Sigurnost ra čunalnih mre žamarjan.fesb.hr/~pravdica/srm/srm_pogl1_bez_pozadine.pdf · • koriste informacije iz sustava brojnih tvrtki koje nude na tr žištu hakere u funkciji

1

Sigurnost raSigurnost raččunalnih mreunalnih mrežžaa

Lada SartoriLada Sartori

SadrSadržžajaj

1.1. UvodUvod

2.2. Sigurnost na razini upravljanja Sigurnost na razini upravljanja informacijskim sustavominformacijskim sustavom

3.3. Sigurnost operacijskih sustava i aplikacijaSigurnost operacijskih sustava i aplikacija

4.4. Osnove mreOsnove mrežžne sigurnostine sigurnosti

5.5. Sigurnost komunikacijaSigurnost komunikacija

6.6. Sigurnosne prijetnje i naSigurnosne prijetnje i naččini obraneini obrane

2

1.1. UvodUvod

�� SadrSadržžajaj1.1. Definicija informacijskog sustava i njegov Definicija informacijskog sustava i njegov

žživotni ciklusivotni ciklus

2.2. Razvoj Interneta i njegova primjena Razvoj Interneta i njegova primjena

3.3. Sigurnost informacijskog sustava i ciljevi Sigurnost informacijskog sustava i ciljevi zazašštite tite

1.1. UvodUvod

�� veliki broj ljudi redovno se sluveliki broj ljudi redovno se služži rai raččunalom, unalom,

�� mali broj razmimali broj razmiššlja o potencijalnim lja o potencijalnim šštetama koje tetama koje mogu nastati zloupotrebom informatimogu nastati zloupotrebom informatiččke tehnologijeke tehnologije

�� neophodno je razmisliti o preventivnim aktivnostimaneophodno je razmisliti o preventivnim aktivnostima�� zazašštite podataka i informacija pohranjenih na ratite podataka i informacija pohranjenih na raččunalima, unalima,

�� zazašštite od neovlatite od neovlašštenog pristupa resursima putem Interneta tenog pristupa resursima putem Interneta ili drugih komunikacijskih mreili drugih komunikacijskih mrežža, a,

�� sprjesprječčavanja moguavanja mogućće zloporabee zloporabe

3

1.1. UvodUvod

Broj računala spojenih u Internet

050

100150200250300350400450500

lis.9

2

lis.9

3

lis.9

4

lis.9

5

lis.9

6

lis.9

7

lis.9

8

lis.9

9

lis.0

0

lis.0

1

lis.0

2

lis.0

3

lis.0

4

lis.0

5

mil

iju

na

1.1. UvodUvod

�� CILJ kolegija upoznati se sa:CILJ kolegija upoznati se sa:�� potencijalnim rizicima i prijetnjama koje mogu potencijalnim rizicima i prijetnjama koje mogu

ugroziti bilo koji element informacijskog sustava ugroziti bilo koji element informacijskog sustava

�� nanaččinom planiranja i provođenja potrebnih inom planiranja i provođenja potrebnih aktivnosti na njegovoj zaaktivnosti na njegovoj zašštiti titi

4

1.1.1. Definicija informacijskog sustava i 1. Definicija informacijskog sustava i njegov njegov žživotni ciklusivotni ciklus

�� poslovni sustavposlovni sustav�� organizacijski sustav kojeg opisuje skup organizacijski sustav kojeg opisuje skup

informacija o proinformacija o proššlosti i sadalosti i sadaššnjosti i poslovnih njosti i poslovnih procesa koji ih obrađuju procesa koji ih obrađuju

�� informacijski sustavinformacijski sustav�� dio svakog poslovnog sustava dio svakog poslovnog sustava ččija je funkcija ija je funkcija

neprekidna opskrba svih razina upravljanja, neprekidna opskrba svih razina upravljanja, odluodluččivanja i svakodnevnog poslovanja potrebnim ivanja i svakodnevnog poslovanja potrebnim informacijama informacijama


�� zadaci informacijskog sustava:zadaci informacijskog sustava:�� prikupljanje, prikupljanje,

�� razvrstavanje, razvrstavanje,

�� obrada, obrada,

�� ččuvanje, uvanje,

�� oblikovanje i oblikovanje i

�� raspoređivanje raspoređivanje informacija informacija svim radnim razinama svim radnim razinama poslovnog sustava poslovnog sustava

5


�� prvenstveni cilj zaprvenstveni cilj zašštite IStite IS--a a je osiguravanje:je osiguravanje:�� sigurnog, sigurnog,

�� pouzdanog i pouzdanog i

�� totoččnog izvrnog izvrššavanja navedenih zadataka avanja navedenih zadataka


�� tipovi IStipovi IS--a imaju razlia imaju različčit znait značčaj za poslovni aj za poslovni sustav:sustav:�� operativnioperativni -- o kojem ovisi uspjeh tekuo kojem ovisi uspjeh tekuććeg eg

poslovanjaposlovanja�� potpornipotporni -- koristan, ali nije kritikoristan, ali nije kritiččan za poslovni an za poslovni

uspjehuspjeh�� stratestratešškiki -- kritikriti ččan za poslovnu strategiju u an za poslovnu strategiju u

budubuduććnostinosti�� izgledniizgledni -- koji bi mogao utjecati na uspjeh koji bi mogao utjecati na uspjeh

budubuduććeg poslovanjaeg poslovanja

6


�� kvalitetan informacijski sustav mora zadovoljiti kvalitetan informacijski sustav mora zadovoljiti nanaččela:ela:�� informacijski sustav je model poslovne tehnologije informacijski sustav je model poslovne tehnologije

organizacijskog sustavaorganizacijskog sustava�� podaci su resurs poslovnog sustavapodaci su resurs poslovnog sustava�� temelj razmatranja prilikom određivanja podsustava su temelj razmatranja prilikom određivanja podsustava su

poslovni procesi kao nepromjenjivi dio određene poslovne poslovni procesi kao nepromjenjivi dio određene poslovne tehnologijetehnologije

�� informacijski sustav izgrađuje se integracijom podsustava informacijski sustav izgrađuje se integracijom podsustava na osnovi zajednina osnovi zajedniččkih podataka (modularnost)kih podataka (modularnost)

�� informacije za upravljanje i odluinformacije za upravljanje i odluččivanje izvode se na ivanje izvode se na temelju zbivanja na razini izvođenja temelju zbivanja na razini izvođenja


�� osnovni elementi raosnovni elementi raččunalom podrunalom podržžanog ISanog IS--a su:a su:�� materijalno tehnimaterijalno tehniččke komponenteke komponente ((HardwareHardware))

�� nematerijalne (programske) komponente ISnematerijalne (programske) komponente IS--aa ((SoftwareSoftware))

�� ljudski resursi ljudski resursi ((LifewareLifeware))

�� sredstva i veze za prijenos podataka i komunikaciju sredstva i veze za prijenos podataka i komunikaciju ((NetwareNetware))

�� podaci koje je potrebno pohranjivati i obrađivatipodaci koje je potrebno pohranjivati i obrađivati((DatawareDataware))

�� organizacijske mjere, metode i propisi organizacijske mjere, metode i propisi ((OrgwareOrgware))

7


�� žživotni ciklusivotni ciklus�� tijek razvoja, izgradnje i koritijek razvoja, izgradnje i korišštenja IStenja IS--a a

�� odvija se kroz:odvija se kroz:�� strategijsko planiranje, odnosno, ustrategijsko planiranje, odnosno, utvrđivanje strategije tvrđivanje strategije

poslovanja;poslovanja;

�� analizu strukture realnog poslovnog sustava, njegovih analizu strukture realnog poslovnog sustava, njegovih procesa i podataka;procesa i podataka;

�� oblikovanje informacijskog sustava koje sadroblikovanje informacijskog sustava koje sadržži:i:•• logilogiččko modeliranje podataka i procesa informacijskog sustava,ko modeliranje podataka i procesa informacijskog sustava,

•• fizifizi ččko modeliranje baze podataka, procedura i programa;ko modeliranje baze podataka, procedura i programa;


�� izvedbe programske podrizvedbe programske podršške, komunikacija i ke, komunikacija i korisnikorisniččkog sukog suččelja;elja;

�� izrade korisniizrade korisniččke dokumentacije;ke dokumentacije;

�� uvođenja informacijskog sustava u primjenuuvođenja informacijskog sustava u primjenu;;

�� odrodržžavanja i prilagođivanja informacijskog sustava avanja i prilagođivanja informacijskog sustava

�� orgwareorgware�� skup zamisli, pravila i postupaka u skladu s kojima skup zamisli, pravila i postupaka u skladu s kojima

se informacijski sustav oblikuje, razvija, djeluje se informacijski sustav oblikuje, razvija, djeluje i i šštitititi

8


�� organizacijski ustroj moorganizacijski ustroj možže se prikazati razlie se prikazati različčitim itim modelima:modelima:�� centraliziranacentralizirana organizacijska shemaorganizacijska shema

•• upravljanje poslovnim sustavom je koncentrirano na jednom upravljanje poslovnim sustavom je koncentrirano na jednom mjestumjestu

�� decentraliziranadecentralizirana organizacijska shemaorganizacijska shema•• poslovni subjekt posluje na viposlovni subjekt posluje na višše lokacija na kojima obavlja sve e lokacija na kojima obavlja sve

poslove poslove

�� distribuiranadistribuirana organizacijska shemaorganizacijska shema•• poslovni subjekt posluje na viposlovni subjekt posluje na višše lokacija na kojima obavlja sve ili e lokacija na kojima obavlja sve ili

samo neke poslove samo neke poslove

1.1. 2. Razvoj Interneta i njegova primjena2. Razvoj Interneta i njegova primjena

�� Internet Internet je:je:�� "mre"mrežža nad mrea nad mrežžama" kojom nitko ne upravlja, ama" kojom nitko ne upravlja,

�� "op"općće dobro e dobro ččovjeovječčanstva" poput zraka, vode, anstva" poput zraka, vode, biljnog pokrova, rudnog bogatstva biljnog pokrova, rudnog bogatstva itditd. koje nije ni . koje nije ni u u ččijem vlasniijem vlasnišštvu, tvu,

�� globalni gospodarski prostor kome moglobalni gospodarski prostor kome možže pristupiti e pristupiti svatko tko ima tehnisvatko tko ima tehniččke moguke moguććnosti nosti

9


�� razvoj Interneta se je odvijao u fazama:razvoj Interneta se je odvijao u fazama:�� 1. faza1. faza

•• mjemješšovita vojno civilna mreovita vojno civilna mrežža za razmjenu podatakaa za razmjenu podataka

�� 2. faza2. faza•• šširenje javnog dijela mreirenje javnog dijela mrežže i uvođenje elektronie i uvođenje elektroniččke ke

popoššte te

�� 3. faza3. faza•• uvođenje World Wide Webuvođenje World Wide Web--a (WWWa (WWW--a) i elektronia) i elektroniččkog kog

poslovanja poslovanja


�� osnovne funkcije Interneta su:osnovne funkcije Interneta su:�� prikupljanje, pohranjivanje i dohvat informacija, te prikupljanje, pohranjivanje i dohvat informacija, te

razmjena podataka i programa sa svih podrurazmjena podataka i programa sa svih područčja ljudskog ja ljudskog djelovanjadjelovanja

�� veliki prostor oglaveliki prostor oglaššavanja (konferencija) preko kojeg avanja (konferencija) preko kojeg korisnici razmjenjuju iskustvakorisnici razmjenjuju iskustva

�� elektronielektroniččka poka poššta za razmjenu poruka i prikljuta za razmjenu poruka i priključčenih enih elektronielektroniččkih dokumenatakih dokumenata

�� neposredne interaktivne komunikacije između korisnika neposredne interaktivne komunikacije između korisnika (govorne, video, (govorne, video, telekonferencijetelekonferencije))

�� obavljanje poslovnih aktivnosti putem Interneta poput obavljanje poslovnih aktivnosti putem Interneta poput elektronielektroniččkog poslovanja, trgovine, elektronikog poslovanja, trgovine, elektroniččkog kog bankarstva i bankarstva i slsl..

10


�� elektronielektroniččko poslovanjeko poslovanje�� suvremeni oblik organizacije poslovanja kojim se suvremeni oblik organizacije poslovanja kojim se

podrazumijeva intenzivnu primjenu informatipodrazumijeva intenzivnu primjenu informatiččke i posebno ke i posebno Internet tehnologijeInternet tehnologije

�� ukljuuključčuje: uje: •• komuniciranje poslovnih partnera,komuniciranje poslovnih partnera,

•• izmjenu poslovne dokumentacije na daljinu, izmjenu poslovne dokumentacije na daljinu,

•• narunaruččivanje i kupnju proizvoda i usluga putem mreivanje i kupnju proizvoda i usluga putem mrežže,e,

•• plaplaććanje digitalnim novcem, anje digitalnim novcem,

•• korikorišštenje pametnih kartica, tenje pametnih kartica,

•• virtualno bankarstvo virtualno bankarstvo itditd..


�� intranetintranet�� privatna raprivatna raččunalna mreunalna mrežža jednog poslovnog a jednog poslovnog

sustava sustava �� koristi komunikacijske standarde i protokole koristi komunikacijske standarde i protokole

InternetaInterneta�� omoguomoguććuje zaposlenicima uje zaposlenicima

•• jednostavnu komunikaciju i suradnja, jednostavnu komunikaciju i suradnja, •• pristup informacijama tvrtkepristup informacijama tvrtke

�� temelji se na Web tehnologiji temelji se na Web tehnologiji -- ččesto se naziva i esto se naziva i korporativnim Webkorporativnim Web --omom

11


�� razlika izmeđurazlika između Interneta i intraneta:Interneta i intraneta:�� intranet je privatna mreintranet je privatna mrežža u vlasnia u vlasnišštvu neke tvu neke

organizacije organizacije -- Internet nije u vlasniInternet nije u vlasnišštvu ni jedne tvu ni jedne tvrtke ili osobetvrtke ili osobe

�� na Internet ima pravo pristupa svatko tko ima na Internet ima pravo pristupa svatko tko ima tehnitehniččke moguke moguććnosti za to nosti za to -- na intranet imaju na intranet imaju pristup samo osobe koje su za to ovlapristup samo osobe koje su za to ovlašštene tene


�� osnovne funkcije intraneta su:osnovne funkcije intraneta su:�� elektronielektroniččka poka poššta ta

�� zajednizajedniččko koriko korišštenje datoteka i pisatenje datoteka i pisaččaa

�� upravljanje pristupom informacijama upravljanje pristupom informacijama

�� pretrapretražživanje informacija ivanje informacija

�� upravljanje mreupravljanje mrežžom i prevođenje adresaom i prevođenje adresa

12


�� ekstranetekstranet�� oblik povezivanja raoblik povezivanja raččunalnih mreunalnih mrežža dvaju ili via dvaju ili višše poslovnih e poslovnih

sustava koji sustava koji ččine određenu poslovnu asocijacijuine određenu poslovnu asocijaciju, ,

�� temelji se na otvorenim komunikacijskim standardima i temelji se na otvorenim komunikacijskim standardima i protokolima Internetaprotokolima Interneta

�� primjer korisnika primjer korisnika ekstranetaekstraneta•• holding kompanije i korporacije koje se sastoje od viholding kompanije i korporacije koje se sastoje od višše razlie različčitih, itih,

uglavnom samostalnih poduzeuglavnom samostalnih poduzećća, a, koja usko surađujukoja usko surađuju

�� tehnolotehnološški, ki, ekstranetekstranetostvaruje povezanost viostvaruje povezanost višše intraneta u e intraneta u jedinstveni mrejedinstveni mrežžni sustav, te sigurni pristup udaljenih ni sustav, te sigurni pristup udaljenih korisnika korisnika

1.1. 3. Sigurnost informacijskog sustava i 3. Sigurnost informacijskog sustava i

ciljevi zaciljevi zašštitetite

�� do do zloporabezloporabeuglavnom dolazi iz dva razloga:uglavnom dolazi iz dva razloga:�� radi ostvarivanja neopravdanih ili protupravnih radi ostvarivanja neopravdanih ili protupravnih

koristi od strane pojedinaca ili organiziranih koristi od strane pojedinaca ili organiziranih skupinaskupina

�� radi nanoradi nanoššenja materijalne ili nematerijalne enja materijalne ili nematerijalne šštete tete pojedincu, skupini ili zajednicipojedincu, skupini ili zajednici

13



�� najnajččeeššćći i oblici zloporabe informacijske oblici zloporabe informacijske tehnologijetehnologije u praksi su:u praksi su:�� zloporaba inazloporaba inačče legalnih ovlasti korisnika opreme,e legalnih ovlasti korisnika opreme,�� napadi napadi tzvtzv. hakera. hakera�� raraččunalni virusiunalni virusi�� ilegalni fiziilegalni fiziččki pristup opremi i podacimaki pristup opremi i podacima�� djelomidjelomiččno ili potpuno onesposobljavanje opreme no ili potpuno onesposobljavanje opreme �� krađa opremekrađa opreme�� modifikacija oprememodifikacija opreme



�� ugrougrožžavanje privatnosti korisnika informacijskog avanje privatnosti korisnika informacijskog sustavasustava

�� ometanje normalnog rada opremeometanje normalnog rada opreme

�� neovlaneovlašštena uporaba opremetena uporaba opreme

�� krađa programakrađa programa, odnosno neovla, odnosno neovlaššteno koriteno korišštenje i tenje i distribucija radistribucija raččunalnih programa i povreda unalnih programa i povreda autorskih pravaautorskih prava

�� fizifizi ččki napadi na osoblje informacijskog sustavaki napadi na osoblje informacijskog sustava

14



�� podjela popodjela poččinitelja zloporaba:initelja zloporaba:�� hakeri hakeri (eng. (eng. hackershackers))

•• osobe koje iz radoznalosti i neznanja (ponekad i nesvjesno) upadosobe koje iz radoznalosti i neznanja (ponekad i nesvjesno) upadaju aju u tuđe sustave bez namjere da nanesu u tuđe sustave bez namjere da nanesu šštetu;tetu;

�� krakerekrakere (eng. (eng. crackerscrackers))•• posebno opasne osobe s veposebno opasne osobe s veććim stupnjem tehniim stupnjem tehniččkih znanja koji kih znanja koji

svjesno i namjerno provaljuju u tuđe informacijske sustavesvjesno i namjerno provaljuju u tuđe informacijske sustave, , najnajččeeššćće iz koristoljublja;e iz koristoljublja;

�� frikerefrikere (eng. (eng. phreakingphreaking = = phonephone + + breakingbreaking))•• osobe koje raspolaosobe koje raspolažžu sa tehniu sa tehniččkim znanjima kojima koriste razne kim znanjima kojima koriste razne

telefonske sustave za neogranitelefonske sustave za neograniččeno i besplatno korieno i besplatno korišštenje njihovih tenje njihovih usluga.usluga.


ciljevi zaciljevi zašštitetite�� agenti FBI jedinice za borbu protiv kompjuterskog agenti FBI jedinice za borbu protiv kompjuterskog

kriminala (kriminala (ComputerComputerCrimeCrimeSquadSquad) razlikuju pet ) razlikuju pet grupa takvih napadagrupa takvih napadačča na informacijske sustave: a na informacijske sustave:

�� ččiste hakereiste hakere•• osobe koje nastoje privuosobe koje nastoje privućći pai pažžnju javnostinju javnosti•• uz pomouz pomoćć jeftinije informatijeftinije informatiččke i telekomunikacijske opreme ke i telekomunikacijske opreme

stvaraju probleme poslovnim informacijskim sustavima stvaraju probleme poslovnim informacijskim sustavima

�� unutraunutra ššnje hakerenje hakere•• najopasnija grupa hakera motivirana koristoljubljem, najopasnija grupa hakera motivirana koristoljubljem, •• u pravilu zaposlenici tvrtki ovlau pravilu zaposlenici tvrtki ovlaššteni za pristup sustavu teni za pristup sustavu •• najtenajtežže ih je otkriti e ih je otkriti

15


ciljevi zaciljevi zašštitetite�� hakere kriminalcehakere kriminalce

•• koriste mogukoriste moguććnosti Interneta za ostvarenje svojih nezakonitih nosti Interneta za ostvarenje svojih nezakonitih aktivnosti, uglavnom:aktivnosti, uglavnom: trgovina narkoticima trgovina narkoticima, t, te ostali međunarodni e ostali međunarodni kriminal kriminal

�� hakere industrijske hakere industrijske ššpijunepijune•• koriste informacije iz sustava brojnih tvrtki koje nude na trkoriste informacije iz sustava brojnih tvrtki koje nude na tržžiišštutu

�� hakere u funkciji stranih obavjehakere u funkciji stranih obavješštajnih slutajnih služžbibi•• posebno tehniposebno tehniččki educirani struki educirani struččnjaci njaci

•• sposobni korisposobni korišštenjem komunikacijskih mretenjem komunikacijskih mrežža prodrijeti i u najstroa prodrijeti i u najstrožže e ččuvane informacijske sustave od interesa njihovih nalogodavaca uvane informacijske sustave od interesa njihovih nalogodavaca



�� istraistražživanje tvrtke ivanje tvrtke ComputerComputerSecuritySecurityInstitute Institute u suradnji s FBI odjeljkom u San u suradnji s FBI odjeljkom u San FranciscuFranciscu�� istraistražživanje se odvija veivanje se odvija većć 11 godina11 godina�� ove godine je sudjelovalo ove godine je sudjelovalo 616 stručnjaka za

računalnu sigurnost zaposlenih u• U.S. korporacijama, • vladinim agencijama, • financijskim institucijama, • medicinskim institucijama i • sveučilištima

16



�� dugotrajna istradugotrajna istražživanja pokazuju trendove:ivanja pokazuju trendove:• neovlaštene uporabe računalnih sustava;

• broj zabilježenih sigurnosnih incidenata s izvorom van i unutar organizacije;

• detektiranih tipova napada ili zloporabe i

• akcija poduzetih kao odgovor na upade u računalne sustave



�� istraistražživanja se odnose na i ekonomske odluke koje ivanja se odnose na i ekonomske odluke koje su organizacije poduzele u svrhu zasu organizacije poduzele u svrhu zašštite ratite raččunalne unalne sigurnostisigurnosti•• tehnike koritehnike korišštene za procjenu korisnosti ulaganja u tene za procjenu korisnosti ulaganja u

sigurnostsigurnost

•• potrebe za sigurnosnom obukom djelatnikapotrebe za sigurnosnom obukom djelatnika

•• utjecaj utjecaj outsourcingoutsourcing--a na aktivnosti vezane uz raa na aktivnosti vezane uz raččunalnu unalnu sigurnostsigurnost……

17



�� kljuključčne tone toččke analize:ke analize:•• virusi su i dalje najvevirusi su i dalje najvećći izbor financijskih gubitakai izbor financijskih gubitaka

•• neovlaneovlaššteni pristup je i dalje na drugom mjestuteni pristup je i dalje na drugom mjestu

•• krađe krađe laptopalaptopa i krađe informacija i krađe informacija ((nprnpr. intelektualnog . intelektualnog vlasnivlasnišštva) su na 3. i 4. mjestutva) su na 3. i 4. mjestu

•• ove ove ččetiri kategorije etiri kategorije ččine 74% ukupnih financijskih ine 74% ukupnih financijskih gubitakagubitaka

•• neovlaneovlašštena uporaba ratena uporaba raččunalnih sustava je u laganom unalnih sustava je u laganom padupadu


ciljevi zaciljevi zašštitetite•• financijski gubici koji su posljedica sigurnosnih financijski gubici koji su posljedica sigurnosnih

prekrprekrššaja su također u padu aja su također u padu (iako je upitno da li su svi (iako je upitno da li su svi sudionici bili voljni priznati gubitke)sudionici bili voljni priznati gubitke)

•• outsourcingoutsourcingnije nije ččesto zastupljenesto zastupljen

•• police osiguranje protiv rapolice osiguranje protiv raččunalnog kriminala se jounalnog kriminala se joššuvijek rijetko uzimaju, ali ima naznaka porastauvijek rijetko uzimaju, ali ima naznaka porasta

•• preko 80% organizacija provodi provjere sigurnostipreko 80% organizacija provodi provjere sigurnosti

•• veveććina sudionika procjenjuje da se ne ulaina sudionika procjenjuje da se ne ulažže dovoljno u e dovoljno u sigurnost, te da treba povesigurnost, te da treba poveććati nivo svijesti o vaati nivo svijesti o važžnosti nosti raraččunalne sigurnosti kod svih djelatnikaunalne sigurnosti kod svih djelatnika

18



�� detektirano neovladetektirano neovlaššteno koriteno korišštenje ratenje raččunalnog unalnog sustavasustava



�� broj detektiranih incidenatabroj detektiranih incidenata

19



�� gubici izazvani unutragubici izazvani unutraššnjim prijetnjamanjim prijetnjama


ciljevi zaciljevi zašštitetite�� vrste napada vrste napada

ili ili neovlaneovlašštenog tenog korikorišštenja tenja uslugausluga

20



�� napadi na web sustavnapadi na web sustav


ciljevi zaciljevi zašštitetite�� gubici po tipu gubici po tipu

napadanapada

21


ciljevi zaciljevi zašštitetite�� korikorišštene tene

tehnologije tehnologije zazašštitetite


ciljevi zaciljevi zašštitetite�� vavažžnost obunost obuččavanja djelatnika o provođenju sigurnostiavanja djelatnika o provođenju sigurnosti

22



�� akcije poduzete nakon upada u sustavakcije poduzete nakon upada u sustav


ciljevi zaciljevi zašštitetite�� razlozi za neprijavljivanje upadarazlozi za neprijavljivanje upada

23



�� rizik zloporabe nije mogurizik zloporabe nije mogućće u potpunosti sprijee u potpunosti spriječčiti, iti, ali ga je moguali ga je mogućće svesti na razumnu mjeru e svesti na razumnu mjeru poduzimanjem oppoduzimanjem opććih ih preventivnih mjerapreventivnih mjera ::

•• šštititi tajnost podataka pohranjenih na ratititi tajnost podataka pohranjenih na raččunalnim unalnim memorijskim medijima korimemorijskim medijima korišštenjem tenjem ššifriranja, tako da ifriranja, tako da ga mogu ga mogu ččitati samo ovlaitati samo ovlaššteni korisnici;teni korisnici;


ciljevi zaciljevi zašštitetite•• šštititi tajnost podataka u njihovu prijenosu na daljinu uz tititi tajnost podataka u njihovu prijenosu na daljinu uz

primjenu primjenu ššifriranja u:ifriranja u:

�� sigurnosnim sustavima sigurnosnim sustavima s javnim kljus javnim klju ččemem

•• dva međusobno povezana kljudva međusobno povezana ključča, od kojih je kljua, od kojih je ključč za za ššifriranje javni, a kljuifriranje javni, a ključč za deza deššifriranje poznat je samo ifriranje poznat je samo primatelju poruke,primatelju poruke,

�� sigurnosnim sustavima sigurnosnim sustavima s tajnim kljus tajnim klju ččemem

•• oba kljuoba ključča su tajna ili se koristi isti kljua su tajna ili se koristi isti ključč, primjenjuje se u , primjenjuje se u privatnim i dobro izoliranim mreprivatnim i dobro izoliranim mrežžama ama -- vojska, SWIFT vojska, SWIFT

24


ciljevi zaciljevi zašštitetite•• šštititi tajnost tititi tajnost ššifarskih i identifikacijskih kljuifarskih i identifikacijskih ključčeva eva

�� posebno kod koriposebno kod korišštenja kartica za platenja kartica za plaććanja; anja;

•• kontrolirati tipove ostvarivanih veza s ostalim kontrolirati tipove ostvarivanih veza s ostalim subjektima na Internetu; subjektima na Internetu;

•• šštititi se od obasipanja netititi se od obasipanja nežželjenim porukamaeljenim porukama�� preusmjerivapreusmjerivaččii popoššte, te,

�� alternativne mail adrese, alternativne mail adrese,

�� programi za filtriranje poruka;programi za filtriranje poruka;



•• provjeravati ne postoji li u programima koji se obrađuju provjeravati ne postoji li u programima koji se obrađuju neka vrst "zloneka vrst "zloććudnog" koda (raudnog" koda (raččunalni virus ili crv)unalni virus ili crv)

�� u pravilu se lijepi na rau pravilu se lijepi na raččunalni program ili poruku kako bi unalni program ili poruku kako bi preuzeo kontrolu nad rapreuzeo kontrolu nad raččunalom pri njegovom izvođenjuunalom pri njegovom izvođenju;;

•• u tvrtkama razviti odgovarajuu tvrtkama razviti odgovarajućću sigurnosnu politiku i u sigurnosnu politiku i primorati sve djelatnike da se pridrprimorati sve djelatnike da se pridržžavaju njezinih avaju njezinih odrednica; odrednica;

25



�� imovina informacijskog sustava imovina informacijskog sustava Imovina informacijskog

sustava

LogičkaFizička

Hardver (sklopovskaoprema)

Oprema IS-a

Dokumentacija

Zalihe materijala

Podaci / informacije

Programi

Središnjajedinica

Perifernejedinice

Komunikacijskejedinice

Sistemski(sustavski)programi

Aplikacijskiprogrami



�� uu zazašštitu imovine IStitu imovine IS--a a spadaju:spadaju:�� kontrola nenamjernog i namjernog ugrokontrola nenamjernog i namjernog ugrožžavanja avanja fizifizi ččke ke

imovineimovine informacijskog sustava (prirodnih nepogoda, informacijskog sustava (prirodnih nepogoda, popožžara i zlonamjernih aktivnosti) ara i zlonamjernih aktivnosti) -- raraččunala, ostale opreme unala, ostale opreme

�� kontrola zlonamjernog ugrokontrola zlonamjernog ugrožžavanja avanja logilogiččke imovineke imovineinformacijskog sustava informacijskog sustava -- diskova, medija, podataka na diskova, medija, podataka na raraččunaluunalu

�� provođenje mjera zaprovođenje mjera zašštite pristupa sustavu kroz:tite pristupa sustavu kroz:•• aktivnosti aktivnosti identifikacijeidentifikacije korisnika korisnika

�� identifikacija putem lozinke (eng. identifikacija putem lozinke (eng. PasswordPassword) )

•• aktivnosti provjere aktivnosti provjere ovlaovlašštenosti (autoriziranostitenosti (autoriziranosti) korisnika) korisnika�� obavlja se programski, na temelju unaprijed definiranih parametaobavlja se programski, na temelju unaprijed definiranih parametara za ra za

svakog korisnika svakog korisnika

26



�� mogu se definirati tri osnovnemogu se definirati tri osnovnerazine organizacije razine organizacije sigurnosti i zasigurnosti i zašštite podatakatite podataka

�� I razinaI razina�� uklanjaju se rizici fiziuklanjaju se rizici fiziččke naravi uvođenjem sljedeke naravi uvođenjem sljedeććih ih

postupaka:postupaka:•• kontrola fizikontrola fiziččkog pristupa opremi i prostorijama s rakog pristupa opremi i prostorijama s raččunalimaunalima

•• protupoprotupožžarna, protupotresna, arna, protupotresna, protupoplavnaprotupoplavnazazašštita opreme i tita opreme i podatakapodataka

•• osiguranje neprekinutog napajanja raosiguranje neprekinutog napajanja raččunala elektriunala električčnom energijomnom energijom

•• zazašštita od prljavtita od prljavšštine, pratine, praššine, elektrostatiine, elektrostatiččkog nabojakog naboja

•• redovita izrada zaredovita izrada zašštitnih verzija podataka (eng. titnih verzija podataka (eng. BackupBackup))



�� II razinaII razina�� uklanjanje rizika moguuklanjanje rizika mogućće zloporabe informacijskog sustava e zloporabe informacijskog sustava

ili neovlaili neovlašštenog pristupa podacima, a temelji se na:tenog pristupa podacima, a temelji se na:•• fizifizi ččkoj i logikoj i logiččkoj identifikaciji korisnika (kljukoj identifikaciji korisnika (ključčevi, kartice, lozinke)evi, kartice, lozinke)

•• dodatnim provjerama ovladodatnim provjerama ovlašštenja u pojedinim koracima obradetenja u pojedinim koracima obrade

�� III razinaIII razina�� usmjerena na osobito vausmjerena na osobito važžne i vrijedne podatke i informacije ne i vrijedne podatke i informacije

u sustavu, na ou sustavu, na oččuvanje njihove tajnosti i sigurnosti, uvanje njihove tajnosti i sigurnosti, •• temelji se na kriptografskim metodama temelji se na kriptografskim metodama

27



�� svi korisnici sustava moraju biti upoznati svi korisnici sustava moraju biti upoznati sa pravilima i postupcima zasa pravilima i postupcima zašštite tite informacijskog sustava, te sve aktivnosti informacijskog sustava, te sve aktivnosti redovito provoditi!!!redovito provoditi!!!



�� deset skupina pitanja o zadeset skupina pitanja o zašštiti IS titi IS --aa koja bi koja bi povremeno morao postaviti svaki rukovoditelj ili povremeno morao postaviti svaki rukovoditelj ili osoba zaduosoba zadužžena za zaena za zašštitu:titu:

1.1. Jeste li zadovoljni naJeste li zadovoljni naččinom kako se u vainom kako se u vaššem poduzeem poduzećću u zapozapoššljavaju djelatnici na zamjeni i vanjski suradnici?ljavaju djelatnici na zamjeni i vanjski suradnici?Kako se provjerava njihova povjerljivost? Kako se provjerava njihova povjerljivost? Kako je organiziran nadzor? Kako je organiziran nadzor? Koja i kakva ovlaKoja i kakva ovlašštenja im se dodjeljuje za pristup do tenja im se dodjeljuje za pristup do povjerljivih informacija? povjerljivih informacija?

28



2.2. Znate li za pojavu da djelatnici koriste tuđe Znate li za pojavu da djelatnici koriste tuđe korisnikorisniččke identifikacije i lozinke, unatoke identifikacije i lozinke, unatoččzabrani? zabrani? Postoje li pravila o standardizaciji lozinki? Postoje li pravila o standardizaciji lozinki? Je li definiran minimalni i maksimalni period Je li definiran minimalni i maksimalni period korikorišštenja lozinke? tenja lozinke? MoMožže li se negdje pojaviti lozinka vidljiva na e li se negdje pojaviti lozinka vidljiva na ekranu ili na papiru? ekranu ili na papiru? Zahtijeva li sustav promjenu lozinke nakon isteka Zahtijeva li sustav promjenu lozinke nakon isteka definiranog perioda?definiranog perioda?



3.3. Analiziraju li se dnevnici sustava (biljeAnaliziraju li se dnevnici sustava (bilješške o ke o aktivnostima) i kako se to aktivnostima) i kako se to ččesto radi? esto radi? Da li taj posao rade informatiDa li taj posao rade informatiččari ari -- tehnitehniččko ko osoblje ili poznavatelji poslovnih procesa i osoblje ili poznavatelji poslovnih procesa i tehnologije rada?tehnologije rada?

29


ciljevi zaciljevi zašštitetite4.4. U kojoj mjeri i kako U kojoj mjeri i kako ččesto uprava kresto uprava kršši pravila zai pravila zašštite i ima tite i ima

li za to prilike?li za to prilike?

5.5. Dogovaraju li se s korisnicima postupci s izlaznim Dogovaraju li se s korisnicima postupci s izlaznim materijalima (listama, magnetskim medijima)? materijalima (listama, magnetskim medijima)? Jesu li korisnici zadovoljni tim postupcima? Jesu li korisnici zadovoljni tim postupcima? Događa li se da izlazni mediji nestanu ili se izgubeDogađa li se da izlazni mediji nestanu ili se izgube??

6.6. Imate li puni nadzor nad koriImate li puni nadzor nad korišštenjem pomotenjem pomoććnih nih sistemskih programa i alata na vasistemskih programa i alata na vaššem sustavu? em sustavu? Daju li se za njihovo koriDaju li se za njihovo korišštenje ovlatenje ovlašštenja i biljetenja i bilježži li se i li se njihovo korinjihovo korišštenje automatski u dnevnik sustava? tenje automatski u dnevnik sustava?


ciljevi zaciljevi zašštitetite7.7. Postoji li nadzor nad unoPostoji li nadzor nad unoššenjem i iznoenjem i iznoššenjem prijenosnih enjem prijenosnih

raraččunala, disketa, CDunala, disketa, CD--ova, te ostalih medija? ova, te ostalih medija? Postoji li nadzor nad korisnicima Interneta?Postoji li nadzor nad korisnicima Interneta?

8.8. Postoji li plan postupanja u sluPostoji li plan postupanja u sluččaju da morate evakuirati aju da morate evakuirati uredske prostorije ili uredske prostorije ili ččitavu zgradu ako pri tomu gubite itavu zgradu ako pri tomu gubite pristup informacijskom sustavu? pristup informacijskom sustavu? ŠŠto to ććete poduzeti? ete poduzeti? Ako postoji, kada je taj plan posljednji put revidiran? Ako postoji, kada je taj plan posljednji put revidiran?

9.9. Postoje li pisana pravila za zaPostoje li pisana pravila za zašštitu integriteta, titu integriteta, raspoloraspoložživosti i povjerljivosti informacija pohranjenih u ivosti i povjerljivosti informacija pohranjenih u vavaššem informacijskom sustavu? em informacijskom sustavu? Ako postoje, razumiju li ih svi vaAko postoje, razumiju li ih svi vašši namjei namješštenici? tenici?

30



�� Deseto pitanje je pitanje iskljuDeseto pitanje je pitanje isključčivo za upravu:ivo za upravu:

10.10. Niste li svoj informacijski sustav, a time i VaNiste li svoj informacijski sustav, a time i Vašše e poslovanje i uspjeh na trposlovanje i uspjeh na tržžiišštu, "predali" informatitu, "predali" informatiččarima arima bez adekvatnog nadzora i zabez adekvatnog nadzora i zašštite?tite?

Documents

Sigurnost ra čunalnih mre žamarjan.fesb.hr/~pravdica/srm/srm_pogl1_bez_pozadine.pdf · • koriste informacije iz sustava brojnih tvrtki koje nude na tr žištu hakere u funkciji