Bezbednost informacionih sistema - Uvod (1).ppt

  • View
    37

  • Download
    13

Embed Size (px)

Text of Bezbednost informacionih sistema - Uvod (1).ppt

  • BEZBEDNOST INFORMACIONIH SISTEMA

    BIS uvodni as2010/2011

  • SADRAJ - UOPTENO

    Uvod u problematiku

    Osnove bezbednosti IS pojam i znaaj bezbednosti izvori pretnji vrste zatite bezbednost distribuiranih sistema

    Metode zatite IS: kriptografija, organizacione i fizike metode zatite, programske metode zatite

  • BEZBEDNOST INFORMACIONIH SISTEMA Mere koje tite i brane informacije i informacione sisteme obezbeujui njihovu dostupnost, integritet, autentinost i poverljivost . Ove mere ukljuuju i obnavljanje (restauraciju) informacionih sistema i objedinjuju mogunosti zatite, otkrivanja pretnji i delovanja.

  • ....................................................................

    Opte ime za skup alata, procedura, pravila i reenja ija je namena da umreeni sistem zatiti od napada glasi sigurnost raunarskih mrea

  • LITERARURAStewart, J.M., Tittel, E., Chapple, M. (2006). Certified Information Systems Security Professional, (3rd Edn), San Francisco: Sybex

    Ciampa, M. (2005). Security+ Guide to Network Security Fundamentals, (2nd Edn), Boston, Massachusetts: Thomson Technology.

    Erbschloe, M. (2003). Guide to Disaster Recovery. Boston, Massachusetts: Thomson Technology.

    Maiwald, E. (2004). Fundamentals of Network Security. New York: McGraw-Hill.

    Palmer, M. (2004). Guide to Operating Systems Security. Boston, Massachusetts: Thomson Technology.

    Panko, R. R. (2004). Corporate Computer and Network Security. New Jersey: Pearson Education International.

    Quirk, P. & Forder, J. (2003). Electronic Commerce and the Law (2nd Edn). Singapore: John Wiley & Sons Australia, Ltd.

    Whiteman, M. E. & Mattord, H. J. (2005). Principles of Information Security (2nd Edn). Boston, Massachusetts: Thomson Technology.

  • ZATO NAM JE POTREBNA BEZBEDNOST?

    Motivacija: Zato nam je potrebna bezbednost?

    Sve je vee oslonjanje na Informacione tehnologije uz upotrebu mree ili bez nje

    IT je drastino promenila nae ivote

    Zavisimo od e-mail-a, sve vie od Internet bankarstva, kao i od drugih aktivnosti koje koriste IT

    Poveana je upotreba E-komerca i WWW-a na Internetu koji pruaju razliite vrste informacija (baze doseljenika, avionske karte, berze, itd.)

  • ZATO TREBA BITI ZABRINUT?Oteenje bilo kog sistema ili aktivnosti moe rezultirati ozbiljnim poremeajima i gubicimaSistemi koji koriste mreu vie su izloeni napadima i trpe vee gubitke usled napada od izolovanih (stand-alone) sistemaSledee zabrinutosti su uobiajene:kako da znam da je sagovornik na mrei zaista onaj sa kojim elim da razgovaram?

    kako mogu biti siguran da niko ne oslukuje i ne krade podatke koje aljem preko mree?

  • ZATO TREBA BITI ZABRINUT?Da li web sajt sa koga preuzimam informacije pravi ili lani?mogu li zaista biti siguran da haker nee ui u moju mreu i napraviti haos?

    Kako da budemo sigurni da osoba sa kojom smo obavili finansijsku transakciju nee sutra ili ak i kasnije to poricati?

    Kako da spreim da mi sa kreditne kartice ne naplate neki proizvod koji sam kupio preko mree pre nego to ga dobijem?

  • IZ OVOGA SE MOE ZAKLJUITI...

    Bezbednost nam je potrebna da bismo sauvali poverljivost, integritet i dostupnost podataka

    Internet nije jedina mrea koja nije bezbedna

    Mnoge mree unutar organizacija su podlone napadima iznutra

    Preciznije reeno, napadi iznutra su mnogo verovatniji i nanose mnogo vie tete od napada spolja

  • MEUTIM, U PRAKSIBezbednost se esto previdi (ne spada u najvanije kriterijume)

    esto se dostupnost i efikasnost tretira kao ista stvar

    Implementacije sadre bagove

    Mnogo bre raste broj mrea i njihova veliina nego to se poveava broj bezbednih mrea

    Napadi se sve ee deavaju i sve se lake izvode postoje mnoge knjige koje jasno objanjavaju na koji nain se moe izvesti napad

    Jedini nain da se izbegnu napadi jeste da se stalno prati tehnologija kako bi se bilo ispred zlonamernika

  • DOBRE VESTI

    Postoji mnotvo tehnika za odbranu

    Edukacija ljudi o bezbednosti reava mnoge probleme

  • TA SE TITI ?

    Neto to ima vrednost

    Informacija sa (obino indirektnim) uticajem na stvarni svet

    Razliite vrste zatite su potrebne za razliite informacije: obezbeuju se razliita svojstva bezbednostipoverljivostintegritetdostupnost

  • SVOJSTVA BEZBEDNOSTI CIA

    Integritet(integrity)Poverljivost(confidentiality)Dostupnost(availability)

  • SVOJSTVA BEZBEDNOSTI

    Poverljivost skrivanje informacija ili resursa

    Integritetpoverljivost podataka ili resursa

    Dostupnostmogunost upotrebe informacija ili resursa

  • JEDNOSTAVAN PRIMER: GLASANJE

    Glas je tajan Poverljivost

    Glas treba da bude pravilno prebrojan za izbore Integritet

    Svakom ko po zakonu spada u glasae treba da bude omogueno da glasa - Dostupnost

  • SVOJSTVA: INTEGRITET

    Spreavanje neprikladne modifikacije podataka od strane neovlaenih lica ili procesaOvlaena lica ili procesi ne smeju obavljati neovlaene promene podatakaPrimer : stanje na raunu u banci se menja samo sa odobrenim transakcijama, samo vlasnik moe promeniti svoj password

    Integritet je odluujui mehanizam bezbednosti

    Postie se: kontrolom pristupa, digitalnim potpisom...

  • SVOJSTVA: POVERLJIVOST

    Spreava odavanje informacija tj. namerno ili nenamerno neovlaeno otkrivanje sadraja poruka

    Ograniavaju se akcije ili znanje o akcijama

    Npr. vreme sklapanja nekog ugovora, D-dan napada

    Tu spada i tajnost

    Postie se: kontrolom pristupa

  • SVOJSTVA: DOSTUPNOST

    Najlaki nain da se obezbedi poverljivost i integritet: iskljuiti raunar

    Koncept raspoloivosti obezbeuje da odgovarajue osoblje pouzdano i pravovremeno moe pristupiti podacima ili raunarskim resursima

    Dostupnost: sistem mora odgovoriti na zahteve

    Pokuaji da se blokira dostupnost se teko detektujuNpr. banka sa dva servera: jedan je blokiran a drugi obezbeuje netane informacije

  • Bezbednost: spreavanje loih stvari koje se mogu desiti:

    kraa poverljivih informacijaoteenje ili unitavanje poverljivih informacijanemogunost korienja vanih uslugane plaanje klijenata za usluge koje koristekraa novcaneodgovarajui pristup fizikim resursimakrenje zakonagubitak vrednosti...

    ... ili bar smanjenje verovatnoe njihovog deavanja

    Spreavanje protivnika

  • PRIMER NAPADA #1: CRV MORRIS

    1988: procenjuje se da je upao u 5-10% od 6000 raunara koji su tada bili na Internetu

    Koristio je odreene metode da bi imao pristup raunaru:pogaanje password-abag u sendmail konfiguracijiranjivost operativnog sistema Windows

    Napomene: raznovrsnost sistema spreila je irenje crva

  • MS-SQL SLAMMER CRV

    Jan. 25, 2002: SQL serveri na Internetu su napadnutiza samo 10 minuta proirio se na najranjivije servere na Internetu, pogodivi preko 75000 korisnika

    Odbijanje servisa: baze podataka su postale nedostupne protok neverovatno usporennajgori napad do tada sruio je mnoge servere zarazio je SQL servere u samom Microsoft-uvlasnici veine sistema nisu znali da su ga uopte pokrenuli

  • PRIMER NAPADA #2: LOVE BUG, MELISSA

    1999: dva virusa zasnovana na e-mailu koja su iskoristila:opti mail klijent (MS Outlook)poverenje (naivnost) korisnikaproirenja unutar poruka kako bi:u bazi kontakata pronali nove adreseposlali poruke novo pronaenim kontaktima A pair of Filipino students were arrested in connection with the LoveBug, but were not prosecuted because there were no laws at that time that covered such activity. If any good came out of the outbreak, was the creation of laws that criminalized malicious activity such as creating and releasing malicious code...Melissa: smatra se da je zarazila oko 1.2 milion raunara The macro virus launched when a user opened an infected Microsoft Word document sent as an e-mail attachment. The computer programmer who created the Melissa virus was sentenced to 20 months in federal prisonLove bug: napravio je otprilike $10M tete, a Mellisa $80M Napomena:nisu korieni password-i, kripto ili mainski kod

  • PRIMER NAPADA #3: HOTMAIL

    1999: svi e-mail account-i na Hotmail-u su postali dostupni svima, bez password-a

    Napomene:Hotmail bug je omoguio krau identitetaHotmail bug se pojavio sa Javascript kodom zlonamerni haker je ukrao Hotmail passwordepopravka bug-a nije predstavljala lek teta je ve naneta

  • PRIMER NAPADA #4: YORKTOWN

    1998: Smart Ship USS Yorktown je propustio greku u sistemu

    Razlog: operater na raunaru sluajno je ukucao 0 to je dovelo do greke deljenja sa nulom koja je prepunila bazu i sruila sve konzole

    Problem je reen posle dva dana

  • PRIMER NAPADA #5: NAPAD IZNUTRA (INSIDER)Prosena cena napada izvedenog spolja je 56000$; napad izveden iznutra u proseku kota kompaniju 2.7 miliona dolara (Computer Security Institute/FBI)

    63% kompanija je doivelo zloupotrebu raunarskog sistema koja je izvedena iznutra

    Vrste napadaBackddoorLogic bombspreusmeravanje tokova novca

    Napadai mogu iskoristiti svoje legitimne privilegije

    Mnogi napadi (90%) ostaju neprijavljeni

  • CILJEVI ZATITE INFORMACIJA

    Poverljivost ili privatnost : uvanje informacija tajnim od svih osim onih kojima je namenjena

    Integritet podataka : uvanje informacija od menjanja na neautorizovan ili nepoznat nain

    Identifikacija: potkrepljivanje identiteta entiteta (osobe, raunarskog terminala, kreditne kartice itd.)

    Autentikacija poruke : potvrivanje izvora informacija

    Anonimnost : sakrivanje identiteta entiteta koji je ukljuen u neki proces

  • CILJEV