Embed Size (px)
Citation preview
Sadržaj
UVOD...................................................................................................................................................2
1. PRINCIPI WEB-ZASNOVANOG ELEKTRONSKOG POSLOVANJA...........................3
2. BEZBJEDNOST I RIZICI.......................................................................................................4
2.1 RIZICI ELEKTRONSKOG POSLOVANJA.................................................................................6
2.2 INFORMACIONA BEZBJEDNOST U OBLASTI POSLOVANJA....................................................9
2.3 INFORMACIONO-ANALITIČKO OBEZBJEĐENJE POSLOVANJA.............................................10
2.4 ELEKTRONSKO POSLOVANJE I INFRASTRUKTURA ZAŠTITE...............................................11
3. NARUŠAVANJE INTEGRITETA PODATAKA (II SLOJ OSI MODELA)...................15
3.1 NAPAD I ZAŠTITA NA DRUGOM SLOJU OSI MODELA.........................................................16
3.2 DHCP NAPAD...................................................................................................................16
ZAKLJUČAK....................................................................................................................................22
Literatura.............................................................................................................................................25
Uvod
Elektronsko poslovanje, poznatije kao e-Business, mora biti definisano kao određeni trgovinski proces, baziran na automatizovanom informacionom sistemu, što se danas najčešće realizuje uz pomoć naprednih Web tenologija i sve većim brojem raspoloživih mrežnih servisa koji generalno olakšavaju sve procese koji posredno i neposredno opslužuju elektronsko poslovanje. Metode elektronskog poslovanja omogućavaju kompanijama povezivanje njihovih internih i eksternih sistema obrade podataka još efikasnije i fleksibilnije, u cilju veće zatvorenosti u odnosima sa dobavljačima i poslovnim partnerima i mnogo bolje zadovoljavanje potreba njihovih mušterija. U praksi, elektronsko poslovanje (e-Business) je mnogo više od elektronske trgovine (e-commerce). Elektronsko poslovanje stavlja akcenat na funkcijama koje se realizuju uz pomoć savremenih elektronskih dostignuća, dok je elektronska trgovina dio globalne strategije elektronskog poslovanja i teži da ostvari prihode putem World Wide Web-a , odnosno Interneta kako bi poboljšala veze sa klijentima i partnerima u cilju povećanja efikasnosti.Elektronsko poslovanje u širem smislu reči predstavlja organizaciju poslovanja firme u mrežnom okruženju kao i organizovanje poslovne komunikacije i brigu o njima, dok se njegov uži smisao može odnositi na vođenje poslova na Internetu odnosno kupovinu i prodaju. Američka kompanija IBM jeste kompanija koja je prva upotrebila izraz „Elektronsko poslovanje“ što je aludiralo na poslovanje koje se realizuje primjenom savremene elektronske tehnologije. U to vrijeme ovaj izraz se odnosio samo na poslovanja u oblasti elektronike dok se danas ovaj izraz upotrebljava kada podrazumjevamo obavljanje poslovnih procesa uz primenu savremenih elektronskih tehnologija, koje su zasnovane na simbiozi telekomunikacionih i informacionih tehnologija. Savremene tehnologije omogućavaju slanje velikog broja informacija u kratkom vremenskom periodu na velike razdaljine što u stvari omogućava preduzećima da efikasnije obavljaju svoje svakodnevne zadatke i budu konkurentnija na tržištu.U dosadašnjem periodu elektronsko poslovanje doživjelo je posebnu ekspanziju u maloprodaji, izdavaštvu i finansijskim uslugama. Prednosti elektronskog polovanja u odnosu na tradicionalno su značajne, vezane su za povećanje kvaliteta i za sniženje prodajnih cjena, smanjenje vremena izlaska na tržište kao i realizovanje transakcija. Ono što je danas posebno popularno jeste razvoj elektronskih partnerstava, baziran na zajedničkom nastupu pojedinih firmi na elektronskom tržištu.Elektronska trgovina (e-commerce) jeste jedan podrazumjevani dio elektroskog poslovanja. Da bi pojam elektonske trgovine bilo moguće definisati treba se osloniti na poznavanje pojma trgovine uopšte. Riječ trgovina vodi poreklo od engleske riječi commerce koja može označavati različite tipove društvenih odnosa u smislu razmjene ideja, osećanja ili mišljenja, kao i proces robnonovčane razmjene i transport robe od mjesta do mjesta. Kao i u klasičnoj trgovini, i u elektronskoj prisutni su elementi: proizvod , mjesto, marketing, način za prijem narudžbina, način za prijem novca, isporuka , mogućnost vraćanja proizvoda, garancija i tehnička podrška. Za njih je karakteristično da u zavisnosti od stepena razvijenosti preduzeća u elektronskom smislu, neki manje a neki više, imaju prepoznatljiv tradicionalni karaker.
2
1. Principi WEB-zasnovanog elektronskog poslovanja
Ono što prvenstveno interesuje ljude koji pretražuju Web jesu korisne informacije, posebno ako one mogu odgovoriti na njihova pitanja i ispuniti njihove specifične potrebe. Takođe ih privlači i mogućnost da dobiju neki poklon, da neku vrijednu informaciju dobiju besplatno ili da se besplatno zabave, a to je često glavni razlog zbog koga će posećivati neku Web prezentaciju. Takve Web prezentacije imaju i veću šansu da budu odabrane u tematske kataloge i da budu dobro ocjenjene u diskusionim grupama i na forumima. Važni marketinški aspekti izgradnje Web prezentacije su:
Pravljenju Web-a mora prethoditi analiza interesa posjetilaca, jer će od zadovoljenja tog interesa zavisiti uspješnost Web prezentacije
Web prezentacija zamjenjuje skupe telefonske pozivne centre Web prezentacija, može da pruži personalizovane usluge, jer korisnik može
odrediti svoj profil tj. svoje specifične interese za informacijama
Važno je i motivisanje posjetilaca da ponovo posjete Web prezentaciju.Važno je i omogućiti korisniku prezentacije povezanost sa komplementarnim institucijama radi efikasnog završetka djela posla. Potrebno je da budu dostupne adrese preduzeća iz područja iste delatnosti. Komunikacija korisnika sa preduzećem treba da bude takva da korisnik što kraće čeka na odgovor.Prezentacija treba da sadrži i godišnji poslovni rezultat kao i referentne liste korisnika
2. Bezbjednost i rizici
Odnos između informacione bezbjednosti (IB) i poslovanja ima četiri različita aspekta (slika 4). Prvi se odnosi na proces pribavljanja poslovnih informacija o konkurentima a drugi na problem čuvanja poslovnih informacija u bazama podataka. Ekonomska strana IB – cjena «koštanja» sistema organizacije zaštite informacija i «cjena» gubitaka zbog neadekvatne zaštite informacija, kao dio audita i procene stanja IB, predstavlja treći aspekt tog odnosa. Kao četvrti aspekt, imamo tzv. Informacionoanalitičko obezbeđenje poslovanja. Naime, svaka država, u cilju sopstvenog napretka, mora stvoriti optimalne uslove u pogledu transparentnosti odvijanja ekonomskih procesa i sprečavanja birokratskih zloupotreba, nelojalne konkurencije i maksimalne obavještenosti svih učesnika o stanju na tržištu.Različite organizacije iz različitih razloga treba da štite informacije. Za banke je od presudnog značaja integritet informacija (neizmenljivost novčanih transakcija). Za provajdere Internet-usluga najvažnije su raspoloživost i pouzdanost informacija (dostupnost i pouzdan rad ključnih elemenata sistema)1. Za državne i vojne institucije najvažnija je povjerljivost (mogućnost da informacija pristupe samo ovlašćena lica) informacija itd. Kako se odlučiti za izbor sistema zaštite
1 E-commerce and e-Bussines, Zorayda Ruth Adam, maj 2003
3
informacija? Univerzalan recept ne postoji. Moguće je dati samo neke opšte preporuke. Kao prvo, troškovi za obezbeđenje zaštite informacija ne smiju da budu veći od veličine gubitaka koji mogu nastati usled napada (princip ekonomičnosti). U literaturi se sreću različiti podaci o tome koliko sredstava treba izdvajati za IB (od 5 do 20% !)i. Ono što je sigurno, to je činjenica da izdaci za sredstva zaštite informacija rastu sa razvojem informacionih tehnologija i da su u 2003.godini dostigli rast po godišnjoj stopi od 2,8%.IB, kada je reč o biznis-procesima, nije neka egzotična disciplina, već dio poslovanja. Informaciona tehnologija i IB poslovanje mogu učiniti krajnje efikasnim, ali i dovesti ga do propasti. Kao i sve u poslovanju, i IB mora imati svoju ekonomsku računicu o potrebnim finansijskim izdacima za realizaciju zaštite informacija. U skladu sa tim su definisani neko od modela: uprošćeni model procene gubitaka, model vraćanja investicija i model matematičke analize efektivnosti sistema bezbednosti Abalmazova. Za realizaciju funkcije IB pored sredstava potrebni su i kadrovski resursi – služba IB. U datom podnaslovu, pored aspekata ispoljavanja odnosa IB i poslovanja, date su osnovne postavke o organizaciji službe IB kao i rezultati nekih ispitivanja o odnosu IB i poslovanja.
Slika 4 Oblasti preslikavanja odnosa informacione bezbjednosti i poslovanja
a. Rizici elektronskog poslovanja
Elektronska trgovina se realizuje uz pomoć skupa tehnologija i procedura koje automatizuju poslovne transakcije putem elektronskih sredstava. Informacije se prenose putem elektronske pošte (e-mail), EDI sistema (Electronic Data Interchange) ili preko servisa WWW (World Wide Web) Interneta. Ekonomske posledice otkaza ili zloupotrebe Internet tehnologije mogu biti direktni finansijski gubici kao posledica prevare, zatim gubljenje vrijednih i poverljivih informacija, gubljenje poslova zbog nedostupnosti servisa, neovlašćena upotreba resursa, gubljenje poslovnog ugleda i poverenja klijenata kao i troškovi izazvani neizvesnim uslovima poslovanja. Rizici koje sa sobom nosi upotreba elektronske trgovine mogu se izbeći upotrebom odgovarajućih bezbjedonosnih mera. Bezbjednosni servisi generalno predstavljaju skup pravila koja se odnose na sve aktivnosti organizacije u vezi sa bezbjednošću . Svako preduzeće treba da ima odgovarajuću politiku bezbjednosti. Bezbjednosni servisi, u konkretnom tumačenju su
4
djelovi sistema koji realizuju aktivnosti adekvatnog štićenja ukoliko se jave bezbjednosne pretnje (obično djeluju na zahtjev).
Kriptografske tehnike, ili tehnike šifrovanja jesu tehnike koje se koriste u cilju zaštitie protoka podataka prilikom realizacija elektronskih transakcija. Elementi kriptogafske tehnike za zaštitu imeđu ostalih su: šifrovanje, dešifrovanje, ključ. Kriptografski algoritmi predstavljaju matematičke funkcije koje se koriste za šifrovanje i/ili dešifrovanje a mogu biti ograničeni algoritmi ili algoritmi zasnovani na ključu. Kriptografski algoritmi zasnovani na ključu djele se na simetrične i asimetrične. Simetrični koriste isti tajni ključ za enkripciju i dekripciju, dok se asimetrični baziraju na korišćenju različitih ključeva za enkripciju i dekripciju i postoji jedan javni i jedan tajni ključ poznat samo jednom od učesnika u komunikaciji. Postoje još i hibridni prisup kriptografiji, kriptografski ključevi i hash funkcije.Neizostavni proces zastupljen prilikom realizovanja elektronskog poslovanja je i proces utvrdjivanja identiteta osobe ili integriteta odredjene informacije poznatiji kao autentifikacija. Osoba se identifikuje digitalnim certifikatom. Kod poruke, autentifikacija uključuje utvrdjivanje njenog izvora, da li možda nije mjenjana ili zamjenjena u prenosu. Takođe se prolazi i kroz postpak autorizacije koji u stvari vrši ispitivanje da li je korisniku ili opremi dozvoljen pristup računaru ili podacima.Digitalni potpis predstavlja digitalnu verziju svojeručnog potpisa, služi osim da identifikuje autora poruka i da dokaže da poruka prilikom prenosa komunikacionim kanalom nije izmjenjena. Za kreiranje digitalnih potpisa koriste se hash funkcije. Identifikacija pošiljaoca dokazuje se na osnovu same mogućnosti dekripcije enkriptovane hash vrednosti, javnim ključem za koji se zna da pripada pošiljaocu (putem digitalnih sertifikata). Digitalni sertifikat je elektronska datoteka koja jedinstveno identifikuje pojedince i web sajtove na internetu i omogućuje sigurnu poverljivu komunikaciju. Potpisnik dig.sertifikata je sigurna treća strana, to su tela specijalizovana za brigu o dig.sertifikatima, izdaju ih, kreiraju i potpisuju i učestvuju u njihovoj distribuciji. Danas se koristi više vrsta dig.sertifikata: sertifikati sajtova, personalni sertifikati, CA sertifikati i sertifikati softverskih izdavača. SSL (secure socet layer) protokol je aplikativni sigurnosni protokol, koji služi za siguran prenos podataka preko weba a izvorno je razvijen od strane Netscape Communications. SSL omogućuje dvije bitne stvari: autentifikaciju i enkripciju. Omogućuje dva stepena zaštite: 40-bitnu ili 128-bitnu što odgovara dužini sesijskog ključa. Protokol TLS je verzija SSL protokola 3.1 a WTLS je verzija tog protokola za WAP aplikacije.SSH (Secure Shell) je protokol koji obebeđuje autentifikaciju, enkripciju i integritet podataka. SSH implementacije pružaju sledeće mogućnosti: siguran komandni shell, siguran prenos datoteka i udaljeni pristup različitim TCP/IP aplikacijama preko sigurnog tunela (ili prosleđivanje portova).Virtuelne privatne mreže (VPN) ili enkriptovani tuneli, mogu da omoguće sigurnu komunikaciju za povezivanje dvije fizički odvojene mreže preko interneta. Mogu da razmjenjuju saobraćaj kao da se radi o dva segmenta iste mreže. VPN se koriste kada je potrebno povezati udaljene lokacije na većim rastojanjima, pa takvo povezivanje postane skupo. Najbolje je koristiti isti ISP sistem.Takođe ne smijemo izostaviti proces verifikacije koji predstavlja proces ispitivanja poruke ili integriteta digitalnog potpisa izvodjenjem hash funkcije na strani pošiljaoca i primaoca poruke i uporedjivanje rezultata.Bezbjednost komunikacija označava zaštitu informacija u toku prenosa iz jednog sistema u drugi. Bezbednost u računarima označava zaštitu informacija unutar računara
5
ili sistema – ona obuhvata bezbednost operativnog sistema i softvera za manipulaciju bazama podataka. Mejre bezbednosti komunikacija i bezbednosti u računarima se kombinuju sa drugim mejrama (fizičko obezbjeđenje, bezbjednost osoblja, administracije, medijuma) radi ostvarenja pomenutih ciljeva.2
Svaki informacioni sistem neke kompanije koji je baziran na elektronskom poslovanju izložen je potencijalnim prijetnjama od strane spoljašnjih zlonamernih napadača. Potencijalne prijetnje jednom informacionom sistemu koji sadrži podsistem za elektronsku trgovinu mogu da budu neke od navedenih:
Infiltracija u sistem – Napadač pristupa sistemu i u stanju je da modifikuje datoteke, otkriva povjerljive informacije i koristi resurse sistema na nelegitiman način. U opštem slučaju, infiltracija se realizuje tako što se napadač predstavlja kao ovlašćeni korisnik ili korišćenjem slabosti sistema .
Suplantacija – Napadač ostavlja u sistemu neki program koji će mu omogućiti da olakša napade u budućnosti. Jedna od vrsta suplantacije je upotreba "trojanskog konja" – to je praktično nepoželjni softver koji se korisniku predstavlja kao normalan, ali koji prilikom izvršenja otkriva povjerljive informacije napadaču.
Promjena podataka na komunikacionoj liniji – Napadač može da promjeni informaciju koja se prenosi kroz komunikacionu mrežu. Na primer, on može namerno da menja podatke finansijske prirode za vrijeme njihovog prenošenja kroz komunikacioni kanal, ili da se predstavi kao ovlašćeni server koji od ovlašćenog korisnika zahtjeva povjerljivu informaciju.
Prisluškivanje – Napadač moze da pristupi povjerljivim informacijama (npr. lozinki za pristup sistemu) prostim prisluškivanjem protoka informacija u komunikacionoj mreži. Informacija dobijena na ovaj način može se iskoristiti radi olakšavanja drugih vrsta napada.
Prekoračenje ovlašćenja – Lice ovlašćeno za korišćenje sistema koristi ga na neovlašćeni način. To je tip prijetnje koju ostvaruju kako napadači iznutra ("insiders") tako i napadači spolja. Napadači iznutra mogu da zloupotrebljavaju sistem radi sticanja raznih povlastica. Napadači spolja mogu da se ubace u sistem preko naloga sa manjim ovlašćenjima i nastaviti sa infiltracijom u sistem koristeći takav pristup radi neovlašćenog proširenja korisničkih prava.
Odbijanje servisa – Zbog čestih zahtjeva za izvršenje složenih zadataka izdatih od strane neovlašćenih korisnika sistema, servisi sistema mogu postati nedostupni ovlašćenim korisnicima.
Negacija transakcije – Poslije izvršene transakcije, jedna od strana može da negira da se transakcija dogodila. Iako ovakav dogadjaj može da nastupi usled greške, on uvek proizvodi konflikte koji se ne mogu uvek lako rešiti.
b. Informaciona bezbjednost u oblasti poslovanja
Kada je riječ o pribavljanju ekonomskih informacija, sreću se različiti termini: konkurentsko izviđanje (competitive intelligence), biznis izviđanje, komercijalno izviđanje, poslovno izviđanje i industrijska špijunaža. Osnovna razlika među njima je da li se koriste zakonskim (konkurentsko izviđanje) ili nezakonskim (industrijska špijunaža) sredstvima. Sve vrste izviđanja osnovno uporište imaju u legitimnosti (etičnosti), t.j.
2 Зенковский А.К.,Защита информации в компьютерных системах – слагаемые успеха
6
pribavljanju informacija samo zakonskim i etičkim metodama (prospekti, objavljeni izvještaji, radovi iz stručne literature, predavanja, organizovane posjete, razmjena literature, različiti oblici poslovne saradnje itd.). Za razliku od konkurentskog izviđanja, industrijska špijunaža je dobijanje informacija ili podataka (bilo zakonitim ili nezakonitim putem) o konkurentu iz oblasti naučnog istraživanja, proizvodnje sa najnovijim tehnologijama kao i personalnih podataka rukovodećih ljudi (sa ciljem njihove zloupotrebe). Pored termina izviđanje, odnosno obavještajna djelatnost što je bliže originalnom izrazu – intelligence, u upotrebi je i termin kontraizviđanje. Kontraizviđanje služi za zaštitu i obezbjeđenje bezbjednosti privrednih subjekata od djelovanja konkurentskog izviđanja i obično ga izvršavaju pripadnici službe bezbjednosti. Obavještajna djelatnost (izviđanje) je namjenjena za pribavljanje strategijske (taktičke ili konkurentske) prednosti nad potencijalnim protivnikom (konkurentom), saznavanje mogućih rizika (opasnosti) ili mogućnosti i upravljanje njima. Osnovni zadatak konkurentskog izviđanja je obezbjeđenje strategijskog menadžmenta firme i njenog generalnog strategijskog marketinga. Pribavljene informacije omogućavaju donošenje najvažnijih odluka i rešenja u poglednu razvoja i budućnosti firmi. Ovako shvaćeno konkurentskog izviđanje obavljaju eksperti biznisa (za marketing, za planiranje, za menadžment itd.). Granica između konkurentskog izviđanja i industrijske špijunaže je veoma tanka.Industrujska špijunaža se organizuje na državnom nivou. Kao jedna od najugruženijih zemalja, kada je reč o industrijskoj špijunaži, SAD su 1996.god. donijele zakon o industrijskoj špijunaži. Neposredan povod je bio izveštaj načelnika federalnog biroa za istraživanje (FBI), po kome je u 1995.god. podignuto 700 optužnica za industrijsku špijunažu (poređenja radi u celoj 1944.god. iz sličnih razloga podignuto je samo 400 optužnica) ! Industrijska špijunaža je proglašena za jednu od prijetnji (rizika) za američku ekonomiju. Prema izveštaju Edvina Fridmana (objavljenom u Public Administration Reiview, 1995.god.), agenata FBI i asistenta na fakultetu kriminalnog prava pri ministarstvu za društveno upravljanje (Njujork), industrijska špijunaža je nanijela štetu američkoj ekonomiji od 25 do 100 milardi USD.
c. Informaciono-analitičko obezbeđenje poslovanja
Svi aspekti značaja IB u sferi ekonomskog poslovanja često nisu vidljivi na prvi pogled. Naime, u skladu sa nekadašnjim shvatanjima pod IB se obično tretira samo zaštita informacija zanemarujucii činjenicu da je pojam IB širi pojam koji podrazumjeva i drugu stranu medalje, a to je dostupnost ili otvoenost informacija za subjekte kojima je ona namenjena. Uspješnost poslovanja, kao i bilo koja druga djelatnost, je nezamisliv bez informaciono - analitičkog obezbjeđenja. Pod pojmom informaciono - analitičko obezbjeđenje podrazumjeva se dostupnost informacija svim privrednim subjektima pod jednakim uslovima čime se sprečava nelojalna konkurencija i, finansijskim dobitkom motivisano, dogovaranje učesnika, pre svega, u nabavkama. Informaciono-analitičko obezbjeđenje shvaćeno kao sigurnost u dostupnosti svim relevantnim informacijama potrebnim za uspješno poslovanje nije samo u interesu biznisa, već i države jer je uspješno polovanje privrednih subjekata garant nepretka cijelog društva pa samim tim i pojedinca. Problematiku informaciono – analitičkog obezbjeđenja biznisa reguliše država bilo preko svojih organa bilo pravnom regulativom rada nedržavnih sistema zaštite pravnog poretka i sistema bezbjednosti (detektivske, analitičarske i druge agencije) kao i regulativom
7
pristupa «otvorenim» informacijama. Ovoj problematici pripada i regulisanje rada profesionalnih udruženja (npr. advokatska komora) koja, između ostalog, kontrolišu profesionalnu etiku svojih članova.Problematika informacionog-analitičkog obezbeđenja proističe iz shvatanja da je dostupnost informacija sastavni dio pojma informacione bezbednosti odnosno sigurnosti društva i pojedinaca da niukom pogledu nisu uskraćeni za informacije koje im pripadaju. Posmatrano u ekonomskoj sferi, informaciona otvorenost doprinosi efikasnosti ekonomije na taj način što informaciono – analitička podrška doprinosi da preduzetništvo raspolaže sa adekvatnim procjenama rizika i da može donositi pravilne odluke o poslovnim potezima. Npr. informaciona otvorenost u oblasti investicionih projekata, povećava interes stranog ulaganja na račun smanjenih sistemskih i specifičnih investicionih rizika. Pitanje informacione otvorenosti je regulisano i međunarodnim normama – dokument o globalnom informacionom društvu (sporazum iz Okinave) i Preporuka broj R(81) 19 Komiteta ministara država članica Saveta Evrope - «O dostupnosti informacija koje se nalaze na raspolaganju u državnim ustanovama»
Drugi aspekt problema informacionog-analitičkog obezbeđenja je inkorporacija sveobuhvatnih poslovnih informacionih sistema (PIS) u proces upravljanja poslovanjem. PIS-i treba da zadovolje potrebe top-menadžmenta za analitičkim, prognozirajućim i faktičkim informacijama na osnovu kojih je moguće donijeti pravilne odluke u strategijskoj orijentaciji razvoja firme, a da pri tome zadovolje i potrebe nižih nivoa upravljanja u djelokrugu njihovih nadležnosti. Problematika informatizacije i automatizacije putem PIS oličena je u tzv. sistemima planiranja korporacijskih resursa ERP (Enterprise Resource planning).
d. Elektronsko poslovanje i infrastruktura zaštite
Elektronsko poslovanje (e-business) obuhvata elektronsko bankarstvo (ebanking) i elektronsku trgovinu (e-commerce). Elektronsko bankarstvo i elektronska trgovina se međusobno tesno prepliću i predstavljaju dio savremenog koncepta ekonomske sfere društva i svjeta u cjelini. Kao posebna grana elektronske trgovine, sve se više razvija mobilna trgovima (m-kommerce) – trgovina pomoću mobilnih telefona. Elektronsko bankarstvo predstavlja novi način realizacije bankarskih biznisprocesa čija je suština u realizaciji bankarskih transakcija pomoću računarskih mreža. U tom smislu elektronsko bankarstvo je važna komponenta elektronskog poslovanja. Ono podrazumeva on-line informacionu podršku (pre svega elektronske trgovine), emisiju digitalnog novca, elektronska plaćanja, depozitne kredite, valutne i investicione operacije. Na tržistu se sreće nekoliko modela on-line bankarskog biznisa: Internet odjelenja tradicionalnih banaka, Internet – banke, virtuelne banke i elektronski finansijski supermarketi.Elektronska trgovina predstavlja najekonomičnije okruženje za prezentaciju i plasman roba i usluga. Tipične e-commerce šeme su B2B, B2C (business-to-business, business-to-customer) i B2E (business-to-ethernet). Reč je o elektronskom poslovanju između preduzeća, između preduzeća i korisnika (klijenata) i integraciji internog segmenta poslovanja kako sa drugim preduzećima tako i sa klijentima (B2B i B2C ecommerce šemama).B2B predstavlja poslovanje između preduzeća, tj. razmjenu proizvoda, usluga i informacija sa drugim firmama iz okruženja. B2B poslovanje je zasnovano na Internetu i obuhvata tri faze razvoja: EDI (electronic data interchange) – elektronsku razmenu podataka, osnovni B2B e-commerce (prodaja proizvoda kompanija distributerima) i elektronski marketing (eMarkets). Elektronski marketing (e-marketplaces) je novi oblik on-line posrednika koji
8
na jednom mestu efikasno postavlja ponudu i tražnju, pružajući kupcima niže troškove nabavke uz mogućnost kontakta sa dobavljačima, a isto tako i dobavljačima niže troškove prodaje uz mogućnost kontakta sa novim kupcima. B2C predstavlja poslovanje između preduzeća i neposrednih korisnika (klijenata). Kao oblici poslovanja (prema nekim autorima u razvoju B2C sistema zabilježeno je 5 modela) susreću se virtuelni trgovinski centar (VTC) i Internet on-line aukcija. Virtuelni (elektronski) trgovinski centar predstavlja skup dve ili više elektronskih prodavnica, u kojima se kupcima nude neki proizvodi ili usluge, uz koje može biti uključen i program pratećih usluga ili sadržaja. On-line aukcije omogućavaku kupcima nadmetanje, a trgovcima postizanje maksimalne cene. Osim toga svako može da ponudi bilo kakvu robu i da na globalnom svjetskom tržitu nađe kupca.Pojave B2B i B2C oblika poslovanja, donijele su sa sobom nove pojmove (elektronsko plaćanje, elektronski novac, digitalni novčanik, digitalni ček, platne kartice itd.) i neke nove djelatnosti kao što su internet marketing, upravljanje odnosima sa korisnicima CRM (customer relationship menagment) i rad call centara. Upravljanje odnosima sa korisnicima u elektronskoj trgovini (e-commerce CRM - eCCRM) predstavlja složen skup poslovnih procesa i tehnologija upravljanja relacijama sa postojećim i potencijalnim korisnicima i poslovnim partnerima, u marketingu, prodaji i podršci (preko i uz pomoć svih raspoloživih komunikacija). Iako je Web tehnologija sve više prihvaćena kao kanal tehničke podrške, i dalje se preko 70 % kontakata realizuje preko call centara. Osvrnimo se na infrastrukturu zaštite u elektronskom poslovanju. Razvoj elektronskog poslovanja zasnovan je na razvoju Internet tehnologije i primjeni kriptografskih mehanizama. Na njihovim osnovama razvijaju se finansijske i korporacijske računarske mreže bazirane na TCP/IP protokolima. Informaciona i svaka druga bezbjednost elektronskog poslovanja zasnovana je na tri kamena temeljca:
o autentikaciji (identifikaciji - predstavljanju korisnika),o autorizaciji (korisnik dobija ovlašćenje da realizuje određene zadatke) io zaštiti tajnosti (šifrovanju podataka).
Autentikacija se bavi problemom neovlašćenog pristupa informacionim sistemima. Autentikacija korisnika u distribuiranim mrežama realizuje se kroz dva modela: model predstavljanja (delegiranja) i model servera. U prvom modelu korisnik se predstavlja serveru sa bazom podataka i na osnovu akreditiva mu je odobren pristup. U drugom modelu, neposredan pristup serveru nema korisnik, već aplikacija. Kao instrumenti koriste se parole, lozinke i sredstva biometrijske identifikacije.Autorizacijom se reguliše nivo ovlašćenja korisnika mreže. Autorizacija omogućava određenim korisnicima ili servisima kontrolisani pristup resursima. Sa stanovišta sigurnosti je veoma važno da su novi pristupi ograničeni na samo autorizovane korisnike. 3
Zaštita tajnosti podataka podrazumjeva šifrovanje podataka u cilju sprečavanja neovlašćenog pristupa osetljivim informacijama. Zaštita tajnosti se implementira na nivou međuserverske komunikacije i realizuje se preko privatnih virtuelnih kanala (VPN – virtuel private network) ili SSL (security socket layer) protokola.Osnovni kriptografski aspekti savremenih računarskih TCP/IP mreža, odnosno elektronskog poslovanja su:
o infrastruktura sistema sa javnim ključevima (PKI – public key infrastructure),
o tehnologija digitalnog potpisa bazirana na asimetričnim šifarskim sistemima i
o zaštita tajnosti podataka primenom simetričnih šifarskih sistema.
3 Mr. Predrag Bjelić ,Elektronsko poslovanje u Jugoslaviji i perspektive razvoja, oktobar 2002
9
PKI sistem predstavlja najvažniji aspekt sistema elektronskog poslovanja, kao i savremenih finansijskih i korporacijskih računarskih mreža. PKI sistem obezbeđuje pouzdano okruženje za realizaciju četiri osnovne funkcije zaštite komercijalnih i poslovnih transakcija - auteničnost strana u komunikaciji, integritet podataka, nemogućnost naknadnog poricanja sadržaja poslatih podataka i zaštitu tajnosti podataka. Prve tri funkcije realizuju se na bazi tehnologije digitalnog potpisa primjenom asimetričnih kriptografskih sistema, dok se funkcija zaštite tajnosti realizuje primjenom simetričnih kriptografskih sistema. Srce PKI sistema predstavlja Certifikaciono tjelo (CA – certification authority) čija je osnovna funkcija pouzdano uspostavljanje zaštićenog digitalnog identiteta ovlašćenih učesnika u datoj računarskoj mreži. Pomenuta funkcija se postiže primenom digitalnog certifikata koji jednoznačno povezuje identitet ovlašćenog učesnika sa javnim ključem asimetričnog šifarskog sistema. Autentičnost i jednoznačnost svakog digitalnog certifikata dokazuje se digitalnim potpisom svakog digitalnog certifikata od strane Certifikacionog tjela. Na taj način certifikaciono tjelo postaje treća strana od poverenja za bezbednu komunikaciju bilo koja dva ovlašćena učesnika u datoj računarskoj mreži. Istorijski postoji više različitih načina za primjenu tehnologije digitalnog potpisa. U poslednje vrijeme skoro isključivo se koristi tehnologija sa standardom PKSC# 1 (public key criptograpfic standards). Prema tom standardu, tehnologija digitalnog potpisa se sastoji od dve operacije: digitalnog potpisa i provjere digitalnog potpisa. Sadržaj koji treba potpisati se prvo redukuje (algoritmi tipa MD5 ili SHA-1), da bi se zatim šifrovao asimetričnim algoritmom (npr. algoritmom RSA) i to operacijom tajnog ključa korisnika. Operacija provjere digitalnog potpisa se sastoji od razdvajanja poruke na podatke koji se prenose i na sam digitalni potpis. Digitalni potpis se dešifruje pomoću javnog ključa pošiljaoca. Ovim postupkom dobijaju se dvije hach funkcije na osnovu kojih se zaključuje o autentičnosti pošiljaoca, integritetu prenijetih podataka i o neporecivosti poslate poruke.Uspostavljanjem PKI sistema u računarskoj mreži, moguće je realizovati bezbjedno okruženje za realizaciju različitih aplikacija (zaštićeni Web servisi, zaštićeni Email, zaštićeni FTP, bezbjedno upravljanje dokumentacijom, bezbjedna funkcija kontrole pristupa, bezbjedno plaćanje i formiranje zaštićenih sesija – virtuelnih privatnih kanala VPN).
Slika 5 Infrastruktura zaštite informacija u elektronskom poslovanju
10
U elektronskom poslovanju kriptografske funkcije se realizuju i pomoću kriptografskog hardvera – smart kartica. Reč je o mikroprocesorki baziranom medijumu koji posjeduje javni i PIN-kodom (personal identification number), zaštićeni deo memorije. Na njima se mogu čuvati i generisati kriptografski ključevi i svi lični podaci što ih čini pogodnim za bezbjedno poslovanje.
3. Narušavanje integriteta podataka (II sloj OSI modela)
Zaštita na drugom sloju OSI modela, je od izuzetnog značaja i nipošto ne smije biti zanemarena, jer bez te zaštite bi se moglo reći da zaštita uopšte ni ne postoji. Ne vrijedi mnogo što je data kompanija uložila novac i ljudske resurse u implementaciju pametnih kartica za autentifikaciju na mrežu, implementaciju IPSec VPN infrastrukture za udaljeni pristup, dobar mehanizam prava pristupa bazama podataka i korisničkim dokumentima i sl., ako ta zaštita nije sveobuhvatna i nije implementirana na svim OSI slojevima. Treba napomenuti da svi napadi na drugom OSI sloju podrazumjevaju da napadač ima lokalni pristup mreži, jer ovi napadi ne prelaze preko rutera. To mogu biti zaposleni koji u kompaniji obavljaju neke ne-IT poslove, a bivaju plaćeni od strane konkurencije da špijuniraju datu kompaniju i sl. Ti korisnici su hladno ili vatreno oružje zamjenili računarima i softverom, a krajnji cilj je isti: nanijeti drugome štetu i/ili ostvariti dobit. Ovi napadi imaju različite ciljeve, od izazova ili nadmetanja hakera pojedinaca ili organizacija, preko nastojanja da se dođe do poslovnih tajni koje se mogu iskoristiti od strane konkurencije, pa sve do napada čiji je jedini cilj uništenje podataka.
a. Napad i zaštita na drugom sloju osi modela
Najznačajniji i najčešće korišćeni napadi koji, u potpunosti ili jednim svojim djelom, funkcionišu na drugom sloju OSI referentnog modela (ili mehanizam zaštite koji može da ih spreči funkcioniše na drugom OSI sloju) su:
DHCP Attack STP Attack ARP Cache Poisoning CAM Table Flooding VLAN Hopping
Zbog izuzetno velike obimnosti materije, u ovome radu će biti detaljno prezentovani samo neki od pomenutih napada i biće detaljno objašnjen princip njihovog funkcionisanja, kao i neophodne mjere zaštite koje moraju da se primjene da bi se isti napadi spriječili i na taj način spriječilo curenje informacija, omogućen nesmetan rad zaposlenih, sačuvao ugled kompanije i sl. Ako bi se u radu poklonila pažnja svim mogućim napadima i mjerama zaštite od istih, onda bi rad bio isuviše obiman ili bi se samo površno obratila pažnja na svaki od njih, a to autoru nije cilj.
11
b. DHCP napad
DHCP (engl. Dynamic Host Configuration Protocol) je protokol koji se koristi za dinamičku dodelu IP parametara radnim stanicama u računarskim mrežama. Ti parametri su IP adresa, mrežna maska, podrazumjevajući ruter, ime domena, DNS server i dr. Iako su većina tih parametara parametri trećeg OSI sloja, sam DHCP napad se odvija jednim svojim djelom na drugom sloju OSI modela, a mehanizmi zaštite koji mogu da ga spreče su takođe mehanizmi drugog OSI sloja. Princip funkcionisanja protokola prikazan je na slici 6.
Slika 6 DHCP proces
DHCP protokol može biti zloupotrebljen za primenu dvije vrste napada na korporacijsku računarsku mrežu. Prvi oblik napada je uskraćivanje servisa (engl. Denial of Service –DOS), a drugi se koristi za prisluškivanje saobraćaja preusmjeravanjem istog preko napadačeve radne stanice (engl. Man in the Middle). Takođe, je česta i kombinacija ova dva napada – napadač prvo isprazni IP adresni opseg predviđen za dodelu adresa korisnicima, zatim ubacivanjem lažnog DHCP servera, klijentima dodeljuje lažne parametre i na taj način izvršava Man in the Middle Attack.4
Prvi način DHCP napada se odvija tako što napadač kontinuirano zahtjeva od DHCP servera IP parametre sve dok ne isprazni kompletan adresni opseg za koji je dati DHCP server konfigurisan. Taj adresni opseg je najčešće jedna C klasa IP adresa, koja se sastoji od 254 IP adrese koje može da dodeli klijentima. Najčešće je C klasa, bez obzira da li se radi o maloj firmi sa nekoliko desetina računara ili velikoj korporaciji čiju računarsku mrežu sačinjava nekoliko hiljada radnih stanica i servera. Jer u slučaju velikog broja računara date kompanije, zbog povećanja performansi smanjenjem broadcast domena, mreža će najčešće biti segmentirana nekim L3 uređajem kao što je L3 svič ili ruter i na taj način nijedan od segmenata neće imati potrebu za većim brojem IP adresa nego što je jedna C klasa.Dakle, napad se odvija tako što napadač „iscrpi“ DHCP server, mjenjajući svoju izvorišnu MAC adresu i svaki put od DHCP servera traži IP parametre podmećući mu drugu MAC
4 Ирина Муравъева, Новый взгляд на службу информационной безопасности компании
12
adresu, a sve dok server ne podeli sve raspoložive adrese. Ovo je izvodljivo bez obira na to koliko IP adresa DHCP server ima na raspolaganju, tj. bez obzira da li se radi o A, B, C klasi ili nekoj podklasi koja se dobija „subnet-ovanjem“ neke od pomenutih. Jedan od alata za izvođenje ovakvog napada se može naći na: http://packetstormsecurity.org/DoS/DHCP Gobbler.tag.gz.Alati koji su korišćeni u laboratorijskim uslovima za izradu ovog rada su: „Yersinia“ i „DHCPX Flooder“. Funkciju DHCP servera je imao Windows Server 2003 Standard Edition, a od mrežne opreme su korišćeni L2/L3 svičevi „Cisco Catalyst 2960 i 3550“. „DHCPX Flooder“ je prilikom testiranja, svake sekunde uzimao po jednu IP adresu iz opsega, razmenjujući sa serverom sva četiri tipa DHCP paketa neophodnih za kompletiranje DHCP procesa (dicover, offer, request, ack), dok je „Yersinia“ adresni opseg od 200 IP adresa uspela da isprazni za 3 sekunde, s tim da je prilikom tog napada vršena razmena samo prva dva tipa DHCP paketa (discover, offer).Na ovaj način će DHCP server ostati bez adresa i neće moći da adresira legitimne radne stanice u lokalnoj računarskoj mreži, koje zbog toga neće moći da obavljaju svoju funkciju.Drugi način napada korišćenjem DHCP servera je malo složeniji i može da se koristiti za prisluškivanje saobraćaja u mreži. Napadač konfiguriše i pušta u produkciju DHCP server na svojoj radnoj stanici ili lap-top računaru. Taj DHCP server se nadmeće sa legitimnim DHCP serverom prilikom dodele IP parametara klijentima (ili prvo uradi DoS napad na legitimni DHCP server(e),a zatim on ostaje jedini DHCP server u mreži). Klijent će da prihvati IP parametre od DHCP servera koji mu prvi odgovori. Međutim parametri koje dodeljuje lažni DHCP server nisu isti kao oni koje dodeljuje legitimni. Napadač najčešće lažira polja DNS servera i podrazumjevajućeg rutera (engl. Default Gateway). Lažiranjem ovih parametara, napadač postavlja svoj PC kao podrazumjevajući ruter ili DNS server i sav saobraćaj koji napadnute radne stanice razmenjuju sa spoljnim svetom ili drugim virtuelnim lanovima – VLANovima se odvija preko napadačeve radne stanice. Još je neophodno da napadač pokrene neki analizator mrežnog saobraćaja kao što je Ethereal i da prisluškuje saobraćaj iščekujući neko korisničko ime i lozinku poslatu preko mreže u neenkriptovanom obliku, kao što to rade nebezbjedni protokoli: Telnet, FTP, HTTP, POP3 i dr. U npr. okruženju gde se koristi terminal server i web interfejs za pristup aplikacija, moguće je u lažnom DNS-u lažirati adresu web interfejsa, podesiti ga da umesto TCP porta 443 koristi TCP port 80 – ako bi se ovakav napad tempirao u vremenu između 7:55 i 8:05 u toku jednog radnog dana, napadač bi mogao da prikupi nekoliko stotina korisničkih imena i lozinki, jer je u tom periodu najveća frekvencija logovanja korisnika.DHCP DoS napad može da se izvede na dva načina od kojih je jedan starijeg, a drugi novijeg datuma i značajno sofisticiraniji, te je i neophodno implementirati i dodatni sofisticiraniji mehanizam zaštite. Da bi objašnjavanje principa napada i mehanizma zaštite bilo moguće dobro objasniti, neophodna je slika broj 7, koja prikazuje izgled DHCP paketa.
13
Slika 7 Format DHCP paketa
Kada se govori o DHCP napadu, onda je ključno polje u DHCP paketu, na koje treba obratiti pažnju, polje „Client Hardware Address“. Prvi i manje sofisticiran DHCP DoS napad funkcioniše tako što napadač radi MAC Spoofing – randomizujući svoju MAC adresu, zatim svaku od njih upisuje u polje „Client Hardware Address“ i istu tu MAC adresu upisuje u polje „Source MAC“ u zaglavlju Ethernet frejma. Na ovaj način napadač generiše veliku (dovoljnu) količinu DHCP Request paketa koje bradcast-uje na mrežni segment i tako zauzima sve IP adrese koje dati DHCP server ima na raspolaganju. Prilikom izrade ovog rada, za ovu demonstraciju, je korišćen Linux alat „DHCPX Flooder“.Analizator mrežnog saobraćaja „Wireshark“ je uhvatio mrežni saobraćaj u kome su MAC adresa u CHA polju DHCP paketa i MAC adresa u zaglavlju Ethernet frejma identične. Alat koji je korišćen je „Yersinia“ korišćena sa MAC spoofing-om: Mehanizam koji je dovoljan da bi se sprečio ovaj tip DHCP DoS napada je „Port Security“, koji podržavaju svi vodeći proizvođači mrežne opreme. Autor ovog rada je koristio mrežnu opremu kompanije „Cisco Systems“. Treba napomenuti da ovaj mehanizam nije podrazumevajuće implementiran na svičevima, već da mrežni inženjeri i administratori, zaduženi za bezbednost, moraju da znaju za moguće L2 napade i da poznaju koje od njih i na koji način može da spreči „Port Security“. Sama implementacija je prilično jednostavna i na Cisco svičevima se realizuje pomoću nekoliko komandi, prikazanih na slici 8.
Slika 8 Port Security
Na ovaj način će port na sviču, na koji je napadač povezan, biti automatski ugašen
nakon što se na njemu pojavi više od 2 MAC adrese (maksimalan broj MAC adresa je
mogao biti postavljen da dozvoli samo jednu MAC adresu, ali u okruženju gde se koristi IP
telefonija i gde je IP telefon povezan na svič, a radna stanica na mrežu povezana preko IP
telefona – na datome portu na sviču će se pojaviti 2 MAC adrese) i time potencijalni napad
sprečen. Da bi napad mogao uspešno da se izvrši, napadač bi morao moći generisati znatno
14
veći broj MAC adresa i DHCP Request paketa (bar nekoliko desetina ili stotina). Postoji
nekoliko mogućih reakcija koje će svič da primeni u slučaju prekoračenja dozvoljenog
broja MAC adresa na datome portu i one su:
3550(config-if-range)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
Autor ovoga rada preferira „shutdown“ datoga porta, iako to zahteva kasniju
administraciju u vidu ponovnog aktiviranja datoga porta na sviču, ali s druge strane dati
korisnik (potencijalni napadač) će morati sam da prijavi da mu nešto nije u redu sa
mrežnom konekcijom – a to će administratoru zaduženom za bezbednost računarskih
komunikacija skrenuti pažnju i usmeriti ga da dodatno ispita uzroke narušavanja
postavljenih bezbednosnih pravila.
Drugi tip DHCP DoS napada je novijeg datuma i napravljen je da bi izbegao „Port Security“ koji je eventualno podešen na mrežnim svičevima. Napad funkcioniše tako što napadač randomizuje polje „Client Hardware Address“ u DHCP Request paketu, ali ne radi MAC Spoofing na nivou Ethernet frejma, već u polje „Source MAC“ u frejmu uvek upisuje svoju stvarnu MAC adresu. Na ovaj način napadač prazni DHCP opseg datoga servera, jer DHCP server proverava samo polje „Client Hardware Address“ u DHCP Request paketu i za tu MAC adresu vezuje dodeljenu IP adresu. Ovde je takođe korišćena „Yersinia“, ali bez uključenog MAC spoofing-a. Analizator mrežnog saobraćaja pokazuje različite MAC adrese u polju CHA DHCP paketa i u polju Source MAC u zaglavlju Ethernet frejma. Testiranje prilikom izrade ovoga rada je vršeno na DHCP serveru podignutom na Windows Serveru 2003 Standard Edition. Moguće je da postoje implementacije DHCP servera koje vrše poređenenje polja „Client Hardware Address“ iz DHCP paketa i polja „Source MAC“ iz zaglavlja Ethernet frejma – i na taj način sprečavaju ovakav vid napada.Mehanizam zaštite od ovakvog načina DHCP napada, koji je patentirala kompanija „Cisco Systems“ se naziva „DHCP Snooping“. Dve najznačajnije stvari koje ovaj mehanizam uvodi su: „deep DHCP packet inspection“ i „trusted“ i „untrusted“ portovi na sviču. Prva od njih podrazumeva da svič „pogleda“ u DHCP paket i napravi poređenje MAC adrese u polju „Client Hardware Address“ sa MAC adresom u zaglavlju Ethernet frejma. Ukoliko se ove dve MAC adrese razlikuju, to ukazuje da je potencijalni DHCP napad u toku i svič će da odbaci takve pakete ili da ugasi dati port i na taj način sprečiti DHCP DoS napad. Drugi pojavni oblik DHCP napada „DHCP Man in the Middle Attack“, čiji cilj nije samo da spreči rad legitimnih korisnika u datoj računarskoj mreži, već da se iskoristi za prikupljanje informacija (prvenstveno korisničkih imena i lozinki, a zatim drugih informacija koje su od značaja napadaču ili konkurenciji date kompanije koja ga je eventualno angažovala) ne može da se spreči korišćenjem ranije pomenutog mehanizma „Port Security“, jer se lažni DHCP server uvek javlja sa jedne MAC adrese. Ovakav napad može da se izvodi sam ili u kombinaciji sa DHCP DoS napadom, tako što napadač prvo onesposobi postojeće DHCP servere u mreži, a zatim podigne lazni DHCP server koji će da dodeljuje parametre DHCP klijentima.
15
Mehanizam zaštite od ovakvog tipa DHCP napada, koji omogućava „DHCP Snooping“ se omogućava uvođenjem dva tipa portova na svičevima: „trusted“ i „untrusted“. Svi portovi na svim svičevima u mreži, na koje su povezane radne stanice je neophodno definisati kao „untrusted“ (što je i podrazumevajuća vrednost prilikom implementiranja „DHCP Snooping-a“). S obzirom da dhcp klijent nema potrebe da šalje „DHCP Offer“ i „DHCP Ack“ pakete (to su unicast paketi koje šalje isključivo DHCP server) DHCP Snooping onemogućava dolazak ovog tipa DHCP paketa preko „untrusted“ porta. Ovakvi tipovi DHCP paketa su dozvoljeni samo sa „trusted“ portova koje je mrežni administrator definasao kao „trusted“ portove, jer zna da su na njih povezani legitimni DHCP serveri. Takođe se odnosi i na trunk portove. Dakle, vidi se da samo jedan od dva pomenuta mehanizma zaštite nije dovoljan, jer je pokazano da može da se zaobiđe i jedan i drugi. Ali implementacijom oba pomenuta mehanizma zaštite: „Port Security“ i „DHCP Snooping“ se u potpunosti može izbeći „DHCP Denial of Services“ i „DHCP Man in the Middle Attack“. Važno je napomenuti da je do pre par godina za zaštitu od DHCP napada bio dovoljan samo „Port Security“, ali pojavom novijh alata kao što je „Yersinia“ (koju je autor koristio prilikom izrade rada) uveden je sofisticiraniji način DHCP napada koji se zasniva na randomizaciji „Client Hardware Address“ polja u DHCP paketu. Poenta je – ono što se danas smatra dovoljnom zaštitom od nekog tipa napada ne mora da znači da će i „sutra“ biti dovoljno da datu računarsku mrežu zaštiti. Stalno se otkrivaju novi propusti u protokolima i razvijaju alati koje te propuste znaju da iskoriste.
16
Zaključak
Razvoj Internet tehnologija imamo svuda u svetu, pa je tako i našoj zemlji
otvorena mogućnost da se integriše u već postojeće ili novostvorene sisteme elektronskog
poslovanja. To je stvarno kompleksan proces koji zahteva angažovanje stručnjaka iz
različitih oblasti i znatne novčane investicije. Da bi se elektronsko poslovanje moglo
razvijati, potrebno je ispuniti neke tehnološke pretpostavke. Pre svega je potrebno
raspolagati informatičkom magistralom tj. infrastrukturom zadovoljavajućeg
kapaciteta. Da bi se osigurala kompatibilnost uređaja i metoda koje se koriste u
elektronskom poslovanju, potrebno je standardizovati sve aspekte rada mreže, od
standarda video distribucije do protokola za rad u mreži i pružanja mrežnih usluga,
kompresije različitih oblika multimedijalnih dokumenata i sl.
Osim tehnoloških preduslova potrebno je ostvariti i unaprijediti i zakonske
pretpostavke koje će omogućiti nesmetan razvoj elektronskog poslovanja, zaštitu
autorskih prava i privatnosti i osigurati univerzalni pristup mreži i adekvatnu
politiku određivanja cena za pristup mreži i korišćenje informacija. „ Zakon o
elektronskom poslovanju i elektronskom potpisu“ koji je u fazi donošenja kod nas, je
neophodan preduslov kako za pravnu zasnovanost elektronskog poslovanja tako i za
uključenje u međunarodne organizacije i tokove.
Među najvažnijim razlozima za optimistička predviđanja brzog razvoja
elektronskog poslovanja su:
- izvanredno brz tehnološki razvoj,
- razvoj novih servisa i poslovnih modela,
- razvoj nacionalnih i međunarodnih standarda i vodiča za elektronsko
poslovanje.
U uslovima savremenog tržišta, poslovni uspeh i ekonomska bezbednost
nezamislivi su bez informacione bezbednosti. Informacije i informacioni resursi
predstavljaju materijalna dobra i zbog toga je zaštita informacija neodvojivi deo
poslovanja. U poslovnom svetu nepisano pravilo je da je informacija jedan od najvažnijih
izvora napretka bilo koje firme. Različite organizacije iz različitih razloga treba da štite
informacije. Informaciona bezbednost se reflektuje na poslovanje u četiri različita vida:
kao pribavljanje poslovnih informacija putem konkurentskog izviđanja i industrijske
špijunaže, kroz upravljanje životnim ciklusom informacija – čuvanje baza podataka, kroz
17
različite oblike elektronskog poslovanja i kroz informaciono-analitičko obezbeđenje
poslovanja.
Problem zaštite informacija nije pitanje tehničkih, već upravljačkih (poslovodnih)
struktura i raspoloživih finansijskih sredstava. Troškovi za obezbeđenje zaštite informacija
ne smeju da budu veći od veličine gubitaka koji mogu nastati usled napada. Savremeni
pristup organizaciji zaštite informacija zasnovan je na konceptu upravljanja rizikom.
Lociranje saradnika ili bivših radnika kao potencijalnog žarišta problema zaštite
informacija, ukazuje na važnost pravilnog definisanja pilitike IB i ozbiljnog tretmana
pojava konkurentskog izviđanja i industrijske špijunaže. U tom kontekstu pored tehničkih,
važno mesto pripada i tzv. psihološkim metodama zaštite informacija (socijalna
psihologija).
Sve velike kompanije smatraju da je informaciona bezbednost jedan od
najvažnijih prioriteta u vođenju biznisa. U skladu sa tim evidentne su radikalne promene
u organizaciji službe informacione bezbednosti – ona ne samo da se odvaja od službe za
IT, već dobija i direktora i menadžera za IB (CISI i BISO). Pitanja informacione
bezbednosti i problem zaštite poslovnih informacija su sa, sve donedavno, krajnjih
margina dospela u situaciju da budu delokrug interesovanja samog top-menadžmenta.
Moto savremenog društva je - zaštitite svoj biznis, ali pri tome nikada ne treba smetnuti
sa uma činjenicu da zaštita informacija nije konačan cilj, već samo jedno od sredstava
uspešnog vođenja biznisa.
18
Literatura
1. Леваков А., Анатомия информационной безопасности США, Jet info online #
6, 2002
2. Леваков А., Ноые приоритеты в информационной безопасности США, Jet
info, № 10, 2001 г.
3. Панарин И., Н., Проблемы обеспечения информационной безопасности в
савременных условиях, http://www.kiev-security.org.ua , 1997
4. Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г., Специшалъные
требования и рекомендации по технической защите конфиденциалъной
информации, Москва, 2001
5. Беляев А., В., Методы и средства защиты информации (курс лекций), ЧФ
СПбГТУ, 2001
6. Зенковский А.К.,Защита информации в компьютерных системах – слагаемые
успеха, http://www,infosec.ru
7. ИТ-специалисты выиграют сражение за безопостностъ, учебные курсы, 2003,
www.CNews.ru
8. Барсуков Д., Интегральная защита информации, "Электроника. Наука,
технология, бизнес" №3-4,1998г.
9. Лукацкий А.В.,Новые грани обнаружения и отражения угроз, PCWeek/RE,
№5, 2000
10. Г Кисиленко, А Хорев,Угрозы безопасности системам электросвязи,
http://kievsecurity. org.ua
11. Лукацкий А.В.,Новые подходы к обеспечению информационной
безопасности, Компьютер-Пресс. №7, 2000
12. Лукацкий А.В., Информационная безопасностъ. Как обосноватъ ?
Компьютер-Пресс. № 11, 2000
13. Симоньян Т. А, Средства вычислительной техники в защищенном варианте,
как часть решения задачи информационной безопасности, Специалъная
11.9<техника, № 2, 2000
14. D. K. Hsiao, D.S. Kerr, S.E. Madnik, Computer security, Academic Press, New
York, san Francisko, 1979
19
