Upload
makidur
View
253
Download
2
Embed Size (px)
Citation preview
8/3/2019 Bezbednost informacija
1/26
VISOKA KOLA MODERNOG BIZNISA
SEMINARSKI RAD
Predmet: MENADMENT BEZBEDNOSTI
Tema: Bezbednost informacija
Mentor : Student :Docent dr. Dobrosav Radovanovi Matkovi Marina 036/2008
8/3/2019 Bezbednost informacija
2/26
Beograd, april 2010.god.
2
8/3/2019 Bezbednost informacija
3/26
SADRAJSADRAJ ....................................................................................................................................31.UVOD ....................................................................................................................................... 42.DEFINISANJE POJMA ZATITE,BEZBEDNOSTI I SIGURNOSTI ...................................5
3.BEZBEDNOSNE MERE ..........................................................................................................64.NAPADI NA INFORMACIJE .................................................................................................85.ZATITA POSLOVNIH INFORMACIONIH SISTEMA .....................................................186.ZAKLJUAK ......................................................................................................................... 257.LITERATURA .......................................................................................................................26
3
8/3/2019 Bezbednost informacija
4/26
1.UVOD
Poveanjem stepena primene informacionih sistema (IS) u okviru poslovnih sistema
dolazi do potrebe za obezbeivanjem tih sistema. Visok nivo primene i rad sa informacijamakoje su od krucijalne vanosti za neku organizaciju zahteva visok nivo zatite tih informacija.
Meutim tu nailazimo na jedan paradoksa, naime obezbeivanje informacija je veoma skupo i
ne donosi profit, bar ne u nekom kratkom roku , tako da rukovodioci ,koji upravljaju nekom
organizacijom, teko se odluuju za ulaganje u obezbeenje. Zbog toga su informacije, kao po
nekom nepisanom pravilu, slabo zatieni. A sve to dovodi do raznik ekcesa , kao to su kraa
podataka ,modifikovanje podataka ili ak i brisanje podataka. Moe se i slobodno rei da je IS
mesto na kome su informacije najnesigurnije na svetu.
Poetkom sedamdesetih godina prolog veka ljudi su prvi put poeli da se bave ovom
problematikom. Njih je pre svega brinula mogunost zloupotrebe tih informacija. Posebnu su
panju obratili na raunarske sisteme u kojima je smetena velika koliina podataka , kojima
se moe brzo pristupiti i iz kojih su mogu izvui mnoge vane informacije. Osnova problema
bila je u tome da se odredi ko ima pravo pristupa tim podacima , odnosno ko ih moe koristiti.
Na kraju je problem reen na taj nain to su doneti zakoni kojima se otklanjaju sve
nedoumice i kojima su do detalja definisana pristupu i korienja podataka. ak je u nekim
razvijenim zemljama zatita obavezna, i njeno nepostojanje povlai zakonske konsekvence.
4
8/3/2019 Bezbednost informacija
5/26
2.DEFINISANJE POJMA ZATITE,BEZBEDNOSTI ISIGURNOSTI
Da bi se dalje govorilo o ovoj temi nepohodno je definisati ova tri pojma kojapredstavljaju osnovu ove materije , i bez ijeg se definisanja ne moe razumeti sutina ovih
problema.
Pojam vezbednosti moramo razgraniiti , kada se radi o bezbednosti u optem smislu i
bezbednosti u smislu informacionih sistema. Bezbednost u , opttem smislu, predstavlja
stanje u kome su iskljueni protivpravni akti, naroito oni uz upotrebu fizike sile, ili , ukoliko
ovi akti i postoje , oni su vrlo retki i protiv njih se preduzimaju energine mere. Sem toga
bezbednost se moe definisati i kao stanje, stanje u kome postoji apsolutna zatita nekog
dobra, vrednosti ili drutvene tekovine. to se tie informacionih sistema pojam bezbednosti
se moe odnositi na zatitu prikupljenih, uskladitenih i prenoenih podataka od:1
fizikih napada,
hardverskih otkaza
operacionih greaka
softverskih defekata
krae medijuma
raznih manipulacija
Sem ove definicije moe se rei da za informacioni sistem bezbednost predstavlja
specifino stanje koje obezbeuje :2
poverljivost
integritet
raspoloivost
pouzdanost
neporicljivost informacija
1 Sinkovski, S. (2004) Neki aspekti i problemi zatite informacija.Bezbednost, vol. 46, br. 4, str. 586-6022 Isto
5
8/3/2019 Bezbednost informacija
6/26
Sigurnost u nekom optem smislu oznaava bezbednost u kontekstu javne ili dravne
sigurnosti. U kontekstu stanja sistema prihvatamo da sigurnost ima isto znaenje kao i
bezbednost. U kontekstu informacionih sistema sigurnost se moe definisati kao zatita od
neovlaenih lica, neovlaene modifikacije, unitenja ili krae sadraja medijuma. Takoe
sigurnost moe sadrati tehnike kojima se proverava da li programi odaju ili ne odaju
poverljive podatke ili ih prenose korisnicima sa niim nivoom ovlaenja.
Zadnji pojam od ova tri , je pojam zatite. Zatita se u nekom optom smislu difinie
kao skup mera koje se preduzimaju da bi se spreili neki loi uticaji, ili drugim reima to je
skup mera koji ima za cilj postizanje odreenog nivoa bezbednosti. U kontekstu informacionih
sistema zatita se moe definisati u uem i u irem smislu. U uem smislu , zatita se moe
definisati, kao skup metoda i tehnika kojima se kontrolie pristup podacima od strane
programa koji se izvravaju. ira definicija ukljuuje i posebne mehanizme projektovane daogranie posledice sluajnih greaka u programiranju i korienim programima. Sem ove
postoji i jo ira definicija koja kae da zatita obuhvata skup metoda, tehnika i pravnih normi
kojima se kontrolie pristup podacima od strane programa i ljudi, i titi fiziki integritet
celokupnog raunarskog sistema, bio on distribuiran ili ne, centralizovan ili decentralizovan.
Gore navedeni pojmovi nalaze se u meusobnoj funkciskoj zavisnosti. Bezbednost se
ostvaruje zatitnim merama , i to represivnim i preventivnim, takoe se moe rei da je sistem
bezbedan u zavisnosti od primene zatitnih mera. Sem ove javlja se i zavisnost izmeu
bezbednosti i sigurnosti. Kae se da bezbedan sistem osigurava siguran sistem. Osim ovih
zavisnosti , javlja se i zavisnost izmeu atributa zatite. A ti atributi su :
1. intenziete
2. kvalitet
3. raznovrsnost
Moe se rei da kvalitet zatite zavise od njenog intenziteta, kvaliteta i raznovrsnosti.
A iz toga se moe zakljuiti da i bezbednost zavisi od ovih atributa zatite.
3.BEZBEDNOSNE MERE
Bezbednosne mere predstavljaju skup aktivnosti koje se preduzimaju da bi se
obezbedili podaci. Ni jedne bezbednosne mere ne mogu osigurati 100% bezbednost sistema. U
6
8/3/2019 Bezbednost informacija
7/26
velikom broju sluajeva , obim i kvalitet ovih mera zavisi od koliine sredstava koje su
uloene u njih. Veoma esto ta sredstva nisu velika tako da i mere koje se preduzimaju ne
mogu da prue adekvatnu zatitu. Meutim treba znati da teta koja nastaje posle, kada neko
ugrozi bezbednost sistema, je po pravilu znatno vee nego to je ulaganje u dobar sistem
zatite. Sami rukovodioci ovo shvataju tek kad se napad na informacioni sistem dogodi, ali je
to po obiaju uvek prekasno.
to se tie izbora zatitnih mera koje e se preuzeti , on zavisi od brojnih faktora. Kao
to su :3
1. opti atributi PIS
- osobine lokacije PIS
- grana delatnosti korisnika PIS
- veliina organizacije i njena struktura- sloenost opreme i postupaka u PIS
- karakteristike krajnjih korisnika
- karakteristike podataka
2. posebni atributi PIS
- karakteristike izvora saobraaja
- karakteristike OSI modela , izuzimajui protokole sedmog nivoa
-
sistem prenosa, multipleksiranje i komutacije- mreni operativni sistemi
- terminali, raunari, radne stanice i druga oprema
3. posebni atributi PIS specijalnog sistema
- topologija mree
- mobilnost korisnika
- irina propusnog opsega komunikacionog kanala
- stepen greaka
- vreme prenosa podataka
- vreme obrade podataka
- stabilnost telekomunikacione infrastrukture
- organizacija upravljanja
3 Levakov, A. (2002) Anatomija informacionnoj bezopasnosti SA.Jet info online, br. 6 (109)
7
8/3/2019 Bezbednost informacija
8/26
- vrsta moguih borbenih dejstava
Na kraju , moe se izvesti zakljuak da ne postoji univerzalni skup bezbednosnih mera
koji moe da obezbedi apsolutnu sigurnost PIS. ak se moe rei da svaki PIS treba da ima
svoju univerzalnu zatitu koja e na najbolji mogui nain biti prilagoena njegovim
potrebama.
4.NAPADI NA INFORMACIJE
Informacioni sistemi se obezbeuju s ciljem da se njihovi resursi zatite od moguih
prolaznih ili trajnih oteenja, unitenja i ostalih tetnih dogaaja koji mogu ugroziti rad
sistema. Prvenstveni cilj obezbeenja PIS jeste spreavanje : neovlaenog sluajnog ili
namernog pristupa, promena ili unitenja informacija koje ulaze. Prvi korak u ostvarivanju
bezbednosti je identifikacija rizika.
Identifikacija rizika je aktivnost koja podrazumeva utvrivanje opasnosti za PIS,
odnosno popis i klasifikaciju svih moguih pretnji za PIS. Postoji veliki broj ovih
klasifikacija , meutim prva koja je skrenula panju je ona koju je izdao IBM. On je naveo da
su osnovni uzroci degradacije PIS :4
- greke i propusti (oko 70% svih sluajeva)
- zloupotreba
- vatra
- zlonamerna teta
- voda
- ostalo
Inae valja napomenuti da je ova klasifikacija izdata sredinom osamdesetih godina.
Kasnije razvojom informatike , i tehnologije uopte, stvaraju se odreeni standardi naosnovu kojih se vri klasifikovanje. Tako je utvreno da svaka klasifikacija mora da ima
sledee karakteristike da bi bila priznata, i to :
4 Rodi, B. (2001) Interakcija javnih raunarskih mrea i raunarskih mrea specijalnih institucija. Beograd:Vojnotehnika akademija VJ, doktorska disertacija
8
8/3/2019 Bezbednost informacija
9/26
- meusobna iskljuivost tj. klasifikacija u jednu kategoriju iskljuuje sve ostale
kategorije
- potpunost tj. unija jedne sa ostalim kategorijama obuhvata sve mogunosti
- nedvosmislenot tj. jasna i precizna klasifikacija
- ponovljivost tj. ponavljanje procesa klasifikacije daje uvek iste rezultata, bez obzira
na osobu koja vri klasifikaciju
- prihvatljivost,logika i intuitivna da bi bila prihvaena
- primenljivost, da se moe primeniti u istraivanjima i u drugim sferama ljudskog
interesovanja da bi se ostvario uvid u zonama interesa
Ove karakteristike , bez obzira na sva ogranienja koja daju, predstavljaju osnovu bilo
koje klasifikacije iz ove oblasti. Danas je najpopularnija , i u literaturi najzastupljenijatakozvana kombinovana klasifikacija napada na IS.
Ova klasifikacija se prvenstveno koncentrie na operativnu taku gledita napada na
IS. Ona pokuava da napadaa povee sa krajnjim ciljem i motivacijom napada. Ova veza se
moe opisati sekvencom koju ine napadai,alati, pristupi ,rezultati i ciljevi napada.
Najvaniji segment ovoga su sigurno napadai i njihovi ciljevi.
Napadai su ljudi koji atakuju na raunarski sistem , koristei pritom razliite tehnike i
metode, a sve to radi ostvarivanja nekog svog cilja. Ti napadai mogu da budu mala deca , ali istruno obueni kriminalci. to se tie ciljeva napada, tu se moe rei da svaki napada ima
svoj univerzalni cilj. Sve napadae moemo svrstati u est osnovnih kategorija.5
1. Hakeri , oni su prava i najrasprostranjenija kategorija i bie najvie objanjeni
Pojam haker u svom izvornom znaenju opisuje osobu koja se bavi istraivanjem
mogunosti kompjutera i njihovoj pozitivnoj primeni u svakodnevnom ivotu. Kao
to vidite, ovde se nigde ne spominje da su hakeri zli, da nanose tetu drugima i da
su opasni po svet. Hakeri su veoma inteligentne osobe koje istrauju ono to je
sakriveno u hardveru i softveru. Prostije reeno, oni su pronalazai onoga to je ili
neko sakrio od oi javnosti ili pronalazai propusta koji su napravljeni grekom.
Kod prvog sluaja, kada kaemo "sakrio" mislimo obino na programe, mada se i u
hardveru moe sakriti dosta toga. Hakeri su po prirodi radoznali ljudi, vole sve da
5 Beauregard, J. (2001) Modeling information assurance. Air Force Institute of technology
9
8/3/2019 Bezbednost informacija
10/26
saznaju i ne vole kad je neto sakriveno od njih. U programima moe dosta toga da
se sakrije, naroito u programima iji je izvorni kod nedostupan javnosti, kakav je
ceo NJindonjs i skoro svi programi koji rade pod njim. U takvim programima
mogu da se recimo sakriju potprogrami za pijuniranje i programi koji e samo
odabranim ljudima omoguiti pristup zabranjenim resursima, poput vaih hard-
diskova. Moe se, dakle, slobodno rei da hakeri ne vole da neko nekome ugroava
privatnost, i zato prouavaju kompjutere, sa eljom da nau uljeze u njima. Oni se
zalau za apsolutnu privatnost, to je uostalom i ljudsko pravo, i svi bi po pravilu
trebali da imaju potpunu privatnost. Takoe, ne vole cenzuru, jer to vodi ka
jednoumlju, u ta smo se i uverili u proteklih pola veka. Jednom reju, oni su za
apsolutnu ravnopravnost, za razotkrivanje svih tajni i za privatnost. Kod drugog
sluaja, ljudi puno puta nesvesno prave greke, koje mogu da se iskoriste zaugroavanje neije privatnosti. Na primer, programer koji je pisao neku Java
funkciju u brovseru Internet Explorer je zaboravio da napie rutinu za proveru
duine nekog podatka koji uitana strana definie. I sada, ako neko pronae propust
i namerno napravi stranu koja iskoriava propust, i ako neko ko ima pomenuti
brovser uita tu stranu, IE e uraditi neto to po pravilu ne bi smeo, i na taj nain
oteti posetioca strane. Hakeri trae takve propuste, i ako ih nau, obavetavaju
svet o tome kako bi proizvoa datog programa ispravio propust i kako bi ljudi
preduzeli odreene korake i na taj nain zatitili sebe na vreme. Hakeri su miljenja
da je bolje da svi znaju za odreeni propust nego da "niko" ne zna, zato to veruju
da ipak neko zna za propust, i to koristi da bi pijunirao nekoga. Kada ne bi bilo
hakera, danas bi imali brovsere, mail, nenjs i iclj klijente i servere prepunih
bezbednosnih propusta, u proseku bi svaki klijent i server imao oko 5 propusta. Do
sada je ukupno pronaeno vie od 10 000 propusta, i pitanje je da li ba niko ne bi
znao za te propuste, naroito ako kaemo da je za neke propuste dokazano da su
namerno napravljeni. Pitanje "zato namerno" je ovde suvino, i ba zbog ovih
razloga hakeri postoje, vredno rade i otkrivaju nove tajne. Dnevno se u proseku
oko 5 novih propusta pronae. U okviru hakera valja obraditi jo dva pojma koji se
esto koriste a koji su u vezi sa njima. Prvi pojam jesu krekeri (crackeri). Krekeri
su isto pronalazai, inteligetni ljudi, ali oni, izmeu ostalog, koriste svoje znanje i
10
8/3/2019 Bezbednost informacija
11/26
svoja otkria da bi nekome naneli tetu. Krekeri piu viruse i trojance, upadaju na
servere i prave tetu na njima (uglavnom tako to izmene prvu stranu sajta). Drugi
pojam jesu lameri. Lameri su uglavnom mlae osobe (uglavnom deca), koja nisu
nita otkrili i koji takoe nanose tetu drugima, obino da bi ukrali neku ifru za
Internet ili unitili nekome disk koristei trojance, viruse, pa ak i exploite, koje su
krekeri napisali. Oni naue kako se koriste trojanci i onda prave tetu obinim
kunim korisnicima, mislei da su hakeri. Mnogi od njih ne znaju ak ni kako
funkcionie Internet. Cilj im je samo da naprave neku pakost koristei izum nekog
krekera.
2. pijuni , ovo je kategorija koja je manje rasprostranjena od hakera. NJihov cilj je
pre svega da neprimetno uu u raunarski sistem, pokupe podatke koji su ime
potrebni i na kraju izau iz raunarskog sistema ne ostavljajui nikakve tragoveboravke. Podaci koje oni kradu, koriste pre svega da bi ostvarili neku politiku ili
vojnu korist. Mnoge tajne slube, vojske i multinacionalne kompanije imaju svoje
pijune preko kojih dolaze do neophodnih informacija koje ne bi mogle saznati ni
na jedan drugi nain.
3. Teroristi, oni ulaze u raunarske sisteme da bi izazvali to je mogue vei haos i
nered, a sve svoje akcije pravdaju politikim razlozima i borbom za "slobodu".
4. Organizovani napadai , to su ljudi , uglavnom zaposleni u nekoj kompaniji , koji
napadaju konkurentske kompanije zbog finansijskih razloga.
5. Profesionalni kriminalci, oni provaljuju u raunarske uglavnom zbog line
finansijske koristi.
6. Vandali - provaljuju u raunarske sisteme da bi im naneli materijalnu tetu.
Ovom podelom se moe doi do etri kategorije ciljeva ili razloga napada na
raunarske sisteme. To su :
- Izazov ili status
- Politika dobit
- Finansijske dobit
- Materijalna teta
11
8/3/2019 Bezbednost informacija
12/26
Nakon napadaa , slede i alati koje oni koriste da bi naneli tetu raunarskom sistemu. Tih
alata ima zaista mnogo , a svakim danom se njihov broj poveava. Meutim nekoliko
najupotrebljenijih e biti objanjeni.6
- Komande korisnika, ovo je prilino moan alat preko koga se moe dosta stvari.
Funkcionie tako to korisnik preko komandne linije ili preko grafikog interfejsa
zadaje komande sistemu. Najbolji primer korienja je Telnet. To je alat koji se
koristi za povezivanje na druge sisteme. Meutim da bi napada upotrebio Telnet
njemu su potrebni jo neki dodaci kao to su njingate adrese i shell account.
NJingate je adresa na kojoj se nalazi programi koji je veoma slian proxy-u.
Postoji veliki broj loe konfigurisanih njingate-ova i to napada koristiti kako bi se
postigao neka anonimnost. Shell account se moe objasniti kao raun na nekom
kompjuteru koji slui za to da bi se taj raunar mogao koristiti sa svim njegovimuslugama, ali sa odreenim nivoom privilegija. Takoe tu je i jo jedna bitna stvar
koju napada koristi a to je port scanner. To je program koji gleda otvorene portove
na nekom raunaru. Portovi predstavljaju vrata preko kojih se korisnik povezuje
na neki raunar i koristi njegove resurse. Ako je na primer otvoren port pod brojem
21, onda to znai da taj raunar ima FTP deamon, a to je program koji prua usluge
FTP-a (File transfer protocol). Kad potencijalni napada sakupi sve ove neophodne
alate, nakon toga na Internetu pronalazi sajt koji sadri listu njingate-ova, na tom
sajtu izabere odgovarajui njingate , port i adresu. Neka u ovom primeru adresa
bude 100.100.10.1 a port 1010. Sledei korak u napadu je pokretanje Telnet-a , on
se pokree na taj nain to se u Run modu napie Telnet.exe. Nakon toga se otvara
prozor u kome napada izabere Connect i Remote System. U polju hostname
napada upisuje adresu (u naem sluaju je to 100.100.10.1) , u polju port takoe
upisuje adresu (u naem sluaju je to 10.10), i Termtype postavlja na vt100. Posle
tih podeavanja potrebno je samo pritisnuti Connect i izvrava se povezivanje.
Kada se izvri povezivanje napada vri "telnetujetovanje" na svoj shell account na
taj nain to upie njnjnj.nekaadresa.com 23. Gde broj 23 ustvari predstavlja Telnet
port. Sem broja 23 , napada moe upisati 21 i tako se konektovati na FTP
6 Genne, V.I. (1998) Zaity informacii ot utoki erez pobonie elektromagnitnye izluenija cifrovogoelekronnogo oborudovanija, Zaity informacii.Konfident, br. 2, str. 89-95
12
8/3/2019 Bezbednost informacija
13/26
protokol. Meutim to je ve svar njegovog izbora. Ovo je otprilike neki osnovni
nain vrenja napada na raunarski sistem korienjem Telnet alata.
- Skriptovi i programi, su takoe veoma rasporostranjeni i korieni. NJih
potencijalni napada koristi da bi obezbedio automatizaciju komandi. Skript je
veoma dobar za tu vrstu napada jer predstavlja niz komandi koji se izvravaju
jedna za drugom velikom brzinom , tako da osoba koja se nalazi na raunarskom
sistemu koji je napadnut ne stigne da reaguje. Najpoznatiji skriptovi su Java
skriptovi, VB skriptovi, i Activ X , koji moe da bude posebno opasan zato to se
izvrava odmah po uitavanju nekog sajta , esto bez korisnikovog znanja. to se
tie programa najvie se koriste trojanski konji - trojanci (Trojan horse). Oni e biti
posebno objanjeni jer predstavljaju jednu od najveih pretnji raunarskim
sistemima. Naziv trojanac je dobio prevashodno zbog naina na koji se instalira nasistem. Meutim sem ovog pojma postoje jo dva pojma koja se usko vezana uz
trojanskog konja. To su Backdoor i R.A.T. (Remote Administration Tool).
Backdoor kaemo jer trojanac omoguava ulaz u sistem kroz tzv. zadnja vrata to
zrtva u najveem broju sluajeva ne primeti. R.A.T. oznaava sposobnost trojanca
da njegovom vlasniku omogui potpunu kontrolu nad inficiranim raunarom. Svaki
trojanac u sebi sadri i neki dodatni softver. Keylogger esto predstavlja sastavni
deo svakog trojanca. To softver namenjen pijuniranju rtvine tastature. U veini
sluajeva, keylogger snima sve sto rtva kuca na tastaturi ,ak i kliktanje mia, i to
posle alje u obliku log fajla na meil osobi koja je vlasnik trojanca. Sledei
program koji moe biti sastavni deo trojanca je Binder , to je programi koji
zauzima svega nekoliko kilobajtai i prevashodno slui za "spajanje" dva executable
fajla u jedan. Naprimer: ako je fajl1 neka igrica ili neki program , a fajl2 je
trojanac, on e spojiti ta dva fajla u jedan , kad rtva pokrene "spojeni" fajl
prikazae se fajl1 dok e se fajl2 tajno instalirati na sistem bez znanja korisnika.
Passnjord Stealer je jo jedna alatka koja se esto koristi , a kao to joj samo ime
kae to je program koji sakuplja sve ifre (dial-up; protected storage; itd) sa
rtvinog raunara i alje ih vlasniku trojanca. Jo jedan manji dodatak koji se ne
koristi tako esto je Socks4/5 Server. Prevashodna njegova namena je da slui kao
proxy, kako bi napadau omoguio napad na rizinije ciljeve. to se tie trojanaca ,
13
8/3/2019 Bezbednost informacija
14/26
oni nisu komplikovani za korienje , zato su verovatno i dosta rasportranjeni.
Jedino to treba potencijalnom napadau je program koji e mu omoguiti da uvek
ima istu IP adresu (prilikom svakog konektovanja na internet ona se menja).
Program koji slui za ovo i koji je najrasprotranjeniji je "No-IP Dynamic Update
Client (DUC)". Sve to je jo potrebno napadau da uradi je podeavanje port-a i IP
adresu u trojancu , kako bi program znao gde da alje podatke. Treba napomenuti
da se vremenom razvili i trojanci sa tzv. injection opcijom. Ona omoguava
napadau da zaobie Firenjall na taj nain to e se ,na primer, trojanac na
internetu konektovati preko procesa Internet Explorera koji ne podlee kontroli ni
jedno Firenjall programa.
- Autonomni agenti su jo jedna vrsta veoma rasprostranjenih alata. Najpoznatiji
njihovi predstavnici su raunarski virusi (virus) i crvi (njorm). Najbolju definicijuvirusa dao je dr. Fredericka Cohena , po njegovoj definiciji virus predstavlja
program koji moe inficirati druge programe, modifikovati ih tako da ukljue
kopiju njega samoga, koja takoe i sama moe biti modifikovana. Jednostavnije
reeno virusi su mali programi, od svega nekoliko kilobajta, koji imaju iskljuivo
cilj da naprave tetu zaraenom raunaru. NJihova struktura se moe podeliti na tri
komponente od koje virus mora obavezno imati samo onu prvu. Prva komponenta
predstavlja mogunost infekcije. Dakle nije nuno da virus pravi bilo kakvu tetu
na raunaru, sama injenica da se iri infekcijom dovoljna je da ga okarakterie kao
virus. Drugi deo virusa, koji nije obavezan, predstavlja nosivu komponentu. Taj
deo definie sve aktivnosti koje e biti izvedene uz njegovo irenje. Trei deo
predstavlja funkcija za aktiviranje koja definie vreme ili dogaaj prilikom kojeg
e biti izvrena nosiva komponenta virusa. to se tie istorije virusa poinje
ezdesetih i sedamdesetih godina, jo u vreme velikih mainframe raunara,
postojao je fenomen zvani zec (rabbit). Zec je najee nastajao sluajem ili
grekom kada je "pomahnitali" kompjuterski program poeo sam sebe kopirati po
sistemu, izazivajui usporenje ili pad sistema. No nisu svi "zeevi" nastali sluajno.
Prvi pravi predak dananjih virusa - Prevading animal (proimajua zver) bio je
program sposoban da se nadodaje na druge kompjutorske programe na UNIVAC
1108 raunarskom sistemu, a napadnuti programi su ak bili oznaeni posebnom
14
8/3/2019 Bezbednost informacija
15/26
signaturom u svrhu samoprepoznavanja. Prvi potvren nalaz kompjuterskog virusa
daleke 1981. godine bio je Elk Cloner - virus koji je inficirao BOOT sektor disketa
za Apple II raunar. U decembru 1983. Len Adleman prvi put u istoriji upotrebio
re "virus" , opisujui samokopirajui kod.Prelomna je i 1986. godina kada se
pojavljuje kompjuterski virus Brain (mozak). Ovaj virus, je bio sposoban da
inficira BOOT sektore 360 KB disketa IBM PC kompjutera, brzo je osvojio sviet.
Na svu sreu, virus nije bio destruktivan, ve je u sebi nosio samo podatke o
autorima. Nakon toga stvari kreu bre. Pojavnjuje se kompjuterski virus Jerusalem
(1988.) koji je brisao sve pokrenute programe, te prvi pravi destruktivni virus
Datacrime (1989) koji je bio sposoban da izvri lonj-level format nulte staze na
disku. 1989 javila se prva grupa koja se bavila pravljenjem virusa u Bugarskoj. Ta
izvesna grupa koja je sebe nazvala Dark Avenger (Crni osvetnik) do danas jenapisala najmanje 50-tak virusa , ukljuujui neke od najpoznatijih virusa kao to
su Nenj Zeland i Michelangelo. Danas postoji bezbroj virusa i jo vie podela,
meutim usvojena je podela po kojoj postoji est osnovnih kategorija virusa. To su:
1. Boot sektor virusi, oni napadaju Master BOOT sektor, DOS BOOT sektor ili
BOOT sektor floppy disketa, odnosno program koji se na njima nalazi. BOOT
sektor je idealan objekt za infekciju, budui da sadri prvi program koji se izvrava
na raunaru, iji se sadraj moe menjati. Kada jednom raunar bude ukljuen,
program u ROM-u (BIOS) e bez pitanja uitati sadraj Master BOOT sektor u
memoriju i izvriti ga. Ako se u njemu nalazi virus, on e postati aktivan.No tu se
postavlja pitanje kako je virus dospeo u Master BOOT sektor.
Najee pokuajem startovanja sistema sa inficirane floppy diskete, ali boot sektor
virusi se mogu iriti i pomou posebnih programa, trojanskih konja, nazvanih
dropper (baca) - kojima je glavna namena da neprimetno "ubace" virus u BOOT
sektor.Boot sektor virusi su veoma uspeni u razmnoavanju - od sedam najeih
kompjutorskih virusa ak est ima sposobnost da zarazi BOOT sektor.
2. Parazitski virusi su druga i najea vrsta virusa. Ovi virusi sposobni su da zaraze
izvrne fajlove na raunarskom sistemu dodavanjem svog sadraja u samu
strukturu programa, menjajui tok inficiranog programa, tako da se virusni kod
15
8/3/2019 Bezbednost informacija
16/26
izvri prvi. Poznati kompjuterski virusi mogu da zaraze .COM, .EXE, .SYS, .OVL
i druge razne fajlove.
3. Multipartite virusi su trea vrsta virusa. Ovi virusi ustvari predstavljaju simbiozu
gore navedenih virusa. Oni su sposobni da zaraze i BOOT sektore i izvrne
programe, poveavajui tako mogunost irenja. Ovi virusi se izuzetno brzo ire i
mogu naneti velike tete raunarskom sistemu.
4. Virusi pratioci su etvrta kategorija virusa. Ovi virusi predstavljaju najjednostavniji
oblik kompijuterskih virusa. Oni koriste prioritet kojim se izvravaju programi s
istim imenom pod DOS-om. .COM datoteke se uvek izvravaju pre .EXE datoteka,
program iz direktorijuma koji su na poetku PATH niza izvravaju se pre onih sa
kraja. Virus pratilac obino stvori .COM datoteku koristei ime ve postojeeg
.EXE programa i ugradi u nju svoj kod. Princip je jednostavan - kada program budepozvan, umesto originala s .EXE ekstenzijom, prvo e se izvriti podmetnuti .COM
program s virusnim kodom. Kada izvravanje virusnog koda bude zavreno, virus
e vratiti kontrolu programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus
pratilac e postaviti skriveni atribut za .COM program u koji je stavio svoj sadraj.
Ova vrsta ne menja "napadnuti" program, a zbog nespretnog naina irenja ne
predstavlja veu opasnost.
5. Link virusi su sledea vrsta virusa. Oni su najinfektivnija vrsta virusa , koji kad se
jednom pokrenu, moe u trenutku inficirati napadnuti kompjuterski sistem. Poput
virusa pratioca ovi virusi ne menjaju napadnute programe ve menjaju pokazivae
u strukturi direktorijuma na takav nain da ih preusmere na cluster na disku gde je
prethodno sakriven virusni kod. Na svu sreu, ova izrazito infektivna i neugodna
vrsta virusa, koja zbog samog naina razmnoavanja moe izazvati pravi haos na
disku, ima trenutno samo dva predstavnika i ukupno etiri varijante ovih virusa.
6. Zadnja vrsta virusa su Macro virusi. Oni su najei virusi u poslednje vreme,
koriste mogunost izvravanja skripti u programima koji su u irokoj upotrebi, npr.
Internet Explorer, Outlook i Outlook Express, zatim NJord, Excel. Mnogi od tih
programa imaju puno sigurnosnih rupa za koje se zakrpe ne izdaju esto, a
korisnici ih jo manje primenjuju. Ukoliko je sigurnost prioritet pri radu na
raunaru predlae se iskljuivanje skriptnih jezika (Java, VBscript , itd.).
16
8/3/2019 Bezbednost informacija
17/26
Sem ove postoji jo jedna podela, koja zavisi od toga da li je virus prisutan u
memoriji ili ne. Te dve vrste sirusa su:
1. Virusi koji nisu rezidentni u memoriji. NJihova glavna karakteristike je da kada
njihov kod bude izvren i poto vrate kontrolu originalnom programu, ne ostaju
aktivni u memoriji. Ova vrsta operie tako da tokom svog izvrenja pronae objekt
pogodan za infekciju i zarazi ga. Teoretski ovi su virusi manje infektivni od virusa
rezidentnih u memoriji, ali naalost u praksi to nije uvijek sluaj. Zarazi li virus
program koji se esto izvrava, bi e izuzetno uspean. Kako ovi virusi ne menjaju
koliinu slobodne radne memorije, mogue ih je primetiti samo po promeni duine
programa na disku. Danas ova vrsta virusa sve vie "izlazi iz mode" , budui da se
ne mogu koristiti tehnike samosakrivanja koje zahtevaju da virus bude aktivan u
memoriji.2. Virusi rezidentni u memoriji. Kao to samo ime kae, ova se vrsta virusa instalira u
radnoj memoriji kompjutera i ostaje aktivna dugo nakon to zaraeni program bude
izvren. Virus aktivan u memoriji moe biti sposoban da zarazi svaki izvreni
program, svaku disketu koja bude pokrenuta (pod uslovom da nije zatienja od
upisa), on moe motriti aktivnost sistema i u svakom trenutku izvriti svoj korisni
teret. Ovi virusi su izuzetno infektivni. Osim toga, oni su sposobni da koriste sve
mogue virusne tehnike, te predstavljaju trend u razvoju virusa. Neki virusi koriste
kombinacije ovih dveju tehnika. Tako na primer, virus moe inficirati programe na
nain koji je tipian za viruse koji nisu rezidentni u memoriji, ali nakon izvrenja
virusnog koda ostavlja u memoriji mali rezidentni program sa korisnim teretom
koji sam po sebi nije sposoban inficira druge programe.
I na kraju treba navesti jo samo puteve preko kojih dolazi do inficiranja
raunarskih sistema. Postoji nekoliko osnovnih naina inficiranja a to su pre
svega : globalna raunarska mrea (Internet) preko koje se inficira ubedljivo
najvie raunara, lokalne mree, diskete, izmenljivi hard diskovi, CD mediji, flopy
diskete, USB flash memorije, ZIP drajvovi.
Sledei autonomni agenti su crvi ili internet crvi (Internet njorms). Internet crv
predstavlja obian program koji se iri putem e-maila i pravi tetu na raunaru
korisnika koji ga je iz neznanja pokrenuo. Kada se crv useli u neiji raunar, u
17
8/3/2019 Bezbednost informacija
18/26
zavisnosti od mate stvaraoca koji ga je napisao, crv pravi neku pakost po hard-
disku, uglavnom brie fajlove ali sem toga postoje i oni crvi koji pune hard-disk i
tako izazivaju krah raunarskog sistema. Paralelno sa tim, alju sami sebe na e-
mail-ove koje nau u korisnikovom Adress Book-u ili uz svaki e-mail koji
poalje, i na taj nain se razmnoavaju. Postoje vie tipa crva, prvi su oni koji nose
ekstenziju EXE, i oni su standardni (pod EXE spada i COM a i SCR), drugi su
makro crvi (napredniji makro virusi) i oni se prenose kao .DOC dokumenti, trei su
VBS crvi, idu kao .VBS (Visual Basic Script), i zadnja generacija, tj. etvrti tip
je .PIF, koji u poslednje vreme nanose veliku tetu raunarskim sistemima.
- Paketni alati ili toolkit alati su sledei na listi alata. Ovi paketi sadre vie alata iz
kategorije skriptova, programa i autonomnih agenata, esto objedinjene u
okruenju sa grafikim interfejsom. Jedan od najpoznatijih alata je Rootkit kojisadri programe za praenje saobraaja na mrei, kao i programe koji se koriste za
prikrivanje neutralizovanih aktivnosti i obezbeenje sporednih prolaza za kasnije
korienje.
- Distribuisani alati. Oni se koriste za simutalno napadanje raunarskih sistema iz
vie taaka. Napad se priprema tako to se delovi distribuisanog alata kopiraju na
vie raunara povezanih na Internet. Potom se delovima sinhronizuju satovi
(timers) tako da se svaki deo aktivira u predefinisano vreme. Napade izvedene
ovim alatom je veoma teko otkriti.
- Prislukivanje podataka (data tap). Svaki raunar i svi mreni kablovi emituju
elektromagnetne talase koji mogu biti iskorieni za otkrivanje informacija.
Posebnu opasnost predstavljaju podaci koji se prikazuju na monitoru(VanEjk
efekat) i podaci ukoji su u tranzitu.
5.ZATITA POSLOVNIH INFORMACIONIH SISTEMA
Nakon objanjenja napada na PIS , ono to se sledee logino namee je zatita. Zatita
je mera koja se preduzima da bi se ouvao integritet podataka. U dananje vreme moemo
izdvojiti da sistema zatite. To su sistem preventivno-zatitnih mrea i sistem represivno-
18
8/3/2019 Bezbednost informacija
19/26
zatitnih mera.Ovaj prvi sistem je danas mnogo prisutniji i moe se rei da od njega sve zavisi.
Te preventivne mere ine veoma raznoliki sistem mera i postupaka, na razliitim nivoima,
kojima se, prvenstveno, onemoguava, oteava ili spreava otkrivanje nepozvanom tj.
neovlaenom licu da se obavesti o sadrini podataka ili dokumenata, dodali bismo,
spreavaju se modifikacija i fabrikacija.
Osnova svake zatite lei u zatitnim prstenovima Sistem zatitnih prstenova
obezbeuje :
- viestrukost
- raznovrsnost
- sistematinost
Gore navedeni atributi poveavaju bezbednosni nivo PIS-a.
Posebno znaajni za svaki PIS su viestrukost i raznovrsnost , i za njih se moe rei da supreduslov sigurnijeg PIS. Sistematinost je takoe u funkciji bezbednijeg PIS-a, i ona treba da
olaka dizajneru bezbedonosnog PIS da izdvojeno, sistematino i sa razliitih aspekata,
dizajnira svaki prsten posebno. Bezbednost svakog pisa je sistematizovana i ona moe biti : 7
- administrativna bezbednost , obuhvata organizacione mere radi bezbednosti
- bezbednost informacionog sistema, koja podrazumeva bezbednost informacija pri
obradi, skladitenju i prenosu podataka
-
bezbednost osoblja- fizika bezbednost, obuhvata mogunost planiranja backup procedura u sluaju
prekida - servisa i zatita opremeradi spreavanja neautorizovanog uvida u
informacija, unitavanja ili menjanja informacija
- proceduralna bezbednost, podrazumeva odgovor u sluaju incidenta, a menaxment
rizika bavi se procenom balansa bezbednosnog sistema u odnosu na identifikovanu
pretnju i ranjivost sistema
Postoji vie prstenova, i svaki od njih zauzima odreeno mesto u strukturi bezbednosti.
Prvi prsten je humani prsten. Ovaj prsten prevashodno determinii sledei atributi, i
to:8
7 Ursul, A.D., Cyrdja, T.N. (2000) Informacionnaja bezopasnost', sunost', soderanie i principy eeobespeenija.Fakt, br. 28 Isto
19
8/3/2019 Bezbednost informacija
20/26
1. motivisanost
2. spremnost
3. mogunost
Sva ova tri atributa su u meusobnoj zavisnosti, i u sluaj
nedostatka jednog od njih moe doi do uruavanja ovog prstena.
Slede prsten je normativni prsten. Pod pojmom norativa podrazumevamo pravne akte kao to
su : ustav, meunarodni ugovori i sporazumi, zakoni, podzakonska akta (pravilnici, pravila,
uredbe, odluke, uputstva). Oni obavezuju i propisuju izvrenje neke radnje i nain izvrenja te
radnje. to se tie bezbednosti PIS , danas u svetu potoji normativi kojim je to regulisano.
Prva zemlja koja je regulisala ovu oblast bila je SAD , koji je donela zakon o zatiti podataka
jo 1966 godine. Posle SAD to je uinila vedska, koja je svoj zakon u ovoj oblasti donela
1971 godine, i na taj nain postala prva zemlja u evropi sa ovim zakonom. Posle vedskezakon je donela Nemaka 1977 godine kojim je regulisala ovu oblast. Meutim najvei korak
napred uinila je Francuska koja je do najsitnih detalja regulisala ovu oblast, i u ijem zakonu
se predviaju opsene pravne sankcije za povredu propisa.
Sledei prsten je organizacioni prsten, ovaj prsten podrazumeva mere i aktivnosti,
nadlenosti i obaveze korisnika i izvrilaca. Tako recimo u nekim zemljama je regulisano da
PIS koji ima do pet izvrilaca mora da imenije jednog izvrioca koji e se baviti pitanjem
zatite. Osnovna , na kojoj organizacioni prsten poiva jeste tzv. matrica ovlaenja. Ovom
matricom se odreuju aktivnosti izvrilaca i korisnika koje sve zovemo zajednikim imenom
subjekti, kao i pristupi resursima PIS, zovemo ih objektima. Organizacione mere zatite treba
da obezbede nesmetano i efikasno funkcionisanje sistema. Takoe treba da omogue razvij
sistema oporavka koji e biti u mogunosti da sistem iz tzv. ok stanja ponovno vrati u
normalno stanje. Osnova sistema oporavka jesta mogunost tog sistema da kreira backup , koji
ustvari predstavlja sliku sistema u jednom momentu sa svim njegovim podacima. Taj backup
se aktivira ako doe do pada sistema, i onda se na mesto starog sistema koji je pao stavlja
praktino isti taj sistem.
Prsten fizike zatite je takoe jedan od vanih prstenova. Mere ovog sistema se
realizuju jo od poetka rada graevinskog projekt. U njemu se definie lokacija PIS u odnosu
na sprat, stranu sveta u objektu gde je lociran PIS, poloaj PIS u odnosu na dalekovod,
gasovod, emisiju tetnih gasova iz fabrika, sve vrste instalacija u zgradi (vodovodne,elektrine
20
8/3/2019 Bezbednost informacija
21/26
i gasovodne). Ovaj prsten sem fizikih mera zatite podrazumeva i upotrebu tehnikih
sredstava od ifro brava na ulasku u prostoriju, raznih oblika zakljuavanja PIS
(raunara,terminala), proveru identifikacije subjekta (po principu : ono to jesu, ono to znaju i
ono to imaju). Takoe jedan od teih problema fizike zatite je problem zatite signala u
prenosu u telekominukacionom podsistemu. to se fizike zatite postoji jedan opti zakljuak
, a to je injenica da je teta koja e nastati usled loe fizike zatite biti mnogo vea nego to
je ulaganje u mere zatite koje e osigurati bezbednost sistema.
Sledei prsten zatite je zatita softvera, i ovo je prsten na kome se najlake moe
uoiti nedisjunktnost zatitnih prstenova. Meutim zbog velikog znaaja softvera ovaj prsten
mora biti posebno dobro zatien. Onovni cilj ove zatite je da obezbedi kontrolisano
korienje i uvanje kopija operativnih sistema i kopija aplikacija. Posebno se panja treba
obratiti da taj softver koji se koristi bude legalan tj. plaen , jer bi u suprotnom to moglo daima loe posledice po ugled i bezbednost PIS.
Nakon zatite seftvera na red dolazi zatita podataka , koja je takoe veoma bitna za
PIS. Ovaj prsten zatite treba da omogui sistematizovanje podataka po vanosti. Tom
sistematizacijom se obezbeuje rukovanje podacima na propisan nain u zavisnosti od njihove
vanosti. Posebna panja se obraa na nain na koji se podacima pristupa, na tretiranje
podataka u procesu obrade, na to kako su pisane aplikacije koje se koriste obradi podataka , tu
se specijalno misli na tretiranje baze podataka kao neke osnove informacionog sitema. U
ovom prstenu do izraaja dolaze i sistemi autentikacije i autorizacije koji treba da spree
neovlaeno menjanje podataka sa nekih od radnih stanica u LAN mrei. Takoe ovde treba
obratiti panju da softver koji ne pripada grupi softvera koja je propisana za jednu radnu
stanicu treba ukloniti sa te radne stanice jer se lako moe zloupotrebiti.
Zatita infrastrukture je sledei prsten zatite. Infrastrukturu ine pre svega : prostorije
za smetaj PIS, ureaji za napajanje elektrinom energijom sa stabilizatorima i pretvaraima
napona, komunikaciona oprema za uspostavljanje raunarske meree, klima ureaji i
instalacije, posebno opremljene prostorije za arhivu koja se uva na magnetnim i drugim
medijima, specifian protivpoarni sistem i protivprovalni sistem za obezbeivanje podataka
sa najviim stepenom tajnosti, posebno za prostorije u kojoj se uvaju arhive. Osnovni zadatak
ove zatite je da prui optimalne uslove za funkcionisanje svakog inioca PIS. Da bi se to
ostvarilo neophodno je vriti stalne provere sistema , kako bi se uoili eventualni propusti
21
8/3/2019 Bezbednost informacija
22/26
kako bi nakon toga oni bili otklonjeni. Sem toga neophodno je obezbeivanje rezervnih
resurasa kojima e se iz sopstvenih zaliha brzo zameniti neispravni delovi , kako bi se vreme u
kojem sistem ne radi svelo na najmanju moguu meru.
Sledei prsten u ovom sistemu bezbednosnih prstenova je prsten zatite PIS u radu u
mrenom okruenju. Mrea je mesto gde su podaci najnesigurniji i gde se najlake mogu
zloupotrebiti. Za razliku od centralizovanih sistema koji se nalaze na jednoj lokaciji ,
raunarska mrea je difuzna. Onsnovna slabost mrea lei u injenici da nju koristi veliki broj
korisnika, tako da su mogunosti zloupotrebe i neovlaenog pristupa zaista velike. Najei
primenjene metode koje trebaju da osiguraju bezbednost mree jesu kontrola pristupa mrei i
kriptozatita poruka koje se prenose. One treba da obezbede zatitu informacija od
neovlaenih lica, nepotenih modifikacija poruka, ponavljanje starih poruka, zatitu od
lanog predstavljanja nekog korisnika i od lanog predstavljanja raunarske usluge.Pretposlednji prsten zatite je prsten zatite podataka na prenosnom putu.Ovo je jedan
od najteih segmenata zatite, jer podaci koji su na prenosnom putu veoma su podloni
napadima. Postoje nekoliko tehnika pomou kojih se vri zatita podataka u prenosnom putu.
Jedna od estih metoda za otkrivanje i otklanjanje smetnji u procesu prenosa je metoda koja
koristi paritetne bitove ili bitove dobijene kao ostatak od deljenja binarnih polinoma nekim
fiksnim binarnim polinomom, koji se dodaju poruci ili njenim delovima. Druga metoda koja je
isto vrlo rasprostranjena koristi posebne kodove sa redudancijom za zatitu ispravnosti
sadrine. Komunikaciju bez greke je gotovo nemogue postii. One su posledica osobina
vodova i delovanja uma. Kod privatnih ili zakupljenih vodova znaju se osobine vodova i
lake je odrediti verovatnou pojave greke. to se tie komutiranih vodova za njih se ne
mogu dobiti tane osobine, jer pri uspostavljenju veze uvek se dobija drugi spojni put. Glavni
razlog poveanja greaka u prenosu moe biti poveanje optereenja mree, a razlika u
kvalitetu veze kod optereenja i neoptereenja mree je viestruka. Reenje ovog problema
moe da bude u u smanjivanju brzine prenosa i poveanju broja dodatnih podataka potrebnih
da se otkriju greke. Meutim ovo ima mana a to je smanjivanje iskorienosti
komunikacionih kanala i i smanjivanje efikasnosti prenosta zbog veeg broja potvrivanja
prijema koje alje primalac podataka. U praksi postoje dva glavna razloga izoblienja signala ,
to su : priguenje i kanjenje. Izoblienje zbog priguenja deava se zbog nelinearnosti
frekventne karakteristike guenja voda, a izoblienje zbog kanjenja nastaje u situaciji kada
22
8/3/2019 Bezbednost informacija
23/26
razliitim brzinama putuju signali razliitih frekvencija. Sem ova dva gore navedeva uzroka
izoblienja , na kvalitet signala mogu uticati i : beli (Gausov) um, presluavanje, jeka,
promena pojaanja signala, impulsne smetnje, ispad voda, podrhtavanje.
Zadnji prsten u ovoj strukturi bezbednosti je kriptozatitni bezbednosni prsten. Da bi se
govorilo o ovom prstenu prvo se mora razjasniti pojam kritpologije. Prema definiciji
kriptologija je nauka o tajnosti informacija, i ona obuhvata kriptozatitu i kriptoanalizu. Prvi i
osnovni zadatak kriptozatite je izrada postupaka za transformisanje poruka, tzv. izvornika, u
kriptograme da bi ti postupci bili kriptografski sigurni. Za kriptozatitu se moe rei da je to
skup postupaka kojima se menja forma informacije , koja je ili sadrana na nekom mediju ili
se prenosi nekim medijem. Ona se bavi metodama za izradu kriptograma, tj. porukama koje
su itljive samo ovlaenim korisnicima a neitljive neovlaenim korisnicima. Lica koja
dizajniraju kriptosistem zovu se kriptolozi. Nasuprot njih nalaze se kriptoanalitiari. Oni sebave postupcima ija je svrha pokuaj probijanja kriptograma i uspostavljanja izvornog oblika
informacije. Dok se za kriptoanalizu moe rei da je to skup postupaka za pokuavanje
neovlaenog probijanja pojedinog kripotgrama ili itavog kriptosistema. to se kriptograma
tie njega moemo dobiti na dva naina : kodiranjem uz pomo odgovarajueg kodnog
sistema ili ifrovanjem uz pomo odgovarajueg ifarskog sistema. Ako se kriptogram radi uz
pomo kodnog sistema , neophodno je posedovanje knjige kodova, koja ustvari predstavlja
renik koji povezuje rei, fraze, i reenice izvornika sa odgovarajuim kodnim grupama
kriptograma i obrnuto. Danas postoje dve osnovne vrste kodnih sistema:
- jednodelni kodni sistem
- dvodelni kodni sistem
Kod jednodelnog kodnog sistema kodna knjiga za izvornik je ureaena tako to se uz
alfabetski sortirani renik izraza izvornika nalazi i alfabetski sortiran renik pripadnih kodova.
Dok se kod dvodelnog kodnog sistema moraju koristiti dve knjige. Pored kodiranja u ovom
bezbedonosnom prstenu veoma je bitno i ifrovanje. ifrovanje je postupak koji se na izvornik
primenjuje tako to se njime deluje na delove izvornika koji imaju fiksnu duinu, nezavisno od
toga imaju li ti delovi lingvistiko znaenje ili ne. Takvi delovi izvornika su najee pojedini
znakovi, ili grupe od po dva slova, a znatno ree grupe od po vie slova. Svaki ifarski sistemi
zahtevaju dva osnovna elementa i to :
23
8/3/2019 Bezbednost informacija
24/26
- skup pravila ili postupaka, tzv. algoritam koji je stalan u nekom kripto sistemu, koji
mora biti unapred definisan i poznat svim uesnicima u komunikacijama
- poseban klju, odabran iz velikog skupa svih moguih kljueva
Takoe danas postoje i dve glavne grupe ifarskih algoritama, to su :
- transpozicija, koja se ogleda u premetanju znakova izvornika tako to se oni u
kriptogramu nalaze u izmeanom redosledu, dok se identitet znakova ne menja
- supstitucija, kojom se svaki znak izvornika zamenjuje nekim drugim znakom u
kriptogramu, ali bez izmene njihovih pozicija u tekstu
- kombinacija postupaka transpozicije i supsticije
Na kraju to se tie kriptozatite ona je danas iroko primenjena i to pre svega kod automata za
gotovinsko plaanje, takoe primenjuje se na prenosne medijume kao to su : diskovi, trake,
kasete, diskete i drugi prenosni medijumi, a posebna se tite medijumi na kojima su smetenearhive koje su po pravilu uvek od velike vanosti.
24
8/3/2019 Bezbednost informacija
25/26
6.ZAKLJUAK
U savremenom drutvu informaciona bezbednost je komponenta nacionalne
bezbednosti. U sklopu objanjenja pojma bezbednosti i pojma informacione bezbednosti date
su osnovne postavke opte nauke o bezbednosti i teorije informacionog ratovanja.
Informaciona bezbednost se javlja ne samo kao jedan od oblika bezbednosti, ve i kao presek
svih drugih oblika bezbednosti u kojima informacione tehnologije zauzimaju vano mesto.
Informaciona sigurnost, kao novi pravac istraivanja u oblasti bezbednosti, ispoljava se
i u oblasti nacionalne bezbednosti, ali i kao faktor meunarodnih odnosa. Nesumnjivo jedan
od najvanijih aspekata informacione sigurnosti je njen uticaj na celokupno drutvenokretanje. Da je zatita informacija predmet interesovanja dravnih i vojnih struktura poznato je
od ranije. Meutim, i sve velike kompanije smatraju da je informaciona sigurnost jedan od
najvanijih prioriteta u voenju biznisa. U skladu sa tim evidentne su radikalne promene u
organizaciji slube informacione sigurnosti na svim nivoima. Pitanja informacione sigurnosti i
problem zatite informacija su sa, sve donedavno, krajnjih margina dospela u situaciju da budu
delokrug rada samog top - menadmenta kompanija.
25
8/3/2019 Bezbednost informacija
26/26
7.LITERATURA
1. Sinkovski, S. (2004) Neki aspekti i problemi zatite informacija.Bezbednost, vol. 46,
br. 4
2. Levakov, A. (2002) Anatomija informacionnoj bezopasnosti SA.Jet info online, br. 6
3. Rodi, B. (2001) Interakcija javnih raunarskih mrea i raunarskih mrea specijalnih
institucija. Beograd: Vojnotehnika akademija VJ, doktorska disertacija
4. Beauregard, J. (2001) Modeling information assurance. Air Force Institute of
technology
5. Genne, V.I. (1998) Zaity informacii ot utoki erez pobonie elektromagnitnye
izluenija cifrovogo elekronnogo oborudovanija, Zaity informacii.Konfident, br. 2
6. Ursul, A.D., Cyrdja, T.N. (2000) Informacionnaja bezopasnost', sunost', soderanie i
principy ee obespeenija.Fakt, br. 2