja čitanja
datoteke f2 kojoj je vlasnik proces (subjekt) s3. Pravo za pisanje je W, za čitanje je R, a
vlasništvo je O.

52. Da li je moguće u diskrecionom modelu sigurnosti (Harrison-Ruzzo-Ullman – model)
prenositi pravo vlasništva nad objektom ? Zašto da , ili zašto ne ? Da li subjekt može
dodjeliti pravo drugom subjektu ako ga on ne posjeduje ? Ako da, u kojim slučajevima ?

53. Kako se propagacija prava realizira u Harrison-Ruzzo-Ullman modelu matrice pristupa ?
Koji su nedostaci i prednosti takve propagacije prava ?

54. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog
sustava primjenom napada Trojanskog konja. Navedite i mjeru zaštite od takvog napada.

55. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve
sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu
primjeniti na sve ciljeve ? Ako da, kako i gdje ?

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

344
56. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti
moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2.

57. Nacrtajte sigurnosnu rešetku za Bell-La Padula model sigurnosti za klasifikaciju (TS-Vrlo
tajno, T- tajno, C- povjeljivo, U-neklasificirano), te za skup kategorija (a, b). Odredite
najmanju gornju granicu (H) , te naveću donju granicu (L) sigurnosnih klasa.

58. Koji su kritički faktori uspjeha izgradnje sigurnosti informacijskih sustava ?

59. Opišite kako radi Sigurni hash algoritam (SHA). Koje su njegove primjene ?

60. Opišite rad Clipper programa, postupka založnog ključa. Koje su njegove prednosti i
mane?

61. Što je protokol kriptiranja ? Koja su glavna svojstva dobrog protokola kriptiranja ?

62. Prikažite protokol asimetrične izmjene ključa preko poslužitelj računala ? Koji su
nedostaci takvog protokola, te kako se mogu riješiti ?

63. Koja svojstva treba zadovoliti protokol izvođenja digitalnog potpisa ? Kako se to rješava?

64. Navedite vrste programskih grešaka, te razloge zbog kojih ne možemo izbjeći sve
programske greške .

65. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te što znači kvaliteta
virusa?

66. Navedite i obrazložite funkcije operacijskih sustava koje su orjentirane na podršku
sigurnosti. Da li su one dostatne za sigurnost informacijskih sustava ? Ako ne zašto ?

67. Navedite i opišite sustave za korisničku identifikaciju/autentifikaciju. Koji su osnovni
kriteriji koji trebaju biti zadovoljeni kod autentifikacije koja je zasnovana na lozinkama ?

68. Navedite i opišite skup kategorija zahtjeva koji su postavljeni "DoD" kriterijima.

69. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su
prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?

70. Koje su moguće politike kontrole pristupa objektima baze podataka , te koja je razlika
između otvorenih i zatvorenih sustava ?

71. Objasnite kako je moguće očuvati integritet transakcija u višekorisničkom informacijskom
sustavu koji realiziran bazom podataka, u slučaju konkurentnog pristupa istim podatcima.

72. Objasnite što je to osjetljivost, koji su faktori koji podatake čine osjetljivim, te koje su
vrste otkrivanja takovih podataka. Kakav je odnos sigurnosti, preciznosti i osjetljivosti ?

73. Koje su vrste napada vezanih na zaključivanje o podatcima? Koje su zaštitne
mjere(kontrole) koje se primjenjuju na njihovom suzbijanju ?

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

345
74. Koje su metode zaštite sigurnosti višerazinskih baza podataka ? Koje su njihove prednosti
i mane ?

75. Opišite upotrebu komutativnih filtera u zaštiti višerazinskih baza podataka, te navedite
primjer jednog upita koji se time regulira.

76. Koje su razlike između operacijskih sustava i sutava za upravljanje bazom podatataka
(DBMS) u pogledu sigurnosnih problema i njihovog rješavanja ? Navedite i opišite barem
četiri.

77. Opišite zaštitu objekata baze podataka primjenom autorizacijskog modela (Sistem R).
Kako se provodi postupak opoziva prava ? Kako je provedena implementacija, te koja su
proširenja modela ?

78. Navedite i objasnite koji su sigurnosni problemi, prijetnje te kategorije prijetnji sigurnosti
računalnih mreža i distribuiranih sustava.

79. Navedite i objasnite probleme autentifikacije u distribuiranim sustavima , te koji su
postojeći mehanizmi za njihovo rješavanje .

80. Opišite rad Kerberos sustava za autentifikaciju u distribuiranim sustavima. Koje su
njegove prednosti i mane ?

81. Što znači očuvanje integriteta na mreži računala, te kako se on postiže ?

82. Opišite Walker-ov dizajn sigurnosne arhitekture višerazinske mreže. Kako se provodi
komunikacija sa nepovjerljivim hostom ? Navedite primjere sigurne komunikacije prema
Bell-La Padula-ovom modelu.

83. Objasnite što je sigurnosna brana (firewall). Koje su strategije implementacije, koje su
vrste, te njihova usporedna svojstva?

84. Što sigurnosna brana (firewall) može, a što ne može blokirati ?

85. Predložite arhitekturu mreže (računala sa pripadnim IP adresama) sa sigurnosnim branama
koja povezuje tri odvojena LAN-a koja omogućuje slanje kriptirane elektroničke pošte (PEM)
kroz WAN mrežu. Objasnite svojstva takove arhitekture.

86. Što je sadržaj plana sigurnosti (taktičkog plana izvedbe) , što plan razrađuje, što je potpora
planu, te kakv je sastav tima za izradu plana?

87. Navedite barem četri stavke sigurnosne politike za Internet.
.