INFORMACIONA BEZBEDNOST – TEHNIČKI ASPEKAT Lazar Petrovic- Tehnicki aspekt... · informacioni sistem - tehniČki sistemi

INFORMACIONA BEZBEDNOST 2013

INFORMACIONA BEZBEDNOST –TEHNIČKI ASPEKAT

Prof dr Lazar D Petrović dipl el inžProf. dr Lazar D. Petrović, dipl. el. inž.E - mail: [email protected]

8.3.2013 INFORMACIONA BEZBEDNOST 2013

1

1. Pojam i definicija informacije– Potreba i sposobnost komuniciranjaPotreba i sposobnost komuniciranja– Telekomunikacioni postupci

I f ij– Informacija - razmena u procesu komuniciranja ili telekomuniciranja

– Najopštija definicija informacije: obaveštenje, odnosno novosti koje pružaju novine, radio, televizija, vesti koje se dobijaju putem telefonije i telegrafije, tj. sva savremena tehnička sredstva namenjena za njihovo širenje


2i prenos

– Druga definicija spominje informaciju u području novih nauka, kibernetike, koja povezuje mnoga klasična područjapovezuje mnoga klasična područja nauke i kaže da je u njoj informacija kvalitativni faktor koji određuje poziciju j j p jnekog sistema i uticaj koji taj sistem ima na neki drugi sistemKib tik ( č k b lj– Kibernetika (grč. kybernao - upravljam, vladam, kormilarim).

• Informacija (lat informare dati oblik• Informacija (lat. informare - dati oblik, oblikovati, predstaviti uputstvo, obaveštenje, saopštenje o toku radova ili o j p jnečijoj delatnosti, podatak o nečemu)

• prid. informacioni - koji se odnosi na bilo k ji blik i f ij


3

koji oblik informacije

Tehnička definicija Informacije - mera neizvesnosti nekog događaja ili pojave• Informacija – nematerijalne prirodeInformacija nematerijalne prirode• Signal - fizički (materijalni) nosioc informacije• Osnovne temelje Teorije informacija postavili su 1948.

godine Norbert Wiener i Claude Shannon, koja je kasnije našla svoju veliku primenu u svim granama nauke. Značajan doprinos razvoju Teorije informacija i TeorijiZnačajan doprinos razvoju Teorije informacija i Teoriji telekomunikacija dali su i ruski naučnici В. А. Котельников и А. А. Харкевич.

Standardi iz oblasti bezbednosti i zaštite informacija - informaciona bezbednost, sigurnost:

ISO 27001 ISO 17024 ISO 17025• ISO 27001, ISO 17024, ISO 17025• Standard u oblasti informacione (bezbednosti) sigurnosti

u oblasti obrazovanja: ISO / IEC 17799 - Information


4

u oblasti obrazovanja: ISO / IEC 17799 Information Security Menagement

2. INFORMACIONI SISTEM - TEHNIČKI SISTEMI

• Kibernetska definicija sistema:Sistem je relativno izolovana struktura kojaj jvrši određenu funkciju

– Struktuiranost– Relativna izolovanost– Funkcionalnost

• Komunikacioni sistem• Komunikacijski i informatički sistem:• Komunikacijski i informatički sistem:

– Sistem za prenos– Sistem za komutaciju


5

informacioni sistem ≠ kompjuterski sistem

TELEKOMUNIKACIONI SISTEMIMODELI (TELE)KOMUNIKACIONOG SISTEMA


6

KOMUNIKACIONI SISTEM

Opšti model komunikacionog sistema


7

KOMUNIKACIONI SISTEM

Detaljni model komunikacionog sistema


8

3. Informaciona bezbednost• Informaciona bezbednost sprečavanje neautorizovanog• Informaciona bezbednost - sprečavanje neautorizovanog

pristupa svim elementima informacionih sistema: – izvoru informacija, – sistemima za prenos, – sistemima za obradu i – sistemima za čuvanje svih vrsta informacija.

• Informaciona bezbednost prvenstveno razmatra:– poverljivost (confidentiality)– poverljivost (confidentiality), – integritet (integrity) i – raspoloživost (availability) informacija.

• Izvor informacija - elementi informacionog sistema gde nastaju t i f ij b b i jih i i blik ( l i ilirazne vrste informacija bez obzira na njihov izvorni oblik (analogni ili

digitalni oblik): – govor, – pisane poruke, p p ,– nepokretna i pokretna slika, – podaci daljinskog merenja (telemetrijski podaci), – podaci daljinskog upravljanja (teleupravljajući podaci),

podaci koji se javljaju u račinarskim sistemima računarski podaci– podaci koji se javljaju u račinarskim sistemima – računarski podaci.


9

ISTORIJSKI RAZVOJ

• 60 - ih godina - komunikaciona bezbednost(COMSEC – communication security)

• 70 ih godina kompjuterska bezbednost• 70 – ih godina - kompjuterska bezbednost(COMPUSEC – computer security)

• 80 – ih godina COMSEC i COMPUSEC80 ih godina COMSEC i COMPUSEC objedinjene u informacionu bezbednost(INFOSEC - information security) - integriše

ij d j di i liranije odvojene discipline:– bezbednost personala, – kompjutersku bezbednostkompjutersku bezbednost, – komunikacionu bezbednost – operativnu bezbednost


10

Interdisciplinarnost pojma IB– Predmet tehničko - tehnoloških naučnihPredmet tehničko tehnoloških naučnih

istraživanja (u oblasti informatike, elektromagnetike, obrade signala, itd.),

– U oblasti humaniratnih naučnih istraživanja (sociologije, psihologije, prava, politologije, itd.)

• Obrazovanje stručnjaka za informacionu b b d t ž i ditibezbednost se može izvoditi: – na univerzitetetima, – u specijalizovanim nastavnim centrima i – u centrima na nivou ustanova za potrebe

k i ikkorisnika8.3.2013 INFORMACIONA BEZBEDNOST

201311

TEHNIČKI PROBLEMI ČU VEZI SA EM ZRAČENJEM:

1. Elektromagnetne smetnje (EMS) koje ugrožavaju kompatibilnost posmatranogugrožavaju kompatibilnost posmatranog elektronskog sredstva

2 Elektromagnetna zračenja (EMZ)2. Elektromagnetna zračenja (EMZ)štetna po zdravlje živih bića

3 P it (i f i )3. Parazitna (informaciona) elektromagnetna zračenja (PEMZ) -

ž lj ti j i f ijneželjeno oticanje informacija8.3.2013 INFORMACIONA BEZBEDNOST

2013

Oticanje i zaštita podataka u ISOticanje podataka i informacijaOticanje podataka i informacija• Tehničkim kanalima - emisionim i

konduktivnim putemkonduktivnim putem• Unutrašnjim kanalima – špijunaža

Zaštita podataka i informacija:p j• integritet informacija• raspoloživost i pouzdanost informacija• raspoloživost i pouzdanost informacija• poverljivost informacija


13

TEHNIČKI I ORGANIZACIONI ASPEKTI PROTIVELEKTRONSKEZAŠTITE RAČUNARA I MREŽE RAČUNARA OD PARAZITNIH

Č(INFORMACIONIH) ELEKTROMAGNETNIH ZRAČENJA

• Elektronski računar kao i svako drugoelektronsko sredstvo generiše elektromagnetnuelektronsko sredstvo generiše elektromagnetnuenergiju, putem koje vrši uticaj na drugaelektronska sredstva u svom okruženju.• Opasnost od oticanja sadržaja podataka(informacija) koji se obrađuju u konkretnomsredstvu ili se prenose prekop ptelekomunikacionih sistema.• Posebno je aktuelno i opasno u funkcionalnimtelekomunikacionim i računarskim sistemimatelekomunikacionim i računarskim sistemimagde postoji potreba da se tim sistemimaprenose i obrađuju podaci i informacijepoverljive prirodepoverljive prirode.

8.3.2013 14INFORMACIONA BEZBEDNOST 2013

• Kada električna struja teče kroz bilo kojiKada električna struja teče kroz bilo koji provodnik ona generiše elektromagnetni (EM) talas. Ovaj talas se prostire brzinom

tl ti k k li i b t tjsvetlosti kroz okolinu, i obrnuto, tj. elektromagnetni talas generiše električnu struju u bilo kojoj provodnoj strukturi kojastruju u bilo kojoj provodnoj strukturi koja se nađe na njegovom putu. Nivo indukovane električne struje zavisi od

lit d l kt t t l k ji jamplitude elektromagnetnog talasa koji je uzrokuje. Tako, električni i elektronski sistemi, svi računari i telekomunikacionasistemi, svi računari i telekomunikaciona oprema i svi metalni kablovi kojima se oni spajaju, zrače na opisani način i u

lji i i imerljivim iznosima. 8.3.2013 15INFORMACIONA BEZBEDNOST

2013

• Elektromagnetna energija se od izvora doElektromagnetna energija se od izvora do prijemnog uređaja može prenositi vođenjem, kada su izvor i prijemnik di kt j i d i ili dlji idirektno spojeni vodovima ili vodljivim pločama, ali isto tako električnom ili magnetnom spregom na manjimmagnetnom spregom na manjim udaljenostima ili zračenjem na većim udaljenostima. Dobro poznavanje pojave u EM i t i i i đ k i ih iEM sistemima i veze između korisnih i parazitnih signala važno je, ne samo za ispravan rad pojedinih vrsta uređaja negoispravan rad pojedinih vrsta uređaja nego je često od prvorazrednog značaja za tajnost poruka u telekomunikacionim ili č ki i t iračunarskim sistemima.


SISTEMI ZA ELEKTRONSKO IZVIĐANJE (ŠPIJUNAŽU) PUTEM KOMPROMITUJUĆEG

ČELEKTROMAGNETNOG ZRAČENJA • Moderna satelitska tehnologija omogućava

t j k t ć i šć iosmatranje pokreta sa većom preciznošću i sa veće udaljenosti, nego što bi se čovek –špijun ikad nadao da se to može postićišpijun ikad nadao da se to može postići

• ELINT uređaji mogu biti:Ubačeni (ugrađeni) uređaji zahtevaju neku– Ubačeni (ugrađeni) uređaji zahtevaju neku vrstu upada na tuđu teritoriju Neubačeni (neugrađeni) ELINT uređaji rade– Neubačeni (neugrađeni) ELINT uređaji rade na bazi prijema EM zračenja pošto se ono prostire slobodnim prostorom (kroz etar) p p ( )


SISTEMI ZA ELEKTRONSKO IZVIĐANJE (ŠPIJUNAŽU) PUTEM KOMPROMITUJUĆEG

ČELEKTROMAGNETNOG ZRAČENJA

Monitorisanje sadržaja prenošenih iMonitorisanje sadržaja prenošenih i obrađivanih podataka posebno je ineresantno u računarskim sistemimaineresantno u računarskim sistemima. Zbog načina rada monitora u računarskim sistemima moguće jeračunarskim sistemima moguće je, neprofesionalnom opremom, rekonstruisati sadržaj računarskogrekonstruisati sadržaj računarskog ekrana sa rastojanja većeg od 1 km


• Monitorisanje sadržaja prenošenih i obrađivanih podataka posebno je ineresantno u računarskim sistemima Zbog načina rada monitora usistemima. Zbog načina rada monitora u računarskim sistemima moguće je, neprofesionalnom opremom, rekonstruisati sadržaj č k k t j j ć d 1 kračunarskog ekrana sa rastojanja većeg od 1 km

• Pored značajnih prednosti koje donose savremena tehničko – tehnološka sredstva i rešenja u razvojutehničko tehnološka sredstva i rešenja u razvoju civilizacije taj isti tehnički napredak ima značajnu ulogu i u podsticanju društveno štetnih pojava

• Organizovane kriminalne grupe predstavljaju društveni sloj koji najupornije i najdoslednije prati razvoj novih tehnologija, maksimalno podešavajući j g j , p jsvoje delovanje tim novim tehnološkim dostignućima


• Savremene telekomunikacije, a posebno javna mobilna telefonija, kao novo j j ,tehničko - tehnološko rešenje u oblasti telekomunikacija, unela je veliku olakšicu j , ju oblasti komunikacije i promenila doživljaj sadržaja poruke koja se prima (u j j j p j p (odnosu na fiksni telefon).

• Savremena tehničko-tehnološka rešenja mogu biti aktivno korišćena umogu biti aktivno korišćena u organizovanom kriminalitetu


• Mogućnost dolaženja do sadržaja obrađivanih podataka u računarskim i drugim elektronskim sistemima putem parazitnih ili kompromitujućih elektromagnetnih zračenja, u vreme razvijene tehnike i moderne tehnologije predstavlja realnutehnike i moderne tehnologije, predstavlja realnu opasnost na koju se, pogotovu u funkcionalnim sistemima, mora obratiti posebna pažnjasistemima, mora obratiti posebna pažnja

• Neosporno je da se putem parazitnihNeosporno je da se putem parazitnih elektromagnetnih zračenja mogu hvatati i obrađivati informacije koje se obrađuju u j j jračunarima i drugim elektronskim sredstvima i sistemima i to kako sa bliskih tako i sa većih

d lj tiudaljenosti8.3.2013 21INFORMACIONA BEZBEDNOST

2013

Praktični saveti za smanjenje mogućnosti daljinskogza smanjenje mogućnosti daljinskog

monitorisanja personalne računarske opreme1 Koristiti računarsku opremu koja1. Koristiti računarsku opremu koja

zadovoljava savremene standarde po pitanju zračenja – TEMPEST normepitanju zračenja TEMPEST norme

2. Ne uključivati sistem sa skinutim2. Ne uključivati sistem sa skinutim poklopcima

3. Kućišta celokupne računarske opreme treba da budu od metala

22

opreme treba da budu od metala8.3.2013 INFORMACIONA BEZBEDNOST

2013

4. Koristiti samo oklopljene ili optičke kablove za sva povezivanja u p jsistemu

5. Svi kablovi za međusobno povezivanje moraju biti što je j j jmoguće kraći i uredno složeni

6. Koristiti dodatne specijalne EMI filtre koji se stavljaju u zidne utičnice gde se uključuje mrežni kabal uređaja


7. Koristiti specijalne EMI filtre za o st t spec ja e t e amodularne telefonske utikače koji se stavljaju na telefon ili modem, ili j j ,direktno na servisni ulaz u kućištu računara

8 Držati telefonsku liniju što dalje od8. Držati telefonsku liniju što dalje od mrežnih kablova računara, perifernih jedinica i zadnje straneperifernih jedinica i zadnje strane monitora (CRT)


9. Koristiti feritne zavojnice i9. Koristiti feritne zavojnice i razdvojene prstenove za sprečavanje zračenja EMI signala p j j gsa površine kablova

10. Izvršiti dobro uzemljenje EMI oklopa računarske opreme

11.Koristiti specijalne bajpas11.Koristiti specijalne bajpas kondenzatorske filtre


12.Smanjiti električnu impedanciju našto je moguće nižu vrednost, prekocelog opsega frekvencija EMIcelog opsega frekvencija EMI signala

U ljiti k ćišt i k bl– Uzemljiti kućište i kablove– Koristiti pletenicu - traku ili široki

b k i j j i li lj jbakarni sjajni lim za uzemljenje– Izvršiti fizičko povezivanje EMI signala

na aktuelno uzemljenjena aktuelno uzemljenje– Koristiti nerđajuće čelične spojnice,

zakivke i zaptivke zajedno sazakivke i zaptivke zajedno saspecijalnom neoksidirajućomelektričnom pastom

26

električnom pastom8.3.2013 INFORMACIONA BEZBEDNOST

2013

13. Izvršiti oklapanje monitora iračunarske opreme smeštanjem u p jžičani ili metalni Faradejev kavez

14 Voditi računa kod izbora tastature14.Voditi računa kod izbora tastature15.Koristiti uzemljenje dužine reda

234/ (MHz), zatim ga neznatnoskratiti

16.Ukrštanje parica provodnika u kablu je najefikasni način da se j jzaustavi RF zračenje


Lista prioritetnih istraživanja u oblasti IB:• upravljanje u oblasti bezbednosti kompanija, p j j p j ,• bezbednost distribuiranih autonomnih grupa, • ispitivanje bezbednosti i analiza ranjivostiispitivanje bezbednosti i analiza ranjivosti, • mogućnost regeneracija sistema i mreža,

it j id tifik ij• pitanje identifikacija, • bezbednost bežičnih sistema, • kriterijumi i modeli (zasnovanost investicija i

dozvoljeni nivo rizika) i • pitanja zakonodavnih, političkih i ekonomskih

aspekata informacione bezbednosti


28

ZAKLJUČAK1. Informaciona bezbednost, kao vid bezbednosti,

neodvojivi je deo informacionog društva.2 Savremeno informaciono društvo je2. Savremeno informaciono društvo je

nezamislivo bez ozbiljnog tretiranja informacione bezbednosti.

3. Informaciona bezbednost je postala osnovna komponenata nacionalne bezbednosti.

4. Informacioni sistem nije isto što i kompjuterski sistem.

5 Informaciona bezbednost zahteva i posebno5. Informaciona bezbednost zahteva i posebno obrazovanje kadrova.


29

ZAKLJUČAK6. Informaciona bezbednost kao nov, složen

i interdisciplinaran pojam je predmetč ih i t ži jnaučnih istraživanja:

– tehničko - tehnoloških (u oblasti informatike, l kt tik b d i l itd ) ielektromagnetike, obrade signala, itd.), i

– humaniratnih naučnih istraživanja (u oblasti sociologije psihologije prava politologijesociologije, psihologije, prava, politologije, itd.).

7. Donošenje Zakona o informacionoj bezbednosti u Srbijij


30

Samo ako su pojedinci svesni pretnjiSamo ako su pojedinci svesni pretnjikoje deluju na konkretne savremeneelektronske a pogotovu na računarskeelektronske, a pogotovu na računarskesisteme, mogu preduzeti odgovarajućepreventivne mere zaštite ili mogupreventivne mere zaštite, ili moguodlučivati o tome da li su te mere neophodno potrebneneophodno potrebne.


Udruženje sudskih veštakaUdruženje sudskih veštakaza informacione tehnologije

Danijelova 32 BeogradDanijelova 32 Beogradwww.itvestak.org.rs e-mail:

HVALA NA PAŽNJI

Prof dr Lazar D Petrović dipl el inžProf. dr Lazar D. Petrović, dipl. el. inž.E - mail: [email protected]


32

Documents

INFORMACIONA BEZBEDNOST – TEHNIČKI ASPEKAT Lazar Petrovic- Tehnicki aspekt... · informacioni sistem - tehniČki sistemi