Organizacija Zaštite Savremenih Informacionih Sistema

DEPARTMAN ZA POSLEDIPLOMSKE STUDIJE
-MASTER STUDIJSKI PROGRAM-

SAVREMENE INFORMACIONE TEHNOLOGIJE

Bojan Iki

Organizacija zatite
savremenih informacionih sistema

- Master rad -

Mentor:
Prof dr Mladen Veinovi
Student:
Bojan Iki
Br. indeksa: 410088/2009

UNIVERZITET SINGIDUNUM

Beograd, 2011.

Bojan Iki Organizacija zatite savremenih informacionih sistema

2

Organizacija zatite savremenih informacionih sistema

Saetak
U ovom radu opisana je organizacija zatite informacionih sistema. Organizacija zatite ima
svoje osobenosti koje se odnose na preuzimanje odgovornosti za specijalizovane programe to
e kroz ovaj rad detaljno biti objanjeno. Organizacija zatite opisana je kroz njenu primenu u
virtualnim privatnim mreama.
Virtualna privatna mrea engleski Virtual Private Networking (VPN), obezbeuje mehanizme
za bezbednu komunikaciju i prenos podataka i drugih informacija kroz javnu mreu kao to je
Internet, a takoe predstavlja i jeftinu alternativu za iznajmljene telekomunikacione linije
izmeu kompanija i njihovih udaljenih organizacionih jedinica. Pored velikog broja
pogodnosti koje prua, VPN omoguava zaposlenima da mogu sa bilo koje take na svetu da
bezbedno pristupaju podacima na kompanijskim serverima na isti nain kao to to ine iz
svoje kancelarije.
Kljune rei: Organizacija zatite, bezbednost informacija, VPN, IPsec, SSL VPN, kontrola
pristupa, namenski ureaji, PKI

Abstract
This paper describes the Management of information security. Because information security
management is charged with taking responsibility for a specialized program, certain
characteristics of its management are unique to this community of interest. Management of
information security is described thrue the Virtual Private Networks.
Virtual Private Network provides mechanisms for safe communication and transfer of data
and other information through public network, like Internet, and it also represents cheap
alternative for rented telecommunication lines between companies and their remote
organizational units. Among various privileges it provides, VPN gives possibilities to its
employees to safely access from any spot in the world to data within company servers at the
same way as they do that from their offices.
Key words: Security management , information security, VPN, IPsec, SSL VPN, access
control, applaince, PKI


3

SADRAJ

Uvod...................................................................................................................................... 5
1. Metodologija istraivakog projekta ............................................................................. 7
1.1. Uvodne napomene i obrazloenje rada .................................................................... 7
1.2. Predmet istraivanja ................................................................................................ 7
1.3. Ciljevi i zadaci istraivanja ...................................................................................... 8
1.4. Istraivake hipoteze ................................................................................................ 9
1.5. Metodi istraivanja i tok istraivakog procesa .................................................... 10
2. Savremeno poslovanje i informacioni sistemi ............................................................. 12
2.1. Korisnici .................................................................................................................. 12
2.2. Prevencija neautorizovanog prisupa ..................................................................... 12
2.3. Dostupnost podataka .............................................................................................. 13
2.4. Backup i export podataka ...................................................................................... 13
3. Organizacija i upravljanje zatitom ............................................................................ 14
3.1. Bezbednost informacija .......................................................................................... 14
3.2. Istorijat ................................................................................................................... 15
3.3. Osnovni principi ..................................................................................................... 16
3.3.1. Poverljivost ....................................................................................................... 17
3.3.2. Integritet ........................................................................................................... 17
3.3.3. Dostupnost ........................................................................................................ 17
3.3.4. Autentinost ...................................................................................................... 18
3.3.5. Neporicanje ....................................................................................................... 18
3.4. Principi organizacije zatite informacionih sistema .............................................. 18
3.4.1. Planiranje (Planning) ....................................................................................... 19
3.4.2. Polise (Policy) .................................................................................................... 19
3.4.3. Programi (Programs) ....................................................................................... 21
3.4.4. Zatita (Protection) ........................................................................................... 22
3.4.5. Ljudi (Poeple) ................................................................................................... 23
3.4.6. Project Management......................................................................................... 24
4. Raunarske mree ........................................................................................................ 25
4.1. OSI model ............................................................................................................... 25
4.1.1. Sloj aplikacije .................................................................................................... 27
4.1.2. Sloj prezentacije................................................................................................ 27
4.1.3. Sloj sesije ........................................................................................................... 28
4.1.4. Sloj transporta .................................................................................................. 28
4.1.5. Sloj mree .......................................................................................................... 29
4.1.6. Sloje veze ........................................................................................................... 29
4.1.7. Fiziki sloj ......................................................................................................... 29
4.2. IPsec bezbednosni protokol .................................................................................... 29
4.2.1. Tunelovanje ...................................................................................................... 30
4.2.2. Transportni mod ............................................................................................... 30
4.2.3. Tunelski mod .................................................................................................... 31
4.3. SSL protokol za zatitu virtualne privatne mree ................................................. 31
4.3.1. SSL rekord protokol (SSL Record Protocol) ................................................... 32
4.3.2. Protokol za uspostavljanje sigurne veze (Handshake Protocol) ..................... 32
4.3.3. Protokol za promenu kljua (Change Cipher Spec) ........................................ 33
4.3.4. Protokol za upozorenja (Alert messages)......................................................... 33
5. Organizacija savremenih raunarskih mrea ............................................................. 34

4
5.1. Lokalna mrena infrastruktura ............................................................................. 34
5.1.1. Nova organizacija lokalne mree ..................................................................... 35
5.2. Virtualne privatne mree ....................................................................................... 37
5.2.1. LAN-to-LAN virtualne privatne mree ........................................................... 38
5.2.2. Remote access virtualne privatne mree .......................................................... 38
6. Mrena infrastruktura izmetena kod provajdera ..................................................... 40
6.1. Namenski serveri .................................................................................................... 41
6.2. Cloud computing .................................................................................................... 41
6.3. Prednosti hostinga na namenskim ili Cloud serverima......................................... 42
7. Upravljanje digitalnim identitetom ............................................................................. 44
7.1. Socijalni inenjering ............................................................................................... 45
7.2. Autentifikacija ........................................................................................................ 46
7.3. Projektovanje PKI infrastrukture ......................................................................... 47
8. Bezbedna komunikacija ............................................................................................... 50
8.1. SSL VPN ureaj ..................................................................................................... 51
8.1.1. SSL portal VPN ................................................................................................ 53
8.1.2. SSL tunnel VPN ................................................................................................ 53
9. Zatita kao servis .......................................................................................................... 55
9.1. Osnovne karakteristike .......................................................................................... 55
9.2. Zatita na serverskoj strani .................................................................................... 56
9.3. Zatita na klijentskoj strani ................................................................................... 57
10. Zatita udaljenih servisa .............................................................................................. 59
10.1. Poslovni informacioni sistem ................................................................................. 59
10.2. Edukacija ............................................................................................................... 60
10.3. Document Management System ............................................................................ 60
10.4. Dodatna zatita ...................................................................................................... 61
Zakljuak ........................................................................................................................... 63
Literatura ........................................................................................................................... 65

5

Uvod

Kada se govori o zatiti informacionih sistema pre svega se misli na hardverske ureaje ili
softverska reenja koja se koriste za zatitu. Takoe, sve ee se nude usluge koje
proveravaju ranjivost Web sajtova, Web aplikacija pa i same lokalne mree. Bezbednost
informacionih sistema predstavlja meutim neto vie od puke komercijalizacije kada su u
pitanju hardverska i softverska reenja odnosno senzacionalizma kada je re o opasnostima
koja vrebaju preko Interneta. Takoe niko od njih bilo da je re o kompaniji ili strunom
konsultantu ne sagledava bezbednost informacionog sistema kao celovit proces ve svako
smatra da je za zatitu dovoljan samo segment kojim se on bavi.
Ovaj rad e se baviti organizacijom zatite koja podrazumeva sagledavanje konkretnih
potreba kompanije, definisanje bezbednosnih politika i procedura, kreiranje polisa, ljudske
resurse i naravno konkretna hardverska i softverska reenja. Kao to je ve reeno na tritu
usluga u oblasti zatite informacionih sistema trenutno su dominantne kompanije koje se bave
samo jednim aspektom bezbednosti i koje esto nude svoje proizvode ne obraajui panju na
realne potrebe klijenta. Tu su takoe i pojednci koji obino rade kao konsultanti za zatitu u
velikim komanijama ili bankama koji zbog prirode svog posla sagledavaju celovitost zatite
ali nude reenja koja se primenjuju u velikim sistemima to za manje kompanije predstavlja
problem jer su njihovi budeti za zatitu informacionih sistema obino minimalni.
to se tie ljudskih resursa, primetno je da se kompanije sve vie odluuju za smanjenje broja
zaposlenih IT strunjaka. U zavisnosti od broja zaposlenih u kompanijama ostaju samo IT
menaderi koji treba da koordiniraju rad IT sektora sa outsorsing kompanijama. Takoe, sve
je popularnije radno mesto IT menadera za bezbednost koje zahteva specifine obuke i
sertifikate o emu e u ovom radu takoe biti rei.
Za sada na tritu usluga bezbednosti informacionih sistema ne postoje specijalizovane
kompanije koje bi se bavile iskljuivo organizacijom zatite. Ove kompanije bi trebalo da
budu u stanju da pre svega objektivno sagledaju potrebe kupaca kao i da mu pomognu u
izboru neophodne opreme i ostalog to je kupcu neophodno za kvalitetnu zatitu. Pored toga,
one bi pruale usluge izrade bezbednosnih politika i procedura kao i pisanje polisa.
Odravanje sistema zatite kao i edukacija takoe bi mogli da bude u nadlenosti ovih
kompanija.
Organizacija zatite prikazana je kroz virtualne privatne mree koje savremene kompanije sve
vie koriste da bi unapredile svoje poslovanje. Virtuelna privatna mrea (Virtual Private
Network VPN) je privatna komunikaciona mrea koja se koristi za komunikaciju u okviru
javne mree. Transport VPN paketa podataka odvija se preko javne mree (npr. Internet)
korienjem standardnih komunikacionih protokola. VPN omoguava korisnicima na
razdvojenim lokacijama da preko javne mree jednostavno odravaju zatienu komunikaciju.
Brzina kojom se razvija Internet kao i globalizacija poslovanja dovela je do neophodnosti
pristupa informacijama koje se nalaze u kompaniji sa bilo kog mesta u svetu i u bilo koje
doba dana ili noi nezavisno od vremenske zone. Moderno poslovanje prepoznaje novu
kategoriju zaposlenih engl. teleworker, koji proizvode ili usluge svoje kompanije nude irom
sveta. Da bi bili konkurentni, oni do vane informacije moraju da dou brzo i lako. Dananji
irokopojasni Internet to omoguava ali potrebno je i resurse jedne kompanije, a tu se pre
svega misli na virtualne privatne mree prilagoditi modernim trendovima poslovanja.

6
Zbog ovakvog naina pristupa poverljivim informacijama neke kompanije mora se ozbiljno
voditi rauna o zatiti. Ovde e se govoriti o nekoliko aspekata zatite, a pre svega o fizikoj i
kriptolokoj organizaciji zatite virtualne privatne mree.
Fizika zatita se odnosi na organizaciju hardverskih resursa u virtualnoj privatnoj mrei.
Predloena su reenja za smetanje i odravanje serverskih kapaciteta i ona se kreu u
dijapazonu od sopstvenog hostinga pa sve do cloud computinga.
Kriptozatita
1
pored kriptoanalize ini jednu od dve osnovne oblasti kriptologije. Kriptozatita
je posebna delatnost vojnih, dravnih (diplomatskih, bezbednosnih, ekonomskih) i drugih
organa i organizacija u cilju obezbeenja zatite tajnosti poruka pri prenoenju kanalima veze.
Kriptozatita obuhvata:
naunoistraivaki rad za pronalaenje kriptolokih postupaka i sredstava
organizaciju kriptozatite
primenu kriptozatite u praksi
U ovom radu naglasak e pre svega biti na organizaciji i primeni kriptozatite u virtualnim
privatnim mreama to podrazumeva sledee:
Definisanje elemenata kriptozatite koji su neophodni
Nabavka neophodnih elemenata kriptozatite
Implementacija reenja
Obuka korisnika
Odravanje
Za obavljanje poslova kriptozatite se, naelno, formiraju posebni struni organi. Zbog
znaaja koji imaju, sve delatnosti kriptozatite se svrstavaju u red vrhunskih tajni i obavezno
se ureuju zakonima.

1
Vojna enciklopedija, drugo izdanje, knjiga 4, strana 714. Vojnoizdavaki zavod Beograd, 1972.


7

1. Metodologija istraivakog projekta

1.1. Uvodne napomene i obrazloenje rada

Projektni zadatak ima za cilj da definie pojam organizacije zatite koja podrazumeva
sagledavanje konkretnih potreba kompanije, definisanje bezbednosnih politika i procedura,
kreiranje bezbednosnih polisa, ljudske resurse zaduene za bezbednost i naravno konkretna
hardverska i softverska reenja.
U ovom radu se pre svega sagledava odnos izmeu savremenih poslovnih tendencija i
informacionih sistema koji treba da funkcioniu u novom okruenju. Takoe detaljno je
opisana struktura upravljanja zatitom koju ine: planiranje, polise, programi, zatita, ljudski
resursi i project menadment. Kroz opis organizacije savremene lokalne mree prikazana su
neka praktina reenja kao i pregled trokova za implementaciju tih reenja. Mrena
infrastruktura izmetena kod provajdera prikazuje prednosti koje se dobijaju korienjem
namenskih servera i Cloud computing-a korienjem pre svega usluge koja se zove Software
as a Service. Neophodno je bilo naglasiti i potrebu za novim vidom kompanija koje bi bile
specijalizovane za projektovanje organizacije zatite informacionih sistema, njenu
implementaciju i odravanje.
Kao to je ve reeno organizacija zatite prikazana je kroz virtualne privatne mree odnosno
kroz arhitekturu, protokole i bezbednosne aspekte vezane za ovu vrstu mrea. Rad se pored
organizacionih bavi i tehnikim aspektima virtualnih privatnih mrea. Prikazana su
tehnoloka reenja koja su trenutno aktuelna ali i ona koja e u bliskoj budunosti biti
preovlaujua. Takoe, treba rei da je teite rada uglavnom okrenuto na bezbednost, a
manje na potencijalne pretnje.
Ovaj rad je nastao korienjem teoretskih i praktinih znanja iz domena upravljanja zatitom
informacionih sistema, raunarskih mrea kao i hardverskih i softverskih reenja koja se
koriste za zatitu.

1.2. Predmet istraivanja

Predmet istraivanja je bio usmeren na vie segmenata s obzirom da se radi u kompleksnoj i
sveobuhvatnoj materiji to organizacija zatite svakako jeste. Iako je kao literatura za ovu
oblast koriena knjiga koja predstavlja Bibliju kada je re o upravljanju zatitom, nije se ilo
samo na puko prevoenje ve na komentare pre svega o tome koliko se u pojedinim
segmentima stiglo kod nas. Takoe u poglavlju o upravljanju zatitom govori se i o edukaciji
IT strunjaka koji se bave zatitom informacionih sistema kao i edukacijom zaposlenih
primereno njihovim potrebama. Evo nekih pitanja na koje su se trili odgovori prilikom
istraivanja:
Visina budeta koji je korisnik spreman da izdvoji za zatitu
Prepoznavanje stvarnih potreba korisnika
Definisanje bezbednosnih politika i procedura prilagoenih korisniku
Predlog obuke IT menadera i zaposlenih u kompaniji


8
Pored upravljanja zatitom ija struktura je detaljno opisna na poetku rada najvei deo
istraivanja bio je usmeren na pronalaenje optimalnih tehnolokih reenja koja predstavljaju
okosnicu itavog sistema zatite. Reenja su prikazana kroz konketne predloge kao to su na
primer: nova organizacija savremenih lokalnih mrea, izmetanje mrene infrastrukture na
namenske ili cloud servere, neophodnost stvaranja kompanija koje bi bile security provajderi.
Ova tehnoloka reenja posmatrana su kroz prizmu vienamenskih ureaja za zatitu koji se
sve vie koriste zbog svojih performansi, jednostavnog rukovanja i sve pristupanije cene.
Kao praktina reenja nisu prikazivane tehnike karakteristike pojedinih ureaja ve njihova
optimalna primena u organizacionoj strukturi. Nije re samo o SSL VPN ureajima koji
prestavljaju nezaobilazan inilac zatite u savremenim informacionim sistemima ve je re i o
drugim specijalizovanim ureajima koji pokrivaju ostale segmente bezbednosti kao to je na
primer antivirusna zatita. Projektni rad se nije bavio tehnikim karakteristikama svakog
pojedinanog ureaja ve se teilo tome da se pronau odgovori na pitanja koja su
interesantna samom korisniku kao to su na primer:
Izbor hardverskih ureaja i softverskih reenja shodno potrebama korisnika
Izbor funkcionalnosti hardverskih ureaja koje su korisniku zaista neophodne
Pored istraivanja koje se odnosilo na sam pojam zatite informacionih sistema, predmet
istraivanja su takoe bile virtualne privatne mree odnosno organizacioni aspekti zatite u
njima. Pored poglavlja koje se odnosi na klasine virtualne privatne mree zasnovane na
IPsec protokolu, vei deo istraivanja posveen je SSL VPN tehnologiji. Za obe vrste mrea
prikazani su prednosti i nedostaci kao i mogunosti njihovog kombinovanja kako bi se od
svake izvukle najbolje performanse, a smanjio uticaj slabosti koju svaka od njih poseduje.
Moe se sa sigurnou rei da izbor protokola i tehnologija za razvoj virtualne privatne mree
zavisi pre svega od organizacionih potreba kompanije, a takoe i od finansijskih sredstava sa
kojima kompanija raspolae. Evo nekih pitanja na koje su se trili odgovori prilikom
istraivanja:
Kako rade virtualne privatne mree i kako mogu da se implementiraju u postojeu
mrenu infrastrukturu kompanije
Planiranje implementacije virtualne privatne mree u poslovanje kompanije
Evaluacija benefita koje organizacija dobija uvoenjem virtalne privatne mree
Razumevanje onoga to treba traiti od kompanije koja prodaje reenje
Skretanje panje korisnicima na bezbednosne aspekte virtualne privatne mree
Strategija kontrole pristupa aplikacijama koje se nalaze u virtualnoj privatnoj mrei
Ukazivanje na vaee trendove u ovoj oblasti kao i na razvoj virtualnih privatnih
mrea u budunosti

1.3. Ciljevi i zadaci istraivanja

Ovaj rad je namenjen pre svega profesionalcima koji vode rauna o bezbednosti
informacionih sistema, kao i IT menaderima koji treba da osmisle organizaciju zatite
informacionog sistema u svojoj kompaniji. Pored dobrog poznavanja raunarskih mrea IT
menaderi bi trebalo da se edukuju i u oblasti upravljanja zatitom odnosno u oblasti Security
menadmenta o emu e detaljno biti rei u ovom radu. U radu e biti navedeni i neki od
konkretnih problema do kojih se dolo prilikom istraivanja, a sa kojima e se to je sasvim
sigurno susresti kompanije koje budu elele da zatite svoj informacioni sistem.
Cilj istraivanja bio da se kompanije koje prodaju raunarsku opremu za zatitu i koji su
ujedno i sistem integratori nekih sigurnosnih reenja potaknu na razmiljanje da postanu

9
security provajderi odnosno kompanije koje nude security kao servis za veliki broj malih
korisnika. Gotovo je nemogue zamisliti da svaka od njih moe da kreira sopstveni sistem za
bezbednost pre svega zbog ogranienih finansijskih sredstava pa je ovakva inicijativa vie
nego korisna. Na ovaj nain bi i kompanije koje deo svog poslovanja obavljaju preko
Interneta, a koje nemaju velike budete mogle sebi da priute zatitu pod povoljnim uslovima.
Najvanije je istai da je ovakva inicijativa realno izvodljiva i da ne zahteva prevelika
finansijska ulaganja.
Iako je u to teko poverovati prodavci iz pojedinih kompanija, iako tehniki obrazovani
pokazuju odreene slabosti prilikom procene potreba kompanije koja kupuje neko IT reenje.
Najee se deava da prodavci nude tehnologije i gotova reenja koja su ve razvili za neke
druge potrebe. U jednom konkretnom sluaju, nudili su kao reenje Kerberos protokol za
autentifikaciju iako to ni na koji nain nije odgovaralo stvarnim potrebama organizacije gde je
sistem za zatitu trebalo da bude uveden. Prioritet prodavaca to je donekle i opravdano je na
prodaji proizvoda ili reenja bez preteranog udubljivanja kako e se to reenje uklopiti u
realne potrbe kompanije. Uloga IT menadera je da prepozna realne potrebe svoje kompanije
i ukae prodavcu na njih. Ovaj profil zaposlenih treba da poseduje irok spektar znanja iz
raznih oblasti informacionih tehnologija jer kompanije, esto i one vee nisu spremen da
dobro plate vie strunjaka u ovoj oblasti.

1.4. Istraivake hipoteze

Opta hipoteza
Teite istraivanja je bilo na tome da se pokae da na tritu usluga u domenu informatike
bezbednosti ne postoje komapnije koje sagledavaju zatitu kao sveobuhvatan problem ve to
ine parcijalno favorizujui one segmenti kojima se oni bave kao to su na primer
kriptografija, komercijalna hardverska reenja ili softver koji se koristi za zatitu. Sledei
problem je taj to su neka reenja iako na izgled sveobuhvatna bila vezana za jednu platformu
odnosno konkretno na Windows. Kompanije koja nude ovakva reenja imaju zaposlene
inenjere koji su bez daljnjeg veoma struni u svom poslu i veoma dobro poznaju Microsoft
tehnologiju vezanu za zatitu. Oni meutim nisu spremni na kompromisna reenja odnosno
reenja u kojima neki od servisa nije nuno podignut na Windows platformi. Takav nain
razmiljanja predstavlja ozbiljno ogranienje za ove kompanije pre svega zbog injenice da se
Cloud computing razvija velikom brzinom i da se sve manje vodi rauna o tome na kojoj se
platformi radi. Pored ovih postoje i kompanije koje problem zatite posmatraju
pojednostavljeno odnosno pre svega kroz prizmu opasnosti koje vrebaju preko Interneta
nudei pri tom usluge penetration testova kojima proveravaju ranjivost Web aplikacija ili
raunarskih mrea. Da ne bude zabune, pronalaenje nedostataka u nekom informacionom
sistemu je bitan segment zatite ali ove kompanije se uglavnom zadravaju na tome. Ukoliko
neka od njih ak i ponudi neko reenje ono je neprecizno i nedefinisano i nikada se unapred
ne zna koliko e da kota. Uglavnom se ide na to da se korisnik zbuni i zastrai da bi uslugu
oporavka i kasnijeg odravanja platio vie nego to je neophodno.
U poetku je teite istraivanja bilo na klasinim virtualnim privatnim mreama u kojima se
meusobno povezuje vie udaljenih lokacija jedne kompanije. Tokom istraivanja pokazalo se
da kompanije sve vie imaju potrebu za povezivanjem svojih zaposlenih koji se u odreenom
trenutku nalaze ili na putu ili pristupaju resursima od svojih kua. Klasian nain VPN
umreavanja ovde se pokazao kao lo iz vie razloga.

10
Najvanija zamerka su komplikovana instalacija i odravanje programa koji se instaliraju na
klijentskim raunarima i slue za komunikaciju sa VPN koncetratorima na serverskoj strani.
Ovi programi se nazivaju VPN klijenti. Veliki problemi sa VPN klijentima je to to su oni
veoma osetljivi na promene parametra odnosno dodatna podeavanja bilo na VPN
koncetratoru ili na njima samima. Ovi problemi uoeni su ak i kod reenja komanije Cisco
inae lidera u ovoj oblasti.
Drugi problem, tie se direktno bezbednosti. VPN klijenti imaju problem da se poveu sa
digitalnim sertifikatima i tokom istraivanja nije pronaeno reenje za koje pouzdano moe da
se kae da nee praviti problem prilikom povezivanja VPN klijenta i digitalnog sertifikata.
Digitalni sertifikati imaju odline bezbednosne karakteristike i zato je trebalo pronai reenje
gde e to biti iskorieno u punoj meri.

Radna hipoteza
Istraivanje je dovelo do zakljuka da je na tritu usluga iz oblasti zatite informacionih
sistema neophodno stvoriti kompanije koje e biti specijalizovane iskljuivo za poslove
organizacije i implementacije reenja iz ove oblasti. Ovakva usluga koja bi mogla da se zove
security kao servis bi bila nezavisna kako od oprerativnog sistema tako i od drugih servisa sa
kojima kompanija radi. Glavna prednost security servisa je u tome to on ne mora da se
hostuje kod istog provajdera kao i ostali servisi neke kompanije. Ovo je veoma vano zbog
sve breg razvoja virtualizacije i Cloud computing-a. Zbog svoje osetljivosti ovi servisi bi
trebalo da budu konfigurisani kroz High Availability cluster odnosno da stalno budu dostupni
korisnicima ak i u sluaju otkazivanja jednog od ureaja. Takoe security provajderi bi kroz
security servise nudili usluge definisanja bezbednosnih politika i procedura, pisanje polisa kao
i obuku IT menadera i ostalog informatikog kadra zaposlenog u kompaniji.
VPN tehnologija koja nudi prevazilaenje ovih problema zove SSL VPN, a podravaju je
najvee svetske kompanije koje rade u ovoj oblasti kao to su Cisco, SonicWall ili Baracuda
Networks. U osnovi ova tehnologija nudi pristup resursima kopanije preko bilo kog
poznatijeg Web pretraivaa, tako da se problem sa VPN klijentima veoma jednostavno
prevazilazi. to se tie digitalnih sertifikata, o tome takoe vodi rauna Web pretraiva, a
podeavanje je lako ak i za korisnike koji su poetnici.
Takoe u radu je detaljno opisana organizacija kontrole pristupa resursima virtualne privatne
mree. Ovo je najosetljiviji deo VPN mree i mnogi napadi zlonamernih korisnika usmereni
su ba na to mesto. Razmotrena su hardverska i softverska reenja za zatitu kontrole pristupa
uz pomo SSL VPN tehnologije, kao to su SSL VPN gateway i smart kartice ili tokeni sa
digitalnim sertifikatima za autentifikaciju.

1.5. Metodi istraivanja i tok istraivakog procesa

Metodologija istraivanja svela se na korienje pre svega Interneta ali i na korienje
ozbiljnih kljiga koje se bave oblastima organizacije zatite i virtualnih privatnih mrea.
Takoe informacije su dobijene i od eminentnih kompanija u ovoj oblasti, a koje u naoj
zemlji imaju svoja predstavnitva kao to su Cisco, SonicWall, Citrix ili Stonesoft, kao i
pojedinaca koji su priznati eksperti u ovoj oblasti.
Na Internetu, a i u literaturi uopte mnogo je manje informacija koje se tiu upravljanja
zatitom nego informacija o tehnologijama koje se za to koriste. Zbog toga je istraivanje bilo
tee i kompleksnije ali i mnogo interesantnije. Svaka od informacija koja se nalazi u ovom

11
radu proverena je obavezno na vie mesta u literaturi da bi se dokazalo da je relevantna.
Takoe informacije o ovoj oblasti teko su dostupne i trebalo je puno truda da se pronau
ljudi koji o organizaciji zatite imaju znanje i iskustvo. U radu se nalaze stavovi i razmiljanja
koja na potpuno nov nain govore o nekim ve poznatim pojmovima, tehnologijama ili daju
kritiki osvrt na njih. Ovakvi stavovi pozivaju na otvorenu polemiku koja bi pomogla jo
bolju implementaciju ovog rada u praksi. Ideja je da ovaj rad pomogne IT menaderima, kao i
drugim strunjacima iz domena informacionih tehnologija da dobiju jasniju sliku o ovoj
oblasti kao i da im se ukae gde mogu da pronau dodatne informacije koje su im potrebne.
Neka praktina reenja prikazana u ovom radu svako e im biti od koristi prilikom uvoenja
zatite informacionih sistema u njihovim organizacijama.


12

2. Savremeno poslovanje i informacioni sistemi

Sve vei broj kompanija nudi svoje usluge kao Cloud based servise. Bilo da se radi o Web
aplikacijama u koje spadaju poslovne aplikacije, Document Management System ili aplikacije
za e-learning sve one se nude kao servis na udaljenim serverima kojima korisnici mogu da
pristupe sa bilo kog mesta. Za pristup ovakvim aplikacijama veoma je vana bezbednost zato
to se celokupna komunikacija obavlja preko Interneta.

2.1. Korisnici

Kao to je ve reeno ovaj rad treba da poslui projektantima Web aplikacija, security
provajderima kao i IT menaderima koji treba da uvedu zatitu informacionih sistema u manje
kompanije ili organizacije bilo da su sami u njima zaposleni ili da to rade u outsourcing-u.
Najtea stvar koju treba da urade jeste da ubede vlasnike ili druga odgovorna lica u
menadmentu kompanije da bezbednost podataka ne zavisi od lokacije na kojoj se oni uvaju.
Ovaj fenomen naroito je izraen u manjim kompanijama u kojima obino njihovi vlasnici
ele da server na kome dre podatke imaju u svom vidokrugu naivno verujui da su na taj
nain osigurani od bilo kakve zloupotrbe. U ovom radu e biti detaljnije objanjene
tehnologije bezbedne komunikacije koje bi trbalo da pomognu da odgovorni menaderi u
kompanijama steknu neophodno poverenje u savremene informatike koncepte. Sutina
bezbednosti podataka saeta je u pitanjima koja e korisnici svakako postaviti. Svaki korisnik
pitae sledee:
Da li neautorizovani korisnici mogu da vide moje podatke?
Da li su podaci dostupni uvek kada su mi potrebni?
Da li mogu da uradim backup svojih podataka?
Ukoliko uspeno moe da odgovori na ove postavljene zahteve smatra se da provajder Web
aplikacije zajedno sa security provajderom moe da obezbedi potrebne uslove za udaljeni
pristup podacima.

2.2. Prevencija neautorizovanog prisupa

Zatita podataka od neautorizovanog pristupa
2
je najvanija stvar koju security provajder
treba da obezbedi svojim korisnicima. Takoe korisnici koji iznajmljuju takvu vrstu usluge
trebalo bi da se informiu o tehnologiji koju provajder koristi kada nudi ovakvu vrstu usluge.
1. J ava EE Aplikacije razvijene u J avi imaju dobru reputaciju kada se radi o
bezbednosti. Za razliku od drugih tehnologija za razvoj Web aplikacija kao to je na
primer PHP, J ava poseduje veliku biblioteku funkcija koje se mogu iskoristiti za
pisanje stabilnog i bezbednog koda.
2. SSL je tehnologija koja obezbeuje ifrovanu komunikaciju izmeu korisnikovog
Web pretraivaa i Web aplikacije koja se nalazi na serveru. Korienje digitalnih
sertifikata kao dodatnog vida zatite u SSL komunikaciji hakerima oduzima bukvalno

2
Clarity accounting, Security bookkiping, https://www.clarityaccounting.com/help/index.php/tag/security/

13
bilo kakvu mogunost da izvre upad u komunikacioni kanal i tako dou do
poverljivih informacija.
3. Security skeneri koji nadgledaju Web aplikacije koje kompanija koristi i preko kojih
ima pristup do svojih podataka.
4. Web aplikacije koje rade sa poverljvim podacima moraju da se uvaju ili na posebnim
namenskim serverima ili u cloud-u, a nikako na deljenim serverima ili na namenskom
serveru na kome provajder Web aplikacije hostuje nebezbedne sadraje kao to su
Web sajt, blog ili forum.
5. Firewall koji spreava upade hakera na servere na kojima se nalaze podaci i Web
aplikacije.

2.3. Dostupnost podataka

Ono to korisnike takoe veoma zanima jeste i dostupnost njihovih podataka. Dostupnost
podataka mogu da im obezbede specijalizovani provajderi preko data centara i grid
tehnologije.

1. Data centri provajderi osetljivih Web aplikacija treba da poseduju data centre koji
zadovoljavaju visoke security standarde, a takoe da imaju i neophodne sertifikate kao
to je na primer SAS70. Ovakvi data centri imaju video nadzor, redudadntno
napajanje, redudantne internet konekcije, redudantne ruter, a ulazak u njih obezbeen
je najee biometrijskom autentifikacijom. Praktino je nemogue da ovakve uslove
korisnik obezbedi ak i u svojoj sopstvenoj kompaniji.
2. Grid tehnologija podrazumeva da je Web aplikacija distribuirana na vie servera to u
sluaju otkaza jednog od njih omguava da aplikacija bude i dalje dostupna za
korisnika, a da on ne primeti da je do otkaza dolo.

2.4. Backup i export podataka

Potrebno je da provajder obezbedi redovan backup podataka. Treba takoe razmotriti
mogunost exportovanja podataka na Windows ili NAS server koji se nalazi kod korisnika.
Ovo je vano zbog nepouzdanosti Internet konekcija u naoj zemlji.
Prevencija neautorizovanog pristupa je jedna od najvanijih stvar koju treba obezbediti da bi
se korisnici uverili da su njihovi podaci u claud-u sigurni. Izbor tehnologija koje su ovde
nabrojane predsavlja nezaobilazan zahtev za bezbedno poslovanje.

14

3. Organizacija i upravljanje zatitom

3.1. Bezbednost informacija

Razumevanje tehnikih aspekata bezbednosti informacija zahteva poznavanje definicija
odreenih termina i koncepata u oblasti informacionih tehnologija. Uopteno, bezbednost se
definie kao kvalitet ili stanje bezbednosti, odnosno biti bezbedan znai ne biti u opasnosti
3
.
Bezbednost se esto postie putem nekoliko strategija koje se obino preduzimaju
istovremeno ili se koriste u kombinaciji jedna sa drugom. Bezbednost takoe podrazumeva i
itav niz specijalizovanih oblasti o kojima e u ovom radu takoe biti rei. Specijalizovane
oblasti bezbednosti su sledee:
Fizika bezbednost koja podrazumeva zatitu ljudi, fizikih aktiva, radnog okruenja
od neeljenih dogaaja kao to su vatra, neautorizovan pristup podacima ili prirodne
katastrofe
Lina bezbednost koja se poklapa sa fizikom bezbednou u zatiti zaposlenih unutar
organizacije
Operaciona bezbednost koja je fokusirana na sposobnost organizacije da bude u stanju
da vodi rauna o tome da ne dolazi do prekida ili kompromitovanja njenog poslovanja
Bezbednost komunikacije koja obuhvata zatitu medijuma, tehnologije i sadraja koji
uestvuju u procesu komunikacije i mogunost da se ti alati koriste za pristup
ciljevima organizacije
Mrena bezbednost koja se odnosi na zatitu mrenih ureaja unutar orgazacije,
bezbednu konekciju kao i mogunost da se mrea koristi za proveru komunikacionih
funkcija
Informatika bezbednost ukljuuje irok spektar aktivnosti iz oblasti informatike bezbednosti
to podrazumeva pored ostalog bezbednost raunara, bezbednost podataka kao i bezbednost
mree. U srcu informatike bezbednosti nalazi se koncept polisa. Polise, osveivanje,
edukacija i tehnologija su vitalni koncepti zatite informacija kao i zatite celokupnog
informacionog sistema.

Slika 1 Komponente informatike bezbednosti

3
Michael E. Whitman and Herbert J. Mattord, Management of Information Security, Course Technology, 2008.

15

Bezbednost informacija predstavlja zatitu informacija i informacionih sistema od
neautorizovanog pristupa, korienja, razotkrivanja, remeenja, izmene ili unitenja. Termini,
koji su predmet ovog rada kao to su: bezbednost informacija, raunarska bezbednost i
osiguranje informacija esto se meaju iako se u sutini radi o razliitim stvarima. Ove oblasti
su meusobno povezane i imaju slinu namenu. Iako je za ove oblasti zajedniko to da
definiu naine na koji se titi poverljivost, integritet i dostupnost informacija kao i drugi
aspekti bezbednosti meu njima postoje i ozbiljne razlike.
Ove razlike lee pre svega u pristupu subjektu, metodologiji korienja i temama koje
pokrivaju. Bezbednost informacija je povezana sa pojmovima kao to su poverljivost
integritet i dostupnost podataka bez obzira na formu u kojoj se ti podaci nalaze: elektronska,
tampana ili neka druga forma dok je raunarska bezbednost fokusirana na osiguravanje
dostupnosti i ispravno funkcionisanje raunarskog sistema bez osvrta na informacije koje se
skladite ili obrauju na raunaru.
Vlade, vojska, korporacije, finansijske institucije, bolnice i privatni biznis poseduju veliku
koliinu poverljivih informacija o svojim zaposlenima, kupcima, proizvodima, istraivanjima
i finansijskoj situaciji. Veliki broj ovih informacija se sada uz pomo raunara prikupljaju,
obrauju i skladite a zatim se tako pripremljeni alju preko mree prema drugim raunarima.
Ukoliko poverljive informacije o kupcima, finansijama ili liniji novih proizvoda padnu u ruke
konkurenciji zbog probijanja bezbednosnih mera to bi moglo da dovede do propasti posla,
sudskog postupka ili ak i steaja kompanije. Zatita poverljivih informacija je na prvom
mestu poslovna ali takoe i etika kao i pravna stvar. Za pojedinca, bezbednost informacija
moe da ima bitne posledice na privatnost na koju se veoma razliito gleda u razliitim
kulturama.
Oblast bezbednosti informacija znaajno je rasla i razvijala se u novije vreme. Ova oblast
takoe prua niz mogunosti za razvoj uspene karijere, jer zahteva razne vrste
specijalizacija. Specijalnosti kao ro su obezbeivanje mree odnosno mrea i slinih
infrastruktura, obezbeivanje aplikacija i baza podataka, testiranje bezbednosti, revizija
informacionih sistema, digitalna forenzika samo su neka od zanimanja koja se mogu sresti u
ovoj oblasti.

3.2. Istorijat

Jo od najranijih dana korienja pisma dravne voe i vojni komandanti razumeli su
neophodnost pronalaenja nekih od mehanizama za zatitu poverljivosti pisanih dokumenata i
sposobnost otkrivanja sertifikata. Osobe koje su elele bezbednu komunikaciju koristili su
peat od voska i druge naine peaenja da potvrde autentinost dokumenta, spree
falsifikovanje i obezbede poverljivost korespodencije. J ulije Cezar je stekao ugled sa izumom
Cezarove ifre 50-te godine p.n.e. koja je stvorena sa ciljem da predupredi da njegove tajne
poruke budu proitane ukoliko dospeju u pogrene ruke.
Drugi svetski rat je doneo mnoge novine u oblasti bezbednosti informacija i oznaio je
poetak profesionalnog bavljenja ovom oblau. Uoene su prednosti fizike zatite
informacija sa barikadama i naoruanim straama koje kontroliu pristup u informatike
centre. Takoe je uvedena klasifikacija podataka bazirana na njihovoj osetljivosti kao i
identifikacija osoba koje mogu da pristupe informaciji. Tokom Drugog svetskog rata takoe
se sprovodila provera porekla pre dobijanja prava na klasifikovanje informacija.

16
Kraj 20-og i poetak 21-og veka povezan je sa brzim razvojem telekomunikacija, raunarskog
hardvera i softvera i ifrovanjem podataka. Manje, snanije i dostupnije raunarske
komponente uinile su elektronsku obradu podataka bliom malim i srednjim preduzeima
kao i kunim korisnicima. Ubrzo su ovi raunari postali povezani unutar mree koja se naziva
Internet ili World Wide Web.
Brz porast i iroka upotreba elektronske obrade podataka i elektronskog poslovanja koje se
sprovodi preko Interneta, meu sve brojnijim pojavama meunarodnog terorizma, zahteva
bolje metode zatite raunara i informacija koje su na njima uskladitene, obraene i
prosleene. Akademske discipline raunarske bezbednosti, bezbednosti informacija i
informatika sigurnost izdvajaju se meu brojnim profesionalnim organizacijama koje dele
isti cilj obezbeivanja sigurnosti i pouzdanosti informacionih sistema.

3.3. Osnovni principi

Bezbednost informacija odrava poverljivost, integritet i dostupnost poznatiju kao CIA
trojstvo (confidentiality, integrity and availability)
4
, kao svoje osnovne principe. Informacione
sisteme moemo da ralanimo na tri osnovna dela hardver, softver i komunikacije sa ciljem
da identifikujemo i primenimo industrijske standarde za bezbednost informacija kao
mehanizme za zatitu i prevenciju u tri sloja i to: fizki sloj, personalni sloj i organizacioni
sloj. Ukratko, procedure i politike su implementirane da objasne zaposlenima
(administratorima, korisnicima i operaterima) kako da koriste proizvode da bi obezbedili
sigurnost informacija unutar organizacije.

Slika 2 Komponente koje obezbeuju bezbednosti informacija

4
Wikipedia, Information Security, http://en.wikipedia.org/wiki/Information_security

17

3.3.1. Poverljivost
Poverljivost podrazumeva spreavanje razotkrivanja informacija neautorizovanom pojedincu
ili sistemima. Na primer transakcije kreditnim karticama preko Interneta zahtevaju da kupac
svoj broj kreditne kartice treba da prezentuje trgovcu, nakon ega trgovac prenosi broj
kreditne kartice banci koja e da izvri autorizaciju. Poverljivost se titi enkripcijom broja
kreditne kartice tokom prenosa, ograniavanjem broja mesta gde moe da se pojavi (baze
podataka log fajlovi, backup, tampani izvetaji i slino), kao i ograniavanjem pristupa
mestima gde se skladite. Ako neko ko nije autorizovan dobije broj kreditne kartice, na bilo
koji nain, dolazi do naruavanja poverljivosti.
Naruavanje poverljivosti se moe realizovati na vie naina. Dopustivi nekome pogled
preko ramena na monitor vaeg raunara dok su na njemu prikazane osetljive informacije
predstavlja naruavanje poverljivosti. Krae ili prodaja laptopa koji sadri poverljive podatke
o zaposlenima iz kompanije moe rezultirati naruavanjem poverljivosti. Izdavanje
poverljivih informacija putem telefona je takoe naruavanje poverljivosti ukoliko poziv
dolazi od osobe koja nije autorizovana da primi te informacije. Poverljivost je neophodna za
ouvanje privatnosti osoba iji se lini podaci uvaju na sistemu.

3.3.2. Integritet
U okviru bezbednosti informacija, integritet podrazumeva da se podaci ne mogu menjati bez
procesa autorizacije, to ne treba meati sa referencijalnim integritetom kod baza podataka.
Integritet je naruen kada zaposleni nenamerno ili zlonamerno izbrie vane podatke, kada
virus inficira raunar, kada je zaposleni u mogunosti da menja sopstvenu zaradu u bazi
podataka platnih spiskova, kada neautorizovani korisnik uniti Web sajt, kada neko moe da
odbaci veliki broj glasova prilikom online glasanja i tako dalje.
Postoji mnogo naina u kojima je integritet ugroen bez zle namere. Najjednostavniji primer
je kada korisnik prilikom unosa podataka nepravilno unese neiju adresu. Neto kompleksniji
je sluaj kada automatizovani proces nije pravilno napisan i testiran, pa proces auriranja baze
podataka moe da izmeni podatke na neodgovarajui nain ugroavajui time integritet
podataka. Profesoionalci koji se bave ovom oblau pokuavaju da pronau naine za
inplementaciju kontrola koje e preduprediti ugroavanje integriteta.

3.3.3. Dostupnost
U svakom informacionom sistemu informacija mora da bude dostupna kada se za njom ukae
potreba. To zapravo znai da raunarski sistemi skladite i obrauju podatke, bezbednosni
sistemi ih tite, a funkcionalni komunikacioni kanali omoguavaju pristup. Visoko dostupni
sistemi imaju za cilj da budu dostupni sve vreme spreavajui prekid usluge koju raunar
prua ak i u sluaju gubitka napajanja, kvara na hardveru ili nadogradnje sistema. Osiguranje
dostupnosti takoe ukljuuje spreavanje denial-of-service napada.
2002. godine Donn Parker predlae alternativni model za klasino CIA trojstvo koji je nazvao
est atomskih elemenata informacija. Ovi elementi su poverljivost, posedovanje, integritet,
autentinost, dostupnost i upotrebljivost Vrednost Parkerove heksade je predmet rasprave
meu profesionalcima koji se bave bezbednou sistema.


18
3.3.4. Autentinost
U raunarstvu, e-poslovanju i bezbednosti informacija neophodno je da se obezbedi da
podaci, transakcije, komunikacije ili dokumenti (elektronski ili materijalni) ostanu izvorni. Za
autentinost je takoe vana validacija koja omoguava da obe ukljuene strane treba da
dokau da su ono to tvrde da jesu.

3.3.5. Neporicanje
U pravnim naukama, neporicanje povlai neiju nameru da izvri svoju obavezu prema
ugovoru. To takoe implicira da jedna strana u transakciji ne moe da porekne prijem
transakcije niti druga strana moe da porekne slanje transakcije. Elektronska trgovina koristi
tehnologiju digitalnog potpisa i ifrovane komunikacije kojima postie autentinost i
neporicanje.

3.4. Principi organizacije zatite informacionih sistema

Dobra organizacija zatute informacionih sistema zasniva se na dobrom upravljanju zatitom
(Security management). Upravljanje ili menadment predstavlja proces u kome se dolazi do
nekog cilja korienjem odreenog skupa resursa
5
. Da bi proces informatike bezbednosti
postao efikasniji, neophodno je da se dobro razumeju osnovni principi upravljanja.
Rukovodilac ili menader je neko ko radi sa ili preko drugih zaposlenih u organizaciji
koordinirajui njihove radne aktivnosti u cilju postizanja to boljih rezultata organizacije. On
ima mnotvo uloga u organizaciji ukljuujui i sledee:
Uloga informisanja podrazumeva prikupljanje, obradu i korienje informacija koje
mogu da ugroze ispunjenje planiranog cilja
Interpersonalna uloga podrazumeva interakciju sa nadreenima, potinjenima,
spoljnim saradnicima i drugim iniocima koji su ukljueni u izvrenje nekog zadatka
Uloga u odluivanju podrazumeva odabir izmeu alternativnih pristupa, kao i
razreavanje konflikata, dilema ili izazova
Organizacija zatite koja se kao to je reeno zasniva na kvalitetnom upravljanju zatitom
podrazumeva neke od sledeih aktivnosti:
Definisanje procesa zatite
Definisanje politika, standarda procedura i uputstava
Upravljanje rizicima
Kontrole
Tehnologije
Dokumentaciju
IT kulturu
Edukaciju
Zbog injenice da je upravljanje zatitom optereeno preuzimanjem odgovornosti za
specijalizovane programe odreeni aspekti ove vrste menadmenta imaju svoje osobenosti.
Glavne karakteristike po kojima se odlikuje informatika bezbednost su poznate kao est P.
Planiranje (Planning)
Polise (Policy)
Programi (Programs)
Zatita (Protection)

5
Michael E. Whitman and Herbert J. Mattord, Management of Information Security, Course Technology, 2008.

19
Ljudi (People)
Upravljanje projektom (Project Management)
3.4.1. Planiranje (Planning)
Aktivnosti koje su ukljuene u model planiranja informatike bezbednosti neophodne su da bi
se obezbedio dizajn, kreiranje i implementacija strategije informatike bezbednosti kao deo
planiranja celokupnog informacionog sistema. Postoji nekoliko naina na koji se moe
planirati informatika bezbednost:
Planiranje odgovora na incident
Planiranje nastavka poslovnog procesa
Planiranje oporavka od incidenta
Planitranje polisa
Planiranje kadrova
Plniranje risk menadmenta
Planiranje bezbednosnih programa koji ukljuuju edukaciju, trening i osveivanje
zaposlenih

3.4.2. Polise (Policy)
Skup organizacionih uputstava koja zahtevaju odgovorno ponaanje zaposlenih u nekoj
organizaciji nazivaju se polise. U informatikoj bezbednosti postoje tri kategorije polisa:
generalne polise (polise na nivou preduzea)
polise koje se odnose na specifina probleme
polise koje se odnose na specifine sisteme
U ovom poglavlju bie detaljnije objanjeno ta su polise, ko ih kreira, ko ih implementira i
ko ih odrava. Polise su osnova efikasnog programa informatike bezbednosti. Uspeh zatite
informatikih resursa zavisi od generisanih polisa kao i od stava rukovodstva koje definie
stepen sigurnosti informacija u automatizovanim sistemima.
Sve polise moraju da budu u slubi napretka organizacije u kojoj su primenjene. Rukovodstvo
kompanije mora da obzbedi adekvatnu podelu odgovornosti za pravilnu upotrebu
informacionog sistema. Krajnji korisnici bi svakako trebalo da budu ukljueni u onim
procesima koji se odnose na formulisanje polisa. Na sledeoj slici prikazano je mesto polisa u
odnosu na druge aspekte bezbednosti u nekoj organizaciji uz pomo Bulls-eye Model-a.

Slika 3 The Bulls-Eye Model

20

Kreatori polisa moraju konstatno da istiu kolika je vanost sigurnosti informacija unutar
njihove organizacije. Njihova primarna odgovornost je da uspostave polise za korienje
informatikih resursa unutar organizacije sa ciljem smanjenja rizika to je povezano sa
zakonskom regulativom kao i sa obezbeivanjem kontinuiteta poslovnih procesa, integriteta i
tajnosti podataka.
Kvalitet programa informatike bezbednosti poinje i zavrava se polisama. Pravilno
definisane i implementirane polise omoguavaju programu informatike bezbednosti da
funkcionie skoro savreno. Mada se ini da je polise lako primeniti u praksi esto dolazi do
problema prilikom implementacije. Da bi se ovo izbeglo moraju se potovati neka pravila
prilikom njihovog kreiranja:
Polise nikada ne smeju da budu u suprotosti sa zakonom
Polise moraju da budu odrive u sudskom procesu ukoliko do njega doe
Polise moraju da budu podrane i administrirane na pravi nain
Polise su vana referentna dokumenta za unutranju organizaciju i pokazuju nameru
rukovodstva da eli da uvede red u oblast bezbednosti informacionih sistema u svojoj
kompaniji. Iako savreno napisana ova dokumenta mogu da budu potpuno beskorisna ukoliko
nema bezrezervne podrke rukovodstva kompanije.
Pored polisa za organizaciju zatite informacionog sistema veoma su bitna i dokumenta kao
to su standardi i prakse. Sledea slika prikazuje hijerarhijsku strukturu u kojoj treba da budu
polise, standardi i prakse u nekoj organizaciji da bi zatita koju ova dokumenta opisuju bila
to efikasnija.

Slika 4 Polise, standardi, praksa


21
Polise predstavljaju plan ili pravac delovanja sa ciljem da se utie na odreene odluke,
akcije kao i ostale bitne aktivnosti u okviru organizacije
Standardi su dokumenti koji detaljnije opisuju akvivnosti koje treba preduzeti u skladu
sa onim to je definisano u polisama
Prakse, procedure i uputstva objanjavaju zaposlenima na koji nain treba da se
pridravaju vaeih polisa

3.4.3. Programi (Programs)
Programi podrazumevaju definisanje naziva i opis radnih mesta zaposlenih koji se bave
poslovima zatite u nekoj organizaciji. Nazivi kao i opisi radnih mesta se donekle razlikuju sa
orginalnom literaturom koja je koriena u izradi ovog rada pre svega zbog lakeg
razimevanja i prilagoavanja domaim potrebama. Da bi se zatita informacionog sistema u
nekoj kompaniji kreirala na pravi nain neophodneo je da se urade sledei poslovi:
Planiranje sigurnosnih reenja
Projektovanje, izrada i implementacija sigurnosnih reenja
Upravljanje sigurnosnim alatima, praenje bezbednosnih funkcija i kontinuirano
poboljanje procesa
to se tie naziva radnih mesta zaposlenih koji se bave zatitom oni mogu biti razliiti u
zavisnosti od kompanije. Meutim, s obzirom da je u ovom radu akcenat dat na organizaciju
zatite u manjim kompanijama neki od originalnih naziva iz literature kod njih jednostavno
nisu primenljivi. Najvei broj poslova vezanih za zatitu informacionih sistema moe da se
podvede pod neki od sledeih naziva:
IT menader za bezbednost
Administrator i analitiar za bezbednost
Tehniar za bezbednost
Konsultant za bezbednost
Istraitelj za bezbednost
Nemaju sve kompanije mogunost da otvore radna mesta za navedene profile. Ovakva radna
mesta mogu da se nau u kompanijama koje su usko specijaizovane za pruanje usluga iz
oblasti zatite. U manjim kompanijama gde je neretko zaposlen samo jedan ovek kao IT
menader ovakve vrste poslova se realizuju angaovanjem strunog saradnika najee preko
projekta sa ogranienim vremenom trajanja ili na neki drugi nain kao to je to prikazano i na
narednoj slici.

Slika 5 Opisi poslova zaposlenih koji se bave zatitom

22
Security provajderi bi trebalo permanentno da vre edukaciju, organizuju treninge i podiu
nivo svesti o neophodnosti zatite informacionih sistema kako svojih zaposlenih tako i
zaposlenih u kompanijama kojima pruaju usluge zatite. Najbolji nain da to urade jeste kroz
Security Education Training Awareness (SETA) program koji je preporuen i u literaturi.

3.4.4. Zatita (Protection)
Funkcije zatite se odvijaju kroz dva odvojena procesa od kojih e jedan detaljnije biti
objanjen u ovom poglavlju, a drugi se odnosi na ceo rad. Procesi kroz koje se odvijaju
funkcije zatite su:
Risk menadment koji ukljuuje procenu i kontrolu rizika
Mehanizmi za zatitu, tehnologije i alati
Upravljanje rizicima je proces procene rizika za informacioni sistem neke organizacije i
odreivanje strategije kako da ti rizici budu kontrolisani i smanjeni. Upravljanje rizicima je
jedna od kljunih odgvornosti svakog menadera unutar bilo koje organizacije. Upravljanje
rizicima podrazumeva sledee procese:
Identifikaciju i procenu rizika
Kontrolu rizika
Poznavanje sopstvenih kapaciteta podrazumeva da menaderi treba da budu u stanju da
razumeju ta su to informacije i na koji nain se obrauju, skladite i prenose. Ukoliko
poseduju neophodno znanje o tome oni mogu da iniciraju detaljan program upravljanja
rizikom. Poznavanje potencijalnog neprijatelja takoe je vaan deo procene rizika koji
podrazumeva identifikovanje, kontrolu i razumevanje pretnji sa kojima se suoava
informacioni sistem neke organizacije. Svaka organizacija mora da izabere jednu od ove etiri
osnovne strategije za kontrolu rizika:
Prevencija rizika
Premetanje rizika
Ublaavanje rizika
Prihvatanje rizika
Prevencija podrazumeva strategiju kontrole rizika kojom organizacija pokuava da sprei da
neko iskoristi ranjivost njenog informacionog sistema. Prevencija se moe prikazati kroz
sledee aktivnosti:
Primena polisa
Treninzi i edukacija
Suprostavljanje pretnjama
Implementacija tehnikih kontrola za zatitu
Premetanje rizika je strategija kojom se pokuava da se rizik preusmeri na druge procese ili u
druge organizacije. Ovo se moe postii outsourcing uslugama, uzimanjem osiguranja ili
sprovoenjem ugovora o uslugama sa provajderima.
Ublaavanje je strategija koja pokuava da smanji, putem planiranja i pripreme, tetu koja
moe da nastane usled ranjivosti informacionog sistema neke organizacije. Ovaj pristup koji
se jo naziva i Contingency planning (CP) sastoji se od tri osnovna plana:
Disaster recovery plan (DRP)
Incident response plan (IRP)
Business continuity plan (BCP)


23
Prihvatanje rizika je izbor da se ne uini nita za zatitu informacionog sistema i da se prihvati
ishod eventualnog ugroavanja sistema. Ova strategija odnosno odsustvo kontrole,
pretpostavlja da je to moda mudra poslovna odluka jer se ispitivanjem alternativnih reenja
dolo do zakljuka da cena zatite imovine ne opravdava trokove bezbednosti.
Za svaki pomenuti rizik izvrni menadment moe da prihvati rizik rukovodei se relativno
niskom vrednou imovine, relativno malom uestalou pojavljivanja, i relativno malom
uticaju na poslovanje, a takoe moe da ublai rizik birajui i implementirajui odgovarajue
kontrolne mere. U nekim sluajevima rizik moe da bude prebaen i u drugu kompaniju
kupovinom osiguranja ili davanjem outsourcing usluga. Realnost pojedinih rizika moe da
bude diskutabilna. U takvim sluajevima rukovodstvo kompanije moe da zanemari rizik, to
predstavlja potencijalni rizik.

3.4.5. Ljudi (Poeple)
Postoje razni sertifikati koji se dobijaju u oblasti zatite ali kod nas za najbolje od njih jo
uvek ne postoji mogunost obuke i polaganja ispita. Ovi kursevi zahtevaju ne samo
poznavanje bezbednosnih tehnika ve i iroko znanje pre svega iz oblasti raunarskih mrea.
Dobro poznavanje raunarskih mrea kao i kontrole pristupa kao jednog od njenih najvanijih
delova vano je zbog injenice da danas verovatno ne postoji ozbiljnija kompanija koja ne
koristi srazmerno svojoj veliini neki vid umreavanja bilo da se radi o lokalnoj mrei, ili
mrenoj infrastrukturi koja se nalazi na nameskim ili cloud serverima. Evo nekih od
najpoznatijih sertifikta iz oblasti raunarske bezbednosti:
CISSP
SSCP
GIAC
SCP
ICSA
Security +
CISM
Mnoge kompanije nude sertifikate za oblat informatike bezbednosti ali je najpoznatija od
njih svakako International Information Systems Security Certification Consortium (ISC) koja
je svakako svetski lider u edukaciji iz ove oblasti. Da se radi o ozbiljnim sertifikatima
dokazuje i injenica da za njihov najpoznatiji sertifikat koji se zove Certified Information
Systems Security Professional (CISSP) moe da polae samo onaj koji ima najmanje pet
godina radnog iskustva u oblasti informatike bezbednosti. Kandidat koji eli da polae za
CISSP sertifikat mora da ima irok spektar znanja iz razliitih oblasti kao to su:
Information Security and Risk Management
Access Control
Security Architecture and Design
Physical and Environmental Security
Telecommunications and Network Security
Cryptography
Business Continuity and Disaster Recovery
Legal, Regulations, Compliance, and Investigations
Application Security
Operations Security


24
Kompanija (ISC) nudi i dodatno usavravanje za pojedine oblasti posle dobijanja CISSP
sertifikata. Evo oblasti u kojima mogu da se dobiju dodatni sertifikati:
Architecture (CISSP-ISSAP)
Engineering (CISSP-ISSEP)
Management (CISSP-ISSMP)

3.4.6. Project Management
Ova komponenta koja predstavlja temeljne discipline projektnog menadmenta odnosi se na
sve elemente programa informatike bezbednosti i veoma je vana za praenje procesa
prilikom uvoenja sistema bezbednosti u neku organizaciju. Ovaj proces podrazumeva
identifikovanje i kontrolisanje sredstava koja se primenjuju na projektu, kao i merenje
napretka projekta i prilagoavanje procesa kako bi se ostvario napredak u ispunjavanju cilja.


25
4. Raunarske mree

Funkcionisanje savremenih informacionih sistema nezamislivo je bez korienja raunarskih
mrea. Ovde e pre svega biti rei o mreama unutar kompanija koje one koriste da bi lake
pristupali deljenim resursima bilo da su u pitanju fajlovi ili baze podataka. Takoe bie rei i
o OSI modelu kao i o zatiti odnosno o protokolima koji se koriste da bi se obezbedila
bezbedna komunikacija unutar mree.
Konfigurisanje i administracija raunarskih mrea je kompleksan posao koji zahteva strunost
kao i stalno usavravanje i praenje novih dostignua u ovoj oblasti. Strunjaci iz ove oblasti
su veonma cenjeni i lako mogu da nau dobro plaen posao pre svega u velikim sistemima
kao to su banke ili telekomunikacione kompanije. Dobro poznavanje mrene opreme moe
da pomogne u optimizovanju raunarske mree to se pre svega odnosi na nabavku samo one
opreme koja je korisniku zaista neophodna da bi njegova raunarska mrea mogla nesmetano
da funkcionie. Savremene kompanije bez obzira na njihovu veliinu ili finansijska sredstva
sa kojima raspolau najee koriste dve vrste mrea i to:
Lokalna raunarska mrea (LAN)
Virtualna privatna mrea (VPN)
Lokalna raunarska mrea ili LAN (engl. Local Area Network - LAN) je skup raunara koji
su povezani u jednu raunarsku mreu, na relativno malom prostoru, kao to su kancelarija,
vie kancelarija ili zgrada. Ova mrea moe da broji dva i vie raunara koji su povezani na
odreen nain. Neki periferni ureaji kao to su tampai, modemi i sl., takoe se ubrajaju u
ovu mreu. Glavna karakteristika lokalnih mrea, po emu se one razlikuju od mrea na
velikim podrujima (WAN) jeste mnogo vea brzina prenosa podataka (reda 10 do 1000
MB/sec) i nepostojanje potrebe za zakupljenim telekomunikacionim vodovima. Najei
metod povezivanja raunara u lokalnoj mrei jeste kablovima (Eternet) ili beina mrea.
Lokalna mrea moe, najee preko nekog rutera, biti povezana sa drugim mreama u veu
WAN mreu ili direktno preko provajdera na Internet.
Virtualna privatna mrea engleski Virtual Private Networking (VPN), obezbeuje mehanizme
za bezbednu komunikaciju i prenos podataka i drugih informacija kroz javnu mreu kao to je
Internet, a takoe predstavlja i jeftinu alternativu za iznajmljene telekomunikacione linije
izmeu kompanija i njihovih udaljenih organizacionih jedinica. Pored velikog broja
pogodnosti koje prua, VPN omoguava zaposlenima da mogu sa bilo koje take na svetu da
bezbedno pristupaju podacima na kompanijskim serverima na isti nain kao to to ine iz
svoje kancelarije.

4.1. OSI model

Krajem 1970-tih godina, Meunarodna organizacija za standardizaciju (Internacional
Organization for Standardization, ISO), je kreirala referntni model, Open System
Interconnection (OSI)
6
da bi raunari razliitih proizvoaa mogli da komuniciraju. OSI
model je bio namenjen da pomogne proizvoaima u kreiranju kompatabilnih mrenih
ureaja i softvera u formi protokola. OSI model opisuje kako jedna aplikacija na jednom
raunaru, kroz mreni medijum, saoptava podatke i mrene informacije aplikaciji na drugom

6
Wikipedia, OSI model, http://sr.wikipedia.org/wiki


26
raunaru. Referntni model predstavlja sve procese potrebne za uspenu komunikaciju i deli
sve procese u logike grupe slojeve. Ovako dizajniran model se naziva slojevita arhitektura.
OSI model je hijerarhijski model i treba da omogui mreama razliitih proizvoaa da rade
zajedno. Prednosti korienja OSI slojevitog modela su:
Deli komunikacione procese u mrei na manje i jednostavne komponente
Omoguava vieproizvoaki razvoj kroz standardizaciju mrenih komponenti
Omoguava razliitim vrstama mrenog hardvera i softvera da rade zajedno
Spreava da izmene na jednom sloju utiu na druge slojeve, tako da se ne ometa
razvoj
OSI model se sastoji od 7 odvojenih, ali meusobno povezanih slojeva kroz koje moraju da
prou podaci na svom putu od izvorita preko mree do odredita. ine ga sledei slojevi:
7. sloj sloj aplikacije (aplication layer)
6. sloj sloj prezentacije (presentation layer)
5. sloj sloj sesije (session layer)
4. sloj sloj transporta (transport layer)
3. sloj sloj mree (network layer)
2. sloj sloj veze (data link layer)
1. sloj fiziki sloj (physical layer)

Slika 6 OSI referentni model

OSI model ima 7 slojeva zbog toga to su se njegovi tvorci poveli za u to vreme, daleko
najveim proizvoaem raunara, firmom IBM, koja je za svoje mree koristila sedmoslojni
protokol SNA (System Network Architecture). U OSI modelu osnovna su 3 koncepta:
koncept usluge, interfejsa i koncept protokola.

27
Unutar jednog raunara svaki sloj zahteva usluge od sloja ispod sebe. Procesi (entiteti) koji se
nalaze u istom sloju, ali na razliitim raunarima nazivaju se entiteski parovi ili ravnopravni
entiteti. Entiteski parovi prividno direktno komuniciraju svaki sloj u izvorinoj stanici
prividno komunicira sa odgovarajuim slojem u odredinoj stanici. Komunikacija izmeu
entiteskih parova obavlja se pomou jednog ili vie protokola datog sloja. Protokol je skup
pravila koji upravlja nainom na koji dva entiteta razmenjuju podatke.
Virtuelna komunikacija izmeu odgovarajuih slojeva u izvorinom i u odredinom raunaru
obavlja se pomou njima odgovarajue protokolske jedinice podataka (PDU Protocol Data
Unit). U stvarnosti podaci se ne prenose direktno iz sloja N jednog raunara u sloj N drugog
ve svaki sloj alje podatke i upravljake informacije u sloj neposredno ispod sebe sve dok se
ne dostigne najnii sloj. Ispod fizikog sloja je medijum kroz koji se odvija stvarna
komunikacija. Na prijemu, pristigli podaci ulaze u fiziki sloj i sukcesivno prolaze kroz
slojeve dok ne stignu u sloj aplikacije.
J edinica podataka sloja transporta naziva se SEGMENT, sloja mree PAKET, sloja veze
RAM ili OKVIR, a jedinica fizikog sloja je BIT.

4.1.1. Sloj aplikacije
Sloj aplikacije omoguava korisniku (oveku ili programu) da pristupi mrei. Zato ovaj sloj
sadri niz protokola koji su potrebni za pruanje podrke raznovrsnim uslugama: elektronska
pota, pristup fajlovima, www, diskusione grupe, priaonica...Sloj aplikacije se ponaa kao
interfejs izmeu stvarnog aplikacionog programa, koji nije deo slojevite strukture, i sledeeg
sloja ispod, pruajui naine da aplikacija poalje informacije nanie kroz stek protokola. Npr
IE se ne nalazi unutar sloja aplikacije, ve komunicira sa protokolima sloja aplikacije.
Vano je da se razume da u OSI modelu aplikacija ima razliito znaenje od onog znaenja
koje ima u standardnoj raunarskoj terminologiji. U OSI modelu sloj aplikacije obezbeuje
servise koje koristi korisnika aplikacija. Kada se na korisnikom raunaru pokrene neka
aplikacija kao to je na primer Web pretraiva ona se stvarno ne nalazi u sloju aplikacije ve
samo koristi servise koje joj isporuuje protokol koji radi u sloju aplikacije i koji se zove
Hypertext Transfer Protocol (HTTP). Razlika izmeu Web pretraivaa i HTTP protokola je
mala, ali je ipak bitna.

4.1.2. Sloj prezentacije
Ovaj sloj se bavi sintaksom i semantikom informacija koje razmenjuju dva sistema. Ovaj sloj
je odgovoran za:
Prevoenje
ifrovanje
Kompresiju
Menjanje podataka
ifrovanje podataka
Pre prenosa, informacija se mora pretvoriti u nizove bitova. Razliiti raunari koriste razliite
sisteme kodovanja za predstavljanje alfanumerikih podataka (ASCII, UNICODE), celih
brojeva (komplement jedinice, komplement dvojke). Da bi se omoguila komunikacija
izmeu procesa koji za predstavljanje informacija koriste razliite kodove, neophodno je
obaviti prevoenje kodnog sistema koji se koristi u izvoritu u kodni sistem koji se koristi u
odreditu. To se postie na sledei nain:

28
U sloju prezentacije predajnika, informacija se iz formata koji se koristi unutar
predajnika konvertuje u neki opti format
U sloju prezentacije prijemnika obavlja se inverzna operacija: opti format se prevodi
u format koji se koristi u tom prijemniku
Kada se zahteva tajnost podataka, mora se obaviti ifrovanje podataka (data encription).
ifrovanje se obavlja u predajniku tako to on konvertuje originalnu poruku u drugaiji oblik i
tek onda je alje na mreu. Cilj kompresije je da smanji broj bitova koji se prenose, a da se
sauva prenesena informacija.

4.1.3. Sloj sesije
Termin sesija (session) oznaava period komuniciranja tj voenja dijaloga izmeu procesa
(programa). Sloj sesije ima zadatak da uspostavi, odrava i sinhronizuje komunikaciju izmeu
dva sistema. Zadaci koje sloj sesije treba da obavi su sledei:
Upravljanje dijalogom
Sinhronizacija
Sloj sesije koordinira komunikacijom izmeu dva sistema i slui da organizuje njihovu
komunikaciju tako to nudi tri razliita reima: SIMPLEKS, POLUDUPLEKS, PUNI
DUPLEKS. Ako se saobraaj u sistemu odvija u jednom smeru, sloj sesije vodi rauna o tome
ko emituje u odreenom trenutku.
Drugi zadatak sloja sesije je da u poruku unese sinhronizacione take. To su kontrolne take
koje se unose na odreenom rastojanju. Ako doe do prekida prenosa, prenos se nastavlja od
posledenje sinhronizacione take.

4.1.4. Sloj transporta
Sloj transporta je odgovoran za isporuku cele poruke s kraja na kraj veze tj od izvorita do
odredita. Osnovni zadatak sloja transporta je da:
Prihvata podatke iz sloja sesije
Podeli ih, ako treba na manje jedinice
Propusti ih u sloj mree
Osigura da svi delovi poruke stignu na drugi kraj
U sloju transporta se obavlja sledee:
SAP adresovanje adresovanje taaka pristupa uslugama ili adresovanje portova; dok
sloj mree dovodi svaki paket u odredini raunar, sloj transporta dovodi celu poruku
u odredini raunar
Rastavljanje (segmentacija) i ponovno sastavljanje: poruka se deli na segmente koji se
mogu preneti i svakom segmentu se dodeljuje redni broj kako bi sloj transporta u
odreditu mogao da prispele pakete identifikuje i sloi po ispravnom rasporedu,
zamenjujui pakete koji su se tokom prenosa zagubili njihovim ponovo poslatim
kopijama
Upravljanje konekcijom: sloj transporta moe da bude konekciono orijentisan
(connection-oriented) ili beskonekcioni (connectionless)
Upravljanje protokom
Kontrola greaka


29
4.1.5. Sloj mree
Sloj mree nadzire isporuku paketa, a sloj transporta nadzire isporuku cele poruke. Sloj mree
je neophodan ako su dve stanice koje se nalaze u razliitim mreama koje su povezane
ureajima koji se nazivaju ruteri. On je odgovoran za:
Logiko adresiranje: fiziko adresiranje (koje se obavlja u sloju veze) dovoljno je kada
se raunari nalaze u istoj mrei, u protivnom sloj mree unosi u zaglavlje paketa
logike adrese izvorita i odredita
Odreivanje putanje odnosno rutiranje
Kontrola zaguenja

4.1.6. Sloje veze
Ovaj sloj je zaduen za:
Formiranje ramova: na otpremi dodaje paketu pristiglom iz sloja mree zaglavlje i rep
Fiziko adresovanje: u zaglavlje rama unosi fiziku adresu predajnika i fiziku adresu
prijemnika
Upravljanje protokom: ako je brzina kojom prijemnik prihvata podatke manja od
brzine kojom predajnik alje podatke, sloj veze aktivira mehanizam za upravljanje
protokom kako bi se spreilo da brzi predajnik zagui spori prijemnik
Kontrolu greaka: pomou informacija u repu rama, omoguava otkrivanje greaka
Upravljanje pristupa medijumu

4.1.7. Fiziki sloj
U fizikom sloju se ram podataka koji stie iz sloja veze konvertuje u nestruktuiran niz
bitova. Zbog toga se fiziki sloj bavi mehanikim i elektrinim specifikacijama interfejsa i
medijuma za prenos i definie postupke i funkcije koje fiziki ureaji i interfejsi moraju da
obavljaju tokom prenosa. Zadaci fizokog sloja su:
Mehanika pitanja vezana za pristup medijumu
Elektrina pitanja vezana za pristup medijumu
Proceduralna pitanja vezana za pristup medijumu
Fiziki sloj je zaduen za:
Definisanje karakteristika interfejsa izmeu ureaja (raunara) i medijuma za prenos
Definisanje vrste medijuma za prenos
Predstavljanje bitova pomou elektrinih ili optikih signala
Odreivanje trajanja bita tj brzina emitovanja
Vremensku sinhronozaciju tj sinhronizaciju predajnika i prijemnika na nivou bita
Definisanje smera prenosa (simpleks, poludupleks, dupleks)
Nain umreavanja raunara: da li se radi o topologiji u obliku magistrale, zvezde,
prstena ili svako sa svakim.

4.2. IPsec bezbednosni protokol

IPSec (Internet Protocol Security) je definisan RFC-ovima 4301 i 4309. Protokol radi
mrenom sloju i implementiran je u verziji IPv6 protokola. IETF je formirao IP Security

30
(IPSEC) radnu grupu iji je zadatak da definie standarde za VPN oblast. Ova radna grupa
definisala je sledee standarde:
definisana su dva protokola zatienog prenosa Authentication Header (AH) i
Encapsulating Security Payload (EPS)
definisan nain komunikacije uvoenjem pojma Security Associations (SA)
definisan je nain razmene kljueva posredstvom Interneta, Internet Key Exchange (IKE)
Iako ovaj protokol sve vie preputa svoje mesto znatno fleksibilnojem SSL protokolu veliki
broj kompanija jo uvek ga koristi za obezbeivanje sigurne komunikacije. On se najee
koristi u klasinim VPN mreama gde se na dve lokacije nalze specijalizovani mreni ureaji
izmeu kojih se uspostavlja IPsec konekcija. IPsec protokol podrava dva naina rada:
Transport mode
Tunnel mode

4.2.1. Tunelovanje
Tunelovanje je najvanija komponenta tehnologije virtuelnih privatnih mrea koje su
zasnovane na IPsec protokolu i predstavlja prenos paketa podataka namenjenih privatnoj
mrei preko javne mree. Ruteri javne mree nisu svesni da prenose pakete koji pripadaju
privatnoj mrei i VPN pakete tretiraju kao deo normalnog saobraaja.
Tunelovanje ili enkapsulacija je metod pri kome se koristi infrastruktura jednog protokola za
prenos paketa podataka drugog protokola. Umesto da se alju originalni paketi, oni su
enkapsulirani dodatnim zaglavljem. Dodatno zaglavlje sadri informacije potrebne za
rutiranje, odnosno usmeravanje paketa kroz mreu, tako da novodobijeni paket moe
slobodno putovati transportnom mreom.
Tunel predstavlja logiku putanju paketa kojom se on rutira preko mree. Enkapsulirani
podaci su rutirani transportnom mreom sa jednog kraja tunela na drugi. Pojam tunel uvodi se
jer su podaci koju putuju tunelom razumljivi samo onima koji se nalaze na njegovom
izvoritu i odreditu. Ovi paketi se na mrei rutiraju kao svi ostali paketi.
Poetak i kraj tunela nalaze se u VPN mreama. Kada enkapsulirani paket stigne na odredite
vri se deenkapsulacija i prosleivanje na konano odredite. Ceo proces enkapsulacije,
transporta i deenkapsulacije paketa naziva se tunelovanje. Tehnologija tunelovanja koristi tri
vrste protokola:
Protokol nosa
ovi protokoli slue za rutiranje paketa po mrei ka njihovom odreditu. Tunelovani
paketi imaju enkapsulaciju ovih protokola. Za rutiranje paketa po Internetu koristi se
IP protokol.
Protokol za enkapsulaciju
ovi protokoli slue za enkapsulaciju originalnih podataka, i koriste se za stvaranje,
odravanje i zatvaranje tunela. Najee korieni su PPTP i L2TP protokoli.
Transportni protokol
enkapsulira originalne podatke za transport kroz tunel. Najpoznatiji su PPP i SLIP
protokol.

4.2.2. Transportni mod
Transportni mod (engl. Transport Mode)
Osnovne karakteristike transpornog moda su:
ifruje se samo korisniki deo IP datagrama

31
ne menja se duina IP datagrama
zadrava se originalno IP zaglavlje to omoguava da se vidi ko su partneri u
komunikaciji

4.2.3. Tunelski mod
Tunelski mod (engl. Tunnel Mode)
Osnovne karakteristike tunelskog moda su:
Zajedno sa korisnikim delom IP datagrama ifruje se i originalno IP zaglavlje
Dodaje se novo spoljno IP zaglavlje sa adresamom sledeeg ureaja u mrei gde paket
treba da stigne
to se tie IPsec protokola treba jo rei da je tunelski mod znatno bezbedniji od transpornog
moda. IPsec protokol se i dalje veoma esto koristi za prenos zatienih podataka tamo gde
nije neophodno da se za prebacivanje podataka sa jedne lokacije na drugu koristi Web
pretraiva.

4.3. SSL protokol za zatitu virtualne privatne mree

Nmen SSL protokol
7
je d obezbedi sigurnu (ztienu) vezu izmeu dva raunara
koristei usluge trnsportnog TCP sloj. SSL protokol se sstoji iz vie nivo ko to je
prikzno n slici

Slika 7 SSL protokol stek

SSL Rekord protokol (Record Protocol) se brine o ifrovnjudeifrovnju informcij koje
se prenose i tu uslugu pru viim slojevim. U prksi to je obino HTTP (engl. Hypertext
Transfer Protocol) preko koga Web iti i serveri rzmenjuju podtke. Tri vi protokol:
Protokol z dogovrnje odnosno uspostvljnje veze (Handshake Protocol), protokol z
promenu klju (Change Cipher Spec Protocol), i protokol z upozorenje (Alert Protocol)
slue z uspostvljnje veze, prelzk u reim ifrovnj simetrinim kljuem i ndglednje
veze.

7
Spec.App eljko Peki, SSL bezbjednost transportnog sloja, Univerzitet Mediteran, 2009.
S SS SL L
H Ha an nd ds sh ha ak ke e
P Pr ro ot to oc co ol l
S SS SL L C Ch ha an ng ge e
C Ci ip ph he er r S Sp pe ec c
S SS SL L A Al le er rt t

H HT TT TP P

S SS SL L R Re ec co or rd d P Pr ro ot to oc co ol l

T TC CP P

32
4.3.1. SSL rekord protokol (SSL Record Protocol)
SSL rekord protokol n predjnoj strni prihvt podtke od plikcijskog sloj, vri njihovu
frgmentciju u blokove, opciono komprimuje podtke, dodje utentifikciju (MAC -
message authentication code), ifruje podtke, dodje zglvlje i predje TCP sloju rdi
slnj. N prijemnoj strni podci se preuzimju od TCP sloj, deifruju, izrunv se i
poredi MAC rdi provere verodostojnosti, vri dekompresij podtk, defrgmentcij i n
krju podci se predju plikcijskom nivou.
Aplikcijski podci se dele n blokove ne vee od 2^14 (16384) bjtov. Kompresij se
opciono sprovodi i mor biti bez gubitk. Nd kombincijom komprimovnih podtk,
prmetrim kompresije i simetrinog MAC klju izrunv se saetak poruke po lgoritmu
MD5 ili SHA-1 i tko osigurv utentinost poruke.
Komprimovni podci i MAC se ztim ifruju dogovorenim lgoritmom z ifrovnje
simetrinim kljuem.

o Kompresija

Slika 8 SSL rekord protokol

4.3.2. Protokol za uspostavljanje sigurne veze (Handshake Protocol)
Njsloeniji deo SSL-a je Handshake Protocol. Ovj protokol omoguv: proveru identitet
klijent i server, pregovrnje oko upotrebe lgoritm z ifrovnje i izrunvnje setk
poruke i rzmenu kljuev. Koristi se u fzi uspostvljnj konekcije pre bilo kkve rzmene
podtk iz sloja aplikacije. Handshake Protocol se sstoji od niz poruk koje se rzmenjuju
izmeu klijent i server.
Uspostvljnje veze izmeu klijent i server odvij se rzmenom poruk i moe se podeliti u
etiri fze:
Prva faza- Postavljanje parametara veze
Druga faza- Autentifikacija servera i razmena kljueva
Trea faza- Autentifikacija klijenta i razmena kljueva
H
MAC
P Po od da ac ci i
F Fr ra ag gm me en nt ta ac ci ij ja a
K Ko om mp pr re es si ij ja a
A Au ut te en nt ti if fi ik ka ac ci ij ja a
i if fr ro ov va an nj je e
D Do od da av va an nj je e
z za ag gl la av vl lj ja a

33
etvrta faza- Zavretak uspostavljanja sigurne veze

4.3.3. Protokol za promenu kljua (Change Cipher Spec)
Ovj protokol sstoji se od jedne poruke veliine jednog bjt i njime predjn strn
obvetv prijemnu strnu d prelzi n reim ifrovnj podtk simetrinim kljuem.

4.3.4. Protokol za upozorenja (Alert messages)
Alert Protocol se koristi z dostvljnje SSL upozorenj do uesnik u komunikciji. Svk
poruk sstoji se iz dv bjt. Prvi bjt moe d im vrednost warning (1) ili fatal (2), ko je
vrednost fatal konekcij se trenutno rskid. Drugi bjt sdri kod upozorenj. Kada je
otkrivena greka, strana koja je otkrila greku alje poruku drugoj strani. U trenutku slanja i
primanja takve poruke, obe strane zatvaraju sesiju (vezu). Server i klijent su u tom sluaju
duni da zaborave bilo kakve podatke o sesiji, identifikatore sesije, kljueve i ostale tajne koje
su vezane uz sesiju.


34

5. Organizacija savremenih raunarskih mrea

Tokom istraivanja vezanih za ovaj rad situacija u domenu informacionih tehnologij, a
naroito u domenu raunarskih mrea radikalno se izmenila. Pored nekih drugih faktora koji
su tome doprineli, a o kojima e biti vie rei kasnije ovde e biti reeno neto o korisnicima
savremenih raunarskih mrea. Veliki broj mrenih administratora ne primeuje ili ignorie
injenicu da je sve vei broj korisnika raunara tehniki veoma napredovao. Tome je znatno
doprinela ekspanzija mobilnih ureaja pre svega mobolnih telefona i laptop raunara.
Sve ee se deava da korisnici trae od administratora vea prava nad svojim radnim
stanicama koje se nalaze u lokalnoj mrei. Ovi korisnici obino ne ugroavaju bezbednost
mree ve to po pravilu ine oni korisnici koji su pod potpunom kontrolom administratora.
Problem je u tome to administratori ne mogu da ogranie ovim korisnicima nesmetano
korienje Interneta koji im je sve vie neohodan pa oni zbog svog neznanja esto imaju
problem. Zbog toga reenje i nije u krutim polisama koje nameu administratori i koje
korisnika spreavaju da normalno koristi svoj raunar ve u tome da se korisnik edukuje da bi
dobio svest o tome ta sme, a ta ne sme da radi.

5.1. Lokalna mrena infrastruktura

Kada se danas razmilja o konfigurisanju lokalne mree u nekoj kompaniji moraju se imati u
vidu nove tendencije razvoja IT sistema. Sve pristupaniji namenski serveri kao i ubrzani
razvoj Cloud comptinga dovode do toga da se kompanije sve ee odluuju da svoje podatke
kao i aplikacije pa ak i infrastrukturu izmeste izvan svoje lokalne mree. Najvei broj
lokalnih mrea koje se danas nalaze u kompanijama koristi se pre svega za razmenu fajlova,
deljenje tampaa i izlaz na Internet. Sve ree, lokalne mree se koriste za mail servis, dok se
najmanje koriste za rad sa aplikacijama. U bankama i velikim korporacijama situacija je neto
drugaija ali ovde je re o mreama u manjim kompanijama. Iako se radi o kompanijama koje
se bave razliitim delatnostima nain iskorienja mrenih resursa, a pre svega servera je
skoro identian.
Kada se pojavio Windows 2008 operativni sistem koji zahteva mnogo moniji hardver od
onoga na kome moe da radi Windows 2003 rukovodei ljudi u kompanijama poeli su da
razmiljaju o novoj opremi. Da ne bude zabune, Windows 2008 u standardnoj verziji moe da
radi i na serverima slabijih performansi ali takvi serveri ne mogu da se koriste za neki
ozbiljniji rad. Neophodno je da kompanije moraju da imaju realnu sliku o uposlenosti
kapaciteta svoje raunarske mree, a naroito servera koji se u njoj nalaze. Ovo je vano zbog
toga to bi ukoliko dobro procene situaciju u budunosti mogli da koriste alternativna reenja
uz znatno smanjenje trokova.
Kao to je ve reeno u veini raunarskih mrea u manjim kompanijama Windows serveri se
uglavnom koriste kao fajl serveri. injenica je da je novi namenski hardver koji se sve vie
koristi mnogo jednostavniji za konfigurisanje. Ovde se pre svega misli na Natwork Attach
Server (NAS) server ureaj koji u potpunosti moe da zameni Windows fajl server. to se tie
mrenih funkcija njih moe uspeno da obavlja bilo koji ruter ak i efikasnije nego sam
Windows server. Stalno usavravanje i pojednostavljivanje ovakvih ureaja dovelo je do toga

35
da i zaposleni u kompaniji koji imaju osnovno tehniko znanje mogu da konfiguriu ove
ureaje posle krae obuke.
Sve pristupaniji namenski i cloud serveri dovode do toga da se sve vie kompanija odluuje
da svoje servise izmesti iz lokalne mree. Kada izmeste svoje podatke i aplikacije postavlja se
pitanje za ta e onda lokalna mrea da slui. Da li je u takvoj mrei uopte potreban
Windows server ija kompletna konfiguracija i kasnije odravanje nisu ni malo jeftini.
Meutim lokalne raunarske mree u budunosti e i dalje postojati ali njihova uloga i
organizacija mogli bi da budu bitno drugaiji.
Pregled trokova koji se javljaju prilikom korienja lokalne mree, na koje mali broj
kompanija obraa panju ve po inerciji izdvaja novac za njih, pokazuju da lokalna mrea
moe da bude znatno jeftinija i efikasnija. Kada se uporede trokovi za hardver, odnosno
trokovi za nabavku servera sa jedne ili nabavku NAS servera i rutera za mrenu
komunikaciju koji predstavljaju njegovu alternativu sa druge strane oni ne treba da budu
jedini argument za izbor bilo koje od ove dve opcije. Najvei problem je u tome to odgovorni
ljudi u kompanijama prilikom nabavke hardvera uopte ne razmiljaju o dodatnim trokovima
koje e imati da bi takav hardver uopte mogli da puste u rad. Ukoliko neka kompanija eli da
koristi server u svojoj lokalnoj mrei njeno rukovodstvo mora da bude svesno da e pored
novca koji je neophodan za kupovinu samog servera biti neophodno da se izdvoji novac i za
sledee trokove:
Trokovi nabavke operativnog sistema ukoliko je u pitanju Windows
Trokovi licenciranja ukoliko je u pitanju Windows
Trokovi instalacije
Trokovi odravanja
Kod korienja namenskih ureaja potrebno je platiti jedino trokove instalacije i
konfigurisanja dok permanentno odravanje kao u sluaju Windows servera nije neophodno.
Kao to je ve reeno, tendencije u savremenom poslovanju potpuno e promeniti izgled i
konfiguraciju lokalne mree. Kada se razmilja o trokovima za ulaganje u raunarsku mreu
svako treba imati u vidu i to za ta e se ona u budunosti koristiti.

5.1.1. Nova organizacija lokalne mree
Reenje za lokalnu mreu jeste to da bi ona mogla da slui za backup podataka ali da bude
tako konfigurisana da u sluaju da Internet iz bilo kog razloga nije dostupan korisnici koji se
nalaze u lokalnoj mrei mogu nesmetano da nastave da rade. Naravno, lokalna mrea bi
mogla da se koristi i za svoju prvobitnu namenu odnosno za razmenu fajlova ali sa neto
drugaijom opremom i nainom organzacije.
Za potrebe razmene fajlova u novoj organizaciji lokalne mree Windows File server moe da
ima ozbilnju alternativu u namenskom ureaju koji se zove Natwork Attach Server (NAS) ali
pre toga evo nekoliko predloga kako bi File sistem neke kompanije mogao da bude
organizovan:
U kompaniji bi mogao da se koristi kao backup file server za file server koji se nalazi
na namenskim ili cloud serverima
Kao klasini fajl server u loklnoj mrei ali da se umesto Windows servera koristi NAS
server
Na nekim NAS serverima koji imaju podrku za PHP i MySql mogao bi da se instalira
i Document Management System (DMS)

36
Natwork Attach Server ili skraeno NAS server je raunar za uvanje podataka na nivou
fajlova koji je povezan sa raunarskom mreom koja omoguava pristup podacima
heterogenim klijentima. Od 2002. godine ovi ureaji su poeli da dobijaju na popularnosti,
kao zgodan nain za razmenu fajlova izmeu vie raunara. Potencijalne koristi od ureaja za
uvanje koji je povezan na mreu, u poreenju sa fajl serverima, ukljuuju bri pristup
podacima, laku administraciju i jednostavnu konfiguraciju.
NAS serveri sadre jedan ili vie hard diskova koji su esto poreani u logine, redundantne
kontejnere za uvanje ili RAID nizove. Iako tehniki moe biti mogue pokrenuti druge
softvere na NAS serveru, on nije napravljen da bude server za optu upotrebu. Na primer,
NAS serveri obino nemaju tastaturu i monitor, a kontroliu se i konfiguriu preko mree a za
to se koristi Web pretraiva.
Kao operativni sistem na NAS serverima koristi se neko od Linux based reenja koji je ve
instaliran na ureaj pa korisnik o tome ne mora da brine kao u sluaju Windows servera. NAS
server podrava hard diskove velikog kapaciteta od 1TB i moe se proiriti na 2TB uz pomo
ultra brzog eSATA i USB 2.0 porta. Sa svojim dizajnom koji ne pravi buku i izvanrednom
tehnologijom za rasipanje toplote prestavljaju odlino reenje za svaku lokalnu mreu. NAS
serveri imaju jednostavan interfejs za upravljanje grupnim polisama korisnika, a neki od njih
su i printer serveri to ide u prilog tvrdnji da Domen kontroler i aktivni direktorijum vie nisu
neophodni u lokalnoj mrei.
Kada je re o NAS serverima kao jedna od njihovih karakteristika pominje se uloga printer
servera. Pored ovog reenja na tritu postoje i jeftini namenski ureaji koji su specijalizovani
samo za ovu funkciju. Takoe ukoliko u kompaniji postoji potreba za deljenim tampaima
oni jednostavno mogu da se zakae na mreu, a drajveri za njih mogu da se instaliraju na
lokalnu radnu stanicu.
Proizvodnaja mrenih ureaja je u velikoj ekspanziji to je dovelo do toga da se prave sve
pouzdaniji vienamenski ureaji ija je glavna karakteristika pored sve pristupanije cene i
lakoa konfigurisanja. Preko ovih ureaja mnogo jednostavnije moe da se konfigurie DNS i
DHCP, kao i neke funkcije rutiranja koje mogu da optimizuju rad lokalne mree. Ukoliko se
ovome dodaju i NAT funkcija VPN funkcija kao i funkcije firewall-a jasno je da ovakvi
ureaji mogu u potpunosti da zamene slina podeavanja na Windows serverima.
Sve vei broj beinih rutera koji se koriste u kunim uslovima ili u manjim kancelarijama
dokazuje tvrdnju da su savremeni mreni ureaji jednostavni za korienje i da ih ak moe
konfigurisati i korisnik koji nema neko specijalno tehniko znanje. Naravno za
komplikovanija podeavanja potrebno je potraiti pomo strunjaka kojih je sve vie s
obzirom na injenicu da su kursevi za rukovanje mrenom opremom sve pristupaniji i sve
popularniji.
Takoe, treba naglasiti i to da se u veini lokalnih mrea koje su bile zasnovane na Windows
serverima bezbednosti tih mrea poklanjalo vrlo malo panje. Ovo se pre svega deavalo zbog
injenice da je lokalna mrea sa Microsoft serverom po definiciji morla da ima i Microsoft
reenje za bezbednost. Ovo je zahtevalo investiranje u novi hardver za ta korisnici naroito u
manjim mreama nisu bili spremni. Meutim ovaj problem bi mogao da bude prevazien
korienjem sve polpularnijeg vienamenskog hardvera koji se naziva SSL VPN ureaj.
Posmatrajui odnos cene i performansi ovakvi ureaji mogu da zadovolje potrebe za
bezbednou raunarske mree bilo koje veline.
Kao to je ve reeno na tritu postoji sve vei broj kvalitetnih mrenih ureaja, tako je
primetan i porast ponude specijalizovanih UTM ureaja koji se koriste za zatitu lokalne
mree. Ovakvi ureaji mogu da se podese za razne funkcije, a korisniki interfejs je pregledan

37
i jednostavan za upotrebu. Posebna pogodnost je i to to se uz kupovinu ovakvih ureaja
dobijaju i licence za antivirus programe na lokalnim radnim stanicama. S obzirom na veliku
konkurenciju cena ovakvih ureaja je sve prstupanija i korisnicima koji imaju skromnije
budete predviene za zatitu.

Slika 9 Namenski ureaj za anti virusnu zatitu u lokalnoj mrei

5.2. Virtualne privatne mree

Kao to je ve reeno organizacija zatite nee biti opisna samo teorijski ve e se njena
praktina implementacija prikazati kroz upotrebu u virtualnim privatnim mreama. Sve vei
broj kompanija bez ozira na njihovu veliinu koristi virtualnu privatnu mreu kao odgovor na
izazove koje pred njih postvlja savremen nain poslovanja.
Treba napomenuti da VPN ne moe da ukloni sve rizike koji postoje na mrei ali znatno moe
da ih smanji naroito u komunikaciji koja se odvija preko javne mree. Jedan od moguih
problema je i komplikovana implementacija to se naroito odnosi na tradicionalno reenje
zasnovano na IPsec protokolu. Znatno jednostavnije reenje je implementacija preko SSL
VPN-a, novog naina na koji se konfiguriu virtualne privatne mree. U osnovi ove vrste
VPN-a je SSL protokol ija je najvea prednost u tome to obezbeuje korisnicima da
koristei samo Web pretraiva, bez dodatnih komponenti instaliranih na klijentskoj strani
kao to to zahteva IPsec protokol, mogu nesmetano da pristupaju mrenim servisima.
Kada planira uvoenje virtualne privatne mree u svoju informatiku infrastrukturu bilo bi
dobro da se svaka kompanija odlui za tip VPN koji najvie odgovara nainu na koji je

38
organizovano njeno poslovanje. Planiranje i pravilan izbor nekog od postojeih tipova VPN-a
veoma je vaan jer pogrena procena, bilo kompanije koja kupuje ili kompanije koja prodaje
ovu uslugu, mogla bi kasnije da dovede do ozbilnjih problema u poslovanju.
Treba razmotriti pre svega koliko kompanija ima udaljenih kancelarija eng. branch office, kao
i koliko ljudi je u njima zaposleno. Takoe treba uzeti u obzir koliko esto su zaposleni na
putu eng. teleworker dakle izvan lokalne mree i bez mogunosti da koriste njene resurse. Na
bazi ovih procena moe se konstatovati da postoje dve osnovne vrste virtualnih privatnih
mrea koje u literaturi imaju razliite nazive ali je ovde koriena sledea terminologija:
LAN-to-LAN virtualne privatne mree (koje se negde nazivaju i host-to-host)
Remote access virtualne privatne mree (koje se negde nazivaju user-to-host)
Svaki od ovih tipova virtualnih privatnih mrea ima svoje prednosti nedostatke, a kompanija
treba kao to je ve reeno da se odlui za onu koja e se najbolje uklopiti u njeno poslovanje.
Takoe treba istai da se u zavisnosti od tipa virtualne privatne mree razlikuje i organizacija
i tehnologije koje se koriste za zatitu.

5.2.1. LAN-to-LAN virtualne privatne mree
Kada se kae virtualna privatna mrea prvo na ta se pomisli jeste povezivanje vie udaljenih
kancelarija jedne kompanije u jedinstvenu logiku celinu. Inicijalna ideja za razvojem
virtualnih privatnih mrea je i nastala iz ove potrebe. Korisnici u udaljenim kancelarijama su
na ovaj nain dobili mogunost da bezbedno pristupaju deljenim fajlovima i drugim mrenim
resursima kompanije, imajui pri tom utisak da su lokalni korisnici. Raunar koji na ovaj
nain pristupa lokalnoj mrei dobija IP adrsu iz opsega te mree i tretira se kao bilo koja
lokalna radna stanica.
Najvei problem ove vrste virtualne privatne mree je cena. Kompanija mora u svakoj od
udaljenih kancelarija da ima specijalizovan hardverski ureaj koji e udaljenu kancelariju
povezati sa VPN koncetratorom u seditu kompanije. Ukoliko u udaljenoj kancelariji postoji
veliki broj zaposlenih onda se ova investicija isplati. Meutim ukoliko u udaljenoj kancelariji
sedi samo nekoliko ljudi ovo reenje je previe skupo. U tom sluaju treba razmotriti
mogunost da zaposleni u udaljenoj kancelariji budu tretirani kao zaposleni na terenu to je
mogue s obzirom na savremenu i jeftinu mrenu opremu i nove mogunosti za povezivanje
na Internet.
Ovakva vrsta Virtualnih privatnih mrea zasnovana je iskljuivo na IPsec protokolu. U
velikim kompanijama ovakva vrsta povezivanja udaljenih lokacija imae svoju primenu i u
budunosti jer se zbog srazmerno velikog broja korisnika ulaganje u opremu na ovim
lokacijama isplati. Meutim, ova vrsta virtualnih privatnih mrea ne moe da zadovolji
narastajue potrebe kompanija da na svoju raunarsku mreu dozvole pristup korisnicima koji
se iz bilo kog razloga nalaze izvan kompanije.

5.2.2. Remote access virtualne privatne mree
Prevazilaenje problema sa pristupom udaljenih korisnika ponueno je korienje remote
access virtualnih privatnih mrea. Ovu vrstu pristupa virtualnoj privatnoj mrei u zavisnosti
od tehnologije koja se koristi moemo da podelimo u dve grupe:
Virtualna privatna mrea zasnovana na IPsec protokolu
Virtualna privatna mrea zasnovana na SSL VPN-u


39
Pored toga to su ova dva protokola prilino razlikuju po svojoj strukturi ono to je nesporno
jeste da je komunikacija preko oba protokola veoma sigurna Glavni nedostatak IPsec
protokola je to to on ne moe da se koristi kroz Web pretraiva bez koga e pristupanje
podacima bilo da su u pitanju fajlovi ili baze podataka u bliskoj budunosti biti nezamislivo.
Savremeno poslovanje naroito kod kompanija koje imaju globalni biznis i iji su zaposleni
esto na terenu dovelo je do potrebe za pojedinanim pristupom lokalnoj raunarskoj mrei.
Obe spomenute tehnologije omoguavaju udaljenim pojedinanim korisnicima da pristupaju
lokalnoj mrei svoje kompanije. Da bi se nekom korisniku obezbedio udaljen pristup preko
IPsec protokola on na svom raunaru mora da ima instaliran VPN klijent o ijim nedostatcima
je ve bilo rei.
SSL VPN tehnologija odnosno SSL protokol koji je njen glavni deo reava problem sa
udaljenim klijentskim raunarom na mnogo efikasniji nain. Lokalnoj mrei kompanije ne
pristupa se vie uz pomo VPN klijenta ve preko bilo kog Web pretraivaa koga svaki
klijentski raunar ve ima instaliranog. Ukoliko se autentifikacija vri smart karticom ili
tokenom na klijentskom raunaru mora da se instalira plag-in ali je ta instalacija mnogo
jednostavnija nego kada je u pitanju VPN klijent.
Sve vei broj kompanija se specijalizuje u oblasti SSL VPN tehnologija, tako da na tritu
sada postoji veliki broj kvalitetnih reenja koja mogu da zadovolje potrebe bilo kog korisnika
bez obzira na veliinu kompanije kao i na finansijska sredstva koja je spremna da uloi u
zatitu. Ovakva ekspanzija dovela je do znaajnog pada cena hardverskih i softverskih
komponenti koje se koriste u SSL VPN tehnologiji. O SSL VPN tehnologiji bie rei kasnije
u posebnom poglavlju koje govori samo o tome.
Na kraju treba rei da SSL VPN pristup virtualnoj privatnoj mrei i znatno smanjuje trokove
nabavke i implementacije potrebne opreme u odnosu na pristup preko IPsec protokola, a
njegove najvee prednosti su u tome to prati savremene trendove poslovanja i to se pokazao
kao znatno pouzdaniji u radu.


40

6. Mrena infrastruktura izmetena kod provajdera

Kao to je reeno savremene tendencije u oblasti informacionih tehnologija odnose se na
izmetanje informatike infrastrukture iz kompanija i njihovo hostovanje kod za tu svrhu
specijalizovanih provajdera. Velike kompanije koje proizvode raunarski hardver ponovo se
okreu mainframe raunarima kao reenju koje je pouzdanije, monije, a kada se sagledaju svi
trokovi i jeftinije. Takoe treba napomenuti da provajderi sve vie pribegavaju virtuelizaciji
to im uveava resurse i omoguava da racionalnije prodaju svoje servise. Korisnik sada moe
da zakupi od provajdera samo onoliko procesorske snage, memorije ili prostora na hard disku
koliko mu je u tom trenutku zaista neophodno to neminovno dovodi do smanjneja njegovih
trokova.
Provajderi svoju opremu smetaju u data centre koji zadovoljavaju sve potrebne uslove za
nesmetan rad brojnih servera koji se u njima nalaze. Propisna temperatura, vlanost vazduha,
uvek dostupna tehnika podrka, a pre svega fizika bezbednost su glavne prednosti koje
korisnicima pruaju data centri. Ovakve karakteristike data cenara omoguavaju praktino
neprekidnu dostupnost servisa koji se u njima hostuju. Kada se tome doda da veliki provajderi
imaju i po nekoliko lokacija na kojima imaju redudantne podatke jasno je da postoji mala
verovatnoa da neki servis ne bude dostupan ba onda kada je to kompaniji neophodno. Kada
se radi o dostupnosti servisima treba rei da ona ne zavisi samo od obezbeivanja rezervnih
lokacija i redudantne raunarske opreme koja se na njima nalaze. Podjednako vano je da
provajderi imaju stune i osposobljene ljude za Contingency planning (CP) o kome je bilo ve
bilo rei u poglavlju o Organizaciji i upravljanju zatitom, a koji se sastoji od sledeih
komponenti:
Incident response planning (IRP)
Disaster recovery planning (DRP)
Business continuity planning (BCP)
Sve tri komponente su veoma vaan inilac koji obezbeuje nesmetano funkcionisanje
sistema to korisniku prua konfor ije pozadine on esto nije ni svestan. J asno je da
obezbeivanje ovakvih uslova zahteva postojanje najmanje jo jedne lokacije koja ima
opremu kao i sve druge uslove kao i primarna lokacija. Alternativna lokacija mora da
zadovoljava odreene uslove, a najvaniji od njih jeste da od primarne lokacije bude udaljena
odreeni broj kilometara. Ovakve i sline uslove svakako ne moe da obezbedi veliki broj
kompanija koje imaju potrebu da se njihovo poslovanje odvija neprekidno. I kod nas je sve
vie provajdera koji mogu da ponude ovakvu vrstu usluga, a to je najvanije njihova cena je
sve pristupanija ak i za manje kompanije.
Kada je re o opremi teko je zamisliti da jedna kompanija prosene veliine moe da se
utrkuje sa velikim provajderima u neprekidnom investiranju u svoje hardverske pa i
softverske kapacitete. Postoji ak mogunost da kompanija instalira svoj hardver kod
provajdera to se naziva colocated servis, ali zbog svoje visoke cene on ovde nee biti
detaljnije razmartan. Zbog toga je znatno jeftinije i za kopaniju isplativije iznajmljivanje
opreme koja je vlasnitvo provajdera. Do sada su se najee iznajmljivali namenski serveri
ali sve vie provajdera nudi iznajmljivanje virtualizovanih servera odnosno Clud computing.
Kod provajdera se pre svega mogu hostovati podaci, ali je sve izraeniji trend da se od

41
provajdera iznajmljuju i razne vrste specijalizovanih servisa koji dodatno poboljavaju
poslovanje kompanija.
Kao to je ve reeno najvei problem za provajdera, kao i za kompaniju koja usluge
provajdera nudi krajnjem korisniku, jeste u tome da ubedi krajnjeg korisnika da su njegovi
podaci bezbedni. Ako se poe od predpostavke da se ovakvi provajderi uglavnom nalaze u
Americi i da oni najvei i najpoznatiji svakako ispunjavaju rigorozne bezbednosne standarde
koje na neki nain i sami diktiraju, u ovom poglavlju e vie biti rei o bezbednoj
komunikaciji izmeu klijenata i udaljenih servera. Bezbednost ove komunikacije samo
delimeino zavisi od provajdera ali u mnogo veoj meri zavisi od reenja koje nude
kompanije koje servise provajdera nude krajnjim korisncima. S obzirom da je o bezbednosti
informacionih sistema poelo da se ozbiljnije razmilja tek od nedavno, evidentan je
nedostatak pre svega konsultantskog kadra za primenu bezbednosti u realnom okruenju.
Neki konkretni predlozi za reenje ovog problema bie detaljnije opisani u poglavlju Zatita
kao servis.

6.1. Namenski serveri

Namenski serveri su raunari koje korisnik moe da iznajmi od provajdera za potrebe svog
poslovanja. Kada se iznajmljuju namenski serveri korisnik tano zna kakav e hardver dobiti
za novac koji je uloio. Ovo i jeste najozubiljnija prednost namenskih server u odnosu na
Cloud computing. Korisnik sam podeava servere poev od instalacije i konfigurisanja
operativnog sistema pa sve do istaliranja neophodnih aplikacija. Serveri se zakupljluju u
celosti tako da nema deljenja resursa sa drugim korisnicima to je takoe ozbiljna prednost
namenskih servera. Ako govorimo o nedostatcima onda bi to pored visoke cene svakako bio i
problem koji korisnik moe da ima ukoliko ima potrebe za neim to se naziva high
availability. ak i usluaju da se iznajmi backup server to dodatno poveava trokove, za
prelazak na novi server u sluaju otkazivanja potrebno je neko vreme.
Namenski serveri iako veoma skupi imaju svoje kupce, mada se korisnici naroito oni sa
manjim obimom poslovanja sve vie odluuju za Cloud computing, kao jeftiniji i fleksibilniji
servis.

6.2. Cloud computing

Osnovna mana namenskih servera je neracionalno korienje hardverskih resursa. Dok kod
namenskih servera korisnik iznajmljuje ceo hardver iako mu to u sutini nije potrebno Cloud
computing podrazumeva zakupljivanje samo onoliko resursa koliko je korisniku zaista
potrebno. Tako se moe zakupiti samo deo procesorke snage, deo memorije ili deo prostora za
skladitenje podataka. Ukoliko u toku poslovne godine doe do poveanog obima poslovanja
korisnik nesmetano moe da iznajmi nove resurse i tako zadovolji svoje novonastale potrebe.
Kada se od provajdera iznamjljuje Cloud computing korisnik dobija pogodnosti koje pruaju
raunari koji se nalaze u claster-u ili grid-u strukturi koja obezbeuje redudantnost odnosno
mogunost da ukoliko je jedan od servera nedostupan ostali serveri preuzimaju njegovu ulogu
u realnom vremenu, tako da korisnik ne moe ni da primeti da se bilo ta dogodilo. Servis
nesmetano, bez prekida nastavlja da funkcinie. Ovo je pored cene velika prednost Cloud
computing-a u odnosu na namenske servere. Inae infrastruktura se iznajmljuje sa ve
podeenom virtualnom mainom tako da korisnik moe da bira platformu na kojoj eli da
instalira svoje aplikacije. Protivnici Cloud computing-a najvie zamerki imaju na to to

42
izmeu Cloud provajdera ne postoji interoperabilnost, odnosno jo uvek je ozbiljan problem
za korisnika da servise sa jednog provajdera u nekom trenutku prebaci kod nekog drugog.
Takoe, korisnik ne zna gde se fiziki nalaze njegovi podaci jer se oni ne nalaze na jednom
serveru to realno govorei predstavlja vie psiholoki nego bezbednosni problem. Ovakva
vrsta Cloud computinga gde se resursi uslovno reeno dele sa drugim korisnicima u literaturi
se sve ee naziva Public cloud. Naravno ovakav nain hostinga je znatno bezbedniji od
klasinog deljenog hostinga, a postoji i mogunost da korisnik dobije jednu ili vie javnih IP
adresa za pristup svom delu Cloud-a
Pored toga provajderi sve vie nude Private cloud odnosno deo Cloud-a koji kompanija moe
da iznajmi samo za sebe da bi na njemu drala svoje poverljive podatke. Ovaj termin se u
literaturi tumai na razliite naine ali bitno je ono to ozbiljni provajderi nude kroz ovu
uslugu. To su u stvari namenski serveri odnosno najmanje dva koji obezbeuju
redudadnotnost koji na sebi imaju instaliranu neophodnu platformu za Cloud computing.
Tako da je pored mnogobrojnih teorija o tome ta je to Private cloud najpriblinija istini ona
koja kae da su to namenski serveri obueni u novo ruho.
Dok je kod iznajmljivanja namenskih servera situacija vie manje jasna jer korisnik
iznajmljuje fiziki server ili vie njih, sam ih konfigurie i jedino on ima pristup servisima
koji se na njima nalaze. to se tie Cloud computinga tu je situacija neto drugaija. Uz
pomo virtualizacije i grid computing-a korisnicima se prua moguost da rade sa svojim
podacima, a da ne moraju da vode rauna o tome gde se oni fiziki nalaze. Korisnik moe da
odabere neke od sledeih servisa:
Software as a Service
Platform as a Service
Infrastructure as a Service
Cloud computig odnosno tehnologije koje ine njegovu infrastrukturu ovde nee biti
detaljnije razmatrane jer to i nije tema ovog rada. U ovom radu e detaljnije e biti opisan
Software as a Service odnosno servis koji korisnici Claud computing-a, pa i namenskih
servera najee koriste. Bie predloena reenja koja treba da pokau kako ovakva vrsta
servisa moe da unapredi poslovanje kompanije.
Kada se govori o bezbednosti namenskih servera i Cloud computinga pre svega se misli na
bezbednu komunikaciju izmeu klijenta i servera koji se nalaze na udaljenoj lokaciji. Podaci
jedne kompanije mogu da se nalaze kod vie provajdera to u isto vreme predstavlja i
prednost i nedostatak ovakve vrste servisa. Za kompaniju bi bilo neisplativo da svakom od
njih pristupa preko posebnog tunela koji zavisi od samog provajdera. Ideja je da se napravi
nezavisan tunel kroz koji bi bio mogu pristup bilo kojoj lokaciji na kojoj se nalaze podaci
kompanije. Kod nas se o ovoj temi vrlo malo govori i pie, pa je ovaj rad pokuaj da se ukae
na neke specifinosti u sistemima zatite koje su nametnute ovakvom vrstom servisa.

6.3. Prednosti hostinga na namenskim ili Cloud serverima

Sve bri tempo poslovanja zahteva od kompanija da bre donose vane poslovne odluke da bi
na taj nain bili uspeniji od svoje konkurencije. Globalizacija trita dovela je do toga da
zaposleni sve ee moraju da putuju da bi sklapali poslove za svoju kompaniju. Prilikom
sklapanja ovakvih poslova njima mogu da zatrebaju informacije koje u tom trenutku nemaju
na svom laptopu.

43
Ovo je dovelo do toga da kompanije svoje podatke izmeste izvan lokalne mree i uine ih
dostupnim svojim zaposlenima ma gde se oni nalazili u odreenom trenutku. Na taj nain oni
mogu da pristupaju datotekama ili nekoj aplikaciji na isti nain kao kada sede u svojoj
kancelariji. Pored toga to su sada podaci vidljivi sa bilo koje lokacije u svetu hostovanje na
namenskim serverima ili u Cloud computing-u prua i druge znaajne pogodnosti za
kompaniju kao to su znaajno smanjenje trokova poslovanja i bolja dostupnost servisa o
emu je ve bilo rei.
Takoe treba naglasiti da je ekspanzija mobilnih ureaja kao to su smart telefoni ili tablet
raunari koji e se u uskoro sve vie koristiti i za poslovanje, a ne samo za zabavu govore u
prilog tvrdnji da je prolo vreme filozofije poslovanja na desktop raunarima kao i statinog
okruenja u kome su oni funkcionisali.


44

7. Upravljanje digitalnim identitetom

Pristup zatienim informacijama mora da bude ogranien samo na osobe koje su
autorizovane za pristup tim informacijama. Raunarski programi, a u mnogim sluajevima i
sami raunari koji obrauju podatke moraju takoe da budu autorizovani. Ovo zahteva
postojanje mehanizama koji su u stanju da kontroliu pristup zatienim informacijama.
Sofisticiranost mehanizama za kontrolu pristupa treba da se uporedi sa vrednou informacija
koje se tite. Osetljivije i dragocenije informacije treba da imaju jae mehanizme zatite.
Temelji na kojima poivaju mehanizmi kontrole pristupa su identifikacija i autentifikacija.
Identifikacija je tvrdnja ko je zapravo neko i ta je u stvari neto. Ako se osoba predstavi
svojim imenom i prezimenom neko mora da potvrdi da je ta izjava istinita. Meutim, ovakva
tvrdnja moe biti istina ili ne. Pre nego to nekoj osobi bude dozvoljen pristup zatienim
informacijama neophodna je verifikacija odnosno provera informacija o toj osobi.
Za svakog zaposlenog vezuje se neki kompanijski identitet. To se moe deavati spontano i
stihijski, a moe biti i deo organizovanog i automatizovanog procesa koji donosi boljitak
poslovanju. Identitet u fizikom okruenju moemo predstaviti kao ogroman oblak u kojem se
nalazi sve to moete rei o sebi. Kako elemente identiteta moete upotrebiti? U hotelu vam, u
zamenu za paso, daju karticu za ulazak u sobu. Isto je i u sferi informacionih sistema, samo
su naini manifestovanja vaeg identiteta i njegova upotrebna vrednost digitalni.
Informacioni sistemi velikih organizacija su izuzetno sloeni. To znai da ne postoji nijedan
raunar na kojem radi aplikacija koja nije bitna za poslovanje. U svakom veem preduzeu
postoji vie servera koji mogu da budu, a esto i jesu, na razliitom hardveru, pod razliitim
operativnim sistemima. Na svakom od njih se nalazi neka aplikacija, a u sloenim (npr.
finansijskim) organizacijama moe se nai desetak i vie aplikacija koje zaposleni koriste.
Poslovni partneri kompanije takoe treba da pristupaju nekim resursima, a svako od njih ima
svoje potrebe i svoj nivo pristupa koji treba da bude definisan prema resursima kompanije.
Postaje teko definisati koji nivo pristupa treba da ima korisnik. Da li uopte treba da ima
pristup nekoj aplikaciji, i ako treba, do kog nivoa? ta sme da uradi kada jednom pristupi
odreenom resursu? Treba voditi rauna i o radnicima koji odlaze iz firme; vratie kljueve
od slubenog auta, mobilni telefon i raunar, ali ko e da iskljui njihove naloge? To je korak
koji se esto preskae, a izuzetno je opasan iz bezbednosnog aspekta. Bivi zaposleni moe
preko Interneta da ita podatke, a moe i da menja sadraj. Nije samo urbana legenda da
nezadovoljan bivi zaposleni, sa visokim nivoom pristupa, ukrade ili obrie kljune podatke.
Kada nova osoba dolazi u firmu, ona i ne zna ta joj sve treba da bi radila uspeno. O tome
brinu mreni administratori koji kreiraju naloge za pristup sistemu, odreuju nivo pristupa za
svakog korisnika posebno to je dugotrajan proces koji administratoru oduzima dosta
vremena. Taj proces troi vreme jer uvek treba kontaktirati administratora koji zbog obaveza
esto nije u mogunosti da pomogne korisniku, pa se na kraju odluuje da popusti pa
zaposlenima daje privilegije da sami mogu da odravaju svoje radne stanice. Kao to je ve
reeno u manjim kompanijama to nije problem, ali u preduzeima sa vie hiljada zaposlenih
situacija se drastino menja. Fluktuacija osoblja je velika to zahteva automatizovane procese
i potpunu kontrolu administratora.
Organizacije ele da imaju na jednom mestu sve informacije o aplikacijama i tome ko ima
koji nivo pristupa, kao i ko je taj nivo odobrio. Pored toga, neophodno je da imaju mehanizam

45
praenja naina na koji korisnici upotrebljavaju ovlaenja za pristup aplikacijama u
informacionom sistemu. Te elje zadovoljavaju programi za upravljanje identitetom (identity
management)
8
.
Kada se jednom instalira takvo softversko reenje, za svakog zaposlenog u kompaniji se
definie kojim delovima informacionog sistema moe i treba da ima pristup. Tako se kreira
organizovan kompanijski identitet. Novi zaposleni dolazi na poziciju za koju su ve
definisana pravila, pa se novoj osobi samo dodeli postojei identitet. Kompanijski identitet
pripada kompaniji, a korisnik ga samo zauzima dok radi na toj poziciji. Taj identitet se
jednom kreira i strogo je definisan, a dodeljena mu je odreena grupa resursa i odreene
funkcionalnosti. Kada zaposleni menja poziciju unutar kompanije, dodeljuje mu se ve
postojei identitet za novu poziciju, a stari ostaje spreman za novog zaposlenog. Svaki
kompanijski identitet prolazi kroz etiri faze.
Prva faza podrazumeva proces otvaranja naloga na sistemima koje zaposleni treba da koristi.
To bi trebalo da se radi onda kada su definisana radna mesta, a ne onda kada se pojavi novi
zaposleni. Dodeljivanje uloga (role management) je deo ove faze, a taj segment reenja slui
za grupisanje naloga kojima zaposleni sa odreenom ulogom treba da ima pristup. Tako se
moe definisati uloga sistem administatora, koja se moe dodeljivati razliitim identitetima
prema potrebama funkcionisanja celog sistema.
U drugoj fazi, zaposleni koristi dodeljeni korporativni identitet. Na ovom nivou se menjaju
lozinke i dozvole za pristup pojedinim resursima, a prema promenama radnih procedura u
kompaniji i prema definisanim bezbednosnim pravilima. U ovu fazu spada i automatizovano
obavetavanje o zaboravljenoj lozinki, kao i sve ostalo to se sa digitalnim identitetom deava
tokom rada zaposlenog.
Trea faza podrazumeva praenje rada kreiranih identiteta, menjanje njihovih podeavanja i
eventualno kreiranje dodatnih za potrebe efikasnog rada.
U etvrtoj fazi se kompanijski identiteti gase. Radi se o procesu koji ne treba raditi runo, jer
mogu ostati opasni repovi, ve ga treba prepustiti specijalizovanom softveru i
automatizovanim procedurama koje e se pobrinuti da informacioni sistem ostane bezbedan.
Rezultat kontrole i evidencije rada svih zaposlenih jeste transparentnost funkcionisanja
sistema. Ako neto krene kako ne treba administrator moe da dobije izvetaj ko je za to
odgovoran, to u kompaniji koja ima desetine hiljada zaposlenih i ogroman sistem koji je
teko fiziki predstaviti unosi sigurnost u poslovanje.

7.1. Socijalni inenjering

Phishing je tipian primer tehnike socijalnog inenjeringa koja se koristi za obmanjivanje
korisnika sa ciljem da se od njega ukradu poverljivi podaci kao to su korisniko ime, lozinka,
broj rauna ili broj kreditne kartice. Phishing se izvodi korienjem e-mail ili instant poruka u
kojima se sugerie korisnicima da unesu traene podatke na neki Web site. Takoe, za ovakve
sugestije esto se koriste i telefonski pozivi. Obraun sa rastuim brojem prijavljenih phishing
napada obuhvata zakonsku regulativu, obuku korisnika, javna upozorenja i tehnike mere.
Korisnik treba da zna da njegova banka ili druga kompanija iju Web aplikaciju koristi nikada
nee koristiti ovakav nain da od njega zatrae poverljive ni bilo kakve druge informacije, ve

8
Marko Herman, Upravljanje identitetom, http://www.pcpress.rs/arhiva/tekst.asp?broj=156&tekstID=8834


46
e to uiniti preko bezbednih Web formi na koje e korisnik otii dobrovoljno. Treba istai i
da verziranji Internet korisnici mogu lako da upadnu u ovo zamku.
Klijent mora unapred da bude upozoren na injenicu da od ovakve vrste napada ne postoji
praktino nikakva zatita osim nekih optedrutvenih mera i upozorenja, a takoe i da vlasnik
Web aplikacije koja je phishingom takoe napadnuta ne snosi nikakvu odgovornost za to.
Novi vid phishinga
9
pogaa iskljuivo zaposlene u velikim kompanijama i vladinim telima.
Na Internetu se pojavila nova pretnja iz domena socijalnog ininjeringa tzv. spear
phishing. U pitanju su napadi koji su usmereni ka tano definisanim metama zaposlenima
u pojedinim kompanijama ili vladinim telima, naroito onima koja interno imaju striktno
primenjen princip subordinacije. Spear phishing se od obinog phishinga pre svega razlikuje
po meti napada, to je veliki inovativni skok u odnosu na dosadanju kriminalnu praksu koja
je ila logikom velikih brojeva, u nadi da e se od miliona pokuaja upecati bar koja
sona hiljada...
Spear phishing poruka izgleda kao da je dola od kolege koji je zaposlen u istoj organizaciji, i
to najee u odeljenju za ljudske resurse ili informacione tehnologije, i ona po svemu izgleda
kao svaka druga legitimna poruka upuena zaposlenima u organizaciji. Da bi spreile svoje
slubenike da postanu rtve ovog novog, jo opasnijeg vida phishinga, neke institucije su
pokrenule specifian edukativni program, u okviru kojeg na adrese e-pote svojih zaposlenih
alju lane phishing mamce, s namerom da se kroz praktinu demonstraciju oni obue kako da
pravilno reaguju u sluaju susreta sa pokuajem zlonamernog socijalnog ininjeringa.
Poto je phishing postao jedan od najveih bezbednosnih problema za korisnike Interneta,
nova pretnja nazvana pharming ima sve izglede da je ubedljivo nadmai, kako po intenzitetu
tete koju nanosi tako i po broju rtava koje pogaa.
Za razliku od phishinga, pharming u veoma kratkom intervalu napada ogroman broj ljudi,
preusmeravajui ih s legitimnih komercijalnih sajtova koje poseuju na lane. Koncepcijski,
metod prevare je jednostavan. Sajtovi na koje se korisnik upuuje bez njegovog znanja i
saglasnosti izgledaju potpuno isto kao i autentini, tako da on najee nije u stanju ni da
posumnja da se neto loe odigrava. Meutim, onog momenta kada on otkuca svoje
korisniko ime i lozinku, te informacije bivaju ukradene. Za sprovoenje mnogih manjih
pharming napada koriste se posebni virusi upueni elektronskom potom koji prepisuju
lokalne host fajlove na napadnutim kompjuterima. Host fajl pretvara URL adrese u numerike
nizove koji su razumljivi za raunar, tako da ugroeni host fajl uzrokuje da korisnik bude
usmeren ka pogrenom sajtu, ak i ako korektno ukuca URL adresu legitimne Web lokacije.

7.2. Autentifikacija

Autentifikacija je in verifikacije tvrdnje o identitetu. Kada neko ode u banku da obavi neku
novanu transakciju on se predtavlja bankarskom slubeniku imenom i prezimenom (tvrdnja o
identitetu). Na zahtev slubenika da svoj identitet potvrdi nekim dokumentom on prezentuje
linu kartu. Slubenik zatim proverava podatke i uporeuje fotografiju iz line karte. Ukoliko
fotografija i podaci odgovaraju osobi koja ih je prezentovala slubenik je izvrio
autentifikaciju odnosno potvrdio je da se radi o toj konkretnoj osobi.

9
Svet kompjutera http://www.sk.rs/2005/11/skin05.html


47
Postoje tri razliita tipa informacija koje mogu da se koriste za autentifikaciju: ono to znate,
ono to imate i ono to ste. Primer za ono to znate je najee PIN ili lozinka. Primer za
ono to imate ukljuuje linu kartu ili platnu karticu. Biometrija u stvari govori ono to
ste. Primeri biometrije ukljuuju otisak dlana, otisak prsta, snimak glasa i skeniranje
mrenjae oka. Snana autentifikacija eng. strong authentication zahteva obezbeivanje
informacija iz dva od tri razliita tipa informacija. Na primer ono to znate i ono to
imate. Ovo se naziva dvofaktorna autentifikacija eng. two-factor authencation.
U raunarskim sistemina koji su danas u upotrebi korisniko ime je najei nain za
identifikaciju, a lozinka je najei nain za autentifikaciju. Korisniko ime i lozinka sluili su
svojoj svrsi ali u savremenom svetu oni vie nisu adekvatan oblik identifikacije i
autentifikacije i polako bivaju zamenjeni sofisticiranijim mehanizmima kao to su smart
kartice ili biometrija.

7.3. Projektovanje PKI infrastrukture

Autentifikacija uz pomo smart kartice ili USB tokena se naziva Two Factor Authentication
ili dvofaktorska autentifikacija. To znai da je pored smart kartice ili USB tokena za
autentifikaciju potreban i PIN koji zna samo njegov vlasnik.
Infrastruktura javnih kljueva (Public Key Infrastructure) je skup postupaka, dokumenata,
resursa i aplikacija koje formiraju specifian okvir za uspostavljanje digitalnog identiteta
osobe, kao i za njegovo administriranje, upravljanje i nadzor tokom ivotnog ciklusa. PKI
omoguava uesnicima, koji se uobiajeno i ne moraju unapred poznavati, da meusobno
uspostave elektronsku komunikaciju, zasnovanu na meusobnoj autentikaciji, verifikaciji
digitalnog potpisa i poverljivosti.
PKI je zasnovan na kriptografiji javnih kljueva asimetrinim kriptoalgoritmima, koji
dozvoljavaju da jedan od kljueva (iz para) jednog uesnika bude objavljen i poznat svim
ostalim uesnicima u komunikaciji. Uesnik drugi klju uva u tajnosti. Informacija ifrovana
jednim od kljueva moe se deifrovati drugim kljuem iz istog para. Ova injenica se koristi
za potpisivanje ili poverljivo komuniciranje.
Digitalni identitet je vezan za posedovanje para kljueva koje izdaje nezavisna institucija
sertifikaciono telo (Certification Authority) u koju svi uesnici imaju apsolutno poverenje.
Takva institucija izdaje tajni (privatni) klju i javni klju svakom uesniku. Javni klju se
izdaje u formi digitalnog sertifikata koji sadri javni klju i dodatne podatke koji su specifini
za tog uesnika. Sertifikaciono telo overava svaki izdati digitalni sertifikat sopstvenim
digitalnim potpisom.
Svaki uesnik moe da proveri ispravnost digitalnog sertifikata primljenog od bilo kog drugog
uesnika u komunikaciji, koristei digitalni sertifikat sertifikacionog tela koje ga je izdalo.
Ako je sertifikat punovaan, uesnik ima potvrdu da su lini podaci koji se odnose na
poiljaoca zaista njegovi, odnosno da je taj poiljalac jo uvek validan pretplatnik tog CA.
Digitalni sertifikati mogu da se distribuiraju na razliite naine i uglavnom se publikuju na
serverima CA koji su dostupni svim uesnicima. U naoj zemlji postoji nekoliko
sertifikacionih tela koja su dobila pravo od nadlene institucije da izdaju kvalifikovane
digitalne sertifikate. Kao to je poznato, kvalifikovani digitalni sertifikat odnosno
kvalifikovani digitalni potpis imaju pravnu snagu svojerunog potpisa i mogu se koristiti na
sudu. Postoji meutim problem interoperabilnosti izmeu sertifikata koje izdaju ova
sertifiklaciona tela. Naime, u naoj zemlji ne postoji jedna Root CA koja bi obezbedila da svi

48
sertifikati koje izdaju CA koja se hijerarhijski nalaze ispod nje potuju uslov
interoperabilnosti. Kod nas postoji nekoliko Root CA i sigurno e se pojaviti ozbiljni
problemi vezani za interoperabilnost digitalnih sertifikata kada ova tehnologija bude poela
ozbiljnije da se koristi.
Kada je re o digitalnim sertifikatima koji se koriste kod nas pre svega se misli na
samopotpisane sertifikate koje izdaju pojedine kompanije za svoje potrebe. Interesantno je da
ak i kompanije koje se bave zatitom ne vide nita loe u tome da se ovakvi sertifikati koriste
u sistemima u kojima se zahteva visok stepen bezbednosti. Najvei problem kod
samopotpisanih sertifikata jeste to to Web pretraiva daje upozorenje da lokacija na kojoj se
koristi ovakav sertifikat nije preporuljiva za korienje. Ukoliko ele da budu shvaeni
ozbiljno security provajderi treba da izbegavaju ovakvu vrstu sertifikata.
Reenje predstavlja korienje kvalifikovanih elektronskih sertifikata koje izdaju ovlaena
sertifikaciona tela engleski Certification Authority (CA) koja mogu biti nacionalna ili
meunarodna. Elektronski sertifikat je elektronski dokument kojim se potvruje veza izmeu
podataka za proveru elektronskog potpisa i identiteta potpisnika. Kvalifikovani elektronski
sertifikat je elektronski sertifikat koji je izdat od strane sertifikacionog tela za izdavanje
kvalifikovanih elektronskih sertifikata i sadri podatke predviene ovim zakonom.
Kvalifikovani elektronski sertifikat
10
je elektronski sertifikat koji izdaje sertifikaciono telo za
izdavanje kvalifikovanih elektronskih sertifikata i koji mora da sadri:
oznaku o tome da se radi o kvalifikovanom elektronskom sertifikatu;
skup podataka koji jedinstveno identifikuje pravno lice koje izdaje sertifikat;
skup podataka koji jedinstveno identifikuje potpisnika;
podatke za proveru elektronskog potpisa, koji odgovaraju podacima za izradu
kvalifikovanog elektronskog potpisa a koji su pod kontrolom potpisnika;
podatke o poetku i kraju vaenja elektronskog sertifikata;
identifikacionu oznaku izdatog elektronskog sertifikata;
kvalifikovani elektronski potpis sertifikacionog tela koje je izdalo kvalifikovani
elektronski sertifikat;
ogranienja vezana za upotrebu sertifikata, ako ih ima.
Na elektronskim sertifikatima bilo da su kvalifikovani ili ne nalazi se elektronski potpis
vlasnika sertifikata. Elektronski potpis je skup podataka u elektronskom obliku koji su
pridrueni ili su logiki povezani sa elektronskim dokumentom i koji slue za identifikaciju
potpisnika. Kvalifikovani elektronski potpis je elektronski potpis kojim se pouzdano garantuje
identitet potpisnika, integritet elektronskih dokumenata, i onemoguava naknadno poricanje
odgovornosti za njihov sadraj, i koji ispunjava uslove utvrene zakonom. Kvalifikovani
elektronski potpis u odnosu na podatke u elektronskom obliku ima isto pravno dejstvo i
dokaznu snagu kao i svojeruni potpis, odnosno svojeruni potpis i peat, u odnosu na
podatke u papirnom obliku. Kvalifikovani elektronski potpis, mora da zadovolji sledee
uslove:
iskljuivo je povezan sa potpisnikom
nedvosmisleno identifikuje potpisnika
nastaje korienjem sredstava kojima potpisnik moe samostalno da upravlja i koja su
iskljuivo pod nadzorom potpisnika
direktno je povezan sa podacima na koje se odnosi, i to na nain koji nedvosmisleno
omoguava uvid u bilo koju izmenu izvornih podataka

10
Zakon o elektronskom potpisu


49
formiran je sredstvima za formiranje kvalifikovanog elektronskog potpisa
proverava se na osnovu kvalifikovanog elektronskog sertifikata potpisnika
Sutinska razlika izmeu elektronskog potpisa i kvalifikovanog elektronskog potpisa je u
tome to kvalifikovani elektronski potpis ima snagu svojerunog potpis i njegova zloupotreba
povlai krivinu odgovornost. Psiholoki efekat koji kvalifikovani elektronski potpis ostavlja
na korisnika veoma je vaan. Kada korisnik zna kakve posledice mogu da nastanu zbog
zloupotrebe ili nemarnog korienja kartice na kojoj se nalazi kvalifikovani elektronski potpis
bie mnogo oprezniji u rukovanju sa njom. Ukoliko neko korisniku ukrade karticu, ukoliko
korisnik izgubi karticu ili je kompromituje na bilo koji drugi nain duan je da o tome odmah
obavesti security provajdera ili izdavaoca smart kartice kao bi je oni proglasili nevaeom.


50

8. Bezbedna komunikacija

Kao to je ve istaknuto virtualne privatne mree obezbeuju zaposlenima koji nisu u svojim
kancelarijama da na bezbedan nain pristupaju kompanijskoj mreri preko Interneta ifrujui
pritom saobraaj koji se odvija izmeu mree i korisnike maine odnosno klijenta. Ureaji
koji su se ranije koristili za bezbednu komunikaciju zvali su se VPN koncetratori i oni su
radili sa IPsec protokolom. Ovakvi ureaji se koriste i danas a komunikacija preko njih
zahteva da na klijentskom raunaru bude instaliran specifian softver koji se zove VPN
klijent. Za razliku od klasinog VPN-a zasnovanog na IPsec protokolu, SSL VPN je
konstruisan tako da nema potrebe za posebnim podeavanjem korisnikih raunara. Bilo koji
raunar koji ima Web pretraiva moe bez problema da pristupa SSL VPN mrei.
Korisnici mogu bezbedno da pristupaju kompanijskoj mrei sa bilo kog raunara bilo da je to
raunar na javnom mestu, laptop raunar ili ak mobilni telefon. SSL VPN je
multifunkcionalni vienamenski ureaj
11
, a o nekim od njegovih mnogobrojnih
funkcionalnosti bie vie rei u ovom poglavlju. J edna od funkcija je da bude gateway i da
obezbedi korisnicima koji dolaze spolja pristup unutranjim servisima kao to je fajl server, e-
mail server kao i Web orijentisanim aplikacijama koje su ifrovane korienjem SSL
protokola. Mnoge poznate svetske kompanije prilagoavaju svoja reenja zahtevima SSL
VPN tehnologija koje se sve vie razvijaju.

Slika 10 SSL VPN ureaj

11
Joseph Steinberg and Tim Speed, Understanding SSL VPN, Packt Publishing, 2005.

51

U ovom poglavlju detaljnije e biti objanjeno kako funkcioniu SSL VPN ureaji i bie
prikazani njihove prednosti i nedostatci. Bie posveena posebna panja i korisnicima koji
predstavljaju vitalni element sigurnosti. Takoe bie rei i o strategiji za jednostavan pristup
aplikacijama i fajlovima koji se nalazae u kompanijskoj mrei. Takoe ukoliko je potrebno
obezbediti pristup iz udaljene kancelarije moe se izbei dodatni VPN ureaj u toj kancelariji.
Korisnici, naroito ukoliko ih je manje mogu da pristupaju SSL VPN-u koristei jeftin ureaj
kao gateway ili pojedinano koristei pogodnosti modernog Interneta. Ne treba zanemariti
trokove za radne sate administratora koji esto mora da podeava nestabilnu infrastrukturu
klasinih VPN mrea. Kao predlog dobre organizacije SSL VPN mree moe se rei da ona
treba da sadri sledeu hardversku infrastrukturu:
SSL VPN appliance
Server za autentifikaciju (RADIUS, LDAP, Active directory)

8.1. SSL VPN ureaj

Sve vie poznatih proizvoaa mrene opreme nudi specijalizovane hardverske ureaje za
SSL VPN mree. Oni su razliitih performansi i karakteristika ali je zanimljivo istai da pored
osnovne uloge da zatvaraju VPN konekcije odnosno da budu VPN koncetratori imaju i mnoge
dodatne pogodnosti. Te pogodnosti koje nude usko su povezane sa sve dinaminijim
razvojem raunarskih mrea, virtualnih privatnih mrea, a posebno sa razvojem Interneta koji
nudi dosada nezamislive mogunosti.
Kao to je ve reeno SSL VPN ureaj je vienamenski hardverski ili virtualni ureaj koji
osigurava bezbednu kontrolu pristupa i bezbednu komunikaciju do lokalne mree odnosno
namenskog ili cloud servera. Ovi ureaji imaju sopstveni operativni sistem to im prua
mogunost da se koriste bilo u Windows ili Linux okruenju. SSL VPN ureaj moe da ime
neke od sledeih funkcionalnosti:
Rad sa digitalnim sertifikatima (samopotpisanim ili sertifikatima drugih CA)
Revers proxy
Split tunneling
Mreni firewall
Aplication firewall
Intrusion prevention system
Ddos protection
Load balansing
Rad sa grupnim polisama
Kontrola radne stanice sa koje korisnik pristupa (verzija operativnog sistema,
antivirus)
Za ostvarivanje bezbedne komunikacije izmeu klijentskih radnih stanica i udaljenih servera
korienjem security servisa nisu potrebne sve navedene funkcionalnosti. Ono to je
neophodno da bi security servis upte mogao da funkcionie jeste mogunost SSL VPN
ureaja da radi sa digitalnim sertifikatima. Kao to je poznato ovaj zahtev se prosleuje
sertifikacionom telu koje izdaje digitalni sertifikat koji se zatim prenosi na ureaj. Ova
mogunost prua ozbiljnu prednost prilikom konfigurisanja virtualne privatne mree, jer vie
nije potrebno da se request generie na posebnom Web serveru ve SSL VPN ureaj postaje
uslovno reeno Haedvare Security Modul (HSM). To podrazumeva da se tajni klju

52
serverskog sertifikata uva na specijalizovanom hardverskom ureaju u koga napadai veoma
teko mogu da uu.
to se tie rada sa grupnim polisama one mogu da se uvaju u samom ureaju mada postoji i
varijanta da im se pristupa kroz LDAP, Aktivni direktorijum ili preko RADIS servera.

Slika 11 SSL VPN integracija

Antivirus, antispam, anti phishing zatita funkcionie tako to je SSL VPN neprekidno
povezan sa podrkom komanije iji je proizvod u pitanju i koja redovno prati i otkriva nove
definicije zlonamernog koda i generie mehanizme za zatitu od njih.
Web Aplication Firewall integrisan na ovaj ureaj obezbeuje odbranu od najeih napada
koji Web aplikacijama prete preko Interneta. Najee to podrazumeva zatitu od DoS ili
DDoS napada, SQL injection napada, CSS napada kao i mnogih drugih pretnji koje mogu da
ugroze Web apliakcije. Web Aplication Firewall funkcionie tako to je neprekidno povezan
sa podrkom kompanije iji je proizvod u pitanju i koja redovno prati i otkriva nove definicije
zlonamernog koda i generie mehanizme za zatitu od njih.
Reverse proxy je proxy server koji radi u ime nekog mrenog servera. Najee koritenje
reversnog proxy-ja je da se zatiti Web server. Kada korisnik na Internetu zahteva podatke od
Web servera koji je zatien reversnim proxy serverom, reverse proxy presree zahtev i
proverava da li su podatci sadrani u zahtevu prihvatljivi, i da ne sadre neke ne-HTTP
podatke ili neke maliciozne HTTP komande. Ovo obezbeuje da korisnici na Internetu nikada
ne pristupaju direktno Web serveru.


53
Postoji nekoliko tipova SSL VPN-a ije e karakteristike ovde biti detaljnije opisane. Dva
glavna tipa SSL VPN-a su:
SSL portal VPN
SSL tunnel VPN
Takoe, postoji i trei tip koji se zove SSL gateway-to-gateway VPN koji se primenjuje u
pojedinim implementacijama. On se retko koristi jer ima sline karakteristike kao IPsec VPN
ali je manje fleksibilan pa se zbog toga ovde nee detaljnije opisivati.
Oba glavna tipa SSL VPN mrea se koriste da bi se obezbedio pristup za udaljene korisnike
brojnim servisima koje kontrolie i kojima upravlja SSL VPN ureaj. U zavisnosti od potreba
korisnika treba obezbediti optimalno reenja jer oba pristupa imaju svoje prednosti
inedostake.

8.1.1. SSL portal VPN
SSL portal VPN dozvoljava korisnicima da koristei standardnu SSL konekciju bezbedno
pristupaju brojnim mrenim servisima. Ovaj pristup se naziva SSL portal VPN zato to se
preko jedne Web stranice pristupa svim ostalim resursima. Ova vrsta SSL VPN-a radi u
transportnom sloju preko posebnog mrenog porta iji je pun naziv TCP port za SSL-
protected HTTP (443).
Udaljeni korisnici pristupaju na SSL VPN gateway koristei bilo koji od postojeih Web
pretraivaa gde se autentifikuju metodom koju taj gateway podrava. Nakon toga prikazuje
im se Web stranica koja predstavlja portal prema drugim servisima. Ovi servisi mogu da budu
linkovi prema Web serverima, deljenim direktorijumima sa datotekama, Web-based email
sistemima, aplikacijama koje su pokrenute na zatienim serverima kao i svemu ostalom
emu se moe pristupati preko Web stranice.
Da bi pristupili SSL portal VPN-u korisnici unose u Web pretraiva URL portala na koji
ele da se konektuju na isti nain kao kada pristupaju bilo kom drugom Web sajtu. Ovaj URL
najee koristi https emu koja odmah startuje SSL konekciju, ali mnogi SSL VPN-ovi
dozvoljavaju korisnicima da prvo pristupe portalu koristei http URL, a da zatim budu
redirektovani na bezbedan SSL port.
SSL portal VPN-ovi rade sa Web pretraivaima bez obzira na to da li Web pretraiva
dozvoljava ili podrava aktivan sadraj. Zbog toga je SSL portal VPN pogodniji za pristup
veem broju korisnika nego to je to SSL tunnel VPN. Kada korisnik treba da pristupi nekoj
Web aplikaciji gde se zahteva vea sigurnost SSL portal VPN nije preporuljiv.

8.1.2. SSL tunnel VPN
SSL tunnel VPN dozvoljava korisnicima da koristei obian Web pretraiva bezbedno
pristupaju brojnim servisima kroz tunel koji je pokrenut preko SSL-a. On zahteva da Web
pretraiva podrava specifine tipove aktivnog sadraja (J ava, J avaScript, Flash ili ActiveX)
kojima korisnik moe da upravlja. Veina Web pretraivaa koji podravaju ove aplikacije
takoe dozvoljavaju korisnicima ili administratorima da blokiraju njihovo izvrenje.
Kada se govori o SSL tunnel VPN-u pojam tunnel ima slinosti ali i razlike sa istim
pojmom u IPsec VPN-u. Slinost je u tome to je ceo IP saobraaj potpuno zatien tunelom i
na taj nain korisniku je omogueno da na bezbedan nain pristupa eljenim mrenim
servisima. Razlika je u tome to je SSL VPN tunel kreiran preko SSL-a i ne koristi iste
protokole za tunelovanje kao IPsec. Kada se koristi SSL tunnel VPN neophodno je da se na

54
klijentskoj strani instalira plag-in koji omoguava uspostavljanje tunela izmeu klijenta i SSL
VPN gateway-a. Ovakav plag-in moe da se instalira unapred ili prilikom povezivanja Web
pretraivaa sa SSL VPN ureajem. Najee se kao plag-in koristi ActiveX kontrola ali je
problem u tome to ona moe pouzdano da se koristi samo kroz Internet Explorer. Drugo
reenje predstavlja plag-in koji je napravljen kao J ava Applet i koji moe da radi na bilo kom
Web pretraivau.


55

9. Zatita kao servis

Kao to je ve reeno bezbednost savremenih raunarskih mrea nezamisliva je bez
korienja specijalizovanih vienamnskih mrenih ureaja koji se zovu SSL VPN ureaji. To
su u najveem broju sluajeva fiziki odnosno hardverski ureaji mada se sa razvojem
virtualizacije na tritu pojavljuje sve vei broj virtualnih SSL VPN ureaja. Zbog svoje
multifunkcionalnosti oni uspeno mogu da se koriste za zatitu lokalne mree ali i za neke
druge namene o emu e ovde biti vie rei.
U svetu ve postoje provajderi koji prodaju uslugu koja bi mogla da se nazove security kao
servis. Veina provajdera meutim, nudi ovaj servis samo u sluaju da se i ostali servisi
nalaze kod njih. Ovo je u suprotnosti sa sutinom Cloud computinga koja predpostavlja da
servisi koje koristi neka kompanija mogu da se nalaze bilo gde pa samim tim i kod razliitih
provajdera. Ukoliko je podela odgovornosti izmeu provajdera precizno definisana nema
razloga da se kupcu ne dozvoli mogunost izbora. Ovo naravno ne znai da ne postoje
provajderi kod kojih moe da se dobije samo usluga security servisa ali ovde treba biti
oprezan s obzirom da ova usluga ne spada u njihovu standardnu ponudu. Kod nas ne postoje
ovakvi servisi, a ovaj rad bi trebalo da pomogne u tome da se sagledaju mogunosti primene
ovakvih reenja.
Bezbednost informacionih sistema najrazvijenija je u velikim kompanijama i bankama. Ove
institucije ulau velika sredstva u bezbednost svojih informacionih sistema jer bi svaki
propust mogao ozbiljno da kompromituje njihovo poslovanje. Meutim postoje i kompanije
koje ne mogu sebi da priute velike budete za zatitu svojih informacionih sistema. Reenje
bi mogli da predstavljaju security provajderi odnosno kompanije koje bi usluge bezbednosti
pruale drugim kompanijama.

9.1. Osnovne karakteristike

Pre detaljnijeg opisa security sistema treba rei nekoliko rei o podeli odgovornosti s obzirom
da se radi o osetljivoj stvari kao to je bezbednost. Svaki informacioni sistem pored hardvera i
softvera ine i ljudi to se u praksi ponekad zaboravlja. Veoma je vano precizno definisati
ulogu svakog pojedinca ili kompanije koja uestvuje u projektovanju nekog informacionog
sistema. Kompanije se sve vie odluuju za outsorsing reenja koja kupuju ili iznajmljuju od
jedne ili vie kompanija. Da bi se izbegli ozbiljni problemi koji mogu da nastanu prilikom
eksploatacije sistema neophodno je da se definiu obaveze kompanije koja je kupac kao i da
se razdvoje obaveze svake outsorsing kompanije koja uestvuje u ovom procesu. Zbog svega
toga neophodno je da security servis odnosno ono to on podrazumeva bude precizno
definisan i odvojen od drugih procesa. Pre svega treba odrediti granice u kojima je security
servis odgovoran to nije nimalo lako s obzirom da se preko njega odvija itav proces
komunikacije.
Ovaj proces zapoinje jo na klijentskom raunaru, a ono to security provajder bezuslovno
treba da zahteva jeste da se autentifikacija obavlja iskljuivo uz pomo smart kartica ili
tokena. Korienje bilo kog drugog naina autentifikacije nije bezbedan i mogao bi
provajderu security servisa da stvori nepotrebne probleme. Na taj nain definie se precizna
podela odgovornosti na klijentskoj strani. Posao security provajdera ne treba meati sa poslom

56
administratora lokalne mree koji bi po definiciji trebalo da vodi rauna o tome da li korisnici
lokalne mree pravilno koriste svoje radne stanice. Security provajder mora da poe od
predpostavke da je mogue da udaljenim servisima prilazi i neko iji raunar nije u lokalnoj
mrei odnosno neko ko se sam stara o svom raunaru iako za to nema potrebno znanje.
Kada je re o serverskoj strani situacija je neto drugaija. Kompanija koja prua security
servis odnosno security provajder treba pre svega da pronae provajdera koji je pouzdan i kod
koga moe bez ogranienja i uslovljavanja da iznajmi hardverske resurse za instaliranje
neophodne infrastrukture za svoj security servis. Kada to uradi security provajder bi usluge
svog security servisa iznajmljivao drugim kompanijama, koje bi ga koristile kao siguran kanal
do svojih udaljenih servisa.
Ukoliko se na udaljenom serveru nalaze Web aplikacije dobro bi bilo ukljuiti opciju za Web
aplication firewall koju ima veina SSL VPN ureaja. Meutim, ukoliko se na udaljenom
serveru nalazi neki fajl server ili DMS neophodno je ukljuiti i namenski ureaj za antivirus
zatitu. Takoe, treba rei da SSL VPN ureaji pruaju i zatitu od Ddos napada ali se
preporuuje da se za tu namenu iskorisiti zatita koju kao servis prua sam provajder jer se
ona smatra mnogo efikasnijom. Ovde nee biti detaljnije opisivana reenja pojedinih
proizvoaa SSL VPN ureaja jer svi oni nude uz svoje proizvode odline vodie uz pomo
kojih svako ko dobro poznaje raunarske mree moe lako da ih konfigurie i pusti u rad.
Vano je jo napomenuti da security servis podrazumeva postojanje redudantnih SSL VPN
ureaja zbog osetljivosti servisa koji se na njima hostuju. Ovakav nain hostovanja poznatiji
je kao High-availability clusters.
High-availability clusters (HA Clusters ili Failover Clusters) su raunarski klasteri koji se
koriste za obezbeivanje neprekidne dostupnosti servisima koji se na tom klasteru izvravaju.
Klasteri funkcioniu tako to se u njima nalaze redudantni raunari ili nodovi koji slue da
obezbede servis ukoliko jedan od raunara u klasteru otkae. Ukoliko se raunari ne nalaze u
klasteru svako otkazivanje dovodi do prekida rada sve dok se raunar ponovo ne stavi u
funkciju. HA klastering prevazilazi ovakve situacije tako to detektuje otkazivanje
hardverskih ili softverskih komponenti i odmah pokree servis na drugom raunaru u klasteru
bez bilo kakve intervencije adminstratora. Ovaj proces se naziva Failover. Kao deo ovog
procesa softver za klasterizaciju mora da konfigurie nod pre nego to se na njemu pokrene
aplikacija.
HA klasteri se najee koriste za kritine baze podataka, deljenje fajlova preko mree,
poslovne aplikacije kao i za Web sajtove za elektronsku trgovinu. Koroenje HA klasteringa
za obezbeivanje neprekidne dostupnosti security servisa je neophodno jer su ovi servisi
najosetljiviji deo sistema i nikako ne bi bilo dobro da iz bilo kog razloga ne budu dostupni.

9.2. Zatita na serverskoj strani

Komunikacija izmeu klijenta i servera na kome se nalaze servisi korienjem security servisa
odvija se kroz dva koraka. Prvo treba obezbediti komunikaciju izmeu klijentske radne
stanice i SSL VPN ureaja security provajdera to je laki deo. Mnogo je komplikovanije
uspostaviti bezbednu komunikakaciju izmeu SSL VPN ureaja i servera na kome se nalaze
servisi kojima korisnik eli da pristupi. Kada se kae da je komplikovanije uspostaviti
komunikaciju izmeu SSL VPN ureaja i udaljenog servera tu se ne misli na tehniki aspekt
koji je u sutini veoma jednostavan. Ovde se pre svega komplikovano to to korisnici a i neki
provajderi jo uvek nemaju predstavu o tome na koji nain ovakav servis opte moe da
funkcionie i da bude isplativ.

57
Na poetku treba rei nekoliko rei o udaljenim servisima kojima zaposleni iz neke kompanije
treba da pristupe. Ovde e se pre svega razmatrati bezbedan pristup poslovnim Web
aplikacijama jer ove servise iznajmljuje najvei broj kompanija. Koristei poslovne aplikacije
kompanije treba svoje poverljive podatke kao to su podaci o zalihama ili neki finansijski
podaci da preko Interneta poalju na neku udaljenu lokaciju. Ovakav nain rada predstavlja
veliki rizik za kompaniju koja je vlasnik tih podataka.
Neke kompanije koje se bave razvojem Web aplikacija koje svojim klijentima prodaju kao
servise nude neku vrstu zatite svojih aplikacija. Oni garantuju pre svega stalnu dostupnost
servisima kao i ifrovanu komunikaciju od klijenta do servera na kome se nalaze servisi uz
pomo SSL protokola. Naravno postoji i veliki broj onih kompanija koje svoje Web aplikacije
nude kao servis bez bilo kakve zatite bilo iz razloga da ne ele time da se bave ili da za to
nemaju neophodan struni kadar.
Za oba ova sluaja dobro bi bilo da kompanija koja kupuje Web aplikaciju kao servis pronae
security provajdera preko ijeg e zatienog kanala slati svoje podatke do udaljenih servera.
Najbolje bi bilo da to bude lokalni provajder sa kojim moe da se dogovori oko eventualnih
specifinih zahteva. Komanije koje pruaju ovakvu vrstu usluga ne postoje kod nas ali je
nekoliko njih zainteresovano da razvije ovaj servis jer i oni uviaju da e za ovom vrstom
usluga biti sve vea potranja.
to se tie tehnikih karakteristika ovog servisa kao to je ve reeno one nisu preterano
komplikovane za podeavanje. Korienjem nekih preduslova koje provajderi ve nude kao
uslugu SSL VPN ureaj moe da se podesi za pristup udaljenim serverima. Pre svega,
namenski server na kome se nalaze servisi kojima se pristupa mora da ima javnu IP adresu.
Takoe, treba traiti od provajdera da u svojim access listama omogui da ta javna IP adresa
bude vidljiva samo sa IP adrese na kojoj se nalazi SSL VPN ureaj security provajdera. Na
ovaj nain udaljeni server postaje deo VPN mree i moe mu se bezbedno pristupati. Ovo se
veoma jednostavno dogovara sa provajderom i ne iziskuje nikakve dodatne trokove za
korisnika. Takoe se moe definisati da se udaljenom serveru pristupa samo preko porta 443
to omoguava bezbednu komunikaciju preko SSL protokola.
Ovakav security servis prua mogunost pristupanja udaljenim servisima nezavisno od
proizvoaa ili od provajdera kod koga se ti servisi hostuju. Ekonomski interes za provajdere
koji bi nudili security servis i za servere koji se ne nalaze kod njih mogao bi da bude veliki
broj manjih kompanija koje bi mogle da ga koriste. Veliki broj korisnika servisa doveo bi do
njegovog pojeftinjenja to svakako pokazuje da razvoj ovakvog servisa nije uzaludan posao.

9.3. Zatita na klijentskoj strani

to se tie scurity servisa na klijentskoj strani najvanije je da se obezbedi jednostavna
instalacija neophodnog softvera i da se pojednostavi podeavanje neophodnih komponenti za
pristup SSL VPN ureajima. Uz minimalnu obuku bilo koji korisnik moe samostalno da
uradi sve to je neophodno da bi svoj ureaj podesio za bezbednu komunikaciju.
Kao to je ve reeno osnovna prednost SSL pristupa u odnosu na IPsec pristup VPN mrei je
u tome t preko SSL-a korisnik moe da pristupa VPN mrei sa bilo koje lokacije. Ovo
predstavlja veliki konfor za korisnika ali stvara dodatne probleme security provajderima.
Prosean korisnik raunara zna veoma malo o opasnostima koje vrebaju sa Interneta tako da
njegov raunar moe da postane meta napadaa, a da on toga nije ni svestan. Za programe kao
to je na primer keylogger koji je pogodan za krau korisnikog imena i lozinke korisnici

58
esto nisu ni uli. Socijalni inenjering koji se ispoljava kroz phishing, spear phishing i
pharming takoe predstavlja ozbiljnu pretnju za korisnike Interneta.
Security provajder mora precizno da definie svoju odgovornost na klijentskoj strani. Ovo se
pre svega odnosi na nain autentifikacije klijenta na SSL VPN ureaj. Iako ovi ureaji
podravaju autentifikaciju uz pomo korisnikog imena i lozinke security provajderi ovakvu
mogunost uopte ne treba da razmatraju. Oni treba da insistiraju na autentifikaciji jedino uz
pomo smart kartica ili USB tokena.


59

10. Zatita udaljenih servisa

Ovde e biti opisana neka zanimljiva reenja koja bi mogla da prue uvid kompanijama u to
kakve im sve mogunosti stoje na raspolaganju. ak i gigant kakav je Microsoft svoje nove
proizvode uurbano prilagoava novim tendencijama poslovanja. To se pre svega odnosi na
Office, Microsoft-ov proizvod koji je verovatno najrasprostranjeniji u svetu. Microsoft nudi
ovakav servis kao pandan za Google apps za fizuka lica potpuno besplatno. Za kompanije bi
moglo da bude reenje da uz Windows server 2008 koji moe da se iznajmi u Cloud-u na
njega dodaju dodaju Share point foundation i Office Web app (ove komponente su besplatne
ukoliko korisnik ima licencu za Windows 2008). One omoguavaju korisnicima da preko
Web pretraivaa pristupaju Office aplikacima iako nemaju instaliran Office na svojim
radnim stanicama. Microsoft e uskoro izai na trite i sa novim integrisanim proizvodom
koji se zove Office 365 to pokazuje jasne namere ove kompanije da eli sve vie da ulae u
ovu oblast.
Pored Office i Google apps aplikacija, koje su interesantne najveem broju korisnika, preko
Web pretraivaa moe na isti nain da se pristupa i drugim aplikacijama bilo da ih je
kompanija kreirala samo za sebe ili je iznajmila neke ve postojee. Softvare as a Service
mogao bi da nae primenu u sledeim oblastima:
Poslovni informacioni sistem
Edukacija
Document Management System

10.1. Poslovni informacioni sistem

Kada se govori o poslovnom informacionom sistemu koji se moe ponuditi kao servis pre
svega se misli na aplikacije za voenje knjigovodstva. Na tritu postoji bezbroj dobrih ili
manje dobrih reenja. Svi ovi programi rade uglavnom pod Windows operativnim sistemom
kao desktop ili client - server aplikacije. To i jeste njihov glavni nedostatak.
One su veoma komplikovane za instalaciju kod korisnika dok se za programiranje obino
koristi Microsoft .NET platforma, a za pokretanje aplikacija na klijentskoj strani neophodan je
.NET framework ije nove verzije Microsoft objavljuje veoma esto. Neke od ovih aplikacija
su napravljene tako da svaka promena verzije framework-a zahteva kompletnu reinstalaciju
programa kod korisnika to podrazumeva zastoj u radu i druge probleme. Kao to je ve
reeno to su uglavnom client server aplikacije koje su spore ukoliko se radi o udaljenom
serveru pa korisnici na odziv ekaju dugo to je neugodno ukoliko neki upit iz baze podataka
treba da predaju klijentu koji stoji ispred njih.
U razvijenim zemljama ovakve aplikacije odavne se nude kao servis preko Interneta. Korisnik
vie ne mora da brine o instalaciji aplikacije, njenim verzijama ili tehnikoj podrci.
Aplikacija je instalirana na Web serveru i brzo i lako joj se pristupa sa bilo koje lokacije.
Njeno odravanje je jednostavno jer programer sada ima aplikaciju samo na jednom mestu to
mu znaajno olakava posao. Ovakve aplikacije za sada ne postoje u Srbiji ali se njihov razvoj
najavljuje.

60
Bezbedna komunikacija izmeu izmeu udaljenog korisnika i ovakve aplikacije je od kljune
vanosti. Ukoliko se poe od predpostavke da je provajder koji hostuje aplikaciju pouzdan
ostaje samo da se uz pomo SSL protokola odnosno korienjem digitalnog sertifikata
obezbedi pre svega sigurna komunikacija, a uz pomo digitalnog potpisa da podaci koji su
uneti ne mogu biti promenjeni, to je za rad sa finansijskim podacima od kljune vanosti.
Korienje PKI infrastrukture u Web aplikacijama za knjigovodstvo svakako bi veoma
doprinelo tome da korisnici ne brinu o tome da li su njihovi podaci bezbedni iako se ne nalaze
u kompaniji. Treba istai da e ovakve aplikacije u budunosti biti dominantne na tritu i da
je neophodno da se paralelno sa njihovim razvojem mora ulagati i u njihovu bezbednost.

10.2. Edukacija

Edukacija podrazumeva pre svega novi i sve popularniji servis koji se zove e-learning. Ovaj
servis se sve vie koristi i u naoj zemlji i pokazao se kao odlina alternativa tradicionalnom
nainu uenja. Nastavni materijali, predavanja, online testovi i ostale pogodnosti koje prua
ovakav servis sada su postali dostupni korisnicima sa bilo koje lokacije pod uslovom da
postoji brza Internet konekcija. Ideja je da pored online predavanja studenti mogu da polau i
online testove ili od svojih kua ili u nekoj specijalizovanoj uionici. Ukoliko bi se polagali u
tano dogovoreno vreme i bili vremenski ogranieni studenti ne bi mogli meusobno da se
dogovaraju ak iako ih niko ne kontrolie. Testovi koji se polau preko Interneta trebalo bi
svakako da budu digitalno potpisani od strane uenika ili studenta ime bi se izbegla svaka
eventualna zloupotreba.
Zbog znaajnog smanjenja trokova koje obezbeuje proces uenja na daljinu razmatra se
mogunost irenja i na ostale aspekte obrazovnog sistema. Postojae mogunost, a jedan
takav projekat je sada u pilot fazi, da roditelji imaju potpun uvid u ocene kao i u izostanke
svoje dece iz kole. Takoe se razmatra mogunost ocenjivanja testova preko Interneta.
Ocenjivanje bi vrili pre svega nastavnici, profesori i mentori mada modernizacija nastave
podrazumeva da i nastavni kadar moe da bude ocenjivan od strane uenika ili studenata.
Proces ocenjivanja je svakako najosetljiviji deo ovog sistema jer bi svaka zloupotreba mogla
dovesti do kompromitovanja samog sistema kao i pojedinaca koji na njemu rade. Najbolji
nain da se poces ocenjivanja preko Interneta uini bezbednim jeste da se koriste smart
kartice za autentifikaciju i pristup sistemu. Takoe, smart kartice bi se koristile i za digitalno
potpisivanje elektronskih dnevnika to bi uticalo na to da je praktino nemogue da neko
izmeni ocenu, a da to ne bude primeeno. Naravno elektronski dnevnici trebalo bi da se
nalaze na dobro zatienim serverima, a njihovu izradu treba poveriti proverenoj kompaniji
koja razume potrebu za pisanjem bezbednih Web aplikacija.

10.3. Document Management System

Document Management System (DMS) je platforma koja u osnovi predstavlja centralizovano
skladite sadraja (svih vrsta fajlova:word, excel, zvunih i video zapisa itd.) nad kojima se
mogu izvravati radni tokovi kao deo poslovnih procesa, uz potovanje svih internih i
eksternih pravila i propisa (prava pristupa podacima, menjanja sadraja, odobravanja,
objavljivanja itd.).
Centralnom skladitu je mogue pristupati na vie naina:
kroz web interfejs

61
kao windows deljeni disk (CIFS)
kroz namenski pisane aplikacije
Web servise
WebDAV
FTP
NFS
Pri svakom od ovih naina pristupa potuju se ugraena pravila za radne tokove i prava
pristupa. uvanje sadraja u centralnom skladitu (koje moe da bude na vie lokacija ali ga
korisnici vide kao jedan) donosi viestruke prednosti, koje se pre svega ogledaju u
bezbednosti sadraja (kvar radne stanice ne dovodi do gubitka podataka, prava pristupa su nad
celim sistemom), jednostavnog i veoma efikasnog pretraivanja sadraja (sadraji se ne
pretrauju samo po meta podacima kao to je naziv fajla, ve i po samom sadraju, bez obzira
da li je to word, excel ili powerpoint) kao i njegovoj trenutnoj dostupnosti (ne mora se traiti
slanje sadraja od korisnika koji je taj sadraj napravio ili trenutno poseduje). Druge
funkcionalnosti u vezi sa upravljanjem sadraja koje poseduje DMS platforma su automatsko
uvanje svih verzija nekog sadraja fajla (versioning), rad vie korisnika na jednom sadraju
(colaboration), kao i mehanizam za spreavanje sluajnog brisanja sadraja (undelete).
Kao to je ve reeno u sluaju Web aplikacija podaci koji se unose preko Web forme na
klijentskom raunaru bezbednim kanalom putuju do servera. Slino je i sa fajlovma koji se
nalaze na namenskim serverima ili cloud serverima. Bilo da se radi o obinim fajl serverima
ili o DMS-u potrebno je da se uspostavi bezbedan kanal kroz koji e ti podaci prolaziti.
Takoe, komunikacija izmeu Web pretraivaa i DMS-a obavlja se posredno to omoguava
da server na kome se nalazi DMS ostane nevidljiv za korisnika.

10.4. Dodatna zatita

Kako je ve reeno osim bezbedne komunikacije izmeu klijentskog raunara i udaljenog
servera veoma je vano da se pristup aplikacijama, kao i same aplikacije osiguraju na neki
nain. Podaci koji se obrauju uz pomo ovakvih aplikacija veoma su osetljivi za kompaniju
ili neku obrazovnu instituciju. Ve smo rekli da se kod aplikacija za poslovni informacioni
sistem radi pre svega o knjigovodstvu. Zamislimo da jedan takav podatak kao to je zavrni
raun neke kompanije bude kompromitovan na bilo koji nain. Kakav bi tek problem mogao
da nastane ukoliko bi neko za drugoga polagao testove ili jo gore menjao ocene u nekom
online dnevniku.
Sve ovo moe da se sprei korienjem smart kartica koje na sebi imaju kvalifikovani
digitalni sertifikat ija zloupotreba za sobom povlai krivinu ogovornost. Kada knjiogovoa
digitalno potpie zavrni raun ili student digitalno potpie svoj test oni su potpuno mirni jer
znaju da te podatke vie niko ne moe da promeni. S druge strane ne postoji mogunost
poricanja da su odreeni dokument potpisali ba oni.
U oba ova sluaja interesantno je da se ne radi o direktnom potpisivanju dokumenata ve se to
ini na posredan nain. Kao to je reeno radi se o aplikacijama odnosno o Web formama
kroz koje se podaci unose. To zahteva dodatne alate koji se koriste da bi se od forme napravio
PDF dokument koji se zatim lako moe potpisati. Evo nekoliko primera:
Korienje komercijalnih biblioteka za JavaScript koje se koriste za generisanje PDF
dokumenta, a prednost ovakvog reenja je to se ono kompletno odvija na klijentskj
strani.

62
Konvertovanje na serverskoj strani uz pomo PHP skripta ili Java aplkacije to
podrazumeva da je obezbeen pouzdan kanal koji omoguava da se Web forma
bezbedno prosledi do servera, a generisani dokument bezbedno poslati do klijentskog
raunara na kome treba da bude potpisan
Za konvertovanje se koristi J ava Applet koji preuzimanje Web fome i njeno
prevoenje u PDF dokument obavlja na kijentskoj strani ali je potrebno da se za svaku
razliitu Web formu napravi poseban J ava Applet

Svaka od ovih varijanti ima svoje prednosti i nedostatke, a na security provajderima je da u
dogovoru sa klijentom izaberu za obe strane prihvatljivo reenje. Postoje kompanije koje
prave bezbedne Web aplikacije i one koje to ne rade. Kompanija koja kupuje reenje treba da
proveri refernce prodavca softvera i da proveri bezbednosne mehanizme koje koristi u svojim
aplikacijama. Oblast bezbednosti i zatite Web aplikacija veoma je interesantna ali ona nije
tema ovog rada tako da nee biti detaljnije obraivana.


63

Zakljuak

U ovom radu bilo je rei o organizaciji zatite informacionih sistema. Na poetku rada
prikazana je metodologija po kojoj je istraivanje obavljeno to je pored ostalog
podrazumevalo predmet istraivanja, ciljeve i zadatke istraivanja, istraivake hipoteze,
metode istraivanja i tok istraivakog procesa.
Cilj ovog rada bio je da se prikae situacija na tritu usluga koje se pruaju u oblasti zatite
informacionih sistema. Ukoliko bi se neka kompanija odluila na primer da osigura bezbednu
komunikaciju izmeu svojih radnih stanica koje se ne nalaze samo u lokalnoj mrei i svojih
servisa koji se nalaze kod razliitih provajdera imala bi potekoa da to ostvari. Temeljno
viemeseno istraivanje pokazalo je da i ovakav na izgled jednostavan zahtev nije
jednostavno sprovesti u delo. U ovom radu data su reenja i konkretni predlozi koji mogu da
pomognu IT menaderima u kompanijama da prevaziu neke od problema prilikom
implementacija bezbednosnih reenja.
Na poetku rada dat je pregled potreba koje kompanije imaju u oblasti informacionih
tehnologija, a koje su uslovljene savremenim poslovanjem koje podrazumeva da informacije
budu dostupne uvek bez obzira na to gde se zaposleni u kompaniji trenutno nalaze. Takoe je
bilo rei i o tome da korisnici ele da se njihove informacije nalaze na sigurnim serverima, a
da se komunikacija do njih odvija na bezbedan nain.
Oblast kojoj je u ovom radu posveeno dosta panje jeste i security management odnosno
upravljanje zatitom. O ovoj oblasti zatite koja je veoma vana kod nas se veoma malo zna.
Zbog toga e informacije koje su ovde ponuene sasvim sigurno biti od velike pomoi
sadanjim i buduim IT menderima, kao i menaderima koji vode rauna o bezbednosti
informacionih sistema kako bi unapredili poslovanje svojih kompanija u ovoj oblasti.
Kada se govori o raunarskim mreama svakako se mora neto rei i o OSI modelu koji je
veoma vaan za razumevanje naina na koji funkcioniu raunarske mree. Pored toga ovde
je bilo rei i o sigurnosnim protokolima koji se koriste za bezbednu komunikaciju odnosno o
IPsec protokolu, a detaljno je opisan i SSL protokol. Ovaj protokol se sve vie upotrebljava
pre svega zbog svoje fleksibilnosti koja se najvie ogleda u jednostavnosti korienja kroz
Web pretraiva koji se sve vie koristi ne samo za pretraivanje ve i za pokretanje Web
aplikacija kao i drugih Web servisa.
Tehniki obueni korisnici, sve ea upotreba mobilnih ureaja kao to su mobilni telefoni ili
laptop raunari, pojava namenskih hardverskih ureaja, a pre svega virtualizacija i ravoj
Cloud computing-a doveo je toga da je postalo neophdno da se preispita opravdanost sadanje
organizacije raunarskih mrea naroito manjih kompanija. Ovde je data detaljna analiza
sadanjeg stanja, kao i smeli predlozi koji podrazumevaju bolju iskorienost mrenih resursa
kao i znatno smanjenje trokova koje bi se time postiglo.
Neophodnosti izmetanja podataka ili mrene infrastrukture kod specijalizovanih provajdera
uslovljena je sve povoljnijom ponudom namenskih servera kao i ekspanzijom virtualizacije
koja predstavlja osnov za Cloud computing. Izmetanje podataka i infrastrukture kod
specijalizovanih provajdera prua bolju dostupnost ovih resursa zaposlenima u kompaniji bez
obzira na to gde se oni u odreenom trenutku nalaze.
Kada je bilo rei o upravljanju identitetom pre svega je skrenuta panja na opasnosti koje
vrebaju korisnike kroz metode socijalnog inenjeriga. Mnogi korisnici iako poseduju solidno

64
znanje o raunarima mogu da upadnu u zamku zlonamernih ljudi koji krstare Internetom u
potrazi za rtvom od koje e moi da ukradu njen digitalni identitet i da ga kasnije
zloupotrebe. J edina prevencija pored stalne edukacije jeste dosledna primena PKI
infrastrukture pre svega za autentifikaciju jer jedino u tom sluaju korisnik moe da bude
siguran da komuicira sa odgovarajuim serverom. Takoe na serverskoj strani se uvaju
podaci o digitalnom sertifikatu korisnika ijom se proverom prilikom autentifikacije spreava
bilo kakva zloupotreba.
Bezbedna komunikacija obezbeena je pre svega preko vienamenskog specijalizovanog
hardverskog ili virtualnog ureaja koji se naziva SSL VPN ureaj. Pored mogunosti da se na
njega instalira serveski sertifikat to je njegova verovatno najbolja karakteristika on takoe
moe da bude mreni firewall, a sa ubrzanim razvojem Web aplikacija sve vie se koristi i kao
application firewall. SSL VPN ureaj moe da radi kao SSL portal VPN i kao SSL tunel
VPN, a svaki od njih ima svoje prednosti i nedostatke.
Zbog potrebe da se dokae neophodnost postojanja nezavisnog servisa koji bi osigurao
bezbednu komunikaciju izmeu klijentskog raunara i udaljenog servera nastao je ovaj rad.
Security servis, nezavistan od provajdera koji hostuju druge servise neke kompanije prua
mogunost da moe da ga koristi veliki broj manjih kompanija za koje je do sada bezbedna
komunikacija predstavljala veliki problem zbog ogranienih finansijskih sredstva izdvojenih
za ovu namenu.
Praktina primena security servisa mogua je pre svega u korienju poslovnih Web
aplikacija, kao i drugih servisa kao to su e-learning ili DMS koji se nalaze na udaljenim
serverima. Takoe prikazana su i neka praktina reenja koja su vezna za digitalno
potpisivanje Web formi o emu se do sada kod nas veoma malo znalo.
Kao to je ve reeno ovaj rad namenjen je pre svega strunjacima iz oblasti informacionih
tehnologija jer obuhvata irok dijapazon tema koje se tiu bezbednosti i svakao moe da im
bude od pomoi kada budu uvodili neke od elemenata zatite u informacione sisteme u svojim
kompanijama.


65
Literatura

[1] Vojna enciklopedija, drugo izdanje, knjiga 4, strana 714. Vojnoizdavaki zavod Beograd, 1972.
[2] Wikipedia, Information Security, http://en.wikipedia.org/wiki/Information_security
[3] Wikipedia, Kriptozatita, http://sr.wikipedia.org/wiki
[4] Wikipedia, OSI model, http://sr.wikipedia.org/wiki
[5] Wikipedia, Lokalna raunarska mrea, http://sr.wikipedia.org/wiki
[6] Netset, http://wmproba.atspace.com/srpski/technology_public_key_infrastructure.html
[7] Virtualna privatna mrea, http://sr.wikipedia.org/wiki
[8] Joseph Steinberg and TimSpeed, Understanding SSL VPN, Packt Publishing, 2005.
[9] Grupa autora, Guide to SSL VPNs, National Institute of Standards and Technology, 2008.
[10] Spec.App eljko Peki, SSL bezbjednost transportnog sloja, Univerzitet Mediteran, 2009.
[11] Dr Zoran M Urosevi, Uvod u raunarske telekomunikacije i mree - transportni deo, Tehniki fakultet u
aku, 2004.
[12] Vladan Nikaevi, Prikupljanje digitalnih dokaza na raunarskim mreama, Univerzitet Singidunum, 2009.
[13] Zakon o elektronskompotpisu
[14] Michael E. Whitman and Herbert J. Mattord, Management of Information Security, Course Technology,
2008.
[15] Svet kompjutera http://www.sk.rs/2005/11/skin05.html
[16] Svet kompjutera http://www.sk.rs/2005/04/skin06.html
[17] Stonesoft, http://www.stonesoft.com/en/press_and_media/brand_place/illustrations/
[18] Marko Herman, Upravljanje identitetom, http://www.pcpress.rs/arhiva/tekst.asp?broj=156&tekstID=8834
[19] Clarity accounting, Security bookkiping, https://www.clarityaccounting.com/help/index.php/tag/security/
[20] Wikipedia, Network attached storage, http://en.wikipedia.org/wiki/Network-attached_storage

Organizacija Zaštite Savremenih Informacionih Sistema

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Organizacija Zaštite Savremenih Informacionih Sistema

Uploaded by

Copyright:

Available Formats

DEPARTMAN ZA POSLEDIPLOMSKE STUDIJE

-MASTER STUDIJSKI PROGRAM-

You might also like