sigurnost racunalnih mreza

Zaštita i sigurnost informacijskih sustava

07/2009 FER - Zavod za primijenjeno računarstvo

1

SVEUČILI�TE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

Zavod za primijenjeno računarstvo

Prof. dr. sc. Nikola Hadjina

ZAŠTITA I SIGURNOST INFORMACIJSKIH SUSTAVA

(nastavni materijali sa zbirkom zadataka)

Zagreb, srpanj, 2009.



2

Predavač: prof. dr. sc. Nikola Hadjina Zavod za primijenjeno računarstvo

Sadržaj kolegija Sadržaj po tematskim cjelinama:

1. Definiranje sigurnosti, problemi, ciljevi, načela i politika sigurnosti. 2. Analiza, upravljanje i nadzor rizika. 3. Kontrola pristupa i tokova - Matematički modeli sigurnosti 4. Osnove kriptografije. Protokoli, tehnike i algoritmi. 5. Arhitektura sigurnosnog sustava-osnovni moduli. 6. Postupci digitalne identifikacije i autentifikacije. 7. Sustavi za sigurnosno upravljanje i nadzor radnih tokova (WFMS). 8. Sigurnost i zaštita programa i operacijskih sustava. Povjerljivi sustavi. 9. Standardi i kriteriji vrednovanja sigurnosti i povjerljivosti sustava. 10. Sigurnost baza podataka. 11. Sigurnost računalnih mre�a i distribuiranih sustava. 12. Transakcijska obrada u višerazinskim sigurnosnim bazama podataka. 13. Sustavi za detekciju sigurnosnih proboja (IDS). 14. Upravljanje i nadzor sigurnosnog sustava (ISMS ). 15. Upravljanje sigurnosnim incidentima i kontinuitet poslovanja (BCMS) 16. Zakonski i etički aspekti sigurnosti.

LITERATURA ZA KOLEGIJ: 1. Charles P. Pfleger, “Security in Computing”, Prentice Hall PTR, 1997 2. Schneier, B., “Applied Cryptography”, (2nd ed.), Wiley 1996. 3. S. Castano, M. G. Fugini, G. Martella, P. Samarati, "Database Security", ACM Press, 1995 4. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4th edition,

CRC Press LLC, 2000 5. Menzies, A.J., von Oorschot, P.C., and Vanstone, S.A. “Handbook of Applied Cryptography”,

CRC Press, NY, 1996. 6. Douglas R. Stinson, “Cryptography: Theory and practice”, CRC Press, 1995. 7. Deborah Russell, G.T. Gangemi Sr., “Computer Security Basic, O’Reilly & Associates, Inc.,

1991 8. Steven L. Shaffer, Alan R. Simon, “Network Security”, Academic Press, Inc, 1994 9. Glen Bruce, Rob Dempsey, “Security in Distributed Computing”, Prentice Hall PTR, 1997 10. Simson Garfinkel, Gene Spafford, “Web Security & Commerce”, O’Reilly & Associates, Inc.,

1997. 11. Richard Barkserville, “Designing Information System Security”, John Wiley & Sons, 1988 12. Sushil Jajodia, "Data Base Security XII", Status and Prospects, Kluwer Academic Publisher,

1999 13. V. Atluri, S. Jajodia, B. George, "Multilevel Secure Transaction Processing", Kluwer Academic

Publisher, 2000.



3

1. DEFINIRANJE SIGURNOSTI, PROBLEMI, CILJEVI, NAČELA I POLITIKA SIGURNOSTI

Stanje i problemi:

Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih prijevara, špijunaže, sabotaže, vandalizma, požara, poplave i sl.

Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i uskraćivanja usluge je sve prisutnija pojava.

Financijski gubici vezani na sigurnosne upade povećavaju se iz godine u godinu i iznose bilione dolara.

Oko 60% napada se događa izvana( kroz Internet), a oko 40% napada dolazi iznutra. U vrijeme globalne ekonomije, stalnih promjena rizika kojima su izložene tvrtke,

uspostave suradnje među tvrtkama, on-line trgovine informacijska sigurnost postaje sve vi�e poslovni problem koji treba omogućiti i unaprijediti poslovanje.

Tvrtke se bore sa zahtjevima regulatora (banke, telekom operatori,..), ekonomskim uvjetima te upravljanjem rizicima.

Uloga informacijske sigurnosti nažalost još nije dovoljno definirana u mnogim tvrtkama.

Iako mnogi vide informacijsku sigurnost kao mjesto troška može se pokazati i dokazati da tvrtke koje ispravno upravljaju s informacijskom sigurno�ću posti�u kvalitetno, racionalno i učinkovito svoje poslovne ciljeve.

Sigurnosti informacijskih sustava može biti od presudne važnosti kako bi se ostvarila i zadržala konkurentnost, osigurao dotok novca i profitabilnost, kako bi se zadovoljile zakonske norme i osigurao poslovni ugled, te konačno kako bi organizacija pre�ivjela na tržištu.

Informacijska sigurnost pored ovih navedenih ciljeva treba svoriti i priliku za planiranje i ostavrenje novih poslovnih ciljeva, te kao takva mora biti integralni dio korporativnog upravljanja i poslovnog planiranja.

Informacijska sigurnost i sigurnost informacijskih sustava Osnovni pojmovi

Podatak Informacija Računalni sustav Informacijski sustav

Informacija je poslovna imovina Atributi:

Povjerljivost (tajnost) . Točnost Raspoloživost

Faktori koji imaju utjecaj, odnosno ugrožavaju, informacijsku sigurnost:



4

Prekid Presretanje Izmjene Produkcija

Informacijska sigurnost u kontekstu

Sigurnost je poslovni proces Sigurnost je proces smanjenja rizika ili vjerojatnosti nastajanja štete. Neki od aspekata informacijske sigurnosti o kojima treba voditi računa ovaj poslovni proces su:

Pristup Identifikacija Autentifikacija Autorizacija

Informacijska sigurnost je poslovni zahtjev Dodatni aspekti informacijske sigurnosti:

Odgovornost



5

Podizanje svijesti Administracija (upravljanje)

Izgradnja plana informacijske sigurnosti Pet glavnih faza svakog Plana informacijske sigurnosti su:

Inspekcija Zaštita Detekcija Reakcija Refleksija

Informacijska imovina Informacijska imovina su sva ona sredstva koja uskladi�ćuju informaciju, prenose informaciju, kreiraju informaciju, koriste informaciju ili su informacija sama za sebe. Takvu imovinu predstavljaju i informacijski sustavi. Sredstva organizacije se mogu stoga grupirati u slijedeće kategorije:

Ljudi Posjed Informacija Infrastruktura Reputacija

Odnos sigurnosti računarskih sustava i informacijskih sustava Sigurnost računarskih sustava najče�će podrazumjeva sigurnost u okviru tehničke arhitekture, računala, mre�e i komunikacije, dok sigurnost informacijskih sustava obuhvaća puno �ire područje, koje uključuje izgradnju, implementaciju i kori�tenje informacijskih sustava, što je direktno povezano sa poslovnim procesima i organizaciojom tvrtke, osobljem , zakonima i cjelokupnim društvom. Prema tome razvoj je i�ao od tehničkih rje�enja (IT orijentacije ) prema poslovnim potrebama i zahtjevima organizcija i ostvarenju njihovih poslovnih ciljeva : Sigurnost računala (Computer Security -1970) Sigurnost podataka (Data Security - 1980) Sigurnost informacija, Informacijska sigurnost (Information Security - 1983) Sigurnost informacijskih sustava (IS Security - 1988) Sigurnost poslovanja (Enterprise protection – Enterprise Security Architecture,

Industrial Security - 1995) Osnovne grupe razvoja sigurnosti mogu se podijeliti na:



6

IT orjentirana sigurnost Poslovno orjentirana sigurnost

(informacijska sigurnost je poslovni problem, čije rje�enje unapređuje poslovanje) Računlna sigurnost, informacijska sigurnost i sigurnost informacijskih sustava �to je računalna sigurnost ?

privatnost, ograničenje fizičkog pristupa, raspoloživost aplikacija, mrežna povjerljivost, integritet sadržaja (podataka i programa) politika pristupa. Sigurnost je u biti upravljanje rizicima.

Što je i što nije informacijska sigurnost ? Pogledi na sigurnost (informacijske operacije, zaštitu informacija i ostavrenje ciljeva poslovanja) →Informacijska sigurnost se ponekad povezuje sa informacijskim operacijama koje štite i brane informacijski sustav kako bi osigurale njegovu raspoloživost, integritet, autentifikaciju, povjerljivost (tajnost) i neporecivost. Informacijska sigurnost također uključuje oporavak informacijskih sustava kroz uključene sposobnosti za za�titu, detekciju i reakciju. →Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja kontinuiteta poslovanja, smanjenja poslovnog rizika i povećanja prihoda od investicija i poslovnih prilika. Informacijska sigurnost posti�e se primjenom odgovarajućeg skupa kontrola, uključujući politike, procese, procedure, organizacijske strukture i softverske i hardverske funkcije → Omogućiti ostvarenje ciljeva poslovanja na siguran način, u kojem su zadovoljeni regulatorni i sigurnosni zahtjevi kroz ugradnju odgovarajućih kontrola, upravljanje rizicima, te kroz podizanje sigurnosne kulture i svijesti u organizaciji. Stoga je informacijska sigurnost:

• Način razmi�ljanja • Beskonačan proces • Upravljanje rizikom • Jamstvo poslovnog uspjeha • Odgovornost svakog zaposlenika

Informacijska sigurnost nije:



7

• Odgovornost samo IT-a • Problem koji se rješava samo tehnologijom • Konačno odredi�te – 100% sigurnost nije moguća

Filozofija informacijske sigurnosti je dakle sadr�ana u slijedećem:

• Va�nost i kritičnost informacija se stvara u glavama poslovnih ljudi a ne u njihovim sustavima

• Sveopći pristup (holistički) sigurnosti je preduvjet za informacijksu sigurnost • Sama tehnologija i alati ne mogu osigurati kompletno rješenje sigurnosti • Ljudi su najveći problem u implemetaciji informacijske sigurnosti • To je proces , a ne proizvod, koji nikada ne završava.

Što je sigurnost informacijskih sustava ? Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i raspolo�ivosti, te radi sprječavanja gubitaka cjelovitosti ili raspolo�ivosti samih sustava. “Jedini informacijski sustav koji je zaista siguran je onaj koji je uga�en, isključen iz napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okru�en nervnim plinom i dobro plaćenima naoru�anim čuvarima. Čak ni tad, ne bih se ba� kladio na njega.” Eugene Spafford Direktor Computer Operations, Audit and Security Technology (COAST) Purdue University Glavni ciljevi u istra�ivanju računalne sigurnosti su:

ispitivanje sigurnosnih rizika u računarstvu razmatranje raspoloživih zaštitnih mjera i kontrola stimuliranje razmišljana o neotkrivenim ranjivostima i prijetnjama identifikacija područja u kojima se zahtjeva više rada na postizanju bolje sigurnosti.

Ranjivost, prijetnja i rizik Ranjivost (engl. vulnerability) – stanje, nedostatak ili slabost u sigurnosnim procedurama, tehničkim kontrolama, fizičkim ili drugim kontrolama sustava, dizajnu i implementaciji tih kontrola i procedura koja se mo�e iskoristiti, slučajno ili namjerno aktivirati i eksploatirati, što može rezultirati povredom sigurnosti i/ili sigurnosne politike, koja prouzrokuje operativne i financijske gubitke za organizaciju. Prijetnja (engl. threat) - mogućnost izvora prijetnje da iskoristi neku ranjivost slučajnim ili namjernim aktiviranjem i eksploatacijom.



8

Rizik se prepostavlja od strane vlasnika ili administratora sustava, a to je vjerojatnost da sustav neće biti u mogućnosti provoditi sigurnosnu politiku., uključujući i kontinuiranost kritičnih operacija u toku izvođenja napada. Rješenja:

izbjegavanje upravljanje prihvaćanje transfer

Rizik = F(prijetnji,ranjivosti, vrijednosti informacijske imovine, sigurnosne kontrole)

Svojstva računarskih upada Princip najlakšeg upada

Vrste sigurnosnih proboja (upada)

prekid, presretanje, izmjene i produkcija.

Ciljevi sigurnosti računarskog/informacijksog sustava

Autentifikacija (Autentification) Kontrola pristupa (Access control Nadzorni zapisi (Audit trail) Povjerljivost (Confidentiality) Cjelovitost (Integrity) Raspoloživost (Availability Neporecivost (Nonrepudtaion)

Računarska sigurnost u u�em smislu, općenito, sastoji se od odr�avanja tri sigurnosna svojstava:

povjerljivost (tajnost/privatnost), cjelovitost i raspoloživost.

Povjerljivost Povjerljivost zvuči prilično jasno; samo ovla�teno osoblje mo�e vidjeti za�tićene podatke.



9

Cjelovitost Neka značenja cjelovitosti su:

Točnost (precise) Ispravnost (accurate) Neizmjenivost Izmjenjivost samo na prihvatljiv način Izmjenjivost samo od starne ovlaštenih osoba Izmjenjivost samo od ovlaštenih procesa Konzistentnost Unutarnja konzistennost Značajni i ispravni rezultati

Raspoloživost Očekivanja:

prisutnost objekta ili usluge u upotrebljivom obliku kapacitet koji zadovoljava potrebnu uslugu napredak: ograničeno vrijeme čekanja odgovarajuće vrijeme izvr�enja usluge

Ciljevi raspoloživosti su:

vremenski odziv prihvatljiva dodjela veličine sistemskog resursa neosjetlivost na greške korisnost ili upotrebljivost ( može se koristi kao namjeravana) nadzirana paralelnost-konkurentnost: potpora istovremenim pristupima, kontrola

potpunog zastoja, ekskluzivni pristup ( ako se zahtjeva).

Odnos između povjerljivosti, cjelovitosti i raspolo�ivosti

Povjerljivost

Cjelovitost Raspoloživost



10

Ranjivosti računarskog/informacijskog sustava

Za računalne kriminalce ranjivosti informacijskih sustava i mreža su skriven, ali vrlo vrijedan podatak i imovina.

Nove ranjivosti pojavljuju se svakodnevno zbog grešaka u softveru, hardveru, u konfiguriranju aplikacija i IT-a te zbog grešaka ljudi.

Svaki poslovni sustav povezan na Internet je izložen riziku zbog mrežne ranjivosti.

Od kuda dolaze ranjivosti ?

Gre�ke u programiranju uzrokuju mnoge ranjivosti u softveru. Uobičajena gre�ka je ne provjeravanje veličine spremnika podataka (eng. data buffers).

Javno dostupni i publicirani programi Kvaliteta programskog koda Implementacija nerobustnih Internetskih protokola Nepravilno konfigurirane sigurnosne aplikacije (sigurnosna stijena), Neadekvatno kori�tenje mobilnih uređaja (bez VPN-a,..)

Ranjivosti računarskog sustava

Princip adekvatne zaštite: Računarska sredstva (informacijska imovina) moraju se zaštiti samo do vremena do kada one gube vrijednost. Ona se moraju zaštiti sukladno s njihovom vrijednos�ću.

HARDWARE

PROGRAMI PODACI

Presretanje(krađa)

Prekid(Sprečavanje usluga)

Prekid(Brisanje)

Presretanje

Izmjene

Prekid(gubitak)

Presretanje

Izmjene

Produkcija



11

Ostala izlo�ena sredstva računarkog/informacijskog sustava

Medij za uskladištenje podataka Mreže Ključno osoblje

Prijetnje informacijskoj sigurnosti - Identifikacija prijetnji Vrste prijetnji Postoje četri opće vrste prijetnji u uvjetima računalnih/informacijksih sustava: 1. Prirodne prijetnje 2. Nenamjerne prijetnje (nesreća) 3. Namjerni (ljudski) aktivni napadi 4. Namjerni (ljudski) pasivni napadi

Prirodne prijetnje Vrsta prijetnje

Individualna prijetnja (izvor prijetnje)

Usputne (posredne) prijetnje

Učinci prijetnje (događaj prijetnje)

Geofizička nesreća Potres, vulkanske aktivnosti, poplave

Požar, pomicanje tla, ispuštanje plina ili kem. tekućina, ispad napajanja

Uni�tenje uređaja ili o�tećenje (prekid)

Vremenski ovisne nesreće

Hariken, tornado, tajfun

Polave, po�ari, nesreće, ispuštanje plina i kem. tekućina, ispad napajanja

Gubitak ili degradacija mreže i komunikacija, uni�tenje uređaja i informacija (prekid)

Meterolo�ke nesreće Atmosferske neprilike, snijeg, vjetar, oluja, grmljavina, visoke ili niske temperature

Poplave, nesreće, ispad napajanja, elektromagnetski impulsi

Gubitak ili degradacija komunikacija, uni�tenje uređaja i informacija (prekid)

Sezonski fenomeni Vremenski ekstremi, šumski požari

Poplave, po�ari, nesreće, ispad napajanja

Gubitak ili degradacija mrežnih komunikacija, uni�tenje uređaja i informacija (prekid)

Astrofizički fenomeni

Sunčani fenomen, (sunčane rupe)

Gubitak ili degradacija satelitske veze (prekid)

Biološki fenomeni Bolesti i divljaštvo Nesreće O�tećenja na uređajima i osoblju (prekid)



12

Nenamjerne prijetnje

Korisničke pogre�ke Operaterske pogreške Pogreške administriranja (specijalnih komponenti ili programa konfiguracije ) Greške pripreme podataka Greške izlaza Gre�ke računalnih sustava Komunikacijske pogreške Greške aplikacijskih programa Druge nenamjerne prijetnje mogu uključiti slijedeće: Vrsta prijetnje

Individualna prijetnja (izvor prijetnje)

Učinci prijetnje (događaj prijetnje)

Transport Avionska, �eljeznička, kamionska i automibilska nesreća

Uni�tenje uređaja i informacija (prekid)

Industrija Ispuštanje plina, kem. izlijevi, radioaktivno zračenje, po�ari, eksplozije, prekidi u snabdjevanju energijom

O�tećenje ili uni�tenje mre�nih uređaja i informacija, te gubitak mogućnosti obrade (prekid)

Okolina Šumski požari, poplave, oneči�ćenje zraka, epidemija

Degradacija i uništenje uređaja, usluga i informacija (prekid)

Uređaji Gre�ke mre�nih uređaja, greške u podršci softwarea/hardwarea

Degradacija i destrukcija mre�nih uređaja, usluga i informacija

Namjerni aktivni ljudski napadi Vrsta prijetnje Individualne prijetnje (izvor

prijetnji) Učinci prijetnji (događaj prijetnje)

Građanska neposlu�nost Protesti, neredi, sindikalne demonstracije

Onemogućavanje dolaska na posao, o�tećenja uređaja i osoblja (prekid)

Neovlašteni pristup Povjerljivi personal, neovlašteni personal, korisnička nju�kala

Gubitak, manipulacija, o�tećenje ili otkrivanje podataka (prekid, presretanje, izmjene)

Sabotaža Terorizam, bombardiranje, modifikacija programa, vandalizam na uređajima

Destrukcija ili o�tećenje ciljanog uređaja i osoblja rezultira u gubitku usluga (prekid)

Gomilanje prometa Uvođenje la�nog prometa Gubitak ili degradacija



13

na mre�i, povećana frekvencija dodjele na mre�i, uvođenje up-link i down-link gomilanja

veze/mreže i gubitak usluga/podataka, DoS napad (prekid)

Namjerni pasivni ljudski napadi

Vrsta prijetnje Individualne prijetnje

(izvor prijetnji) Učinci prijetnje (događaj prijetnje)

Elektromagnetsko zračenje Kablovi, zemaljske linije, mikrovalovi, računala, mrežne komponente

Neovla�teno oslobađanje informacija ( presretanje)

Priključak na liniju ili prisluškivanje

Kablovi, zemaljske linije, mikrovalne veze


Otkrivanje osjetljivih informacija

Gubitak prozveden od strane personala, nepravilno označavanje informacija, nepravilno rukovanje informacijama, zloupotreba mrežnih sredstava


Kategorije prijetnji

Odbacivanje usluga (DoS - Denial of Service) o Fizičko uni�tenje mre�nog segmenta ili podmre�e o Neoperabilnost mrežnih segmenata ili podmre�a zbog gre�ke uređaja,

greške programa ili sabotaže o Degradacija performansi zbog zasićenja sustava, zbog gre�aka na liniji, ili

zbog vanjskih faktora (vremenske prilike) o Ovla�teni korisnici sprečavaju fizički pristup mre�nim uređajima i

uslugama IS-a o Svi drugi uvjeti koji izazivaju neraspoloživost IS-a ovlaštenim korisnicima

Neovlašteno otkrivanje o Nenamjerno otkrivanje može biti izazvano od korisnika, operatera, kod

pripreme podataka, grešaka izlaza, grešaka sustava ili grešaka u komunikaciji

o Kršenje postavljenih procedura za kontrolu pristupa (ovlaštenja) o Zlonamjerne akcije personala o Aktivni pokušaji (napadi) ovlaštenog personala da pristupe osjetljivim

informacijama

Neovlaštene modifikacije o Osoblja (djelatnici - insideri) koje aktivno rade na sabotaži ili prekidu rada

mrežnih operacija ili usluga IS-a.



14

o Osoblje (djelatnici - insideri) koje nenamjerno interferira sa IS-om, mrežnim operacijama i uslugama

o Vanjsko osoblje - outsideri (hakeri, krekeri, računalni kriminalci,..)

Prijetne na LAN komunikacije Prijetnje na WAN komunikacije Uključeno osoblje

o Amateri o Krekeri/hakeri o Računlni kriminalci

Model sustava informacijske sigurnosti Poslovni model Programi informacijske sigurnosti trebaju uzeti u obzir kako su tvrtka, njezino osoblje, procesi i tehnologija međusobno povezani i kako međusobno djeluju , te kako vođenje i upravljanje tvrtkom (governance), kultura, ljudski faktor i arhitektura podupiru ili ote�avaju mogućnost tvrtke da za�titi svoje informacije i upravlja rizikom koji dovodi do kršenja informacijske sigurnosti i sigurnosti IS-a Struktura modela Model je orijentiran prema poslovnom rje�enju upravljanja informacijskom sigurno�ću. Njegova potpunost i dinamičnost čini ga da informacijska sigurnost bude predvidiva i proaktivna. Struktura modela dana je na donjoj slici:

USC - University of Sothern California



15

Kao �to slika prikazuje to je trodimezionalni oblik piramide koji se sastoji od četiri elementa i i �est dinamičkih međuveza. Svi aspekti modela međusobno su povezani. Ukoliko se bilo koji dio modela mijenja ili se upravlja na neodgovarajući način to izaziva neravnotežu modela koja predstavlja potencijalni rizik.. Elementi modela

1. Dizajn tvrtke i strategija 2. Ljudi 3. Proces 4. Tehnologija

Dinamičke međuveze

1. Vođenje i upravljanje (Governing) 2. Kultura 3. Omogućavanje i podr�ka 4. Nastanak (Emergence) 5. Ljudski faktori 6. Arhitektura

Upotreba modela

Zakonski i regulatorni zahtjevi Globalizacija Rast i proširenja Organizacijske sinergije Pojava i razvoj novih tehnologija Ekonomija tržišta Ljudski resursi Sve prisutne izmjene prijetnji i ranjivosti Inovacije

Konceptualni model - sigurnosna arhitektura ( razrada poslovnog modela- Potpuni model sigurnosnog sustava sastoji od pet cjelina:

Poslovne i sigurnosne strategije Organizacijskog sustava Sustava upravljanja Tehnološkog sustava Vrednovanja sigurnosnog sustava

Ovaj model dan je na slijedećoj slici.



16

Poslovna strategija i ciljevi

Sigurnosni zahtjevi Sigurnosna strategija i ciljevi

Organizacijaska struktura Podjela posla - role Edukacija korisnika

Organizacijski sustav

Upravljanje propisima Upravljanje sredstvima Upravljanje rizikom Upravljanjem tehnologijom

Sustav upravljanja

Ocjena funkcionalnosti Validacija i autentifikacija Kontrola pristupa Integritet podataka Povjerljivost podataka Anti DoS

Zaštitna funkcionalnost (Sigurnosni servisi i sigurnosni mehanizmi)

Funkcionalnost detekcije sigurnosnih incidenta Funkcionalnost odgovora na sigurnosne incidente Funkcionalnost oporavaka od sigurnosnih incidenata

Tehnološki sustav

Vrednovanje sigurnosnog sustava Principi sigurnosti informacijskih sustava Organizacija za ekonomsku suradnju i razvoj (engl. The Organisation for Economic Cooperation and Development - OECD ) je ustanovila 9 principa sigurnosti informacijskih sustava:

Svijest o informacijskoj sigurnosti

Odgovornost

Odziv

Etika

Demokracija

Procjena rizika

Dizajn i implementacija sigurnosnih mjera

Upravljanje sigurno�ću

Procjenjivanje

Sigurnosni principi (načela) za izgradnju sigurnosnih mjera Odgovornost i nadzor (Accountability) Namanje privilegije

Minimiziranje raznoličnosti, veličine i slo�enosti povjerljivih komponenti Podrazumjevana sigurnost (default ) Obrana po dubini



17

Metode obrane (zaštite) / Kontrole - Sigurnosni mehanizmi-mjere U projektiranju i izgradnji sigurnosnih mehanizama potrebno je rukovoditi se nekim osnovnim principima i operacijama koje su svojstvene za većinu sigurnosnih mehanizama: Definiranje domena

Povezivanje korisnika s domenama

Ovlaštene (autorizirane) operacije

Operacije nadzora i upravljanja(Auditinig)

Kriptografija (enkripcija/dekripcija)

Kontrole U nastavku dat ćemo pregled kontrola ili kontrolnih mjera koje će poku�ati spriječiti kori�tenje ranjivosti računarski/informacijskih sutava. Enkripcija Programske kontrole

Unutarnje programske kontrole: dijelovi programa koji provode restrikcije glede sigurnosti, kao �to je ograničenje pristupa u program za upravljanje bazom podataka

Kontrole operativnog sustava: ograničenja koja provodi operacijski sustav kako bi zaštitio jednog korisnika od drugog

Kontrole razvoja: standardi kvalitete pod kojima treba provesti projektiranje, kodiranje, testiranje i održavanje

Sklopovske kontrole Politike Fizičke kontrole Učinkovitost kontrola Briga o problemu (engl. Awerness) Vjerojatnost upotrebe



18

Princip djelotvornosti (učinkovitosti): Kontrola se mora koristiti da bi bila učinkovita. Ona mora biti djelotvorna, laka za upotrebu i adekvtana.

Preklapanje kontrola

PODATCI

PRISTUPDATOTEKAMA

PRISTUPPROGRAMIMAFIZIČKI

PRISTUP

FIZIČKIPRISTUP LOGIČKI

PRISTUP

PRISTUPDATOTEKAMA

PROGRAMIHARDWARE

Periodički pregledi sigurnosti i učinkovitosti kontrola Principi koji djeluju na istra�ivanja u području računarske/informacijske sigurnosti: princip najlakšeg upada princip vremenskog ograničenja princip učinkovitosti kontrole

Implemetacija plana informacijske sigurnosti Ta implementacija se obavlja primjenom najbolje prakse kroz upotrebu normi za sigurnost informacija i informacijksih sustava a ti su: ISO 27001 i ISO 17799 /ISO 27002 , ISO 2700X, BS 25999 i dr. Oni definiraju njegove glavne elelmente:

Cilj normi



19

Što je sigurnost informacija? Zašto je potrebna sigurnost informacija?

Kako utvrditi sigurnosne zahtjeve?

Procjena sigurnosnih rizika

Odabir kontrolnih mjera i sredstava

Polazište sigurnosti informacija

Kritički faktori uspjeha

Razvoj vlastitih niti vodilja

Sigurnosna politika Politika sigurnosti informacija Cilj je osigurati upute i podršku rukovodstva glede sigurnosti informacija. Rukovodstvo mora postaviti jasno usmjerenje, podršku i predanost u vezi sigurnosti informacija utvrđivanjem i provođenjem politike sigurnosti informacija u čitavoj organizaciji. Dokument politike sigurnosti informacije Minimum koji treba biti uključen je slijedeći:

a. definicija sigurnosti informacija, sveukupni ciljevi i svrha, te važnost sigurnosti kod zajedničkih informacija;

b. iznošenje namjere rukovodstva u svrhu podupiranja ciljeva i principa sigurnosti informacija;

c. kratki opis sigurnosne politike, principa, standarda i zahtjeva u pogledu usklađenosti od osobite važnosti za organizaciju, npr.:

1. usklađenost sa zakonskim i ugovornim zahtjevima 2. zahtjevi glede sigurnosti obrazovanja 3. prevencija i otkrivanje virusa i ostalog zlonamjernog software-a 4. vođenje poslovnog kontinuiteta 5. posljedice kršenja sigurnosne politike

b. definicija općih i posebnih odgovornosti glede upravljanja sigurno�ću informacija,uključujući izvje�ća o sigurnosnim incidentima; c. referentna dokumentacija koja podupire ovu politiku tj.razrađena sigurnosna politika i

procedura za specifične informacijske sustave ili sigurnosna pravila prema kojima moraju postupati korisnici.



20

Revizija i vrednovanje �to se tiče politike, treba postojati osoba odgovorna za odr�avanje i reviziju prema definiranim revizijskim procesima. Taj proces mora osigurati reviziju kao odgovor na sve promjene koje utječu na primarnu procjenu rizika, npr. značajni sigurnosni incidenti, nove povrede ili promjene organizacijske ili tehničke infrastrukture. Također treba planirati periodičke preglede slijedećeg:

a. učinkovitost politike �to će se ogledati u broju i učinku zabilje�enih sigurnosnih incidenata;

b. tro�ak i učinak kontrole na efikasnost poslovanja; c. djelovanje promjena u tehnologiji

Sigurnosna politika

Sigurnost, privatnost i povjeljivost (tajnost)

Komercijalne, vojne i druge politike Tok donošenja sigurnosne politike

Da li je sigurnosna politika potrebna ? Radni okvir sigurnosne politike Naredbe(iskaze) politike - Formalna naredba politike poduzeća. �to poduzeće zahtjeva da

se učini a �to ne ? Naredba treba biti specifična i jasna. Svrha - Zašto je politika potrebna. Koje probleme ona rješava ? Koje su komponente

politike. Da li postoje kakve definicije u području koje ona pokriva ? Djelokrug - Koje su granice primjene politike ? Kako se daleko sigurnosna politika

prostire. Podudarnost sa politikom - Što se posebno zahtjeva da bude sukladno sa politikom ? Da

li postoji bilo koja dozvoljena devijacija od politike, te koji su to procesi koji trebaju autorizirati devijaciju ?

Penali/Posljedice - Koji su penali i/ili posljedice ne pridržavanja sigurnosne politike? Oni mogu definirati formalne sankcije i/ili posebne posljedice u slučaju kr�enja sigurnosne politike.

Načela poduzeća Poslovni kod ponašanja Sigurnosne politike Vodič



21

Osnovni sigurnosni elementi

Identifikacija

Autentifikacija Autorizacija

Lozinke

Informacijski integritet

Specifične politike sigurnosti Politika odnosa prema podatcima

o Klasifikacija podataka o Čuvar podataka/vlasnik podataka o Nadzornik sigurnosti podataka i IS-a (upravljanje) o Cjelovitost/integritet podataka

Politika u odnosu na osobno korištenje o Osobno korištenje o Korištenje informacijskog sustava o Privatnost

Politika upravljanja sigurno�ću sustava / Politika ISMS-a o Odgovornosti rukovodstva (Uprave) o Upravljanje zapisima o Sigurnosna administracija o Razdvajanje dužnosti o Procjena rizika o Nadzor podudarnosti sa sigurnosnom politikom (revizija sigurnosti) o Odstupanje od politike o Administracija sustava o Klasifikacija sustava o Kontinuitet poslovanja

Mrežne politike o Vanjski pristup mreži o Udaljeni pristup mreži o Privatnost komunikacija

Politike za korisnike o Briga korisnika o Korisnička odgovornost

Programske politike o Prava kopiranja o Zaštita od virusa



22

Ostale politike

o Razvoj aplikacija o Vanjske obrade o Fizička sigurnost o Korištenje standarda

Proces kreiranja politika Odgovornosti Priručnik o sigurnosnoj politici (Vodič) Briga o sigurnosti i izobrazba Proces implementacije sigurnosne politike



23

2. ANALIZA, UPRAVLJANJE I NADZOR RIZIKA Planiranje sigurnosti informacijskog sustava uvijek počinje s analizom rizika Scenario poslovnog rizika koji je vezan na snježnu oluju koja izaziva prekid eleketrične mreže Data centra koji je nužan za obavljanje poslovne funkcije : Prijetnja:

Vjerojatnost : 25% da nastupi prekid električne mre�ekao posljedica oluje Izvor prijetnje: snježna oluja Događaj prijetnje: prekid električne mre�e

Posljedice:

Očekivani gubitak prihoda kao rezultat nerada Data centra i ureda: 2.5 M$ Mjerenje veličine rizika:

Kvantitativno (numeričke veličine – novčani iznos) Kvalitatitvno (skala veličina: Low, Medium , High)

Upravljanje rizikom Donošenje odluke o :

prihvaćanju rizika smanjenje rizika prijenosu rizika



24

Ključna pitanja u vezi s procesom upravljanja rizikom:

1. Što se može dogoditi (događaj prijetnje) ? 2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ? 3. Kako se često ona mo�e dogoditi (frekvencija pojave prijetnje, godišnje) ? 4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?

Proces smanjenja rizika Kvantitativna procjena rizika- pojmovi i definicije Godi�nji očekivani gubitak (GOG) JOG * GUP = GOG gdje je, JOG – jednostruki godišnji gubitak uz pojavu jedne prijetnje godišnje. GUP – učestalost pojave prijetnje u toku jedne godine Uspostavlja osnova za analizu trošak/dobiti. Godi�nja učestalost pojave prijetnje (GUP) To je veličina koja daje frekvenciju pojave prijetnji koja se očekuje kroz godinu.



25

Faktor izlaganja (kompromitacije) (FI) Ovaj faktor predstavlja mjeru veličine gubitka ili utjecaja prijetnje na vrijednost informatičkog sredstva.. Taj faktor se koristi u računaju JOG veličine. Informacijsko sredstvo Informacijsko sredstvo je dio informacijskog sustava koje organizacija mora imati kako bi obavila svoju poslovnu misiju. Kvalitativnost/Kvantitativnost Tehnike analiza rizika i procjene ne mogu se promatrati binarno, kao kvantitativne ili kvalitativne, nego prema stupnju u kojem se neki elementarni faktori kao vrijednost sredstva, faktor izlaganja (kompromitiranja sredstva) i frekvencija prijetnja mogu imati pridružene kvantitativne vrijednosti. Vjerojatnost Ovaj pojam opisuje �ansu ili mogućnost da se dogodi neki događaj, odnosno da se dogodi gubitak ako se taj događaj desi. Rizik Potencijal za pojavu štete ili gubitka, koji se najbolje izražava kao odgovor na četiri pitanja :

1. Što se može dogoditi (događaj prijetnje) ? 2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ? 3. Kako se često ona mo�e dogoditi (frekvencija pojave prijetnje, godišnje) ? 4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?

Analiza rizika Analiza treba identificirati prijetnju ranjivosti, povezujuću prijetnju sa sredstvom, identificirati potencijal i prirodu neželjenog rezultata, te identificirati i vrednovati sigurnosne mjere koje smanjuju rizik. Procjena rizika Ovaj pojam podrazumijeva pridruživanje vrijednosti informacijskom sredstvu, učestalost prijetnji kroz godinu, posljedice (tj. faktor izlaganja-FI), jednostruki godišnji gubitak i dr. Upravljanje rizikom Ovaj pojam podrazumijeva cjelokupni proces, analizu rizika i procjenu rizika, te samo upravljanje �to uključuje proces pridru�ivanja prioriteta, financiranja, implementiranja i održavanja sigurnosnih mjera.



26

Sigurnosne mjere (zaštitni mehanizmi) Ovaj pojam podrazumijeva mjere i mehanizme koji smanjuju rizik a djeluju kroz detekciju, prevenciju ili minimizaciju gubitaka koji su povezani sa specifičnom pojavom prijetnje ili cijele kategorije prijetnji. Sigurnosne mjere se ponekad zovu i kontrole, zaštitne mjere. Učinkovitost sigurnosnih mjera (za�titnih mjera) Ovaj pojam predstavlja stupanj, izražen u postocima 0 do 100 %, prema kojem sigurnosna mjera smanjuje ranjivost. Jednostruki očekivani gubitak (JOG) ili izlaganje (kompromitiranje sredstva) JOG = VS * FI gdje je, VS - vrijednost sredstva

FI - faktor izlaganja JOG - jednostruki očekivani gubitak

Prijetnja Definira događaj (po�ar, krađu, računalni virus i dr) čija pojava ima ne�eljene rezultate. Neizvjesnost Neizvjesnost je tipično mjera inverzna u odnosu na povjerljivost, a to znači ako je povjerljivost (uvjerenje) nisko, neizvjesnost je visoka. Ranjivost Ovaj pojam podrazumijeva nepostojanje ili slabost sigurnosnih mjera koje smanjuju rizik Razlozi za provođenje analize rizika Poboljšana briga o sigurnosti.. Identificira sredstva, ranjivost i kontrolu. Poboljšana osnova za donošenje odluka. Opravdanje troškova za sigurnost.

Koraci analize rizika Identifikacija računarskih (informatičkih) sredstava. Određivanje ranjivosti. Procjena vjerojatnosti pojave i eksploatacije ranjivosti. Izračunavanje očekivanog godi�njeg gubitka. Pregled primjenjivih kontrola i njihovih cijena koštanja. Projekcija godi�njih u�teda prouzrokovanih uvođenjem kontrola.



27

Identifikacija sredstava - Registar sredstava informacijskog sustava Sklopovi (hardware) Programi (software) Podaci Ljudi Dokumentacija Pomoćni i potro�ni materijal Identifikacija ranjivosti sredstava i prijetnji Pitanja koja treba razmatrati: Koji su učinci od nenamjernih grešaka ?. Koji su učinci tvrdoglavih zlonamjernih korisnika unutar organizacije (insiders) ? Koji su učinci vanjskih korisnika (outsiders) ? Koji su učinci prirodnih i fizičkih nepogoda ? Sredstva i sigurnosna svojstva

Sredstvo Tajnost Integritet Raspoloživost Sklopovi (HW) Preopterećenost

Uništenje Uplitanje (provala)

Greška Krađa Uništenje Neraspoloživost

Programi (SW) Krađa Kopiranje Piratstvo

Trojanski konj Modifikacije Uplitanje (provala)

Brisanje Preseljenje Korištenje isteklo

Podaci Otkrivanje Pristup izvana Izvedeni

O�tećenje - programska greška - sklopovska greška - korisnička gre�ka

Izbrisani Preseljeni Uništenje

Ljudi Otišli U mirovini Završili posao Na dopustu

Dokumentacija Izgubljena Ukradena Uništena

Pomoćna oprema i materijal

Izgubljeno Ukradeno O�tećeno

Predviđanje vjerojatnosti pojave Vjerojatnost, iz promatranja podataka opće populacije.



28

Vjerojatnost, iz promatranih podataka za specifični sustav Procjena broja pojava u danom vremenskom intervalu. Procjena vjerojatnosti iz tabele.. Delphi pristup.

Rangiranje vjerojatnosti pojave Frekvencija Iznos Više od jednom dnevno 10 Jednom dnevno 9 Jednom u svaka tri dana 8 Jednom tjedno 7 Jednom u dva tjedna 6 Jednom mjesečno 5 Jednom svaka četiri mjeseca 4 Jednom godišnje 3 Jednom u tri godine 2 Manje od jednom u tri godine 1 Izračunavanje nepokrivenih godi�njih tro�kova (Očekivani godi�nji gubitak) Slijedeća pitanja poma�u u identifikaciji izvora dokučivosti i nedokučivosti cijene ko�tanja: Koje su zakonske obaveze da se sačuva tajnost ili integritet podataka ? Da li oslobađanje tih podataka uzrokuje �tetu osobi ili organizaciji? Da li postoji

mogućnost zakonske akcije? Da li neovla�teni pristup tim podacima mo�e ugroziti buduće poslovne mogućnosti ?

Može li dati konkurentu neku nezasluženu prednost ? Kakav bi bio gubitak u prodaji ? Koji je psiholo�ki utjecaj na nedostatak računalnog servisa ? Sramota ?, Gubitak

kredibiliteta ? Gubitak posla ? Na koliko kupaca će to imati utjecaja ? Kolika je to vrijednost ?

Kolika je vrijednost pristupa podacima ili programima ? Da li bi se ta obrada mogla odložiti ? Da li se ta obrada može izvesti negdje drugdje ? Koliko bi koštalo da imamo mogućnost obrade negdje drugdje ?

Kolika je vrijednost za pristup podacima i programima od strane nekog drugog ? Koliko je konkurent spreman platiti za taj pristup ?

Koji problemi mogu proizaći iz gubitka podataka ? Da li mogu biti nadomje�teni ? Da li se mogu rekonstruirati ? Sa koliko potrebnog rada ?

Pregled novih kontrola

kriptografske kontrole sigurnosni protokoli kontrola razvoja programa kontrola uvjeta izvođenja programa mogućnosti za�tite operacijskih sustava identifikacija



29

autentifikacija/ovjera izgradnja i uvođenje sigurnih operacijskih sustava kontrola pristupa bazama podataka kontrola raspoloživosti baza podataka kontrola i nadzor zaključivanja o podacima u bazi višerazinske kontrole za podatke, baze podatka, mreže i operacijske sustave kontrola osobnih računala, proceduralne, fizičke, sklopovske i programske kontrola pristupa mreži kontrola cjelovitosti mreže fizičke kontrole i dr.

U�tede kroz uvođenje projekta sigurnosti (Return of Investment - ROI)

Tablica: Opravdanost nabave programa za sigurnost pristupa ___________________________________________________________________________ Stavka Iznos Rizik: otkrivanje povjerljivih podataka tvrtke, izračun na temelju krivih (izmjenjenih) podataka Cijena obnove ispravnosti podataka: 1000 000 $ (VS) 10 % vjerojatnost na godinu (1 u 10 god. - GUP = 0.1) $100 000 (GOG) Učinkovitost programa kontrole: 60 % -$60 000 (FI = 40 %) Troškovi nabve programa +$25 000 Očekivani godi�nji tro�kovi zbog gubitka i kontrole $100 000-$60 000+$25000 $65 000 Ušteda: $100 000 - $65 000 $35 000 Tablica: Analiza troškovi/dobit za nadomjestak mrežnog pristupa Stavka Iznos Rizik Novlašteni pristup podatcima na kom. liniji): $100 000 (VS) uz 2% vjerojatnosti na godinu $2 000 Neovla�teno kori�tenje rač. sredstava (aplikacije) $10 000 (VS) uz 40% vjerojatnost na godinu $4 000 Godi�nji očekivani gubitak (GOG) $6 000 Učinkovitost mre�ne kontrole: 100 % (FI = 0%) -$6 000 Troškovi kontrole Hardware ($50 000 uz 5 godišnju amortizaciju) +10 000 Programi ($20 000 uz 5 godina amortizacije) + 4 000 Podrška(ljudi) (svaku godinu) +40 000 Godišnji troškovi $54 000 Očekivani godi�nji tro�kovi: 6 000-6 000+54 000 $54 000 Ušteda: $6 000 - $54 000 (gubitak) -48 000



30

Kvalitativna procjena rizika Matrica vrijednosti imovine i vrijednosti prijetnji i ranjivosti:

Razina prijetnje Mala Srednja Velika Razina ranjivosti

Vrijednost imovine

M S V M S V M S V 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 Veličina rizika izra�ena je u skali od 0 do 8, gdje je 8 veličina najvećeg rizika koji se mo�e promatrati u skali : Low (M) : 1 - 2 Midle( S): 3 - 5 High (V) : 6 - 8

100%razina sigurnosti

(nije moguća) 100%

Malo napora (velika

učinkovitost)

TROŠKOVI

RAZINA SIGURNOSTI



31

DOBIT OSTVARENA SIGURNOSNIM MJERAMA

Dobit postignuta sigurnosnim mjerama

Tro�kovi uvođenja sigurnosnih mjera

Cilj djelotvornog upravljanja IT rizika mora biti optimalna sigurrnost glede poslovnog upravljanja , a ne u pogledu tehničkih mogućnosti

Odnos troškova i dobiti

Ušteda zbog sigurnosnih mjera

Dobit zbog sgurnosnih mjera



32

Prosječni gubici zbog sigurnosnih incidenata

Tro�kovi zbog uvođenja sigurnosnih mjera

Odnos organaizacijskih i tehničkih mjera/kontrola



33

Argumenti protiv analize rizika

Netočnost/nepreciznost Pogre�an osjećaj preciznosti Nepromjenjivost Nema znanstvene podloge

Metode izgradnje sigurnosti informacijskog sustava Sigurnosni plan

Plan vitalnih zapisa Plan kontrole pristupa Plan akcija u slučaju opasnosti (plan upravljanja incidentima) Plan privremene obrade (plan kontinuiranog poslovanja) Program klasifikacije podataka



34

Fischerova metoda izgradnje sigurnosti sustava

(Model životnog ciklusa) Fischerovu metodu sačinjavaju slijedeći koraci:

Definiranje

popisa

Identifikacij

a izlaganja

sustava

Procjena

rizika

Izgradnja kontrola

Analiza učinkovitosti

troškova

Politika osiguranja sredstava – sigurnosna politika

Predloženi sigurnosni sustav



35

Popis i definiranje informacijkse imovine (podataka, programa,..) Identifikacija izlaganja (ranjivosti) sustava Analiza rizika Izgradnja i uspostava kontrola (sigurnosnih mjera) Analiza utroška i djelotvornosti

Postojeći modeli sigurnosti informacijskih sustava (konceptualni)

prstenasti model matrični model model životnog ciklusa. (Fischerova metoda, PDCA,..)



36

Prijetnje i obrana prema prstenastom modelu (AFIPS)

Štrajk

Sabotaža

KOMUNIKACIJE

Uhođenje

Raspoloživost sustava Zakonski i socijalno

zahtijevano ovlaštenje

Prijevara

Krađa

Oluja Zemljotres Vatra Potop Svjetlo

Razuzdanost Štrajkovi Industrijske nesreće Gubitak opksrbe

DOBRO IZVRŠENJE OPERACIJA

BAZA

PODATAKA

PROGRAMI

KONTROLA PRISTUPA

SPREMIŠTE

INPUT/ OUTPUT

OSOBLJE I OPERACIJSKI SUSTAV



37

Matrični model (Parkerove sigurnosne dimenzije)

APLIKACIJE

DA

TA P

RO

CES

SIN

G A

CTI

VIT

IES

STRUČNE EXPERTIZE

FUN

KC

IJE

Sigu

rnos

ne

D

imen

zije

Plać

e

Sustavsko planiranje & Standardi

Ispravak

Oporavake

Otkrivanje

Sprečavanje

Zastrašivanje Odvraćanje

Fizi

čke

Sustavsko programiranje

Programiranje aplikacija

Operacije (obrada)

Ope

rativ

ne

Proc

edur

alne

Upr

avlja

čke

Pers

onal

ne

Tehn

ičke

Prim

ljeni

raču

ni

Upr

avlja

nje

Kon

trola

skla

dišt

a

Ope

raci

jski

Tim

e Sh

arin

g

Nad

zor

. . .



38

Problemi sigurnosnih modela

Ono što su:

pasivni atributi. statički modeli, kategorijski topološki. slikoviti modeli.

Ono što treba:

logički modeli, dinamičniji, fluidni aktivni; modeli koji dozvoljavaju razmatranje različitih informacijskih

sustava.

Statički modeli sigurnosti : SIGURNOST = ANALIZA RIZIKA +

SIGURNOSNA POLITIKA + DIREKTNE TEHNIČKE MJERE SIGURNOSTI + NADZOR/AUDIT Dinamički modeli sigurnosti (često se nazivaju adaptivni modeli ): SIGURNOST = ANALIZA RIZIKA + SIGURNOSNA POLITIKA + PROVEDBA + PRAĆENJE PRIJETNJI/RANJIVOSTI + ODGOVOR NA PRIJETNJE/RANJIVOST



39

Osnovni principi upravljanja rizikom

Ocjena rizika i određivanje potreba Uspostava točke centralnog upravljanja Implementacija odgovarajućih politika i odgovarajućih kontrola Promocija brige o sigurnosti Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)

Nakon ocjene rizika njihovih poslovnih operacija, organizacija treba:

Uspostaviti (donijeti) sigurnosne politike i odabrati sigurnosne mjere Povećati brigu korisnika za politike i sigurnosne mjere Nadgledati učinkovitost politika i kontrola Upotrebiti dobivene rezultate kako bi se modificirale politike i kontrole koje su potrebne.

#3. Mjerenje učinkovitosti (Pregledi i nadzor)

#2. Implemetacija sigurnosnog programa i upravljanje

#4. Redefiniranje ako je potrebno

Provođenje ocjene rizika

(Planiranje)

Provođenje ocjene stanja

rizika

Implementacija i provođenje sigurnosnih mjera

Procedure Tehničke mjere

Kružni model upravljanja rizikom Plan-Do-Check-Act (PDCA) model

#1. Formiranje osnove za sigurnosni program i zahtjeve



40

Primjeri uspješne prakse

1. Princip: Ocjena rizika i određivanje potreba Praksa 1. Prepoznavanje informacijskih sredstava i važnijih vrijednosti organizacije

koja se mora zaštititi: Praksa 2. Razviti praktične procedure ocjene rizika koje povezuju za�titu i sigurnost

informacija sa poslovnim potrebama: na primjer: organizacija može koristiti automatizirane liste za kontrolu (check list) za ocjenu rizika.

Praksa 3. Održavanje odgovornosti za rukovoditelje programa i poslovnih funkcija: Praksa 4. Upravljanje rizicima na kontinuiranoj osnovi:

2. Princip: Uspostava točke centralnog upravljanja Praksa 5. Određivanje centralne grupe koja provodi ključne aktivnosti: Praksa 6. Organizacija treba omogućiti centralnoj grupi nezavisan pristup izvr�nim

direktorima. Praksa 7. Određivanje(uspostava) namjenskog financijskog fonda i osoblja. Praksa 8. Poboljšanje profesionalnosti i tehničkih vje�tina osoblja

3.Princip: Implementacija odgovarajućih politika i odgovarajućih kontrola Praksa 9. Povezivanje politika sa poslovnim rizicima. Praksa 10. Razlikovanje politika od vodiča. Praksa 11. Potpora politikama kroz centralnu grupu za sigurnost informacija.

4. Princip: Promocija brige o sigurnosti Praksa 12. Kontinuirana izobrazba korisnika i drugih o rizicima i njima pripadajućim

politikama. Praksa 13. Upotreba tehnika koje potiču pa�nju i koje su «user friendly».

5. Princip. Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola) Praksa 14. Nadzor faktora koji utječu na rizik i koji pokazuju učinkovitost informacijske

sigurnosti (IA). Praksa 15. Upotreba dobivenih rezultata za usmjeravanje budućih napora i odr�avanje

odgovornosti rukovoditelja. Praksa 16. Potrebno je konstanto biti u potrazi za novim alatima i tehnikama za nadzor

(monitoring). Zaključak Proces upravljanja rizikom je integralni dio svakog programa sigurnosti (IA). Potrebno je započeti sa identifikacijom postojećih prijetnji na informacijske sustave te povezati te prijetnje sa ranjivo�ću informacijskih sustava. Tada kroz proces ocjene rizika, moguće je početi razvijati isplativi sigurnosni (IA) program.



41

3. KONTROLA PRISTUPA i TOKA - MATEMATIČKI MODELI SIGURNOSTI Kontrola pristupa Računalni sustavi upravljaju pristupom podatcima i dijeljenim resursima kao što su memorija, �tampači, diskovi i dr. Oni moraju osigurati pristup tim resursima primarno zbog očuvanja integriteta informacijske sigurnosti, a ne toliko za očuvanje njegove povjerljivosti. Subjekti i objekti

Možemo specificirati:

Što je dozvoljeno subjektu da radi, ili �to mo�emo učiniti sa pojedinim objektom.

Operacije pristupa Modovi pristupa Na osnovnoj razini subjekti mogu pregledavati ili mijenjati objekte. Prema tome definiramo dva moda pristupa:

Pregled – gleda se samo sadržaj objekta Izmjena – mijenja se sadržaj objekta.

Pristupna prava i atributi Mod/prava pristupa

Izvedi Dodaj Pročitaj Zapiši

Pregled X X Izmjena X X

Prava pristupa u Bell-LaPadula modelu



42

Odnosi između pristupnih prava i pristupnih atributa za Multics.

Data segmenti Segmenti direktorija Čitaj r Status r Izvedi e Status, promjeni w Čitaj, pi�i w Dodaj a Piši a Pretraži e Unix Politika pristupne kontrole je izražena kroz tri operacije :

Čitaj – čitanje datoteke Piši – pisanje u datoteku Izvedi – izvedi (program) datoteku

Ove operacije se razlikuju od BLP modela. Na primjer, operacija pisanja UNIX-a ne uključuje pristup za čitanje. Kada se primjenjuju prava pristupa na direktorij, tada ta prava imaju slijedeće značenje:

Čitaj – ispis sadržaja direktorija Piši – kreiraj ili promjeni ime datoteke u direktoriju Izvedi – pretraži direktorij

Vlasništvo Odgovornost za postavljanje te politike pristupa::

Vlasnik resursa određuje kome se dozvoljava da ima pristup. Takva se politika naziva diskreciona budući je upravljanje pristupom u nadle�nosti vlasnika.

Politika na razini sustava određuje tko ima pravo na pristup. Iz jasnih razloga takva politika se naziva obvezatna (mandatory).

Struktura kontrole pristupa

S kao skup subjekta O kao skup objekta A kao skup pristupnih operacija

Matrica kontrole pristupa M = (Mso)sS, oO i Mso podskup od A



43

Primjer takve matrice je dan u donjoj tablici: Subjekti/objekti Bill.doc Edit.exe Fun.com Ana izvedi Izvedi, čitaj Bojan Čitaj, pi�i Izvedi Izvedi, čitaj, pi�i Sposobnosti Svakom subjektu se pridjeljuju sposobnosti , čime se definiraju pristupna prava subjekta. Pote�koće:

Te�ko je doći do spoznaje tko ima dozvolu pristupa za dani objekt Vrlo je teško opozvati sposobnosti, budući treba odr�avati zapise (trag) o svakoj

dodjeli sposobnosti drugim subjektima (trećim stranama). Liste za kontrolu pristupa (ACL) ACL spremaju pristupna prava na objekte sa samim objektima. Pristupne liste su pogodne za operacijske sustave koji upravljaju objektima (resursima) računalnog sustava.



44

Sustavi za kontrolu pristupa Funkcijski, oni se sastoje od dviju komponenti:

1. Skup politika i pravila pristupa: informacija smještena u sustavu, za koju postoje pravila pristupnih modova koja se moraju poštivati kad subjekti pristupaju objektima.

2. Skup kontrolnih procedura (sigurnosnih mehanizama) koji provjeravaju upit (zahtjeve za pristup) prema postavljenim pravilima ( proces validacije upita); upiti tada mogu biti odobreni, odbačeni ili modificirani, filtrirani za neovla�tene podatake.

Sigurnosne politike Osnovne politike su:

1. Politika minimalnih privilegija 2. Politika maksimalnih privilegija

U zatvorenim sustavima dozvoljavaju se samo eksplicitno ovlašteni (autorizirani) pristupi.

U otvorenim sustavima zahtjevi koji nisu eksplicitno zabranjeni su dozvoljeni.



45

Sigurnosna politika:

Centralizirana Decentrlizirana

Moguće su i među politike:

Hierarhijski decentralizirana autorizacija, Vlasništvo. Kooperativna autorizacija.



46

Politike kontrole pristupa Mandatna (MAC) Diskreciona (DAC)



47

Mandatna politika

. Klasifikacijske razine su napr.: 0 = Neklasificirano 1 = Povjerljivo 2 = Tajno 3 =Vrlo tajno Kategorije : Nuclear – Nato – Inteliligence Production – Personnel – Engineering _ Administration SC = (A,C) A je klasifikacijska razina, a C je kategorija. SC = (A,C) i SC’ = (A’, C’) : SC SC’ onda i samo kao su ispunjeni slijedeći uvjeti: A A’ i C’ C Tako je realcija:



48

(2, Nuclear) (3, (Nuclear, nato) ispravana, verificirana, dok (2, (Nuclear, nato)) (3, Nato) nije . Diskrecione politike

Opoziv propagiranih prava Mandatne i diskrecione politike nisu međusobno isključive.



49

Autorizacijska pravila (pravila ovlaštenja)

Matrica autorizacije. Ulaz u matrici A[i,j] Primjer matrice autorizacijedan je u tablici 1.1. Kontrole pristupa:

pristup ovisan o imenu (tablica 1.1) kontrole koja zavisi od sadržaja. Sigurnosno pravilo :

(s, o, t, p)

kontrola na bazi ovisnosti konteksta



50

Dodjela ili opoziv pristupnih prva zahtjevan od nekoliko opunomoćenika , sigurnosna pravila mogu biti šestorke :

(a,s,o, t,, p, f)

gdje je a opunomoćenik (subjekt) koji dodjeljuje s prava (o,t,p), dok je f zastavica kopiranja koja opisuje mogućnost da s dalje prenosi prava (o,t,p) na druge subjekte.

Pridru�enje pomoćnih procedura (AP) sigurnosnim pravilima, Potpuniji oblik autorizacijskih pravila je :

(a,s,t,o,p,f,{Ci,APi})



51

Kontrola pristupa temeljena na ulogama (RBAC-Role Based Access Control) Matrica pristupa direktno radi sa pristupnim pravima i dodjelom ili opozivom pristupa resursima (objektima IS-a) prema pojedinačnim dozvolama za subjekte:

Fino podešavanje Veliki trošak upravljanja i administriranja za velik broj korisnika i resursa Djelomično rje�enje - korisničke grupe

RBAC - Koncept grupiranja korisnika ,gdje korisnici dijele slične pristupne sposobnosti :

Lakše administriranje Reprezentacija upravljanja pristupom u stvarnom svijetu. Generalizirani oblik modela za kontrolu pristupa (simulacije DAC i MAC politika).

Osnove RBAC-a su:

Dozvole (prava) su pridružene ulogama, Korisnicima se pridružuju uloge i Odluka o pristupu se donosi na temelju članstva korisnika u primjenjivoj ulozi.

Slika: Osnovni odnosi između uloga, korisnika, dozvola i operacija. RBAC kao općeniti model kontrole pristupa podr�ava dva dobro poznata sigurnosna principa:

Razdvajanje dužnosti (separation of duty) Najmanjih prava (least privilege).

Veze korisnika, uloga i dozvola Konceptualno, ova pridruženja mogu se sjediniti sa dvije Bool-ove matrice - UR {korisnici, uloge} i PR {dozvole, uloge} definirane kao :



52

Gdje simbolizira operator pridruživanja njegove lijeve strane na desni operand, a u, r i p su skupovi korisnika, uloga i dozvola kojima upravljamo.

Slika 8.2 Pridruženje korisnik-uloga i dozvola-uloga kroz matrični prikaz Pregled odnosa u RBAC modelu Formalno, pregledi korisnik-uloga mogu se prikazati preslikavanjem ur i njegog inverza ur-1 što je definirano kao

ur:USERS →2ROLES

ur−1:ROLES →2USERS Skup uloga koje su pridružene danom korisniku definiran je kao

user_assigned_roles{u) = {r∊ROLES | UR[u, r] = true}. Pregledi dozvole-uloge mogu se prikazati preslikavanje pr i njegove inverzije pr-1 što je definirano kao

pr−1: PERMISSIONS → 2, ROLES

pr−1: ROLES → 2.{PERMISSION} Skup uloga kojima je pridijeljena pojedina dozvola dan je permission_assigned_roles(p) = {r ∊ ROLES | PR[p, r] = true}. Skup dozvola pridruženih pojedinoj ulozi dan je sa

role_assigned_permissions(r) = {p ∊ PERMISSIONS | PR[p, r] = true}.



53

Hijerarhijski RBAC Matematički gledano hijerarhija uloga predstavlja parcijalno uređen odnos između uloga (ROLES x ROLES) �to se označava simbolom ≥. Svaki par vezanih uloga (tj. r1, r2 ∊ ROLES) takav da je r1 ≥ r2 opisan slijedećim svojstvima:

r1 je pridružena seniorska ulogu u odnosu na r2 r2 je pridružena juniorska uloga u odnosu na r1 r1 usvaja dozvole od r2 pored svojih vlastitih dozvola. To uključuje da su korisnici sa

seniorskom ulogom r1 automatski podskup korisnika sa juniorskom ulogom r2 .

Odnosi korisnika i njihovih dozvola u seniorskim i juniorskim ulogama Relacija parcijalnog uređenja ≥ definirana na skupu hijerarhijskih uloga također je opisana realcijom naslijeđivanja.



54

SIGURNOSNI MEHANIZMI Odvajanje politike od mehanizama:

Diskusija o pravilima pristupa neovisno od mehanizama implementacije. Uspoređivanje različitih politika kontrole pristupa ili različitih mehanizama

implementacije iste politike. Izgradanja mehanizama sa mogućno�ću implementacije različitih politika.

Neispravne implementacije :

1. Odbacivanje dozvoljenih pristupa. 2. Dodjela zabranjenih pristupa.

Vanjski mehanizmi Cilj :

Minimizirati moguće prekr�aje; Minimizirati moguće naknadne �tete; Osigurati procedure oporavka.

Interni mehanizmi

1. Autentifikacija. Nešto što korisnikzna (lozinke, kod ) Nešto što je vlasništvo korisnika (mad. kartice, bađ, i dr) Fizičke karakteristike korisnika (otisci , potpis, glas, i dr.)

2. Kontrole pristupa . 3. Mehanizmi nadzora.:

Faza zapisivanja, gdje su zapisani svi upiti o pristupu i njihovi odgovori (kako ovla�teni tako i odbačeni);

Faza izvje�ćivanja, gdje se provjeravaju izvje�ća iz predhoden faze kako bi se detektirali mogući prekr�aji ili napadi.



55

MATEMATIČKI MODELI SIGURNOSTI Zadaća modeliranja sigurnosti je proizvesti visoku razinu, programski neovisnog konceptualnog modela počevši od specifikacija zahtjeva koji opisuju potrebnu zaštitu informacijskog sustava.

Sigurnosni modeli zasnovani na teoriji konačnih automata Ukoliko �elimo govoriti o specifičnom svojstvu sustava, kao �to je sigurnost, koristeći model konačnog automata, moramo:

Identificirati sva stanja koja zadovoljavaju to svojstvo (sigurnost računalnog sustava) Provjeriti da li sva stanja tranzicije zadržavaju i dalje to svojstvo. Ako su ispunjene gore navedene stavke, i ako je sustav počeo iz inicijalnog stanja koje

je bilo sigurno, tada možemo indukcijom dokazati da se svojstvo sigurnosti sustava zadržava zauvijek.

Matematički modeli Podjela:

diskrecioni nediskrecioni (mandatni) modeli.

Diskrecioni modeli upravljaju pristupom korisnika informacijama na osnovi korisničkog identiteta i specificiranih pravila, za svakog korisnika i svaki objekt, te dozvoljenog načina pristupa korisnika objektu. Nediskrecioni (mandatni) sigurnosni modeli upravljaju pristupom pojedinaca informacijama na osnovu klasifikacija subjekata i objekata u informacijskom sustavu. Modeli

OS sigurnost

DB sigurnost

Diskreciona politika

Mandatna politika (tajnost)

Mandatna politika

(cjelovitost)

Kontrola toka

informacija

Kontrola pristupa

Matrica pristupa

* * * * Take- Grant

* * * * Aktivnost- Entitet

* * * * Wood i dr.

* * * Bell- LaPadula

* * * * * Biba

* * * * * Dion

* * * * * Sea View

* * * * * * Jajodia- Sandhu

* * * *

Smith- Winslett

* * * *

Rešetka (Denning)

* *



56

Ostale podjele: Ciljani sustav: na primjer, modeli za zaštitu OS-a, modeli za zaštitu baza podataka ili

oboje Vrsta politike: mandatna ili diskreciona. Adresirani pogledi na sigurnost: tajnost ili cjelovitost Vrste kontrola: neki modeli su orijentirani na kontrolu direktnog pristupa, indirektnog

pristupa ili kontrolu toka informacija. U opisu modela sigurnosti bit će razmatrani slijedeći aspekti: Subjekti. Objekti. Načini pristupa. Politike. Autorizacije/ovlaštenja. Administrativn prava. Axiomi.



57

Elementi modela sigurnosti u sigurnosnom sustavu

Procesi Kontrola operacija administriranja

Zahtjevi za operacijama admin.

Kontrola pristupa

Zahtjevi za pristupom

Zahtjev odbačen

Autorizacija

Aksiomi i politike

Zahtjev odbačen

Objekti

Administrativna prava

Zahtjev autoriziran

Načini pristupa

Zahtjev autoriziran

Subjekti

Korisnici Administratori sigurnosti



58

Harrison-Ruzzo-Ullman (HRU) model matrice pristupa

. Stanje autorizacije/ovlaštenja

Q = (S,O,A), gje je: S je skup subjekata, koji predstavljaju aktivne entitete koji koriste sredstva sustava, te od

kojih se sustav mora zaštititi. O je skup objekata, koji predstavljaju entitete koji se moraju zaštititi. Takav skup se

sastoji i od pasivnih entiteta(sredstva sustava) i od aktivnih entiteta (subjekata). A je matrica pristupa. Redovi matrice odgovaraju subjektima, a stupci objektima. Element

matrice A[s,o] sadr�i podatke o načinu pristupa za koje je ovla�ten subjekt s kad pristupa objeku o.

Subjekti/Objekti

O1 ... Oj ... Om

S1 A[s1,o1] A[s1,oj] A[s1,om] . .

Si A[si,o1] A[si,oj] A[si,om] . .

Sn A[sn,o1] A[sn,oj] A[sn,om]

Matrica pristupa Načini/modovi pristupa

čitaj, piši, dodaj, izvedi, “vlastitost” privilegija (pokazuje na vlasništvo).



59

Operacije

Operacije Uvjeti

Rezultirajuće stanje Q�=(S�,O�,A�)

Unesi r u A[si,oj] si S oj

S ‘ = S O’ = O A’[si,oj] = A[si,,oj] U {r} A’[sm,ok] = A[sm,,ok] k j, m i,

Izbriši r iz A[si,oj] si S oj

S ‘ = S O’ = O A’[si,oj] = A[si,,oj] - {r} A’[sm,ok] = A[sm,,ok] k j, m i,

Kreiraj subjekt si si S S' =S { si} O' = O { si} A'[s,o] = A[s,o] s S, o A’[si,o] = o ' A’[s,oj] = s S'

Kreiraj objekt oj oj O S ‘ = S O' = O {oj} A'[s,o] = A[s,o] s S, o A’[si,oj] = s S'

Uništi subjekt si si S S' = S - { si}

O' = O - { si} A'[s,o] = A[s,o] s S', o '

Uništi objekt oj oj oj S

S ‘ = S O' = O - {oj} A'[s,o] = A[s,o] s S', o '

Primitivne operacije nad matricom pristupa



60

Naredbe Command c(x1, ... , xk) if r1 u A[xs1, xo1] and r2 u A[xs2, xo2] and . . rm u A[xsm, xom] and then op1

op2

.

.pn end

Q = Q0 op1

* Q1 op2* … opn

* Qn = Q' command CREATE(process, file) create object file enter O into A(process, file) end. command CONFERread(owner,friend,file) if O in A[owner,file] then enter R into A[friend, file]

end. command REVOKEread (owner, friend, file) if O in A[owner,file] then delete R from A[exfriend, file] end. command NEWCREATE(process,file) create object file enter O into A[process, file] enter R into A[process,file] enter W into A[process, file] end. Administriranje ovlaštenja/autorizacije Neka m bude generički mod pristupa:

Ovlaštenje m* u A[s,o] matrice pokazuje da je s ovlašten za dodjelu privilegije m na objekt o drugim subjektima.

comand TRANSFERread (subjekt1, subjekt2, file) if R* in A[subjekt1,file]

then enter R into A[subjekt2, file] end.



61

Ovlaštenje m+ u A[s,o] matrice pristupa ukazuje da s može prenijeti drugim subjektima privilegije na objektu o, ali time gubi privilegiju i mogućnost za daljnju dodjelu.:

Command TRANSFER-ONLYread(subjekt1, subjekt2, file) if R+ in A[subjekt1,file] then delete R+ from A[subjekt1,file] enter R+ into A[subjekt2 ,file] end.

Primjena modela

S O A[s,o]

P1 F1 Own, R, W P1 F2 E, R+

P1 M1 R, W, E P1 P2 Ctrl P2 F1 R, W P2 M1 W P3 F1 R, W, E+

P3 F2 Own, E P3 M2 W, E a)

P1

P2

P3

F1 Own,R,W F2 E, R+

M1 R,W,E P2 Ctrl

F1 R,W M1 W

F1 R,W,E+

F2 Own, E M2 W, E M1 W

b)



62

F1

F2

M1

P1 Own,R,W

P2 E, R+

P3 R,W,E

P4 Ctrl

P1 R,W

P2 W

P1 R,W,E+

P2 Own, E

P3 W, E

P4 W

c)

Alternativne metode spremanja matrice pristupa a) tablica s poljima (S,O,A), b) lista sposobnosti, c) ACL lista



63

Problemi s diskrecionim modelima

Program P

.........

......... read f1 write f2

A B C D

Datoteka f1 Datoteka f2

vlasnik x vlasnik y (x, write, f2)

(a)

Program P

.....

..... read f1 w rite f2

A B C D

A B C D

vlasnik x vlasnik y (x, w rite, f2)

datoteka f1 datoteka f2

(b)

Primjer Trojanskog konja: (a) program P sadrži skriveni kod za pristup datoteci f1 i f2; y može dodjeliti pravo pisanja na f2; (b) nakon �to korisnik x započne program, korisnik y ima pristup informaciji koja je prenesena iz datoteke f1(na koju korisnik y nema pravo čitanja) u f2 (koju on mo�e čitati). .



64

Nediskrecioni (mandatni) modeli sigurnosti Bell-LaPadula model (BLP) . Sigurnosna razina :

klasifikacija skup kategorija.

Klasifikacija je element skupa koji se sastoji od četiri elementa: Vrlo tajno(TS); Tajno(S); Povjerljivo(C); Neklasificirano(U). To je potpuno uređen skup za koji vrijedi: TS > S > C > U. Skup kategorija je podskup nehierarhijskog skupa elemenata ( područja primjene informacija ili područja pripadnosti podataka). Primjeri kategorija mogu biti Nato, Nuklearni odjel, Kripto zavod i dr. Skup sigurnosnih razina formira rešetku , koja je parcijalno uređena prema relaciji dominacije (). Sigurnosna razina L1=(C1,S1) je viša ili jednaka (dominira) nad sigurnosnom razinom L2=(C2,S2) onda i samo ako vrijede slijedeće relacije:

C1C2 i S1S2, gdje C odgovara klasifikaciji, S skupu kategorija. Za dvije sigurnosne razine L1 i L2 za koje ne vrijedi da je L1L2 niti L2L1 kažemo da nisu usporedive. Sigurnosna razina korisnika(subjekta) koja se naziva čistoća(clearance) korisnika. Sigurnosna razina objekta odražava osjetljivost informacija koju on sadrži.

Modovi pristupa:

Samo za čitanje Dodavanje Izvođenje: izvedi objekt (program) Čitaj-piši : piši u objekt.

Stanje sustava

Stanje sustava je opisano četvorkom (b,M,f,H) gdje su : b je trenutni skup prava. M je matrica pristupa koja opisuje prava subjekta na svakom objektu. f je funkcija razine koja svakom subjektu i objektu pridružuje njegovu razinu

sigurnosti. H je hijerarhija trenutnih objekata.



65

Operacije

dobiti pravo : mijenja se b – dodjeljuje se odgovarajuća trojka u b oduzeti pravo: mijenja se b - ukida se odgovarajuća trojka u b dati pravo: prijenos prava sa jednog objekta na drugi povući pravo: oduzeti dana prava kreirati objekt: aktiviranje neaktivnog objekta i uključivanje u hijerarhiju H kao

čvora brisanje objekta: brisanje čvora iz H, a to povlači i brisanje svih prava po objektu mijenjanje nivoa sigurnosti subjekta mijenjanje nivoa sigurnosti objekt

Aksiomi

Svojstvo jednostavne sigurnosti ili svojstvo “ne-čitaj-od-gore” o (ss property– simple security)

Svojstvo zvijezde (*-property) ili svojstvo “ne-piši-na-dolje” Princip neuznemiravanja Svojstvo diskrecijske sigurnosti (ds-property )

Proširena verzija Bell-LaPadula modela:

nedostupnost neaktivnih objekata prepisivanje neaktivnih objekata

.

Ova svojstva (pravila) mogu se prikazati slikovito prema sigurnosnom dijagramu toka koji je

dan na slici 12.1.



66

Biba model Razina cjelovitosti:

klasifikacija skup kategorija.

Klasifikacija je element uređenog tročlanog skupa : krucijalno (C), vrlo važno (VI) i važno (I) uz C>VI>I. Skup kategorija odgovara skupu kategorija u Bell-LaPadula modelu. Dion model U ovom se modelu kombinira kontrola tajnosti iz Bell-LaPadula modela i principi striktnih prava integriteta iz Biba modela podataka. Razine sigurnosti i razine integriteta se koriste kako su definirani u modelu Bell-LaPadula i Biba modelu



67

Clark-Wilson model Clark-Wilson model koristi se kod sigurnosnih zahtjeva komercijalnih aplikacija koji se uglavnom odnose na integritet podataka, a to znači sprečavanje neovlaštene izmjene podataka, prijevare i greške. Zahtjevi na integritet dijele se na dva dijela:

Internu konzistentnost: koja se odnosi na interno stanje sustava koje se održava samim računalnim sustavom

Eksternu konzistentnost: koja je usmjerena na odnos internog stanja sustava prema stvarnom svijetu te koja se treba provoditi izvan računalnog sustava na primjer preko nadzora (auditing).

Opći mehanizmi za provođenje i očuvanje integriteta su:

Dobro formirane transakcije : podatcima se mo�e manipulirati od strane specifičnog skupa programa, korisnika koji imaju pristup programima radije nego samim podatcima

Razdvajanje dužnosti : korisnici trebaju surađivati kako bi manipulirali s podatcima, te se moraju tajno dogovarati kako bi penetrirali u sustav.

Kod primjene Clark-Wilson modela integritet znači:

Biti ovlašten koristiti program za pristup podatcima kojima se može pristupiti samo preko tog programa.

U Clark-Wilson-ovom modelu gleda se na slijedeće korake:

1. Subjekti se moraju identificirati i autentificirati. 2. Na objektima mo�e raditi samo ograničeni skup programa. 3. Subjekti mogu izvoditi samo ograničeni skup programa. 4. Potrebno je održavati adekvatan zapis (log) o aktivnostima. 5. Sustav treba certificirati kako bi bili sigurni da dobro radi.

U formalizaciji ovog modela, podatci kojima se upravlja kroz sigurnosnu politiku nazivaju se ograničeni podatci (CDI-constrained data items). Ulazni podatci u sustav uključeni su kao neograničeni podatci (UDI - unconstrained data items) . Sa CDI podatcima mogu raditi samo transformacijske procedure (TP). Integritet stanja tih podataka se kontrolira kroz verifikacijske procedure za integritet (IVP). Sigurnosna svojstva su definirana kroz pet certifikacijskih pravila:

1. IVP provjerava da li su svi CDI podatci u ispravnom stanju po svakom izvođenju TP-a.

2. TP-ovi moraju biti certificirani da su ispravni, tj. valjani CDI mora biti transformiran opet u valjani CDI podatak. Svaki TP je certificiran za pristup posebnom skupu CDI podataka.

3. Pravila pristupa moraju zadovoljiti svaki zahtjev za razdvajanjem dužnosti.



68

4. Sve TP procedure moraju zapisivati svoje aktivnosti u dnevnik (log) na principu dodavanja zapisa (append).

5. Svaki TP koji prihvati (uzima) UDI kao ulaz mora ga konvertirati u CDI ili ga mora odbaciti te uopće ne provodi transformaciju.

Četiri pravila za provođenje opisuju sigurnosne mehanizme unutar računalnog sustava koji provode sigurnosnu politiku. Ova pravila ukazuju na sličnost sa kontrolom pristupa u BLP modelu.

1. Sustav mora održavati i zaštiti listu ulaza (TPi:CDIa, CDIb, …) koja daje popis CDI-a za koje je TP certificiran za pristup.

2. Sustav mora održavati i zaštiti listu ulaza (UserID, TPi:CDIa, CDIb, …) koja daje specifikaciju TP procedura koje mogu izvoditi korisnici.

3. Sustav mora autentificirati svakog korisnika koji zahtjeva izvođenje TP procedure. 4. Samo subjekt koji je certificiran za izmjenu pristupnih pravila TP-a može mijenjati

odgovarajuće ulaze u listi. Taj subjekt nema prava za izvođenje te TP procedure. Zaključno mo�emo reći da je Clark-Wilson model prije svega okosnica i smjernica za formalizaciju sigurnosne politike, a ne model određene sigurnosne politike.



69

Sea View Model (SEcure dAta VIEW model) Matematička struktura re�etke sigurnosnih razina

�elimo imati jednoznačni odgovor na slijedeća dva pitanja:

Za dva dana objekta na različitim sigurnosnim razinama koja je minimalna razina sigurnosti koju mora imati subjekt kako bi mu bilo dozvoljeno da čita oba objekta ?

Za dva dana subjekta na različitim sigurnosnim razinama koja je maksimalna sigurnosna razina objekta da bi se taj objekt mogao čitati od oba subjekta ?

Definicija: Rešetka (L, ≤) se sastoji od skupa L sigurnosnih razina i parcijalnog uređenja ≤, tako da za svaka dva elementa a,b є L postoji najmanja gornja granica u є L i najveća donja granica l є L, tj.

a ≤ u, b ≤ u i za svaki v є L : (a ≤ v ۸ b ≤ v ) → (v ≤ u) l ≤ a, l ≤ b i za svaki k є L : (k ≤ a ۸ k ≤ b ) → (l ≤ k)

U sigurnosti mi ka�emo ˝a je podređeno b˝ ili ˝b je nadređeno a˝ ako je a ≤ b. Tipičan primjer:

L je P ({a, b, c}), skup svih podskupova (power set) od {a, b, c}. Parcijalno uređenje je relacija između podskupova, a to je relacija podskupa .

A, B є P ({a, b, c}) postavljamo strelicu od A prema B ako i samo ako je A podskup od B i ako je A ≠ B i ako ne postoji C є P ({a, b, c}) takav da je A < C < B i da je A ≠ C i B ≠ C.



70

Rešetka (P({a,b,c}), )



71

Više razinske baze podataka (MLS DB) Ukoliko želimo sakriti postojanje podataka veće osjetljivosti i da spriječimo aktiviranje tajnih kanala pribjegavamo pojmu višepojavnosti podataka u bazi kako bi:

sačuvali jedno od najva�nijih svojstava baze a to je njen integritet, spriječili otkrivanje povjerljivih podataka putem tajnih kanala.

Za realizaciju tih kontrola pristupa koriste se mandatne politike (MAC) prema principima BLP i Biba modela (Sea View model). Označavanje objekata Oznake su:

Oznaka baze podataka: za odluku da li korisnik može pristupiti relacijama unutar baze

Oznaka relacije: za odluku da li je korisniku dozvoljeno da pristupa n-torkama unutar relacije (tablice)

Oznaka n-torke: za odlučivanje da li je korisniku dozvoljeno da pristupi svim elementima unutar n-torke

Oznaka elementa: za odlučivanje da li je korisniku dozvoljeno da pristupi elementu. Sigurnosna politika treba biti:

Potpuna: sva polja u bazi podataka su za�tićena, i Konzistentna: da ne postoje konfliktna pravila koja upravljaju pristupom podacima.

Konzistentno adresiranje

Bazu podataka D; Relaciju R unutar baze podataka D; Primarni ključ za n-torku r unutar relacije R Atribut i , koji identificira element ri unutar n-torke r.

Kako bi došli do elementa ri moramo zadovoljiti slijedeći odnos pristupnih klasa: fo(D) ≤ fo(R) ≤ fo(r). fo(ri) ≤ fo(r) Višepojavnost (polyinstantiation) U MLS DB modelu (˝low˝ korisnik), korisnik niske razine povjerenja ne zna za postojanje podataka visoke razine. Imamo tri opcije:

Odbiti provođenje ažuriranja: no na taj način otkrivamo informaciju da postoji podatak više osjetljivosti,

Prepišemo staru vrijednost: time ne otkrivamo postojanje informacije više osjetljivosti, ali je uništavamo,

Izvodimo ažuriranje ali zadržavamo staru vrijednost: to se zove višepojavnost.



72

Višerazinske tablice mogu razmatrati kao trodimenzionalna struktura sa slijedećim koordinatama:

Originalni primarni ključ Atribut Pristupna klasa

Sada možemo definirati integritet višepojavnosti za MLS DB : Ako dvije n-torke u relaciji imaju isti primarni ključ i odgovarajući ulazi za neke atribute imaju istu pristupnu klasu tada su i vrijednosti podataka tih atributa iste. Ako dvije n-torke relacije u bazi imaju isti primarni ključ i ako postoje neki atributi koji imaju različite pristupne klase tada i vrijednosti podataka tih atributa moraju biti različite Drugi dio pravila osigurava da trebamo samo jednu elementarnu operaciju kako bi došli do podatka iz višepojavne relacije.



73

SEcure dAta VIEW model je model sigurnosti zaštite relacijskih baza. Kontrola pristupa:

diskrecijske i mandatne smjernice

Razine modela: Model kontrole mandatnog (obvezatnog) pristupa ( MAC – model, Mandatory

Access Control ) -Referentni monitor. Model povjerljive baze ( TCB – model, Trusted Computing Base )-diskrecijska

kontrola za višerazinske relacije.

TCB Model

MAC Model

ObjektiVišerazinska baza

(MLS DB)

Referentni monitorBLP + Biba model

Diskreciona politika

Obvezatna politika

(mandatna)

MAC objektiJednorazinska baza

(SL DB)

Subjekti

Pristup subjekta odbačen ili odobren

SEcure dAta VIEW Model(Sea View model)

MAC model Obavezne smjernice kojima se sumiraju aksiomi Bell-LaPadula i Biba modela su formalizirane preko subjekata, objekata i klasa pristupa.

Klase pristupa klasa tajnosti klasa integriteta. Pristupne klase Sea View modela formiraju rešetku prema parcijalno uređenoj relaciji dominacije ().



74

Za dvije klase C1 =(X1,Y1) i C2=(X2,Y2) vrijedi da je: C1 C2

onda i samo ako je X1 X2 i Y1 Y2, gdje su X1,X2 klase tajnosti, a Y1,Y2 su klase integriteta.

Na primjer: Pristupna klasa {(TS,Nato), (I,Nato)} dominira nad klasom {(S,Nato), (VI,Nato)}; dok su klase {(TS,Nato), (VI,Nato)} i {(S,Nato), (I,Nato)} neusporedive.

Objekti Objekti u MAC modelu su kontejneri koji sadrže informacije, a pristup kojima se mora kontrolirati.

Subjekti Subjekti u MAC modelu su procesi pokrenuti na zahtjev korisnika. (mintajnost, maxintegritet) naziva se klasa pisanja subjekta. (maxtajnost, minintegritet) naziva se klasa čitanja subjekta.

Modovi pristupa čitanje pisanje izvođenje

Aksiomi Izvođenje pristupnih modova nad objektima MAC modela provodi se kori�tenjem skupa aksioma. Ti aksiomi sumiraju principe Bell-LaPadula i Biba modela. (1) Svojstvo čitanja

readclass(s) access class(o). (2) Svojstvo pisanja writeclass(s) accessclass(o)

(3) Svojstvo izvođenja Subjekt može izvesti neki objekt samo ako je njegov maxintegritet manji ili

jednak od klase integriteta objekta, ta ako je njegova maxtajnost veća ili jednaka od klase tajnosti objekta koji se izvodi.



75

Kombinirana svojstva za povjerljive subjekte TCB model

Ovaj model definira višerazinske relacije i formalizira pravila diskrecijske sigurnosti.

Višerazinske relacije

R(A1,C1, ... , An,Cn,Tc)

A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC

Branimir U Odjel A U 10000 U TS Ana TS Odjel A TS 10000 TS TS Ana U Odjel B U 20000 U C

Stjepan S Odjel B S 20000 S S

Primjer relacije sa klasifikacijskom oznakom svakog atributa

Klasifikacija objekata u ovom modelu mora zadovoljiti slijedeća svojstva: (1) integritet klase baze Klasa pristupa relacijske sheme mora biti nadređena nazivnoj klasi baze kojoj pripada (2) Svojstvo vidljivosti podataka

Klasa pristupa relacijske sheme mora biti podređena najnižoj klasi pristupa podataka koji se može pohraniti u neku relaciju. Najviša donja granica raspona klasa pristupa danih za neki atribut mora biti nadređena klasi pristupa relacijske sheme.

(3) Klasa integriteta za poglede



76

Klasa pristupa pogledu (view-u) mora biti nadređena klasi pristupa bilo koje relacije ili pogleda imenovanog u definiciji pogleda.

Svojstva koja moraju biti zadovoljena u klasifikaciji višerazinskih relacija su:

(1) višerazinski integritet entiteta (2) višerazinski referencijalni integritet

Ime CA1 Odjel CA2 zarada CA3 TC Branimir U Odjel A U 10000 U TS Ana TS Odjel A TS 10000 TS TS Ana U Odjel A U 20000 U S Stjepan S Odjel B S 20000 S S

Višepojavna n-torka uz PK=(Ime,Odjel)) Subjekt klasifikacije S će od gornje vi�erazinske relacije vidjeti slijedeće:

Ime CA1 Odjel CA2 zarada CA3 TC Ana U Odjel A U 20000 U S Stjepan S Odjel B S 20000 S S

.

Pristup višerazinskim relacijama

(1) čistoća subjekta je podređena klasi pristupa podacima (ili je neusporediva)

Višepojavna n-torka se pojavljuje kada subjekt umeće n-torku koja ima iste

vrijednosti za primarni ključ kao postojeća ali je za taj subjekt nevidljiva. Višepojavni element se pojavljuje uvijek kada subjekt ažurira ono što se

pojavljuje kao nul element u n-torki, što zapravo skriva podatak sa više (ili neusporedive) pristupne klase.

Primjer: Razmotrimo li vi�erazinsku relaciju sa slijedeće slike :

te pretpostavimo da S-subjekt zahtjeva slijedeću operaciju:


Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS

Stjepan TS Odjel B TS 30000 TS TS



77

INSERT INTO Djelatnik VALUES Stjepan, Odjel A, 10000 rezultirajuća relacija koja sadr�i vi�erazinske n-torke izgleda:

Kao drugi primjer upotrebimo istu relaciju nad kojom S-subjekt izvodi slijedeću operaciju: UPDATE Djelatnik SET zarada = “20000” WHERE Ime = “Ana” Rezultirajuća vi�erazinska relacija sadrži višepojavni element kako je prikazano :

(2) čistoća subjekta je nadređena klasi pristupa podacima Višepojavnost n-torke pojavljuje se uvijek kada subjekt umeće n-torku koja

ima iste vrijednosti za primarni ključ kao već postojeća n-torka na nižoj razini. Vi�epojavnost elementa događa se uvijek kada subjekt a�urira atribut koji ima

vrijednost klasificiranu na nižoj razini.

Za primjer razmotrimo gornju relaciju nad kojom TS-subjekt zahtjeva slijedeću operaciju: UPDATE Djelatnik SET Odjel = “Odjel A” WHERE Ime = “Ana” Rezultirajuća relacija, gdje su dodane dvije n-torke, dana je na slijedećoj slici:


Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS

Stjepan TS Odjel B TS 30000 TS TS Stjepan S Odjel A S 10000 S S


Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS Ana S Odjel B S 20000 S S




78

Kao drugi primjer, koristeći za ulaz istu relaciju kao u prethodnom primjeru, te pretpostavimo da TS-subjekt zahtjeva slijedeću operaciju: UPDATE Djelatnik SET Odjel = “Odjel B”, zarada = “20000” WHERE Ime = “Branimir” Rezultirajuća relacija, sa tri dodane n-torke izgleda kao na slijedećoj slici:

Smjernice diskrecijske sigurnosti (1) Modovi pristupa bazi:

null, list, create-mrelation, delete db, grant ,give grant (2) Modovi diskrecijskog pristupa relaciji

null, select , insert , update(i) , delete-tuple, create-view, delete-mrelation, reference, grant, give-grant

(3) Modovi pristupa MAC objektima read, write, null, grant, give-grant

Kontrola pristupa - Ako korisnik ima eksplicitnu zabranu pristupa objektu, ta zabrana

ima prednost pred pravima koja korisnik ima preko grupe ili osobno

- Ako korisnik nema osobnu zabranu, a ima osobno pravo na neki mod pristupa, tada ima samo to pravo pristupa i ne uzima se u obzir pravo definirano na nivou grupe

- Ako na nivou korisnika nisu specificirana prava na objekt i ako je korisnik član grupe kojoj pristup nije zabranjen, tada će korisnik imati prava pristupa jednaka pravima grupe.


Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS Ana S Odjel B S 20000 S S Ana S Odjel A TS 30000 TS TS Ana S Odjel A TS 20000 S S



Branimir S Odjel A S 10000 S S Branimir S Odjel B TS 10000 S TS Branimir S Odjel A S 20000 TS TS Branimir S Odjel B TS 20000 Ts TS

Ana S Odjel B S 30000 TS TS Ana S Odjel B S 20000 S S




79

Predstavljanje višerazinskih relacija Sea View politika zahtjeva da sigurnosni mehanizmi sustava koji provodi

diskrecionu sigurnost i sve ostale politike budu podvrgnuti sigurnosnoj jezgri koja provodi mandatnu (obvezatnu) sigurnost.

Sve informacije koje se koriste od TCB moraju se smjestiti u objekte MAC modela, a pristup njima se nadzire prema mandatnoj politici.To znači da svaka višerazinska relacija mora biti pohranjena u objektu MAC modela.

Kako su objekti u MAC modelu jednorazinski, svaka višerazinska relacija se rastavlja, a podaci se pohranjuju u različite objekte, ovisno o klasi pristupa.

Ovaj model pruža i način dekompozicije vi�erazinske relacije na standardne jednorazinske osnovne relacije relacijskog modela. Pri dekompoziciji se svi jednovrsno klasificirani atributi promatraju kao cjelina.

Svaka višerazinska relacija se tada pridružuje na jedan ili više jednorazinskih objekata (file ili particiju ) �tićenih referentnim monitorom koji provodi mandatnu politiku (MAC).

Subjekt neće moći pristupiti bilo kom podatku u temeljnoj relaciji ( kako bi pristupio vi�erazinskoj relaciji) ako klasa čitanja subjekta ne dominira klasi objekta koji sadrži spremljene podatke.

Smith i Winslett model (Model uvjerenja subjekta) Vi�erazinske baze izgledaju kao niz klasičnih relacijskih baza, po jedna baza za svaku razinu sigurnosne rešetke. Sve baze dijele istu strukturu, a svakoj bazi je pridružena klasa ili nivo sigurnosti. Baza na nekom nivou sadrži uvjerenje korisnika tog nivoa o stanju kakvo se odražava u

toj relacijskoj shemi. Subjekt vjeruje stanju baze na tom nivou. Subjekt i svi subjekti nižeg nivoa vide ono što

vjeruju da vide.



80

MODELI ZA KONTROLU TOKA INFORMACIJA U BLP modelu informacija mo�e teći s visoke razine osjetljivosti prema niskoj kroz tajne kanale. Modeli informacijske sigurnosti razmatraju sve vrste toka informacija, ne samo direktni tok informacija koji je kontroliran kroz operacije pristupa kao što je to modelirano u BLP modelu. Neformalno, promjene stanja prouzrokuju tok informacija od objekta x na objekt y, ako mo�emo doznati o x kroz promatranje objekta y. Ako već znamo x, nema toka informacije iz x. Mi bi trebali razlikovati:

Eksplicitni tok informacija : pregledavamo y nakon pridruženja y := x; što nam daje vrijednost od x.

Implicitni tok informacija: pregledavamo y nakon uvjetne naredbe If x=0 then y:=1; što nam može pokazati ne�to o x čak i ako se pridru�enje y := 1 nije izvelo. Na primjer, ako je y = 2 mi znamo da je x ≠ 0.

Komponente modela toka informacija su:

Rešetka (L, ≤) sigurnosnih oznaka Skup označenih objekta Sigurnosna politika: tok informacija od jednog objekta sa sigurnosnom oznakom c1 na

objekt sa sigurnosnom oznakom c2 je dozvoljen samo ako je c1 ≤ c2 ; svaki tok informacija koji krši ovo pravilo je ilegalan.

Sustav se naziva sigurnim ako ne postoji ilegalnih tokova informacija. Prednost je ovih modela što pokrivaju sve vrste tokova informacija. Nedostatak je što postaje sve teže dizajnirati sigurnosni sustav. Ne-interferentni modeli su alternativa modelima za siguran tok informacija. Oni koriste različite formalizme kako bi opisali �to subjekt zna o stanju sustava. Subjekt s1 ne interferira (utječe) na subjekt s2 ako aktivnost od s1 ne utječe na pogled od s2 na sustav. To je kao i modeli toka informacija područje jakog istra�ivanja, jo� daleko od �irokih praktičnih rje�enja. Rešetkasti model za kontrolu toka informacije

Dosad razmatrani modeli bili su orijentirani na onemogućavanje direktnog pristupa podacima i očuvanje integriteta pri direktnom pristupu. Pri tome se nije uzeo u obzir protok podataka koji se dešava u objektno orijentiranim sustavima u kojima objekti međusobno komuniciraju porukama .

Formalna definicija

Model protoka informacija FM je definiran 5-orkom

FM=( N , P , SC , , )

gdje je :



81

N= { a, b, …. } skup objekata koji sadrže informacije. P={p, q, …. } je skup procesa koji izazivaju tok podataka. SC = { A, B ,…. } je skup sigurnosnih klasa pridruženih odvojenim klasama

informacija je binarni operator za kombinacije klasa koji zadovoljava svojstva asocijacije i

komutacije je relacija toka kojom se definira tok informacija iz jedne u drugu klasu

Definicija sigurnog modela Model protoka FM je siguran ako i samo ako ne postoji niz operacija koje bi izazvale tok koji narušava pravilo relacije “” .

Izvođenje re�etkastog modela (rad modela)

Trojka (SC , , ) formira univerzalnu ograničenu re�etku (UOR). (SC , ) je re�etka jer zadovoljava slijedeća svojstva: (1) (SC , ) je parcijalno uređen skup jer relacije na SC zadovoljavaju slijedeće:

refleksivnost: a SC vrijedi a a . tranzitivnost: a , b ,c SC: a b b c a c . antisimetričnost: a , b SC : a b b a a = b (2) SC je konačan. (3) SC ima donju granicu L:LA A SC.

(4) je operator najniže gornje granice na SC.

Klasifikacije vi�erazinskih modela mogu se također predstaviti pomoću re�etke. Na primjer , za dani skup nivoa sigurnosti, definiranih na skupu klasa sigurnosti C Bell-LaPadula modela, te na skupu kategorija S, rešetka je opisana kao: L1 = (C1,S1) , L2 = (C2,S2)

L1 <= L2 (C1, S1) <= (C2, S2) C1 <= C2, S1 S2 (C1, S1) (C2, S2) = (max (C1, C2), S1 S2 ) (C1, S1) (C2, S2) = (min (C1, C2), S1 S2 ) L = ( Neklasificirano, {} ) H = ( Vrlo tajno, S )

Na donjim slikama su prikazana dva primjera rešetke u smislu opisa i predstavljanja, te rešetka BLP modela.



82

OPIS: PRIKAZ: SC = { a1, … ,an }

An

Ai Aj ako je i<=j

An-1

Ai Aj = amax(i,j)

…..

Ai Aj = amin(i,j)

L=A1

A2

H=An

A1

Uređena linearna re�etka OPIS: PRIKAZ: {x, y, z} {y,z} SC = Powerset(S) AB iff AB {x, y} {y} A B = A B A B = A B L=, H=S {x, z} {z}

{x}

Rešetka podskupova od S={ x, y, z, }



83

Rešetka za Bell-LaPadula model, za klasifikaciju(S>C>U)

i skup kategorija ((H = LUB, L = GLB)

Rešetka BLP modela



84

Implicitni i eksplicitni tok Primjenom modela rešetke na kontrolu toka, analiza svih tokova u programu postaje vrlo slo�ena, jer svi mogući tokovi nisu eksplicitno navedeni. Zbog toga se uvodi pojam eksplicitnog i implicitnog toka. Tok u objekt b je eksplicitan kada je to rezultat bilo koje operacije koja direktno iz

operanada prenosi informaciju u b. Tok u objekt b je implicitan ako se dešava izvršavanjem (ili neizvršavanjem) uvjetne

instrukcije koja izaziva eksplicitni tok u b. Sa ciljem specificiranja sigurnosnih zahtjeva na programe koji izazivaju implicitni tok, mora se razmotriti apstraktno predstavljanje programa u kojem je sačuvan tok (ne nu�no i originalna struktura). Diskusija o mandatnim modelima

Modeli obvezne kontrole i modeli kontrole toka omogućuju praćenje toka informacija referentnim monitorom koji će osigurati pridr�avanje obveznih pravila.

Nedostatak primjene matematičkog modela obaveznih smjernica je strogost koja se u određenim okolinama ne mo�e primijeniti.

Korisnicima komercijalnih sustava nije uvijek moguće pridijeliti nivo razgraničenja ili nivo osjetljivosti podataka. Sadašnji sustavi sigurnosti se baziraju na kombinaciji uvjetnih i diskrecijskih kontrolnih pravila – npr. SEA View model.

Proširenjem modela diskrecijske kontrole u cilju kontrole toka informacija: o Obavezno poznavanje pravila za ograničenje toka informacija tijekom izvr�enja

procesa u operacijskom sustavu. o Drugim pristupom problemu pokušalo se osigurati pristup datotekama na bazi

nekih spoznaja o samoj datoteci. o Bertino (1993) za prevladavanje osjetljivosti diskrecijskih kontrolnih prava

objektno orijentiranih sustava predlaže uporabu striktnih “treba-znati” prava. o Pristup se sastoji u pridruživanju liste s pravima pristupa svakom objektu s

podacima . Pridružuju dvije liste zaštite – trenutni pristup i potencijalni pristup.



85

MODEL KINESKOG ZIDA (Chinese Wall Model) Pravilo: Ne smije postojati tok informacija koji mo�e prouzročiti konflikt interesa. Ta politika kreće od tri razine apstrakcije:

Objekti. Na najnižoj razini su elementarni objekti, kao što su datoteke. Svaka datoteka sadrži informacije koje se odnose samo na jednu tvrtku.

Grupe tvrtki. Na slijedećoj razini, svi objekti koji se odnose na jednu tvrtku se grupiraju zajedno.

Konfliktne klase. Na najvišoj razini, sve grupe objekata za konkurentske tvrtke su grupirane .

Stanje sustava kako je definirano BLP modelom mora se malo adaptirati kako bi zadovoljilo ovoj sigurnosnoj politici:

Skup kompanija se označava s C. Skup objekta O su stavke informacija koje se odnose na pojedinu kompaniju.

Razumljivo je da su analitičari subjekti i da je S skup subjekta. Svi objekti koji se odnose na jednu kompaniju su skupljeni u grupi podataka za tu

tvrtku. Funkcija y : O → C daje grupu tvrtke za svaki objekt. Klase konfliktnih interesa pokazuju koje su kompanije međusobni konkurenti.

Funkcija x : O → P(C) daje klasu konflikta za svaki objekt, tj. daje skup kompanija koje ne bi trebale znati o sadržaju tog objekta. ( P (C) je skup od svih podskupova (power set) od svih kompanija C1, .. Cn).

Oči�ćena informacija je informacija oslobođena osjetljivih detalja i nije predmet ograničenja pristupa. Za oči�ćeni objekt o vrijedi x(o) = Ø (nul skup).

Zbog potrebe indirektne kontrole toka informacija uvodimo Bool-ovu matricu N = S x O sa vrijednostima:

Ns,o = 1, ako je subjekt s imao pristup objektu o. Ns,o = 0, ako subjekt s nije nikad imao pristup objektu o.

Ako je Ns,o = 0 za svaki s є S i za svaki o є O tada imamo sigurno početno stanje. Formalno možemo izraziti ss-svojstvo Bell-LaPadula modela kao:

Subjektu s se dozvoljava pristup objektu o samo ako za sve objekte o' sa Ns,o = 1 vrijedi da je y(o) x(o') ili y(o) = y(o').

Zbog kontrole indirektnog toka informacija uvodimo * svojstvo BLP modela kako bi kontrolirali pristup za pisanje.

Subjektu s se dozvoljava pristup pisanja u objekt o samo ako s nema pravo čitanja objekta o' za koji vrijedi y(o) ≠ y(o') i x(o') ≠ Ø .



86

Primjer sigurnosne politike za šest kompanija i tri konfliktne klase.



87

4. OSNOVE KRIPTOGRAFIJE, PROTOKOLI, TEHNIKE I ALGORITMI Osnove kriptografije

Kriptografija grčkog je porijekla i sastoji se od dvije riječi :

KRIPTOS tajan, skriven GRAFIEN pisati

Kriptoanaliza Kriptologija

Pojmovi i terminologija

Prijenosni medij Izvorni tekst (plaintext) Kriptirani tekst (ciphertext) Enkripcija (E) Dekripcija(D) Ključ �ifriranja (K, KE ) Ključ de�ifriranja (K, KD )

C = E(P) i P = D(C) Sustavi za enkripciju i dekripciju nazivaju se kriptosustavi.

Algoritmi enkripcije

simetrična enkripcija C = E(K,P). P = D(K,E(K,P)).

asimetrična enkripcija

P = D(KD, E(KE,P))

Enkripcija

Enkripcija Dekripcija

Izvorni tekst

Šifrirani tekst

Izvorni tekst



88

Kriptografski ključevi Moderna kriptografija se ne oslanja na tajnost algoritma enkripcije. Ključ koji se koristi u kriptografskoj transformaciji treba biti jedina stavka koja treba zaštitu. Taj princip je postuliran od Kerckhoffs-a u pro�lom stoljeću. Upravljanje ključevima (key management) ima najveće značenje u enkripciji. Stoga je potrebno postaviti slijedeće pitanja:

Gdje se ključevi generiraju ? Kako se ključevi generiraju ? Gdje su ključevi uskladi�teni ? Kako su oni dospjeli tamo ? Gdje se ključevi stvarno koriste ? Kako se ključevi opozivaju i zamjenjuju ?

Kriptografija je vrlo rijetko potpuno rješenje za sigurnosni problem IS-a. Kriptografija je translacioni mehanizam, koja obično pretvara sigurnosni problem u komunikaciji u problem upravljanja ključevima, a samim time u problem računarske sigurnosti.


Ključ

Izvorni tekst

Šifrirani tekst

Izvorni tekst

(a) Simetrični kripto sustav


Ključ enkripcije KE Ključ dekripcije

KD

Izvorni tekst Šifrirani tekst Izvorni tekst

(b) Asimetrični kripto sustav

Enkripcija sa ključevima



89

Prvi poznati sustavi kriptiranja:

SKITALE kojeg su koristili Grci u 9. stoljeću p.n.e. Ceasar-ova šifra koja se bazira na translaciji slova abecede. "Vigner-ova šifra".

Osnovni pojmovi i primjene:

Privatnost Autentifikacija Identifikacija Razmjena ključeva Digitalni potpisi

Kriptoanaliza

pokušaj razbijanja jedne poruke pokušaj prepoznavanja uzorka u �ifriranoj poruci, kako bi mogao razbiti slijedeće

poruke primjenjujući prethodno pronađeni algoritam dekripcije pokušaj da se pronađe opća slabost enkripcijskog algoritma, bez potrebe dohvata bilo

koje poruke Probijena enkripcija Enkripcijski algoritam može biti probijen, �to znači da uz dosta vremena i podataka analitičar može odrediti algoritam.

Predstavljanje znakova poruke izvornog teksta SLOVO: A B C D E F G H I J K L M KOD: 0 1 2 3 4 5 6 7 8 9 10 11 12 SLOVO: N O P Q R S T U V W X Y Z KOD: 13 14 15 16 17 18 19 20 21 22 23 24 25 Vrste enkripcija:

supstitucija, transpozicija.

Jednoabecedne šifre (Supstitucija)

Caesar-ova šifra ci = E(pi) = pi + 3



90

Puna transalcija Caesar-ove šifre je: Izvorni tekst: A B C D E F G H I J K L M N O P R S T U V W X Y Z Šifrirani tekst: d e f g h i j k l m n o p r s t u v w x y z a b c Upotrebom ove enkripcije poruka TREATY IMPOSSIBLE postaje wuhdwb lpsrvvleoh

Ostale jednoabecedne substitucije ABCDEFGHIJKLMNOPQRSTUVWXYZ key Na primjer: ABCDEFGHIJKLMNOPQRSTUVWXYZ k e y a b cd f ghi j l mn op q r s t u v w xz key = spectacular. ABCDEFGHIJKLMNOPQRSTUVWXYZ s p e c t a u l rbd f g h i j kn moq v w x yz key = adgj ABCDEFGHIJKLMNOPQRSTUVWXYZ a d g j mod 26

ABCDEFGHIJKLMNOPQRSTUVWXYZ a d g j mp s vybe h k n q twz c f i l o r ux Šifre višeabecedne supstitucije E1(T) = a i E2(T) = b dok E1(X) = b i E2(X) = a. dakle, E3 je prikazan kao prosjek od E1 i E2.



91

Pretpostavimo dva enkripcijska algoritma kako je dole pokazano. Tablica za neparne pozicije (mod 26) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a d g j n o s v y b e h k n q t w z c f i l o r u x Tablica za parne pozicije (mod 26) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z n s x c h m r w bg l q v a f k p u z e j o t y d i TREAT YIMPO SSIBL E fumnf dyvtv czysh h

Vigenere tablica Želimo šifrirati poruku “but soft, what light through yonder window break� koristeći ključ juliet. j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK Vinegere tabela je skup od 26 permutacija.

Višeabecedna substitucija



92

j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i

BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK k o ea s y c q s i ...

Perfektna šifra supstitucije

One-Time Pad Dugi nizovi (slijedovi) slučajnih brojeva Vernam-ova šifra

Poruka: VERNAM CIPHER Numerički ekvivalenti: V E R N A M C I P H E R 21 4 17 13 0 12 2 8 15 7 4 17 Sekvenca dvoznamenkastih slučajnih brojeva: 76 48 16 82 44 03 58 11 60 05 48 88



93

Rezultat: 19 0 7 17 18 15 8 19 23 12 0 1 t a h r s p i t x m a b

Binarna Vernam-ova šifra

Na primjer, binarni broj: 101101100101011100101101011100101

Slučajnim binarni niz: 101111011110110101100100100110001

Kriptirani tekst: 000010111011101001001001111010100

Generatori slučajnih brojeva

Linerni kongruencijski generator slučajnog broja ri+1 = (a * ri + b) mod n

Duge sekvence iz knjiga

XOR ili druga kombinirajuća funkcija

Kombinirajuća funkcija

Ista serija brojeva

Duga, neponavljajuća

serija brojeva

Izvorni tekst kriptirani tekst Izvorni tekst

...134549273

Vernam-ova šifra



94

Korištenje dvostruke poruke Kriptoanalitički alati:

distribucija frekvencija indeksi koincidencije razmatranje visoko vjerojatnih pojava slova i riječi analiza ponovljivih uzoraka upornost, organizacija, genijalnost i sreća.

Transpozicije (permutacije)

Stupčaste transpozicije c1 c2 c3 c4 c5 c6 c7 c8 c9 c10 c11 c12 c13 .......

Rezultirajući �ifarski tekst se dobije prolazom po stupcima

c1 c2 c3 c4 c5 c6 c7 c8 c9 c10 c11 c12 c13 ....... Dužina ove poruke je multipl od pet, tako da svi stupci izlaze jednake dužine. Ako poruka nije multiple od du�ine redova, zadnji stupci bitće kraći. Slabo učestalo slovo X se koristi da se ispune kratki stupci.

Složenost enkripcije/dekripcije Grupe dva, tri slova i ostali uzorci (digram, trigram..) Digrami Trigrami _______ _______ EN ENT RE ION ER AND NT ING TH IVE ON TIO IN FOR TF OUR AN THI



95

OR ONE ___________________________

Algoritam dvostruke transpozicije

Rezultat prvi transpozicije: tssoh oaniw haaso lrsto (i(m(g(h(w (u(t(p(i(r s)e)e)o)a) m)r)o)o)k) istwc nasns

Rezultat druge transpozicije: t n o (m (i m)t s s i l (g (r r) w x s w r (h s) o) c x o h s (w e) o) n x h a t (u e) k) a x o a o (t o) i s x a s (i (p a) s n x Šifriranje niza i bloka znakova (Stream & Block ciphers)

Šifriranje niza znakova (Stream cipher) Prednosti enkripcije niza su:

(+) Brzina transformacije (+) Niska propagacija greške.



96

Nedostatci šifriranja niza su:

(-) Niska difuzija. (-) Sumnjičavost na zloćudna umetanja i izmjene

Šifriranje bloka znakova (Block cipher)

Y

ISSOPMI

Izvorni tekst

wdhuw

Šifrirani tekst

Šifriranje niza

Ključ (Opcionalno)

IH

Ključ (Opcionalno)

XN OI TP DF ES FG HJ KL

Izvorni tekst

po

Šifrirani tekst

ba cd fg hj fr

Šifriranje bloka



97

Prednosti:

(+) Difuzija. (+) Imunost na umetanja..

Nedostatci:

(-) Sporost enkripcije. (-) Propagacija greške.

Svojstva dobrog šifriranja

Shanon-ova svojstva

1. Iznos(veličina) potrebne tajnosti treba odrediti iznos odgovarajućeg rada za enkripciju i dekripciju.

2. Skup ključeva i algoritam enkripcije ne smije biti složen (kompliciran). 3. Implementacija procesa mora biti što jednostavnija. 4. Greška u šifriranju ne smije propagirati i prouzročiti uni�tenje daljnje informacije,

poruke. 5. Veličina �ifriranog teksta ne smije biti veća od teksta izvorne poruke.

Konfuzija i difuzija

Sa čime i kako rade kriptoanalitčari ?

Samo šifrirani tekst Potpuni ili djelomični izvorni tekst Šifrirani tekst bilo kojeg izvornog teksta Algoritam i šifrirani tekst



98

SIGURNI ENKRIPCIJSKI SUSTAVI

Brute force attack Princip najmanjeg posla Teški problemi: Složenost

o NP-complete problemi, o Galois-ova polja o Faktorizacija velikih brojeva

Modularna aritmetika Neka je m cijeli broj (integer). U nastavku ćemo m zvati modulom. Tada možemo definirati relaciju ekvivalencije ≡ na skupu cijelih brojeva : a ≡ b mod m ako i samo ako je a – b = λ * m za neki cijeli broj λ. Ka�emo da je ˝a je ekvivalentno b po modulu m ˝. Mo�emo provjeriti da je ≡ zaista relacija ekvivalencije koja dijeli skup cijelih brojeva u m ekvivalentnih klasa: (a)m = {b | a ≡ b mod m } , 0 ≤ a < m. Mnogo je bli�e označiti klasu ekvivalencije sa a mod m i mi ćemo koristiti tu konvenciju. Moguće je lako verificirati slijedeća korisna svojstva modularne aritmetike: (a mod m) + (b mod m) ≡ (a + b) mod m. (a mod b) * (b mod m) ≡ (a*b) mod m. a mod n ≡ b a ≡ b mod n (simetričnost) Također, za svaki a ≠ 0 mod p, p je prosti broj, postoji cijeli broj a-1 tako da je a* a-1 ≡ 1 mod p.

Definicija : Neka je p prosti broj i neka je a cijeli broj. Mulitlipakativni red od a po modulu p je najmanji cijeli broj n tako da vrijedi an ≡ 1 mod p. Fermat Little teorem : Za svaki a ≠ 0 mod p, p je prosti broj vrijedi ap-1 ≡ 1 mod p.

Sigurnost ovih algoritama se često odnosi na te�koću u rje�avanju slijedećih problema iz teorije brojeva:

Problem diskretnih logaritama (DLP-Discrete logarithm problem) : za dani modul p, p je prosti broj, na bazi a i vrijednosti y = ax mod p treba pronaći diskretni logaritam x od y.

Problem n-tog korijena : Za dane cijele brojeve m, n i a, pronađi cijeli broj b tako da je a = bn mod m. Rješenje za b je n-ti korijen od a po modulu m.

Faktorizacije : Za dani cijeli broj n pronađi njegove proste faktore.



99

Sustavi za enkripciju upotrebom javnih ključeva

1976 Diffie i Hellman predložili su novu vrstu enkripcijskih sustava.

Motivacija Konvencionalni sustavi: n * (n-1)/2 ključeva. Svojstva sustava

Dva ključa: javni ključ i privatni ključ P = D(kPRIV, E(kPUB, P)). P = D(kPUB, E(kPRIV, P)). Rivest-Shamir-Adelman (RSA) enkripcija Uvod u RSA algoritam

Dva ključa, d i e se koriste za dekripciju i enkripciju. Izvorni tekst P se kriptira kao

Pe mod n.

E D

F A

B C

Novi ključevi koje treba dodati

Kreiranje novih privatnih kanala



100

Ključ za dekripciju je odabran tako da je

(Pe)d mod n = P. Detaljni opis enkripcijskog algoritma C = Pe mod n. P = Cd mod n.

Enkripcija i dekripcija su međusobno inverzne i komutativne. P = Cd mod n = (Pe)d mod n = (Pd)e mod n Izbor ključeva

Matematička osnova RSA algoritma Euler-ova funkcija (n) je broj pozitivnih cijelih brojeva manji od n, a koji su relativno prim brojevi (relativno prosti) u odnosu na n. Ako p prim broj, tada je (p) = (p-1) Dalje, ako je n = p* q, gdju su p i q oboje prosti brojevi, (n) = (p) * (q) = (p-1) * (q-1) Fermat i Little su pokazali: ap-1 mod p = 1 ap-1 = 1 mod p , gdje su a i p relativno prosti brojevi i a < p. Euler i Fermat su dokazali da je za svaki integer x ako su n i x relativno prosti. Pretpostavimo, da kriptiramo izvornu poruku P sa RSA, Tako da je E(P) = Pe. Tada moramo biti sigurni da mo`e vratiti poruku. Vrijednost e je odabrana tako da mo`emo odabrati njen inverz d. Budu}i su e i d inverzi mod n), ili

1)-(q * 1)-(p mod 1 d * e

xn) 1 mod n

e * d 1 mod (n)



101

e * d = k * (n) + 1 (*) za neki cijeli broj k. To je pretpostavka koju dokazujemo. Zbog Euler/Fermat rezultata, te budući je (p-1) faktor od (n) Množenjem sa P daje Pk*n)+1 P mod p Isti argument vrijedi i za q, tako da je Pk*n)+1 P mod q Kombinirajući ta dva rezultata sa (*) daje (Pe)d = Pe*d = Pk*(n)+1 = P mod p = P mod q tako da je uz n = p*q (Pe)d = P mod n P = (Pe)d mod n (zbog simetričnosti mod. aritmetike) te da su e i d inverzne operacije, što i dokaz gore navedene pretpostavke. Primjer Neka su p = 11 i q = 13, n = p * q = 143 , a (n) = (p-1) * (q-1) = 10 * 12 = 120. e = 11. (relativno prost u odnossu na (p-1) * (q-1)). Inverz od 11 mod 120 je također 11 budući je 11*11 = 121 = 1 mod 120. e = d = 11 Poruka P = 7 se kriptira kako slijedi:

Pp-1 1 mod p

Pk*n)+1 P mod p Pk*n) 1 mod p



102

711 mod 143 = 106 E(7) = 106. To je točno jer vrijedi: D(106) = 10611 mod 143 = 7. El Gamal i Algoritam digitalnih potpisa Algoritam p – prost broj a,x – cijeli brojevi ( a < p i x<p) x – privatni ključ y - javni ključ

y = ax mod p. k – slučajni cijeli bro (0<k<p-1 ) r = ak mod p s = k-1 (m-xr) mod (p-1) gdje je k –1 multiplikativni inverz od k mod (p-1), tako da je k * k-1 = 1 mod (p-1)

Potpis poruke su r i s. Algoritam digitalnog potpisa (DSA)

2511 < p < 2512 (tako da je p grubo 170 decimalnih zanamenaka dug). 2159 < q < 2160. Algoritam eksplicitno koristi H(m) hash vrijednost poruke m. Izračunavaju r i s po mod q.

Hash algoritmi

Hash algoritam je kontrola koja �titi podatke od različitih izmjena Hash funkcija proizvodi reducirani oblik tijela podataka. Sažetak (digest) ili kontrolna vrijednost.

Opis hash algoritama

Kriptografska hash funkcija koristi kriptografsku funkciju kao dio hash funkcije.



103

Sigurni hash algoritam(SHA)

ulazne podatke dužine koja je manja od 264 bitova reducira na 160 bitova(digest). W(0), W(1),.. W(15), su 32 bitne riječi (512 bitova) Svaki blok je ekspandiran od 16 riječi na 80 riječi sa

W(t) := W(t-3) W(t-8) W(t-14) W(t-16) , za t := 16 do 79

Inicijalizacija : H0 := 67452301, H1 := EFCDAB89, H2 := 98BADCFE, H3 := 10325476 i H4 := C3D2E1F0 (izraženo heksadecimalno).

Zadnji blok od 16 riječi, 160 bitni digest je pet riječi H0 H1 H2 H3 H4.

Sigurni sustavi kori�tenjem tajnog ključa (simetrični sustavi) Simetrični sustavi imaju nekoliko pote�koća: Kod svih kripto sustava sa ključevima, ako je ključ otkriven (ukraden, pogođen, kupljen

ili na drugi način kompromitiran) napadač mo�e neposredno dekriptirati informaciju koja im je dostupna.

Distribucija ključeva postaje problem. Broj ključeva se povećava sa kvadratom korisnika koji izmjenjuju tajnu informaciju. Simetrični sustavi, opisani kao konvencionalni, prije pojave javnog ključa, su relativno

slabi, ranjivi na različite kriptoanalitičke napade.



104

Data Encryption Standard (DES) Pregled DES algoritma

Koristi supstitucije i permutacije (transpozicije) (repetitivno kroz 16 ciklusa). Izvorni tekst se kriptira kao blok od 64 bita. Ključ je dug 64 bita, stvarni ključ 56-bitova. Algoritam proizlazi iz dva koncepta Shanon-ove teorije tajnosti informacije

(konfuzije i difuzije), Dvije različite �ifre primjenjuju se alternativno (Shanon –ova produkt šifra)



105



106

Detalji enkripcijskog algoritma

Ulaz u DES po blokovima 64 bita Inicijalna permutacija bloka Ključ se reducira od 64 na 56 (bez paritetnih bitova:8,16, ..64) Započinje ciklus (16 puta) Blok od 64 bita u dvije polovice (lijevu i desnu) Polovice se proširuju na 48 bitova (proširene permutacije) 56 bitni ključ se reducira na 48 bitova (permutirani izbori) Ključ se pomiče lijevo i permutira Ključ se kombinira sa desnom, pa sa lijevom polovicom Nova desna polovica, stara desna postaje nova lijeva. 16-ti ciklus , konačna permutacija, inverzija inicijalne permutacije (rezultat enkripcije)



107

RIJNDAEL KRIPTOGRAFSKI ALGORITAM (AES) Simetrična blok enkripcija

Opis algoritma Pseudo kod



108

Substitucija nad ulaznim podacima (8-bitnim) – SubBytes() Svojstva

Nelinerana transformacija A - inverzibilna (reci su linearno nezavisni u GF(28) (Galoise polje -konačno polje -

256 elemenata) b` = A b-1 + c gdje je b = 8-bitni element konačnog polja GF(28) b = b7x7 + b6x6 + b5x5 + b4x4 + b3x3 + b2x2 + b1x + b0 b0 … b7 { 0,1} b-1 = multiplikativni inverz u GF(28) bb-1 = 1 mod f(x) f(x) = nereducibilni polinom f(x) = x8 + x4 + x3 + x + 1



109

Substitucijska tablica za 128 bitni blok (8-bitna)

Pomicanje redova – ShiftRows() Veličina bloka u bitovima

C0 C1 C2 C3

128 0 1 2 3 192 0 1 2 3 256 0 1 3 4

C0,.., C3 je broj pomaka u baytovima.



110

Mješanje stupaca - MixColumns()



111

Dodavanje dijela pro�irenog ključa – AddRoundKey ()



112

Pro�irenje ključa Pseudo kod za pro�irenje ključa (izmjena)

Gdje je : w[i] = novi ključ w[i] = k[i] temp k[i] = stari klljuč, iz prethodne iteracije (runde) SubWord - operacijaje substitucije ista kao kod kriptiranja. RotWord – rotira sadržaj 32 bitnog registra za 8 bitova Rcon () – polje koje sadrži konstante W() – vrijednost novog ključa Dekriptiranje bloka Korištenje inverznih transformacija:

InvShiftRows InvSubBytes InvMixColumns



113

Zaključak:

Vrlo jednostavan za izvedbu kako u HW tako i SW Sna�an simetrični blok algoritam Baza algoritma su najjednostavnije matematičke operacije (zbrajanje i mno�enje u

konačnim GF poljima) Visok stupanj difuzije i konfuzije (substitucija, miješanje stupaca i redaka matrice

podataka – bloka) Miješanje nad 8-bitnim elementima, a ne nad bitovima kao kod DES-a

Uloga Rijndel internih funkcija:

SubBytes ima zadatak postizanja enkripcije uz primjenu nelinearne substitucije.. ShiftRows i MixColumns moraju izvršiti miješanje bajtova na različita mjesta

izvornog teksta (Shanon). AddRoundkey osigurava neophodnu tajnu, slučajnost distribucije poruke.

Brza i sigurna implementacija

U SubBytes, izračunavanje b-1 mo�e se djelotvorno učiniti upotrebom tablice pretraživanja, mala tablica od 256 parova baytova može se proizvesti jednom i koristiti zauvijek (može se čvrsto ugraditi u HW ili SW).



114

Budući su matrica A i vektor c konstantni , tablica pretraživanja može provesti cijelu transformaciju ( tablica od 256 ulaza).

U MixColumns, mno�enje između elemenata fiksne matrice i stupčastog vektora

mo�e se također realizirati upotrebom metode tablice pretra�ivanja.veličine od 2*256 = 512 ulaza.

Pozitivni utjecaj AES-a na primijenjenu kriptografiju

Višestruka enkripcija, kao što je triple-DES postaje nepotrebna sa pojavom AES-a .

Široka upotreba AES-a dovodi do pojave novih hash funkcija zadovoljavajuće sigurnosne jakosti.

AES kao i DES do sada, doprinosi punom razvoju kriptoanalize.



115

Prikaz Rijndeal algoritma



116

Zalo�ni ključ i Clipper kriptiranje Clipper program (MOSAIC) Nazivi: Clipper, Capstone, Skipjack, MOSAIC, Tessera, Fortezza, i Escrowed Encryption Standard (EES). Koncept: zalo�ni ključ Tehnički aspekti

Koristi 32 ciklusa (DES 16) Ključ k 80 bitni (DES 56) Prijenos uključuje polje zakonske agencije (LEAF) Kriptiranje poruke M

D(E(M,k),k) = M

Agencijsko polje sadrži

E((E(k,u)&n&a), f)


Ključ Izvorni tekst

Izvorni tekst Šifrirani tekst

(a) Konvencionalna enkripcija


Ključ Izvorni tekst

Izvorni tekst Šifrirani tekst

Založna agencija

Dekripcija Ključ

Založna enkripcija

(b) Založna enkripcija



117

gdje je: n – 30 bitni broj koji identificira jednu enkripcijsku jedinicu

u – 80 bitni enkripcijski ključ za n-tu jedinicu f - 80 bitni enkripcijski ključ za cijelu familiju Clipper chipova k – 80 bitni ključ za enkripciju poruke M a - autentifikator založne agencije Zakonski ovla�teno tijelo će na temelju svojih prava:

1. Prisluškivati komunikaciju. 2. Odrediti da enkripcija koristi Clipper. 3. Dekriptirati E((E(k,u)&n), f) kako bi dobili n. 4. Isporučiti n i kopiju naredbe suda svakoj od agencija. 5. Zaprimiti natrag obje polovice ključa u. 6. Koristiti u za dekripciju E(k,u) kako bi se dobio k, ključ sjednice s kojom je

ova komunikacija (poruka) kriptirana. 7. Dekriptirati komunikaciju (poruku) upotrebom ključa k.

k

M

Početak sa porukom M

k n A

Formiranje LEAF iz ID jedinice (n)

M n,A

u

k f Kriptirano pod:

Prijenosna polja Clipper poruke



118

Snaga kriptografskih algoritama Mjerenje jakosti kriptografskih algoritama je neka vrsta umjetnosti, koja katkada počiva na čvrstim matematičkim osnovama, a drugi puta le�i na intuiciji i iskustvu. Kriptografski algoritmi mogu biti:

Empirijski sigurni Sigurni uz dokaz Bezuvjetno sigurni

Algoritam je empirijski siguran kao je on održiv (nije probijen) u nekom vremenu testiranja. Dokazano sigurni algoritmi mogu ponuditi ono �to daje računarska sigurnost, tj dokazanu sigurnost. Dokazana sigurnost je izražena unutar okvira složene teorije. Neki algoritam je siguran ukoliko je proboj algoritma barem toliko težak kao rješavanje drugog problema za koji se zna da je težak. Bezuvjetno sigurni algoritmi ne mogu biti probijeni od strane napadača čak i uz primjenu neograničenih računarskih resursa. Šifarski tekst je zapravo rezultat od XOR bit operacije između niza bitova čistog teksta i niza bitova ključa. Primatelj provodi XOR nad šifarskim tekstom bit po bit uz isti niz bitova ključa, kako bi dobio izvorni tekst (Vernamov-a šifra).

Šifarski tekst Ključ = Izvorni tekst Ključ Ključ = Izvorni tekst Pažnja ! Šifarski tekst 1 Šifarski tekst 2 = Izvorni tekst 1 Ključ Izvorni tekst 2 Ključ = Izvorni tekst 1 Izvorni tekst 2 Osmi�ljanje dva preklapajuća izvorna tekst i nije te�ki kriptoanalitički problem.



119

UPOTREBA KRIPTIRANJA KROZ PROTOKOLE

Definicija protokola Protokol je uređena sekvenca koraka koju provode dvije ili vi�e strana kao bi izveli određenu zadaću. Dobar protokol ima slijedeća svojstva:

Unaprijed je postavljen. Protokol je potpuno dizajniran prije njegove upotrebe. Međusobno prihvaćen. Sve strane u protokolu su usvojile njegove korake, kako su

dani. Nedvosmislenost. Niti jedna strana ne može krivo provoditi korak jer ga nije

razumjela. Potpunost. Za sve situacije predviđene su aktivnosti koje treba provesti.

Protokoli za distribuciju (uspostavu) ključeva

Protokoli za uzajamno dogovoreni ključ: ključevi koji su uspostavljeni bez pomoći treće strane.

Protokoli za transport ključeva: ključevi koji su generirani i distribuirani od treće strane.

Kada oblikujemo protokol za razmjenu ključeva moramo dakle odgovoriti na dva pitanja:

Koja će strana stradati ako se uspostavi slabi ključ ? Koja strana mo�e kontrolirati izbor ključa ?

Diffie-Hellman protokol Neka je p veliki i adekvatno izabran prosti broj i neka je g element od skupa cijelih prostih brojeva po modulu p. Ta dva cijela broja ne trebaju biti tajni. Protokol između Alice i Boba je slijedeći:

1. Alice izabire slučajni broj a i šalje Bobu ya

ya = ga (ya = ga mod n)

2. Bob izabire slučajni broj b i šalje Alice yb

yb = gb (yb = gb mod n) 3. Alice izračunava K

K = yb

a = gba

4. Bob izračunava K´



120

K´ = ya

b = gab K i K´ su jednaki (gab = gba) i predstavljaju dijeljeni tajni ključ. Ostaje jo� jedan problem. Niti jedna strana nezna sa kime dijeli tajni ključ. Ovdje su Sa i Sb potpisni klučevi od Alice i Bob , sSa i sSb označavaju generirane potpise pod tim ključevima. Koraci u tom protokolu su: 1. A→ B ga 2. B → A gb, eK(sSb(gb,ga)) 3. A →B eK(sSa(ga,gb)) Uspostava simetričnih klučeva

Izmjena simetričkih ključeva bez servera

Izmjena simetričnih ključeva upotrebom servera

Needham-Schroeder protokol

Distribucijski centar

Pavao Rina

(1)Daj mi ključ za komunikaciju sa Rinom

(2) Ovdje je ključ za tebe i kopija za Rinu

(3) Rina distribucijski centar mi je dao ovaj ključ za našu privatnu komunikaciju

Distribucija ključa kroz distribucijski centar (Needham-Schroeder Protokol)



121

Gore navedena komunikacija je opisana slijedećim porukama: (1) - (P,R,Ip) (2) - E(Ip,R,KPR, E(KPR,P),KR)),KP) (3) - E((KPR,P), KR) KR i KP su ključevi komunikacije sa distribucijskim centrom te ga na početku posjeduju korisnici P i R. Gdje je: n - slučajni broj S - simetrični algoritam enkripcije

P A V A O

R I N A

(1) ER(DP(K))

Pavao �alje novi ključ, osigurana tajnost i autentičnost

(2) S(n,K)

Rina �alje kriptirani slučajni broj

(3) S(n+1, K)

Pavao vraća nasljednika od slučajnog broja

Protokol izmjene simetričnog ključa



122

Protokol izmjene asimetričnog ključa preko servera

Digitalni potpisi Digitalni potpis mora zadovoljiti dva primarna uvjeta:

Nekrivotvorljivost. Ako osoba P potpisuje poruku M s potpisom S(P,M), tada je nemoguće za svakoga da proizvede par [M, S(P,M)]

Autentičnost. Ako osoba R primi par [M, S(P,M)] poslan od P, R može kontrolirati da je potpis stvarno od P. Samo P je mogao kreirati ovaj potpis, i potpis je usko vezan na poruku M.

Dodatna dva svojstva su potrebna za transakcije koje se izvr�avaju uz pomoć digitalnih potpisa: Neizmjenjivost. Nakon što je odaslana poruka, M se ne može promijeniti niti od S,

R ili od napadača.

Distribucijski centar

P A V A O

R I NA

(1) Molim daj mi Rinin javni ključ (P,R)

(2) Tu je Rinin

javni ključ DD(ER,R)

(3) Ja sam Pavao, razgovarajmo, ER(P, IP)

(4) Molim daj mi Pavlov javni ključ (R,P)

(5) Tu je Pavlov javni ključ DD(EP, P)

(6) Ovdje Rina, što se događa ? EP(IP, IR)

(7) Uh, ja sam zaboravio, ER(M, IR)



123

Nemogućnost ponovne upotrebljivosti. Prethodno prezentirana poruka će biti trenutno detektirana od R.

Enkripcijski sustavi javnog ključa

D( E(M,-),-) = M = E( D(M,-),-)

R S

M

D:KS

Za autentičnost, nekrivotvorljivost

Dekriptira M

Sprema kopiju za buduće

nesuglasice

D:KS

M

Asimetrični digitalni potpis

S R

D:KS

M

Za autentičnost nekrivitvorljivost

E:KR Za tajnost

Dekripcija (tajnost) M

D:KS

Dekripcija (autentičnost) M

Sačuvaj kopiju za buduće nesuglas.

M

D:KS

Dvostruka enkripcija u asimetričnom digitalnom potpisu



124

SSL (Secure Socket Layer) protokol

Namjena:

SSL je višenamjenski protokol za slanje kriptiranih informacija preko Interneta. To je zapravo sloj dodan između TCP/IP protokola i aplikacijskog sloja.

Dok je zadaća TCP/IP protokola slanje ispravnih anonimnih paketa između klijenta i poslužitelja, SSL dodaje:

autentifikaciju, neporecivost za obje strane putem digitalnih potpisa, povjerljivost i integritet (putem MAC-a) informacija koje se šalju.

Napadi:

Onemogućuje man-in-the-middle napad kada strane u biti ne znaju s kim zapravo

komuniciraju. SSL sadrži zaštitu i protiv replay napada kada napadač snimi poruku između dvije

strane i reemitira ju. Sadr�i čak i podr�ku za kompresiju podataka prije enkripcije.

Glavna primjena SSL-a :

Zaštita komunikacija preko Internet-a gdje osigurava privatnost, autentičnost i

integritet poruka koje se prenose između dvije strane SSL se koristi pri prijenosu osjetljivih informacija ( e-mail poruke, privatne

informacije ), ali i za obavljanje sigurnih transakcija preko Internet-a ( prijenos brojeva kreditnih kartica, elektroničkog novca - elektroničko plaćanje )

SSL sadrži sve što je potrebno za sigurnu razmjenu podataka preko mreže, jednostavan je za uporabu i �iroko je prihvaćen od strane korisnika. HTTP osiguran SSL-om naziva se HTTPS.

SSL certifikat mora sadržavati:

- duljinu potpisa - serijski broj certifikata (jedinstven unutar centralne institucije) - jedinstveno ime (distinguished name) - potpis algoritma (označava koji je algoritam kori�ten) - DNS ime servera - kod Netscapea su dozvoljeni wildcard znakovi dok Verisign i

ostale centralne institucije odbijaju potpisati certifikate sa wildcard znakovima (budući da se tako daju ovlasti bilo kojem računalu u domeni, a individualna računala ne moraju imati te ovlasti)



125

SSL se sastoji od dva protokola:

SSL Handshake (rukovanje) protokol koji omogućuje klijentu i serveru međusobnu identifikaciju te razmjenu parametara za prijenos �ifriranim ključem (algoritam i ključeve), i

SSL Record (zapis) protokol koji obavlja šifriranje i prijenos poruka. SSL Record sloj prima neinterpretirane podatke od viših slojeva u blokovima proizvoljne dužine i njih fragmentira u SSL Plaintext slogove veličine 214 bajtova ili manje.

Svojstva koja zadovoljava SSL protokol:

kriptografska sigurnost - osiguravamo ju pomoću sigurnih algoritama za

kriptiranje interoperabilnost - moguće je komunikacija dvije aplikacije koje imaju različit

način implementacije SSLa proširljivost - dodavanjem dodatnih modula moguće je sačuvati gore navedena

svojstva relativna učinkovitost - ugradnjom jednostavnijih algoritama ne gubi se na

sigurnosti, ali se dobiva na brzini rada i smanjuje se opterećenje poslu�itelja

Postupak prijenosa podataka pomoću SSL-a može se podijeliti u dvije cjeline:

uspostavljanje sigurne veze prijenos podataka

Implementacija:

Postoji više programskih implementacija SSL-a. Ona prva potječe iz Netscapea i bila je

uključena u njegove pretra�ivače. Za tr�i�te SAD-a Netscape je pustio u prodaju referentnu SSL implementaciju u C-u (SSLRef). Kasnije se pojavila nezavisna implementacija SSLeay koja je globalno dostupna, a danas postoji i par implementacija u Javi.

TLS (Transport Layer Security) protokol

TLS je protokol vrlo sličan SSL-u 3.0. sa par razlika u izboru i korištenju enkripcijskih algoritama.

Nasljednik SSL-a, protokol TLS 1.0 ima istu funkciju kao i SSL no postoje sitne razlike između njih. Trenutno TLS 1.0 podr�avaju gotovo svi Internet preglednici, dok verziju TLS 1.1. podržavaju zasad Opera i GnuTLS.

Neke od razlika SSL i TLS protokola su :

numeriranje svih zapisa (record) i korištenje broja sekvence u fizičkoj adresi, fizička adresa mo�e se provjeravati samo s

ključem.



126

TLS protokol sastoji se od dva sloja :

TLS record protokol i TLS Handshake protokol.

Unutar handshake protokola definirana su dva pomoćna protokola:

Alert protokol i Change Cipher Spec protokol.

Record protokol se koristi za enkapsulaciju paketa koji dolaze iz viših slojeva.

Paketi se:

rastavljaju na fragmente i komprimiraju , izračunava se autentifikacijski kod poruke (MAC), enkriptiraju, a rezultat se šalje nižim slojevima.

Na donjoj slici vidljiv je izgled TLS record paketa.

Content type Protocol

version Length Fragment MAC

Kriptirano Handshake protokol se koristi za:

međusobnu autentifikaciju između servera i klijenta dogovor enkripcijske metode te se razmjenjuju kriptografski ključevi.

Sam protokol se sastoji od tri dijela:

Handshake protokol; ovo je glavni dio, koristi se za dogovaranje verzije TLS

protokola između klijenta i servera, za odabiranje algoritma enkripcije te razmjenu ključa. Opcionalno, omogućuje autentifikaciju dviju strana za razmjenu shared secret vrijednosti,

Change cipher spec protokol se sastoji od jedne poruke koju šalju klijent i server, a slu�i za obavje�tavanje druge strane da će slijedeće poruke biti za�tićene kori�tenjem dogovorenih parametara

Alert protokol za obavještavanje druge strane da se veza prekida ili da je došlo do pogreške u radu.

Protokol podržava tri modela autentifikacije:

autentifikacija servera, autentifikacija obiju strana i potpuno anonimna veza.



127

5. ARHITEKTURA SIGURNOSNOG SUSTAVA Namjena uspostave svake arhitekture jest osiguranje konzistentnosti u dizajnu složenih sustava. Tako je i zadatak ispravne sigurnosne arhitekture uspostava konzistentnog sustava sigurnosti složenog informacijskog sustava organizacije. Kroz sigurnosnu arhitekturu uspostavlja se slojeviti pristup čime se pojednostavnjuje slo�enost sustava sigurnosti. Model informacijske sigurnosti Potpuni model sigurnosnog sustava sastoji od tri cjeline:

Organizacijskog sustava Sustava upravljanja Tehnološkog sustava

Ovaj model dan je na slijedećoj slici.

Poslovna strategija i ciljevi Sigurnosni zahtjevi

Sigurnosna strategija i ciljevi Organizacijaska struktura Podjela posla -role Edukacija korisnika

Organizacijski sustav

Upravljanje propisima Upravljanje sredstvima Upravljanje rizikom Upravljanjem tehnologijom

Sustav upravljanja

Ocjena funkcionalnosti Validacija i autentifikacija Kontrola pristupa Integritet podataka Povjerljivost podataka Anti DoS

Zaštitna funkcionalnost (Sigurnosni servisi)

Funkcionalnost detekcije Funkcionalnost odgovora Funkcionalnost oporavaka

Tehnološki sustav

Vrednovanje sigurnosnog sustava

Sigurnosna arhitektura sustava, koji implementira gore navedeni model, sastoji se od nekoliko osnovnih blokova, prikazanih na slici 2.2



128

Slika 2.2 Model sigurnosne arhitekture

Model je podijeljen:

osnova, povjerenje i kontrola.

Osnova proizlazi iz poslovne i sigurnosne strategije. Povjerenje određuje sigurnosne servise i funkcije koje se moraju implementirati kako bi se postiglo povjerenje u informacijski sustav, a kontrola zahtjeva uspostavu sustava upravljanja i nadzora sigurno�ću (ISMS- Information Security Management System). Ovako prikazani model odgovara konceptualnoj razini SABSA modela koji će biti kasnije prikazan.

Osnova sigurnosnog sustava Osnova sigurnosnog sustava određena je:

strategijom (sigurnosnom politikom) organizacije, principima te definiranim sigurnosnim kriterijima i odabranim standardima.

Sigurnosna politika

Sigurnosna politika će: postaviti pravce, dati potpun vodič i demonstrirati potporu uprave te odanost sigurnosnom načinu rada

Povjerenje Kontrola

Sigurnost Raspoloživost

Integritet Kontrolapristupa Oporavak

Tajnost Kontinuiranost

Autentifikacija Postojanost

Neodbacivanje Konzistentnost

Performanse

Fizièki pristup Pristup mreži

Upravljanje

Mjerenje

Monitoriranje i detekcija

Promjene upravljanja

Nadzor

Osnova

Sigurnosna politika Sigurnosna naèela Sigurnosni kriteriji i standardi Izobrazba



129

Ciljevi sigurnosne politike: učinkovito upravljanje i nadzor rizika, definiranje odgovornosti djelatnika za za�titu informatičkih sredstava, postavljanje osnove za stabilne uvjete rada, osiguravanje podudarnosti sa primijenjenim zakonima i propisima, te mogućnost očuvanja, u slučaju zloupotrebe, gubitka, ili neovla�tenog otkrivanja

sredstava sustava. Načela

�to sigurnost znači za organizaciju i kako će ona biti uvedena ?

inherentno povjerljivi korisnici, inherentno nepovjerljivi korisnici.

Kriteriji i standardi Sigurnosni kriterij :

Definiran referentni standard (TCSEC) primijenjen na sigurnosnu komponentu i tehnologiju.

Edukacija

Formalni program edukacije - obavezna komponenta sigurnosne arhitekture.

Povjerenje

Sastav : sigurnosti, raspoloživosti i performansi.

Sigurnost

Komponente: integritet, kontrola pristupa (autorizacija) , tajnost, autentifikacija i neodbacivanje

Integritet



130

Mehanizam kontrole treba omogućiti :

detekciju, ispravak ili obilje�avanje namjerno ili slučajno nedopu�tenih izmjena (podataka,

programa, sklopova).

Kontrola pristupa (autorizacija)

Osnova: identifikacija autentifikacija

Autorizacija (podloga na): vremenskoj ovisnosti, klasifikaciji podataka, ulozi ili funkciji korisnika, sistemskoj adresi, vrsti transakcije, te vrsti zahtijevane usluge.

Tajnost Osnovna metoda kojom se informacija održava tajnom je kroz kriptiranje podataka. Autentifikacija

Jednoznačno identificiranje i verifikacija korisnika, stroja ili aplikacije. Osnova autorizacije i osnovni zahtjev za nadzor i kontrolu pristupa.

Neodbacivanje

Odbacivanje izvora (porijekla) Odbacivanje isporuke (prijema)

Raspoloživost

Kontinuiranost Postojanost Oporavak Konzistentnost

Napad: odbacivanje servisa (DoS).

Performanse

Odgovoriti na zahtjeve u prihvatljivom vremenu ?



131

Kontrola - Upravljanje i nadzor

Nadzor i upravljanje sigurnosnim mehanizmima:

Fizički pristup - kontrola pristupa stvarnim računarskim i mre�nim uređajima. Pristup mreži - kontrola pristupa mreži. Upravljanje - kontrola i nadzor sigurnosnih mehanizama. Mjerenje - utjecaj sigurnosnih mehanizama na rad sustava i mogućnost detekcije

neuobičajenih događaja. Monitoriranje i detekcija - mogućnost detekcije kompromitirajućih učinaka i

situacija. Promjene upravljanja - upravljanje izmjenama sigurnosnih mehanizama. Nadzor - evidencija (zapis) svih raspoloživih informacija za pregled sigurnosnih

događaja.

Sigurnosni kriteriji (odabir tehnologija)

Određivanje i definicija zahtjeva (svojstava) sigurnosne okoline. Vrednovanje sigurnosnih komponenti i primijenjene tehnologije. US DoD i NTSC (TCSEC), ECMA, X/Open,..) C2 (TCSEC)– minimum za IS

Sigurnosni standardi

Pomoć kod određivanja sigurnosne arhitekture.

Principi

Opći principi sigurnosti - General Accepted System Security Principles (GSSP) definirani su i prihvaćeni od strane Information Systems Security Association (17 principa)

Sigurnosna politika

Ne postoje posebni standardi . Pomoć:

Orange Book: Trusted Computer System Evaluation Criteria Red Book: Trusted Network Interpretation Green Book: Password Management Guide Blue Book: Personal Computer Security Considerations Brown Book: Trusted DBMS Interpretation Yellow Book: Trusted Environment Interpretation

Definicije



132

Standard sigurnosne arhitekture ISO/IEC 7498-2, Information Technology-Open Systems Interconnection-Basic Reference Model- Part2: Security Architecture (poznat kao ITU-T preporuke X.800)

Fizička sigurnost

Jedini standard koji postoji je National Communication Security 5100A (NACSIM 5100A) za Vladu USA, a naziva se Tempest standard.

Upravljanje sa sigurno�ću

Inačica 2 SNMP (Simple Network Management Protocol) standarda uključuje RFC 1351: Administracijski model; RFC 1352: Sigurnosne protokole; i RFC 1353: Definiciju objekata za upravljanje za potrebu administriranja SNMP dijelova..

Monitoriranje i detekcija

OSI standard, ISO/IEC 10164-7 (X.736), Security Alarm Reporting Function, daje 14 tipova alarma te njihov vjerojatni uzrok.

Nadzor

DCE RFC 29.0 prikazuje specifikacije za implementaciju podsustava nadzora u DCE uvjetima.

ISO/IEC 10164-8 (X.740), Security Audit Trail Function, koji definira slog zapisa i klasu događaja koji generiraju slog zapisa.

Autentifikacija

ISO/IEC 9594-8 (X.509), Directory Autentification Framework. X.811 standard Kontrola pristupa

ISO/IEC 10181-3 (X.812), Access Control –kontrola u distribuiranim sustavima Tajnost

ISO/IEC 10181-5 (X.814), Confidentiality Framework Neodbacivanje

ISO/IEC 10181-4 (X.813), Nonrepudation Framework - u distribuiranim uvjetima. Akreditacija

(FIPS PUBS #102) - program za certifikaciju i akreditaciju sigurnosnog sustava. Vodič

Dokumetirani opis procesa i procedura koje primjenjuju načela, politiku i standarde na stavrne sigurnosne mehanizme.



133

SIGURNOSNE POLITIKE ORGANIZACIJE

Namjena:

Povlašteni korisnici Korisnici Vlasnici Uravnoteženje mogućih konflikata

Svojstva (Atributi)

Svrha Za�tićena sredstva Zaštita Pokrivenost Postojanost (trajnost) Realnost Koristnost

Donošenje sigurnosne politike

Skup vi�e pojedinačnih politika koje se odnose na pojedina područja.

Da li je sigurnosna politika potrebna ? zavisnost od informacija koje vode poslovanje, Inetrnet je područje koje unosi veliku pa�nju Radni okvir sigurnosne politike

Naredbe (iskazi) politike Svrha Djelokrug Podudarnost sa politikom - Penali/Posljedice

Osnovni sigurnosni elementi

Identifikacija Autentifikacija Autorizacija Zaporke Informacijski integritet



134

Politika odnosa prema podatcima

Klasifikacija podataka Čuvar podataka (vlasni�tvo) Nadzornik podataka (upravljanje) Integritet podataka

Politika u odnosu na osobno korištenje

Osobno korištenje Korištenje informacijskog sustava Privatnost

Politika upravljanja sigurno�ću sustava

Odgovornosti rukovodstva Upravljanje zapisima Sigurnosna administracija Razdvajanje dužnosti Procjena rizika Nadzor podudarnosti sa sigurnosnom politikom Odstupanje od politike Administracija sustava Klasifikacija sustava Kontinuitet poslovanja

.

Mrežne politike

Vanjski pristup mreži Udaljeni pristup mreži Privatnost komunikacija

Politike za korisnike

Briga korisnika Korisnička odgovornost

Programske politike

Prava kopiranja Zaštita od virusa

Ostale politike

Razvoj aplikacija Vanjske obrade Fizička sigurnost



135

Korištenje standarda

Proces kreiranja politika

Odgovornosti Priručnik o sigurnosnoj politici Briga o sigurnosti i izobrazba Proces implementacije sigurnosne politike

Primjeri sigurnosne politike Politika organizacije

Sigurnosne razine zaštite sredstava:

Sigurnosna razina 1 (SL1) nije izgrađena za za�titu bilo kojeg specifičnog sredstva ili da osigura bilo koju razinu zaštite poslovnim uslugama organizacije.

Sigurnosna razina 2 (SL2) izrađena je za za�titu regularnih sredstava i za osiguranje normalne za�tite od prijetnji koje dovode do o�tećenja koja dovode do privremenih posljedica na poslovanje organizacije.

Sigurnosna razina 3 (SL3) dizajnirana je za zaštitu važnih sredstava i za osiguranje visoke zaštite od prijetnji koje mogu dovesti do ozbiljnih o�tećenja ili da imaju ozbiljne posljedice na poslovanje organizacije.

Sigurnosna razina 4 (SL4) dizajnirana je da za�titi kritična sredstva i da osigura vrlo jaku za�titu od prijetnji koje mogu dovesti do vrlo ozbiljnog o�tećenja ili do nepopravljivih posljedica za poslovanje organizacije.

U.S. odjel za energetiku (DOE)

Izvod iz politike za zaštitu klasificiranog materijala:

Politika je DOE da klasificirana informacija kao i klasificirani AOP sustavi trebaju biti za�tićeni od neovla�tenog pristupa (uključujući provođenje treba-znati zaštita), promjena, izlaganja, uni�tenja, uplitanja sprečavanja servisa, subverzije sigurnosnih mjera, te nepravilnog korištenja kao rezultat špijunaže, kriminala, zle namjere, nemarnosti, uvredljivosti ili druge nepodesne akcije. DOE će koristiti sve razumne mjere da za�titi AOP sustave koji obrađuju, pohranjuju, prenose ili osiguravaju pristup klasificiranoj informaciji, �to uključuje, a nije ograničeno na, fizičku sigurnost, sigurnost osoba, sigurnost telekomunikacija, administrativnu sigurnost, te sklopovske i programske mjere sigurnosti. Takav tok postavlja ovu politiku te definira odgovornost za razvoj, implementaciju i periodičko vrednovanje DOE programa.

Internet

Politika sadrži :



136

Korisnici su individualno odgovorni za razumijevanje i respektiranje sigurnosnih politika sustava (računala i mre�a) koje oni koriste.

Korisnici su odgovorni da primjenjuju raspoložive sigurnosne mehanizme i procedure za za�titu njihovih vlastitih podataka. Oni su također odgovorni pripomoći za�titi sustava koje oni koriste.

Isporučioci računalnih i mre�nih usluga su odgovorni za odr�avanje sigurnosti sustava sa kojim rade. Oni su dalje odgovorni za obavještavanje korisnika o njihovoj sigurnosnoj politici i svim promjenama na nju.

Ponuđači i projektanti su odgovorni za osiguranje sustava koji su moderni te sadrže adekvatne sigurnosne kontrole.

Korisnici, isporučioci usluga, ponuđači sklopovske i programske podr�ke su odgovorni za međusobnu suradnju kako bi osigurali sigurnost.

Na tehničko pobolj�anje sigurnosnih protokola na Internetu treba gledati na kontinuiranoj osnovi. U isto vrijeme, osoblje koje razvija nove protokole, sklopove i programe za Internet treba uključiti razradu sigurnosti kao dio procesa dizajna i razvoja.

SABSA - model sigurnosne arhitekture Ovaj model predstavlja praktičnu podlogu za realizaciju sigurnosne arhitekture organizacije koja se koristi informacijskom tehnologijom. SABSA model sastoji se od šest razina kako je prikazano na slici 1.

Poslovni pogled Kontekstualna sigurnosna arhitektura

Pogled arhitekta Konceptualna sigurnosna arhitektura

Pogled dizajnera Logička sigurnosna arhitektura

Pogled graditelja Fizička sigurnosna arhitektura

Pogled trgovca Komponentna sigurnosna arhitektura

Pogled operativnog menadžera Operativna sigurnosna arhitektura

Slika 1. SABSA model sigurnosne arhitekture

Kontekstualna razina mora dati puno razumijevanje poslovnih zahtjeva na sigurnost informacijskog sustava, tj. �to, za�to, kako, tko, gdje i kada će se koristiti informacijski sustav. Odgovori na ta pitanja se dobivaju kroz poslovni pogled. To je opis poslovnog konteksta u kojem je potrebno projektirati, izgraditi i koristiti sigurnosne sustave. Pogled arhitekta predstavlja sveukupni koncept kroz koji se mogu realizirati poslovni zahtjevi na sigurnost. Ova razina arhitekture se naziva konceptualna razina jer ona definira principe i fundamentalne koncepte koji usmjeravaju selekciju i organizaciju logičkih i fizičkih elementa na nižim razinama SABSA modela.



137

Pogled dizajnera se odnosi na preuzimanje konceptualne arhitekture i kreiranje logičke arhitekture. Ova arhitektura pokazuje na glavne elemente u obliku sigurnosnih servisa te pokazuje na logički tok upravljanja i na njihove odnose. Ovaj pogled modelira poslovanje kao sustav s njegovim komponentama koje predstavljaju podsustave. Pogled graditelja odnosi se na preuzimanje logičke arhitekture, koji logičke opise i sheme pretvara u tehnološki model koji se koristi za izgradnju sigurnosnog sustava koji se naziva fizička sigurnosna arhitektura. Pogled trgovca odnosi se na osiguranje određenih vje�tina i komponenti nu�nih za izgradnju sigurnosnog sustava, a koje se odnose na programske i sklopovske komponente za potrebne usluge koje trebaju zadovoljiti određene specifikacije i standarde. Pogled operativnog menad�era odnosi se na operacije sigurnosnog sustava, njegove različite servise, održavanje dobrog rada sustava te njegovog nadzora kako bi se postigle željene performanse i postavljeni sigurnosni zahtjevi.



138

6. POSTUPCI DIGITALNE IDENTIFIKACIJE I AUTENTIFIKACIJE IDENTIFIKACIJA Identifikacija je osnova za sve aspekte sigurnosti. Svi korisnici, bilo to informacijska sredstva ili korisnici IS-a moraju imati jedinstveni identifikator. Identifikacija unutar tvrtke Vrsta identifikacije koju koristi tvrtka uvjetuje sve ostale sigurnosne procese. U globalnoj tvrtki postoji određen broj stvari na koje se treba osvrnuti. Zbog velikog broja stavaka za primjenu identifikatora uvodi se pojam upravljanja imenima. Jednoznačnost Identifikatori moraju biti jednoznačni kako bi se korisnik mogao pozitivno identificirati. Univerzalnost

Ista vrsta (tip) identifikatora treba biti raspoloživa za sve korisnike – pojedince, sustave, ili programe – sve što zahtjeva pristup informacijama.

Provjerljivost (verifikacija)

Treba postojati jednostavan i standardiziran postupak provjere identifikatora radi jednostavnosti arhitekture standardnog sučelja .

. Nekrivotvorljivost

Identifikator mora biti te�ak za krivotvorenje kako bi se spriječilo krivo predstavljanje Prenosivost (Transportabilnost) Identifikator mora biti prenosiv sa lokacije na lokaciju sa kojih korisnik treba pristup. Lakoća kori�tenja Identifikator mora biti jednostavan za korištenje u svim transakcijama koje ga zahtijevaju. .

Izdavanje identifikatora Privatno izdavanje Privatno izdavanje identifikatora daje organizaciji najvišu razinu kontrole. Javno izdavanje Javno izdavanje zahtjeva razinu povjerenja u organizaciju koja izdaje identifikaciju.



139

Područje upotrebe

Područje upotrebe pokazuje kako �iroko će se koristiti identifikator, a prema tome koliko �iroko će on biti prihvaćen.

Usko područje

Usko područje kori�tenja identifikatora općenito daje vi�e kontrole lokalnom administriranju sustava.

Veliko područje

Veliko područje smanjuje broj potreba za identifikacijom i autentifikacijom. Koncept jedne prijave (single-sign-on SSO) se zaniva na području koje uključuje sve �to bi korisnik mogao trebati.

Administriranje identifikatora

Administriranje identifikatora uključuje kreiranje i opoziv identifikatora, proces distribucije identifikatora, te integraciju identifikatora u autentifikaciju, autorizaciju i administraciju sustava.

Centralizirana administracija Distribuirana administracija Mogućnosti implementacije Identifikacija mora biti raspoloživa svim pristupnim metodama. Standardi imenovanja (označavanja) identifikatora

Standardi imenovanja su izgrađeni na X.500, OSI standardu za usluge imenika (directory service: Active directory, LDAP).

Smart kartice

Smart kartice se mogu koristiti kako za fizičku identifikaciju tako i za elektroničku (digitalnu) identifikaciju

Fizička identifikacija se zahtjeva kako bi se osigurala fizička sigurnost. Elektronička (digitalna) identifikacija se koristi za svaki elektronički pristup.

Infrastruktura javnog ključa (PKI) Infrastruktura javnog ključa (PKI) je sustav koji koristi certifikate koji su zasnovani na kriptografiji javnog ključa za autentifikaciju identifikatora.

Greške identiteta Gre�ke identiteta dolaze od konfuzije identifikatora za dva različita pojedinca. To mo�e biti da identifikatori nisu jedinstveni ili zbog nepa�nje od strane ljudi koji ih uspoređuju.



140

Upute (vodič) za izbor identifikatora (Check list)

Odrediti �to će se koristiti za identifikatore Odlučiti tko će izdavati identifikatore Postaviti zahtjeve neophodne za izdavanje identifikatora Odrediti zahtjeve na identifikaciju za svaku klasu transakcija Odrediti kako će se identifikacija administrirati Izlistati zahtjeve za izdavanje. Odrediti razloge za opoziv. Odlučiti kako će se informacija o identifikatorima implementirati i koristiti

AUTENTIFIKACIJA Autentifikacija je postupak verifikacije identiteta korisnika. Korisnici uključuju pojedine osobe, računalne uređaje i sredstva.

Aautentifikacijska funkcija F : F (autentifikacijska informacija) = očekivani rezultat

Faktori autentifikacije Faktori koji se mogu koristiti za autentifikaciju identiteta nekog entiteta su oni faktori koji su jedinstveni za taj specifični entitet. Osnovni faktori

Nešto što znate – dijeljena tajna, lozinka, nešto što korisnik i autentifikator znaju. Nešto što imate – fizički ID (npr. identifikacijska kartica, token, smart kartica) Nešto što jeste – mjerljiva svojstva (otisak prsta, facijalne karakteristike, boja glasa..)

Implicitni faktori

Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa entitetom.

Fizička lokacija Logička lokacija.

Višestruki faktori Općenito kori�tenje vi�e faktora u autentifikaciji transakcija daje jaču autentifikaciju..

Modeli autentifikacije



141

Autentifikacija je verifikacija identiteta kako bi se spriječila impersonalizacija (krivo predstavljanje), te kako bi se osigurala razina povjerenja koja je nužna za korištenje ovlaštenja (autorizacija). Vrsta zahtijevane autentifikacije zavisit će od kvalitete identifikatora, pristupne metode, i zahtijevanih ovlaštenja (privilegija). Višestruka autentifikacija

U modelu višestruke autentifikacije svaka aplikacija ima potpun kontrolu korištenog identifikatora za entitet i metode za autentifikaciju.

Jednostruka autentifikacija (SSO) Jednostruka autentifikacija po sjednici, single sign-on (SSO), velika je prednost za korisnike. Višerazinska autentifikacija

Vi�erazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje ovise o metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.

OPCIJE AUTENTIFIKACIJE Razina i vrsta autentifikacije zavisi od vrste identifikatora, pristupne metode, zahtijevane autorizacije, te područja koje je pokriveno autentifikacijom.

I Dvo-strana autentifikacija Dvo-strana autentifikacija može imati jedno-smjernu i dvo-smjernu shemu. Autentifikacijska informacija mo�e biti ili statička (napr. fiksna lozinka) ili dinamička (npr. one-time lozinka OTP) Lozinke

Ponovljive lozinke su najraširenija metoda za autetifikaciju danas (PAP).

One-time Pasword (OTP)-lozinke za jednu upotrebu je strategija korištenja lozinke samo jednom, pa i ako je ona uhvaćena , ona se ponovo ne koristi.

Lozinke Pobude-Odziva (CHAP) su druga metoda kojom se rješava problem

njuškanja lozinki po mreži.

Pobuda /odziv (CHAP)



142

Shema autentifikacije pobuda/odziv je shema zasnovana na lozinkama u kojoj server postavlja pitanje korisniku - to znači postavlja izazov(pobudu)- a korisnik mora odgovoriti na odgovarajući način ili autetifikacija zavr�ava u gre�ci.

OTP lozinke

Lozinka je valjana samo za jednu sjednicu autentifikacije-ne prije i ne poslije (S/KEY).

Token kartica

Uređaj koji donosi lozinke. Token kartica generira različiti niz od osam znakova svaki puta kada se upotrijebi, pa je ona specijalni slučaj OTP sheme. (SecureID, od RSA Security )

Smart kartice

Naziv smart kartica opisuje komplet malog, veličine kreditne kartice, elektroničkog uređaja koji se koristi za pohranu podataka i identifikaciju. Osnovne karakteristike pametnih kartica

Podjela prema tehnologiji za pohranu podataka Magnetske kartice Kapacitivne kartice Optičke kartice Poluvodičke tehnologije

o Memorijske kartice o Procesorske kartice

Podjela prema načinu uspostavljanja komunikacije za memorijske i procesorske kartice

Kontaktno sučelje



143

Beskontaktno sučelje Kartice s dva sučelja

Svrha pametnih kartica

Ručni uređaji za autentifikaciju (HHAD)

HHAD su prenosivi uređaji, obično u veličini kreditnih kartica, koji imaju lokalno

spremište podataka i mogučnost računanja.

Kartice zasnovane na sekvenci. Kartice zasnovane na vremenu Kartice zasnovane na certifikatima

Biometrijska autentifikacija Biometrička autentifikacija koristi jedinstvenost izvjesnih fizičkih svojstava i karakteristika pojedinaca, kao što su otisci prstiju, slika rožnice oka, uzorak glasa ili facijalne karakteristike. Ta fizička svojstva ili karakteristike mogu se reprezentirati digitalno kao biometrični podatak ili biometrika. Osnove biometrike

Kako se ispituju biometrijski uzorci koji su povezani s ljudima ? Kako je taj uzorak spremljen ? Što čini podudarnost između prezentirane biometrike - "ponuđenog uzorka" i

upisanog predloška ? Važna sovstva:

o Veličina pogre�nog prihvaćanja (FAR - false acceptance rate) , dio pogre�no prihvaćenih podudarnosti za ne upisane osobe i

o Veličina pogre�nog odbacivanja (FRR - false rejection rate), dio pogre�no odbačenih podudarnosti za legalno upisane osobe

Otisci prstiju



144

Digital Persona U.are.U Pro fingerprint scanner.Fingerprint scanners can be attached to USB ports as an external peripheral or they can be embedded within devices.

Skaniranje dužice oka (Iris scan)

PPP AUTENTIFIKACIJA PPP protokol (Point-to-Point Protocol) osigurava standardnu metodu za enkapsulaciju informacije mre�nog protokola na linijama od točke-do-točke. Da bi se uspostavila veza preko komunikacijske linije, svaki kraj linije mora prvo razmijeniti Link Control Protocol (LCP) pakete kako bi dogovorio konfiguraciju veze koja se �eli uspostaviti. On uključuje i protokol autentifikacije.

PAP

PAP, Pasword Autetification Protocol (RFC 1334), osigurava jednostavnu metodu za korisnika za uspostavu njegova identiteta koristeći dvosmjernu razmjenu, kako je pokazano na slici 5.1.



145

Slika 5.1 Dvo-smjerna PAP razmjena

CHAP

CHAP, Challenge Handshake Autetification Protocol (RFC 1994) je tro-smjerna razmjena koja se koristi da se verificira korisnika na PPP vezi (vidi sliku 5.2).

Slika 5.2 Tro-smjerna CHAP razmjena EAP

Proširivi autetifikacijski protokol (Extensible Authetification Protocol –EAP) (RFC 2284) je općeniti autetifikacijski protokol koji podr�ava vi�estruke autetifikacijske mehanizme.

Autentifikacijska razmjena je pokazana na slici 5.3.



146

Slika 5.3 Tro-smjerna EAP razmjena

RADIUS

Sa RADIUS-om (Remote Access Dial In user Service – RFC2138) autentificiraju se udaljeni korisnici, koji se spajaju preko biranih linija.

Tipična RADIUS autetifikacijska sjednica u dial-in uvjetima radi kako je dano na slici 5.4



147

S/KEY i OTP

Ideja je da korisnik i uslu�no mjesto svako konstruira dugu listu OTP lozinki, svaka slijedeća proizašla je iz predhodne.

S – inicijalna lozinka plus dodatak (salt) H – hash funkcija (MD4 ili MD5) xi – elemet u listi lozinki N – broj ulaza u listi i = 1, .., N x1 = H(S) x2 = H(H(S)) = H(H(x1)) xi = H(xi – 1)

II Autentifikacija kroz povjerljivu treću stranu

Kerberos

Kerberos je mre�ni autentifikacijski sustav (RFC 1510) koji omogućuje verifikaciju identiteta entiteta u otvorenoj i neza�tićenoj mre�i koji koristi treću povjerljivu stranu (opisan kasnije u mrežnoj sigurnosti).

X.509 PKI infrastruktura

PKI infrastruktura specificirana je od strane ITU (International Telecomunication Union kroz X.509 standard (ITU97) (prije CCITT X.509), te definira okvir za provođenje autetifikacije kroz mre�u kori�tenjem kriptografije javnog ključa.

.

Slika 5.7 X.509 certifikacijska hierarhija



148

PGP (Pretty Good Privacy) povjerljivi model

PGP (Zimmerman 1995) je familija softwarea koji je razvio Philip R. Zimmerman za za�titu i sigurnost elektroničke po�te, kroz enkripciju njenog sadr�aja i autentificiranje njenog pošiljaoca.

Slika 5.8 PGP mreža povjerenja

III Autentifikacija u VPN-u Uloga autentifikacije u VPN-u je da se verificira identitet strana uključenih u uspostavu VPN tunela. Autetifikacija između prospojnika Autentifikacija klijent-prospojnik

Slika 5.9 Autentifikacija u VPN-u



149

Upravljanje autentifikacijom Upravljane autentifikacijom treba biti jednostavno i integrirano u upravljanje identifikatorima. Autentifikacijski server Autentifikacijski server je sustav koji kontrolira autentifikaciju za potrebe IS tvrtke. On sadr�i centralni repozitorij identifikatora, te odgovarajućih autentifikacijskih metoda za svaki identifikator koje su zasnovane na pristupnoj metodi i zahtijevanim ovlaštenjima. Narušavanje autentifikacije Autentifikacija zahtjeva da entitet koji se autentificira šalje potvrde (vjerodajnice) entitetu koji provodi autentifikaciju. Direktni napadi

Direktni napadi su direktni napadi na sam proces autentifikacije.

Pogađanje je postupak pogađanja autentifikacijskih tokena sve dok se ne pogodi jedan ispravan.

Razbijanje (cracking) je proces stvarnog izračunavanja lozinki. Ipak treba reći, da je termin "cracking" često kori�ten kada je to ustvari pogađanje lozinki.

Indirektni napadi Njuškanje je proces prisluškivanja dok se sam identitet autentificira, te prihvat

autentifikacijske informacije. Dohvat i odgovor je proces dohvata autentifikacijske komunikacije i odgovor na

nju, tako da autentifikator misli da se entitet reautentificira. Otimanje sjednica (Session Hijacking) je krađa sjednice nakon što je provedena

autentifikacija.

Socijalni (društveni) napadi Napadi na pojedince u pokušaju da oni obznane token za autorizaciju. Socijalni inženjering je proces uvjeravanja nekoga da je sigurno otkriti željenu

informaciju. Istraživanje je proces otkrivanja korisničke pozadine kako bi se skupilo dovoljno

osobnih informacija koje bi omogućile određivanje vjerojatnih tokena. Pretraživanje je proces fizičkog pretra�ivanja za tokene koji pripadaju

korisnicima. Prisluškivanje je proces promatranja korisnika koji unosi token.

Upute (vodič) za izbor i primjenu autetifikacije (Check list)

Odrediti odgovarajuće metode za autentifikaciju unutar tvrtke



150

Standardizirati autentifikacjske postupke kroz cijelu tvrtku Zahtjevanu autetifikaciju treba zasnovati na:

o Pristupnoj metodi o Zahtijevanoj informaciji o Zahtijevanom ovlaštenju



151

PKI – infrastruktura javnog ključa (PUBLIC KEY INFRASTRUCTURE) PKI ima tri osnovna procesa:

cerifikaciju, validaciju, i opozivanje certifikata.

PKI arhitektura

Slika 5.10 PKI arhitektura Certifikacija Certifikacija objedinuje korisnički identitet sa njegovom relevantnom informacijom (ponekad se informacija ne odnosi na identitet nego i na druge atribute korisničkog entitetea). Da bi osigurao autentičnost i integritet takvog objedinjenja, CA potpisuje dokumenat sa svojim privatnim ključem. U toku certifikacije događa se nekoliko koraka:



152

CA mora verificirati da je informacija koja treba biti sadržana u digitalnom certifikatu autentična i točna.

Generiranje parova ključeva. Korisnički javni ključ mora biti uključen u certifikat. Često korisnik sam generira par ključeva te �alje samo svoj javni ključ CA-u.

CA potpisuje certifikat sa privatnim ključem. To proizvodi dvije stvari: certifikat je potvrđen od CA, a i integritet certifikata je za�tićen.

Nakon što je digitalni certifikat kreiran i potpisan od CA, korisnik može dobiti certifikat od CA.

Validacija Certifikat mora biti validiran prije nego mu se vjeruje. Validacija certifikata uključuje slijedeće korake: Provjerava se integritet kroz verifikaciju digitalnog potpisa koristeći javni ključ od CA. Provjerava se valjanost intervala digitalnog certifikata. Provjerava se CRL lista od CA kako bi bili sigurni da certifikat nije opozvan. Opoziv certifikata Cerifikat se može opozvati prije njegovog isteka važenja, ukoliko postane neupotrebljiv zbog nečega, npr. kada se otkrije privatni ključ, ili informacija unutar njega vi�e nije valjana. CA opoziva certifikat uključujući ga u listu opozvanih certifikata koja se naziva lista opozvanih certifikata (CRL).. CA čini CRL poznatom objavljivanjem u dobro poznatom repozitoriju. CRL se a�urira periodički.

Modeli povjerenja Izvrsna matematička svojstva kriptografije javnog ključa ne mogu rije�iti problem kako se povjerenje ugrađuje i delegira u PKI infrastrukturi. Neki ljudi imaju viziju jednog globalnog PKI preko cijele kugle. Drugi vide konfederaciju PKI-ova zasnovanih na političkim strukturama kao �to su nacije i građanstvo. Neki drugi preferiraju model u kojem, povjerenje smje�teno u CA je ograničeno za specifične namjene za koje se uspostavlja CA. Model jednog CA povlači jedan PKI za cijeli svijet, gdje svatko koristi jedan CA kako bi dobio i verificirao certifikat. Hijerarhijski model ima jedan root CA koji nastavno delgira povjernje drugim CA-ovima u hierhijaskoj formi. PEM (Privacy Enchanced Mail – RFC 1422) i DNSSEC (Secure Domain Name System – RFC 2065) koriste taj pristup.



153

Distribuirani modeli pretpostavljaju da su svi CA-ovi kreirani jednako. Svaki CA ima svoju vlastitu domenu povjernja i odgovoran je za konfiguriranje svojih vlastitih ključeva u aplikaciju. (PGP).

Problem unakrsne certifikacije (cross certification). Unakrsni certifikat Sigurnosna politika u domenama usklađena i usvojena



154

7. SUSTAVI ZA SIGURNOSNO UPRAVLJANJE I NADZOR TOKOVA PROCESA (WFMS) Obilno kori�tenje WFMS za kritične i strate�ke aplikacije podi�e brigu o prijetnjama sigurnosnim svojstvima kao što su:

Integritet koji sprečava neovla�tene modifikacije informacija. Integritet osigurava ispravnost i adekvatnost sadržaja informacija. Integritet se odnosi i na legitiman uzorak operacija u pristupu podatcima. U radnom toku (WF) nije dozvoljeno mijenjanje ili uništenje podataka od strane neovlaštenih agenata.

Autorizacija je identifikacija od strane sustava različitih funkcija koje korisnik može izvoditi. Pojedino pravo povezano je s ulogom koja izvodi određeni zadatak ili pristupa određenom sredstvu (npr. dokumentu). U radnom toku autorizacija znači da se niti jednom podatku ili sredstvu u bilo koje vrijeme ne može pristupiti bez određene autorizacije agenta koji koristi podatak ili neko drugo sredstvo informacijskog sustava.

Raspoloživost sprečava neovla�teno zadr�avanje neke informacije ili sredstva. Informacijsko sredstvo mora biti raspoloživo unutar specificiranog vremena (sjednice) jednom kada je zatraženo. U radnom toku podatak ili sredstvo mora biti na raspolaganju agentu za legitimnu upotrebu. To znači da radni tok ne mo�e biti zavr�en ukoliko ne postoji raspolo�iv agent za vrijeme izvođenja zadataka.

Općenito, sigurnosni zahtjevi su posebno potrebni u WF-u kada:

WF radi sa povjerljivim i osjetljivim podatcima. se informacija prenosi u ili od skupa agenata postoje posebne autorizacijske procedure za različita sredstva ili informacije koje treba

provoditi u izvođenju WF-a.

Glavnina istraživanja u WFMS-u odnosi se danas na infrastrukturu WFMS-a i na upravljanje transakcijama u izvođenju WF-a. Ovdje ćemo prikazati autorizacijski model (WAM) sa aspekta agenata, događaja i podataka koji izvodi WF na siguran način. Razvit ćemo autorizacijski model upotrebom vi�erazinskog konačnog automata Radni tok (Work Flow -WF) Radni tok može predstaviti kao parcijalno uređen skup zadataka, t1, t2, …. tm. Sigurni WF model Definicija 1. Sigurni WF je računalno podr�ani poslovni proces koji je sposoban nositi se sa sigurnosnim prijetnjama te koji je u stanju zadovoljiti sigurnosne zahtjeve koji su definirani od strane WF modelara. Definicija 2. Sigurni WFMS je sustav za upravljanje WF-a koji može specificirati, upravljati i izvoditi sigurni WF.



155

Opis modela:

T = {t1, t2, …, tm} je skup od m zadataka. E = {e1, e2, …, et} je skup od t događaja. Specijalni događaj estart(workflow) okida

(pokreće) prvi zadatak od WF-a, a drugi specijalni događaj ecomleted(workflow) se generira nakon zadnjeg zadatka WF-a.

A = {a1, a2, …., an} je skup n agenata. TAC = {tac1, tac2, …, tacm} je skup od m privremenih pristupnih kontrola, TAC

specifikacija. D = {d1, d2, …., dp} je skup od p dokumenta. PR = {pr1, pr2, …, prq} je skup od q prava.

Realacije između gore navedenih entiteta su slijedeće:

C : A → T daje skup zadataka nad kojima agent ima mogućnost izvođenja. Pojašnjeno, C(ai) = {ti1, ti2, …, tik} je skup od k zadataka koji se mogu izvesti od strane agenta ai, tj. C(ai) T.

C-1 : A → T daje skup agenata koji imaju mogućnost izvođenja zadatka. Poja�njeno, C-1(ti) = {a1i1, a2, …., an} je skup od k agenata koji mogu izvoditi zadatak ti, tj. C-1(ti) A.

N : T → A je preslikavanje tipa jedan-na-jedan, što daje agenta kojemu je pridružen zadatak za izvođenje. Poja�njeno, N(ti) = ai je agent kojemu je pridru�eno izvođenje zadatka ti, tj. N(ti) A.

P : D → PR daje skup prava koja mogu biti dobivena za dokument. Pojašnjeno, P(di) = {pri1, pri2, …, prik} je skup od k prava koja mogu biti dobivena za document di, tj. P(di) PR.

F : T → TAC je preslikavanje tipa jedan-na-jedan što daje za svaki zadatak tj odgovarajuću TAC specifikaciju, tactj, tj. F(tj) TAC.

G : TAC → D x PR je preslikavanje koje daje skup parova dokument/prava specificiranih u TAC. Pojašnjeno, G(taci) = {(di1, pri1), (di2, pri2), …., (dik, prik)} je skup od k parova dokument/prava koji su navedeni u taci, gdje je j=1,2,…, k prij P(dij).

Treba uočiti da funkcija kompozicije F ◦ G : T → D x PR daje skup pristupa dokumentu koji su potrebni za vrijeme izvođenja određenog zadatka. Glavni razlozi za korištenje višerazinskog automata su:

Različiti aspekti toka autorizacije mogu se modelirati u jednom okviru. Vi�erazinski konačni automat podr�ava konkurentna stanja. Sa aspekta administriranja autorizacijama, administrator sigurnosti može

primijeniti različite sigurnosne servise za uspostavu sigurnosnih svojstava na različitim razinama.

Vi�erazinski automat omogućava analizu, simulaciju i validaciju WFMS sustava prije nego se taj sustav implementira.



156

Vi�erazinski konačni automat za sigurni radni tok (WF)

Autorizacijska funkcija

WF razina Kontrolna razina Razina podataka

Assign(t,a) * GrantT(t,a,se) * RevokeT(t,a,se) * GenerateE(t,a,e) * Grant D(t,a,e) * RevokeD(t,a,e) *

Autorizacijske funkcije

Funkcija 1: Assign (t,a) se koristi kako bi se osiguralo svojstvo autorizacije, gdje sigurni WF model pridružuje zadatak agentu onda i samo onda ako ga agent može izvesti. Funkcija 2: GrantT(t,a,se) osigurava svojstvo integriteta i autorizacije tako da sigurni WF model dodjeljuje zadatak agentu za izvođenje onda i samo onda ako je generiran skup ulaznih događaja (se IE(t) ) , tj. izvođenje zadaka nije započeto dok ne zavr�e zavisni zadatci koji se odnose na relevantnu sjednicu. Funkcija 3: RevokeT(t,a,se) osigurava svojstva integriteta i autorizacije tako da sigurni WF model opoziva zadatak koji je bio pridružen agentu onda i samo onda ukoliko je generiran skup izlaznih događaja (se OE(t)), te ukoliko su povučena sva dodijeljena prava na dokumente u datoj sjednici. Funkcija 4: GenerateE(t,a,e) osigurava svojstvo integriteta i autorizacije tako da agent mo�e generirati događaj (e E) za zadatak onda i samo onda ukoliko je autoriziran u toj sjednici. Funkcija 5: GrantD(t,a,e) osigurava svojstvo integriteta autorizacije tako da sigurni WF model dodijeljuje agentu pravo na pristup dokumnetu za izvođenje onda i samo onda ako je to autorizirano sa zadatkovnim TAC-om u datoj sjednici. Funkcija 6: RevokeD(t,a,e) osigurava svojstvo integriteta i autorizacije tako da sigurni WF model povlači agentu pravo na pristup dokumentu onda i samo onda ako je pravo na pristup dokumentu ili zadatak završio u toj sjednici.



157

Vi�erazinski konačni automat za sigurni radni tok (WF)

Rad modela:

Razina radnog toka (WF)

WF razina uključuje sigurnosna svojstva zadataka, događaja i agenata. Sigurnosni zahtjev koji će osigurati sigurnosno svojstvo raspoloživosti je : Za svaki zadatak mora postojati najmanje jedan agent koji ga može izvršiti.

Invarijantni izraz 1: C-1(t) 0.



158

Sigurnosni zahtjev koji treba osigurati sigurnosno svojstvo integriteta i autorizacije na WF razini je: Agent može izvesti pridruženi zadatak onda i samo onda kao ima dodijeljeno pravo "izvedi". Sigurni WF mora povuči pravo od agenta kada je zadatak zavr�io izvođenje.

Invarijatni izraz 2: Agent a može izvoditi zadatak t onda i samo onda ako je t T , N(t) = a. Kontrolana razina

Tok autorizacije je upravljan sa događajima koje generira svaki zadatak, a kontrolna razina je jezgra sigurnog WF-a. Ona uključuje sigurnosna svojstva događaja i zadataka. Za vrijeme izvođenja zadatka agent generira različite vrste događaja kao �to su događaji za pristup dokumentu. Na primjer : "acquire(d, pr)", "release (d, pr)" ili "process(d, pr) gdje je d D i pr PR. Ovi događaji za pristup dokumentu okidaju razinu podataka koja se treba izvesti.

Razina podataka

Razina podataka ovog modela uključuje sigurnosna svojstva zadataka, agenata i dokumenta. Sigurnosni zahtjev koji treba osigurati sigurnosna svojstva integriteta i autorizacije na razini podataka glasi: Agent mo�e pristupiti dokumentu sa specifičnim pravom onda i samo onda ako je pravo pristupa dokumentu dodijeljeno agentu, koji može pristupiti dokumentu samo za vrijeme izvođenja zadatka. Sigurni WF treba opozvati prava pristupa dokumentu od agenta čim to pravo vi�e nije potrebno. Invarijatni izraz 3: Pravo pristupa dokumentu je dodijeljeno/povučeno za/od agenta za neki zadatak onda i samo onda ako je: t T , N(t) = a i d D, pr PR.

Korištenje Petrijevih mreža Pored gore navedenog rje�enja za WAM moguće je koristiti formalni model za tokove procesa korištenjem Petrijevih mreža (PN).



159

8. SIGURNOST I ZAŠTITA PROGRAMA I OPERACIJSKIH SUSTAVA Greške:

nenamjerne ljudske greške namjerne greške – zloćudni kod

Sve programske gre�ke ne mo�emo izbjeći, iz dva razloga: Kontrola programa se jo� uvijek provodi na razini pojedinačnog programa i

programera. Nepredvidive gre�ke. često puta i programer mo�e neke gre�ke i sakriti.

Drugo, programiranje i programsko inženjerstva se mijenjaju i razvijaju puno brže nego tehnike u računarskoj sigurnosti..

Virusi i drugi zloćudni kod

Virus Tranzietni virus Rezidentni virus

Trojanski konj Logička bomba

Vremenska bomba Vrata upada ili zadnja vrata(back door)

Crv. Zec Kako se virusi priključuju (ve�u) na programe Dodani virusi

Originalni program

Virusni kod Virusni kod

Originalni program

+ =

Virus koji se dodaje na program



160

Virusi koji okružuju program

Virusni kod

Originalni program

Virusni kod Dio (a)

Originalni program

Virusni kod Dio (b)

Fizički Logički

Virus okružuje program



161

Integrirani virusi i zamjene Kako virusi dobivaju kontrolu ? Jednostavnom zamjenom programa T na disku sa virusom V Promjenom pokazivača u tablici datoteka tako da se locira V umjesto T

Originalni program

Virusni kod

Modificirani program

+ =

Virus integriran u program



162

Kvaliteta virusa: težak za detekciju težak za uništenje ili deaktiviranje �iroko područje �irenja mogućnost reinfekcije lakoća kreiranja strojno neovisan (neovisan i od OS-a)



163

Smještaj za viruse (dom):

Boot sektor virusi

Memorijski rezidentni virusi

Ostala domišta za viruse

o Aplikacioni program ( word procesor, tablični kalkulatori, .. Macro virusi

o Biblioteke programa o Kompilatori, loaderi, linkeri, debugeri

Virusni potpisi Akcije:

smještaj izvođenje širenje

(a) Prije infekcije

Bootstrap loader

Inicijalizacija sustava

Boot sektor Drugi sektori

(b) Poslije infekcije

Virus kod

Inicijalizacija sustava

Bootstrap Loader

Boot sektor Drugi sektori



164

Potpis - izdajnički uzorak

Memorijski uzorci Uzorci izvođenja Uzorci prijenosa Polimorfni virusi

Sprečavanje od virusne infekcije Anti-virusni software Napadi virusa koriste (exploit) nedostatak kontrola integriteta informacijskog sustava. Kako bi se obranili moramo sami uključiti te kontrole. Neki od rapolo�ivih za�titnih mehanizama su specifični za viruse, ali oni općenito adresiraju integritet. Strategija obrane treba imati slijedeće komponente:

Prevenciju: zaustavljanje infekcije sustava. Detekciju: detektiranje virusa koji su infektirali sistem. Reakciju: restauriranje sustava do čistog stanja.

Administrativne mjere i briga korisnika su važne za uspješnu zaštitu od virusa. Fizičke i administrativne kontrole Fizičke i administrativne kontrole su izvrstan put za sprečavanje ulasaka virusa u sustav. Neke od tih mjera su iznenađujući jednostavne. Ako ne želite pisanje na flopy disk postavite zaštitu pisanja, pa niti jedan virus neće moći inficirati disketu. Ako operacijski sustav ima kontrolu pristupa, treba je ispravno iskoristiti. Na primjer treba postaviti skup dozvola za pristup datotekama s aplikacijama na mre�nom serveru samo za čitanje i izvođenje. Postaviti sigurnosne mjere na mjesta gdje virusi mogu ući u sustav. Testirati novi software na karantenskim računalima gdje je instaliran anti-virusni software. Testirati sa računom koji ima samo neka moguća prava, kao �to je Gost. Jo� bolje koristiti prospojno računalo (gateway) za izvođenje virusnog scanera , ispitati sve diskete koje ulaze u sustav. Ako je floppy disk čisti, on dobiva oznaku te je tada spreman za kori�tenje unutar organizacije. Ako je oznaka (stiker) na disku, tada je to briga korisnika da detektira neovlašteni disk unutar organizacije. Ako je oznaka elektronička zapisana na disk, tada računalo unutar organizacije može kontrolirati prisutnost oznake i odbaciti neovlašteni disk. Danas su vatrozidovi (firewall) opremljeni virusnim scanerima za pregled virusa koji dolaze s mreže. Treba provoditi regularnu (redovitu) kontrolu i držati anti-virusni software ažurnim. Anti-virusni software treba uključiti u svaku login skriptu korisnika. Sistemski programi mogu automatski provesti kontrolu u unaprijed određeno vrijeme. Na primjer, u Unixu sistemski administrator mo�e reći cron programu da izvede programe za kontrolu integriteta. Ne treba se oslanjati na samo jednu kontrolu, treba koristiti kombinacije kontrola.



165

Treba postojati plan za izvanredne situacije (contigency plan), tj. Kako reagirati na pojavu virusnog incidenta. Često se događa da neadekvatna reakcija mo�e izazvati vi�e �tete nego sam virus. Jasno je , da su čisti back-up-ovi neobično va�ni za restauraciju IS-a nakon virusnog napada. Ipak, nije rijetko da se u vrijeme kad je detektiran virus, da je on već nađen na svim backup-ovima koji se čuvaju. Kriptografska kontrolna suma Kriptografska kontrolna suma je standardna tehnika zaštite integriteta. Kontrolna suma se računa za čistu verziju datoteke koju treba za�titi . Ta se vrijednost sprema na sigurno mjesto, idealno bi bilo u ROM, npr. na CD. Kadgod se ta datoteka koristi trenutno izračunata kontrolna suma datoteke se uspoređuje sa uskladi�tenom vrijedno�ću.(VACINE). Bilo koja promjena u originalu će biti detektirana. Tu je jasno da kontrolor kontrolne sume ne mora znati ništa o virusima kako bi detektirao njihovu prisutnost. On čak �to vi�e detektira i nepoznate viruse (za koje još nisu poznati njihovi potpisi). Generatori kontrolnih suma su ranjivi kad god se treba ponovno izračunati kontrolna suma , npr. kada se mijenja datoteka , ili kada se izgubi kontrolna suma. Zato su oni pogodni za korištenje tamo gdje se u organizaciji koriste standardni, već razvijeni programi, a ne tamo gdje se programi razvijaju. Isto tako kontrolori kontrolne sume ne otkrivaju prisutnost određenog virusa koji je izazvao infekciju, �to ote�ava uspostavu plana daljnjih akcija nakon što je infekcija detektirana. Kada sigurnosni sustav zna kako izgleda objekt koji za�tićuje, on ne mora znati kako izgleda napadač. On treba pregledati izmjene u objektu. Scanneri Scanneri pretražuju datoteke za postojanje uzoraka (virusnih potpisa) koji identificiraju poznati računalni virus. Evidentno je da oni moraju poznavati virus koji detektiraju, pa prema tome oni se moraju kontinuirano ažurirati na postojanje novih virusa. Scanneri su još uvijek najpopularniji anti-virusni software. Oni se mogu koristiti bez ikakve pripreme, dok se kontrolori kontrolne sume mogu koristiti samo nakon što je kontrolna suma generirana, a skaneri mogu reći točno koji se je virus pojavio, kako bi se mogle poduzeti odgovarajuće akcije. Posebno je važno da scanneri raspolažu tehnikama za brzo pretraživanje, kako bi bili djelotvorni. Tako da oni mogu kontrolirati samo početak ili kraj datoteke, pa virusi raspršeni kroz kod mogu proći. Tradicionalno scanneri pretra�uju cijele datoteke kada su u memoriji. Scanneri na pristupu pregledavaju datoteke kada se zahtjeva pristup datoteci. Scanneri se moraju nositi sa činjenicom da se virusi generiraju u laboratoriji često i brzo. Mutacijske mašine generiraju brzo nove verzije virusa. Polimorfni virusi ugrožavaju tehnike prepoznavanja uzoraka, pošto isti virus poprima razne oblike pojavnosti. Jednostavni scanneri bazirani na prepoznavanju uzoraka ne mogu se nositi sa ovim problemima. Makro virusi donose svoj problem., jer su oni pisani u jeziku visoke generacije pa nisu zgodni za pretraživanje uzorka sirovog koda. Stoga napredni scanneri sve vi�e kreću prema prepoznavanju ponašanja, tj. semantičkim svojstvima , umjesto niza bitova koji definiraju uzorak.



166

Konačno tu je i problem pozitivne gre�ke. Datoteka mo�e slučajno sadr�avati virusni potpis , pa će scanner pogre�no alarmirati postojanje virusa. �to vi�e virusnih potpisa scanner ima u bazi to je i veća vjerojatnost za pogre�ni alarm. Kada sigurnosni sustav ne zna kako izgleda objekt koji �titi, budući je on legitimno izmijenjen, on mora znati kako izgleda napadač, ili kako se on pona�a. Jedino tada on mo�e provjeriti njegovu prisutnost. Preporuke Koristiti samo komercijalne programe iz pouzdanih i dobro poznatih dobavljača. Testirati sve nove programe na izoliranim računalima. Napraviti boot disketu i spremiti na sigurno. Napraviti i zadržati kopije sistemskih datoteka za izvođenje. Koristiti skanere virusa redovito. Neke istine i nejasnoće o virusima Virusi mogu inficirati sustave koji nisu PC/MS-DOS/Windows. Virusi mogu modificirati i skrivene datoteke te "read only" datoteke. Virusi se mogu pojaviti u datotekama podataka (CONFIG.SYS i MAKRO) Virusi se mogu širiti i drugim putem osmi disketa (mreže, bulletin boards,..) Virusi ne mogu ostati u memoriji nakon potpunog gašenja i paljenja kod boot-a. Virusi ne mogu inficirati sklopove. Virusi mogu biti dobroćudni

Namjerni ciljani zloćudni kod (specifičan kod)

Vrata upada (trapdoor)

zaboravi ih odstraniti namjerno ih ostavlja zbog testiranja namjerno ih ostavlja zbog održavanja završenih programa namjerno ih ostavlja u programu kao tajni način pristupa programima nakon što su

oni prihvaćeni za produkciju.

Napad komadića (salami attack)

Tajni kanali (covert channels): programi koji ispuštaju informacije -Memorijski (file lock)

- Vremenski (CPU dodjela) Kontrola, zaštita od programskih prijetnji

modularnost, nezavisno testiranje,



167

zatvorenost , enkapsulacija skrivanje informacije upravljanje konfiguracijom dokaz ispravnosti programa, verifikacija pridržavanje standarda, ISO9000 i dr i td.

Kontrole putem operacijskih sustava povjerljivi operacijski sustavi, međusobna za�tita programa, pa se svaki posebno �titi, ograničeni programi, obzirom na pristup sredstvima zapis o pristupima sredstvima i dr. Administrativne procedure standardi za razvoj programa i njihovo provođenje sigurnosni nadzor odvajanje dužnosti ( projektant, programer, operater, ..) i dr.



168

ZAŠTITA I SIGURNOST OPERACIJSKIH SUSTAVA Usklađenost (podudarnost) između fizčkih stanja sustava i autoriziranih stanja modela osigurana je sigurnosnim mehanizmima

Osnovni koncepti operacijskih sustava OS funkcije :

Upravljanje procesima i procesorom. Upravljanje sredstvima. Supervizija.

. OS funkcije orjentirane na podršku sigurnosti:

Korisnička identifikacija/autentifikacija Zaštita memorije Nadzor pristupa sredstvima rač. sustava Kontrola toka informacija Zapisi i nadzor (Auditing)

Aplikacije

Operacijski sustav

Asemblerski stroj

Firmware stroj

Sklopovski stroj

Razine arhitekture računalnog sustava



169

Korisnička identifikacija/autentifikacija Sustavi zasnovani na lozinkama. . Sustavi bazirani na upitu-odgovoru.

- Funkcije polinoma. - Funkcije zasnovane na transformaciji nizova znakova

- Funkcije zasnovane na jednostavnim kriptografskim algoritmima

Sustavi sa dvostrukom autentifikacijom (hand-shaking) Autentifikacioni sustavi bazirani na “onom što je korisnik”

o Sustavi računalnih faksimila. o Sustavi zasnovani na otisku prsta. o Sustavi zasnovani na prepoznavanju glasa.



170

o Sustavi zasnovani na svojstvu rožnice oka

Autentifikacija bazirana na lozinkama Osnovni kriteriji:

Kori�tenje najmanje osam znakova, u općenito dugim lozinkama; Upotreba numeričkih i alfanumeričkih znakova Upotreba velikih i malih slova (ako sustav razlikuje) Upotreba specijalnih znakova tipkovnice (na primjer &, @,%); Spajanje dviju riječi koje ne koreliraju te skraćivanje rezultirajuće riječi na dužinu n-1,

gdje je n odobrena dužina lozike, te tada ubaciti specijalni simbol; Izbor stranih riječi; Upotreba niza znakova tipkovnice koja se lako može spremiti (na primjer, zadnja četri

znaka drugog reda, slova u trećem stupcu tipkovice i td.); Izbor naziva koji se odnose na hobi pojedinca, njihovo spajanje Uvijek izabrati lako zapamtive nazive

Prva riječ Druga riječ Specijalni znak Lozinka town pick _ town_pi felix soon @ felix@soon brain stormy & brain&sto dog hot ! hot!dog Korisnici trebaju:

Izabirati lozinke pridr�avajući se gornjih kriterija Upamtiti svoju lozinku, nikada je ne pisati Nikada ne otkrivati lozinke Mijenjati svoje lozinke često i regularno.

Otkrivanje lozinki

Datoteka lozinki

Mehanizam dodatka (salt)

DES Kriptirana lozinka Dodatak

Dodatak

Lozinka

mailto:felix@soon



171

Zaštita memorije Zahtjevi na zaštitu:

Konkurentni pristupi Zatvorenost (samo za programe)

Sklopovski mehanizmi za zaštitu i nadzor dijeljenja memorije:

Adresa ograde Relokacije Granični registri (baza/granica) Straničenje (paging) Segmentacija

Kriptirana lozinka Dodatak DES

Usporedba

Unesena lozinka od korisnika

Datoteka lozinki

Kriptirana lozinka

Kreiranje i validacija lozinki u UNIX-u



172

Adresa ograde



173

Relokacija za vrijeme kompilacije za vrijeme punjenja programa u memoriju (statička relokacija) za vrijeme izvođenja (dinamička relokacija)

Zaštita upotrebom baznih registara Vrijednosti granica:

1. Registri granica. 2. Registri baza/granica.



174



175

Za�tita područja programa

Dva para registara Arhitekturom oznaka (Tagged architecture).

U nasatvku je dana tablica arhitekture oznaka (tag-ova).

Oznaka

Memorijska riječ

R Podatak RW podatak X Instrukcija RW Podatak X Instrukcija R Podatak X Instrukcija X instrukcija X Instrukcija X Instrukcija X Instrukcija X Instrukcija



176

Dijeljenje memorijskih područja Parovi registara:

za instrukcije - zajedničko područje za podatke – privatna područja

Straničenje (Paging) .

Pn = L DIV Sp Po = L MOD Sp L – logička adresa Sp – veličina stranice



177

Dozvoljene operacije ( prava) na stranici

�samo za čitanje�, �čitanje/pisanje�, �samo za izvođenje�.

Implementacija

zaštitni bitovi u tabeli stranica podržava dijeljenje programa "čisti " kod – samo za čitanje

Problemi dekompozicija programa različitost prava objekata u stranici



178

Segmentacija

Segmenti – logički entiteti

glavni program procedure, funkcije polja i dr.

Dijeljnje programa:

tabela segmenata svakom korisniku zaštitni bitovi u tabeli istovrsnost objekta u stranici "čisti" kod



179

Straničenje nasuprot segmnetiranju Segmentiranje

homogenost zahtjeva – jedinstveni segment snažnije dijeljnje (procedure, funkcije, polja,.)

Straničenje

raznovrsnost objekata - heterogenost Starničenje i segmetiranje

dijeljenje programa "čisti" kod isti modovi pristupa (operacija)



180

Upravljanje i nadzor pristupa sredstvima RS/IS-a Zaštita od neovlaštenog pristupa

Memorijska zaštitta , CPU i dijeljenje programa - sklopovski Ostala sredstva (datoteke, uređaji.) – sklopovski, programski moduli OS-a

Moduli imaju slijedeće zadatke:

kontrola pristupa kontrola toka podataka mehanizni nadzora i revizije

Mehanizmi kotrole pristupa

Identifikacija sredstava Identifikacija procesa operacija nad sredstvima

o CPU: izvođenje o Memorijski segmenti: čitaj/pi�i o Ulazni uređaji: čitaj o Izalazni uređaji: piši o Trake: čitaj/pi�i o Datoteke podataka: kreiraj, otvori, čitaj, pi�i, dodaj, zatvori, izbri�i o Datoteke programa: čitaj/pi�i, izvedi.

Način rada:

Pristupne hierarhije Matrica zaštite ( matrica pristupa).

Pristupne hierarhije

privilegirani modovi o privilegirani i korisnički o hierarhija zaštitnih razina –pristupna domena

gnijezda programskih jedinica

. <U5<<<U1>U2>U3><U4>> (U1 ne može pristupiti objektima U4)

princip minimalnih privilegija



181

Matrica zaštite (Matrica pristupa) A[Si,Oj] Tehnike implementacije Tabela Pristupne liste Liste sposobnosti (Capability Lists) Liste ovlaštenje-stavka (Authority-item lists) Mehanizmi brava-ključ (Lock-key) Matrica zaštite smještena u tabelu Subjekti Objekti Prava S1 O1 A(S1, O1) S2 O2 A(S2, O2) . . . Sk Or A(Sk, Or)



182



183



184

Zaštita datoteka

razina dijeljenja – zahtjev na mehanizme nema dijeljena – nepotrebni mehanizmi kompromis – nadzor dijeljena

o mehanizmi lozinki o prava vlasništva o A-lista svakoj datoteci o kategorije korisnika

vlasnik grupa ostali korisnici

o Polje prava – kategorija korisnika UNIX ( primjer: rwx r-x r--)



185

MEHANIZMI KONTROLE TOKA INFORMACIJA U PROGRAMIMA eksplicitni tokovi

y := f(x1,.,xn),

implicitni tokovi

if f (xm+1, .., xn) then y := f(x1, .., xm). Bell-LaPadula model

o p (ss-property) o po’.( + *-property)

o1 ... om p o’1 ... o’n (višerazinski BLP model) o1 ... om = donja granica o’1 ... o’n = gornja granica Kontrolni mehanizmi za vrijeme izvođenja eksplicitni tokovi

xi y (statička i dinamička veza) x1 ... xn y implicitni tokovi

xi y , (i = m+1, ... , n): x1 ... xm xm+1 ... xn y y := f(x1,.,xn) (eksplicitni tok)

y se pridružuje klasa : x1 ... xn. i vrijedi: x1 ... xn y



186

Za kondicionalne instrukcije oblika

if f (xm+1, .., xn) then y := f(x1, .., xm), novu klasu y računamo x1 ... xm xm+1 ... xn.

Kontrolni mehanizmi u kompilaciji Instrukcije: pridruženja, sekvence, kondicionalne, iteracijske i pozivi procedurama. . Instrukciju pridruženja:

y := f(x1,.,xm), relacija je

x1 ... xm y

To je sigurno ako je savki tok xi y siguran.

Instrukcija sekvence: begin I1; ... In end Sigurna je ako su svi tokovi vezani sa savkom instrukcijom Ii (i =1..n) sigurni.

Za uvjete : if f(x1, ..x.n) then I1 [else I2]

relacija je: x1 ... xm z1 ... zm

To je sigurno ako je izvođenje od I1 i I2 sigurno, ako su eksplicitni tokovi i od I1 i od I2 sigurni, i ako su implicitni tokovi xi zj , i = 1..n, j = 1.. m sigurni (zj (j = 1..m) je varijabla cilja za tokove I1 (ili I2).

Za iteraciju:

while f(x1, ..x.n) do I1

definirana je slijedeća relacija:



187

x1 ... xm z1 ... zm

To je sigurno ako ciklus završi, ako je I1 sigurno i ako su implicitni tokovi xi zj sigurni (gdje su zj varijable cilja za tok u I1).

Instrukcija poziva procedure : procedure-name (a1, ...am, b1, ..., bn),

za procedure oblika: procedur procedure-name (x1, .., xm; var y1, ..., yn) ; var z1, ..., zp; * local variables * begin procedure body end;

gdje su x1, ..., xm formalni ulazni parametri, y1, ..., yn su formalni ulazno/izlazni parametri, dok su a1, ..., am i b1, ..., bn su odgovarajući ulazno/izalazni stavrni parametri. Poziv proceduri je siguran ako je procedura sigurna i ako vrijede slijedeće ralacije:

ai bj if xi yj 1 i m i 1 j n bi bj if yi yj 1 i m i 1 j n

Poziv proceduri je siguran ako je ‘procedure-name� sigurna, a to znači: ako je svaki tok ai bj ovla�ten ( i odgovarajući xi yi ovlašten) i ako je svaki tok bi bj ovla�ten ( i odgovarajući yi yj ovlašten).

Sustav dedukcije

program procedure instrukcije

Ispravnost programa:

varijable v koj odražava stanje informacije na početku i na kraju procedure, i programa

Izolacija Metoda višestrukog prostora eksploatira virtualnu glavnu memoriju za svakog

korisnika sustava



188



189

Metoda virtualnog stroja



190

IZGRADNJA SIGURNIH OPERACIJSKIH SUSTAVA

Rješenje zasnovano na sigurnosnoj jezgri Sigurnosna jezgra mora zadovoljiti slijedeća svojstva:

Potpunost: Izvodeći sve pristupe informacijama sustava; Izolacija: Jezgra mora biti za�tićena od probijanja. Verificiranost: Kod sigurnosne jezgre mora se verificirati kako bi se dokazalo da

on implementira sigurnosne zahtjeve i politike koje su opisane u sigurnosnom modelu.



191

Sigurnosna jezgra podr�ava i nadzire slijedeće funkcije: Multiprocesiranje. Preklapanje domena izvođenja.

- jezgra, - supervizor,

- korisnik Zaštita memorije.. U/I operacije Prednosti : Izolacija i separacija. Sigurnosni mehanizmi su odvojeni od OS-a i od korisničkog

prostora; za�tita od korisničkog/sistemskog upada je veća; Smanjena veličina i verifikacija. Jezgra je mala, koja je odgovorna samo za sigurnosne

funkcije, pa se stoga može formalno verificirati. Izmjenjivost. Moguće izmjene sigurnosnih mehanizama su lagane za implemnetaciju i

testiranje. Potpuni nadzor. Svi pristupi se provode pod kontrolom sigurnosne jezgre.



192

9. STANDARDI I KRITERIJI VREDNOVANJA SIGURNOSTI I POVJERLJIVOSTI SUSTAVA

Inicijative u USA. US DoD je promovirao DoD Computer Security Initiative u 1977, a koja je objavljena 1978.

o Natianal Bureau of Standards (NBS danas NIST- National Institute of Standards and Technology). kriptografske standarde (DES, 1977. ANSI) proces razvoja i vrednovanja sigurnosnih sutava

o U 1979, Mitre Corporation je povjereno produkcija inicijalnog skupa kriterija za vrednovanje sigurnosti sustava koji rade sa klasificiranim podacima.

o U 1981 Computer Security Center (CSC) je osnovan unutar National Security Agency (NSA). Cilj je bio da se podrži iniciajtiva DoD Computer Security Initiative.

o U kolovozu 1985, NCSC (National Computer Security Center) je osnovan, koji je skuupio CSC i sve US federalne agencije. Centar je formiran sa slijedećim osnovnim ciljevima:

Osigurati tehničku podr�ku vladinim agencijama postaviti reference(upute)

za korištenje klasificiranih podataka; Definirati skup kriterija za vrednovanje sigurnosti računalnih sustava, te za

ocjenu raspoloživih sigurnosnih produkata; Podržati i provoditi istra�ivanja u području sigurnosti, te također u

području distribuiranih sustava; Potpomagati raspoloživost sigurnosnih sustava; Razvijati alate za verifikaciju i testiranje u certifikaciji danih sigurnosnih

sustava; Općenito, �iriti osjetljivost i sigurnosnu kulturu kao u vladinim agencijama

tako i u privatnim tvrtkama.

Dobro poznati rezultat NCSC-a je “Trusted Computer System Evaluation Criteria “ (TCSEC) dokument , poznat pod nazivom Orange Book (Depatment of Defense, 1985). (DoD kriteriji).

o Rainbow Series. Tako je, 1987 publiciran Trusted Network Interpretation (TNI), �to je interpretacija TCSEC za računalne mre�e, koji se također naziva Red Book (NCSC, 1987). tako se je 1991 pojavio Trusted DBMS Interpretation (TDI) od NCSC-a što predstavlja interpretaciju TCSEC-a za baze podataka.

U Europi , nekoliko inicijativa je poduzeto kako bi se definirali sigurnosni standardi (UK-IT, 1990; Komisija Europske unije, 1991; Jahl, 1990).

o Commercial Computer Security Center (CCSC) Ministarstva trgovine i i

industrije (TDI) u Njemačkoj. Velika Britanija, Francuska, Nizozemska su surađivale s Njemačkom u definiranju Eropskih standarda za sigurnost.



193

U 1990. CCSC je publicirao Criteria for Security product Evaluation for Information Systems, poznata kao White Books.

o Druga okolina gdje sigurnosni zahtjevi trebaju biti strogo definirani je distribuirana okolina. International Standards Organization (ISO) je odgovorna za definiranje tih standarda.

o Euorpiean Computer Manufactures Association (ECMA), grupa 50 europskih proizvođača, također je uključena u u definiranje sigurnosnih standarda (ECMA; 1988). Nezin cilj je definiranje kriterija za distribuiranu obradu i za izmjenu podataka za izvođenje privatnih aplikacija i javnih usluga ( kao �to su e-mail, usluge pretraživanja i dohvata podataka.Rad ECMA-e je prvenstveno orjentiran na mrežnu domenu, a posebno na definiranje mrežne sigurnosne politike za nadzor pristupa objektima(računala/aplikacije) različitih domena

Druge inicijative

o X/Open organizaciju koja je osnovana 1984, koja uključuje grupu Europskih i US proizvođača u definiranju standarda za otvorene sustave koji su bazirani na integracijskom okruženju X/Open Security Guide opisuje sigurnosne standarde koji promoviraju portabilnost. Familija X/Open standarda , pod nazivom XPG, raspoloživa je u raznim verzijama (XPG1, XPG2, XPG3)

o American National Standards Institute ANSI je odgovoran za odobrenje standarda. Upravo sada, različita ANSI povjerenstva razvijaju standarde za kriptografiju i autentifikaciju poruka.

o International federation for Information processing (IFIP) okuplja multinacionalne profesionalne i tehničke organizacije koje rade u području informacijskih sustava. n.11 Tehnička komisija (TC-11) od IFIP-a za Zaštitu i i sigurnost informacijskih sustava .

o Institute of Electrical and Electronics Engineerrrs (IEEE) je međunarodna profesionalna organizacija čiji je zadatak, među ostalima, razvoj standarda koji se podnose ANSI na odobrenje. Među IEEE standarddima, najvažniji su: Standard za aplikacijsku portabilnost u otvorenim sustavima (Portable

Operating System Interface for Computer Environments – POSIX). POSIX je razvijen u suradnji sa ISO;

Standard za razvoj sigurnosnih sustava prema POSIX kriterijima; on je još uvijek pod razvojem od IEEE 1003.6 Security Extensions Commitee.

DoD kriteriji

Kriteriji definirani od US DoD (1985) daju referncu za razvoj i vrednovanje sigurnosnih sustava. DoD kriteriji su definirani kako bi opremili:

- Korisnike sa metrikom vrednovanja ocjene pouzdanosti sigurnostih sustava za zaštitu klasificiranih ili osjetljivih informacija

- Razvojno osoblje/ponuđači sa vodičem izgradnje. - Dizajneri sa vodičem za specifikaciju sigurnosnih zahtjeva.



194

Skup kategorija zahtjeva: sigurnosna politika odgovoronost jamstvo dokumentacija.

DoD zahtjevi: Trusted Computing Base (TCB) Referencijski monitor

Sigurnosna politika. a) DAC. b) MAC. c) Oznake. d) Ponovna upotreba objekata.

Odgovornost (Accounatbility)

a) Identifikacija/Autentifikacija b) Nadzor (Audit). c) Povjerljivi put.

Subjekti (korisnici, programi)

Referencijski monitor (TCB)

Objekti (datoteke, programi, terminali)

TCB baza podataka (pravila pristupa, politike, pristupne klase, i dr.)

Referencijski monitor po DoD kriterijima



195

Jamstvo (Assurance)

a) Pouzdanost operacija:

I. Arhitektura sustava. II. Integritet(cjelovitost) sustava. III. Analiza tajnih kanala. IV. Upravljanje sa povjerljivo�ću. V. Obnova povjerljivosti.

b) Pouzdanost razvoja I. Testiranje sutava II. Specifikacija dizajna i verifikacija. III. Upravljanje konfiguracijom.. IV. Povjerljiva distribucija.

Dokumentacija.

I. Priručnik povjerljivh sredstava i mogućnosti, II. Korisnički priručnik sigurnosnih svojstava,

III. Test dokumentacija, IV. Dokumentacija o izgradnji(projektna dokumentacija) V. Za klase iznad B ( prema DoD hierarhijskoj klasifikaciji): upravljanje

konfiguracijom, arhitektura sustava, izvje�ća o analizi tajnih kanala, formalnim modelu, formalnim i opisnim specifikacijam na visokoj razini



196

DoD hierarhijska klasifikacija



197

10. SIGURNOST BAZA PODATAKA

Koncepti baza podataka

Data Base Management System (DBMS). Konceptualni modeli (ER – model) Logički modeli (Hierrhijski, mre�ni, relacioni, objketni) Shema baze podtaka(konceptualna i logička) Jezici (DDL. DML, QL)

Dijelovi DBMS_a

DDL kompilacija Obrada DML instrukcija Upiti u bazu podataka Upravljanje bazom podataka Upravljane datotekama

Skup tabela daje podršku funkcionalnosti ovih modula:

Tablice opisa baze podtaka Tablice autorizacije (ovlaštenja) Tablice konkurentnih (istovremenih) pristupa



198



199

Razine opisa podataka

Logički pogledi Logička shema podataka Fizička shema podataka



200



201

Elementi relacionog modela podataka Relacija je skup n-torki (d1,d2,.. , dn) takvih da vrijedi: d1 D1, d2 D2, …, dn Dn Broj n-torki u relaciji je kardinalitet relacije Relaciona baza podataka je skup tablica, gdje tablica odgovara realaciji. Realaciona shema se sastoji od od imena relacije i skupa imena realcionih atributa. Ograničenja realcionog modela :

ograničenje integriteta entiteta, �to znači da niti jedan primarni ključ ne mo�e biti nula;

ograničenje referencijalnog integriteta, između dvije relacije, �to znači da n-torka u jednoj relaciji, a koja referencira drugu relaciju mora referencirati postojeću n-torku te relacije.

Deklaracija relacije Student sa slike 1.4 ima slijedeći oblik u SQL –u : CREATE TABLE Student (StudNum NUMBER (6.0) NOT NULL, Name CHAR (20), Birthdate DATE); CREATE INDEX FOR Student ON Name SQL instrukcije pretraživanja, umetanja, brisanja i ažuriranja u bazi podataka SELECT Name FROM Student WHERE StudNum > ' 316056' AND < '324567' INSERT INTO Student VALUES (307240, 'Ferg', '09-25-65') DELETE FROM Student WHERE StudNum = '306318' UPDATE Student SET Birthdate = '11-28-63' WHERE StudNum = '319887' Osnovni operatori relacijske algebre posebno definirani za relacije su:

Selekcija : koji se primjenjuje na relaciju r, a kao rezultat vraća novu relaciju s koja je formirana od n-torki od r uz verifikaciju predikata ( koji su izraženi kroz formule koje uključuju konstante i operatore usporedbe).Taj operator provodi horizontalnu dekompoziciju od r;



202

Projekcija : koji se primjenjuje na relaciju r, a kao rezultat vraća realciju s koja sadrži n-torke od r definirane na podskupu od atributa od r. Taj operator provodi vertikalnu dekompoziciju od r;

Prirodni spoj, r s; gdje su r(YX) i s(XZ) dvije realcije, tako da je YX XZ = X; prirodni spoj od r i s je relacija t definirana na YXZ koja se satoji od skupa n-torki koje se dobiju spajanjem n-torki u r sa n-torkama u s koje imaju identična vrijednosti za atribute u X.

Sigurnosni problemi u radu sa bazama podataka Postizanje sigurnosti u uvjetima baza podataka znači identificiranje prijetnji i izbor politika (��to� se od sigurnosti očekuje) i mehanizama ( �kako� će sigurnosni sustav postići sigurnosne ciljeve). To također uključujepostizanje jamstva sigurnosnog sustava ( “kako dobro� će sigurnosti sustav ispuniti sigurnosne zahtjeve i izvr�iti očekivane funkcije).

Prijetne na sigurnost baza podataka Kr�enje sigurnosti baza podataka se satoji od neodgovarajućeg (neovla�tenog) čitanja, izmjene ili brisanja podataka. Posljedice se mogu kategorizirati u u tri kategorije:

Neovla�teno oslobađanje informacija Neovlaštena izmjena podataka. Odbacivanje usluga. (DoS)

Sigurnosne prijetnje se mogu klasificirati prema načinu na koji mogu nastatti: Prirodne ili slučajne nepogode. Greške ili bug-ovi u HW i SW. Ljudske greške.

Kr�enje sigurnosti uključije dvije klase korisnika: Ovlašteni korisnici koji zlorabe svoja prava i ovlaštenja Neprijateljski agenti, neovlašteni korisnici (insideri i outsideri)

Zahtjevi na zaštitu baza podataka Zaštita od neovlaštenog pristupa Za�tita od zaključivanja (inference)



203

Integritet (cjelovitost) baza podataka Operativni integritet podataka Semantički integritet podataka Odgovornost i nadzor Autentifikacija (ovjera) korisnika Upravljanje i zaštita osjetljivih podataka Višerazinska zaštita Zatvorenost Sigurnosne kontrole Za�tita baze podataka se posti�e kroz slijedeće sigurnosne mjere: Kontrola toka Kontrola zaključivanja o podacima Kontrola pristupa

Kontrola toka Tok između objekta X i objekta Y se događa kad naredba čita vrijednost iz X i upisuje vrijednost u Y. Kontrola toka provjerava da informacija koja je sadržana u nekom objektu (npr. izvje�ću) ne odlazi eksplicitno (kroz kopiranje) ili implicitno (preko grupe instrukcija koje uključuju među objekte) u ni�e �tićene objekte.

Kontrola zaključivanja Kontrola zaključivanja usmjerena je na za�titu podataka od indirektne detekcije.

Kanal zaključivanja je kanal gdje korisnici mogu naći podatak X i tada ga koriste da bi dobili Y kao Y = f(X).

Glavni kanali zaključivanja u sustavu su:

1. Indirektni pristup.

SELECT X FROM r WHERE Y = value

2. Korelacioni podaci. 3. Nepostojeći podaci.

Statističko zaključivanje

Statistički napadi mogu se suzbiti kroz dve vrste kontrole:

1. Perturbacija podataka. 2. Kontrola upita.

Arhitektura DBMS koji uključuje sigurnosna svojstava



204

Slijedeće uloge su uključene u upravljanju sigurnosnim sustavom:

Upravljač aplikacije , je odgovoran za razvoj i održavanje biblioteke programa; DBA, koji upravlja konceptualnom i internim shemama baze podataka. Časnik za sigurnost, koji definira autorizacije za pristup i/ili sigurnosne aksiome kroz

pravila u odgovarajućem jeziku (ponekad DDL ili DML);



205

Nadzornik, koji je odgovoran za provjeru sekvenci zahtjeva i upita o pristupu, kako bi detektirao moguća kr�enja autorizacije.

Izgradnja sigurnosti baze podataka 1. Na vanjskoj razini (fizička sigurnost) 2. Na internoj razini ( logička sigurnost)

Baze podataka u vladinim institucijama

klasificirane baze podataka.

Komercijalne baze podataka

Višerazinska sigurna DBMS arhitektura Integrity Lock arhitektura, Jezgrasta arhitektura, Replicirana arhitektura i Arhitektura povjerljivih subjekata.

Slijedeće tehnike su uvođenje �front end-a� između korisnika i DBMS-a Alternativno koriste se Korisnički/DBMS filteri, ili pogledi, koji sadr�e samo

informaciju za koju je korisnik autoriziran.

Zaključak Sumarno, u razvoju sigurnosnog sustava potrebno je razmatrati slijedeće krucialne aspekte: Svojstava stvarne okoline skladišnih medija i obrade. pažljiva analiza je potrebna za

određivanje stupnja za�tite koja je ponuđena i zahtjevana od sustava: a to su sigurnosni zahtjevi;

Za�titni mehanizmi izvan okoline obrade. To su administrativne i fizičke mjere kontrole koje doprinose učinkovitosti sigurnosnih mjera;

Unutarnji mehanizmi zaštitite DB-a. Oni djeluju nakon što je uspješno provedena kontrola logina-a i autentifikacije za korisnika;

Fizička organizacija uskladi�tene informacije; Sigurnosna svojstva koja su osigurana od strane operacijskog sustava i od sklopova; pouzdanost sklopova i programa; Administrativni, ljudski i organizacijski aspekti.



206

RASPOLOŽIVOST I INTEGRITET BAZA PODATAKA . Dimenzije raspoloživosti ili integriteta :

Integritet baze podtaka: Integritet elemenata: Točnost elementa

Zaštitna svojstva od operacijskog sustava

bazičnu sigurnost za baze podtaka, DBMS mora poboljšati i unaprijediti te kontrole.

Dvo-fazno ažuriranje podtaka Tehnika izmjene (ažuriranja)

faza namjere, faza izručenja (commiting)

Primjer za dvo-fazno ažuriranje Zahtjev iz odjela za računovodstvo, za 50 kutija papirnatih spojnica. 1. Skladi�te provjerava bazu podtaka dali postoji tra�ena količina od 50 kutija. Ako ne

zahtjev se odbija i transakcija završava. 2. Ako postoji dovoljno kutija na skladištu, smanjuju se količine sa skladi�ta u bazi podtaka .

(107 – 50 = 57). 3. Skladi�te naplaćuje konto nabave odjela (također i u bazi) za 50 kutija papirnatih

spajalica. 4. Skladi�te provjerava preostalu količinu (57) kako bi se odredilo da li su količine pale

ispod točke naručivanja. Budući da je, zahtjev za novom nabavom se generira, te se postavlja zastavica � u naruđbi� u bazu podataka.

5. Priprema se nalog za isporuku kako bi se 50 kutija odaslalo u odjel za računovodstvo. Održavanje vrijednosti u sijeni Faza namjere: 1. Provera vrijednosti COMMIT-FLAG-a u bazi podataka. Ako je postavljen, ova faza se ne

može provesti. Provjeri broj kutija na skladištu, i ako se zahtjeva više nego je na skladištu, zastavi postupak.

2. Izračunaj TCLIPS = ONHAND – REQUISITION. 3. Uzmi BUDGET, tekuči proračun koji je preostao za odjel. Izračunaj TBUDGET =

BUDGET – COST, gdje je COST cijena za 50 kutija spajalica.



207

4. Provjeri da lije TCLIPS ispod koločine za novu narud�bu; ako da postavi TREODER = TRUE; inače TREODER = FALSE.

Faza izručenja (commit phase) 1. Postavi COMMIT-FLAG u bazu podataka. 2. Kopiraj TCLIPS to CLIPS u bazu podataka. 3. Kopiraj TBUDGET u BUDGET u bazu podtaka. 4. Kopiraj TREODER u REODER u bazu podtaka. 5. Pripremi bilje�ku za isporuku spjalica u odjel računovodstva. Indiciraj u log – datoteku da

je transakcija završila. Ukloni zastavicu COMMIT-FLAG. Redundancija/Interna konzistetncija

Detekcija greške i kodovi za ispravak Polja u sjeni

Oporavak

zapisi back-up

Konkurentnost/konzistencija Agent A postavlja naredbu za ažuriranje: SELECT (SEAT-NO = ‘11D’) ASSIGN ‘MOCK, E’ TO PASSENGER-NAME dok agent B postavlja seqvencu za ažuriranje SELECT (SEAT-NO = ‘11D’) ASSIGN ‘LAWRENCE, S’ TO PASSENGER-NAME Rješenje: DBMS tretira cijeli upit-izmjena ciklus kao jednu nedijeljivu operaciju. Monitori

Usporedba područja Ograničenja stanja Ograničenja prijelaza (tranzicije)



208

OSJETLJIVOST PODATAKA (tajnost i raspoloživost)

Nekoliko faktora čini podatke osjetljivim:

Prirodno (inherentno) osjetljivi Iz osjetljivih izvora Deklarirana osjetljivost Osjetljivi atribut ili osjetljivi slog Osjetljivi u odnosu na prethodno otkrivene podtake.

Odlučivanje o pristupu

Odluke na sigurnosnoj politici koja definira politiku pristupa. Faktori odlučivanja

- raspoloživost podataka, - prihvatljivost pristupa, - autetentičnost korisnika..

Vrste otkrivanja podatka

Stvarni podatak Granice Negativan rezultat Postojanje Vjerovatne vrijednosti

Zaključno o djelomičnom otkrivanju

Uspješna sigurnosna strategija mora zaštitit i direktno i indirektno otkrivanje podatka.



209

Sigurnost nasuprot preciznosti

Problemi zaključivanja o podacima

Direktni napad List NAME where SEX = M DRUGS = 1 Manje jasni upit je List NAME where (SEX = M DRUGS = 1) (SEX M SEX F)

(DORM = AYRES)



210

Indirektni napad

- Suma

- Brojanje - Sredina (Median)

q = median (AID where SEX = M) p = median (AID wheere DRUGS = 2)



211

- Napadi tragača

count ((SEX = F) (RACE = C) (DORM = Holmes)) q = count ((SEX=F) (RACE=C) (DORM=Holmes))

je oblika q = count (a b c).

Uz pomoć algebre on se transformira u

q = count (a b c) = count (a) –count ( a (b c)).

Tako je originalni upit ekvivalentan sa count (SEX=F)

minus count ((SEX=F) (RACE C) (DORM Holmes))



212

Budući je count (a) = 6 i count (a (b c)) = 5, može se lako odrediti potisnutu veličinu 6-5 = 1. Što više niti 6 i niti 5 nije osjetljivi broj.

- Ranjivost linearnog sustava

q1 = c1 + c2 + c3 + c4 + c5 q2 = c1 + c4 q3 = c3 + c4 q4 = c4 + c5

q5 = c2 + c5 q1 = s1 s2 s3 s4 s5

Kontrole za napade statističkog zaključivanja

Obustava (potiskivanje) podatka i Skrivanje podataka.

Obustava ograničenog odgovora

Kombiniranje rezultata



213

Slučajni uzorak

Slučajna smetnja u podatcima

Analiza upita Zaključak o problemu zaključivanja Rješenja za kontrolu slijede tri puta.

Obustavi(potisni) jasno osjetljivu informaciju. Trag što korisnik zna. Maskiranje podataka.



214

VIŠERAZINSKE BAZE PODATAKA

Diferencirana sigurnost

Svojstva sigurnosti baze podataka:

Sigurnost pojedinog elementa Dvije razine-osjetljivo i neostjetljivo – neodgovarajuće.

Sigurnost agregacije (skupa) – suma, brojenja, ili grupa vrijednosti

Zrnatost (granularitet, finoća)

Problemi sigurnosti

Integritet

Tajnost



215

Prijedlozi rješenja za višerazinsku zaštitu

Particioniranje (podjela)

Kriptiranje

Integrirano zaključavanje (Integrity Lock)



216

Oznaka osjetljivosti mora biti :

nekrivotvorljiva. jedinstvena skrivena.

Zaključavanje osjetlivosti (Sensitivity lock)



217

MEHANIZMI REALIZACIJE MLS-a DBMS sa integriranim zaključavanjem (Integrity Lock)

Povjerljivi Front-End Veza između korisnika, povjerljivog front-enda i DBMS-a uključuje: 1. Korisnik se identificira kod front-end; fron-end overava korisnički identitet. 2. Korisnik izdaje upit front-endu. 3. Front-end verificira korisničku autorizaciju (ovlaštenje) na podatke. 4. Front-end izdaje upit DB manageru. 5. DB manager izvodi U/I pristup, kroz interakciju sa kontrolom pristupa niske razine kako

bi pristupio stavrnim podatcima. 6. DBMS vraća rezultat upita front-endu. 7. Front-end verificira valajnost podtaka kroz kontrolnu sumu i provjerava klasifikaciju

podtaka nasuprot sigurnosnoj razini korisnika. 8. Front-end prenosi podatke na nepovjerljivi front-end radi formatiranja. 9. Nepovjerljivi front-end prenosi formatirane podatke do korisnika.



218

Komutativni filteri

Filter se može upotrebiti:

na razini sloga na razini atributa,. na razini elementa

Primjer upita: retrieve NAME where ((OCCUP = PHYSICIST) (CITY = WASHDC)) Upit postaje:



219

retrieve NAME where ((OCCUP = PHYSICIST) (CITY = WASHDC)) from all records R where

(NAME-SECRECY-LEVEL (R) USER_SECRECY-LEVEL) (OCCUP-SECRECY-LEVEL (R) USER-SECRECY-LEVEL) (CITY-SECRECY-LEVEL (R) USER-SECRECY-LEVEL))

Distribuirane (replicirane) baze podataka

Prozor/pogled (view) Putnički pogled na bazu podtaka: view AGENT-INFO FLTNO := MASTER.FLTNO ORIG := MASTER.ORIG DEST := MASTER.DEST DEP := MASTER.DEP ARR := MASTER.ARR

CAP := MASTER.CAP where MASTER.TYPE = ‘PASS’ class AGENT auth retrieve



220

Sigurnost baza podataka

Tajnost i integritet Problem zaključivanja u statističkim bazama Višerzinska sigurnost podataka

o pogledi, o povjerljivi front-end (TFE) sa modifikaciojom upita, o komutativni filteri.



221

SIGURNE DBMS ARHITEKTURE Sigurni DBMS :

‘visoki sustav’ ‘višerazinski’

Višerazinske arhitekture:

Arhitektura povjerljivog subjekta (Trusted Subject Architecture)

Woods Hole arhitektura Integrirano zaključavanje (Integrity Lock architecture)) Jezgrasta arhitektura (Kernelized architecture) Replicirane arhitekture (Replicated architecure)



222



223



224



225



226



227

PROJEKTIRANJE SIGURNOSTI BAZE PODATAKA Projektiranje sigurnosti BP se odnosi na logičko projektiranje sigurnosnog sustava, a pod ovim terminom podrazumjevamo projektiranje sigurnog software-a i sigurnosnih pravila. Izgradnja sigurnih DBMS-a Sigurnost BP-a se postiže kroz skup mehanizama na razini DBMS-a i OS-a. Razlike između OS-a i DBMS-a su slijedeće: 1. Objektna “zrnatost”

Stupanj “zrnatosti” u OS-u je razine datoteke. “Zrnatost” u DBMS-u je veća (relacije, polja, kolone, redovi).

2. Metapodatak U DBMS, metapodaci postoje i prikupljaju informacije o strukturi podataka u BP. Na razini OS-a ne postoje metapodaci.

3. Logički i fizički objekti Objekti u OS-u su fizički objekti (npr. datoteke, memorija, procesi). Objekti u DBMS-u su logički objekti (npr. relacije, pogledi).

4. Vi�eznačni tipovi podataka

Baza podataka je karakterizirana različitim tipovima podataka, za koje su nu�ni različiti načini pristupa

5. Statički i dinamički objekti

Objekti upravljani od strane OS-a su statički i korespondiraju sa aktuelnim objektima. U BP-u, objekti mogu biti dinamički kreirani (npr. kao rezultat upita) i ne moraju korespondirati sa stvarnim objektima.

6. Višerazinske transakcije

U DBMS-u često je neophodno izvoditi transakcije, uključujući podatke na različitim sigurnosnim razinama. DBMS mora osiguravati izvođenje vi�erazinskih transakcija na siguran način.

7. Životni ciklus podataka

Podaci u BP-u imaju dug životni ciklus i DBMS mora osigurati zaštitu za vrijeme cijelog životnog ciklusa.



228

Sigurnosni mehanizmi u DBMS-u

DBMS treba biti dizajniran tako, da se sigurnost ugrađuje na samom početku, a ne u kasnijim fazama.

Glavni sigurnosni zahtjevi koje DBMS treba osigurati su povezani sa slijedećim: Različit stupanj �zrnatosti� pristupa. Različiti mod-ovi pristupa

U relacijskoj bazi, mod-ovi pristupa su prikazani u terminima SQL naredbi (SELECT, INSERT, UPDATE, DELETE).

Različiti tipovi kontrole pristupa

- kontrola pristupa ovisna o imenu objekta kojem se pristupa - kontrola ovisna o podacima čini pristup ovisan o sadr�aju objekta kojem se pristupa - kontrola ovisna o kontekstu daje ili odbija pristup u ovisnosti o vrijednosti nekih

sistemskih varijabli (datum, vrijeme, terminal) - povijesno ovisna kontrola prati informacije o query sekvencama (npr. tipovi upita,

dobiveni podaci, podaci o korisniku koji je postavio upit) - kontrola ovisna o rezultatu čini odluku o pristupu ovisnom o rezultatima pomoćnih

kontrolnih procedura, koje se izvršavaju za vrijeme upita U relacijskoj bazi, kontrola pristupa ovisna o podacima je obično implementirana ili kroz pogled ili tehnike upita, gdje je inicijalni upit ograničen prema korisnikovim pravima.

Dinamička autorizacija

DBMS treba podr�avati mogućnost izmjene korisničkih prava, dok je baza operativna. Višerazinska zaštita

Kada se zahtjeva, DBMS treba nametnuti višerazinsku zaštitu preko mandatne kontrole pristupa.

Tajni kanali

DBMS treba biti bez tajnih (skrivenih) kanala, odnosno korisnik ne smije dobiti neovlašteno informaciju indirektnim metodama komuniciranja.

Kontrole protiv zaključivanja o informaciji (Inference controls)

Trebaju spriječiti korisnika od dobivanja dodatnih (povjerljivih) informacija, temeljem informacija dobivenih iz BP-a.

Višepojavnost

Ova tehnika se koristi od strane DBMS-a da spriječi dobivanje dodatnih informacija (inference control), tako da dozvoljava da BP sadrži više razina istog podatka (data item), pri čemu svaki od njih ima svoju klasifikacijsku razinu.

Praćenje, nadzor (Auditing)

Interesantne događaje sa stanovi�ta sigurnosti treba prikazivati u nekom obliku izvje�taja.



229

Kontrola toka Kontrola toka provjerava odredište izlaza dobivenog autoriziranim pristupom.

Nema zadnjih vrata (No back doors)

Pristup BP-u treba se odvijati isključivo preko DBMS-a. Uniformnost mehanizama

Sve sigurnosne kontrole trebaju biti realizirane sa �to manjim brojem različitih mehanizama.

Razumne performanse

Sigurnosne kontrole troše dodatno vrijeme, ali treba nastojati da se to svede na što manju mjeru.

Dobro-napravljena transakcija

Podaci mogu biti mijenjani samo putem dobro-napravljenih transakcija, a ne putem proizvoljnih procedura.

Autorizirani korisnici

Ovaj princip znači da promjene mo�e izvoditi samo korisnik koji je autoriziran za tu operaciju. Autorizacija korisnika je u nadležnosti OS-a i ne treba ju duplicirati na razini DBMS-a.

Najniža privilegija

Problem realizacije je u balansiranju najniže privilegije korisnika sa privilegijom procesa, jer su korisnik i proces dva različita entiteta.

Razdvajanje dužnosti

Ovaj princip nala�e da pojedinac ne mo�e uni�titi podatke, već to mo�e tek nekoliko udru�enih pojedinaca u određenoj točki lanca.

Kontinuitet operacije

Ovom se problemu pridaje veliki značaj u teoriji i praksi, a predlo�ena su rje�enja bazirana na replikaciji.

Rekonstrukcija događaja

Rekonstrukcija se mo�e zbiti na različitim razinama detaljnosti i mo�e značiti različite stvari: zadržati cijelu povijest svake izmjene ili spremiti identitet svakog pojedinačnog spremanja.

Provjere sa stvarnim podacima (Reality checks)

To su povremene provjere sa podacima iz stvarnog svijeta, usmjerene na održavanje točnih podataka u sustavu.

Lakoća sigurne uporabe

Najlak�i način rada na sustavu treba biti i najsigurniji. Delegiranje autoriteta (Delegation of authority)



230

Delegiranje autoriteta je osnovni način preno�enja hijerarhijske strukture organizacije i treba biti napravljen prema pravilima definiranim unutar organizacije. SQL naredbe koje se ovdje koriste su GRANT/REVOKE.

Prema autorima Sandhu i Jajodia (1990), principi integriteta (cjelovitosti) DBMS-a se dijele na tri grupe: Grupa 1: Dobro-napravljena transakcija i kontinuitet operacije. Ovi principi su dobro

pokriveni postojećim DBMS mehanizmima. Grupa 2: Najni�a privilegija, razdvajanje du�nosti, rekonstrukcija događaja i delegiranje

autoriteta. Za ovu grupu su potrebni novi mehanizmi, koji će pro�iriti postojeći DBMS. Grupa 3: Autorizirani korisnici, provjere sa stvarnim podacima, lakoća sigurne uporabe.

DBMS mehanizam mo�e pridonijeti na ograničen način: Autorizacija je u nadle�nosti OS-a, provjere sa stvarnim podacima ovise o organizacijskoj sigurnosti, dok je lakoća sigurne uporabe u nadležnosti DBMS-a, kroz jezik za rad podacima (DML).

Autorizacijski model – Sistem R Autorizacijski model - Sistem R , razmatra tabele baze, kao objekte koji trebaju biti za�tićeni. Subjekti modela su korisnici koji mogu pristupiti bazi. Privilegije koje se razmatraju u modelu su mod-ovi pristupa, primjenjivi na tabele baze. To su: Read, Insert, Delete, Update, Drop. Svi mod-ovi pristupa se odnose na cijelu tabelu, osim Update, koji se odnosi na pojedine kolone. Decentralizirano administriranje autorizacije, bilo koji korisnik može biti autoriziran za kreiranje nove tabele i prenos ovlaštenja. Svaka autorizacija se opisuje sa: s – korisnik kojemu je dodjeljeno pravo p – mod pristupa (privilegija) t – tabela ts – vrijeme dodjeljenog prava g – korisnik koji dodjeljuje pravo go – (Y/N) indikator da li s može dodjeljivati pravo, nad tabelom t, za mod p Npr. n-torka (B, select, T, 10, A, yes) znači: korisnik B može selektirati retke iz tabele T, pravo mu je dao korisnik A, u vrijeme 10, i korisnik B ima ovlasti da drugim korisnicima daje prava za select, nad tabelom T. SQL jezik je proširen setom naredbi, kojima korisnik zahtjeva izvršenje dodjele ili oduzimanja prava. GRANT naredba ima slijedeći format:



231

GRANT

ALL RIGHTS privileges ALL BUT privileges

ON (table) TO (user-list) WITH GRANT OPTION

Umjesto ključne riječi user-list mo�e se koristiti public �to znači da je pravo dodjeljeno svim korisnicima baze. Svaki korisnik koji ima pravo dodjeljivanja prava drugim korisnicima, mo�e također ta prava oduzimati, ali samo ona koja je sam dodjelio. REVOKE naredba ima slijedeći format: REVOKE

ALL RIGHTS privileges

ON (table) FROM (user-list)

Oduzimanje prava Sistem R podržava kaskadno oduzimanje prava.

Pogledi Predstavljaju jednostavan i učinkovit mehanizam autorizacije, ovisne o sadr�aju.



232

Npr. pretpostavimo da korisnik A kreira tabelu T i �eli dati korisniku B prava čitanja redaka tabele T, pri čemu je vrijednost atributa a1 veća od 1000. Korisnik A će definirati pogled uz pomoć SELECT naredbe

SELECT * FROM T WHERE a1 te će dodjeliti prava čitanja pogleda, korisniku B. Implementacija modela Informacije o korisničkim pravima su smje�tene u dvije relacije – Sysauth i Sycolauth. Relacija Sysauth ima slijedeće atribute: Userid - označava korisnika na koga se pravo odnosi Tname - označava tabelu za koju se prava dodjeljuju Type - označava tip tabele Tname (�R� ako se radi o osnovnoj tabeli, a �V� ako se

radi o pogledu) Grantor - označava korisnika koji daje prava Read - označava vrijeme kada je grantor dao pravo za čitanje tabele. Ako nema prava,

atribut ima vrijednost 0 Insert - označava vrijeme kada je grantor dao pravo za dodavanje u tabelu. Ako nema

prava, atribut ima vrijednost 0 Delete - označava vrijeme kada je grantor dao pravo za brisanje u tabeli. Ako nema

prava, atribut ima vrijednost 0 Update - označava vrijeme kada je grantor dao pravo za izmjenu u tabeli. Ako nema

prava, atribut ima vrijednost 0 Grantopt - označava da li su označene privilegije date sa grant opcijama . Primjer SYSAUTH tabele u skladu sa dodjelom prava na slici 4.1a.

Userid Tname Ţype Grantor Read Insert Delete Update Grantopt B Employee R A 10 0 0 0 yes C Employee R A 20 0 0 0 yes D Employee R B 30 0 0 0 yes E Employee R D 40 0 0 0 yes D Employee R C 50 0 0 0 yes F Employee R D 60 0 0 0 yes G Employee R E 70 0 0 0 yes

Primjer SYSAUTH tabele Tabela SYSCOLAUTH sprema informacije o kolonama za koje su data prava izmjene. Relacija SYSCOLAUTH ima slijedeće atribute: Userid - označava korisnika kojemu je dodjeljeno pravo izmjene



233

Table - označava tabelu za koju je pravo izmjene dodjeljeno Column - označava kolonu tabele za koju je pravo izmjene dodjeljeno Grantor - označava korisnika koji je dodjelio pravo Grantopt - označava da li je pravo dato sa opcijom dodjele Proširenje modela Uvođenje funkcija za grupno upravljanje(1982). Dodatna proširenja modela (1993): nova operacija oduzimanja prava (nekaskadno).

Za primjer sa slike 4.1a i uz pretpostavkui da korisnik B oduzima prava data korisniku D. Umjesto korisnika D, sada će korisnik B biti taj koji daje pravo korisniku E.

negativna autorizacija. Većina DBMS-a radi na principu politike zatvorenog sustava, pa

se nedostatak autorizacije tumači kao negativna autorizacija, što odbacuje trenutni zahtjev ali ne sprečava kasniju dodjelu prava (decentralizirana dodjela). Uspostavlja se eksplicitna negativna autorizacija, koja je jača od pozitivne autorizacije.



234

Komercijalni proizvodi DBMS Server

Autorizacija lozinkom

Autorizacija OS-om

CREATE ALTER DROP Korisnik/ objekt tip

Operacije Superkorisnika

SELECT INSERT UPDATE DELETE tabele i pogledi

ALTER INDEX tabele

REFERENCES

Ingres + + + + Oracle + + + + + + + Sybase + + + Informix + + + + + SQLBase + + + + DBMS Server

Kontrola na razini kolone

EXECUTE GRANT OPTION

ADMIN OPTION

Grupe Role Snimanje

Ingres Update + + + + Oracle Select

Update Refer.

+

+

+

+

+

Sybase Select Update

+ +

Informix Select Update Refer.

+

+

SQLBase Update Autorizacija korisnika – provodi se putem OS-a ili lozinke. Izuzetak je Oracle, koji radi sa

oba načina. Autorizacije sustavom – vezana je za definiciju autorizacije nad tipovima objekata baze

podataka (baza podataka, tabele, pogledi) i nad korisnicima. Svi DBMS serveri imaju pravo kreiranja, izmjene i brisanja tipova objekata i korisnika. Neki DBMS imaju i superuser operacije (npr. podizanje i spuštanje servera).

Autorizacije podataka – specificiraju operacije koje se mogu izvršavati na podacima spremljenim u objektima baze. Svi DBMS serveri imaju SELECT, INSERT, UPDATE i DELETE prava za tabele i poglede. Samo neki DBMS serveri imaju i ALTER, INDEX i REFERENCES prava za tabele. Neki DBMS podržavaju kontrolu na razini kolone. Ta prava se daju korisnicima putem naredbe SQL GRANT.

Upravljanje autorizacijama – ova funkcionalnost je povezana sa mogučno�ću dodjele prava, zbog potrebe za podjelom odgovornosti i prava unutar organizacije.

Uloge, ako su podržane, koriste se za definiranje prava, povezanih sa danom aplikacijom. Snimanje događaja – primjereno je za određene analize i rekonstrukciju događaja.



235

PROJEKTIRANJE SIGURNE BAZE PODATAKA Višefazna metodologija predstavlja dobar pristup u dizajniranju sigurnosti baze. 1. Uvodna analiza 2. Sigurnosni zahtjevi i politike 3. Konceptualni dizajn 4. Logički dizajn 5. Fizički dizajn Provjera točnosti izgradnje sigurnosnog modela, prema zahtjevima, za vrijeme dizajniranja kroz: Alat za dizajniranje Struktura za istraživanje – model može biti izabran, od postojećih ili novi model mo�e biti

razvijen od početka Didaktički alat – za pojednostavljenje opisa sustava Alat za uspoređivanje/procjenu – za uspoređivanje/procjenu različitih sigurnosnih sustava



236

Uvodna analiza Rizici sustava Karakteristike okruženja baze podataka Aplikativnost (applicability) postojećih sigurnosnih produkata Mogućnost integracije sigurnosnih produkata Performanse rezultirajućeg sigurnosnog sustava Analiza zahtjeva i izbor sigurnosne politike Analize prijetnji i ranjivosti sustava:

- Analiza vrijednosti. Podaci i aplikacije koje im pristupaju se analiziraju da se odredi njihov stupanj osjetljivosti. Kontrola pristupa raste proporcionalno sa osjetljivosti podataka

- Identifikacija prijetnji. Identificiraju se moguće prijetnje aplikacijama. - Analiza ranjivosti. Identificiraju se slabe točke sustava, povezane s prethodno

identificiranim prijetnjama. - Analiza rizika. Moguće prijetnje i slabosti sustava se sučeljavaju sa snagom

sigurnosti i integriteta sustava. - Procjena rizika. Procjenjuje se mogućnost svakog ne�eljenog događaja uz

procjenu sposobnosti reakcije sustava na taj događaj. - Definicija zahtjeva. Zahtjevi sustava se definiraju temeljem procjena prijetnji i

ne�eljenih događaja i mogućnosti njihova pojavljivanja. Izbor sigurnosne politike Cilj sigurnosne politike je definicija autoriziranih pristupa svakog subjekta različitim objektima sustava. Kriteriji za izbor politike:

Tajnost nasuprot integritet nasuprot raspoloživost Maksimalna djeljivost nasuprot minimalna prava. Zrnatost kontrole. Atributi koji se koriste za kontrolu sustava. Integritet. Prioriteti. Privilegije. Autoritet. Naslijeđivanje.

Konceptualni dizajn Konceptualni sigurnosni model je alat za formalizaciju zahtjeva i politike.



237

Definira se kroz: Identifikaciju subjekata i objekata važnih sa stanovišta sigurnosti Identifikaciju mod-ova pristupa dodjeljenih različitim subjektima, za različite objekte Analizu širenja autorizacije u sustavu, kroz dodjelu i oduzimanje prava Osnovne značajke konceptualnog sigurnosnog modela trebaju biti: Predstavnik je semantike sigurnosti baze podataka. Podržava analizu autorizacijskih dijagrama. Podrška je administratoru baze pri provjeri autorizacije upita. To je lakše napraviti na

konceptualnoj razini nego na razini sigurnosnih mehanizama. Model, također, treba biti: Kompletan: obuhvaća sve početne sigurnosne zahtjeve Konzistentan: neautorizirani korisnik, koji ne može pristupiti nekom objektu direktno, ne

smije do tog objekta doći zaobilaznim putem (indirektno). Logički dizajn Konceptualni sigurnosni model se prevodi u logički model, uz podr�ku DBMS-a. Određuje se koji će se sigurnosni zahtjevi, politike, ograničenja i aksiomi, prikazani u

konceptualnom modelu, realizirati postojećim mehanizmima, a koji će se dizajnirati posebno.

Fizički dizajn detaljni dizajn sigurnosnih mehanizama dizajn fizičke strukture pravila pristupa, njihovih veza sa fizičkom strukturom baze, povezivanje mod-ova pristupa sa zahtjevanom kontrolom pristupa detaljna arhitektura mehanizama koji će ispuniti sigurnosne zahtjeve i politiku. Implementacija sigurnosnih mehanizama Ekonomija mehanizama. Djelotvornost Linearnost cijene. Minimalna prava. . Prednosti su:

- ograničenje pogre�aka - održavanje - obrana od Trojanskog konja - prikazivanje točnosti

Kompletno posredovanje. Poznat dizajn.



238

Sigurnost po default-u. Minimum općih mehanizama. Psihološka prihvatljivost. Fleksibilnost. Izolacija. Potpunost i konzistentnost. Preglednost. Problem residuala. Nevidljivost podataka. Namjerne zamke. Mjere u slučaju nu�de. Programski jezik.. Točnost.

Verifikacija i testiranje

Svrha ove faze je verifikacija da su sigurnosni zahtjevi i politika točno implementirani od strane software-skih produkata.



239

11. SIGURNOST RAČUNALNIH MREŽA I DISTRIBUIRANIH SUSTAVA Prijetnje računalnim mre�ama Sigurnosni problemi: Dijeljenje. Složenost sustava. Nepoznate granice(perimetar). Mnogo točaka napada. Anonimnost. Nepoznati put.

Analiza sigurnosnih prijetnji Dijelovi mreže: lokalnii čvorovi, povezani preko lokalnih komuniakcionih veza na



240

lokalne računalne mre�e, koje također imaju lokalna spremišta podataka, lokalne procese, i lokalne uređaje. Lokalna mre�a je također spojena na mrežne prospojnike (gateway), koji daju pristup preko mrežnih komunikacijskih linija do mrežno kontroliranih sredstava, mre�nih usmjerivača (rutera), i mrežnih resursa, kao što su baze podataka.

Prijetnje: Čitanje komunikacije od A do B. Izmjena komunikacije od A na B. Krivotvorenje komunikacije koja navodno dolazi od A do B. Spriječitii komunikaciju od A do B.. Spriječiti sve komunikacije koje prolaze kroz neku točku.. Čitanje podataka na C ili D Izmjeniti ili uništiti podatke na C ili D..



241



242

Prijetnje su: presretanje (prihvat) podataka u prijenosu, pristup programima ili podacima na udaljenim računalima, izmjena podataka ili programa na udaljenim računalima, izmjena podtaka u prijenosu, umetanje komunikacije u ime drugog korisnika (impersonizacija,) umetanje ponovljene prethodne komunikacije, blokiranje određenog prometa, blokiranje sveukupnog prometa, izvođenje programa na udaljenom računalu. Kategorije prijetnji: priključak na �icu (wiretapping), impersonizacija (predstavljne u ime drugog), kršenje tajnosti poruke, kršenje integriteta poruke, hacking, kršenje integriteta koda, odbacivanje usluga (DoS). Priključenje na �icu (Wiretapping)

Pasivno priključenje Aktivno priključenje.

Kabel

Mikrovalovi

Satelitske komunikacije

Optičko vlakno



243



244

Impersonizacija (predstavljanje u ime drugoga) U ovom predstavljanju napadač ima nekoliko izbora:

pogađa identitet i detalje autentifikacije cilja napada prikuplja identitet i detalje autentifikacije cilja iz prethodne komunikacije zaobilazi ili onemogućava mehanizme autentifikacije na ciljnom računalu koristi cilj napada koji ne zahtjeva autentifikaciju koristi cilj čiji su podatci za autentifikaciju poznati

Autentifikacija naru�ena pogađanjem

Autentifikacija narušena sa prisluškivanjem

Atentifikacija narušena izbjegavanjem Nepostojeća autentifikacija

Dobro-znana autentifikacija

Povjerljiva autentifikacija



245

Narušavanje tajnosti poruke Kriva isporuka Izlaganje (exposure) Analiza toka prometa na mreži

Kršenje integriteta poruke

Krivotvorenje poruka Napadač mo�e

izmjeniti sadržaj poruke promijeniti bilo koji dio sadržaja poruke može zamjeniti cijelu poruku ponovo upotrebiti staru poruku izmjeniti stavrni izvor poruke preusmjeriti poruku uništiti ili izbrisati poruku

Izvori napada: aktivni priključak na �icu Trojanski konj impersonizacija zaposjednuto računalo zaposjednuta stanica

Šum

Hacking

Integritet koda Prijenos datoteka sa WWW : Korisnik tipično ne razmi�lja �to prenesena datoteka zapravo sadr�i. Ponekad se punjenje datoteke (prijenos) događa bez odobrenja korisnika. Ponekad se punjenje događa i bez korsnikova znanja.

Greške Jave odbacivanje usluga (DoS) degradcija usluga



246

tajno komuniciranje sa drugim procesima na Internetu izmjene pretra�ivača

Problemi dizajna i razvoja sustava:

Ne postojanje dobro definirane sigurnosne politike Nedostatk sigurnosnih mehanizama koji su uvijek uključeni. Nedostatak sigurnosnih mehanizama koji su neprobojni. Nedostatak sigurnosnih mehanizama koji su mali i jednostavni. Kao posljedica, nedostatak referncijskog monitora. Nedostatak povjerlive računalne baze (TCB).. Nedostatak kontrole integriteta sutava koji se izvodi. Nedostatak modularnosti i ograničenja područja. Nedostatk obrane po dubini. Nedostatak logiranja i praćenja.

Odbacivanje usluga (DoS)

Povezanost Preopterećenje (Flooding) Problemi usmjeravanja Prekid usluge

Kontrole mrežne sigurnosti (Sigurnosni mehanizmi) Enkripcija

Enkripcija veze (Link enkripcija)



247

Enkripcija sa kraja na kraj (End-to-End enkripcija)

.



248

Usporedba metoda kriptiranja

Kontrola pristupa

Zaštita portova Automatski povratni poziv (call-back) Različita pristupna prava Tihi modem.

Autentifikacija u distribuiranim sustavima Dva problema: Kako jedno računalo mo�e biti sigurno u autentičnost udaljenog računala ? Kako računalo može biti sigurno u autentičnost korisnika na udaljenom računalu ? Ili

obratno, kako korisnik mo�e biti siguran u autentičnost udaljenog računala ?

Digital-ova distribuirana autentifikacija Arhitektura je djelotvorna protiv slijedećih prijetnji:

impersonizacija poslužitelja prihvat ili modifikacija podataka koji se izmjenjuju između poslu�itelja ponavljanje prethodne autentifikacije



249

Kerberos Korisnička stanica �alje �alje korisnički identitet prema Kerberos poslu�itelju kada se

korisnik prijavljuje na sustav. Kerberos poslužitelj verificira ovlašetonost korisnika, te šalje dvije poruke:

- Prema korisničkoj radnoj stanici �alje ključ sjednice SG za korištenje u komunikaciji sa poslužiteljem za dodjelu karata (Ticket Granting Server – G), te kartu TG za G; SG je kriptiran pod korisničkom lozinkom: E( SG + TG, pw)

- Prema poslužitelju za dodjelu karata (Ticket Granting Server-G), šalje kopiju ključa sesije SG i identitet korisnika (kriptirano sa ključem koji se dijeli između Kerberos poslužitelja(KS) i Ticket Grantig Server-a (TGS-a)).

Dizajn : Lozinke ne putuju po mreži. Kriptografska zaštita od prevare (spoofinga). Ograničeni period va�nosti. Vremenske oznake za sprečavanje napada ponavljanja. Međusobna autentifikacija. Kerberos nije idealni odgovor za sigurnosne probleme:



250

Kerberos zahtjeva kontinuiranu raspoloživost TGS-a. Autentičnost servera zahtjeva povjerljivi odnos između TGS-a i svakog servera.. Kerberos zahtjeva vremenske transakcije. Sru�ena stanica mo�e sačuvati i kasnije odgovoriti korsničkiom lozinkom. Pogađanje lozinki. Kerberos se ne proširuje jednostavno i dobro. Kerberos je potpuno rješenje.

DCE

SESAME CORBA ( Common Object Request Broker Architecture) Tri važna cilja specifikacije sigurnosti : 1. Fleksibilnost sigurnosne politike.



251

2. Neovisnost o sigurnosnoj tehnologiji. 3. Interoperabilnost. Kontrola prometa na mreži Dodavanj (punjenje) prometa (Pad Trafic) Kontrola usmjeravanja Integritet podataka na mreži Protokoli Kontrolne sume Paritet

Mnogo mudriji kodovi greške Na aplikacijskoj razini program mo�e izračunati hash

vrijednost ili kriptografsku kontrolnu sumu. Digitalni potpisi Javno bilježništvo Zaključno sigurnosne kontrole su: enkripcija, kontrola pristupa, autentifikacija korisnika, autentifikacija distribuiranih sustava, kontrola prometa, integritet podataka.



252

PRIVATNA ELEKTRONIČKA PO�TA Zahtjevi i rješenja

Prijetnje elektroničkoj po�ti:

prihvat poruke (tajnost) prihvat poruke (isporuka u blokovima) prihvat poruke i naknadni odgovor izmjena sadržaja poruke izmjena izvora poruke krivotvorenje sadržaja poruke od “outsidera” krivotvorenje izvora poruke od “outsidera” krivotvorenje sadržaja poruke od primaoca krivotvorenje izvora poruke od primaoca odbacivanje prijenosa poruke

Zaštite : tajnost poruke ( poruka nije izložena na putu do primaoca) integritet poruke (ono što primaoc vidi je ono što je poslano) neodbacivanje (neporecivost) (po�iljaoc se nemo�e odreći da nije poslao poruku)

PEM – Privacy Enhanced (Eletronic) Mail Osnova:

enkripcija. Certifikat (X.509) integracija sa postojećim e-mail-om

Format poruke:

Proc-Type - poljeje tipa obrade - tip poboljšanja privatnosti. Dek-Info - tip izmjene ključa (simetrični, ili asimetrični) Key-Info ključ enkripcije poruke

PEM standard : enkripcija (DES, RSA) Hash poruke (MD2, MD5) digitalni potpis ostali MD4, IDEA, El Gmal

PEM osigurava:

autentičnost neodbacivanje integritet (hash funkcija-MIC)



253

tajnost



254

Proširenje (osim teksta) :

glas, video grafika

PEM (raspoloživost)

Cambridge i University of Michigan BBN, RSA-DSI, Trusted Information Systems

Problemi:

krajnje točke (primaoc-pošiljaoc) upravljanje ključevima (hierarhija)

PGP (Pretty Good Privaacy) Osnova:

PEM jednostavnost upravljanja ključevima (prsten ključeva),

prijateljski odnosi PEM algoritmi (DES,RSA,IDEA i dr).

Problem:

- prevelik krug prijatelja (prijatelj prijatelja) - nedirektni prijatelji



255

MIME (Secure/Multipurpose Internet Mail Extensions) PEM je bio rani IETF standard za sigurni prijenos poruke i imao je dva nedostatka. Prvi je bio nekompatibilnost sa MIME standardom poruke i perspektivnim PKI ( Public Key Infrastructure) zahtjevima. Slično PEM-u, S/MIME radije govori o specifikaciji nego o proizvodu (kao što je PGP). S/MIME je za razliku od PEM-a uspješno zaživio na tržištu. S/MIME izgrađen na standardu kriptiranja javnim ključem, dok PEM koristi znakovno orijentirane protokole. To nije fundamentalna, već implementacijska razlika. Postoje tri verzije S/MIME od kojih se samo druga i treća koriste u praksi:

1. S/MIME verzija 1 je objavljena 1995 godine. 2. S/MIME verzija 2 je objavljena 1998 godine. 3. S/MIME verzija 3 je objavljena 1999 godine. Razlike između verzija 2 i 3 nisu

fundamentalne i mogu se zajedno koristiti. Verzija 3 je predložena kao internet standard.

Važno je napomenuti da S/MIME koristi mehanizme digitalnog potpisa, enkripcije i digitalne omotnice za sigurni prijenos poruke. Tehnologija u S/MIME-u je slična onoj u PGP-u. Ipak postoje dvije fundamentalne razlike između njih. PGP i S/MIME koriste različite formate poruka. PGP i S/MIME rade izmjenu javnih ključeva i certifikaciju javnog ključa na dva

fundamentalno različita načina:

o PGP se oslanja na korisnika da izmjenjuje javne ključeve i PGP certifikate da bi se ostvarilo povjerenje između njih.

o S/MIME se oslanja na X.509 certifikate koji su izdani od CA. Obje razlike vode u situaciju u kojoj PGP i S/MIME implementacije. nisu kompatibilne. Kako ime govori SMIME ima zadatak osiguranja MIME entiteta. MIME entitet može biti dio poruke, skup dijelova poruke ili cijela e-mail poruka (sa svim dijelovima ali bez zaglavlja poruke). U svakom slučaju S/MIME se definira kako kriptografska za�tita MIME entiteta prema PCKS . S/MIME se bazira na enkripcijskoj sintaksi poruke, tj. CMS (eng. Cryptographic Message Syntax). CMS je izveden iz PKCS #7. CMS je prilično općenit i S/MIME mo�e podr�avati vi�estruke algoritme sa�etka, kriptiranih podataka, kriptiranih ključeva i digitalnih potpisa. S/MIME specifikacija je originalno namijenjena promociji sigurne komunikacije među raznim proizvodima. Specifikacija i dalje omogućuje razne interpretacije i ponekad je otvorena u aspektu koji se tiče međudjelovanja.



256

Ukratko, S/MIME sadrži detaljno dizajnirani i široko primjenjivi tehnologijski pristup za sigurno komuniciranje preko interneta. Potpuno je specificiran sa ASN.1 i koristi hijerarhijski model povjerenja baziran na ITU-T preporukama X.509. S/MIME je snažno podržan od svih većih proizvođača komunikacijskih aplikacija. Zato je vrlo vjerojatno da će S/MIME postati dominantna tehnologija za sigurno komuniciranje na internetu. To je svakako istina za poslovni svijet, a za privatne osobe PGP je dobra i jednostavna alternativa, jer ima decentralizirane procedure za razmjenu javnih ključeva i upravljanje certifikatima. Treba reći da S/MIME nije ograničen na e-mail. Tako može biti korišten da osigura bilo kakav sistem koji prenosi MIME entitete. Tako HTTP može iskoristiti S/MIME da sigurno prenese MIME entitete između web servera i preglednika. S/MIME može biti korišten i da sigurno izmjenjuje digitalno potpisane EDI poruke preko interneta. Čak je vrlo vjerojatno da ćemo vidjeti alternativne aplikacije na internetu.



257

SIGURNOSNE STIJENE (Firewalls -vatrozid)

Izgradnja sigurnosnih stijena Sigurnosna stijena je specijalni oblik referencijskog monitora: uvjek uključen neprobojan mali i dovoljno jednostavan za strogu analizu. Što je sigurnosna stijena ?

Vatrozid je proces koji filtrira sav promet između za�tićene �unutrašnje” mreže i manje povjerljive “vanjske” mreže.

Implementacija:

“ ono što nije posebno zabranjeno je dozvoljeno” i “ ono što nije izravno dozvoljeno je zabranjeno “.

Vrste sigurnosnih stijena zaštitni usmjerivači (screening routers) opunomoćeni prospojnik (proxy gateways) straže (guards)



258

Za�titni usmjerivači (Screening routers)

Svojstva :

filtriranje na razini paketa (zaglavlje) pravila zaštite – uvjeti filtriranja osiguranje valjanosti unutrašnjih adresa kontrola prometa po aplikaciji (mrežna adresa i adresa porta) adresa koju vidi usmjerivač je zapravo kombinacija mre�ne adrese i broja porta

aplikacije. ( npr. 100.50.25.325 za SMTP )



259

Opunomoćeni prospojnik (Proxy Gateway) Svojstva:

simulira (prave) efekte aplikacije prema unutra i prema van (pseudo aplikacija) mogućnost pregleda (zaštite) prenosa podataka, (prihvatljive komande aplikacije

stižu na odredište) Primjeri primjene :

Tvrtka želi uspostaviti on-line listu cijena tako da outsideri mogu vidjeti proizvode s ponuđenim cijenama. Ona �eli biti sigurna da outsider ne mo�e mijenjati listu cijena ili proizvoda, te da outsider može pristupiti samo listi cijena, a ne niti jednoj drugoj osjetljivoj datoteci iznutra.

�kola �eli dozvoliti svojim studentima da dohvaćaju bilo koju informaciju sa WWW –a na Internetu. Kako bi pomogla u osiguranju djelotvornije usluge, ona želi znati koji se siteovi posjećuju, te koje se datoteke sa tih siteova dohvaćaju; pa će popularne datoteke biti lokalno cache-irane.

Vladina agencija plaća za skupljanje statistike u korist svojih građana. Ona �eli da te informacije budu raspolo�ive samo građanima. Prepoznajući da ona ne mo�e spriječiti građana od prosljeđivanja informacije strancu, vlada će implementirati politiku s dozvolom isporuke podataka samo na odredište s adresama unutar zemlje.

Tvrtka s više ureda želi kriptirati dio podataka svih e-mailova na adrese svojih drugih ureda. (Odgovarajući proxy na udaljenom kraju će odstraniti enkripciju)

Tvrtka želi dozvoliti za svoje djelatnike pristup preko biranih linija, bez izlaganja svojih resursa od login napada od strane udaljenih nedjelatnika.



260

Specijalne funkcije:

prijava na sustav sa jakom autentifikacijom (pobuda-odgovor) jedinstveno korisničko sučelje- heterogeni sustavi

Straža (Guard) Svojstva:

sofisticirana opunomoćeni (proxy) vatrozid pravila-raspoloživo znanje( identitet korisnika, prethodne akcije i dr.) izračunljivost uvjeta kontrole složenija sigurnosna politika

Primjeri primjene: Sveučili�te �eli dozvoliti svojim studentima korištenje e-maila do granice od

određenog broja poruka ili određenog broja znakova u vremenu od određenog broja dana.

Škola želi da njezini studenti pristupaju WWW-u, ali zbog male brzine njezinih veza na WWW ona će dozvoliti samo određeni broj znakova za dohvat (download) ( a to znači da će dozvoliti tekstualni mod i jednostavnu grafiku, a neće dozvoliti slo�enu grafiku, animacije, glazbu i slično).

Biblioteka �eli učiniti raspolo�ivim izvjesne dokumente, te kako bi podr�ala fer kori�tenje autorskih prava, dozvolit će korisniku kori�tenje određenog broja prvih znakova dokumenta, a nakon toga će tra�iti uplatu pristojbe

Tvrtka želi dozvoliti svojim djelatnicima dohvat datoteka preko FTP-a, kako bi spriječila uvođenje virusa ona će proslijediti sve ulazne datoteke kroz ispitivač na postojanje virusa.



261

Usporedba vrsti sigurnosnih stijena Screening router Proxy Gateway Guard Najednostavniji Nešto složeniji Najsloženiji Vidi samo adrese i vrstu protokola usluge

Vidi potpuni tekst komunikacije

Vidi puni tekst komunikacije

Pote�koća u nadzoru i praćenju

Može pratiti aktivnost Može pratiti aktivnost

Zaštita zasnovana na pravilima veze

Zaštita zasnovana na ponašanju proxy-a

Zaštita zasnovana na interpretaciji sadržaja poruke

Složena pravila adresiranja čine konfiguriranje otežanim

Jednostavni proxy se može substituirati za složena pravila adresiranja

Složena funkcionalnost guarda može ograničiniti jamstvo sigurnosti

Tablica 9.3 Usporedba vrsti sigurnosnih brana Primjer konfiguracija vatrozida



262

Što sigurnosna stijena može, a što ne može blokirati ? Treba držati na umu: Sigurnosna stijena može zaštiti okolinu samo ako on kontrolira cijelu granicu. Sigurnosna stijena ne štiti podatke izvan granice (perimetra). Sigurnosne stijene su najvidljiviji dio instalacije prema vani, pa su one i najprivlačniji

cilj za napade. Sigurnosne stijene su dizajnirani za odbijanje napada, ali oni nisu nedokučivi. Sigurnosne stijene moraju biti ispravno konfigurirani. Sigurnosne stijene provode samo malu kontrolu nad sadr�ajem koji se proslijeđuje u

unutrašnjost.

Prospojnik sa kriptiranjem Zahtjev:

Tvrtka �eli kriptirati svu elektroničku po�tu između svih triju strana (udaljenih LAN-ova). Rješenje:

Sigurnosna stijena (proxy gateway) i kriptografski server, (virtualna privatna mreža).



263

Svojstva rješenja:

ujedinjuje jakost enkripcije sa centralnom točkom kontrole koju donosi vatrozid. upravljanje enkripcijom ne treba biti izvođeno od korisnika, (transparentno) štiti od napada tajnosti i integriteta u jako izloženim sredinama (Internet) uz mali

trošak



264

VIRTUALNE PRIVATNE MREŽE (VPN)

Slika 1.2 Virtualno privatno umrežavanje Motivi za VPN

Široka pokrivenost (sveprisutnost) Smanjenje troškova Sigurnost E-trgovanje (E-Commerce)

VPN tehnologije

Tuneliranje Autentifikacija Kontrola pristupa Sigurnost podataka

Slika 1.3 VPN tehnologije



265

Tuneli Tuneliranje

Slika 4.1 Tunel unutar mreže

Slika 4.2 Enkapsulacija na trećoj razini Integritet podataka i tajnost

Integritet podataka Tajnost

Protkoli za VPN tuneliranje Namjena:



266

kapsulacija jednog protokola unutar drugog transport privatno adresiranih paketa kroz javnu infrastrukturu osiguraje integriteta i tajnosti podataka

Slika 4.3 Udaljeni korisnik pristupa mre�i koristeći PPP

Slika 4.4 Udaljena veza korisnika kroz tuneliranje na drugoj razini



267

PPTP protokol (Point-to-Point Tunneling Protocol )

Slika 4.5 Pristup udaljenog korisnika korištenjem PPTP .

Slika 4.6 PPTP kapsulacija IP datagrama sa kraja na kraj



268

L2F (Layer Two Forwarding) protokol

Slika 4.7 Udaljeni pristup kroz upotrebu L2F L2TP (Layer Two Tuneneling Protocol) protokol

Slika 4.8. Uadljeni pristup kroz upotrebu L2TP



269

IPsec protokol

Slika 4.9 IPsec tunel MPLS (Multiprotocol Label Switching) protokol

Slika 4.10 MPLS zatvaranje (kapsuliranje)

Slika 4.11 Primjer preklapanja labela



270

SIGURNOST WEB SERVISA Web servisi su namijenjeni poboljšanju interoperabilnosti poslovnih procesa između različitih organizacijskih jedinica i osnovnih aplikacijskih sustava. Opis tehnologije

Arhitektura Web servisa

Universal Directory, Discovery and Integration (UDDI) Universal Directory, Discovery and Integration je repozitorij usluga koji omogućava pronalazak informacija o specifičnim Web servisima.

Web Services Description Language (WSDL) Sučelja, veze na protokole (bindings) i formati podataka kori�teni za specifični Web servis su opisani pomoću WSDL-a (Web Service Description Language).

Struktura WSDL-a



271

SOAP SOAP je vjerojatno najvažniji dio Web servis tehnologije. SOAP predstavlja apstraktan sloj za prijenos stvarnih podataka. Točnije, specificira neutralnu reprezentaciju podataka koji se izmjenjuju sakrivajući komunikacijske protokole koji stoje iza, kao �to je HTTP ili SMTP.

Struktura SOAP dokumenta Sigurni WEB servisi - Sigurnosni model Svako e-Poslovanje koristi svoju vlastitu sigurnosnu infrastrukturu i vlastite sigurnosne mehanizme, kao što je PKI ili Kerberos. U kontekstu WEB servisa, ovi sigurnosni sustavi trebaju međusobno djelovati kroz različite sigurnosne domene.



272

Sigurni WEB servisi -relizacija sigurnosnog modela Za razliku od SSL-a i HTTP-a koji osiguravaju osnovu sigurnost od točke do točke sigurni WEB servisi moraju osigurati sigurnost od kraja do kraja , od aplikacije do aplikacije.

WS-Security WSS (WS-Security, Web Services Security) je komunikacijski protokol koji osigurava sigurnost primjene Web servisa. Ovaj protokol je publiciran od strane OASIS normizacijskog tijela kao WS-Security norma 1.1 koja uključuje slijedeće specifikacije:

SOAP Messagge Security 1.1 Ova specifikacija opisuje poboljšanje sigurnosti SOAP poruka kroz zaštitu integriteta, povjerljivosti poruka te kroz autentifikaciju korištenjem jedne poruke.

Username Token Profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa dostavlja UsernameToken kao način identifikacije kori�tenjem "korisničkog imena" i proizvoljnog korištenja lozinke (ili dijeljenje tajne ili nekog ekvivalenta lozinke) kako bi se korisnik autentificirao kod dobavljača Web servisa.

X.509 Token profile 1.1 Ovaj dokument opisuje kako koristiti X.509 certifikate sa WSS uslugama: SOAP Message Security specifikacijom.

SAML Token profile 1.1 Ova specifikacija opisuje upotrebu SAML potvrda kao sigurnosnih tokena kroz <wsse: Security> zaglavlje koje je definirano sa WSS: SOAP Message Security specifikacijom.

Kerberos Token Profile 1.1 ). Ova specifikacija opisuje upotrebu Kerberos (Kerb) tokena u odnosu na WSS: SOAP Message Security specifikaciju . Posebno, ovaj dokument definira kako kodirati Kerberos karte te kako ih spojiti na SOAP poruke.

Rights Expression Language (REL) Token profile 1.1 Ovaj dokument opisuje kako upotrijebiti ISO/IEC 21000-5 Rights Expressions sa WSS specifikacijom. ISO/IEC 21000-5 norma definira autorizacijski model koji specificira da li semantika izraza, koji definira prava, dozvoljava određenom subjektu da izvodi dana prava na



273

proizvoljno danom objektu u danom vremenu na osnovi danog ovlaštenja i povjerenja.

SOAP with Attachments (SwA) profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa mo�e osigurati SOAP dodatke koristeći SOAP Message Security normu za očuvanje integriteta, tajnosti i autentičnosti izvora dodatka, te kako primatelj mo�e obraditi takvu poruku.

Protokolni slog sa SOAP Message Security Kako bi sagledali što bolje sigurnost i interoperabilnost Web servisa dobro je pogledati protokolni slog u svjetlu 7 razina mrežnog protokola.

Shematski bi se struktura sigurnosnih informacija u SOAP poruci prema WS-Security protokolu mogla prikazati na sljedeći način:



274

Struktura sigurnosnih informacija u SOAP poruci prema WS-Security protokolu Interoperabilni sigurnosni servisi WS-I Basic Security Profile radna grupa razvila je interoperabilni profil koji je povezan sa sigurno�ću transporta, sigurno�ću razmjena SOAP poruka te ostalim osnovnim profilima koji su orijentirani na sigurnost Web servisa.



275

VIŠERAZINSKA SIGURNOST NA MREŽAMA Principi:

mandatna kontrola pristupa označavanje subjekata i objekata povjerenje

Svojstva u pristupu podatcima (Bell-La-Padula):

Jednostavno svojstvo sigurnosti (ss-property) koje kaže da niti jedan korisnik nesmije čitati podatke na razini koja je vi�a od one za koju je osoba ovla�tena.

Svojstvo zvijezde (*-property) koje kaže da niti jedna osoba nesmije pisati podatke na

razinu koja je niža od razine na koju je osoba pristupila. Povjerljivo mre�no sučelje (Trusted Network Interface - TNI) Slika 9.39 pokazuje grafički strukturu povjerljive računalne baze (trusted computing base-TCB) za operacijski sustav. Povjerljivo sučelje za mre�e razvijeno je, na način sličnom operacijskim sustavima, kako je pokazano na slici 9.40.

odgovara za sredstva koja kontrolira svaki host ima svoje sučelje (različito) za�tićuje se od hosta koji se priključuje bez TNI-a

Mre�a i mre�no sučelje moraju osigurati slijedeće:

Sigurne višerazinske hostove (računala) Označeni izlaz. Kontrola klasifikacije prije oslobađanja podataka. Integritet podataka. Zatvorenost. Zaštitu od kompromitiranja linije.



276



277

Rushby i Randell dizajn mreže:

kriptografsko odvajanje hostova jedinstven ključ za svaku sigurnosnu razinu neizmjenjeni operacijski sustav sva sigurnost u TNI



278

Sigurna komunikacija Alternativni pogled na mrežnu sigurnost dan je od Walker-a :

mreža povjerljivih i nepovjerljivh hostova povjerljivi hostovi sa više sigurnosnih razina (mandatna politika pristupa) nepovjerljivi hostovi istu razinu sigurnosti hostovi odgovorni za verifikaciju sigurnosti vlastitih komunikacija nepouzdanost komunakcije – sigurnosni problem potvrda prijema (tajni kanal ?)

Rješenje nepouzdanosti komunikacije:

uvođenje komunikacijskog servera (XS) na povjerljivom hostu (niska razina) prijenos unutar povjerljivog hosta pouzdan potvrda prijema od XS

Komunikacija s nepovjerljivim hostom:

ne može koristiti gornju tehniku ( ne provodi pristupnu politiku – ista sigurnosna razina)

uvodi se povjerljivi mre�ni menađer (slika 9.43) povjerljivi menađer mo�e kr�iti svojstva BLP modela (rigorozna inspekcija koda)



279

Zaključno o mre�noj sigurnosti Sigurnosna pitanja:

tajnost, integritet, autentičnost i raspoloživost.

Enkripcija (snažan alat)

enkripcija veze (transaprentna) enkripcija sa kraja na kraj (upravljana od korisnika)

Prijenosni protkoli – očuvanje integriteta podataka Ranjivost:

pristup od neovla�tenih korisnika ili čvorova impersonizacija ovla�tenih korisnika ili čvorova

Mjere:

kontrola pristupa i tehnike autentifikacije

Problem mrežne sigurnosti - uspostava povjerenja udaljenog čvora Napadač na mre�nu sigurnost: Da li je to najslabija veza ? Da li imam vještine da to prihvatim? Da li je to vrijedno truda ?



280

12. TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM SIGURNOSNIM BAZAMA PODATAKA

TRADICIONALNA TRANSAKCIJSKA OBRADA Cilj mehanizama za kontrolu istovremenih (konkurentnih) pristupa (CC- concurrency control) je da se očuva integritet baze podataka čak i u slučaju istovremenih pristupa od strane vi�e korisnika kroz pravilnu sinkronizaciju izvođenja transakcija. Taj princip je najbolje ilustrirati kroz slijedeći primjer. Primjer 2.1.(Zašto trebamo protokol za kontrolu istovremenih pristupa). Razmotrimo bazu podataka za odr�avanje stanja informacija o korisničkim bankovnim računima. Pretpostavimo da korisnik gospodin. Kovač ima dva računa: tekući račun (A) i račun za �tednju (B). Račun B koristi i njegova supruga gđa Kovač. Pretpostavimo da je trenutno stanje računa A 1000 $ a stanje računa B je 10000 $. Razmotrimo slijedeći scenarij: transakcija T1 inicirana od g. Kovača miče 100 $ iz računa A na račun B, dok druga transakcija T2 , inicirana od gđe Kovač pola�e na račun B iznos od 10000 $.

Slika 2.1 Neispravno istovremeno izvođenje ACID zahtjevi na obradu transakcija Od izvođenja transakcija se očekuje da se zadovolji:

atomnost (atomicity), konzistentnost (consistency), izolacija (isolation) i postojanost (durability),

Poznato pod nazivom ACID svojstava.

T1 T2

Read A A = A - 100 Read B Write A B = B + 10000 Read B Write B Commit T2 B = B + 100 Write B Commit T1



281

U distribuiranim bazama podataka: dodatno se zahtjeva "atomic commit protocol - ACP" kako bi se osigurala atomnost

transakcije u distribuiranoj bazi podataka. ispravna integraciju ACP-a i CC protokola.

Protokoli za kontrolu istovremenih (konkurentnih) pristupa (CC protokoli) Izmije�ano izvođenje transakcija T1 i T2 koje rezultira ispravnim stanjem.

Slika 2.2 Ispravno istovremeno izvođenje

Izvođenje koje je ekvivalentno serijskom izvođenju naziva se serijabilno. CC protokol se koristi kako bi se osigurala serijabilnost. Algoritmi za CC protokol:

dvo-fazno zaključavanje (two-phase locking) i poredak prema vremenskom označavanju (timestamp ordering).

Dvo-fazno zaključavanje (2PL):

Protokoli koji se zasnivaju na zaključavanju provode ka�njenje konfliktnih operacija kroz postavljanje brave (locka) na podatkovne elemente u bazi koji se čitaju ili upisuju u bazu.

Pod pojmom konfliktne operacije podrazumijevaju se operacije koje referenciraju iste

podatke (elemente u bazi) ali od kojih je barem jedna operacija, operacija upisa (write).

2PL zahtjeva da su sve transakcije dobro oblikovane i da su dvo-fazne.

o transakcija mora ostvariti dijeljenu bravu (S-Lock) na podatcima u bazi prije njihovog čitanja i isključivu bravu (X-lock) prije njegovog upisivanja.

T1 T2

Read A Read B A = A - 100 B = B + 10000 Write A Write B Commit T2 Read B B = B + 100 Write B Commit T1



282

o Transakcija je dvofazna ukoliko ona više ne postavlja brave (locks) na elemente u bazi nakon što je oslobodila bravu (lock) na nekom podatkovnom elementu u bazi.

Poredak prema vremenskim oznakama (TO):

pridružuju jedinstvenu vremensku oznaku (timestamp) (ts(Ti)) svakoj transakciji (Ti).

Svaki podatkovni element (x) je povezan sa vremenskom oznakom posljednje transakcije koja je čitala ili upisivala u taj element i to rts(x) i wts(x) respektabilno.

dozvoljava konfliktnim operacijama izvođenje samo u rastućem poretku vremenskih

oznaka i to: o (1) Ti nije dozvoljeno čitanje x osim ako je wts(x) ≤ ts(Ti), i o (2) Ti nije dozvoljeno pisanje u x osim ako je rts(x) ≤ ts(Ti).

Protokoli potvrde izvršenja (Commit Protocols) Kada je distribuirana transakcija podijeljena na podtransakcije za izvođenje na pojedinačnim lokacijama mi moramo osigurati da one sve potvrde završetak (commit) ili da sve zajedno abortiraju (abort). Vrste:

Dvo-fazni protokol potvrde završetka (2PC) Early Prepare (EP): Optimizacija 2PC protokola

Primjer 2.2 (Zašto trebamo Commit protokol). Razmotrimo primjer iz prijašnje sekcije. Pretpostavimo da se tekući račun (račun A) gosp. Kovača odr�ava u Splitu (lokacija 1) a njegov račun za �tednju (račun B) u Zagrebu (lokacija 2). Pretpostavimo da on �eli povući 1000 $ sa svoga �tednog računa na tekući račun. Pretpostavimo da je distribuirana transakcija inicirana sa lokacije 1 da provede ove operacije. Slijedeći skup operacija treba biti izveden na obje lokacije: Lokacija 1 Lokacija 2 Read A Read B A = A + 1000 B = B - 1000 Write A Write B Kako bi se osigurala atomnost izvođenja svih komponenata distribuirane transakcije (koje se često nazivaju subordinate) potreban je " atomic commit protocol" (ACP). Dvo-fazni protokol potvrde završetka (2PC)

o Pripremna faza o Faza odluke



283

Coordinator subordinate

Slika 2.3. Osnovni 2PC protokol

Early Prepare (EP): Optimizacija 2PC protokola Coordinator Suobordinate

Slika 2.4. EP protokol

Work request, prepare

Yes Commit

Yes

Acknowledge

Work request

Done Prepare

Yes

Commit

Acknowledge

6n messages



284

TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM BAZAMA PODATAKA Sigurnosni protokoli za transakcijsku obradu zajedno sa ograničenjima Bell-LaPadula ograničenjima moraju biti oslobođeni od svih tajnih kanala (covert channels). Problemi postojećih rje�enja u tradicionalnim uvjetima U obje situacije (locking i timestamping) kad god postoji natjecanje za podatkovne elemente od strane transakcija koje se izvode sa različitih pristupnih klasa, transakcija ni�e pristupne klase je ili zakašnjela ili suspendirana kako bi se osigurala ispravno izvođenje. U takvom scenariju dvije transakcije koje se izvode na visokoj i niskoj razini mogu stvoriti kanal za prijenos informacija sa visoke razine na nisku selektirajući neki podatkovni element prema unaprijed usvojenom kodu. High: lock2[x], r2[x] lock2[y], w2[y] Low: w1[x] bit će zaka�njen

Slika 3.1 Tajni kanal uz 2PL protokol TO protokol također je ranjiv na isti odljev tajnih informacija. Pretpostavimo da je ts(T1) < ts(T2). Budući da T1 poku�ava upisati x nakon �to je T2 pročitao x, ta operacija pisanja se odbija budući je vremenska oznaka čitanja od x rts(x)) > ts(T1) te zbog toga T1 mora biti abortirana. Budući high transakcija mo�e selektivno prouzročiti (odnosno koordinirati) da low transakcija abortira uspostavljen je tajni kanal za prijenos high informacija. Signalni kanal, ipak, se može ukloniti ukoliko high transakcija ne postavlja lock na low podatak ili da oslobodi lock kada low transakcija zahtjeva low podatkovni elemenat. Slično u slučaju TO kanal se mo�e ukloniti ukoliko high transakcija ne mijenja vremensku oznaku čitanja na low podatkovnom elementu. Međutim to mo�e dovesti do povijesti događaja koja je označena na slici 3.2. High: T2, z r2[x] r2[y], w2[z] Low: T1, x, y w1[x], w1[y]

Slika 3.2 Neserijabilna povijest događaja Povijest događaja nije serijabilna budući je pripadni serijabilni graf sadr�i ciklus prikazan na slici 3.3. (strelica od T1 prema T2 postoji zbog konfliktnih operacija r2[x] i w1[x] gdje r2[x] prethodi w1[x], te strelica od T2 prema T1 postoji zbog konfliktnih operacija w1[y] i r2[y].



285

Slika 3.3 Graf serijabilnosti za povijest sa slike 3.2 Revidirani zahtjevi Raspoređivač (scheduler) koji implementira protokol konkurentnih pristupa u vi�erazinskom sustavu baza podataka mora zadovoljiti slijedeća ključna svojstva:

1. mora osigurati ispravno izvođenje transakcija 2. mora sačuvati sigurnost ( tj. da mora biti oslobođen tajnih kanala) 3. mora biti implementiran kroz nepovjerljivi kod 4. te mora izbjegnuti izgladnjenje (starvation).

Komercijalna rješenja Kako tri glavana ponuđača povjerlivih DBMS-a (Sybase, Oracle i Informix) rješavaju ove probleme. Sybase kontrolu konkurentnih pristupa koristi obični 2PL koji kako je pokazano nije siguran. Informix koristi rješenje koje dozvoljava da transakcija postavlja write lock na low podatkovne elemente iako high transakcija drži read lock na tom podtakovnom elelmentu. Povjerljivi Oracle u drugu ruku koristi kombinaciju zaključavanja i tehnike multiverzioniranja.. Istraživanja Postoji dosta istra�ivačkih radova koji se odnose na rje�enja za:

repliciranu i jezgrastu arhitekturu višerazinskih DBMS sustava.

Replicirane arhitekture kao što je poznato proizvode višerazinski DBMS iz jednorazinskog DBMS-a.. Izazov je kako kreirati prokol za kontrolu replika da bi se zadovoljilo svojstvo serijabilnosti za jednu kopiju podatkovnih elemenata. Jezgrasta arhitektura pobolj�ava tu situaciju učinkovitosti kori�tenja resursa.



286

Kroz upotrebu jezgraste arhitekture predlo�ena su neka od slijedećih rješenja:

Slabiji kriteriji ispravnosti Korištenje analize transakcija za postizanje serijabilnosti Sigurni Commit protokoli (S2PL i SEP) i dr.

Slabiji kriteriji ispravnosti. Moguće je zauzeti stav da je tradicionalni zahtjevi ispravnosti preoštri za MLS baze podataka. Korištenje analize transakcija za postizanje serijabilnosti. Tu se koristi prethodnica raspoređivača koja analizira transakcije na skupove čitanja i pisanja te ih prosljeđuje raspoređivaču prema specifičnom poretku kako bi se zadovoljila serijabilnost. Sigurni Commit protokoli (S2PL i SEP). Jajoida i McCollum su predložili algoritam za sigurni 2PL (S2PL) protokol, dok je Alturi sa suradnicima predložio sigurni EP (SEP) algoritam.



287

13. SUSTAVI ZA RANO OTKRIVANJE NAPADA (IDS/IPS - Intrusion Detetction/Prevention Systems) DEFINIRANJE SUSTAVA ZA DETEKCIJU UPADA Detekcija upada je proces praćenja događaja koji se zbivaju u računalnom sutavu ili računalnoj mre�i te njihovoj analizi za otkrivanje sigurnosnih problema. Pojam i definicija detekcije Naziv detekcija se također koristi u vojnom okru�enju za nadzor fizičkih entiteta (kao �to su komunikacijski kabeli) za detekciju provaljivanja ili drugih fizičkih izmjena. Vojni standardi opisuju sistemske funkcije i testove za to područje. Ovdje ćemo pod detekcijom upada smatrati funkcije praćenja (nadzora), detekcije i odgovora koje su usmjerene na aktivnosti u računalnim sustavima i mrežama. KONCEPT SUSTAVA ZA DETEKCIJU UPADA Arhitektura Odvojena od sustava koji se štiti:

Kako bi se spriječilo uspje�nog napadača da onemogući IDS sa brisanjem slogova zapisa.

Kako bi se spriječilo uspje�nog napadača od izmjene rezultata IDS-a kako bi prikrio svoju prisutnost.

Kako bi se smanjilo opterećenje koje proizlazi iz rada IDS-a na operativnom sustavu.

Sustav koji izvodi IDS - host računalo, Sustav ili mreža koji se motri - ciljni sustav.

Strategija motrenja

Monitori zasnovani na hostu skupljaju podatke iz izvora interno na računalu, obično na razini operacijskog sustava.

Mrežni monitori skupljaju mrežne pakete. Monitori aplikacije skupljaju podatke iz aplikacije koja se izvodi. Monitori cilja funkcioniraju malo različito od dosad navedenih, budući oni generiraju

svoje vlastite podatke.

Vrste analiza

Detekcija zlouporabe – Stroj gleda i traži nešto što je definirano da bude "loše". Detekcija anomalija – Stroj gleda i tra�i ne�to �to je rijetko ili neobično.



288

Slika 2.2 Generički IDS Vremenski raspored

Intervalni/Batch mod Stvarno vrijeme

Ciljevi detekcije

Odgovornost Odgovornost (accountability) je sposobnost povezivanja aktivnosti ili događaja unatrag sa odgovornom stranom

Odgovor U detekciji upada, odgovor se događa kada analiza proizvede rezultat koji zahtjeva akciju.

o zapis rezultata analize u log datoteku, o okidači za alarme za različite predodređene vrste upada, o izmjena IDS-a na ciljanom sustavu, o skretanje pažnje putem tiska, o poruke vatrozidovima (firewalls) ili usmjernicima (routerima).

Problemi upravljanja Centralizacija



289

Centralizirano izvještavanje i upravljanje arhitekturom. Integracija sa alatima za upravljanje mrežom

Sagledavanje detekcije upada kao funkcije upravljanja mrežom Određivanje strategije za detekciju upada

Optimalna strategija: Kritičnost ili osjetljivost sustava koji se �titi Priroda sustava (na primjer, složenost sklopovske i programske platforme) Priroda sigurnosne politike organizacije Razina prijetnji u okolini u kojoj sustav radi

SHEME ZA PROVOĐENJE ANALIZE

Za dobivanje bogatih izvora informacija suočeni smo sa monitoriranjem, a slijedeći korak na krugu detekcije upada je analiza tih informacija. Kroz ovu analizu suočeni smo s problemima detekcije upada: �to se događa, i da li smo zainteresirani za to ?

Razmišljanja o upadima Definiranje analize

Slika 4.1 Opći model upravljanja sigurnosnim sustavom

Ciljevi

Značajno zastra�ivanje (odvraćanje)



290

Kontrola kvalitete izgradnje sigurnosnog sustava i njegove administracije Korisna infromacija o aktualnim napadima

Podržani ciljevi

Kako svaki od navedenih ciljeva usmjerava specifične funkcionalne zahtjeve za IDS sustave:

Zahtjevi

o odgovornost, o detekcija u stvarnom vremenu i odgovor.

Podciljevi

o zadr�ati informaciju u formi koja podr�ava forenzičarsku analizu mre�e. o zadržavanje znanja o performansama sustava ili identificiranje problema

koji djeluju na performanse. o arhiviranje i za�tita integriteta slogova događaja zbog zakonskih obaveza.

Postavljanje prioritetnih ciljeva Odnosi

U nekom trenutku , ciljevi i zahtjevi mogu biti u konfliktu.

Detektiranje upada Ljudski detektor Vanjski događaji Prethodnica upada

o napadač koji ima temeljni sustav za buduće napade o znakovi smještaja Trojanskog konja o probijene sistemske datoteke o novlašteni ID u datoteci lozinki

Tvorevina upada o njuškala (snifers) lozinki po log datotekama, o neobja�njene gre�ke rač. sustava, o o�tećene datoteke, o nenormalni uzorci kori�tenja računalnih sredstava, o nered u zapisima za obračun, o neuobičajena razina mre�nog prometa.

Motrenje napada u stvarnom vremenu

Otvara vrata blokirnaju napada te drugim adaptivnim odgovorima na detektirane probleme.



291

AUTOMATIZIRANI ALATI ZA DETEKCIJU UPADA

Slika 6.1. Struktura IDS-a Namjera automaiziranih alata :

evidentirati pokušaje kršenja sigurnosti ili off-line ili on-line prijetnje koje se obrađuju iz revizijskih podataka u stvarnom vremenu

o prijetnje vanjskih napadača (intrudera) o prijetnje unutarnjih napadača (ovla�tenih korisnika koji koriste

računalna sredstava na neovla�ten način) o ovlašteni korisnici koji zlorabe svoje pristupne privilegije (misfeasors).

Metode: metoda usporedbe profila korisničkih aktivnosti (detekcija anomalija), metode poznatih napada (detekcija zlouporabe), kombinacije gornjih metoda.

Faze aktivnosti:

prihvaća revizijske zapise od jednog (vi�e) host računala izdvaja ono što je relevantno za analizu, generira profil aktivnosti koji uspoređuje sa svojom internom bazom.

o baza anomalija usporedba je statističkog tipa; o baza zlouporabe usporedba uključuje prepoznavanje uzoraka.

rezultat analize se sprema u IDS bazu podataka izmjena revizijskih zapisa kod analize modela ponašanja

Rješenja:



292

uvođenje pozadinskih vrata (trapdoor) za uljeze (napadače) (dummy ID i magična lozinka koja okida alarm ukoliko se koristi)

definirati pravila koja definiraju uzorke ponašanja za klase korisnika –normalno i abnormalno ponašanje (razvoj ekspertnih IDS-a.)

formiranje korisničkog profila koji se periodički a�urira na osnovi korisničkog pona�anja (adaptivno učenje).

kodificirati ranjivost sustava i scenarij poznatog napada u sigurnosna pravila korištenje modela zasnovanog na zaključivanju (model prethodno definiranih poznatih

napada) pristupi, koji nisu zasnovani na sumnji, definiraju prihvatljiva ponašanja koriste potencijal neuronskih mreža kako bi adaptivno reagirali na napad upada monitori pojava i monitori ponašanja za specijalne upade (virusi).

Postojeći alati i prototipovi rje�enja:

Mnogi IDS sustavi su zasnovani na analizi revizijskih zapisa koje osigurava operacijski sustav ačunala (OS).

Primjeri su:

SRI – ov IDES, NSA-ov MIDAS, Haystack Laboratories –ov Haystack System, Los Almos national Laboratory –ov Wisdom & Sens (W&S), AT&T-ov Compute Watch, Planning Research Corporation-ov Information Security Officer's Assitant

(ISOA).

Pristup zasnovan na ekspertnom sustavu: IDES sustav Osnovni razlozi :

Mnogi postojeći informacijski sustavi imaju sigurnosne rupe koje ih čine ranjivim na prijetnje upada. Često je ne moguće označiti ili ukloniti ove rupe, iz tehničkih ili ekonomskih razloga.

Postojeći sustavi sa poznatim sigurnosnim rupama ne mogu biti lako zamijenjeni sa sigurnim ustavima budući oni često zavise o aplikacijskom sustavu ili supstitucija zahtjeva značajni ekonomski ili tehnički napor.

Razvoj apsolutno sigurnih sustava je ekstremno te�ak posao, a često i nemoguć. Čak i jako sigurni sustavi su ranjivi na zlouporabu od strane legitimnih korisnika.

IDES je real-time sustav koji spada u kategoriju sustava koji su zasnovani na iskustvu i učenju koje se dobiva kroz promatranje, a ne na čvrstim pravilima.

Osnove IDES-a

IDES koristiti rješenje kroz ekspertni sustav, uz pretpostavku da eksploatacija ranjivosti za zloporabu sustava vodi abnormalnom korištenju (anomaliji) sustava.



293

Odnosi između prijetnji i pona�anja

Pokušaj upada. Maskiranje. Upadi od strane legitimnih korisnika. Širenje podataka od strane ovlaštenih korisnika. Zaključivanje od strane ovlaštenih korisnika. Trojanski konji. Virusi. Odbacivanje usluga (DoS).

Analiza anomalijskog ponašanja

Definiranje modela za detekciju upada zahtjeva profile i pravila koja treba odrediti. Metrika

Brojač događaja Vremenski interval Mjerenje sredstava

Statistički modeli

Operacijski model. On je zasnovan na pretpostavci da se anomalija može odrediti usporedbom nove promatrane vrijednosti od x sa čvrstim ograničenjem

Model prosjeka i standardne devijacije. On je zasnovan na pretpostavci da bi nova promatrana vrijednost bila smatrana “normalnom” ako ona leži unutar povjerljivog intervala:

avg d x stdev

gdje je avg prosječna veličina, a stdev je standardna devijacija, a d je parametar.

Multivarijantni model. On je sličan modelu prosjeka/standardnoj devijaciji,

izuzev činjenici da je on zasnovan na korelaciji između dve ili vi�e mjera (metrika).

Markovljev model. Ovaj model razmatra svaki tip događaja (korisnički

zahtjev) kao varijablu stanja, te koristi matricu promjene stanja za krakterizaciju učestalosti tranzicije među stanjima.

Model vremenskih serija. Ovaj model, koristeći brojač događaja i mjerenje

sredstava te metriku intervala, uzima u obzir poredak te vrijeme intervala koji se dogodio između observacija kao i vrijednosti tih observacija (opažanja).



294

Svojstva profila

Slika 6.2 Hijerahija elemenata za koje se mogu definirati profili ponašanja

Profili su definirani u odnosu na subjekte koji izvode akcije prema objektima na kojima se te akcije izvode, te prema vrsti akcije.

Prijava na sustav (login) i profili aktivnosti sekcije (session)

Učestalost prijave. Učestalost lokacija. Posljednja prijava. Trajanje sekcije. Izlaz sekcije. CPU po sekciji, I/O po sekciji, stranice po sekciji, i td. Greške lozinki. Greške lokacija.

Profili izvođenja naredbi i programa

Učestalost izvođenja. CPU po programu, I/O po programu, i td. Odbačeno izvođenje. Zasićenje programskih resursa.



295

Profili pristupa datotekama

Profili pristupa datoteka se mogu definirati u odnosu na:

Učestalost read, vrite, create i delete operacija. Pročitani/zapisani slogovi. Greške read, write, create i delete operacija. Iscprljenost dadtotečnih resursa.

Profili pristupa bazama podataka:

"retrive", "update", "insert" i "delete" pristup mora se razmatrati za slogove u relaciji, "create" i "delete" mod za cijelu realciju. "Retrive" operacije na bazi podtaka odgovaraju "file read" operacijama; "update", "insert" i "delete" operacije odgovaraju "file write" operacijama.

Korištenjem baze podataka i skupa procesa IDES nadgleda:

Prijetnje upada; Maskiranje; Upad u sustav od strane vanjskih korisnika; Prijetnje zaključivanja i agregacije; Kanale za širenje informacija: prate se dva tipa tajnih kanala: memorijski kanali, koji uključuju zasićenje računalnih sredstava i izuzetnih uvjeta; te vremenskih kanala (koji vode do zakljiučivanja o svojstvima korištenja sistemskog vremena); Odbacivanje usluga (DoS); Popratni efekti: prouzročeni virusima, crvima, ili sličnim programima koji dovode do DoS ili o�tećenja podataka i programa.

IDES model IDES sigurnosni model sadr�i slijedeće elemente (slika 6.3):

1. Subjekte: inicijatore aktivnosti sustava koji se monitorira (nadgleda). 2. Objekte: to su sredstva sa kojima radi informacijski sustav: a to su entiteti na kojima

se izvode akcije. 3. Revizijski slogovi (audit records). to su slogovi zapisa akcija koje zahtjevaju korisnici

na sustavu koji se nadgleda.. Svaki slog se sastoji od šestorke tipa:

(subjekt, akcija, objekt, uvjet-izuzeća, kori�tenje resursa, vrijeme) gdje je:

Akcija: operacija pristupa (npr. login, logout, read, execute); Subjekt: subjekt koji je zahtjevao akciju; Objekt: objekt koji se zahtjeva od akcije; Uvjet izuzeća: opisuje moguće izuzeće koje se vraća subjektu u slučaju

djelomičnog/potpunog odbijanja zahtjeva za izvođenje akcije od strane



296

sustava. Taj uvjet može biti, pored jasnog opravdanja za odbijanje servisa koji se vraća korisniku, i slijedeći motiv koji se ne vraća korisniku iz sigurnosnih razloga (budući korisnik iz toga mo�e zaključiti na informaciju iz danog motiva);

Korištenje sredstava: Lista kvantitativnih elemenata od kojih svaki daje iznos korištenja svakog sredstva. Na primjer, broj linija ili štamapnih stranica, broj pročitanih/zapisanih slogova, vrijeme kori�tenja CPU-a ili I/O jedinica, trajanje sekcije;

Vrijeme: pojava akcije izvođenja

Slika 6.3 Elementi IDES modela

4. Profili: strukture koje opisuju (karakteriziraju) ponašanje subjekata nad objektima u formi metričkih ili statističkih modela.

Profil aktivnosti opisan je desetorkom: (ime varijable, uzorak akcije, uzorak izuzeća, uzorak kori�tenja sredstava, period, tip varijable, prag, uzorak subjekta, uzorak objekta, vrijednost)



297

gdje je:

Ime varijable: ime varijable; Uzorak akcije: odgovara nula ili više akcija u revizijskom slogu (npr., "login",

"read", "execute", i td.); Uzorak izuzeća: odgovara poljima uvjeta izuzeća u revizijskom slogu; Uzorak korištenja sredstava: odgovara polju korištenja sredstva revizijskog

zapisa; Period: opisuje dužinu vremenskog perioda na koji se odnosi period

nadgledanja: npr. dan, sat, minuta. Ta komponenta je nula ako period nije fiksiran;

Tip varijable: definira metrički ili statistički model na kojem se definira profil: na primjer brojač događaja ili model prosjek/standardna devijacija;

Prag: parametar koji definira granicu (granice) koji se koristi u statističkom testiranju kako bi se odredila anomalija.

Uzorak subjekta: odgovara polju subjekta na revizijskom zapisu; Uzorak objekta: odgovara polju objekta na revizijskom slogu (zapisu); Vrijednost: vrijednost najnovijih observacija (promatranja) i parametara koji se

koriste u statističkom modelu kako bi prezentirali distribuciju prethodnih vrijednosti.

5. Zapisi anomalije: to su slogovi koji opisuju nelegitimno ponašanje korisnika

Anomalijski zapisi su definirani sa trojkama oblika : (događaj, vrijeme, profil) gdje je:

Događaj indicira događaj koji je pokrenuo anomaliju. Vrijeme. Profil je profil aktivnosti prema kojem je određena anomalija.

6. Pravila za izvođenje aktivnosti: ona opisuju akcije koje se moraju izvesti kada su

zadovoljeni dani uvjeti. Pravila aktivnosti se mogu grupirati u četiri klase:

Pravila revizijskog zapisa. Pravila za periodičko a�uriranje aktivnosti. Pravila zapisa anomalije. Pravila za periodičku analizu anomalija.

Modeli profila aktivnosti (ponašanja) i upravljanje profilima aktivnosti



298

Modeli profila su uzorci koji se koriste za definiranje novih profila aktivnosti. Dakle, svaki profil aktivnosti je kreiran na osnovi nekog modela profila, uz specifikaciju subjekta i objekta na koji se profil odnosi.

Arhitektura sustava IDES IDES baza podataka sadrži (slika 6.4):

Revizijski podatak. To se odnosi na revizijski zapis koji se šalje IDES-u od strane nadgledanog sustava. On je smješten u tabelu i ispitan kako bi ažurirao aktivni ili anomalijski podatak;

Aktivni podatak. Sadr�i veličinu aktivnosti koja se provodi od strane korisnika za pojedinačnu varijablu koja se mjeri.Tabela razmatranih upada se koristi za svaku varijablu. Podatci se periodički koriste za a�uriranje korisničkih profila, a koji se odnose na danu varijablu;

Arhivirani podatak. To su ispitani revizijski podatci, koji su već obrađeni za potrebe ažuriranja ili analizu anomalije. Oni su smje�teni u tablicu i periodički odstranjivani;

Podatak profila. On definira profile normalnog ponašanja svakog korisnika ili grupe korisnika. On je smješten u skup tablica (je dana za svaki razmatrani upad za svaku varijablu);

Podatak rasporeda. On pokazuje period ažuriranja svakog profila te datum posljednjeg ažuriranja profila. On je spremljen u skup tablica (jedna za upade za svaku varijablu koja se mjeri);

Anomalijski podatak. To je anomalijski zapis koji se vidi u modelu. Oni su smještenu u skup tablica ( po jedna za svaki tip anomalije).

Procesi koji implementiraju IDES komuniciraju jedan sa drugim kroz bazu IDES-a. Oni su:

Prijemnik. On implementira IDES protokol. Detektor anomalije. On uzima zapis koji se odnosi na revizijski podatak i ažurira

aktivni podatak. Arhivar. On periodički back-upira podatke; Ažurnik profila. Ovaj proces ažurira profile na osnovi aktivnog podatka na kraju

vremenskog perioda koji se odnosi na profil koji se razmatra; Čistač (reset) aktivnog podatka. Skupljena aktivnost unutar perioda se ugrađuje u

globalnu aktivnost, broj perioda se povećava za jedan, a aktivnost se postavlja na 0; Administratorsko sučelje. IDES sučelje zasnovano na Windows sustavu, osigurava:

o monitor stanja, koji pokazuje trenutno stanje IDES-a; o monitor anomalija, koji pokazuje abnormalno pona�anje određeno u sustavu za

mjeru (ili mjere) koje su se dogodile u prošlosti ili u sadašnjosti; o monitor upita, koji dozvoljava administratoru da pristupa IDES bazi,

upotrebom prethodno definiranih SQL upita.



299

Slika . 6.4 Struktura IDES prototipa . IDES prototip radi na drugom stroju od nadgledanog sustava. To donosi prednosti u smislu:

Performansi. Prisustvo IDES-a ne povećava vrijeme odziva; Sigurnost. IDES se može zaštitti u odnosu na nadgledani sustav, tako da korisnici

nadgledanog sustava ne mogu pristupiti IDES-u kako bi ga ispiatali i izmjenili. Integracija. IDES se mo�e lako prilagoditi različitoj okolini i integrirati.



300

Slika 6.5 Interakcija između IDES komponenti (R=čitaj, I=umetni, D=izbri�i, M=izmjeni).

IDES je pokazao:

dobru snagu u razlikovanju između normalnog i abnormalnog pona�anja kori�tenja sustava,

upotreba prototipa je pokazala nizak broj pogrešnih alarma, te prilično zadovoljavajući postotak detekcije sigurnosnih prekršaja.



301

14. UPRAVLJANJE I NADZOR SIGURNOSNOG SUSTAVA IS (ISMS) Kako bi informacijski sustav bio za�tićen na pravi način potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne mjere zaštite, koje se odnose na ljude, tehnologiju i procese. ISMS familija normi Ova familija normi poma�e organizacijama svih vrsti i veličina da implementiraju i pogone ISMS a sastoji se se od slijedećih normi pod općim nazivom: Information technology - Security techniques:

ISO/IEC 27000:2009, Information security management systems - Overview and vocabulary

ISO/IEC 27001:2005, Information security management systems -Requirements ISO/IEC 27002:2005, Code of practice for information security management ISO/IEC 27003, Information security management systems implementation guidance ISO/IEC 27004, Information security management - Measurement ISO/IEC 27005:2008, Information security risk management ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of

information security management systems ISO/IEC 27007, Guidelines for information security management systems auditing ISO/IEC 27011, Information security management guidelines for telecommunication

organizations based on ISO/IEC 27002. Međunarodne norme koje nisu pod gore navedenim općim nazivom, a također pripadaju ISMS familiji normi su:

ISO 27799:2008, Health informatics - Information security management in health using ISO/IEC 27002

Sustav upravljanja informacijskom sigurno�ću (ISMS) Sve organizacije, svih vrsta i veličina:

Skupljaju, obrađuju, pohranjuju i prenose velike količine informacija; Prepoznaju da su informacije i njima pripadni procesi, sustavi, mreže i ljudi vrlo važna

imovina za postizanje poslovnih ciljeva organizacije, Suočavaju se sa �irokom područjem rizika koji utječu na funkcioniranje njihovr

imovine i Modificiraju rizike kroz implementaciju sigurnosnih kontrola.

Budući se rizici informacijske sigurnosti te učinkovitost kontrola mijenjaju ovisno o promjenama okoline, svaka organizacija treba:

a) Nadzirati i vrednovati učinkovitost implementiranih kontrola i procedura b) Identificirati pojavu rizika koji se moraju obraditi

Odabrati, implementirati i poboljšavati kontrole kada je to potrebno.



302

Što je to ISMS ? Sustav upravljanja informacijskom sigurno�ću - ISMS (Information security management system) osigurava model za uspostavu, implementaciju, rad, nadzor, preglede, održavanje i poboljšanje zaštite informacijske imovine u cilju postizanja poslovnih ciljeva koji su temeljeni na procjeni rizika te na prihvatljivoj razini rizika za organizaciju na kojima se zasniva učinkovita obrada i upravljanje rizika. Analiza zahtjeva za za�titu informacijske imovine te primjena odgovarajućih kontrola za njihovu zaštitu ako je potrebno, doprinosi uspješnoj implementaciji ISMS-a. Slijede osnovni principi koji također doprinose uspje�noj implementaciji ISMS-a:

a) Podizanje svijesti o razumijevanju i potrebi za informacijskom sigurno�ću b) Pridruživanje odgovornosti za informacijsku sigurnost c) Uključivanje podr�ke Uprave organizacije i interesa zainteresiranih strana d) Unapređenje sociolo�kih vrijednosti e) Procjena rizika određuje odgovarajuće kontrole kako bi se dosegla prihvatljiva razina

rizika f) Sigurnost uključiti kao va�an element informacijskih sustava i mreža g) Aktivna prevencija i detekcija incidenata informacijske sigurnosti h) Osiguranje sveobuhvatnog rje�enja za upravljanje informacijskom sigurno�ću i i) Kontinuirana procjena informacijske sigurnosti te provođenje izmjena kada je to

potrebno Procesni pristup Procesno rješenje za ISMS koje je korišteno u ISMS familiji normi , a koje je bazirano na principu na koje radi ISO sustavi upravljanja je općenito poznat kao Plan-Do-Check-Act (PDCA) proces (Deming-ov ciklus) :

a) Plan - postavljanje ciljeva i izrada planova ( analiza situacije u organizaciji, uspostava sveukupnih ciljeva, razvoj planova koji trebaju realizirati te ciljeve);

b) Do - implementirati planove (učiniti ono �to je planirano da se učini) c) Check - mjeriti dobivene rezultate (mjerenje/nadziranje postignutih rezultata u odnosu

na planirane ciljeve) i d) Act -Ispravi i pobolj�aj aktivnosti (uči iz gre�aka na pobolj�anju aktivnosti kako bi se

postigli bolji rezultati). Ovaj proces pokazan je na donjoj slici.



303

Aktivnosti koje se provode u ovom procesu dane su u sljedećoj tablici: Plan (uspostavljanje ISMS)

Uspostavljanje ISMS politike, ciljeva, procesa i procedura va�nih za upravljanje rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije

Do ( implementacija i pokretanje ISMS)

Implementiranje i pokretanje ISMS politike, kontrola i procedura

Check (nadgledanje i kontrola ISMS)

Procjena i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavanje uprave o rezultatima.

Act (odr�avanje i unapređivanje ISMS)

Izvođenje korektivnih i preventivnih akcija zasnivanih na rezultatima ISMS procjene (audita) i procjene uprave ili ostalim bitnim informacijama, kako bi se ISMS kontinuirano usavršavao.

Zašto je ISMS važan ? Uspješno usvajanje i uspostava ISMS-a je važno zbog zaštite informacijske imovine što omogućuje organizaciji da:

a) Posti�e veću garanciju sigurnosti u za�titi informacijske imovine od informacijskih rizika na kontinuiranoj osnovi

b) Održava strukturiran sveobuhvatan radni okvir za identifikaciju i procjeni rizika informacijske sigurnosti, odabir i primjenu odgovarajućih sigurnosnih mjera (kontrola) te mjerenje i pobolj�anje njihove učinkovitosti.

c) Kontinuirano poboljšava kontroliranu okolinu i d) Djelotvorno posti�e zakonsku i regulatornu usklađenost.



304

Uspostava, nadzor, održavanje i poboljšanje ISMS-a Organizacija treba poduzeti slijedeće korake u uspostavi, nadzoru, odr�avanju i poboljšanju ISMS-a:

a) Identificirati informacijsku imovinu te njihove sigurnosne zahtjeve b) Procijeniti rizike informacijske sigurnosti c) Odabrati i implementirati odgovarajuće kontrole kako bi upravljali sa neprihvatljivim

rizicima d) Nadzirati, održavati i poboljšavati učinkovitost sigurnosnih kontrola koje su povezane

sa informacijskom imovinom koja se štiti. Identifikacija zahtjeva informacijske sigurnosti

a) Identificirane informacijske imovine i njenih vrijednosti za organizaciju b) Poslovnih potreba za obradom i uskladištenje informacija c) Zakonskih i regulatornih i ugovornih zahtjeva i obveza

Procjena rizika informacijske sigurnosti Upravljanje rizicima informacijske sigurnosti zahtjeva prihvatljivu procjenu rizika te metodu obrade rizika koja uključuje procjenu tro�kova i dobiti, zakonske zahtjeve, sociološke, ekonomske i ekološke aspekte, brigu sudionika (zainteresiranih), prioritete i ostale odgovarajuće ulaze i varijable. Odabir i implementacija kontrola informacijske sigurnosti Jednom kada su identificirani zahtjevi informacijske sigurnosti te kada su određeni i procijenjeni rizici na identificiranu informacijsku imovinu (uključujući i odluku o obradi sigurnosnih rizika), odabiru se i implementiraju odgovarajuće kontrole. Nadzor, odr�avanje i unapređenje učinkovitosti ISMS-a Organizacija treba odr�avati i unapređivati ISMS kroz nadzor i procjenu performansi prema sigurnosnoj politici organizacije i njenim ciljevima, te treba izvještavati upravu za ocjenu postignutih rezultata. Kritični faktori uspjeha ISMS-a Velik je broj kritičnih faktora za uspjeh implementacije ISMS-a kako bi organizacija ostavrila svoje poslovne ciljeve. Primjeri kritičnih faktora uspjeha su:

a) Politika informacijske sigurnosti, ciljevi i aktivnosti koje su podešene ciljevima b) Rješenje i radni okvir za projektiranje, implementaciju, nadzor i unapređenje

informacijske sigurnosti koje je konzistentno s kulturom organizacije c) Vidljiva podrška i predanost na svim razinama upravljanja, posebno na razini visokog

menedžmenta d) Razumijevanje zahtjeva na zaštitu informacijske imovine koja se postiže kroz

primjenu upravljanja rizikom informacijske sigurnosti (vidi ISO/IEC 27005)



305

e) Učinkovit program podizanja svijesti o informacijskoj sigurnosti, treningu i edukaciji, informiranje svih zaposlenika i ostalih strana o njihovim obvezama koje su postavljene u sigurnosnim politikama, normama i dr.; kao i njihovo motiviranje da djeluju u skladu s tim politikama

f) Učinkovit proces upravljanja incidentima informacijske sigurnosti g) Učinkovito rje�enje za kontinuitet poslovanja, te h) Sustav mjerenja koji se koristi za vrednovanje performansi u upravljanju

informacijskom sigurno�ću te sugestije za unapređenje koje iz tog mjerenja proizlaze Kako će organizacija uspostaviti sustav upravljanja (ISMS) ?

ISO/IEC 27001:2005, Information security management systems -Requirements ISO/IEC 27002:2005 (proizašla iz norme ISO/IEC 17799:2005) , Code of practice

for information security management Norma ISO/IEC 27001:2005 Uspostavljanje ISMS-a Organizacija mora učiniti slijedeće:

Odredititi opseg i granice ISMS-a Definirati pristup procjeni rizika organizacije Identificirati rizike Analizirati i vrednovati rizike Identificirati i vrednovati opcije za obradu rizika Odabrati ciljeve kontrola i kontrole za obradu rizika Dobiti odobrenje uprave za predloženi nivo rezidualnog rizika

Dobiti ovlaštenje uprave za implementaciju i rad ISMS

Pripremiti izjavu o primjenjivosti

Implementiranje i rad ISMS-a Organizacija mora učiniti slijedeće:

Formulirati plan za obradu rizika Implemetirati plan za obradu rizika Implementirati odabrane kontrole kako bi zadovoljila ciljeve kontrola

Implementirati programe obuke i podizanja svijesti o informacijskoj sigurnosti Upravljati radom ISMS-a Upravljati resursima za ISMS Implementirati procedure i druge kontrole sposobne za omogućavanje trenutne

detekcije sigurnosnih događaja i odgovor na sigurnosne incidente



306

Nadziranje i provjera ISMS-a

Organizacija mora učiniti slijedeće:

Izvršavati, nadzirati i provjeravati procedure i ostale kontrole Izvoditi redovitu provjeru učinkovitosti ISMS-a Mjeriti učinkovitost kontrola Provjera procjena rizika u planiranim intervalima Izvoditi interne prosudbe (audite) u planiranim intervalima Izvoditi provjeru ISMS-a od strane Uprave Nadopunjavanje sigurnosnog plana Bilježenje akcija i događaja

Odr�avanje i unapređivanje ISMS-a

Implementirati uočena pobolj�anja ISMS-a

Poduzeti odgovarajuće korektivne i preventivne radnje

Obavijestiti prikladnom detaljno�ću sve zainteresirane strane o uvedenim izmjenama i poboljšanjima

Osigurati da poboljšanja postignu namjeravane ciljeve.

Zahtjevi za dokumentaciju Sadržaj ISMS dokumentacije

Dokumentirane izjave ISMS politike i ciljeve;

Opseg ISMS

Procedure i kontrole koje podupiru ISMS

Opis metodologije procjene rizika

Izvještaj procjene rizika

Plan obrade rizika

Kontrola dokumenata Dokumenti zahtijevani od ISMS-a moraju biti za�tićeni i kontrolirani

Kontrola zapisa Moraju se uspostaviti i odr�avati zapisi koji pru�aju dokaze o usklađenosti sa zahtjevima i efikasnom radu ISMS-a.



307

Odgovornost uprave

Obveza uprave

Uspostavljanje ISMS politike;

Osiguravanje da su ciljevi i planovi ISMS uspostavljeni;

Uspostavljanje funkcija i odgovornosti za informacijsku sigurnost;

Preno�enje kroz organizaciju značenja o ispunjavanju sigurnosnih ciljeva i zadovoljavanju sigurnosnih politika , zakonskih odgovornosti i potrebe za konstantnim unapređivanjem;

Pružanje dostatnih sredstava za uspostavljanje, implementaciju, rad, nadzor, provjeru, odr�avanje i unapređivanje ISMS

Odlučivanje o kriterijima za prihvaćanje rizika i prihvatljivoj razini rizika;

Osiguravanje provođenja internih prosudbi (audita) ISMS

Provođenje provjera ISMS od strane uprave

Upravljanje sredstvima

Dodjeljivanje sredstava Obučavanje, razina svijesti i stručnosti

Interne prosudbe (auditi) ISMS Organizacija će u planiranim intervalima izvoditi interne prosudbe ISMS kako bi ustanovila da ciljevi kontrola, kontrole, procesi i procedure ISMS:

Udovoljavaju zahtjevima ovog međunarodnog standarda i relevantnim zakonima i propisima;

Udovoljavaju identificiranim zahtjevima informacijske sigurnosti;

Su efikasno implementirani i održavani; i

Djeluju kako se od njih očekuje

Provjera ISMS od strane uprave Uprava će u planiranim intervalima (minimalno jednom godi�nje) provjeravati ISMS organizacije kako bi osigurala njegovu kontinuiranu primjerenost, adekvatnost i učinkovitost.

Ulazni podaci za provjeru

Rezultati provjere

Unapređivanje ISMS-a



308

Kontinuirano unapređivanje

Korektivna aktivnost

o Identificiranje nesukladnosti;

o Ustanovljavanje uzroka nesukladnosti;

o Procjenu potrebe za aktivnostima koje bi osigurale da se nesukladnost ne ponovi;

o Ustanovljavanje i implementiranje potrebnih korektivnih akcija;

o Zapisivanje rezultata poduzetih aktivnosti (vidi 4.3.3): i

o Provjeru poduzete aktivnosti

Preventive aktivnosti

o Identificiranje potencijalnih nesukladnosti i njihovih uzroka;

o Vrednovanje potrebe za poduzimanjem aktivnosti za spriječavanje pojave nesukladnosti;

o Zapisivanje rezultata poduzete aktivnosti /vidi 4.3.3); i

o Kontrola poduzete preventivne aktivnosti.

Norma ISO/IEC 27002:2005 Ova norma sadrži sigurnosne domene, ciljeve kontrola i same kontrole koje se referenciraju u Dodatku A norme ISO/IEC 27001. Sigurnosne domene (kategorije) koje su pokrivene ovom normom su:

Politika sigurnosti (1); Organizacija informacijske sigurnosti (2); Upravljanje imovinom (2); Sigurnost ljudskog potencijala (3); Fizička sigurnost i sigurnost okru�enja (2); Upravljanje komunikacijama i operacijama (10); Kontrola pristupa (7); Nabava, razvoj i održavanje informacijskih sustava (6); Upravljanje sigurnosnim incidentima (2); Upravljanje kontinuitetom poslovanja (1); Sukladnost (3).

U zagradama su navedeni brojevi sigurnosnih viljeva koje trebaju zadovoljiti predložene kontrole. Ukupno ih ima 39.

Svaka glavna sigurnosna kategorija sadrži:

cilj kontrole koji definira �to treba postići; i jednu ili više kontrola koje se mogu primijeniti za postizanje tog cilja.

Opisi kontrola imaju sljedeću strukturu:



309

Kontrola Određuje specifični kontrolni iskaz za zadovoljenje cilja kontrole. Smjernice za primjenu Sadrže detaljnije informacije koje podržavaju primjenu kontrola i postizanje cilja kontrole. Neke od smjernica mo�da nisu pogodne u svim slučajevima i zato neki drugi načini primjene kontrole mogu biti primjereniji. Ostale informacije Sadrže dodatne informacije koje je možda potrebno razmotriti, primjerice zakonske okvire i reference na druge standarde. Politika sigurnosti

Politika informacijske sigurnosti

Cilj: Osigurati podršku uprave i njenu usmjerenost ka informacijskoj sigurnosti u skladu s poslovnim zahtjevima i odgovarajućim zakonima i propisima

Organizacija informacijske sigurnosti

Unutarnja organizacija

Cilj: Upravljanje informacijskom sigurno�ću unutar organizacije.

Vanjski suradnici

Cilj: Održavanje sigurnosti informacija i opreme za obradu informacija organizacije kojima pristupaju, koje obrađuju, prenose ili kojima upravljaju vanjski suradnici.

Upravljanje imovinom

Odgovornost za imovinu

Cilj: Postizanje i odr�avanje odgovarajuće za�tite imovine organizacije.

Klasifikacija informacija

Cilj: Osiguranje odgovarajuće razine za�tite informacija.

Sigurnost ljudskog potencijala

Prije zaposlenja

Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe opreme.

Tijekom zaposlenja

Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za



310

podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške.

Prekid ili promjena zaposlenja

Cilj: Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja.

Fizička sigurnost i sigurnost okru�enja

Osigurana područja

Cilj: Sprječavanje neovla�tenog fizičkog pristupa, o�tećenja i ometanje prostora i informacija organizacije.

Sigurnost opreme

Cilj: Sprječavanje gubitka, o�tećenja, krađe ili ugro�avanja imovine i prekida aktivnosti organizacije.

Upravljanje komunikacijama i operacijama

Operativne procedure i odgovornosti

Cilj: Osigurati ispravan i siguran rad opreme za obradu informacija.

Upravljanje pru�anjem usluge treće strane

Cilj: Primjenjivanje i odr�avanje odgovarajuće razine informacijske sigurnosti i pru�anje usluge u skladu sa sporazumima o pru�anju usluge treće strane.

Planiranje i prihvaćanje sustava

Cilj: Smanjenje rizika od zastoja u radu sustava.

Za�tita od zloćudnog i preno�ljivog koda

Cilj: Zaštititi cjelovitost softvera i informacija.

Sigurnosne kopije

Cilj: Održavanje cjelovitosti i raspoloživosti informacija i opreme za obradu informacija.

Upravljanje sigurno�ću mre�e

Cilj: Osiguranje za�tite informacija u mre�ama i za�tite prateće infrastrukture.

Rukovanje medijima

Cilj: Sprječavanje neovla�tenog otkrivanja, promjene, uklanjanja ili uni�tenja imovine i prekida poslovnih aktivnosti.

Razmjena informacija



311

Cilj: Održavanje sigurnosti informacija i softvera razmijenjenih unutar organizacije i s trećom stranom.

Usluge elektroničke trgovine

Cilj: Osigurati sigurnost usluga elektroničke trgovine i njihove sigurne uporabe.

Nadzor

Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.

Kontrola pristupa

Poslovni zahtjevi za kontrolu pristupa

Cilj: Kontrola pristupa informacijama.

Upravljanje korisničkim pristupom

Cilj: Osigurati pristup ovla�tenih korisnika i spriječiti neovla�teno pristupanje informacijskim sustavima.

Odgovornosti korisnika

Cilj: Sprječavanje pristupa neovla�tenih korisnika i ugro�avanja ili krađe informacija i opreme za obradu informacija.

Kontrola pristupa mreži

Cilj: Spriječiti neovla�teni pristup mre�nim uslugama.

Kontrola pristupa operacijskom sustavu

Cilj: Sprječavanje neovla�tenog pristupa operacijskim sustavima.

Kontrola pristupa aplikacijama i informacijama

Cilj: Spriječiti neovla�teni pristup informacijama prisutnim u aplikacijskim sustavima.

Uporaba mobilnih računala i rad na daljinu

Cilj: Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad na daljinu.

Nabava, razvoj i održavanje informacijskih sustava

Sigurnosni zahtjevi informacijskih sustava

Cilj: Sigurnost kao sastavni dio informacijskih susta.

Ispravna obrada u aplikacijama



312

Cilj: Sprječavanje gre�aka, gubitka, neovla�tene promjene ili zloporabe informacija u aplikacijama.

Kriptografske kontrole

Cilj: Zaštita povjerljivosti, vjerodostojnosti ili cjelovitosti informacija uz uporabu kriptografskih tehnika.

Sigurnost sistemskih datoteka

Cilj: Ostvariti sigurnost sistemskih datoteka.

Sigurnost u procesima razvoja i podrške

Cilj: Održavanje sigurnosti softvera i informacija aplikacijskog sustava.

Upravljanje tehničkom ranjivo�ću

Cilj: Smanjenje rizika od iskorištavanja objavljenih tehničkih ranjivosti.

Upravljanje sigurnosnim incidentom

Izvje�ćivanje o sigurnosnim događajima i slabostima

Cilj: Osiguranje izvje�ćivanja o sigurnosnim događajima i slabostima vezanim uz informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih akcija.

Cilj: Osiguranje izvje�ćivanja o sigurnosnim događajima i slabostima vezanim uz informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih akcija.

Cilj: Osiguranje primjene dosljednog i učinkovitog pristupa upravljanju sigurnosnim incidentima.

Upravljanje kontinuitetom poslovanja

Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja

Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te za�tititi ključne poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.

Sukladnost

Sukladnost sa zakonskim propisima

Cilj: Sprječavanje kr�enja svih pravnih, zakonskih, regulativnih ili ugovornih obveza i sigurnosnih zahtjeva.

Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost



313

Cilj: Osigurati sukladnost sustava sa organizacijskim sigurnosnim politikama i standardima.

Razmatranja revizije informacijskih sustava

Cilj: Povećati učinkovitost i smanjiti ometanja od ili prema procesu revizije informacijskih sustava.



314

15. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA I KONTINUITET POSLOVANJA (BCMS)

I. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA Ključna komponenta programa sigurnosti organizacije je dobro strukturirano rješenje za upravljanje sigurnosnim incidentima. Pri tome pod sigurnosnim incidentima podrazumijevamo incidente koji su vezani na narušavanje ciljeva informacijske sigurnosti (povjerljivost, integritet, raspoloživost, neporecivost i dr.) Ciljevi

Detekcija sigurnosnih događaja Identifikacija sigurnosnih incidenata, njihova procjena i odgovor na odgovarajući i

učinkovit način Minimiziranje negativnih posljedica na organizaciju i na njezine poslovne operacije

primjenom odgovarajućih sigurnosnih kontrola, kao dio odgovora na incidente, po mogućnosti u vezi s odgovarajućim elementima Plana kontinuiranog poslovanja (BCP)

Brzo učenje iz pojave sigurnosnih incidenata i njihovog upravljanja.

Procesi

Plana i pripreme Upotrebe Pregleda i analize Poboljšanja

Plan i priprema

Izrada i dokumentiranje politike upravljanja sigurnosnim incidentima

Izrada i detaljno dokumentiranje sheme za upravljanje sigurnosnim incidentima

Ažuriranje politike informacijske sigurnosti te politike upravljanja rizicima na svim razinama

Uspostava odgovarajuće organizacijske strukture za upravljanje sigurnosnim incidentima tj. formiranje Tima za odgovor na sigurnosne incidente (ISIRT - Information Security Incident Response Team)

Informiranje svih djelatnika organizacije o postojanju sheme za upravljanje sigurnosnim incidentima

Upotreba



315

Detekcija i izvje�ćivanje o pojavi sigurnosnih Skupljanje informacija koje su vezane na sigurnosni događaj Odgovor na sigurnosni incident:

o Neposredno u stvarnom vremenu ili vrlo blizu stvarnog događaja o Ako je sigurnosni incident pod kontrolom treba provesti aktivnosti koje

dovode do potpunog oporavka od katastrofe/prekida kroz neko prihvatljivo vrijeme

o Ukoliko sigurnosni incident nije pod kontrolom treba potaknuti "krizne" aktivnosti (npr. poziv vatrogasnoj brigadi, ili aktiviranje Plana kontinuiranog poslovanja (BCP))

o Provesti forenzičku analizu o Ispravno zapisati sve aktivnosti ili odluke radi daljnje analize o Zatvaranje incidenta po njegovom rješavanju.

Pregled i analiza

Provođenje daljnje forenzičke analize ako je potrebno Identifikacija pouka iz sigurnosnog incidenta Identifikacija poboljšanja sigurnosnih kontrola Identifikacija poboljšanja sheme upravljanja sigurnosnim incidentima

Poboljšanje

Revizija rezultata pregleda izvršavanja analize rizika informacijske sigurnosti i njegovog upravljanja

Poboljšanje sheme upravljanja sigurnosnim incidentima i pripadne dokumentacije Iniciranje poboljšanja razine informacijske sigurnosti organizacije

Politika upravljanja sigurnosnim incidentima

Važnost upravljanja sigurnosnim incidentima za organizaciju Pregled detekcije sigurnosnih događaja, izvje�tavanja i prikupljanja relevantnih

informacija Pregled ocjene sigurnosnih incidenata, uključujući tko je odgovoran, �to treba biti

učinjeno, obavje�ćivanje o incidentu i eskalacija Sumarni prikaz aktivnosti koje slijede nakon potvrde da je sigurnosni događaj

zapravo sigurnosni incident �to uključuje: o Neposredan odgovor o Forenzičku analizu o Komunikaciju koja uključuje osoblje i relevantne treće strane o Razmatranja o tome da li je sigurnosni incident pod kontrolom



316

o Naknadni odgovor o Iniciranje ¨kriznih˝ aktivnosti o Kriteriji za eskalaciju incidenta o Tko je odgovoran

Potreba da su sve aktivnosti ispravno zapisane za kasniju analizu, te da se provodi kontinuirani nadzor

Aktivnosti nakon rje�avanja sigurnosnog incidenta �to uključuje učenje i pobolj�anje nakon sigurnosnog incidenta

Detalje o smještaju dokumentacije o shemi upravljanja sigurnosnim incidentima uključujući i procedure

Pregled Tima za odgovor na sigurnosne incidente (ISIRT) Pregled programa za podizanje svijesti i obuku za upravljanje sigurnosnim

incidentima Sumarni pregled zakonskih i drugih propisa koji se trebaju uzeti u obzir.

Uspostava Tima za odgovore na incidente (ISIRT) Članovi i struktura ISIRT-a Veličina, struktura i sastav ISIRT-a određena je veličinom i strukturom organizacije. Iako ISIRT mo�e biti izolirani tim ili odjel , članovi tima najče�će dijele i druge du�nosti i dolaze iz različitih dijelova organizacije. To je najče�će virtualni tim koji je vođen i koordiniran od strane uprave . Članovi tog tima su specijalisti u različitim područjima, kao �to su obrada zloćudnih napada na software, a koji se pozivaju prema vrsti incidenta. Odnosi s drugim dijelovima organizacije

Tko će unutar organizacije raditi na upitima medija Kako će dijelovi organizacije surađivati i komunicirati sa ISIRT-om.

Odnosi sa vanjskim stranama

Ugovorno vanjsko osoblje, na primjer iz CERT-a (Computer Emergency Response Team)

Vanjski ISIRT tim od organizacije ili CERT Organizacije za provođenje zakona Javna služba za izvanredne situacije (vatrogasci,..) Neke vladine organizacije (HNB,HANFA,.) Predstavnici medija Poslovni partneri Korisnici Javnost



317

Sigurnosni incidenti i njihovi uzroci Sigurnosni incidenti mogu biti namjerni ili nesretni događaji (kao �to su tehničke gre�ke sklopova ili djelovanje prirode) prouzročeni na tehnički ili fizički način. Odbacivanje usluga (DoS) Postoje dvije vrste DoS incidenata: eliminacija usluge ili njena potrošenost. Neki DoS incidenti mogu biti prouzročeni slučajno kao �to je primjer lo�eg konfiguriranja sustava ili nekompatibilnost softwarea. Neki DoS incidenti su namjerno lansirani kako bi srušili sustav, servis ili mrežu, dok ostali mogu bit rezultat ostalih zlonamjernih aktivnosti. Skupljanje informacija Općenito, ova kategorija incidenata uključuje one aktivnosti koje su povezane s identifikacijom potencijalnih meta napada te istra�ivanje servisa koji se obrađuju na tim metama napada. Ova vrsta incidenta uključuju izviđanje s ciljem da se identificira:

Postojanje mete napada, saznanje o topologiji mreže koja ju okružuje, te sa kime meta obično komunicira

Potencijalna ranjivost mete napada ili njezinog mrežng okruženja koja se može odmah eksploatirati

Neovlašteni pristup Ova kategorija incidenta uključuje one koji ne spadaju u prve dvije kategorije. Općenito ova se kategorija incidenta sastoji od stvarno neautoriziranih pokušaja pristupa ili zlouporabe sustava, servisa i mreže. Struktura i korištenje sustava za upravljanje sigurnosnim incidentima Prema normi BS 25999-1:2006, Business Continuity Management definirana je struktura reakcije na incident koja treba biti implementirana u organizaciji. Prema normi ISO/IEC TR 18044, Information Security Management definiran je način korištenja sustava za upravljanje incidentima. Struktura reakcije na incident U bilo kakvim incidentnim okolnostima trebala bi postojati jednostavna i brzo zasnovana struktura koja će organizaciji omogućiti:

potvrdu prirode i razmjera incidenta, preuzimanje kontrole nad okolnostima, zadr�avanje incidenta u određenim okvirima i komunikaciju sa zainteresiranima.



318

Vremenski slijed incidenta

Korištenje sustava za upravljanje incidentima Korištenje sustava za upravljanje incidentima sastoji se od dvije faze: upotreba i pregled/analiza na koje se nadovezuje faza poboljšanja kada se identificirju poboljšanja kao rezultat naučenih lekcija. Pregled ključnih procesa

Detekcija i izvje�ćivanje o pojavi sigurnosnog događaja Prikupljanje informacija o sigurnosnom događaju i provođenje prve ocjene

sigurnosnog događaja Provođenje druge ocjene od strane ISIRT tima, koji prvo potvrđuje da je sigurnosni

događaj stvarno sigurnosni incident, i tada ako je, on potiče neposredni odgovor, neophodnu forenzičku analizu i aktivnosti komuniciranja.

Pregled od strane ISIRT-a da li je sigurnosni incident pod kontrolom Eskalacija ako je potrebna za daljnju ocjenu i/ili donošenje novih odluka Osiguranje da su sve aktivnosti, posebno ISIRT ispravno zapisane za kasniju analizu Osiguranje da su svi elektronički dokazi prikupljeni i sigurno smje�teni



319

Obrada sigurnosnog događaja i incidenta

Događaj

Detekcija

Izvještaj

Prikupljanje informacija

Prva ocjena

Relevantno?Druga ocjena

Relevantno?

Incident pod kontrolom?

Aktiviranje krizne organizacije?

Naknadni odgovori Krizne aktivnosti

Pozitivna greška

Pregled/Analiza

Poboljšanje

Korisnik/Izvor

Grupa za operativnu podršku(24x7)

Interni ISIRT Organizacija za krizne situcije

uključujući eksterni

ISIRT

NE DA

NE

DA

DA

NE NE

DA

Dijagram toka obrade sigurnosnog događaja i incidenta

Detekcija i izvješćivanje

Ocjena i odluka

Odgovor

Detekcija i izvje�ćivanje Sigurnosni incident se može detektirati direktno od osoblja koje je nešto zapazilo što bi moglo biti va�no, bilo da je tehničke, fizičke ili proceduralne prirode. Detekcija mo�e biti također od detektora vatre/dima ili alarma provale sa prethodno definiranom lokacijom za uzbunjivanje za ljudsku akciju. Sigurnosni događaji tehničke prirode mogu se detektirati automatski od na primjer sigurnosne stijene, sustava za detekciju upada, antivirusnih alata i dr.



320

Prva ocjena i inicijalna odluka Osoba iz Odjela za informacijsku sigurnost (Grupa za operativnu podršku) treba potvrditi prijem ispunjenog izvje�ća o sigurnosnom događaju, treba ga unijeti u bazu podataka događaja/incidenata te ga treba pregledati. Ona treba , ukoliko je potrebno, razjasniti sve nejasnoće s osobom koja je podnijela izvje�će o sigurnosnom događaju, te prikupiti sve poznate i raspoložive informacije. Druga ocjena i potvrda incidenta Druga ocjena i potvrda sigurnosnog incidenta je zadaća ISIRT tima. Osoba unutar ISIRT tima koja zaprima izvje�će o sigurnosnom incidentu treba:

Potvrditi prijem obrasca za sigurnosni incident koji treba �to je moguće prije biti završen od Odjela za sigurnost (Grupe za operativnu podršku)

Unijeti obrazac u bazu događaja/incidenta Zatražiti sva eventualna pojašnjenja od operativne grupe, Pregledati sadr�aj tog izvje�ća Prikupiti sve daljnje informacije koje su raspoložive, bilo od operativne grupe za

podr�ku, osobe koja je ispunila izvje�će o sigurnosnom događaju ili drugog izvora. Odgovori na incidente:

Neposredan odgovor Incident pod kontrolom ? Naknadni odgovori Krizne aktivnosti Forenzička analiza Komunikacije Eskalacija Zapisi i upravljanje promjenama

Izvje�ća o sigurnosnom događaju i sigurnosnom incidentu Podatci koji trebaju biti u obrascu za izvje�će o sigurnosnom događaju

Datum događaja Broj događaja (osigurava Odjel za sigurnost i ISIRT) Podatci o osobi koja podnosi izvje�će Opis sigurnosnog događaja Detalji sigurnosnog događaja



321

Podatci koji trebaju biti u obrascu za izvje�će o sigurnosnom incidentu

Datum incidenta Broj incidenta (osigurava ISIRT, a povezuje se s brojem sigurnosnog događaja) Detalji o članu grupe za podr�ku radu sustava (analitičar sigurnosnog događaja -

identificira sigurnosni incident) Detalji o članu Tima za odgovor na sigurnosne incidente (ISIRT) Opis sigurnosnog incidenta Detalji o sigurnosnom incidentu Vrsta sigurnosnog incidenta Koja su sredstva pogođena incidentom Neželjeni efekti i posljedice na poslovanje. Ukupna cijena troškova oporavka od incidenta. Rješenje incidenta Uključene osobe i počinitelji incidenta Opis počinitelja Stvarna ili percipirana motivacija Poduzete akcije na rješavanju incidenta Planirane akcije za rješavanje incidenta Neriješene akcije (zahtijevaju istraživanje od drugih osoba) Zaključak Popis osoba ili entiteta koji su obaviješteni Uključene osobe

II. KONTINUITET POSLOVANJA Upravljanje kontinuittetom poslovanja provodi se kroz primjenu dobre prakse koja je definirana normama BS 25999-1:2006, Business Continuity Management- Code of practice i BS 25999-2: 2007, Business Continuity Management - Specifications. Ove norme omogućuju uspostavu Sustava upravljanja kontinuitetom poslovanja (BCMS - Business Continuity Management System) koji se može uskladiti i certificirati prema normi BS 25999-2: 2007 koja određuje zahtjeve na takav sustav. 1. Uspostava programa kontinuiranog poslovanja (BC program) Ciljevi BC programa

Smanjenje vjerojatnosti pojave prekida poslovanja od strane neočekivanih događaja koji uzrokuju prekid

Održavanje kontinuiteta poslovanja za vrijeme prekida koji je nastupio od neočekivanog događaja koji je izazvao prekid



322

Uzroci takvih događaja mogu biti na primjer:

Prirodni (poplava, potres) Nesreća (kemijski udes) Gre�ka uređaja Sabotaža

Značenje katasrofe u kontekstu poslovanja: Websterov riječnik: ˝Katasrofa je ne�eljeni događaj , posebno onaj koji se dogodi iznennada te koji prouzrokuje velike gubitke ljudskih �ivota, velika o�tećenja i nevolje, kao �to su poplave, pad aviona ili gre�ka u poslovanju˝. Va�no je uočiti da ova definicija povezuje katastrofu s gre�kom poslovanja. Definiranje katastorofe (dizastera) iz poslovne perspektive razmatra se kao posljedice koje se odnose na:

Poslovanje (poslovne operacije) Poslovne gubitke

Primjer: Poslovna funkcija; Usluge za korisnike Poslovni procesi: upravljanje novim korisničkim računima, povratak proizvoda, provjera korisičke plativosti Poslovni gubitci se mogu podijeliti u dvije kategorije:

Finacijski gubitci koji se izra�avaju u novčanoj mjeri Operativni gubitci koji se ne mogu novčano izraziti

Primjeri finacijskih gubitaka mogu biti:

Gubitak prodaje uzrokuje gubitak prihoda Plaćanje penala �to je posljedica ne pridr�avanja SLA Troškovi putovanja koji se ne odnose na normalno poslovanje Tro�kovi rentanja uređaja koji se ne odnose na normalno poslovanje

Primjeri operativnih gubitaka:

Gubitak dotoka novaca (prihoda) Rušenje Imidža (reputacije) Gubitak povjerenja dioničara Pogor�anje odnosa sa dobavljačima Zakonske i regulatorne posljedice



323

Poslovna katastrofa Definicija: To je pojava događaja koji izaziva prekid (neraspolo�ivost) poslovnih operacija (poslovanja) kroz neki vremenski period što uzrokuje pojavu financijskih i operativnih gubitaka neprihvatljive razine.



324

Izvori pojave dizastera

Prirodni o Snježna oluja o Potres o Haricine o Poplave o Smrtonosne bolesti

Tehnički, koji su povezani sa tehnologijom �to uključuje komponente kao �to su elktričke, mehaničke, IT i dr.

o Nestanak elelktrične struje o Curenje vode o Curenje plina o Avionska nesreća o Eksplozija nuklearnog reaktora o Gre�ke računalnih sustava

Ljudski , uzrokovani od strane ljudi namjerno ili slučajno, o Sabotaža o Računalno hakiranje o Štrajkovi o Računalni virusi o Nesreće na radu o Kemijski incidenti

BC program zahtjeva procjenu rizika od svih navedenih uzroka katastrofa (prirodnih, tehničkih i ljudskih. Statistika o katastrofama

2 od 5 businesa nikada nisu ponovo zaživjela 1 od 3 businesa koji je zaživio je nestao nakon 2 godine

Važnost BC programa

1. Minimiziranje pojave prekida poslovanja od strane neočekivanih prekidnih (naru�avajućih) događaja

2. Odr�avanje kontinuiranog poslovanja za vrijeme pojave prekidnog događaja Komponente BC programa

1. Planiranje kontinuiranog programa (BC programa) 2. Upravljanje sa BC programom

Razvoj BC programa



325

BC program se je tradicionalno fokusirao na: Ljude Komunikacije Radni prostor IT infrastrukturu Ljudska bića kao uzroke dizastera

ER plan (Emergency Response Plan) sadrži smjernice i procedure koje slijede odmah iza pojave dizastera kako bi:

1. Spriječili gubitak ljudskih �ivota i ranjavanje 2. Smanjili štetu nad imovinom organizacije

Današnji fokus BCP-a na : Ljude Kritične poslovne procese, ne samo na oporavak IT-a Kritične resurse i servise koji podupiru kritične poslovne procese Prirodne, ljudske i tehničke kategorije izvora dizastera



326

BC program mora se nositi sa slijedećim vrstama dizastera:

Velikim katastrofama Manjim prekidima rada sustava

MTD-Mean Tolerable Downtime:

1990 - 3 do 4 tjedna , što je regulirano finacijskim i poslovnim propisima 2000 - 1 dan, uglavnom određeno sa Zahtjevima na Y2K problem Danas - do 1 sat, uglavnom uvjetovano e-trgovimom i Internetom

Razlozi za BC program Zašto organizacija treba implementirati BC program ?

Preživljavanje poslovanja Sprečavanje gubitka ljudskih �ivota ili ranjavanja Sprečavanje gubitka u prihodu organizacija �teta na kritičnim resursima Minimiziranje �tete na kritičnim resursima nakon pojave dizastera Za�tita poslovne reputacije, u smislu povjerenja u upravljanje te imiđ i brand. Usklađenost sa zakonima i propisima koji se odnose na poslovanje. Zaštita od kaznene i prekršajne odgovornosti Usklađenost sa ugovorima i SLA sporazumima.

Ključni principi BC programa

Fokus Preventiva Plan Zaštita

Proces planiranja kontinuiteta poslovanja Proces slijedi četiri glavna principa koji se implementiraju u BC programu kroz proces planiranja u šest koraka:

1. Upravljanje rizikom 2. Analiza posljedica na poslovanje (BIA – Business Impact Analysis) 3. Razvoj strategije kontinuiranog poslovanja 4. Razvoj BC plana 5. Testiranje BC plana 6. Održavanje BC plana



327

5 1

4

3

2

6

BC plan

Upravljanje rizikom

BIA

Razvoj BC strategije

Razvoj BC plana

Testiranje BC plana

Preventiva

Fokus

Plan

Zaštita

Održavanje BC plana

Ciljevi BC programa Upravljanje rizikom

Procjena prijetnji i rizika za kontinuitet poslovanja Upravljanjem rizikom koji prijeti kontinutetu poslovanja

Analiza posljedica na poslovanje (BIA – Business Impact Analysis)

Identifikacija ključnih poslovnih funkcija i procesa Analiza posljedica koje mogu nastupiti prekidom ključnih poslovnih

funkcija i procesa. Identifikacija zahtjeva za oporavak nakon pojave dizastera

Razvoj strategije kontinuiranog poslovanja

Ocjena zahtjeva za oporavak prekinutih ključnih poslovnih procesa. Identifikacija opcija za oporavak ključnih poslovnih procesa. Te opcije su

alternativne rješenja koja zadovoljavaju zahtjeve ocijenjene u prethodnom koraku.



328

Odabir najisplativijih mogućih rje�enja, koja su identificirana u prethodnom koraku, kao dio strategije

Razvoj BC plana

Za�tita ključnih procesa i sredstava od različitih prijetnji i rizika Oporavak ključnih poslovnih procesa i resursa od dizastera na siguran i

vremenski privaćen način Testiranje BC plana

Testirati izrađen BC plan kako bi se osiguralo da je plan Testiranje sposobnosti i učinkovitosti tima za oporavak Testiranje učinkovitosti i sposobnosti dobavljača robe i usluga


Odr�avati plan u spremnom stanju za njegovo izvođenje cijelo vrijeme, a za slučaj pojave neočekivanog prekida poslovanja

Ova metodologija odgovara u potpunosti uspostavi kontrola za kontinuitet poslovanja koji je određen standardom ISO 27001 (Anex A). A.14 Upravljanje kontinuitetom poslovanja

A.14.1 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te za�tititi ključne poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.

A.14.1.1 Uključivanje informacijske sigurnosti u proces upravljanja kontinuitetom poslovanja

Kontrola Potrebno je razviti i održavati proces upravljanja kontinuitetom poslovanja u cijeloj organizaciji koji obrađuje zahtjeve informacijske sigurnosti potrebne za kontinuirano poslovanje organizacije.

A.14.1.2 Kontinuitet poslovanja i procjena rizika

Kontrola Potrebno je prepoznati događaje koji mogu uzrokovati prekide poslovnih procesa, zajedno s vjerojatno�ću i utjecajem takvih prekida i njihovih posljedica po informacijsku sigurnost.

A.14.1.3 Razvoj i primjena planova kontinuiteta poslovanja koji uključuju informacijsku sigurnost

Kontrola Potrebno je izraditi i primijeniti planove za održavanje ili obnavljanje aktivnosti i osiguravanje dostupnosti informacija na zahtijevanoj razini u zahtijevanom vremenu nakon prekida ili zastoja ključnih poslovnih procesa.

A.14.1.4 Okosnica planiranja kontinuiteta poslovanja

Kontrola Potrebno je održavati jednu okosnicu planova kontinuiteta poslovanja kako bi se osiguralo da su svi planovi dosljedni, da bi se dosljedno uvažavali zahtjevi informacijske sigurnosti i da bi se mogli odrediti prioriteti ispitivanja i održavanja.

A.14.1.5 Ispitivanje, održavanje i ponovno procjenjivanje planova kontinuiteta poslovanja

Kontrola Potrebno je redovito ispitivati i obnavljati planove kontinuiteta poslovanja kako bi uvijek bili suvremeni i učinkoviti.



329

2. Aktivnosti za izvođenje BC programa Glavne aktivnosti izvođenja BC programa mogu se podijeliti u dvije glavne skupine:

Upravljanje s BC programom (BCP upravljanje) i Izvođenje BCP procesa (BCP proces)

Kreiranje politike kontinuiranog

poslovanja

Uspostava upravljačke

skupine

Uspostava BCP projekta

Uspostva programa za obuku i podizanje

svijesti

Koordinacija BCP sa zakonom, propisima i

standardima

Koordinacija s drugim unutarnjim/vanjskim

agencijama

Projekt razvoja BC plana

Održavanje spremnosti na

prekid

Izvođenje BC plana

Upravljanje rizicima

Utjecaj na poslovanje

BIA

Razvoj BC strategije

Razvoj BC plana

Testiranje BC plana

Održavanje i redovito

testiranaje BC plana

BC

P U

prav

ljanj

eB

CP

Pro

ces

Početak BCP

Završetak BC Plana

Prekid poslovanja

Upravljanje s programom kontinuiranog poslovanja (BCP upravljanje)

Uspostava i donošenje politike kontinuiranog poslovanja na razini cijele organizacije Uspostava tijela za upravljanje i nadzor provođenja BC programa Formalno inicirati projekt za razvoj BC plana Osigurati da je osoblje koje je uključeno u razvoj BC plana odgovarajuće obučeno. Osgurati da je BC program usklađen sa relevantnim zakonima i propisima i

industrijskim standardima Koordinirati aktivnosti s relevantnim agencija za oporavak od katastrofa i održavanje

kontinuiteta poslovanja (vladinim ili lokanim) Osigurati i voditi brigu daje BC plan uvijek u stanju spremnosti Upravljati i nadzirati izvođenje BC plana u slučaju pojave prekidnog događaja



330

BCM politika

Identifikacija pojma kontinuiteta poslovanja Identifikacija relevantnih standarda, propisa, i zakona koje politika treba uključiti Identifikacija BCM politika drugih organizacija koje će poslu�iti za benchmark Pregled i provođenje "gap" analize postojeće politike prema drugim politikama ili

novim zahtjevima Razvoj novog dokumenta BCM politike Pregled dokumenta politike u prema postojećim standardima organizacije i drugim

politikama u organizaciji (npr. Politika informacijske sigurnosti i dr.) Izvršiti konzultacije za dokument politike Uključiti usvojene primjedbe i dopune na dokument kao rezultat konzultacija Odobrenje uprave za BCM politiku i strategiju njene implementacije (BC plan) Publiciranje BCM politike

Opseg BC programa

Vi�e lokacija preko �irokog geografskog područja Različiti odjeli na svakoj lokaciji Poslovni procesi koji zahvaćaju više odjelsku suradnju Sutave od stolnih računala do LAN-ova, sigurnih mreža do više Data centara sa više

servrea , itd. Telekomunikacije (podatake, glas, video, multimedija) koje poslužuju interne i

klijentskae potrebe Pretpostavke za BC program (primjeri)

BC plan će biti a�uran i dr�at će se na sigurnom mjestu Backupovi aplikacijskih programa i datoteka podataka potrebnih za oporavak bit će

raspoloživi na udaljenim lokacijama za uskladištenje Kopije BC plana bit će raspolo�ive na lokacijama ili kod djelatnika poimenično Dogodilo se totalno uništenje Data centra Vi�e od jedne zgrade neće biti pogođeno katastrofom Telekomunikacijske potrebe već su ugovorene unaprijed Minimalni broj osoba bit će raspolo�iv za provođenje kritičnih funkcija BC plana Katastrofa mo�e nastupiti za vrijeme vr�nog opterećenja Odjel za upravljanje rizicima će provoditi slijedeće zadatke: Katastrofe će se deklarirati i obrada će biti prebačena na lokaciju za oporavak kada se

očekuje prekid du�i od 48 sati BCP proces Aktivnost BCP procesa su:

1) Upravljanje rizikom 2) Analiza posljedica na poslovanje (BIA – Business Impact Analysis) 3) Razvoj strategije kontinuiranog poslovanja 4) Razvoj BC plana



331

5) Testiranje BC plana 6) Održavanje BC plana

Upravljanje rizikom Različite prijetnje mogu dovesti do prijetnji poslovanju sa značajnim posljedicama, gubitak �ivota, uni�tenje uređaja, financijski gubitci i dr. iako je često jako te�ko ukloniti te rizike u potpunosti, organizacija može smanjiti te rizike na prihvatljivu razinu kroz primjenu metoda za učinkovito upravljanje rizicima. Analiza posljedica za poslovanje - BIA BIA identificira slijedeće informacije:

Kritična područja poslovanja i njihove procese Veličine potencijalnih financijskih i operativnih rizika za organizaciju Zahtjeve na oporavak prekinutih poslovnih procesa

Zahtjevi na vrijeme oporavka

Okvir vremena pojave prekida i oporavka



332

Vremenski periodi:

MTD je dužina vremena za koju poslovni proces može biti neraspoloživ prije nego organizacija pretrpi značajne gubitke. MTD odgovara vremenskom periodu između prekidnog događaja i početka normalnog poslovanja.

RTO je povezan sa oporavkom resursa kao �to su računalni sustavi, uređaji za

proizvodnju, komunikacijski uređaji, zgrade, radni prostor i dr. RTO odgovara dužini vremena između prekidnog događaja i oporavka sustava/resursa. To pokazje na vrijeme raspoloživo za oporavak onesposobljenih sustava/resursa.

RPO se odnosi na toleranciju gubitka podataka mjereno kroz vremeske jedinice, tj kao

vrijeme između posljednjeg backupa i prekidnog događaja. RPO je indikator koliko mnogo podataka se može oporaviti jednom kada su sustavi oporavljeni i ažurirani sa backupiranim podatcima .

WRT se mjeri kao vrijeme između opravljenih sustava/resursa i početka normalnog

poslovanja. WRT pokazuje na vrijeme potrebno za oporavak izgubljenih podataka, backloga, i ručno uhvaćenih podtaka jednom kada su sustavi/resursi oporavljeni/popravljeni.

Strategija razvoja kontinuiteta poslovanja Područja oporavka:

Radni prostori IT sustavi i infrastruktura Proizvodna Podatci i kritični/vitalni zapisi

Primjeri zahtjeva za oporavak za navedena područja oporavka su:

Radni prostori: o Priprema alternativnog radnog prostora za Tim za krizne situacije o Priprema alternativnog uredskog prostora za osoblje

IT sustavi i infrastruktura o Priprema alternativne lokacije za oporavak IT sustava o Oporavak o�tećenih sustava

Proizvodnja i obrada o Oporavak o�tećenih uređaja za proizvodnju

Podatci i kritični/vitalni zapisi: o Obnova o�tećenih kritičnih zapisa o Obnova izgubljenih podataka



333

Optimalna strategija

Strateška rješenja



334

Razvoj BC plana (BCP) Izvođenje BC plana:

1. Početni odgovor i obavijest (rezultira u preliminarnom izvje�ću o problemu) 2. Procjena problema i eskalacija (rezultira u detaljnom izvje�ću o problemu) 3. Izjava o katastrofi/prekidnom događaju (rezultira u proglašenju

katastrofe/prekidnog događaja) 4. Implementacija plana logistike (rezultira u mobilizaciji timova, backup medija,

kritičnih resursa i uređaja) 5. Oporavak i nastavak poslovanja (rezultira u oporavku kritičnih IT i ne-IT resursa i

nastavak procesa) 6. Normalizacija (rezultira u operativnom statusu koji je bio prije pojave prekida)

Izvođenje ERP

StabilizacijaUpravljanje BCP

Početni odgovor i obavješći

vanje

Prekid Vrijeme

1. faza

2. faza3. faza

4. faza

5. faza

6. faza

Procjena problema i eskalacija Deklaracija

prekidaLogistika

implementacije plana

Oporavak i nastavak poslovanja

Normalizacija

Primarna lokacija

Centar za upravljanje

krizom

Alternativna IT lokacija, radni prostor

i proizvodnja Cold Site ili originalna lokacija

Normalno stanje



335

Arhitektura sustava na kojem se provodi izvođenje BC plana

Primarna lokacija

Lokacija za Centar za kriznu situaciju

Nova ili stara primarna lokacija

Udaljena lokacija za smještaj backup

podataka

Udaljena lokacija za smještaj kritičnih

zapisa

BC Upravljački tim

BC koordinator

BC timoviBC timovi

Alternativna lokacija za IT

oporavak

Alternativni za radni prostor

Alternativna lokacija za proizvodnju

Normalno stanje Krizno stanje Normalizacija

Tranzicija

Udaljena lokacija za smještaj

backup podataka

Udaljena lokacija za smještaj

kritičnih zapisa

BC Upravljački tim

BC koordinator

BC timovi



336

Uloge i odgovornosti za izvođenje BC plana



337

Testiranje BC plana


Upravljanje promjenama BC plana Testiranje BC plana Obuku i trening za izvođenje BC plana Revizije (audit) BC plana

Raspored testiranja BC plana

Definiranje intervala testiranja: mjesečno, kvartalno, polugodi�nje i godi�nje Odabir metode testiranja za svaki interval tetsiranja Pridruživanje vremenskog intervala test metodi koje treba uzeti u obzir složenost test

metode, tj nezin opseg, potreban napor, resurse, troškove i dr.



338



339

16. ZAKONSKI I ETIČKI ASPEKTI SIGURNOSTI



340

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA Zavod za primijenjeno računarstvo Prof. dr. sc. Nikola Hadjina

Zbirka zadataka iz kolegija “Zaštita i sigurnost

informacijskih sustava”

1. U uvjetima gdje nekoliko korisnika dijeli pristup jednoj bazi podataka, kako se može dogoditi neograničeno odlaganje pristupa (zastoj) ? Opišite scenarij u kojem dva korisnika mogu dovesti do neograničenog odlaganja svojih zahtjeva. 2. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog sustava primjenom napada Trojanskog konja ? Navedite i mjeru zaštite od takvog napada. 3. Objasnite razliku između implicitnih i eksplicitnih tokova podataka. Koje relacije između sigurnosnih klasa objekata (varijabli) moraju biti ispunjene da bi tokovi bili sigurni ? Koji problemi mogu nastupiti kod implicitnih tokova ? 4. Koja najniža klasa (grupa) prema DoD kriterijima zadovoljava zahtjeve mandatne kontrole pristupa ? Koja je to funkcija koja se mora realizirati da bi se zadovoljili sigurnosni kriteriji za tu klasu? 5. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu primijeniti na sve ciljeve ? Ako da, kako i gdje ? 6. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2. 7. Navedite slučajeve i uzroke vi�epojavnosti kod vi�erazinskih baza podataka. Prikažite barem dva primjera višepojavnosti na razini n-torke unutar relacije, te na razini elementa (atributa) unutar n-torke. 8. Navedite i objasnite glavne korake u analizi rizika sigurnosti informacijskog sustava. 10. Koja svojstva treba zadovoljiti protokol izvođenja digitalnog potpisa ? Kako se to rješava? 11. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te �to znači kvaliteta virusa? 12. Koja svojstva mora zadovoljiti sigurnosna jezgra operacijskog sustava ? Koje su funkcije podržane unutar sigurnosne jezgre, te koje su prednosti takvog rješenja izgradnje povjerljivog operacijskog sustava ? 13. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?



341

14. Koji su glavni sigurnosni zahtjevi koji se postavljaju na sustav za upravljanje sa bazom podataka (DBMS). Koji su principi integriteta prema Sandhu i Jajodia ? 15. Opišite metodologiju projektiranja sigurne baze podataka. Navedite neke od važnih smjernica u odabiru i implementaciji sigurnosnih mehanizama. 16. Usporedite svojstva enkripcije u očuvanju sigurnosti računalnih mre�a (enkripcija veze i enkripcija sa kraja na kraja) za sigurnost unutar računala u mre�i, prema ulozi korisnika, te prema načinu implementacije. 17. Koji sigurnosni problemi proizlaze iz praćenja prometa na mre�i te kako se oni rje�avaju? 18. Koji su prijetnje sigurnosti i zahtjevi na za�titu elektroničke po�te? Kako se to rješava primjenom PEM (Privacy Enhanced (Electronic) Mail) elektroničke po�te ? Koji su nedostatci ove primjene i kako se oni rješavaju ? 19. Opi�ite svojstva i rad za�tićenih usmjerivača (screening routers) te navedite arhitekturu i primjer primjene. 20. �to je sadr�aj plana sigurnosti (taktičkog plana izvedbe) , �to plan razrađuje, �to je potpora planu, te kakav je sastav tima za izradu plana? 21. �to znači očuvanje integriteta na mre�i računala te kako se on posti�e ? 22. Zašto Clipper protokol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod ključem familije F ? 23. Navedite i obrazložite Shanon-ova svojstva dobrog šifriranja ? 24. Opišite svojstva i rad sigurnosne brane (firewall-a) tipa opunomoćenog prospojnika (Proxy Gateway), te nevedite primjer primjene. 25. Opi�ite razliku između ranjivosti, prijetnje i kontrole sigurnosti informacijskog sustava. Navedite odgovarajuće primjere koji su međusobno povezani kroz sve tri razine. 26. Navedite barem tri primjera štete koju podnosi tvrtka koja prolazi kroz napad na integritet programa ili podataka tvrtke. 27. Očuvanje tajnosti, integritetea i raspolo�ivosti podataka je ukazivanje na brigu i opasnosti koje dolaze od prekida, prihvata, izmjena i produkcije postakaka(prijetnje). Kako se prva tri koncepta odnose na posljednja četri? To znači, da li je jedan od četri ekvivalentan jednom ili vi�e od tri ? Da li se jedan od tri obuhvaća jedan ili vi�e od četri ? 28. Koja svojstva čine postupak kriptiranja podataka potpuno "neprobojnim" (za�tićenim) ? 29. Zašto je bolje koristiti neregularne permutacije (u postupku kriptiranja) u odnosu na permutacije koje slijede neki uzorak kao na primjer: i) = i + 3.



342

30. Objasnite zašto produkt dvije relativno jednostavne šifre, kao što su supstitucija i transpozicija mo�e postići veći stupanj sigurnosti. 31. Kod enkripcije javnog ključa, pretpostavimo da A �eli poslati poruku B. Neka su APUB i APRIV javni i privatni ključ od A; slično vrijedi i za B. Pretpostavimo da C zna oba javna ključa, ali niti jedan privatni. Ako A šalje poruku na B, koju enkripciju treba A upotrijebiti kako bi samo B mogao dekriptirati poruku ? (to je svojstvo tajnosti). Može li A kriptirati poruku tako da bilo tko primi poruku bude siguran da je poruka stigla samo od A ? (to je svojstvo autentičnosti). Mo�e li A postići i autentičnost i tajnost za jednu poruku ? Kako, ili zašto ne ? 32. Prva predlo�ena kriptografska funkcija plombiranja (zbroj numeričkih vrijednosti svih bytova poruke) imala je ozbiljne sigurnosnu rupu: izmjena pozicije dva bajta poruke neće se detektirati ovom funkcijom. Predlo�ite alternativnu funkciju koja neće imati tu slabost. 33. Objasnite zašto protokol digitalnog potpisa koji koristi kriptiranje upotrebom javnog ključa sprečava primaoca od krivotvorenja poruke po�iljaoca , koristeći javni ključ po�iljaoca. 34. Za�to Clipper protocol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod ključem familije F ? 35. Koristeći potvrdu u dva koraka (two-step commit), opišite kako izbjegnuti pridruživanje jednog sjedala (npr. u rezrvaciji sjedala zrakoplova). To jest, navedite precizno korake koje treba provesti sustav za upravljanje sa bazom podataka (DBMS) u dodjeli sjedala putnicima. 36. UNDO je operacija oporavka za baze podataka. To je naredba kojom se dobiva informacija iz transakcijskog dnevnika i restauracijom elemenata baze podataka na njihove vrijednosti koje su bile prije nego je izvedena određena transakcija. Opi�ite situaciju u kojoj bi UNDO naredba bila korisna. 37. Odgovor “osjetljiva veličina ; odgovor obustavljen” je sam po sebi otkrivanje informacije. Predlo�ite način kako sustav za upravljnje bazom podataka (DBMS) mo�e obustaviti odgovor koji otkriva osjetljivu informaciju , bez odgovora koji otkriva da je tražena informacija osjetljiva. 38. Objasnite nedostatke particioniranja kao načina uvođenja vi�erazinske sigurnosti za baze podataka. 39. Koja je svrha kriptiranja u sustavu za upravljanje višerazinskim bazama podataka? 40. Korisnik želi uspostaviti tajni kanal sa kontrolom i analizom ukupnog prometa na mreži. Na kojoj razini OSI protokola se ta analiza treba provesti i zašto ? 41. Pro�irljivost je prednost kori�tenja mre�a: novi čvorovi se mogu lako dodavati u mre�u. Na koje sigurnosne nedostake to ukazuje ? 42. Gdje (i koliko puta za vrijeme prijenosa) je poruka izložena otkrivanju ako je ona za�tićena kori�tenjem enkripcije veze ? Gdje je poruka izlo�ena otkrivanju ako se koristi enkripcija sa kraja na kraj ?



343

43. Koja su pitanja sigurnosti komunikacija važna u razmatranju lokalnih računalnih mre�a (LAN) ? Koja su važna u konvencionalnim globalnim mrežama (WAN) ? Koja su pitanja sigurnosti važna za komunikacije striktno unutar jedne zgrade ? 44. Da li je enkripcija djelotvorna kontrola protiv pasivnog prisluškivanja ? Da li je djelotvorna protiv aktivnog prisluškivanja ? Zašto da, ili zašto ne ? 45. Objasnite kako se jednostavno svojstvo (ss) i *svojstvo Bell-La Padula sigurnosnog modela odnose prema sigurnosti komunikacija. 46. Objasnite zašto je zapis o događajima (audit trail) nesiguran na osobnim računalima bez upotrebe privilegiranog moda izvođenja. 47 .Objasnite prednosti i mane postupaka implementacije pristupne matrice A prema Harrisonu za operacijske sustave. Koji od postupaka implementacije daje najbolju podršku postupcima ažuriranja pristupne matrice A ? 48. Koji se mehanizmi koriste za kontrolu toka podataka za vrijeme izvođenja, programa, te koje relacije moraju zadovoljiti sigurnosne klase objekata u instrukcijama pridruženja te u kondicionalnim instrukcijama. Da li su implicitni tokovi uvijek sigurni ? Zašto da , ili zašto ne? 49. Obrazložite mane diskrecionog modela sigurnosti (HRU) u realizaciji diskrecionih politika sigurnosti i navedite primjer. 50. Kako se dijele matemtički modeli sigurnosti , te koji su im osnovi elementi ? Koji od modela je najprimjereniji za uvođenje sigurnosti relacionih baza podataka sa vi�erazinskim pristupom i zašto ? 51.Koristeći primitivne operacije Harrison modela matrice pristupa napi�te naredbe za kreiranje novog procesa (subjekta) s1 koji kreira (vlasnik) datoteke f1, te dodjelu prava pisanja u datoteku f1 za proces(subjket) s2 , ukoliko proces s2 ima pravo čitanja čitanja datoteke f2 kojoj je vlasnik proces (subjekt) s3. Pravo za pisanje je W, za čitanje je R, a vlasništvo je O. 52. Da li je moguće u diskrecionom modelu sigurnosti (Harrison-Ruzzo-Ullman – model) prenositi pravo vlasništva nad objektom ? Zašto da , ili zašto ne ? Da li subjekt može dodjeliti pravo drugom subjektu ako ga on ne posjeduje ? Ako da, u kojim slučajevima ? 53. Kako se propagacija prava realizira u Harrison-Ruzzo-Ullman modelu matrice pristupa ? Koji su nedostaci i prednosti takve propagacije prava ? 54. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog sustava primjenom napada Trojanskog konja. Navedite i mjeru zaštite od takvog napada. 55. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu primjeniti na sve ciljeve ? Ako da, kako i gdje ?



344

56. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2. 57. Nacrtajte sigurnosnu rešetku za Bell-La Padula model sigurnosti za klasifikaciju (TS-Vrlo tajno, T- tajno, C- povjeljivo, U-neklasificirano), te za skup kategorija (a, b). Odredite najmanju gornju granicu (H) , te naveću donju granicu (L) sigurnosnih klasa. 58. Koji su kritički faktori uspjeha izgradnje sigurnosti informacijskih sustava ? 59. Opišite kako radi Sigurni hash algoritam (SHA). Koje su njegove primjene ? 60. Opi�ite rad Clipper programa, postupka zalo�nog ključa. Koje su njegove prednosti i mane? 61. Što je protokol kriptiranja ? Koja su glavna svojstva dobrog protokola kriptiranja ? 62. Prika�ite protokol asimetrične izmjene ključa preko poslu�itelj računala ? Koji su nedostaci takvog protokola, te kako se mogu riješiti ? 63. Koja svojstva treba zadovoliti protokol izvođenja digitalnog potpisa ? Kako se to rje�ava? 64. Navedite vrste programskih gre�aka, te razloge zbog kojih ne mo�emo izbjeći sve programske greške . 65. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te �to znači kvaliteta virusa? 66. Navedite i obrazložite funkcije operacijskih sustava koje su orjentirane na podršku sigurnosti. Da li su one dostatne za sigurnost informacijskih sustava ? Ako ne zašto ? 67. Navedite i opi�ite sustave za korisničku identifikaciju/autentifikaciju. Koji su osnovni kriteriji koji trebaju biti zadovoljeni kod autentifikacije koja je zasnovana na lozinkama ? 68. Navedite i opišite skup kategorija zahtjeva koji su postavljeni "DoD" kriterijima. 69. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ? 70. Koje su moguće politike kontrole pristupa objektima baze podataka , te koja je razlika između otvorenih i zatvorenih sustava ? 71. Objasnite kako je moguće očuvati integritet transakcija u vi�ekorisničkom informacijskom sustavu koji realiziran bazom podataka, u slučaju konkurentnog pristupa istim podatcima. 72. Objasnite �to je to osjetljivost, koji su faktori koji podatake čine osjetljivim, te koje su vrste otkrivanja takovih podataka. Kakav je odnos sigurnosti, preciznosti i osjetljivosti ? 73. Koje su vrste napada vezanih na zaključivanje o podatcima? Koje su za�titne mjere(kontrole) koje se primjenjuju na njihovom suzbijanju ?



345

74. Koje su metode zaštite sigurnosti višerazinskih baza podataka ? Koje su njihove prednosti i mane ? 75. Opišite upotrebu komutativnih filtera u zaštiti višerazinskih baza podataka, te navedite primjer jednog upita koji se time regulira. 76. Koje su razlike između operacijskih sustava i sutava za upravljanje bazom podatataka (DBMS) u pogledu sigurnosnih problema i njihovog rješavanja ? Navedite i opišite barem četiri. 77. Opišite zaštitu objekata baze podataka primjenom autorizacijskog modela (Sistem R). Kako se provodi postupak opoziva prava ? Kako je provedena implementacija, te koja su proširenja modela ? 78. Navedite i objasnite koji su sigurnosni problemi, prijetnje te kategorije prijetnji sigurnosti računalnih mre�a i distribuiranih sustava. 79. Navedite i objasnite probleme autentifikacije u distribuiranim sustavima , te koji su postojeći mehanizmi za njihovo rje�avanje . 80. Opišite rad Kerberos sustava za autentifikaciju u distribuiranim sustavima. Koje su njegove prednosti i mane ? 81. �to znači očuvanje integriteta na mre�i računala, te kako se on posti�e ? 82. Opišite Walker-ov dizajn sigurnosne arhitekture višerazinske mreže. Kako se provodi komunikacija sa nepovjerljivim hostom ? Navedite primjere sigurne komunikacije prema Bell-La Padula-ovom modelu. 83. Objasnite što je sigurnosna brana (firewall). Koje su strategije implementacije, koje su vrste, te njihova usporedna svojstva? 84. Što sigurnosna brana (firewall) može, a što ne može blokirati ? 85. Predložite arhitekturu mre�e (računala sa pripadnim IP adresama) sa sigurnosnim branama koja povezuje tri odvojena LAN-a koja omogućuje slanje kriptirane elektroničke po�te (PEM) kroz WAN mrežu. Objasnite svojstva takove arhitekture. 86. �to je sadr�aj plana sigurnosti (taktičkog plana izvedbe) , �to plan razrađuje, �to je potpora planu, te kakv je sastav tima za izradu plana? 87. Navedite barem četri stavke sigurnosne politike za Internet. .

Documents

sigurnost racunalnih mreza